Askele Insights – Tietoturva- ja tietosuojalausunto

Askele Insights -palvelu tukee työntekijää, vähentää virheitä, parantaa ennustettavuutta ja auttaa pitämään toiminnanohjausjärjestelmän ajan tasalla. Kyseessä on SaaS-palvelu (Software as a Service), joka integroituu yrityksen omaan toiminnanohjausjärjestelmään. Askele Insights -palvelun toimittaa Askele Oy.

Tälle sivulle olemme koonneet yhteen Askele Insights -palvelun tietoturvaan ja tietosuojaan liittyvää tärkeää tietoa sekä palvelun ajantasaiset palveluehdot.

Askele Insights Tietoturvalausunto

Tiedämme kuinka tärkeää tietoturva on asiakkaillemme ja haluamme siksi osaltamme pitää asiakkaan tiedoista hyvää huolta. Käsittelemme asiakkaidemme tietoja vastuullisesti ja asianmukaisesti ja olemme sitoutuneet ylläpitämään tietoturvaa lakien ja säädösten vaatimien suojausten mukaisesti. Tämä Tietoturvalausunto sisältää tärkeää tietoa Askele Insights -palvelun tietoturvakäytännöistä ja teknisistä ratkaisuista.

Tietoturvallisuudella tarkoitetaan kaikkien tietojen, missä tahansa muodossa ne esiintyvätkään, turvallista käsittelyä. Tietoturvallisuus on tietojen luottamuksellisuuden, eheyden ja käytettävyyden varmistamista. Tietoturva sisältää sekä hallinnollisia että teknisiä toimenpiteitä ja sitä ylläpidetään ennaltaehkäisevästi ja seurataan aktiivisesti.

Tekninen ympäristö

Askele Insights -palvelu sijaitsee Microsoft Azure pilvipalvelussa, Länsi-Euroopassa Hollannissa. Microsoft Azure on GDPR yhteensopiva, ISO-sertifioitu pilvipalvelutoimittaja.

Hyödynnämme palvelun tietoturvan ylläpitämisessä Microsoft Azure pilvipalvelun tarjoamia sisäänrakennettuja tietoturvaominaisuuksia. Liikenne, eli palvelun hakema ja lähettämä tieto, on salattu TLS-salausprotokollalla. Tietokantaan tallennetut tiedot on salattu AES-256-bittisellä salauksella.

Tiedot asiakkaan toiminnanohjausjärjestelmästä haetaan käyttämällä toiminnanohjausjärjestelmän tarjoamaa REST API rajapintaa. Pyrimme välttämään toiminnanohjausjärjestelmästä haettujen tietojen tallentamista tietokantaan ja silloinkin kun se on tarpeen, tallennamme vain teknisen tunnisteen.

Huolehdimme käyttöjärjestelmien, ohjelmistojen ja verkkokomponenttien versioiden ajantasaisuudesta tietoturvahaavoittuvuuksien minimoimiseksi. Microsoft Azure pilvipalvelun käytön yksi eduista on se, että infrastruktuuri on aina ajan tasalla.

Pääsy tekniseen ympäristöön on rajattu ja hyödynnämme käyttöoikeuksien hallinnassa vähimpien oikeuksien periaatetta (Principle of least privilege).

Kehitysprosessi

Olemme huomioineet tietoturvaan ja tietosuojaan liittyvät toimenpiteet ohjelmistokehitysprosessissamme. Tietoturva huomioidaan kaikissa sovelluksen elinkaaren vaiheissa. Tietoturvallisuutta toteutetaan ja kehitetään käyttäen riskien kannalta tarkoituksenmukaisia ja kustannustehokkaita ratkaisuja. Noudatamme tietojen käsittelyssä Suomen tietosuojalakia ja Euroopan Unionin yleistä tietosuoja-asetusta (GDPR). Ohjelmistokehityskumppanimme sitoutuvat sopimuksellisesti toteuttamaan Askeleen määrittelemän tietoturvan tason.

Käytön seuranta

Keräämme automaattisesti lokitietoa palvelun käytöstä. Pääsy näihin lokeihin rajattu.

Kumppanit

Tukeudumme palvelun tuottamisessa luotettaviin kumppaneihin ja toimittajiin. Varmistamme sopimuksellisesti, että luottamuksellisuus ja korkean tietoturvan taso toteutuu yhteistyössämme.

Ohjelmistokumppanimme

Nimi Y-Tunnus Rooli Askele Insights -palvelun tuottamisessa
Greenstep Oy 2306461-3 Sovelluskehitys
Homestreet Studios 1197631-6 Sovelluskehitys
Grants Funding Oy 2967478-9 Sovelluskehitys

Toimittajamme

Nimi Sijainti / maa Rooli Askele Insights -palvelun tuottamisessa
Microsoft Azure EU Palvelinkeskus, infrastruktuuripalvelut
Sendgrid USA (EU Standard Contractual Clauses) Sähköpostipalvelut

Yhteystiedot

Mikäli sinulla on tietoturvaan liittyen kysyttävää tai huolenaiheita, tai tarvitset yksityiskohtaista tietoa tietoturvatoimenpiteistämme, ota meihin yhteyttä sähköpostitse security@askele.fi.

Askele Insights Tietosuojalausunto

Olemme sitoutuneet kunnioittamaan ja turvaamaan asiakkaidemme yksityisyyttä. Asiakkaanamme uskot käsiimme luottamuksellisia tietojasi ja olemme velvollisia toimimaan tämän luottamuksen mukaisesti joka päivä. Tässä tietosuojalausunnossa kerromme henkilötietojen käsittelystä Askele Insights -palvelussa.

Noudatamme henkilötietojen käsittelyssä Suomen tietosuojalakia (1050/2018, muutoksineen), Euroopan Unionin yleistä tietosuoja-asetusta (EU 2016/679, muutoksineen, “GDPR”) ja mitä tahansa muuta soveltuvaa kansallista tai EU:n laajuista tietosuojalainsäädäntöä sekä toimivaltaisten tietosuojaviranomaisten antamia ohjeita ja päätöksiä.

Määritelmät

    • Asiakas on palveluidemme ostaja.
    • Henkilötieto on tieto, joka voidaan suoraan tai välillisesti yhdistää sinuun henkilönä. Käsittelemämme henkilötietotyypit on kuvattu jäljempänä tässä lausunnossa.
    • Palvelut tarkoittavat kaikkia Askele Oy:n tarjoamia Askele Insights palveluita.

Henkilötietojen käsittely

Käsittelemme henkilötietoja Askele Insights -palvelussa henkilötietojen käsittelijänä asiakasyritystemme toimiessa rekisterinpitäjänä.
Askele Oy toimii rekisterinpitäjänä käsitellessään asiakasyrityksen Askele Insights -asiakkuuteen ja sopimussuhteeseen liittyviä henkilötietoja.

Palvelu hakee henkilötiedot asiakkaan toiminnanohjausjärjestelmästä REST API rajapinnan kautta, jonka käytön asiakas on valtuuttanut ostaessaan palvelun.

Käsitellyt henkilötietotyypit

    • Toiminnanohjausjärjestelmän käyttäjien henkilökohtaiset tiedot kuten etunimi, sukunimi, sähköpostiosoite, puhelinnumero, maa, kieli, työsopimus (aloitus- ja päättymispäivä, odotettu työaika ja työpäivät), avainsanat, tekninen id.
    • Toiminnanohjausjärjestelmän käyttäjien sensitiiviset tiedot kuten poissaolon kirjauspäivä ja pituus.
    • Toiminnanohjausjärjestelmän projektien asiakastiedot kuten asiakkaan nimi ja tekninen id.
    • Asiakkuuteen ja sopimussuhteeseen liittyvät tiedot kuten Palvelua, ostoksia, tuotteita, tilauksia koskevat, niihin liittyvät ja niiden toimittamiseksi tarvittavat tiedot, tilaaja- ja käyttäjätiedot, laskutus-, luotto- ja maksutiedot, markkinointiluvat ja –kiellot, asiakasyhteydenotot.

Henkilötietojen käyttö

Askele Oy kerää, käsittelee ja käyttää henkilötietoja, joita tarvitaan liiketoimintamme harjoittamiseen, tehokkaaseen asiakaspalveluun ja tarkoituksenmukaisiin kaupallisiin toimiin. Henkilötietojen käsittely perustuu kanssamme tehtyyn sopimukseen Palvelun käytöstä. Voimme käsitellä henkilötietoja myös muilla perusteilla kuten suostumukseen tai lakiin perustuen. Käsittelemme henkilötietojasi alla oleviin käyttötarkoituksiin:

Sopimussuhteen perusteella ja Palveluiden tuottamiseksi

Käsittelemme henkilötietoja Palveluiden tarjoamiseksi ja tuottamiseksi. Henkilötietoja käsitellään viestinnän välittämiseksi ja palvelun toteuttamiseksi sekä tietoturvasta huolehtimiseksi esimerkiksi kun Palvelu analysoi tietoja toiminnanohjausjärjestelmästä ja toimittaa tulokset sähköisesti toiminnanohjausjärjestelmän käyttäjälle.

Käsittelemme henkilötietoja myös teknisten vikojen ja virheiden havaitsemiseksi, Palvelun ja tietojärjestelmien tietoturvasta huolehtimiseksi sekä niiden toimivuuden testaamiseksi.

Lisäksi Palveluiden tuottaminen edellyttää, että käsittelemme henkilötietoja asiakas- tai sopimussuhteen hallintaan, asiakkaiden tai käyttäjien tunnistamiseen, tilausten käsittelyyn ja toimittamiseen, laskuttamiseen, palvelun ja tuotteiden laadunvalvontaan, luotonvalvontaan, perintään, asiakaspalvelua varten sekä erilaisten vika- ja häiriötilanteiden korjaamiseen ja reklamaatioiden käsittelyyn.

Käsittelemme henkilötietoja myös asiakasviestintään kuten Palveluihin liittyvien ilmoitusten lähettämiseen ja ollaksemme asiakkaaseen yhteydessä Palveluihimme liittyvissä asioissa.

Oikeutetun edun perusteella

Askele Oy voi käsitellä henkilötietojasi oikeutetun edun perusteella. Askeleella on oikeutettu etu henkilötietojesi käsittelyyn esimerkiksi seuraavissa tilanteissa:

Markkinointi
Käsittelemme ja hyödynnämme henkilötietoja markkinointitarkoituksiin ja markkinointikohderyhmien muodostamiseksi voimassaolevan lain sallimissa rajoissa. Voimme käsitellä henkilötietoja Palveluiden personoimiseen ja kohdentamiseen esimerkiksi tekemällä suosituksia ja näyttämällä kohdennettuja sisältöjä Palveluissa tai asiakaskanavissamme. Voimme käyttää henkilötietoja lain sallimissa rajoissa tuotteiden ja palveluiden markkinointiin kuten suoramarkkinointiin, markkinatutkimuksiin sekä asiakastyytyväisyyskyselyihin.

Tilastolliset tarkoitukset
Voimme käsitellä henkilötietoja myös luodaksemme tilastollisia analyysejä, joiden avulla voimme kehittää liiketoimintaamme, asiakastarjoamaamme tai parantaa palveluitamme tai tuotteitamme.

Lakisääteisten velvoitteiden noudattaminen ja muut suostumukseen perustuvat tarkoitukset

Käsittelemme henkilötietoja lakiin perustuvien velvoitteidemme hoitamiseksi kuten kirjanpito- ja viranomaistarkoituksiin. Voimme käsitellä henkilötietojasi myös niihin käyttötarkoituksiin, joihin olet antanut suostumuksesi.

Henkilötietojen turvaaminen

Tietoturva ja asiakastietojen turvaaminen on meille ensiarvoisen tärkeää. Askeleelle on tärkeää pyrkiä turvaamaan henkilötietojen käytettävyys, saatavuus, eheys ja turvallisuus. Pyrimme toteuttamaan tarkoituksenmukaisia menettelytapoja henkilötietojen suojaamiseksi sekä estääksemme ja havaitaksemme ulkopuolisten luvattoman pääsyn henkilötietoihin ja henkilötietojen katoamisen.

Työskentelemme jatkuvasti asiakkaidemme oikeuksien turvaamiseksi. Huolehdimme henkilökunnan, tietojen, tietojärjestelmien kuin myös toimistojen turvallisuudesta. Erityistä huomiota kiinnitämme henkilötietojen turvaamiseen.

Tietojen turvaamisessa otamme huomioon henkilötietojen käsittelyyn liittyvät riskit yksityisyyden suojalle ja liiketoiminnalle, käytettävissä olevat tekniset mahdollisuudet sekä erilaiset uhkatekijät sovellettavan lainsäädännön, määräysten ja sopimusvelvoitteiden mukaisesti.

Henkilötietojen luovuttaminen kolmansille osapuolille

Voimme luovuttaa henkilötietojasi voimassa olevan lain edellyttämissä ja sallimissa tilanteissa.

Tahot, joille voimme luovuttaa henkilötietoja
Askele Oy voi luovuttaa henkilötietoja Askeleen puolesta toimiville alihankkijoille, jotka käsittelevät henkilötietoja antamamme toimeksiannon perusteella. Nämä kolmannet osapuolet eivät saa käyttää henkilötietoja mihinkään muuhun kuin kanssamme sovitun palvelun tuottamiseen. Käyttäessämme alihankkijoita huolehdimme asianmukaisella tavalla siitä, että käsittely tapahtuu Palvelusopimuksen ja Tietosuojalausunnon mukaisesti. Tässä tarkoitettuja alihankkijoita ovat mm. sovelluskehityskumppanimme tai IT-palveluntarjoajat.

Henkilötietoja puolestamme käsittelevät kumppanit voivat olla sijoittautuneet Suomen, Euroopan Unionin tai Euroopan talousalueen ulkopuolelle. Siirtäessämme henkilötietoja EU:n tai ETA:n ulkopuolelle varmistamme sopimuksin (esimerkiksi käyttämällä EU:n Komission mallisopimuslausekkeita) tai muutoin (Euroopan komission vastaavuuspäätös), että siirrot toteutetaan lainsäädännön edellyttämällä tavalla. Lisäksi huolehdimme ja edellytämme myös kumppanimme huolehtimaan tällöinkin lainsäädännön edellyttämällä tavalla siitä, että henkilötiedot säilyvät edelleen suojattuina huolimatta siitä siirretäänkö niitä EU:n ulkopuolelle. Lisätietoa henkilötietojen siirtämisen edellytyksistä EU:n tai ETA:n ulkopuolelle.

Askele Oy voi luovuttaa henkilötietoja oikeuskäsittelyyn liittyen tai viranomaisen pyynnöstä sovellettavan lain perusteella tai tuomioistuimen määräyksellä oikeudenkäynnin tai viranomaisprosessin yhteydessä. Voimme myös luovuttaa tietoja toimivaltaiselle viranomaiselle, esimerkiksi poliisille tai hätäkeskusviranomaiselle, lainsäädännön edellyttämässä laajuudessa etukäteen määritellyn menettelytavan mukaisesti.

Lisäksi voimme luovuttaa henkilötietoja liiketoimintajärjestelyissä kuten sulautumisten ja erilaisten liiketoimintakauppojen tai -siirtojen yhteydessä.

Henkilötietojen säilytys

Säilytämme henkilötietoja vain niin kauan kuin on tarpeen Palvelusopimuksessa ja Tietosuojalausunnossa määriteltyjen käyttötarkoituksien toteuttamiseksi, jollei lainsäädäntö muuta edellytä. Emme säilytä vanhentuneita tai tarpeettomia tietoja.

Sopimussuhteen perusteella käsiteltäviä tietoja säilytetään lähtökohtaisesti sopimussuhteen voimassaoloajan tai niin kauan kuin Palveluiden toimittaminen sitä edellyttää. Sopimussuhteen tai Palveluiden toimittamisen päättymisen jälkeen henkilötietoja säilytetään niin kauan kuin niille on tarvetta esimerkiksi keskeneräisten asioiden, laskutuksen tai reklamaatioiden puitteissa. Pääsääntöisesti tietojen säilytysaika on puoli vuotta Palvelun tai sopimussuhteen päättymisen jälkeen.

Oikeutetun edun perusteella käsiteltäviä tietoja käsitellään niin kauan kuin käsittelyperuste on olemassa. Mikäli asiakas vastustaa käsittelyä, poistetaan tiedot kun asiakkaan vastustusta koskeva pyyntö on käsitelty ja vastustus hyväksytty. Tällaista oikeutetun edun piiriin kuuluvaa käsittelyä voi olla esimerkiksi suoramarkkinointi asiakkaalle sopimussuhteen päättymisen jälkeen.

Lakisääteisten velvoitteiden perusteella käsiteltäviä tietoja käsitellään ja säilytetään niin kauan kuin laissa edellytetään. Velvoitteita henkilötietojen säilyttämisen osalta on asetettu esimerkiksi kirjanpito- tai rahanpesulainsäädännössä (5-6 vuotta).

Rekisteröidyn oikeudet

Rekisteröity ei voi käyttää kaikkia oikeuksia kaikissa tilanteissa. Tilanteeseen vaikuttaa esimerkiksi se, millä perusteella henkilötietoja käsitellään. Mikäli olet toiminnanohjausjärjestelmän käyttäjä, jonka henkilötietoja Askele Insights -palvelu analysoi, käänny rekisterinpitäjäsi eli oman työnantajasi puoleen sinua koskevien oikeuksien ja henkilötietojen käsittelyn osalta. Mikäli sen sijaan olet osapuolena Askele Insights palvelusopimuksessa, sinulla on seuraavat rekisteröidyn oikeudet:

Jos Askele Oy on mielestäsi toiminut Tietosuojalausunnon tai voimassaolevan lain vastaisesti, sinulla on oikeus reklamoida asiasta. Voit myös tehdä valituksen tietosuojavaltuutetun toimistoon, joka valvoo henkilötietojen käsittelyn lainmukaisuutta

Muutokset

Päivitämme Tietosuojalausuntoa tarvittaessa toimintamme ja Palveluidemme kehittymisen myötä. Kehotamme säännöllisesti tarkistamaan uusimman version verkkosivuiltamme.

Yhteystiedot

Henkilötietojen käsittelyyn tai Tietosuojalausuntoon liittyvät kysymykset sekä henkilötietojen käsittelyyn liittyvät reklamaatiot tai oikeuksien käyttämistä koskevat pyynnöt:

Askele Oy
Valtakatu 49-51
53100 LAPPEENRANTA
Y-tunnus 2645207-2
Tietosuojavastaava: security@askele.fi
Asiakaspalvelu: support@askele.fi

Askele Insights Palveluehdot

Päivitämme Palveluehtoja tarvittaessa toimintamme ja Palveluidemme kehittymisen myötä. Uusimman version voit ladata täältä: Askele Oy Palveluehdot