Tietojenkäsittelysopimus (DPA)

Tämä tietojenkäsittelysopimus (DPA) säätelee henkilötietojen käsittelyä Chickitik-palvelun käytön yhteydessä.

Tietoa dokumentista:

Tämä sopimus on olennainen osa käyttöehtojamme ja tietosuojakäytäntöämme. Se määrittelee osapuolten roolit, velvollisuudet ja oikeudet henkilötietojen käsittelyssä.

Sopimuksen osapuolet:

Henkilötietojen käsittelijä:

• ITcoti Oy

• Y-tunnus: 3489603-6

• Osoite: Neuvoksenkatu 24 A, 38700 Kankaanpää, Suomi

• Sähköposti: info@itcoti.fi

Rekisterinpitäjä:

• Sinä, vanhempana tai laillisena huoltajana

• Sinä, täysi-ikäisenä käyttäjänä

Keskeiset määritelmät:

Henkilötiedot - kaikki tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.

Käsittely - mikä tahansa henkilötietoihin kohdistuva toiminto tai toimintosarja (kerääminen, tallentaminen, muuttaminen, käyttö, poistaminen).

Rekisteröity - luonnollinen henkilö, johon henkilötiedot liittyvät (lapsi, vanhempi).

Rekisterinpitäjä - henkilö, joka määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötietojen käsittelijä - henkilö, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.

GDPR - Yleinen tietosuoja-asetus (EU) 2016/679.

COPPA - Yhdysvaltain lasten verkossa tapahtuvaa yksityisyydensuojaa koskeva laki.

Tietoturvaloukkaus - tietoturvaloukkaus, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai pääsyyn.

Tämä sopimus määrittelee henkilötietojen käsittelyn ehdot Chickitik-palvelujen tarjoamisessa.

Tietojenkäsittelyn tarkoitus:

ITcoti Oy käsittelee henkilötietoja rekisterinpitäjän (vanhemman/käyttäjän) puolesta ja ohjeiden mukaan yksinomaan seuraaviin tarkoituksiin:

• Pääsy lastenkirjaston sisältöön

• Sisällön personointi lapsen iän mukaan

• Lukuedistymisen tallentaminen

• Käyttäjäasetusten hallinta

• Tekninen ylläpito ja palvelun parantaminen

• Lakisääteisten velvoitteiden noudattaminen

Käsittelyn laajuus:

Tietojenkäsittely on rajoitettu vähimmäismäärään, joka on tarpeen Chickitik-palvelujen tarjoamiseksi, ja noudattaa GDPR:n tietojen minimoinnin periaatteita.

Käsittelyaika:

Henkilötietoja käsitellään:

• Tilauksesi/tilisi voimassaoloaikana

• Lakisääteisten velvoitteiden noudattamiseen tarvittavan ajan

• Kunnes pyydät tietojen poistamista

Oikeusperuste:

Tietojenkäsittely perustuu:

• Rekisterinpitäjän (vanhemman) suostumukseen

• Sopimuksen täyttämiseen (Käyttöehdot)

• Oikeutettuihin etuihin (turvallisuus, palvelun parantaminen)

• Lakisääteisten velvoitteiden noudattamiseen (GDPR, COPPA)

ITcoti Oy sitoutuu tietojenkäsittelijänä noudattamaan seuraavia ehtoja henkilötietojen käsittelyssä:

1. Käsittely ohjeiden mukaan:

• Käsitellä henkilötietoja vain rekisterinpitäjän dokumentoitujen ohjeiden mukaan

• Ilmoittaa rekisterinpitäjälle välittömästi, jos katsomme, että ohje rikkoo GDPR:ää tai muita tietosuojalakeja

• Ei käyttää henkilötietoja omiin tarkoituksiimme

• Ei käsitellä tietoja sovittujen tarkoitusten ulkopuolella

2. Luottamuksellisuus:

• Varmistaa, että kaikki henkilötietoihin pääsyn omaavat työntekijät ovat allekirjoittaneet salassapitosopimukset

• Järjestää säännöllistä henkilöstön koulutusta tietosuojasta

• Rajoittaa tietojen pääsy vain valtuutetuille työntekijöille "tarvitseeko tietää" -periaatteen mukaan

• Ei paljastaa henkilötietoja kolmansille osapuolille ilman rekisterinpitäjän kirjallista suostumusta

3. Tietoturva:

• Toteuttaa ja ylläpitää asianmukaisia teknisiä ja organisatorisia turvatoimia

• Käyttää tietojen salausta siirron ja tallennuksen aikana

• Päivittää turvajärjestelmiä säännöllisesti

• Suorittaa säännöllisiä riskinarviointeja ja haavoittuvuustestauksia

• Varmistaa suojaus luvattomalta pääsyltä, vuodolta, muuttamiselta tai tuhoamiselta

4. Alakäsittelijät:

• Ei käytä alakäsittelijöitä ilman rekisterinpitäjän ennakkokirjallista suostumusta

• Varmistaa, että alakäsittelijät noudattavat samoja tietosuojavelvoitteita

• Kantaa täyden vastuun rekisterinpitäjälle alakäsittelijöiden toimista

• Ylläpitää ajantasaista luetteloa kaikista alakäsittelijöistä

5. Rekisteröidyn oikeudet:

• Auttaa rekisterinpitäjää rekisteröityjen pyyntöjen toteuttamisessa (pääsy, oikaisu, poisto)

• Vastata pyyntöihin 48 tunnin kuluessa

• Toimittaa tarpeellinen tieto ja dokumentaatio

• Toteuttaa teknisiä toimenpiteitä rekisteröidyn oikeuksien käyttämisen helpottamiseksi

6. Ilmoitus loukkauksista:

• Ilmoittaa rekisterinpitäjälle tietoturvaloukkauksesta viipymättä, viimeistään 72 tunnin kuluessa

• Toimittaa täydellinen tieto loukkauksen luonteesta, kosketetuista tiedoista ja mahdollisista seurauksista

• Ryhtyä välittömiin toimenpiteisiin loukkauksen korjaamiseksi ja vahingon minimoimiseksi

• Tehdä yhteistyötä rekisterinpitäjän kanssa loukkauksen tutkimisessa ja siihen vastaamisessa

7. Tietojen poisto tai palautus:

• Palvelujen päätyttyä poistaa tai palauttaa kaikki henkilötiedot rekisterinpitäjälle

• Poistaa kaikki olemassa olevat kopiot tiedoista, ellei rekisterinpitäjä vaadi muuta

• Toimittaa kirjallinen vahvistus tietojen poistosta

• Suorittaa poisto 30 päivän kuluessa sopimuksen päättymisestä

8. Auditointi ja yhteistyö:

• Toimittaa kaikki tiedot, jotka ovat tarpeen velvoitteiden noudattamisen osoittamiseksi

• Sallia ja helpottaa auditointeja ja tarkastuksia

• Tehdä yhteistyötä valvontaviranomaisten kanssa

• Ylläpitää dokumentaatiota kaikista tietojenkäsittelytoimista

Sinä, rekisterinpitäjänä (vanhempi tai käyttäjä), sitoudut:

1. Suostumuksen antaminen:

• Hankkia ja antaa tarpeellinen suostumus henkilötietojen käsittelyyn

• Varmistaa, että suostumus on saatu laillisesti ja GDPR:n mukaisesti

• Lasten tietojen osalta: antaa vanhempien suostumus COPPA:n ja GDPR:n artiklan 8 mukaisesti

• Oikeus antaa suostumus lapsen puolesta

2. Tietojen tarkkuus:

• Varmistaa annettujen henkilötietojen tarkkuus ja ajantasaisuus

• Päivittää tiedot viipymättä muutosten tapahtuessa

• Ilmoittaa käsittelijälle tietojen epätarkkuuksista

• Tarkistaa tiedot ennen niiden antamista

3. Ohjeiden laillisuus:

• Antaa käsittelijälle vain laillisia ohjeita tietojenkäsittelyyn

• Varmistaa, että ohjeet noudattavat sovellettavia tietosuojalakeja

• Ei vaatia käsittelijältä GDPR:ää tai muita lakeja rikkovia toimia

• Dokumentoida kaikki tietojenkäsittelyohjeet

4. Rekisteröidyn oikeudet:

• Ymmärtää ja käyttää rekisteröidyn oikeuksia (omia ja lapsen)

• Pyytää pääsyä, oikaisua tai tietojen poistoa ajoissa

• Käyttää tarjottuja mekanismeja oikeuksien toteuttamiseen

• Informoida lasta hänen oikeuksistaan (ikätasoisesti)

5. Tilin turvallisuus:

• Varmistaa sähköpostitilin pääsyn turvallisuus

• Ei jakaa tilin pääsyä kolmansille osapuolille

• Ilmoittaa välittömästi luvattomasta pääsystä

• Käyttää turvallisia todennusmenetelmiä

6. Lasten valvonta:

• Valvoa lasten palvelun käyttöä

• Hallita, mitä tietoja lapset antavat

• Tarkistaa säännöllisesti lasten toiminta sovelluksessa

• Opettaa lapsia turvalliseen verkossa toimimiseen

7. Käyttöehtojen noudattaminen:

• Noudattaa kaikkia Chickitik-palvelun käyttöehtoja

• Käyttää palvelua vain sallittuihin tarkoituksiin

• Ei loukata immateriaalioikeuksia

• Ei väärinkäyttää palvelun toiminnallisuutta

8. Yhteistyö:

• Tehdä yhteistyötä käsittelijän kanssa tietosuoja-asioissa

• Vastata käsittelijän pyyntöihin kohtuullisessa ajassa

• Toimittaa tarpeellinen tieto velvoitteiden täyttämiseksi

• Informoida käsittelijää tietoihin liittyvistä ongelmista

Chickitik-palvelujen tarjoamisessa käsitellään seuraavia henkilötietoryhmiä:

1. Vanhemman tiedot (rekisterinpitäjä):

Tunnistustiedot:

• Sähköpostiosoite (todennusta ja viestintää varten)

• Nimi (valinnainen, personointia varten)

Tekniset tiedot:

• IP-osoite

• Laitetyyppi ja käyttöjärjestelmä

• Selaimen versio

• Evästeet ja istuntotunnisteet

• Käyttöliittymän kieli

2. Lapsen tiedot:

Vähimmäistunnistustiedot:

• Lapsen nimi (personointia varten)

• Syntymäaika (ikäkohtaista sisältösuodatusta varten)

Palvelun käyttötiedot:

• Luettujen kirjojen historia

• Lukuedistyminen

• Mieltymykset (suosikkikirjat)

• Käyttöliittymän asetukset (fonttikoko, kirkkaus)

Tärkeää: Emme kerää seuraavia lapsen tietoja:

• Valokuvia

• Tarkkaa sijaintia

• Lapsen yhteystietoja

• Sosiaalisia yhteyksiä

• Biometrisiä tietoja

• Koulutietoja

3. Sovelluksen käyttötiedot:

• Käyttöaika

• Käytetyt toiminnot

• Virheet ja kaatumiset (teknistä tukea varten)

• Arvostelut ja arviot (valinnainen)

4. Maksutiedot (tulevaisuudessa):

• Tiedot käsitellään maksuprosessorin toimesta

• Emme tallenna täydellisiä maksukorttitietoja

• Tallennetaan vain tilaustiedot ja kuitit

Tietojen määrä:

Kaikki kerätyt tiedot on rajoitettu tiukasti vähimmäismäärään, joka on tarpeen palvelun toiminnalle GDPR:n tietojen minimoinnin periaatteen mukaisesti.

Henkilötietoja käsitellään vain seuraaviin laillisiin ja rajattuihin tarkoituksiin:

1. Ydinpalvelun tarjoaminen:

• Tilin luominen ja hallinta

• Käyttäjän todennus

• Pääsy lastenkirjastoon

• Ääsisatujen toisto

• Kuvitusten näyttäminen

2. Sisällön personointi:

• Kirjojen suodatus lapsen iän mukaan

• Sopivan sisällön suositukset

• Käyttäjän mieltymysten tallentaminen

• Käyttöliittymän mukauttaminen perheen tarpeisiin

3. Edistymisen tallentaminen:

• Lukupaikan muistaminen

• Luettujen kirjojen historia

• Valmistuneiden satujen seuranta

• Synkronointi laitteiden välillä

4. Palvelun parantaminen:

• Ominaisuuksien käytön analysointi (ilman tunnistamista)

• Virheiden tunnistaminen ja korjaaminen

• Suorituskyvyn optimointi

• Uusien ominaisuuksien kehittäminen palautteen perusteella

5. Viestintä:

• Kirjautumiskoodien lähettäminen

• Tärkeät palveluilmoitukset

• Vastaaminen tukipyyntöihin

• Käytäntömuutosten ilmoitukset (pakolliset)

6. Turvallisuus:

• Suojaus petoksia ja väärinkäytöksiä vastaan

• Luvattoman pääsyn estäminen

• Epäilyttävän toiminnan havaitseminen

• Lasten verkkoturvallisuuden varmistaminen

7. Lakien noudattaminen:

• Lakisääteisten velvoitteiden täyttäminen

• GDPR:n, COPPA:n ja muiden lakien noudattaminen

• Vastaaminen viranomaisten laillisiin pyyntöihin

• Käyttäjien oikeuksien ja turvallisuuden suojaaminen

8. Maksujen käsittely (tulevaisuudessa):

• Tilausten hallinta

• Maksujen käsittely kolmansien osapuolten kautta

• Laskutus ja kuitit

• Palautusten hallinta

Tärkeää:

• Emme käytä tietoja kohdennettuun mainontaan

• Emme myy tietoja kolmansille osapuolille

• Emme luo profiileja markkinointiin

• Kaikki tarkoitukset on rajoitettu tiukasti lapsille tarkoitetun koulutussisällön tarjoamiseen

Tämä sopimus kattaa seuraavat rekisteröityjen kategoriat:

1. Vanhemmat ja lailliset huoltajat:

Rooli: Rekisterinpitäjät

Ikä: 18 vuotta ja vanhemmat

Oikeudet:

• Täysi hallinta omiin tietoihinsa

• Hallinta lasten tietoihin

• Oikeus tietoon

• Oikeus päästä tietoihin

• Oikeus tietojen oikaisuun

• Oikeus tietojen poistoon

• Oikeus käsittelyn rajoittamiseen

• Oikeus tietojen siirrettävyyteen

• Oikeus vastustaa

• Oikeus peruuttaa suostumus milloin tahansa

2. Lapset - palvelun käyttäjät:

Ikä: 2-16 vuotta

Erityissuoja:

• Tehostettu suoja GDPR:n artiklan 8 ja COPPA:n mukaisesti

• Käsittely vain vanhempien suostumuksella

• Minimaalinen tietojen keruu

• Ei profilointia

• Ei kohdennettua mainontaa

• Erityinen luottamuksellisuus

Lasten oikeudet (toteutetaan vanhempien kautta):

• Oikeus tietoon (ymmärrettävässä muodossa)

• Oikeus päästä omiin tietoihinsa

• Oikeus tietojen oikaisuun

• Oikeus poistoon ("oikeus tulla unohdetuksi")

• Oikeus käsittelyn rajoittamiseen

• Oikeus tietojen siirrettävyyteen

3. Täysi-ikäiset käyttäjät ilman lapsia:

Rooli: Rekisterinpitäjät

Ikä: 18 vuotta ja vanhemmat

Käyttö: Henkilökohtainen palvelun käyttö lukemiseen

Oikeudet: Täydet rekisteröidyn oikeudet GDPR:n mukaisesti

Rekisteröityjen vastuut:

Kaikki rekisteröidyt (vanhemmat) ovat vastuussa:

• Annettujen tietojen tarkkuudesta

• Tilinsä turvallisuudesta

• Käyttöehtojen noudattamisesta

• Toimintojensa laillisuudesta palvelussa

• Lasten palvelun käytön valvonnasta

ITcoti Oy on toteuttanut seuraavat tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi:

A. Tekniset turvatoimet:

1. Tietojen salaus:

• HTTPS/TLS kaikille tiedonsiirroille

• Tietojen salaus levossa

• Päästä päähän -salaus arkaluonteisille tiedoille

• Nykyaikaiset salausalgoritmi

2. Pääsynhallinta:

• Sähköpostipohjainen todennus kertakäyttöisillä koodeilla

• Tiukka tietojen pääsyn segmentointi

• Vähimpien oikeuksien periaate

• Passiivisten istuntojen automaattinen päättäminen

3. Infrastruktuurin suojaus:

• Säännölliset turvapäivitykset

• Reaaliaikainen järjestelmän valvonta

• DDoS-hyökkäysten suojaus

• Palomuurit ja IDS/IPS

4. Turvallinen kehitys:

• Koodin haavoittuvuuksien skannaus

• Turvallisuustestaus

• Salaisuuksien ja avainten turvallinen tallennus

• Säännölliset tietoturvatarkastukset

5. Varmuuskopiointi:

• Automaattinen tietojen varmuuskopiointi

• Salatut varmuuskopiot

• Maantieteellisesti hajautettu tallennus

• Säännöllinen palautuksen testaus

B. Organisatoriset toimet:

1. Tietoturvapolitiikat:

• Dokumentoitu tietosuojakäytäntö

• Tapausten käsittelymenettelyt

• Katastrofipalautussuunnitelma

• Säännöllinen käytäntöjen tarkistus

2. Henkilöstön koulutus:

• Pakollinen GDPR- ja COPPA-koulutus

• Säännölliset turvallisuuskoulutukset

• Tietoisuus tietojenkalastelusta ja sosiaalisesta manipuloinnista

• Lasten tietojen käsittelyn koulutus

3. Salassapitosopimukset:

• Kaikki työntekijät allekirjoittavat salassapitosopimukset

• Tiukat salassapitovelvoitteet

• Seuraukset rikkomuksista

4. Pääsyn rajoitus:

• Pääsy vain valtuutetulle henkilöstölle

• Kaikkien tietojen käyttökertojen lokitus

• Säännöllinen käyttöoikeuksien tarkistus

• Välitön pääsyn peruutus irtisanomisen yhteydessä

C. Fyysinen turvallisuus:

• Suojatut datakeskukset pääsynhallinnalla

• Videovalvonta

• Ympäristön valvonta (lämpötila, kosteus)

• Varavirtalähde

D. Valvonta ja auditointi:

• Jatkuva turvallisuuden valvonta

• Kaikkien tietotoimintojen lokitus

• Säännölliset sisäiset tarkastukset

• Määräaikaiset ulkoiset turvallisuusarvioinnit

E. Tapausten hallinta:

• Tapausten havaitsemismenettelyt

• Tapausten vastaamissuunnitelma

• Tapausten vastaustiimi

• Tapausten dokumentointi ja analyysi

Standardien noudattaminen:

Turvatoimemme täyttävät tai ylittävät vaatimukset:

• GDPR artikla 32 (Käsittelyn turvallisuus)

• ISO/IEC 27001 (Tietoturvan hallinta)

• COPPA (Lasten tietosuojavaatimukset)

• OWASP Top 10 (Verkkosovellusten turvallisuus)

ITcoti Oy voi käyttää alakäsittelijöitä Chickitik-palvelujen tarjoamisessa.

Nykyiset alakäsittelijät:

1. Hosting-palveluntarjoaja:

• Palveluntarjoaja: THE.Hosting

• Sijainti: Alankomaat (Euroopan unioni)

• Palvelut: Virtuaalipalvelimen vuokraus (VPS)

• Takuut: GDPR-vaatimustenmukaisuus, palvelimet sijaitsevat EU:ssa

Huomautus: Tietokanta, verkkosivusto ja sähköpostipalvelin ovat ITcoti Oy:n itsenäisesti hallinnoimia vuokratulla virtuaalipalvelimella. THE.Hosting tarjoaa vain infrastruktuurin (virtuaalipalvelimen) eikä sillä ole pääsyä tietoihin.

2. Maksujärjestelmä (tulevaisuus):

• Palveluntarjoaja: [Määritellään]

• Sijainti: EU/ETA

• Palvelut: Maksujen käsittely, tilausten hallinta

• Takuut: PCI DSS Level 1, GDPR-vaatimustenmukaisuus

Alakäsittelijöiden hallinta:

Ennakkosuostumus:

• Saamme yleisen suostumuksen alakäsittelijöiden käyttöön tämän sopimuksen kautta

• Pidämme yllä ajantasaista luetteloa kaikista alakäsittelijöistä

• Luettelo saatavilla pyynnöstä osoitteesta info@itcoti.fi

Muutosilmoitus:

• Ilmoitus 30 päivää ennen uuden alakäsittelijän lisäämistä

• Ilmoitus sähköpostilla rekisteröityyn osoitteeseen

• Oikeus vastustaa uutta alakäsittelijää

Alakäsittelijöiden velvollisuudet:

Kaikkien alakäsittelijöiden on:

• Noudatettava samoja tietosuojavelvoitteita kuin ITcoti Oy

• Käsiteltävä tietoja vain ohjeidemme mukaan

• Toteutettava asianmukaiset tekniset ja organisatoriset toimet

• Tarjottava takuut GDPR-vaatimustenmukaisuudesta

• Ei siirtää tietoja muille kolmansille osapuolille ilman suostumusta

Vastuu:

ITcoti Oy kantaa täyden vastuun sinulle alakäsittelijöiden toimista kuten omista toimistaan.

Oikeus vastustaa:

Jos vastustat tietyn alakäsittelijän käyttöä:

• Ilmoita meille 30 päivän kuluessa ilmoituksen saamisesta

• Harkitsemme vaihtoehtoisia vaihtoehtoja

• Jos vaihtoehdot ovat mahdottomia, voit lopettaa palvelun käytön

• Autamme tietojesi viennissä

Tärkeää: ITcoti Oy hallinnoi itsenäisesti kaikkia tietoja omalla virtuaalipalvelimellaan, minimoiden kolmansien osapuolten pääsyn henkilötietoihin.

ITcoti Oy auttaa rekisterinpitäjiä rekisteröityjen oikeuksien täyttämisessä GDPR:n mukaisesti:

1. Oikeus tietoon (artikla 13-14 GDPR):

• Läpinäkyvä tieto siitä, miten käsittelemme tietoja

• Saatavilla tietosuojakäytännöissämme

• Lapsille sopivalla kielellä (soveltuvin osin)

2. Oikeus päästä tietoihin (artikla 15 GDPR):

Mitä voit saada:

• Vahvistus tietojesi käsittelystä

• Kopio kaikista henkilötiedoistasi

• Tieto käsittelyn tarkoituksista

• Käsiteltyjen tietojen kategoriat

• Tietojen vastaanottajat

• Säilytysajat

Kuinka pyytää: Lähetä sähköposti osoitteeseen info@itcoti.fi aiheella "Data Access Request"

Vastausaika: 30 päivää (voidaan pidentää 90 päivään)

3. Oikeus oikaisuun (artikla 16 GDPR):

• Epätarkkojen tietojen korjaus

• Puutteellisten tietojen täydentäminen

• Tiliasetusten kautta tai sähköpostipyynnöllä

4. Oikeus poistoon / "Oikeus tulla unohdetuksi" (artikla 17 GDPR):

Milloin sovellettavissa:

• Tiedot eivät enää tarpeen käsittelytarkoituksiin

• Peruutat suostumuksen

• Laiton tietojen käsittely

• Lakisääteinen velvoite poistaa

Poikkeukset:

• Kun käsittely tarpeen lakisääteisten velvoitteiden noudattamiseksi

• Oikeudellisten vaatimusten puolustamiseksi

Kuinka pyytää: Sähköposti info@itcoti.fi aiheella "Data Deletion Request"

5. Oikeus käsittelyn rajoittamiseen (artikla 18 GDPR):

Milloin sovellettavissa:

• Kiistät tietojen oikeellisuuden

• Käsittely on laitonta, mutta et halua poistoa

• Tiedot tarpeen oikeudellisiin vaatimuksiin

• Olet vastustanut käsittelyä

6. Oikeus tietojen siirrettävyyteen (artikla 20 GDPR):

• Saa tiedot strukturoidussa, koneluettavassa muodossa (JSON)

• Siirrä tiedot toiselle rekisterinpitäjälle

• Koskee suostumuksen perusteella annettuja tietoja

7. Oikeus vastustaa (artikla 21 GDPR):

• Vastustaa oikeutettuihin etuihin perustuvaa käsittelyä

• Vastustaa profilointia (emme profiloi)

• Vastustaa suoramarkkinointia (emme tee)

8. Oikeus olla joutumatta automaattisen päätöksenteon kohteeksi (artikla 22 GDPR):

• Emme käytä automatisoitua päätöksentekoa

• Emme luo käyttäjäprofiileja

Kuinka käyttää oikeuksia:

Sähköposti: info@itcoti.fi

Aihe:

• "Data Access Request" - pääsy tietoihin

• "Data Rectification Request" - oikaisu

• "Data Deletion Request" - poisto

• "Data Portability Request" - siirrettävyys

• "Data Processing Objection" - vastustaminen

Mitä sisällyttää pyyntöön:

• Nimesi ja rekisteröity sähköposti

• Pyyntösi kuvaus

• Tietty oikeus, jonka haluat käyttää

Vahvistus:

Tietojen suojaamiseksi saatamme pyytää henkilöllisyyden vahvistusta ennen pyynnön täyttämistä.

Aikarajat:

• Vastaus 30 päivän kuluessa

• Pidennys 90 päivään monimutkaisissa tapauksissa (ilmoituksella)

• Ilmainen ensimmäiselle pyynnölle

ITcoti Oy:n apu:

Sitoudumme auttamaan näiden oikeuksien käyttämisessä:

• Tarjota tarvittavat työkalut

• Vastata pyyntöihin määräaikojen sisällä

• Toimittaa tiedot käteväss muodossa

• Selittää rajoitukset tai kieltäytymiset

ITcoti Oy sitoutuu ilmoittamaan tietoturvaloukkaukista GDPR:n artiklojen 33-34 mukaisesti.

Mikä on rikkomus:

• Luvaton pääsy tietoihin

• Vahingossa tai laittomasti tapahtunut tietojen menetys

• Tietojen muuttaminen, paljastaminen tai tuhoaminen

• Mikä tahansa tietoturvaa uhkaava tapaus

Ilmoitusmenettely:

1. Havaitseminen ja arviointi (välittömästi):

• Järjestelmien valvonta rikkomusten varalta

• Välitön tapauksen vakavuuden arviointi

• Vaikutuksen alaisten tietojen ja käyttäjien tunnistaminen

• Riskiarvio rekisteröityjen oikeuksille

2. Valvontaviranomaisen ilmoitus (72 tunnin kuluessa):

Kenelle: Finnish Data Protection Ombudsman

Määräaika: Viimeistään 72 tuntia havaitsemisesta

Sisältö: Rikkomuksen kuvaus, vaikutuksen alaiset tiedot, seuraukset, toimenpiteet

3. Rekisterinpitäjän ilmoitus:

• Sähköposti vanhemmille/käyttäjille

• Tapauksen kuvaus selkeällä kielellä

• Suojaussuositukset

4. Dokumentointi:

• Sisäinen rikkomusrekisteri

• Saatavilla valvontaviranomaisille pyynnöstä

Yhteystieto: info@itcoti.fi aiheella "Security Breach Report"

Tietojen tallennuspolitiikka:

ITcoti Oy pyrkii tallentamaan kaikki tiedot Euroopan unionin/Euroopan talousalueen (EU/ETA) sisällä.

Nykyinen tila:

• Kaikki palvelimet ja tietokannat sijaitsevat EU/ETA:ssa

• Varmuuskopiot tallennetaan EU/ETA:aan

• Tietojen käsittely tapahtuu EU/ETA:ssa

Jos siirto EU/ETA:n ulkopuolelle vaaditaan:

1. Oikeudelliset perusteet:

• GDPR artikla 44-50 (Siirtosäännöt)

• Riittävyyttä koskevat päätökset (artikla 45)

• Vakiosopimuslausekkeet (artikla 46)

• Sitovat yrityssäännöt (artikla 47)

2. Suojatakuut:

• Vakiosopimuslausekkeiden käyttö (SCCs)

• Ylimääräiset turvatoimet

• Kohdemaan lainsäädännön arviointi

• Tietojen salaus siirrossa

3. Ilmoitus:

• Ilmoitamme kaikista tarpeista siirtää tietoja EU/ETA:n ulkopuolelle

• Hankimme nimenomaisen suostumuksesi (erityisesti lasten tiedoille)

• Annamme tietoa suojatakuista

Maat, joilla on riittävyyttä koskeva päätös (GDPR artikla 45):

Siirto näihin maihin sallittu ilman lisätakuita:

• Andorra, Argentiina, Kanada (kaupallinen), Färsaaret

• Guernsey, Israel, Mansaari, Japani, Jersey

• Uusi-Seelanti, Korean tasavalta, Sveitsi, Yhdistynyt kuningaskunta

• Uruguay, USA (EU-US Data Privacy Framework -sopimuksen mukaan)

Tärkeää lasten tiedoille:

Sovellämme tiukempia vaatimuksia lasten tietojen kansainvälisiin siirtoihin:

• Pakollinen vanhempien suostumus

• Ylimääräiset tekniset suojatoimet

• Tiukat sopimusvelvoitteet vastaanottajalle

• Säännöllinen vaatimustenmukaisuuden valvonta

Sitoutumisemme:

Minimoimme kansainväliset siirrot ja pyrimme käsittelemään kaikki tiedot paikallisesti EU/ETA:ssa.

Rekisterinpitäjällä on oikeus tarkistaa ITcoti Oy:n tietosuojavelvoitteiden noudattaminen.

Oikeus auditointiin:

• Sähköposti info@itcoti.fi aiheella "Audit Request"

• Ennakkoilmoitus vähintään 14 päivää

Mitä toimitetaan:

• Turvatoimien dokumentaatio

• Tietojenkäsittelyn politiikat

• Alakäsittelijöiden tiedot

• Vaatimustenmukaisuustodistukset

Kustannukset: Ensimmäinen auditointi vuodessa - ilmainen

Voimassaolo:

Tämä sopimus tulee voimaan Chickitik-palvelujen käytön alkaessa ja pysyy voimassa päättymiseen asti.

Päättyminen:

1. Käyttäjän aloittama päättyminen:

• Tilin poisto asetusten kautta

• Sähköpostipyyntö osoitteeseen info@itcoti.fi

• Voimaan välittömästi

2. ITcoti Oy:n aloittama päättyminen:

• Palvelun lopettamisen yhteydessä

• Käyttöehtojen rikkomisen yhteydessä

• 30 päivän irtisanomisajalla

Päättymisen seuraukset:

A. ITcoti Oy:n velvollisuudet:

• Lopettaa henkilötietojen käsittely

• Poistaa tai palauttaa kaikki tiedot (rekisterinpitäjän valinta)

• Poistaa olemassa olevat kopiot (ellei laki vaadi säilytystä)

• Aikaväli: 30 päivää päättymisen jälkeen

B. Tietojen palautus/poisto:

• Tietojen vienti JSON-muodossa saatavilla ennen poistoa

• Vientijakso: 30 päivää

• Palautus mahdotonta poiston jälkeen

C. Poikkeukset:

Tietoja voidaan säilyttää, jos:

• Laki vaatii (esim. veroraportointi)

• Tarpeen oikeudellisten vaatimusten puolustamiseksi

• Käyttäjän suostumuksella

Ilmoitukset:

Kaikki ilmoitukset lähetetään rekisteröityyn sähköpostiosoitteeseen.

Yhteystieto: info@itcoti.fi

Kaikissa henkilötietojen käsittelyyn liittyvissä kysymyksissä, ota yhteyttä:

Yritys:

• Nimi: ITcoti Oy

• Y-tunnus: 3489603-6

• Osoite: Neuvoksenkatu 24 A, 38700 Kankaanpää, Suomi

• Puhelin: +358 40 258 2158

• Sähköposti: info@itcoti.fi

Tietosuojayhteys:

• Sähköposti: info@itcoti.fi

• Sähköpostin aihe: "Data Protection Inquiry"

Vastausaika: 2-3 arkipäivää

Pyyntötyypit:

• Tietojen pääsy: "Data Access Request"

• Tietojen poisto: "Data Deletion Request"

• Tietojen oikaisu: "Data Rectification Request"

• Tietojen siirrettävyys: "Data Portability Request"

• Käsittelyn vastustaminen: "Data Processing Objection"

• Auditointi: "Audit Request"

• Tietoturvaloukkaus: "Security Breach Report"

• Yleiset kysymykset: "Data Protection Inquiry"

Valvontaviranomainen:

Tietosuojavaltuutettu

• Verkkosivusto: https://tietosuoja.fi/

• Sähköposti: tietosuoja@om.fi

• Osoite: PL 800, FI-00521 Helsinki, Suomi

Aukioloajat:

• Maanantai - Perjantai: 9:00 - 17:00 (EET/EEST)

• Lauantai - Sunnuntai: Suljettu

Tärkeää: Sisällytä aina rekisteröity sähköpostisi ja kysymyksen syy nopeaa ratkaisua varten.