CSIT Finland Oy:n rekisteri- ja tietosuojaseloste

Tämä on CSIT Finland Oy:n EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste. Laadittu 01.06.2020. Viimeisin muutos 10.09.2024

 

Rekisterinpitäjä

Rekisterinpitäjänä toimii CSIT Finland Oy.

Rekisterinpitäjän yhteystiedot

CSIT Finland Oy
Lapinlahdenkatu 16, 00180 Helsinki

Puhelin +358 50 589 2987
Sähköposti info(at)csit.fi

Y-tunnus 2799363-9

Rekisteristä vastaava yhteyshenkilö

Tietosuojavastaava Outi Nieminen

outi.nieminen(at)csit.fi,

+358 40 527 9791

 

Rekisterin nimi

Henkilötietoja tallennetaan käyttötarkoituksestaan riippuen eri rekistereihin. Näitä ovat CSIT Finland Oy:n asiakasrekisteri, markkinointirekisteri, rekrytointirekisteri ja työntekijärekisteri.

 

Henkilötietojen käsittelyn tarkoitus

Rekrytointirekisteri

Henkilörekisteriin tallennetaan CSIT Finland Oy:n työnhakuprosessiin liittyviä henkilötietoja, esimerkiksi hakijan nimi, yhteystiedot, koulutustausta, työhistoria ja toiveet työtehtävään liittyen.

CSIT Finland Oy voi teettää työnhakijasta taustaselvityksiä työnhakijan erikseen antamalla suostumuksella, mikäli taustaselvitysten teettämiselle on peruste tehtävän hoitamisen kannalta. Tällaisia tehtäviä ovat mm. valtionhallinnon ja julkishallinnon asiakkaisiin ja muihin erityisen tietoturvallisuuden tai rahaliikenteen hoitoon liittyvät työtehtävät.

CSIT Finland Oy saattaa teettää hakijan erillisellä suostumuksella hakijasta soveltuvuusarvioinnin, mikäli sille on perusteet täytettävän tehtävän kannalta. Soveltuvuusarvioinnin suorittaa aina sertifioitu ja luotettava toimija.

Lähettämällä työhakemuksen tai avoimen hakemuksen CSIT:lle, hakija suostuu siihen, että CSIT Finland Oy käsittelee häneen liittyviä henkilötietoja tämän tietosuojaselosteen mukaisesti.

Työntekijärekisteri

Henkilörekisteriin tallennetaan CSIT Finland Oy:n työntekoon, palkanmaksuun ja viranomaisraportointiin sekä henkilöstöhallintoon liittyviä henkilötietoja, esimerkiksi työsopimustiedot, henkilön nimi, henkilötunnus, palkkatiedot, pankkitiedot, yhteystiedot, koulutustausta, kouluttautuminen, työhistoria, kehityskeskustelut ja toiveet työtehtävään liittyen.

CSIT Finland Oy voi teettää työntekijöistä taustaselvityksiä ja turvallisuusselvityksiä työntekijänhakijan erikseen antamalla suostumuksella, mikäli taustaselvitysten ja turvallisuusselvitysten teettämiselle on peruste tehtävän hoitamisen kannalta. Tällaisia tehtäviä ovat mm. valtionhallinnon ja julkishallinnon asiakkaisiin ja muihin erityisen tietoturvallisuuden tai rahaliikenteen hoitoon liittyvät työtehtävät.

Allekirjoittamalla työsopimuksen työntekijä suostuu siihen, että CSIT Finland Oy käsittelee häneen liittyviä henkilötietoja rekisterinpitäjän lakisääteisten ja muiden työnantajan velvoitteiden hoitamiseksi tämän tietosuojaselosteen mukaisesti.

Asiakasrekisteri

Henkilörekisteriin tallennetaan CSIT Finland Oy:n asiakkuuteen ja asiakaspalveluun liittyviä henkilötietoja, esimerkiksi henkilön nimi, yhteystiedot, titteli ja työtehtävä.

Hyväksymällä toimitus- ja/tai palvelusopimuksen asiakasyritys hyväksyy ja varmistaa, että sen asiakkuuteen liittyvät työntekijät suostuvat siihen, että CSIT Finland Oy käsittelee asiakkuuteen työtehtäviensä kautta liittyvien työntekijöiden henkilötietoja asiakkuuteen liittyvien velvoitteiden ja palveluiden hoitamiseksi tämän tietosuojaselosteen mukaisesti.

Markkinointirekisteri

Henkilörekisteriin tallennetaan CSIT Finland Oy:n potentiaaliseen asiakkuuteen liittyviä henkilötietoja, esimerkiksi henkilön nimi, yhteystiedot, titteli ja työtehtävä. Tietoja käytetään pääasiassa puhelinmyynnin ja sähköisen suoramarkkinoinnin apuna.

Erityistä suostumusta sähköiseen suoramarkkinointiin ei pyydetä, sillä suoramarkkinoinnin vastaanottajat ovat henkilöitä, jotka työskentelevät yrityksessä sellaisissa tehtävissä, joihin suoramarkkinoinnilla tarjottavat palvelut tai hyödykkeet olennaisesti liittyvät, eli puhelinmyyntiä tai suoramarkkinointia kohdistetaan henkilön asemavaltuuden nojalla.

Myös tässä tapauksessa sinulla on oikeus kieltää sähköinen suoramarkkinointi olemalla yhteydessä rekisterinpitäjään.

 

Rekisterin tietosuojasisältö

Työnhakijat:

  • Perustietoja, kuten nimitiedot, kotiosoite, syntymäaika, sähköpostiosoite, puhelinnumero, LinkedIn-profiilin osoite.
  • Taustatietoja, kuten työkokemus, koulutustausta, ammattipätevyydet, kieli- ja IT-taidot, harrastukset sekä muut kurssit ja mahdolliset luottamustoimet ja -tehtävät.
  • Työhakemusta koskevia tietoja, kuten työnhakustatus, kiinnostus erityyppisiin työtehtäviin, aiempi työskentely CSIT:llä, toivottu työsuhdemuoto ja työaika, toivottu työskentelypaikkakunta, palkkatoive sekä suosittelijat.
  • Työhakemuksen liitetiedostot, esimerkiksi avoin työhakemus ja ansioluettelo. Lisäksi tallennetaan mahdolliset taustaselvitykset ja soveltuvuusarvioinnit.

Työntekijät:

  • Perustietoja, kuten nimitiedot, kotiosoite, syntymäaika, henkilökohtainen ja työsähköpostiosoite, puhelinnumero, LinkedIn-profiilin osoite.
  • Työnantajan velvoitteisiin, palkanmaksuun, henkilöstöhallintoon ja tietoturvallisuuteen liittyviä tietoja, kuten henkilötunnus, pankkiyhteystiedot, työsopimustiedot, palkkatiedot, provisiolaskelmat, kulu- ja matkalaskut, lääkärintodistukset, työaikakirjanpito, koulutustiedot, osaamisalueet, kehityskeskustelut, henkilökohtaiset tavoitteet ja niiden toteutuminen, henkilökortin numero, kodin IP-osoite, kulkutunnisteen tiedot ja kulkutunnisteen käyttötiedot
  • Taustatietoja, kuten työkokemus, koulutustausta, ammattipätevyydet, kieli- ja IT-taidot, harrastukset sekä muut kurssit ja mahdolliset luottamustoimet ja -tehtävät.
  • Työhakemuksen liitetiedostot, esimerkiksi avoin työhakemus ja ansioluettelo.
  • Mahdolliset tausta- ja turvallisuusselvitykset sekä soveltuvuusarvioinnit.

Asiakkaat:

  • Perustietoja, kuten nimitiedot, yhteystiedot ja titteli
  • Työtehtäviin liittyen roolista riippuen tietoja, kuten työtehtävä/rooli, vastuualue, kiinnostuksen kohteet ja osaamisalueet
  • Asiakkuuteen liittyvässä viestinnässä asiakkaan työtehtävään liittyvät hänen itsensä mahdollisesti antamat tiedot

Potentiaalit asiakkaat (markkinointirekisteri):

  • Perustietoja, kuten nimitiedot, yhteystiedot ja titteli
  • Työtehtäviin liittyen roolista riippuen tietoja, kuten työtehtävä/rooli, vastuualue, kiinnostuksen kohteet ja osaamisalueet
  • Asiakkuuteen tähtäävässä viestinnässä asiakkaan työtehtävään liittyvät hänen itsensä mahdollisesti antamat tiedot

 

Henkilötietojen säilytysaika

Tietoja säilytetään siinä laajuudessa, kuin on tarkoituksenmukaista kuhunkin eri rekisteriin liittyvien prosessien toteuttamisen kannalta.

Lähtökohtaisesti tietoja säilytetään rekisterikohtaisten prosessien päättymisen jälkeen 12 kuukautta, ellei henkilö itse anna lupaa pidennettyyn säilyttämiseen, tai ellei työnantajan velvoitteet tai muut lakisääteiset velvoitteet muuta määrää.

Edellisestä poikkeavia rekisterikohtaisia säilytyksiä:

Työnhakijat:

Työnhakijan avoimella hakemuksella luovuttamia tietoja säilytetään kaksitoista (12) kuukautta, jonka jälkeen henkilötiedot poistetaan järjestelmistä, ellei työnhakija itse anna lupaa jatkaa säilyttämistä uuden kahdentoista kuukauden jakson verran. Hakijan erikseen toivoessa, tiedot voidaan poistaa myös tätä ennen. Johonkin tiettyyn tehtävään osoitetut hakemukset henkilötietoineen poistetaan järjestelmistä välittömästi rekrytointiprosessin päätyttyä, kuitenkin viimeistään kuuden kuukauden kuluessa hakuajan päättymisestä, ellei työnhakija itse anna lupaa säilyttää tietoja 12 kuukauden ajan.

Työntekijät:

Perusperiaatteena on, että työntekijän tiedot poistetaan heti, kun niiden säilyttämiselle ei ole enää perustetta.

Kansalliseen lainsäädäntöön liittyen työnantajan velvollisuutena on työntekijän tietoja säilytettävä eri laeissa ja asetuksissa määriteltyjä aikoja, kuten esimerkiksi:

  • Työsopimuslaki, jonka mukaan työnantajalla on velvollisuus antaa työtodistus vielä 10 vuoden ajan työsuhteen päättymisen jälkeenkin
  • Työaikalaki, jonka perusteella työnantajan on säilytettävä 2 kalenterivuoden ajan työsuhteen päättymisen jälkeisen vuodenvaihteen jälkeen
  • Oma-aloitteisten verojen verotusmenettelystä määrätty asetus, joka vaatii laatimaan osana palkkakirjanpitoa palkkakortin, palkkalistan ja palkkasuoritusten yhdistelmän vielä 6 vuoden ajan työsuhteen päättymisen jälkeenkin
  • Tulotietojärjestelmälaki, jonka mukaan yrityksellä on tiedoille 10 vuoden takautuva korjausvelvollisuus
  • Kirjanpitolaki, jonka mukaan tositteita on säilytettävä vähintään 6 vuoden ajan ja kirjanpidolle, esimerkiksi palkkalistalle, asetetaan 10 vuoden säilytysaika

Asiakkaat:

Asiakkaiden henkilötietoja säilytetään koko asiakkuuden keston ajan ja 12 kuukautta asiakkuuden päättymisen jälkeenkin, jotta mahdolliset jälkipalvelut, reklamaatiot ja muut selvitystarpeet voidaan asiallisesti hoitaa.

Kirjanpitolain mukaisesti määrättyjä tietoja säilytetään kuitenkin 6 vuoden ajan asiakassuhteen päättymisen jälkeenkin.

Asiakkaat voivat pyytää omien henkilötietojensa poistoa myös asiakkuuden aikana niiltä osin, kun tiedot eivät liity suoraan asiakassuhteen asialliseen hoitamiseen tarvittaviin tietoihin tai yrityksen lakisääteisten velvoitteiden hoitamiseen liittyviin tietoihin.

Potentiaalit asiakkaat (markkinointirekisteri):

Tietoja säilytetään niin kauan kuin potentiaalin yrityksen asiakkuuden tunnusmerkit säilyvät ja henkilön tehtävä liittyy oleellisesti tarjottaviin ratkaisuihin ja palveluihin. Markkinointirekisteriä hyödyntävässä sähköpostimarkkinoinnissa vastaanottajille annetaan mahdollisuus poistua jakelulistalta. Henkilöt voivat myös aina halutessaan pyytää poistamaan tietonsa rekisteristä.

 

Säännönmukaiset tietolähteet

Asiakasrekisteriin tallennettavat tiedot saadaan asiakkailta mm. sopimuksista, projektikokouksista, sähköpostitse, puhelimitse, sosiaalisen median palvelujen kautta, asiakastapaamisista ja muista tilanteista, joissa asiakas luovuttaa tietojaan.

Työnhakijarekisteriin työnhakija kirjaa itse henkilötietonsa työhakemukseen tai avoimeen hakemukseen, ja ne tallentuvat rekrytointijärjestelmään. Lisäksi rekrytointiprosessiin osallistuvat haastattelijat voivat tallentaa mahdollisissa työhaastatteluissa henkilön itsestään kertomia tietoja järjestelmään. CSIT Finland Oy voi hankkia hakijan suostumuksella tietoja muista tietolähteistä, kuten suosittelijoilta tai viranomaistahoilta. Lisäksi hakijan suostumuksella voidaan teettää soveltuvuusarviointi.

Työntekijärekisterin tiedot saadaan työntekijöiltä ja uusia tietoja syntyy rekisteriin työsuhteen kuluessa.

Potentiaalisten asiakkaiden rekisteriin (markkinointirekisteri) tietoja saadaan henkilöiltä itseltään mm. digitaalisten palveluiden ja sosiaalisen median kanavissa. Tämän lisäksi Yritysten ja muiden organisaatioiden yhteyshenkilöiden tietoja voidaan kerätä myös julkisista lähteistä kuten verkkosivuilta, hakemistopalveluista ja muilta yrityksiltä.

 

Tietojen säännönmukaiset luovutukset

Annettuja henkilötietoja voidaan antaa kolmansille osapuolille vain rekisteröidyn erikseen antamalla suostumuksella. Tietoja luovutetaan viranomaisille lakiin perustuvien määräysten ja asetusten perusteella.

Tietoja voidaan julkaista siltä osin kuin niin on erikseen sovittu henkilöiden tai asiakasyritysten kanssa.

 

Tietojen siirto EU:n tai ETA:n ulkopuolelle

Henkilötietoja ei lähtökohtaisesti siirretä EU:n tai ETA:n ulkopuolelle. Mahdolliset tekniset luovutukset EU:n ja ETA-alueen ulkopuolelle koskevat ainoastaan tilanteita, joissa järjestelmien palvelimet sijaitsisivat EU:n tai ETA:n ulkopuolella tai jos järjestelmän käyttöön liittyvää teknistä tukea jouduttaisiin pyytämään EU- tai ETA-alueiden ulkopuolelta. Kaikki järjestelmät, jotka sisältävät henkilötietoja, pyritään pitämään Suomessa ja EU-/ETA-alueen sisällä aina, kun se teknisesti on mahdollista.

 

Rekisterin suojauksen periaatteet

Rekisterin käsittelyssä noudatetaan huolellisuutta ja tietojärjestelmien avulla käsiteltävät tiedot suojataan asianmukaisesti. Kun rekisteritietoja säilytetään Internet-palvelimilla, niiden laitteiston fyysisestä ja digitaalisesta tietoturvasta huolehditaan asiaankuuluvasti. Rekisterinpitäjä huolehtii siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu.

Mahdollinen manuaalinen aineisto säilytetään lukitussa tilassa, jonne on pääsy vain erikseen nimetyillä henkilöillä, joille se on työtehtävien suorittamisen kannalta välttämätöntä.

Digitaaliseen aineistoon on pääsy vain siihen oikeutetun työntekijän henkilökohtaisella käyttäjätunnuksella ja salasanalla. Käyttöoikeuksia on eritasoisia ja kullekin käyttäjälle annetaan tehtävän hoitamisen kannalta riittävä, mutta mahdollisimman suppea käyttöoikeus.

 

Rekisteröidyn oikeudet

EU:n yleisen tietosuoja-asetuksen mukaan henkilörekistereihimme rekisteröidyllä on seuraavia oikeuksia:

  1. Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)

Jokaisella rekisterissä olevalla henkilöllä on oikeus tarkistaa rekisteriin tallennetut tietonsa. Pyyntö tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää tarvittaessa pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa).

Tarkastusoikeus voidaan evätä laissa säädetyin perustein. Tarkastusoikeuden käyttäminen on lähtökohtaisesti maksutonta.

  1. Rekisteröidyn oikeus vaatia tiedon oikaisemista, poistamista tai käsittelyn rajoittamista

Rekisteröidyllä on oikeus saada oikaistua häntä koskeva virheellinen tieto tai vaatia täydentämään puutteellinen tieto. Mikäli henkilö vaatii tallennettujen tietojen oikaisua, pyyntö tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää tarvittaessa pyynnön esittäjää todistamaan henkilöllisyytensä.

Rekisterissä olevalla henkilöllä on oikeus pyytää häntä koskevien henkilötietojen poistamiseen rekisteristä (”oikeus tulla unohdetuksi”). Kuitenkin sillä rajoituksella, että asiakkaat voivat pyytää poistoa asiakkuuden aikana vain niiltä osin, kun tiedot eivät liity suoraan asiakassuhteen asialliseen hoitamiseen tarvittaviin tietoihin tai yrityksen lakisääteisten velvoitteiden hoitamiseen liittyviin tietoihin. Työntekijärekisteristä poisto-oikeus koskee vain niitä tietoja, jotka eivät sisälly työnantajan velvollisuuksiin tai työntekijän tehtävien suorittamiseen.

Rekisteröidyllä on myös oikeus vaatia rekisterinpitäjää rajoittamaan henkilötietojensa käsittelyä esimerkiksi siinä tilanteessa, kun rekisteröity odottaa vastausta tietojensa oikaisemista tai poistamista koskevaan pyyntöön.

  1. Rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada rekisterinpitäjälle toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Tiedot on oikeus saada siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.

Tätä oikeutta sovelletaan ainoastaan henkilötietojen automaattiseen käsittelyyn

  • kun henkilötiedot koskevat rekisteröityä ja ovat hänen toimittamiaan
  • kun henkilötietojen käsittely perustuu suostumukseen tai sopimukseen
  • kun tietojen siirto ei vaikuta haitallisesti kolmansien osapuolten oikeuksiin ja vapauksiin.

Oikeus ei kata sellaisia tietoja, jotka rekisterinpitäjä on itse luonut rekisteröidyn toimittamien tietojen pohjalta (esim. terveyttä koskevat arviot) tai jotka on koostettu rekisteröidyn tarkkailusta muodostuneiden tietojen analysoinnista (kuten profilointi).

Tätä oikeutta ei myöskään ole silloin, kun tutkimusaineistojen, kulttuuriperintöaineistojen sekä näiden kuvailutietojen sisältämien henkilötietojen käsittely arkistointitarkoituksessa on yleiseen etuun ja rekisteröidyn oikeuksiin nähden tarpeen ja oikeasuhtaista, ja oikeus todennäköisesti estäisi erityisten tarkoitusten saavuttamisen tai vaikeuttaisi sitä suuresti.

  1. Rekisteröidyn oikeus tehdä valitus valvontaviranomaiselle

Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle (Tietosuojavaltuutetun toimisto), jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä.

  1. Muut oikeudet

Mikäli henkilötietoja käsitellään rekisteröidyn suostumukseen perustuen, rekisteröidyllä on oikeus peruuttaa suostumuksensa ilmoittamalla tästä meille.

 

Rekisteröidyn oikeuksiin liittyvät pyynnöt tulee lähettää outi.nieminen(at)csit.fi -osoitteeseen.