A&C Baltic tietosuojaseloste

Kattavuus

Tässä tietosuojaselosteessa kerrotaan A&C Balticin tietoturvaa ja tietosuojaa koskevista käytännöistä, prosesseista ja teknologiasta jolla A&C Baltic suojelee asiakkaittensa tietoja. Tämä tietosuojaseloste koskee A&C Balticin verkkosivuja, asiakkaille suunnattuja digitaalisia palveluita ja taloushallintopalveluiden tuotantojärjestelmiä.

Rajoitukset

Tämä tietosuojaseloste ei koske kolmansien osapuolien sivustoja, sovelluksia tai palveluita, jotka saattavat olla käytettävissä A&C Balticin palveluissa tarjottavien partnereiden lisäpalveluiden kautta. A&C Baltic suosittelee asiakkaillemme aina tutustumista kolmannen osapuolen palvelun tietosuojakäytäntöihin, ennen kuin asiakas sallii omien henkilökohtaisten tietojen keräämisen ja käytön kyseisissä palveluissa.

Tietosuojan periaatteet

A&C Balticin tietosuojaperiaatteita ovat tietojen käsittelyn laillisuusperusteen ja käyttötarkoituksen ilmoittaminen, kerättävän ja käsiteltävän tietojen ilmoittaminen, tietojen tekninen, hallinnollinen ja fyysinen suojaaminen, lainmukainen tietojen tarkastusja muutospyyntömahdollisuus.

Henkilötietorekisterit ja niiden rekisteriselosteet

Markkinointirekisterin rekisteriseloste

Asiakastietorekisterin rekisteriseloste

Henkilötiedon käsittely rekisterinpitäjän lukuun

Joissakin palveluissaan A&C Baltic käsittelee henkilötietoja A&C Balticin asiakkaan lukuun. Tällaisissa tapauksissa asiakas on muodostuneen henkilörekisterin rekisterinpitäjä ja A&C Baltic toimii henkilörekisterin henkilötietojen käsittelijänä, henkilötietolain määrittämässä ominaisuudessa. Tällöin henkilötietojen käsittelyyn liittyvistä käsittelytoimista on erikseen sovittu A&C Balticin asiakkaan kanssa, käyttäen tähän dokumenttiin sisällytettyä Selostetta henkilötiedon käsittelytoimista: Seloste henkilötiedon käsittelytoimista

Rekistereiden tietojen tekninen suojaaminen

Sähköisesti käsiteltävät rekisterin sisältämät tiedot suojataan teknisesti palomuureilla, salasanoilla, tarjoamalla A&C Balticin asiakkaille kaksivaiheista tunnistautumista asiakastietojärjestelmiin sekä muilla tietoturvan toimialalla yleisesti hyväksyttävin teknisillä keinoilla. Tiedonsiirto asiakkaan ja A&C Balticin välillä on salattu TLS (Transport Layer Security) teknologialla. Tiedot varmuuskopioidaan säännöllisesti ja varmuuskopioita säilytetään eri sijainnissa kuin missä primääridata sijaitsee.

A&C Baltic toteuttaa sisäisiä ja kolmannen osapuolen suorittamia arviointeja, jotka kattavat sekä kriittisten tietojärjestelmien teknisen turvallisuuden että hallinnollista tietoturvaa ja tietosuojaa koskevia prosesseja ja ohjeistuksia

Rekistereiden hallinnollinen suojaaminen

Käyttäjien käyttöoikeuksia valvotaan säännöllisesti ja vaarallisten käyttöoikeusyhdistelmien luominen on kielletty käyttöoikeuksien hallintapolitiikassa. Erityisesti eri järjestelmien pääkäyttäjien käyttöoikeudet tarkistetaan säännöllisesti ja poistetaan kun käyttäjä ei niitä enää tarvitse. A&C Balticin poistuneiden työntekijöiden käyttöoikeudet poistetaan työsuhteen päättyessä kaikista järjestelmistä.

Asiakkaan tietoja käsittelee vain se A&C Balticin työntekijä joka on osoitettu tekemään kyseinen työ. Asiakastiedon käsittely muilla perusteilla on kielletty, vaikka työntekijällä olisi tekninen pääsy asiakastietoon hänen työtehtävänsä ja liiketoiminnallisten syiden perusteella.

Koko A&C Balticin henkilöstöllä, ja sen lukuun toimivilla ulkopuolisilla henkilöillä, on vaitiolovelvollisuus liittyen kaikkeen asiakas- ja henkilötietoon. Vaitiolovelvollisuus on kirjattuna A&C Balticin henkilöstön työsopimuksiin, mukaan lukien sanktiot. Vaitiolovelvollisuus on kirjattuna kolmansien osapuolien kanssa tehtyihin sopimuksiin, mukaan lukien sanktiot.

A&C Balticin asiakkaiden tietoja käsittelevät työntekijät koulutetaan säännöllisillä koulutuksilla joissa työn tekemisen laillisuusperusteet ovat olennainen osa koulutusta. A&C Balticin henkilökunnan tietoturva- ja tietosuojatietoisuutta pidetään säännöllisesti yllä eri tavoin: Järjestämällä sekä säännöllisiä tietoturvaa ja tietosuojaa koskevia koko yrityksen henkilöstölle tiedoksi annettavia tietoiskuja että järjestämällä vuosittain työntekijöille pakollinen tietoturvaa ja tietosuojaa koskeva koulutus.

Tietoturvapolitiikan olemassa olosta ja sijainnista tiedotetaan säännöllisissä tietoturvakoulutuksissa sekä muistutetaan työntekijöitä kyseisen politiikan sitovuudesta. Tietoturvapolitiikka kuvaa yleiset työntekijää velvoittavat tietoturvaa ja tietosuojaa koskevat säännöt, olivatpa ne teknisiä sääntöjä, tietoturvaprosesseja tai jokapäiväiseen työntekoon soveltuvia käytäntöjä ja ohjeita.

Rekistereiden tietojen fyysinen suojaaminen

Asiakkaiden tietoja käsitellään tietojärjestelmissä jotka sijaitsevat konesalissa Suomessa tai Euroopan Unionin alueella sijaitsevissa pilvipalveluissa, pois lukien asiakasviestinnässä käytettävää sähköpostipalvelua ja sähköisten järjestelmien käyttöä tilastoivat järjestelmät. Suomessa sijaitsevissa konesaleissa tärkeimmät tuotantojärjestelmät on kahdennettu kahteen fyysisesti toisistaan erotettuihin konesaleihin turvallisuuden, tiedon säilymisen ja palvelun jatkuvuuden takaamiseksi normaali ja poikkeustilanteissa. Näissä konesaleissa ovat käytössä palveluntuottajan toimesta sertifioidut turvallisuuskäytännöt, pääsynhallinta ja valvonta. Asiakasviestinnässä käytettävä sähköpostipalvelu ja sähköisten asiakasjärjestelmien käyttöä tilastoivat järjestelmät sijaitsevat Yhdysvalloissa olevilla palvelimilla ja niiden suojaamisesta vastaavat kyseiset palveluntarjoajat Euroopan Unionin tietosuojalainsäädännön mukaisesti. Sähköisten järjestelmien tilastointitieto ei sisällä henkilöä yksilöiviä tietoja.

Manuaalisesti ylläpidettävät aineistot sijaitsevat toimitiloissa, joihin asiattomilta pääsy on estetty kulunvalvonnalla ja tärkeimmissä toimitiloissa on käytössä videovalvonta mahdollisen fyysisen turvallisuuden rikkoutumisen selvittämiseksi ja todentamiseksi.

Evästeiden käyttö

Erilainentilitoimisto.fi-verkkosivuston vierailijoista voidaan kerätä tietoa ja sivustolla voidaan käyttää evästeitä. Evästeet ovat pieniä tekstitiedostoja, jotka tallentuvat sivuston vierailijan päätelaitteelle. A&C Baltic käyttää evästeitä parantaaksemme sivustomme käyttökokemusta, arvioidaksemme käytettyä sisältöä ja tukeaksemme markkinointia. Evästeiden avulla kerätty tieto on anonyymia, eikä niiden avulla voi saada tietoa yksittäisestä tunnistettavasta henkilöstä.

Evästeiden avulla voidaan kerätä esimerkiksi seuraavia tietoja:

  • Käyttäjän IP-osoite
  • Vierailun kellonaika
  • Vieraillut sivut ja vierailun kesto
  • Käytetty selaintyyppi tai päätelaitteen käyttöjärjestelmä
  • Mistä käyttäjä on tullut sivustolle ja mihin käyttäjä siirtyy sivuston käyttämisen jälkeen

Evästeiden avulla kerättyä tietoa voidaan käyttää esimerkiksi kohdennettuun mainontaan Googlen kumppanuusverkostossa.

Käyttämällä A&C Balticin internetsivuja, käyttäjä hyväksyy evästeiden käytön ja tallentamisen tietokoneelleen. Useimmat selainohjelmat hyväksyvät evästeet automaattisesti. Kävijällä on mahdollisuus estää evästeiden käyttö muuttamalla selaimen asetuksia siten, että selain ei salli evästeiden tallentamista. Siinä tapauksessa käyttäjä hyväksyy, että joidenkin palveluiden osalta evästeiden käytön estäminen saattaa kuitenkin vaikuttaa palvelun toiminnallisuuteen.

Rekisteröityjen oikeudet

Rekisteröidyllä on Euroopan Unionin tietosuoja-asetuksen 15-22 § mukaisesti mm. oikeus:

  1. tarkastaa henkilötiedot
  2. tietojen oikaisemiseen
  3. tietojen poistamiseen
  4. käsittelyn rajoittamiseen

Niissä tilanteissa joissa rekisteröity haluaa tarkastaa tai muuttaa tietojaan A&C Balticin asiakkaan omistuksessa olevaan rekisteriin kuuluvista tiedoista, tulee rekisteröidyn tehdä tietojen tarkastus- tai muutospyyntö rekisterinpitäjälle ja rekisterinpitäjä huolehtii tietojen tarkastus- tai muutospyynnön toimeenpanon yhdessä henkilötietojen käsittelijän A&C Balticin kanssa. Rekisterinpitäjän tulee tällöin osoittaa kirjallinen tarkastuspyyntö alla mainittuun sähköpostiosoitteeseen.

Tarkastus- ja muutospyynnössä tulee yksilöidä henkilötieto jota halutaan tarkastaa ja antaa rekisterin nimi mitä pyyntö koskee. Pyyntö tulee lähettää sähköpostitse osoitteeseen: toimisto@acbaltic.com. Rekisteröity voi käyttää henkilötietolain määräämää henkilötietoihin kohdistuvaa oikeuttaan maksuttomasti vain kerran vuodessa.

Tietosuojaloukkauksista ilmoittamisen käytännöt

Ilmoitus rekisteröidylle tehdään rekisterinpitäjän toimesta, jos tietosuojaloukkauksesta aiheutuu todennäköisesti korkea riski tämän oikeuksille ja vapauksille. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.

Niissä tapauksissa, joissa tietosuojaloukkaus kohdistuu A&C Balticin asiakkaan omistaman henkilötietorekisterin piirissä olevaan henkilötietoon, on A&C Balticin asiakas vastuussa rekisteröityjen informoinnista. Ilmoitus rekisterinpitäjälle tehdään ilman aiheetonta viivytystä tietosuojaloukkauksen ilmitulosta. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.

Ilmoitus tietoturvaviranomaiselle tehdään laissa määritellyn 72 h kuluessa ilmitulosta, mikäli tietosuojaloukkauksesta todennäköisesti aiheutuu luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvaa riskiä. Ilmoituksessa kerrotaan tietosuojaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.

Tietosuojaselosteen muuttaminen

A&C Baltic kehittää liiketoimintaansa jatkuvasti ja pidättää oikeuden muuttaa tätä tietosuojaselostetta ilmoittamalla siitä sähköisissä palveluissaan ja muun asiakaskommunikaation yhteydessä. Muutokset voivat perustua lainsäädännössä tapahtuviin muutoksiin ja niistä seuraavien vaatimusten toteuttamiseen.

Rekisteriseloste – markkinointirekisteri

Rekisterin nimi

Markkinointirekisteri

Sovellettu lainsäädäntö

Euroopan Unionin Tietosuoja-asetus (EU 679/2016) ja kansallinen tietosuojalainsäädäntö

Päivitetty

15.11.2020

Rekisterinpitäjä

A&C Baltic Oy

3146522-2

Fredrikinkatu 47

00100 Helsinki

+3584578333738

Yhteyshenkilö

Mira Luukkanen

Sähköposti: mira.luukkanen@acbaltic.com

Tietosuojavastaava

Mira Luukkanen

Sähköposti: mira.luukkanen@acbaltic.com

Henkilötietojen käsittelyn tarkoitus

Käsittelyn tarkoituksena on asiakassuhteen hoitaminen, asiakkaan ja rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttaminen. Henkilötietoa tallennetaan ja käsitellään taloudenhallintopalveluiden markkinoinnin ja myynnin suuntaamiseen asiakastietojen perusteella rekisterinpitäjän viestimien ja palveluiden kautta, luovuttamatta henkilötietoja ulkopuoliselle taholle.

Henkilötietoja voidaan käsitellä seuraavissa käyttötarkoituksissa:

  • Kontaktin luomiseen potentiaaliseen asiakkaaseen
  • Tapaamisten järjestämiseen potentiaalisen asiakkaan kanssa
  • Uutiskirjeiden ja myyntimateriaalien lähettäminen
  • Markkinointiviestintä sekä markkina- ja mielipidetutkimukset

Rekisterin tietosisältö

Rekisteröidystä voidaan tallentaa seuraavankaltaisia tietoja:

  • nimi
  • puhelinnumero
  • sähköpostiosoite
  • organisaatio ja asema
  • organisaation yhteystiedot
  • asiointihistoriatiedot

Säännönmukaiset tietolähteet

Tietoja saadaan ensisijaisesti seuraavista lähteistä:

  • Asiakastieto.fi -palvelusta
  • Julkisia yhteystietoja tarjoavista palveluista

Tietojen säännönmukaiset luovutukset

A&C Baltic ei myy, vuokraa eikä luovuta henkilötietoja muille osapuolille.

A&C Baltic voi olla velvollinen luovuttamaan henkilötietoja, mikäli sovellettava laki tai asetus tai oikeus- tai hallintoviranomaisen pyyntö tätä edellyttää.

Tietojen siirto EU:n tai ETA:n ulkopuolelle

Henkilötietoja ei siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolelle.

Tietojen luovuttamiseen liittyvät käytännöt

Tietojen luovutuksesta viranomaiselle laaditaan luovutustodistus, joka tallennetaan asiakaskohtaisiin tietovarastoihin merkkinä tietojen luovutuksesta. Tietojen luovutuksesta informoidaan rekisteröityä aina etukäteen, paitsi jos viranomainen toisin määrää.

Tietojen säilyttäminen ja poistaminen

A&C Baltic poistaa markkinointirekisteriin kuuluvia henkilötietoja asiakkaan pyynnöstä.


Rekisteriseloste – Asiakastietorekisteri

Rekisterin nimi

Asiakastietorekisteri

Sovellettu lainsäädäntö

Euroopan Unionin Tietosuoja-asetus (EU 679/2016) ja kansallinen tietosuojalainsäädäntö

Päivitetty

15.11.2020

Rekisterinpitäjä

A&C Baltic Oy

3146522-2

Fredrikinkatu 47

00100 Helsinki

+3584578333738

Yhteyshenkilö

Mira Luukkanen

Sähköposti: mira.luukkanen@acbaltic.com

Tietosuojavastaava

Mira Luukkanen

Sähköposti: mira.luukkanen@acbaltic.com

Henkilötietojen käsittelyn tarkoitus

Henkilötietoa tallennetaan ja käsitellään Talenomin taloudenhallintopalveluiden tuottamiseksi sopimussuhteessa A&C Balticin ja A&C Balticin asiakkaiden välillä. Henkilötietoa käsitellään lakisääteisten ja viranomaiskäsittelyyn liittyvien velvollisuuksien täyttämiseksi sekä A&C Balticin tuotteiden ja palveluiden laadun parantamiseen.

Rekisterin tietosisältö

Rekisteröidystä voidaan tallentaa seuraavankaltaisia tietoja:

  • nimi, henkilötunnus ja tarpeelliset organisaatiotiedot
  • yhteystiedot (osoite, puhelinnumero, sähköpostiosoite)
  • asiakaspalvelussa syntynyt asiakkuudenhallintatieto
  • asiakkaan palvelut ja niiden laskutustiedot

Rekisteröidystä tallennetaan rekisteröidyn käyttötietoja kuten:

  • päätelaitteen versio
  • päätelaitteen käyttöjärjestelmän versio
  • käytetyn selaimen versio
  • käytetty Java versio

Säännönmukaiset tietolähteet

A&C Baltic tallentaa asiakkuuteen liittyviä tietoja asiakassuhteen alkaessa. Rekisteröidyt asiakkaat lisäävät omia ja henkilökuntansa henkilötietoja A&C Balticin sähköisiin palveluihin. Henkilötietoa voidaan ladata asiakkaan toimittaman sähköisen materiaalin perusteella. Asiakas voi luovuttaa laadunparannukseen liittyvää kyselytutkimustietoa vastaamalla kyselyihin.

Käyttäjien päätelaitetietoa kerätään automaattisesti sähköisten tuotteiden kehityksen ja asiakaspalvelun kehitystarkoituksiin esimerkiksi internet selaimen evästeitä, tai vastaavankaltaisia teknologioita, käyttäen A&C Baltcin sähköisistä tuotteista ja verkkopalveluista

Tietojen luovuttaminen

Rekisterin sisältämiä tietoja voidaan luovuttaa veroviranomaisille, eläkevakuutusyhtiöille, vakuutusyhtiöille, ammattiyhdistysliitoille, kansaneläkelaitokselle tai työeläkekassoille. A&C Baltic voi luovuttaa henkilötietoja yhteistyökumppaneilleen laadunparannukseen ja markkinointiin liittyviä kyselytutkimuksia varten.

A&C Baltic ei myy, vuokraa eikä luovuta henkilötietoja muille osapuolille.

A&C  Baltic voi olla velvollinen luovuttamaan henkilötietoja, mikäli sovellettava laki tai asetus tai oikeus- tai hallintoviranomaisen pyyntö tätä edellyttää.

Tietojen siirto EU:n tai ETA:n ulkopuolelle

Pääsääntöisesti henkilötietoja ei siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolelle, ellei asiakas sitä itse pyydä kirjallisesti. Asiakasviestinnässä käytettäviä yhteystietoja ja A&C Balticin sähköisten järjestelmien käyttämisestä syntynyttä tilastotietoa siirretään Yhdysvalloissa sijaitseville palvelimille ja niiden suojaamisesta vastaavat kyseiset palveluntarjoajat Euroopan Unionin tietosuojalainsäädännön mukaisesti. Asiakkaan pyytämät tiedonsiirrot EU tai ETA-alueen ulkopuolelle tehdään Euroopan Unionin tietosuoja-asetuksen tiedonsiirtoja koskevat vaatimukset täyttäen.

Tietojen luovuttamiseen liittyvät käytännöt

Asiakkaan tilintarkastajalle tietoja luovutetaan ilman erillistä valtuutusta asiakkaan ja tilintarkastajan välisen sopimuksen toimeenpanon toteuttamiseksi. Muiden asiakkaan yhteistyökumppaneiden, kuten esimerkiksi lakimiesten, konsulttien jne., osalta asiakkaalta pyydetään erillinen suostumus tietojen luovuttamiseen.

Kirjallisen materiaalin luovuttamisen yhteydessä laaditaan tietojen luovutustodistus, jossa käy ilmi luovutetun aineiston perustiedot, kenelle luovutettu ja milloin. Tämä luovutustodistus tallennetaan asiakaskansioihin mahdollista myöhempää todistusvelvollisuutta varten.

Digitaalisen aineiston luovuttamisen yhteydessä asiakasyrityksen yhteistyökumppanille luodaan Toimittajan tietojärjestelmään henkilökohtaiset tunnukset, joilla Asiakkaan yhteistyökumppani saa luovutetun tiedon käyttöönsä. Asiakkaan pyyntö luoda tietojärjestelmän tunnukset ja antaa pääsy asiakkaan tietoihin sisältää samalla asiakkaan suostumuksen asiakkaan tietojen luovuttamiseen kyseiselle yhteistyökumppanille.

Veroviranomaisille, eläkevakuutusyhtiöille, vakuutusyhtiöille, ammattiyhdistysliitoille, kansaneläkelaitokselle tai työeläkekassoille tietoja luovutetaan ilman asiakkaan valtuutusta tai suostumusta, silloin kun tiedon luovutuksesta on laissa erikseen määritelty.

Digitaalisten aineistojen käsittelyä valvotaan tietojärjestelmien tapahtumatiedon eli lokitietojen tallentamisen ja niiden automaattisen tai manuaalisen valvonnan avulla. Tämän lisäksi lokitietoa voidaan tarvittaessa käyttää todisteena.

Tietojen säilyttäminen ja poistaminen

A&C Baltic poistaa henkilötiedot tietojärjestelmistään 5 vuoden säilytysajan jälkeen asiakkaan poistuttua A&C Balticilta. Operatiivisista tietojärjestelmistä poistamisen jälkeen tiedot poistuvat automaattisesti 6 kuukauden kuluessa varmuuskopioista.