Siirry sisältöön

Olemme GDPR:n mukaisia

Noudatamme kaikkia palveluitamme koskevia vaatimuksia täysin.
Järjestelmät ja käytännöt
Tässä käytännössä kuvataan, miksi käsittelemme henkilötietoja ja miten suojaamme niitä.
Aliprosessorit
itslearning käyttää kolmansia osapuolia avustamaan palvelujen tarjoamisessa.
Turvatoimet
Olemme toteuttaneet sekä organisatorisia että teknisiä turvatoimia.
Tietopyyntö
Noudatamme kansainvälisiä säännöksiä, jotka koskevat yksilöiden oikeutta yksityisyyteen.

Tietoa asiakkaillemme GDPR:stä

Euroopan parlamentin vuonna 2016 hyväksymä EU:n yleinen tietosuoja-asetus (GDPR) on merkittävin muutos tietosuoja-asetuksessa 20 vuoteen. Se korvaa tietosuojadirektiivin 95/46/EY ja paikalliset lait ja asetukset kaikkialla EU:ssa/ETA:ssa. Uuden asetuksen tarkoituksena on vahvistaa yksilön oikeutta yksityisyyteen ja yhdenmukaistaa tietosuojalainsäädäntöä kaikkialla Euroopassa.

itslearning on ollut sitoutunut tietosuojaan perustamisestaan vuonna 1999 lähtien ja suhtautuu myönteisesti uuteen asetukseen. Teemme jatkossakin osamme varmistaaksemme, että kaikki asiakkaamme noudattavat GDPR-asetusta. Teknologian ja pilvipalveluiden hyödyntämisessä opetuskäytäntöjen ja oppimistulosten parantamiseksi on paljon hyödyntämätöntä potentiaalia. Yksi avain tämän potentiaalin vapauttamiseen on opettajien, oppilaiden ja vanhempien luottamuksen ansaitseminen. Tässä mielessä GDPR:stä johtuva tietosuojaan ja yksityisyyden suojaan kiinnitetty entistä suurempi huomio on hyödyllistä kaikille osapuolille.

 

itslearningin GDPR-sitoumus

Noudatamme kaikissa palveluissamme, mukaan lukien itslearningissa, Fronterissa ja SkoleIntrassa, täysin GDPR-valmiusvaatimuksia. Olemme työskennelleet GDPR:n parissa jo pitkään analysoidaksemme uutta asetusta ja tehdessämme tarvittavia muutoksia palveluihimme, menettelyihimme ja organisaatioon. Edellisten kuukausien aikana olemme asettaneet saataville kaikki asiakirjat, sopimuslisäykset ja menettelyt, joita tarvitaan GDPR:n noudattamisen osoittamiseksi.

On tärkeää sanoa, että asiakkaillemme ja heidän loppukäyttäjilleen tarjoamiemme pilvipalveluiden osalta itslearning on se, mitä sekä nykyinen että uusi EU-sääntely määrittelee henkilötietojen käsittelijäksi. Henkilötietojen käsittelijänä emme päätä käsittelyn tarkoituksesta tai laillisuudesta, vaan ainoastaan käsittelemme tietoja asiakkaidemme puolesta. GDPR-asetukset asettavat tiukemmat vaatimukset kaikille tietojen käsittelijöille.

Sitoutumisemme GDPR:n noudattamiseen edellyttää, että pyrimme:

  • Varmistaa kaikkien palvelujen organisatorinen ja tekninen turvallisuus.
  • Auttaa sinua dokumentoinnissa, jota tarvitset vaatimustenmukaisuuden osoittamiseen ja käyttäjille tiedottamiseen.
  • Tarjoamme sinulle uusia sopimuslisäyksiä, jotka täyttävät GDPR:n vaatimukset tietojenkäsittelysopimuksille (DPA).
  • Tarjoamme sinulle tarvittavaa tukea, kun käyttäjät käyttävät rekisteröityjen oikeuksiaan. Löydät lisätietoja GDPR-tietopyyntösivulta tukisivustollamme.

itslearningilläon tietosuojavastaava (DPO) GDPR:n määritelmän mukaisesti. Sen lisäksi, että tietosuojavastaavamme valvoo omaa noudattamistamme ja antaa neuvoja ja koulutusta omalle henkilöstöllemme, hän on asiakkaidemme ja heidän tietosuojavastaaviensa käytettävissä keskustellakseen tietosuoja-asioista.

Tietosuojavastaavan yhteystiedot:
Riikka Turunen
Sanoma Media Finland Oy
+35891224791
privacy@itslearning.com

 

GDPR-asiakkaiden vaatimukset

Yleisesti ottaen GDPR-edellytykset:

  • Dokumentoi ja arvioi kaikki henkilötietojen käsittely ja käytetyt järjestelmät. Käsittelyn tarkoitus ja laillisuus olisi määriteltävä, ja sinun olisi varmistettava, ettet käsittele henkilötietoja, joita ei tarvita määriteltyyn tarkoitukseen.
  • varmistettava käsittelyn organisatorinen ja tekninen turvallisuus ja pystyttävä osoittamaan se. Arvioi tietojen säilyttämistä ja turvallisuutta koskevat sisäiset prosessisi ja dokumentoi ne. Varmista, että oma tekniikkasi pystyy tarjoamaan riittävän teknisen turvallisuuden, ja dokumentoi se.
  • Kun käytät kolmannen osapuolen palveluja, kuten meidän palvelujamme, henkilötietojen käsittelyyn, sinun on varmistettava, että tietojenkäsittelyvaatimukset ovat GDPR:n mukaisia.
  • Kun hankit uutta teknologiaa, joka todennäköisesti aiheuttaa suuren riskin henkilötiedoille, sinun on tehtävä riskianalyysi eli tietosuojaa koskeva vaikutustenarviointi (DPIA). Olemassa olevana asiakkaana palvelumme eivät ole sinulle uutta teknologiaa. DPIA:n tekeminen voi silti olla hyvä ajatus, ja se auttaa sinua vaatimustenmukaisuuden dokumentoinnissa.
  • Käyttäjillä (rekisteröidyillä) on GDPR:n nojalla vahvemmat oikeudet. Asiakkaillamme on oltava käytössä prosessi, jonka avulla rekisteröidyt voivat ottaa vastaan tietopyyntöjä ja arvioida pyyntöjen oikeellisuuden.
  • Erityisen tärkeä oikeus on avoimuus ja tiedottaminen. Varmista, että käyttäjät saavat helposti tietoa kaikesta GDPR:n edellyttämästä, myös siitä, miten he voivat käyttää oikeuksiaan. Jos käyttäjänne ovat nuoria, varmistakaa, että nämä tiedot ovat myös vanhempien saatavilla.
  • Tutustu osoitteessa itslearning olevaan tietojenkäsittelijäsopimukseen, jonka tarkoituksena on säännellä rekisterinpitäjään vakiopalvelun tilaussopimuksen yhteydessä sovellettavan eurooppalaisen tietosuojalainsäädännön, mukaan lukien yleisen tietosuoja-asetuksen asetusten, mukaisia oikeuksia ja velvollisuuksia.

Lataa itslearning Tietojenkäsittelijäsopimus.

Jos sinulla on yleisiä kysymyksiä itslearning -tuotteisiin ja -palveluihin liittyen, voit kuten aina ottaa yhteyttä asiakaspalveluumme. Sopimusasioissa tai kaupallisissa kysymyksissä ota yhteyttä asiakaspäällikköösi.

Jos asiakkaamme esittävät erityisiä GDPR:ään liittyviä kysymyksiä, ota yhteyttä tietosuojavastaavaamme sähköpostitse privacy@itslearning.com tai soita numeroon +35 89 122 4791. Kaikkien yhteydenottojen tietosuojavastaavamme kanssa on oltava englanninkielisiä.

Vaatiiko GDPR, että meidän on saatava suostumus kaikilta käyttäjiltämme (tai heidän vanhemmiltaan)?

Useimmille asiakkaillemme ei. Tietosuoja-asetuksen mukaan suostumus on vain yksi kuudesta laillisesta syystä käsitellä tietoja. Asiakkaidemme on valittava laillinen peruste, joka vastaa parhaiten sinun ja käyttäjien välisen suhteen todellista luonnetta. Useimmille asiakkaillemme suostumus ei olisi sopivin laillinen peruste käsittelylle. Monien asiakkaidemme kohdalla käsittelyn laillinen peruste liittyisi yleisen edun mukaisiin tehtäviin tai oikeudellisiin velvoitteisiinne.

Voiko itslearning käyttää henkilötietoja omiin tarkoituksiinsa?

Ei. Sekä tällä hetkellä että uuden yleisen tietosuoja-asetuksen mukaan voimme käsitellä tietoja vain asiakkaidemme antamien suorien ohjeiden perusteella. Tiedot ovat sinun, ja vain kourallinen itslearning -henkilökuntaa pääsee henkilötietoihin käsiksi tiukan luottamuksellisuuden ja turvatoimien puitteissa. Voimme käsitellä henkilötietoja itsenäisesti vain, jos se on elintärkeää palvelun eheyden tai turvallisuuden kannalta tai tarjotun palvelun laadun analysoimiseksi tai arvioimiseksi.

Millaisia tietoja meidän on annettava käyttäjille henkilötietojen käsittelystä?

Oikeus avoimuuteen ja käyttäjille (tai heidän vanhemmilleen) annettaviin tietoihin on GDPR:n mukaan vahva. Helposti saataville asetettavia tietoja voivat olla esimerkiksi seuraavat:

  • Rekisterinpitäjän / rekisterinpitäjän edustajan henkilöllisyys ja yhteystiedot
  • Tietosuojavastaavan yhteystiedot
  • Käsittelyn tarkoitus ja tietojen käsittelyn oikeusperusta.
  • mahdolliset aikomukset siirtää henkilötietoja kolmanteen maahan (EU:n/ETA:n ulkopuolelle) ja mitä suojatoimia on otettu käyttöön sekä keinot saada kopio niistä.
  • ajanjakso, jonka ajan henkilötietoja säilytetään, tai perusteet, joilla ajanjakso määritetään.
  • Rekisteröidyn oikeudet (pääsy tietoihin, oikaisu, poistaminen jne.).
  • Oikeus tehdä valitus valvontaviranomaiselle.
  • Mistä tiedot ovat peräisin
  • Automaattisen päätöksenteon/profiilien laatimisen käyttö.
Voiko kuka tahansa käyttäjistämme nyt vaatia meitä poistamaan tietonsa ("oikeus tulla unohdetuksi")?

Luultavasti ei. Käyttäjä voi vaatia tietojensa poistamista vain, jos käsittelyn laillinen peruste on suostumus (ks. edellä) tai jos alkuperäinen tarkoitus tai laillisuus ei ole enää voimassa. Asiakkaillamme on oltava käytössään prosessit, joiden avulla he voivat arvioida huolellisesti rekisteröityjen pyyntöjä tietojensa poistamisesta. Voit ottaa yhteyttä tietosuojavastaavaamme saadaksesi neuvoja vaikeissa tapauksissa. Jos rekisteröidylle myönnetään oikeus tietojen poistamiseen, itslearning on joko ohjelmistomme tai tukipalveluidemme kautta käytettävissä auttamaan rekisteröidyn oikeuksien toteuttamisessa.

Voivatko käyttäjämme nyt vaatia meitä antamaan heille kopion kaikista henkilötiedoistaan?

Jossain määrin kyllä. Kaikilla käyttäjilläsi on nyt vahvat oikeudet avoimuuteen, tiedonsaantiin ja tietojen käyttöön. Kuka tahansa rekisteröity voi käyttää oikeuksiaan ja pyytää kopiota kaikista henkilötiedoistaan, kunhan se ei vaikuta haitallisesti muihin tai jos nämä tiedot eivät ole jo hänen saatavillaan. Tämä ei kuitenkaan ole ehdoton oikeus; muut lait saattavat vaatia sinua suojelemaan rekisteröityä tai muita henkilöitä tietyntyyppisten tietojen saamiselta. Sinun on arvioitava huolellisesti nämä tietosuoja-asetuksen mukaiset pyynnöt suhteessa muiden säädösten mukaisiin oikeuksiin ja velvollisuuksiin. Voit ottaa yhteyttä tietosuojavastaavaamme saadaksesi neuvoja vaikeissa tapauksissa. Jos rekisteröidylle myönnetään oikeus tutustua tietoihin, itslearning on joko ohjelmistomme tai tukipalveluidemme kautta käytettävissä auttamaan rekisteröidyn oikeuksien toteuttamisessa.

Voiko käyttäjä (esim. opiskelija, vanhempi, opettaja) ottaa suoraan yhteyttä osoitteeseen itslearning käyttääkseen GDPR:n mukaisia oikeuksiaan?

GDPR:n mukaan rekisteröidyn (käyttäjän) oikeudet ovat hänen ja rekisterinpitäjän (asiakkaidemme) välisiä. Kaikki loppukäyttäjien itslearning :lle esittämät rekisteröityjen pyynnöt toimitetaan asiakkaalle. itslearning tekee vilpittömässä mielessä yhteistyötä asiakkaiden kanssa varmistaakseen, että nämä voivat käyttää rekisteröityjen oikeuksiaan nopeasti.

Milloin itslearning poistaa henkilötiedot?

itslearning poistaa henkilötiedot asiakkaidemme ohjeiden mukaisesti tai jos meidän ja asiakkaan välinen sopimus puretaan. Menettelyt asiakastietojen poistamiseksi palvelun päättyessä olisi määriteltävä kirjallisesti tai tietojenkäsittelijän sopimuksessa.

Käyttäjän poistaminen palveluistamme voi tapahtua joko manuaalisesti alustalla asiakkaan edustajan toimesta, automaattisesti opiskelijahallintojärjestelmään (tai vastaavaan) integroitumisen kautta tai tukiorganisaatiollemme osoitetun pyynnön perusteella.

Kun käyttäjiä poistetaan järjestelmistämme, käytössä on suojatoimia, joilla estetään virheet, jotka johtavat tietojen korvaamattomaan menetykseen. Monissa tapauksissa asiakkaiden on vahvistettava manuaalisesti asiakastietojen, myös henkilötietojen, poistaminen.

Onko itslearning ilmoitettava käyttäjille, jos tietomurto on vaikuttanut heihin?

Tietosuojaloukkauksen luonteesta riippuen asiakkaitamme saatetaan vaatia ilmoittamaan asiasta viipymättä sekä käyttäjille, joita asia koskee, että valvontaviranomaisille. itslearning on velvollinen ilmoittamaan asiakkailleen aiheettomasti, kun se saa tietoonsa tietosuojaloukkauksen, ja auttamaan asiakkaita täyttämään käyttäjille ilmoittamista koskevat velvollisuutensa.

Onko minun nimitettävä tietosuojavastaava?

Monissa tapauksissa kyllä. Sinun on nimettävä tietosuojavastaava, jos:
a) olet julkinen/hallinnollinen laitos
b) käsittelet laajamittaisesti tietyntyyppisiä arkaluonteisia tietoja
c) käsittelyyn liittyy laajamittaista seurantaa tai valvontaa.

Huomaa, että tietosuojavastaavan tarvitsee organisaatio, ei järjestelmä. Monissa tapauksissa organisaatiollasi saattaa jo olla tietosuojavastaava. Tietosuojavastaava voi olla sopimusperusteinen tehtävä. Monet valtion laitokset tarjoavat tietosuojavastaavan palveluja muille laitoksille.

 
Voinko vaatia pilvipalveluntarjoajaa, kuten itslearning, tallentamaan henkilötietoja vain kotimaassani?

Yksi uuden tietosuoja-asetuksen päätavoitteista on henkilötietojen vapaa liikkuvuus Euroopan talousalueella (ETA) yhden yhteisen asetuksen nojalla. Useimmissa tapauksissa myyjien rajoittaminen tietojen käsittelyssä ETA:n alueella ei olisi GDPR:n mukaan sallittua.

Käsitteleekö itslearning tietoja ETA:n ulkopuolella? Saako se käsitellä tietoja ETA:n ulkopuolella?

Yleisessä tietosuoja-asetuksessa ei kielletä henkilötietojen siirtämistä ETA:n ulkopuolelle, mutta siinä otetaan käyttöön vahvat suojatoimet sen varmistamiseksi, että ETA:n ulkopuolella tapahtuvassa tietojen käsittelyssä noudatetaan yleisen tietosuoja-asetuksen periaatteita. Lisäksi rekisterinpitäjien tai henkilötietojen käsittelijöiden, jotka käsittelevät tietoja ETA:n ulkopuolella, on annettava yksityiskohtaista tietoa käsittelyn luonteesta ja joissakin tapauksissa annettava asiakkaille tai käyttäjille mahdollisuus vastustaa käsittelyä.

Useimpien eurooppalaisten asiakkaidemme osalta itslearning käsittelee kaikki henkilötiedot ETA-alueella. On joitakin poikkeuksia tapauksissa, joissa itslearning helpottaa valinnaista integrointia ETA:n ulkopuolella sijaitseviin kolmannen osapuolen työkaluihin tai palveluihin. Näissä tapauksissa sekä itslearning että asiakkaidemme on noudatettava GDPR:n vaatimuksia.

Olen kuullut, että itslearning ei ole tarpeeksi turvallinen GDPR:n mukaisesti! Onko tämä totta?

GDPR:ssä ei aseteta yksityiskohtaisia vaatimuksia siitä, mikä on "turvallinen" pilvipalvelu. Asiakkaidemme (rekisterinpitäjät) ja itslearning (henkilötietojen käsittelijä) yhteisellä vastuulla on tarjota asianmukainen organisatorinen ja tekninen turvallisuus käsitellyille henkilötiedoille ja pystyä osoittamaan se. Tärkein muutos nykyisiin säännöksiin verrattuna GDPR:ään on niiden organisaatioiden vastuun vahvistaminen, jotka eivät tarjoa asianmukaista tietoturvaa.
itslearning on kahden vuosikymmenen ajan suojannut menestyksekkäästi miljoonien käyttäjien henkilötietojen käsittelyä. Aiemmat tulokset eivät kuitenkaan aina kerro tulevista tuloksista. Siksi investoimme jatkuvasti organisaation turvallisuuteen, verkko- ja infrastruktuuriturvallisuuteen sekä sovellusturvallisuuteen varmistaaksemme, että voimme tarjota loppukäyttäjillemme enemmän kuin asianmukaista turvallisuutta. Annamme myös säännöllisesti kolmansien osapuolten tarkastaa tietoturvamme, ja toivotamme asiakkaamme tervetulleiksi tekemään omia tarkastuksiaan.

Kuten useimmat ohjelmistoyritykset, itslearning ei kerro yksityiskohtaisesti käytössä olevista turvatoimista. Mutta tunnetuilta uhkilta suojautumiseen käytettävien turvatoimien ja prosessien joukossa on mm. seuraavat:

  • Sovellusten tietoturva, kuten kaiken liikenteen salaus, vahvasti hakkeroidut salasanat, suojaa haavoittuvuuksilta, kuten Cross site scripting, SQL-injektiot, phishing ja muut.
  • Verkkoturvallisuus, palomuurit ja järjestelmät, joilla havaitaan epäilyttävä käyttäytyminen tai estetään pahantahtoiset yritykset päästä verkkoon tai vaarantaa palvelun häiriönsietokyky (esim. DDOS-hyökkäykset).
  • organisaation turvallisuus, kuten käyttöoikeuskäytännöt, tarkastuslokit ja luottamuksellisuussopimukset.
  • Fyysinen turvallisuus, jolla estetään luvaton pääsy henkilötietoja käsittelevään infrastruktuuriin.
  • Menettelyjen turvallisuus - tietotekniikan hallintaprosessit, joilla minimoidaan inhimillisten virheiden riski, tai testausjärjestelmät, joilla tunnistetaan ohjelmistojen heikkoudet ennen uusien ominaisuuksien julkaisemista pilvipalveluissamme, tai käytännöt, joilla varmistetaan, että tietoja käsitellään vain asiakkaidemme ohjeiden mukaisesti.
Mistä itslearning saa käyttäjien henkilötietoja?

itslearning ei hanki itsenäisesti käyttäjätietoja palveluihimme. Käyttäjätiedot voidaan toimittaa alustalle joko manuaalisesti asiakkaiden edustajien toimesta, kolmannen osapuolen järjestelmään integroituna tai joissakin tapauksissa käyttäjien itsensä toimesta.

Yleisimmin henkilötiedot osoitteessa itslearning ovat peräisin "opiskelijatietojärjestelmistä", jotka ovat asiakkaidemme hallinnassa. Tuomme tietoja kolmansien osapuolten järjestelmistä vain asiakkaidemme ohjeiden perusteella.

Lähettääkö itslearning tietoja kolmansille osapuolille?

itslearning ei lähetä itsenäisesti tietoja kolmansille osapuolille ilman asiakkaidemme antamaa määräystä tai ilman lakisääteistä velvoitetta. Asiakkaan ohje voi olla sopimus integroinnista kolmannen osapuolen työkalun tai palvelun kanssa tai asiakkaan edustajat voivat itse luoda integraation kolmannen osapuolen työkalun tai palvelun kanssa. itslearning pyrkii estämään asiakkaita lähettämästä tietoja kolmansille osapuolille noudattamatta tietosuojasäännöksiä. On kuitenkin tärkeää, että asiakkaamme toteuttavat suojatoimia varmistaakseen, että tietoja ei siirretä kolmansille osapuolille noudattamatta niiden lakisääteisiä velvoitteita.

Vaikuttaako GDPR yhdysvaltalaisiin asiakkaisiin tai yhdysvaltalaisiin loppukäyttäjiin?

Ei laillisesti. EU:lla ei tietenkään ole lainsäädäntövaltaa Yhdysvaltojen alueella. GDPR ei tarjoa mitään oikeuksia tai vapauksia Yhdysvalloissa sijaitseville rekisteröidyille. GDPR ei myöskään aseta velvoitteita yhdysvaltalaisille asiakkaille, jotka eivät käsittele EU:n tai ETA:n rekisteröityjen tietoja. Yhdysvaltalaisten rekisteröityjen ja organisaatioiden oikeudet ja velvollisuudet turvataan osavaltioiden tai liittovaltion säännöksillä tai sopimusperusteisilla tai vapaaehtoisilla järjestelyillä.

itslearning tarjoaa kuitenkin yhdysvaltalaisille asiakkaillemme suurimmaksi osaksi samoja palveluja ja samaa turvallisuustasoa kuin eurooppalaisille asiakkaillemme. Yhdysvaltalaiset asiakkaat hyötyvät itslearning:n lähestymistavasta ja kulttuurista henkilötietojen suojaamiseen GDPR:n mukaisesti. Eurooppalaisen henkilötietojen suojan perusperiaatteet ovat osa yhdysvaltalaisille asiakkaillemme tarjoamaamme rakennetta ja sopimussitoumusta.