Tässä tietosuojaselosteessa kuvataan Opsec Oy:n henkilötietojen käsittelyä kaikkien niiden tietojen osalta, joissa Opsec Oy on rekisterinpitäjänä. Opsec Oy on sitoutunut suojaamaan käyttäjien yksityisyyttä EU:n tietosuoja-asetuksen mukaisesti.
Opsec Oy
Y-tunnus: 2279758-3
Puh. 020 1986 6690
Sähköposti: info@opsec.fi
Käyntiosoite:
Tiedekatu 2, 60320 Seinäjoki
Postiosoite:
PL 150, 60101 Seinäjoki
Tietosuojavastaava
Jari Ala-Varvi
Puh. 020 1986 6699
Sähköposti: jari.ala-varvi@opsec.fi
Muut rekisterinpitäjät
Henkilötietoja käsitellään hallinnollisista syistä myös konsernin emoyhtiössä (Rauhala Yhtiöt Oy, Y:0875980-4), joka osallistuu yrityksemme elinkeinotoiminnan harjoittamiseen ja kehittämiseen sekä tuottaa liiketoiminnan tukipalvelut yhtiöllemme. Näihin palveluihin lukeutuu mm. henkilöstöhallinto, myynti, markkinointi ja taloushallinnon palvelut. Lisätietoja emoyhtiön tietojen käsittelystä saat Rauhala Yhtiöiden tietosuojaselosteelta.
Tietojen kerääminen
Opsec Oy:n henkilötietojen käsittelyyn vaikuttaa henkilön suhde yritykseen. Henkilö voi olla asiakas, uutiskirjeen tilaaja tai suoramarkkinoinnin postituslistalla oleva. Opsec Oy kerää myös analytiikkaa verkkosivustolla kävijöistä ja kohdentaa kävijätietojen perusteella mainontaa sosiaalisen median kanavissa. Henkilö voi kuulua edellä mainituista henkilötietoryhmistä yhteen tai useampaan ryhmään samanaikaisesti. Henkilötietojen käsittelyyn liittyvät lisätiedot löytyvät tästä alapuolelta:
Asiakkaat ja asiakkaidemme edustajat ja yhteyshenkilötTähän ryhmään kuuluvat asiakkaan tunnistamiseen ja yhteydenpitoon liittyvät tiedot, jotka ovat vähintään sähköpostiosoite ja nimi. Lisäksi tiedossa saattaa olla osoite, puhelinnumero, yritystiedot, toimenkuva ja muita asiakkaan mahdollisesti Opsec Oy:lle toimittamia tietoja.
Asiakkuuteen liittyvät tiedot kerätään pääosin suoraan asiakkaalta itseltään asiakaspalvelutilanteessa tai asiakas luovuttaa tiedot keskustelun, verkkolomakkeen tai sähköpostin välityksellä. Kuluttaja-asiakkailta voidaan isompien tilausten yhteydessä pyytää myös henkilötunnus, mikäli hänestä tulee laskutusasiakas. Tämä tieto vaaditaan luottokelpoisuuden varmistamiseksi ja tietojen lähde on pääsääntöisesti Suomen Asiakastieto.
Tietoja kerätään myös julkisista lähteistä, kuten yritysten nettisivuilta ja yritysrekistereistä. Tietojen keräämiseen käytetään esimerkiksi YTJ:n ja PRH:n rekistereitä sopimuksen allekirjoittajan nimenkirjoitusoikeuden varmistamiseksi.
Asiakkaiden tietoja käytetään yhteydenpitoon joko palveluiden tarjoamiseksi tai tuottamiseksi. Tietojen käsittelyn perusteena on siis aina joko sopimus tai välittömästi sopimuksen valmisteluun liittyvät toimet. Sopimusten lisäksi toimintaan liittyy lakisääteisiä velvoitteita, joiden perusteella käsitellään henkilötietoja. Esimerkkejä näistä velvoitteista on mm. kirjanpitolainsäädäntö ja yksityistä turvallisuusalaa koskeva lainsäädäntö.
Henkilötietoja säilytetään sopimussuhteen ajan ja kahden vuoden ajan sopimuksen päättymisestä mahdollisten valitusten tai korjauspyyntöjen käsittelemiseksi, ellei lainsäädännössä toisin vaadita.
Henkilötietoja siirretään Yhdysvaltoihin johtuen tietojärjestelmien ylläpidosta sellaisilla palvelutoimittajilla kuten Microsoft. Siirroissa Yhdysvaltoihin Microsoftin M365 ympäristön ja Mailchimpin (Intuit Inc.) uutiskirjeiden osalta käytämme siirtomekanismina komission tekemää tietosuojan riittävyyttä koskevaa päätöstä silloin, koska yritykset kuuluvat EU-US tietosuojakehyksen piiriin.
Muiden yhtiöiden kohdalla (esim. tiketöintijärjestelmämme) siirtomekanismi on komission hyväksymät vakiomuotoiset sopimuslausekkeet ja olemme arvioineet tiedonsiirtoon liittyvät riskit ja ottaneet käyttöön niitä vastaavat lisäsuojakeinot. Lisäsuojakeinoina käytetään mm. henkilötietojen minimointia, hajauttamista, pseudonymisointia tai salaamista sen mukaan, mikä kunkin siirron osalta arvio tietojen siirron riskeistä on.
Tiketöintijärjestelmämme minimointikäytäntöihin kuuluu, että niihin ei kerätä asiakastietoja tai asiakkaiden työntekijöiden tietoa muutoin kuin julkiset yhteystiedot yrityksiin, joita he edustavat ja vain silloin, kun he tekevät työpyyntöjä. Tiketöintiin ei myöskään kirjata mitään asiakaskohtaista salassapidettävää tietoa, vaan sellaiset arkkitehtuuriin ja ympäristön konfigurointiin liittyvä tieto on eri järjestelmissä tai asiakkaan osoittamassa järjestelmässä.”
Uutiskirjeen tilaajat ja markkinointiviestinnän vastaanottajatTähän ryhmään kuuluvien henkilöiden tunnistamiseen ja yhteydenpitoon käytetään vähintään sähköpostiosoitetta. Lisäksi Opsec Oy:llä saattaa olla tallennettuna uutiskirjeen tilaajien ja markkinointiviestinnän vastaanottajien osoite, puhelinnumero, yritystiedot, toimenkuva ja muita tilaajan tai vastaanottajan mahdollisesti Opsec Oy:lle toimittamia tietoja.
Tietoja markkinointiviestintää varten kerätään esimerkiksi keskustelun, verkkolomakkeen tai sähköpostin välityksellä, uutiskirjeen tilauksen yhteydessä tai julkisista lähteistä.
Julkisia lähteitä ovat esimerkiksi yritysten www-sivut ja yritysrekisterit. Opsec Oy voi myös ostaa tietoja markkinatutkimuksia tekeviltä organisaatioilta, joille vastaanottaja on luovuttanut tietonsa tätä tarkoitusta varten.
Tietoja käsitellään oikeutetun edun perusteella. Oikeutettu etu on elinkeinon harjoittaminen ja suoramarkkinoinnin toteuttaminen sen mahdollistamiseksi. Opsec Oy on tehnyt tasapainotestin oikeutetun edun käyttämisestä henkilötietojen käsittelyn perusteena, minkä tuloksena on todettu, ettei se aiheuta kohtuuttomia seurauksia rekisteröidylle. Rekisteröity voi vastustaa tietojensa käsittelyä koska tahansa. Lisätietoja tasapainotestistä löytyy täältä.
Tietoja käsitellään myös suostumuksen perusteella, kuten esimerkiksi henkilön tilatessa Opsec Oy:n uutiskirjettä. Tietoja käsitellään suostumuksen mittaisen ajan. Uutiskirjeen tilaaja voi koska tahansa peruuttaa suostumuksen joko suoraan markkinointiviesteissä mukana toimitettavan linkin kautta tai olemalla yhteydessä Opsec Oy:n henkilökuntaan, millä tahansa muulla tavalla.
Uutiskirjeen peruuttaminen lopettaa markkinointiviestinnän, mutta sähköpostiosoite jää talteen, jotta markkinointikielto osataan kohdistaa oikeaan sähköpostiosoitteeseen. Vastaanottaja voi halutessaan pyytää sähköpostiosoitteensa poistamista kokonaan, mutta silloin markkinointikieltoa ei voida jatkossa varmasti kohdistaa kyseiseen osoitteeseen.
Uutiskirjeen tilaajien yhteystiedot tallennetaan Mailchimpiin, joka on Opsec Oy:llä käytössä oleva uutiskirjetyökalu. Mailchimp kerää käyttäjistä myös uutiskirjeiden linkkien avaamiseen liittyvää analytiikkaa. Mailchimpin analytiikasta nähdään; kuka on avannut uutiskirjeen, koska ja kuinka monta kertaa uutiskirje on avattu ja mitä linkkejä vastaanottaja on uutiskirjeissä klikannut. Tietoja käytetään markkinoinnin vaikuttavuuden seurantaan ja kehittämiseen. Klikkauksista päätellään esimerkiksi vastaanottajien kiinnostusta Opsec Oy:n viestintää ja palveluita kohtaan.
Henkilötietoja siirretään Yhdysvaltoihin johtuen siitä, että Mailchimp on Yhdysvaltalaisen yhtiön Intuit Inc:in tuote. Siirroissa Yhdysvaltoihin käytämme mekanismina komission tekemää tietosuojan riittävyyttä koskevaa päätöstä, koska Intuit Inc. kuuluu EU-US tietosuojakehyksen piiriin. Mailchimpissä ei kuitenkaan ole muita tietoja kuin henkilöiden sähköiset yhteystiedot yrityksiin, joiden edustajia he ovat ja silloin, kun edustajuus liittyy henkilön työtehtäviin. Myös uutiskirjeen tilanneet ja siihen suostumuksen antaneet kuuluvat näihin henkilöihin.
Asiakaskyselyt ja -tutkimuksetKeräämme tietoja kyselylomakkeilla saadaksemme palautetta yrityksemme toiminnasta, asiakastyytyväisyydestä, brändin tunnettavuudesta, mielikuvista sekä tulevaisuuden odotuksista. Tietoja käytetään palvelumme parantamiseen ja kehittämiseen ja oikeutettu etu on siten elinkeinonharjoittamisen oikeus. Joissakin kyselyissä voi olla erikseen suostumus esimerkiksi yhteystietojen käsittelemistä varten, mutta siitä kerrotaan tarkemmin kyselyn johdannossa tai suostumuksen keräämisen yhteydessä.
Kaikilla kyselyillä ei kerätä henkilötietoja tai tunnistetietoja. Kannattaa huomioida, että avoimiin kysymyksiin antaessasi tietoja esimerkiksi suhteestasi meihin, sinut voidaan vastauksesta tunnistaa. Tämä johtuu siitä, että monet kyselyt postitetaan vain sopimusyhteyshenkilöille, joita ei kaikissa asiakas- ja kumppaniyrityksissämme ole välttämättä enempää kuin yksi.
Joissakin kyselyissä voidaan kerätä erikseen yhteystietoja tai jossain voi olla vapaaehtoisia arvontaosallistumiseen tai muuhun vastaamisesta saatavien palkkioiden toimitukseen liittyviä tietoja. Niistä on kuitenkin aina erikseen maininta ja ne ovat lähes aina vapaaehtoisia ja voit itse päättää, mitkä tiedot luovutat meille. Suosittelemme, että et luovuta meille kotirauhan tai muutoin yksityisyyden suojan piiriin kuuluvia tietoja.
Säilytämme tietoja vain kyselyn vastauksen käsittelyn ajan ja kunnes vastauksista on saatu anonymisoidut tilastot tai luvatut arvonnat on suoritettu tai palkkiot on toimitettu. Tyypillisesti tämä aika on pari kuukautta. Google säilyttää tietoja omalla alustallaan korkeintaan 180 päivää.
Kyselyt toteutetaan Google Forms -lomakkeilla ja se mitä henkilötietoja Google kerää, riippuu siitä, oletko kirjautunut Google tilillesi selaimella, jolla vastaat. Tai oletko sallinut aiemmin verkkoa selaillessa Googlen evästeet. Jos et ole kirjautuneena Googlen palveluun, etkä ole sallinut evästeitä tai käytät esimerkiksi Incognito -ikkunaa tai vastaavaa yksityisyystilaa selaimessa, sinusta ei kerätä mitään tietoja.
Jos olet sallinut evästeet tai olet kirjautunut Google tilillesi, Google saa sinusta laajemmin tietoja. Google Forms on osa Google Workspace -palvelukokonaisuutta, ja se käyttää Google Cloud -alustaa. Google kerää ja käsittelee tietoja monin eri tavoin, ja sen tietojenkäsittelykäytännöt Google Forms -palvelussa noudattavat yleisiä Google Cloud -palvelun käyttöehtoja ja tietosuojakäytäntöjä. Kun käytät Google Formsia kyselyiden tai lomakkeiden luomiseen ja jakamiseen, on tärkeää ymmärtää, miten Google käsittelee henkilötietoja tässä kontekstissa:
Tiedonkeruu ja käyttö
- Käyttäjätiedot: Google kerää tietoja käyttäjistään ja heidän toiminnastaan palveluissaan, mukaan lukien Google Forms. Tämä voi sisältää esimerkiksi käyttäjän laitteen tiedot, lokitiedot ja sijaintitiedot, riippuen siitä, miten palveluita käytetään ja mitä olet sallinut Googlen yksityisyysasetuksissa.
- Palvelujen tarjoaminen ja parantaminen: Google käyttää kerättyjä tietoja palveluidensa tarjoamiseen, ylläpitämiseen, suojaamiseen ja parantamiseen. Tämä sisältää myös uusien ominaisuuksien kehittämisen ja käyttäjäkokemuksen parantamisen.
- Analytiikka ja mukauttaminen: Google käyttää tietoja myös palveluidensa mukauttamiseen käyttäjille, tarjoamalla esimerkiksi räätälöityjä mainoksia. Analytiikkatietoja voidaan käyttää myös palveluiden käytön ymmärtämiseen ja parantamiseen.
Tietojen jakaminen
- Google Cloud -asiakkaiden kanssa: Luodun Google Forms -lomakkeen tiedot tallennetaan Google Cloud -infrastruktuuriin. Tietojen käsittely noudattaa Google Cloudin sopimusehtoja, mukaan lukien asiakkaiden ja Googlen välinen tietojenkäsittelyliite (Data Processing Addendum, DPA), joka määrittelee osapuolten vastuut henkilötietojen käsittelyssä.
- Kolmansien osapuolien kanssa: Google voi jakaa henkilötietoja kolmansien osapuolien kanssa sovellettavan lain sallimissa rajoissa, esimerkiksi käyttäjän suostumuksella tai oikeudellisten vaatimusten täyttämiseksi.
- Google lupaa kuitenkin käyttöehdoissaan, että Forms:illa kerättyä dataa ei käytetä markkinointitarkoituksiin tai myydä eteenpäin.
Tietoturva
- Tietojen suojaus: Google käyttää useita turvatoimenpiteitä suojatakseen keräämiään tietoja luvattomalta pääsyltä, muuttamiselta, paljastamiselta tai tuhoamiselta. Tämä sisältää esimerkiksi salauksen, pääsynhallinnan ja turvallisuusauditoinnit.
Käyttäjien oikeudet
- Tietojen hallinta: Käyttäjillä on mahdollisuus tarkastella, muokata ja poistaa omaa tietoaan Google-palveluissa. Lisäksi Google tarjoaa työkaluja tietojen hallintaan, kuten Google Dashboardin ja tietojen vientiominaisuudet. Pääsääntöisesti näitä oikeuksia voi käyttää Googlen tiliasetuksissa ja tilin hallinnassa.
Henkilötietoja siirretään Yhdysvaltoihin johtuen siitä, että Google on yhdysvaltalainen yhtiö. Siirroissa Yhdysvaltoihin käytämme mekanismina komission tekemää tietosuojan riittävyyttä koskevaa päätöstä, koska Google on sertifioitunut EU-US tietosuojakehyksen piiriin. Google voi käyttää henkilötietojen siirroissa eteenpäin omille yhteistyökumppaneilleen myös EU komission hyväksymiä vakiosopimuslausekkeita (SCC). Nämä sopimukset ovat nähtävillä osoitteessa: https://cloud.google.com/terms/data-processing-addendum
Verkkosivustolla kävijätVerkkosivujen käyttöön liittyvät tiedot: eväste eli cookie, ip-osoite, laitetunniste ja asiakastunniste.
Käyttäjän valitsemien asetusten osalta evästeisiin tallennetaan tieto esimerkiksi siitä, millä kielellä käyttäjä haluaa sivustoa käyttää. Samaan evästeeseen voi käyttäjä halutessaan tallentaa sivustolla käytettäviä muitakin valintoja. Näin käyttäjän tullessa seuraavan kerran sivustolle, on esimerkiksi sivuston kieli heti oikea. Verkkosivujen kävijäanalytiikan tiedot muodostuvat rekisteröidyn toimista verkkosivuilla vierailun aikana. Voit estää evästeiden käytön ja silti löydät sivuiltamme kaiken tiedon, joka käytössä olisi evästedenkin kanssa. Kaikki sivustomme toiminnot eivät kuitenkaan välttämättä toimi suunnitellusti, mutta se ei estä sivuston käyttöä tai rajaa sivuilta saatavissa olevaa tietoa.
Kaikkiin evästeisiin ja niiden tallentamiseen eri tarkoituksiin käyttäjän päätelaitteelle kysytään aina suostumus. Emme käytä näitä tietoja mihinkään jatkokäyttötarkoituksiin esim. oikeutetun etumme perusteella tai kohdenna sivuillamme mitään mainontaa käyttäjiin. Jos olet sallinut evästeet, on hyvä huomata, että kolmannet osapuolet saavat sivustomme selailuun liittyvät tietosi ja ne voivat käyttää näitä tietoja esimerkiksi mainonnan kohdentamiseen, jos olet sen niiden alustoilla sallinut.
Sivustollamme käytetään evästeitä seuraaviin tarkoituksiin:
- Kävijätilastointia varten (Google Analytics, jne.)
- Käyttäjien valitsemien asetusten tallentamiseksi (kuten kielivalinnat)
- Facebookin ja LinkedInin mainostus- ja kohdennuseväste
Osa verkkosivujen sisällöstä (esim. Asiakkaat -sivun asiakaskokemusvideot) tulevat YouTube -palvelusta ja näitä sisältöjä ladattaessa samankaltaisia henkilötietoja välitetään sivustomme kautta YouTubelle, jonka omistaa Google.
Facebook
Facebookin osalta käytössä on eväste (_fbp), jonka avulla Facebook saa tiedon vierailusta sivuillamme ja pystyy kohdentamaan mainoksia sinulle sen perusteella. Tämä mahdollistaa myös jälkimarkkinointimme sinulle Facebookissa ostettujen kampanjoiden kautta. Me emme saa sinusta tietoja Facebookin kautta. Facebook käsittelee tietojasi itsenäisenä rekisterinpitäjänä ja heidän tietosuojakäytännöistään voit lukea lisää osoitteesta:
https://www.facebook.com/about/privacy
Google
Kävijätilastoinnin osalta keräämme tietoja käyttäjän päätelaitteesta, verkko-osoitteesta (IP-osoite) ja käytetyistä ohjelmistoista sekä niiden versioista. Näiden tietojen avulla voimme yksilöidä ja laskea sivustollamme vierailevat eri käyttäjät ja millaista tietoa sivuilta haetaan sekä miten sivuston palveluita käytetään. Tarkoituksena on tilastoida anonyymisti sivun kävijämääriä esimerkiksi markkinointikampanjoiden vaikuttavuustutkimuksissa. Samalla opimme, mitä tietoa sivustoltamme useimmiten haetaan, ja voimme sen tiedon avulla kehittää sivuston rakennetta sellaiseksi, että käyttäjät löytävät helposti etsimänsä.
Osaa verkkosivuillamme kerättäviä tietoja hyödyntää myös Google esimerkiksi markkinoinnin kohdentamiseksi omien palveluidensa käytön yhteydessä. Käytössämme on esimerkiksi Google Analytics, Google Tag Manager, Google Ads, Google Search Console ja Google Maps. Osassa henkilötietojen käsittelyä olemme yhteisrekisterinpitäjän asemassa, osassa käsittelijänä. Googlen ja YouTuben tietosuojakäytännöistä voit lukea lisää täältä.
Näiden palveluiden kautta luovutamme tietosi esimerkiksi Googlelle, joka käsittelee niitä itsenäisenä rekisterinpitäjänä. Sivustoilla kävijää koskeva data siirretään Googlelle ja Google käsittelee sitä rekisterinpitäjänä omiin käyttötarkoituksiinsa ja Googlella on mahdollisuus yhdistää dataa muihin kävijää koskeviin tietoihinsa. Google käyttää epäsuoraan tunnistamiseen kävijän yksilöllistä tunnistetta (IP-osoite ja/tai laitetunniste) käyttäjien yksilöimiseen, mutta sillä on mahdollisuus yhdistää tämä IP-osoite esimerkiksi Google-tilille kirjautumisen yhteydessä suoraan luonnolliseen henkilöön. Huomaa, että Google tilille kirjautuneena, Google kerää sinusta vielä yksilöivämpiä tunnisteita, kuten esimerkiksi laitteesi yksilöivät tunnisteet, käyttämäsi selaimen tai sovelluksen tiedot, Android / IOS -mobiilikäyttäjien mainostustunniste, kielivalinnat, ystäväverkostosi ja suosituimmat YouTube-videosi.
Google käyttää kävijätietoja ainakin seuraaviin tarkoituksiin:
- Paikannus (maa, kaupunki, yrityksen tai yhteisön omistama verkko, kun sallit paikannuksen)
- Kävijän käyttäytyminen sivustolla
- Kävijän kiinnostuksen kohteet sivustolla
- Uudelleenmarkkinointi ja mainosten välittäminen
Uudelleenmarkkinointiin liittyen Google täydentää IP-osoitteeseesi sen käyttämiseen pohjautuvia tietoja, joiden perusteella se luokittelee käyttäjää ainakin sijainnin, osoitteen ja iän perusteella.
Google yleiset tietosuojakäytännöt löytyvät osoitteesta: https://policies.google.com/privacy#infocollect
Evästeiden säilytysajat
Säilytämme tietojasi seuraavasti:
- Facebook -evästeet: 3kk
- Sivuston käyttöön liittyvät valinnat: keskimäärin 6 kuukautta
- Cookie-hyväksyntä ja yksityisyysasetukset: 1 vuosi
- Google Analytics: 2 vuotta
Lisätietoja verkkosivustomainonnasta saat esimerkiksi Your Online Choices -sivuston kautta.
Voit poistaa selaimesi tallentamat evästeet selaimen asetuksista. Alla linkkejä evästeiden poistoon eri selaimista: Internet Explorer, Firefox, Google Chrome ja Safari