Ohjeita tietosuojaselosteen laatimiseksi - tuotetiedonhallintaohjelmistot Vertex Flow ja Vertex Design Stream


Yleisen tietosuoja-asetuksen (GDPR) voimaantulon ja sen soveltamisen myötä henkilötietoja koskevaan tietojenkäsittelyyn tulee kiinnittää erityistä huomioita. Asetuksen tarkoituksena on suojata henkilöitä ja sallia heille myös oikeuksia. Eri organisaatioille asetus tarjoaa mahdollisuuden inventoida nykyiset tietovarastot ja kehittää pitkäjänteinen tapa tallentaa liiketoiminnan kannalta tärkeää, oikeaa ja ajantasaista tietoa. Tietojentallennuskapasiteetin moninkertaistuessa juuri tiedon oikeellisuudella on erittäin tärkeä merkitys. Myös tietoa tallentavat eri järjestelmät voivat olla päällekkäisiä ja tiedot voivat olla keskenään osin ristiriitaisia.

Seuraavassa tekstissä kuvataan, mitä Vertex tiedonhallintatuotteiden Flow'n ja DS:n (Design Stream) osalta tulee ottaa huomioon, kun niistä laaditaan tietosuoja-asetuksen vaatimaa dokumentaatiota. Keskitetty tuotetiedonhallintajärjestelmä luo mahdollisuuden rakentaa sisäänrakennetun ja oletusarvoisen tietosuojan henkilötietojen ja muun arkaluontoisen, mm. tekijänoikeuksien alaisen, dokumentaation suojaamiseksi.

Tarkemmat kuvaukset rekisteri- ja tietosuojaselosteista löydät mm. tietosuojavaltuutetun verkkosivuilta http://tietosuoja.fi






Rekisterinpitäjä

Tuotetiedonhallintaohjelmiston rekisterinpitäjänä toimii sen käyttöoikeudet omistava organisaatio (yritys tai yhteisö). Vertex Systems Oy toimii ohjelmiston teknisenä ylläpitäjänä erillisellä ylläpitosopimuksella, mutta ei toimi rekisterinpitäjänä.

Yrityksen nimi, Y-tunnus

Osoitetiedot


Yhteyshenkilö rekisteriä koskevissa asioissa

Yhteyshenkilö mm. vastaa rekisteriä koskeviin tiedusteluihin. Organisaation yhteyshenkilönä tuotetiedonhallintatuotteen henkilörekisteriä koskevissa asioissa toimii:

Nimetty henkilö

Yhteystiedot (mm. sähköposti, puhelinnumero)


Rekisterin nimi

Rekisterin nimi, joka yksilöi järjestelmän ja kuvaa mahdollisuuksien mukaan sen käyttötarkoituksen, on Vertex Flow tai Vertex DS -tuotetiedonhallintaohjelmisto.


Henkilötietojen käsittelyn tarkoitus

Järjestelmän käyttäjätiedot

Tuotetiedonhallintaohjelmistojen henkilötietojen käsittelyn tarkoituksena on ohjelmiston käyttäjätietojen hallinta. Ohjelmiston käyttö vaatii henkilökohtaiset käyttäjätunnukset. Rekisterinpitäjä luo käyttäjätunnukset ja luovuttaa ne käyttäjälle (henkilöille) palvelussuhteen tai työtehtävien suorittamiseksi.

Muut henkilötiedot

Henkilötietoja voidaan tiedonhallintajärjestelmään tallentaa myös muussa kuin käyttäjien hallintaan liittyvissä tarkoituksissa. Järjestelmää voidaan hyödyntää CRM-järjestelmän tavoin asiakastietojen hallintaan esim. projekti- tuote- tai asiakasobjektien kautta. Nämä asiakastiedot voivat sisältää henkilöiden nimiä ja yhteystietoja, jotka ovat syntyneet asiakassuhteen tai muun toimenpiteen kautta. Tiedonhallintajärjestelmä voi myös toimia erillisen rekisterin tallennuspaikkana (esim. Excel-pohjaiset henkilötietoja sisältävät taulukot). Tiedonhallintaohjelmisto voi olla liitetty teknisellä rajapinnalla myös muihin tietojärjestelmiin. Näitä ovat Vertex CAD-integraatio, LDAP-käyttäjänhallinta, ERP-toiminnanohjausliityntä tai erillinen yleinen tiedonhallintarajapinta. näiden rajapintojen läpi voidaan välittaa henkilötietoja liittyen käyttäjiin tai muihin henkilötietoihin (esim. CRM-käyttö). Näiden henkilötietojen käyttötarkoitus voi olla kumppani- tai asiakassuhteen hoitaminen, ylläpitäminen, kehittäminen tai erityyppisten palveluiden tarjoaminen.


Rekisterin tietosisältö

Tietosisältö järjestelmän käyttäjätietojen osalta:

  • käyttäjätiedot: käyttäjätunnus, nimi, sähköpostiosoite ja mahdollisia muita käyttäjäryhmiin ja organisaatioon kuuluvia tietoja
  • tuotetiedonhallintaohjelmiston tietosisällön arkistointitiedot (esim. dokumentin luoja tai muuttaja): nimi, päivämäärä ja kellonaika

  • historiatiedot käyttäjän suorittamista tuotetiedonhallintaohjelmiston toiminnoista (ns. käyttäjäloki, esimerkkitoimintoja; dokumentin katselu, dokumentin muokkaus, uuden dokumentin luonti): käyttäjätunnus, päivämäärä ja kellonaika, IP-osoite
  • sovelluspalvelimen lokitiedot: IP-osoite, päivämäärä ja kellonaika


Tietosisältö muiden henkilötietojen osalta voi vaihdella toteutustavan mukaan. Tyypillisesti projekti- tai asiakastiedoissa on nimetty yhteyshenkilö sekä sähköposti-, puhelin- tai osoitetiedot. Henkilöstä tallessa olevat tiedot tulee eritellä (esim. nimi, osoite, puhellinumero). Henkilötietojen käyttökohteita voivat olla Flow-tuoteyksilölle kirjatut ostajan henkilötiedot tai DS:n tarjousprojektissa olevat tiedot henkilöistä, joille tarjous on tehty. Rekisterinpitäjän edun mukaista on tallentaa järjestelmään vain välttämätön tieto, joka ei ole muulla tavoin saatavilla. Näin minimoidaan päällekkäisten tai jopa ristiriitaisten tietojen olemassaolo.

Tietosisältöihin ei liity tietojärjestelmän toimesta henkilötietojen automaattista profillointia tai jatkokäsittelyä.


Säännönmukaiset tietolähteet

Vertex tiedonhallintajärjestelmän tiedot kertyvät rekisterinpitäjän toiminnan seuraksena esim. työ- tai asiakassuhteen solmimisen yhteydessä. Tiedot voidaan saada rekisteröidyltä itseltään tai toisista järjestelmistä. Mikäli yrityksen muita järjestelmiä on integroitu Vertex-tiedonhallintajärjestelmään ja tiedot siirtyvät niiden välillä automaattisesti, se katsotaan tietojen luovuttamiseksi (tiedot saadaan muualta). Mikäli tällaisia integraatioita on toteutettu, niiden tiedot tulee kuvata tässä kohdassa.


Tietojen säännönmukaiset luovutukset

Tietojen luovutus yhteistyökumppaneille

Mikäli yrityksenne Vertex-tiedonhallintajärjestelmään on pääsy alihankkijoilla tai muilla yhteistyökumppaneilla, kuvaa millä tavoilla tietojen luovutus tapahtuu. Suosittelemme ennen järjestelmän avaamista kumppaneille käyttöehtosopimuksen tekoa tai jo olemassaolevien kumppanien kohdalla käyttöehtojen päivittämistä mahdollisten vastuukysymysten selventämiseksi. Vakioasetuksilla Vertex-tiedonhallintajärjestelmän tietoja luovutetaan automaattisesti ainoastaan Vertex CAD –järjestelmiin. Tällaisia tietoja ovat muun muassa projektikortille siirtyvät suunnittelija- ja asiakastiedot.

Järjestelmäintegraatiot

Jos yrityksellänne on integroitu muita järjestelmiä Vertex-tiedonhallintajärjestelmään, saattaa tässä yhteydessä tietojen säännönmukaista luovuttamista tapahtua. Mikäli tällaisia integraatioita on toteutettu, niiden tiedot tulee kuvata tässä yhteydessä.


Tietojen siirto EU- tai ETA-alueen ulkopuolle

Siirretäänkö henkilötietoja Euroopan Unionin tai Euroopan talousalueen ulkopuolelle? Mikäli Vertex-tiedonhallintajärjestelmän käyttäjiä sijaitsee EU:n ulkopuolella, tapahtuu tietojenluovutusta tässä kohdassa tarkoitetulla tavalla Euroopan Unionin tai Euroopan talousalueen ulkopuolelle.




Rekisterin suojauksen periaatteet

Vertex-tiedonhallintajärjestelmä asennetaan käyttöoikeudet omistavan organisaation osoittamalle palvelimelle. Tässä yhteydessä tulee huolehtia, että käyttäjätietoihin on pääsy vain järjestelmän ylläpitäjillä. Käyttäjien tulee kirjautua järjestelmään henkilökohtaisilla tunnuksilla ja sen käyttöä on mahdollista valvoa mm. käyttäjälokitietojen kautta. Lokitietoihin kirjautuu käyttäjien tietyllä ajanhetkellä tekemät toimenpiteet kuten tietyn dokumentin katselu tai muokkaus. Huolehdi myös järjestelmän varmuuskopioinnista ja varmuuskopioiden säilyttämisestä asianmukaisella tavalla. Jos järjestelmää käytetään lähiverkon ulkopuolelta, yhteyksien tulisi olla luotettuja (esim. https tai VPN-käyttö) ja käyttäjien salasanojen riittävän vahvoja.

Järjestelmään on mahdollista tallentaa muun muassa tietoa tai dokumentteja, joiden sisältönä saattaa olla tietosuoja-asetuksen alaisia henkilötietoja. Tällaisten dokumenttien kohdalla järjestelmän käyttäjien tulee harkita tiedon tarpeellisuus ja tarkoituksenmukaisuus. Mikäli dokumentti kuitenkin tallennetaan järjestelmään, tulee käyttäjän rajata dokumentin käyttöoikeudet tarkoituksen mukaisiksi käyttämällä järjestelmän oikeuksienhallintaominaisuuksia. Näillä toimilla estät mm. tietosisällön tahattoman tai tahallisen laittoman muuttamisen tai tuhoamisen.

Kuvaa järjestelmän suojauksen periaatteet kuitenkin vain sellaisella tasolla (ei liian yksityiskohtaisesti), ettei tietoturva vaarannu.


Tarkastusoikeus ja oikeus vaatia tiedon korjaamista, oikaisemista tai poistamista

Tietosuoja-asetus takaa rekisteröidylle tietyin poikkeuksin oikeuden tietojen oikaisemiseen sekä oikeuden tietojen poistamiseen eli niin kutsutun oikeuden tulla unohdetuksi. Vertex tiedonhallintaohjelmiston henkilötietoja voidaan tapauskohtaisesti säilyttää ns. yleisen edun mukaisesti arkistointitarkoituksissa. Näitä tietoja voivat olla järjestelmän henkilökohtaiset käyttäjätiedot, vaikka henkilön työsuhde olisikin jo päättynyt. Ilmoita tässä, miten pyyntö tulee tehdä ja mihin se osoitetaan. Esimerkikisi, pyyntö voidaan vaatia kirjallisesti toimitettuna rekisterinpitäjälle.


Muut henkilötietojen käsittelyyn liittyvät oikeudet

Tietosuoja-asetuksen mukaan tietojen tallentamiseen rekisteriin tarvitaan rekisteröidyn nimenomainen lupa. Mikäli järjestelmää käytetään CRM:n tavoin, tulee järjestelmään tallennettavilta henkilöiltä pyytää siihen lupa. Tämä lupa pitää olla todistettavissa - milloin ja miten lupa on saatu. Lupa voidaan pyytää esimerkiksi sähköpostilla, joka tallennetaan ja linkitetään henkilötietojen yhteyteen.


Lasten yksityisyydensuoja

Alle 16-vuotiaat lapset ovat erityisasemassa tietosuojan kannalta, joka tulee ottaa huomioon rekisteriselosteessa. Tällainen tilanne saattaa muodostua esimerkiksi, jos organisaatioonne palkataan kesätyöntekijöitä ja/tai TET-harjoittelijoita, joilla on pääsy järjestelmään.