CAD-tietosuojaohje

Yleisen tietosuoja-asetuksen (GDPR) voimaantulon ja sen soveltamisen myötä henkilötietoja koskevaan tietojenkäsittelyyn tulee kiinnittää erityistä huomioita. Asetuksen tarkoituksena on suojata henkilöitä ja sallia heille myös oikeuksia. Eri organisaatioille asetus tarjoaa mahdollisuuden inventoida nykyiset tietovarastot ja kehittää pitkäjänteinen tapa tallentaa liiketoiminnan kannalta tärkeää, oikeaa ja ajantasaista tietoa. Tietojentallennuskapasiteetin moninkertaistuessa juuri tiedon oikeellisuudella on erittäin tärkeä merkitys. Myös tietoa tallentavat eri järjestelmät voivat olla päällekkäisiä ja tiedot voivat olla keskenään osin ristiriitaisia.

Vertex CAD –ohjelmisto mahdollistavat, tuotteesta riippuen, GDPR:n alaisten tietojen tallentamisen projekteihin. Tällaisia tietoja ovat esimerkiksi projektikortille tallennettavat asiakastiedot.

Tietoja tallennettaessa projekteihin tiedoista muodostuu tietosuoja-asetuksen mukainen henkilörekisteri.

Tarkemmat kuvaukset rekisteri- ja tietosuojaselosteista löydät tietosuojavaltuutetun verkkosivuilta: https://tietosuoja.fi

Rekisterinpitäjä

Suunnitteluohjelmiston rekisterinpitäjänä toimii sen käyttöoikeudet omistava organisaatio (yritys tai yhteisö). Vertex Systems Oy toimii ohjelmiston teknisenä toimittajana erillisellä ylläpitosopimuksella, mutta ei toimi rekisterinpitäjänä.

Yrityksen nimi, Y-tunnus

Osoitetiedot

Yhteyshenkilö rekisteriä koskevissa asioissa

Yhteyshenkilönä henkilörekisteriä koskevissa asioissa toimii:

Nimetty henkilö

Yhteystiedot (mm. sähköposti, puhelinnumero)

Yhteyshenkilö mm. vastaa rekisteriä koskeviin tiedusteluihin.

Rekisterin nimi

Anna henkilörekisterille nimi, joka yksilöi ja ilmaisee sen käyttötarkoituksen. Rekisterin nimenä voit käyttää käytössä olevan Vertex CAD –ohjelmiston nimeä, kuten esimerkiksi Vertex BD, Vertex G4 tai Vertex InD -suunnitteluohjelmisto.

Henkilötietojen käsittelyn tarkoitus

Suunnitteluohjelmistojen henkilötietojen käsittelyn tarkoituksena on ohjelmistolla suunniteltavien projektien projektitietojen hallinta. Tällaisia tietoja ovat järjestelmän asiakastiedot ja muut henkilötiedot.

Henkilötietojen käsittelyn tarkoitus kertoo, minkä rekisterinpitäjän tehtävän hoitamiseksi henkilörekisteri on perustettu. Henkilötietoja voidaan käsitellä esimerkiksi asiakas-, palvelu- tai työsuhteen ylläpitämiseksi.

Rekisterin tietosisältö

Tietosisältö esimerkiksi Vertex BD ja InD -järjestelmän osalta voi olla seuraavat

  • Asiakastiedot: Asiakkaan nimi, sähköpostiosoite, osoite, puhelinnumero(t) ja mahdollisia muita lisätietoja.
  • Muut tiedot:  Arkkitehdin, Rakennesuunnittelijan, Piirtäjän, Pääsuunnittelijan, Edustajan, Myyjän, Tarjouslaskijan, Vastaavan mestarin, Sähkösuunnittelijan, Työpäällikön ja  LVI-suunnittelijan nimi, osoite, puhelinnumerot, ja sähköpostisosoite.


Tietosisältö esimerkiksi Vertex G4 ja G4 Plant -järjestelmän sekä Vertex ED ja HD -järjestelmän osalta voi olla seuraava:

  • Asiakastiedot: Asiakkaan nimi ja yhteystiedot (osoite, puhelinnumero(t), sähköpostiosoitteet) sekä asiakkaan yhteyshenkilöt (nimi, asema, ja puhelinumerot, sähköpostiosoitteet) ja mahdollisia muita lisätietoja.
  • Järjestelmän käyttäjän tiedot:  Nimi, puhelinnumerot, sähköpostiosoitteet ja osoite.


Mikäli kyseiset tiedot voivat olla tallennettuna tietokantaan, ota tämä huomioon laatiessasi tietosuojaselostetta.

Rekisterin tietosisältö riippuu organisaationne tavasta käyttää CAD -ohjelmistojen eri mahdollisuuksia, joten varsinainen tietosisältö pitää varmistaa tapauskohtaisesti.

Tietosisältö muiden henkilötietojen osalta voi vaihdella. Tyypillisesti projekti- tai asiakastiedoissa on nimetty yhteyshenkilö sekä sähköposti-, puhelin- tai osoitetiedot. Esimerkiksi henkilötietojen käyttökohteita voivat olla projektiin kirjatut ostajan tai suunnittelijan tiedot. Rekisterinpitäjän edun mukaista on tallentaa järjestelmään vain välttämätön tieto, joka ei ole muulla tavoin saatavilla. Näin minimoidaan päällekkäisten tai jopa ristiriitaisten tietojen olemassaolo.

Tietosisältöihin ei liity suunnittelujärjestelmän toimesta henkilötietojen automaattista profilointia tai jatkokäsittelyä.

Selosteeseen merkitään ne tiedot tai tietotyypit, joita rekisteröidystä voidaan tallettaa. Henkilön yksilöintitiedot eritellään (esim. nimi ja yhteystiedot). Muilta osin voi riittää tietotyyppien tai ryhmien kuvaus (esim. tiedot asiakkaan tilaamista palveluista, niiden toimittamisesta ja laskuttamisesta). Tiedot voidaan ryhmitellä väliotsikoiden avulla.

Säännönmukaiset tietolähteet

Vertex suunnittelujärjestelmän tiedot kertyvät rekisterinpitäjän toiminnan seurauksena esim. työ- tai asiakassuhteen solmimisen yhteydessä. Tiedot voidaan saada rekisteröidyltä itseltään tai toisista järjestelmistä, kuten Vertex Flow ja DS. Mikäli tällaisia integraatioita on toteutettu, niiden tiedot tulee kuvata tässä kohdassa.

Tietojen säännönmukaiset luovutukset

Tietojen luovutus yhteistyökumppaneille

Tietoja luovutetaan mikäli, yrityksenne suunnitteluprojekteja jaetaan yhteistyökumppaneille tai alihankkijoille. Tällaisia tapauksia ovat tyypillisesti osien valmistus alihankkijalla, tai alihankintana suoritettava rakenne- ja LVIS-suunnittelu. Suosittelemme ennen tietojen siirtoa kumppaneille käyttöehtosopimuksen tekoa tai jo olemassa olevien kumppanien kohdalla käyttöehtojen päivittämistä mahdollisten vastuukysymysten selventämiseksi. Projektissa olevat henkilötiedot tallentuvat osaksi projektia ja sen siirtotiedostoa. Tällaisia tietoja ovat muun muassa projektikortille siirtyvät suunnittelija- ja asiakastiedot.

Järjestelmäintegraatiot

Jos yrityksellänne CAD on integroitu Vertex Flow tai DS-tiedonhallintajärjestelmään, tässä yhteydessä tietojen säännönmukaista luovuttamista tapahtuu. Mikäli tällaisia integraatioita on toteutettu, niiden tiedot tulee kuvata tässä yhteydessä. Muista kuvata myös tietojen luovutus CAD:iin FLow:n tai DS:n vastaavassa tietosuojaselosteessa.

Tietojen siirto EU- tai ETA-alueen ulkopuolelle

Siirretäänkö henkilötietoja Euroopan Unionin tai Euroopan talousalueen ulkopuolelle? Mikäli Vertex CAD -projekteja siirretään EU:n tai ETA:n ulkopuolella, tapahtuu tietojenluovutusta tässä kohdassa tarkoitetulla tavalla Euroopan Unionin tai Euroopan talousalueen ulkopuolelle.

Rekisterin suojauksen periaatteet

CAD-ohjelmistot asennetaan paikallisesti käyttäjän koneelle tai verkon yli käytettäväksi palvelimelle.

Paikallinen asennus: Paikallisen asennuksen tapauksessa tietosuoja perustuu käyttöjärjestelmän (Windows) tasolla rajattuihin käyttöoikeuksiin. Organisaatiossa kannattaa siis CAD -työasemille asettaa kullekin käyttäjälle henkilökohtaiset tunnukset Windowsiin. Yleiskäyttöisiä Windows tunnuksia tulee välttää. Tällöin pääsyä henkilötietoihin CAD:n kautta on mahdollista rajata ja hallita.

Palvelinasennus: Vastaavasti kuten paikallisessakin asennuksessa. Työasemille tulisi kirjautua henkilökohtaisilla tunnuksilla.

Manuaalisen aineiston, kuten mahdollisten tulosteiden, suojausta voidaan kuvata maininnalla säilytyksestä lukitussa tilassa. ATK:lla käsiteltävien tietojen osalta ilmoitetaan, miten tiedot on suojattu organisaation ulkopuolisilta sekä miten niiden käyttöoikeudet on rajattu organisaation sisällä. Kerro suojauksen yleisistä periaatteista. Älä ilmoita tietoturvaa vaarantavia yksityiskohtia. Kohtaan on myös hyvä merkitä, onko rekisteriin talletetut henkilötiedot säädetty salassa pidettäviksi.

Tarkastusoikeus ja oikeus vaatia tiedon korjaamista, oikaisemista tai poistamista

Tietosuoja-asetus takaa rekisteröidylle tietyin poikkeuksin oikeuden tietojen oikaisemiseen sekä oikeuden tietojen poistamiseen eli niin kutsutun oikeuden tulla unohdetuksi. Ilmoita tässä, miten pyyntö tulee tehdä ja mihin se osoitetaan. Esimerkiksi, pyyntö voidaan vaatia kirjallisesti toimitettuna rekisterinpitäjälle.

Periaatteessa jokaiselle rekisteröidyllä on oikeus tarkastaa omat tietonsa tai vaatia niiden korjaamista.

Muut henkilötietojen käsittelyyn liittyvät oikeudet

Tietosuoja-asetuksen mukaan tietojen tallentamiseen rekisteriin tarvitaan rekisteröidyn nimenomainen lupa. Mikäli järjestelmään tallennetaan asiakastietoja, tulee järjestelmään tallennettavilta henkilöiltä pyytää siihen lupa. Tämä lupa pitää olla todistettavissa - milloin ja miten lupa on saatu.

Lasten yksityisyydensuoja

Alle 16-vuotiaat lapset ovat erityisasemassa tietosuojan kannalta, joka tulee ottaa huomioon rekisteriselosteessa. Tällainen tilanne saattaa muodostua esimerkiksi, jos organisaatioonne palkataan kesätyöntekijöitä ja/tai TET-harjoittelijoita, joilla on pääsy järjestelmään.