GDPR FAQ
Kuka on rekisterinpitäjä?
Tilaaja, eli koulu, kunta tai yritys, jonka oppilaat ja/tai henkilökunta käyttävät palvelua, on rekisterinpitäjä. Rekisterinpitäjä vastaa rekisteriin kerättyjen henkilötietojen oikeellisuudesta ja ylläpidosta.
Oikeus kerätä ja luovuttaa meille oppilaiden henkilötietoja voi perustua lakisääteiseen velvoitteeseen (opetuksen järjestäminen), mutta on mahdollista, että oppilaalta (tai alle 13- vuotiaan oppilaan tapauksessa tämän huoltajilta) tulee pyytää suostumus lapsen henkilötietojen käsittelyyn. Rekisterinpitäjän tulee varmistaa käsittelylle oikea käsittelyperuste.
Kuka on käsittelijä?
Palveluntarjoaja, eli Typing Master Finland Oy, käsittelee henkilötietoja rekisterinpitäjän lukuun.
Onko palvelulla käyttöehdot?
Kyllä, käyttöehtomme löytyvät täältä.
Onko palvelusta saatavilla tietosuojaliite?
Kyllä, suomenkielinen tietosuojaliitteemme löytyy täältä.
Onko kyseessä oppimisympäristö?
Kyllä.
Tallennetaanko järjestelmään käyttäjien henkilötietoja?
Kyllä.
Mitä henkilö- tai profilointitietoja palveluun tallennetaan?
Palveluun tallennetaan pakollisina tietoina käyttäjätunnus, salasana ja etunimi. Lisäksi palveluun voi tallentaa sukunimen, sähköpostiosoitteen ja ryhmätietoja. Henkilötietoja ei käytetä profilointiin.
Miksi palveluun tallennetaan henkilö- tai profilointitietoja?
Tietoja tallennetaan opetuksen järjestämiseksi ja palvelun tuottamiseksi. Tilaaja käyttää tietoja käyttäjän tunnistamista ja todentamista varten sekä oikeiden käyttöoikeuksien antamista varten sekä opiskelun edistymisen seurantaan. Käsittelijä käyttää tietoja vain sisäisesti liiketoiminnan, palvelun ja prosessien kehittämiseksi, tilaajan asiakastuen hoitamiseksi sekä ymmärtääksemme paremmin asiakkaidemme tarpeita.
Mitä muuta tietoa palveluun tallennetaan?
Palveluun tallentuu myös käyttötietoa. Tällaista on esimerkiksi harjoitusten ja kirjoituskokeiden tulokset, tunnistautumistiedot ja loki. Käyttötiedon tallentaminen mahdollistaa opettajille yksittäisten oppilaiden tekemien harjoitusten tulosten seuraamisen.
Kuinka käyttäjätilit luodaan/muutetaan/poistetaan?
Palvelussa on käyttäjähallintatyökalu käyttäjätilien luomiseen, muuttamiseen ja poistamiseen. Tilaaja vastaa käyttäjätilien luomisesta ja tiedon oikeellisuudesta. Rekisterinpitäjän tulee pitää huoli, ettei oppilaiden tietoja säilytetä turhan pitkän aikaa palvelussamme. Voitte poistaa tietoja itse tai voitte pyytää meitä poistamaan niitä kerralla suurempia määriä.
Kuinka nopeasti henkilötiedot poistuvat palvelusta?
Henkilötiedot poistuvat palvelusta välittömästi, kun tiedot poistetaan järjestelmästä. Varmuuskopioista tiedot poistuvat automaattisesti 6kk kuluessa.
Kenellä on pääsy henkilörekisteriin?
Tilaaja vastaa pääsyoikeuksien myöntämisestä opettajille ja ylläpitäjille omassa organisaatiossaan. Vain ne palveluntarjoajan työntekijät ja alikäsittelijät, joilla työnsä puolesta on oikeus ja tarve käsitellä asiakastietoja, voivat kirjautua järjestelmään.
Muodostuuko NäppisTaituriin uusi henkilörekisteri, kun tuomme palveluun oppilaita?
NäppisTaituri ei tallenna käyttäjistä uusia henkilötietoja, joista oppilaan voisi tunnistaa. Tällöin palveluun ei synny uutta henkilörekisteriä.
Sijaitseeko palvelu EU/ETA-alueella tai onko toimittaja sitoutunut EU-mallisopimuslausekkeisiin?
Palvelu sijaitsee EU/ETA-alueella.
Luovuttaako palvelu henkilötietoja eteenpäin kolmansille osapuolille?
Ei luovuta.
Käyttääkö palvelu alikäsittelijöitä?
Käytämme seuraavia alikäsittelijöitä:
- Infrastruktuuri: Velia, Microsoft Azure, Google, Cloudflare, AWS
- Järjestelmänhallinta: GoToAdmins
- Asiakkuudenhallinta ja viestintä: Zoho CRM, Postmark, Proposify, Twilio, Activecampaign, Pandadoc
- Maksunvälitys ja laskutus: ShareIt, Fastspring, Microsoft, TietoAkseli, Accountor
- Integraatiot: Zapier, Cazoomi
Palvelun tietosuojan riskin taso asteikolla 1-5 (1=matala, 5=korkea)
NäppisTaituri on matalan riskitason palvelu (1). Henkilötietoja kerätään mahdollisimman vähän ja vain käyttötarkoituksen mukaisesti. Tilaaja voi myös halutessaan omilla toimintatavoillaan pienentää riskiä.
Miten palvelun tiedot suojataan?
Palvelussa käytetään suojattua yhteyttä (https), palomuuri estää luvattoman tunkeutumisen palvelimelle, salaamme tietoja kryptauksella sekä rajaamme tietoihin pääsyn vain niihin henkilöihin, jotka tietoja todella tarvitsevat ja sitoutamme henkilökuntamme salassapitosopimuksilla.
Toimenpiteet, joilla voidaan pienentää riskiä
Asiakas voi halutessaan käyttää nimitietojen sijasta nimimerkkejä (pseudonymisointi) ja sähköpostiosoitteen voi jättää antamatta. Jos palvelu integroitu koulun käyttäjähallintaan, oppilaiden salasanoja ei tallenneta palveluun. Hyvin harkittu ja hallittu ylläpitäjien ja opettajien käyttöoikeuksien jakaminen koulun tai kunnan yleisten tietosuojaohjeiden mukaisesti parantaa tietosuojaa merkittävästi.
Miten palveluntarjoaja tiedottaa tietosuojaloukkauksista?
Palveluntarjoaja ilmoittaa mahdollisista tietosuojaloukkauksista tilaajan nimetylle yhteyshenkilölle sähköpostitse 72 tunnin kuluessa loukkauksen havaitsemisesta.
Onko palvelulla ulkoinen sertifiointi?
Ei ole.
Onko palvelu auditoitu ulkoisen auditointiyrityksen toimesta? Onko auditoinnista saatavilla raportti/todistus?
Palvelu on auditoitu ulkopuolisen toimijan suorittamana. Auditoinnista on saatavilla todistus.
Onko palvelu auditoitavissa?
Kyllä, tilaajan kustannuksella ja palveluntarjoajan ennalta hyväksymän kolmannen osapuolen toimesta.