Tämä on EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen seloste Secapp Oy:n suorittamasta henkilötietojen käsittelystä Secapp-järjestelmässä eri asiakkaidensa lukuun.

Laadittu verkkopalveluun 25.11.2020. Viimeisin muutos 12.4.2022. Secapp Oy seuraa tietosuojalainsäädännön ja viranomaisohjeiden muutoksia sekä kehittää palvelun toimintaa ja varaa näin ollen oikeuden päivittää tätä selostetta. Suosittelemme tarkastamaan kulloinkin ajantasaisen selosteen www-sivuiltamme.

MÄÄRITELMÄT

”Palvelu” ja ”Secapp-palvelu” on Secapp Oy:n tuottama kriittisen viestinnän, hälyttämisen ja dokumentoinnin SaaS-palvelu.

”Järjestelmä” ja ”Secapp-järjestelmä” on Secapp Oy:n järjestelmä, johon Loppuasiakkaat kirjautuvat ja luovat Loppuasiakastilin käyttääkseen Palvelua.

“Loppuasiakas” on organisaatio, joka käyttää Palvelua joko Secapp Oy:n tai Secapp Oy:n Edustajan kanssa tehdyn sopimuksen perusteella.

“Loppuasiakassopimus” on Secapp Oy:n ja kunkin Secapp Oy:n asiakasorganisaation (”Loppuasiakas”) välille muodostettu sopimus Secapp-järjestelmää koskevan Palvelun tuottamisesta. 

“Loppuasiakastili” on Secapp-järjestelmässä Loppuasiakkaan rekisterinpitäjänä hallinnoima kokonaisuus, joka sisältää Loppuasiakkaan tietoja, mukaan lukien Käyttäjien henkilötietoja.

“Edustaja” on Secapp Oy:n valtuuttama edustaja, joka voi myydä Palvelua edelleen Loppuasiakkaille. Jos Edustaja käyttää itse Secapp-järjestelmää omalla Loppuasiakastilillä, Edustaja rinnastetaan tässä selosteessa itse myös Loppuasiakkaaksi.

“Edustajasopimus” on Secapp Oy:n ja Edustajan välille muodostettu sopimus Secapp-järjestelmää koskevan Palvelun tuottamisesta sekä Palvelun edustamisesta ja toimittamisesta Edustajalle tai tämän määrittämälle Loppuasiakkaalle.

“Käyttäjät” ovat kunkin Loppuasiakkaan määrittelemiä Secapp-järjestelmän loppukäyttäjiä, joiden henkilötietoja käsitellään palvelun tuottamiseksi ja joilla on yleensä henkilökohtainen käyttäjätunnus järjestelmään, mikäli Loppuasiakas ei käytä usean Käyttäjän jakamia yhteiskäyttötunnuksia.


TIIVISTELMÄ

Secapp-järjestelmää käyttävät eri Loppuasiakkaat esimerkiksi viestintään ja toimintansa johtamiseen. Kunkin Loppuasiakkaan tiedot säilytetään Loppuasiakastilillä järjestelmässä, ja Loppuasiakas määrittelee, kenellä Käyttäjillä on pääsy Loppuasiakastilin tietoihin ja missä laajuudessa.      

Henkilötietojen käsittely perustuu aina joko Loppuasiakassopimukseen tai Edustajasopimukseen. Yleisinä periaatteina näissä sopimuksissa sovelletaan seuraavaa: Loppuasiakas toimii henkilötietojen rekisterinpitäjänä ja vastaa näin ollen Secapp-järjestelmässä säilytettävien henkilötietojen ja muiden tietojen (aineiston) keräämisestä, tietoihin liittyvistä velvollisuuksista ja mahdollisista suostumuksista sekä aineiston ylläpitämisestä. Henkilötietojen (aineiston) hallinta on aina Loppuasiakkaalla ja Secapp Oy toimii henkilötietojen käsittelijänä tai alikäsittelijänä oman asiakkaansa eli tilanteesta riippuen Loppuasiakkaan tai Edustajan puolesta ja lukuun. Secapp Oy käsittelee henkilötietoja niin kauan, kun sopimuksen mukaisen Palvelun tuottaminen Loppuasiakkaalle tai Edustajalle sitä vaatii. Henkilötietoja ei luovuteta kolmansien osapuolien käyttöön, ellei erikseen sovita Loppuasiakkaan tai Edustajan kanssa.

Tämän tietosuojaselosteen tarkoituksena on toimia pohjana Loppuasiakkaiden ja Edustajien omille tietosuojaselosteille tai tietojenkäsittelysopimuksille ja kuvata Käyttäjille Palvelun yleiset tietosuojaperiaatteet.


REKISTERINPITÄJÄ

Secapp Oy:n tai Secapp Oy:n Edustajan asiakasorganisaatio (Loppuasiakas), joka on hankkinut Secapp-järjestelmän käyttöoikeuden nimeämilleen Käyttäjille, toimii Käyttäjien henkilötietojen rekisterinpitäjänä järjestelmässä. Secapp Oy (Y-tunnus 2411828-1), Viitaniementie 21 E 47, 40720 JYVÄSKYLÄ, toimii henkilötietojen käsittelijänä tai alikäsittelijänä asiakasorganisaationsa tai Edustajansa kanssa tehdyn sopimuksen perusteella.


HENKILÖTIEDOISTA VASTAAVA YHTEYSHENKILÖ

Palveluun liittyvän henkilötietojen käsittelyn osalta Käyttäjän tulisi olla ensisijaisesti yhteydessä rekisterinpitäjänä toimivaan omaan organisaatioonsa (Loppuasiakkaaseen). Secapp-palvelua käyttävien Loppuasiakkaiden osalta yhteyshenkilö tulee varmistaa Käyttäjän organisaation Secapp-vastaavalta, kuten esimerkiksi lähimmältä esimieheltä. 

Secapp-järjestelmässä kukin Loppuasiakastili saattaa olla jaettu useaan eri nimiseen organisaatioon, joiden kaikkien rekisterinpitäjänä Loppuasiakas toimii. Käyttäjä voi olla liitettynä yhteen tai useampaan tällaiseen organisaatioon.

Mikäli Käyttäjä on liitetty järjestelmässä useaan Loppuasiakastiliin tai osallistuu toisen Loppuasiakkaan viestintään, kuten ryhmäkeskusteluun, kukin Loppuasiakas vastaa tiedoista omien organisaatioidensa osalta eli Käyttäjän henkilötiedoilla voi olla useita rekisterinpitäjiä.

Secapp Oy:n asiakkaan Secapp-yhteyshenkilö voi kysyä tarvittaessa Secapp Oy:ltä lisätietoja henkilötietojen käsittelystä. Secapp-yhteyshenkilölle lisätietoja antava tietosuojavastaava on Antti Hämäläinen, tietosuoja@secapp.fi


OIKEUSPERUSTE JA HENKILÖTIETOJEN KÄSITTELYN TARKOITUS

Henkilötietojen käsittelyn tarkoitus asiakkaiden puolesta on Secapp-palvelun tuottaminen, tarjoaminen ja jatkokehittäminen sekä siihen liittyvä asiakasviestintä. Palvelu sisältää esimerkiksi käyttäjäkohtaisia viestitoimintoja sekä toiminnan johtamisen toimintoja, joita varten järjestelmässä tallennetaan esimerkiksi Käyttäjien nimiä, yhteystietoja ja Käyttäjien lähettämiä tai vastaanottamia viestejä ja tietoja.

Secapp Oy tallentaa vain ne tiedot, jotka Käyttäjä, Loppuasiakas tai Edustaja itse ilmoittaa tai joita syntyy Järjestelmän käytössä.

EU:n yleisen tietosuoja-asetuksen mukainen oikeusperuste henkilötietojen käsittelylle on Secapp Oy:n ja Edustajan tai Loppuasiakkaan välisen sopimuksen täyttäminen sekä sopimukseen perustuva oikeutettu etu.


JÄRJESTELMÄN SISÄLTÄMÄT TIEDOT

Käyttäjiä koskevien henkilötietojen tyypit on määritelty seuraavasti. 

Käyttäjätunnukset ja muut tunnistautumistiedot
Perustiedot, kuten nimi, puhelinnumero, sähköpostiosoite, osoite sekä Secapp-järjestelmää käyttävä yritys/organisaatio tai organisaatiot, joissa henkilö työskentelee tai toimii
Osaamis- ja/tai pätevyystiedot
Järjestelmän käyttöä koskevat asetukset, kuten sijaintitiedon ja -historian keräys- ja tallennusluvat ja -kiellot
Käyttäjäryhmät ja käyttöoikeudet
Mahdolliset sijaintitiedot, joita käytetään viestien toimittamiseen tietyille alueille ja paikantamiseen tilanteen niin vaatiessa. Lisätietoja sijaintitiedon käytöstä on saatavilla esimerkiksi: https://www.secapp.fi/secapp-ja-sijantieto/ 
Älypuhelimen käyttöjärjestelmätietoja viestien toimitusta varten
Käyttäjien välillä lähetettävien viestien sisältö, joka voi sisältää esimerkiksi tekstiä ja kuvia, video- ja äänitallenteita, sijaintitietoja ja erilaisia tiedostoja
Järjestelmään kuuluvan dokumentointimoduulin Loppuasiakkaan määrittämä tietokantasisältö sekä liitetiedostot, kuten esimerkiksi tekstidokumentit, laskentataulukot, kuvat tai videotiedostot
Tietoja Palvelun käytöstä, kuten muun muassa lokitiedot ja kirjausketjutiedot (audit trail)
Viesteihin ja niihin liittyviin aineistoihin liittyvät toiminnot, kuten vastaanottokuittaukset tai valinnat
Mahdollisista Käyttäjien välisistä ääni- tai videoyhteyksistä syntyviä lokitietoja. Huomaa: ääni- tai videoyhteyksien sisältöä ei tallenneta eikä niistä näin ollen synny henkilötietoa.
Muut Loppuasiakkaan tai Käyttäjän Järjestelmään syöttämät olennaiset tiedot.


SÄÄNNÖNMUKAISET TIETOLÄHTEET

Pääasiassa tietoja kerätään Palvelua käytettäessä suoraan Käyttäjiltä (rekisteröidyltä itseltään tai Loppuasiakkaan pääkäyttäjiltä).

Henkilötietoja tallennetaan myös asiakassuhteen alkamisen ja rekisteröitymisen yhteydessä. Järjestelmään aluksi tallennettavat Käyttäjien perustiedot saadaan Loppuasiakkaalta tai Edustajalta mm. www-lomakkeilla lähetetyistä tiedoista, sähköpostitse, puhelimitse, sopimuksista, asiakastapaamisista ja muista tilanteista, joissa Loppuasiakas tai Edustaja luovuttaa tietoja käsiteltäväksi. Henkilötietoja voidaan kerätä ja päivittää myös Loppuasiakkaan omista vastaavista järjestelmistä, kuten teknisellä integroinnilla Loppuasiakkaan käyttäjähallintajärjestelmästä. Myös Palvelua käytettäessä Järjestelmään voidaan kerätä tietoja Palveluun liittyvistä muista järjestelmistä, kuten Käyttäjien lähettäessä tietoja tekstiviestillä.

Secapp Oy ei hanki henkilötietoja Secapp-järjestelmään kaupalliselta tai kolmannelta osapuolelta.


TIETOJEN LUOVUTUS

Secapp Oy ei luovuta järjestelmän henkilötietoja ulkopuolisille tahoille, ellei
1) Loppuasiakkaan tai Edustajan kanssa erikseen sovita,
2) se ole Palvelun toiminnalle Loppuasiakkaan tai Edustajan kanssa sovitulla tavalla välttämätöntä, esimerkiksi tekstiviestihälytysten tai viranomaisverkkoviestien (VIRVE / TETRA) välittämiseksi Käyttäjille teleoperaattorin kautta,
3) erikseen Loppuasiakkaan tai Edustajan kanssa sovittaessa rajattuja tietoja luovuteta teknisellä integraatiolla Loppuasiakkaalla tai Edustajalla käytössä oleviin järjestelmiin tai kolmansille tahoille, kuten Palveluun liittyvien valinnaisten lisäpalvelujen tarjoajille. Käyttäjä voi kysyä Loppuasiakkaalta tai Edustajalta tarvittaessa tarkemmat tiedot sovitusta tietojen sijainnista ja mahdollisista luovutuksista.

Lisäksi Secapp Oy toimii voimassa olevan lainsäädännön sallimissa ja velvoittamissa rajoissa esimerkiksi viranomaisten tietopyyntöihin vastattaessa. 

Secapp-järjestelmä mahdollistaa yksittäisen Käyttäjän (tunnuksen) liittämisen useampaan eri Loppuasiakastiliin, mikäli yhdenkään Loppuasiakkaan hallinnoimalta Loppuasiakastilillä, johon Käyttäjä on liitetty, ei ole tätä asetuksista estetty ja molemmat Loppuasiakastilit ovat samassa palvelinympäristössä. Tällöin toisen Loppuasiakkaan pääkäyttäjä voi liittää Käyttäjän omalle Loppuasiakastililleen Käyttäjän ilmoittaman olemassa olevan yksittäisen käyttäjätunnuksen perusteella. Tällöin kyseisen käyttäjätunnuksen perustiedot (tunnuksen käyttäjänimi ja, mikäli tilillä ei ole tätä estetty ja tällaiset tiedot on tallennettu, sähköpostiosoite ja puhelinnumero) luovutetaan tälle toiselle Loppuasiakkaalle. Molemmilla Loppuasiakkailla on rekisterinpitäjän oikeudet käyttäjätunnuksen perustietojen hallintaan tällaisessa tilanteessa, mutta ei muita oikeuksia tai pääsyä toisen Loppuasiakkaan tietoihin. Kukin Loppuasiakas toimii muilta osin rekisterinpitäjänä Loppuasiakastili-kohtaisiin viesteihin ja muihin tietoihin.                          

Joissakin tilanteissa Loppuasiakkaan Käyttäjä voi luoda tiettyyn Loppuasiakastiliin kuuluvia ryhmäviestintätoimintoja eri Loppuasiakastilien käyttäjien välille, ja tällöin kunkin viestin sisältö lähetetään (luovutetaan) Käyttäjän Loppuasiakkaalta myös muiden Loppuasiakkaiden kyseiseen ryhmään kuuluville Käyttäjille ja on näiden nähtävissä, samoin kuin ryhmän jäsenten nimet. Kukin ryhmäkeskustelu kuuluu tiettyyn organisaatioon, jota hallinnoiva Loppuasiakas toimii rekisterinpitäjänä kyseisen keskustelun osalta. Ryhmäviestinnässä ja käyttäjien liittämisessä toisen asiakkaan Loppuasiakastilille voi olla asiakaskohtaisesti sovittuja rajoituksia. 

Tietoja ei käsitellä eikä siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolelle, jollei tästä ole erikseen sovittu Loppuasiakkaan tai Edustajan kanssa. Loppuasiakkaat ja Käyttäjät voivat kuitenkin käyttää järjestelmää Internet-yhteydellä tai viestinvälitysyhteyksillä mistä tahansa ja tällöin tietoja siirtyy käytetyn päätelaitteen ja Secapp-järjestelmän välillä. 


HENKILÖTIETOJEN SUOJAUS JA TIETOJEN SÄILYTYSAIKA

Palvelun sisältämät tiedot on suojattu teknisillä ja organisatorisilla menetelmillä. Tiedot kerätään tietoliikenneyhteyksien avulla Palvelun yhteisiin tietokantoihin ja tiedostojärjestelmiin. Järjestelmään käyttöön edellytetyt tietoliikenneyhteydet on salattu sekä Järjestelmän käyttö on yleiseltä osin suojattu palomuurien ja muiden teknisten keinojen avulla. Secapp-järjestelmän käyttämät palvelimet sijaitsevat lukituissa ja vartioiduissa tiloissa, joihin pääsevät vain palvelinten ylläpidosta vastaavat henkilöt, tai erityistapauksissa Loppuasiakkaan tai Edustajan määrittämissä tiloissa. Tietoturva on kuvattu tarkemmin Loppuasiakkaan tai Edustajan ja Secapp Oy:n välisessä sopimuksessa. Secapp Oy:n asiakkaalla on myös mahdollisuus pyytää lisätietoja tietoturvasta.

Secapp-järjestelmään sisäänpääsy edellyttää minimissään käyttäjätunnuksen ja salasanan syöttämistä ja mahdollisesti Loppuasiakkaan päätöksen mukaisesti kaksivaiheisen tunnistautumisen esimerkiksi tekstiviestillä. Kukin Loppuasiakas tai Edustaja määrittää ne Käyttäjät, joille annetaan käyttäjätunnus kyseisen rekisterinpitäjän (Loppuasiakkaan) Loppuasiakastilille käyttäjäoikeuksiensa määrittämissä rajoissa, tai joiden Secapp-järjestelmässä muulla Loppuasiakkaalla jo käytössä oleva tunnus liitetään Loppuasiakkaan tiliin. 

Jokainen järjestelmän henkilötietoja Secapp Oy:n osalta käsittelevä on allekirjoittanut salassapitositoumuksen. Secapp Oy:n henkilökunta on ohjeistettu henkilötietojen käsittelyyn liittyvästä lainsäädännöstä ja tietoturvan huomioinnista ja tietoihin pääsevät käsiksi vain ne, jotka tarvitsevat tietoja työtehtävissään Palvelun toimittamiseksi.

Rekisterinpitäjä (Loppuasiakas) tai Edustaja määrittelee henkilötietojen käsittelyn keston ja voi poistaa henkilötietoja Loppuasiakastililtään. Secapp Oy puolestaan käsittelee henkilötietoja niin kauan, kun Loppuasiakassopimuksen tai Edustajasopimuksen mukaisen Palvelun tuottaminen kyseiselle asiakkaalle sitä vaatii, ja sopii henkilötietojen käsittelystä ja poistosta sopimuskumppaninsa kanssa. Tyypillisesti henkilötiedot poistetaan viimeistään sovitun määräajan kuluttua sen jälkeen, kun Palvelua koskeva sopimus on päättynyt ja asiakas on lopettanut Palvelun käytön. Joitakin tietoja, kuten lokitietoja ja Palvelun toimittamiseen ja laskuttamiseen liittyviä tietoja, saatetaan säilyttää kauemmin Secapp Oy:n, Loppuasiakkaan, Edustajan ja rekisteröityjen yleisten etujen, tietosuojan ja oikeusturvan turvaamiseksi lainsäädännön sallimalla tavalla.


REKISTERÖIDYN OIKEUDET

Mikäli Loppuasiakas (rekisterinpitäjä) toimii EU-alueella, rekisteröidyllä (Käyttäjällä) on oikeus tarkastaa itseään koskevat järjestelmään tallennetut tiedot sekä oikeus vaatia tietojen oikaisua ja poistamista (”oikeus tulla unohdetuksi”) tai rajoittaa henkilötietojen käsittelyä tietyissä tilanteissa. Asiaa koskevat pyynnöt tulee osoittaa rekisterinpitäjälle. Rekisteröidyllä on myös oikeus tehdä valitus henkilötietojen käsittelystä toimivaltaiselle valvontaviranomaiselle.