Tietosuojakäytänteet – Studisco

Viimeksi päivitetty: 17.05.2024

Tämän asiakirjan tarkoituksena on kertoa Studisco Oy:n, y-tunnus 3112293-2 (jäljempänä ”Yhtiö”), henkilötietojen käsittelystä ja keräämisestä Yhtiön ylläpitämän sovelluksen (jäljempänä ”Sovellus”) yhteydessä. Henkilötieto tarkoittaa kaikkea tietoa, jonka nojalla yksittäinen henkilö voidaan tunnistaa.

1. Rekisterinpitäjä ja käsittelijät

Yhtiö tarjoaa Sovellusta tyypillisesti oppilaitokselle, yhdistykselle, tai vastaavalle taholle (jäljempänä ”Asiakas”), joka käyttää Sovellusta osana omaa toimintaansa. Sovellusta käytetään Asiakkaan tarkoituksia varten ja Asiakas vastaa henkilötietojen keräämisestä ja käsittelystä Sovelluksen yhteydessä. Tämän johdosta Asiakas on tässä yhteydessä rekisterinpitäjä, ja Yhtiö toimii käsittelijänä erillisen, kirjallisen käsittelysopimuksen perusteella.

Yhtiö käyttää seuraavaa alikäsittelijää Sovellukseen liittyvien henkilötietojen käsittelyssä:

Yhtiön tietosuojasta vastaava henkilö on Santeri Loitomaa, ja tietosuojaan liittyvät tiedustelut tai pyynnöt tulee esittää seuraavaan osoitteeseen: santeri.loitomaa@studisco.fi. Rekisterinpitäjän osalta tiedot yhteyshenkilöstä löytyvät rekisterinpitäjän verkkosivuilla tai muussa kanavassa, missä rekisterinpitäjä tiedottaa omasta toiminnastaan.

Lisäksi Yhtiö on hyvin rajatusti rekisterinpitäjä siltä osin, kuin se anonymisoi Sovelluksen puitteissa käsiteltäviä henkilötietoja anonyymien tilastojen muodostamiseksi.

2. Henkilötietojen kategoriat ja käsittelyn lailliset perusteet

Sovellusta käyttävien henkilöiden (jäljempänä ”Pelaajat”) henkilötietoja käsitellään Sovelluksessa EU:n yleisen tietosuoja-asetuksen (jäljempänä ”GDPR”) ja soveltuvan kansallisen tietosuojalainsäädännön säännösten nojalla. Henkilötietojen antaminen on joiltain osin (sähköposti) välttämätöntä Sovelluksen käyttämiseksi.

Seuraavia henkilötietojen kategorioita kerätään tai käsitellään Sovellukseen liittyen:

Henkilötietojen kategoria Käsittelyn tarkoitus Käsittelyn laillinen peruste Henkilötietojen poistaminen
Pelaajan sähköpostiosoite Pelaajan tilin yksilöiminen, kirjautuminen Sovellukseen, Sovellukseen liittyvien ilmoitusten ja tiedotteiden vastaanottaminen Sopimuksen täytäntöön paneminen (GDPR Artikla 6(1)(b)) Pelaajat voivat milloin tahansa poistaa omat tietonsa Sovelluksesta. Tiedot poistetaan joka tapauksessa 6 kuukauden sisällä siitä, kun Pelaajan tili muuttuu epäaktiiviseksi
Pelaajan käyttäjänimi Pelaajan tunnistaminen muille Pelaajille sekä Asiakkaan käyttäjille (eli opettaja tai muu ryhmän vetäjä) Sopimuksen täytäntöön paneminen (GDPR Artikla 6(1)(b)) Pelaajat voivat milloin tahansa poistaa omat tietonsa Sovelluksesta. Tiedot poistetaan joka tapauksessa 6 kuukauden sisällä siitä, kun Pelaajan tili muuttuu epäaktiiviseksi
Pelaajien vastaukset kysymyksiin (voivat potentiaalisesti muodostaa kokonaiskuvan esimerkiksi Pelaajan päihdeasenteista, mielenterveydestä tai päihderiippuvuudesta, sekä Pelaajan suoriutumisesta Sovellukseen kuuluvissa peleissä) Pelaajien sekä koko Pelaaja-ryhmän vastausten tarkastelu ja arvioiminen, opetuksen järjestäminen Suostumus (GDPR Artikla 6(1)(a)) Pelaajat voivat milloin tahansa poistaa omat tietonsa Sovelluksesta. Tiedot poistetaan joka tapauksessa 6 kuukauden sisällä siitä, kun Pelaajan tili muuttuu epäaktiiviseksi
Sovelluksen virtuaalisten luokkahuoneiden (jäljempänä ”Huoneiden”) nimiin sisältyvät mahdolliset henkilötiedot, sekä Huoneiden keskusteluissa jaetut, mahdolliset henkilötiedot Huoneiden yksilöiminen, keskustelu muiden Pelaajien sekä Asiakkaan käyttäjien kanssa Suostumus (GDPR Artikla 6(1)(a)) Huoneiden nimet, Huoneissa käydyt keskustelut, ja kaikki muut Huoneisiin liittyvät tiedot poistuvat heti kun Huone poistetaan; jos Huonetta ei manuaalisesti poisteta, se poistetaan viimeistään 10 päivän päästä siitä, kun sitä on lakattu aktiivisesti käyttämästä
Pelaajien vastauksiin liittyvien tietojen anonymisointi Tilastojen muodostaminen, raporƫen laatiminen Asiakkaalle opetuksen arvioimista ja suunnittelua varten Asiakkaan oikeutettu etu (GDPR Artikla 6(1)(f)) Anonymisoitavat tiedot lakkaavat olemasta henkilötietoja tehokkaan anonymisoinnin johdosta
Pelaajien vastauksiin liittyvien tietojen anonymisointi Tilastojen kerääminen Yhtiölle Sovelluksen vaikuttavuuden todistamiseksi sekä Sovelluksen jatkokehittämistä varten Yhtiön oikeutettu etu (GDPR Artikla 6(1)(f)) Anonymisoitavat tiedot lakkaavat olemasta henkilötietoja tehokkaan anonymisoinnin johdosta
IP osoitteiden lokittaminen Väärinkäytösten (esimerkiksi DDoS hyökkäysten) estäminen, vikojen korjaaminen Asiakkaan oikeutettu etu (GDPR Artikla 6(1)(f)) Lokitiedot poistetaan 2 viikon päästä siitä, kun ne on tallennettu

3. Erityisten henkilötietoryhmien käsitteleminen

Sovelluksen puitteissa käsitellään erityisiä henkilötietojen ryhmiä seuraavissa konteksteissa:

  1. Pelaajien valikoituminen: ainakin osittain Sovellusta käytettäneen Pelaajien kanssa, joilla on erityisiä tuen tarpeita (esimerkiksi ns. NEET -nuoret, sairaalakoulut). Tämän johdosta se, että tietty Pelaaja käyttää Sovellusta voi indikoida jotain Pelaajan terveydentilasta
  2. Huoneissa käytävät keskustelut: Pelaajat saattavat jakaa tai keskustella Huoneissa asioista, jotka liittyvät heidän terveyteensä
  3. Pelaajien vastaukset: Pelaajien vastauksista saattaa kokonaisuutena muodostua yleiskuva esimerkiksi Pelaajan päihdeasenteista tai Pelaajan omaan terveyteen tai päihteidenkäyttöön liittyvistä seikoista. Yhtiö ei toisaalta tietoisesti muodosta tällaista profiilia tai anna työkaluja tällaisen profiilin muodostamiseen tai analysointiin
  4. Anonymisointi tilastojen muodostamiseksi: Yhtiö muodostaa anonyymejä tilastoja Pelaajien vastauksista ja tehtävissä suoriutumisesta todistaakseen Sovelluksen vaikuttavuutta, tuottaakseen raportteja Asiakkaalle, sekä kehittääkseen Sovellusta

    Erityisten henkilötietojen käsittely on GDPR:n artiklan 9 nojalla sallittua ainoastaan erityisten edellytysten täyttyessä.

    Asiakas ja Yhtiö käsittelevät kohdissa a-c mainittuja erityisiä henkilötietoryhmiä rekisteröinnin yhteydessä hankitun, nimenomaisen suostumuksen perusteella (GDPR artikla 9(2)(a). Pelaaja voi käyttää Sovellusta vaikka hän ei antaisi nimenomaista suostumustaan, mutta Pelaajan toiminnallisuudet Sovelluksessa ovat huomattavasti rajoitetummat kuin sellaisella Pelaajalla, joka on antanut suostumuksensa. Tämä on välttämätöntä, koska Sovelluksen täysimittainen käyttö ei ole käytännössä toteuttavissa ilman, että edellä mainittuja erityisiä henkilötietojen ryhmiä käsitellään.

    Yhtiö käsittelee kohdassa d mainittuja tietoja tilastointitarkoituksiin (GDPR artikla 9(2)(j) sekä tietosuojalain 6 §:n 2 momentin 7. kohta).

4. Tietoturva

Yhtiö suojelee henkilötietoja kohtuullisin, asianmukaisin suojatoimin estääkseen tahattomia tietovuotoja, luvatonta henkilötietojen käsittelyä, sekä henkilötietojen erheellistä tai luvatonta tuhoutumista, käyttöä, muuttamista tai paljastumista. Yhtiö on toimeenpannut asianmukaiset tekniset ja organisatoriset toimet henkilötietojen turvaamiseksi. Edellä mainitut toimet, kuten Yhtiön henkilöstön ja käsittelijöiden pääsyn rajaaminen henkilötietojen ja henkilötietojen säilyttäminen ja käsittely salatussa muodossa on mitoitettu ottaen huomioon mahdollisten tietovuotojen vahingollisuus ja todennäköisyys, käsiteltävien henkilötietojen herkkyys, olosuhteet missä niitä säilytetään, sekä turvallisuusteknologiassa tapahtuva kehitys.

5. Rekisteröidyn oikeudet

GDPR:n nojalla rekisteröidyllä on seuraavat oikeudet henkilötietoihin liittyen, kuten tarkemmin selostetaan GDPR:n artikloissa 15-21:

  1. Pääsy tietoihin: rekisteröidyllä on oikeus pyytää vahvistus, käsitelleenkö hänen henkilötietojaan Asiakkaan, Yhtiön tai niiden (ali)käsittelijöiden toimesta, ja saada pääsy tietoihinsa
  2. Oikeus oikaista tietoja: rekisteröidyllä on oikeus pyytää rekisterinpitäjää korjaamaan erheelliset tai epätäydelliset henkilötietonsa, joita käsitellään Sovelluksen yhteydessä
  3. Oikeus poistaa tiedot: rekisteröidyllä on oikeus pyytää, että häntä koskeva henkilötieto poistetaan, jos sitä ei enää tarvita siihen tarkoitukseen, johon se on kerätty tai käsitelty, jos henkilötietojen käsittely perustuu suostumukseen, jos rekisteröity vastustaa käsittelyä eikä käsittelylle ole mitään pakottavia oikeusperusteita, jos henkilötietoja käsitellään lainvastaisesti, tai jos henkilötietoja on poistettava lakisääteisen velvoitteen noudattamiseksi
  4. Oikeus rajoittaa käsittelyä: rekisteröidyllä on oikeus pyytää rajoittamaan häntä koskevien henkilötietojen käsittelyä, jos henkilötietojen paikkansapitävyys kiistetään, jos käsittely on lainvastaista tai jos rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoa mutta rekisteröity perustellusti vastustaa henkilötietojen poistamista, tai jos rekisteröity vastustaa käsittelyä, eikä ole vielä todennettu, onko käsittelylle oikeusperustetta
  5. Oikeus vastustaa: rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä siltä osin, kuin tietoja käsitellään GDPR:n artiklan 6(1)(f) nojalla, missä tapauksessa rekisterinpitäjän on todistettava, että käsittelylle on painava oikeudellinen peruste, jotta se voi jatkaa kyseisten henkilötietojen käsittelemistä
  6. Oikeus valittaa: rekisteröidyillä on oikeus valittaa henkilötietojen käsittelystä Sovelluksen yhteydessä toimivaltaiselle tietosuojaviranomaiselle. Suomessa toimivaltainen tietosuojaviranomainen on tietosuojavaltuutettu (tietosuoja@om.fi).

6. Ei tiedonsiirtoja EU/ETA -alueen ulkopuolelle

Sovellukseen liittyvät henkilötiedot sijaitsevat palvelimella Tuusulassa. Sovelluksen yhteydessä kerättyjä tai käsiteltäviä tietoja ei tallenneta, siirretä, tai käsitellä muutenkaan (esimerkiksi etäyhteyden avulla) EU/ETA - alueen ulkopuolella.

7. Muutokset tietosuojakäytänteisiin

Näihin tietosuojakäytänteisiin voidaan ajoittain tehdä muutoksia lataamalla päivitetty versio asiakirjasta Sovellukseen tai muuten antamalla päivitetty versio rekisteröityjen saataville, jonka jälkeen päivitettyä versiota sovelletaan. Mikäli tietosuojakäytänteisiin tehdään olennaisia muutoksia, Yhtiö pyrkii myös tiedottamaan asioista muilla keinoilla, esimerkiksi sähköpostilla.