Tämän asiakirjan tarkoituksena on kertoa Studisco Oy:n, y-tunnus 3112293-2 (jäljempänä ”Yhtiö”), henkilötietojen käsittelystä ja keräämisestä Yhtiön ylläpitämän sovelluksen (jäljempänä ”Sovellus”) yhteydessä. Henkilötieto tarkoittaa kaikkea tietoa, jonka nojalla yksittäinen henkilö voidaan tunnistaa.
Yhtiö tarjoaa Sovellusta tyypillisesti oppilaitokselle, yhdistykselle, tai vastaavalle taholle (jäljempänä ”Asiakas”), joka käyttää Sovellusta osana omaa toimintaansa. Sovellusta käytetään Asiakkaan tarkoituksia varten ja Asiakas vastaa henkilötietojen keräämisestä ja käsittelystä Sovelluksen yhteydessä. Tämän johdosta Asiakas on tässä yhteydessä rekisterinpitäjä, ja Yhtiö toimii käsittelijänä erillisen, kirjallisen käsittelysopimuksen perusteella.
Yhtiö käyttää seuraavaa alikäsittelijää Sovellukseen liittyvien henkilötietojen käsittelyssä:
Lisäksi Yhtiö on hyvin rajatusti rekisterinpitäjä siltä osin, kuin se anonymisoi Sovelluksen puitteissa käsiteltäviä henkilötietoja anonyymien tilastojen muodostamiseksi.
Sovellusta käyttävien henkilöiden (jäljempänä ”Pelaajat”) henkilötietoja käsitellään Sovelluksessa EU:n yleisen tietosuoja-asetuksen (jäljempänä ”GDPR”) ja soveltuvan kansallisen tietosuojalainsäädännön säännösten nojalla. Henkilötietojen antaminen on joiltain osin (sähköposti) välttämätöntä Sovelluksen käyttämiseksi.
Seuraavia henkilötietojen kategorioita kerätään tai käsitellään Sovellukseen liittyen:
Henkilötietojen kategoria | Käsittelyn tarkoitus | Käsittelyn laillinen peruste | Henkilötietojen poistaminen |
---|---|---|---|
Pelaajan sähköpostiosoite | Pelaajan tilin yksilöiminen, kirjautuminen Sovellukseen, Sovellukseen liittyvien ilmoitusten ja tiedotteiden vastaanottaminen | Sopimuksen täytäntöön paneminen (GDPR Artikla 6(1)(b)) | Pelaajat voivat milloin tahansa poistaa omat tietonsa Sovelluksesta. Tiedot poistetaan joka tapauksessa 6 kuukauden sisällä siitä, kun Pelaajan tili muuttuu epäaktiiviseksi | Pelaajan käyttäjänimi | Pelaajan tunnistaminen muille Pelaajille sekä Asiakkaan käyttäjille (eli opettaja tai muu ryhmän vetäjä) | Sopimuksen täytäntöön paneminen (GDPR Artikla 6(1)(b)) | Pelaajat voivat milloin tahansa poistaa omat tietonsa Sovelluksesta. Tiedot poistetaan joka tapauksessa 6 kuukauden sisällä siitä, kun Pelaajan tili muuttuu epäaktiiviseksi |
Pelaajien vastaukset kysymyksiin (voivat potentiaalisesti muodostaa kokonaiskuvan esimerkiksi Pelaajan päihdeasenteista, mielenterveydestä tai päihderiippuvuudesta, sekä Pelaajan suoriutumisesta Sovellukseen kuuluvissa peleissä) | Pelaajien sekä koko Pelaaja-ryhmän vastausten tarkastelu ja arvioiminen, opetuksen järjestäminen | Suostumus (GDPR Artikla 6(1)(a)) | Pelaajat voivat milloin tahansa poistaa omat tietonsa Sovelluksesta. Tiedot poistetaan joka tapauksessa 6 kuukauden sisällä siitä, kun Pelaajan tili muuttuu epäaktiiviseksi |
Sovelluksen virtuaalisten luokkahuoneiden (jäljempänä ”Huoneiden”) nimiin sisältyvät mahdolliset henkilötiedot, sekä Huoneiden keskusteluissa jaetut, mahdolliset henkilötiedot | Huoneiden yksilöiminen, keskustelu muiden Pelaajien sekä Asiakkaan käyttäjien kanssa | Suostumus (GDPR Artikla 6(1)(a)) | Huoneiden nimet, Huoneissa käydyt keskustelut, ja kaikki muut Huoneisiin liittyvät tiedot poistuvat heti kun Huone poistetaan; jos Huonetta ei manuaalisesti poisteta, se poistetaan viimeistään 10 päivän päästä siitä, kun sitä on lakattu aktiivisesti käyttämästä |
Pelaajien vastauksiin liittyvien tietojen anonymisointi | Tilastojen muodostaminen, raporƫen laatiminen Asiakkaalle opetuksen arvioimista ja suunnittelua varten | Asiakkaan oikeutettu etu (GDPR Artikla 6(1)(f)) | Anonymisoitavat tiedot lakkaavat olemasta henkilötietoja tehokkaan anonymisoinnin johdosta |
Pelaajien vastauksiin liittyvien tietojen anonymisointi | Tilastojen kerääminen Yhtiölle Sovelluksen vaikuttavuuden todistamiseksi sekä Sovelluksen jatkokehittämistä varten | Yhtiön oikeutettu etu (GDPR Artikla 6(1)(f)) | Anonymisoitavat tiedot lakkaavat olemasta henkilötietoja tehokkaan anonymisoinnin johdosta |
IP osoitteiden lokittaminen | Väärinkäytösten (esimerkiksi DDoS hyökkäysten) estäminen, vikojen korjaaminen | Asiakkaan oikeutettu etu (GDPR Artikla 6(1)(f)) | Lokitiedot poistetaan 2 viikon päästä siitä, kun ne on tallennettu |
Sovelluksen puitteissa käsitellään erityisiä henkilötietojen ryhmiä seuraavissa konteksteissa:
Yhtiö suojelee henkilötietoja kohtuullisin, asianmukaisin suojatoimin estääkseen tahattomia tietovuotoja, luvatonta henkilötietojen käsittelyä, sekä henkilötietojen erheellistä tai luvatonta tuhoutumista, käyttöä, muuttamista tai paljastumista. Yhtiö on toimeenpannut asianmukaiset tekniset ja organisatoriset toimet henkilötietojen turvaamiseksi. Edellä mainitut toimet, kuten Yhtiön henkilöstön ja käsittelijöiden pääsyn rajaaminen henkilötietojen ja henkilötietojen säilyttäminen ja käsittely salatussa muodossa on mitoitettu ottaen huomioon mahdollisten tietovuotojen vahingollisuus ja todennäköisyys, käsiteltävien henkilötietojen herkkyys, olosuhteet missä niitä säilytetään, sekä turvallisuusteknologiassa tapahtuva kehitys.
GDPR:n nojalla rekisteröidyllä on seuraavat oikeudet henkilötietoihin liittyen, kuten tarkemmin selostetaan GDPR:n artikloissa 15-21:
Sovellukseen liittyvät henkilötiedot sijaitsevat palvelimella Tuusulassa. Sovelluksen yhteydessä kerättyjä tai käsiteltäviä tietoja ei tallenneta, siirretä, tai käsitellä muutenkaan (esimerkiksi etäyhteyden avulla) EU/ETA - alueen ulkopuolella.
Näihin tietosuojakäytänteisiin voidaan ajoittain tehdä muutoksia lataamalla päivitetty versio asiakirjasta Sovellukseen tai muuten antamalla päivitetty versio rekisteröityjen saataville, jonka jälkeen päivitettyä versiota sovelletaan. Mikäli tietosuojakäytänteisiin tehdään olennaisia muutoksia, Yhtiö pyrkii myös tiedottamaan asioista muilla keinoilla, esimerkiksi sähköpostilla.