Olevi Tietosuojaseloste

Tämä asiakirja muodostaa tietosuojaselosteen version, joka on päivätty

2024-04-22

Tämä asiakirja kumoaa kaikki aiemmat versiot tietosuojaselosteesta.

Tämä asiakirja on alunperin kirjoitettu suomen kielellä. Mahdolliset käännökset tai konekäännökset asiakirjasta eivät ole lainvoimaisia, vaan ainoastaan ohjeellisia ja avuksi henkilötietojen käsittelyn periaatteiden selvittämisessä. Vain tämä suomenkielinen versio tietosuojaselosteesta on pätevä.

Tällä asiakirjalla selvitetään, miten Olevi Oy käsittelee henkilötietoja. Olevi Oy käsittelee henkilötietoja silloin, kun henkilö käyttää Olevi Oy:n tuottamia palveluja, kuten demo.olevi.fi tai muita Olevin tuottamia verkossa käytettäviä palveluja ja on Olevi Oy:n asiakas tai käyttäjä.

Olevi tuottaa myös tuotteita ja ohjelmistoja, joita muut organisaatiot ja rekisterinpitäjät tilaavat Olevi Oy:ltä ja käyttävät omassa toiminnassaan. Näissä tilanteissa tällainen muu organisaatio toimii rekisterinpitäjänä ja Olevi Oy:llä joko ei ole lainkaan roolia henkilötietojen käsittelyssä tai Olevi Oy toimii henkilötietojen käsittelijän roolissa.

Poiketen muista mahdollisista Olevi Oy:n julkaisemista tuotoksista, tähän asiakirjaan ja asiakirjan tekijänoikeuteen sovelletaan Creative Commons CC BY 4.0 -ehtoja.

Rekisterinpitäjä ja tietosuojavastaava

Rekisterinpitäjä Olevi Oy
Rekisterinpitäjän osoite Maistraatinportti 1, 00240 Helsinki, Suomi
Y-tunnus 3371637-1
Tietosuojavastaava Kari Laalo
Yhteysosoite (sähköposti) info (at) olevi.fi

Henkilötietojen käsittelyyn liittyvissä kysymyksissä tai palautteessa voi ylläolevan yhteysosoitteen lisäksi olla yhteydessä Olevin verkkosivujen yhteydenottolomakkeella. Yhteydenottolomakkeen käytössä ei tarvitse antaa henkilötietoja, mutta jos haluaa vastauksen kysymykseensä, täytyy kysyjän kertoa jonkinlainen yhteydenottotapa, johon voimme lähettää vastauksen kysymykseen.

Käsittelyn tarkoitus

Olevi käsittelee henkilötietoja rekisteröidyn toimeksiannosta. Käyttäjän pyytäessä Olevin tekemää tunnistamista, käyttäjän henkilötietoja käsitellään tunnistustapahtuman toteuttamiseksi.

Silloin, kun käyttäjä tai käyttäjän organisaatio tai käyttäjän käyttämän palvelun tuottaja on tehnyt sopimuksen Olevin tuottamien palvelujen käytöstä, käsittely perustuu kyseiseen sopimukseen.

Kun käyttäjän käyttämä asiointipalvelu on tehnyt sopimuksen Olevin kanssa käyttäjien tunnistamisesta, Olevin osuus henkilötietojen käsittelyssä on tunnistaa käyttäjä ja palauttaa tunnistusvastaus käyttäjän käyttämälle asiointipalvelulle. Käyttäjän käyttämä asiointipalvelu toimii rekisterinpitäjänä vastaanottamiensa tietojen osalta ja vastaa henkilötietojen käsittelystä oman toimintansa osalta. Olevi toimii rekisterinpitäjänä vain tunnistustapahtumaan liittyen ja tunnistamiseen tarvittavien tietojen käsittelyyn liittyen. Kun henkilötiedot on siirretty asiointipalvelulle, asiointipalvelu vastaa tietojen käsittelystä siitä eteenpäin.

Edellisten lisäksi Olevin järjestelmistä tallennettavia lokitietoja käytetään tarpeellisessa laajuudessa vianselvitykseen. Lokitietoja voidaan käsitellä myös rikosten tai muiden väärinkäytösten selvittämiseen tai palvelujen teknisen toiminnan tarkasteluun siltä osin, kun on tarpeen järjestelmän toimintojen tehokkuuden ja toiminnan osalta selvittää tai siltä osin, kuin viranomaiset sitä pyytävät laillisin perustein (katso alta tarkemmin viranomaisten pyyntöihin perustuvasta tietojenluovutuksesta).

Kuvaus rekisteröityjen ryhmistä ja henkilötietoryhmistä

Olevi käsittelee Olevi Tunnistuspalveluun ja Olevin Tunnisteeseen liittyviä henkilötietoja. Rekisteröidyt ovat joko Olevi Tunnistuspalvelun tai Olevi Tunnisteen käyttäjiä tai sellaisen asiointipalvelun käyttäjiä, joiden asiointipalvelun tuottaja on tehnyt sopimuksen Olevi Oy:n kanssa tunnistamispalvelusta ja Olevi Tunnisteen käytöstä asiointipalvelussaan.

Silloin, kun asiointipalvelussa tai Olevin tuottamissa palveluissa käytetään Olevi Ryhmiä, henkilö voi toimia myös ryhmän pääkäyttäjän roolissa.

Olevi voi käsitellä seuraavia henkilötietoja siinä laajuudessa, kun tiedot on luotettavalla tavalla saatu selvitettyä käyttäjältä itseltään tai liittyen tunnisusvälineeseen, jota käyttäjä käyttää tunnistamisen yhteydessä:

  • Käyttäjän nimi
  • Käyttäjän todennettu sähköpostiosoite (yksi tai useita)
  • Linkki käyttäjän profiilikuvaan
  • Käyttäjän kuuluminen Olevi Ryhmään
  • Käyttäjän yksilöivä tunniste Olevi Tunniste -palvelussa silloin, kun käyttäjä on rekisteröitynyt palvelun käyttäjäksi
  • Käyttäjän Olevi Tunnisteeseen itse syöttämät tiedot
  • Ajankohta, jolloin käyttäjä on viimeksi ollut aktiivinen
  • Istuntotunniste, jolla käyttäjä kytketään tunnistustapahtumaan
  • Kertakäyttöinen tunniste, jolla käyttäjä kytketään yksittäiseen tunnistustapahtumaan

Silloin, kun käyttäjä on vahvistanut henkilöllisyytensä luotettavalla tavalla, hänen Olevi Tunnisteeseen liitetään yksi tai useampi luotettava yksilöivä tieto käyttäjän henkilöllisyydestä sellaisessa rekisterissä, joka voidaan luotettavalla tavalla todentaa. Tällainen yksilöivä tieto voi olla jokin seuraavista tai seuraavien yhdistelmä:

  • Henkilötunnus
  • Sähköinen asiointitunniste
  • Sähköinen asiointitunnus
  • Sähköinen yksilöintitunnus

Silloin, kun asiointipalvelu tekee sopimuksen Olevi-palvelujen käytöstä, sopimukseen liittyviä tietoja käsitellään Olevi Oy:ssä. Sopimukseen liittyen käsitellään seuraavia henkilötietoja:

  • Sopimuksen tilaajan yhteyshenkilö ja hänen yhteystietonsa
  • Sopimuksen allekirjoittajat

Yllä kuvattujen henkilötietoryhmien lisäksi henkilötietoja voidaan käsitellään teknisissä lokimerkinnöissä, joita Olevi tallentaa palvelujen käyttöön liittyen. Silloin kun mahdollista ja soveltuvaa, nämä tekniset lokitiedot voidaan kytkeä käyttäjään ja kyseiseen tapahtumaan liittyvän istuntotunnisteen perusteella. Lokitietojen yhteyteen tallennetaan tapahtumaan liittyen mm. seuraavia tietoja:

  • Käyttäjän IP-osoite
  • Mahdollinen IP-osoitteen epätarkka maantieteellinen sijaintitieto silloin, kun käytettävä alustapalvelu mahdollistaa sen selvittämisen ja tallentaa tiedon lokille
  • Käyttäjän laitteen selaimen lähettämät otsaketiedot sisältäen mm. käyttäjän laitteen lähettämän User-Agent -merkkijonon, jonka perusteella ja joissain tilanteissa käyttäjän laitetyyppi voidaan tunnistaa
  • Tapahtuman kellonaika

Ryhmät, joille henkilötietoja on luovutettu tai luovutetaan

Olevi Tunnistuspalvelusta luovutetaan käyttäjän henkilötietoja asiointipalveluille, joissa käyttäjä on pyytänyt tunnistautumista Olevi Tunnistuspalvelua ja/tai Olevi Tunnistetta käyttäen.

Tunnistustapahtuma käynnistyy aina käyttäjän pyynnöstä ja käyttäjä voi keskeyttää tunnistustapahtuman ennen henkilötietojen luovuttamista.

Käyttäjä määrää itse tunnistustapahtuman käynnistämällä ja/tai käynnistettyä tunnistustapahtumaa jatkamalla, mille asiointipalveluille ja missä yhteydessä hänen henkilötietojaan luovutetaan.

Silloin, kun käyttäjän käyttämä asiointipalvelu on tehnyt sopimuksen Olevi Ryhmien käytöstä, asiointipalvelu voi kysellä käyttäjän ryhmäjäsenyyttä Olevin henkilörekisteristä osallistamatta käyttäjää kyselyyn aktiivisesti. Mikäli Olevi voi todentaa asiointipalvelun kyselyn luotettavasti, Olevi voi tällaisessa tilanteessa luovuttaa tietoa käyttäjän ryhmäjäsenyyksistä. Tällainen ryhmätiedon kysely voi tapahtua ainoastaan sellaisessa yhteydessä, kun kysely perustuu aiemmin tapahtuneeseen tunnistustapahtumaan, jonka käyttäjä on itse käynnistänyt ja vienyt valmiiksi asti siten, että tunnistustapahtumaan liittyvät henkilötiedot on luotettavalla tavalla luovutettu asiointipalvelulle vastauksena käyttäjän käynnistämään tunnistuspyyntöön

Silloin, kun käyttäjä on pyytänyt liittyä Olevi Ryhmään tai hyväksytty ryhmän jäseneksi, ryhmän pääkäyttäjä näkee ryhmään jäsenyyttä pyytäneiden ja ryhmään hyväksyttyjen henkilöiden luettelon. Vastaavasti ryhmän jäsenet näkevät, kuka on ryhmän pääkäyttäjä. Tällaisessa tilanteessa pääkäyttäjästä ja ryhmän jäsenistä näytetään henkilön nimi ja henkilön käyttäjänimi, joka voi perustua sähköpostiosoitteeseen sekä näiden lisäksi käyttäjän syöttämät muut tiedot (esimerkiksi perustelu ryhmään liittymispyynnölle).

Olevi ei luovuta henkilötietoja muutoin, kuin asiointipalveluille, jotka ovat tehneet sopimuksen Olevi Tunnistuspalvelun tai Olevi Tunnisteen käytöstä, ellei laki ja viranomaisten lakiin perustuvat vaatimukset muuta edellytä. Olevi raportoi tämän asiakirjan lopussa kuukausittain lukumäärätiedon sellaisista henkilötietojen luovutuksista, jotka perustuvat viranomaisen pyyntöön.

Tiedot henkilötietojen siirtämisestä kolmanteen maahan tai kansainväliselle järjestölle

Olevi ei luovuta henkilötietoja kolmansiin maihin. Olevi Oy tekee sopimuksia vain sellaisten asiointipalvelujen kanssa, jotka sijaitsevat Euroopan Talousalueella (ETA).

Tietojen säilytysajat

Kun Olevia käytetään vain tunnistamiseen, Olevi säilyttää henkilötietoja vain sen ajan, kun tunnistustapahtuma on kesken tai siihen liittyvä istunto on voimassa. Olevi Tunnistuspalvelun tunnistusistuntojen voimassaolo on enintään kahdeksan tuntia.

Kun käyttäjä rekisteröi Olevi Tunnisteen, henkilötiedot tallennetaan Olevi Tunnisteeseen liittyen. Tietoja tallennetaan niin pitkään, kun käyttäjän Olevi Tunniste pysyy aktiivisena. Jos Olevi Tunnisteeseen liittyen ei ole tapahtumia kolmeen kuukauteen, se katsotaan vanhentuneeksi. Kolmen kuukauden jälkeen käyttäjällä on vielä 30 päivää aikaa kirjautua käyttäen Olevi Tunnistetta, jolloin se aktivoituu uudelleen. Henkilötiedot poistetaan viimeistään neljän kuukauden kuluttua viimeisimmästä tapahtumasta Olevi Tunnisteeseen liittyen.

Kun asiointipalvelu on tehnyt sopimuksen Olevi-palvelujen käytöstä ja sopimukseen liittyen tapahtuu laskutusta, henkilötietoja tallennetaan sopimuksen yhteydessä niin pitkään, kuin laki kirjanpidon aineiston säilyttämisestä edellyttää.

Teknisiä lokitietoja säilytetään enintään vuosi, ellei viranomaisten tekemistä pyynnöistä, vaatimuksista tai selvityksistä tai mahdollisesta rikostutkinnasta muuta aiheudu.

Kuvaus teknisistä ja organisatorisista turvatoimista

Tekniset turvatoimet

Olevi-palvelujen ja käyttäjän välinen tietoliikenne on suojattu salauksella siten, että

  • käyttäjä voi luotettavasti todentaa asioivansa Olevin tuottamissa palveluissa
  • kukaan muu ei voi lukea tai vaikuttaa käyttäjän ja Olevin tai asiointipalvelun välillä tapahtuvaan viestinvaihtoon esimerkiksi lukien tai muuttaen viestien sisältöä

Silloin, kun tietoja tallennetaan käyttäjän haltuun, tiedot salakirjoitetaan siten, että vain Olevin tekniset järjestelmät voivat lukea tietoja. Tietojen tallennuksessa käyttäjän haltuun edes käyttäjä itse (tai ulkopuoliset, joilla olisi mahdollisen käyttäjän virheen ansiosta pääsy käyttäjän laitteelle) ei pysty lukemaan tietoa suoraan, vaan käyttäjän pääsy tietoon on ainoastaan Olevin palvelujen kautta.

Silloin, kun tietoja käsitellään käyttäjän tunnistamiseen liittyen, ne kytketään käyttäjään siten, että kukaan muu ei pysty pääsemään tietoihin tai tunnistukseen liittyvään istuntoon käsiksi.

Luovutettaessa tietoa asiointipalvelulle, varmistutaan tunnistamalla asiointipalvelu, että tietoja ei siirretä millekään muulle osapuolelle, kuin sille asiointipalvelulle, jolla on sopimus henkilötieojen siirrosta Olevilta asiointipalvelulle. Lisäksi tietoja luovutetaan vain sellaiseen tekniseen osoitteeseen, jonka asiointipalvelu on sopimuksen yhteydessä rekisteröinyt.

Organisatoriset turvatoimet

Tallennettaessa henkilötietoa Olevi Tunnisteeseen liittyen, ne tallennetaan tietokantaan, johon on pääsy vain henkilöillä, jotka työskentelevät Olevin lukuun. Pääsy tietoihin luovutetaan vain henkilöille, joilla on työnsä suorittamiseksi tarve käsitellä tietoja.

Kaikki henkilöt, jotka työskentelevät Olevin lukuun, tunnistautuvat ennen kuin pääsevät käsittelemään mitään Olevin käsittelemiä tietoja tai hallinoimaan Olevin tuottamia järjestelmiä. Henkilöistä, jotka työskentelemät Olevin lukuun pidetään luetteloa Olevi Ryhmät -palvelussa ja siten Olevilla on aina tiedossa, keillä henkilöillä on milloinkin mahdollisuus käsitellä tietoja tai hallinoida Olevin järjestelmiä.

Toiminta Olevin toiminnnan päättyessä

Mikäli Olevin toiminnan lopettamisesta tehdään päätös, Olevi tiedottaa päätöksestä verkkosvivuillaan vähintään kahta kalenterikuukautta aiemmin ennen toiminnan päättymistä.

Mikäli Olevin toiminnan lopettamisesta tehdään päätös, Olevi ryhtyy välittömiin toimenpiteisiin voimassaolevien sopimusten irtisanomiseksi siinä ajassa, kun sopimuksissa sovitut irtisanomisajat sen mahdollistavat. Kyseisten asiakkaiden ja asiakkaiden käyttäjien pääsy Olevin tuottamiin palveluihin päättyy viimeistään sopimuksen irtisanomisajan päättymiseen mennessä.

Tiedotusajan jälkeen, toiminnan päättyessä Olevin palvelut sammutetaan ja niihin pääsy estyy. Toiminnan päättyessä Olevin käytössä olleet henkilötiedot ja niiden käsittelyyn liittyvät lokitiedot tuhotaan siten, että niihin ei ole mahdollista enää päästä.

Toiminnan päättyessä säilytetään edelleen Olevin tekemiin sopimuksiin liittyvät tiedot siltä osin, kuin yrityksen kirjanpidosta velvoittavat lait tai verotukseen liittyvät tai verojen maksamiseen liittyvät määräykset ja velvoitteet sitä edellyttävät.

Tietojen menettämisen tai vaarantumisen uhkatilanne

MIKÄLI ILMENEE SELLAINEN TAI VASTAAVA TEKNINEN REALISTINEN UHKA, ETTÄ EUROOPAN TALOUSALUEEN ULKOPUOLISEN KOLMANNEN MAAN VIRANOMAINEN TAI SELLAISEKSI TEKEYTYVÄ ESITTÄISI UHKAAVAN VAATIMUKSEN HENKILÖTIETOJEN LUOVUTTAMISESTA, JOKA OSOITTAUTUISI OLEVIN ARVIOSSA OLEVIN KÄSITTELEMIÄ HENKILÖTIETOJA VAARANTAVAKSI, OLEVI RYHTYY VÄLITTÖMIIN TOIMENPITEISIIN KAIKKIEN TALLENNETTUJEN HENKILÖTIETOJEN JA NIIDEN KÄSITTELYYN LIITTYVIEN LOKITIETOJEN TUHOAMISEKSI.

TÄLLAISESSA TILANTEESSA OLEVIN TUOTTAMIEN PALVELUJEN TOIMINTA LAKKAA VÄLITTÖMÄSTI ILMAN ENNAKKOVAROITUSTA JA KÄYTTÄJIEN PÄÄSY HENKILÖTIETOIHIN JA OLEVIN TUOTTAMIIN PALVELUIHIN ESTYY.

TÄLLAISESSA TILANTEESSA OLEVI LOPETTAA PALVELUJEN TUOTTAMISEN JA HENKILÖTIETOJEN KÄSITTELYN ASIASTA TEHTYJEN SOPIMUKSIEN FORCE MAJEURE -PYKÄLIIN PERUSTUEN.

Henkilötietojen käsittelyn maantieteellinen sijainti ja tietojen käsittelyyn osallistuvat kolmannen osapuolen henkilötietojen käsittelijät

Olevi käsittelee henkilötietoja ensisijaisesti Suomessa, mutta joissain tapauksissa myös Suomen ulkopuolella. Kaikissa tapauksissa henkilötietoja käsitellään vain Euroopan Talousalueella. Tässä luetellaan tarkemmin kolmannet osapuolet, jotka käsittelevät henkilötietoja Olevin lukuun tuottamalla alustapalveluja, joita Olevi hyödyntää palvelujensa tuottamisessa.

Käsittelijä Käsittelyn tarkoitus Käsittelyn sijainti
Hetzner Virtuaalipalvelinalustan tuottaja Suomi
MongoDB Atlas tietokantapalvelu Katso seuraava rivi
Google Cloud Platform Mongo Atlas tietokantapalvelun alustapalvelu Belgia (europe-west1)
Karidea Oy Alustapalvelujen ylläpito Suomi

Evästeiden käyttö

Olevi tallentaa evästeitä käyttäjän haltuun ja käyttäjän laitteeseen ainostaan silloin, kun se on välttämätöntä käyttäjän pyytämien palvelujen tuottamiseksi ja/tai käyttäjän pyytämän toimenpiteen suorittamiseksi. Olevi ei erikseen informoi evästeiden käytöstä muualla, kuin tässä tietosuojaselosteessa.

Evästeiden tallentamiseen käyttäjän haltuun ei pyydetä käyttäjän suostumusta, koska niiden tallentaminen on välttämätöntä käyttäjän pyytämien palvelujen tuottamiseksi. Evästeiden tallentaminen käyttäjän haltuun perustuu käyttäjän tekemään toimeksiantoon tai palvelujen käytöstä tehtyyn sopimukseen.

Olevin käyttäjän haltuun tallentamien evästeiden tarkoitus on kytkeä käyttäjä meneillään olevaan tunnistustapahtumaan, tunnistustapahtumaan liittyvään istuntoon ja sen varmistamiseksi, että kukaan muu tai mikään muu osapuoli, kuin käyttäjä itse ei pääse osaksi tunnistustapahtumaa tai pääse käsittelemään siihen liittyviä tietoja. Tällaisten evästeiden käyttö on välttämätöntä käyttäjän pyytämien palvelujen tuottamiseksi.

Lisäksi käyttäjän haltuun tallennetaan käyttäjän tunnistamisessa välttämätöntä tietoa silloin, kun käyttäjä käyttää teknisessä laitteessaan muodostettavaa julkisen ja salaisen avaimen paria tunnistamisessa. Tiedon tallentaminen käyttäjän haltuun on välttämätöntä, jotta käyttäjä voi käyttää teknistä avaintaan tullessaan uudelleen tunnistautumaan Olevi Tunnistuspalveluun.

Viranomaisten pyyntöön perustuvat tietojen luovutukset

Tässä luetellaan kuukausittain lukumäärätietoa sellaisista henkilötietojen luovutuksen tapahtumista, jotka perustuvat lailliseen viranomaisen tekemään tietopyyntöön, jossa on vaadittu henkilötietojen luovuttamista Olevi Oy:ltä lainvoimaiselle viranomaiselle perustuen lain viranomaiselle suomiin toimivaltuuksiin pyytää henkilötiedon luovutusta Olevi Oy:n henkilörekisteristä.

  • Lokakuu 2024
    • Raportoitu 12.11.2024
    • Ei viranomaispyyntöjä henkilötietojen luovutuksesta. Henkilötietoja ei ole luovutettu viranomaisille.
  • Syyskuu 2024
    • Raportoitu 12.11.2024
    • Ei viranomaispyyntöjä henkilötietojen luovutuksesta. Henkilötietoja ei ole luovutettu viranomaisille.
  • Elokuu 2024
    • Raportoitu 2.9.2024
    • Ei viranomaispyyntöjä henkilötietojen luovutuksesta. Henkilötietoja ei ole luovutettu viranomaisille.
  • Heinäkuu 2024
    • Raportoitu 5.8.2024
    • Ei viranomaispyyntöjä henkilötietojen luovutuksesta. Henkilötietoja ei ole luovutettu viranomaisille.
  • Kesäkuu 2024
    • Raportoitu 1.7.2024
    • Ei viranomaispyyntöjä henkilötietojen luovutuksesta. Henkilötietoja ei ole luovutettu viranomaisille.
  • Toukokuu 2024
    • Raportoitu 19.6.2024
    • Ei viranomaispyyntöjä henkilötietojen luovutuksesta. Henkilötietoja ei ole luovutettu viranomaisille.
  • Huhtikuu 2024
    • Raportoitu 2.5.2024
    • Ei viranomaispyyntöjä henkilötietojen luovutuksesta. Henkilötietoja ei ole luovutettu viranomaisille.
  • Maaliskuu 2024
    • Raportoitu 22.4.2024
    • Ei viranomaispyyntöjä henkilötietojen luovutuksesta. Henkilötietoja ei ole luovutettu viranomaisille.
  • Helmikuu 2024
    • Raportoitu 7.3.2024
    • Ei viranomaispyyntöjä henkilötietojen luovutuksesta. Henkilötietoja ei ole luovutettu viranomaisille.
  • Tammikuu 2024
    • Raportoitu 12.2.2024
    • Ei viranomaispyyntöjä henkilötietojen luovutuksesta. Henkilötietoja ei ole luovutettu viranomaisille.
  • Vuosi 2023
    • Koostettu 2.9.2024
    • Ei viranomaispyyntöjä henkilötietojen luovutuksesta. Henkilötietoja ei ole luovutettu viranomaisille.