Oikeudelliset tiedot
Tietosuojakäytäntö
Handke Digital Solutions (Handke Holding OÜ:n tuotemerkki)
Viimeksi päivitetty: 04.12.2025
1. Yleiset määräykset
Tämä asiakirja muodostaa Handke Digital Solutions -brändin (Handke DS) tietosuojakäytännön. Brändi kuuluu Handke Holding OÜ -yhtiölle, joka on rekisteröity Viron tasavallassa ja jonka kotipaikka on: Harju maakond, Kesklinna linnaosa, Sakala tn 7-2, 10141 Tallinn, Viro, rekisteröity Viron kaupparekisteriin numerolla 17387477.
Handke Digital Solutions harjoittaa ohjelmointiin, verkkosivustojen kehittämiseen, prosessien automatisointiin sekä digitaalisten ratkaisujen tarjoamiseen liittyvää liiketoimintaa yrityksille ja yksityisasiakkaille Euroopan unionin sekä Euroopan talousalueen (ETA) alueella.
Tämän tietosuojakäytännön tarkoituksena on esittää selkeästi, läpinäkyvästi ja lainmukaisesti henkilötietojen käsittelyn periaatteet seuraaviin henkilöihin liittyen:
- Handke Digital Solutions -palveluiden käyttäjät,
- www.handkeds.com -verkkosivuston vierailijat,
- tarjouspyyntöjä lähettävät tai yhteydenottolomakkeita käyttävät henkilöt,
- rekisterinpitäjän kanssa liike- tai sopimussuhteessa olevat henkilöt.
Tietosuojakäytäntö määrittelee henkilötietojen käsittelyn periaatteet liittyen:
- verkkosivuston ylläpitoon ja hallinnointiin,
- ohjelmointi-, web-kehitys- ja digitaalisten palvelujen tarjoamiseen,
- sopimusten ja toimeksiantojen tekemiseen ja toteuttamiseen,
- liiketoiminnalliseen, hallinnolliseen ja informatiiviseen kirjeenvaihtoon,
- Euroopan unionin ja Viron tasavallan lainsäädännöstä johtuvien oikeudellisten velvoitteiden täyttämiseen.
Tämän tietosuojakäytännön määräyksiä sovelletaan:
- Asiakkaisiin (yrityksiin ja yksityishenkilöihin),
- Liikekumppaneihin ja sopimusosapuoliin,
- Julkisten instituutioiden ja hallintoviranomaisten edustajiin virkatehtäviin liittyvän yhteydenpidon osalta,
- Verkkosivuston käyttäjiin ja muihin henkilöihin, joiden tietoja käsitellään rekisterinpitäjän toiminnan yhteydessä.
Tietosuojakäytäntö kattaa sekä rekisterinpitäjälle suoraan toimitetut henkilötiedot (esimerkiksi yhteydenottolomakkeiden, sähköpostin tai puhelimen välityksellä) että tekniset tiedot, joita kerätään automaattisesti verkkosivuston käytön yhteydessä (esimerkiksi IP-osoite, palvelinlokitiedot, laite- ja selaintiedot).
Henkilötietojen käsittelyn oikeusperusta
Tämä tietosuojakäytäntö on laadittu seuraavien säädösten mukaisesti:
- Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27. huhtikuuta 2016 (GDPR),
- Viron henkilötietolaki (Isikuandmete kaitse seadus, RT I, 26.03.2019, 10),
- muut sovellettavat Viron tasavallan ja Euroopan unionin oikeussäännökset.
Asiakirjan luonne
Tämä asiakirja on informatiivinen ja sen tarkoituksena on täyttää rekisterinpitäjän tiedonantovelvollisuus rekisteröityjä kohtaan. Asiakirja ei ole oikeudellinen neuvonta eikä lainsäädännön tulkinta.
Kaikki henkilötietojen käsittelyä koskevat kysymykset voidaan osoittaa rekisterinpitäjälle sähköpostitse osoitteeseen: office@handkeds.com.
Alueellinen soveltamisala ja tietojen siirto
Handke Digital Solutions -palveluita tarjotaan Euroopan unionin ja Euroopan talousalueen (ETA) alueella.
Henkilötietoja voidaan siirtää muihin EU- tai ETA-maihin ainoastaan siinä laajuudessa kuin se on välttämätöntä palveluiden toteuttamiseksi ja asianmukaisia turvatoimia noudattaen.
Mikäli henkilötietoja siirretään ETA-alueen ulkopuolelle, rekisterinpitäjä soveltaa asianmukaisia oikeudellisia suojamekanismeja, erityisesti:
- Euroopan unionin vakiolausekkeita (SCC),
- muita GDPR:n 44–49 artiklojen mukaisia mekanismeja.
Henkilötietojen antamisen vapaaehtoisuus
Henkilötietojen antaminen on vapaaehtoista, mutta tietyissä tapauksissa välttämätöntä:
- tarjouksen laatimiseksi,
- sopimuksen tekemiseksi tai toteuttamiseksi,
- kyselyyn vastaamiseksi.
Vaadittujen tietojen toimittamatta jättäminen voi estää edellä mainittujen tarkoitusten toteuttamisen.
2. Henkilötietojen rekisterinpitäjä
Henkilötietojen rekisterinpitäjä Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (GDPR) 4 artiklan 7 kohdan mukaisesti on:
Handke Holding OÜ
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2, 10141 Tallinn, Viro
Rekisterinumero: 17387477
ALV-numero (EU VAT): EE102932869
Sähköposti: office@handkeds.com
Puhelin: +372 5617 1770
Handke Digital Solutions -brändin asema
Handke Digital Solutions on Handke Holding OÜ -yhtiön omistama brändi eikä se muodosta erillistä oikeushenkilöä tai erillistä henkilötietojen rekisterinpitäjää.
Kaikki Handke Digital Solutions -toiminnan yhteydessä käsiteltävät henkilötiedot käsittelee Handke Holding OÜ rekisterinpitäjänä, joka päättää henkilötietojen käsittelyn tarkoituksista ja keinoista GDPR:n 4 artiklan 7 kohdan mukaisesti.
Viestintäkieli
Rekisterinpitäjän ensisijainen operatiivinen kieli on englanti.
Kirjallinen viestintä, mukaan lukien henkilötietojen käsittelyä koskevat tiedustelut ja pyynnöt, voidaan toimittaa millä tahansa Euroopan unionin tai Euroopan talousalueen (ETA) virallisella kielellä. Rekisterinpitäjä varmistaa tällaisen kirjeenvaihdon käsittelyn sovellettavan lainsäädännön mukaisesti.
Tietosuojavastaava
Rekisterinpitäjä ei ole velvollinen nimeämään tietosuojavastaavaa (DPO), koska henkilötietojen käsittelyn luonne, laajuus ja tarkoitukset eivät täytä GDPR:n 37 artiklan 1 kohdan mukaisia edellytyksiä.
Henkilötietojen suojaa koskevissa asioissa voi ottaa suoraan yhteyttä rekisterinpitäjään sähköpostitse osoitteeseen: office@handkeds.com.
Rekisterinpitäjän vastuu
Rekisterinpitäjä vastaa erityisesti seuraavista:
- henkilötietojen käsittelyn lainmukaisuuden varmistaminen GDPR:n ja Viron henkilötietolain (Isikuandmete kaitse seadus) mukaisesti,
- asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttaminen ja soveltaminen henkilötietojen suojaamiseksi,
- rekisteröityjen oikeuksien toteuttaminen,
- yhteistyö Viron tasavallan toimivaltaisen tietosuojaviranomaisen (Andmekaitse Inspektsioon) kanssa.
3. Rekisteröityjen ryhmät
Handke Digital Solutions -liiketoiminnan, joka kuuluu Handke Holding OÜ -yhtiölle, yhteydessä henkilötietoja käsitellään ainoastaan siinä laajuudessa kuin se on välttämätöntä ohjelmointi-, suunnittelu- ja hallinnollisten palveluiden asianmukaiseksi tarjoamiseksi.
Henkilötietoja käsitellään läpinäkyvästi, asianmukaisesti ja rajoitetusti suhteessa niihin tarkoituksiin, joita varten ne on kerätty, GDPR:n 5 artiklan 1 kohdan c alakohdassa säädetyn tietojen minimoinnin periaatteen mukaisesti.
Rekisterinpitäjä käsittelee seuraaviin ryhmiin kuuluvien henkilöiden henkilötietoja:
3.1. Yksityisasiakkaat
Luonnolliset henkilöt, jotka käyttävät Handke Digital Solutions -palveluja, erityisesti verkkosivustoprojektien, sovellusten, automaatioratkaisujen tai muiden digitaalisten ratkaisujen tilaajat.
Käsiteltäviin tietoihin kuuluvat erityisesti: nimi, sähköpostiosoite, puhelinnumero, laskutustiedot sekä yhteistyön yhteydessä annetut tiedot.
3.2. Yritysasiakkaat ja yritysten edustajat
Yritysten, yhtiöiden tai muiden organisaatioiden edustajat, jotka käyttävät Handke Digital Solutions -palveluja.
Käsiteltäviin tietoihin kuuluvat erityisesti: nimi, tehtävänimike, työpaikan sähköpostiosoite, puhelinnumero sekä sen organisaation tunnistetiedot, jonka puolesta henkilö toimii (esimerkiksi yrityksen nimi, osoite, Y-tunnus/VAT-numero).
3.3. Mahdolliset asiakkaat ja sopimuskumppanit
Luonnolliset henkilöt, mukaan lukien yritysten tai organisaatioiden edustajat, jotka ottavat yhteyttä rekisterinpitäjään saadakseen tietoa tarjonnasta, yhteistyöehdoista tai liiketoimintasuhteen aloittamiseksi.
Henkilötiedot voidaan toimittaa suoraan rekisteröidyn toimesta (esimerkiksi yhteydenottolomakkeen, sähköpostin tai puhelinkeskustelun välityksellä) tai ne voivat olla peräisin julkisesti saatavilla olevista lähteistä, erityisesti yritysten verkkosivustoilta tai ammatillisilta verkostoitumisalustoilta (esimerkiksi LinkedIn).
Henkilötietojen käsittely tässä yhteydessä perustuu rekisterinpitäjän oikeutettuun etuun, joka liittyy tiedottamiseen, liiketoimintasuhteiden luomiseen ja ylläpitämiseen sekä toiminnan kehittämiseen (GDPR:n 6 artiklan 1 kohdan f alakohta).
Rekisteröidyillä, joiden tietoja käsitellään tällä perusteella, on oikeus vastustaa henkilötietojensa käsittelyä milloin tahansa GDPR:n 21 artiklan mukaisesti.
3.4. Toimittajat ja tekniset kumppanit
Luonnolliset henkilöt, jotka harjoittavat elinkeinotoimintaa, sekä sellaisten yhteistyökumppaneiden edustajat, jotka tarjoavat Handke Digital Solutions -toimintaan liittyviä tukipalveluja, kuten hosting-palveluja, graafista suunnittelua, kirjanpitoa, käännöspalveluja tai IT-tukea.
Henkilötietoja käsitellään sopimuksen tekemiseksi ja toteuttamiseksi tai liiketoimintaan liittyvien lakisääteisten velvoitteiden täyttämiseksi.
3.5. Rekisterinpitäjään yhteyttä ottavat henkilöt
Henkilöt, jotka lähettävät tiedusteluja, palautetta tai ilmoituksia yhteydenottolomakkeiden, sähköpostin, puhelimen tai muiden viestintäkanavien kautta.
Käsiteltäviin tietoihin kuuluvat perusyhteystiedot sekä kirjeenvaihdon sisältö, ja niitä käytetään yksinomaan vastauksen antamiseen, tiedustelun käsittelyyn tai ilmoitetun asian ratkaisemiseen.
3.6. Viranomaisten ja julkisten instituutioiden edustajat
Julkishallinnon viranomaisten, valtion instituutioiden ja valvontaviranomaisten työntekijät tai edustajat, joiden kanssa rekisterinpitäjä on yhteydessä Viron tasavallan ja Euroopan unionin lainsäädännöstä johtuvien velvoitteiden täyttämiseksi.
Lisähuomautukset
Rekisterinpitäjä ei hanki henkilötietoja salaisista lähteistä eikä harjoita rekisteröityjen systemaattista seurantaa.
Kaikkia henkilötietoja käsitellään lainmukaisuuden, asianmukaisuuden, läpinäkyvyyden, minimoinnin, eheyden ja luottamuksellisuuden periaatteiden mukaisesti, jotka on määritelty GDPR:n 5 artiklassa sekä Viron henkilötietolain (Isikuandmete kaitse seadus) 11 §:ssä.
4. Käsiteltävien henkilötietojen laajuus
Käsiteltävien henkilötietojen laajuus riippuu suhteesta rekisteröityyn sekä henkilötietojen käsittelyn tarkoituksesta.
Henkilötietoja käsitellään asianmukaisesti, rajoitetusti ja oikeasuhteisesti GDPR:n 5 artiklan 1 kohdan c alakohdassa säädetyn tietojen minimoinnin periaatteen sekä Viron henkilötietolain (Isikuandmete kaitse seadus) 11 §:n 1 momentin mukaisesti.
Rekisterinpitäjä voi käsitellä seuraavia henkilötietoryhmiä:
4.1. Tunniste- ja yhteystiedot
- nimi,
- sähköpostiosoite (työ- tai yksityinen),
- puhelinnumero,
- postiosoite tai laskutusosoite (jos tarpeen laskun laatimiseksi),
- yritystiedot (esimerkiksi nimi, osoite, Y-tunnus / EU VAT -numero, verkkosivusto),
- tehtävänimike tai asema yrityksessä.
Nämä tiedot ovat tarpeen yhteyden luomiseksi ja ylläpitämiseksi, tarjouksen laatimiseksi, sopimuksen toteuttamiseksi tai liiketoiminnallisen kirjeenvaihdon hoitamiseksi.
4.2. Projektia ja liiketoimintayhteistyötä koskevat tiedot
- asiakkaiden ja sopimuskumppaneiden edustajien tiedot,
- sopimuksiin, toimeksiantoihin, projektimäärityksiin tai briiffeihin sisältyvät tiedot,
- laskutukseen liittyvät tiedot (esimerkiksi maksut, laskut, kuitit),
- sähköpostikirjeenvaihto sekä yhteistyöhistoria,
- asiakkaan palvelun toteuttamista varten toimittamat tiedostot ja materiaalit (esimerkiksi tekstit, grafiikat, kuvakaappaukset, tekninen dokumentaatio).
4.3. Julkisista lähteistä saadut tiedot
- verkkosivustoilla, B2B-alustoilla tai ammatillisissa portaaleissa (esimerkiksi LinkedIn) julkisesti saatavilla olevat tiedot,
- yritysten edustajien liiketoimintatarkoituksessa julkaistut yhteystiedot.
Näiden tietojen käsittely tapahtuu GDPR:n 14 artiklan mukaisesti, ja rekisteröidylle annetaan tieto käsittelystä asianmukaisessa ajassa tietojen hankkimisen jälkeen, ellei lainsäädännössä säädetä poikkeuksesta.
4.4. Tekniset ja käyttöön liittyvät tiedot
www.handkeds.com -verkkosivuston käytön yhteydessä voidaan automaattisesti rekisteröidä perustason teknisiä tietoja, kuten:
- laitteen IP-osoite,
- selaimen ja käyttöjärjestelmän tunnistetiedot,
- yhteyden päivämäärä ja kellonaika,
- vierailtu sivu tai resurssi.
Näitä tietoja käsitellään yksinomaan turvallisuuden varmistamiseksi, verkkosivuston toiminnan jatkuvuuden turvaamiseksi sekä väärinkäytösten ehkäisemiseksi (esimerkiksi murtautumisyritykset tai palvelimen kuormittaminen).
Teknisiä tietoja ei käytetä markkinointitarkoituksiin eikä profilointiin, eikä rekisterinpitäjä tee niiden perusteella käyttäjien toiminnan seurantaan tähtääviä analyysejä.
4.5. Sähköiseen allekirjoittamiseen tai asiakirjojen hyväksymiseen liittyvät tiedot
Kun asiakirjoja allekirjoitetaan tai hyväksytään sähköisesti SignRequest / Dropbox Sign -palvelun tai muun vastaavan ratkaisun kautta, voidaan muodostaa niin sanottu audit trail, joka sisältää erityisesti:
- IP-osoitteen,
- allekirjoituspäivämäärän ja -kellonajan,
- allekirjoittajan tunnistetiedot (esimerkiksi nimi ja sähköpostiosoite).
Näiden tietojen käsittelyn tarkoituksena on varmistaa allekirjoituksen aitous ja asiakirjan eheys.
Käsittelyn oikeusperuste on GDPR:n 6 artiklan 1 kohdan f alakohta – rekisterinpitäjän oikeutettu etu, joka liittyy sopimusten ja asiakirjojen turvallisuuden ja luotettavuuden varmistamiseen.
4.6. Järjestelmien ylläpitoon ja varmuuskopioihin liittyvät tekniset tiedot
Palveluiden toiminnan jatkuvuuden ja tietoturvan varmistamiseksi rekisterinpitäjä voi käsitellä järjestelmien ja infrastruktuurin toimintaan liittyviä teknisiä tietoja, erityisesti:
- järjestelmätunnisteet ja tunnistautumistiedot (vain siinä laajuudessa kuin se on tarpeen käyttöoikeuksien hallintaan),
- järjestelmälokit ja tapahtumalokit,
- tiedostojen ja kirjeenvaihdon varmuuskopiot.
Nämä tiedot säilytetään Euroopan talousalueella (ETA) sijaitsevilla palvelimilla ja suojataan asianmukaisin turvatoimin, mukaan lukien salaus, GDPR:n 32 artiklan mukaisesti.
4.7. Erityiset henkilötietoryhmät (arkaluonteiset tiedot)
Rekisterinpitäjä ei pääsääntöisesti käsittele GDPR:n 9 artiklassa tarkoitettuja erityisiä henkilötietoryhmiä (esimerkiksi terveystietoja, poliittisia mielipiteitä, etnistä alkuperää, uskonnollisia vakaumuksia tai seksuaalista suuntautumista koskevia tietoja).
Mikäli rekisteröity toimittaa tällaisia tietoja vapaaehtoisesti (esimerkiksi viestin sisällössä tai liitetiedostossa), niiden käsittely tapahtuu ainoastaan siinä laajuudessa kuin se on välttämätöntä ja soveltuvan oikeusperusteen mukaisesti, erityisesti:
- rekisteröidyn nimenomaisen suostumuksen perusteella (GDPR:n 9 artiklan 2 kohdan a alakohta), tai
- lain edellyttämässä laajuudessa, mikäli sovellettavaa lainsäädäntöä on noudatettava.
Lisähuomautukset
Rekisterinpitäjä ei hanki henkilötietoja salaisista lähteistä eikä harjoita profilointia tai automaattista päätöksentekoa.
Handke Digital Solutions -verkkosivusto ei käytä evästeitä eikä analytiikkatyökaluja käyttäjien toiminnan seuraamiseen.
Henkilötietoja käsitellään yksinomaan ohjelmointi- ja tekniseen toimintaan liittyvissä tarkoituksissa läpinäkyvyyden ja turvallisuuden periaatteiden mukaisesti, jotka on määritelty GDPR:n 5 ja 32 artiklassa sekä Viron henkilötietolain (Isikuandmete kaitse seadus) 11 §:ssä.
5. Henkilötietojen käsittelyn tarkoitukset ja oikeusperusteet
Handke Digital Solutions, joka kuuluu Handke Holding OÜ -yhtiölle, käsittelee henkilötietoja ainoastaan siinä laajuudessa kuin se on välttämätöntä lainmukaisen liiketoiminnan harjoittamiseksi, rehellisesti, läpinäkyvästi ja oikeasuhteisesti.
Käsittely tapahtuu asetuksen (EU) 2016/679 (”GDPR”) 5 ja 6 artiklassa sekä Viron henkilötietolain (Isikuandmete kaitse seadus) 10–11 §:ssä säädettyjen periaatteiden mukaisesti.
Rekisterinpitäjä varmistaa, että henkilötietoja käsitellään ainoastaan selkeästi määriteltyihin tarkoituksiin tarkoitussidonnaisuuden periaatteen mukaisesti, eikä niitä käsitellä edelleen näiden tarkoitusten kanssa ristiriitaisella tavalla.
5.1. Tarjouksen laatiminen ja yhteistyön aloittaminen
Henkilötietojen käsittely tiedusteluun vastaamiseksi, palvelutarjouksen laatimiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi.
Oikeusperuste: GDPR:n 6 artiklan 1 kohdan b alakohta – rekisteröidyn pyynnöstä toteutettavat toimenpiteet ennen sopimuksen tekemistä.
5.2. Sopimusten ja toimeksiantojen toteuttaminen
Asiakkaiden, sopimuskumppaneiden, yhteistyökumppaneiden ja toimittajien henkilötietojen käsittely ohjelmistopalveluja, verkkosivustojen ylläpitoa tai ohjelmistokehitystä koskevien sopimusten tekemiseksi ja toteuttamiseksi.
Oikeusperuste:
- GDPR:n 6 artiklan 1 kohdan b alakohta – sopimuksen täytäntöönpano,
- GDPR:n 6 artiklan 1 kohdan c alakohta – lakisääteinen velvoite, joka perustuu vero- ja kirjanpitolainsäädäntöön (erityisesti Raamatupidamise seadus 12–13 §).
5.3. Kirjeenvaihto ja tiedustelujen käsittely
Henkilötietojen käsittely niiden henkilöiden osalta, jotka ottavat yhteyttä Handke Digital Solutions -toimintaan lomakkeiden, sähköpostin, puhelimen tai muiden viestintäkanavien kautta, jatkuvan kirjeenvaihdon ja vastausten antamiseksi.
Oikeusperuste: GDPR:n 6 artiklan 1 kohdan f alakohta – rekisterinpitäjän oikeutettu etu, joka liittyy vastausten antamiseen, yhteyden ylläpitämiseen ja liiketoimintaviestinnän asianmukaiseen hoitamiseen.
5.4. Laskutus, kirjanpito ja arkistointi
Taloudellisten ja dokumentaatiotietojen käsittely laskujen laatimiseksi, kirjanpidon ja verotuksellisten velvoitteiden täyttämiseksi sekä asiakirjojen arkistoimiseksi Viron lainsäädännön edellyttämän ajan.
Oikeusperuste:
- GDPR:n 6 artiklan 1 kohdan c alakohta – rekisterinpitäjän lakisääteinen velvoite,
- Raamatupidamise seadus 12–13 § – velvollisuus säilyttää kirjanpitoaineisto vähintään 7 vuoden ajan.
5.5. Tietoturva ja infrastruktuurin suojaaminen
Teknisten tietojen (esimerkiksi IP-osoite, järjestelmälokit, palvelimen käyttöä koskevat tiedot) käsittely tietojärjestelmien turvallisuuden varmistamiseksi, väärinkäytösten ja tietojen menetyksen ehkäisemiseksi, varmuuskopioiden ylläpitämiseksi sekä palveluiden jatkuvuuden turvaamiseksi.
Oikeusperuste:
- GDPR:n 6 artiklan 1 kohdan f alakohta – rekisterinpitäjän oikeutettu etu, joka liittyy tietojen ja palveluiden turvallisuuden varmistamiseen,
- Isikuandmete kaitse seadus 11 § – velvollisuus varmistaa tietojen eheys ja luottamuksellisuus.
5.6. Sähköinen asiakirjojen allekirjoittaminen
Henkilötietojen käsittely sähköisten asiakirjojen allekirjoittamisen yhteydessä käytettäessä SignRequest / Dropbox Sign -palveluja tai muita vastaavia ratkaisuja allekirjoituksen aitouden ja asiakirjan eheyden varmistamiseksi.
Oikeusperuste:
- GDPR:n 6 artiklan 1 kohdan b alakohta – sopimuksen täytäntöönpano tai sopimuksen tekemistä edeltävät toimenpiteet (yhteistyön vaiheesta riippuen),
- GDPR:n 6 artiklan 1 kohdan f alakohta – rekisterinpitäjän oikeutettu etu, joka liittyy sopimusten turvallisuuden ja luotettavuuden varmistamiseen.
5.7. Oikeudellisten vaateiden esittäminen ja puolustaminen
Henkilötietojen käsittely oikeudellisten vaateiden selvittämiseksi, esittämiseksi tai puolustamiseksi, mukaan lukien tuomioistuin-, hallinto- tai sovittelumenettelyissä.
Oikeusperuste: GDPR:n 6 artiklan 1 kohdan f alakohta – rekisterinpitäjän oikeutettu etu, joka liittyy sen oikeuksien ja etujen suojaamiseen.
5.8. Velvoitteiden täyttäminen viranomaisia kohtaan
Henkilötietojen käsittely ja luovuttaminen toimivaltaisille hallinto-, vero- tai tuomioistuinviranomaisille, mikäli se perustuu Viron tasavallan tai Euroopan unionin voimassa olevaan lainsäädäntöön.
Oikeusperuste:
- GDPR:n 6 artiklan 1 kohdan c alakohta – rekisterinpitäjän lakisääteinen velvoite,
- Isikuandmete kaitse seadus 10 §:n 1 momentin 2 kohta.
5.9. Ei profilointia eikä automaattista päätöksentekoa
Rekisterinpitäjä ei harjoita automaattista päätöksentekoa, mukaan lukien profilointia, GDPR:n 22 artiklan tarkoittamassa merkityksessä.
Kaikki asiakkaisiin, sopimuskumppaneihin ja liikekumppaneihin liittyvät päätökset tehdään yksilöllisesti valtuutettujen henkilöiden toimesta.
6. Henkilötietojen käsittelyn oikeusperusteet
Rekisterinpitäjä käsittelee henkilötietoja ainoastaan tilanteissa, joissa käsittelylle on olemassa selkeä ja lainmukainen oikeusperuste Euroopan unionin ja Viron tasavallan lainsäädännön mukaisesti, erityisesti:
- Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679, annettu 27. huhtikuuta 2016 (GDPR),
- Viron henkilötietolain – Isikuandmete kaitse seadus (IKS, RT I, 26.03.2019, 10).
Henkilötietojen käsittely tapahtuu aina GDPR:n 5 artiklassa ja IKS:n 11 §:ssä säädettyjen periaatteiden mukaisesti, erityisesti lainmukaisuuden, asianmukaisuuden, läpinäkyvyyden, tarkoitussidonnaisuuden, tietojen minimoinnin, eheyden, luottamuksellisuuden ja osoitusvelvollisuuden periaatteiden mukaisesti.
6.1. Henkilötietojen käsittelyn oikeusperusteet (GDPR 6 artikla)
Rekisterinpitäjä käsittelee henkilötietoja seuraavien oikeusperusteiden nojalla:
a) Rekisteröidyn suostumus
(GDPR:n 6 artiklan 1 kohdan a alakohta; IKS 10 §:n 1 momentti)
Tätä oikeusperustetta sovelletaan tilanteissa, joissa rekisteröity vapaaehtoisesti ja nimenomaisesti toimittaa henkilötietoja, joita ei edellytetä sopimuksen toteuttamiseksi, erityisesti vapaaehtoisen kirjeenvaihdon yhteydessä tai projektimateriaalien toimittamisen yhteydessä, jotka sisältävät lisätietoja.
Suostumus voidaan peruuttaa milloin tahansa ilman, että se vaikuttaa ennen peruuttamista suoritetun käsittelyn lainmukaisuuteen GDPR:n 7 artiklan 3 kohdan mukaisesti.
b) Sopimuksen täytäntöönpano tai sopimuksen tekemistä edeltävät toimenpiteet
(GDPR:n 6 artiklan 1 kohdan b alakohta; IKS 10 §:n 1 momentin 2 kohta)
Tämä oikeusperuste kattaa henkilötietojen käsittelyn seuraaviin tarkoituksiin:
- sopimusten valmistelu, tekeminen ja toteuttaminen asiakkaiden ja sopimuskumppaneiden kanssa,
- ohjelmointi-, suunnittelu- tai teknisten palvelujen tarjoaminen,
- päivittäisen työyhteyden ja yhteistyön hallinnointi.
c) Rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattaminen
(GDPR:n 6 artiklan 1 kohdan c alakohta; IKS 10 §:n 1 momentin 3 kohta)
Tämä oikeusperuste kattaa henkilötietojen käsittelyn, joka on välttämätöntä Viron tasavallan ja Euroopan unionin lainsäädännön nojalla, erityisesti seuraavissa tapauksissa:
- kirjanpito- ja verodokumentaation ylläpitäminen ja säilyttäminen Raamatupidamise seadus 12–13 §:n mukaisesti (säilytysaika vähintään 7 vuotta),
- vero- ja raportointivelvoitteiden täyttäminen,
- velvoitteiden toteuttaminen julkishallinnon viranomaisia ja valvontaelimiä kohtaan.
d) Rekisterinpitäjän oikeutettu etu
(GDPR:n 6 artiklan 1 kohdan f alakohta; IKS 11 §:n 2 momentti)
Rekisterinpitäjä käsittelee henkilötietoja siinä laajuudessa kuin se on tarpeen sen oikeutettujen etujen toteuttamiseksi, kuten:
- jatkuvan kirjeenvaihdon ja tiedustelujen käsittely,
- tietojärjestelmien, asiakirjojen ja teknisen infrastruktuurin turvallisuuden varmistaminen,
- varmuuskopioiden ja järjestelmälokien ylläpito,
- oikeudellisten vaateiden selvittäminen, esittäminen tai puolustaminen.
Rekisterinpitäjä arvioi aina, ettei sen oikeutettu etu syrjäytä rekisteröidyn oikeuksia ja vapauksia GDPR:n 6 artiklan 1 kohdan f alakohdan sekä johdanto-osan 47 kappaleen mukaisesti.
Rekisteröidyllä, jonka tietoja käsitellään tällä perusteella, on oikeus vastustaa henkilötietojensa käsittelyä GDPR:n 21 artiklan mukaisesti.
6.2. Erityisten henkilötietoryhmien käsittely (GDPR 9 artikla)
Rekisterinpitäjä ei pääsääntöisesti käsittele GDPR:n 9 artiklan 1 kohdassa tarkoitettuja erityisiä henkilötietoryhmiä.
Mikäli rekisteröity vapaaehtoisesti paljastaa tällaisia tietoja (esimerkiksi viestin sisällössä, liitetiedostossa tai asiakirjassa), niiden käsittely tapahtuu ainoastaan:
- rekisteröidyn nimenomaisen suostumuksen perusteella (GDPR:n 9 artiklan 2 kohdan a alakohta; IKS 21 §), tai
- siinä laajuudessa kuin pakottava lainsäädäntö sitä edellyttää.
Näihin tietoihin sovelletaan tehostettuja teknisiä ja organisatorisia suojatoimenpiteitä GDPR:n 32 artiklan mukaisesti.
6.3. Henkilötietojen käsittelyn yleiset periaatteet
Rekisterinpitäjä varmistaa, että kaikki henkilötietojen käsittelytoimet toteutetaan seuraavien säännösten mukaisesti:
- GDPR:n 5 ja 6 artikla – lainmukaisuuden, tarkoitussidonnaisuuden, tietojen minimoinnin, eheyden, luottamuksellisuuden ja osoitusvelvollisuuden periaatteet,
- IKS 11 § – suhteellisuuden, asianmukaisuuden ja tietojen riittävyyden periaate,
- GDPR:n 32 artikla – käsittelyn turvallisuutta koskevat periaatteet, mukaan lukien salaus, käyttöoikeuksien hallinta ja varmuuskopiointi,
- GDPR:n 24 artikla – rekisterinpitäjän osoitusvelvollisuuden periaate.
Rekisterinpitäjä ei harjoita automaattista päätöksentekoa eikä profilointia GDPR:n 22 artiklan tarkoittamassa merkityksessä.
6.4. Lainmukaisuuden arviointi ja sisäinen dokumentaatio
GDPR:n ja Viron tasavallan lainsäädännön täyden noudattamisen varmistamiseksi rekisterinpitäjä ylläpitää ja päivittää erityisesti seuraavia asiakirjoja:
- käsittelytoimien rekisteri (Record of Processing Activities) GDPR:n 30 artiklan mukaisesti,
- oikeutetun edun tasapainotusarvioinnit (Legitimate Interest Assessment) tapauksissa, joissa käsittely perustuu GDPR:n 6 artiklan 1 kohdan f alakohtaan,
- tietoturva- ja henkilötietosuojapolitiikka,
- menettelyt henkilötietojen tietoturvaloukkausten varalta GDPR:n 33–34 artiklan sekä IKS 23 §:n mukaisesti.
7. Henkilötietojen lähteet
Handke Digital Solutions -toiminnan, joka kuuluu Handke Holding OÜ -yhtiölle, yhteydessä käsiteltävät henkilötiedot ovat peräisin sekä suoraan rekisteröidyiltä että laillisista, julkisesti saatavilla olevista lähteistä.
Rekisterinpitäjä toimii GDPR:n 14 artiklan sekä Viron henkilötietolain (Isikuandmete kaitse seadus, IKS) 14–15 §:n mukaisesti ja – mikäli tiedot on saatu epäsuorasti – on velvollinen ilmoittamaan rekisteröidylle hänen tietojensa alkuperästä ilman aiheetonta viivytystä, kuitenkin viimeistään GDPR:n 14 artiklan 3 kohdassa säädetyssä määräajassa, ellei laissa säädettyä poikkeusta sovelleta.
7.1. Suoraan rekisteröidyiltä saadut tiedot
Henkilötietoja voidaan toimittaa vapaaehtoisesti jatkuvan viestinnän ja yhteistyön yhteydessä, erityisesti:
- sähköpostiviestien, puhelinkeskustelujen sekä verkkoviestintäpalvelujen kautta,
- www.handkeds.com -verkkosivuston yhteydenottolomakkeiden kautta,
- verkkotapaamisten tai henkilökohtaisten liiketapaamisten yhteydessä,
- projektimateriaalien, asiakirjojen tai tiedostojen toimittamisen yhteydessä, jotka ovat tarpeen sopimuksen toteuttamiseksi.
7.2. Asiakkaiden, sopimuskumppaneiden ja liikekumppaneiden tiedot
Yritysten edustajien, asiakkaiden ja liikekumppaneiden tiedot voivat olla peräisin:
- suorista työyhteyksistä (sähköposti, puhelin, tapaamiset),
- yritysten ja organisaatioiden virallisilta verkkosivustoilta,
- yritys- ja ammatillisista profiileista palveluissa, kuten LinkedIn,
- julkisista yritysrekistereistä, mukaan lukien Viron Äriregister (E-Business Register),
- toimialatapahtumista ja verkostoitumistilaisuuksista.
Näitä tietoja käytetään ainoastaan siinä laajuudessa kuin on tarpeen yhteistyön aloittamiseksi tai ylläpitämiseksi sekä rekisterinpitäjän liiketoiminnallisten tavoitteiden toteuttamiseksi.
7.3. Julkisten instituutioiden ja hallintoviranomaisten edustajien tiedot
Nämä tiedot ovat peräisin virallisesta kirjeenvaihdosta (kirjeet, sähköpostit, sähköiset asiakirjat) sekä julkisista virallisista lähteistä, ja niitä käsitellään ainoastaan lain edellyttämässä laajuudessa GDPR:n 6 artiklan 1 kohdan c alakohdan sekä IKS 10 §:n mukaisesti.
7.4. Muista laillisista lähteistä saadut tiedot
Rekisterinpitäjä voi myös hankkia tietoja laillisista, julkisesti saatavilla olevista lähteistä, kuten:
- julkisista toimialahakemistoista ja B2B-yhteystietorekistereistä,
- uutisportaaleista tai verkkosivustoilta, jotka sisältävät yritysten liiketoimintatarkoituksessa julkaistuja yhteystietoja,
- sosiaalisesta mediasta – ainoastaan siltä osin kuin henkilö on itse julkistanut ammatilliset tietonsa (esimerkiksi LinkedIn-profiili tai yrityssivu).
Rekisterinpitäjä ei hanki tietoja yksityisiltä tileiltä, ei käytä piilotettuja tiedonkeruumenetelmiä eikä käsittele ei-julkisista lähteistä peräisin olevia tietoja.
7.5. Sähköisiin allekirjoituksiin liittyvät tekniset tiedot
Sähköisten asiakirjojen (esimerkiksi sopimusten tai lomakkeiden) allekirjoittamisen yhteydessä SignRequest / Dropbox Sign -palvelujen tai muiden vastaavien järjestelmien kautta voidaan automaattisesti tallentaa teknisiä ja tunnistetietoja, erityisesti:
- laitteen IP-osoite,
- allekirjoituksen päivämäärä ja kellonaika,
- allekirjoitusprosessiin liittyvät tunnisteet (esimerkiksi käyttäjä- tai laitetunniste) – mikäli järjestelmä tuottaa niitä.
Näiden tietojen käsittelyn tarkoituksena on varmistaa allekirjoituksen aitous, asiakirjan eheys sekä sopimusten luotettavuus.
Käsittelyn oikeusperuste on GDPR:n 6 artiklan 1 kohdan f alakohta sekä IKS 11 §.
7.6. Verkkopalvelimen tekniset tiedot
www.handkeds.com -verkkosivuston käytön yhteydessä voidaan automaattisesti tallentaa perustason teknisiä tietoja, kuten:
- laitteen IP-osoite,
- selaimen tyyppi ja versio,
- käyttöjärjestelmä,
- yhteyden päivämäärä ja kellonaika,
- palvelinlokitiedot.
Näitä tietoja käsitellään ainoastaan verkkosivuston turvallisuuden, vakauden ja asianmukaisen toiminnan varmistamiseksi GDPR:n 6 artiklan 1 kohdan f alakohdan sekä IKS 11 §:n (eheyden ja luottamuksellisuuden periaate) mukaisesti.
Rekisterinpitäjä ei harjoita profilointia eikä käyttäjien systemaattista seurantaa eikä käytä seurantateknologioita markkinointitarkoituksiin.
8. Henkilötietojen vastaanottajat
Henkilötietoja voidaan luovuttaa ainoastaan luotettaville tahoille, jotka tukevat rekisterinpitäjää sen liiketoiminnan harjoittamisessa, palvelujen tarjoamisessa tai lakisääteisten velvoitteiden täyttämisessä, sekä julkisille viranomaisille, mikäli tällainen velvollisuus perustuu Viron tasavallan tai Euroopan unionin lainsäädäntöön.
Kaikki tietojen luovutukset ja siirrot toteutetaan GDPR:n 28 artiklan sekä 44–49 artiklan ja Viron henkilötietolain (Isikuandmete kaitse seadus, IKS) mukaisesti, noudattaen tietojen minimoinnin, luottamuksellisuuden ja tarkoitussidonnaisuuden periaatteita.
Henkilötietojen vastaanottajaryhmät
8.1. Rekisterinpitäjän toimintaa tukevat tekniset ja organisatoriset tahot
Henkilötietoja voidaan luovuttaa tai antaa saataville tahoille, jotka tarjoavat rekisterinpitäjälle tukipalveluja, erityisesti:
- hosting- ja palvelinpalvelujen tarjoajat,
- sähköposti- ja verkkoviestintäpalvelujen tarjoajat,
- IT-järjestelmien ja pilvipalveluratkaisujen toimittajat,
- sähköisen allekirjoituksen palveluntarjoajat (esimerkiksi SignRequest / Dropbox Sign),
- tilitoimistot ja kirjanpitopalvelujen tarjoajat,
- asianajotoimistot ja liiketoimintaneuvojat,
- teknistä tukea ja IT-infrastruktuurin ylläpitoa tarjoavat tahot.
Nämä tahot käsittelevät henkilötietoja ainoastaan siinä laajuudessa kuin se on tarpeen rekisterinpitäjälle tarjottavien palvelujen toteuttamiseksi ja – mikäli ne toimivat henkilötietojen käsittelijöinä – GDPR:n 28 artiklan mukaisen henkilötietojen käsittelysopimuksen (Data Processing Agreement) perusteella.
Jokainen henkilötietojen käsittelijä on velvollinen erityisesti:
- noudattamaan luottamuksellisuutta,
- toteuttamaan asianmukaiset tekniset ja organisatoriset turvatoimet (GDPR:n 32 artikla sekä IKS 11 §),
- käsittelemään tietoja ainoastaan rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti.
8.2. Julkiset viranomaiset ja instituutiot
Henkilötietoja voidaan luovuttaa ainoastaan viranomaisille, joilla on lainsäädäntöön perustuva oikeus vaatia tietoja, erityisesti:
- Maksu- ja Tolliamet (Viron vero- ja tullihallitus / Estonian Tax and Customs Board),
- Andmekaitse Inspektsioon (Viron tietosuojaviranomainen),
- tuomioistuimet, lainvalvontaviranomaiset ja muut valvontaelimet,
- Euroopan unionin ja Euroopan talousalueen toimielimet sovellettavan lainsäädännön mukaisessa laajuudessa.
Tietojen luovuttaminen näille tahoille tapahtuu ainoastaan lain edellyttämissä tilanteissa ja siinä vähimmäislaajuudessa kuin on tarpeen rekisterinpitäjän velvoitteiden täyttämiseksi.
8.3. Projektikohtaiset palveluntarjoajat
Joissakin tapauksissa henkilötietoja voidaan luovuttaa IT-projektien toteutukseen osallistuville yhteistyökumppaneille (esimerkiksi itsenäisille toimeksisaajille tai alihankkijoille), jotka suorittavat tiettyjä teknisiä tehtäviä.
Nämä tahot käsittelevät tietoja ainoastaan siinä laajuudessa kuin on tarpeen niille annetun tehtävän suorittamiseksi ja asianmukaisen sopimuksen perusteella, mukaan lukien – soveltuvin osin – GDPR:n 28 artiklan mukainen henkilötietojen käsittelysopimus.
Tietojen luovuttamisen periaatteet
Kaikki henkilötietojen luovutukset toteutetaan ainoastaan siinä laajuudessa kuin on tarpeen tässä tietosuojakäytännössä määriteltyjen tarkoitusten toteuttamiseksi ja asianmukaisen oikeusperusteen (GDPR 6 artikla) nojalla.
Rekisterinpitäjä varmistaa, että kaikki tietojen vastaanottajat käsittelevät henkilötietoja GDPR:n 32 artiklassa ja IKS 11 §:ssä säädettyjen turvallisuus- ja luottamuksellisuusperiaatteiden mukaisesti.
Henkilötietoja ei luovuteta sosiaalisen median alustoille eikä mainosalustoille, eikä niitä käytetä markkinointi-, mainonta- tai profilointitarkoituksiin.
Rekisterinpitäjä ei myy henkilötietoja eikä luovuta niitä kolmansille osapuolille ilman lainmukaista perustetta.
9. Henkilötietojen siirto Euroopan talousalueen (ETA) ulkopuolelle
Handke Digital Solutions -toiminnan, joka kuuluu Handke Holding OÜ -yhtiölle, yhteydessä henkilötietoja voidaan käsitellä käyttämällä ulkopuolisten palveluntarjoajien tarjoamia työkaluja ja palveluja, mikä tietyissä tapauksissa voi merkitä henkilötietojen siirtämistä Euroopan talousalueen (ETA) ulkopuolelle.
Tällainen tietojen siirto toteutetaan aina ainoastaan siinä laajuudessa kuin se on tarpeen määriteltyjen käsittelytarkoitusten toteuttamiseksi sekä GDPR:n 44–49 artiklan mukaisesti, asianmukaisia oikeudellisia suojamekanismeja soveltaen.
9.1. Cloudflare
Handke Digital Solutions -verkkosivusto käyttää Cloudflaren palveluja erityisesti seuraavissa tarkoituksissa:
- väärinkäytösten ja verkkohyökkäysten torjunta,
- yhteydenottolomakkeiden suojaaminen (Cloudflare Turnstile),
- verkkoliikenteen käsittely ja teknisten lokitietojen hallinta.
Cloudflaren infrastruktuurin maailmanlaajuisen luonteen vuoksi teknisiä tietoja (kuten IP-osoite, yhteystiedot tai järjestelmälokit) voidaan käsitellä palvelimilla, jotka sijaitsevat ETA-alueen ulkopuolella, mukaan lukien Yhdysvalloissa.
Tietojen siirto voi perustua:
- Euroopan unionin vakiolausekkeisiin (Standard Contractual Clauses – SCC),
- sekä soveltuvin osin tietosuojan riittävyyttä koskeviin komission päätöksiin (esimerkiksi EU–US Data Privacy Framework).
9.2. Whereby
Handke Digital Solutions käyttää Whereby-työkalua verkkotapaamisten toteuttamiseen sekä viestintään asiakkaiden ja liikekumppaneiden kanssa.
Tapaamisten yhteydessä käsiteltävät tiedot (esimerkiksi IP-osoite, yhteystiedot ja tekniset metatiedot) voidaan käsitellä palvelimilla, jotka sijaitsevat sekä ETA-alueella että sen ulkopuolella, riippuen tapaamiseen osallistuvien henkilöiden sijainnista sekä kulloinkin käytettävästä verkkoinfrastruktuurista.
Whereby soveltaa asianmukaisia oikeudellisia suojamekanismeja, mukaan lukien Euroopan unionin vakiolausekkeet (SCC), GDPR:n 44–49 artiklan mukaisesti.
9.3. SignRequest / Dropbox Sign
Sähköisten asiakirjojen allekirjoittamista varten Handke Digital Solutions käyttää SignRequest / Dropbox Sign -palveluja.
Tämän palvelun yhteydessä voidaan käsitellä erityisesti seuraavia tietoja:
- allekirjoittajan nimi,
- sähköpostiosoite,
- IP-osoite,
- asiakirjan allekirjoituspäivämäärä ja -kellonaika,
- ns. asiakirjan audit trail.
Palvelun käyttö voi merkitä henkilötietojen siirtämistä ETA-alueen ulkopuolelle, erityisesti Yhdysvaltoihin. Tietojen siirto tapahtuu Euroopan unionin vakiolausekkeiden (SCC) perusteella GDPR:n 46 artiklan mukaisesti.
9.4. Suojatoimenpiteet ja yleiset periaatteet
Rekisterinpitäjä varmistaa, että:
- henkilötietoja siirretään ETA-alueen ulkopuolelle ainoastaan silloin, kun se on välttämätöntä määriteltyjen käsittelytarkoitusten toteuttamiseksi,
- jokainen henkilötietojen käsittelijä soveltaa asianmukaisia teknisiä ja organisatorisia turvatoimia GDPR:n 32 artiklan mukaisesti,
- tietojen siirto perustuu aina voimassa oleviin ja lainmukaisiin henkilötietojen suojamekanismeihin (GDPR:n 44–49 artikla).
Rekisterinpitäjä ei siirrä henkilötietoja ETA-alueen ulkopuolelle hallitsemattomasti eikä ilman asianmukaista oikeusperustetta.
10. Henkilötietojen säilytysaika
Rekisterinpitäjä säilyttää henkilötietoja ainoastaan sen ajan, joka on tarpeen niiden keräämistarkoitusten toteuttamiseksi, GDPR:n 5 artiklan 1 kohdan e alakohdassa säädetyn säilytyksen rajoittamisen periaatteen sekä Viron tasavallan sovellettavan lainsäädännön mukaisesti.
Säilytysaikojen päätyttyä henkilötiedot poistetaan pysyvästi, anonymisoidaan tai arkistoidaan siten, ettei rekisteröityä voida enää tunnistaa, ellei pakottava lainsäädäntö (erityisesti vero-, kirjanpito- tai arkistointisäännökset) edellytä niiden pidempää säilyttämistä.
10.1. Asiakkaiden ja sopimuskumppaneiden tiedot
a) Henkilötiedot, joita käsitellään sopimusten valmistelua, tekemistä ja toteuttamista varten GDPR:n 6 artiklan 1 kohdan b alakohdan perusteella, säilytetään sopimuksen voimassaolon ajan sekä sopimuksen päättymisen jälkeen vaateiden vanhentumisajan loppuun saakka, pääsääntöisesti vähintään 3 vuotta, ellei erityislainsäädäntö edellytä pidempää säilytysaikaa.
b) Henkilötiedot, joita käsitellään jatkuvaa liiketoimintayhteyttä, tiedustelujen käsittelyä ja yhteistyötä varten GDPR:n 6 artiklan 1 kohdan f alakohdan (rekisterinpitäjän oikeutettu etu) perusteella, säilytetään yhteistyön keston ajan tai siihen saakka, kun asiaan liittyvä yhteydenpito on päättynyt.
c) Henkilötiedot, joita käsitellään laskutukseen, kirjanpitoon ja verotukseen liittyviin tarkoituksiin GDPR:n 6 artiklan 1 kohdan c alakohdan (lakisääteinen velvoite) perusteella, säilytetään 7 vuotta tilikauden päättymisestä Raamatupidamise seadus 12–13 §:n mukaisesti, ellei lainsäädäntö edellytä pidempää säilytysaikaa.
d) Henkilötiedot, joita käsitellään oikeudellisten vaateiden selvittämiseksi, esittämiseksi tai puolustamiseksi GDPR:n 6 artiklan 1 kohdan f alakohdan perusteella, säilytetään vaateiden vanhentumisajan loppuun saakka, pääsääntöisesti vähintään 3 vuotta sopimuksen tai yhteydenpidon päättymisestä.
10.2. Mahdolliset asiakkaat, toimittajat ja liikekumppanit
a) Henkilötiedot, jotka koskevat henkilöitä, joiden kanssa on oltu yhteydessä yhteistyötarjouksen yhteydessä tai jotka ovat toimittaneet tietoja sähköpostin, yhteydenottolomakkeiden tai muiden viestintäkanavien kautta, ja joita käsitellään GDPR:n 6 artiklan 1 kohdan f alakohdan perusteella, säilytetään niin kauan kuin liikeneuvottelut ovat käynnissä tai siihen saakka, kun rekisteröity vastustaa tietojensa käsittelyä, kuitenkin enintään 3 vuotta viimeisestä yhteydenotosta.
b) Rekisterinpitäjän yhteistyökumppaneiden edustajien tiedot (esimerkiksi IT-palvelujen, hostingin, kirjanpidon tai neuvonnan alalla), joita käsitellään GDPR:n 6 artiklan 1 kohdan b ja c alakohdan perusteella, säilytetään yhteistyön keston ajan sekä sen päättymisen jälkeen vaateiden vanhentumisajan loppuun saakka (pääsääntöisesti 3 vuotta), kun taas kirjanpito- ja verodokumentaatio säilytetään 7 vuotta Viron lainsäädännön mukaisesti.
10.3. Rekisterinpitäjään yhteyttä ottavat henkilöt
Henkilötiedot, jotka koskevat yhteydenottolomakkeen, sähköpostin tai puhelimen välityksellä tiedusteluja lähettäviä henkilöitä ja joita käsitellään GDPR:n 6 artiklan 1 kohdan f alakohdan perusteella, säilytetään niin kauan kuin on tarpeen vastauksen antamiseksi ja kirjeenvaihdon päättämiseksi, ja tämän jälkeen – mikäli perusteltua – mahdollisten vaateiden vanhentumisajan loppuun saakka, kuitenkin enintään 3 vuotta yhteydenpidon päättymisestä.
10.4. Tekniset tiedot ja järjestelmälokit
Tekniset tiedot, palvelinlokit ja rekisterinpitäjän järjestelmissä tapahtuneita tapahtumia koskevat tiedot, joita käsitellään GDPR:n 6 artiklan 1 kohdan f alakohdan perusteella, säilytetään niin kauan kuin on tarpeen järjestelmien turvallisuuden varmistamiseksi, tietoturvaloukkausten havaitsemiseksi, virheiden analysoimiseksi ja väärinkäytösten ehkäisemiseksi, kuitenkin enintään 90 päivää, elleivät IT-turvallisuutta, auditointia tai muita lakisääteisiä velvoitteita koskevat säännökset edellytä pidempää säilytysaikaa.
10.5. Julkisten viranomaisten ja instituutioiden edustajien tiedot
Julkishallinnon viranomaisten ja instituutioiden työntekijöiden tai edustajien tiedot, joiden kanssa rekisterinpitäjä käy virallista kirjeenvaihtoa, säilytetään niin kauan kuin on tarpeen kyseisen asian käsittelemiseksi sekä sovellettavan lainsäädännön mukaisen arkistointiajan, kuitenkin enintään 10 vuotta menettelyn, tarkastuksen tai virallisen asian päättymisestä.
10.6. Säilytysaikoja koskevat loppumääräykset
a) Edellä mainittujen säilytysaikojen päätyttyä henkilötiedot poistetaan pysyvästi, anonymisoidaan tai arkistoidaan siten, ettei rekisteröityä voida tunnistaa, sovellettavan lainsäädännön mukaisesti.
b) Mikäli pakottava lainsäädäntö edellyttää pidempää säilytysaikaa, säilytysaikaa voidaan pidentää ainoastaan siinä laajuudessa kuin on tarpeen kyseisten velvoitteiden täyttämiseksi.
c) Rekisterinpitäjä tarkistaa säännöllisesti hallussaan olevat tiedot sekä arvioi niiden säilyttämisen tarpeellisuutta varmistaakseen, ettei henkilötietoja käsitellä pidempään kuin on välttämätöntä niiden keräämistarkoitusten toteuttamiseksi.
11. Henkilötietojen antamisen vapaaehtoisuus
Henkilötietojen antaminen Handke Digital Solutions -palveluja käyttäville henkilöille, joka kuuluu Handke Holding OÜ -yhtiölle, on pääsääntöisesti vapaaehtoista.
Tietyissä tilanteissa henkilötietojen antaminen on kuitenkin välttämätöntä tiettyjen käsittelytarkoitusten toteuttamiseksi, erityisesti tiedusteluun vastaamiseksi, tarjouksen laatimiseksi, sopimuksen tekemiseksi tai toteuttamiseksi sekä rekisterinpitäjää koskevien lakisääteisten velvoitteiden täyttämiseksi.
Mikäli henkilötietoja, jotka ovat tarpeen tietyn tarkoituksen toteuttamiseksi, ei toimiteta, se voi johtaa siihen, ettei vastausta voida antaa, tarjousta laatia, sopimusta tehdä tai ohjelmointi-, ylläpito- tai muuta rekisterinpitäjän tarjoamaa digitaalista palvelua toteuttaa.
11.1. Vaadittavien tietojen laajuus
Erityisesti:
- jos tiedustelu lähetetään yhteydenottolomakkeen, sähköpostin tai puhelimen välityksellä – on tarpeen antaa perusyhteystiedot, joiden avulla lähettäjä voidaan tunnistaa ja hänelle voidaan vastata;
- jos tehdään sopimus tai toimeksianto – on tarpeen toimittaa tunnistamis- ja yhteystiedot, mukaan lukien yritystiedot (esimerkiksi nimi, osoite, EU VAT -numero) siinä laajuudessa kuin on tarpeen sopimuksen tekemiseksi ja toteuttamiseksi;
- jos allekirjoitetaan sähköisiä asiakirjoja – voi olla tarpeen antaa allekirjoituksen vahvistamiseen vaadittavat tiedot, kuten sähköpostiosoite, IP-osoite ja aikaleima;
- jos laaditaan lasku, kuitti tai maksuvahvistus – on tarpeen toimittaa verotusta tai kirjanpitoa koskevan lainsäädännön edellyttämät tiedot.
11.2. Vapaaehtoiset tiedot ja suostumus
Rekisterinpitäjä ilmoittaa aina selkeästi, mitkä henkilötiedot ovat välttämättömiä tietyn tarkoituksen toteuttamiseksi ja mitkä tiedot ovat vapaaehtoisia.
Käsiteltävien henkilötietojen laajuus rajoittuu vähimmäismäärään, joka on tarpeen, GDPR:n 5 artiklan 1 kohdan c alakohdassa säädetyn tietojen minimointiperiaatteen mukaisesti.
Tilanteissa, joissa henkilötietojen käsittely perustuu suostumukseen (GDPR:n 6 artiklan 1 kohdan a alakohta), erityisesti vapaaehtoisen tiedollisen tai liiketoiminnallisen yhteydenoton yhteydessä, päätös tietojen antamisesta kuuluu yksinomaan rekisteröidylle.
Suostumus voidaan peruuttaa milloin tahansa ilman, että se vaikuttaa ennen peruuttamista suoritetun käsittelyn lainmukaisuuteen GDPR:n 7 artiklan 3 kohdan mukaisesti.
11.3. Yleiset periaatteet
Rekisterinpitäjä pyrkii kaikin tavoin varmistamaan rekisteröidyille täyden läpinäkyvyyden henkilötietojen käsittelyn osalta sekä todellisen mahdollisuuden hallita annettujen tietojen laajuutta, niiden käsittelytarkoituksia ja säilytysaikoja.
Henkilötietojen käsittely tapahtuu GDPR:n 5 artiklassa säädettyjä periaatteita noudattaen, erityisesti lainmukaisuuden, asianmukaisuuden, läpinäkyvyyden ja tietojen minimoinnin periaatteita kunnioittaen.
12. Henkilötietojen säilytyspaikka ja suojaustoimenpiteet
12.1. Tietojen säilytyspaikka
Rekisterinpitäjän käsittelemät henkilötiedot säilytetään yksinomaan sähköisessä muodossa – laitteilla ja järjestelmissä, jotka ovat rekisterinpitäjän yksinomaisessa hallinnassa, tai luotettavien palveluntarjoajien järjestelmissä, joiden infrastruktuuri voi sijaita Euroopan talousalueella (ETA) tai – tietyissä tapauksissa – ETA-alueen ulkopuolella, asianmukaisia oikeudellisia suojamekanismeja soveltaen GDPR:n 44–49 artiklan mukaisesti.
Rekisterinpitäjä ei ylläpidä paperimuotoista dokumentaatiota – kaikki henkilötiedot käsitellään, säilytetään ja arkistoidaan yksinomaan digitaalisessa muodossa.
12.2. Tietojen käsittelyn sijainnit ja järjestelmät
Henkilötietojen käsittelyn fyysiset ja virtuaaliset sijainnit käsittävät erityisesti:
- rekisterinpitäjän käyttämän salatun kannettavan tietokoneen, joka on suojattu vahvalla salasanalla, koko levyn salauksella ja kaksivaiheisella tunnistautumisella (2FA);
- salatun ulkoisen tallennusvälineen, jota käytetään säännöllisten varmuuskopioiden (offline-backup) tekemiseen, säilytetään turvallisessa paikassa ja erillään pääjärjestelmästä;
- hosting-palveluntarjoaja Zone Media OÜ:n (Zone.ee), Lõõtsa 5, 11415 Tallinn, Viro, palvelimet – jotka tarjoavat hosting- ja sähköpostipalveluja, ja joiden infrastruktuuri sijaitsee fyysisesti Viron tasavallassa (ETA), täyttäen GDPR:n 32 artiklan mukaiset turvallisuusvaatimukset;
- rekisterinpitäjän toimintaa tukevien työkalujen palvelimet ja järjestelmät, mukaan lukien erityisesti:
- SignRequest / Dropbox Sign – sähköisen allekirjoituksen palvelu, joka voi merkitä henkilötietojen käsittelyä sekä ETA-alueella että sen ulkopuolella, erityisesti Yhdysvalloissa, Euroopan unionin vakiolausekkeiden (SCC) perusteella GDPR:n 46 artiklan mukaisesti;
- muut hallinnollisiin, viestinnällisiin tai kirjanpidollisiin tarkoituksiin käytettävät järjestelmät, joiden palveluntarjoajat varmistavat dokumentoidun GDPR-yhteensopivuuden sekä asianmukaiset tietoturvatoimenpiteet.
12.3. Tekniset ja organisatoriset toimenpiteet
Rekisterinpitäjä on toteuttanut ja ylläpitää asianmukaisia teknisiä ja organisatorisia toimenpiteitä henkilötietojen turvallisuuden varmistamiseksi GDPR:n 32 artiklan sekä sovellettavan Viron lainsäädännön mukaisesti, mukaan lukien erityisesti:
- verkkoyhteyksien salaaminen (SSL/TLS);
- laitteiden ja tallennusvälineiden salaaminen;
- pääsyn rajoittaminen tietoihin yksinomaan rekisterinpitäjälle;
- vahvojen ja yksilöllisten salasanojen sekä kaksivaiheisen tunnistautumisen (2FA) käyttö;
- käyttöjärjestelmien, ohjelmistojen ja tietoturvajärjestelmien säännöllinen päivittäminen;
- salattujen varmuuskopioiden luominen ja turvallinen säilyttäminen;
- laitteiden suojaaminen palomuurilla (firewall) ja haittaohjelmien torjuntaohjelmistolla;
- näytön automaattinen lukitus sekä laitteiston fyysinen suojaaminen kolmansien osapuolten pääsyltä;
- henkilötietojen käsittelyn rajoittaminen ainoastaan laitteisiin, jotka on suojattu tämän tietosuojakäytännön mukaisesti;
- yhteistyö ainoastaan sellaisten IT-palveluntarjoajien kanssa, jotka varmistavat GDPR-yhteensopivuuden;
- henkilötietojen käsittelyä koskevan sopimusrekisterin sekä tietoturvaloukkausrekisterin ylläpitäminen;
- henkilötietojen tietoturvaloukkauksiin reagoimista koskevien menettelyjen käyttöönotto GDPR:n 33–34 artiklan mukaisesti;
- käyttöoikeuksien säännöllinen tarkistaminen sekä määräaikaiset tietoturvatarkastukset privacy by design ja privacy by default -periaatteiden mukaisesti (GDPR:n 25 artikla).
13. Rekisteröidyn oikeudet
Henkilöillä, joiden henkilötietoja Handke Digital Solutions, joka kuuluu Handke Holding OÜ -yhtiölle, käsittelee, on kaikki Euroopan parlamentin ja neuvoston asetuksessa (EU) 2016/679 (GDPR) sekä Viron tasavallan henkilötietolaissa (Isikuandmete kaitse seadus, IKS) säädetyt oikeudet.
Sinulla on erityisesti oikeus saada läpinäkyvää tietoa henkilötietojesi käsittelystä, oikeus tutustua tietoihin, oikaista niitä, rajoittaa käsittelyä, saada tiedot poistetuiksi, siirtää tiedot järjestelmästä toiseen, vastustaa käsittelyä sekä peruuttaa suostumuksesi – sovellettavan lainsäädännön mukaisesti ja siinä säädetyin edellytyksin.
13.1. Oikeus saada pääsy tietoihin ja saada niistä kopio
Sinulla on oikeus saada vahvistus siitä, käsitteleekö rekisterinpitäjä henkilötietojasi, ja jos käsittelee, oikeus saada pääsy kyseisiin tietoihin sekä oikeus saada niistä kopio GDPR:n 15 artiklan mukaisesti.
Mikäli pyyntö esitetään sähköisessä muodossa, tiedot toimitetaan yleisesti käytetyssä sähköisessä muodossa, ellei toisin pyydetä.
13.2. Oikeus tietojen oikaisemiseen
Sinulla on oikeus vaatia, että sinua koskevat virheelliset henkilötiedot oikaistaan ilman aiheetonta viivytystä sekä että puutteelliset tiedot täydennetään, myös antamalla täydentävä selvitys, GDPR:n 16 artiklan mukaisesti.
13.3. Oikeus käsittelyn rajoittamiseen
Sinulla on oikeus vaatia henkilötietojesi käsittelyn rajoittamista GDPR:n 18 artiklassa säädetyissä tilanteissa, erityisesti kun:
- kiistät tietojen paikkansapitävyyden – ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa tietojen oikeellisuuden;
- käsittely on lainvastaista ja vastustat tietojen poistamista;
- rekisterinpitäjä ei enää tarvitse tietoja käsittelyn tarkoituksiin, mutta sinä tarvitset niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;
- olet vastustanut käsittelyä – ajaksi, jonka kuluessa selvitetään, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet sinun oikeutesi ja vapautesi.
13.4. Oikeus tietojen poistamiseen ("oikeus tulla unohdetuksi")
Sinulla on oikeus vaatia henkilötietojesi poistamista GDPR:n 17 artiklassa säädetyissä tilanteissa, erityisesti kun:
- henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne on kerätty tai muutoin käsitelty;
- peruutat suostumuksen, johon käsittely perustui, eikä käsittelylle ole muuta oikeusperustetta;
- henkilötietoja on käsitelty lainvastaisesti.
Oikeutta ei sovelleta siltä osin kuin käsittely on tarpeen rekisterinpitäjää koskevan lakisääteisen velvoitteen noudattamiseksi tai oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
13.5. Oikeus siirtää tiedot järjestelmästä toiseen
Sinulla on oikeus saada rekisterinpitäjälle toimittamasi henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle, mikäli käsittely perustuu suostumukseen tai sopimukseen ja suoritetaan automaattisesti GDPR:n 20 artiklan mukaisesti.
13.6. Oikeus vastustaa käsittelyä
Sinulla on oikeus milloin tahansa vastustaa henkilötietojesi käsittelyä, mikäli käsittely perustuu rekisterinpitäjän oikeutettuun etuun (GDPR:n 6 artiklan 1 kohdan f alakohta).
Vastustamisen jälkeen rekisterinpitäjä lopettaa tietojen käsittelyn, ellei se osoita, että käsittelyyn on olemassa pakottavia oikeutettuja perusteita, jotka syrjäyttävät sinun etusi, oikeutesi ja vapautesi, tai että käsittely on tarpeen oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Oikeus vastustaa ei koske käsittelyä, joka perustuu rekisterinpitäjää koskevaan lakisääteiseen velvoitteeseen (GDPR:n 6 artiklan 1 kohdan c alakohta).
13.7. Oikeus peruuttaa suostumus
Mikäli henkilötietojen käsittely perustuu suostumukseen, sinulla on oikeus peruuttaa suostumus milloin tahansa. Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suoritetun käsittelyn lainmukaisuuteen GDPR:n 7 artiklan 3 kohdan mukaisesti.
13.8. Oikeus tehdä valitus valvontaviranomaiselle
Jos katsot, että henkilötietojesi käsittely rikkoo GDPR:ää tai Viron tasavallan lainsäädäntöä, sinulla on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle, erityisesti seuraavalle viranomaiselle:
Andmekaitse Inspektsioon (AKI)
Tatari 39, 10134 Tallinn, Viro
puh.: +372 627 4135
sähköposti: info@aki.ee
verkkosivusto: https://www.aki.ee
Mikäli asut, työskentelet tai väitetty rikkomus on tapahtunut toisessa Euroopan unionin jäsenvaltiossa, voit tehdä valituksen myös kyseisen valtion toimivaltaiselle valvontaviranomaiselle GDPR:n 77 artiklan mukaisesti.
13.9. Ei profilointia eikä automatisoitua päätöksentekoa
Henkilötietoja ei käsitellä automatisoidulla tavalla, joka johtaisi oikeusvaikutuksia aiheuttaviin päätöksiin tai muulla tavoin merkittävästi vaikuttaisi rekisteröityihin GDPR:n 22 artiklan tarkoittamalla tavalla.
Rekisterinpitäjä ei harjoita profilointia.
13.10. Oikeuksien käyttäminen
Voit käyttää mitä tahansa edellä mainituista oikeuksista ottamalla yhteyttä rekisterinpitäjään:
sähköposti: office@handkeds.com
Handke Holding OÜ / Handke Digital Solutions
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2, 10141 Tallinn, Viro
Rekisterinpitäjä vastaa oikeuksien käyttämistä koskeviin pyyntöihin ilman aiheetonta viivytystä ja viimeistään yhden kuukauden kuluessa pyynnön vastaanottamisesta GDPR:n 12 artiklan 3 kohdan mukaisesti. Erityisen monimutkaisissa tapauksissa määräaikaa voidaan pidentää enintään kahdella kuukaudella, mistä rekisteröityä informoidaan erikseen.
14. Henkilötietojen tietoturvaloukkaukset
Henkilötietojen tietoturvaloukkauksen sattuessa – joka tarkoittaa henkilötietojen tahatonta tai lainvastaista tuhoutumista, katoamista, muuttumista, luvatonta luovuttamista tai pääsyä asiakkaiden, liikekumppaneiden tai käyttäjien henkilötietoihin – rekisterinpitäjä ryhtyy viipymättä toimenpiteisiin rajoittaakseen tapahtuman vaikutuksia ja estääkseen sen toistumisen.
Rekisterinpitäjä arvioi tapauskohtaisesti rekisteröityjen oikeuksiin ja vapauksiin kohdistuvan riskin sekä toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet tietoturvaloukkauksen vaikutusten poistamiseksi tai rajoittamiseksi.
Kaikki henkilötietojen turvallisuuteen liittyvät poikkeamat dokumentoidaan GDPR:n 5 artiklan 2 kohdassa säädetyn osoitusvelvollisuuden periaatteen mukaisesti sekä Viron tasavallan Isikuandmete kaitse seadus -lain 25 §:n 3 momentin mukaisesti.
14.1. Ilmoittaminen valvontaviranomaiselle
Mikäli henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa riskin luonnollisten henkilöiden oikeuksille tai vapauksille, rekisterinpitäjä ilmoittaa tapahtumasta toimivaltaiselle valvontaviranomaiselle – Andmekaitse Inspektsioon (AKI), Tatari 39, 10134 Tallinn, Viro – viimeistään 72 tunnin kuluessa loukkauksen havaitsemisesta GDPR:n 33 artiklan sekä Isikuandmete kaitse seadus -lain 25 §:n mukaisesti.
14.2. Rekisteröityjen informointi
Mikäli tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille tai vapauksille, rekisterinpitäjä ilmoittaa rekisteröidyille:
- henkilötietojen tietoturvaloukkauksen luonteesta,
- loukkauksen mahdollisista seurauksista,
- toteutetuista tai suunnitelluista toimenpiteistä henkilötietojen suojaamiseksi.
Informointi toteutetaan GDPR:n 34 artiklan mukaisesti selkeällä ja ymmärrettävällä tavalla.
14.3. Tietoturvaloukkausten hallintamenettely
Rekisterinpitäjällä on käytössä sisäinen menettely henkilötietojen tietoturvaloukkausten käsittelemiseksi, joka kattaa erityisesti:
- tapahtumien tunnistamisen ja luokittelun,
- välittömät toimenpiteet loukkauksen vaikutusten rajoittamiseksi,
- riskinarvioinnin sekä päätöksen ilmoitusvelvollisuudesta,
- loukkauksen dokumentoinnin tietoturvaloukkausrekisteriin,
- loukkauksen syiden analysoinnin ja ennaltaehkäisevien toimenpiteiden toteuttamisen vastaavien tapahtumien estämiseksi tulevaisuudessa.
14.4. Turvallisuuden valvonta ja kehittäminen
Käytössä olevien tietoturvaloukkausten hallintamenettelyjen tehokkuutta arvioidaan säännöllisesti GDPR:n ja Viron tasavallan lainsäädännön noudattamisen varmistamiseksi sekä henkilötietojen käsittelyn korkean turvallisuustason ylläpitämiseksi.
15. Automatisoitu päätöksenteko ja profilointi
Rekisterinpitäjä – Handke Holding OÜ, joka toimii Handke Digital Solutions -brändin kautta – ei harjoita automatisoitua päätöksentekoa, mukaan lukien profilointia, joka aiheuttaisi luonnollisille henkilöille oikeusvaikutuksia tai vaikuttaisi heihin vastaavalla tavalla merkittävästi GDPR:n 22 artiklan sekä Viron tasavallan Isikuandmete kaitse seadus -lain 23 §:n mukaisesti.
Kaikki asiakkaisiin, liikekumppaneihin ja rekisterinpitäjään yhteyttä ottaviin henkilöihin liittyvät päätökset tehdään yksinomaan ihmisen toimesta yksilöllisen arvioinnin perusteella, ottaen huomioon toimitetut tiedot, asiakirjat tai käyty kirjeenvaihto. Päätöksiä ei tehdä täysin automatisoidulla tavalla.
Profilointi tarkoittaa mitä tahansa henkilötietojen automatisoitua käsittelyä, jossa henkilötietoja käytetään luonnollisen henkilön tiettyjen henkilökohtaisten ominaisuuksien arviointiin, erityisesti analysoimaan tai ennakoimaan käyttäytymiseen, mieltymyksiin, kiinnostuksen kohteisiin tai muihin henkilökohtaisiin ominaisuuksiin liittyviä seikkoja.
Rekisterinpitäjä voi käyttää teknisiä tai analyyttisiä työkaluja operatiivisen toiminnan tukemiseksi (esimerkiksi sähköpostiviestien automaattista lajittelua, yhteydenottolomakkeiden suodatusta tai verkkosivuston liikenteeseen liittyviä perustason tilastollisia työkaluja), mutta niiden käyttö ei johda itsenäiseen päätöksentekoon luonnollisten henkilöiden osalta.
Kaikki luonnollista henkilöä koskevat päätökset edellyttävät aina ihmisen osallistumista ja yksilöllistä arviointia.
16. Valvontaviranomainen
Mikäli sinulla on epäilyksiä siitä, miten henkilötietojasi käsitellään, tai katsot, että oikeuksiasi Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (GDPR) mukaisesti on loukattu, sinulla on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle – riippumatta asuinpaikastasi, työpaikastasi tai väitetyn rikkomisen tapahtumapaikasta – GDPR:n 77 artiklan sekä Viron tasavallan Isikuandmete kaitse seadus -lain 21 §:n mukaisesti.
Handke Holding OÜ / Handke Digital Solutions -toiminnan osalta toimivaltainen valvontaviranomainen Viron tasavallassa on:
Andmekaitse Inspektsioon (AKI)
Tatari 39, 10134 Tallinn, Viro
puh.: +372 627 4135
sähköposti: info@aki.ee
verkkosivusto: https://www.aki.ee
Mikäli asut, työskentelet tai väitetty rikkomus on tapahtunut toisessa Euroopan unionin jäsenvaltiossa tai Euroopan talousalueen (ETA) valtiossa, voit tehdä valituksen myös kyseisen valtion toimivaltaiselle tietosuojaviranomaiselle GDPR:n 77 artiklan mukaisesti.
Ennen valituksen tekemistä rekisteröity voi ottaa suoraan yhteyttä rekisterinpitäjään asian selvittämiseksi:
sähköposti: office@handkeds.com
Handke Holding OÜ / Handke Digital Solutions
Harju maakond, Kesklinna linnaosa
Sakala tn 7-2, 10141 Tallinn, Viro
Rekisterinpitäjä pyrkii käsittelemään ilmoituksen huolellisesti, avoimesti ja GDPR:n sekä Viron tasavallan lainsäädännön mukaisesti.
17. Toimivalta ja sovellettava laki
Tähän tietosuojakäytäntöön sovelletaan Viron tasavallan lakia, ja sitä tulkitaan Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (GDPR) sekä Viron tasavallan Isikuandmete kaitse seadus -lain mukaisesti.
Kaikki henkilötietojen käsittelystä, verkkosivuston käytöstä tai Handke Holding OÜ / Handke Digital Solutions -palveluista johtuvat riidat tai vaatimukset kuuluvat Viron tasavallan tuomioistuinten toimivaltaan, erityisesti rekisterinpitäjän kotipaikan mukaan toimivaltaiselle Harju Maakohus -tuomioistuimelle (Tallinnan käräjäoikeus).
Tämän kohdan määräykset eivät rajoita luonnollisten henkilöiden, mukaan lukien kuluttajien, oikeuksia, jotka perustuvat pakottavaan Euroopan unionin lainsäädäntöön tai heidän asuinvaltionsa lainsäädäntöön Euroopan unionin tai Euroopan talousalueen alueella.
Mikäli tämän tietosuojakäytännön määräykset ovat ristiriidassa Euroopan unionin lainsäädännön kanssa, etusijalla ovat GDPR:n säännökset sekä sen täytäntöönpanoa koskevat kansalliset säädökset.
18. Tietosuojakäytännön päivitykset
Tätä tietosuojakäytäntöä voidaan päivittää säännöllisesti sen varmistamiseksi, että se on voimassa olevan lainsäädännön mukainen, erityisesti Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (GDPR) sekä Viron tasavallan Isikuandmete kaitse seadus -lain mukaisesti, sekä heijastamaan muutoksia harjoitetussa toiminnassa, tarjotuissa palveluissa, käytetyissä teknologioissa tai henkilötietojen käsittelymenettelyissä.
Jokainen päivitetty versio tietosuojakäytännöstä julkaistaan Handke Digital Solutionsin virallisella verkkosivustolla osoitteessa:
https://handkeds.com
Voimassa olevan tietosuojakäytännön version voimaantulopäivä ilmoitetaan aina asiakirjan sisällössä.
Mikäli tehdään olennaisia muutoksia, jotka voivat vaikuttaa rekisteröityjen oikeuksiin tai henkilötietojen käsittelytapaan (erityisesti käsittelyn tarkoitusten, oikeusperusteiden, vastaanottajaryhmien tai IT-palveluntarjoajien muutokset), rekisterinpitäjä tiedottaa niistä avoimesti, erityisesti seuraavin tavoin:
- selkeällä ilmoituksella verkkosivustolla, tai
- sähköpostiviestillä, mikäli rekisterinpitäjällä on käytettävissään yhteystieto ja tällainen viestintätapa on mahdollinen.
Rekisterinpitäjä suosittelee tutustumaan säännöllisesti tietosuojakäytännön ajantasaiseen sisältöön saadaksesi tietoa henkilötietojen käsittelyn kulloinkin voimassa olevista periaatteista.
19. Markkinointitoimet ja yhteydenotto rekisterinpitäjään
Handke Digital Solutions / Handke Holding OÜ -verkkosivusto ei käytä evästeitä eikä seurantatyökaluja analytiikka- tai mainontatarkoituksiin. Sivuston käyttö ei liity käyttäjien henkilötietojen automaattiseen käsittelyyn markkinointitarkoituksissa.
Rekisterinpitäjä harjoittaa markkinointitoimintaa ainoastaan omien IT-, projekti- ja digitaalisten palveluidensa edistämiseksi, erityisesti seuraavin keinoin:
- sisällön julkaiseminen virallisilla yritysprofiileilla sosiaalisessa mediassa (esim. LinkedIn),
- suora viestintä B2B-suhteissa.
Markkinointitoiminta ei sisällä profilointia eikä automatisoitua päätöksentekoa luonnollisiin henkilöihin nähden.
Suoramarkkinoinnin yhteydessä rekisterinpitäjä voi ottaa yhteyttä yritysten ja instituutioiden edustajiin (esim. nimi, tehtävänimike, työpaikan sähköpostiosoite) esittääkseen yhteistyötarjouksen digitaalisten palvelujen alalla. Tällainen yhteydenotto (ns. B2B-markkinointi / cold mailing) perustuu yksinomaan rekisterinpitäjän oikeutettuun etuun markkinoida omia palvelujaan GDPR:n 6 artiklan 1 kohdan f alakohdan mukaisesti.
Jokaisella henkilöllä, johon rekisterinpitäjä on ottanut yhteyttä markkinointitarkoituksessa, on oikeus milloin tahansa vastustaa henkilötietojensa käsittelyä näihin tarkoituksiin. Vastustus voidaan esittää lähettämällä sähköpostiviesti osoitteeseen:
office@handkeds.com
Käyttäjät voivat myös ottaa yhteyttä rekisterinpitäjään omasta aloitteestaan sähköpostitse tai yhteydenottolomakkeen kautta. Näin toimitettuja tietoja (esim. nimi, sähköpostiosoite, viestin sisältö) käsitellään yksinomaan vastauksen antamiseksi tai kirjeenvaihdon hoitamiseksi GDPR:n 6 artiklan 1 kohdan f alakohdan mukaisesti.
Markkinointiin ja viestintään liittyviä henkilötietoja ei käytetä verkkosivuston käyttäjiin kohdistuvaan mainontaan eikä profilointiin, ja niitä käsitellään tietojen minimoinnin, eheyden ja läpinäkyvyyden periaatteiden mukaisesti GDPR:n 5 artiklan mukaisesti.
20. Evästeet
Handke Digital Solutions / Handke Holding OÜ -verkkosivusto ei käytä evästeitä eikä muita seurantateknologioita markkinointi-, analytiikka-, mainonta- tai profilointitarkoituksiin.
Rekisterinpitäjä ei käytä analytiikka-, remarketing- tai käyttäjien käyttäytymistä seuraavia järjestelmiä tilastollisiin tai kaupallisiin tarkoituksiin. Verkkosivuston käyttöön ei liity käyttäjien henkilötietojen automaattista käsittelyä näihin tarkoituksiin.
Verkkosivusto voi käyttää ainoastaan teknisiä mekanismeja, jotka ovat välttämättömiä sen asianmukaisen ja turvallisen toiminnan varmistamiseksi, erityisesti väärinkäytösten, verkkohyökkäysten tai luvattomien pääsyyritysten estämiseksi (esim. Cloudflaren tarjoamat tietoturvaratkaisut).
Nämä mekanismit eivät ole tarkoitettu käyttäjien seuraamiseen eivätkä edellytä suostumuksen hankkimista Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY (ePrivacy) 5 artiklan 3 kohdan sekä Viron tasavallan Elektroonilise side seadus -lain § 102 mukaisesti.
Tästä syystä tässä vaiheessa evästebannerin näyttäminen tai käyttäjien suostumuksen hankkiminen ei ole tarpeen.
Mikäli tulevaisuudessa otetaan käyttöön evästeitä tai vastaavia teknologioita muihin kuin puhtaasti teknisiin tarkoituksiin (esim. analytiikka- tai toiminnallisiin tarkoituksiin), rekisterinpitäjä tiedottaa käyttäjiä tästä avoimesti ja hankkii tarvittavat suostumukset voimassa olevan lainsäädännön mukaisesti, erityisesti seuraavien säädösten perusteella:
- direktiivi 2002/58/EY (ePrivacy),
- Viron tasavallan lainsäädäntö,
- Euroopan parlamentin ja neuvoston asetus (EU) 2016/679 (GDPR) 6 artiklan 1 kohta.
21. Palvelinlokit
Handke Digital Solutions / Handke Holding OÜ -verkkosivuston käyttöön liittyy automaattinen pyyntöjen lähettäminen palvelimelle, jolla sivusto on isännöity. Jokainen tällainen pyyntö tallennetaan niin sanottuihin palvelinlokeihin.
Palvelinlokit voivat sisältää seuraavia teknisiä tietoja:
- käyttäjän laitteen IP-osoite;
- pyynnön päivämäärä ja kellonaika;
- tiedot käytetystä verkkoselaimesta ja käyttöjärjestelmästä;
- vieraillun alasivun tai pyydetyn resurssin osoite;
- palvelimen vastauskoodit sekä tekniset virheilmoitukset.
Nämä tiedot ovat luonteeltaan yksinomaan teknisiä, eikä niitä käytetä käyttäjien tunnistamiseen eikä markkinointi-, analytiikka- tai profilointitarkoituksiin.
Palvelinlokeja käsitellään ainoastaan seuraaviin tarkoituksiin:
- verkkosivuston ja IT-infrastruktuurin turvallisuuden varmistaminen;
- väärinkäytösten ja luvattomien pääsyyritysten havaitseminen;
- teknisten virheiden diagnosointi sekä palvelun toiminnan vakauden ylläpitäminen.
Palvelinlokeihin sisältyvien tietojen käsittelyn oikeusperusteena on GDPR:n 6 artiklan 1 kohdan f alakohta — rekisterinpitäjän oikeutettu etu, joka perustuu tietojärjestelmien turvallisuuden varmistamiseen GDPR:n 32 artiklan sekä Viron tasavallan Isikuandmete kaitse seadus -lain § 24 mukaisesti.
Palvelinlokit säilytetään hosting-palveluntarjoaja Zone Media OÜ:n (Zone.ee) toimesta enintään 90 päivän ajan, ellei pidempi säilytysaika ole tarpeen tietoturvapoikkeaman, teknisen analyysin tai selvitysmenettelyn vuoksi.
Tämän ajanjakson jälkeen tiedot poistetaan automaattisesti tai anonymisoidaan siten, ettei käyttäjiä voida tunnistaa.