Tietosuojaseloste

HENKILÖTIETOJEN KÄSITTELY CEEPOS-VERKKOKAUPASSA

EU:n yleisen tietosuoja-asetuksen mukaisesti henkilölle on annettava tieto, jos hänen henkilötietojaan kirjataan johonkin henkilörekisteriin. Henkilötietoja ovat muun muassa nimi- ja osoitetiedot. Rekisteröidylle on myös kerrottava henkilötietojen käsittelyn tarkoituksesta, mihin tietoja säännönmukaisesti luovutetaan ja rekisteröidyn oikeuksista.

Tässä asiakirjassa kerrotaan, millä tavoin Vantaan kaupungin Kaupunginmuseo käsittelee henkilötietojasi. Tuotteiden ja palveluiden ostamisen yhteydessä kerätään vain ne henkilötiedot, jotka ovat välttämättömiä laskutuksen toteuttamiseksi ja siihen liittyvien tehtävien suorittamiseksi (mukaan lukien mahdolliset perintätoimenpiteet).

Mihin tarkoitukseen henkilötietoja käsitellään?

Järjestelmään tallennettujen henkilötietojen käsittelyn tarkoituksena on verkkokaupan palveluiden tarjoaminen. Tietoja käytetään vain tapahtumiin ilmoittautumisessa, sekä palvelu- ja tuoteostoissa. Tarvittaessa myös tuotetilauksien lähettämisessä ja mahdollisissa rahallisissa palautuksissa.

Henkilötietoja kerätään mm. tapahtumiin ilmoittautumisesta, tilausten toimittamisen, maksujen oikean kohdistamisen, asiakkaan ja/tai asiakkaan ilmoittaman henkilön tunnistamisen, asiakkaan asiointihistorian ja asiointioikeuksien todentamisen sekä raportoinnin vuoksi. Tapahtumaan ilmoittautumisen yhteydessä kerätään välttämättömät tiedot, jotta osallistuminen tapahtumaan on mahdollista järjestää.

Tietoja ohjelmiston käyttäjistä kerätään käyttöoikeuksien määrittelemiseksi sekä käytön valvomiseksi. Ohjelmisto luo henkilötietoja sisältäviä lokitietoja ohjelmiston käyttöhistorian ja ongelmatapausten selvitystarpeita varten.

Mihin henkilötietojen käsittely perustuu?

Henkilötietojen käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä. Tapahtumiin ilmoittautuminen, sekä tuotteiden ja palveluiden ostaminen on vapaaehtoista.

Käsittelyn oikeusperusteet:

EU:n yleinen tietosuoja-asetus (2016/679) 6 artikla 1 kohta a, b alakohta.

Mitä henkilötietoa kerätään tapahtumiin ilmoittautumisen yhteydessä

Ilmoittautumisen yhteydessä kerätään tarpeellinen tieto, mikä vaihtelee tapahtumien välillä. Yleisimmän ilmoittautujasta kerätään pelkästään nimi, sähköposti, puhelinnumero, sekä varmistetaan kuvauslupa. Muissa tapahtumissa voidaan kerätä enemmän tietoa, tästä esimerkkinä kesäleirit, joiden osalta kerätään osallistujista enemmän tietoa. Kesäleireihin ilmoittautuneista kerättävä tieto esimerkiksi:

  • Osallistujan nimi
  • Osallistujan ikä
  • Osallistujan katuosoite
  • Osallistujan postinumero ja -toimipaikka
  • Osallistujan puhelinnumero
  • Allergiat ja ruokavalio
  • Huoltajan nimi (alle 18-vuotiailta)
  • Huoltajan katuosoite
  • Huoltajan postinumero ja -toimipaikka
  • Huoltajan puhelinnumero
  • Huoltajan sähköpostiosoite
  • Kuvauslupa

Mitä henkilötietoja Vantaan kaupunginmuseo kerää ja keneltä tiedot saadaan?

Asiakasrekisteriin tallennetaan:

  • nimi
  • osoite
  • puhelinnumero
  • sähköpostiosoite

Tiedot saadaan asiakkaalta ja työntekijältä.

Rekisterin sisältämät henkilötiedot:

Yleinen asiakasrekisteri: asiakasnumero, etunimi, sukunimi, lähiosoite, postitoimipaikka, puhelinnumero, sähköpostiosoite, tilaushistoria, käyttäjätunnus ja suoramarkkinalupa.

Tilausrekisteri: Yhteystiedot, tilatut tuotteet.

Asiakaskortit/-tunnisteet: korttinumero ja pin-tunnus.

Ilmoittautumiset: Ilmoitettavan nimi, yhteystiedot

Postituslistat: Sähköpostiosoite.

Onko henkilötietojen antaminen välttämätöntä?

Henkilötietojen antaminen on välttämätöntä tilauksen tekemistä varten.

Luovutetaanko henkilötietoja eteenpäin?

Henkilötietoja ei luovuteta ulkopuolisille. Henkilötietoja voidaan siirtää rekisterin pitäjän muihin järjestelmiin, kuten kassajärjestelmään, kirjanpitoon, laskutukseen. Maksupalveluntarjoajasta riippuen tilauksen maksamisen yhteydessä maksujärjestelmään välitetään asiakkaan yhteystietoja ongelmatilanteiden ja maksujen palauttamisen helpottamiseksi. Poikkeuksena Vantaan kaupungin järjestämät tapahtumat, jotka tuotetaan ulkopuolisen palveluntarjoajan toimesta. Tapahtuman järjestäjänä kaupunki kerää tapahtumaan osallistuvista henkilöistä tarvittavat tiedot ja toimittaa tiedot ulkopuoliselle tapahtumajärjestäjälle, kuten esimerkiksi Heurekalle.

Tietoja ei koskaan luovuteta ulkopuolisille tahoille markkinointi- tai muihin kaupallisiin tarkoituksiin.

Millä tavoin henkilötiedot on suojattu?

Henkilötietojen tietoturva ja tietosuoja on varmistettu erilaisin teknisin ja organisatorisin toimenpitein. Henkilötietoja saavat esimerkiksi käsitellä vain ne henkilöt, jotka tarvitsevat tietoja työ- tai virkatehtäviensä hoitamiseksi ja vain siinä laajuudessa, kuin yksittäinen tehtävä sitä edellyttää. Henkilökunnalla on myös salassapito- ja vaitiolovelvollisuus, joka jatkuu työ- ja virkasuhteen päättymisen jälkeen.

Ceepos-verkkokauppa-järjestelmän ylläpito on suojattu käyttäjätunnuksin ja salasanoin sekä käyttäjäryhmäkohtaisin käyttöoikeuksin. Tietokannassa olevat tiedot on suojattu käyttäjätunnuksilla ja salasanoilla ja tiedon käsittely on rajattu vain verkkokauppajärjestelmän käytettäväksi. Levyille tallennetut tiedot on suojattu käyttöjärjestelmätason käyttöoikeuksin. Kaikki tietoliikenne järjestelmäntoimittajan järjestelmien sekä verkkokaupan ja maksupalveluntarjoajan välillä on suojattu.

Verkkokauppapalvelimen huoltoyhteys on sallittu vain palvelin- ja järjestelmätoimittajille. Ohjelmiston toimittajalla on täysi pääsy kaiken kerätyn tiedon tarkasteluun ja poistamiseen.

Rekisterin tietoturvallisuus sekä henkilötietojen luottamuksellisuus, eheys ja käytettävyys varmistetaan asianmukaisin teknisin ja organisatorisin toimenpitein. Yksittäisen henkilön tietoja saavat käsitellä vain ne henkilöt, jotka tarvitsevat tietoja työ- tai virkatehtäviensä hoitamiseksi ja vain siinä laajuudessa, kuin työtehtävä sitä edellyttää. Lisäksi tietoja käsittelevillä työntekijöillä ja viranhaltijoilla on lakiin perustuva salassapito- ja vaitiolovelvollisuus, joka jatkuu myös työ- ja virkasuhteen päättymisen jälkeen (laki viranomaisen toiminnan julkisuudesta 22–23 §). Mikäli ulkopuolinen taho käsittelee rekisteriin kuuluvia henkilötietoja rekisterinpitäjän lukuun, rekisterinpitäjä vastaa siitä, että riittävistä suojatoimenpiteistä ja salassapidosta on sovittu tietojenkäsittelijän kanssa tehdyssä sopimuksessa.

Siirretäänkö henkilötietoja EU- tai ETA-alueen ulkopuolelle?

Tietoja käsitellään vain EU:n tai ETA:n alueella, eikä tietoja missään tapauksissa siirretä.

Miten kaupunki toimii tietoturvaloukkauksen sattuessa?

On mahdollista, että suojauksesta huolimatta henkilötiedot voivat poikkeustapauksessa joutua tietoturvaloukkauksen kohteeksi tai ulkopuolisen haltuun. Näissä tilanteissa Vantaan kaupunki ryhtyy välittömästi toimenpiteisiin tilanteen korjaamiseksi ja tekee tarvittavat ilmoitukset kansalliselle tietosuojavaltuutetulle ja rekisteröidyille. Vantaan kaupunki ilmoittaa loukkauksesta tietosuojavaltuutetulle ilman aiheetonta viivytystä heti ja mahdollisuuksien mukaan 72 tunnin kuluessa loukkauksen ilmitulosta, paitsi jos loukkauksesta ei todennäköisesti aiheudu rekisteröidyn oikeuksiin ja vapauksiin kohdistuvaa riskiä.

Mikäli loukkaus todennäköisesti aiheuttaa korkean riskin rekisteröityjen oikeuksille ja vapauksille, Vantaan kaupunki ilmoittaa loukkauksesta rekisteröidyille ilman aiheetonta viivytystä. Tällöin kaupunki ilmoittaa tietojen vuotamisesta niille rekisteröidyille, joiden tietoihin tietoturvaloukkaus kohdistuu. Jos tietovuoto koskee suurta ihmisjoukkoa, eikä asia vaadi rekisteröidyiltä välittömiä toimenpiteitä, tietoturvaloukkauksesta voidaan ilmoittaa myös yleisellä tiedotteella.

Kuinka pitkään tietoja säilytetään?

Palvelun järjestämisen kannalta välttämättömiä tietoja säilytetään enintään kolmen vuoden ajan. Säilytysajan päätyttyä tiedot hävitetään.

Tietojen säilyttämistä ja hävittämistä ohjaa Vantaan kaupungin tiedonohjaussuunnitelma, jossa määritellyt asiakirjojen säilytysajat perustuvat Kansallisarkiston (ent. Arkistointilaitos) määräyksiin pysyvästi säilytettävistä asiakirjoista ja Kuntaliiton suosituksiin määräajan säilytettävistä asiakirjoista.

Käytetäänkö tietoja profilointiin tai automaattiseen päätöksentekoon?

Tietoja ei käytetä profilointiin tai automaattiseen päätöksentekoon.

Mitä oikeuksia rekisteröidyllä on ja miten oikeuksia voi käyttää? Kuinka kauan asian käsittely kestää?

Asiakkaalla on oikeus tarkistaa, mitä tietoja hänestä on tallennettu asiakasrekisteriin. Tiedot voi tarkistaa Vantaan kaupunginmuseon asiakaspalvelusta, kun on todistanut henkilöllisyytensä esittämällä voimassa olevan henkilötodistuksen.

Rekisteröidyllä on käsittelyperusteesta riippuen oikeus

  • tarkastaa, mitä henkilötietoja hänestä käsitellään
  • vaatia virheellisten tai epätarkkojen tietojen oikaisemista
  • vaatia tietojen poistamista
  • vaatia tietojen käsittelyn rajoittamista
  • vastustaa tietojen käsittelyä
  • oikeus saada tiedot ja siirtää ne toiselle rekisterinpitäjälle sekä peruuttaa antamansa
  • suostumus milloin tahansa, jos käsittely perustuu suostumukseen.

Rekisteröidyn oikeuksia arvioidaan ja tulkitaan tapauskohtaisesti. Esimerkiksi mahdollisissa perintätilanteissa ei tietoja voida lähtökohtaisesti poistaa.

Onko rekisteröidyn oikeuksien käyttö maksullista?

Oikeuksien käyttäminen on lähtökohtaisesti maksutonta. Vantaan kaupunki voi kuitenkin periä pyynnön toteuttamisesta hallinnollisia kustannuksia vastaavan kohtuullisen maksun tai kieltäytyä suorittamasta pyydettyä toimenpidettä, jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia ja jos niitä esitetään toistuvasti. Jos pyynnön toteuttamisesta aiotaan periä maksu, Vantaan kaupunki on yhteydessä pyynnön esittäjään ennen pyynnön toteuttamista. Mikäli Vantaan kaupunki kieltäytyy suorittamasta pyydettyä toimenpidettä, pyynnön esittäjälle ilmoitetaan kirjallisesti kieltäytymisen perusteet sekä tieto mahdollisuudesta saattaa asia tietosuojavaltuutetun käsiteltäväksi ja käyttää muita oikeussuojakeinoja.

Miten voin tehdä valituksen valvontaviranomaiselle?

Jos epäilet, että henkilötietojasi käsitellään lainvastaisesti, voit tehdä valituksen valvontaviranomaiselle siinä EU:n jäsenvaltiossa, jossa vakituinen kotipaikkasi tai työpaikkasi on tai jossa katsot säännösten rikkomisen tapahtuneen. Suomessa valvontaviranomainen on tietosuojavaltuutettu.

Lisätietoa ja ohjeita valituksen tekemiseen saat tietosuojavaltuutetun toimiston verkkosivuilta ja puhelinneuvonnasta:

Tietosuojavaltuutetun toimisto / www.tietosuoja.fi

Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki

Postiosoite: PL 800, 00531 Helsinki

Puhelinvaihde: 029 566 6700

Kirjaamo: 029 566 6768

Mistä voin pyytää lisätietoja ja kuka on rekisterinpitäjä?

Lisätietoja henkilötietojen käsittelystä saat alla mainitulta yhteyshenkilöltä. Otathan ystävällisesti huomioon, että sähköposti ei ole turvallinen väline henkilötietojen käsittelyyn, joten ethän lähetä esimerkiksi henkilötunnusta tai arkaluonteista tietoa sähköpostilla.

Yhteyshenkilö

Leena Rusanen, Yhteistenpalvelujen päällikkö

Yhteiset palvelut, kaupunkikulttuuri

Kielotie 20 C, 01300 Vantaa

puh. 050–314 5702

etunimi.sukunimi(at)vantaa.fi

Rekisterinpitäjä

Vantaan kaupunki

Kaupunkikulttuurilautakunta

Y-tunnus 0124610-9

Asematie 7, 01300 Vantaa

Tietosuojavastaava

Mikael Valtomaa, lakimies

etunimi.sukunimi(at)vantaa.fi

puh. 040 071 3358

Kirjaamo

Postiosoite: PL 1100, 01030 Vantaan kaupunki

Käyntiosoite: Tikkurilan Vantaa-info, Dixi, Ratatie 11,

2. krs, 01300 Vantaa.

Puhelin (vaihde): 09 839 11

Faksi 09 8392 4163, sähköposti: kirjaamo(at)vantaa.fi

EU:n yleinen tietosuoja-asetus (679/2016), 12-22 ja 30 art.