Käyttäjän tietosuojaseloste

Tämä tietosuojaseloste on EU:n yleiseen tietosuoja-asetuksen (GDPR) vaatimuksiin perustuva. Viimeisin muutos on tehty 04.09.2019.

Rekisterinpitäjänä

Nimi: Kivra Oy

Y-tunnus: 2918721-9

Käyntiosoite: Miestentie 9 C, 02150 Espoo

Yhteyshenkilö rekisteriä koskevissa asioissa

Kivra Oy, tietosuoja@kivra.fi

Rekisterin nimi ja rekisteröidyt

Kivra Oy:n käyttäjärekisteri.

Kivran käyttäjärekisterin käyttökohde on Kivran palvelut (sähköinen postilaatikko ja mahdolliset Lisäpalvelut).

Selvennykseksi: Kivra on rekisterinpitäjä Palvelun Käyttäjän tiedoille. Lähettäjäorganisaatio on rekisterinpitäjä, kun kyseessä on sähköisten asiakirjojen luominen ja välittäminen Käyttäjälle. Tällöin lähettäjäorganisaatio vastaa henkilötietojen käsittelystä. Kivra toimii henkilötietojen käsittelijänä lähettäjän lukuun ja käsittelee henkilötietoja lähettäjäorganisaation ohjeiden mukaisesti.

Mikä on henkilötieto?

Henkilötietoja ovat kaikenlaiset tiedot, jotka voidaan liittää suoraan tai välillisesti elävään luonnolliseen henkilöön. Esimerkkejä henkilötiedoista ovat: nimi, sähköpostiosoite, puhelinnumero, postiosoite, henkilötunnus ja IP-osoite. Rekisteri koostuu henkilötiedoista.

Oikeusperuste ja henkilötietojen käsittelyn tarkoitus
Rekisterin henkilötietosisältöTietolähdeTarkoitusOikeusperuste
HenkilötunnusTelia Tunnistus -Vahva sähköinen tunnistautuminenHenkilötunnusta käytetään yksilöimään sinut yksiselitteisesti Palvelun Käyttäjänä. Henkilötunnuksesi avulla pyydämme myös nimi- ja osoitetietosi Väestörekisterikeskukselta.   Käyttäjän yksiselitteinen yksilöiminen on tärkeää, jotta voimme varmistaa, että sähköiset asiakirjat toimitetaan oikealle henkilölle, mikä on tietosuojan toteutumisen kannalta välttämätöntä.   Kivra voi jatkuvasti päivittää käyttäjän henkilötunnuksen tarkistamalla sen Väestörekisterikeskuksen Väestötietojärjestelmästä, jotta henkilötiedot ovat ajan tasalla ja oikein.Käyttäjän antama suostumus   Henkilötunnuksen käsittelyn perusteena on myös tietosuojalain 29 §:n 2 momentissa tarkoitettuun toimintaan vertautuva käsittely  
SähköpostiosoiteKäyttäjäSähköpostiosoite toimii käyttäjätunnuksena ja sitä käytetään tunnistamaan sinut kirjautuessasi sisään Palveluun.   Sähköpostiosoite on yksi neljästä sähköisen asiakirjan kohdistustavoista. Tämä tarkoittaa, että Kivra ja Lähettäjä käyttävät sähköpostiosoitetta yksilöidessään sähköisen asiakirjan vastaanottajan. Yksilöinti tapahtuu, sillä että Kivra käyttää sähköpostiosoitettasi kohdistaessa asiakirjoja oikealle Käyttäjälle vertaamalla sitä Lähettäjän välittämään asiakirjan vastaanottajan sähköpostiosoitteeseen. Myös Lähettäjä voi verrata asiakirjojen vastaanottajien sähköpostiosoitteita listaan Kivran Käyttäjien sähköpostiosoitteita Kivran lukuun.   Sähköpostiosoitetta käytetään lähettäessä käyttäjälle tietoa esimerkiksi uusista Lähettäjistä (näistä voi kieltäytyä uutiskirjeistä löytyvästä linkistä). Kivralla on oikeus ilmoittaa käyttäjälle, kun uusi lähettäjä aloittaa asiakirjojen lähettämisen Palveluun.   Kivra voi käyttää sähköpostiosoitetta viestiessään käyttäjälle Palveluun liittyvissä tärkeistä asioissa kuten uusista sähköisistä asiakirjoista ja käyttöehdoista. Turvallisuusnäkökulmasta Kivran on välttämätöntä saada sekä sähköpostiosoite että matkapuhelinnumero, jotta rekisteröity saa tiedon kun tällä on sähköisiä asiakirjoja käsiteltävänä Palvelussa (sähköpostimuistutukset lukemattomista asiakirjoista ja hoitamattomista laskuista voi kuitenkin estää Palvelun kautta). Huomioitavaa, että osa Palveluun liittyvästä viestinnästä, esim. ehtojen muuttumiseen liittyen, ei voi estää.Sopimus käyttäjän ja Kivran välillä (rekisteröitymisen ja Kivran yleisten käyttöehtojen hyväksymisen yhteydessä).     Oikeutettu etu (motivoituna Kivran voimakkaalla tarpeella kertoa käyttäjälle että tämä saa sähköisiä asiakirjoja Palveluun uudelta Lähettäjältä).  
MatkapuhelinnumeroKäyttäjäMatkapuhelinnumeroa käytetään joka kerta kun kirjaudut sisään Palveluun kertakäyttöisen salasanan lähettämisessä. Tätä kutsutaan kaksivaiheiseksi tunnistautumiseksi ja se tehdään käyttäjätilisi turvaamiseksi.   Matkapuhelinnumero on yksi neljästä sähköisen asiakirjan kohdistustavoista. Tämä tarkoittaa, että Kivra ja Lähettäjä käyttävät matkapuhelinnumeroa yksilöidessään sähköisen asiakirjan vastaanottajan. Yksilöinti tapahtuu sillä, että Kivra käyttää matkapuhelinnumeroa kohdistaessa asiakirjoja oikealle Käyttäjälle vertaamalla sitä Lähettäjän välittämään asiakirjan vastaanottajan matkapuhelinnumeroon. Myös Lähettäjä voi verrata asiakirjojen vastaanottajien matkapuhelinnumeroja listaan Kivran Käyttäjien matkapuhelinnumeroihin Kivran lukuun.   Kivra voi käyttää matkapuhelinnumeroa viestiessään käyttäjälle Palveluun liittyvissä tärkeistä asioissa, kuten uusista sähköisistä asiakirjoista ja käyttöehdoista. Turvallisuusnäkökulmasta Kivran on välttämätöntä saada sekä sähköpostiosoite että matkapuhelinnumero, jotta rekisteröity saa tiedon kun tällä on sähköisiä asiakirjoja käsiteltävän Palvelussa.Sopimus käyttäjän ja Kivran välillä (rekisteröitymisen ja Kivran yleisten käyttöehtojen hyväksymisen yhteydessä).   Oikeutettu etu (motivoituna Kivran voimakkaalla tarpeella kertoa käyttäjälle että tämä saa sähköisiä asiakirjoja Palveluun uudelta Lähettäjältä).  
Nimi+PostiosoiteVäestörekisterikeskuksen (VRK) Väestötietojärjestelmä (VTJ)Nimi osoitetiedon kanssa on yksi neljästä sähköisen asiakirjan kohdistustavoista. Tämä tarkoittaa, että Kivra ja Lähettäjä käyttävät näitä yksilöidessään sähköisen asiakirjan vastaanottajan. Yksilöinti tapahtuu sillä, että Kivra käyttää nimi ja osoitetietoja kohdistaessa asiakirjoja oikealle Käyttäjälle vertaamalla sitä Lähettäjän välittämään asiakirjan vastaanottajan tietoihin. Myös Lähettäjä voi verrata asiakirjojen vastaanottajien nimi- ja osoitetietoja listaan Kivran Käyttäjien nimistä ja osoitetiedoista Kivran lukuun.Sopimus käyttäjän ja Kivran välillä (rekisteröitymisen ja Kivran yleisten käyttöehtojen hyväksymisen yhteydessä).    
NimiVäestörekisterikeskuksen (VRK) Väestötietojärjestelmä (VTJ)Nimeä käsitellään kommunikaatiossa niin, että Kivran palvelut ovat henkilökohtaisempia, kuten esimerkiksi kirjoittamaan “Hei X” viestinnässä.   Nimeä voidaan käyttää tunnistamaan että rekisteröity on kuka väittää mm. valvontakysymysten ja muiden turvatoimien toteuttamiseksi.   Kivra voi jatkuvasti päivittää käyttäjän nimitietoja tarkistamalla ne Väestörekisterikeskuksen Väestötietojärjestelmästä, jotta henkilötiedot ovat ajan tasalla ja oikeinSopimus käyttäjän ja Kivran välillä (rekisteröitymisen ja Kivran yleisten käyttöehtojen hyväksymisen yhteydessä).    
PostiosoiteVäestörekisterikeskuksen (VRK) Väestötietojärjestelmä (VTJ)Kivra voi jatkuvasti päivittää käyttäjän osoitetiedot tarkistamalla ne Väestörekisterikeskuksen Väestötietojärjestelmästä, jotta henkilötiedot ovat ajan tasalla ja oikein.  Sopimus käyttäjän ja Kivran välillä (rekisteröitymisen ja Kivran yleisten käyttöehtojen hyväksymisen yhteydessä).    
IP-osoiteKivra (Palvelun käytön yhteydessä ja lähetettäessä sähköpostia Kivralle)IP-osoite säilyy Kivran järjestelmässä 45 päivää loki-tiedostoissa, jotta Kivra voi suorittaa vaaditut vianmääritykset, torjua hyökkäykset ja vaaratilanteet, sekä kehittää Palvelua (pääosin Palvelun turvallisuuden osalta).Sopimus rekisteröidyn ja Kivran välillä (rekisteröitymisen ja Kivran yleisten käyttöehtojen hyväksymisen yhteydessä).   Oikeutettu etu (motivoituna Kivran voimakkaalla tarpeella torjua hyökkäykset ja vaaratilanteisiin sekä jatkuvasti parantaa Palvelua ja tehdä siitä turvallisempi).
Laitteen tunnus (Device-ID)  Kivra (joka kerta sisäänkirjautumisen yhteydessä)Pystyäksemme lähettämään push-notifikaatioita, sinulle joka käyttää mobiililaitetta, tarvitsemme laitetunnuksesi.   Laitteen tunnusta käytetään sormenjälki tunnistautumisessa (fingerprint login).   Laitteen tunnusta voidaan käyttää Palvelun tuotekehitykseen (pääosin Palvelun turvallisuuden osalta).Sopimus rekisteröidyn ja Kivran välillä (rekisteröitymisen ja Kivran yleisten käyttöehtojen hyväksymisen yhteydessä).   Oikeutettu etu (motivoituna Kivran voimakkaalla tarpeella varmistaa Palvelun toimivuus riippumatta laitetyypistä, torjua hyökkäykset ja vaaratilanteisiin sekä jatkuvasti parantaa Palvelua ja tehdä siitä turvallisempi).
Palveluiden käytöstä kerättävät tiedot (kuten kirjautumistiedot)KäyttäjäPalvelun ylläpitämiseksi ja kehittämiseksi.Oikeutettu etu (motivoituna Kivran voimakkaalla tarpeella varmistaa Palvelun toimivuus riippumatta laitetyypistä, torjua hyökkäykset ja vaaratilanteisiin sekä jatkuvasti parantaa Palvelua ja tehdä siitä turvallisempi).
Henkilötietojen suojaus

Kaikilla Kivran työntekijöillä on perustiedot tietosuojasta ja Kivra pyrkii toiminnallaan varmistamaan, että henkilötietoja käsitellään oikein. Tietokannat, joissa henkilötietoja säilytetään, ovat suojattu palomuureilla, salasanoilla ja muilla teknisillä keinoilla. Tietokannat varmuuskopioidaan säännöllisesti. Tietokannat sekä niiden varmuuskopiot sijaitsevat lukituissa ja vartioiduissa tiloissa. Pääsy tietokantoihin on vain henkilöille, joiden työtehtävät sitä edellyttävät. Tietoja käsitteleviä henkilöitä sitoo salassapitovelvollisuus.

Kauanko henkilötietoja säilytetään?

Kivralla on selkeät käytännöt henkilötietojen poistoon. Tämä tarkoittaa, että henkilötietoja säilytetään vain niin kauan kuin siihen on peruste eli käsittelyn tarkoitus sitä vaatii.

Osaan käsiteltävien henkilötietojen säilytysaikoihin vaikuttaa lakisääteiset määräykset ja turvallisuusnäkökulma.

Sopimus:

Henkilötietoja, joiden oikeusperuste on sopimus, käsitellään niin kauan kuin käytät Palvelua.

Jos Palvelun käyttö keskeytetään tai lopetetaan, kaikki henkilötiedot, joita Kivralla sinusta on poistetaan palvelusta neljäkymmentäviisi (45) päivää sen jälkeen, kun olet sulkenut palvelun (katso Palvelun yleiset käyttöehdot). Aika on asetettu huomioiden Käyttäjän mahdollisuuden siirtää ja tallentaa haluamansa asiakirjat muualle, sekä antaa lähettäjälle aikaa muuttaa asiakirjojen lähetys toiseen kanavaan.

Asiakaspalvelu:

Henkilötietoja, joita Kivra käsittelee rekisteröidystä asiakaspalvelun yhteydessä säästetään jopa 180 päivän ajan. Tämä säilytysaika on välttämätöntä, jotta Kivran voi auttaa rekisteröityä ja seurata asiakaspalveluun liittyviä asioita.

Väestötietojärjestelmän lokitiedot:

Henkilötunnukset, joita Kivra käsittelee palveluiden puitteissa tallennetaan väestötietojärjestelmän lokitietoihin viiden (5) vuoden ajaksi. Tämä säilytysaika on välttämätöntä, jotta Kivra pystyy havaitsemaan, seuraamaan, hallitsemaan ja korjaamaan henkilötietoihin liittyviä turvatoimia.

Sovellusloki:

Henkilötietoja, joita käsitellään palveluiden puitteissa säilytetään sovelluslokeissa neljäkymmentäviisi (45) päivää Palvelun sulkemisen jälkeen. Sovelluslokeja käsitellään vain sisäisesti Kivrassa.

Kenellä on pääsy henkilötietoihin?

Suhtaudumme henkilötietojen käsittelyyn äärimmäisellä tarkkuudella ja huolellisuudella. Arvostamme jokaisen oikeutta henkilötietojen suojaan. Kivra ei koskaan myy henkilötietoja kolmansille osapuolille tai muuten saata henkilötietoja alttiiksi tietosuojaloukkauksille. Kivra ei myöskään luovuta tai muuten käytä henkilötietoja muihin kuin yllä mainittuihin tarkoituksiin.

Henkilötietoja käsittelevät vain ne henkilöt, joiden tehtävien kannalta käsittely on välttämätöntä

Kivra toteuttaa kaikki tarvittavat oikeudelliset, tekniset ja organisatoriset toimenpiteet varmistaakseen, että henkilötietoja käsitellään turvallisesti ja riittävällä suojaustasolla. Tämä koskee sekä sisäisesti Kivraa, että kolmansia osapuolia joiden kanssa Kivra tekee yhteistyötä. Vain henkilöillä, joiden tarvitsee käsitellä henkilötietoja yllä mainittujen tarkoitusten toteuttamiseksi, on pääsy henkilötietoihin. Kaikkia henkilötietoja käsitteleviä sitoo asianmukainen salassapitovelvoite.

Kivran alihankkijat ja yritykset samassa konsernissa kuin Kivra

Kivra voi käyttää alihankkijoita ja muita samaan konserniin kuuluvia yrityksiä Palvelun toteutuksessa. Alihankkijat tuottavat Kivralle muun muassa tietoteknisiä palveluja. Alihankkijat ja samaan konserniin kuuluvat yritykset voivat käsitellä henkilötietoja Kivran lukuun. Tällaisessa tilanteessa, Kivra on velvollinen varmistamaan, että tällaisen osapuolen suorittama henkilötietojen käsittely tapahtuu tietosuojalainsäädännön mukaisesti ja vain siinä tarkoituksessa, josta Kivra rekisteröidylle ilmoittaa yllä olevassa taulukossa. Edellytyksenä henkilötietojen siirtämiselle on, että niitä saavat ja käsittelevät organisaatiot ovat sopineet Kivran kanssa sopimuksen henkilötietojen lainmukaisesta käsittelystä.

VRK

Kivra voi tarkistaa henkilötietosi valtion henkilötietorekisteriä (Väestörekisterikeskuksen (VRK) Väestötietojärjestelmä (VTJ)) vastaan pitääkseen henkilötiedot, jotka Kivra tallentaa rekisteröidystä päivitettyinä ja todenmukaisina.

Viranomaiset

Kivra voi lakisääteisissä tapauksissa luovuttaa henkilötietoja viranomaisille, kuten poliisille.

Missä henkilötietojen käsittely tapahtuu?

Kivra käsittelee henkilötietoja pääosin vain Suomessa. Saattaa kuitenkin olla tiettyjä tilanteita, joissa Palvelun tekninen toteutus vaatii, että henkilötietoja käsitellään toisessa EU / ETA-maassa ja poikkeuksellisesti jopa EU / ETA-maiden ulkopuolella. Jos Kivran tarvitsee käyttää alihankkijaa EU/ETA -alueen ulkopuolella, Kivra varmistaa henkilötietojen käsittelyn lainmukaisuuden esimerkiksi EU-komission mallisopimuslausekkeiden mukaisilla sopimusjärjestelyillä.

Automaattinen päätöksenteko

Kivra ei tee henkilötietojesi perusteella automatisoituja päätöksiä tai profilointia.

Mitkä ovat rekisteröidyn oikeudet?

Halutessasi voit olla yhteydessä Kivraan, jos sinulla on kysyttävää henkilötietojen käsittelystä tai jos haluat käyttää henkilötietojen käsittelyyn liittyviä oikeuksiasi. Tällaisessa tilanteessa ole yhteydessä Kivraan osoitteeseen tietosuoja@kivra.fi.

Henkilötietojen käsittelyyn liittyvät oikeutesi:

Sinulla on oikeus saada tietoa henkilötietojesi keräämisestä sekä käsittelystä. Henkilötietojen käsittelyn on oltava läpinäkyvää.

Sinulla on oikeus saada pääsy henkilötietoihin eli pyytäessäsi saat tietää, mikäli Kivra käsittelee sinusta henkilötietoja. Olet myös oikeutettu jäljennökseen näistä henkilötiedoista, joita Kivralla sinusta on. Ilmoita pyynnössäsi selkeästi, mitä tietoja haluat saada. Tiedot ovat ilmaisia ja lähetetään sinulle kirjeenä Kivraan tai muuten sähköisesti ilman tarpeetonta viivytystä (yhden (1) kuukauden kuluessa). Jos pyyntöjä on useita tai ne ovat monimutkaisia, voidaan määräaikaa pidentää kahdella kuukaudella. Määräajan pidennys on perusteltava sinulle. Jos sinulle ei pystytä toimittamaan pyytämiä tietoja, Kivralla on velvollisuus perustella se sinulle.

Sinulla on oikeus pyytää henkilötietojesi oikaisemista. On tärkeää, että Kivran käsittelemät tiedot sinusta ovat oikein. Jos muutat puhelinnumeroa, sähköpostiosoitetta ja muita yhteystietoja tai havaitset, että meillä on sinusta epätarkkaa, virheellistä tai puutteellista tietoa, sinulla on oikeus pyytää korjaamaan se.

Sinulla on tietyissä tilanteissa oikeus pyytää henkilötietojen poistamista ja “tulla unohdetuksi” ilman aiheetonta viivästystä. Esimerkiksi, jos tiedot eivät enää ole tarpeen tarkoitukseen, johon ne on kerätty, olet oikeutettu tulla unohdetuksi. Tätä oikeutta ei kuitenkaan ole jos Kivraa velvoittavat lakiin perustuvat velvoitteet estävät Kivraa poistamasta osia henkilötiedoista. Jos pyydät tietojen poistamista, Kivra poistaa kaikki tiedot sinusta, jotka on mahdollista poistaa. Kivra kuitenkin poistaa henkilötietosi ilman erillistä pyyntöä sen jälkeen, kun tietojen säilyttämiseen ei enää ole laillisia tai muita velvollisuuksia.

Sinulla on oikeus pyytää, että Kivra rajoittaa henkilötietojesi käsittelyä tietyissä tilanteissa. Henkilötietoja voidaan rajoittaa esimerkiksi, jos olet pyytänyt korjaamaan henkilötietojasi ja meillä kestää toteuttaa pyyntösi. Tällaisessa tapauksessa rajoitamme käsittelyä, siksi ajaksi kun olemme toteuttaneet pyyntösi.

Sinulla on tietyissä tilanteissa oikeus siirtää tiedot järjestelmästä toiseen. Tämä tarkoittaa, että sinulla on oikeus saada toimittamasi henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, sekä halutessasi siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Sinulla on mahdollisuus saada tietosi siirrettyä suoraan toiselle rekisterinpitäjä vain, jos se on teknisesti mahdollista.

Tietyissä tilanteissa sinulla on oikeus vastustaa tietojesi käsittelyä eli pyytää, ettei henkilötietojasi käsitellä ollenkaan. Tällaiseen vastustamisoikeuteen olet oikeutettu kun tietojen käsittelyn oikeusperuste on oikeutetun edun toteutuminen (katso yltä milloin käsittelymme oikeusperuste on oikeutettu etu). Määrittele meille pyynnössäsi, mitä käsittelyjä vastustat.

Kivra vastaa pyyntöön yhden (1) kuukauden kuluessa sen vastaanottamisesta ellei sillä ole erityisiä syitä pidentää vastausaikaa. Tarvittaessa Kivra voi pyytää pyynnön esittäjää todistamaan henkilöllisyyden ja tarkentamaan pyyntöä. Pyyntöön liittyvät toimenpiteet toteutetaan viipymättä vastauksen jälkeen, ellei toisin mainita. Kivra voi kieltäytyä pyyntösi toteuttamisesta sovellettavassa laissa säädetyllä perusteella.

Mihin voi tehdä valituksen?

Jos uskot, että Kivra käsittelee henkilötietojasi vastoin sovellettavaa tietosuojalainsäädäntöä, haluamme, että kerrot siitä meille. Kivraan voit olla yhteydessä osoitteeseen tietosuoja@kivra.fi. Sinulla on myös oikeus tehdä valitus Tietosuojavaltuutetun toimistoon. Lisätietoja löydät Tietosuojavaltuutetun toimiston verkkosivuilta www.tietosuoja.fi.

Tämän tietosuojaselosteen päivitys

Kivra pidättää oikeuden muuttaa tätä tietosuojaselostetta milloin tahansa, sillä se kehittää palvelua jatkuvasti. Myös lainsäädännön muuttuessa päivitys saattaa tulla ajankohtaiseksi. Muutokset tulevat voimaan, kun päivitetty seloste on julkaistu. Tämän vuoksi sinua pyydetään tutustumaan tähän tietosuojaselosteeseen säännöllisin väliajoin. Uusin versio tietosuojaselosteesta löytyy aina Kivran verkkosivuilta.