Tietosuojaseloste, Asiakas- ja markkinointirekisteri

26.3.2020 Päivitetty otsikointia ja selkeytetty tietosuojaselosteen rakennetta
8.5.2018 Laadittu

Tämä dokumentti sisältää tietosuojaselosteet Toiminnanohjausjärjestelmä Digia Enterprisesta sekä Lime CRM- järjestelmästä. Dokumentissa ensimmäinen seloste koskee toiminnanohjusjärjestelmää ja jälkimmäinen CRM- järjestelmää.

 

ERP toiminnanohjausjärjestelmä 26.3.2020

 

1. Rekisterinpitäjä

Juustoportti Oy

Y-tunnus: 2065563-7

Meijeritie 3, 61600 Jalasjärvi

Puh. 06-4566800

Lisäksi yhteisrekisterinpitäjinä toimivat soveltuvin osin seuraavat Juustoportti-konserniin kuuluvat yhtiöt:

Juustoportti Food Oy, Y-tunnus 2104605-9

Juustoportti ILO Oy, Y-tunnus 0957083-5

Kasvis Galleria Oy, Y-tunnus 1527898-8

2. Yhteyshenkilö rekisteriä koskevissa asioissa

Pekka Alakoski, Henkilöstöasiantuntija
e-mail: pekka.alakoski@juustoportti.fi
Puh: +358408252790

Muut yhteystiedot:
Maria Kankaanpää, Henkilöstöpäällikkö
e-mail: maria.kankaanpaa@juustoportti.fi
Puh: +358408334640

Riku Lehtonen, Myyntipäällikkö
e-mail: riku.lehtonen@juustoportti.fi
Puh: +358405303343

 

3. Tietojen käsittelijät:

  • Käyttäjäoikeuksin määritellyt konsernin palveluksessa olevat työntekijät
  • Digia Oyj: Asiakaspalvelussa ja asiakasprojektissa työskentelevät henkilöt
  • Jubic Oy: Matti Rita-Kasari, Jesse Ikola ja Annina Mäkelä

 

4. Henkilörekisterin nimi

Digia Enterprise toiminnanohjausjärjestelmä

 

5. Henkilötietojen käsittelyn tarkoitus ja käsittelyperuste

Henkilötietojen käsittelyn tarkoituksena on ohjata Juustoportti Oy:n (2065563-7) sekä sen tytäryhtiöiden, erityisesti Juustoportti Food Oy:n (2104605-9), Juustoportti ILO Oy:n (0957083-5) ja Kasvis Galleria Oy:n (1527898-8) liiketoimintaa sekä tilaus-toimitusprosessia. Tilaus, laskutus ja kirjanpito luodaan järjestelmästä. Tilauksia voi tehdä ainoastaan järjestelmään perustettu asiakas.

Käsittelyperusteena on

  • Rekisteröidyn suostumus: Tiedot saadaan joko suoraan asiakkaalta tai keskusliikkeiltä, jotka lähettävät toiminnoista vastaavien henkilötiedot järjestelmään. Ne tiedot, jotka tallennetaan yhteydenpitoa varten, tallennetaan sovittuun toimintatapaan liittyvän suostumuksen tai erikseen kysytyn suostumuksen perusteella.
  • Laskutus ja pankkiyhteystietojen tallentaminen on tarpeellista sopimuksen täytäntöönpanemiseksi. Tilausta ei voida toimittaa eikä laskuttaa ilman laskutustietoja.
  • Tietojen käsittely on tarpeen rekisterinpitäjän oikeutettujen etujen, kuten toimitetun tavaran laskutuksen oikeuden turvaamiseksi.

Henkilötietojen käsittelyyn ei sisälly automaattista päätöksentekoa tai profilointia.

 

6. Rekisteröitävät tiedot ja tietojen säilytysaika, arkaluontoisten tietojen kuvaus ja perustelu

Rekisterissä on tietoja vain sellaisista yrityksistä ja henkilöistä yhteystietoineen, jotka ovat Juustoportti-konsernin elintarvikeliiketoiminnan nykyisiä tai potentiaalisia asiakasyrityksiä tai kyseisten yritysten yhteyshenkilöitä.

Rekisteröidystä voidaan tallentaa asiakassuhteeseen ja myynnin edistämiseen liittyviä tietoja, kuten:

  • Yrityksen nimi laskutuksen kohdentamiseksi
  • Henkilön nimi viitetiedoksi tai yhteyshenkilöksi asiakassuhteen hoitamiseksi
  • Henkilön rooli mahdollisten yhteydenottojen tai vastuiden kohdentamiseksi
  • Henkilön puhelinnumero, yhteydenottoja varten
  • Henkilön sähköpostiosoitteita
  • Järjestelmässä ei ole arkaluonteisia tietoja

Tiedot säilytetään asiakkuuden ja asiakkaan olemassaolon ajan yritysasiakkaiden kohdalla. Henkilöiden tiedot tallennetaan niin kauan, kunnes uudet yhteyshenkilön yhteystiedot saadaan tai kunnes niiden poistoa pyydetään, eikä tietojen poistolle ole estettä, joka aiheuttaisi jonkin sopimuksessa sovitun seikan vaarantumisen.

 

7. Säännönmukaiset tietolähteet

Rekisteröityjen tietojen kerääminen perustuu asiakassuhteeseen tai muuhun yhteyteen Juustoportti-konserniin. Rekisterin tiedot kerätään asiakassuhteen erivaiheissa. Rekisteröityä koskevat tiedot saadaan säännönmukaisesti henkilöltä itseltään tai rekisteröidyn työnantajalta seuraavasti:

  • Kesko toimittaa kauppiaidensa ajantasaiset tiedot excel-taulukkona toimittajilleen sovitun toimintatavan mukaisesti.
  • Asiakastilausportaali, jota kautta asiakas voi tilata tuotteita tallentaa tilaustiedot toiminnanohjausjärjestelmään. Portaaliin päästään asiakaskohtaisilla käyttäjätunnuksilla. Tunnistautumisen yhteydessä järjestelmä tunnistaa näin käyttäjän nimen tunnistettavissa olevassa muodossa.

Henkilötietoja saatetaan ostaa kertaluonteiseen markkinointikäyttöön myös Juustoportti-konsernin ulkopuolisista rekistereistä sekä kerätä julkisista lähteistä.

8. Henkilötietojen suojaamisen tekniset ja organisatoriset keinot

Henkilötiedot sijaitsevat yritykselle varatussa palvelinosiossa, jonne pääsy on mahdollista vain tietojen käsittelijöillä sekä palvelun tarjoajalla (Digia). Palvelin palveluntarjoajalla (Elisa Oyj) ei ole pääsyä toiminnanohjausjärjestelmään. Yhteys on avattu vain tietyille IP-osoitteille ja VPN-tunneleille.

Kullakin käyttäjällä on henkilökohtaiset käyttäjäoikeudet toiminnanohjausjärjestelmään. Toiminnanohjausjärjestelmän käyttäjäoikeudet on jaettu oikeusluokkiin, joiden perusteella henkilötietoihin pääsyä ja niiden käyttöä on rajoitettu.

Tietoja on mahdollista siirtää excel-muotoon ja tulostaa järjestelmästä, mutta tietojen siirtäminen järjestelmän ulkopuolelle on kielletty.

Järjestelmä kerää lokitietoa, jonka perusteella tehdyt toimenpiteet ovat selvitettävissä järjestelmän toimittajan (Digia Oyj) toimesta. Lokitiedon ylläpito on tärkeää järjestelmän eheyden ja mahdollisten ongelmatilanteiden jäljittämiseksi. Järjestelmä ohjaa yrityksen lakisääteisissä tehtävissä käytettäviä tietoja, joten tiedon on oltava seurattavissa ja jäljitettävissä.

9. Henkilötietojen tarkastaminen ja oikeellisuus sekä tietojen poistaminen ja luovuttaminen

Henkilötietoja tarkistetaan säännöllisesti laskutuksen ja yhteydenottojen yhteydessä. Lisäksi keskusliikkeet lähettävät yhteyshenkilöiden yhteystietojen päivityksiä automaattisesti, minkä perusteella tietoja tallennetaan toiminnanohjausjärjestelmään ja vanhoja tietoja poistetaan. Henkilötietojen oikeellisuudesta toiminnanohjausjärjestelmässä määrää viimekädessä tietojen syöttäjä, mutta saapuvien tietojen oikeellisuudesta vastaa niiden lähettäjä.

Jos rekisteriin tallennettu henkilötieto halutaan poistaa, eikä sen poistaminen aiheuta sopimuksella sovitun tai muutoin varjeltavan edun vaarantumista, tieto poistetaan järjestelmästä rekisteröidyn tai asiakkaan oikeuttaman henkilön erillisestä pyynnöstä. Tietoja poistetaan myös, kun ne todetaan vääriksi tai kun henkilö poistuu asiakkaan palveluksesta ja tieto saavuttaa Juustoportti-konsernin henkilön, joka tietoja ylläpitää.

Tietoja ei luovuteta ulkopuolisille. Toiminnanohjausjärjestelmästä pystytään siirtämään tietoja rajapinnan avulla, mutta henkilötietoja ei siirretä järjestelmän ulkopuolelle.

Tietoja ei siirretä EU:n ulkopuolelle. Palvelin sijaitsee Suomessa.

10. Muut rekisteröidyn oikeudet

Rekisteröity voi kysyä rekisterin tietoja käsittelevältä Juustoportti-konsernin palveluksessa olevalta henkilöltä hänestä tallennettuja tietoja puhelimitse. Tunnistus puhelimitse tapahtuvassa kyselyssä tehdään puhelinnumeron ja kytkettävissä olevien yksilöintitietojen perusteella. Oikeuksia toiminnanohjausjärjestelmään tietojen tarkistamiseksi ei anneta rekisteröidyille, ellei henkilöllä samalla ole roolia, joka oikeuttaisi käyttäjätunnuksiin toiminnanohjausjärjestelmään pääsemiseksi.

 

11. Riskiarvio

Rekisteröidyt tiedot eivät ole arkaluonteisia ja puhelinnumerot ovat yritysasiakkaan omistuksessa olevia puhelinnumeroita.

Tietovuoto on erittäin epätodennäköinen järjestelmästä ja ainoaksi käytännössä mahdolliseksi tietovuotoriskiksi jää tiedon käsittelijä. Mikäli tietovuotoa epäillään, pysytään vuotaja selvittämään järjestelmän tallentaman lokitiedon avulla. Mahdollista on teoriassa viruksen tai muun haittaohjelman aiheuttama tietovuoto, mutta rekisterinpitäjän hyvän tietoturvan vuoksi tätä pidetään epätodennäköisenä.

Tietovuodon riskiä pidetään olemattomana.

Riskin hallitsemiseksi järjestelmään pääsee vain henkilökohtaisin käyttäjäoikeuksin ja pääsy palvelimelle, jolla järjestelmä sijaitsee, on rajattu.

Lime CRM- järjestelmä 26.3.2020

1. Rekisterinpitäjä

Juustoportti Oy
Y-tunnus: 2065563-7

Meijeritie 3, 61600 Jalasjärvi

Puh. 06-4566800

Lisäksi yhteisrekisterinpitäjinä toimivat soveltuvin osin seuraavat Juustoportti-konserniin kuuluvat yhtiöt:

Juustoportti Food Oy, Y-tunnus 2104605-9

Juustoportti ILO Oy, Y-tunnus 0957083-5

Kasvis Galleria Oy, Y-tunnus 1527898-8

2. Yhteyshenkilö rekisteriä koskevissa asioissa

Pekka Alakoski, Henkilöstöasiantuntija
e-mail: pekka.alakoski@juustoportti.fi
Puh: +358408252790

Muut yhteystiedot:
Maria Kankaanpää, Henkilöstöpäällikkö
e-mail: maria.kankaanpaa@juustoportti.fi
Puh: +358408334640

Riku Lehtonen, Myyntipäällikkö
e-mail: riku.lehtonen@juustoportti.fi
Puh: +358405303343

3. Tietojen käsittelijät:

  • Käyttäjäoikeuksin määritellyt konsernin palveluksessa olevat työntekijät
  • Lime Technologies Finland: Asiakaspalvelussa ja asiakasprojektissa työskentelevät henkilöt

4. Henkilörekisterin nimi

Lime CRM

5. Henkilötietojen käsittelyn tarkoitus ja käsittelyperuste

Henkilötietojen käsittelyn tarkoituksena on Juustoportti Oy:n (2065563-7) sekä sen tytäryhtiöiden, erityisesti Juustoportti Food Oy:n (2104605-9), Juustoportti ILO Oy:n (0957083-5) ja Kasvis Galleria Oy:n (1527898-8)) asiakaskontaktointi, markkinointi, myynti, palvelun laadun kehittäminen, asiakassuhteiden hoito sekä asiakasviestintä.

Henkilötietojen käsittelyn peruste on markkinoinnin osalta oikeutettu etu ja asiakassuhteen hoidon osalta sopimuksen täytäntöönpano. Rekisteröidyille lähetetään suostumuksen perusteella asiakastyytyväisyyskyselyitä ja sähköisiä suoramarkkinointiviestejä.

Käsittelyperusteena tarkemmin on:

  • Rekisteröidyn suostumus: Tiedot saadaan joko suoraan asiakkaalta tai keskusliikkeiltä, jotka lähettävät toiminnoista vastaavien henkilötiedot järjestelmään. Ne tiedot, jotka tallennetaan yhteydenpitoa varten, tallennetaan sovittuun toimintatapaan liittyvän suostumuksen tai erikseen kysytyn suostumuksen perusteella.

Henkilötietojen käsittelyyn ei sisälly automaattista päätöksentekoa tai profilointia.

6. Rekisteröitävät tiedot ja tietojen säilytysaika, arkaluontoisten tietojen kuvaus ja perustelu

Rekisterissä on tietoja vain sellaisista yrityksistä ja henkilöistä yhteystietoineen, jotka ovat Juustoportti-konsernin elintarvikeliiketoiminnan nykyisiä tai potentiaalisia asiakasyrityksiä tai kyseisten yritysten yhteyshenkilöitä.

Rekisteröidystä voidaan tallentaa asiakassuhteeseen ja myynnin edistämiseen liittyviä tietoja, kuten:

  • Yrityksen nimi yhteydenpidon ja myynnin kohdentamiseksi
  • Henkilön nimi viitetiedoksi tai yhteyshenkilöksi asiakassuhteen hoitamiseksi
  • Henkilön rooli mahdollisten yhteydenottojen tai vastuiden kohdentamiseksi
  • Henkilön puhelinnumero, yhteydenottoja varten
  • Asiakashistoria (esim. yhteydenotot asiakkaaseen/asiakkaalta, palvelumuutokset, edustajakäynnit, kampanjat)
  • Markkinointiin ja myynninedistämiseen liittyvät tiedot, kuten rekisteröityyn kohdistetut markkinointitoimenpiteet ja niihin osallistuminen (esim. tapahtumiin osallistuminen)
  • Järjestelmässä ei ole arkaluonteisia tietoja

Rekisteriin kirjattavat henkilötiedot tarkistetaan säännöllisesti ja tiedot poistetaan, kun niiden säilyttämiselle ei ole laillista käsittelyperustetta

 

7. Säännönmukaiset tietolähteet

Rekisteröidyn tietojen kerääminen perustuu asiakassuhteeseen tai muuhun yhteyteen Juustoportti-konserniin. Rekisterin tiedot kerätään asiakassuhteen erivaiheissa. Rekisteröityä koskevat tiedot saadaan säännönmukaisesti henkilöltä itseltään tai rekisteröidyn työnantajalta seuraavasti:

  • Kesko toimittaa kauppiaidensa ajantasaiset tiedot excel-taulukkona toimittajilleen sovitun toimintatavan mukaisesti.
  • Julkisista lähteistä saatavissa olevia tietoja, kuten yrityksen nettisivut

Henkilötietoja saatetaan ostaa kertaluonteiseen markkinointikäyttöön myös Juustoportti-konsernin ulkopuolisista rekistereistä sekä kerätä julkisista lähteistä.

8. Tietojen säännönmukaiset luovutukset

Tietoja voidaan luovuttaa Juustoportti-konsernin sisällä.

9. Henkilötietojen suojaamisen tekniset ja organisatoriset keinot

Henkilötiedot sijaitsevat yritykselle varatussa palvelinosiossa, jonne pääsy on mahdollista vain tietojen käsittelijöillä sekä palvelun tarjoajalla (Lime CRM). Palvelinpalveluntarjoajalla ei ole pääsyä järjestelmään. Yhteys on avattu vain tietyille IP-osoitteille ja VPN-tunneleille.

Kullakin käyttäjällä on henkilökohtaiset käyttäjäoikeudet CRM- järjestelmään. Kaikilla käyttäjillä on pääsy kaikkiin Limessä oleviin tietoihin, mutta Lime CRM-järjestelmän käyttäjien määrä on tarkasti rajattu vain järjestelmää todellisuudessa työssään tarvitseviin henkilöihin.

Tietoja on mahdollista siirtää excel-muotoon ja tulostaa järjestelmästä, mutta tietojen siirtäminen järjestelmän ulkopuolelle on kielletty.

Järjestelmä kerää lokitietoa, jonka perusteella tehdyt toimenpiteet ovat selvitettävissä järjestelmän toimittajan toimesta. Lokitiedon ylläpito on tärkeää järjestelmän eheyden ja mahdollisten ongelmatilanteiden jäljittämiseksi. Järjestelmä ohjaa yrityksen lakisääteisissä tehtävissä käytettäviä tietoja, joten tiedon on oltava seurattavissa ja jäljitettävissä.

10. Henkilötietojen tarkastaminen ja oikeellisuus sekä tietojen poistaminen ja luovuttaminen

Henkilötietoja tarkistetaan säännöllisesti yhteydenottojen yhteydessä. Lisäksi keskusliikkeet lähettävät yhteyshenkilöiden yhteystietojen päivityksiä automaattisesti, minkä perusteella tietoja tallennetaan ja vanhoja poistetaan. Henkilötietojen oikeellisuudesta CRM-järjestelmässä määrää viimekädessä tietojen syöttäjä, mutta saapuvien tietojen oikeellisuudesta vastaa niiden lähettäjä.

Jos rekisteriin tallennettu henkilötieto halutaan poistaa, eikä sen poistaminen aiheuta sopimuksella sovitun tai muutoin varjeltavan edun vaarantumista, tieto poistetaan järjestelmästä rekisteröidyn tai asiakkaan oikeuttaman henkilön erillisestä pyynnöstä. Tietoja poistetaan myös, kun ne todetaan vääriksi tai kun henkilö poistuu asiakkaan palveluksesta ja tieto saavuttaa Juustoportti-konsernin henkilön, joka tietoja ylläpitää.

Tietoja voidaan luovuttaa Juustoportti-konsernin sisällä, mutta tietoja ei luovuteta ulkopuolisille.

Tietoja ei siirretä EU:n ulkopuolelle. Palvelin sijaitsee Ruotsissa.

11. Muut rekisteröidyn oikeudet

Rekisteröity voi kysyä rekisterin tietoja käsittelevältä Juustoportti-konsernin palveluksessa olevalta henkilöltä hänestä tallennettuja tietoja puhelimitse. Tunnistus puhelimitse tapahtuvassa kyselyssä tehdään puhelinnumeron ja kytkettävissä olevien yksilöintitietojen perusteella. Oikeuksia järjestelmän tietojen tarkistamiseksi ei anneta rekisteröidyille, ellei henkilöllä samalla ole roolia, joka oikeuttaisi käyttäjätunnuksiin järjestelmään pääsemiseksi.

 

12. Riskiarvio

Rekisteröidyt tiedot eivät ole arkaluonteisia ja puhelinnumerot ovat yritysasiakkaan omistuksessa olevia puhelinnumeroita.

Tietovuoto on erittäin epätodennäköinen järjestelmästä ja ainoaksi käytännössä mahdolliseksi tietovuotoriskiksi jää tiedon käsittelijä. Mikäli tietovuotoa epäillään, pysytään vuotaja selvittämään järjestelmän tallentaman lokitiedon avulla. Mahdollista on teoriassa viruksen tai muun haittaohjelman aiheuttama tietovuoto, mutta rekisterinpitäjän hyvän tietoturvan vuoksi tätä pidetään epätodennäköisenä.

Tietovuodon riskiä pidetään olemattomana.

Riskin hallitsemiseksi järjestelmään pääsee vain henkilökohtaisin käyttäjäoikeuksin ja pääsy palvelimelle, jolla järjestelmä sijaitsee, on rajattu.