Tuote: GDPR-sovelluskirjasto

Viimeksi muokattu 03.12.2024

MET-1-1.1 Kuka tiedot antoi?

Valmistaja/palveluntarjoaja

MET-1-2.1 Tuotteen lyhyt esittely

Sovelluskirjasto.fi / GDPR-library EU is Due Diligence tool for software buyers. We offer you as a software vendor possibility to maintain gdpr-information of your product in the library. Platform includes also a DPIA-tool for the customers.

MET-1-3.1 Esittelysivu (jos on)

Lisätietoa (englanniksi)

1-5 sovellusta kuvaavaa luokkaa

Alustaratkaisut portaalit julkaisupalvelut ja wikit, Järjestelmänhallinta ja tukiohjelmat, Tiedonhallinta- ja käsittely

GEN-1-3.1 Onko palvelussa ikäraja käyttäjille?

Ei

GEN-1-5.1 Valmistusmaa/palveluntarjoajan kotimaa

Suomi
Server is located in Germany.

GEN-1-6.1 ISO-sertifioinnit

Tyhjä/ei vastausta

GEN-1-7.1 Onko palvelusta asennettavissa mobiilisovellus?

Tyhjä/ei vastausta
Lisätietoa (englanniksi)
No

GEN-1-8.1 Lisenssityyppi

Nimetty käyttäjä

GEN-1-9.1 Onko virtualisointi mahdollista?

Ei

GEN-2-1.1 Palvelukohtainen tietosuojaseloste (jos on)

GEN-2-2.1 Palvelun tietoturvakuvaus (jos on)

Tyhjä/ei vastausta

GEN-2-3.1 Tietosuojavastaavan yhteystiedot

Tyhjä/ei vastausta

GEN-2-4.1 Onko palvelussa mainoksia tai linkkejä kaupallisiin palveluihin?

Ei

GEN-2-5.1 Käytetäänkö palvelussa evästeitä, joihin kysytään suostumus käyttäjiltä?

Ei

UMA-1-1.1 Käytetäänkö palvelua henkilökohtaisilla käyttäjätunnuksilla?

Kyllä

UMA-1-2.1 Onko palvelun käyttäjähallinnassa vähintään kaksi käyttäjätasoa: ylläpitäjä ja peruskäyttäjä?

Kyllä
Lisätietoa (englanniksi)
Customers who have signed an agreement get adminstrator or basic user rights to the service.

UMA-1-3.1 Voidaanko käyttöoikeudet rajata työntekijöiden työtehtävien mukaisesti eri käyttäjäryhmiin kohdistuvat oikeudet huomioiden?

Kyllä
Lisätietoa (englanniksi)
There is possibility to limit users' access rights to the DPIA-tool.

UMA-1-4.1 Mitä vaihtoehtoja palvelussa on integroida käyttäjähallinta organisaation keskitettyyn käyttäjärekisteriin ja kertakirjautumiseen (SSO)?

Tyhjä/ei vastausta
Lisätietoa (englanniksi)
SSO integration is coming later.

UMA-1-5.1 Onko kirjautuminen muiden palveluntarjoajien tunnuksilla mahdollista?

Ei

UMA-1-6.1 Voidaanko kirjautumisessa käyttää monivaiheista todentamista (MFA)?

Ei

UMA-1-7.1 Onko käyttäjien vahva tunnistautuminen mahdollista?

Ei

UMA-1-8.1 Onko palvelussa mahdollista olla asiakasorganisaation ulkopuolisia vieraskäyttäjiä tai kirjautumattomia käyttäjiä?

Kyllä
Lisätietoa (englanniksi)
The customer can invite users outside the service to participate in the DPIA process. They get the right to modify or review an individual DPIA. They have no other rights.

UMA-2-1.1 Tallentuuko kaikkien kirjautuneiden käyttäjien toiminnasta kattavat lokitiedot?

Kyllä
Lisätietoa (englanniksi)
The log information is only visible to those responsible for application development. The customer receives the log information related to their use by requesting it.

UMA-2-2.1 Tallentuuko lokiin kaikki henkilötietojen katselut?

Kyllä

UMA-2-3.1 Onko palvelun lokitiedot suojattu luvattomalta katselulta ja tuhoamiselta?

Kyllä

UMA-2-4.1 Kuinka kauan lokitietoja säilytetään ja kuinka ne poistetaan?

Lokit säilytetään siihen asti kunnes käyttäjä on poistettu.

TDP-1-1.1 Millaisia integraatioita (rajapintoja) järjestelmään liittyy ja miten ne on suojattu ulkopuolisilta?

The service has a REST API. Use of the interface requires the conclusion of an agreement and a customer-specific password. An encrypted network connection is used for data transfer.

TDP-1-2.1 Miten rajapintojen kautta tapahtuvat henkilötietojen siirrot alakäsittelijöille ja mahdolliset luovutukset muille tahoille lokitetaan?

Tyhjä/ei vastausta

TDP-2-1.1 Tapahtuuko kaikki palvelussa tehtävä henkilötietojen käsittely niin, että verkkoyhteys on salattu ja käyttäjä tai tiedonsiirron osapuolet varmistettu?

Kyllä

TDP-2-2.1 Onko palvelua mahdollista käyttää niin, että kaikki henkilötiedot tallentuvat ainoastaan salatussa muodossa?

Ei

TDP-2-3.1 Onko palvelun turvallisuudessa huomioitu omatoiminen etäkäyttö?

Ei vastattu

TDP-3-1.1 Onko palvelun tietosisältö varmuuskopioitu vähintään kerran päivässä ja onko varmuuskopioinnin palauttaminen mahdollista tehdä tarvittaessa nopeasti?

Kyllä

TDP-3-2.1 Onko varmuuskopioiden palautus kuvattu ja testattu?

Ei vastattu

TDP-4-2.1 Voidaanko monivaiheinen todennus (MFA) pakottaa päälle kaikille käyttäjille kirjautumisessa?

Ei

TDP-5-1.1 Asennetaanko palveluun liittyvien ohjelmistokomponenttien tietoturvapäivitykset säännöllisesti ilman viivytystä?

Kyllä

TDP-5-2.1 Onko tietoturvaa auditoitu ulkopuolisen tahon toimesta? Jos on, kenen toimesta?

Ei

TDP-5-3.1 Tehdäänkö palveluun säännöllisiä tietoturva- ja haavoittuvuustestauksia?

Kyllä
Lisätietoa (englanniksi)
The data security of the server is regularly monitored.

TDP-5-5.1 Miten GDPR:n edellyttämä riskiperustainen lähestymistapa ja oletusarvoinen tietosuoja on huomioitu järjestelmän suunnittelussa ja sen toiminnoissa?

Tyhjä/ei vastausta

TDP-5-6.1 Onko palveluntarjoajalla menettelyt tietoturvaloukkausten havaitsemiseen, ilmoittamiseen ja tutkimiseen?

Ei vastattu

DPR-1-1.1 Mitkä ovat henkilötietojen käsittelyn tarkoitukset?

The name and e-mail information of the service users are collected to create user IDs.
Käyttäjän nimi ja sähköpostiosoite tarvitaan käyttäjätunnusten luomista varten.

DPR-1-2.1 Mihin rooliin palveluntarjoaja asemoi itsensä tietosuojan osalta?

Rekisterinpitäjä ja henkilötietojen käsittelijä
Lisätietoa (englanniksi)
Service provider is the controller of the GDPR Library itself.
Regarding the DPIA-tool, service provider position itself as a data processor.

DPR-1-3.1 Täytyykö loppukäyttäjien antaa suostumus palveluun liittyvälle henkilötietojen käsittelylle?

Ei vastausta

DPR-1-4.1 Onko palveluun mahdollista asettaa käyttäjille näkyville asiakasorganisaation nimi sekä linkki sen oman tietosuojaselosteeseen?

Ei

DPR-1-5.1 Onko palveluntarjoajalla pääsy asiakasorganisaation tallentamiin henkilötietoihin?

Kyllä
Lisätietoa (englanniksi)
The service provider creates user accounts for the software vendor's and customer's employees and manages them (controller).
As a data processor, the service provider has access to the data to be entered into the DPIA tool.

DPR-1-6.1 Syntyykö palvelun käytössä rekisteriä, jossa palveluntarjoaja on asiakasorganisaation kanssa yhteisrekisterinpitäjä?

Ei

DPR-1-8.1 Onko palveluntarjoajalla ajantasainen lista henkilötietojen alakäsittelijöistä, josta ilmenee kunkin nimi, sijainti, käsittelytarkoitus ja mahdollinen siirtoperuste EU/ETA-alueen ulkopuolelle?

Kyllä

DPR-1-9.1 Linkki alakäsittelijöiden listaan (jos on)

Tyhjä/ei vastausta
Lisätietoa (englanniksi)
As a sub-processor acts:
* Innowise Oy (VAT 1919750-1), DPA has been signed.
* AtWise LLC (VAT 4024020507382), DPA has been signed, DPIA data is not shared.

* Ilona IT is itself the data controller for the GDPR application library, and then AtWise and Innowise are the processors.
* Client is the data controller for the data of the DPIA tool and then Ilona IT is the personal data processor and only Innowise is the sub-processor. AtWise does not have access rights to the content and data of the DPIA tool, and therefore does not act as a sub-processor in that respect.

DPR-1-10.1 Käsitteleekö palveluntarjoaja tai jokin sen alakäsittelijöistä henkilötietoja EU/ETA-alueen ulkopuolella?

Kyllä
Lisätietoa (englanniksi)
In Macedonian co-operation firm AtWise LLC (VAT: 4024020507382), DPA has been signed, DPIA data is not shared.

DPR-1-11.1 Jos henkilötietoja käsitellään EU/ETA-alueen ulkopuolella, millä perusteella henkilötietoja siirretään?

Komission hyväksymät vakiolausekkeet (artikla 46:2 c ja artikla 46:2 d)
Lisätietoa (englanniksi)
Personal data is primarily processed within the EU/EEA area only. Personal data may, however, be transferred outside the EU/EEA especially if a services provider we use is located outside the EU/EEA.

If personal data were to be transferred outside the EU/EEA to a country that is not included in the EU Commission's decision on an adequate level of data protection, we will make sure that the processing, transfer and storage of your data is carried out on the grounds required by law and with adequate protection mechanisms, such as using the standard contract clauses confirmed by the EU Commission.

DPR-1-12.2 Voiko henkilötietoja siirtyä kolmansiin ei-turvallisiin maihin?

Ei

DPR-1-13.1 Missä maissa palveluntarjoajan palvelimet sijaitsevat?

Germany

DPR-2-1.1 Mitä henkilötietoja palveluntarjoaja käsittelee?

Company name (employer)
Name of the person
Email address
Username and password

Log history of data entries and edits in the service, mainly: (1) who entered/edited data, (2) entries/edits made, (3) time stamp – this data is collected to ensure reliability of data in the service
Customary contact and billing details required for billing and invoicing paid services
Customary correspondence with users
Possibly information entered by the customer into the DPIA-tool.

DPR-2-2.1 Onko palvelu tarkoitettu myös erityisten henkilötietojen (esim. terveystiedot) käsittelyyn?

Ei

DPR-2-3.1 Ovatko käyttäjiin liittyvät pakolliset ja vapaaehtoiset kentät määriteltävissä ylläpitäjän toimesta?

Kyllä

DPR-2-4.1 Tarjoaako palveluntarjoaja käyttäjille kattavat tiedot henkilötietojen käsittelystä palvelussa?

Kyllä

DPR-2-6.1 Mitä menetelmiä on käytössä, joilla varmistetaan, ettei tietoja käytetä muihin tarkoituksiin?

DPA:s with sub-processors and customers

DPR-2-7.1 Onko palvelussa toiminto henkilötietojen pseudonymisointiin?

Ei

DPR-2-8.1 Voidaanko käyttäjiltä pyytää erikseen suostumuksia tiettyjen henkilötietojen (esim. henkilötunnus tai erityiset henkilötiedot) käsittelyä varten?

Ei
Lisätietoa (englanniksi)
Personal identification number or special personal data are not collected.

DPR-2-9.1 Käsitelläänkö palvelussa tietoja laajamittaisesti?

Ei

DPR-2-10.1 Voiko palvelun toimintoihin liittyä henkilöiden profilointia, pisteytystä tai arviointia?

Ei

DPR-2-11.1 Voiko palveluun liittyä sijaintitietojen käsittelyä?

Ei

DPR-2-12.1 Voiko palvelussa määritellä henkilötietojen säilytysajat tai niiden kriteerit?

Ei
Lisätietoa (englanniksi)
The customer must inform the service provider when the data of its employees must be deleted. When the contract ends the data will be deleted automatically.
When a user or customer organization is deleted, any log file associated with the user is also deleted (administrators).

DPR-2-13.1 Voiko käyttäjien henkilötiedot anonymisoida poistamisen sijasta?

Ei

DPR-3-3.1 Onko henkilötietojen käsittely laajuudeltaan ja kestoltaan oikeassa suhteessa tavoiteltuihin hyötyihin nähden?

Kyllä

DPR-4-2.1 Voivatko käyttäjät nähdä kaikki heistä tallentuvat tiedot?

Ei
Lisätietoa (englanniksi)
The user cannot directly see the log data stored about their activity.

DPR-4-3.1 Voivatko käyttäjät ladata tai siirtää toiseen palveluun tallentamansa tiedot tai tuoda tietoja toisesta järjestelmästä?

Ei
Lisätietoa (englanniksi)
The amount of personal data is minimal.

DPR-4-4.1 Miten ja milloin henkilötiedot poistetaan?

The customer must inform the service provider when the data of its employees must be deleted during the contract. When the contract ends the data will be deleted automatically.
When a user or customer organization is deleted, any log file associated with the user is also deleted (administrators).

DPR-4-5.1 Jos rekisteröity käyttää oikeuttaan rajoittaa henkilötietojensa käsittelyä, millaisin teknisin keinoin varmistetaan rajoituksen toteutuminen?

The registered person can request the deletion of their user ID and refuse customer communication.

DPR-5-1.1 Kuinka huolehditaan käsiteltävien henkilötietojen paikkansapitävyydestä?

If the person himself/ herself informs the service provider or the regularly sent customer letter is returned to the service provider, the reason will be checked and, if necessary, the person will be removed from the user register or the information will be changed.

DPR-6-1.1 Tehdäänkö palvelussa automaattisia päätöksiä ja jos kyllä, millä perusteella?

Ei

DPR-6-2.1 Miten rekisteröidyille informoidaan automaattisesta päätöksenteosta?

Tyhjä/ei vastausta

DPR-6-3.1 Miten rekisteröidylle kuvataan häneen liittyvät automaattiseen päätöksentekoon perustuvat johtopäätökset?

Tyhjä/ei vastausta

DPA-1-1.1 Onko palveluntarjoajan kanssa mahdollista tehdä sopimus henkilötietojen käsittelystä (DPA)?

Kyllä; yksi vakioitu DPA-sopimus

DPA-1-2.1 Linkki DPA-sopimuksen vakiomalliin (jos on)

Lisätietoa (englanniksi)
DPA in Finnish. Ask the English version: soili@ilonait.fi

DPA-1-3.1 Määritelläänkö DPA-sopimuksessa käsiteltävät henkilötiedot?

Kyllä

DPA-1-4.1 Määritelläänkö DPA-sopimuksessa henkilötietojen käsittelytarkoitukset?

Kyllä

DPA-1-5.1 Voidaanko DPA-sopimuksen yhteydessä antaa ohjeita, jotka palveluntarjoajan tulee huomioida henkilötietojen käsittelyssä?

Ei

DPA-1-6.1 Sovitaanko DPA-sopimuksessa, että palveluntarjoaja huolehtii salassapitovelvollisuudesta työntekijöilleen?

Kyllä

DPA-1-7.1 Sovitaanko DPA-sopimuksessa, että palveluntarjoaja sallii rekisterinpitäjän tekemän valvonnan ja auditoinnin?

Kyllä

DPA-1-8.1 Onko palveluntarjoajalla nimetty yhteyshenkilö tietosuoja-asioihin liittyen?

Kyllä
Lisätietoa (englanniksi)
soili@ilonait.fi

DPA-1-9.1 Määritelläänkö DPA-sopimuksessa tietojen poisto?

Kyllä

DPA-1-10.1 Käyttääkö palveluntarjoaja käyttäjien henkilötietoja muuhun kuin palvelun toimintoihin ja ylläpitoon liittyviin tarkoituksiin?

Ei

DPA-2-1.1 Onko EU:n yleisen tietosuoja-asetuksen (GDPR) noudattaminen ja riittävien suojatoimien toteuttaminen varmistettu DPA-sopimuksessa tilanteessa, jossa henkilötietojen käsittelyssä käytetään alakäsittelijöitä?

Kyllä
Lisätietoa (englanniksi)
DPA is signed.

DPA-2-2.1 DPA-sopimuksen mukaiset alakäsittelijät tai linkki alakäsittelijöiden listaan (jos on)

As a sub-processor acts:
* Innowise Oy (VAT 1919750-1), DPA has been signed.
* AtWise LLC (VAT 4024020507382), DPA has been signed, DPIA data is not shared.

* Ilona IT is itself the data controller for the GDPR application library, and then AtWise and Innowise are the processors.
* Client is the data controller for the data of the DPIA tool and then Ilona IT is the personal data processor and only Innowise is the sub-processor. AtWise does not have access rights to the content and data of the DPIA tool, and therefore does not act as a sub-processor in that respect.

DPA-2-3.1 Noudattaako palveluntarjoaja yleisen tietosuoja-asetuksen vaatimuksia alakäsittelijöitä koskevista muutoksista?

Kyllä

DPA-3-1.1 Sitoutuuko palveluntarjoaja ilmoittamaan viipymättä kaikista tietoturvaloukkauksista?

Kyllä

DPA-3-2.1 Onko palveluntarjoajalla sopimuksessa mainittu menettely tietoturvaloukkauksista kertomiseen?

Kyllä

DPA-3-3.1 Sitoutuuko palveluntarjoaja toteuttamaan henkilötietoihin liittyvät pyynnöt viipymättä?

Kyllä

DPA-4-1.1 Käsitteleekö käsittelijä tai jokin sen alakäsittelijöistä henkilötietoja EU/ETA-alueen ulkopuolella?

Kyllä
Lisätietoa (englanniksi)
DPA is signed.

DPA-4-2.1 Jos henkilötietoja käsitellään EU/ETA-alueen ulkopuolella, millä perusteella henkilötietoja siirretään?

Komission hyväksymät vakiolausekkeet (artikla 46:2 c ja artikla 46:2 d)

DPA-4-3.1 Jos henkilötietojen siirtoperusteena käytetään EU-komission vakiosopimuslausekkeita (SCC), mistä vakiolausekkeista on kyse?

Henkilötietojen siirto rekisterinpitäjältä henkilötietojen käsittelijälle

DPA-4-4.1 Voidaanko henkilötietoja luovuttaa kolmannen maan viranomaisille?

Ei

DPA-4-5.1 Onko palveluntarjoajalla dokumentaatiota, joka auttaa tietojensiirron vaikutusten arvioinnissa (transfer impact assessment, TIA) tilanteessa, jossa tietoja siirretään EU/ETA-alueen ulkopuolelle?

Kyllä
Lisätietoa (englanniksi)
Organizational protective measures: e.g. limiting the persons who have access to the data and minimizing the data, i.e. not sharing or processing more data than is necessary. DPIA-data is not shared outside EU.

Contract-based: written contracts, in which e.g. conditions regarding confidentiality and information security obligations, to which the contracting party must commit.

DPA-4-6.1 Jos tietoja siirretään EU/ETA-alueen ulkopuolelle, mitä täydentäviä suojatoimia käytetään?

Organizational protective measures: e.g. limiting the persons who have access to the data and minimizing the data, i.e. not sharing or processing more data than is necessary.
Contract-based: written contracts, in which e.g. conditions regarding confidentiality and information security obligations, to which the contracting party must commit.
Tarkista puutteelliset kentät