Tuote: Emill

Viimeksi muokattu 18.10.2024

MET-1-1.1 Kuka tiedot antoi?

Valmistaja/palveluntarjoaja

MET-1-2.1 Tuotteen lyhyt esittely

Emill is a mobile community application that provides powerful tools for collaboration between users both within and between organizations.

Tools for digital multimedia production, personal communication, theme-based discussion in open and closed groups are easily accessible.

The application can be used in training, as well as a centralized communal support platform.

Creating, compiling and sharing content and ideas has never been this easy!

MET-1-3.1 Esittelysivu (jos on)

1-5 sovellusta kuvaavaa luokkaa

Aktivointisovellukset, Keskustelukanavat, Oppimisalustat/-ympäristöt, Sosiaalinen media, Yhteistyöskentely

GEN-1-3.1 Onko palvelussa ikäraja käyttäjille?

Muu ikäraja
Lisätietoa (englanniksi)
Avoimen palvelun ikäraja on 18 vuotta. Organisaatiotileillä voidaan soveltaa alempaa ikärajaa// The age limit for the open service is 18 years. A lower age limit may apply for organisational accounts.

GEN-1-5.1 Valmistusmaa/palveluntarjoajan kotimaa

Suomi

GEN-1-6.1 ISO-sertifioinnit

Tyhjä/ei vastausta
Lisätietoa (englanniksi)
Ei sertifikaatteja/ No certifications

GEN-1-7.1 Onko palvelusta asennettavissa mobiilisovellus?

iOS, Android

GEN-1-8.1 Lisenssityyppi

Nimetty käyttäjä, Organisaatiolisenssi, Muu

GEN-1-9.1 Onko virtualisointi mahdollista?

Ei
Lisätietoa (englanniksi)
Koska pilvipalvelu, virtualisoinnin mahdollisuutta ei tarvita.//As a cloud service, there is no need for virtualisation.

GEN-2-1.1 Palvelukohtainen tietosuojaseloste (jos on)

GEN-2-2.1 Palvelun tietoturvakuvaus (jos on)

GEN-2-3.1 Tietosuojavastaavan yhteystiedot

Christian Alopaeus, christian@emill.fi

GEN-2-4.1 Onko palvelussa mainoksia tai linkkejä kaupallisiin palveluihin?

Ei

GEN-2-5.1 Käytetäänkö palvelussa evästeitä, joihin kysytään suostumus käyttäjiltä?

Ei

UMA-1-1.1 Käytetäänkö palvelua henkilökohtaisilla käyttäjätunnuksilla?

Kyllä

UMA-1-2.1 Onko palvelun käyttäjähallinnassa vähintään kaksi käyttäjätasoa: ylläpitäjä ja peruskäyttäjä?

Kyllä

UMA-1-3.1 Voidaanko käyttöoikeudet rajata työntekijöiden työtehtävien mukaisesti eri käyttäjäryhmiin kohdistuvat oikeudet huomioiden?

Kyllä

UMA-1-4.1 Mitä vaihtoehtoja palvelussa on integroida käyttäjähallinta organisaation keskitettyyn käyttäjärekisteriin ja kertakirjautumiseen (SSO)?

Tyhjä/ei vastausta
Lisätietoa (englanniksi)
SSO-toiminnallisuus on tällä hetkellä kehitteillä, eikä se ole vielä saatavilla tuotantoversiossa/ The SSO functionality is currently in development and is not available in the production version yet

UMA-1-5.1 Onko kirjautuminen muiden palveluntarjoajien tunnuksilla mahdollista?

Kyllä
Lisätietoa (englanniksi)
Google ja Apple

UMA-1-6.1 Voidaanko kirjautumisessa käyttää monivaiheista todentamista (MFA)?

Ei

UMA-1-7.1 Onko käyttäjien vahva tunnistautuminen mahdollista?

Ei

UMA-1-8.1 Onko palvelussa mahdollista olla asiakasorganisaation ulkopuolisia vieraskäyttäjiä tai kirjautumattomia käyttäjiä?

Ei vastattu

UMA-2-1.1 Tallentuuko kaikkien kirjautuneiden käyttäjien toiminnasta kattavat lokitiedot?

Kyllä

UMA-2-2.1 Tallentuuko lokiin kaikki henkilötietojen katselut?

Kyllä

UMA-2-3.1 Onko palvelun lokitiedot suojattu luvattomalta katselulta ja tuhoamiselta?

Ei vastattu
Lisätietoa (englanniksi)
Yes, service logs are read-only for engineers with deployment access

UMA-2-4.1 Kuinka kauan lokitietoja säilytetään ja kuinka ne poistetaan?

4 viikkoa/ 4 weeks.

TDP-1-1.1 Millaisia integraatioita (rajapintoja) järjestelmään liittyy ja miten ne on suojattu ulkopuolisilta?

Järjestelmää ei ole integroitu ulkoisiin palveluihin.

TDP-1-2.1 Miten rajapintojen kautta tapahtuvat henkilötietojen siirrot alakäsittelijöille ja mahdolliset luovutukset muille tahoille lokitetaan?

Henkilötietoja ei siirretä alihankkijoille/ Personal data is not transferred to sub-processors

TDP-2-1.1 Tapahtuuko kaikki palvelussa tehtävä henkilötietojen käsittely niin, että verkkoyhteys on salattu ja käyttäjä tai tiedonsiirron osapuolet varmistettu?

Kyllä

TDP-2-2.1 Onko palvelua mahdollista käyttää niin, että kaikki henkilötiedot tallentuvat ainoastaan salatussa muodossa?

Kyllä

TDP-2-3.1 Onko palvelun turvallisuudessa huomioitu omatoiminen etäkäyttö?

Ei vastattu
Lisätietoa (englanniksi)
Etäkäyttö on rajoitettu valituille tuoteinsinööreille, joilla on käyttöönotto-oikeudet. Kaikki muu on automatisoitu eikä vaadi usein tapahtuvaa käyttöä.

Remote access limited to selected engineers with deployment privileges. Everything else is automated and does not require frequent access.

TDP-3-1.1 Onko palvelun tietosisältö varmuuskopioitu vähintään kerran päivässä ja onko varmuuskopioinnin palauttaminen mahdollista tehdä tarvittaessa nopeasti?

Kyllä

TDP-3-2.1 Onko varmuuskopioiden palautus kuvattu ja testattu?

Kyllä
Lisätietoa (englanniksi)
Kyllä: Varmuuskopiointiin ja palauttamiseen käytettävä hallintatyökalu/ Yes: A management tool used for backup and restoration.

TDP-4-2.1 Voidaanko monivaiheinen todennus (MFA) pakottaa päälle kaikille käyttäjille kirjautumisessa?

Ei

TDP-5-1.1 Asennetaanko palveluun liittyvien ohjelmistokomponenttien tietoturvapäivitykset säännöllisesti ilman viivytystä?

Kyllä

TDP-5-2.1 Onko tietoturvaa auditoitu ulkopuolisen tahon toimesta? Jos on, kenen toimesta?

Ei

TDP-5-3.1 Tehdäänkö palveluun säännöllisiä tietoturva- ja haavoittuvuustestauksia?

Kyllä
Lisätietoa (englanniksi)
Tietoturva- ja haavoittuvuustestaukset ovat osa jatkuvaa ylläpito- ja kehitystyötä // Security and vulnerability testing is part of ongoing maintenance and development work

TDP-5-5.1 Miten GDPR:n edellyttämä riskiperustainen lähestymistapa ja oletusarvoinen tietosuoja on huomioitu järjestelmän suunnittelussa ja sen toiminnoissa?

Turvallisuus ja tietosuoja olivat palvelun arkkitehtuurin tärkeimmät vaatimukset. GDPR:ään liittyvät toimenpiteet on otettu huomioon. //Security and data protection were the key requirements in the architecture of the service. GDPR-related measures are taken into account.

TDP-5-6.1 Onko palveluntarjoajalla menettelyt tietoturvaloukkausten havaitsemiseen, ilmoittamiseen ja tutkimiseen?

Kyllä
Lisätietoa (englanniksi)
Turvallisuus ja tietosuoja olivat palvelun arkkitehtuurin tärkeimmät vaatimukset. GDPR:ään liittyvät toimenpiteet on otettu huomioon./ Security and data protection were the key requirements in the architecture of the service. GDPR-related measures are taken into account.

DPR-1-1.1 Mitkä ovat henkilötietojen käsittelyn tarkoitukset?

Käyttäjän luoma kutsumanimi ja sähköpostiosoite kerätään palveluun kirjautumiseksi (sähköpostiosoite) sekä käyttäjän “tunnistamistarkoituksiin”, jotta hänet voidaan liittää ryhmän jäseneksi. HUOM: Käyttäjä voi nimetä itsensä haluamallaan tavalla ilman aitoa etunimii/sukunimi -yhdistelmää. Muut ryhmän jäsenet eivät näe käyttäjän sähköpostiositetta. Ryhmäadmin näkee käyttäjän sähköpostiosoitteen, jotta voi hallita ryhmän jäsenten rooleja, poistaa jäsenen ryhmästä.
The user-generated username and email address are collected for login (email address) and for "identification" purposes, so that the user can be associated with the group. NOTE: A user can choose to name themselves as they wish without a real first name/last name combination. Other members of the group will not see the user's email address. The group admin sees the user's email address in order to manage the roles of group members, remove a member from the group.

DPR-1-2.1 Mihin rooliin palveluntarjoaja asemoi itsensä tietosuojan osalta?

Rekisterinpitäjä ja henkilötietojen käsittelijä

DPR-1-3.1 Täytyykö loppukäyttäjien antaa suostumus palveluun liittyvälle henkilötietojen käsittelylle?

Kyllä; aina
Lisätietoa (englanniksi)
Käyttäjät antavat suostumuksensa henkilötietojen käsittelyyn hyväksymällä käyttöehdot, joihin sisältyy suostumus sekä mahdollisuus tutustua käyttöehtoihin//
Users give their consent to the processing of personal data by accepting the Terms of Service, which include consent and access to the terms of use.

DPR-1-4.1 Onko palveluun mahdollista asettaa käyttäjille näkyville asiakasorganisaation nimi sekä linkki sen oman tietosuojaselosteeseen?

Ei

DPR-1-5.1 Onko palveluntarjoajalla pääsy asiakasorganisaation tallentamiin henkilötietoihin?

Kyllä
Lisätietoa (englanniksi)
Palveluntarjoaja tarjoaa, osana palvelua, tukea ryhmän hallintaan. Tästä johtuen palveluntarjoajan "superadmin" roolissa olevat henkilöt pääsevät asiakkaiden henkilötietoihin, joita ovat sähköpostiosoite ja käyttäjän itselleen luoma kutsumanimi. Palveluntarjoajalla ei ole pääsyä käyttäjän luomaan sisältöön tai valokuviin/videoihin.

As part of the service, the provider offers active content support and content creation. As a result, persons acting as "superadmins" of the service provider have access to customers' personal data: email address and user-created nickname. The service provider does not have access to user-created content or photos/videos.

DPR-1-6.1 Syntyykö palvelun käytössä rekisteriä, jossa palveluntarjoaja on asiakasorganisaation kanssa yhteisrekisterinpitäjä?

Kyllä
Lisätietoa (englanniksi)
Palveluntarjoaja tarjoaa tukea asiakasorganisaatioille ja tässä ominaisuudessa tarvittaessa ylläpitää myös tunnuksia. Tässä tilanteessa palveluntarjoaja ja asiakas toimivat yhteisrekisterinpitäjinä ja -käsittelijöinä. // The service provider will provide support to the client organisations and, in this capacity, will also maintain the credentials where necessary. In this situation, the Service Provider and the Customer act as joint registry administrators and processors.

DPR-1-8.1 Onko palveluntarjoajalla ajantasainen lista henkilötietojen alakäsittelijöistä, josta ilmenee kunkin nimi, sijainti, käsittelytarkoitus ja mahdollinen siirtoperuste EU/ETA-alueen ulkopuolelle?

Kyllä

DPR-1-9.1 Linkki alakäsittelijöiden listaan (jos on)

Lisätietoa (englanniksi)
Perspektives Digital Oy

DPR-1-10.1 Käsitteleekö palveluntarjoaja tai jokin sen alakäsittelijöistä henkilötietoja EU/ETA-alueen ulkopuolella?

Ei

DPR-1-11.1 Jos henkilötietoja käsitellään EU/ETA-alueen ulkopuolella, millä perusteella henkilötietoja siirretään?

Ei vastausta
Lisätietoa (englanniksi)
Henkilötietoja ei käsitellä EU/ETA-alueen ulkopuolella

DPR-1-12.2 Voiko henkilötietoja siirtyä kolmansiin ei-turvallisiin maihin?

Ei

DPR-1-13.1 Missä maissa palveluntarjoajan palvelimet sijaitsevat?

Suomi, Ruotsi, Ranska // Finland, Sweden, France

DPR-2-1.1 Mitä henkilötietoja palveluntarjoaja käsittelee?

Käyttäjän itse luoma kutsumanimi ja sähköpostiosoite // User-created username and email address
Lisätietoa (englanniksi)
Käyttäjä voi luoda itselleen haluamansa kutsumanimen. Käyttö edellyttää aitoa sähköpostiosoitetta. // The user can create a nickname of their choice. Use requires a real email address.

DPR-2-2.1 Onko palvelu tarkoitettu myös erityisten henkilötietojen (esim. terveystiedot) käsittelyyn?

Ei

DPR-2-3.1 Ovatko käyttäjiin liittyvät pakolliset ja vapaaehtoiset kentät määriteltävissä ylläpitäjän toimesta?

Ei

DPR-2-4.1 Tarjoaako palveluntarjoaja käyttäjille kattavat tiedot henkilötietojen käsittelystä palvelussa?

Kyllä

DPR-2-6.1 Mitä menetelmiä on käytössä, joilla varmistetaan, ettei tietoja käytetä muihin tarkoituksiin?

Tiedonhallintaryhmä hyväksyy kaiken tietojen viennin ja/tai integroinnin kolmansien osapuolten järjestelmiin.
All data export and/or integration with third-party systems is approved by the data management team.

DPR-2-7.1 Onko palvelussa toiminto henkilötietojen pseudonymisointiin?

Ei

DPR-2-8.1 Voidaanko käyttäjiltä pyytää erikseen suostumuksia tiettyjen henkilötietojen (esim. henkilötunnus tai erityiset henkilötiedot) käsittelyä varten?

Ei

DPR-2-9.1 Käsitelläänkö palvelussa tietoja laajamittaisesti?

Ei

DPR-2-10.1 Voiko palvelun toimintoihin liittyä henkilöiden profilointia, pisteytystä tai arviointia?

Ei

DPR-2-11.1 Voiko palveluun liittyä sijaintitietojen käsittelyä?

Ei

DPR-2-12.1 Voiko palvelussa määritellä henkilötietojen säilytysajat tai niiden kriteerit?

Ei

DPR-2-13.1 Voiko käyttäjien henkilötiedot anonymisoida poistamisen sijasta?

Kyllä

DPR-3-3.1 Onko henkilötietojen käsittely laajuudeltaan ja kestoltaan oikeassa suhteessa tavoiteltuihin hyötyihin nähden?

Ei vastattu
Lisätietoa (englanniksi)
Tietoja säilytetään, kunnes käyttäjä pyytää tilin poistamista.// The data is kept until the user request account deletion.

DPR-4-2.1 Voivatko käyttäjät nähdä kaikki heistä tallentuvat tiedot?

Kyllä

DPR-4-3.1 Voivatko käyttäjät ladata tai siirtää toiseen palveluun tallentamansa tiedot tai tuoda tietoja toisesta järjestelmästä?

Ei
Lisätietoa (englanniksi)
Ei, tätä toimintoa ei tueta. Käyttäjät voivat pyytää tietojensa poistamista tukipalvelusta/ poistopyyntö integroituna sovellukseen.
No, this functionality is not supported. Users can request an export of their data from support.

DPR-4-4.1 Miten ja milloin henkilötiedot poistetaan?

Henkilötietoja ei poisteta automaattisesti. Yksityistiliä käyttävä käyttäjä voi poistaa oman tunnuksen itse ja organisaatiotunnukset poistetaan erillisten sopimusten mukaisesti.//Personal data is not automatically deleted. Users with a private account can delete their own ID themselves and organisational IDs are deleted under separate agreements.

DPR-4-5.1 Jos rekisteröity käyttää oikeuttaan rajoittaa henkilötietojensa käsittelyä, millaisin teknisin keinoin varmistetaan rajoituksen toteutuminen?

Kaikki henkilötiedot poistetaan pyynnöstä. Kaikkia pyyntöjä seurataan.// All personal data is removed per request. All requests are tracked.

DPR-5-1.1 Kuinka huolehditaan käsiteltävien henkilötietojen paikkansapitävyydestä?

Henkilötietoja ei muuteta erityisellä tietojenkäsittelytoiminnolla, ja ne näytetään sellaisenaan. // There is no specific data processing functionality that modifies personal data, and it is displayed “as is”.

DPR-6-1.1 Tehdäänkö palvelussa automaattisia päätöksiä ja jos kyllä, millä perusteella?

Ei
Lisätietoa (englanniksi)
No automated decisions are made in the service.

DPR-6-2.1 Miten rekisteröidyille informoidaan automaattisesta päätöksenteosta?

N/A

DPR-6-3.1 Miten rekisteröidylle kuvataan häneen liittyvät automaattiseen päätöksentekoon perustuvat johtopäätökset?

N/A

DPA-1-1.1 Onko palveluntarjoajan kanssa mahdollista tehdä sopimus henkilötietojen käsittelystä (DPA)?

Kyllä; yksi vakioitu DPA-sopimus

DPA-1-2.1 Linkki DPA-sopimuksen vakiomalliin (jos on)

Tyhjä/ei vastausta

DPA-1-3.1 Määritelläänkö DPA-sopimuksessa käsiteltävät henkilötiedot?

Kyllä

DPA-1-4.1 Määritelläänkö DPA-sopimuksessa henkilötietojen käsittelytarkoitukset?

Kyllä

DPA-1-5.1 Voidaanko DPA-sopimuksen yhteydessä antaa ohjeita, jotka palveluntarjoajan tulee huomioida henkilötietojen käsittelyssä?

Ei

DPA-1-6.1 Sovitaanko DPA-sopimuksessa, että palveluntarjoaja huolehtii salassapitovelvollisuudesta työntekijöilleen?

Kyllä

DPA-1-7.1 Sovitaanko DPA-sopimuksessa, että palveluntarjoaja sallii rekisterinpitäjän tekemän valvonnan ja auditoinnin?

Kyllä

DPA-1-8.1 Onko palveluntarjoajalla nimetty yhteyshenkilö tietosuoja-asioihin liittyen?

Kyllä
Lisätietoa (englanniksi)
Kehittäjän tietosuojavastaava vastaa Emill-palvelun tietosuoja-asioista // The developer's data protection officer is responsible for data protection issues on the Emill service

DPA-1-9.1 Määritelläänkö DPA-sopimuksessa tietojen poisto?

Kyllä

DPA-1-10.1 Käyttääkö palveluntarjoaja käyttäjien henkilötietoja muuhun kuin palvelun toimintoihin ja ylläpitoon liittyviin tarkoituksiin?

Ei

DPA-2-1.1 Onko EU:n yleisen tietosuoja-asetuksen (GDPR) noudattaminen ja riittävien suojatoimien toteuttaminen varmistettu DPA-sopimuksessa tilanteessa, jossa henkilötietojen käsittelyssä käytetään alakäsittelijöitä?

Kyllä
Lisätietoa (englanniksi)
Kehittäjä ei käytä alihankkijoita henkilötietojen käsittelyyn. // The developer does not use subcontractors to process personal data

DPA-2-2.1 DPA-sopimuksen mukaiset alakäsittelijät tai linkki alakäsittelijöiden listaan (jos on)

Perspektives Digital Oy

DPA-2-3.1 Noudattaako palveluntarjoaja yleisen tietosuoja-asetuksen vaatimuksia alakäsittelijöitä koskevista muutoksista?

Kyllä
Lisätietoa (englanniksi)
Yes, change to sub-processors are tracker

DPA-3-1.1 Sitoutuuko palveluntarjoaja ilmoittamaan viipymättä kaikista tietoturvaloukkauksista?

Kyllä

DPA-3-2.1 Onko palveluntarjoajalla sopimuksessa mainittu menettely tietoturvaloukkauksista kertomiseen?

Kyllä
Lisätietoa (englanniksi)
Yes, same procedures as Emill.

DPA-3-3.1 Sitoutuuko palveluntarjoaja toteuttamaan henkilötietoihin liittyvät pyynnöt viipymättä?

Kyllä
Lisätietoa (englanniksi)
The service provider doesn’t store or process any personal data

DPA-4-1.1 Käsitteleekö käsittelijä tai jokin sen alakäsittelijöistä henkilötietoja EU/ETA-alueen ulkopuolella?

Ei

DPA-4-2.1 Jos henkilötietoja käsitellään EU/ETA-alueen ulkopuolella, millä perusteella henkilötietoja siirretään?

Ei vastausta

DPA-4-3.1 Jos henkilötietojen siirtoperusteena käytetään EU-komission vakiosopimuslausekkeita (SCC), mistä vakiolausekkeista on kyse?

Ei vastausta

DPA-4-4.1 Voidaanko henkilötietoja luovuttaa kolmannen maan viranomaisille?

Ei

DPA-4-5.1 Onko palveluntarjoajalla dokumentaatiota, joka auttaa tietojensiirron vaikutusten arvioinnissa (transfer impact assessment, TIA) tilanteessa, jossa tietoja siirretään EU/ETA-alueen ulkopuolelle?

Ei

DPA-4-6.1 Jos tietoja siirretään EU/ETA-alueen ulkopuolelle, mitä täydentäviä suojatoimia käytetään?

N/A
Tarkista puutteelliset kentät