Tuote: GDPR-sovelluskirjasto

Switch to an English form
Viimeksi muokattu 19.05.2024

MET-1-1.1 Kuka tiedot antoi?

Valmistaja/palveluntarjoaja

MET-1-2.1. Tuotteen lyhyt esittely

Sovelluskirjasto.fi / GDPR-library EU is Due Diligence tool for software buyers. We offer you as a software vendor possibility to maintain gdpr-information of your product in the library. Platform includes also a DPIA-tool for the customers.

MET-1-3.1 Esittelysivu (jos on)

https://sovelluskirjasto.fi
Lisätietoa (englanniksi)

1-5 sovellusta kuvaavaa luokkaa

Alustaratkaisut portaalit julkaisupalvelut ja wikit, Järjestelmänhallinta ja tukiohjelmat, Tiedonhallinta- ja käsittely

GEN-1-3.1 Onko palvelussa ikäraja käyttäjille?

Ei

GEN-1-5.1 Valmistusmaa/palveluntarjoajan kotimaa

Suomi

GEN-1-6.1 ISO-sertifioinnit

Tyhjä/ei vastausta

GEN-1-7.1 Onko palvelusta asennettavissa mobiilisovellus?

Tyhjä/ei vastausta

GEN-1-8.1 Lisenssityyppi

Nimetty käyttäjä

GEN-1-9.1 Onko virtualisointi mahdollista?

Ei

GEN-2-1.1 Palvelukohtainen tietosuojaseloste (jos on)

https://www.sovelluskirjasto.fi/en/privacy-policy/

GEN-2-2.1 Palvelun tietoturvakuvaus (jos on)

Tyhjä/ei vastausta

GEN-2-3.1 Tietosuojavastaavan yhteystiedot

Tyhjä/ei vastausta

GEN-2-4.1 Onko palvelussa mainoksia tai linkkejä kaupalliseen palveluihin?

Ei

GEN-2-5.1 Käytetäänkö palvelussa evästeitä, joihin kysytään suostumus käyttäjiltä?

Ei

UMA-1-1.1 Käytetäänkö palvelua henkilökohtaisilla käyttäjätunnuksilla?

Kyllä

UMA-1-2.1 Onko palvelun käyttäjähallinnassa vähintään kaksi käyttäjätasoa: ylläpitäjä ja peruskäyttäjä?

Kyllä
Lisätietoa (englanniksi)
Customers who have signed an agreement get adminstrator or basic user rights to the service.

UMA-1-3.1 Voidaanko käyttöoikeudet rajata työntekijöiden työtehtävien mukaisesti eri käyttäjäryhmiin kohdistuvat oikeudet huomioiden?

Kyllä
Lisätietoa (englanniksi)
There is possibility to limit users' access rights to the DPIA-tool.

UMA-1-4.1 Mitä vaihtoehtoja palvelussa on integroida käyttäjähallinta organisaation keskitettyyn käyttäjärekisteriin ja kertakirjautumiseen (SSO)?

Tyhjä/ei vastausta
Lisätietoa (englanniksi)
SSO integration is coming later.

UMA-1-5.1 Onko kirjautuminen muiden palveluntarjoajien tunnuksilla mahdollista?

Ei

UMA-1-6.1 Voidaanko kirjautumisessa käyttää monivaiheista todentamista (MFA)?

Ei

UMA-1-7.1 Onko käyttäjien vahva tunnistautuminen mahdollista?

Ei

UMA-2-1.1 Tallentuuko kaikkien kirjautuneiden käyttäjien toiminnasta kattavat lokitiedot?

Kyllä

UMA-2-2.1 Tallentuuko lokiin kaikki henkilötietojen katselut?

Kyllä

TDP-1-1.1 Millaisia integraatioita (rajapintoja) järjestelmään liittyy ja miten ne on suojattu ulkopuolisilta?

The service has a REST API. Use of the interface requires the conclusion of an agreement and a customer-specific password. An encrypted network connection is used for data transfer.

TDP-2-1.1 Tapahtuuko kaikki palvelussa tehtävä henkilötietojen käsittely niin, että verkkoyhteys on salattu ja käyttäjä tai tiedonsiirron osapuolet varmistettu?

Kyllä

TDP-2-2.1 Onko palvelua mahdollista käyttää niin, että kaikki henkilötiedot tallentuvat ainoastaan salatussa muodossa?

Ei

TDP-3-1.1 Onko palvelun tietosisältö varmuuskopioitu vähintään kerran päivässä ja onko varmuuskopioinnin palauttaminen mahdollista tehdä tarvittaessa nopeasti?

Kyllä

TDP-4-2.1 Voidaanko monivaiheinen todennus (MFA) pakottaa päälle kaikille käyttäjille kirjautumisessa?

Ei

TDP-5-1.1 Asennetaanko palveluun liittyvien ohjelmistokomponenttien tietoturvapäivitykset säännöllisesti ilman viivytystä?

Kyllä

TDP-5-2.1 Onko tietoturvaa auditoitu ulkopuolisen tahon toimesta? Jos on, kenen toimesta?

Ei

TDP-5-3.1 Tehdäänkö palveluun säännöllisiä tietoturva- ja haavoittuvuustestauksia?

Kyllä
Lisätietoa (englanniksi)
The data security of the server is regularly monitored.

DPR-1-2.1 Mihin rooliin palveluntarjoaja asemoi itsensä tietosuojan osalta?

Rekisterinpitäjä ja henkilötietojen käsittelijä
Lisätietoa (englanniksi)
Service provider is the controller of the GDPR Library itself.
Regarding the DPIA-tool, service provider position itself as a data processor.

DPR-1-4.1 Onko palveluun mahdollista asettaa käyttäjille näkyville asiakasorganisaation nimi sekä linkki sen oman tietosuojaselosteeseen?

Ei

DPR-1-5.1 Onko palveluntarjoajalla pääsy asiakasorganisaation tallentamiin henkilötietoihin?

Kyllä
Lisätietoa (englanniksi)
The service provider creates user accounts for the software vendor's and customer's employees and manages them (controller).
As a data processor, the service provider has access to the data to be entered into the DPIA tool.

DPR-1-6.1 Syntyykö palvelun käytössä rekisteriä, jossa palveluntarjoaja on asiakasorganisaation kanssa yhteisrekisterinpitäjä?

Ei

DPR-1-7.1 Syntyykö palveluntarjoajalle henkilötietorekisteriä käyttäjistä, jossa se on rekisterinpitäjä?

Kyllä
Lisätietoa (englanniksi)
The service provider creates user accounts for the software vendor's and customer's employees and manages them.

DPR-1-8.1 Onko palveluntarjoajalla ajantasainen lista henkilötietojen alikäsittelijöistä, josta ilmenee kunkin alikäsittelijän nimi, sijainti, käsittelytarkoitus ja mahdollinen siirtoperuste EU/ETA-alueen ulkopuolelle?

Kyllä

DPR-1-9.1 Linkki alikäsittelijöiden listaan (jos on)

Tyhjä/ei vastausta
Lisätietoa (englanniksi)
As a sub-processor acts:
* Innowise Oy (VAT 1919750-1), DPA has been signed.
* AtWise LLC (VAT 4024020507382), DPA has been signed, DPIA data is not shared.

* Ilona IT is itself the data controller for the GDPR application library, and then AtWise and Innowise are the processors.
* Client is the data controller for the data of the DPIA tool and then Ilona IT is the personal data processor and only Innowise is the sub-processor. AtWise does not have access rights to the content and data of the DPIA tool, and therefore does not act as a sub-processor in that respect.

DPR-1-10.1 Käsitteleekö palveluntarjoaja tai jokin sen alikäsittelijöistä henkilötietoja EU/ETA-alueen ulkopuolella?

Kyllä
Lisätietoa (englanniksi)
In Macedonian co-operation firm AtWise LLC (VAT: 4024020507382), DPA has been signed, DPIA data is not shared.

DPR-1-11.1 Jos henkilötietoja käsitellään EU/ETA-alueen ulkopuolella, millä perusteella henkilötietoja siirretään?

Komission hyväksymät vakiolausekkeet (artikla 46:2 c ja artikla 46:2 d)
Lisätietoa (englanniksi)
Personal data is primarily processed within the EU/EEA area only. Personal data may, however, be transferred outside the EU/EEA especially if a services provider we use is located outside the EU/EEA.

If personal data were to be transferred outside the EU/EEA to a country that is not included in the EU Commission's decision on an adequate level of data protection, we will make sure that the processing, transfer and storage of your data is carried out on the grounds required by law and with adequate protection mechanisms, such as using the standard contract clauses confirmed by the EU Commission.

DPR-1-12.1 Voiko henkilötietoja siirtyä kolmansiin ei-turvallisiin maihin kuten Yhdysvaltoihin?

Ei

DPR-2-1.1 Mitä henkilötietoja palveluntarjoaja käsittelee?

Company name (employer)
Name of the person
Email address
Username and password
Log history of data entries and edits in the service, mainly: (1) who entered/edited data, (2) entries/edits made, (3) time stamp – this data is collected to ensure reliability of data in the service
Customary contact and billing details required for billing and invoicing paid services
Customary correspondence with users
Possibly information entered by the customer into the DPIA-tool.

DPR-2-2.1 Onko palvelu tarkoitettu myös erityisten henkilötietojen (esim. terveystiedot) käsittelyyn?

Ei

DPR-2-3.1 Ovatko käyttäjiin liittyvät pakolliset ja vapaaehtoiset kentät määriteltävissä ylläpitäjän toimesta?

Kyllä

DPR-2-4.1 Tarjoaako palveluntarjoaja käyttäjille kattavat tiedot henkilötietojen käsittelystä palvelussa?

Kyllä

DPR-2-5.1 Käsitteleekö palveluntarjoaja henkilötietoja tietosuojalainsäädännön mukaisesti?

Kyllä

DPR-2-6.1 Mitä menetelmiä on käytössä, joilla varmistetaan, ettei tietoja käytetä muihin tarkoituksiin?

DPA:s with sub-processors and customers

DPR-2-7.1 Onko palvelussa toiminto henkilötietojen pseudonymisointiin?

Ei

DPR-2-10.1 Tehdäänkö palvelun toiminnoissa profilointia, pisteytystä tai henkilöiden arviointia?

Ei

DPR-2-11.1 Käsitelläänkö käyttäjien sijaintitietoja?

Ei

DPR-2-12.1 Voiko palvelussa määritellä henkilötietojen säilytysajat tai sen kriteerit?

Ei
Lisätietoa (englanniksi)
The customer must inform the service provider when the data of its employees must be deleted.

DPR-2-13.1 Voiko käyttäjien henkilötiedot anonymisoida poistamisen sijasta?

Ei

DPR-3-1.1 Onko palveluntarjoaja tunnistanut tietosuojamäärittelyissään kaikki palvelun käyttöön selvästi liittyvät henkilötiedot?

Kyllä

DPR-4-1.1 Vakuuttaako palveluntarjoaja, että rekisteröityjen oikeudet toteutuvat EU:n yleisen tietosuoja-asetuksen (GDPR) mukaisesti?

Kyllä
Lisätietoa (englanniksi)
The service provider uses personal data of the customer's employees only in accordance with the agreement and GDPR.

DPR-4-4.1 Miten ja milloin henkilötiedot poistetaan?

The customer must inform the service provider when the data of its employees must be deleted during the contract. When the contract ends the data will be deleted automatically.

DPA-1-1.1 Onko palveluntarjoajan kanssa mahdollista tehdä sopimus henkilötietojen käsittelystä (DPA)?

Kyllä; yksi vakioitu DPA-sopimus

DPA-1-2.1 Linkki DPA-sopimuksen vakiomalliin (jos on)

https://ilonait.adobeconnect.com/dpa_fi/
Lisätietoa (englanniksi)
DPA in Finnish. Ask the English version: soili@ilonait.fi

DPA-1-3.1 Onko DPA:ssa määritelty käsiteltävät henkilötiedot?

Kyllä

DPA-1-4.1 Onko DPA:ssa määritelty henkilötietojen käsittelytarkoitukset?

Kyllä

DPA-1-5.1 Voidaanko DPA:n yhteydessä antaa ohjeita, jotka palveluntarjoajan tulee huomioida henkilötietojen käsittelyssä?

Ei

DPA-1-6.1 Onko DPA:ssa sovittu, että palveluntarjoaja huolehtii salassapitovelvollisuudesta työntekijöilleen?

Kyllä

DPA-1-7.1 Onko DPA:ssa sovittu, että palveluntarjoaja sallii rekisterinpitäjän tekemän valvonnan ja auditoinnin?

Kyllä

DPA-1-8.1 Onko palveluntarjoajalla nimetty yhteyshenkilö tietosuoja-asioihin liittyen?

Kyllä
Lisätietoa (englanniksi)
soili@ilonait.fi

DPA-1-9.1 Onko DPA:ssa määritelty tietojen poisto?

Kyllä

DPA-2-1.1 Jos henkilötietojen käsittelyssä käytetään alikäsittelijöitä, onko EU:n yleisen tietosuoja-asetuksen (GDPR) noudattaminen ja riittävien suojatoimien toteuttaminen varmistettu sopimuksessa?

Kyllä
Lisätietoa (englanniksi)
DPA is signed.

DPA-2-2.1 DPA-sopimuksen mukaiset alikäsittelijät tai linkki alikäsittelijöiden listaan (jos on)

As a sub-processor acts:
* Innowise Oy (VAT 1919750-1), DPA has been signed.
* AtWise LLC (VAT 4024020507382), DPA has been signed, DPIA data is not shared.

* Ilona IT is itself the data controller for the GDPR application library, and then AtWise and Innowise are the processors.
* Client is the data controller for the data of the DPIA tool and then Ilona IT is the personal data processor and only Innowise is the sub-processor. AtWise does not have access rights to the content and data of the DPIA tool, and therefore does not act as a sub-processor in that respect.

DPA-3-1.1. Palveluntarjoaja sitoutuu ilmoittamaan viipymättä kaikista tietoturvaloukkauksista

Kyllä

DPA-4-1.1 Käsitteleekö käsittelijä tai jokin sen alikäsittelijöistä henkilötietoja ETA-alueen ulkopuolella?

Kyllä
Lisätietoa (englanniksi)
DPA is signed.

DPA-4-2.1 Jos henkilötietoja käsitellään ETA-alueen ulkopuolella, millä perusteella henkilötietoja siirretään?

Komission hyväksymät vakiolausekkeet (artikla 46:2 c ja artikla 46:2 d)

DPA-4-3.1 Jos henkilötietojen siirtoperusteena käytetään EU-komission vakiosopimuslausekkeita (SCC), mistä vakiolausekkeista on kyse?

answer specification option for key Modul 2 and/ or modul 3 not found

DPA-4-4.1 Voidaanko henkilötietoja luovuttaa kolmannen maan viranomaisille?

Ei

DPA-4-5.1 Jos tietoja siirretään EU/ETA-alueen ulkopuolelle, onko palveluntarjoajalla dokumentaatiota, joka auttaa tietojensiirron vaikutusten arvioinnissa (transfer impact assessment, TIA)?

Kyllä
Lisätietoa (englanniksi)
Organizational protective measures: e.g. limiting the persons who have access to the data and minimizing the data, i.e. not sharing or processing more data than is necessary. DPIA-data is not shared outside EU.

Contract-based: written contracts, in which e.g. conditions regarding confidentiality and information security obligations, to which the contracting party must commit.

DPA-4-6.1 Jos tietoja siirretään EU/ETA-alueen ulkopuolelle, mitä täydentäviä suojatoimia käytetään?

Organizational protective measures: e.g. limiting the persons who have access to the data and minimizing the data, i.e. not sharing or processing more data than is necessary.
Contract-based: written contracts, in which e.g. conditions regarding confidentiality and information security obligations, to which the contracting party must commit.
Tarkista puutteelliset kentät