Palvelukuvaus

LAWLY PALVELUKUVAUS

Tervetuloa ja kiitos kiinnostuksestasi LAWLY palvelua kohtaan. Palvelun tuottaa Ramboll Finland Oy (myöh. Palveluntarjoaja).

Palvelun sisältö

LAWLY palvelussa (myöh. ”Palvelu”) Asiakas saa käyttöönsä verkkopohjaisen palvelun liiketoimintaansa koskevien lakisääteisten ja muiden sidosryhmävaatimusten hallintaan.

Palvelu on lakien ja muiden sidosryhmävaatimusten tunnistamiseen ja täyttymisen osoittamisen seurantapalvelu, joka toteuttaa asiakkaalle räätälöidyn sisältökokonaisuuden tämän antamien tietojen perusteella. Lisäksi palvelu sisältää työkaluja mm. riskien ja kemikaalien hallintaan. Palvelu ei anna lainopillisen asiantuntijan ohjeita, suosituksia tai ohjeita siitä kuinka tietty laki, asetus tai viranomaisen määräys vaikuttaa asiakkaan toimintaan tai kuinka asiakkaan tulisi toimia täyttääkseen lainsäädännön tai viranomaisten vaatimukset. Palveluntarjoaja pyrkii siihen, että Palvelun toteuttama sisältökokonaisuus kattaa kaikki yrityksen toiminnan kannalta keskeiset vaatimukset, mutta Palvelun toteuttama kokonaisuus on riippuvainen asiakkaan antamista tiedoista ja vastauksista ja sellaisenaan se voi sisältää puutteita. Palvelu ei korvaa lainopillisen asiantuntijan neuvoja ja ohjeita. Palveluntarjoaja suosittelee aina käyttämään asiantuntijoita arvioidessaan lakien, asetusten ja määräysten vaikutusta ja velvoittavuutta omassa toiminnassaan.

Sisältökokonaisuudet on kuvattu tarkemmin palvelun www-sivuilla https://www.lawly.fi

Palvelun saatavuus

Palvelu on lähtökohtaisesti käytettävissä jatkuvasti. Palveluntarjoajan pyrkimyksistä huolimatta Palvelussa saattaa olla väliaikaisia tai lyhytkestoisia keskeytyksiä johtuen mm. ylläpidosta, yleisistä järjestelmän tai tietoliikenneyhteyksien toimintahäiriöistä tai ns. ylivoimaisesta esteestä. Käyttäjälle ei taata häiriötöntä pääsyä Palveluun, eikä jatkuvaa ja häiriötöntä saatavuutta.

Käyttäjätunnukset ja asiakastilit

Käyttäjä luo tilin suoraan järjestelmän kautta, jolloin järjestelmä toimittaa tunnukset Palveluun.

Asiakkaan pääkäyttäjätunnuksilla hallinnoidaan Asiakkaan tietokantaan liittyviä perusmäärittelyjä, käyttäjätilejä, alitilejä sekä asiakastilin tietoja.

Palveluntarjoajan pääkäyttäjätunnuksilla voidaan tarvittaessa hallinnoida kaikkien käyttäjien ja asiakkaiden tilejä sekä tileihin liittyviä perusmäärittelyjä, käyttäjätilejä, käyttöoikeuksia, alitilejä sekä asiakastilien tietoja.

Neuvonta ja tukipalvelut

Palveluun sisältyy puhelin- ja sähköpostineuvonta (virka-aikana arkisin klo 9-16) palveluun ja sen sisältöön liittyvissä asioissa. Neuvonta kattaa tavanomaiset asiat, jotka eivät edellytä erityistä tutkimus- tai selvitystyötä. Laajemmista toimeksiannoista ja niiden sisällöstä sovitaan erikseen.

Neuvonta sisältää mm.

  • neuvontaa ja opastusta, kuinka lainsäädännön vaatimuksia tulisi käyttäjän organisaation toimintaan liittyen tulkita;
  • vinkkejä, kuinka palvelussa esitetyt asiat kannattaa käytännön tasolla hoitaa, jotta lainsäädännön vaatimukset tulevat täytetyksi;
  • esimerkkejä ja toimintamalleja alan parhaista käytännöistä ja viranomaisohjeistuksista.

Koekäyttö

Uusilla Asiakkailla on alkuun yhden kuukauden veloituksen käyttöoikeus Palveluun (myöh. ilmaiskäyttöjakso). Käyttääkseen tiliä ilmaiskäyttöjakson jälkeen on Asiakkaan solmittava Toimitussopimus Palveluntarjoajan kanssa.

Akateemiset käyttäjät – opiskelijat ja opettajat

Opiskelijoilla ja oppilaitosten opettajilla on veloituksetta oikeus määräaikaiseen, henkilökohtaiseen käyttöoikeuteen Palveluun. Käyttöoikeus on henkilökohtainen eikä sitä saa käyttää kaupallisiin tarkoituksiin. Käyttäjätili tulee luoda omalla, henkilökohtaisella oppilaitoksen sähköpostiosoitteella ja se on voimassa vuoden kerrallaan. Tilillä on käyttöoikeus Palveluntarjoajan määrittämään sisältökokonaisuuteen. Palveluntarjoajalla on oikeus yksipuolisesti muuttaa tarjottavaa sisältökokonaisuutta.

Mikäli käyttäjä ei erikseen pyydä käyttöoikeudelle jatkoaikaa, käyttäjätili suljetaan automaattisesti vuoden kuluttua käyttäjätilin luomisesta, ja poistetaan Palveluntarjoajan tietosuojakäytännön mukaisesti.

Kolmansien osapuolten tuottama sisältö

Palvelu sisältää linkkejä ja yhteyksiä kolmansien osapuolten verkkosivustoihin. Tällaisiin kolmansien osapuolten tuottamiin sisältöihin, heidän tarjoamiinsa palveluihin tai kolmansien osapuolten välittämiin sovelluksiin sovelletaan kyseisten kolmansien osapuolten käyttö- ja muita ehtoja.

Asiakastietojen käsittely ja henkilötietojen suoja

Asiakas- ja henkilötiedot

Asiakastiedoilla tarkoitetaan tässä palvelukuvauksessa kaikkia tietoja, jotka asiakas syöttää Palveluun sitä käyttäessään. Henkilötiedoilla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

Asiakastiedot voivat sisältää Palvelun käyttäjiin tai muihin henkilöihin liittyviä henkilötietoja, mikäli Asiakas tällaisia tietoja Palveluun syöttää.

Käsiteltävät henkilötiedot

Asiakas määrittelee, mitä henkilötietoja se Palveluun syöttää, missä tarkoituksessa se niitä käsittelee ja mitä Palvelun toiminnallisuuksia se henkilötietojen käsittelyssä käyttää. Asiakkaan tulisi mahdollisuuksien mukaan välttää arkaluonteisten tai muutoin kyseessä olevien henkilöiden yksityisyyden suojaa vaarantavien henkilötietojen syöttämistä Palveluun ja muutoinkin pyrkiä minimoimaan henkilötietojen käsittelyn Palvelussa tietosuojalainsäädännön edellyttämällä tavalla.

Palvelussa on mahdollista käsitellä ainakin seuraavan tyyppisiä henkilötietoja:

  • Henkilöiden yhteystietoja kuten nimi, sähköpostiosoite ja puhelin, työnantajan nimi
  • Järjestelmän käyttäjän järjestelmään kirjaamat tiedot kuten viestit, kommentit, muistutukset ja muistiinpanot
  • Rekistereihin kirjatut luvat, kortit ja pätevyydet
  • Järjestelmässä henkilön vastuulle osoitetut asiat kuten vaatimukset, löydökset, tehtävät, ja eri rekisterien merkinnät
  • Käyttäjien sähköisiä tunniste- ja osoitetietoja kuten käyttäjätunnus, IP-osoite ja evästeet

Henkilötiedot koskevat seuraavia rekisteröityjen henkilöiden ryhmiä:

  • Järjestelmään rekisteröityneet käyttäjät, kuten asiakkaan ja kumppaneiden työntekijät ja heidän yhteistyökumppaninsa
  • Käyttäjiin tai muihin henkilöihin liittyviä henkilötietoja, mikäli Asiakas tällaisia tietoja Palveluun syöttää
  • Palvelua kehittävät ja ylläpitävät henkilöt

Henkilötietojen käsittely

Palveluntarjoaja käsittelee Asiakkaan Palveluun syöttämiä henkilötietoja voimassaolevan tietosuojalainsäädännön mukaisesti erityisesti ottaen huomioon EU:n yleisen tietosuoja-asetuksen (Asetus 679/2016/EU) vaatimukset.

Asiakas toimii henkilötietojen käsittelyn osalta tietosuojalainsäädännön tarkoittamana rekisterinpitäjänä ja vastaa siten henkilötietojen keräämisen lainmukaisuudesta, rekisteröityjen asianmukaisesta informoinnista, rekisteröityjen oikeuksien toteuttamisesta ja muista rekisterinpitäjälle laissa säädetyistä velvollisuuksista.

Palveluntarjoaja käsittelee henkilötietoja tietosuojalainsäädännön tarkoittamana käsittelijänä Asiakkaan toimesta ja lukuun, jotta sen on mahdollista toimittaa Palvelu Asiakkaalle Toimitussopimuksen ja sen liitteenä olevan Tietojenkäsittelysopimuksen mukaisesti. Palveluntarjoajan oikeus käsitellä Palveluun syötettyjä henkilötietoja perustuu aina Asiakkaan oikeuteen henkilötietojen käsitellä henkilötietoja.

Mikäli Asiakkaan toimialaan kohdistuu tietojen käsittelyyn liittyviä erityissäännöksiä, Asiakkaan tulee informoida ja ohjeistaa Palveluntarjoajaa niiden asettamista erityisistä velvoitteista.

Pääsy asiakastietoihin

Pääsy tietoihin on Asiakkaalla sekä Asiakkaan valtuuttamilla käyttäjillä, ja lisäksi Palveluntarjoajan järjestelmän ylläpitoa suorittavilla henkilöillä, sekä tuki- ja neuvontatilanteissa kyseisiä palveluita tuottavilla henkilöillä.

Asiakkaan avustaminen

Palveluntarjoaja avustaa Asiakasta erikseen pyydettäessä seuraavissa asioissa sikäli kun liittyvä Palveluun:

  • rekisteröityjen oikeuksia koskevia pyyntöjä koskevissa asioissa
  • käyttäjien lisäämistä/poistamista koskevissa asioissa
  • tietosuojaloukkausten selvittämisessä, ilmoittamista koskevissa asioissa

Alihankinta

Palvelun tuottamiseksi Palveluntarjoaja hankkii sisällöntuotanto-, tietojenkäsittely- ja tietotekniikkapalveluita ulkopuolisilta sopimuskumppaneiltaan. Alihankkijoiksi hyväksytään ainoastaan luotettaviksi arvioituja tai todettuja palveluntarjoajia, jotka ovat sitoutuneet toimimaan luottamuksellisesti ja toteuttamaan tietosuoja-asetuksen mukaiset tekniset ja organisatoriset toimet henkilötietojen suojaamiseksi. Käytettävien alihankkijoiden sopivuutta arvioidaan säännöllisesti uudelleen.

Palveluun kuuluvat alihankitut palvelut voivat sisältää esim. neuvonta- ja tukipalveluita, yritys- ja loppukäyttäjäpalvelun käyttöönottoa ja hallintaa, tietoliikenne- ja konesalipalveluita, tietojen varmuuskopiointia, palvelinten hallintaa ja palveluiden ylläpitoa. Tiedot alihankituista palveluista ja niiden toimittajista ovat saatavissa pyydettäessä. Alihankkijoiden käyttö tapahtuu asiakkailta saadun ennakkoluvan puitteissa ja mahdollisista alihankkijoiden käytössä tapahtuvista muutoksista tiedotetaan asiakkaita.

Asiakastietoja ei luovuteta kolmansille osapuolille tai viranomaisille, ellei Asiakas toisin ohjeista tai ellei laki toisin vaadi.

Evästeet ja verkkoanalytiikka

Palvelun verkkosivuilla käytetään evästeitä ja verkkoanalytiikkaa. Tutustu verkkoliikenteen tietosuoja- ja evästekäytäntöihin tarkemmin osoitteessa: www.lawly.fi/evasteet.

Asiakastietojen fyysinen sijainti

Konesali-, alusta- ja varmistuspalveluiden osalta laitetilat ja tietojen fyysinen sijainti on Suomessa. Asiakastietoja ei siirretä näiden eikä muidenkaan palvelujen (huolto, tietojen palautus, tietojen tuhoaminen) yhteydessä Suomen rajojen ulkopuolelle.

Asiakastietojen säilytysaika

Asiakastietoja säilytetään 60 vuorokautta sopimuksen tai ilmaiskäyttöjakson päättymisen jälkeen, jonka jälkeen ne poistetaan automaattisesti palvelusta. Lisäksi varmuuskopiot sekä lokitiedot poistetaan pysyvästi järjestelmistä 2 kuukauden kuluessa siitä, kun tiedot on poistettu palvelusta. Poistettuja tietoja ei voida palauttaa.

Palvelupyynnöt, sopimukset, tilaukset sekä muut tukipalveluun lähetetyt viestit säilytetään mahdollisten ristariitatilanteiden selvittämistä varten sopimuksen tai ilmaiskäyttöjakson päättymisen jälkeen.

Käsittelijän ylläpitämät asiakirjat

Palveluntarjoaja ylläpitää tietosuoja-asetuksen 30 artiklan 2 kohdan mukaista sisäistä selostetta käsittelytoimista ja asettaa sen tarvittaessa Asiakkaan sekä viranomaisen saataville. Asiakirja on saatavilla pyydettäessä.

Mahdolliset tietosuojaloukkaukset

Mahdollisista havaituista henkilötietoihin kohdistuneista tietoturvaloukkauksista lähetetään ilmoitus sähköpostitse Asiakkaan pääkäyttäjille tai Asiakkaan Palvelussa erikseen tähän tarkoitukseen ilmoittamaan sähköpostiosoitteeseen.

Tietoturva

Tietoturvalla tarkoitetaan tässä tietojen, tietojärjestelmien ja palveluiden suojaamista siten, että niihin kohdistuvat uhat eivät aiheuta vahinkoa liiketoiminnalle tai asiakkaille. Tavoitteena on suojata tiedot ja järjestelmät asiattomalta pääsyltä ja laittomasti tai vahingossa tapahtuvalta käsittelyltä, muuttamiselta, siirtämiseltä, luovuttamiselta tai poistamiselta, pyrkien säilyttämään tietojen:

  • luottamuksellisuus – tiedot ovat vain niiden henkilöiden käytössä, joilla on siihen valtuudet
  • eheys – tiedon oikeellisuus, luotettavuus ja ajantasaisuus eivät muutu vahingossa tai tahallisesti
  • saatavuus (käytettävyys) – tieto on saatavilla ja käytettävissä silloin kun sitä tarvitaan

Näitä tietoturvaperiaatteita sovelletaan kaikkiin asiakastietoihin riippumatta siitä, sisältävätkö ne henkilötietoja vai eivät. Tässä kuvattuja periaatteiden lisäksi sovelletaan Palveluntarjoajan yleiseiä tietoturvakäytäntöjä, jotka ovat saatavilla pyydettäessä.

Tietoturvan organisointi ja hallinto

Palveluntarjoajalla on nimetty henkilö, joka on vastuussa tietosuojasääntöjen ja -menetelmien koordinoimisesta ja valvonnasta. Henkilötietoa ja asiakasdataa sisältävien laitteiden ja järjestelmien ylläpidon roolit ja vastuut on määritelty ja näitä tietoja käsittelevien henkilöiden tehtävämäärittelyissä on huomioitu tietoturvaan liittyvät oikeudet, velvollisuudet ja vastuut.

Henkilöstöturvallisuus

Tietojen luottamuksellisuus ja työtehtävien luonne otetaan huomioon henkilöiden valinnassa. Luottamuksellisuuden säilyttämisen tärkeyttä korostetaan työsopimuksen lausekkein tai erillisen salassapitosopimuksen avulla.

Käsittelysäännöt ja tietoturvaohjeet ovat kaikkien saatavilla. Henkilöstöä perehdytetään ja ohjataan tietoturvallisiin toimintatapoihin ja henkilötietojen ja asiakasdatan turvalliseen käsittelyyn ja suojaamiseen sekä tietoturvaan. Henkilöstöä tiedotetaan tietoturvariskeistä (liittyen päätelaitteet, verkkoyhteydet, sähköposti, ohjelmistot, verkkopalvelut).

Fyysinen turvallisuus

Henkilötietoa ja asiakasdataa sisältävien palvelinlaitteiden sijoittamiseen on kiinnitetty huomiota ja laitteet on sijoitettu asianmukaisiin ja tarkoitukseen suunniteltuihin tiloihin huomioiden pöly, ilman lämpötila ja kosteus, palo- ja vesivahinkojen ennaltaehkäisy sekä lukitus ja murtosuojaus. Laitteiden sähkönsyöttö on varmistettu ja suojattu virtalähdevikojen, virtapiikkien ja sähkökatkojen varalta.

Pääsy toimitiloihin, joissa on henkilötietoa tai asiakasdataa sisältäviä tietojärjestelmiä, on rajoitettu nimettyihin valtuutettuihin henkilöihin.

Laitteistoturvallisuus

Henkilö- ja asiakastietojen käsittelyyn käytetään ainoastaan yrityskäyttöön tarkoitettuja ja vaatimukset (mm. yhteensopivuuden, tietoturvan ja hallittavuuden osalta) täyttäviä laitteita, joiden turvallisuusominaisuudet on varmistettu. Palvelin-, verkko- ja päätelaitteiden käytön turvallisuus varmistetaan huolellisella asennuksella ja hallitulla käyttöönotolla sekä jatkuvalla ylläpidolla. Asiaton pääsy laitteille on estetty salasanasuojauksella.

Kriittiset palvelin- ja verkkolaitteet on kahdennettu ja tarpeen vaatiessa käytettävissä on varapäätelaitteita. Kaikki käytössä olevat laitteet on luetteloitu ja niiden elinkaari käydään läpi aika ajoin, huomioiden valmistajien takuut ja ylläpitosopimukset. Tietoturva huomioidaan laitteiden huollossa ja laitteita poistettaessa käytöstä ja kierrätettäessä.

Ohjelmistoturvallisuus

Ohjelmistojen osalta pyritään varmistamaan, että käytössä on ainoastaan luotettavia ohjelmistoja ja niiden versioita, koskien käyttöjärjestelmää, tietoliikenneohjelmistoja ja sovelluksia. Ohjelmien turvallisuusominaisuuksia, kuten tunnistamis- ja suojausominaisuuksia sekä valvonta- ja lokimenettelyjä, hyödynnetään suojaamistarpeen mukaisesti.

Viruksilta ja haittakoodilta on suojauduttu keskitetysti hallitulla tietoturvaohjelmistolla, jota päivitetään jatkuvasti. Laitteet ovat jatkuvassa ylläpidossa, joka huolehtii käyttöjärjestelmän ja sovellusten tietoturvapäivityksistä ja valvoo päivitysten onnistumista ja laitteiden tietoturvan tilaa. Ohjelmistolisenssien ja –sopimusten hallinnalla varmistetaan, että ohjelmistot ovat käytettävissä ja tuettuja.

Tietoliikenneturvallisuus

Palvelu tuotetaan ja Asiakastiedot säilytetään palomuurein suojatussa erillisverkossa. Kaikki yhteydet on suojattu SSL/TLS-salauksella.

Jatkuvuuden ja erityistilanteiden hallinta

Tietojen varmuuskopioilta palauttamista varten on tehty suunnitelma ja palauttamista testataan säännöllisesti. Palvelun toimintaa ja saatavuutta seurataan valvontaohjelmistolla. Riskit uudelleenarvioidaan tarpeen mukaan kerätyn tiedon ja kokemuksien perusteella, ja ennakoivia toimenpiteitä tehdään riskien minimoimiseksi osana Palvelun ylläpito- ja kehitystyötä.

Yhteystiedot

  • Kaikki Palveluun käyttöön tai sopimuksiin liittyvät yhteydenotot helpdesk@lawly.fi
  • Ramboll Finland Oy:öön liittyvät yhteydenotot kuten rekisteröityjen oikeuksien toteuttaminen, asiakirjoihin tutustuminen info@ramboll.fi

Päivitykset

Tätä palvelukuvausta on viimeksi päivitetty 15.6.2018.

Viimeisimmät artikkelit