Tietosuojaseloste - KYVYKÄS-hanke

Navitas Kehitys Oy:n projekti- ja hanketoiminnan hallintarekisterin tietosuojaseloste

1. YLEISTÄ
Tämä on Navitas Kehitys Oy EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste. Tietosuojaseloste perustuu EU:n tietosuoja-asetuksen (2016/679, General Data Protection Regulation, “GDPR”), rekisteröityjen informointivelvoitteeseen (GDPR:n artiklat 12–15), GDPR:n artiklan 30 mukaiseen rekisterinpitäjän velvoitteeseen ylläpitää selostetta vastuullaan olevista käsittelytoimista sekä GDPR:ää täydentävän kansallisen tietosuojalain (1050/2018) velvoitteisiin.

Navitas Kehitys Oy on sitoutunut suojelemaan yksilöiden oikeuksia ja pitämään käsittelemänsä tiedot turvassa. Tässä tietosuojaselosteessa kuvataan, miten Navitas Kehitys Oy kerää, käyttää, säilyttää ja suojaa henkilötietoja Navitas Kehitys Oy:n hallinnoimissa projekteissa- ja hanketoiminnassa.

2. REKISTERINPITÄJÄ
Rekisterinpitäjä on kaikkien tässä selosteessa mainittujen henkilötietojen osalta Navitas Kehitys Oy, ellei toisin maininta.

Navitas Kehitys Oy, y-tunnus: 0775736-4
Wredenkatu 8, 78250 Varkaus
toimisto@navitas.fi

Navitas Kehitys Oy on voittoa tavoittelematon kehittämisyhtiö, joka kuuluu Varkauden kaupungin konserniin.

3. REKISTERISTÄ VASTAAVA YHTEYSHENKILÖ
Sari Ronkainen (tietosuojakoordinaattori), Tiina Rajamäki (tietosuojavastaava)
toimisto@navitas.fi

4. REKISTERIN NIMI JA REKISTERÖIDYT

Navitas Kehitys Oy:n projekti- ja hanketoiminnan hallintarekisteri.

Navitas Kehitys Oy:n projekti- ja hanketoiminnan hallintarekisterissä on asiakkaiden, potentiaalisten asiakkaiden ja eri sidosryhmien tietoja. Näitä ovat:

• Seudun yrittäjien ja organisaatioiden tiedot yhteyshenkilöineen
• Hankeasiakkaat
• Tapahtumiin osallistujat
• Rahoittajat
• Hankkeen osatoteuttajat
• Navitas Kehitys Oy:n ulkopuoliset projekti- ja hanketoimijat
• Seudun kuntien poliittiset päättäjät ja vaikuttajat
• Muut konserniyhtiöiden henkilöt ja hallituksen jäsenet

Yritysten henkilöstötietojen lisäksi rekisterissä voi olla myös yksityishenkilöiden tietoja. Navitas Kehitys Oy:n projekti- ja hanketoiminnan hallintarekisterissä on myös hankehenkilöstön henkilötietoja.

5. OIKEUSPERUSTE JA HENKILÖTIETOJEN KÄSITTELYN TARKOITUS

EU:n yleisen tietosuoja-asetuksen mukainen oikeusperuste henkilötietojen käsittelylle on

• Rekisteröidyn suostumus

o Hankkeeseen osallistuvalla henkilöllä on oikeus itse päättää hankkeeseen osallistumisestaan
o Asiakassuhteen synnyttyä asiakas antaa suostumuksensa tietojensa tallentamiseen ja käsittelyyn asiakassuhteen hoitamiseksi
o Lupa tietojen käyttöön ja siten asiakassuhde katsotaan syntyneeksi, kun yritys perustetaan ja kirjataan julkiseen Hakosalo-järjestelmään ja/tai asiakas ottaa yhteyden Navitas Kehitys Oy:hyn sähköisten välineiden kautta verkossa, postin kautta, sähköpostitse, puhelimitse, henkilökohtaisessa tapaamisessa, tapahtumiin osallistumisen kautta, yhteistyökumppanin lähetteen myötä, tilaamalla KYVYKÄS -hankkeen uutiskirjeen, jättämällä yhteystiedot KYVYKÄS -hankkeen nettisivuilla tai ilmoittautumalla KYVYKÄS -hankkeeseen Webropol -kyselyllä.
o Yritysten kanssa käydyt keskustelut ja toimenpiteet käsitellään luottamuksellisesti tai salaisesti

• Sopimus

o Osa henkilötiedoista pohjautuu tehtyihin sopimuksiin (mm. yrityssitoumus, osallistumissopimukset)

• Rekisterin pitäjän lakisääteinen velvoite

o Tietoja käytetään hankkeissa toteutettavan viestinnän, markkinoinnin ja asiakaspalvelun toteuttamiseksi. Lisäksi luovutetaan EU-hankeraportointia varten joitakin henkilötietoja rahoittajalle, hankkeen päätoteuttajalle ja hankkeen valvojalle. Hankkeiden tietoja käsitellään lakisääteisen velvoitteen hoitamiseksi. Lakisääteinen velvoite muodostuu rakennerahastoja koskevasta kansallisesta ja EU-lainsäädännöstä. Toteutamme hanketoimintaa sopimusperusteisesti omistajakuntiemme toimeksiannosta. Henkilörekisterin omistajia ovat toimeksi antaneet kunnat ja me toimimme henkilötietojen käsittelijänä.
o Hankeasiakkaana, jotkin tiedot saattavat kuulua osittain tai kokonaan julkisuuslain piiriin

Henkilötietojen käsittelyn ja rekisterin käyttötarkoitus
Henkilötietoja käsitellään vain ennalta määriteltyihin tarkoituksiin, jotka ovat seuraavat:

• Asiakassuhteen hoitaminen ja asiakasviestintä

o Asiakassuhteiden hoitamisen näkökulmasta on perusteltua käsitellä ja käyttää yritystietoja ja yritysten yhteyshenkilöiden yhteystietoja.

• Hankkeiden ja projektien toimintaan liittyvä yhteydenpito
• Viestintä ja markkinointi
• Taloudellisen ja toiminnallisen raportoinnin hoitaminen
• Palvelun tuottaminen asiakkaille
• Asiakastyytyväisyyden selvittäminen
• Erilaisten tilastollisten analyysien tekeminen
• Tapahtumien ja koulutusten hallinnointi
• Hankehenkilöstön työajanseuranta

6. REKISTERIN TIETOSISÄLTÖ

Projekti- ja hanketoiminnan hallintarekisteri sisältää seuraavat tiedot:

Asiakasyrityksen tiedot

• kokonaisuudessaan julkisesta YTJ-järjestelmästä haettuna ja tarvittaessa täydennettynä muista julkisista lähteistä tai asiakkaalta itseltään.
• Tiedot pitävät sisällään yrityksen perustiedot ja yhteyshenkilön nimen, puhelinnumeron ja sähköpostiosoitteen.

Ja yrityksen/organisaation yhteyshenkilön yhteystiedot

• nimi
• allekirjoitus
• tehtävänimike ja organisaatio
• sähköposti ja puhelinnumero
• osoite ja toimipaikka
• tilaisuuksien tarjoiluihin liittyvät tiedot, erityisruokavaliot
• www-sivujen osoitteet
• tunnukset/profiilit sosiaalisen median palveluissa
• laskutustiedot
• verkkoyhteyden IP-osoite

Asiakastiedot

• asiakassuhteen hoitamisen kannalta oleelliset tiedot yhteydenpidosta, tapaamisista, tilaisuuksiin osallistumisesta ja muusta relevantista kanssakäymisestä

Hankehenkilöstön tiedot

• nimi
• puhelinnumero
• sähköpostiosoite
• allekirjoitus
• tehtävänkuva
• tehdyt työt ja tunnit
• palkkatiedot

7. SÄÄNNÖNMUKAISET TIETOLÄHTEET

Rekisterin tiedot saadaan säännönmukaisesti:

• rekisteröidyltä itseltään mm. suorin yhteydenotoin puhelimitse, sähköpostitse, postitse, tapaamisissa, kotisivulla olevan verkkolomakkeen, kyselylomakkeen, uutiskirjeen, sosiaalisen median kautta, hankekohtaisten ja muiden sopimusten myötä, tilaisuuteen ja tapahtumiin ilmoittautuessa tai niihin osallistuessa
• projektiin tai hankkeeseen liittyvistä asiakirjoista, kuten rahoitushakemuksesta, projekti- tai hankesuunnitelmasta ja sopimuksista.
• julkisesti saatavilla olevista tai kaupallisista päättäjä- ja yritysrekistereistä, viranomaisilta ja muilta luotettavilta tahoilta.

8. TIETOJEN SÄÄNNÖNMUKAISET LUOVUTUKSET JA TIETOJEN SIIRTO EU:N TAI ETA:N ULKOPUOLELLE

Henkilötietoja voidaan luovuttaa voimassa olevan lainsäädännön mukaisesti kolmansille osapuolille. Navitas Kehitys Oy kerää ja tallentaa tietoja henkilöistä, jotka osallistuvat Navitas Kehitys Oy:n hallinnoimiin, mutta jonkin ulkoisen tahon rahoittamiin hankkeisiin. Henkilötietoja käsitellään välillä siksi rahoittajan vaatimuksesta, heidän edellyttämällään tavalla.

Tietoja luovutetaan mm. Rakennerahastoja ja EU-hankkeita ohjaavan erityislainsäädännön ja asetusten perusteella kuten tukikelpoisuusasetuksen. Ulkopuolisen rahoittajatahon ollessa kyseessä, hankkeen tarkastajat haluavat joissain tapauksissa pystyä seuraamaan, arvioimaan ja tarkastamaan tietyllä tavalla kunkin hankkeen tavoitteiden toteutumista sekä varainhoitoa.

Navitas Kehitys Oy:n hankkeita toteutetaan Euroopan unionin ja Euroopan talousalueen ulkopuolisien yhteistyökumppaneiden kanssa. Henkilötietoja luovutetaan tapauskohtaisesti ja käyttäjän erillisellä suostumuksella.

Navitas Kehitys Oy:n henkilörekisterin sisältämiä henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle tai kansainvälisiin järjestöihin. Henkilörekisterin sisältämiä henkilötietoja voidaan siirtää EU:n tai ETA-alueen ulkopuolelle työskentelyn suorittamisen kannalta välttämättömien IT-palveluiden toteuttamiseksi, tapauskohtaiseen harkintaan perustuen. Kohdevaltio, johon henkilötietoja siirretään, on Yhdysvallat. Mikäli henkilötietoja siirretään EU:n tai ETA:n ulkopuolelle, esimerkiksi Yhdysvaltoihin, se tapahtuu vain, jos se on tarpeen palveluiden tarjoamiseksi tai sopimusvelvoitteiden täyttämiseksi. Tällöin noudatetaan EU:n tietosuojalainsäädäntöä ja varmistetaan riittävä suojan taso.

Erityisesti EU:n ja Yhdysvaltojen välinen Data Privacy Framework (DPF) tarjoaa oikeudellisia puitteita siirtää henkilötietoja Yhdysvaltoihin, varmistamalla, että siirron osapuolet täyttävät EU:n tietosuojan vaatimukset. Tietosuojakehys tarjoaa kansallisten valvontaviranomaisten valvontaa ja mahdollistaa EU:n kansalaisten oikeudet tietosuojaan myös Yhdysvalloissa. Lisäksi palveluntarjoajien kanssa on tehty henkilötietojen käsittelysopimus.
Vain välttämättömät tiedot siirretään ja siirto tehdään tietosuojalainsäädännön mukaisesti ja sen asettamissa rajoissa. Siirron turvallisuudesta ja tietosuojasta sovitaan aina erikseen. Kaikki kumppanimme ovat sitoutuneet noudattamaan tietosuoja-asetuksen vaatimuksia.

9. REKISTERIN SUOJAUKSEN PERIAATTEET

Yleinen kuvaus teknisistä ja organisatorisista turvatoimista, joilla rekisteröityjen henkilötietoja ja rekistereitä Navitas Kehitys Oy:ssä pyritään suojaamaan:

• Navitas Kehitys Oy:n ja järjestelmätoimittajien kanssa on sovittu rekisterin suojauksesta. Tarpeen vaatiessa vastuut on asianmukaisissa sopimuksissa riittävällä tarkkuudella kuvattu.
• Navitas Kehitys Oy:n työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta, ja heitä on ohjeistettu salassa pidettävien tietojen käsittelyyn.
• Järjestelmätoimittajat, jotka toimivat Navitas Kehitys Oy:n lukuun, huolehtivat rekisterin ja siihen liittyvien tietojen säilyttämisestä noudattaen hyvää tietojenkäsittelytapaa sekä vaitiolo- ja salassapitovelvollisuutta.
• Kaikkien kumppaneiden kanssa, jotka käsittelevät henkilötietoja Navitas Kehitys Oy:n lukuun, on solmittu tietojenkäsittelysopimus.
• Navitas Kehitys Oy:n henkilörekisterin tietoturvallisuus ja henkilötietojen luottamuksellisuus taataan käyttämällä asianmukaisia teknisiä ja hallinnollisia toimenpiteitä, jotka noudattavat hyvää tietojenkäsittelytapaa.
• Navitas Kehitys Oy on rajoittanut käyttöoikeudet tietojärjestelmiin, työvälineisiin ja muihin tallennusalustoihin. Vain ne henkilöt, joiden työtehtävät tai toimenkuva edellyttävät sitä, voivat tarkastella ja käsitellä kyseisiä tietoja. Työntekijät saavat työtehtäviin ja järjestelmiin nähden asianmukaisen koulutuksen. Työntekijöille tarjotaan säännöllisesti tietoturva- ja tietosuojakoulutusta sekä Navitas Kehitys Oy:llä on kirjallinen tietosuoja- ja tietoturvaohjeistus, johon jokainen uusi työntekijä tutustuu.
• Jokainen työvälineen tai järjestelmän käyttäjä tunnistautuu henkilökohtaisilla tunnuksillaan, jotka annetaan käyttöoikeuden myöntämisen yhteydessä. Käyttöoikeus poistetaan henkilön siirtyessä pois tehtävistään.
• Tiedot kerätään tietokantoihin, jotka on suojattu sekä fyysisesti että teknisesti. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa tiloissa ja tietoihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt.

10. HENKILÖTIETOJEN SÄILYTYSAIKA

Rekisteröidyn henkilötietoja säilytetään pääsääntöisesti niin kauan, kuin asiakkuus vaatii tai niin kauan, kun asiakas pyytää poistamaan tiedot.

Hanketoimintaan liittyviä henkilötietoja säilytetään hankkeen ajan ja päättymisen jälkeen hanketoimintaa ohjaavan lainsäädännön mukaisesti (maksimissaan 10 vuotta).

11. REKISTERÖIDYN OIKEUDET

Rekisteröidyllä on GDPR-asetuksen nojalla oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja vai ei. Lisäksi rekisteröidyllä on oikeus saada tietoa henkilötietojensa käsittelystä ja vaikuttaa henkilötietojensa käsittelyyn. Seloste toimii informointiasiakirjana, lisäksi lisätietoja on mahdollista saada rekisterinpitäjältä. Rekisteröidyllä on lisäksi seuraavat oikeudet liittyen käsiteltäviin henkilötietoihin, ellei rekisterinpitäjään kohdistuvista velvoitteista tai voimassa olevasta lainsäädännöstä aiheudu muuta.

Rekisteröidyllä on seuraavat oikeudet, joiden käyttämistä koskevat pyynnöt tulee tehdä kirjallisesti tietosuojavastaavalle osoitteeseen toimisto@navitas.fi. Pyynnöt arvioidaan tilanne- ja tapauskohtaisesti. Oikeuksien käyttämiseksi tunnistamme henkilöt erikseen pyynnön toteuttamiseksi ja muiden rekisteröityjen oikeuksien varmistamiseksi.

Tarkastusoikeus
Rekisteröidyllä on oikeus tarkastaa, mitä häntä koskevia tietoja henkilötietorekisteriin on tallennettu.

Oikeus tietojen oikaisemiseen tai täydentämiseen
Rekisteröity voi pyytää oikaisemaan tai täydentämään häntä koskevat virheelliset tai puutteelliset tiedot.

Poisto-oikeus
Rekisteröidyllä on oikeus pyytää tietojen poistamista, jos tietojen käsittely ei ole tarpeen.

Rajoittamisoikeus
Rekisteröidyllä on oikeus pyytää häntä koskevan tietojen käsittelyn rajoittamista.

Siirto-oikeus
Rekisteröidyllä on oikeus pyytää henkilötietojen siirtämistä järjestelmä toisen/rekisterinpitäjältä toiselle.

Peruutusoikeus
Rekisteröidyllä on oikeus peruuttaa antamansa suostumus, mikäli henkilötietojensa käsittely perustuu rekisteröidyn suostumukseen. Henkilötietojen käsittelyyn annetun suostumuksen voi peruuttaa sähköpostitse toimisto@navitas.fi.

Vastustamisoikeus
Rekisteröity voi vastustaa henkilötietojen käsittelyä, mikäli kokee, että henkilötietoja on käsitelty lainvastaisesti.

Valitusoikeus
Rekisteröidyllä on oikeus tehdä valitus Tietosuojavaltuutetun toimistoon, mikäli rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä on rikottu voimassa olevaa tietosuojalainsäädäntöä.

Varkaudessa 23.05.2025