Päivitetty 13.4.2026

Seloste käsittelytoimista

Seloste käsittelytoimista kuvaa henkilötietojen käsittelyyn liittyviä käytäntöjä ja periaatteita, kun Easor käsittelee henkilötietoja henkilötietojen käsittelijänä rekisterinpitäjän lukuun. Seloste auttaa ymmärtämään, mitä henkilötietoja käsittelemme, kuinka suojaamme, säilytämme ja poistamme henkilötietoja.

Miksi käsittelemme henkilötietoja?

• Henkilötietoja käsitellään ja tallennetaan Käsittelijän tarjoamien palveluiden tuottamiseksi Käsittelijän ja Rekisterinpitäjän välisessä sopimussuhteessa.
• Henkilötietoja käsitellään ja tallennetaan myös lakisääteisten seikkojen sekä viranomaiskäsittelyyn liittyvien velvollisuuksien täyttämiseksi
• Asiakkaan Käsittelijältä tilaamien palveluiden tuottamiseksi ja kehittämiseksi

Rekisterinpitäjän (Easorin asiakkaan) velvollisuus on huolehtia siitä, että henkilötietojen käsittelyyn on lainmukainen käsittelyperuste ja käsittelystä on informoitu rekisteröityä.

Mitä henkilötietoja käsittelemme?

• Asiakkaan oma asiakas- ja toimittajarekisteri
• Asiakkaan tai asiakkaan valtuuttaman tahon dokumenttivarastoon tallentamat tiedot
• Asiakkaan rekisterinpitäjänä määrittelemiä ja meille toimittamia henkilötietoja sopimuksessa määriteltyjen palveluiden tuottamiseksi. Asiakas vastaa käsiteltävien henkilötietojen sisällöstä ja ajantasaisuudesta.

Säännönmukaiset tietolähteet

Asiakas, tai asiakkaan valtuuttama taho lisää omien tietojensa lisäksi henkilökuntansa sekä asiakkaittensa henkilötietoja Käsittelijän sähköisiin palveluihin.

Henkilötietojen vastaanottajien ryhmät – myös kolmansissa maissa olevat sekä kansainväliset järjestöt

Easor voi luovuttaa Asiakkaan henkilötietoja voimassa olevan lainsäädännön rajoissa ja Easorin ja Asiakkaan välisen sopimuksen ehtoja noudattaen. Rekisteritietoja voidaan luovuttaa mm. veroviranomaisille, pankeille, laskurahoitusyhtiöille ja perintätoimistoille.

Easorin on tietyissä tapauksissa luovutettava henkilötietoja viranomaisille, mikäli sovellettava laki tai asetus tai oikeus- tai hallintoviranomaisen pyyntö tätä edellyttää.

Pääsääntöisesti henkilötietoja ei siirretä Euroopan Unionin (”EU”) tai Euroopan talousalueen (”ETA”) ulkopuolelle. Tiedonsiirrot EU tai ETA-alueen ulkopuolelle tehdään EU:n tietosuoja-asetuksen tiedonsiirtoja koskevien vakiosopimuslausekkeiden mukaisesti.

Tekniset ja organisatoriset turvatoimet

Rekistereiden tietojen tekninen suojaaminen

Sähköisesti käsiteltävät rekisterin sisältämät tiedot suojataan teknisesti mm. palomuureilla, salasanoilla sekä tarjoamalla asiakkaille kaksivaiheista tunnistautumista asiakastietojärjestelmiin.

Tiedonsiirto asiakkaan ja Easorin palveluiden välillä on salattu TLS (Transport Layer Security) teknologialla. Tiedot varmuuskopioidaan säännöllisesti ja varmuuskopioita säilytetään eri sijainnissa kuin missä primääridata sijaitsee.

Käsittelijä toteuttaa sisäisiä ja kolmannen osapuolen suorittamia arviointeja, jotka kattavat sekä kriittisten tietojärjestelmien teknisen turvallisuuden että hallinnollista tietoturvaa ja -suojaa koskevia prosesseja ja ohjeistuksia.

Rekistereiden hallinnollinen suojaaminen

Käsittelijä suojaa Asiakkaan tietoja luvattomalta käytöltä ja levitykseltä. Ainoastaan Käsittelijän työntekijöillä ja Käsittelijän toimeksiannosta ja sen lukuun toimivien yritysten työntekijöillä on pääsy rekisterin sisältämiin tietoihin erikseen myönnettyjen käyttöoikeuksien perusteella. Käyttäjien käyttöoikeuksia valvotaan ja vaarallisten käyttöoikeusyhdistelmien luominen on kielletty käyttöoikeuksien hallintapolitiikassa ja niiden syntymistä valvotaan osana käyttöoikeuksien hallintaa. Erityisesti eri järjestelmien pääkäyttäjien käyttöoikeudet tarkistetaan säännöllisesti, ja ne poistetaan, kun käyttäjä ei niitä enää tarvitse. Käsittelijältä poistuneiden työntekijöiden käyttöoikeudet poistetaan työsuhteen päättyessä kaikista järjestelmistä.

Asiakkaan tietoja käsittelee vain Käsittelijän työntekijät, joiden toimenkuva edellyttää kyseisten tietojen käsittelyä. Käsittelijän työntekijöille on kiellettyä käsitellä henkilötietoja muilla perusteilla, vaikka Käsittelijän työntekijällä olisi tekninen pääsy asiakastietoon hänen työtehtävänsä ja liiketoiminnallisten syiden perusteella. Koko Käsittelijän henkilöstöllä ja sen lukuun toimivilla ulkopuolisilla henkilöillä on salassapitovelvollisuus liittyen kaikkiin Asiakkaan taloushallinnon tietoihin ja henkilötietoihin. Salassapitovelvollisuus on kirjattuna Käsittelijän henkilöstön työsopimuksiin sekä kolmansien osapuolien kanssa tehtyihin sopimuksiin, mukaan lukien salassapitovelvollisuuden rikkomisesta aiheutuvat sanktiot.

Asiakkaan tietoja käsittelevät työntekijät koulutetaan säännöllisillä koulutuksilla, joissa työn tekemisen laillisuusperusteet ovat olennainen osa koulutusta. Käsittelijän henkilökunnan tietoturva- ja tietosuojatietoisuutta pidetään säännöllisesti yllä eri tavoin muun muassa järjestämällä säännöllisiä tietoturvaa ja tietosuojaa koskevia koko yrityksen henkilöstölle tiedoksi annettavia tietoiskuja sekä järjestämällä vuosittain työntekijöille pakollinen tietoturvaa ja tietosuojaa koskeva koulutus. Käsittelijä on laatinut tietoturvapolitiikan, johon jokainen Käsittelijän uusi työntekijä perehtyy aloittaessaan työnsä. Tietoturvapolitiikan olemassaolosta ja sijainnista tiedotetaan säännöllisissä tietoturvakoulutuksissa sekä muistutetaan työntekijöitä kyseisen politiikan sitovuudesta. Tietoturvapolitiikka kuvaa yleiset työntekijää velvoittavat tietoturvaa ja tietosuojaa koskevat säännöt, olivatpa ne teknisiä sääntöjä, tietoturvaprosesseja tai jokapäiväiseen työntekoon soveltuvia käytäntöjä ja ohjeita.

Rekistereiden tietojen fyysinen suojaaminen

Asiakkaiden tietoja käsitellään tietojärjestelmissä, jotka sijaitsevat konesalissa Suomessa tai Euroopan Unionin alueella sijaitsevissa pilvipalveluissa.

Suomessa sijaitsevissa konesaleissa tärkeimmät tuotantojärjestelmät on kahdennettu kahteen fyysisesti toisistaan erotettuihin konesaleihin turvallisuuden, tiedon säilymisen ja palvelun jatkuvuuden takaamiseksi normaali- ja poikkeustilanteissa.

Näissä konesaleissa ovat käytössä palveluntuottajan toimesta sertifioidut turvallisuuskäytännöt, pääsynhallinta ja valvonta.

Asiakkaan velvollisuudet

Asiakas vastaa omalta osaltaan riittävien teknisten ja organisatoristen tietoturvatoimien käyttöönottamisesta ja ylläpidosta omissa tietojärjestelmissään ja toimitiloissaan.

Tietoryhmien suunnitellut poistamisajat

Henkilötietoja poistetaan rekisterinpitäjän kirjallisesta pyynnöstä, rekisterinpitäjän määrittelemässä laajuudessa.

Käsittelijä poistaa Asiakkaan henkilötiedot tietojärjestelmistään lainsäädännön edellyttämässä laajuudessa, kun Asiakas poistuu Käsittelijältä. Tietojen poistaminen tapahtuu yhden + kymmenen (1+10) vuoden kuluttua Asiakkaan poistumisesta. Operatiivisista tietojärjestelmistä poistamisen jälkeen tiedot poistuvat automaattisesti kuuden (6) kuukauden kuluessa varmuuskopioista.

Rekisteröidyn oikeudet

Rekisteröidyllä on Euroopan Unionin tietosuoja-asetuksen artiklojen 5–21 ja 77 mukaisesti oikeus:

1. tarkastaa henkilötiedot
2. tietojen oikaisemiseen
3. tietojen poistamiseen
4. käsittelyn rajoittamiseen
5. siirtää tiedot järjestelmästä toiseen
6. vastustaa henkilötietojensa käsittelyä
7. tehdä valitus valvontaviranomaiselle

Niissä tilanteissa, joissa rekisteröity haluaa tarkastaa tai muuttaa tietojaan Easorin Asiakkaan omistuksessa olevaan henkilörekisteriin kuuluvista tiedoista, tulee rekisteröidyn tehdä tietojen tarkastus- tai muutospyyntö rekisterinpitäjälle ja rekisterinpitäjä huolehtii tietojen tarkastus- tai muutospyynnön toimeenpanon yhdessä henkilötietojen käsittelijän Easorin kanssa. Rekisterinpitäjän tulee tällöin osoittaa kirjallinen tarkastuspyyntö osoitteeseen: dataprotection(at)easor.com.

Rekisterinpitäjän ohjeistus tietojen käsittelijälle

Rekisterinpitäjänä Asiakas voi kuvata erikseen erillisellä dokumentaatiolla käsittelijälle annettavan tarkemman henkilötietojenkäsittelyn ohjeistuksen, jota käsittelijä säilyttää asiakaskohtaisissa tiedostokansioissa, osana asiakaskohtaista ohjeistusta.

Tietoturvaloukkauksista ilmoittaminen

Rekisterinpitäjälle

Käsittelijä tekee ilmoituksen rekisterinpitäjälle ilman aiheetonta viivytystä tietoturvaloukkauksen ilmitulosta. Ilmoituksessa kerrotaan tietoturvaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.

Rekisteröidylle

Ilmoitus tehdään rekisteröidylle rekisterinpitäjän toimesta, jos tietoturvaloukkauksesta aiheutuu todennäköisesti korkea riski tämän oikeuksille ja vapauksille. Ilmoituksessa kerrotaan tietoturvaloukkauksen luonne sekä toimenpiteet, joihin on ryhdytty, lain edellyttämällä tavalla.

Valvontaviranomaiselle

Rekisterinpitäjän velvollisuus on ilmoittaa tietosuojaviranomaiselle 72 tunnin kuluessa ilmitulosta, mikäli tietoturvaloukkauksesta todennäköisesti aiheutuu luonnollisen henkilön oikeuksiin ja vapauksiin kohdistuvaa korkeaa riskiä. Käsittelijä avustaa Rekisterinpitäjää erillisestä pyynnöstä ilmoituksen teossa. Ilmoitus tehdään kulloinkin voimassa olevan tietosuojavaltuutetun ohjeistuksen mukaisesti.

Käsittelijä (palveluntarjoaja) ja yhteystiedot

Käsittelijän nimi: Easor Oyj ja sen tytäryhtiöt
Tietosuojavastaava: Petteri Hyvönen
Sähköposti: dataprotection[at]easor.com
Osoite: Yrttipellontie 2, 90230 Oulu
Puh. 0207 525 000 (vaihde)

Alikäsittelijän yhteystiedot

Easor käyttää alikäsittelijöitä palveluidensa toteuttamisessa. Tässä yhteydessä Easorin asiakkaiden henkilötietoja voidaan viedä kyseisten alikäsittelijöiden järjestelmiin palvelun tuottamiseksi. Nämä alikäsittelijät ovat yleensä maksutapahtumien käsittelijöitä ja operaattoreita sekä ohjelmistokehityksen yhteistyöverkoston yrityksiä.

Easor solmii alikäsittelijöidensä kanssa tietojenkäsittelysopimuksen (DPA, Data Processing Agreement) suojatakseen asiakkaidensa yksityisyyteen liittyviä oikeuksia ja vapauksia. Silloin kun alikäsittelijät sijaitsevat EU:n tai ETA:n alueen ulkopuolella, tiedonsiirrot EU tai ETA-alueen ulkopuolelle tehdään Euroopan Unionin tietosuoja-asetuksen tiedonsiirtoja koskevien mallisopimuslausekkeiden vaatimusten mukaisesti. Easor käyttää kolmansia osapuolia liiketoimintaprosessiensa tukemiseen ja palveluiden tarjoamiseen. Näihin kolmansiin osapuoliin kuuluvat seuraavat alikäsittelijät: