SELONTEKO

Selonteko asiakkaidemme henkilötietojen turvallisuuden takaamiseksi tehdyistä toimenpiteistä

Selonteko EU:n tietosuoja-asetus GDPR:n vaatimusten toteuttamistavoista Magic Automation Oy:ssa

Magic Automation Oy toimittaa asiakkaansa käyttöön erilaisia ohjelmistorobotiikan palveluja, joita tuotetaan, ylläpidetään ja kehitetään tietoturvallisuutta korostaen. Tuotamme valtaosan palveluistamme omista, Suomessa sijaitsevista konesaleistamme.

Vastaamme asiakkaidemme palveluiden kattavasta tietoturvallisuudesta, toiminnan vaatimustenmukaisuudesta ja palvelutuotannon jatkuvuudesta yhdessä asiakkaan kanssa. Varmistamme asiakkaan palvelun luottamuksellisuuden, eheyden ja saatavuuden riippumatta siitä, onko aineisto määritelty salassa pidettäväksi tiedoksi.

Asiakkaan tietojen turvaamiseksi ja tarvittavan turvatason saavuttamiseksi käytämme monia teknologisia ja hallinnollisia turvallisuustoimenpiteitä, jotka on kuvattu tarkemmin tässä selonteossa.

Tämä dokumentti on selonteko käyttämistämme ja toteuttamistamme turvallisuusjärjestelyistä. Olemme tehneet asiakkaidemme kanssa keskinäisen palvelusopimuksen, jossa määritellään tarkemmin käytössänne olevat palvelut.

Mikäli Teillä on kysyttävää selonteon yksityiskohdista tai käytössänne olevan palvelun turvallisuudesta, vastaamme mielellämme tarkentaviin kysymyksiinne.

Toimenpiteet asiakkaan henkilötietojen turvallisuuden varmistamiseksi

Tiedonkäsittelyyn liittyvät roolit

Mikäli Magic Automationin asiakkaalle tarjoamaan palveluun sisältyy henkilötietojen käsittelyä, vastaavat asiakas ja Magic Automation omista lakiin perustuvista velvoitteistaan joko rekisterinpitäjänä tai tietojen käsittelijänä.

Käsitellessään Magic Automationin pilvipalveluun sijoittamia henkilötietojaan, toimii asiakas henkilötietojen rekisterinpitäjänä. Jos Magic Automation käsittelee näitä henkilötietoja asiakkaan toimeksiannosta, toimii Magic Automationin henkilötietojen käsittelijänä ja sitoutuu toimimaan sekä lain että mahdollisen kyseisiä tietoja koskevan, asiakkaan antaman erillisen ohjeistuksen mukaisesti.

Magic Automation toimii rekisterinpitäjänä käsitellessä asiakkaidensa henkilötietoja omissa järjestelmissään, kuten esimerkiksi omassa asiakasrekisterissään.

Magic Automationin hallussa olevat asiakasyritysten henkilötiedot

Asiakas omistaa kaiken Magic Automationin palveluihin tallentamansa ja siirtämänsä datan. Asiakkaan käytössä olevasta palvelusta riippuen Magic Automationin IT-infrastruktuuriin saattaa kertyä asiakasyrityksen henkilökuntaa tai asiakasyrityksen asiakkaan henkilökuntaa koskevia henkilötietoja esimerkiksi asiakkaan liittäessä palveluihin henkilöstöään tai käyttäessä Magic Automationin ylläpidossa olevia ohjelmistoja. Tallentuvat henkilötiedot ja niiden sensitiivisyys vaihtelevat palvelusta riippuen.

Asiakassuhteen päättyessä Magic Automation sulkee asiakkaalle avaamansa tietoliikenne-, tietojärjestelmä-, tiedonsiirto- sekä etäkäyttöyhteydet ja poistaa asiakkaan tallentaman datan järjestelmästään.

Asiakkaan omistamien henkilötietojen käsittely

Henkilötietojen käsittelyn luonne ja tarkoitus

Asiakkaalle tarjotusta palvelusta riippuen Magic Automationin teknisestä ylläpidosta vastaavalla henkilökunnalla saattaa olla pääsy palveluihin liitettyjen henkilöiden henkilötietojen tarkastelemiseen esimerkiksi helpdesk-toiminnan yhteydessä. Magic Automation voi käsitellä henkilötietoja palvelun ylläpitämiseksi ja päivittämiseksi sekä asiakkaan aloitteesta esimerkiksi ongelmatilanteen ratkaisemiseksi.

Magic Automationin alihankkijat

Magic Automation saattaa joidenkin palveluidensa tuottamisessa käyttää alihankkijoita. Mikäli Magic Automation käyttää alihankkijoita, se edellyttää alihankkijoiltaan samojen tietosuojaperiaatteiden noudattamista.

Tietosuoja

Asiakkaan henkilötietoja käsitellessään Magic Automation noudattaa Euroopan tietosuoja-asetuksen edellyttämää hyvää tietojen käsittelytapaa ja tietojen suojaamista koskevia säännöksiä.

Magic Automation sitoutuu pitämään asiakkaan salassa pidettävän tiedon salassa. Magic Automation ei käytä tai hyödynnä asiakkaan aineistoa muuhun kuin palvelusopimuksen mukaiseen tarkoitukseen. Asiakkaan aineistoa ei myöskään luovuteta sivulliselle eikä anneta sitä oikeudetta teknisen käyttöyhteyden avulla tai muulla tavalla sivullisen nähtäväksi tai käytettäväksi.

Tekninen tietoturva

Salausta vaativa tiedonsiirto salataan kulloiseenkin tilanteeseen soveltuvalla salaustekniikalla, ellei asiakkaan kanssa muuta ole sovittu.

Magic Automation käyttää osakkuusyrityksensä Magic Cloudin konesaleja, joka päivittää ja ylläpitää palvelinkeskuksessa olevia ohjelmistoja ja laitteita säännöllisesti. Esimerkiksi tietoturvapäivitykset asennetaan vähintään kuukausittain. Magic Cloudin palvelinkeskuksessa on käytössä tehokas ja ajantasainen virusten ja haittaohjelmistojen torjuntamekanismi.

Kaikki palvelinkeskuksessa sijaitseva data varmuuskopioidaan vähintään päivittäin ja kopiot säilytetään maantieteellisesti erillisissä kohteissa.

Fyysinen tietoturva

Palvelinkeskuksemme on valvottuna 24/7.  Keskuksessa on elektroninen kulunvalvonta ja konesalin tilasta automaattisesti raportoiva hälytysjärjestelmä.

Palvelinten ja muiden laitteiden sekä ohjelmistojen terveydentilaa seurataan erillisellä monitorointijärjestelmällä, jonka avulla mahdollisiin ongelmiin ja virheisiin voidaan pääsääntöisesti reagoida proaktiivisesti.

Palvelinkeskuksessa katkottomasta virransaannista on varmistuttu kahdennetuilla virransyöttö- sekä varavirtajärjestelmillä. (Tarkemmat tekniset tiedot erillisessä Magic Cloud Oy:n järjestelmäkuvauksessa.)

Organisationaalinen turvallisuus

Magic Automationin henkilökunta on työsopimuksissaan allekirjoittanut yrityksen hallussa olevia tietoja ja asiakasyritysten tietoja koskevan salassapitopykälän. Henkilöstön oikeudet ja valtuudet palveluiden tuottamisessa käytettävissä tietojärjestelmissä rajataan työtehtävien laajuus huomioon ottaen ja järjestelmiin pääsyä hallitaan kohdennettujen käyttöoikeuksien kautta. Magic Automationin tieto- ja viestintäjärjestelmät tallentavat tietojen käsittelyhistoriaa palvelukohtaisesti tarvittavalla tavalla.

Henkilökuntamme päivittäistä toimintaa ohjaa yrityksemme yhteistoiminnallisesti laatima tietosuojaohjeistus. Tietosuojaohjeistus ja -käytänteet ovat myös osa uuden työntekijän perehdytysprosessia. Henkilökunnan tietoja ja ymmärrystä tietosuoja-asetuksen vaatimuksiin kehitetään ja ylläpidetään sisäisillä koulutuksilla sekä mahdollisuudella osallistua esimerkiksi yhteistyökumppaneidemme tietosuojakoulutuksiin.

Yhteydenpito asiakkaan ja Magic Automationin välillä

Tiedotamme asiakastamme palveluiden käyttämiseen liittyvistä oleellisista tiedoista, kuten palvelun kehittymisestä ja muutoksista. Tiedotuksemme tapahtuu esimerkiksi sähköpostitse asiakkaan pääkäyttäjille sekä nettisivujemme ja muiden sähköisten kanavien kautta.

Palveluidemme tietosuojan jatkuvasta kehittämisestä ja parhaista käytännöistä huolimatta olemme varautuneet myös mahdollisiin tietosuojaloukkaustilanteisiin liittyvään yhteydenpitoon. Valvomme aktiivisesti ympäristömme tilaa ja tiedotamme asiakkaillemme GDPR:n velvoitteiden mukaisesti viipymättä, mikäli asiakkaan henkilötietoihin kohdistuu tietoturvaloukkaus.