VTT:n sidosryhmien, asiakassuhteiden hallinnan ja markkinoinnin tietosuojailmoitus
Tietosuojailmoitus perustuu EU:n tietosuoja-asetukseen (2016/679, ”tietosuoja-asetus”) ja soveltuvaan kansalliseen lainsäädäntöön. Tietosuojailmoitus on päivitetty viimeksi 22.12.2022 (alkuperäinen versio 21.6.2018).
Tietosuojailmoitusta päivitetään tarvittaessa esimerkiksi järjestelmien, palveluntuottajien tai lainsäädännön muutoksista johtuen.
1. Henkilötietojen käsittelyn kohde
VTT:n asiakas- ja sidosryhmähallinnan, myynnin, markkinoinnin ja tapahtumajärjestämisen henkilötiedot
2. Rekisterinpitäjä, tietosuojavastaava ja yhteyshenkilö
Rekisterinpitäjä:
Teknologian Tutkimuskeskus VTT Oy (”VTT”), Y-tunnus: 2647375-4,
Tekniikantie 21, 02150 Espoo
VTT Group-yhtiöihin kuuluvat VTT Ventures Oy, VTT Holding Oy ja VTT International Oy. Yhtiöt toimivat tapauskohtaisesti itsenäisenä rekisterinpitäjänä tai VTT:n kanssa yhteisrekisterinpitäjänä (esim. yhteiset tapahtumat) tämän tietosuojailmoituksen alla.
VTT:n tietosuojavastaava:
Osoite: Teknologian tutkimuskeskus VTT Oy, Kirjaamo, PL 1000, 02044 VTT
Sähköposti: [email protected] (tietosuojavastaava ja tietoturvapäällikkö sijaisineen)
Asiakkuus- ja markkinointijärjestelmien yhteyshenkilö:
Sähköposti: [email protected]
3. Käsiteltävät henkilötiedot ja rekisteröityjen ryhmät
Rekisteröidyt ovat henkilöitä, jotka edustavat tai toimivat yhteyshenkilöinä VTT:n nykyisille tai potentiaalisille asiakkaille, muille sidosryhmäorganisaatioille (mm. rahoittajat, vaikuttajat), kumppaneille, yhteistyötahoille tai muille intressiryhmille. Rekisteröityjä ovat myös VTT:n julkaisujen tilaajat ja sidosryhmätapahtumiin rekisteröityneet henkilöt.
Henkilötietojen käsittelyyn liittyy seuraavia henkilötietoryhmiä:
- Perustiedot, kuten etunimi, sukunimi, organisaatio, nimike, etuliite
- Yhteystiedot, kuten sähköpostiosoite, puhelinnumero, osoite, kaupunki
- Sopimussuhteeseen liittyviä tietoja, kuten laskutusperuste, laskun summa ja eräpäivä sekä laskutusehdot; tiedot myyntitapahtumista ja -tapaamisista
- Suostumustieto, jos suostumus on käsittelyssä relevantti sekä suostumuksen keräämiseen tai kirjaamiseen liittyvät tiedot, sekä mahdollinen tieto käsittelyn vastustamisesta
- Tapahtumiin liittyvät lisätiedot, kuten vapaaehtoinen tieto allergioista tai toive erityisruokavalioista sekä muut tapahtumaan liittyvät relevantit tiedot (tallennetaan ainoastaan kyseisen tapahtuman järjestämisen ja hallinnoimisen ajaksi)
- Muut henkilön ja rekisterinpitäjän väliseen suhteeseen liittyvät tiedot tiedot, kuten yhteys VTT:en ja mahdollinen VTT:n kontakti, tiedon lähde, rekisteröidyn kiinnostuksen kohteet ja sisältövalinnat, henkilön yhteydenoton aihe (vapaa tekstikenttä), tiedot henkilölle lähetetystä markkinointiviestinnästä, sekä suostumuksen perusteella kerättävät tiedot verkkosivuston käytöstä
- Muut mahdolliset lisätiedot, kuten kielitieto, lokitiedot käsittelytoimista (kuten tietojen luonti- ja päivitysajankohta, muutos ja käsittelytiedot), tietosuoja-asetuksen mukaisten henkilöä koskevien toimenpiteiden tiedot
4. Henkilötietojen käsittelyn tarkoitukset
Henkilötietoja käsitellään seuraaviin tarkoituksiin:
- Asiakas- ja sidosryhmäsuhteen hallinta
- Myynti ja myynnin valmistelu sekä myynnin edistämisen toimet (mm. asiakasyhteistyö mukaan lukien myyntityö)
- Markkinointi ja viestintä, mukaan lukien suoramarkkinointi, mm.
- Tiedote- ja julkaisuviestintä
- Uutiskirjeviestintä
- Webinaari-osallistuminen, -järjestäminen sekä -viestintä
- Tapahtumakutsut
- Muu VTT:n myynti-, markkinointi- ja mainontatoiminta
- Tapahtumien järjestäminen ja hallinnointi (Lisätietoja: VTT:n tapahtumienhallinnan tietosuojailmoitus)
- Sopimusvalmistelu sekä sopimusten hallinta ja täytäntöönpano
- Myyntireskontra, laskutus, perintä ja muu saatavien hallinta, sekä kirjanpito tilintarkastus ja verotus sekä näihin liittyvät toimenpiteet
- Vientivalvonta- ja pakotelistatarkistukset, know-your-customer -menettely sekä muut samankaltaiset liiketoimen laillisuuden varmistamiseen liittyvät toimenpiteet
- Asiakaspalautteen kerääminen ja käsittely
- Liiketoiminnan kehitys, laatutoiminnot, sisäinen ennustaminen, raportointi ja seuranta
- Palvelun tuottaminen ja projektitoiminta
- EU:n tietosuoja-asetuksen mukaisten rekisteröidyn oikeuksien toteuttaminen, kuten henkilön tunnistaminen ja yhteydenpito erityisesti käsittelyä koskevien suostumusten ja käsittelyn vastustamisen hallinnoimiseksi
5. Käsittelyn oikeusperusteet
Henkilötietojen käsittely perustuu sopimussuhteeseen, rekisterinpitäjän oikeutettuun etuun, lakisääteisen velvoitteen noudattamiseen tai suostumukseen.
Sopimus
Henkilötietojen käsittelyn oikeusperuste voi olla sopimuksen täytäntöön paneminen tai sopimusta edeltävien toimenpiteiden toteuttamiseen rekisteröidyn pyynnöstä. Tästä on kyse esimerkiksi silloin, kun henkilötietoja käsitellään asiakassuhteen hallintaan ja myynnin valmisteluun liittyen, sopimusvalmistelua sekä sopimusten hallintaa ja täytäntöönpanoa varten sekä myyntireskontraan, laskutukseen, perintään ja muuhun saatavien hallintaan liittyen. Tapahtumahallinnan osalta henkilötietojen käsittely voi perustua henkilön sopimuksen täytäntöön panemiseen sekä soveltuvin osin suostumukseen (esim. kuvaaminen kaupalliseen käyttöön, erityistapauksissa käsiteltävät erityiset henkilötietoryhmät).
Oikeutettu etu
Rekisterinpitäjän oikeutettu etu tämän tietosuojailmoituksen soveltuvissa käsittelytarkoituksissa on oikeus harjoittaa ja markkinoida laillista, perusteltua ja asiallista liiketoimintaa sekä kehittää liiketoimintaansa asiakkailta saadun palautteen perusteella. Tästä on kyse esimerkiksi käsiteltäessä henkilötietoja asiakaspalveluun ja asiakkaan yhteydenottoihin liittyen, myyntiin, markkinointiin ja myynnin valmisteluun sekä liiketoiminnan kehitykseen, sisäiseen ennustamiseen, raportointiin ja seurantaan liittyen. Tapahtumien yhteydessä rekisterinpitäjän oikeutetun edun nojalla voidaan tallentaa ja esittää tallenteita sisäisen ja ulkoisen viestinnän tarkoituksissa. Lisäksi rekisterinpitäjän oikeutetun edun nojalla käsitellään eräissä tilanteissa henkilötietoja liiketoimen laillisuuden varmistamiseksi (esim. know your customer -menettely).
Lakisääteinen velvoite
Henkilötietojen käsittelyn oikeusperuste on tietosuoja-asetuksen mukainen lakisääteinen velvoite, kun käsittely on tarpeen rekisterinpitäjän lakisääteisten velvoitteiden noudattamiseksi. Tästä on kyse esimerkiksi silloin, kun henkilötietoja käsitellään kirjanpitoa ja tilintarkastusta sekä laissa säädettyihin vientivalvonta- ja pakotelistatarkistuksiin sekä muihin vastaaviin liiketoimen laillisuuden varmistamiseen liittyvien toimenpiteiden suorittamiseksi.
Suostumus
Henkilötietojen käsittelyn oikeusperuste on suostumus silloin kun henkilö aktiivisesti antaa suostumuksensa kyseiseen käsittelyyn, kuten luvan suoramarkkinointiin. Suostumusta voidaan pyytää mm. kuvattaessa kaupalliseen käyttötarkoitukseen, erityistapauksissa erityisten henkilötietoryhmien käsittelyyn sekä muiden kuin perushenkilötietojen (esim. yhteystiedot, kuva, profiilitiedot) jakamiseen muille tapahtumaosallistujille (esim. henkilön täydentäessä tiedot match-making mobiiliapplikaatiossa). Mikäli käsittelyn oikeusperuste on suostumus, tästä tiedotetaan rekisteröidylle erikseen ja samalla kerrotaan millä tavoin suostumuksen voi peruuttaa.
6. Säännönmukaiset tietolähteet
Henkilötiedot kerätään lähtökohtaisesti henkilöltä itseltään, esimerkiksi asiakkaan yhteydenottojen, tapahtumarekisteröintien, asiakkaaksi rekisteröitymisen sekä myynnin valmistelun ja sopimusvalmistelun yhteydessä. Tietoja voidaan kerätä myös muista lähteistä, kuten asiakas- tai sidosryhmäorganisaatioilta, rekisterinpitäjän yhteistyökumppanilta sekä julkisista tietolähteistä. Yrityksen taustaselvityksissä (mm. vientivalvonta- ja pakoteselvitykset) hyödynnetään yritystietopalveluita (mm. Suomen Asiakastieto Oy).
7. Henkilötietojen vastaanottajat tai vastaanottajaryhmät
VTT hyödyntää henkilötietojen käsittelyssä ulkoisia palveluntuottajia, kuten järjestelmäpalveluntarjoajia. Palveluntarjoajat käsittelevät henkilötietoja VTT:n lukuun. Henkilötietojen vastaanottajat edustavat erityisesti seuraavia rekisterinpitäjälle palveluita tuottavia tahoja, jotka vaihtuvat aika ajoin mm. hankintalainsäädäntöön liittyvistä syistä:
- Myynnin-, markkinoinnin- ja tapahtumahallinnan järjestelmät (mm. Salesforce, Hubspot, Lyyti, Eventos)
- Myyntireskontra-, maksunvälitys-, laskutus- ja perintäpalvelut
- Tilintarkastus, kirjanpito ja näihin liittyvät asiantuntijapalvelut
- Sähköisen arkistoinnin järjestelmän ja myyntireskontrajärjestelmän toimitus ja ylläpito
- Rahoituspalvelu ja pankkitoiminnot
- Lakiasiainpalvelu sekä muut asiantuntijapalvelut
VTT voi ulkoistaa henkilötietojen käsittelyä tai luovuttaa henkilötietoja yhteistyötahoille tapahtumienhallintatarkoituksiin ilmoittautumisten ja tapahtumien aikana. Mikäli kyseessä on yhteisrekisterinpitäjyys, yhteisrekisterinpitäjät voivat käsitellä henkilötietoja tapahtuman ja käsittelytarkoituksen edellyttäessä. Henkilötietoja ei luovuteta yhteistyökumppaneille tai muille kolmansille osapuolille muihin tarkoituksiin.
Rekisterinpitäjä voi luovuttaa tietoja toimivaltaisille viranomaisille ja muiden vastaaville lakisääteisiä tehtäviä suorittaville tahoille lakisääteisten velvoitteiden toteuttamiseksi, esimerkiksi kirjanpidon ja tilintarkastuksen yhteydessä.
8. Henkilötietojen siirto EU:n tai ETA:n ulkopuolelle
Henkilötietoja siirretään EU- ja ETA-alueen ulkopuolelle. Tietojen siirrossa noudatetaan tietosuoja-asetuksen asettamia vaatimuksia arvioiden riskit asianmukaisesti. Mikäli Euroopan komissio ei ole katsonut kohdemaan tietosuojan tasoa riittäväksi, VTT voi käyttää muun muassa toimivaltaisten viranomaisten kulloinkin hyväksymiä kansainvälisiä tiedonsiirtoja varten laadittuja vakiosopimuslausekkeita ja muita toimenpiteitä tiedon suojaamiseksi. Lisätietoja henkilötietojen siirtoihin liittyen voi tiedustella rekisterinpitäjältä erikseen.
9. Automaattisen päätöksenteon, erityisesti profiloinnin olemassaolo
Henkilötietoja voidaan käsitellä profilointitarkoituksiin käyttäjän suostumuksen perusteella markkinoinnin, viestinnän ja myynnin kohdentamiseen henkilön mielenkiinnon kohteiden ja preferenssien mukaisesti, erityisesti suoramarkkinointiin liittyen. Automaattista päätöksentekoa tai sellaista profilointia, johon liittyisi vaikutuksiltaan merkittävää päätöksentekoa tai päätöksentekoa, jolla on henkilöä koskevia oikeusvaikutuksia, ei tehdä. Ks. lisätietoja VTT:n Evästekäytännöistä.
10. Henkilötietojen säilyttämisaika tai säilyttämisajan määrittämiskriteerit
Henkilötietoja säilytetään vain niin kauan kuin se on tarpeen henkilötietojen käsittelyn tarkoitusten kannalta tai rekisterinpitäjän lakisääteisten tai sopimuksellisten velvollisuuksien noudattamiseksi. Säilytysajoissa otetaan huomioon esimerkiksi rahoittajien ja muiden sopimuskumppanien sopimusvaatimukset, sekä lainsäädännön mahdollistamat kanneajat.
Oheiset säilytysajat ovat ohjeellisia, joista perustellusti voidaan poiketa, ja rekisterinpitäjällä on tiedon tarpeellisuuden rajoissa mahdollisuus erityisesti lyhentää säilytysaikaa:
- VTT:n markkinointi- ja tapahtumahallinnan järjestelmässä ei pääsääntöisesti säilytetä henkilöiden tietoja pidempään kuin kaksi (2) vuotta viimeisimmästä aktiviteetista, johon rekisteröity on liittynyt. VTT:n julkaisujen tilaajien henkilötietoja käsitellään niin kauan kuin henkilöllä on VTT:llä voimassa oleva tilaus. Muissa viestintätarkoituksissa tietoja voidaan käsitellä pidempään, mutta kuitenkin aina vain käsittelytarkoituksen edellyttämän ajan.
- Asiakasyhteyshenkilöiden ja muiden kontaktien henkilötietoja säilytetään asiakkuudenhallintajärjestelmässä lähtökohtaisesti viisi (5) vuotta viimeisimmästä aktiviteetista, johon rekisteröity on liittynyt.
- Asiakaspalveluun ja asiakkaan yhteydenottoihin sekä liiketoiminnan kehitykseen, sisäisiin ennusteisiin, raportointiin ja seurantaan liittyviä tietoja säilytetään pääsääntöisesti vähintään kymmenen (10) vuotta viimeisimmästä aktiviteetista, johon rekisteröity tai tämän edustama organisaatio on liittynyt.
- Myyntireskontraan, laskutukseen, perintään ja muuhun saatavien hallintaan, kirjanpitoon, tilintarkastukseen ja verotukseen liittyviä tietoja säilytetään vähintään viisitoista (15) vuotta viimeisimmästä aktiviteetista, johon rekisteröity tai tämän edustama organisaatio on liittynyt. Tällainen aktiviteetti voi olla esim. projekti, ja säilytysaika määräytyy tällöin projektin päättymisajan mukaisesti.
- Sopimusvalmisteluun sekä sopimushallintaan ja täytäntöönpanoon liittyviä tietoja käsitellään vähintään kaksikymmentä (20) vuotta sopimuksen voimassaolon päättymisestä ja viimeisimmästä aktiviteetista, johon rekisteröity tai tämän edustama organisaatio on liittynyt.
Tietojen tarpeettomuuden vahvistamisen jälkeen tiedot anonymisoidaan tai poistetaan, ellei käsittelylle ole edelleen laillista oikeusperustetta. Henkilötietojen käsittelyaikaa voidaan pidentää tietosuoja-asetuksen ja voimassaolevan lainsäädännön sallimissa rajoissa esimerkiksi oikeudellisen vaateen laatimiseksi, esittämiseksi ja puolustamiseksi.
11. Rekisterin suojauksen periaatteet
Henkilötiedot suojataan asianmukaisin teknisin ja organisatorisin toimenpitein luvattomalta käsittelyltä ja pääsyltä. Suojatoimenpiteet ovat järjestelmäkohtaisia, mutta näihin lukeutuvat aina rajatut käyttöoikeudet, pääsynhallinta sekä tietoturvaratkaisut, kuten palomuurit. Lisäksi tiedot suojataan kulunvalvonnan, tilaratkaisujen ja tilojen muiden turvallisuusjärjestelyjen avulla. VTT:llä ainoastaan käsittelyyn työtehtäviensä suorittamiseksi pääsyn tarvitsevat henkilöt saavat käsitellä tässä tietosuojailmoituksessa kuvattuja henkilötietoja ja henkilöt ovat sitoutuneet salassapitoon.
12. Rekisteröidyn oikeudet
Rekisteröidyillä on seuraavat tietosuoja-oikeudet, jotka vaihtelevat käsittelyn oikeusperusteen mukaan. Rekisteröity voi toteuttaa näitä oikeuksiansa olemalla yhteydessä rekisterinpitäjään kirjallisesti, mieluiten sähköpostitse, tai muilla alla kuvatuilla tavoilla. Rekisteröidyn on hyvä lähettää sähköposti siitä osoitteesta, jonka hän olettaa olevan häntä koskevissa tiedoissa VTT:llä. VTT voi lisäksi tarvittaessa pyytää lisätietoja tai -selvitystä henkilöllisyyden varmentamiseksi.
Oikeus peruuttaa suostumus
Mikäli käsittely perustuu suostumukseen, rekisteröidyllä on milloin tahansa oikeus peruuttaa suostumuksensa henkilötietojensa käsittelyyn. Suostumuksen peruminen tapahtuu ilmoittamalla siitä VTT:lle, mieluiten sähköpostitse osoitteeseen: [email protected].
Oikeus saada pääsy tietoihin
Rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja sekä oikeus saada pääsy häntä itseään koskeviin henkilötietoihin, mukaan lukien tietosuoja-asetuksen mukaiset tiedot käsittelystä.
Oikeus tietojen oikaisemiseen
Rekisteröidyllä on oikeus saada oikaistua epätarkat ja virheelliset henkilötiedot ilman aiheetonta viivytystä ja puutteelliset henkilötiedot täydennettyä.
Oikeus tietojen poistamiseen
Rekisteröidyllä on oikeus pyytää rekisterinpitäjää poistamaan häntä koskevat henkilötiedot tietosuoja-asetuksen asettamissa rajoissa.
Rekisteröity voi pyytää rekisterinpitäjää poistamaan häntä koskevat henkilötiedot mm. seuraavissa tilanteissa: (i) niitä ei enää tarvita tarkoituksiin, joihin ne kerättiin tai joihin niitä muuten käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen eikä käsittelyyn ole muuta perustetta; (iii) henkilötietoja on käsitelty lainvastaisesti; (iv) henkilötiedot on poistettava rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi; tai (v) rekisteröity vastustaa käsittelyä rekisterinpitäjän oikeutetun edun nojalla eikä rekisterinpitäjällä ole muuta perusteltua syytä jatkaa käsittelyä.
Oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on oikeus vaatia rajoitusta henkilötietojen käsittelyyn tietosuoja-asetuksen mainitsemissa tilanteissa.
Rekisteröidyllä on oikeus vaatia rajoitusta henkilötietojen käsittelyyn mm. seuraavissa tilanteissa: (i) rekisteröity kiistää tietojen paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; (iv) rekisteröity on vastustanut henkilötietojen käsittelyä.
Oikeus siirtää tiedot järjestelmästä toiseen
Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle siltä osin kuin käsittely perustuu suostumukseen tai sopimukseen, ja käsittely suoritetaan automaattisesti.
Oikeus vastustaa käsittelyä
Henkilötietojen käsittelyn perustuessa rekisterinpitäjän oikeutettuun etuun, henkilöllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä.
Suoramarkkinointi: Henkilö voi vastustaa henkilötietojensa käsittelyä suoramarkkinointitarkoituksiin ilmoittamalla suoramarkkinointia koskevan vastustuksensa kirjallisesti VTT:lle, mieluiten sähköpostitse osoitteeseen: [email protected]
Profilointi: Jos henkilö ei halua tulla profiloiduksi, lisätietoja on saatavilla VTT:n Evästekäytännössä. Lisäksi henkilön on hyvä ilmoittaa profilointia koskeva vastustuksensa kirjallisesti VTT:lle, mieluiten sähköpostitse osoitteeseen: [email protected]
Oikeus tehdä valitus
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaisille, jos rekisteröity katsoo, että hänen tietosuojalainsäädännön mukaisia oikeuksiaan on loukattu. Tietosuojavaltuutetun yhteystiedot: https://tietosuoja.fi/yhteystiedot