Liite 2. Tekniset ja organisatoriset suojatoimenpiteet
Tässä liitteessä kuvataan Taikala Oy:n suorittamat tekniset ja organisatoriset suojatoimenpiteet myClub-palvelulle.
Tietosuojaprosessi
Tietosuoja on huomioitu Taikala Oy:ssa keskeisenä toimintona yrityksen toiminnassa ja tuotekehityksessä. Tietosuojasta huolehditaan koko organisaation laajuisesti huomioiden kaikki käsiteltävät tiedot.
Taikala Oy on määritellyt toimintaansa Tietosuojan hallintajärjestelmä -prosessin, jonka keskeinen tavoite on varmistaa EU yleisen tietosuoja-asetuksen noudattaminen yrityksen toiminnassa ja järjestelmäkehityksessä.
Tietosuojan hallintajärjestelmä pitää sisällään mm. seuraavat osa-alueet
- Tietosuojapolitiikka
- Tietosuojaorganisaatio
- Rekisterien identifiointi ja vuokuvaukset
- Tietosuojaselosteet
- Tietosuojariskien hallinta
- Ohjausryhmien pöytäkirjat
- Riskirekisterit
- Henkilökuntaohjeistus
- Henkilötietoloukkaukset
- Tietoturvavarmennus
- Tietotilinpäätös
Tietosuojan hallintajärjestelmän hallinnointi on vastuutettu nimetylle tietosuojaorganisaatiolle, joka vastaa tietosuojaprosessien säännöllisestä seurannasta ja kehittämisestä. Tietosuojavastaava johtaa tietosuojaorganisaation toimintaa ja raportoi suoraan yrityksen ylimmälle johdolle tietosuoja-asioista.
myClub-palvelun ylläpito
myClub-tiimi
myClub-palvelulla on nimetty ja koulutettu henkilöstö, joka vastaa myClubin tuki- vianselvitys- ja kehitystoimista. Henkilöstölle on laadittu oma myClub - Tietoturva ja henkilötietosuoja -ohjeisto, kattaen toiminto-ohjeiston henkilökunnalle, ohjeistamisen seuroille sekä tietoturvapoikkeamatilanteiden hallinnan.
Palvelinympäristö
myClub -sovelluspalvelimet toimivat AWS (Amazon Web Serivces) toimittajan palvelukeskuksissa. AWS on kansainvälisesti tunnettu ja luotettava toimija. Lisätiedot AWS:n turvallisuudessta löytyvät tästä: AWS Security. Kaikki tiedot ovat EU:n alueella.
myClub -sovelluspalvelimille on rajoitettu pääsy vain nimetyllä myClub-tiimillä palvelun tuki-, vikaselvitys- ja kehitystehtävien suorittamista varten.
Kaikki tietoliikenne järjestelmissä on SSL-suojattua. Kirjautuminen järjestelmiin vaatii kirjautumista käyttäjätunnuksella ja salasanalla. Kirjautuminen sovelluspalvelimille vaatii lisäksi 2-vaiheisen vahvistuksen ja/tai tietoturvasertifikaatin.
myClub-palvelun sisältämät tiedot sijaitsevat lukituissa ja vartioiduissa tiloissa ja tallennetut tiedot on varmennettu 2-kertaisella tietokantavarmennuksella, joka on vahvasti salattu.
myClub-järjestelmää valvotaan teknisesti 24/7 ja järjestelmän palvelimet skaalautuvat automaattisesti käyttäjäkuormituksen mukaisesti.
Palvelun saatavuushistoria löytyy osoitteesta status.myclub.fi
Sisäänrakennettu tietosuoja
myClub ottaa teknisesti GDPR tietoturva- ja tietosuojavaatimukset huomioon urheiluseuran puolesta ja pyrkii kehittämään lisää menetelmiä, joilla urheiluseura voi ottaa toiminnassaan sisäänrakennetusti huomioon EUn tietosuoja-asetuksen vaatimuksia myClub-asiakkaana.
myClubin toiminnallisuudet ohjaavat seuroja tiukempien tietosuoja-asetuksen mukaiseen toimintaan pitäen kuitenkin palvelun helppokäyttöisenä.
myClub ID
myClub ID on henkilökohtainen käyttäjätili, jonka avulla myClub-käyttäjä voi hallinnoida keskitetysti kaikkia omia jäsentilejä eri urheiluseurojen myClub-palveluissa. Käyttäjä voi kirjautua kaikkiin myClub-palveluihin samalla myClub ID:llä ja salasanalla. Salasanat on vahvasti salattu ja kaikki tietoliikenne järjestelmässä on salattu.
Alle 13-vuotiaat lapset myClub palvelun käyttäjinä
Alle 13-vuotiaat lapset eivät voi luoda myClub ID -käyttäjätiliä itse. Mikäli vanhemmat haluavat, että lapset voivat hallinnoida myös omaa jäsentiliään, voi lapsen vastuullinen huoltaja luoda alaikäiselle oman myClub ID:n ja liittää sen jäsentilille. Lapsen huoltaja hyväksyy myClub ID:n käyttöehdot alaikäisen puolesta ja antaa luvan lapsen verkkopavelun käyttöön.
Käyttöoikeudet
myClubissa on tehokas käyttöoikeuksien hallinta, jolla toiminnallisuuksia ja henkilötietojen käsittelytoimia voidaan rajata seuran toimihenkilöille määritellyn seuraorganisaation eri osiin (jaokset, joukkueet, ryhmä ..)
Henkilötietojen näkyvyys
myClubissa käyttäjien henkilötietojen näkyvyys ryhmän jäsenille tai julkisesti internetissä on oletusarvoisesti kielletty (pelaajakortit, tapahtumiin osallistujat, yhteystiedot).
Seuran jäsen tai jäsenen huoltaja voi itse antaa jäsentilin tietosuoja-asetuksista suostumuksen valittujen tietojen näyttämiselle julkisesti internetissä ja/tai sisäisesti seuran myClub-jäsenpalvelussa. Jäsen tai jäsenen huoltaja voi milloin tahansa poistaa suostumuksen.
Rekisteröidyn oikeudet
myClub -käyttäjät voivat kirjautua seuran jäsenpalveluun ja tarkistaa omien jäsentietojen oikeellisuuden.
Tietosuojaseloste
Urheiluseuran on laadittava ja ylläpidettävä tietosuojaselostetta sen vastuulla olevista henkilötietojen käsittelytoimista. myClub helpottaa urheiluseuroja tietosuojaselosteen laadinnassa, säilyttämisessä ja julkaisemisessa.
myClub on työstänyt seuroille valmiiksi tietosuojaselostemallin, joka noudattaa rakenteeltaan tietosuoja-asetuksen vaatimuksia. Seura voi hyödyntää tätä mallia pohjana täydentämällä omat seurakohtaiset tietonsa ja toimintamallinsa henkilötietojen käsittelyssä.
Kun seura on tallentanut tietosuojaselosteen myClubiin, on tietosuojaseloste seuran jäsenille automaattisesti tutustuttavissa sähköisesti, oikea-aikaisesti ja helposti milloin tahansa.
Mikäli seura ei ole laatinut tietosuojaselostetta myClubiin, järjestelmä muistuttaa tästä puutteesta pääkäyttäjiä myClub-palvelun käytön yhteydessä.
Henkilötietojen poisto myClubista
Henkilörekisterin tietoja saadaan säilyttää vain niin kauan, kuin ne ovat tarpeen rekisterin tarkoituksen toteuttamiseksi. Lisäksi tietosuoja-asetus takaa rekisteröidylle tietyin poikkeuksin oikeuden tietojen poistamiseen eli niin kutsutun oikeuden tulla unohdetuksi.
Henkilön jäsentili voidaan poistaa ilman, että laskut poistuvat järjestelmästä ja osallistumistilastot muuttuvat. Järjestelmä anonymisoi ja pseudonymisoi henkilötiedot, ja laskutositteet jäävät järjestelmään talteen oikeutetun edun mukaisesti.