1. KÄSITTELYSELOSTE DIGIA TEMPUS TASK MOBIILISOVELLUKSESTA

1.1 Käsittelyseloste Digia Tempus Task mobiilisovelluksesta

Tämä on Digian Tempus Tuoteperheen Tempus TASK mobiilisovelluksen käsittelyseloste. Tempus TASK mobiilisovellus tarjoaa liikkuvan työn tekijälle näkymän tarjolla oleviin töihin, omaan työjonoon ja mahdollistaa työn raportoinnin kentältä. GDPR selvityksessä on määritelty, että Digia on rekisterinkäsittelijä Tempus sovellusten rekisterien osalta. Digian Tempus SaaS palvelun asiakasyritykset eli Tempus TASK sovellusta käyttävien henkilöiden työnantajat ovat GDPR:n määrittelemiä rekisterinpitäjiä.

1.2 Rekisterinkäsittelijä, yhteystiedot ja tietosuojavastaava

Rekisterinkäsittelijän nimi ja yhteystiedot: Digia Finland Oy, y-tunnus 1091248-4, Atomitie 2A, 00370 Helsinki, sähköposti: PrivacyRequest[at]digia.com

1.3 Henkilötietojen käsittelyn perusteet

Digian Tempus tuoteperheen rekisterien käsittelyn perusteena on työntekijän tuleva, voimassa oleva tai päätetty työsuhde tai asiakas-/alihankkijasuhde Digian asiakasyritykseen (rekisterinpitäjä).

Henkilöiden perustiedot (kappale 1.4 /Perustiedot) tulevat rekisterinpitäjän päärekisteristä (automaattinen tai käsin siirto) tai syötetään Digian asiakasyrityksen toimesta käsin. Tempus tuoteperhe ei ole näiden tietojen päärekisteri, mutta käyttää näitä tietoja työvoimahallinnan prosesseissa.

Rekistereissä syntyvää uutta tietoa, joiden osalta Tempus Task on päärekisteri ovat työaikakirjaukset. Työaikakirjaukset eivät ole käytössä kaikilla rekisterinpitäjillä.

1.4 Kuvaus käsiteltävien henkilötietojen kategorioista ja henkilötietoluokista

Tempus palvelun rekisteri sisältää, tai sen tiedoista voidaan johtaa seuraavia tietokategorioita rekisteriin:
 • Suunnitellut työt/vapaat
 • Työaikakirjaukset
 • Järjestelmän käyttäjät ja käyttötiedot

Henkilöiden perustiedot sisältävät seuraavia henkilötietoja:
 • Henkilön nimi ja työntekijänumero
 • Henkilön yhteystiedot (puhelinnumero)
 • Mahdollista on tallentaa myös henkilön ammattinimike, työpaikan osoite sekä sähköpostiosoite

Digia ei käsittele Tempus tuoteperheen rekistereissä erityisiä henkilötietoja.

Järjestelmän käyttäjistä rekisteri sisältää seuraavat tiedot
 • Nimi, käyttäjätunnus, salasana, käyttöoikeudet ja puhelinnumero

Järjestelmän käyttäjiä ovat seuraavat rekisterinpitäjän käyttäjäryhmät:
 • Pääkäyttäjä
 • Tilausten resursointia ja aikataulutusta tekevät esimiehet
 • Tempus TASKin avulla tilauksia ja tuntikirjauksia raportoivat työntekijät

Lisäksi Digian Tempus palvelua tuottavat työntekijät voivat tehdä järjestelmissä huolto/ylläpitotöitä henkilökohtaisilla tunnuksillaan järjestelmävalvojan oikeuksilla. Digia ei tee automaattista profilointia tai päätöksentekoa järjestelmän tietoihin perustuen.

1.5 Kuvaus tietojen vastaanottajaryhmistä

Tietoja saatetaan siirtää Tempus tuoteperheen rekistereistä seuraaville osapuolille
 • Rekisterinpitäjän datawarehouse ratkaisuun raportointia varten
 • Rekisterinpitäjän käyttämälle palkkakonttoritoimijalle (palkkatulkintaa varten)
 • Rekisterinpitäjän käyttämälle laskutuskonttoritoimijalle (laskutusta varten)

Tempus tuoteperheestä poimittavat (siirrettävät) tiedot vaihtelevat rekisterinpitäjäkohtaisesti.

Center-tikettijärjestelmään tulevien työpyyntöjen tiivistelmät toimitetaan sähköpostitse työpyyntöjen käsittelyrinkiin kuuluville Digian työntekijöille.

Tuotantojärjestelmän dataa ei käytetä Digian testi ja kehitysympäristöissä.

1.6 Tiedot henkilötietojen siirtämisestä Euroopan unionin tai Euroopan talousalueen ulkopuolelle

Tempus tuoteperheen rekisterien tietoja ei siirretä Digian toimesta Euroopan unionin ulkopuolelle.

1.7 Kuvaus henkilötietojen säilytys- ja poistoajoista

Säilytys- ja poistoajat vaihtelevat asiakaskohtaisesti.

Digia toimii rekisterinpitäjän (Digian asiakas) antamien ohjeiden mukaisesti.

Poistot voivat tapahtua automaattisesti tai käsin suoritettavana toimenpiteenä.

1.8 Kuvaus artiklan 32 nojalla toteutetuista teknisistä ja organisatorista turvatoimista

Digian omassa ylläpidossa olevat järjestelmät ylläpidetään Digian laatujärjestelmän, ja siihen sisältyvän tietoturvaohjeiston sekä Digia tietosuojapolitiikan mukaisesti. Ohjeisto ja politiikka on laadittu VAHTI-normin keskeisiä vaateita vastaavaksi, joten se kattaa myös osan KATAKRI- ja ISO 27001 perusvaateista. Digia kouluttaa kaikki työntekijänsä ohjeiston käyttöön (pakolliset kurssit sekä perehdytys) ja toiminnan laatua valvotaan sekä sisäisin auditoinnein, että ohjelmistopalveluidemme asiakkaiden tekemien auditointien kautta.

Tempus SaaS palvelussa:

 • Kaikki yhteydet palveluun on salattu
   o Järjestelmän käyttö selainkäyttöliittymän yli (HTTPS)
   o Integraatiot (HTTPS)
   o Hallintatoimet palvelimilla (vain Digian verkosta, SSH)
 • Palvelun tallennuskerroksessa data ei ole salattuna
   o Tietokanta
   o Integraatiokerroksen siirrettävän datan väliaikaistallennus
 • Loppukäyttäjien oikeudet rajoitetaan käyttöoikeusmallilla
 • Digialla on rajoitetulle piirille annettu henkilökohtaiset pääkäyttäjätunnukset järjestelmien ja palvelimien huoltotöihin
 • Kaikki Tempus tuoteperheeseen tehtävät koodimuutokset auditoidaan toisen kehittäjän toimesta sekä ajetaan automaattitestien läpi ennen niiden hyväksymistä lähdekoodin versiohallintaan.
 • Palvelimista ajetaan täydelliset varmuuskopiot säännöllisesti. Lisäksi tietokannasta ajetaan tiheämmin varmistukset. Tietokannan varmistukset salataan.
 • Digian testi ja kehitysympäristöissä ei käytetä tuotantodatan kopioita. Asiakkaan testiympäristössä käytetään asiakkaan ohjeiden mukaista dataa.
 • Tempus tuoteperheessä seurataan käyttäjien toimintaa
   o Sisäänkirjautumiset (onnistuneet ja epäonnistuneet) rekisterinpitäjän (Digian asiakas) antamien ohjeiden mukaisesti.
   o Audit trail ominaisuus seuraa tärkeimpien tietojen muokkauksia
   o Henkilötietojen katselua ei lokiteta

1.9 Lista henkilötietojen käsittelyyn käytetyistä alikäsittelijöistä

Tempus tuoteperheen omien rekisterien henkilötietojen käsittelyä ei suoriteta Digian alihankkijayritysten toimesta. Kaikki käsittely tapahtuu Digian toimesta.

Tempus Task tuotteen tarvitseman tekstiviestien lähetyspalvelun tuottaa Arena Interactive Oy. Näiden viestien sisällön (puhelinnumero, työn tiedot) osalta Arena Interactive Oy toimii alikäsittelijänä.

SaaS palvelun toimittamisessa käytettävät palvelimet sijaitsevat alihankkijan (Google) tiloissa. Google ei suorita henkilötietojen käsittelyä.

Digia saattaa lisäksi käyttää omissa toiminnoissaan omien työntekijöiden lisäksi yksittäisiä alihankkijoita. Nämä alihankkijat toimivat samojen ohjeiden ja työnjohdon alaisena kuin Digian omat työntekijät.

1.10 Auditointeja koskevat raportit

Valvontaviranomainen ei ole auditoinut rekisteriä.