Privacy Policy

Privacy Policy in English

This Policy was last updated 17.2.2023

This is the Privacy Policy (‘Policy’) for the EDUDATA (“Service”), which is run and provided by Cloudpoint Oy (“we”, “our” , “us” etc. and “Company”). Cloudpoint Oy is a Finnish company limited by shares located at Kuortaneenkatu 2, 00510 Helsinki with the registration number 2325703-6.

We can also be contacted at

We process personal data in accordance with the Data Processing Agreement (DPA) between Cloudpoint Oy and the Provider of the Education (‘’Customer’’). With this Policy we define our processing activities to the end user. In the event of a contradiction between this Policy and the provisions of the DPA, the DPA shall prevail.

At the beginning of this Policy, a plain-language summary has been made for students. Below is a more detailed, thorough explanation of how we process personal data, for what purposes, to whom the data is shared, how the processing is monitored, and what rights the data subjects have.

A plain-language summary of the Policy for Students

  • About us in general
    1. We at Cloudpoint support the providers of the education in data protection matters. We have more than 10 years of experience in providing services for the education sector.
    2. EDUDATA consists of four (4) services but it is dependent on the Customer’s service package. The purpose of the Service is to ensure and assess that students' personal data is being processed in accordance with the law, in a transparent manner, and only to the extent that is necessary.
  • Types of personal data that we process about the students and the purposes for which we process them? 

Students' personal data are processed in the service.

The following categories of personal data is being processed in the service:

    • First name
    • Last name
    • Email address
    • IP-address
    • Login data
    • Browser details
    • Device Data
    • 3rd party service login information
    • Edudata ID
    • language
    • User creation date
    • User last login
    • Profile picture
    • Role of the user
    • Organisation (Customer name) name and domain
  1. The personal data is being processed for the provision of the service. The provider of the education (e.g. the Municipality, Town, School) defines the purposes for which the personal data is being processed in Edudata services. We process students' data only in accordance with the instructions of the provider of the education. We will not use the personal data for any other purposes than those that the provider of the education has determined.
  • What rights do you as a student have?
    1. You have the rights guaranteed by the General Data Protection Law, such as the right to access the data that is processed about you.
    2. How to employ your rights? 
      1. You may exercise your rights by contacting the provider of the education. School personnels may instruct further to whom you can express a request to exercise your rights.
  • How long do we process your personal data? 
    1. We will process your personal data as long as you are a student at the educational establishment. The data is also deleted in 180 days in a situation where the provider of the education stops using the Edudata service.
    2. User data is deleted from the user database automatically when 366 days have passed since the last login information was updated to the system
    3. Edudata system log data is stored no longer than 30 days
  • If you have any further questions please read the Policy in full length below. Privacy Policy

  • About us in general 
    1. Cloudpoint works as a service provider for the providers of the education and for educational institutions. We have more than 10 years of experience in providing services for the education sector.
    2. We have developed and offer EDUDATA, which is intended for evaluating digital services that are being used in education. The evaluation is based on a data protection impact assessment, and on the service’s suitability to be used in education. 
      1. Edudata Service supports the provider of the education in maintaining an up-to-date documentation of the processing of students personal data in various services that are being used in education 
      2. EDUDATA may consist of four (4) services; Edudata Compliance, Edudata Compliance Service, and Edudata Transparency as well as Edudata Security depending on the Customer’s service package. 
        1. Edudata Compliance – consists of the Edudata platform and the list of services used in education.
        2. Edudata Compliance Service – a consultation service with which the Customer can map and manage the risks related to the use of digital educational services and submit the services for an evaluation. 
        3. Edudata Transparency – a transparency tool. A student can see the digital services that are accepted to be used by the provider of the education, the data processed in these services, the period for which the data is being processed (retention period), for which and when has the user logged in with their EDU credentials.
        4. Edudata Security collects first- and second-level login data from separately defined learning environments and, after pseudonymization, stored in a database owned and managed by the provider of the education. The product also offers analytics tools for the collected data. 
  1. We collect and process personal data to maintain and administer the service. In this policy, our personal data processing operations are thoroughly defined. The extent of data processing may depend on the different versions of the services.
  • Definitions
    1. “Personal Data” means any information relating to an identified or identifiable natural person (data subject); an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person
    2. “Processing” Means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction
    3. The definitions used in this Policy shall have the same meaning as in the General Data Protection Regulation (GDRP) (EU) 2016/679.
  • Cloudpoint as the data processor 
    1. Cloudpoint acts as a personal data processor in respect of the service with regard to end users’ personal data. Cloudpoint processes end-users data only in accordance with the DPA and with the Customer’s  instructions. The Customer is responsible for its own activities as the Data Controller and follows appropriate data protection and security practices.
  1. Cloudpoint does not use the end users' personal data for its own purposes.
    1. Cloudpoint can use anonymous data collected in the service for its own purposes, such as service development.
  2. The customer is responsible for ensuring that the legal basis for the processing is met, and ensures that the data subjects rights are fulfilled.
  • Whose data do we process and why? 
    1. The service processes the personal data of Customer(s) and end-users, such as teachers and learners. 
    2. The personal data is being processed for the provision of the service.
    3. The Customer contact person's personal data will be processed for the purpose of maintaining the customer relationship in accordance with Cloudpoint’s Customer Privacy Statement. (Cloudpoint Oy asiakasrekisteriseloste).
  • Types of personal data processed
    1. Cloudpoint processes the following personal data, which are necessary for the functionality of the service.
  1. Edudata Compliance & Compliance Service

Roles: Student, Teacher, Teacher+, Draftsman, Decision Maker, Customer admin

    • First name
    • Last name
    • Email address
    • IP-address
    • Login data
    • Browser details
    • Device Data
    • 3rd party service login information
    • Edudata ID
    • language
    • User creation date
    • User last login
    • Profile picture
    • Role of the user
    • Organisation (Customer name) name and domain
  • Purpose for which the personal data is processed and the legal basis for the processing
    1. We process and store personal data with appropriate measures.
    2. We process the personal data for the provision of the service in alignment with the DPA between the Company and the Customer.
    3. Personal data is processed for the following purposes;
  • For the provision of the service 
  • For handling questions, support requests and complaints sent to us
  • To investigate possible illegal activity in the service (ensuring the legal use of the service is in our interest)
  • To protect the security of the service, to detect suspicious activity, or other illegal activity
  1. Anonymous data will be used for the following purposes;
  • To analyze the use of the service and to develop the service by solving possible technical problems (providing the best possible product is in our interest)

  • With whom do we share data?
    1. We do not share information with anyone other than:
  • To third-party service providers, such as hosting service providers, so that these parties can provide their services for us. 
  • If we have a legal obligation to disclose the information (for example, a court order); or
  • If another company purchases our company, the company becomes insolvent or merges with another company, then the company receiving the data undertakes to protect the data in a similar way.
    • If this happens, we will take appropriate steps to contact the Customer. If the Customer is not satisfied with the data transfer, they may contact us and terminate the contract with a 30-day notice period. In that situation, personal data will not be transferred to another company.
  1. Subprocessors 
    1. We use the following subprocessors. A data processing agreement has been concluded with the subcontractors; 
  • Google Cloud – Cloud service: All users
  • Hubspot – Contact: Contact persons, support tickets

  • Data transfers
    1. Personal data is stored on servers located in the European Economic Area. As a rule, there are no regular transfers of personal data beyond the EEA.
    2. In case personal data is being transferred outside the EEA by subprocessors, the Processor ensures that the level of data protection is ensured for example with the Standard Contractual Clauses approved by the EU Commission as well as additional technical safeguards, such as encryption.
  • Security measures
    1. We use technical and organizational measures to protect personal data from unauthorized access, use, theft and loss. Only those of our employees who need the personal data to administer the Customer’s accounts have access. The data is transferred securely with an SSL-encrypted connection, and it is stored in the Google Cloud service in compliance with Google’s security model. More information can be found at the following link;  Security whitepapers | Google Cloud
      1. No system or electronic data is completely secure, despite the fact that we take precautions to protect the data we process. All transfers of personal data take place at the Customer’s own responsibility and we assume that the Customer follows appropriate security measures to protect personal data.  
      2. If there is reason to suspect that the security of accounts or that the personal data has been compromised, the Customer must notify us immediately using the contact information found at the beginning of the policy. 
    2. In addition, the information security of our service and our data protection measures are reviewed regularly, and only our authorized employees have access to the information. 
    3. Cloudpoint employees have a separate non-disclosure agreement.
    4. Technical data protection measures include: 
      1. Our office is access controlled, guarded and has 24/7 camera surveillance. 
      2. Strong two-factor authentication is used in all logins by using U2F-keys. The use of strong authentication keys is required.
      3. The workstation’s disks are encrypted and the access is limited only to Cloudpoint’s staff.
    5. If personal data has been disclosed without permission, we will notify the Customer of this by email and investigate such disclosure as required by our legal obligations. 
    6. Following security measures are implemented in the software development process;
  • Security aspects highlighted in orientation of new employees
  • Security-related training provided to developers via Google Cloud certifications
  • Access to code repositories only by approval of a senior developer
  • Local development only in laptops with encrypted disks
  • Peer review to the code
  • Regular vulnerabilities check and update of software libraries
  • Regular monitoring of news channels about cyber-threats and vulnerabilities 
  • Documentation
  • Data subject rights 
    1. Data Subjects have the rights as stipulated in the General Data Protection Law. These rights are e.g. (the right to receive information about the processing of your personal data and the right to access)
    2. The data subject can exercise its rights by contacting the provider of the education.
      1. If Cloudpoint receives a request from a data subject that relates to Customer Personal Data, Cloudpoint will: (a) advise the data subject to submit their request to Customer; (b) promptly notify Customer; and (c) not otherwise respond to that data subject’s request without authorization from Customer.
    3. If necessary, Cloudpoint supports the Customer in meeting the Data Subject requests.
  • Data retention and deletion
    1. Personal data is processed in a Cloud Storage Space owned and controlled by the Customer, or in one or more cloud services, depending on the situation. 
    2. We attempt to process personal data as little as possible in line with the data minimisation principle. Personal data will be retained only for as long as they are necessary in meeting the purposes disclosed above. If necessary, we may also retain personal data for as long as necessary in meeting our legal obligations under the applicable law.
    3. The retention period of personal data varies according to the personal data group and in particular; 
      1. Decisions and requests related to data protection risk assessments of the application and/or service are stored for 3 years.
      2. Edudata’s Log-in information is stored for 30 days
      3. User data is deleted from the user database automatically when 366 days have passed since the last login information was updated to the system
      4. Personal data is deleted within 180 days when the Main Agreement ends or is terminated unless we are under a statutory obligation to retain the personal data after the termination of the Main Agreement.
      5. When a user logins with an M365 or Google Workspace account into Edudata, the student role is automatically assigned to the user. The user can request a colleague to give the user a teacher or other required role. If the request is denied or not responded within 30 days, the user information is deleted from the Edudata user database
  • If the request is approved the user role is updated and the 366 days rule above will be applied.
  1. Edudata ID is created for the user when the user signs in to the Service for the first time.
  2. The user data is stored in a pseudonymized table.
  3. Pseudonymized Edudata ID and user data are stored in separate databases.
  4. Data stored in the Big Query are pseudonymized.
  5. Data stored in the Firestore are not pseudonymized.


  • When 366 days have passed since the latest login information update to the system, the link between Big Query, Firestore and Edudata ID is removed. Personal data is deleted from the Firestore and it is no longer possible to identify an individual with the data in the Big Query.

  • When the data deletion process has started, system log data will be deleted in 180 days.

  • Changes to the Privacy Policy
    1. We reserve the right to make changes to this policy. All changes take effect immediately after they are announced. We ask the Customer to review this policy regularly for possible changes.
    2. We will not reduce or limit your rights under this Policy, and we do not use personal data for purposes that are not stated in this policy, and we also do not reduce the level of data security without the Customer's consent.
    3. If this Privacy Policy changes materially, we will announce the changes more prominently in our service and notify you of these changes in advance by email.
  • Questions
    1. If you have questions or comments regarding this Privacy Policy, you can contact us using the contact information found at the beginning of this document.


Tietosuojaseloste suomeksi


Tämä tietosuojaseloste on päivitetty viimeksi 17.2.2023

Tämä on Luuppi-tietosuojapalvelun/EDUDATA (“Palvelu”) tietosuojaseloste, jonka tarjoaa ja jota ylläpitää Cloudpoint Oy (“me”, “meidän” ja “meitä” jne.). Cloudpoint Oy on suomalainen osakeyhtiö, jonka kotipaikka on Kuortaneenkatu 2, 00510 Helsinki ja Y-tunnus on 2325703-6.

Meihin voi ottaa yhteyttä sähköpostitse osoitteeseen

Käsittelemme palvelussa kerättyjä henkilötietoja Opetuksen järjestäjän ja Cloudpointin välisen Tietojenkäsittelysopimuksen mukaisesti. Tässä tietosuojaselosteessa kuvataan tietojenkäsittelykäytäntö loppukäyttäjille. Mikäli Tietojenkäsittelysopimuksen ja tämän tietosuojaselosteen ehdoissa on eroavaisuuksia, niin Tietojenkäsittelysopimuksen ehtoja sovelletaan.

Tämän selosteen alkuun on tehty oppijoille suunnattu selkeäkielinen tiivistelmä tietosuojaselosteesta. Jäljempänä on perusteellisemmin ilmoitettu, miten käsittelemme henkilötietoja, mihin tarkoituksiin, kenelle tietoja jaetaan ja miten käsittelyä valvotaan ja millaisia oikeuksia rekisteröidyillä on. 

Selkeäkielinen tiivistelmä tietosuojaselosteesta Oppijoille

  • Yleistä meistä
    1. Me Cloudpointilla tuemme opetuksen järjestäjiä mm. tietosuoja-asioissa. Meillä on yli 10 vuoden kokemus palveluiden tarjoamisesta opetussektorille. 
    2. EDUDATA koostuu neljästä palvelusta. Perimmäinen idea on se, että oppijoiden henkilötietoja käsitellään lain mukaisesti, läpinäkyvästi ja vain sen verran kuin tarpeen.
  • Mitä Oppijan tietoja Me käsittelemme ja mihin tarkoitukseen?

Oppijoiden tietoja käsitellään Edudata/Luuppi-tietosuojapalvelussa opetuksen järjestäjän lukuun.

Palvelussa käsitellään seuraavia oppijan henkilötietoja; 

    • Etunimi
    • Sukunimi
    • Sähköpostiosoite
    • IP-osoite
    • Kirjautumistieto
    • Selaintiedot
    • Laitetieto
    • Lokitieto kolmannen osapuolen palveluihin tehdyistä kirjautumisista
    • Edudata ID
    • Kieli
    • Käyttäjän luonnin päivämäärä
    • Tieto viimeisimmästä kirjautumiseta
    • Profiilikuva
    • Rooli
    • Organisaation nimi (Asiakkaan nimi) ja domain
  1. Henkilötietoja käsitellään EDUDATA palvelun tarjoamiseksi. Opetuksen järjestäjä eli kaupunki, kunta tai oppilaitos määrittää miksi henkilötietoja käsitellään tässä palvelussa. Me käsittelemme oppijoiden henkilötietoja opetuksen järjestäjän ohjeiden mukaisesti. Emme käytä tietoja muihin tarkoituksiin, kuin ne jotka opetuksen järjestäjä on määrittänyt.
  • Mitä oikeuksia sinulla ‘’oppijalla’’ on?
    1. Sinulla on käytössä tietosuoja-asetuksen takaamia oikeuksia, kuten oikeus saada pääsy tietoihin, joita sinusta käsitellään.
    2. Miten käyttää oikeuksia? 
      1. Voit käyttää oikeuksiasi kääntymällä Opetuksen järjestäjän puoleen. Koulun henkilökunta ohjeistaa siitä tarkemmin.
  • Kuinka kauan käsittelemme tietojasi? 
    1. Käsittelemme tietojasi niin kauan kun olet oppilaana oppilaitoksessa. Tiedot poistetaan 180 päivän kuluessa myös tilanteessa, jossa palvelun käyttö oppilaitoksessa lopetetaan
    2. Käyttäjätieto poistuu käyttäjätietokannasta, kun viimeisestä kirjautumistiedon päivittymisestä järjestelmään on kulunut 366 päivää
    3. Edudatan järjestelmälokitiedot poistetaan 30 päivän kuluessa
  • Jos asiasta jäi kysyttävää, luethan alla olevan tietosuojaselosteen. tietosuojaseloste

  • Yleistä meistä
    1. Cloudpoint toimii palveluntarjoajana opetuksen järjestäjille ja oppilaitoksille. Meillä on yli 10 vuoden kokemus palveluiden tarjoamisesta opetussektorille.
    2. Olemme kehittäneet ja tarjoamme Luuppi-tietosuojapalvelua/Edudata, joka on tarkoitettu opetuksessa käytettävien digitaalisten palveluiden tietosuojan vaikutustenarviointiin ja niiden opetuskäyttöön soveltuvuuteen arviointiin.
      1. Luuppi / Edudata tukee Opetuksen järjestäjää ylläpitämään ajantasaista dokumentointia oppijoiden henkilötietojen käsittelystä eri opetuskäytössä olevissa palveluissa ja järjestelmissä. 
      2. Luuppi-tietosuojapalvelu voi sisältää neljä (4) palvelua, riippuen asiakkaan tilauksesta; Edudata Compliance, Edudata Compliance Service, ja Edudata Transparency sekä Edudata Security. 
        1. Edudata Compliance – koostuu Edudata alustasta ja sovelluslistauksesta
        2. Edudata Compliance Service – asiantuntijapalvelu, jonka avulla Asiakas voi kartoittaa ja hallita digitaalisten opetussovellusten käyttöön liittyviä riskejä ja saattaa palveluja arvioitavaksi. 
        3. Edudata Transparency – Läpinäkyvyystyökalu. Oppija näkee opetuskäytössä olevat digitaaliset palvelut, palveluissa käsiteltävät tiedot, miten tieto poistuu, mihin ja milloin käyttäjä on kirjautunut opetuksen tunnuksilla.
        4. Edudata Security kerää erikseen määritellyistä oppimisympäristöistä ensimmäisen ja toisen tason kirjautumistietoja ja pseudonymisoinnin jälkeen tallentaa Rekisterinpitäjän valitsemaan ja hallinnoimaan tietovarastoon. Tuote tarjoaa kerättyihin tietoihin myös analytiikan työkalut. 
  1. Keräämme ja käsittelemme henkilötietoja palvelun ylläpitämiseen ja hallinnointiin. Tässä tietosuojaselosteessa käydään perusteellisesti läpi henkilötietojen käsittelytoimintamme. Tietojen käsittelyn laajuus voi riippua palvelun eri versioista.
  • Määritelmät
    1. “Henkilötieto” tarkoittaa mitä tahansa luonnolliseen henkilöön liittyviä tietoja, joiden avulla henkilö voidaan tunnistaa suorasti tai epäsuorasti.
    2. “Käsittely” tarkoittaa mitä tahansa henkilötietoihin liittyviä toimia, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, luovuttamista, poistamista tai mitä tahansa muuta toimintaa henkilötietoihin liittyen.
    3. Tässä dokumentissa käytetyt termit on määritelty yleisessä tietosuoja-asetuksessa (EU) 2016/679.
  • Cloudpoint henkilötietojen käsittelijänä
    1. Cloudpoint toimii palvelussa henkilötietojen käsittelijänä loppukäyttäjien henkilötietojen osalta. Cloudpoint käsittelee loppukäyttäjien henkilötietoja Asiakkaan ja Cloudpointin välisen sopimuksen ja Asiakkaan ohjeiden mukaisesti. Asiakas vastaa omasta toiminnastaan rekisterinpitäjänä sekä noudattaa asianmukaisia tietosuoja- ja tietoturvakeinoja ja käytäntöjä
  1. Cloudpoint ei käytä loppukäyttäjien henkilötietoja omiin tarkoituksiin.
    1. Cloudpoint voi käyttää palvelussa kerättyä anonyymiä tietoa omiin tarkoituksiin, kuten palvelun kehittämiseen.
  2. Asiakas vastaa siitä, että käsittelyperusteet täyttyvät, ja huolehtii rekisteröityjen oikeuksien toteutumisesta.
  • Kenen tietoja käsittelemme ja miksi?
    1. Palvelu käsittelee Asiakkaiden ja loppukäyttäjien, kuten opettajien ja oppijoiden henkilötietoja.
    2. Tietoja käsitellään palvelun tarjoamiseksi. 
    3. Asiakkaan yhteyshenkilön tietoja asiakassuhteen ylläpitämiseksi Cloudpointin asiakasrekisteriselosteen mukaisesti (Cloudpoint Oy asiakasrekisteriseloste).
  • Käsiteltävät henkilötietoryhmät 
    1. Cloudpoint käsittelee seuraavia henkilötietoja, jotka ovat tarpeellisia palvelun toiminnallisuuden kannalta.  
    • Etunimi
    • Sukunimi
    • Sähköpostiosoite
    • IP-osoite
    • Kirjautumistieto
    • Selaintiedot
    • Laitetieto
    • Lokitieto kolmannen osapuolen palveluihin tehdyistä kirjautumisista
    • Edudata ID
    • Kieli
    • Käyttäjän luonnin päivämäärä
    • Tieto viimeisimmästä kirjautumiseta
    • Profiilikuva
    • Rooli
    • Organisaation nimi (Asiakkaan nimi) ja domain

  • Mihin tarkoitukseen henkilötietoja käsitellään ja käsittelyn perusteet
    1. Käsittelemme ja säilytämme henkilötietoja sen vaatimalla huolellisuudella. 
    2. Henkilötietoja käsitellään opetuksen järjestäjän ja Cloudpointin välisen sopimuksen mukaisesti ja sopimuksen mukaisen palvelun tarjoamiseksi.
    3. Henkilötietoja käsitellään seuraaviin tarkoituksiin:
  • Sopimuksen mukaisen palvelun tarjoamiseen
  • Meille lähetettyjen kysymysten, tukipyyntöjen ja valitusten käsittelyyn
  • Palvelussa tapahtuvan mahdollisen lainvastaisen toiminnan tutkimiseen (palvelun laillisen käytön varmistaminen on etujemme mukaista)
  • Suojellaksemme Palvelun turvallisuutta, havaitaksemme epäilyttävää toimintaa, tai muuta laitonta toimintaa
  1. Anonymisoituja tietoja käytetään seuraaviin tarkoituksiin
  • Palvelun käytön analysointiin ja palvelun toiminnan kehittämiseen ratkaisemalla mahdollisesti tekniset ongelmat (parhaan mahdollisen tuotteen tarjoaminen on etujemme mukaista).

  • Kenen kanssa jaamme henkilötietoja?
    1. Emme jaa tietoja muille kuin:
  • Kolmannen osapuolen palveluntarjoajille, kuten hosting-palvelun tarjoajille, jotta nämä osapuolet voivat tarjota meille palvelujaan
  • Jos meillä on lakisääteinen velvollisuus luovuttaa tiedot (esimerkiksi tuomioistuimen määräys); tai
  • Jos toinen yritys ostaa yrityksemme, yrityksestä tulee maksukyvytön tai sulautuu toiseen yritykseen, jolloin tiedot vastaanottava yritys sitoutuu suojaamaan tiedot vastaavalla tavalla.
    • Jos näin tapahtuu, ryhdymme asianmukaisiin toimiin ottaaksemme yhteyttä Asiakkaaseen. Jos Asiakas ei ole tyytyväinen tietojen siirtoon, hän voi ottaa meihin yhteyttä ja irtisanoa sopimuksen 30 päivän irtisanomisajalla. Siinä tilanteessa henkilötietoja ei siirretä toiselle yritykselle.
  1. Alihankkijat
    1. Käytämme seuraavia alihankkijoita. Alihankkijoiden kanssa on solmittu tietojenkäsittelysopimus;
  • Google Cloud – Pilvipalvelu: Kaikki käyttäjät
  • Hubspot – Yhteydenpito: Yhteyshenkilöt,Tukitiketit

  • Henkilötietojen siirrot 
    1. Henkilötietoja säilytetään Euroopan talousalueella sijaitsevilla palvelimilla, eikä tietoja siirretä säännönmukaisesti ETA:n ulkopuolelle. 
    2. Jos tietoja siirtyy alihankkijoiden kautta ETA:n ulkopuolelle, niin Käsittelijä varmistaa, että tietosuojan tasosta on huolehdittu asianmukaisesti esimerkiksi EU Komission hyväksymillä vakiosopimuslausekkeilla sekä Googlen teknisillä lisäsuojatoimilla, kuten enkryptioinnila.
  • Suojatoimet
    1. Käytämme teknisiä ja organisatorisia toimia henkilötietojen suojaamiseksi luvattomalta pääsyltä, käytöltä, varkaudelta ja häviämiseltä. Vain sellaisilla työntekijöillämme, jotka tarvitsevat henkilötietoja Asiakkaan tilien ylläpitämiseen ja palvelun tarjoamiseen, on pääsy henkilötietoihin. Tiedot siirretään turvallisesti SSL-salatulla yhteydellä, ja niitä säilytetään Google Cloud -palvelussa noudattaen Googlen turvallisuusmallia. Lisää infoa löytyy seuraavasta linkistä:
      1. Yksikään järjestelmä tai elektroninen data ei ole täysin turvallinen huolimatta siitä, että noudatamme käsiteltävien tietojen suojaamiseen tarkoitettuja varotoimenpiteitä. Kaikki henkilötietojen siirtäminen tapahtuu Asiakkaan omalla vastuulla ja oletamme Asiakkaan noudattavan asianmukaisia turvaamistoimia henkilötietojen suojaamiseksi.
      2. Jos on syytä epäillä, että tilien tai tietojen turvallisuus on vaarantunut, Asiakkaan tulee ilmoittaa siitä meille viipymättä tämän tietosuojaselosteen alusta löytyvien yhteystietojen avulla.
    2. Lisäksi palvelumme tietoturvaa tietosuojatoimiamme tarkistetaan säännöllisesti, ja ainoastaan valtuutetut työntekijämme saavat pääsyn tietoihin.
    3. Cloudpointin työntekijöillä on erillinen salassapitosopimus. 
    4. Teknisiä tiedon suojaamisen toimenpiteitä ovat:
      1. Toimistomme kulunvalvonta on sähköisesti valvottu ja kiinteistössä on 24/7 kameravalvonta ja vartiointi. 
      2. Kaikki palveluihin tehtävät kirjautumiset suoritetaan vahvaa kahden vaiheen suojausta käyttäen (U2F-avainta). Vahvojen tunnistamisavainten käyttö on pakotettu keskitetysti. 
      3. Työasemien kiintolevyt on salattu ja pääsy rajoitettu ainoastaan Cloudpointin henkilöstölle. 
    5. Jos henkilötietoja on luovutettu luvattomasti, ilmoitamme tästä Asiakkaalle sähköpostitse ja selvitämme tällaiset luovutukset lakisääteisten velvollisuuksiemme edellyttämällä tavalla.
    6. Sovelluskehityksen suojatoimet
  • Tietoturva asiat korostettuna uusien työntekijöiden perehdyttämisessä 
  • Tietoturvaan liittyvää koulutusta tarjotaan kehittäjille Google Cloud Sertifikaateilla. 
  • Pääsy koodivarastoihin rajattu ja vain Senior kehittäjän luvalla
  • Kaikki lokaali kehitys tapahtuu koneissa, joiden levyt on kryptattu
  • Koodin vertaisarviointi
  • Säännöllinen haavoittuvuuksien tarkistus ja ohjelmiston päivitykset
  • Säännöllinen kyberuhkien ja palvelujen haavoittuvuuksien seuranta
  • Dokumentointi
  •  Rekisteröidyn oikeudet
    1. Rekisteröidyillä on Tietosuoja-Asetuksen mukaiset oikeudet. Näitä oikeuksia on mm. (Oikeus saada tietoa henkilötietojensa käsittelystä, oikeus saada pääsy käsiteltäviin henkilötietoihin).
    2. Rekisteröity voi käyttää oikeuksiaan olemalla yhteydessä Asiakkaaseen.
      1. Jos Cloudpoint vastaanottaa Rekisteröidyltä pyynnön, joka liittyy rekisteröidyn oikeuksiin, Cloudpoint a) ohjaa Rekisteröityä suuntaamaan pyynnön Asiakkaalle, b) ilmoittaa Asiakkaalle pyynnöstä viipymättä, ja c) on muutoin vastaamatta kyseisen Rekisteröidyn pyyntöön ilman Asiakkaan lupaa.
    3. Cloudpoint tukee Asiakasta tarvittaessa Rekisteröityjen oikeuksien toteutumisessa.
  • Tietojen säilyttäminen ja poistaminen
    1. Henkilötietoja käsitellään Asiakkaan omistamassa ja hallitsemassa pilvitallennustilassa, tai yhdessä tai useammassa pilvipalvelussa tilanteesta riippuen.
    2. Henkilötietoja säilytetään vain niin kauan kuin niitä tarvitaan niiden käsittelytarkoitukseen ja niin kauan kuin tietoja on lain nojalla säilytettävä.
    3. Henkilötietojen säilytysaika vaihtelee henkilötietoryhmän mukaan
      1. Sovelluksen ja/tai palvelun tietosuojan riskiarviointeihin liittyviä päätöksiä ja pyyntöjä säilytetään 3 vuotta.
      2. Edudatan kirjautumisen lokitietoja säilytetään 30 päivää.
      3. Käyttäjätieto poistuu käyttäjätietokannasta, kun viimeisestä kirjautumistiedon päivittymisestä järjestelmään on kulunut 366 päivää
      4. Tietoja säilytetään enintään 180 päivää kun palvelun pääsopimus päättyy tai puretaan ellei laki edellytä niiden säilyttämistä.
      5. Kun käyttäjä kirjautuu M365 tai Google Workspace tunnuksilla Edudataan, käyttäjälle luodaan automaattisesti oppilasrooli. Käyttäjä voi lähettää Palvelua käyttävälle kollegalle pyynnön, jolloin käyttäjälle voidaan antaa opettajarooli tai muu tarvittava rooli. Jos pyyntö hylätään tai siihen ei vastata 30 päivän kuluessa, käyttäjän poistetaan järjestelmästä.
  • Jos pyyntö hyväksytään ja rooli päivitetään, niin yllä mainittu 366 päivän poistosääntö astuu voimaan.
  1. Käyttäjän kirjautuessa palveluun ensimmäisen kerran käyttäjälle luodaan Edudata ID. 
  2. Käyttäjätieto pseudonymisoidaan pseudonymisointitaulussa. Pseudonymisoitu Edudata ID ja käyttäjän henkilötiedot tallennetaan eri tietokantoihin.
  3. Biq Queryyn tallennetaan vain pseudonymisoitua tietoja
  4. Firestoreen tallennetaan kaikki käyttäjän tiedot ja kirjautumistiedot.
  5. Kun 366 päivää on kulunut viimeisestä kirjautusmistiedon päivittymisestä järjestelmään, Edudata ID tunnistusmahdollisuus Big Queryn ja Firestoren välillä poistuu. Henkilötiedot poistuvat Firestoresta ja Big Queryssa olevia tietoja ei ole enää mahdollista yhdistää yksilöön.
  6. Tietojen poistoprosessissa syntyvät järjestelmän lokitiedot poistuvat 180 päivän kuluessa.
  • Tietosuojaselosteen muutokset
    1. Me pidätämme oikeuden tehdä muutoksia tähän tietosuojaselosteeseen. Kaikki muutokset tulevat voimaan heti niistä ilmoittamisen jälkeen. Pyydämme Asiakasta tarkistamaan tämän tietosuojaselosteen säännöllisesti mahdollisten muutosten varalta.
    2. Emme rajoita tähän tietosuojaselosteeseen perustuvia oikeuksia, emmekä käytä henkilötietoja sellaisiin tarkoituksiin, joita ei ole tässä tietosuojaselosteessa esitetty, emmekä myöskään vähennä tietojen suojauksen tasoa ilman Asiakkaan suostumusta.
    3. Jos tämä tietosuojaseloste muuttuu olennaisesti, ilmoitamme muutoksista näkyvämmin palvelussamme ja ilmoitamme näistä muutoksista etukäteen sähköpostitse.
  • Kysymykset
    1. Jos on kysyttävää tai kommentteja liittyen tähän tietosuojaselosteeseen, meihin voi ottaa yhteyttä tämän dokumentin alusta löytyvien yhteystietojen avulla.