Tietosuojaseloste

Viimeksi päivitetty: 5.3.2026

Tässä tietosuojaselosteessa kerromme, miten Subber Oy ("Subber" tai "me") käsittelee Subber-palvelun käyttäjien henkilötietoja. Seloste koskee sinua palvelun käyttäjänä.

Päivitämme tätä selostetta tarvittaessa, esimerkiksi kun otamme käyttöön uusia järjestelmiä tai prosesseja, jotka vaikuttavat henkilötietojen käsittelyyn.

Jos käytät verkkosivustoamme, huomautamme, että sivusto saattaa sisältää kolmansien osapuolten komponentteja, kuten sosiaalisen median upotuksia. Nämä komponentit ladataan kyseisten palveluiden omilta palvelimilta. Kolmansien osapuolten palveluihin sovelletaan niiden omia ehtoja ja tietosuojakäytäntöjä, jotka voivat poiketa merkittävästi tämän selosteen käytännöistä. Suosittelemme tutustumaan näiden palveluiden omiin tietosuojaselosteisiin saadaksesi lisätietoa siitä, miten ne käsittelevät henkilötietojasi.

1 Rekisterinpitäjä ja yhteystiedot

Subber Oy

Y-tunnus 3548489-3

Sähköposti: info@subber.fi

2 Henkilötietojen käsittelyn tarkoitukset ja oikeusperusta

Käsittelemme henkilötietojasi palvelun tarjoamiseksi seuraaviin tarkoituksiin:

  • Käyttäjätilin luominen ja hallinta
  • Sijaisten ja oppilaitosten yhdistäminen
  • Palvelun tarjoaminen ja viestintä
  • Palvelun turvallisuuden takaaminen ja väärinkäytösten estäminen

Henkilötietojen käsittelyn oikeusperustana on käsittelytarkoituksesta riippuen:

(1) Käyttäjätilin luominen ja hallinta, sijaisten ja oppilaitosten yhdistäminen sekä palvelun tarjoaminen: EU:n yleisen tietosuoja-asetuksen (GDPR) 6 artiklan 1 kohdan b-alakohta (sopimuksen täyttäminen);

(2) Palvelun turvallisuuden takaaminen ja väärinkäytösten estäminen: GDPR 6 artiklan 1 kohdan f-alakohta (oikeutettu etu) - oikeutettu etumme on palvelun ja käyttäjien tietoturvan varmistaminen sekä väärinkäytösten estäminen, mikä on oikeasuhteista rekisteröidyn etuihin ja perusoikeuksiin nähden;

(3) Sähköpostiosoitteen käsittely viestintään: GDPR 6 artiklan 1 kohdan b-alakohta (sopimuksen täyttäminen palvelun tarjoamiseksi); ja/tai

(4) Rikosrekisteriotteen tarkastuksen tallentaminen: GDPR 6 artiklan 1 kohdan c-alakohta (lakisääteinen velvoite). Opetushenkilöstön rikostaustan selvittäminen perustuu lakiin lasten kanssa työskentelevien rikostaustan selvittämisestä (504/2002).

(5) Sijaisten henkilöllisyyden vahvistaminen: GDPR 6 artiklan 1 kohdan f-alakohta (oikeutettu etu) – vahvistamme sijaisten henkilöllisyyden palvelun luotettavuuden varmistamiseksi, useiden tilien luomisen estämiseksi sekä koulujen ja sijaisten turvallisuuden takaamiseksi.

Lisäksi keräämme käyttäjän sähköpostiosoitteen rekisteröitymisen yhteydessä suoraan käyttäjältä. Sähköpostiosoitetta käytetään käyttäjätilin luomiseen, palvelun käyttämiseen liittyvään viestintään ja tarvittaessa käyttäjän tunnistamiseen palvelussa sopimuksen täyttämiseksi.

Voimme käyttää luotettavia palveluntarjoajia henkilötietojen käsittelyssä, ks. kohta 5.

3 Käsiteltävät henkilötiedot

Käsittelemme ainoastaan palvelun kannalta välttämättömiä henkilötietoja. Käsittelemme seuraavia henkilötietoja:

  • Nimi
  • Sähköpostiosoite
  • Oppilaitos / kunta
  • Käyttäjän itse antamat osaamis- ja pätevyystiedot
  • Kirjautumis- ja lokitiedot
  • Tieto siitä, onko oppilaitos tarkastanut sijaisuuteen liittyvän rikosrekisteriotteen
  • Henkilöllisyyden vahvistamisen tunniste (yksisuuntainen tiiviste henkilötunnuksesta – tiivistettä ei voi muuntaa takaisin henkilötunnukseksi)

4 Tiedot, joita emme käsittele tai tallenna

Käsittelemme ainoastaan palvelun kannalta välttämättömiä henkilötietoja. Emme tallenna seuraavia tietoja:

  • Henkilötunnus sellaisenaan
    • Tunnistautumisen yhteydessä henkilötunnuksesta muodostetaan yksisuuntainen tiiviste (hash), jota säilytetään tilien yksilöimiseksi. Itse henkilötunnusta ei tallenneta Subberin järjestelmiin.
  • Osoitetiedot
  • Muita erityisiä henkilötietoryhmiä

Emme käsittele tai tallenna rikosrekisteriotteen sisältöä tai siinä olevia tietoja. Tallennamme ainoastaan oppilaitoksen tekemän merkinnän siitä, että rekisteriote on tarkastettu. Itse rikosrekisteriote toimitetaan suoraan sijaiselta oppilaitokselle eikä Subber näe tai tallenna otteen sisältöä.

5 Henkilötietojen käsittelijät

Saatamme siirtää henkilötietojasi kolmansille osapuolille tässä kohdassa kuvatulla tavalla.

Käytämme luotettavia palveluntarjoajia tiettyjen palveluiden toteuttamiseen puolestamme. Kaikki palveluntarjoajat toimivat henkilötietojen käsittelijöinä Subberin lukuun ja ohjeiden mukaisesti. Palveluntarjoajien kanssa on tehty GDPR:n mukaiset tietosuojaa koskevat liitesopimukset.

Käsittely, jota palveluntarjoajamme suorittavat puolestamme, voi sisältää esimerkiksi:

  • Pilvipalveluiden ja tietojärjestelmien ylläpitoa
  • Sähköpostiviestinnän hallintaa
  • IT- ja ohjelmistopalveluita
  • Muita palvelun toteuttamiseen liittyviä teknisiä palveluita
  • Telia Finland Oy (Telia Tunnistus -palvelu): Sijaisten vahvan tunnistautumisen toteuttaminen pankkitunnuksilla tai mobiilivarmenteella. Telia toimii itsenäisenä rekisterinpitäjänä tunnistautumispalvelussa. Telian tietosuojaseloste on saatavilla Telian verkkosivustolla. Henkilötunnusta ei tallenneta Subberin järjestelmiin vaan tallennamme ainoastaan siitä muodostetun yksisuuntaisen tiivisteen tilin yksilöimiseksi.

Palveluntarjoajat voivat sijaita EU/ETA-alueella tai sen ulkopuolella (ks. kohta 8).

Saatamme luovuttaa henkilötietojasi sovellettavan lainsäädännön sallimissa tai edellyttämissä rajoissa, esimerkiksi viranomaisille, ulkoisille neuvonantajille tai muille kolmansille osapuolille, jos luovuttaminen on tarpeen lakisääteisen velvoitteen noudattamiseksi tai oikeudellisten vaatimusten laatimiseksi, käyttämiseksi tai puolustamiseksi.

6 Henkilötietojen käsittely ja suojaaminen

Henkilötietojen käsittely tapahtuu seuraavasti:

  • Tallennamme käyttäjän antamat tiedot ja kirjautumistiedot palvelun tarjoamiseksi
  • Kaikki tiedot säilytetään salattuna tietokannassa
  • Tiedot säilytetään niin kauan kuin käyttäjätili on aktiivinen (ks. kohta 7)

Tietoturvatoimenpiteet:

  • Kaikki henkilötiedot salataan sekä siirrossa että tallennettuna
  • Pääsy tietoihin on rajoitettu vain valtuutetuille henkilöille
  • Suoritamme säännöllisiä tietoturva-auditointeja ja päivityksiä
  • Kaikista tietojenkäsittelytoimista pidetään lokitiedot

Emme luovuta henkilötietojasi kolmansille osapuolille ilman lakisääteistä velvoitetta tai nimenomaista suostumustasi, paitsi palvelun toteuttamiseen liittyvien käsittelytoimien osalta (ks. kohta 5).

7 Henkilötietojen säilytysaika

Henkilötietoja säilytetään seuraavasti:

  • Aktiivinen käyttäjätili: Tiedot säilytetään niin kauan kuin käyttäjätili on aktiivinen. Säilytysajat lasketaan viimeisestä kirjautumisesta.
  • Passiivinen käyttäjätili: Jos et ole kirjautunut palveluun kolmeen (3) vuoteen viimeisestä kirjautumisesta laskettuna, tietosi poistetaan automaattisesti.
  • Käyttäjän pyytämä poisto: Jos pyydät tilisi poistamista, poistamme henkilötietosi viipymättä (14 päivän kuluessa), ellei lakisääteinen säilytysvelvoite sitä estä.
  • Lokitiedot: Säilytetään 12 kuukautta tietoturvan varmistamiseksi.

8 Tietojen siirto EU/ETA-alueen ulkopuolelle

Tietyt palveluntarjoajamme saattavat sijaita tai tallentaa henkilötietoja EU/ETA-alueen ulkopuolelle, minkä vuoksi henkilötietojasi voidaan tarvittaessa siirtää EU/ETA-alueen ulkopuolisiin maihin.

Kaikissa tapauksissa varmistamme asianmukaisen tietosuojan tason. Henkilötietojen siirrot EU/ETA-alueen ulkopuolelle perustuvat ensisijaisesti EU:n komission hyväksymiin vakiolausekkeisiin (Standard Contractual Clauses, SCC) komission päätöksen 2021/914 mukaisesti ja/tai muihin sovellettavan lainsäädännön mukaisiin asianmukaisiin suojatoimiin.

Sinulla on oikeus saada lisätietoja henkilötietojesi siirrosta EU/ETA-alueen ulkopuolelle ja käytetyistä suojatoimista. Voit pyytää kopion vakiolausekkeista (Standard Contractual Clauses) ottamalla yhteyttä osoitteeseen info@subber.fi.

9 Rekisteröidyn oikeudet

Sinulla on seuraavat oikeudet. Oikeuksien käyttämistä koskevat pyynnöt tulee osoittaa tämän tietosuojaselosteen kohdassa 1 mainittuihin yhteystietoihin:

  • Saada pääsy henkilötietoihisi (tarkastusoikeus). Tarkastuspyyntö tulee tehdä kirjallisesti ja henkilöllisyys on todistettava pyynnön yhteydessä. Tarkastusoikeus voi koskea myös lokitietoja.
  • Vaatia virheellisten tietojen oikaisemista.
  • Vaatia tietojen poistamista tietyissä tilanteissa.
  • Vastustaa tietojen käsittelyä.
  • Vaatia käsittelyn rajoittamista GDPR 18 artiklan mukaisissa tilanteissa.
  • Siirtää tietosi toiselle rekisterinpitäjälle (tietojen siirrettävyys).
  • Tehdä valitus valvontaviranomaiselle.

Tietojen siirrettävyysoikeus koskee vain tietoja, joita käsitellään sopimuksen perusteella ja automaattisesti.

Mikäli henkilötietoihisi kohdistuu tietoturvaloukkaus, joka todennäköisesti aiheuttaa korkean riskin oikeuksillesi ja vapauksillesi, ilmoitamme siitä sinulle viipymättä. Ilmoitamme kaikki merkittävät tietoturvaloukkaukset tietosuojavaltuutetulle 72 tunnin kuluessa niiden tietoomme tulosta.

Pidätämme oikeuden päivittää tätä tietosuojaselostetta. Merkittävistä muutoksista ilmoitamme etukäteen sähköpostitse tai palvelun kautta. Suosittelemme tutustumaan tietosuojaselosteeseen säännöllisesti.

Tietosuojavaltuutetun toimisto

Lintulahdenkuja 4

00530 Helsinki

Sähköposti: tietosuoja@om.fi

Puhelin: 029 566 6700

Sinulla on oikeus tehdä valitus tietosuojavaltuutetulle, mikäli katsot, että henkilötietojesi käsittely rikkoo tietosuojalainsäädäntöä.

Subber toteuttaa tarvittaessa tietosuojaa koskevan vaikutustenarvioinnin (DPIA) GDPR 35 artiklan mukaisesti.