Funetin eduVPN-palvelun tietosuojaseloste / Privacy policy of Funet's eduVPN service

Palvelun nimiName of the service
Funetin eduVPN palvelu
Tietosuojaseloste ainoastaan Funetin eduVPN-palvelulle, ei muille eduVPN-palveluille.

eduVPN on opetus- ja tutkimustarpeisiin kehitetty kansainvälinen VPN-ratkaisu.
Funet's eduVPN service
This privacy policy is only for the eduVPN service provided by Funet, no other eduVPN service.

eduVPN is a VPN service for education and reserach.
RekisterinpitäjäController
Rekisterinpitäjä on se organisaatio, jonka jäsenenä tai nimissä henkilö palvelua käyttää.

Tietojen käsittelyä rekisterinpitäjälle tekee CSC - Tieteen tietotekniikan keskus Oy: tietosuoja@csc.fi.		 The controller is the organisation that the user of the service is affiliated with.

Data processing on behalf of the controller is carried out by CSC - IT Center for Science Ltd.: servicedesk@csc.fi
Henkilötietojen käyttötarkoitusThe purpose of the processing of personal data
Käsittelemme henkilötietoja:
  • käyttöoikeuksien hallinnassa
  • palvelun kapasiteetin seurannassa
  • teknisten ongelmien ja väärinkäytösten selvittämisessä
  • palvelun kehittämisessä ja tilastoinnissa
 Personal data and log files are used for:
  • user authorization
  • monitoring the capacity of the service
  • working out technical problems and investigating abuse of the service
  • statistics and development of the service
Käsiteltävät tiedotProcessed data
Seuraavat henkilötiedot noudetaan kotiorganisaatiosi Identity Provider -palvelimelta aina, kun kirjaudut palveluun:
  • nimi
  • organisaatio
  • yksilöllinen tunniste käyttäjän tunnistamiseksi (SAML2 Persistent name identifier eli eduPersonTargetedID, ks. Persistent Nameidentifier)
Lisäksi palvelussa tallennetaan seuraavia tietoja:
  • yksilöllinen tunniste, joista käyttäjän identtiteetti selviää vain Identity Provider:in avulla
  • myönnetty IP-osoite
  • liittymisen ja katkaisun aikaleimat
 Following personal information is fetched from the Identity Provider server of your home organisation every time you log in to the service:
  • name
  • home organisation
  • unique ID to identify the user (SAML2 Persistent name identifier, i.e. eduPersonTargetedID, see Persistent Nameidentifier)
The following data is stored from the service:
  • the unique ID of the user, from which the user's identity can be obtained only with the help of the Identity Provider
  • the assigned IP address
  • the timestamps of connection and disconnection
Henkilötietojen säilytysaikaRetention of personal data
Henkilötietoja säilytetään, kunnes käyttäjä erikseen pyytää tietojensa poistoa rekisteriasioista vastaavalta henkilöltä. Lokitiedot säilytetään 6 kk. Personal data is stored until the user asks removing the data from the contact person of the service. Information in the logs is stored for 6 months.
Henkilötietojen suojaamisen periaatteetPrinciples of protecting personal data
Tietoverkossa siirrettäessä henkilötiedot on suojattu TLS-tekniikalla. Henkilötiedoista palvelimelle syntyvä henkilörekisteri on suojattu ylläpitäjien henkilökohtaisilla käyttöoikeuksilla. Palvelin on suojattu palomuurilla, yhteydenottokanavia on rajattu ja ohjelmistojen tietoturvapäivityksiä seurataan. In the network TLS technology is used to protect personal data. In the service the personal data file is protected by personal user accounts and authorisation of administrators. The server is protected by firewall and security updates are followed by administrators.
Henkilötietojen säännönmukainen luovuttaminenRegular disclose of personal data to third parties
Henkilötietoja luovutetaan vain viranomaispyynnöstä, kun kyse on käyttösääntöjen rikkomisesta. Personal data is disclosed only when requested by relevant authorities, with regard to user regulation violation.
Henkilötietojen siirto EU:n tai ETA:n ulkopuolelleTransfer of personal data outside the EU or EEA
Henkilötietoja ei siirretä Euroopan Unionin tai Euroopan talousalueen ulkopuolelle. Personal data shall not be transferred outside the European Union or the European Economic Area.
Tietojen käsittelyperustePurpose of data processing
Käsittely perustuu rekisterinpitäjän oikeutettuun etuun. Rekisterinpitäjällä on oikeus hallinnoida palvelun käyttöä, rajoittaa palveluun pääsyä sekä suojata palvelua ja sen tietoja. Henkilötietojen käsittely on palvelun toteuttamiseksi ja hallinnoimiseksi välttämätöntä. The processing is based on the legitimate interest of the controller. The controller has the right to manage the use of the service, restrict access and protect the service and its data. The processing of personal data is necessary for the implementation and management of the service.
Rekisteröidyn oikeudetRights of the data subject
Rekisteröidyllä on seuraavat oikeudet:
  • oikeus saada informaatiota henkilötietojen käsittelystä
  • oikeus saada pääsy tietoihin
  • oikeus oikaista tietoja
  • oikeus poistaa tiedot (oikeus tulla unohdetuksi)
  • oikeus rajoittaa tietojen käsittelyä
  • henkilötietojen oikaisua tai poistoa tai käsittelyn rajoittamista koskeva ilmoitusvelvollisuus
  • oikeus vastustaa tietojen käsittelyä
Oikeuksiensa toteuttamiseksi rekisteröidyn tulee ottaa yhteyttä rekisterinpitäjään. Rekisterinpitäjä on se organisaatio, jonka jäsenenä tai nimissä hän palvelua käyttää.
 The data subject has the following rights:
  • the right to be informed about the processing of personal data
  • the right to access information
  • the right to rectify the data
  • the right to delete data (the right to be forgotten)
  • the right to restrict the processing of the data
  • the obligation to notify of rectification or erasure of personal data as well as of restriction to processing of the data
  • the right to object to the processing of the data
In order to exercise the rights, the data subject must contact the data controller. The controller is the organisation that the user of the service is affiliated with.
Virheellisten tietojen oikaisuRectification
Jos käyttäjän kotiorganisaatiosta (rekisterinpitäjä) noudettavissa henkilötiedoissa on virheitä, käyttäjän tulee ottaa yhteyttä omaan kotiorganisaatioonsa. If there are errors in the personal data retrieved from the user's home organisation (the controller), the user should contact their own home organisation directly.