Julkinen asiakirja

Seurarin tietosuojaseloste

Selkeä kuvaus siitä, miten Seurari käsittelee henkilötietoja palvelun käytön yhteydessä.

Seurarin tietosuojaseloste

Viimeksi tarkistettu: 28.5.2026

Tässä selosteessa kerrotaan, miten Seurari käsittelee henkilötietoja. Selosteen tarkoitus on kuvata tietojen käsittely ymmärrettävästi seuroille, joukkueille, urheilijoille, huoltajille, toimihenkilöille ja muille palvelun käyttäjille.

Seurari on urheiluseurojen ja joukkueiden arjenhallintapalvelu. Palvelussa voidaan hallita esimerkiksi tapahtumia, osallistumisia, tehtäviä ja vastuita, joukkueiden käytännön viestintää, kevyttä jäsenrekisteriä, sponsoritietoja, harjoitussuunnittelun sisältöjä ja muita seuran arkea tukevia toimintoja.

1. Rekisterinpitäjä ja yhteystiedot

Seurari-palvelun tuottaja:

Koffmatic Oy
Y-tunnus: 3356546-2
Osoite: Savikontie 21, 82500 Kitee
Sähköposti: info@koffmatic.fi
Verkkosivusto: koffmatic.fi

Tietosuoja-asioissa voit ottaa yhteyttä yllä mainittuun sähköpostiosoitteeseen.

2. Seurarin ja seuran roolit henkilötietojen käsittelyssä

Seurarissa henkilötietojen käsittelyssä voi olla kaksi erilaista roolia.

2.1 Kun Koffmatic Oy / Seurari toimii rekisterinpitäjänä

Koffmatic Oy toimii rekisterinpitäjänä niiden tietojen osalta, joita se käsittelee omiin tarkoituksiinsa. Tällaisia voivat olla esimerkiksi:

  • palvelun käyttäjätilien ja kirjautumisen hallinta
  • asiakkuuden, yhteydenottojen ja tuen hoitaminen
  • palvelun tietoturvan, toiminnan ja väärinkäytösten ehkäisyn varmistaminen
  • laskutukseen, sopimuksiin ja palvelun ylläpitoon liittyvät tiedot
  • palautteet, tukipyynnöt ja muut Seurarille suoraan lähetetyt viestit
  • tekniset lokit ja auditointitiedot siltä osin kuin niitä tarvitaan palvelun turvalliseen ylläpitoon

2.2 Kun seura tai joukkue toimii rekisterinpitäjänä

Kun seura, joukkue tai muu palvelua käyttävä organisaatio tallentaa Seurariin omien jäsentensä, urheilijoidensa, huoltajiensa, toimihenkilöidensä tai vapaaehtoistensa tietoja, kyseinen organisaatio on yleensä näiden tietojen rekisterinpitäjä.

Tällöin Seurari toimii henkilötietojen käsittelijänä seuran tai joukkueen puolesta. Seurari käsittelee tietoja palvelun toteuttamiseksi, ylläpitämiseksi ja suojaamiseksi, eikä käytä seuran tai joukkueen tallentamia henkilötietoja omiin erillisiin tarkoituksiinsa ilman perustetta.

Seura tai joukkue vastaa tällöin esimerkiksi siitä, että sillä on oikeus tallentaa ja käsitellä kyseisiä henkilötietoja Seurarissa, ja että sen jäsenille, urheilijoille ja huoltajille annetaan tarvittavat tiedot henkilötietojen käsittelystä.

3. Mitä henkilötietoja Seurari voi käsitellä?

Seurari käsittelee vain sellaisia henkilötietoja, joita tarvitaan palvelun käyttämiseen, seuran arjen hoitamiseen, käyttäjäoikeuksien hallintaan, viestintään, tietoturvaan ja palvelun ylläpitoon.

Käsiteltäviä tietoja voivat olla esimerkiksi seuraavat.

3.1 Käyttäjä- ja yhteystiedot

  • nimi
  • sähköpostiosoite
  • puhelinnumero, jos sitä tarvitaan toiminnan kannalta
  • käyttäjätiliin liittyvät tiedot
  • salasanaan liittyvät tekniset tunnisteet, kuten salasanan tiiviste
  • tieto siitä, minkä tietosuojaselosteen version käyttäjä on viimeksi kuitannut ja milloin kuittaus on annettu
  • käyttäjän omat asetukset ja ilmoitusasetukset
  • käyttäjän aktiivinen seura-, joukkue- tai roolikonteksti

Päivitys 28.5.2026: tähän kohtaan lisättiin tieto käyttäjätilille tallennettavasta tietosuojaselosteen versiosta ja kuittausajasta.

Salasanoja ei tallenneta selväkielisinä, eikä Seurari voi lukea käyttäjän salasanaa. Jos salasana unohtuu, käyttäjä voi vaihtaa tai palauttaa salasanan, mutta vanhaa salasanaa ei voida selvittää.

3.2 Seura-, joukkue- ja roolitiedot

  • seuran ja joukkueen jäsenyydet
  • käyttäjän roolit eri seuroissa, joukkueissa tai konteksteissa
  • toimihenkilöroolit, kuten pääkäyttäjä, joukkueenjohtaja, valmentaja, rahastonhoitaja tai muu seuran määrittelemä rooli
  • huoltaja-, vanhempi-, urheilija- tai vapaaehtoisroolit palvelun käyttöä varten
  • käyttöoikeuksiin ja näkyvyyteen liittyvät tiedot

Seurarissa roolit ovat kontekstisidonnaisia. Sama henkilö voi olla yhdessä joukkueessa huoltaja, toisessa toimihenkilö ja kolmannessa eri roolissa. Pelaajuutta tai muuta roolia ei käsitellä yhtenä globaalina totuutena henkilölle, vaan oikeudet ja näkymät määräytyvät käyttötilanteen mukaan.

3.3 Tapahtuma-, osallistumis- ja vastuutehtävätiedot

  • tapahtumien osallistumistiedot
  • läsnäolo-, poissaolo- tai vastaustiedot
  • tapahtumiin liittyvät tehtävät ja vastuuroolit
  • tehtävien varaaminen tai osoittaminen käyttäjille
  • avoimet ja täytetyt vastuutehtävät
  • tapahtumien aikatauluihin ja käytännön järjestelyihin liittyvät tiedot
  • tapahtumien ruokailu-, kuljetus- tai muu käytännön järjestelytieto, jos sellainen toiminto on käytössä

Vapaatekstikenttiin ei tule kirjoittaa tarpeettomia arkaluonteisia tietoja. Käyttäjä vastaa siitä, ettei hän lisää tekstikenttiin muiden henkilöiden tarpeettomia tai arkaluonteisia tietoja.

3.4 Jäsenrekisteriin liittyvät tiedot

Seurari voi sisältää kevyen jäsenrekisterin seuran tarpeisiin. Jäsenrekisterissä voidaan käsitellä esimerkiksi:

  • jäsenen perustiedot
  • yhteystiedot
  • jäsenyyden tila ja ajankohta
  • jäsenyyteen liittyvät seura- ja joukkuetiedot
  • viestintäasetukset ja yhteydenottotavat
  • mahdolliset jäsenmaksuihin tai maksutilanteeseen liittyvät kevyet yhteenvetotiedot, jos toiminto on käytössä

Jäsenrekisterin CSV-vienti on tarkoitettu rajatulle henkilölle tai roolille, jolla on nimenomainen tietosuojavastuuseen tai rekisterin käsittelyyn liittyvä oikeus. Vientitoiminnoista voidaan kirjata auditointitieto, mutta auditointiin ei kopioida itse viedyn aineiston henkilötietosisältöä.

3.5 Huoltaja-, urheilija- ja suojatut tiedot

Seurari voi käsitellä alaikäisiin, urheilijoihin ja huoltajiin liittyviä tietoja silloin, kun se on seuran tai joukkueen toiminnan kannalta tarpeellista.

Tällaisia tietoja voivat olla esimerkiksi:

  • huoltajan yhteystiedot
  • alaikäisen urheilijan perustiedot
  • huoltajasuhteisiin tai perheyhteyksiin liittyvät tiedot
  • joukkueen turvalliseen toimintaan liittyvät tarpeelliset tiedot
  • mahdolliset allergia-, lääke-, lupa- tai muut huolenpitoon liittyvät tiedot, jos tällainen suojattu ominaisuus on otettu käyttöön

Suojatut urheilija-, huoltaja-, terveys- tai huolenpitotiedot pidetään erillään tavallisesta henkilön perustiedosta, tapahtumalogistiikasta, viesteistä ja ilmoitusten sisällöistä. Niitä ei tule näyttää laajasti, käyttää yleisiin viesteihin tai sisällyttää push- tai sähköposti-ilmoitusten sisältöön.

Tällaisten tietojen käsittely edellyttää aina erityistä huolellisuutta, rajattuja käyttöoikeuksia ja sitä, että seura tai joukkue pystyy perustelemaan tietojen tarpeellisuuden. Käyttöoikeuksien jaossa on noudatettava erityistä huomiota juuri henkilötietojen näkymisen osalta.

3.6 Hallituksen ja seuran hallinnon tiedot

Jos Seurarissa käytetään hallituksen tai seuran hallinnon työtiloja, palvelussa voidaan käsitellä esimerkiksi:

  • hallituksen jäsenyyteen tai toimikauteen liittyviä tietoja
  • turvallisia tilatietoja siitä, onko pakollisia henkilötietoja täydennetty
  • hallintoon liittyviä käyttöoikeuksia
  • hallituksen dokumentteihin, pöytäkirjoihin tai päätöksiin liittyviä tietoja, jos tällainen toiminto on käytössä

Jos Seurari käsittelee hallituksen tai seuran hallinnon suojattuja identiteettitietoja, ne on tarkoitettu vain rajattuun hallinnolliseen käyttötarkoitukseen. Tällaisia tietoja ei ole tarkoitettu yleisiin jäsen-, joukkue- tai tapahtumanäkymiin, viesteihin, ilmoituksiin tai tavallisiin vientitiedostoihin.

Kun suojattujen identiteettitietojen käsittelystä kirjataan loki- tai auditointitietoja, kirjauksen tarkoituksena on osoittaa käsittelytapahtuma ilman, että suojatun tiedon raakasisältö kopioidaan lokiin.

3.7 Viestintä- ja ilmoitustiedot

Seurari voi käsitellä palvelun käytännön viestintään liittyviä tietoja, kuten:

  • viestin lähettäjä ja vastaanottajaryhmä
  • viestin kohde, kuten joukkue, tapahtuma tai roolikonteksti
  • viestin toimitustila tai lähetyshistoria, jos toiminto on käytössä
  • käyttäjän ilmoitusasetukset
  • palveluviestit, tunnistautumiseen liittyvät viestit ja muut tekniset tai toiminnalliset ilmoitukset

Viestinnässä vältetään tarpeettomien henkilötietojen ja erityisesti suojattujen tietojen sisällyttämistä viestien otsikoihin, ilmoituksiin, push-viesteihin tai sähköpostien esikatselusisältöihin.

3.8 Tiedostot, videot ja liitteet

Seurari voi käsitellä palveluun ladattavia tai linkitettäviä tiedostoja, jos kyseinen toiminto on käytössä. Tällaisia voivat olla esimerkiksi:

  • harjoituskirjaston lyhyet ohjevideot
  • harjoituksiin liittyvät YouTube-linkit
  • sponsorien logoihin, sopimuksiin tai muuhun yhteistyöhön liittyvät liitteet
  • hallinnon tai hallituksen dokumentit, jos toiminto on käytössä

Seurari ei käytä tiedostoja yleisenä asiakirjapilvenä. Tiedostot liittyvät aina palvelun tiettyyn käyttötarkoitukseen, kuten harjoituksen ohjeistamiseen, sponsoriyhteistyöhön tai seuran hallinnolliseen työskentelyyn.

Jos harjoitusvideoiden lataustoiminto on käytössä, videoihin voidaan tallentaa tieto videon lataajasta, latausajankohdasta ja käyttöoikeuden vahvistuksesta. Videon lataaja vastaa siitä, että hänellä on oikeus ladata video Seurariin ja käyttää sitä kyseisen seuran tai joukkueen toiminnassa.

Jos videolla näkyy tunnistettavia henkilöitä, erityisesti alaikäisiä, videon lataaja vastaa siitä, että tarvittavat luvat ja käyttöoikeudet ovat kunnossa. Seurari pyrkii käsittelemään tällaisia tietoja mahdollisimman rajatusti eikä tallenna videolla näkyvien henkilöiden tietoja laajemmin kuin toiminnon toteuttaminen välttämättä edellyttää.

Tiedostot eivät ole julkisia oletuksena. Niiden avaaminen, katselu ja lataaminen perustuvat käyttäjän rooliin, aktiiviseen seura- tai joukkuekontekstiin ja kyseisen toiminnon käyttöoikeuksiin.

Tiedostojen teknisiä tunnisteita, tallennuspolkuja tai objektitunnisteita ei näytetä käyttäjälle pääasiallisina tiedoston tunnisteina. Viesteihin, ilmoituksiin tai yleisiin lokitietoihin ei sisällytetä tiedostojen teknisiä tallennusavaimia.

Suojattuihin urheilija-, terveys-, huoltaja- tai huolenpitotietoihin liittyviä liitteitä ei käsitellä tavallisina harjoitus-, sponsorointi- tai hallintoliitteinä. Jos tällaisia suojattuja liitteitä käsitellään myöhemmin, ne kuvataan erillisen suojatun käsittelymallin mukaisesti.

3.9 Tekniset tiedot, lokit ja auditointi

Seurari käsittelee teknisiä tietoja palvelun turvallisuuden, toiminnan, virheiden selvittämisen ja väärinkäytösten ehkäisyn vuoksi.

Tällaisia tietoja voivat olla esimerkiksi:

  • kirjautumis- ja istuntotiedot
  • käyttöoikeuksiin liittyvät tarkistukset
  • järjestelmän tekniset virhe- ja tapahtumalokit
  • auditointitiedot merkittävistä toimista, kuten suojatun tiedon käsittelystä tai jäsenrekisterin viennistä
  • IP-osoite tai selain-/laitetietoja silloin, kun niitä tarvitaan tietoturvaan, väärinkäytösten torjuntaan tai tekniseen ylläpitoon

Seurarin lokit ja auditointitiedot on rajattu palvelun toiminnan ja turvallisuuden kannalta tarpeellisiin tietoihin. Auditointiin voidaan tallentaa tieto siitä, kuka teki tietyn toimenpiteen, milloin toimenpide tehtiin ja mihin seura-, joukkue- tai toimintokontekstiin se liittyi.

Suojattujen tietojen varsinaista sisältöä, kuten terveystietoja, henkilötunnuksen osia tai muuta erityisen arkaluonteista raakasisältöä, ei kopioida yleisiin lokeihin tai auditointimerkintöihin.

3.10 Palautteet, tukipyynnöt ja yhteydenotot

Kun käyttäjä ottaa yhteyttä Seurariin, antaa palautetta tai pyytää tukea, Seurari käsittelee yhteydenoton käsittelyn kannalta tarpeellisia tietoja.

Tällaisia tietoja voivat olla esimerkiksi:

  • yhteydenottajan nimi ja yhteystiedot
  • viestin sisältö
  • tekniseen ongelmaan liittyvät tiedot
  • käyttäjän ilmoittama seura-, joukkue- tai toimintokonteksti, jos se on tarpeen asian selvittämiseksi
  • tukipyynnön käsittelyhistoria

Tukipyyntöjä käsitellään vain asian selvittämiseksi, palvelun kehittämiseksi, virheiden korjaamiseksi ja käyttäjän auttamiseksi.

Tukipyyntöihin ei pidä lähettää tarpeettomia arkaluonteisia tietoja, kuten terveystietoja, henkilötunnuksia tai muiden henkilöiden yksityisiä tietoja. Jos tällaisia tietoja kuitenkin päätyy tukipyyntöön, niitä käsitellään vain asian ratkaisemisen kannalta välttämättömässä laajuudessa.

4. Mihin henkilötietoja käytetään?

Henkilötietoja käytetään Seurarin palvelun toteuttamiseen, ylläpitämiseen ja suojaamiseen.

Tietoja käytetään esimerkiksi:

  • käyttäjätilien ja kirjautumisen hallintaan
  • käyttäjälle näkyvän tietosuojaselosteen version näyttämiseen, olennaisen päivityksen ilmoittamiseen ja kuittauksen tallentamiseen
  • seurojen, joukkueiden ja roolien hallintaan
  • tapahtumien, osallistumisten ja vastuutehtävien järjestämiseen
  • seuran ja joukkueen käytännön viestintään
  • jäsenrekisterin ja siihen liittyvien toimintojen toteuttamiseen
  • seuran hallinnon ja hallitustyöskentelyn tukemiseen, jos toiminto on käytössä
  • harjoitussuunnittelun, harjoituskirjaston ja muiden valmennustyökalujen toteuttamiseen, jos toiminto on käytössä
  • palvelun käyttöoikeuksien ja näkyvyyssääntöjen toteuttamiseen
  • palvelun tietoturvan, virheiden selvittämisen ja väärinkäytösten ehkäisyyn
  • asiakastuen, yhteydenottojen ja palautteiden käsittelyyn
  • lakisääteisten velvoitteiden, sopimusten ja palvelun ylläpidon hoitamiseen

Päivitys 28.5.2026: tähän kohtaan lisättiin kuvaus siitä, että Seurari käyttää tietoja myös tietosuojaselosteen olennaisten päivitysten näyttämiseen ja käyttäjän kuittauksen tallentamiseen.

Seurari ei käytä henkilötietoja yleiseen mainosprofilointiin eikä myy käyttäjien henkilötietoja. Seuran tai joukkueen tallentamia henkilötietoja käsitellään palvelun toteuttamiseksi seuran tai joukkueen puolesta.

Seurari ei ole yleinen chat-palvelu, asiakirjapilvi, kirjanpitojärjestelmä, ERP-järjestelmä tai vapaamuotoinen henkilötietovarasto. Palvelun käyttötarkoitus rajautuu urheiluseurojen ja joukkueiden arjenhallintaan.

5. Käsittelyn oikeusperusteet

Henkilötietojen käsittelyn oikeusperuste riippuu siitä, kuka toimii kyseisen tiedon rekisterinpitäjänä ja mihin tarkoitukseen tietoa käsitellään.

Kun Koffmatic Oy käsittelee tietoja omia tarkoituksiaan varten, käsittely perustuu tilanteesta riippuen esimerkiksi:

  • sopimuksen tekemiseen tai täytäntöönpanoon
  • oikeutettuun etuun palvelun tuottamisessa, suojaamisessa ja kehittämisessä
  • lakisääteiseen velvoitteeseen
  • suostumukseen, jos jokin toiminto perustuu erikseen annettavaan suostumukseen

Kun seura tai joukkue käsittelee omien jäsentensä, urheilijoidensa, huoltajiensa tai toimihenkilöidensä tietoja Seurarissa, kyseinen seura tai joukkue määrittää käsittelyn oikeusperusteen. Seurari käsittelee näitä tietoja seuran tai joukkueen puolesta palvelun toteuttamiseksi.

Erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten terveyteen liittyviä tietoja, käsitellään Seurarissa vain rajatuissa käyttötarkoituksissa ja vain silloin, kun tällainen toiminto on käytössä ja käsittelylle on asianmukainen peruste.

6. Kuka voi nähdä henkilötietoja?

Henkilötietojen näkyvyys määräytyy käyttäjän roolin, seuran, joukkueen, tapahtuman, henkilösuhteen ja käyttöoikeuksien perusteella.

Tietoja voivat nähdä esimerkiksi:

  • käyttäjä itse
  • huoltaja niissä rajoissa, joissa hänellä on oikeus nähdä huollettavan tietoja
  • joukkueenjohtaja, valmentaja tai muu toimihenkilö oman roolinsa ja joukkueensa mukaisesti
  • seuran pääkäyttäjä tai muu hallinnollinen käyttäjä niissä rajoissa, joissa seuran tehtävät edellyttävät
  • rajattu tietosuojavastuullinen tai muu nimenomaisesti oikeutettu henkilö jäsenrekisterin vientiin tai suojattujen tietojen käsittelyyn
  • Koffmatic Oy:n ylläpito tai tuki silloin, kun se on välttämätöntä palvelun tuottamiseksi, vian selvittämiseksi, tietoturvan varmistamiseksi tai lakisääteisen velvoitteen täyttämiseksi

Seurari ei näytä kaikkia henkilötietoja kaikille seuran jäsenille. Näkyvyys rajataan käyttötarpeen, roolin ja kontekstin mukaan.

Suojatut urheilija-, huoltaja-, terveys- tai hallintoidentiteettitiedot eivät näy tavallisissa jäsen-, joukkue-, tapahtuma- tai viestinäkymissä. Niiden käsittely rajataan erillisiin toimintoihin ja niihin käyttäjiin, joilla on kyseiseen tietoon perusteltu oikeus.

7. Mitä tietoja Seurariin ei pidä tallentaa?

Seurariin ei pidä tallentaa tietoja, jotka eivät ole tarpeellisia seuran tai joukkueen toiminnan järjestämiseksi.

Palveluun ei pidä tallentaa esimerkiksi:

  • tarpeettomia terveystietoja
  • henkilötunnuksia, ellei erillinen rajattu toiminto sitä nimenomaisesti ja turvallisesti edellytä
  • pankkitunnuksia, maksukorttitietoja tai muita maksuvälineiden salaisia tietoja
  • salassa pidettäviä asiakirjoja ilman erillistä hyväksyttyä käyttötarkoitusta
  • vapaamuotoisia arvioita, arkaluonteisia kommentteja tai henkilökohtaisia muistiinpanoja, joille ei ole palvelun käyttötarkoituksen mukaista tarvetta
  • muiden henkilöiden tietoja ilman oikeutta tai perustetta

Seurari ohjaa käyttämään vapaatekstikenttiä vain kyseisen toiminnon kannalta tarpeellisiin tietoihin. Käyttäjä vastaa siitä, ettei hän lisää tekstikenttiin muiden henkilöiden tarpeettomia tai arkaluonteisia tietoja.

Jos palveluun tallennetaan virheellisiä, tarpeettomia tai väärään paikkaan kirjattuja henkilötietoja, niitä voidaan korjata, rajata tai poistaa käyttäjän oikeuksien, seuran ohjeiden ja palvelun käyttöoikeuksien mukaisesti.

8. Alihankkijat ja palveluntarjoajat

Seurari käyttää palvelun tuottamisessa teknisiä palveluntarjoajia. Näitä voivat olla esimerkiksi:

  • palvelin- ja hosting-palveluntarjoaja
  • tietokanta- ja varmistusratkaisut
  • sähköpostin lähetyspalvelu
  • tekstiviesti- tai ilmoituspalvelu, jos käytössä
  • bottisuojauksen palveluntarjoaja, jos käytössä
  • tiedostojen tai objektitallennuksen palveluntarjoaja, jos käytössä
  • virheiden, lokien tai teknisen valvonnan palvelut, jos käytössä
  • maksujen, laskutuksen tai taloushallinnon palveluntarjoajat, jos käytössä

Palveluntarjoajat käsittelevät henkilötietoja vain siinä laajuudessa kuin palvelun tekninen toteuttaminen, ylläpito, suojaaminen tai sovittu toiminto edellyttää.

Palveluntarjoajat:

  • Applikaation hosting, palvelininfrastruktuuri ja varmistuksiin liittyvä infrastruktuuri: UpCloud
  • Objektitallennuspalvelu: UpCloud Object Storage, kun objektitallennus on käytössä
  • Sähköpostin ja viestien välityspalvelu: Brevo
  • Bottisuojauspalvelu: Cloudflare Turnstile
  • Tietokanta: Seurarin hallinnoima PostgreSQL-tietokanta UpCloudin palvelininfrastruktuurissa

Seurarin auditointi- ja diagnostiikkalokit toteutetaan palvelun sisäisinä toimintoina. Niitä ei tämän selosteen laatimishetkellä käsitellä erillisessä ulkoisessa auditointi- tai lokituspalvelussa. Tekniset lokit ja diagnostiikkatiedot säilytetään Seurarin hallitsemassa erillisesti suojatussa ympäristössä ja niitä käytetään palvelun tietoturvan, toiminnan, virheiden selvittämisen ja väärinkäytösten ehkäisyn tukena.

9. Siirretäänkö tietoja EU:n tai ETA:n ulkopuolelle?

Seurarin varsinainen applikaatio-, tietokanta- ja palvelinympäristö sijaitsee UpCloudin Helsingin palvelinympäristössä. Tämä on Seurarin tietosuoja- ja tietoturvasuunnittelussa tietoinen valinta.

Seurarin tavoitteena on, että palvelun varsinainen henkilötietojen käsittely ja pysyvä tietojen säilytys tapahtuu EU:n tai ETA:n alueella. Seurari ei tarkoituksellisesti vie seurojen, joukkueiden, jäsenten, urheilijoiden tai huoltajien tietoja järjestelmästä ulos muihin palveluihin, ellei se ole palvelun tietyn toiminnon toteuttamiseksi välttämätöntä.

Joissakin teknisissä toiminnoissa henkilötietoja voi kuitenkin välittyä palveluntarjoajille:

  • Sähköpostin välityspalvelulle välitetään sähköpostin toimittamiseksi tarvittavat tiedot, kuten vastaanottajan sähköpostiosoite ja lähetettävän viestin sisältö.
  • Bottisuojauspalvelulle voi välittyä teknisiä selain-, laite-, verkko- tai käyttötapahtumatietoja bottisuojauksen toteuttamiseksi.
  • Jos tekstiviesti- tai muu ilmoituspalvelu otetaan käyttöön, sille välitetään viestin toimittamiseksi tarvittavat vähimmäistiedot.
  • Jos tekoälyavusteisia toimintoja otetaan käyttöön, palveluntarjoaja, käsittelysijainti, siirtoperuste ja lähetettävä tietosisältö arvioidaan erikseen ennen käyttöönottoa.

Jos jokin palveluntarjoaja käsittelee henkilötietoja EU:n tai ETA:n ulkopuolella, käsittelyssä käytetään soveltuvaa tietosuojalainsäädännön mukaista siirtoperustetta, kuten EU:n komission hyväksymiä vakiosopimuslausekkeita, EU–US Data Privacy Frameworkia tai muuta soveltuvaa suojamekanismia.

Seurarin tekoälyavusteisissa toiminnoissa noudatetaan tietojen minimointia. Tekoälylle ei anneta suoraa pääsyä Seurarin tietokantaan, eikä tavallisiin tekoälyavusteisiin analyysi-, luonnos- tai yhteenvetotoimintoihin lähetetä suoria käyttäjä-, urheilija-, huoltaja-, terveys- tai muita suojattuja henkilötietoja, ellei tällaisesta toiminnosta tehdä erillistä tietosuoja-arviointia ja käyttäjälle kerrota käsittelystä selvästi.

10. Kuinka kauan tietoja säilytetään?

Henkilötietoja säilytetään niin kauan kuin niitä tarvitaan palvelun käyttötarkoituksen, sopimusten, seuran toiminnan, tietoturvan, auditoinnin tai lakisääteisten velvoitteiden vuoksi.

Kun käyttäjä poistuu palvelusta tai käyttäjätili poistetaan, Seurarin tavoitteena on poistaa tai anonymisoida käyttäjään liittyvät henkilötiedot kohtuullisessa ajassa. Tavoitteena on, että käyttäjän poistumisen jälkeen suorat henkilötiedot poistetaan tai anonymisoidaan viimeistään noin 3 kuukauden kuluessa, ellei pidempi säilytys ole tarpeen esimerkiksi lakisääteisen velvoitteen, sopimuksen, tietoturvan, auditoinnin, seuran toiminnan tai oikeusvaateen vuoksi.

Kaikkia palvelun toiminnallisia historiatietoja ei välttämättä poisteta kokonaan, jos ne ovat tarpeen seuran tai joukkueen tapahtumahistorian, osallistujamäärien, vastuutehtävien kokonaiskuvan, tilastojen tai palvelun toiminnan eheyden säilyttämiseksi. Tällöin tiedot pyritään säilyttämään anonymisoidussa tai muuten sellaisessa muodossa, ettei niitä enää yhdistetä poistuneeseen käyttäjään.

Suojatut urheilija-, huoltaja-, terveys- ja hallintoidentiteettitiedot käsitellään erityisen rajatusti. Niitä ei säilytetä tavallisena tapahtuma- tai jäsenhistoriatietona pidempään kuin käyttötarkoitus edellyttää. Kun käyttötarkoitus päättyy, tiedot poistetaan aktiivisesta käyttödatasta, ellei säilyttämiselle ole erillistä lakisääteistä, tietoturvaan, auditointiin tai oikeusvaateeseen liittyvää perustetta.

Tukipyyntöjä ja yhteydenottoja säilytetään niin kauan kuin se on tarpeen asian käsittelemiseksi, palvelun tukemiseksi, virheiden selvittämiseksi ja mahdollisten oikeuksien tai velvoitteiden toteuttamiseksi. Tukipyyntöihin ei pidä lähettää tarpeettomia arkaluonteisia tietoja.

Tiedostoja ja liitteitä säilytetään niin kauan kuin niillä on palvelun käyttötarkoitukseen liittyvä tarve. Tällaisia tarpeita voivat olla esimerkiksi harjoituksen ohjeistaminen, sponsoriyhteistyö, seuran hallinnollinen työskentely tai muu seuran toimintaan liittyvä tarkoitus. Kun tiedostoa ei enää tarvita, se poistetaan tai sen näkyvyys rajataan soveltuvalla tavalla.

Jos harjoitusvideon lataaja poistuu palvelusta, hänen lataamiensa videoiden jatkosäilytys voidaan käsitellä erillisessä poistumis- ja käyttöoikeusprosessissa. Video voidaan säilyttää seuran tai joukkueen käytössä, jos siihen on asianmukainen oikeus, tai video voidaan poistaa tai sen näkyvyys katkaista, jos säilytykselle ei ole perustetta.

Varmuuskopioita säilytetään rajatun ajan palvelun palautettavuuden ja tietoturvan varmistamiseksi. Yksittäisen käyttäjän tietoja ei yleensä poisteta erikseen olemassa olevista varmuuskopioista, mutta varmuuskopiot poistuvat käytöstä varmuuskopioiden säilytysajan mukaisesti. Jos varmuuskopio palautetaan käyttöön, aiemmin tehdyt poistot ja anonymisoinnit toteutetaan palautuksen jälkeen uudelleen soveltuvin osin.

Tarkemmat säilytysajat ja automaattiset siivouskäytännöt täsmennetään palvelun kehityksen yhteydessä. Tavoitteena on toteuttaa säännöllinen siivousprosessi, jossa poistuneet käyttäjät, vanhentuneet tiedot ja tarpeettomat henkilötiedot käsitellään vähintään neljännesvuosittain.

11. Tietoturva

Seurari suojaa henkilötietoja teknisillä ja organisatorisilla keinoilla. Suojauksen tavoitteena on estää henkilötietojen luvaton käyttö, katoaminen, muuttaminen ja asiaton paljastuminen.

Seurarin tietoturvakäytäntöihin kuuluu esimerkiksi:

  • käyttöoikeuksien tarkistaminen palvelimella
  • rooli- ja kontekstikohtainen näkyvyys
  • salasanan turvallinen tallennus yksisuuntaisesti suojatussa muodossa
  • ympäristömuuttujien käyttö salaisuuksille ja avaimille
  • henkilötietojen minimointi
  • tarpeettoman henkilötiedon välttäminen lokeissa
  • auditointijäljet erityisen merkittävistä toimista
  • tiedostojen ja liitteiden pitäminen yksityisinä oletuksena
  • suojattujen tietojen erottaminen tavallisista perustiedoista
  • virheilmoitusten rajaaminen niin, etteivät ne paljasta tarpeettomia teknisiä yksityiskohtia
  • käyttöliittymän suunnittelu siten, ettei arkaluonteinen tieto näy väärässä kontekstissa

Salasanoja ei tallenneta selväkielisinä. Ne tallennetaan yksisuuntaisesti suojatussa muodossa, eikä Seurari voi lukea käyttäjän salasanaa. Jos salasana unohtuu, käyttäjä voi vaihtaa tai palauttaa salasanan, mutta vanhaa salasanaa ei voida näyttää.

Käyttäjä vastaa oman käyttäjätunnuksensa ja salasanansa huolellisesta käytöstä. Jos käyttäjä havaitsee väärinkäytöksen, virheellisen käyttöoikeuden tai epäilee tunnustensa joutuneen ulkopuolisen haltuun, hänen kannattaa vaihtaa salasanansa viipymättä ja ilmoittaa asiasta Seurarin yhteyshenkilölle tai oman seuran pääkäyttäjälle. Nopea ilmoitus auttaa selvittämään tapahtumia loki- ja auditointitietojen perusteella.

12. Evästeet ja vastaavat tekniset tunnisteet

Seurari käyttää evästeitä ja vastaavia teknisiä tunnisteita palvelun toiminnan kannalta tarpeellisiin tarkoituksiin.

Näitä tarkoituksia ovat esimerkiksi:

  • kirjautumisen ja istunnon ylläpitäminen
  • aktiivisen seura- tai joukkuekontekstin muistaminen
  • käyttöliittymän toiminnan parantaminen
  • turvallisuuden ja väärinkäytösten ehkäisyn tukeminen
  • julkisten lomakkeiden bottisuojauksen toteuttaminen, jos käytössä

Seurari ei käytä evästeitä markkinointi-, mainonta- tai käyttäjäprofilointitarkoituksiin. Palvelussa käytetään vain palvelun toiminnan kannalta välttämättömiä evästeitä ja vastaavia teknisiä tunnisteita, kuten kirjautumisen, istunnon, turvallisuuden ja aktiivisen seura- tai joukkuekontekstin ylläpitämiseen tarvittavia tunnisteita. Tämän vuoksi Seurari ei pyydä erillistä suostumusta välttämättömien evästeiden käyttöön.

13. Tekoälyavusteiset toiminnot

Seurariin voidaan myöhemmin lisätä tekoälyavusteisia toimintoja esimerkiksi viestiluonnosten, yhteenvedon, valmennusmuistiinpanojen jäsentelyn tai muun käyttäjän hyväksymän avustavan työn tueksi.

Kun tekoälyavusteisia toimintoja käytetään, Seurari rajaa tekoälylle välitettävän sisällön tehtävän kannalta tarpeelliseen vähimmäissisältöön. Tekoäly ei saa suoraa pääsyä Seurarin tietokantaan.

Tekoälyavusteiset toiminnot toimivat luonnoksina tai ehdotuksina. Käyttäjä tarkistaa ja hyväksyy tekoälyn tuottaman sisällön ennen sen käyttämistä, lähettämistä tai tallentamista.

Tavallisiin tekoälyavusteisiin toimintoihin ei sisällytetä terveys- tai taloustietoja, suojattuja urheilijatietoja tai arkaluonteisia huoltaja-asioita.

14. Rekisteröidyn oikeudet

Rekisteröidyllä on tilanteesta riippuen oikeus:

  • saada tietoa henkilötietojensa käsittelystä
  • pyytää pääsyä omiin tietoihinsa
  • pyytää virheellisten tietojen korjaamista
  • pyytää tietojen poistamista
  • pyytää käsittelyn rajoittamista
  • vastustaa käsittelyä
  • saada itse toimittamansa tiedot siirrettyä järjestelmästä toiseen, jos edellytykset täyttyvät
  • peruuttaa suostumus, jos käsittely perustuu suostumukseen
  • tehdä valitus tietosuojaviranomaiselle

Jos pyyntö koskee seuran tai joukkueen omia jäsen-, urheilija-, huoltaja- tai tapahtumatietoja, pyyntö osoitetaan yleensä ensisijaisesti kyseiselle seuralle tai joukkueelle, koska se toimii näiden tietojen rekisterinpitäjänä.

Jos pyyntö koskee Seurarin omaa käyttäjätiliä, asiakkuutta, tukipyyntöä, teknistä lokia tai muuta Koffmatic Oy:n omassa rekisterinpitäjäroolissa käsittelemää tietoa, pyynnön voi lähettää tämän selosteen yhteystietoihin.

15. Lasten ja nuorten tiedot

Seuraria käytetään lasten ja nuorten urheilutoiminnassa. Tämän vuoksi palvelussa kiinnitetään erityistä huomiota alaikäisten tietojen minimointiin, näkyvyyteen ja suojaukseen.

Alaikäisiä koskevia tietoja käsitellään seuran ja joukkueen toiminnan kannalta tarpeellisissa tarkoituksissa, kuten tapahtumien, osallistumisten, huoltajayhteyksien, turvallisuuden ja käytännön järjestelyjen toteuttamisessa.

Seurat ja joukkueet vastaavat omalta osaltaan siitä, että alaikäisten tietojen käsittelylle on asianmukainen peruste ja että huoltajia informoidaan tarpeellisella tavalla.

16. Tietojen luovuttaminen

Seurari ei myy käyttäjien henkilötietoja.

Henkilötietoja luovutetaan ulkopuolisille vain rajatuissa tilanteissa, kuten silloin kun:

  • luovutus on tarpeen palvelun toteuttamiseksi hyväksytyn palveluntarjoajan avulla
  • käyttäjä tai seura on itse pyytänyt tai hyväksynyt luovutuksen
  • luovutus perustuu sopimukseen, lakisääteiseen velvoitteeseen tai viranomaisen lainmukaiseen pyyntöön
  • luovutus on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi
  • luovutus on välttämätön palvelun, käyttäjien tai muiden henkilöiden turvallisuuden suojaamiseksi

17. Muutokset tähän selosteeseen

Seurari kehittyy, ja myös henkilötietojen käsittely voi muuttua palvelun uusien ominaisuuksien myötä. Tätä selostetta päivitetään, kun käsittely muuttuu olennaisesti tai kun palveluun lisätään uusia henkilötietojen käsittelyyn vaikuttavia toimintoja.

Henkilötietojen käsittelyyn liittyvät muutokset arvioidaan osana Seurarin kehitystä. Jos muutos vaikuttaa henkilötietoihin, suojattuihin tietoihin, käyttöoikeuksiin, auditointiin, tiedostoihin, sähköpostiin, ilmoituksiin, tekoälyavusteisiin toimintoihin, bottisuojaukseen, lokitukseen, säilytysaikoihin tai palveluntarjoajiin, myös tämä tietosuojaseloste tarkistetaan.