Tietosuojapolitiikka

Tietojen käyttö ja tietosuojasta huolehtiminen on osa Haltijan vastuullisia toimintaperiaatteita ja riskienhallintaa.

Tietosuojapolitiikassa määritellään, kuinka kaikissa Haltijan toiminnoissa pyritään varmistamaan henkilötietojen lainmukainen käsittely ja tietosuojan korkea taso.

Tietosuojapolitiikan kattavuus ja tavoitteet

Tietosuojaan kuuluvat henkilöiden yksityiselämän suoja ja yksityisyyden suojaa turvaavat muut oikeudet henkilötietoja käsiteltäessä. Tietosuojapolitiikan avulla pyritään turvaamaan lainsäädännön mukaiset henkilötietojen käyttöön liittyvät Haltijan asiakkaiden, työntekijöiden ja muihin sidosryhmiin kuuluvien henkilöiden oikeudet sekä varmistamaan tietojen käsittelijän oikeudet ja velvollisuuksien noudattaminen henkilötietoja käsiteltäessä. Tietosuojaa toteutettaessa kiinnitetään erityistä huomiota henkilötietojen salassapitoon sekä siihen, ettei asiattomilla ole pääsyä tietoihin ja ettei tietoja käytetä henkilöä vahingoittavasti.

Henkilötietojen käsittely perustuu henkilön suostumukseen tai laissa määriteltyyn muuhun perusteeseen. Henkilötietoja käsitellään vain perustellun käyttötarkoituksen johdosta ja vain siinä määrin ja niin kauan, kun se on käyttötarkoituksen tai muun lainsäädännön kannalta tarpeellista. Käytettävien tietojen oikeellisuus pyritään varmistamaan ja tietoja päivitetään henkilöltä itseltään tai luotettavista lähteistä. Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot tuhotaan asianmukaisesti.

Tietoja käytetään niitä kerättäessä kuvattuihin tarkoituksiin lainsäädännön kulloinkin sallimissa rajoissa. Tietoja luovutetaan vain nimenomaisesti kerrotulla tai laissa mainitulla perusteella ja nimenomaisesti kerrotuille tai laissa mainituille luovutuksen saajille.

Tietoja saatetaan siirtää rekisterinpitäjän sijaintivaltion ulkopuolelle, mikäli kyseistä rekisteriä koskeva lainsäädäntö sallii siirron. Tällöin noudatetaan siirtoa koskevia, kunkin maan lainsäädännössä mahdollisesti säädettyjä menettelyitä.

Rekisteröityjen informointi

Kustakin henkilörekisteristä laaditaan lainsäädännön edellyttämä dokumentaatio. Rekisteröidyille tarjotaan laissa tarkoitettu tai muuten tarpeellinen informaatio henkilötietojen käsittelystä tietoja kerättäessä.

Vastuut ja organisointi

Vastuu tietosuojan toteuttamisesta on yrityksen johtoryhmällä.

Johtoryhmä ohjaa ja kehittää tietosuojan toteutumista yhtiössä. Jokaisen Haltijalaisen tulee tuntea ja hallita oman vastuualueensa tietosuojasääntely ja -riskit. Se vastaa tietosuojasta myös ulkoistaessaan tietojen käsittelyn ja huolehtii, että valittu kumppani noudattaa tätä tietosuojapolitiikkaa. Henkilötietojen käsittelyn ulkoistamisesta laaditaan aina kirjallinen sopimus, jossa osapuolten vastuut ja velvollisuudet määritellään.

Haltijan johtoryhmä on nimittänyt yrityksen tietosuojavastaavan, joka valvoo tietosuojan toteutumista yrityksessä ja toimii yhdyshenkilönä tietosuoja-asioissa eri sidosryhmiin.

Tietosuojan varmistaminen

Tietosuoja-asiat kuuluvat osana henkilötietoja käsittelevien uusien työntekijöiden perehdytykseen ja niistä järjestetään säännöllisesti koulutusta kaikille työntekijöille. Kaikkia henkilötietoja käsitteleviä henkilöitä sitoo laissa säännelty ja erikseen työsopimuksissa sovittu ja dokumentoitu vaitiolovelvollisuus.

Henkilötietoja sisältävien tietojärjestelmien käyttöä kontrolloidaan käyttäjähallintaratkaisulla tai muuten dokumentoiduilla menettelyillä. Lokitiedot kerätään erikseen laissa säädetyllä tai muutoin riittävällä tarkkuudella kaikista rekistereistä. Kukin johtoryhmän jäsen arvioi ja valvoo tietosuojan toteutumista omissa toiminnoissaan.

Menettely tietosuojan vaarantuessa

Mikäli tietosuojan epäillään tai havaitaan vaarantuneen, asia tutkitaan viipymättä. Lisäksi asiasta ilmoitetaan viipymättä rekisteröidylle ja valvontaviranomaisille lain edellyttämällä tavalla. Katsomme tietosuojaa vaarantavaksi toiminnaksi kaiken henkilötietojen

käsittelyä koskevien lakien, tämän tietosuojapolitiikan tai sen perusteella annetun ohjeistuksen vastaisen toiminnan.

Mikäli arvioimme tietosuojaa vaarantavan toiminnan täyttävän lainsäädännössä kuvatun rangaistavan toiminnan tunnusmerkistön, annamme asian viranomaisten tutkittavaksi.  Jos vaaraa aiheuttava toiminta ei täytä em. tunnusmerkistöä, mutta vaarantaa tietosuojaa, voi asiasta seurata huomautus, varoitus tai työsuhteen päättäminen.

Tiedottaminen henkilöstölle, rekisteröidyille ja sidosryhmille

Tästä tietosuojapolitiikasta ja sen muutoksista tiedotetaan Haltijan henkilökuntaa intranetissä, kk-kokouksissa ja tarvittaessa esim. sähköpostijakeluilla. Lisäksi kulloinkin voimassaoleva tietosuojapolitiikka julkaistaan haltija.fi -sivustolla.

Tietosuojapolitiikka päivitetään tarpeen mukaan. Tämän lisäksi Haltijassa annetaan sisäisiä ohjeita ja koulutusta tietosuoja-asioista.


Päivitetty
2018-05-23