top of page

Käytäntö – GDPR:n tietosuojakäytäntö

 

Sinun on luettava tämä käytäntö, koska se sisältää tärkeitä tietoja:

 

  • tietosuojaperiaatteet, joita Yrityksen on noudatettava;

  • mitä tarkoitetaan henkilötiedoilla (tai tiedoilla) ja arkaluonteisilla henkilötiedoilla (tai tiedoilla);

  • kuinka keräämme, käytämme ja (lopuksi) poistamme henkilötietoja ja arkaluonteisia henkilötietoja tietosuojaperiaatteiden mukaisesti;

  • mistä löytyy tarkempia tietosuojatietoja, esim. sinusta keräämistämme ja käyttämistämme henkilötiedoista, miten niitä käytetään, säilytetään ja siirretään, mihin tarkoituksiin, miten tiedot on suojattu ja kuinka kauan niitä säilytetään;

  • oikeutesi ja velvollisuutesi tietosuojaan liittyen; ja

  • tämän käytännön noudattamatta jättämisen seuraukset.

 

  1. Johdanto

 

  1. Yritys hankkii, säilyttää ja käyttää henkilötietoja (kutsutaan myös tiedoiksi) työnhakijoista ja nykyisistä ja entisistä työntekijöistä, tilapäis- ja vuokratyöntekijöistä, urakoitsijoista, harjoittelijoista, vapaaehtoisista ja oppisopimusoppilaista useisiin laillisiin tarkoituksiin, jotka on määritelty Yrityksen tietosuojaselosteet liittyen rekrytointiin ja työsuhteeseen.

 

  1. Tämä käytäntö määrittelee, kuinka noudatamme tietosuojavelvoitteitamme ja pyrimme suojaamaan työntekijöihimme liittyviä henkilötietoja. Sen tarkoituksena on myös varmistaa, että henkilöstö ymmärtää ja noudattaa sääntöjä, jotka koskevat sellaisten henkilötietojen keräämistä, käyttöä ja poistamista, joihin heillä saattaa olla pääsy työnsä aikana.

 

  1. Olemme sitoutuneet noudattamaan tietosuojavelvoitteitamme ja olemaan ytimekkäitä, selkeitä ja avoimia sen suhteen, kuinka hankimme ja käytämme henkilöstöämme koskevia henkilötietoja ja kuinka (ja milloin) poistamme kyseiset tiedot, kun niitä ei enää tarvita.

 

  1. Yrityksen tietosuojavastaava on vastuussa yritykselle ja sen henkilöstölle tiedottamisesta ja neuvonnasta sen tietosuojavelvoitteisiin liittyvissä asioissa sekä näiden velvoitteiden ja yrityksen toimintaperiaatteiden noudattamisen valvonnasta. Jos sinulla on kysyttävää tai kommentteja tämän käytännön sisällöstä tai jos tarvitset lisätietoja, ota yhteyttä tietosuojavastaavaan sähköpostiin:dpo@confirmsend.co.

 

  1. Laajuus

 

  1. Tämä käytäntö koskee työnhakijoiden sekä nykyisen ja entisen henkilöstön henkilötietoja, mukaan lukien työntekijät, vuokratyöntekijät, vuokratyöntekijät, harjoittelijat, vapaaehtoiset ja harjoittelijat.

 

  1. Henkilökunnan tulee tutustua yrityksen tietosuojailmoitukseen ja tarvittaessa sen muihin asiaankuuluviin käytäntöihin, mukaan lukien Internetiin, sähköpostiin ja viestintään, seurantaan, sosiaaliseen mediaan, tietoturvaan, tietojen säilyttämiseen ja rikosrekisteritietoihin liittyvät käytännöt, jotka sisältävät lisätietoja koskien henkilötietojen suojaa näissä yhteyksissä.

 

  1. Tarkistamme ja päivitämme tätä käytäntöä säännöllisesti tietosuojavelvoitteidemme mukaisesti. Se ei ole osa yhdenkään työntekijän työsopimusta, ja voimme muuttaa, päivittää tai täydentää sitä ajoittain. Lähetämme kaikki uudet tai muutetut käytännöt henkilöstölle ennen niiden hyväksymistä.

 

  1. Määritelmät

 

  1. Rikosrekisteritiedot

tarkoittaa henkilötietoja, jotka liittyvät rikostuomioihin ja rikoksiin, syytöksiin, menettelyihin ja niihin liittyviin turvatoimiin;

 

  1. Tietovuoto

tarkoittaa tietoturvaloukkausta, joka johtaa henkilötietojen vahingossa tapahtuvaan tai laittomaan tuhoutumiseen, katoamiseen, muuttamiseen, luvattomaan paljastamiseen tai pääsyyn;

 

  1. Rekisteröity

tarkoittaa henkilöä, johon henkilötiedot liittyvät;

 

  1. Henkilökohtaisia tietoja

(joskus kutsutaan henkilötiedoksi) tarkoittaa tietoa, joka liittyy henkilöön, joka voidaan tunnistaa (suoraan tai välillisesti) näistä tiedoista;

 

  1. Tietojen käsittely

tarkoittaa tietojen hankkimista, tallentamista, järjestämistä, tallentamista, muuttamista, hakemista, paljastamista ja/tai tuhoamista taikka niiden käyttöä tai tekemistä;

 

  1. Pseudonyymi

tarkoittaa prosessia, jossa henkilötietoja käsitellään siten, että niitä ei voida käyttää henkilön tunnistamiseen ilman lisätietojen käyttöä, jotka säilytetään erikseen ja joihin sovelletaan teknisiä ja organisatorisia toimenpiteitä sen varmistamiseksi, että henkilötietoja ei voida katsoa tunnistettavissa oleva henkilö;

 

  1. Arkaluonteiset henkilötiedot

(tunnetaan joskus nimellä "erityiset henkilötietojen luokat" tai "arkaluonteiset henkilötiedot") tarkoittaa henkilökohtaisia tietoja yksilön rodusta, etnisestä alkuperästä, poliittisista mielipiteistä, uskonnollisista tai filosofisista vakaumuksista, ammattiliittojen jäsenyydestä (tai ei-jäsenyydestä), geneettisiä tietoja, biometriset tiedot (jos niitä käytetään henkilön tunnistamiseen) ja tiedot henkilön terveydestä, seksielämästä tai seksuaalisesta suuntautumisesta.

 

  1. Tietosuojaperiaatteet

 

  1. Yritys noudattaa seuraavia tietosuojaperiaatteita käsitellessään henkilötietoja:

 

  1. käsittelemme henkilötietoja laillisesti, oikeudenmukaisesti ja läpinäkyvästi;

 

  1. keräämme henkilötietoja vain tiettyihin, nimenomaisiin ja laillisiin tarkoituksiin, emmekä käsittele niitä tavalla, joka on ristiriidassa näiden laillisten tarkoitusten kanssa;

 

  1. käsittelemme vain henkilötietoja, jotka ovat riittäviä, olennaisia ja tarpeellisia asianmukaisiin tarkoituksiin;

 

  1. pidämme tarkat ja ajan tasalla olevat henkilötiedot ja ryhdymme kohtuullisiin toimiin varmistaaksemme, että virheelliset henkilötiedot poistetaan tai korjataan viipymättä;

 

  1. säilytämme henkilötietoja muodossa, joka mahdollistaa rekisteröityjen tunnistamisen vain niin kauan kuin on tarpeen niiden tarkoituksiin, joita varten tietoja käsitellään; ja

 

  1. ryhdymme asianmukaisiin teknisiin ja organisatorisiin toimenpiteisiin varmistaaksemme, että henkilötiedot säilytetään turvassa ja suojataan luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta katoamiselta, tuhoutumiselta tai vahingoittumiselta.

 

  1. Henkilötietojen käsittelyn peruste

 

  1. Kaiken käsittelyn yhteydessä teemme ennen käsittelyn aloittamista ensimmäisen kerran ja sen jälkeen säännöllisesti sen jatkuessa:

 

  1. tarkastele tietyn käsittelytoiminnan tarkoitusta ja valitse asianmukaisin laillinen perusta (tai perusteet) kyseiselle käsittelylle, esim.

 

  1. että rekisteröity on antanut suostumuksensa käsittelyyn;

 

  1. että käsittely on tarpeen sellaisen sopimuksen täyttämiseksi, jossa rekisteröity on osapuolena, tai toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä ennen sopimuksen tekemistä;

 

  1. että käsittely on välttämätöntä Yrityksen laillisen velvoitteen noudattamiseksi;

 

  1. että käsittely on tarpeen rekisteröidyn tai muun luonnollisen henkilön elintärkeiden etujen suojaamiseksi;

 

  1. että käsittely on tarpeen yleisen edun mukaisen tehtävän suorittamiseksi

 

  1. että käsittely on tarpeen Yrityksen tai kolmannen osapuolen oikeutettuja etuja varten, paitsi jos rekisteröidyn perusoikeudet ja -vapaudet syrjäyttävät kyseiset edut – katso kohta 5.2 alla.

 

  1. lukuun ottamatta tapauksia, joissa käsittely perustuu suostumukseen, varmistua siitä, että käsittely on tarpeellista asiaankuuluvan laillisen perusteen kannalta (eli ettei ole muuta järkevää tapaa saavuttaa tämä tarkoitus);

 

  1. dokumentoi päätöksemme siitä, mikä laillinen perusta on voimassa, jotta voimme osoittaa, että noudatamme tietosuojaperiaatteita;

 

 

  1. sisällyttää tietoja sekä käsittelyn tarkoituksesta että sen laillisesta perustasta asiaankuuluviin tietosuojailmoituksiimme;

 

  1. jos arkaluonteisia henkilötietoja käsitellään, yksilöi myös laillinen erityisehto näiden tietojen käsittelylle (katso jäljempänä kohta 6.2.2) ja dokumentoi se; ja

 

  1. jos rikostietoja käsitellään, tunnistaa myös näiden tietojen käsittelyn laillinen ehto ja dokumentoida se.

 

  1. Kun päätämme, ovatko Yrityksen oikeutetut edut asianmukaisin peruste lainmukaiselle käsittelylle, aiomme:

 

  1. suorittaa oikeutettujen etujen arvioinnin (LIA) ja pitää siitä kirjaa varmistaaksemme, että voimme perustella päätöksemme;

 

  1. jos LIA havaitsee merkittävän vaikutuksen yksityisyyteen, harkitse, onko meidän myös tehtävä tietosuojavaikutusten arviointi (DPIA)

 

  1. tarkkaile LIA:ta ja toista se, jos olosuhteet muuttuvat; ja

 

  1. sisällyttää tietoja oikeutetuista eduistamme asiaankuuluviin tietosuojailmoituksiimme.

 

  1. Arkaluonteiset henkilötiedot

 

  1. Arkaluonteisia henkilötietoja kutsutaan joskus "henkilötietojen erityisluokiksi" tai "arkaluonteisiksi henkilötiedoiksi".

 

  1. Yritys saattaa ajoittain joutua käsittelemään arkaluonteisia henkilötietoja. Käsittelemme arkaluonteisia henkilötietoja vain, jos:

 

  1. meillä on edellä kohdassa 5.1.1 mainittu laillinen peruste tehdä niin, esim. se on välttämätöntä työsopimuksen täyttämiseksi, Yrityksen lakisääteisten velvoitteiden noudattamiseksi tai Yrityksen oikeutetun edun vuoksi; ja

 

  1. Yksi arkaluonteisten henkilötietojen käsittelyn erityisehdoista on voimassa, esim.

 

  1. rekisteröity on antanut nimenomaisen suostumuksen;

 

  1. käsittely on tarpeen Yrityksen tai rekisteröidyn työoikeudellisten oikeuksien tai velvollisuuksien käyttämiseksi;

 

  1. käsittely on välttämätöntä rekisteröidyn elintärkeiden etujen suojelemiseksi, ja rekisteröity on fyysisesti kyvytön antamaan suostumusta;

 

  1. käsittely liittyy henkilötietoihin, jotka rekisteröity on selvästi julkistanut;

 

  1. käsittely on tarpeen oikeudellisten vaatimusten esittämiseksi, esittämiseksi tai puolustamiseksi; tai

 

  1. käsittely on välttämätöntä merkittävän yleisen edun vuoksi.

 

  1. Ennen arkaluonteisten henkilötietojen käsittelyä henkilöstön tulee ilmoittaa ehdotetusta käsittelystä tietosuojavastaavalle, jotta tietosuojavastaava voi arvioida, onko käsittely edellä mainittujen kriteerien mukainen.

 

  1. Arkaluonteisia henkilötietoja ei käsitellä ennen kuin:

 

  1. kohdassa 6.3 tarkoitettu arviointi on suoritettu; ja

 

  1. henkilölle on tiedotettu asianmukaisesti (tietosuojailmoituksella tai muuten) käsittelyn luonteesta, tarkoituksista, joita varten se suoritetaan, ja sen oikeudellisesta perustasta.

 

  1. Yritys ei tee automaattista päätöksentekoa (mukaan lukien profilointi) kenenkään henkilön arkaluonteisten henkilötietojen perusteella.

 

  1. Yrityksen tietosuojaselosteessa kerrotaan, minkä tyyppisiä arkaluonteisia henkilötietoja yritys käsittelee, mihin niitä käytetään ja käsittelyn laillinen peruste.

 

  1. Arkaluonteisten henkilötietojen osalta Yritys noudattaa alla kohdissa 6.8 ja 6.9 esitettyjä menettelyjä varmistaakseen, että se noudattaa edellä kohdassa 4 esitettyjä tietosuojaperiaatteita.

 

  1. Rekrytointiprosessin aikana: Työntekijäpäällikkö varmistaa tietosuojavastaavan ohjeiden mukaisesti, että (ellei laki toisin salli):

 

  1. esivalinta-, haastattelu- ja päätöksentekovaiheessa ei esitetä kysymyksiä, jotka liittyvät arkaluontoisiin henkilötietoihin, kuten rotuun tai etniseen alkuperään, ammattiliittojen jäsenyyteen tai terveyteen;

 

  1. jos arkaluonteisia henkilötietoja saadaan, esim. hakija antaa ne pyytämättä sitä ansioluettelossaan tai haastattelun aikana, niistä ei tallenneta ja kaikki viittaukset niihin poistetaan tai poistetaan välittömästi

 

  1. kaikki täytetty yhtäläisten mahdollisuuksien seurantalomake säilytetään erillään henkilön hakulomakkeesta, eikä niitä näytetä esivalintaan, haastatteluun tai rekrytointipäätöksen tekevälle henkilölle;

 

  1. "Oikeus työhön" -tarkastukset suoritetaan ennen kuin työtarjous tehdään ehdottomaksi, eikä aikaisemmissa esivalinta-, haastattelu- tai päätöksentekovaiheissa;

 

  1. emme esitä terveyskysymyksiä rekrytoinnin yhteydessä tai teemme terveyskysymyksiä vasta kun työtarjous on tehty.

 

  1. Työsuhteen aikana: Toimistopäällikkö käsittelee tietosuojavastaavan ohjeiden mukaisesti:

 

  1. Terveystiedot sairauspalkkojen hallinnointia, sairauspoissaolojen kirjaamista, henkilöstön läsnäolon seurantaa ja työhön liittyvien terveys- ja sairauskorvausten helpottamista varten;

 

  1. arkaluonteisia henkilötietoja yhtäläisten mahdollisuuksien seurantaa ja palkkatasa-arvoraportointia varten. Jos mahdollista, nämä tiedot anonymisoidaan; ja

 

  1. ammattiliiton jäsentiedot henkilöstöhallinnon ja "check off" -hallinnon tarkoituksiin.

 

 

  1. Rikosrekisteritiedot

 

  1. Rikosrekisteritietoja käsitellään Yrityksen rikosrekisteritietopolitiikan mukaisesti.

 

  1. Tietosuojavaikutusten arvioinnit (DPIA)

 

  1. Jos käsittely todennäköisesti johtaa suureen riskiin henkilön tietosuojaoikeuksille (esim. jos yritys aikoo käyttää uutta teknologiaa), teemme ennen käsittelyn aloittamista DPIA:n arvioidaksemme:

 

  1. onko käsittely tarpeellista ja oikeasuhteista tarkoitukseensa nähden;

 

  1. yksilöille aiheutuvat riskit; ja

 

  1. mitä toimenpiteitä voidaan toteuttaa näiden riskien torjumiseksi ja henkilötietojen suojaamiseksi.

 

  1. Ennen kuin uusi tekniikka otetaan käyttöön, asiasta vastaavan johtajan tulee siksi ottaa yhteyttä tietosuojavastaavaan DPIA:n suorittamiseksi.

 

  1. DPIA:n aikana kumppani pyytää neuvoja tietosuojavastaavalta sekä muiden asiaankuuluvien sidosryhmien näkemyksiä.

 

  1. Dokumentaatio ja asiakirjat

 

  1. Pidämme kirjaa käsittelytoimista, jotka ovat suuririskisiä, eli jotka voivat vaarantaa yksilön oikeudet ja vapaudet tai sisältää arkaluonteisia henkilötietoja tai rikosrekisteritietoja, mukaan lukien:

 

  1. työnantajajärjestön (ja tarvittaessa muiden rekisterinpitäjien, työnantajan edustajan ja tietosuojavastaavan) nimi ja tiedot

 

  1. käsittelyn tarkoitukset;

 

  1. kuvaus henkilöluokista ja henkilötietoluokista;

 

  1. henkilötietojen vastaanottajien luokat;

 

  1. tarvittaessa yksityiskohtaiset tiedot siirroista kolmansiin maihin, mukaan lukien asiakirjat käytössä olevista siirtomekanismin suojatoimista;

 

  1. mahdollisuuksien mukaan säilytysaikataulut; ja

 

  1. mahdollisuuksien mukaan kuvaus teknisistä ja organisatorisista turvatoimenpiteistä.

 

  1. Osana käsittelytoimintojamme dokumentoimme tai linkitämme asiakirjoihin osoitteessa:

 

  1. tietosuojailmoituksia varten tarvittavat tiedot;

 

  1. suostumusasiakirjat;

 

  1. rekisterinpitäjän ja prosessorin sopimukset;

 

  1. henkilötietojen sijainti;

 

  1. DPIA:t; ja

 

  1. tiedot tietomurroista.

 

  1. Jos käsittelemme arkaluonteisia henkilötietoja tai rikosrekisteritietoja, säilytämme kirjallisia tietoja:

 

  1. asiaankuuluvat tarkoitukset, joita varten käsittely tapahtuu, mukaan lukien (tarvittaessa miksi se on tarpeellista tähän tarkoitukseen);

 

  1. käsittelymme laillinen peruste; ja

 

  1. säilytämmekö ja poistammeko henkilötiedot käytäntöasiakirjamme mukaisesti ja jos ei, syyt käytäntöjemme noudattamatta jättämiseen.

 

  1. Tarkistamme säännöllisesti käsittelemämme henkilötiedot ja päivitämme dokumentaatiomme sen mukaisesti. Tämä voi sisältää:

 

  1. tietotarkastusten tekeminen yrityksen hallussa olevien henkilötietojen selvittämiseksi;

 

  1. kyselylomakkeiden jakaminen ja keskustelu yrityksen henkilöstön kanssa saadakseen täydellisemmän kuvan käsittelytoiminnastamme; ja

 

  1. tarkastella käytäntöjämme, menettelyjämme, sopimuksiamme ja sopimuksiamme käsitelläksemme sellaisia aloja kuin säilytys, turvallisuus ja tietojen jakaminen.

 

  1. Tietosuojailmoitus

 

  1. Yritys julkaisee ajoittain tietosuojailmoituksia, joissa kerrotaan, mitä henkilötietoja keräämme ja säilytämme sinuun liittyen, kuinka voit odottaa henkilökohtaisia tietojasi käytettävän ja mihin tarkoituksiin.

 

  1. Ryhdymme asianmukaisiin toimenpiteisiin antaaksemme tietosuojailmoituksissa tiedot tiiviissä, läpinäkyvässä, ymmärrettävässä ja helposti saatavilla olevassa muodossa, selkeää ja selkeää kieltä käyttäen.

 

  1. Yksilölliset oikeudet

 

  1. Sinulla (kuten muiden rekisteröityjen kanssa) on seuraavat oikeudet henkilötietoihisi liittyen:

 

  1. saada tietoa siitä, miten, miksi ja millä perusteella näitä tietoja käsitellään – katso Yrityksen tietosuojaseloste;

 

  1. saadaksesi vahvistuksen siitä, että tietojasi käsitellään, ja saada pääsy niihin ja tiettyihin muihin tietoihin tekemällä aiheen käyttöoikeuspyyntö – katso Yrityksen pääsypyyntökäytäntö;

 

  1. tietojen oikaiseminen, jos ne ovat epätarkkoja tai epätäydellisiä;

 

  1. pyytää tietojen poistamista, jos niitä ei enää tarvita siihen tarkoitukseen, jota varten ne alun perin kerättiin/käsiteltiin, tai jos käsittelylle ei ole pakottavia laillisia perusteita (tätä kutsutaan joskus "oikeudeksi tulla unohdetuksi");

 

  1. rajoittaa henkilötietojen käsittelyä, jos tietojen paikkansapitävyys on kiistetty tai käsittely on lainvastaista (mutta et halua tietojen poistuvan) tai jos työnantaja ei enää tarvitse henkilötietoja, mutta sinä vaadit tietoja perustaa, esittää tai puolustaa oikeudellista vaatetta; ja

 

  1. rajoittaa henkilötietojen käsittelyä väliaikaisesti, jos ne eivät ole mielestäsi oikeita (ja työnantaja tarkistaa, onko se paikkansapitävä) tai jos olet vastustanut käsittelyä (ja työnantaja harkitsee, ovatko organisaation oikeutetut perusteet etusijalla ).

 

  1. Jos haluat käyttää jotakin kohtien 11.1.3-11.1.6 oikeuksia, ota yhteyttä tietosuojavastaavaan.

 

  1. Yksilölliset velvoitteet

 

  1. Yksityishenkilöt ovat vastuussa siitä, että yritys auttaa pitämään henkilötietonsa ajan tasalla. Toimistopäällikölle tulee ilmoittaa, jos Yritykselle antamasi tiedot muuttuvat, esimerkiksi jos muutat asuntoon tai vaihdat sen pankin tai taloyhtiön tilin tietoja, jolle sinulle maksetaan.

 

  1. Sinulla voi olla pääsy yrityksen muiden työntekijöiden, tavarantoimittajien ja asiakkaiden henkilötietoihin työsuhteesi tai toimeksiantosi aikana. Jos näin on, Yritys odottaa sinun auttavan täyttämään tietosuojavelvoitteensa näitä henkilöitä kohtaan. Sinun tulee esimerkiksi olla tietoinen siitä, että heillä voi olla myös edellä kohdassa 11.1 mainitut oikeudet

 

 

  1. Jos sinulla on pääsy henkilötietoihin, sinun on:

 

  1. käyttää vain niitä henkilötietoja, joihin sinulla on valtuudet päästä käsiksi, ja vain valtuutettuihin tarkoituksiin;

 

  1. sallia yrityksen muiden työntekijöiden pääsyn henkilötietoihin vain, jos heillä on asianmukainen valtuutus;

 

  1. salli henkilöiden, jotka eivät ole Yrityksen henkilökuntaa, päästä käsiksi henkilötietoihin vain, jos sinulla on tietosuojavastaavalta erityisvaltuudet tehdä niin;

 

  1. pitää henkilökohtaiset tiedot turvassa (esim. noudattamalla tiloihin pääsyä, tietokoneiden pääsyä, salasanasuojausta ja suojattua tiedostojen säilytystä ja tuhoamista koskevia sääntöjä ja muita Yrityksen tietoturvakäytännössä määriteltyjä varotoimia);

 

  1. olemaan poistamatta henkilökohtaisia tietoja tai henkilökohtaisia tietoja sisältäviä laitteita (tai joita voidaan käyttää niihin pääsyyn) Yrityksen tiloista, ellei asianmukaisia turvatoimia (kuten pseudonyymisointi, salaus tai salasanasuojaus) ole käytössä tietojen ja laitteen turvaamiseksi; ja

 

  1. ei tallenna henkilökohtaisia tietoja paikallisille asemille tai henkilökohtaisille laitteille, joita käytetään työtarkoituksiin;

 

  1. Sinun tulee ottaa yhteyttä tietosuojavastaavaan, jos olet huolissasi tai epäilet, että jokin seuraavista on tapahtunut (tai tapahtuu tai todennäköisesti tapahtuu):

 

  1. henkilötietojen käsittely ilman laillista perustetta niiden käsittelylle tai, jos on kyse arkaluonteisista henkilötiedoista, ilman, että jokin kohdan 6.2.2 ehdoista täyttyy;

 

  1. kaikki jäljempänä kohdassa 15.1 kuvatut tietoturvaloukkaukset;

 

  1. pääsy henkilötietoihin ilman asianmukaista lupaa;

 

  1. henkilötietoja ei säilytetä tai poisteta turvallisesti;

 

  1. henkilötietojen tai henkilökohtaisia tietoja sisältävien (tai niihin pääsyyn käytettävien) laitteiden poistaminen Yrityksen tiloista ilman asianmukaisia turvatoimia;

 

  1. mikä tahansa muu tämän käytännön tai edellä kohdassa 4.1 esitettyjen tietosuojaperiaatteiden rikkominen.

 

  1. Tietoturva

 

  1. Yritys käyttää asianmukaisia teknisiä ja organisatorisia toimenpiteitä Yrityksen tietoturvapolitiikan mukaisesti pitääkseen henkilötiedot turvassa ja erityisesti suojatakseen luvattomalta tai laittomalta käsittelyltä sekä vahingossa tapahtuvalta katoamiselta, tuhoutumiselta tai vahingoittumiselta. Näitä voivat olla:

 

  1. varmistaa, että mahdollisuuksien mukaan henkilötiedot salataan tai salataan;

 

  1. käsittelyjärjestelmien ja -palvelujen jatkuvan luottamuksellisuuden, eheyden, saatavuuden ja joustavuuden varmistaminen;

 

  1. varmistaa, että fyysisen tai teknisen vaaratilanteen sattuessa henkilötietojen saatavuus ja pääsy voidaan palauttaa ajoissa; ja

 

  1. prosessi, jolla säännöllisesti testataan, arvioidaan ja arvioidaan teknisten ja organisatoristen toimenpiteiden tehokkuutta käsittelyn turvallisuuden varmistamiseksi.

 

  1. Jos Yritys käyttää ulkopuolisia organisaatioita käsittelemään henkilötietojaan puolestaan, näiden organisaatioiden kanssa tehdyissä sopimuksissa on toteutettava lisäturvajärjestelyjä henkilötietojen turvallisuuden takaamiseksi. Ulkopuolisten organisaatioiden kanssa tehdyissä sopimuksissa on erityisesti määrättävä, että:

 

  1. organisaatio saa toimia vain Yrityksen kirjallisten ohjeiden mukaisesti;

 

  1. tietoja käsittelevillä henkilöillä on luottamusvelvollisuus;

 

  1. asianmukaisia toimenpiteitä toteutetaan käsittelyn turvallisuuden varmistamiseksi;

 

  1. alihankkijat otetaan palvelukseen vain Yrityksen etukäteen antamalla suostumuksella ja kirjallisen sopimuksen perusteella;

 

  1. organisaatio auttaa yritystä tarjoamaan henkilöille pääsyn ja sallimaan henkilöiden käyttää tietosuojaan liittyviä oikeuksiaan;

 

  1. organisaatio auttaa Yritystä täyttämään sen käsittelyn turvallisuuteen, tietoturvaloukkauksista ilmoittamiseen ja tietosuojavaikutusten arviointiin liittyvät velvoitteet;

 

  1. organisaatio poistaa tai palauttaa kaikki henkilötiedot yritykselle sopimuksen päättyessä vaaditulla tavalla; ja

 

  1. organisaatio suostuu auditoinneille ja tarkastuksille, antaa yritykselle kaikki tiedot, joita se tarvitsee varmistaakseen, että he molemmat täyttävät tietosuojavelvoitteensa, ja ilmoittaa yritykselle välittömästi, jos sitä pyydetään tekemään jotain tietosuojalain vastaista.

 

  1. Ennen kuin tehdään uusi sopimus, johon liittyy henkilötietojen käsittelyä ulkopuolisessa organisaatiossa, tai ennen kuin olemassa olevaa sopimusta muutetaan, asianomaisen henkilöstön on pyydettävä tietosuojavastaavalta hyväksyntää sen ehdot;

 

  1. Henkilötietojen säilyttäminen ja säilyttäminen

 

  1. Henkilötietoja (ja arkaluonteisia henkilötietoja) säilytetään turvallisesti Yrityksen tietoturvapolitiikan mukaisesti.

 

  1. Henkilötietoja (ja arkaluonteisia henkilötietoja) ei pidä säilyttää pidempään kuin on tarpeen. Tietojen säilytysaika riippuu olosuhteista, mukaan lukien syyt, joiden vuoksi henkilötiedot on saatu. Henkilöstön tulee noudattaa yrityksen asiakirjojen säilytyskäytäntöä, jossa määritellään asianmukainen säilytysaika tai kriteerit, joita tulisi käyttää säilytysajan määrittämisessä. Jos on epävarmuutta, henkilöstön tulee kuulla [tietosuojavastaavaa;

 

  1. Henkilötiedot (ja arkaluonteiset henkilötiedot), joita ei enää tarvita, poistetaan pysyvästi tietojärjestelmistämme ja kaikki paperikopiot tuhotaan turvallisesti.

 

  1. Tietomurrot

 

  1. Tietomurto voi esiintyä monessa eri muodossa, esimerkiksi:

 

  1. tietojen tai laitteiden, joihin henkilökohtaisia tietoja on tallennettu, katoaminen tai varastaminen;

 

  1. henkilötietojen luvaton pääsy tai käyttö henkilökunnan jäsenen tai kolmannen osapuolen toimesta;

 

  1. tietojen katoaminen laitteen tai järjestelmän (mukaan lukien laitteiston ja ohjelmiston) viasta;

 

  1. inhimillinen virhe, kuten tietojen tahaton poistaminen tai muuttaminen;

 

  1. odottamattomat olosuhteet, kuten tulipalo tai tulva;

 

  1. tietoteknisiin järjestelmiin kohdistuvat tahalliset hyökkäykset, kuten hakkerointi, virukset tai tietojenkalasteluhuijaukset; ja

 

  1. "leppausrikokset", joissa tietoa hankitaan petämällä niitä hallussaan pitävää organisaatiota.

 

  1. Yritys tulee:

 

  1. tehdä vaaditun ilmoituksen tietoturvaloukkauksesta tietoturvavaltuutetun toimistolle ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa siitä, kun se on saanut tietoonsa, jos se todennäköisesti aiheuttaa riskin yksilöiden oikeuksille ja vapauksille; ja

 

  1. ilmoittaa asianosaisille henkilöille, jos tietoturvaloukkaus todennäköisesti vaarantaa heidän oikeuksiaan ja vapauksiaan ja ilmoittaminen on lain mukaan välttämätöntä.

 

  1. Kansainväliset siirrot

 

  1. Yritys voi siirtää henkilötietoja Euroopan talousalueen (ETA) ulkopuolelle (johon kuuluvat Euroopan unionin maat sekä Islanti, Liechtenstein ja Norja) sillä perusteella, että kyseisellä maalla, alueella tai organisaatiolla on riittävä suojataso tai tiedot vastaanottava organisaatio on antanut riittävät suojatoimet sitovilla yrityssäännöillä tai vakiomuotoisilla tietosuojalausekkeilla tai hyväksyttyjen käytännesääntöjen noudattamisella tai asiakkaan nimenomaisella suostumuksella.

 

  1. Koulutus

 

  1. Yhtiö huolehtii siitä, että henkilöstöä koulutetaan riittävästi tietosuojavastuunsa suhteen. Henkilöt, joiden roolit edellyttävät säännöllistä pääsyä henkilökohtaisiin tietoihin tai jotka ovat vastuussa tämän käytännön täytäntöönpanosta tai tämän käytännön mukaisiin pääsypyyntöihin vastaamisesta, saavat lisäkoulutusta, joka auttaa heitä ymmärtämään velvollisuutensa ja noudattamaan niitä.

 

  1. Seuraukset noudattamatta jättämisestä

 

  1. Yritys suhtautuu tämän käytännön noudattamiseen erittäin vakavasti. Käytännön noudattamatta jättäminen:

 

  1. vaarantaa henkilöt, joiden henkilötietoja käsitellään; ja

 

  1. sisältää merkittävien siviili- ja rikosoikeudellisten seuraamusten riskin yksilölle ja Yritykselle; ja

 

  1. voi joissain olosuhteissa olla yksilön tekemä rikos.

 

  1. Tämän käytännön tärkeydestä johtuen, jos työntekijä ei noudata sen vaatimuksia, se voi johtaa menettelyjemme mukaiseen kurinpitotoimiin, ja tämä toimenpide voi johtaa irtisanomiseen törkeän virheen vuoksi. Jos työntekijä, joka ei ole työntekijä, rikkoo tätä käytäntöä, hänen sopimuksensa voidaan irtisanoa välittömästi.

 

  1. Jos sinulla on kysyttävää tai huolenaiheita tästä käytännöstä, älä epäröi ottaa yhteyttä tietosuojavastaavaan;

 

 

 

Olen lukenut ja ymmärtänyt tämän käytännön ja sitoudun noudattamaan sen ehtoja.

 

Allekirjoitettu ................................................... ................................................... .

bottom of page