Klikkaa, kun tarvitset teknistä tukea tai huoltoa! ICT-servicedesk Canon-huolto Etätuki

Printcomin Tietosuojapolitiikka

1. Johdanto


Tietosuojalla on perinteisesti ymmärretty henkilötietolain ja erityisesti henkilötietojen käsittelyä koskevien vaatimusten huomioon ottamista ja rekisteröityjen yksityisyyden suojan ja oikeusturvan takia. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollisia henkilöitä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan yhteydessä taloudessa eläviä koskeviksi.

Tietosuoja on oleellinen osa tietoturvallisuutta ja kannalta merkittävä tekijä käsiteltävän tiedon luottamuksellisuuden ja koko toiminnan kannalta. Tietosuojalainsäädäntö edellyttää, että henkilötietojen käsittely on turvattava ja henkilötiedot on suojattava asiattomalta käsittelyltä. Tietojen ja tietojärjestelmien käyttöä seurataan ja väärinkäytöksiin puututaan.

Tietosuojapolitiikan periaatteet perustuvat kansallisiin, yleisiin ja toimialakohtaisiin tietoturvaa, henkilörekistereitä, hyvää tiedonhallintatapaa ja tiedon laatua ohjaaviin ja velvoittaviin säädöksiin, ohjeisiin ja standardeihin. Meidän tietoturvallisuuden hallintajärjestelmä on toteutettu ISO 27001 -standardin mukaisesti.

Tietosuojasta huolehtiminen on osa yrityksemme toimintaa, riskienhallintaa ja vastuullisia toimintaperiaatteita. Tietosuojapolitiikassa on määritelty henkilötietojen käsittelyn perusperiaatteet ja tietosuojan merkitys yrityksessämme. Tämä tietosuojapolitiikka on ylin tietosuojaa ohjaava dokumentti organisaatiossa ja se on kaikkien organisaatiossa työskentelevien henkilöiden, sidosryhmien ja rekisteröityjen nähtävillä. Henkilötietojen käsittelyn tulee olla lainsäädännön ja tämän tietosuojapolitiikan mukaista.

 

2. Tietosuojatoimintaa ohjaavat tekijät

Toteutamme tietosuojapolitiikkaa kaikissa toiminnossa huomioiden sekä EU:n tietosuoja-asetuksen että muun lainsäädännön vaatimukset. Tietosuojapolitiikan avulla pyritään varmistamaan henkilötietojen käsittelyyn liittyvät organisaatiossa työskentelevien henkilöiden, sidosryhmien ja rekisteröityjen oikeudet sekä rekisterinpitäjän oikeudet ja velvollisuudet. Meidän henkilötietojen käsittelyssä toteutetaan yksityiselämän suojaa ja edistetään hyvän tietojenkäsittelytavan noudattamista. Henkilötietojen käsittelyssä noudatetaan seuraavia yleisiä periaatteita:

  • lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • käyttötarkoitussidonnaisuus
  • tietojen minimointi
  • täsmällisyys
  • säilytyksen rajoittaminen
  • eheys ja luottamuksellisuus

Tietosuojalla on kiinteä yhteys tietoturvaan. Yrityksemme tietoturvapolitiikka määrittelee, mitä tarkoitetaan tietoturvalla ja kuinka sitä ylläpidetään.

 

3. Tietojen hankinta ja käsittely

Hankimme tietomme luotettavista lähteistä. Yrityksemme tietolähteitä ovat rekisteröidyt ja yhteistyökumppanit. Tietojen hankinta- ja tallennusprosesseja kehitetään jatkuvasti, jotta tietojen ajankohtaisuus ja taso on korkea. Yrityksemme järjestelmät ja palvelut on suunniteltu tietosuoja huomioiden. Henkilöstön koulutukseen sisältyy myös tietosuoja-asioiden koulutusta ja henkilöstö on sitoutunut pitämään salassa kaiken työssään saamansa luottamuksellisen tiedon. Yrityksessämme on tietosuojaa käsittelevä työryhmä, joka seuraa ja kehittää tietosuoja-asioita yrityksessämme.

 

4. Rekisteröidyn oikeudet

Tietosuoja on ihmisen yksityiselämän suojaamista ja rekisterinpitäjänä tiedottamme avoimesti henkilötietojen käsittelystä ennen käsittelytoimien aloittamista. Rekisteröidyn oikeuksien perusperiaatteena on henkilötietojen suojan takaaminen valtuudettomalta tai henkilöä vahingoittavalta tietojen käytöltä. Rekisteröidylle kuuluvista oikeuksista säädetään EU:n tietosuoja-asetuksessa ja kansallisessa lainsäädännössä.

Rekisteröidyn tiedonsaantioikeuden mukaisesti uusia rekisteröidylle ilmoitettavia asioita ovat asetuksen mukaan henkilötietojen säilytysaika ja tietosuojavastaavan yhteystiedot. Rekisteröity voi tarkastaa tietojansa ja pyytää niihin korjauksia tai lisäyksiä ottamalla yhteyttä meidän tietosuojavastaavaan. Rekisteröidyllä on myös oikeus siirtää tietojaan rekisteristä toiseen. Siirtämisoikeuden käyttö edellyttää, että käsittely perustuu rekisteröidyn suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti. Kun rekisteröity käyttää tätä oikeuttaan, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.

Tietosuoja-asetuksen mukaan rekisteröidyllä on oikeus vastustaa käsittelyä suoramarkkinointitarkoituksissa ja eräissä muissa asetuksessa mainituissa tilanteissa, jolloin hänen henkilötietojaan ei saa enää käsitellä ko. tarkoituksissa. Rekisteröidyllä on myös oikeus peruuttaa suostumuksensa, jolloin rekisterinpitäjän on poistettava rekisteröityä koskevat tiedot järjestelmästään, ellei käsittelylle ole muuta laillista perustetta.

 

5. Rekisterinpitäjän oikeudet ja velvollisuudet

Toteutamme rekisteröidyn oikeudet. Lisäksi varmistamme, ettei henkilötietoja käsitellä ilman asianmukaista oikeusperustaa. Huolehdimme, että henkilötietoja käsitellään vain asianmukaisin edellytyksin ja että tämä huomioidaan myös uusia käsittelytapoja suunniteltaessa. Henkilötietojen käsittely on käyttötarkoitussidonnaista eli määrittelemme ennakkoon ne tarkoitukset, joihin henkilötietoja käsitellään. Rekisterinpitäjän tulee myös huolehtia tietojen laadusta, tarpeellisuudesta ja oikeellisuudesta, sekä rekisteröityjen muista oikeuksista.

Henkilötietojen käsittely on suunniteltua kokonaisuudessaan. Kirjaamme henkilötietojen käsittelyyn liittyvät vastuut, toimivallat ja menettelyt sekä varmistumisen toiminnan lainmukaisuudesta. Laadimme tietosuojaselosteen ja informoimme rekisteröityjä. Osoitusvelvollisuuden mukaisesti teemme tarvittavat dokumentoinnit ja vaikutustenarvioinnit. Lisäksi olemme nimenneet tietosuojavastaavan ja laatineet tietosuojapolitiikan.

Valvomme henkilötietojen käsittelyä ja pystymme myös jälkikäteen todentamaan lokitiedostoista, kuka on suorittanut henkilötietojen haun järjestelmästä, mitä henkilötietoja on katsottu, muutettu, lisätty tai poistettu sekä milloin toimenpide on suoritettu. Menettely on etukäteen suunniteltua. Lokia muodostuu tyypillisesti hyvin paljon, jolloin seurantaa on hyvä myös automatisoida. Toteutamme myös tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan lainsäädäntöä. Näitä toimenpiteitä tarkistetaan ja päivitetään tarvittaessa.

 

6. Henkilötietojen käsittelijä

Käytämme ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tietosuoja-asetuksen vaatimukset. Henkilötietojen käsittelijän vastuu on määritettävä sopimuksella, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään. Sopimuksessa on määritelty vähintään käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet.


7. Tekniset ja hallinnolliset ratkaisut tietojen suojaamiseen


Valitsemme riskien arvioinnin perusteella tekniset suojausratkaisut hallussamme olevien tietojen suojaamiseen ja olemme rakentaneet riskien arvioinnin mukaisesti hallintojärjestelmän valvomaan, ohjaamaan sekä toteuttamaan päivittäistä tietojen käsittelyä yrityksessämme. Varmistamme tietosuojapolitiikan mukaisen tietosuojatason suorittamalla auditointeja ja katselmuksia. Keräämme lokitietoja tietojen käsittelyn alku- ja lopputapahtumista, mikä on osa meidän hallintajärjestelmän mukaista toimintaa. Olemme nimenneet tietosuojavastaavan, joka johtaa ja toimeenpanee johdon hyväksymän tietosuojapolitiikan sekä hallituksen hyväksymät operatiiviset toimenpiteet. Lisäksi koulutamme työntekijöitämme tietosuoja-asioissa säännöllisesti. Henkilötietojen käsittelijöitä sitoo myös salassapitovelvollisuus.


8. Tietosuojakoulutus ja -ohjeet


Yrityksessämme tietosuojasta on järjestetty koko henkilöstölle koulutusta. Lisäksi kaikki ohjeet ovat henkilöstön saatavilla, jotta he osaavat toimia ohjeiden ja sovittujen käytänteiden mukaisesti.


9. Toiminta tietosuojan vaarantuessa


Yrityksemme katsoo tietosuojaa vaarantavaksi toiminnaksi kaiken henkilötietojen käsittelyä koskevien lakien, tämän tietosuojapolitiikan tai sen perusteella annetun ohjeistuksen vastaisen toiminnan.


Jos tietosuojan epäillään tai havaitaan vaarantuneen, asia tutkitaan välittömästi. Lisäksi asiasta ilmoitetaan viipymättä tarvittaessa rekisteröidylle, jonka tietosuoja on vaarantunut. Teemme myös ilmoituksen valvontaviranomaiselle henkilötietojen tietoturvaloukkauksesta. Ilmoitus valvontaviranomaiselle tehdään 72 tunnin kuluessa siitä, kun loukkaus on havaittu.


10. Rikkomukset ja seuraamukset


Jokainen yrityksemme tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan hyväksyttyjä käyttösääntöjä ja tietoturvaohjeita. Yrityksemme tietosuoja- ja tietoturvapolitiikkaa sekä siihen liittyviä ohjeita vastaan havaitut rikkomukset raportoidaan organisaation johdolle.


11. Tiedottaminen henkilöstölle, rekisteröidylle ja sidosryhmille


Tästä tietosuojapolitiikasta ja sen muutoksista tiedotetaan koko henkilöstölle. Tietosuojapolitiikka päivitetään tarpeen mukaan. Tämän lisäksi annetaan sisäisiä ohjeita tietosuoja-asioista.


12. Tietosuojapolitiikan vahvistaminen


Olemme vahvistaneet tietosuojapolitiikan 1.5.2018