Tietosuoja­politiikkamme

24.10.2023

Tietosuojapolitiikkamme 24.10.2023

Tämä tietosuojapolitiikka määrittelee Firan sisäisesti hyväksytyt tietosuojaperiaatteet henkilötietojen käsittelemiseksi. Tietosuojasta huolehtiminen on osa Firan riskienhallintaa ja vastuullisia toimintaperiaatteita.

Tässä tietosuojapolitiikassa määritellään, kuinka Firassa pyritään varmistamaan henkilötietojen lainmukainen käsittely ja tietosuojan korkea taso. Tätä tietosuojapolitiikkaa sovelletaan Fira Oy:n ja sen tytäryhtiöihin kaikkialla maailmassa.

Tietosuojapolitiikan kattavuus ja tavoitteet

Tietosuojaan kuuluvat henkilöiden yksityiselämän suoja ja yksityisyyden suojaa turvaavat muut oikeudet henkilötietoja käsiteltäessä.

Tietosuojapolitiikan avulla pyritään turvaamaan kunkin sovellettavan lainsäädännön mukaiset henkilötietojen käyttöön liittyvät Firan asiakkaiden, työntekijöiden ja muihin sidosryhmiin kuuluvien henkilöiden oikeudet sekä varmistamaan tietojen käsittelijän oikeudet ja velvollisuuksien noudattaminen henkilötietoja käsiteltäessä. Tietosuojaa toteutettaessa kiinnitetään erityistä huomiota henkilötietojen salassapitoon sekä siihen, ettei asiattomilla ole pääsyä tietoihin, ettei tietoja käytetä henkilöä vahingoittavasti ja että henkilötiedon kohteen oikeudet toteutetaan.

Tietosuojalla on kiinteä yhteys tietoturvaan. Firan tietoturvapolitiikka määrittelee, mitä tarkoitetaan tietoturvalla ja kuinka sitä ylläpidetään.

Noudatettavat periaatteet henkilötietojen käsittelyssä

Henkilötiedolla tarkoitetaan tässä tietosuojapolitiikassa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, puhelinnumeron, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen nojalla.

Firan toiminnassa henkilötietojen käsittely suunnitellaan etukäteen ja käsittelyssä noudatetaan jo tietojen keräämistä suunniteltaessa tätä tietosuojapolitiikkaa, ohjeistuksia ja tietosuojalainsäädäntöä.

Projektista tai muutoksesta vastaava taho huolehtii aina dokumentoidusti siitä, että rekisteröidyn yksityisyys suojataan asianmukaisesti huomioon ottaen kerättävät henkilötiedot ja suojan tarve. Tietosuojaryhmä auttaa tarvittaessa.

Firassa me noudatamme kaikessa henkilötietojen käsittelyssä seuraavia periaatteita:

Lainmukaisuus ja läpinäkyvyys

Varmistamme, että henkilötietojen käsittely on lainmukaista, asianmukaista ja rekisteröidyn kannalta läpinäkyvää. Informoimme rekisteröityä mm. siitä, millaisia henkilötietoja heistä kerätään, mitä käyttötarkoitusta varten, mistä henkilötietoja kerätään ja mihin tietoja luovutetaan.

Laadimme jokaisesta henkilörekisteristä tarvittavan selosteen ja huolehdimme siitä, että henkilötietojen käsittelystä informoidaan rekisteröityä oikea-aikaisesti. Selosteesta löytyy myös tieto kyseisestä rekisteristä vastuussa olevasta Firan työntekijästä. Hänen puoleen voit aina kääntyä, mikäli sinulla on kysymyksiä kyseiseen rekisteriin liittyen. Henkilötietojen kerääminen ja käsittely perustuvat aina joko lainsäädäntöön, asiakassopimukseen, Firan oikeutettuun etuun tai muuhun asialliseen yhteyteen taikka rekisteröidyn suostumukseen.

Rekisteröidyn oikeuksien kunnioittaminen

Varmistamme, että informoimme rekisteröityä asianmukaisesti ja oikea-aikaisesti tietojenkäsittelystä sekä rekisteröidyn tietojenkäsittelyyn liittyvistä oikeuksista. Rekisteröidyn oikeuksiin kuuluvat mm. oikeus tarkastaa tiedot, vaatia tietojen oikaisua ja poistamista sekä oikeus vastustaa ja rajoittaa henkilötietojen käsittelyä.

Toimimme läpinäkyvästi. Rekisteröidyllä on oikeus tarkastaa, mitä tietoja olemme hänestä keränneet ja tallettaneet henkilörekistereihimme. Rekisteröity voi myös vaatia virheellisten tietojen korjaamista tai tietojen poistamista, mikäli tietojen käsittelyn oikeudellinen peruste (esim. asiakkuus) on päättynyt. Varmistamme toiminnassamme, että rekisteröidyn oikeuksista huolehditaan ja että pyyntöihin vastataan viipymättä.

Käyttötarkoitussidonnaisuus

Keräämme henkilötiedot vain tiettyä ja etukäteen määritettyä käyttötarkoitusta varten. Tiettyä käyttötarkoitusta varten kerättyjä henkilötietoja ei saa käyttää muihin tarkoituksiin. Ellei ole selvää, että tietoa tarvitaan jotakin perusteltua tarkoitusta varten, tietoa ei tule kerätä ja tallentaa, vaan se on syytä tuhota.

Tietojen minimisointi

Keräämme ja käsittelemme vain asianmukaisia ja olennaisia henkilötietoja, jotka ovat tarpeellisia ko. käyttötarkoitusta varten. Kerättävät tiedot eivät saa olla liian laajoja niihin tarkoituksiin, joihin ne kerätään. Lähtökohtaisesti emme kerää tietosuojalainsäädännössä määriteltyjä arkaluontoisia tietoja, kuten esimerkiksi rotua tai etnistä alkuperää, yhteiskunnallista, poliittista tai uskonnollista vakaumusta tai ammattiliittoon kuulumista, terveydentilaa, sairautta tai vammaisuutta tai seksuaalista suuntautumista tai käyttäytymistä henkilötietorekistereihimme, ellei tähän ole lakisääteistä oikeutta tai velvollisuutta.

Tietojen päivitys ja virheiden korjaaminen

Emme käsittele virheellisiä tai vanhentuneita henkilötietoja ja päivitämme tai poistamme tiedot tarvittaessa. Päivitämme esimerkiksi rekisteröidyn yhteystiedot tarpeellisin väliajoin luotettavasta lähteestä, esim. rekisteröidyltä itseltään.

Henkilötietojen säilytysajat ja hävittäminen

Pyrimme säilyttämään henkilötiedot sellaisessa muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Määrittelemme kerättäville henkilötiedoille säilytysajat. Lähtökohta tietojen säilytysajan osalta on, että käytämme tietoa vain sen ajan kuin on tarpeen tiedon käyttötarkoituksen vuoksi, jonka jälkeen hävitämme henkilötiedot tai siirrämme ne arkistoon. (ellei lainsäädännöstä seuraa erityistä tallennusvelvoitetta).

Tietoturva ja luottamuksellisuus

Pyrimme varmistamaan henkilötietojen asianmukaisen tietoturvan esimerkiksi suojautumalla luvattomalta ja lainvastaiselta käsittelyltä ja tietojen tuhoutumiselta käyttämällä asianmukaisia teknisiä tai organisatorisia toimia. Tekniset ja organisatoriset toimenpiteet tarkoittavat erilaisia suojatoimenpiteitä, joilla huolehditaan sekä sähköisessä että paperimuodossa olevien henkilötietojen tietoturvasta. Tällaisia ovat esimerkiksi henkilöstön koulutus ja ohjeet, salassapitositoumukset, tilavalvonta, käytönvalvonta, tietojärjestelmien tietoturva ja tekniset rajoitukset, auditoinnit, tarkastus- ja valvontajärjestelmät, tietojen salaus, tietojen anonymisointi (henkilökohtaisesti tunnistettavien tietojen poisto sieltä, missä niitä ei tarvita) ja pseudonymisointi (henkilökohtaisesti tunnistettavan materiaalin korvaaminen keinotekoisilla tunnisteilla).

Rajoitamme pääsyn henkilötietoja sisältäviin tietokantoihin ainoastaan henkilöille, joilla on tarve työtehtäviensä vuoksi käsitellä kyseessä olevia henkilötietoja.

Rekisterinpitäjän vastuu ja osoitusvelvollisuus

Arvioimme henkilötietojen käsittelyyn liittyviä prosesseja sekä niihin liittyviä riskejä säännönmukaisesti ja huolehdimme siitä, että Firassa on toteutettuna riittävät toimenpiteet. Huolehdimme toiminnassamme siitä, että käytössä ovat mm. asianmukaiset sopimukset, ajantasaiset tietosuojaselosteet ja ohjeistukset sekä toimivat ja rajatut käyttöoikeudet.

Vastuut ja organisointi

Vastuu tietosuojan toteuttamisesta on liiketoiminta- ja konsernijohdolla omissa yksiköissään.

Liiketoiminnan tietosuojatyötä tukee tietosuojaryhmä, joka koostuu kattavasti eri funktioiden edustajista. Kunkin henkilörekisterin omistaja vastaa oman alueensa rekisteriselosteen ajantasaisuudesta sekä asianmukaisesta henkilötietojen käsittelystä, prosessoinnista ja profiloinnista. Lisäksi rekisterin omistaja vastaa tietosuojasta liiketoiminnan ulkoistaessa toimintaa kumppanille. Se huolehtii, että valittu kumppani noudattaa tätä tietosuojapolitiikkaa. Henkilötietojen käsittelyn ulkoistamisesta laaditaan aina kirjallinen sopimus, jossa osapuolten vastuut ja velvollisuudet määritellään, ja joka täyttää lainsäädännön vaatimukset. Tarvittaessa nimitetään Firalle tietosuojavastaava.

Tietosuojan varmistaminen

Tietosuoja-asiat kuuluvat osana henkilötietoja käsittelevien uusien työntekijöiden perehdytykseen ja niistä järjestetään koulutusta kaikille työntekijöille. Tietosuojasta huolehtiminen on vahvasti Firan arvojen mukaista toimintaa ja tietosuojaan liittyvä yleisohjeistus liitetään osaksi muuta eettistä ohjeistusta.

Kaikkia henkilötietoja käsitteleviä henkilöitä sitoo laissa säännelty tai erikseen sovittu ja dokumentoitu vaitiolovelvollisuus.

Henkilötietoja sisältävien tietojärjestelmien käyttöä kontrolloidaan konsernin käyttäjähallintaratkaisulla tai muuten dokumentoiduilla menettelyillä. Lokitiedot kerätään erikseen laissa säädetyllä tai muutoin riittävällä tarkkuudella kaikista rekisteristä. Mikäli tietosuojan epäillään tai havaitaan vaarantuneen, asia tutkitaan viipymättä. Lisäksi asiasta ilmoitetaan tarvittaessa viranomaisille ja henkilölle, jonka tietosuoja on vaarantunut. Firan tietosuoja-asioista vastaava taho antaa asiasta tarkempia ohjeita ja vastaa ilmoitusten tekemisestä.

Tiedottaminen henkilöstölle, rekisteröidyille ja sidosryhmille

Tästä tietosuojapolitiikasta ja sen muutoksista tiedotetaan Firain henkilökunnalle Firan intranetissä. Lisäksi kulloinkin voimassa oleva tietosuojapolitiikka julkaistaan fira.fi -sivustolla. Tietosuojapolitiikka päivitetään tarpeen mukaan. Tämän lisäksi Firassa annetaan sisäisiä ohjeita tietosuoja-asioista.

Tietosuojapolitiikan vahvistaminen

Fira n tarkastusvaliokunta on vahvistanut tämän politiikan 24.10.2023.