1. Tietosuojapolitiikka

Tietosuojasta huolehtiminen on osa Tokmannin compliance-toimintaa, riskienhallintaa ja vastuullisia toimintaperiaatteita. Tietosuojapolitiikassa määritellään, kuinka kaikissa Tokmannin toiminnoissa pyritään varmistamaan henkilötietojen lainmukainen käsittely ja tietosuojan korkea taso sekä miten tietosuojaa Tokmannilla hallinnoidaan. Tietojen käsittely perustuu voimassa olevaan lainsäädäntöön. Tämän tietosuojapolitiikan on hyväksynyt Tokmannin tietosuoja-asioita käsittelevä ohjausryhmä sekä yhtiön johtoryhmä.

2. Tietosuojapolitiikan kattavuus ja tavoitteet

Tietosuojaan kuuluvat henkilöiden yksityiselämän suoja ja yksityisyyden suojaa turvaavat muut oikeudet henkilötietoja käsiteltäessä. Tietosuoja koskee sekä Tokmannin työntekijöiden henkilötietojen käsittelyä että Tokmannin asiakkaiden ja muiden yhteistyökumppaneiden tietojen käsittelyä.

Tietosuojapolitiikan avulla pyritään turvaamaan lainsäädännön mukaiset henkilötietojen käyttöön liittyvät Tokmannin asiakkaiden, työntekijöiden ja muihin sidosryhmiin kuuluvien henkilöiden oikeudet sekä varmistamaan tietojen käsittelijän oikeudet ja velvollisuuksien noudattaminen henkilötietoja käsiteltäessä.

Tietosuojaa toteutettaessa kiinnitetään erityistä huomiota henkilötietojen salassapitoon sekä siihen, ettei asiattomilla ole pääsyä tietoihin ja ettei tietoja käytetä henkilöä vahingoittavasti.

Tietosuojalla on kiinteä yhteys tietoturvaan. Tokmannin tietoturvapolitiikka määrittelee, mitä tarkoitetaan tietoturvalla ja kuinka sitä ylläpidetään.

3. Tietojen kerääminen ja käyttö

Henkilötietojen käsittely perustuu henkilön suostumukseen tai laissa määriteltyyn muuhun perusteeseen kerätä tietoja. Henkilötietoja käsitellään vain siinä tarkoituksessa, mihin ne on kerätty. Henkilötietoja käsitellään vain niiden käyttötarkoitukseen liittyvän määritellyn ajan. Käytettävien tietojen oikeellisuus pyritään varmistamaan päivittämällä tiedot henkilöltä itseltään ja muista luotettavista lähteistä. Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot tuhotaan asianmukaisesti. Tietosuojaselosteissa on eritelty tarkemmin tietojen arkistointiajat. Tietoja luovutetaan vain tietosuojaselosteissa mainituille tai laissa säädetyille tahoille.

4. Tietosuojaselosteet

Kaikista henkilörekistereistä on laadittu tietosuojaseloste. Rekisteröidyille kerrotaan tietosuojaselosteissa tarkempi informaatio henkilötietojen käsittelystä. Tietosuojaselosteet ovat saatavilla Tokmannin intranetissä sekä asiakasrekisteriä koskien myös yrityksen verkkosivuilla. Tokmannin työntekijöiden henkilötietojen käsittelyä käydään tarkemmin läpi myös pakollisessa tietosuojan verkkokurssissa. Verkkokurssi on tehty toukokuussa 2018 ja jokaisen tokmannilaisen tulee suorittaa se. Suorittamista seurataan säännöllisesti ajettavilla raporteilla.

5. Vastuut ja organisointi

Vastuu tietosuojan toteuttamisesta on Tokmannin johtoryhmällä.

Yritystasolla tietosuoja-asioita hallinnoi tietosuojaryhmä, johon on nimetty henkilö yrityksen jokaiselta eri osastolta. Ryhmän jäsen vastaa siitä, että tietosuojaan liittyvät asiat jalkautuvat hänen kauttaan edustamalleen osastolle ja että tietosuojaa ylläpidetään osastolla aktiivisesti. Tietosuojaryhmä raportoi tekemisistään GDPR-ohjausryhmälle. Tietosuojaryhmän ja ohjausryhmän edustajat on lueteltu tämän dokumentin lopussa. Yrityksessä on myös nimetty tietosuojan vastuuhenkilö, joka koordinoit tietosuojaan liittyviä tarkastuksia ja asioita.

Kukin osasto vastaa itsenäisesti tietosuojan resursoinnista ja käytännön toteutuksesta omassa yksikössään. Osasto vastaa tietosuojasta myös ulkoistaessaan tietojen käsittelyn. Se huolehtii, että valittu kumppani noudattaa tätä tietosuojapolitiikkaa ja että kumppanin kanssa on tehty asianmukainen henkilötietojen käsittelysopimus.

Tietosuojan verkkokurssi antaa jokaiselle tokmannilaiselle perustiedon tietosuojasta ja henkilötietojen käsittelystä. Jokaisen tulee myös tuntea ja hallita oman vastuualueensa tietosuojasääntely ja -riskit.

6. Tietosuojan varmistaminen

Tietosuoja-asiat kuuluvat osana henkilötietoja käsittelevien uusien työntekijöiden perehdytykseen. Tietosuoja-asioita myös ylläpidetään ottamalla ne säännöllisesti palaverien agendalle.
Tokmannin intranetissä on oma sivustonsa tietosuoja-asioille. Sivustolta löytyvät mm. tietosuojaselosteet sekä käytännön ohjeita. Sivustolla on myös mahdollista esittää kysymyksiä.

Tietosuojaan liittyvissä asioissa tokmannilaisia palvelee myös tietosuoja@tokmanni.fi sähköpostiosoite. Sähköpostia koordinoi tietosuojan vastuuhenkilö osoittaen mahdolliset kysymykset vastattavaksi oikealle henkilölle.

Kaikkia henkilötietoja käsitteleviä henkilöitä sitoo laissa säännelty tai erikseen sovittu ja dokumentoitu vaitiolovelvollisuus.

Henkilötietoja sisältävien tietojärjestelmien käyttöä kontrolloidaan käyttäjähallinnalla. Henkilötietoja pääsevät käsittelemään vain ne henkilöt, joilla on siihen lakisääteinen tarve. Lokitiedot kerätään erikseen laissa säädetyllä tai muutoin riittävällä tarkkuudella kaikista rekistereistä.

– Menettely tietosuojan vaarantuessa

Mikäli tietosuojan epäillään tai havaitaan vaarantuneen, asia tutkitaan viipymättä. Asiasta ilmoitetaan tietosuojan vastuuhenkilölle, joka koordinoi tutkintaa asian osalta. Tietosuojan vastuuhenkilö informoi tietosuoja- ja GDPR-ohjausryhmää mahdollisesta tietoturvaloukkauksesta. Mahdollisesta tietoturvaloukkauksesta tehdään myös ilmoitus tietosuojaviranomaiselle ilmoituskynnyksen ylittyessä. GDPR-ohjausryhmä tekee tarvittavan päätöksen ilmoituksen tekemisestä.

Tietoturvaloukkauksesta ilmoitetaan viipymättä myös rekisteröidylle, jonka tietosuoja on vaarantunut, edellyttäen, että ilmoittaminen on aiheellista korjaavien toimenpiteiden suorittamiseksi tai vahingon rajaamiseksi.

Kukin osasto tai rekisterinpitäjä arvioi ja valvoo tietosuojan toteutumista omissa toiminnoissaan. Tietosuojan vastuuhenkilö tekee sisäisiä tarkastuksia tietosuoja-asioissa osana normaalia tarkastustoimintaansa.

Tietosuojaa vaarantavaksi toiminnaksi katsotaan kaikki henkilötietojen käsittelyä koskevien lakien, tämän tietosuojapolitiikan tai sen perusteella annetun ohjeistuksen vastainen toiminta. Tietosuojaohjeistusten vastainen toiminta voi johtaa työoikeudellisiin tai rikosoikeudellisiin seuraamuksiin. Tietosuoja-asioihin suhtaudutaan Tokmannilla vakavasti ja tietosuojan vastaiseen toimintaan puututaan välittömästi.

7. Tiedottaminen tietosuoja-asioissa

Tokmanni tiedottaa tästä tietosuojapolitiikasta ja sen muutoksista henkilöstölleen intranetissä ja tarvittaessa sähköpostitse. Tietosuojapolitiikka päivitetään tarpeen mukaan. Kulloinkin voimassa oleva tietosuojapolitiikka julkistetaan yhtiön verkkosivustolla sekä yhtiön intranetissä.