Tietosuojapolitiikka määrittää ne periaatteet, toimintatavat, vastuut ja valvonnan, joita noudatetaan Botniarosk Oy:n tietosuojan toteuttamisessa ja kehittämisessä. Tämä tietosuojapolitiikka koskee henkilötietojen käsittelyä, jossa Botniarosk toimii rekisterinpitäjänä. Tässä politiikassa määritellään toimintoihin liittyvät tietosuojaperiaatteet, huomioiden EU:n yleisen tietosuoja-asetuksen mukana tuomat tietosuojavaateet. Politiikka koskee koko henkilöstöä ja sidosryhmiä, jotka toimeksiantojen puitteissa käsittelevät Botniarosk Oy:n omistamaa tai hallinnoimaa tietoa. Politiikka on saatavissa intrasta ja kotisivuilta. Politiikka liitetään tarvittaessa toimeksiantosopimuksiin.
Oikeus henkilötietojen suojaan on jokaiselle kuuluva perusoikeus. Tämä tarkoittaa, että henkilötietojen käsittelyn on yhtäältä oltava asianmukaista ja toisaalta sen on aina tapahduttava tiettyä tarkoitusta varten ja asianomaisen henkilön suostumuksella tai muun laissa säädetyn oikeuttavan perusteen nojalla. Henkilötietojen suojalla tarkoitetaan myös jokaiselle turvattua oikeutta tutustua niihin tietoihin, joita hänestä on kerätty ja tarvittaessa myös saada hänestä kerätyt tiedot muutetuiksi tai poistetuiksi, mikäli tietojen oikaisu on tarpeen eikä muut lait sitä estä.
Botniarosk Oy:n toiminnassa toteutetaan sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta. Rekisteröityjen oikeuksista huolehditaan dokumentoimalla ja ohjeistamalla henkilötietojen käsittelyn käytänteet. Henkilötietoja käsitellään lainmukaisesti ja asianmukaisesti, ja toiminnassa kerätään ja käytetään vain niitä henkilötietoja, jotka ovat välttämättömiä yhtiölle määrättyjen tehtävien hoitamiseksi. Henkilötietojen käsittelyssä toteutetaan laadukasta ja lainmukaista henkilötietojen käsittelyä.
Botniarosk Oy haluaa toteuttaa sisäänrakennetun ja oletusarvoisen tietosuojan periaatetta ja sisällyttää tietosuojaperiaatteet ja -vaatimukset jo aikaisessa vaiheessa osaksi henkilötietojen käsittelyä. Näin varmistetaan, että käsittely vastaa tietosuoja-asetuksen vaatimuksia. Oletusarvoinen tietosuoja tarkoittaa sitä, että toiminnassa kerätään vain niitä henkilötietoja jotka ovat välttämättömiä yhtiölle määrättyjen tehtävien hoitamiseksi. Henkilötiedot tuhotaan kun käsittelytoimien selosteessa ilmoitettu säilytysaika on ummessa. Henkilötietoja saavat käsitellä vain ne tahot, jotka sitä työtehtävissään tarvitsevat. Rekisteröidyille taataan heidän oikeuksien toteutuminen, ja henkilötietoja suojataan tarvittavin tietoturvakeinoin. Henkilötietojen käsittely perustuu laissa määriteltyyn perusteeseen tai henkilön suostumukseen. Käytettävien tietojen oikeellisuus pyritään varmistamaan ja tietoja päivitetään henkilöltä itseltään tai luotettavista lähteistä. Tietoja ei luovuteta eteenpäin muihin käyttötarkoituksiin. Botniarosk Oy:llä voi rekisterinpitäjänä olla ulkopuolisia tietojenkäsittelijöitä. Sopimuskumppaniksi valitaan vain sellaisia henkilötietojen käsittelijöitä, jotka noudattavat hyvää henkilötietojen käsittelytapaa asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla sekä täyttävät tietosuoja-asetuksen vaatimukset. Henkilötietojen käsittelyä sisältävien hankintojen kohdalla tietosuojaan liittyvät näkökohdat huomioidaan jo hankinnan suunnitteluvaiheessa ja saatetaan ne osaksi tarjouspyyntöä. Ulkopuoliset tietojenkäsittelijät ohjeistetaan.
Botniarosk Oy:lle on määritetty toimintaprosessi ja ohje liittyen toimintaan rekisteröityjen käyttäessä oikeuttaan saada pääsy henkilötietoihinsa. Tämän prosessin mukaista toimintatapaa noudatetaan niissä tapauksissa, joissa rekisteröidyt haluavat saada nähtäväkseen omia rekistereissä olevia henkilötietojaan. Mm. rekisteriselosteet pitävät sisällään asiakasohjeen siitä, miten rekisteröity itse saa omat tietonsa nähtäväksi.
Henkilöstön riittävästä tietosuojaosaamisesta huolehditaan henkilöstöpalavereiden, koulutuksen ja informaation välittämisen kautta. Myös organisaatioon tulevat uudet työntekijät perehdytetään tietosuoja-asioihin järjestelmällisesti. Erityisesti tämä korostuu niissä rooleissa, joissa käsitellään henkilötietoja ja toteutetaan rekisteröityjen oikeuksien toteuttamisprosesseja. Tietosuojapolitiikasta tiedotetaan henkilökunnalle, ja sitä päivitetään tarpeen mukaan. Kaikkia sitoo työsopimuksessa sovittu vaitiolovelvollisuus.
Botniarosk Oy:n toiminta kriisitilanteissa perustuu lakisääteiseen valmiussuunnitteluun. Varautumistyötä johtaa toimitusjohtaja. Tietosuojan päävastuu on toimitusjohtajalla, mutta tietosuojan ylläpitoon osallistuu henkilöstöstä jokainen osana omaa yleistä toimintavastuutaan. Kukin huolehtii tietosuojasta yhteistyökumppaninsa osalta myös ulkoistaessaan henkilötietojen käsittelyn. Tietosuojaa vaarantavaksi tilanteeksi katsotaan henkilötietojen käsittelyä koskevien lakien, tämän tietosuojapolitiikan tai sen perusteella annetun ohjeistuksen vastaisen toiminnan. Jos tietosuojaa vaarantava toiminta täyttää lainsäädännössä kuvatun rangaistavan toiminnan tunnusmerkistön, annetaan asia viranomaisten tutkittavaksi. Jos vaaraa aiheuttava toiminta ei täytä em. tunnusmerkistöä mutta vaarantaa tietosuojaa, voi asiasta seurata huomautus, varoitus tai työsuhteen päättäminen. Henkilötietojen tietoturvaloukkauksen sattuessa Botniarosk Oy:llä on rekisterinpitäjänä ilmoitusvelvollisuus valvontaviranomaisen sekä rekisteröidyn suuntaan. Valvontaviranomaiselle tehdään ilmoitus tietosuoja-asetuksen mukaisesti 72 tunnin kuluessa siitä, kun henkilötietojen tietoturva- loukkaus on tullut ilmi. Rekisteröidylle henkilötietojen tietoturvaloukkaus ilmoitetaan ilman aiheetonta viivytystä.
Botniarosk Oy:n hallitus on vahvistanut tietosuojapolitiikan 24.5.2018
Tietosuojalla tarkoitetaan toimenpiteitä, joiden tarkoituksena on suojata henkilön yksityisyys henkilötietojen käsittelyssä.
Järjestelyt, joilla pyritään varmistamaan tiedon käytettävyys, eheys ja luottamuksellisuus.
Johdon vahvistama näkemys tietosuojan päämääristä, periaatteista ja toteutuksesta.
Kaikki tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyvät tiedot (esim. nimi, henkilötunnus tai kuva). Tunnistettavissa olevana pidetään henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, sijaintitiedon, verkkotunnistetietojen tai yhden tai useamman henkilölle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän toimeksiannosta.
Kaikenlaiset toiminnot, joita kohdistetaan henkilötietoihin joko automaattista tietojenkäsittelyä hyödyntäen tai manuaalisesti. Käsittelyä ovat esimerkiksi henkilötietojen kerääminen, tallentaminen, järjestäminen, jäsentäminen, säilyttäminen, muokkaaminen, haku, käyttö, luovuttaminen, levittäminen tai saattaminen muutoin saataville, yhteensovittaminen, yhdistäminen, rajoittaminen, poistaminen ja hävittäminen.
Tietoturvaloukkaus, jonka seurauksena on henkilötietojen lainvastainen käsittely. Loukkauksesta seuraa siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen tai saanti.
Luonnollinen tai oikeushenkilö, julkinen viranomainen, virasto tai muu elin, joka yksin tai yhteistyössä muiden kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
Henkilö, jonka henkilötietoja käsitellään.
Dokumentti, jonka rekisterinpitäjä voi laatia ja pitää yleisesti saatavilla. Sen tulee kuvata henkilötietojen käsittely tiiviisti esitetyssä, avoimessa ja helposti ymmärrettävässä muodossa.
Organisaation sisäinen asiakirja, jonka tarkoituksena on hahmottaa henkilötietojen käsittelyä ja osoittaa että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti. Asiakirja on pyydettäessä toimitettava valvontaviranomaiselle.
Suunniteltujen henkilötietojen käsittelytoimien vaikutusten arviointi tietosuojaan ja yksilön vapauksiin. Jos käsittely todennäköisesti aiheuttaa yksilön oikeuksien ja vapauksien kannalta suuren riskin, rekisterinpitäjän on ennen käsittelytoimien aloittamista toteutettava tietosuojan vaikutustenarviointi ja määriteltävä toimenpiteitä, joilla riskiä voidaan hallita.
Tietosuojaperiaatteiden sisällyttäminen aikaisessa vaiheessa henkilötietojen käsittelyn osaksi. Periaatteiden huomioiminen käsittelytapojen määrittelyn ja itse käsittelyn yhteydessä, siten että varmistetaan käsittelyn vastaavuus tietosuoja-asetuksen vaatimusten kanssa. Rekisterinpitäjän tulee toteuttaa tarvittavat tekniset ja organisatoriset toimenpiteet ja menettelyt, jotta mm.
• oletusarvoisesti kerätään vain henkilötietoja, jotka ovat välttämättömiä ja tarpeellisia käsittelytarkoituksen kannalta
• tietoja ei kerätä eikä säilyttää suurempia määriä eikä kauemmin kuin on tarpeellista kyseiseen tarkoitukseen
• henkilötietoja ei oletusarvoisesti saateta rajoittamattoman henkilö määrän saataville
• taataan rekisteröityjen oikeuksien toteutuminen
Tietosuoja-asetuksen vaatimusten toteutuminen tulee taata määrittelyvaiheesta aina koko käsiteltävien henkilötietojen elinkaaren loppuun.
