TIETOSUOJAPOLITIIKKA. Versio: 1.0

Samankaltaiset tiedostot
HSL Helsingin seudun liikenne -kuntayhtymä Tietosuojapolitiikka

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Helpdesk-palveluita

Informaatiovelvoite ja tietosuojaperiaate

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Urkundplagioinnintunnistusohjelmaa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opinnäytetöiden sähköisen järjestelmän henkilörekisteriä.

EU -tietosuoja-asetuksen edellyttämät toimenpiteet kunnissa

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Haaga-Helian verkkokauppaa

Tietosuojauudistus tulee PTC:n käytännön vinkit. Tapio Lahtinen

Termit. Tietosuojaseloste

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio. Henkilötietoja käsitellään rekisteröidyn asiakassuhteen perusteella.

Tietopaketti tietosuojasta ProAgrian ja Maa- ja kotitalousnaisten jäsenyhdistyksille

Sisältää EU:n tietosuoja-asetuksen (GDPR) mukaiset vaatimukset (artiklat 13, 14 ja 30)

KOULUELEKTRONIIKKA OY:N ASIAKASREKISTERIN TIETOSUOJASELOSTE. Rekisterin rekisterinpitäjä on Kouluelektroniikka Oy, Teuvo Tiusanen

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien laatujärjestelmää

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös GDPR ) mukaiset perusteet:

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien markkinointia ja viestintää

Tietoturva yhdistyksessä

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien Justusjulkaisutietojen

TIETOSUOJASELOSTE 1/5. Suomen Pitkäkarvakerho ry:n jäsenten henkilötietojen käsittely

Kolarin kunnan tietosuojapolitiikka

EU:N YLEISEN TIETOSUOJA-ASETUKSEN 14 ARTIKLAN TARKOITTAMA TIEDOTE HENKILÖTIETOJEN

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien kirjastopalveluita

EU:n yleisen tietosuoja-asetuksen (679/2016) mukainen versio

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien sähköistä tenttijärjestelmää

Tietosuoja Liikenneturvan kouluttajan toiminnassa. Katja Mäkilä Liikenneturvan valtakunnalliset kouluttajapäivät, Helsinki

PINTAVA OY ASIAKASREKISTERIN TIETOSUOJASELOSTE

Salon kaupunki , 1820/ /2018

Varustekorttirekisteri - Tietosuojaseloste

EU:n tietosuoja-asetus ja sähköposti

OUKA/10235/ / Henkilörekisterin nimi Arava- ja korkotukilainoitettujen vuokra-asuntojen asukasvalinnan ja valvonnan rekisteri

Henkilötietojen käsittely asumisneuvonnassa Helsinki Timo Mutalahti, konsernilakimies

Salon kaupunki / /2018

Tässä Liitteessä tarkoitetaan EU:n tietosuoja-asetuksen mukaisesti

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien opintososiaalisia palveluita

OUKA/10235/ /2017

Tietosuoja-asetus mikä muuttuu ja mitä yhdistystoiminnassa tulee huomioida?

Tietosuojaseloste: Markkinointirekisteri

Helpten Oy. Tietosuojaseloste Päivitetty: Päivitetty viimeksi Kattavuus

Relipe Oy. Tilitoimiston asiakastiedotteen postituslistan TIETOSUOJASELOSTE

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Vähittäiskaupan tutkimussäätiössä

Salon kaupunki , 1820/ /2018

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton tapahtumarekisterissä

Tulevat säädösmuutokset ja tietosuoja

Tietosuoja-asiat Glaston Oyj Sähköposti: Osoite: Vehmaistenkatu 5, PL 25,33731 Tampere


Salon kaupunki / /2018

Haaga-Helia ammattikorkeakoulu Oy:n tietosuojaseloste koskien taloustoimintoja

TIETOSUOJAILMOITUS Tutkimustieto-tietoryhmä Rekisteröidylle toimitettavat tiedot

KMTK UUDET KUVAMITTAUSTEKNOLOGIAT - PROJEKTIN HANKINNAT JA TIETOSUOJA

OUKA/10235/ / Henkilörekisterin nimi Luottamushenkilöiden ja viranhaltijoiden sidonnaisuusrekisteri (Kuntalaki 84 )

Lisäksi henkilötietoja käsitellään toimittajille suunnatussa viestinnässä kuten tiedotus- ja uutisointitarkoituksissa.

Usein kysyttyjä kysymyksiä tietosuojasta

FINNLINESIN YHTEYDENOTTOPYYNTÖJEN KÄSITTELYYN LIITTYVÄN REKISTERIN TIETOSUOJASELOSTE

Haminan tietosuojapolitiikka

HENKILÖTIETOJEN KÄSITTELY TIEKUNNASSA Tiekunta on velvollinen noudattamaan EU:n yleisen tietosuoja-asetusta (GDPR) henkilötietojen käsittelyssä

Tietosuojaseloste. Lähitaksi Työnhakijoiden henkilötietorekisteri. Rekisterinpitäjä ja yhteystiedot. Nuijamiestentie 7, Helsinki

SUOMEN AKATEMIAN TIETOSUOJAPOLITIIKKA

(a) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton uutis- ja tapahtumakirjerekisterissä

Kolarin Vuokra-asunnot Oy Tietosuojapolitiikka

EU:n TIETOSUOJA-ASETUS. Jyty Vaasa Liisa Nikkilä Laihian kunta asianhallintasihteeri, tietosuojavastaava

Tämä tietosuojaseloste antaa EU:n tietosuoja-asetuksen ("Tietosuoja-asetus") edellyttämiä tietoja rekisteröidylle.

OUKA/10235/ /2017

EU:n tietosuoja-asetus

Uusi tietosuojaasetus. käytännössä. MPY Palvelut Oyj Toni Sivupuro

Tämä tietosuojaseloste koskee henkilötietojen käsittelyä Kaupan liiton sidosryhmärekisterissä

Tietosuojaseloste Espoon kaupunki

TIETOSUOJAOHJE PARTIOLIPPUKUNNILLE

HENKILÖTIETOJEN KÄSITTELYOHJE TUUSULAN KUNNAN OHJE HENKILÖTIETOJEN KÄSITTELIJÖILLE

OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, OP Sähköpostiosoite: OP Palveluhaku asiakasrekisteri

Akses Oy:n tietosuojaseloste asiakkaille ja yhteistyökumppaneille

EU:n tietosuoja-asetus (GDPR)

HENKILÖTIETOJEN KÄSITTELYSOPIMUS. 1. Johdanto. 2. Määritelmät

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Pohjois-Savon Osuuspankin omistaja-asiakasrekisteri

Tampereen Aikidoseura Nozomi ry

Camilla Engman Sähköposti: Puhelin: Turun yliopisto Henkilöstöpalvelut TURUN YLIOPISTO

Sisältää EU:n tietosuoja-asetuksen mukaiset vaatimukset (artiklat 13, 14 ja 30)

Asiakaskilpailuja koskeva tietosuojaseloste

Tietosuoja fi-välitystoiminnassa. Välittäjäinfo

Rekisterin nimi on HSL:n sidosryhmärekisteri ( Sidosryhmärekisteri ), jonka rekisteröityjä ovat HSL:n sidosryhmiin kuuluvat henkilöt ( Sidosryhmät ).

Verkkosivujen palautelomakkeen käsittelyä koskeva tietosuojaseloste

ASIAKASREKISTERISELOSTE

TIETOSUOJAILMOITUS. Alumni-, markkinointi-, asiakas- ja kumppanitiedot-tietoryhmä. Kaakkois-Suomen Ammattikorkeakoulu Oy

Koulutuskiertue

Tietosuojaseloste Espoon kaupunki

Tietosuojaseloste 1 (6)

Ohje EU:n yleistä tietosuoja-asetusta on sovellettu alkaen. Asetus määrittää henkilötietoja käsittelevien tahojen roolit:

TIETOSUOJAILMOITUS DIDIVE-HANKE

Tietosuojaseloste Espoon kaupunki

EU:n yleinen tietosuoja-asetus mikä muuttuu. Niina Harjunheimo

Tietosuojaseloste 1 (5)

Tietosuoja-asetuksen (GDPR) vaatimusten käyttöönotto

2) tiedon antamisesta saattaisi aiheutua vakavaa vaaraa rekisteröidyn terveydelle tai hoidolle taikka jonkun muun oikeuksille;

SELOSTE HENKILÖTIETOJEN KÄSITTELYTOIMISTA JA TIETOSUOJASTA RIIHIMÄEN VEDEN ASIAKKUUDEN HALLINNASSA

SUNBORN SAGA OY:N SUORAMARKKINOINNIN, VIESTINNÄN JA TIEDOTTAMISEN TIETOSUOJASELOSTE

Tietosuojaseloste Espoon kaupunki

1. Yleiset Periaatteet

Tietosuojaseloste Tietosuoja tietosuoja-asetuksen (GDPR) 13 ja 14 artiklan mukaan

Transkriptio:

TIETOSUOJAPOLITIIKKA Versio: 1.0 Pvm: 5. Huhtikuuta 2018

2(14) Sisältö 1. Johdanto... 3 2. Tietosuojan ja -politiikan määritelmä... 3 3. Henkilötietojen käsittelyperiaatteet... 3 4. Henkilöiden oikeudet... 7 5. Henkilöiden pyynnöt henkilötiedoistaan... 9 6. Tietosuojan vaikutusarviot... 9 7. Henkilöstön tietosuojakoulutus... 10 8. Tietosuojapoikkeamat ja ilmoitusvelvollisuus... 10 Liite A. Soveltuva lainsäädäntö... 11 Liite B. Tietosuojavastuut... 12 Liite C. Tietosuojaan liittyviä käsitteitä... 13

3(14) 1. Johdanto Kouvolan Vesi Oy vastaa vesihuollosta Kouvolan talousalueella ja tämän tehtävän hoitamisessa tarvitaan myös tietyissä määrin henkilötietoja kuten asiakkaista, työntekijöistä jne. Tämä tietosuojapolitiikka on saatavilla Kouvolan Vesi Oy:n verkkosivuilta, Kouvolan Vesi Oy:n toimistolta (Kauppalankatu 37) tai tilaamalla se postitse. 2. Tietosuojan ja -politiikan määritelmä Henkilötietoja ovat kaikki ne tiedot, jotka voidaan yhdistää tunnistettavaan henkilöön. Tietosuojalla määritellään, kuinka tällaisia tietoja voidaan kerätä, käsitellä, hyödyntää ja mitkä ovat henkilön oikeudet omiin tietoihinsa. Tietoturva on myös tärkeä osa tietosuojaa siten, että ainoastaan asianomaisilla on pääsy tietoihin ja ettei henkilötietoja pääse luvattomasti muuttamaan. EU:n tietosuoja-asetus määrää kuinka tietosuoja tulee toteuttaa henkilötietojen käsittelyssä, joka on osittain tai kokonaan automaattista ja jota suoritetaan unionin alueella sijaitsevassa rekisterinpitäjän tai henkilötietojen käsittelijän toimipaikassa. Tämä Kouvolan Vesi Oy:n tietosuojapolitiikka määrittää ne periaatteet, toimintatavat, vastuut, valvonnan ja seuraamusjärjestelmän, joita noudatetaan Kouvolan Vesi Oy:n tietosuojan toteuttamisessa ja kehittämisessä. 3. Henkilötietojen käsittelyperiaatteet Laillisuus, kohtuullisuus ja läpinäkyvyys Kouvolan Vesi Oy:n keräämiä ja käsittelemiä henkilötietoja on käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi. Lainmukaisuusvelvoite Kouvolan Vesi Oy:n rekisteröimissä henkilötiedoissa täyttyy, jos henkilötietojen kerääminen ja käsittely perustuu johonkin seuraavista: 1. Rekisteröidyn henkilön antamaan suostumukseen yhtä tai useampaa erityistä tarkoitusta varten 2. Sopimuksen täytäntöön panemiseksi, jossa rekisteröity henkilö on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä samoin kuin jos se on tarpeellista henkilön pyyntöjä varten ennen kuin sopimus on syntynyt 3. Kouvolan Vesi Oy:n lakisääteisiin velvoitteisiin, joiden tulee olla selkeitä ja yksilöityjä, perustua Suomen lainsäädäntöön tai EU-lakiin ja niiden

4(14) soveltaminen henkilötietojen käsittelyssä tulee olla henkilön näkökulmasta ennakoitavia 4. Yleistä etua koskevan tehtävän suorittamiseen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseen 5. Kouvolan Vesi Oy:n oikeutettuun etuun edellyttäen, että rekisteröidyn edut tai perusoikeudet ja -vapaudet eivät asetu niiden edelle ja että otetaan huomioon rekisteröityjen kohtuulliset odotukset, jotka perustuvat heidän ja rekisterinpitäjän väliseen suhteeseen Henkilötietojen laillisuus, kohtuullisuus ja läpinäkyvyys on pystyttävä osoittamaan kussakin henkilörekisterissä ja henkilötiedossa erikseen. Henkilötietojen käsittelyn rajoittaminen - käyttötarkoitussidonnaisuus Henkilötiedot on kerättävä tiettyä, nimenomaista ja laillista tarkoitusta varten, eikä niitä saa käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla. Henkilötietojen minimointi Henkilötietojen on oltava asianmukaisia ja olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa niihin tarkoituksiin, joita varten niitä käsitellään. Henkilötietojen täsmällisyys Henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. Kouvolan Vesi Oy:n on toteutettava kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan viipymättä. Sisäänrakennettu ja oletusarvoinen tietosuoja Palvelujen ja järjestelmien suunnitteluvaiheessa on jo huomioitava sisäänrakennettu ja oletusarvoinen tietosuoja. Sisäänrakennetussa tietosuojassa henkilötietojen suojaus pyritään huomioimaan jo henkilötietoja sisältävien järjestelmien suunnitteluvaiheessa. Tyypillisiä käytettävissä olevia suojaamiskeinoja on mm. sovellusten autentikointi- ja auktorisointi-tekniikat, tietokannoissa olevien henkilötietojen kryptaaminen, tietoliikenteen salaaminen, lokienhallinta ja sen perusteella tapahtuva häiriöiden tunnistaminen, järjestelmien ja palvelinten koventaminen, jne. Oletusarvoisessa tietosuojassa huomioidaan, että henkilötietoja käsitellään ainoastaan siinä laajuudessa mikä on tarpeen alkuperäisen tehtävän suorittamisessa, esim. ettei henkilöiltä kerätä tai tallenneta henkilötietoja silloin kun niitä ei tarvita itse tehtävän suorittamiseksi.

5(14) Henkilötietojen elinkaari Henkilötietoja on säilytettävä muodossa, josta rekisteröity on tunnistettavissa, ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten. Kouvolan Vesi Oy:ssä henkilötietojen elinkaari koostuu seuraavista vaiheista: 1. Tunnistetaan tarve rekisteröidä henkilötietoja ja varmistetaan sen laillisuus 2. Kerätään ainoastaan tarvittavia henkilötietoja ja henkilöitä informoidaan kerättyjen henkilötietojen käsittelyperiaatteista sekä henkilön oikeuksista omiin tietoihinsa 3. Henkilötietoja käsitellään ainoastaan niiden alkuperäisen tarkoituksen mukaisesti 4. Henkilötietoja luovutetaan tarvittaessa ainoastaan alkuperäisen tarpeen ja laillisuusperustan mukaisesti 5. Henkilötiedot poistetaan, kun tarve tai velvoite niiden säilyttämiseksi poistuu Eheys ja luottamuksellisuus Henkilötietoja on käsiteltävä tavalla, jolla varmistetaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta käyttäen asianmukaisia teknisiä tai organisatorisia toimia Kouvolan Vesi Oy on henkilötietojen rekisterinpitäjänä kokonaisvastuussa henkilötietojen tietoturvallisuudesta myös käyttämiensä käsittelijöiden osalta, kuten ulkopuoliset ICT-palveluntarjoajat. Tämän takia on Kouvolan Vesi Oy:n varmistettava että kaikki henkilötietojen käsittelyyn osallistuvilla on riittävä tietoturva henkilötietojen luottamuksellisuuden ja eheyden turvaamiseksi. Yhdenmukaisuuden osoittamisvelvollisuus Kouvolan Vesi Oy:n on pystyttävä osoittamaan yhdenmukaisuus EU:n tietosuojaasetuksen ja tämän tietosuojapolitiikan kanssa. Yhdenmukaisuuden osoittamisessa käytetään erikseen dokumentoitua tietosuojan yhdenmukaisuuden tarkistussuunnitelmaa. Yhdenmukaisuusarvio EU Tietosuoja-asetuksen vaatimuksiin on tehtävä vähintään kerran vuodessa ja niissä mahdollisesti havaitut puutteet on raportoitava yhtiön johdolle. Kouvolan Vesi Oy:n käyttämien ulkoisten henkilötietojen käsittelijöiden on myös osoitettava soveltuvin osin yhdenmukaisuutensa EU:n tietosuoja-asetuksen kanssa.

6(14) Palveluntarjoajien käyttö Käytettäessä ulkoisten palveluntarjoajien palveluita, on näiden kanssa tehtävissä sopimuksissa yksilöitävä sopimusosapuolten roolit suhteessa palveluissa käytettäviin henkilötietoihin. Kouvolan Vesi Oy:n ollessa rekisterinpitäjä, on palveluntarjoajat valittava huolella ja varmistettava näiden kyky toimia luotettavana henkilötietojen käsittelijänä samoin kuin heidän sitoumus toimia Kouvolan Vesi Oy:n tietosuojapolitiikan mukaisesti. Tämän lisäksi on palveluntarjoajien kanssa solmittava erillinen tietosuojasopimus, jossa sovitaan EU:n tietosuoja-asetuksen vaatimusten mukaisesti henkilökäsittelijän oikeuksista ja velvollisuuksista. Kouvolan Vesi Oy:n on myös varmistettava, että tämän käyttämillä henkilötietojen käsittelijöillä on riittävä tietoturva suojaamaan Kouvolan Vesi Oy:n vastuulla olevia henkilötietoja. Kouvolan Vesi Oy:llä on oltava myös oikeus auditoida henkilötietojen käsittelijöiden tapaa käsitellä henkilötietoja ja heidän tietoturvansa taso. Nämä auditoinnit ja niiden tulosten hyväksynnät eivät kuitenkaan rajoita ulkoisen henkilötiedon käsittelijän vastuita suhteessa Kouvolan Vesi Oy:hyn. Kouvolan Vesi Oy:n toimiessa henkilötietojen käsittelijänä ulkoiselle palveluntarjoajalle, on Kouvolan Vesi Oy:n varmistettava, että tämä ulkoinen rekisterinpitäjä ohjeistaa Kouvolan Vesi Oy:n käsittelemään henkilötietoja rekisterinpitäjän haluamalla tavalla. Henkilötietojen varastointi ja käsittely ainoastaan siihen tarkoitetuissa järjestelmissä Henkilötietoja ei saa varastoida tai käsitellä muissa järjestelmissä ja tallennuspaikoissa kuin siihen tarkoitukseen käyttöönotetuissa tai muutoin hyväksytyissä tallennuspaikoissa. Näin ollen Kouvolan Vesi Oy:n henkilökunta tai sen palveluntarjoajat eivät saa ylläpitää henkilötietoja omissa tiedostoissaan tai omissa tallennuspalveluissa. Sähköpostilla ei tule lähettää henkilötietoja muuta kuin mitä on tarpeen. Kouvolan Vesi Oy:n on mahdollisuuksien mukaan hyödynnettävä tiedostomuotoisen datan (esim. Microsoft Office tiedostot, PDF-tiedostot, sähköpostiviestit, jne.) suojaamiskeinoja (digital right management).

7(14) 4. Henkilöiden oikeudet Rekisteröidyillä henkilöillä on oikeus saada henkilötietonsa käsiteltyä EU:n tietosuojaasetuksen käsittelyperiaatteiden mukaisesti mukaan lukien seuraavat oikeudet: Läpinäkyvyys Rekisteröidyllä henkilöllä on oikeus saada kaikki käsittelyä koskevat tiedot, joihin hän on oikeutettu, tiiviisti esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Tiedonsaanti henkilötietojen keräämisvaiheessa Rekisteröidyllä henkilöllä on oikeus saada alla luetellut tiedot kohtuullisen ajan kuluttua, mutta viimeistään kuukauden kuluessa henkilötietojen saamisesta, ottaen huomioon tietojen käsittelyyn liittyvät erityiset olosuhteet. Jos henkilötietoja käytetään viestintään asianomaisen henkilön kanssa, on tiedot annettava viimeistään silloin kun henkilöön ollaan yhteydessä ensimmäisen kerran. Rekisteröidyille henkilölle annettavat tiedot: 1. Kouvolan Vesi Oy:n ja tämän henkilötiedoista vastaavan henkilön yhteystiedot 2. Henkilötietojen käsittelyn tarkoitukset sekä käsittelyn oikeusperuste 3. Kouvolan Vesi Oy:n oikeutetut edut, jos käsittely perustuu siihen 4. Henkilötietojen mahdolliset vastaanottajat tai vastaanottajaryhmät 5. Henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; 6. Tarvittaessa tieto siitä, tullaanko henkilötietoja siirtämään kolmannessa maassa oleville vastaanottajille tai kansainvälisille järjestöille 7. Henkilötietojen säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit 8. Henkilön oikeus pyytää Kouvolan Vesi Oy:ltä häntä itseään koskevat henkilötiedot sekä oikeus pyytää kyseisten tietojen oikaisemista tai poistamista taikka käsittelyn rajoittamista tai vastustaa käsittelyä sekä oikeutta siirtää tiedot järjestelmästä toiseen 9. Henkilön oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen 10. Henkilön oikeus tehdä valitus valvontaviranomaiselle 11. Automaattisen päätöksenteon ja profiloinnin mahdollinen olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle

8(14) 12. Onko henkilötietojen antaminen lakisääteinen tai sopimukseen perustuva vaatimus taikka sopimuksen tekemisen edellyttämä vaatimus sekä onko rekisteröidyn pakko toimittaa henkilötiedot ja tällaisten tietojen antamatta jättämisen mahdolliset seuraukset Jos henkilötietoja aiotaan myöhemmin käsitellä muuhun tarkoitukseen kuin siihen, johon henkilötiedot alunperin kerättiin, on Kouvolan Vesi Oy:n ilmoitettava rekisteröidylle ennen kyseistä jatkokäsittelyä tästä muusta tarkoituksesta samalla tapaa kuin alkuperäisessä ilmoituksessa. Henkilön oikeus omiin henkilötietoihinsa Rekisteröidyllä henkilöllä on oikeus saada Kouvolan Vesi Oy:ltä vahvistus siitä, käsitelläänkö hänen henkilötietoja vai ei. Jos Kouvolan Vesi Oy käsittelee henkilön tietoja, on henkilöllä oikeus seuraaviin tietoihin: 1. Käsittelyn tarkoitukset 2. Kyseessä olevat henkilötietoryhmät 3. Vastaanottajat tai vastaanottajaryhmät, erityisesti kolmansissa maissa olevat vastaanottajat tai kansainväliset järjestöt, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa 4. Mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit 5. Henkilön oikeus pyytää Kouvolan Vesi Oy:ltä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä 6. Oikeus tehdä valitus valvontaviranomaiselle 7. Jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot 8. Automaattisen päätöksenteon, ml. profiloinnin olemassaolo, sekä ainakin näissä tapauksissa merkitykselliset tiedot käsittelyyn liittyvästä logiikasta samoin kuin kyseisen käsittelyn merkittävyys ja mahdolliset seuraukset rekisteröidylle Henkilötietojen oikaiseminen ja poistaminen Rekisteröidyllä henkilöllä on oikeus vaatia, että epätarkat ja virheelliset henkilötiedot oikaistaan ilman aiheetonta viivytystä. Rekisteröidyllä henkilöllä on oikeus saada henkilöä koskevat henkilötiedot poistettua ilman aiheetonta viivytystä, edellyttäen että jokin seuraavista perusteista täyttyy: 9. Henkilön tietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin 10. Henkilö peruuttaa suostumuksen eikä käsittelyyn ole muuta laillista perustetta

9(14) 11. Henkilö vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä 12. Henkilön henkilötietoja on käsitelty lainvastaisesti Henkilötietojen siirto toiseen järjestelmään Henkilöllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, jos henkilötietojen käsittely on perustunut henkilön suostumukseen ja henkilötietojen käsittelyä on suoritettu automaattisesti. Oikeus vastustaa henkilötietojen käsittelyä Henkilöllä on oikeus, henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella, milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, jos käsittely perustuu ainoastaan Kouvolan Vesi Oy:n oikeutettuun etuun. 5. Henkilöiden pyynnöt henkilötiedoistaan Henkilöillä on oikeus esittää erinäisiä pyyntöjä koskien heidän omia henkilötietojaan. Nämä pyynnöt tulee esittää Kouvolan Vesi Oy:n kirjaamoon, jossa pyyntöä esittävän henkilöllisyys varmistetaan. Tämä varmistetaan sen takia, ettei pyyntöjä esitettäisi toisten henkilöiden nimissä. Henkilötiedot toimitetaan henkilön haluamalla tavalla, esimerkiksi sähköpostitse tai kirjeitse. 6. Tietosuojan vaikutusarviot Kouvolan Vesi Oy:n tulee tehdä tietosuojan vaikutustenarviointeja, kun tunnistetaan, että käsittelyn kohteena on erityisiä henkilötietoja tai jos muutoin arvioidaan, että henkilötietojen käsittelyyn liittyy henkilöiden kannalta merkittäviä riskejä. Vaikutusarvio on myös tehtävä, kun henkilötietojen käsittelyssä tapahtuu suurempia muutoksia, esim. uuden teknologian tai uuden palveluntarjoajan käyttöönotto, ja on ennakoitavissa että muutos aiheuttaa korkean riskin henkilöiden oikeuksien ja vapauksien kannalta. Vaikutustenarvioinnin tuloksia hyödynnetään henkilötietojen suojaamiskeinojen käyttöönotossa, joilla pyritään pienentämään henkilötietojen käsittelyn riskitasoa. Vaikutustenarvioita on säännöllisesti katselmoitava, jotta ne mukautuvat muuttuneisiin tilanteisiin ja ovat ajan tasalla.

10(14) 7. Henkilöstön tietosuojakoulutus Kouvolan Vesi Oy:n on huolehdittava, että sen henkilökunnalla on riittävä koulutus henkilötietojen käsittelyä koskevasta lainsäädännöstä ja Kouvolan Vesi Oy:n tietosuoja- ja tietoturva-politiikoista. Tätä varten on henkilökunnalle järjestettävä säännöllistä koulutusta ja kannustettava aktiiviseen tietosuojatyöhön. 8. Tietosuojapoikkeamat ja ilmoitusvelvollisuus Henkilötietojen tietoturvaloukkauksen sattuessa, on Kouvolan Vesi Oy:llä rekisterinpitäjänä ilmoitusvelvollisuus sekä valvontaviranomaiselle, että tietoturvaloukkauksen kohteena oleville henkilöille. Valvontaviranomaiselle on tehtävä ilmoitus tietosuoja-asetuksen mukaisesti 72 tunnin kuluessa siitä, kun henkilötietojen tietoturvaloukkaus on tullut ilmi. Rekisteröidylle henkilötietojen tietoturvaloukkaus ilmoitetaan ilman aiheetonta viivytystä. Kouvolan Vesi Oy:n palveluntarjoajien tulee sitoutua osallistumaan tietoturvapoikkeamien ennaltaehkäisyyn, havainnointiin ja korjaaviin toimenpiteisiin. Kouvolan Vesi Oy:n henkilökunnan ja palveluntarjoajien tulee välittömästi tiedottaa Kouvolan Vesi Oy:n johtoa henkilötietoja koskevista tietoturvaloukkauksista ja myös niiden epäilyksistä.

11(14) Liite A. Soveltuva lainsäädäntö EU:n tietosuoja-asetus ja laki yksityisyyden suojasta työelämässä ovat keskeisimmät henkilötietoja ja niiden käsittelyä koskevat lait. Näiden lakien lisäksi on suuri määrä muita lakeja, joita joudutaan huomioimaan liiketoiminnassa ja ne saattavat omalta osaltaan vaikuttaa henkilötietojen käsittelyn lainmukaisuuteen. Alla on luettelo lainsäädännöstä, joka suoraan tai epäsuoraan vaikuttaa henkilötietojen käsittelyyn Kouvolan Vesi Oy:ssä. - EU:n tietosuoja-asetus (EU 679/2016) - Euroopan parlamentin ja neuvoston (EU 680/2016) - Laki yksityisyyden suojasta työelämässä (759/2004) - Laki kansainvälisistä tietoturvallisuusvelvoitteista (588/2004) - Laki julkisista hankinnoista ja käyttöoikeussopimuksista (1397/2016) - Rikoslaki (39/1889) - Työsopimuslaki (55/2001) - Tietoyhteiskuntakaari (917/2014) - Vesihuoltolaki (119/2001) ja Laki vesihuoltolain muuttamisesta (681/2014)

12(14) Liite B. Tietosuojavastuut Rooli Kouvolan Vesi Oy:n hallitus Vastuu - Tietosuojapolitiikan hyväksyminen - Tietoturvapolitiikan hyväksyminen Johtoryhmä - Tietosuojapolitiikan jalkauttaminen - Tarvittavien tietosuoja- ja tietoturvaohjeiden tuottaminen - Henkilörekisterien omistajien nimeäminen - Henkilöiden oikeuksiin liittyvien prosessien hyväksyminen ja niiden omistajien nimeäminen - Henkilötietojen käsittelyyn liittyvien sopimusten hyväksyntä - Riittävien resurssien antaminen tietosuojalle ja tietoturvalle Henkilörekisterien omistajat Henkilötietojen käsittelijät, ml. ulkoiset palveluntarjoajat - Henkilötietojen käsittelyperiaatteiden noudattaminen ja rekisteröityjen henkilöiden oikeuksien toteuttaminen omistamissaan henkilörekistereissä ja niitä tukevissa järjestelmissä - Noudattaa Kouvolan Vesi Oy:n tietosuoja- ja tietoturvapolitiikka - Ilmoittaa Kouvolan Vesi Oy:n johtoryhmälle havaitsemistaan mahdollisista puutteista tietosuojassa ja tietoturvassa - Osallistua mahdollisten henkilötietoihin kohdistuvien tietoturvaloukkausten ennaltaehkäisemiseen, havaitsemiseen, todisteiden keräämiseen ja korjaaviin toimiin - Raportoida pyydettäessä tietosuojan toteutumisesta

13(14) Liite C. Tietosuojaan liittyviä käsitteitä 'henkilötiedoilla' tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, jäljempänä 'rekisteröity', liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella 'rekisterinpitäjällä' tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti 'henkilötietojen käsittelijällä' tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun 'käsittelyllä' tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista 'käsittelyn rajoittamisella' tarkoitetaan tallennettujen henkilötietojen merkitsemistä tarkoituksena rajoittaa niiden myöhempää käsittelyä 'suostumuksella' tarkoitetaan mitä tahansa vapaaehtoista, yksilöityä, tietoista ja yksiselitteistä tahdonilmaisua, jolla rekisteröity hyväksyy henkilötietojensa käsittelyn antamalla suostumusta ilmaisevan lausuman tai toteuttamalla selkeästi suostumusta ilmaisevan toimen 'profiloinnilla' tarkoitetaan mitä tahansa henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan luonnollisen henkilön tiettyjä henkilökohtaisia ominaisuuksia, erityisesti analysoidaan tai ennakoidaan piirteitä, jotka liittyvät kyseisen luonnollisen henkilön työsuoritukseen, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkeisiin

14(14) 'rekisterillä' tarkoitetaan mitä tahansa jäsenneltyä henkilötietoja sisältävää tietojoukkoa, josta tiedot ovat saatavilla tietyin perustein, oli tietojoukko sitten keskitetty, hajautettu tai toiminnallisin tai maantieteellisin perustein jaettu 'vastaanottajalla' tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, jolle luovutetaan henkilötietoja, oli kyseessä kolmas osapuoli tai ei. Viranomaisia, jotka mahdollisesti saavat henkilötietoja tietyn tutkimuksen puitteissa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti ei kuitenkaan pidetä vastaanottajina; näiden viranomaisten on käsiteltävä kyseisiä tietoja sovellettavia tietosuojasääntöjä noudattaen käsittelyn tarkoitusten mukaisesti 'henkilötietojen tietoturvaloukkauksella' tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin Yksityisyyden vaikutusarviolla (privacy impact assessment) tarkoitetaan henkilötietoihin liittyvien riskien vaikutusta rekisteröityjen henkilöiden oikeuksiin ja vapauksiin

2024 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute