MPS-Yhtiöiden tietosuojapolitiikka

Tietosuojasta huolehtiminen on osa MPS-Yhtiön compliance-toimintaa, riskienhallintaa ja eettisten ohjeiden mukaisia toimintaperiaatteita. Tietosuojapolitiikassa määritellään, kuinka kaikissa MPS-Yhtiö-konsernin toiminnoissa, toimintamaissa ja sopimuskumppaneissa käsitellään vain tarkoituk-senmukaisia henkilötietoja, varmistetaan henkilötietojen käsittelyn lainmukaisuus ja tietosuojan korkea taso. Tietosuojapolitiikan on hyväksynyt MPS-Yhtiöiden johtoryhmä ja tietohallinto.

1. Tietosuojapolitiikan kattavuus, tavoitteet ja riskienhallinta

Tietosuojaan kuuluvat henkilöiden yksityiselämän suoja ja yksityisyyden suojaa turvaavat muut oikeu-det henkilötietoja käsiteltäessä, henkilötietolain (523/1999) 10 § ja 24 §, mukaan lukien 25.5.2018 lähtien sovellettavan EU:n yleisen tietosuoja-asetuksen vaatimukset.

Tietosuojapolitiikan avulla pyritään turvaamaan kunkin MPS-Yhtiön toimintamaan lainsäädännön mukaiset henkilötietojen käyttöön liittyvät MPS-Yhtiön asiakkaiden, työntekijöiden ja muihin sidos-ryhmiin kuuluvien henkilöiden oikeudet sekä varmistamaan tietojen käsittelijän oikeudet ja velvollisuuksien noudattaminen henkilötietoja käsiteltäessä. Tietosuojaa toteutettaessa kiinnitetään erityistä huomiota henkilötietojen salassapitoon sekä siihen, ettei asiattomilla ole pääsyä tietoihin ja ettei tie-toja käytetä henkilöä vahingoittavasti. Tietosuojan toteutumisen varmistamiseksi tehdään systemaat-tista riskienhallintaa ja – analysointia.

Tietosuojalla on kiinteä yhteys tietoturvaan. MPS-Yhtiön tietoturvapolitiikka määrittelee, mitä tarkoi-tetaan tietoturvalla ja riskienhallinnalla ja kuinka sitä ylläpidetään.

2. Tietojen elinkaari ja käyttö

Kaikki MPS-Yhtiöiden tietojärjestelmät ja niiden sisältämä tieto säilytetään EU:n alueella.
Henkilötietojen käsittely tavoitteena on avoimuus, läpinäkyvyys ja täsmällisyys. Henkilötietojen käsittely perustuu henkilön suostumukseen tai laissa määriteltyyn muuhun perusteeseen. Henkilötietoja käsitellään vain perustellun käyttötarkoituksen johdosta ja vain siinä määrin ja niin kauan, kun se on käyttötarkoituksen kannalta tarpeellista. Käytettävien tietojen oikeellisuus pyritään varmistamaan ja tietoja päivitetään henkilöltä itseltään tai luotettavista lähteistä. Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot tuhotaan asianmukaisesti.

Tietoja käytetään niitä kerättäessä kuvattuihin tarkoituksiin lainsäädännön kulloinkin sallimissa rajoissa. Tietoja luovutetaan vain nimenomaisesti kerrotulla tai laissa mainitulla perusteella ja nimenomai-sesti kerrotuille tai laissa mainituille luovutuksen saajille. Tietoja saatetaan siirtää rekisterinpitäjän sijaintivaltion ulkopuolelle, mikäli kyseistä rekisteriä koskeva lainsäädäntö sallii siirron. Tällöin nouda-tetaan siirtoa koskevia, kunkin maan lainsäädännössä mahdollisesti säädettyjä menettelyitä.

3. Rekisteröityjen informointi

Rekisterinpitäjä on se MPS-Yhtiö konserniin kuuluva yhtiö, jonka käyttötarkoitusta varten henkilötiedot on kerätty. Kustakin henkilörekisteristä laaditaan Suomen ja EU:n lainsäädännön edellyttämä dokumentaatio. Rekisteröidyille tarjotaan laissa tarkoitettu tai muuten tarpeellinen informaatio henkilö-tietojen käsittelystä tietoja kerättäessä sekä mahdollisuuksien mukaan myös muulla tavoin, esim. rekisterinpitäjien verkkosivuilla.

4. Vastuut ja organisointi

Vastuu tietosuojan toteuttamisesta on liiketoiminta- ja konsernijohdolla omissa yksiköissään. MPS-Yhtiöille on nimetty tietosuojavastaava sekä tietosuojatyöryhmä, jotka huolehtivat tietosuojan toteu-tumiseen liittyvien tietojen ja työkalujen ajantasaisuudesta. Jokaisen MPS-Yhtiölaisen tulee tuntea ja hallita oman vastuualueensa tietosuojasääntely ja -riskit. Kukin liiketoimintayksikkö vastaa tietosuo-jan resursoinnista ja käytännön toteutuksesta omassa yksikössään. Liiketoimintayksikkö vastaa tieto-suojasta myös ulkoistaessaan tietojen käsittelyn. Se huolehtii, että valittu kumppani noudattaa tätä tietosuojapolitiikkaa. Henkilötietojen käsittelyn ulkoistamisesta laaditaan aina kirjallinen sopimus, jossa osapuolten vastuut ja velvollisuudet määritellään.

5. Tietosuojan varmistaminen

Tietosuoja-asiat kuuluvat osana henkilötietoja käsittelevien uusien työntekijöiden perehdytykseen ja kaikki työntekijät suorittavat MPS-Yhtiöiden tietosuojaa koskevan verkkokoulutuksen ja niistä järjestetään säännöllisesti koulutusta kaikille työntekijöille.

Kaikkia henkilötietoja käsitteleviä henkilöitä sitoo laissa säännelty tai erikseen sovittu ja dokumentoitu vaitiolovelvollisuus. Jokainen MPS:n työntekijä on allekirjoittanut salassapitosopimuksen työsopimuk-sen yhteydessä.

Henkilötietoja sisältävien tietojärjestelmien käyttöä kontrolloidaan konsernin käyttäjähallintaratkaisulla tai muuten dokumentoiduilla menettelyillä. Lokitiedot kerätään erikseen laissa säädetyllä tai muutoin riittävällä tarkkuudella kaikista rekisteristä. Henkilötietoja sisältävän järjestelmän käyttöön ovat oikeutettuja vain ne työntekijät, joilla työnsä puolesta on oikeus käsitellä asiakastietoja. Kullakin käyttäjällä on oma käyttäjätunnus ja salasana järjestelmään.

Tiedot kerätään tietokantoihin, jotka ovat palomuurein, salasanoin ja muilla teknisillä keinoilla suojat-tuja. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa tiloissa ja tietoihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Henkilötietoja säilytetään niin kauan kuin henkilötiedon käyttötarkoituksen vuoksi on tarpeellista.
Mikäli tietosuojan epäillään tai havaitaan vaarantuneen, asia tutkitaan viipymättä. Lisäksi asiasta il-moitetaan viipymättä viranomaiselle ja rekisteröidylle, jonka tietosuoja on vaarantunut, edellyttäen, että ilmoittaminen on aiheellista korjaavien toimenpiteiden suorittamiseksi tai vahingon rajaamiseksi. Kukin liiketoimintayksikkö tai rekisterinpitäjä arvioi ja valvoo tietosuojan toteutumista omissa toimin-noissaan.

6. Menettely tietosuojan vaarantuessa

Katsomme tietosuojaa vaarantavaksi toiminnaksi kaiken henkilötietojen käsittelyä koskevien lakien, tämän tietosuojapolitiikan tai sen perusteella annetun ohjeistuksen vastaisen toiminnan. Mikäli arvioimme tietosuojaa vaarantavan toiminnan täyttävän lainsäädännössä kuvatun rangaistavan toiminnan tunnusmerkistön, annamme asian viranomaisten tutkittavaksi. Jos vaaraa aiheuttava toiminta ei täytä em. tunnusmerkistöä, mutta vaarantaa tietosuojaa, voi asiasta seurata huomautus, varoitus tai työsuhteen päättäminen.

7. Tiedottaminen henkilöstölle, rekisteröidyille ja sidosryhmille 

Tästä tietosuojapolitiikasta ja sen muutoksista tiedotetaan MPS-Yhtiön henkilökunnalle MPS-Yhtiön intranetissä. Tietosuojapolitiikka päivitetään tarpeen mukaan. Tämän lisäksi MPS-Yhtiöissä annetaan sisäisiä ohjeita tietosuoja-asioista.

Päivitetty 9.5.2018.