Tietosuojapolitiikka, Finnlines Oyj

1. Tietosuojapolitiikan soveltamisala

Tässä tietosuojapolitiikassa kuvataan Finnlines Oyj:n (”Yritys”) johdon määrittelemät tietosuojan tavoitteet, vastuut ja toimintalinjat. Yritys tunnistaa tietosuojan [1] ja rekisteröityjen henkilöiden yksityisyyden suojan merkityksen osana toimintaansa ja sitoutuu tietosuojaan tässä tietosuojapolitiikassa kuvatulla tavalla.

Yritys soveltaa ja on sitoutunut noudattamaan kansallista tietosuojalainsäädäntöä, Euroopan unionin yleistä tietosuoja-asetusta (2016/679) ja muuta soveltuvaa tietosuojalainsäädäntöä. Yrityksen tietosuojan tavoitteet, vastuut ja toimintalinjat on määritelty soveltuvaa lainsäädäntöä huomioon ottaen.

Tietosuojan hallintamalli on rakennettu määrittelemällä tietosuojan periaatteita ja toimintalinjoja, toteuttamalla käytäntöjä ja laatimalla dokumentaatiota sekä viestimällä mainitut periaatteet, käytänteet ja toimintalinjat yrityksen työntekijöille. Yritys sitoutuu noudattamaan osoitusvelvollisuutta huolehtimalla tarvittavasta tietosuojahallinnosta, käytänteistä ja prosesseista sekä riittävästä dokumentaatiosta.

Yrityksen johto on hyväksynyt tämän tietosuojapolitiikan sisällön. Tietosuojapolitiikan sisältöä tarkistetaan ja päivitetään säännöllisesti tai tarpeen mukaan ja toiminnan muuttuessa tähän tietosuojapolitiikkaan vaikuttavalla tavalla.

2. Henkilötiedon käsittelyn yleiset periaatteet

Yritys määrittelee soveltuvan lainsäädännön mukaisesti kaikki henkilötietojen käsittelyn tarvittavat yksityiskohdat ennen henkilötietojen keräämistä ja Yritys noudattaa henkilötiedon käsittelyn periaatteita. Yritys sitoutuu noudattamaan henkilötiedon käsittelyn periaatteita ja osoitusvelvollisuuden mukaisesti osoittamaan, että periaatteita on noudatettu. Tämän toteuttamiseksi yritys huolehtii tarvittavasta tietosuojahallinnosta, käytännöistä, prosesseista ja tietosuojadokumentaatiosta.

Yritys toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen ja osoittaakseen henkilötietojen käsittelyn tapahtuvan soveltuvan tietosuojalainsäädännön mukaisesti. Toimenpiteiden toteuttamisessa otetaan huomioon henkilötietojen käsittelyn luonne, laajuus, sisältö ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat vakavuudeltaan vaihtelevat riskit. Asianmukaiset tekniset ja organisatoriset toimenpiteet toteutetaan myös sen varmistamiseksi, että oletusarvoisesti käsitellään vain sellaisia henkilötietoja, jotka ovat tarpeen jokaisen erikseen määritellyn käsittelyn tarkoituksen saavuttamiseksi. Tämä velvollisuus koskee kerättyjen henkilötietojen määrää, henkilötietojen käsittelyn laajuutta, henkilötietojen säilytysaikaa ja henkilötietojen saatavuutta. Mainittujen yrityksen toimenpiteiden avulla varmistetaan etenkin se, ettei henkilötietoja oletusarvoisesti saateta rajoittamattoman henkilömäärän saataville ilman luonnollisen henkilön myötävaikutusta.

Nämä asianmukaiset ja tekniset toimenpiteet on suunniteltu toteuttamaan tietosuojaperiaatteita, kuten tiedon minimointia, tehokkaasti, ja sisällyttämään tarpeelliset suojatoimet osaksi henkilötietojen käsittelyä. Tavoitteena on soveltuvan lainsäädännön vaatimusten toteuttaminen ja rekisteröityjen oikeuksien suojelu. Mainittuja yrityksen toteuttamia toimenpiteitä tarkistetaan ja päivitetään ajoittain.

Yritys kerää ja käsittelee henkilötietoa aina vain soveltuvan tietosuojaselosteen mukaisesti ja siinä kuvattuihin tarkoituksiin, mukaan lukien rekisteröidyn suostumus, ja aina soveltuvan lainsäädännön puitteissa. Kaikki henkilötiedot, ovat ne sitten arkaluonteisia tai eivät, poistetaan rekistereistä heti, kun käsittely ei ole enää soveltuvan lainsäädännön mukaan tarpeen. Yritys varmistaa, että kaikki käsitellyt henkilötiedot ovat oikeita ja päivitettyjä ja että niitä luovutetaan kolmannelle osapuolelle vain nimenomaisen suostumuksen tai muun soveltuvan lainsäädännön mukaisen laillisen oikeuden perusteella.

3. Tietosuojahallinto

Yritys on toteuttanut tietosuojan ja yksityisyyden suojan hallintamallin, jolla noudatetaan henkilötietojen käsittelyyn ja suojaamiseen liittyviä velvollisuuksia. Menettelytapaa tarkistetaan ja päivitetään ajoittain sekä soveltuvan lainsäädännön tarpeiden mukaan ja yrityksen muutosten mukaisesti. Yritys suorittaa aktiivisesti tietosuoja-asioihin liittyvää yleistä riskienarviointia osana vuosittaista tietosuojan vuosikelloa.

Yritys on nimittänyt tietosuojavastaavan soveltuvan lainsäädännön mukaisesti. Tietosuojavastaava tiedottaa ja neuvoo rekisterinpitäjää [2], henkilötietojen käsittelijää [3], ja henkilötietoja käsitteleviä työntekijöitä soveltuvan lainsäädännön mukaisesti, valvoo soveltuvan lainsäädännön noudattamista, tekee yhteistyötä valtion valvontaviranomaisen [4] kanssa ja toimii rekisteröityjen yhteyshenkilöinä.

Yritys ohjeistaa, kouluttaa ja tiedottaa työntekijöitään tietosuojaa koskevista aiheista. Tietosuojasta vastaavat henkilöt (tietosuojavastaava ja yrityksen johto) määrittelevät ja suunnittelevat suositukset, ohjeet, koulutukset ja tiedottamisen osana tietosuojan vuosikelloon kuuluvia tehtäviään.

Yritys toimittaa rekisteröidyille tietoa soveltuvan lainsäädännön mukaisesti. Yritys sitoutuu takaamaan, että rekisteröityjen oikeudet toteutetaan soveltuvaa lainsäädäntöä noudattaen.

4. Hallinnollinen tietoturva / yrityksen tietoturvajärjestelyt

Yritys toteuttaa tietoturvaratkaisuja, jotka ovat toimialalla henkilötiedon käsittelyyn ja säilyttämiseen sovelletun hyvän toimintatavan mukaisia.  Tietoturvaratkaisuja tarkistetaan ja päivitetään osana yrityksen tietosuojan vuosikelloa.

Yritys takaa, että sen henkilötietojen käsittelyyn osallistuvat työntekijät ja muu henkilökunta ovat sidottuja asianmukaiseen salassapitovelvoitteeseen.

Jos tietosuojan huomataan tai epäillään vaarantuneen, asia tutkitaan välittömästi. Yritys myös tiedottaa rekisteröityjä tällaisesta loukkauksesta tai väitetystä loukkauksesta, edellyttäen, että se on vahingon rajoittamisen tai korjaavien toimenpiteisiin ryhtymisen kannalta asianmukaista.

Tietosuojakäytäntöjen ja -prosessien toteuttamista ja tehokkuutta arvioidaan Yrityksen määrittämien mittareiden mukaan. Tietosuojakäytännöt ja -prosessit, yrityksen resursointi ja tietosuojadokumentaatio ovat jatkuvan kehityksen ja parannuksen kohteena osana tietosuojan hallintamallia sekä tietosuojan vuosikelloa.

————————————————————————————————-

Kaikki tässä tietosuojapolitiikassa käytetyt käsitteet ovat Euroopan unionin yleisen tietosuoja-asetuksen mukaisia.

[1] Henkilötiedolla tarkoitetaan kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön (”rekisteröity”) liittyviä tietoja. Tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.

[2] Rekisterinpitäjällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot; jos tällaisen käsittelyn tarkoitukset ja keinot määritellään unionin tai jäsenvaltioiden lainsäädännössä, rekisterinpitäjä tai tämän nimittämistä koskevat erityiset kriteerit voidaan vahvistaa unionin oikeuden tai jäsenvaltion lainsäädännön mukaisesti.

[3] Henkilötietojen käsittelijällä tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän lukuun.

[4] Valvontaviranomaisella tarkoitetaan riippumatonta viranomaista, jonka jäsenvaltio on perustanut tietosuoja-asetuksen 51 artiklan mukaisesti.