8.12.2023
Tässä tietosuojapolitiikassa määritellään Futunio Oy:n (”Futunio”) tietosuojan pääperiaatteet ja toimintatavat ja vastuut henkilötietojen lainmukaisen käsittelyn ja tietosuojan korkean tason varmistamiseksi Futuniossa.
Tietosuojapolitiikka toimii perustana Futunion tietosuojaa koskeville toimintatavoille ja -ohjeille, joiden avulla tarkennetaan politiikassa annettuja määräyksiä ja ohjataan niiden soveltamista käytäntöön.
Tämä politiikka koskee kaikkia Futunion toimintoja.
Futunio noudattaa kaikessa henkilötietojen käsittelyyn liittyvässä toiminnassaan EU:n yleistä tietosuoja-asetusta, kansallista tietosuojalainsäädäntöä ja muuta soveltuvaa tietosuojalainsäädäntöä ja ottaa huomioon lainsäädännön soveltamiseen liittyvät tulkinnat ja ohjeet.
Tätä tietosuojapolitiikkaa tarkastellaan säännöllisesti ja päivitetään tarpeen mukaan.
Futunio suunnittelee henkilötietojen käsittelyn etukäteen. Käsittely on lainmukaista, kohtuullista ja läpinäkyvää ja se tapahtuu tiettyä, nimettyä tarkoitusta varten laissa säädetyn oikeusperusteen nojalla.
Futunio huolehtii tietosuoja-asetuksen mukaisten rekisteröityjen oikeuksien toteutumisesta informoimalla rekisteröityjä tietojen käsittelystä sekä määrittämällä toimintamallit ja ohjeet niihin tilanteisiin, joissa rekisteröidyt haluavat käyttää tietosuojaan liittyviä oikeuksiaan.
Futunio käsittelee tietoja vain siinä määrin ja niin kauan, kun se on käyttötarkoituksen kannalta tarpeellista.
Futunio pyrkii varmistamaan käytettävien tietojen oikeellisuuden ja toteuttaa kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat ja virheelliset henkilötiedot poistetaan tai oikaistaan. Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot tuhotaan tai tehdään tunnistamattomaksi.
Rekisteröidyille turvataan asianmukaisin toimenpitein oikeus tutustua niihin tietoihin, joita hänestä on kerätty sekä muut lainmukaiset oikeudet, kuten oikeus rajoittaa tietojen käsittelyä tai pyytää henkilötietojen käsittelyn lopettamista. Rekisteröidyn oikeuksien soveltuminen tarkistetaan kussakin yksittäistilanteessa käsittelyn oikeusperuste huomioiden.
Henkilötietoja käsitellään luottamuksellisesti ja turvallisesti ottaen huomioon olosuhteet ja tietoihin liittyvät riskit.
Futunio käsittelee henkilötietoja lähtökohtaisesti Euroopan Unionissa (EU) ja Euroopan talousalueella (ETA). Tietoja voidaan käsitellä EU:n ja ETA:n ulkopuolella vain silloin, kun henkilötietojen siirrolle on lainmukainen siirtoperuste. Futunio arvioi siirtoperusteen tehokkuuden ja täydentävien suojatoimien tarpeen tapauskohtaisesti.
Futunion tavoitteena on tunnistaa ja ottaa huomioon tietosuojaa koskevat riskit kehitettäessä henkilötietoja käsitteleviä sovelluksia ja tietojärjestelmiä tai suunnitellessa henkilötietojen käsittelyä sisältäviä toimintoja ja palveluita. Tietosuojariskien hallinta on osa Futunion riskienhallintaprosessia ja henkilötietojen käsittelyyn liittyvien riskien arviointi on osa säännöllisiä riskiarvioita. Tietosuojaa koskeva vaikutustenarviointi suoritetaan laissa ja viranomaisohjeistuksissa määritellyissä tilanteissa.
Futunio varmistaa, että tietosuojavelvoitteiden noudattaminen voidaan osoittaa ajantasaisella dokumentaatiolla. Henkilöstön riittävästä tietosuojaosaamisesta huolehditaan koulutusten ja tiedottamisen avulla sekä perehdyttämällä uudet työntekijät tietosuoja-asioihin järjestelmällisesti.
Futunio huolehtii tietosuojavelvoitteiden toteutumisesta myös käyttäessään henkilötietojen käsittelyssä ulkoisia kumppaneita, eli henkilötiedon käsittelijöitä. Futunio laatii henkilötietojen käsittelijän kanssa kirjallisen sopimuksen. Sopimuskumppaniksi valitaan sellaisia henkilötietojen käsittelijöitä, jotka täyttävät tietosuojasääntelyn vaatimukset toteuttaen esimerkiksi henkilötietojen suojaamiseksi asianmukaiset tekniset ja organisatoriset toimenpiteet.
Futunio on varautunut henkilötietojen käsittelyn suunnittelussa ja ohjauksessa erilaisiin toimintahäiriöihin sekä toteuttanut käsittelyyn liittyvää riskiä vastaavat tekniset ja organisatoriset suojatoimet. Käsitellyt tiedot pyritään turvamaan henkilötietojen tietoturvaloukkauksilta. Futunio on määritellyt tietoturvaloukkausten yhteydessä sovellettavan prosessin, sekä ohjeet ja vastuut tietoturvaloukkausten ilmoittamiseen ja käsittelyyn. Jokainen Futunion henkilöstöön kuuluva on velvollinen ilmoittamaan havaitsemastaan henkilötietojen tietoturvaloukkauksesta tai sellaisen epäilystä. Futunio dokumentoi tietoturvaloukkaukset lainsäädännön vaatimusten mukaisesti ja tekee lainsäädännön edellyttämät ilmoitukset, kun ilmoituskynnys ylittyy.
Rekisterinpitäjä vastaa henkilötietojen käsittelyn lainmukaisuudesta koko käsittelyn ajan. Vastuu tietosuojan toteuttamisesta, resursoinnista ja johtamisesta on Futunion liiketoimintayksiköiden johtajilla.
Futuniolla on tietosuojavastaavia, joka seuraa tietosuojalainsäädännön noudattamista Futuniolla sekä antaa neuvoja ja ohjeistuksia tietosuojaan liittyvissä asioissa. Tietosuojavastaava toimii myös rekisteröityjen ja valvontaviranomaisen yhteyshenkilönä. Tehtävässään tietosuojavastaava on riippumaton. Tietosuojavastaava raportoi tietosuojaan liittyvistä havainnoistaan Futunion liiketoiminta-alueiden johtajille.
Jokaisen Futunion työntekijän on toiminnassaan noudatettava tätä tietosuojapolitiikkaa, sitä täydentävää ohjeistusta ja tietosuojasääntelyä.
Tämän tietosuojapolitiikan ovat hyväksyneet Futunion liiketoimintayksiköiden johtajat 8.12.2023.