MPS-Yhtiöiden tietosuojapolitiikka
Sisältö
Tietosuojapolitiikka
Päivitetty 13.9.2022.
Tietosuojapolitiikan tarkoitus on määrittää vastuut, periaatteet ja toimintatavat henkilötietojen lainmukaisen käsittelyn ja tietosuojan korkean tason varmistamiseksi. Tietosuojapolitiikan hyväksyy MPS-Yhtiöiden konsernin johtoryhmä. Politiikan ylläpidosta vastaa tietosuojavastaava yhdessä tietosuojaryhmän kanssa.
Tietosuojalla on kiinteä yhteys tietoturvaan. Tietoturvan periaatteet on määritelty MPS-Yhtiöiden tietoturvapolitiikassa.
1 Vastuut ja organisointi
Vastuu tietosuojan toteutumisesta ja johtamisesta on konsernin ja liiketoimintayksiköiden johdolla. MPS-Yhtiöille on nimetty tietosuojavastaava, joka ohjaa ja kouluttaa liiketoimintaa tietosuoja-asioissa sekä valvoo tietosuojalainsäädännön noudattamista. Tietosuojavastaava raportoi konsernin ylimmälle johdolle. Tietosuojaryhmä vastaa yhdessä tietosuojavastaavan kanssa tietosuojakäytänteiden seurannasta, tiedottamisesta ja koulutuksesta vuosikellon mukaisesti.
Jokaisen työntekijän tulee hallita tietosuojan perusteet sekä omaan työnkuvaansa liittyvät tietosuojaohjeet. Liiketoimintayksiköt vastaavat tietosuojan resursoinnista ja käytännön toteutuksesta. Liiketoiminta vastaa myös henkilötietojen käsittelyyn liittyvistä sopimuksista sekä asiakkaiden että henkilötietojen käsittelijöinä toimivien kumppaneiden kanssa. Kumppaneiksi valitaan vain toimijoita, jotka pystyvät täyttämään tietosuojalainsäädännön vaatimukset. Henkilötietojen käsittelyn ulkoistamisesta laaditaan aina sopimus, jossa osapuolten vastuut ja velvollisuudet määritellään.
2 Tietosuojaperiaatteet ja tietojen elinkaari
Henkilötietojen käsittely tapahtuu MPS-Yhtiöissä aina lainmukaisen oikeusperusteen pohjalta ja määriteltyä tarkoitusta varten. Tietoja käsitellään lainmukaisesti, asianmukaisesti ja läpinäkyvästi, sekä ainoastaan niin kauan ja siinä määrin kuin on tarpeellista. Käsiteltävien tietojen oikeellisuus pyritään varmistamaan henkilöltä itseltään tai luotettavista lähteistä.
Rekisteröityjä informoidaan asianmukaisesti ja oikea-aikaisesti henkilötietojen käsittelystä sekä rekisteröidyn oikeuksista. Henkilötietojen käsittelystä on laadittu tietosuojaselosteet. Rekisteröityjen oikeuksiin liittyvät pyynnöt käsitellään määritellyn prosessin mukaisesti.
Henkilötiedoille on määritelty käyttötarkoituksen mukaiset säilytysajat, jotka tarkistetaan säännöllisesti.
Tietojen siirrossa EU:n ja ETA-alueen ulkopuolelle noudatetaan erityistä harkintaa. MPS varmistaa, että siirroissa käytetään lainsäädännön mukaisia siirtoperusteita ja muita tarvittavia suojatoimia.
Henkilötietojen käsittely suunnitellaan etukäteen. Tietosuojavaatimusten noudattamisesta ja dokumentoinnista huolehditaan suunniteltaessa uusia palveluita, sovelluksia tai prosesseja, joihin liittyy henkilötietojen käsittelyä.
3 Tietosuojan toteutuminen
MPS-Yhtiöt varmistaa tietosuojan toteutumisen dokumentoimalla ja ohjeistamalla henkilötietojen käsittelyn toimintatavat. Henkilöstön riittävästä tietosuojaosaamisesta huolehditaan koulutusten ja tiedottamisen avulla. Uudet työntekijät perehdytetään tietosuoja-asioihin järjestelmällisesti.
Henkilötietoihin on pääsy vain työntekijöillä, joiden työtehtävät edellyttävät niiden käsittelyä. Kaikki MPS:n työntekijät sekä henkilötietoja käsittelevät yhteistyökumppanit allekirjoittavat salassapitosopimuksen.
Henkilötietojen tietoturva varmistetaan riittävillä teknisillä ja organisatorisilla toimenpiteillä, joka on tarkemmin määritelty MPS-Yhtiöiden tietoturvapolitiikassa.
MPS arvioi säännöllisesti ja riskilähtöisesti henkilötietojen käsittelyn prosesseja ja toimintatapoja, sekä seuraa aktiivisesti viranomaisten tietosuojaa koskevia ohjeita ja linjauksia.
4 Menettely tietosuojan vaarantuessa
MPS-Yhtiöt on määritellyt ja kuvannut tietoturvaloukkaustapauksissa noudatettavat prosessit. Henkilöstö on koulutettu ja ohjeistettu havaitsemaan tietoturvaloukkauksia ja ilmoittamaan niistä välittömästi. Kaikki epäillyt tietosuojapoikkeamat tutkitaan viipymättä. Selvittämiseen osallistuvat liiketoiminnan edustajat ja tietosuojavastaava, sekä tarpeen mukaan tietoturvasta ja järjestelmistä vastaavat tahot. Kaikki tietoturvaloukkaukset dokumentoidaan ja niistä tehdään tietosuoja-asetuksen edellyttämät ilmoitukset viranomaisille ja rekisteröidyille sekä sopimusten mukaisesti yhteistyökumppaneille kuten rekisterinpitäjille ja yhteisrekisterinpitäjille.
MPS-Yhtiöt katsoo tietosuojaa vaarantavaksi toiminnaksi kaiken henkilötietojen käsittelyä koskevien lakien sekä tämän tietosuojapolitiikan tai sen perusteella annetun ohjeistuksen vastaisen toiminnan.
5 Tietosuojapolitiikan päivitykset ja tiedottaminen
Tietosuojapolitiikka tarkastetaan säännöllisesti ja päivitetään tarpeen mukaan. Päivityksistä tiedotetaan omalle henkilöstölle intranetissa ja muissa sisäisissä viestintäkanavissa. Sidosryhmille politiikka on nähtävissä MPS-Yhtiöiden verkkosivuilla.