Tietosuoja ja Tietoturva

Airtouchin tietosuoja- ja tietoturvapolitiikka

Päivitetty 21.5.2018

JOHDANTO

Me Airtouchilla kunnioitamme asiakkaiden, kumppaneiden ja työntekijöiden yksityisyyttä. Tässä tietosuoja- ja tietoturvapolitiikassa kerrotaan, miten Airotouch kerää, käyttää ja käsittelee erilaisia henkilötietoja ja varmistaa yksityisyyden suojan. Tietosuoja- ja tietoturvapolitiikka määrittelee ne periaatteet, vastuut, velvoitteet, toimintatavat sekä seurannan ja valvonnan, joita yrityksessä noudatetaan tietosuojan ja -turvan toteuttamisessa ja kehittämisessä. Tätä politiikkaa täydentävät yksityiskohtaiset määräykset ja ohjeet.

Yrityksen rekisterit sisältävät asiakkaisiin, työntekijöihin ja toimintaan liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Henkilötietojen käsittelystä on säädelty EU:n tietosuoja-asetuksella sekä tähän liittyvällä paikallisella lainsäädännöllä.
Airtouchin johdon käsittelemä ja vahvistama tietosuoja- ja tietoturvapolitiikka kattaa yritykseen kaikkeen toimintaan liittyvät tietojenkäsittelyn tehtävät. Jokaisen Airtouchin työntekijän ja tietojärjestelmien käyttäjän on tunnettava tämä politiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä.

Airtouchin ulkopuolisten toimijoiden ja muiden ulkopuolisten tahojen tulee myös sitoutua noudattamaan lainsäädäntöä, tätä tietosuoja- ja tietoturvapolitiikkaa sekä tietosuojaa ja -turvaa koskevia ohjeita ehtona tehtäviensä mukaiselle pääsylle yrityksen tietojärjestelmiin ja niiden tietoaineistoihin. Yrityksen toimiessa rekisterinpitäjänä edellytetään toimittajilta erillisen henkilötietojen käsittelyä koskevan sopimuksen (tai liitteen) allekirjoitusta. Yksittäisiltä tietoja käsitteleviltä henkilöiltä edellytetään tietosuojasitoumuksen allekirjoitus. Yrityksen toimiessa henkilötietojen käsittelijänä solmitaan erillinen sopimus henkilötietojen käsittelystä.

Tietosuojalla tarkoitetaan yksityisyyden suojaamista henkilötietoja käsiteltäessä.
Hyväksytyn tietosuoja- ja tietoturvapolitiikan mukainen tietosuoja ja -turva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietosuojan ja -turvan kehittäminen ja ylläpito on osa yrityksen yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa.

TIETOSUOJA- JA TIETOTURVATYÖ

Tietosuoja- ja tietoturvatyön tavoite on turvata henkilötietojen lainmukainen käsittely, varmistaa yrityksen tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietoturvaloukkaukset sekä ulkopuolisten asiaton pääsy tietojärjestelmiin ja/tai niiden valtuudeton käyttö, estää tietojen tahaton tai tahallinen tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niiden ratkaisemiseen.

ORGANISOINTI JA VASTUUT

Tietosuojaa ja -turvaa johtaa ja valvoo yrityksen johtaja. Johtaja päättää yrityksen kokonaisturvallisuuden eri osa-alueiden kehittämisen tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista. Tietosuojasta sekä tietoturvasta vastaavana toimii yrityksen johtaja, joka nimeää tietosuojavastaavan.

Tietosuojavastaava vastaa EU-tietosuoja-asetuksen sekä paikallisen lainsäädännön mukaisista tehtävistä. Tietoturvavastaava vastaa yrityksen tietoturvatyön kokonaisuudesta yrityksen johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa. Hän vastaa myös tietoturva-asioiden viestinnästä.

Tietoturvavastaavan tehtävät ovat:

  • Tietosuojavastaavan tehtävät on määritelty EU-tietosuoja-asetuksessa
  • Tietoturvavastaava vastaa tietoturvan määrittelystä, arvioinnista ja raportoinnista. Hän vastaa tietoturvan kehittämissuunnitelmien tekemisestä, toteutuksen valvonnasta, tietoturvatietouden edistämisestä ja tietoturvallisesta toimintatavasta yrityksessä ja sen ostamissa palveluissa sekä raportoinnista.
  • Tietoturvavastaava vastaa laitteisto- ja ohjelmistoturvallisuudesta.
  • Tietoturvavastaava vastaa henkilöstöturvallisuudesta tietoturvallisuuden osalta.
    Jokaisella yrityksen henkilötietoja sisältävällä rekisterillä on rekisteristä vastaava henkilö, jonka vastuut on kuvattu EU-tietosuoja-asetuksessa ja paikallisessa lainsäädännössä.

Jokaisella yrityksen tietojärjestelmällä on vastuuhenkilö. Tietojärjestelmän vastuuhenkilön velvollisuuksiin kuuluu tietojärjestelmän toimintaan ja turvallisuuteen asetettavien vaatimusten (esim. kriittisyyden, jatkuvuussuunnittelun ja varmuuskopiointimenettelyn) määrittely sekä käyttöoikeuksien myöntäminen ja valvonta.

Tietoturva-asioiden ohjeistamisesta, tiedottamisesta ja valvonnasta omassa yksikössään vastaa yrityksen johtaja.

Jokainen yrityksen työntekijä, henkilötietoja tai muita tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä tai käyttäjä on omalta osaltaan vastuussa tietosuojan ja -turvan toteuttamisesta sekä ohjeiden noudattamisesta. Jokainen henkilö on velvollinen tietosuojaan tai -turvaan liittyvien uhkien ja poikkeamien raportoimisesta tietosuoja- tai tietoturvavastaavalle.

TOTEUTUS

Tietosuojan ja -turvan toteuttamisen perusta on tämä yrityksen kirjallinen tietosuoja- ja tietoturvapolitiikka, joka annetaan tiedoksi jokaiselle yrityksen työntekijälle ja tietojärjestelmien käyttäjälle.

Yrityksen tietosuoja- ja tietoturvaperiaatteet perustuvat EU-tietosuoja-asetukseen ja kansalliseen lainsäädäntöön. Tietosuojan ja -turvan toteuttaminen ja ylläpito kuvataan yksityiskohtaisesti erillisissä ohjeissa. Tietosuojan ja -turvan tavoitteiden saavuttaminen on jatkuva prosessi.

Käyttäjien toimintaa ohjataan vahvistetuilla ja saatavilla olevilla ohjeilla sekä tietosuoja- ja tietoturvakoulutuksella.

SEURANTA JA VALVONTA

Yrityksen johdon ja vastuuhenkilön tehtävänä on valvoa tietosuojan- ja tietoturvan toteutumista.

Tietoturvavastaavan tehtävänä on seurata ja valvoa yrityksen tietoturvan toteutumista ja ryhtyä tarvittaessa toimenpiteisiin tietoturvan parantamiseksi.

TIETOJEN HANKINTA, LÄHTEET JA TIETORYHMÄT

Tiedon hankintatavat, lähteet sekä rekisteröidyistä muodostetut tietoryhmät on erikseen kuvattu kunkin rekisterin tietosuojaselosteessa.
TIETOJEN LUOVUTTAMINEN ASIAKKAILLE JA AVOIMUUS REKISTERÖITYJÄ KOHTAAN

Tietojen luovuttaminen asiakkaille sekä avoimuus rekisteröityjä kohtaan on kuvattu kunkin rekisterin osalta tietosuojaselosteessa.

YHTEISTYÖ ERI INTRESSIRYHMIEN JA VIRANOMAISTEN KANSSA

Yritys tekee yhteistyötä eri intressiryhmien ja viranomaisten kanssa EU-tietosuoja-asetuksen, paikallisen lainsäädännön ja erillislainsäädännön mukaisesti.

KANSAINVÄLISYYS

Yritys ei toimita henkilötietoja EU-alueen ulkopuolelle ilman pätevää syytä, henkilön omalla suostumuksella ja tarkistettuaan vastaanottajan tietoturvamenettelyt.

TIETOSUOJAA VALVOVA VIRANOMAINEN

Tietosuojavaltuutettu on viranomainen, joka ohjaa, neuvoo ja valvoo henkilötietojen käsittelyä henkilötietolain mukaisesti. Tietosuojavaltuutettu käyttää päätösvaltaa tarkastusoikeuden toteuttamista ja tiedon korjaamista koskevissa asioissa sekä antaa ratkaisuja rekisterinpidon lainmukaisuudesta ja rekisteröityjen oikeuksien toteutumisesta.

TIETOSUOJA- JA TIETOTURVAPERIAATTEIDEN PÄIVITTÄMINEN

Tietosuoja- ja tietoturvaperiaatteet ovat tämän hetken käytäntömme mukaiset. Päivitämme periaatteita säännöllisesti ja vähintään vuosittain.