Tietosuoja- ja tietoturvapolitiikka

 

1.     Johdanto

Tämä dokumentti on Savon Rautaosa Oy:n johdon hyväksymä tietosuoja- ja tietoturvapolitiikka (”Politiikka”) on ja johdon näkemys tietosuojasta ja -turvasta. Politiikka määrittelee tietosuoja- ja tietoturvaperiaatteet, roolit ja vastuut sekä seurannan ja valvonnan, jolla pyritään varmistamaan tietosuojan ja tietoturvan korkea taso Savon Rautaosa Oy:n toiminnassa.

Politiikka koskee Savon Rautaosa Oy:n jokaista työntekijää, luottamushenkilöä ja sidosryhmien edustajaa, joka työnsä tai toimeksiantonsa puitteissa käsittelee Savon Rautaosa Oy:n omistamaa tai hallinnoimaa tietoa. Politiikkaa sovelletaan kaikkiin sähköisessä, kirjallisessa tai muussa muodossa olevien henkilötietojen käsittelyyn, siirtämiseen, luovuttamiseen ja säilytykseen. Toimintaa ohjaavat Suomen laki, EU:n yleinen tietosuoja-asetus (2016/679) ja muu henkilötietojen käsittelyä ja tietoturvaa koskeva voimassa oleva lainsäädäntö sekä Savon Rautaosa Oy:n sopimukset ja niiden myötä syntyvät erityisvaatimukset.
Politiikka on voimassa toistaiseksi ja voimassaolo jatkuu, ellei sitä nimenomaisesti kumota. Politiikka tarkastetaan ja arvioidaan säännöllisesti siinä määriteltyjen vastuiden mukaisesti ja nimettyjen vastuuhenkilöiden toimesta. Politiikka julkaistaan ja siitä tiedotetaan tarkoituksenmukaisesti henkilöstölle ja muille asiaankuuluville tahoille.

2.     Tietosuoja

Tietosuojalla tarkoitetaan henkilötietojen ja muiden henkilön luottamuksellisten tai arkaluonteisten tietojen lainmukaista käsittelyä ja niiden suojaamista luvattomalta käytöltä ja muulta käsittelyltä. Savon Rautaosa Oy:ssä tämä tarkoittaa henkilöstön, asiakkaiden ja sidosryhmien henkilötietojen suojaamista.

Henkilötietojen käsittely

Savon Rautaosa Oy on sitoutunut käsittelemään työntekijöiden, asiakkaiden ja muiden henkilöiden henkilötietoja ainoastaan siinä laajuudessa kuin se on kulloisenkin käsittelyn kannalta tarpeen sekä Savon Rautaosa Oy:n lakisääteisten velvoitteiden täyttämiseksi. Henkilötietojen käsittelemisen tulee perustua aina kulloinkin sovellettavassa lainsäädännössä määriteltyyn perusteeseen.
Savon Rautaosa Oy pyrkii siihen, että se ei käsittele virheellisiä, epätäydellisiä tai vanhentuneita henkilötietoja. Käsiteltävien henkilötietojen oikeellisuus pyritään varmistamaan ja tietoja voidaan päivittää rekisteröidyltä tai ulkopuolisista luotettavista lähteistä. Henkilötietojen suojaamisesta huolehditaan käsittelyn ja säilyttämisen aikana niin, että ulkopuolisilla tahoilla ei ole pääsyä henkilötietoihin.

Henkilötietojen säilytys

Savon Rautaosa Oy säilyttää henkilötietoja voimassa olevan lainsäädännön mukaisesti ja vain niin kauan, kuin on tarpeen etukäteen määriteltyjen tarkoitusten toteuttamiseksi. Soveltuvan lainsäädännön velvoitteista johtuen tietoja voidaan joutua säilyttämään edellä mainittua ajanjaksoa pidempään. Henkilötietojen säilytysajat on kuvattu tarkemmin erikseen laadituissa tietosuojaselosteissa.
Savon Rautaosa Oy pyrkii kohtuullisin keinoin pitämään hallussamme olevat henkilötiedot oikeellisina poistamalla tarpeettomia tietoja sekä päivittämällä vanhentuneita tietoja. Tiedot merkitään rekisteriin sellaisina kuin ne saadaan rekisteröidyltä ja niitä päivitetään sen mukaan, mitä rekisteröity ilmoittaa rekisterinpitäjälle.

Henkilötietojen luovutukset ja siirrot

Savon Rautaosa Oy voi käyttää alihankkijoita ja palveluntarjoajia muun muassa palvelujensa tekniseen ylläpitoon, asiakaspalveluun, asiakas- ja työntekijätietojen hallinnointiin, laskutukseen, palkanlaskentaan tai asiakasviestintään. Henkilötietoja voidaan luovuttaa Savon Rautaosa Oy alihankkijoille ja palveluntarjoajille vain siinä määrin, kun ne osallistuvat Savon Rautaosa Oy palvelujen toteuttamiseen.
Tällaiset kolmannet osapuolet eivät saa käyttää tietoja mihinkään muuhun, kuin Savon Rautaosa Oy määrittämiin tarkoituksiin. Savon Rautaosa Oy velvoittaa heidät pitämään tiedot salassa ja huolehtimaan asianmukaisesti riittävästä tietoturvan tasosta henkilötietojen suojaamiseksi.
Mikäli Savon Rautaosa Oy käyttää tietojen käsittelyssä palveluntarjoajia, joilla voi olla pääsy tietoihin EU:n tai ETA-alueen ulkopuolelta, Savon Rautaosa Oy huolehtii siirtojen asianmukaisesta ja lainmukaisesta toteuttamisesta henkilötietojen käsittelyä koskevan lainsäädännön mukaisesti.
Henkilötietoja voidaan luovuttaa toimivaltaisen viranomaisen esittämien vaatimusten ja lakiin perustuvien edellytysten mukaisesti.

Rekisteröityjen informointi

Savon Rautaosa Oy informoi rekisteröityjä aina asianmukaisesti henkilötietoja käsittelystä siinä vaiheessa, kun henkilötietoja alun perin kerätään. Jokaisesta Savon Rautaosa Oy ylläpitämästä henkilörekisteristä laaditaan lainmukainen seloste, jota pidetään asianmukaisesti saatavilla Savon Rautaosa Oy toimipaikassa tai muualla, kuten Savon Rautaosa Oy verkkosivulla.

Rekisteröityjen oikeuksien toteuttaminen

Lainsäädännössä rekisteröidyille annetaan heidän henkilötietoja koskevia oikeuksia. Mikäli rekisteröity haluaa käyttää hänelle kuuluvia oikeuksiaan, tulee rekisteröidyn tehdä kirjallinen ja allekirjoitettu pyyntö Savon Rautaosa Oy:lle sähköpostilla tai henkilökohtaisesti Savon Rautaosa Oy:n toimitiloissa.
Tietosuojasta vastaava henkilö käsittelee kaikki rekisteröityjen oikeuksia koskevat pyynnöt ennalta määriteltyjen ohjeiden ja lainsäädännössä asetetun aikarajan mukaisesti.

Tietoturvaloukkausten käsitteleminen

Tietoturvasta vastaava henkilö yhdessä muiden Savon Rautaosa Oy työntekijöiden kanssa on vastuussa tietoturvaloukkausten asianmukaisesta hoitamisesta ennalta määriteltyjen ohjeiden mukaisesti. Tietoturvaloukkauksella tarkoitetaan loukkausta, jonka seurauksena on henkilötietojen käsittely vahingossa tai lainvastaisesti tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin.
Tietosuojasta vastaava henkilö arvio tietoturvaloukkauksen todennäköisiä seurauksia rekisteröityjen oikeuksien kannalta ja toimii ennalta määriteltyjen ohjeiden mukaisesti. Tietoturvasta vastaava henkilö huolehtii asianmukaisten ilmoitusten tekemisestä valvontaviranomaisille ja rekisteröidyille. Tietoturvasta vastaava henkilö pitää kirjaa kaikista tietoturvaloukkauksista sekä raportoi kaikki tietoturvaloukkaukset työryhmälle ja johdolle.

Tietosuojaa koskevat vaikutustenarvioinnit

Uusien palveluiden, tietojärjestelmien ja prosessien tietosuoja-asiat pyritään ottamaan asianmukaisesti huomioon jo suunnitteluvaiheessa. Suunnitellun henkilötietojen käsittelyyn liittyvät riskit pyritään tunnistamaan jo etukäteen, jotta voidaan varmistaa tietosuojan korkea taso. Tietosuojasta vastaava henkilö otetaan mukaan suunniteltaessa uusia henkilötietojen käsittelytoimia kuten perustettaessa uutta henkilörekisteriä, tilattaessa uutta järjestelmää tai vaihtaessa palveluntarjoajaa, jotta henkilö voi arvioida tarvetta suorittaa tietosuojaa koskeva vaikutustenarviointi.

3.     Tietoturvallisuus

Savon Rautaosa Oy:ssä tietoturvallisuudella tarkoitetaan hallinnollisia, teknisiä ja muita keinoja, joilla suojataan Savon Rautaosa Oy:n omistamaa tai hallinnoimaa tietoa sekä normaalitilanteissa, normaaliolojen häiriötilanteissa, että poikkeusoloissa. Tietoturvallisuus tulee huomioida mahdollisimman varhaisessa vaiheessa toiminnan suunnittelua.

  • Toteutuakseen tietoturvallisuus vaatii seuraavien, painoarvoltaan tapauskohtaisesti vaihtelevien asioiden, toteutumista:
  • Luottamuksellisuus: Tieto on vain tietoon oikeutettujen käytettävissä.
  • Eheys: Tietoa ei ole muutettu tahallisesti tai tahattomasti, eikä tieto ole muuttunut teknisen häiriön seurauksena.
  • Saatavuus: Tieto, tietojärjestelmä tai palvelu on siihen oikeutettujen henkilöiden ja järjestelmien saatavilla ja käytettävissä silloin kun sitä tarvitaan.
  • Kiistämättömyys: Tiedonkäsittelytoimenpiteet suoritetaan niin, että käsittelyn osapuolet voidaan yksiselitteisesti.

Tietoturvallisuus Savon Rautaosa Oy:ssä sisältää tiedon suojaamisen lisäksi toimintaympäristön turvallisuuteen, tietosuojaan ja muihin turvallisuuden osa-alueisiin liittyviä toteutuksia, joista Savon Rautaosan kannalta kannalta keskeisimpiä ovat:

  • toimenpiteet, joilla turvataan toimintaympäristön sekä tiedon luottamuksellisuus, eheys, saatavuus ja jatkuvuus
  • velvoittavien tietosuojasäädösten mukaiset toimenpiteet, joilla varmistetaan henkilön yksityisyydensuojan ja muiden sitä turvaavien oikeuksien toteutuminen henkilötietoja käsiteltäessä.
  • toimenpiteet, järjestelmät ja rakenteet, joiden avulla Savon Rautaosan Oy:n tiloja, siellä olevia ihmisiä, tietoa ja muuta omaisuutta suojataan fyysisiltä ja kiinteistövahingoilta, vahingoittamisyrityksiltä ja oikeudettomilta henkilöiltä.
  • tietoturvallisuuteen vaikuttavat toimenpiteet, joita suoritetaan henkilöstöprosessissa ennen palvelussuhdetta, sen aikana ja sen päättymisen yhteydessä.
  • sopimustekniset toimenpiteet, joilla varmistetaan tässä Politiikassa kuvattujen periaatteiden toteutuminen myös sidosryhmien kanssa tehtävässä yhteistyössä.

4.     Riskien hallinta

Riskienhallintaa toteutetaan Savon Rautaosa:n riskienhallintapolitiikan mukaisesti. Politiikassa kuvattu prosessi (mukaan lukien raportointi, seuranta, vastuut) toimii myös Savon Rautaosa Oy:n tietosuoja ja tietoturvan perustana. Periaatteena on, että riskienhallintaprosessia käytetään säännöllisesti toteutettavaan sisäisten ja ulkoisten tietoon kohdistuvien ja tiedosta aiheutuvien riskien hallintaan.
Tietosuojalainsäädännön lähtökohtana on riskiperusteinen lähestymistapa. Tällöin pienen riskin henkilötietojen käsittelyyn ei kohdisteta ylimitoitettuja toimenpiteitä, ja toisin päin.

5.     Organisointi, roolit ja vastuut

Tietoturvallisuuteen ja tietosuojaan liittyvät roolit vastuineen on määritelty tässä Politiikassa.

Johto

Johto hyväksyy Politiikan, vastaa tietosuoja ja -turvavelvoitteiden noudattamisesta yrityksessä, tiedottaa tietosuoja ja -turva-asioista sidosryhmille ja yrityksen ulkopuolelle sekä huolehtii tarvittavista henkilöstöön liittyvistä ja taloudellisista resursseista.

Esimiehet

Esimiehillä on yleisvastuu tietosuojan ja tietoturvan toteutumisesta omalla vastuualueellaan. Esimiehet vastaavat erityisesti:

  • oman organisaationsa perehdyttämisestä Savon Rautaosa Oy:n tietoturva- ja henkilötietojen käsittelyä koskeviin ohjeisiin sekä jokaisen työntekijän työtehtäviin liittyviin vastuisiin;
  • työntekijän käyttöoikeuksien ja -valtuuksien lisäämisestä ja poistamisesta työntekijän palvelussuhteen päättyessä tai henkilön siirtyessä toisiin tehtäviin; ja
  • Savon Rautaosa Oy:lle kuuluvan tiedon ja muun omaisuuden palauttamisesta.

Henkilöstö

Henkilöstö vastaa ohjeiden noudattamisesta, ja lisäksi jokaisen vastuulla on tietosuojaan ja tietoturvaan liittyvien poikkeamien, uhkien ja riskien ilmoittaminen välittömästi, tietosuojasta vastaavalle henkilölle tai omalle esimiehelleen sekä palvelusuhteen päättyessä Savon Rautaosa Oy:lle kuuluvan tiedon ja muun omaisuuden palauttamisesta

Tietoturvasta vastaava henkilö

Ismo Partanen toimii tietoturvasta vastaavana henkilönä.
Tietoturvasta vastaava henkilö:

  • vastaa tietoturvalinjauksista
    antaa tietoturvaa koskevia neuvoja ja ohjeita työntekijöille
  • edistää tietoturvallisuuden toteutumista Savon Rautaosa Oy:ssä
  • laatii ja ylläpitää ajantasaista dokumentaatiota
  • huolehtii tietoturvaloukkauksia koskevien ilmoitusten tekemisestä viranomaisille ja rekisteröidyille
  • huolehtii tietoturvaloukkausten dokumentoinnista

6.     Tietoturvan ja tietosuojan seuranta ja valvonta

Politiikan ja ohjeistuksien toteutumista seurataan ja valvotaan. Valvonta perustuu säännöllisiin tarkastuksiin, joiden avulla varmistetaan, että tietosuojan hallintajärjestelmä on asianmukainen ja että sitä noudatetaan.
Jokainen Savon Rautaosa Oy:n työntekijä on velvollinen raportoimaan tietosuojaan ja -tietoturvaan liittyvistä uhista ja poikkeamista esimiehelleen ja/tai tietosuojasta tai tietoturvasta vastaavalle henkilölle. Savon Rautaosa Oy:n politiikkaa sekä siihen liittyviä ohjeita vastaan havaitut rikkomukset tiedotetaan aina johdolle. Rikkomuksen tekijä saatetaan edesvastuuseen teostaan ja häntä vastaan ryhdytään rikkomuksen vaatimiin toimenpiteisiin. Tietojen väärinkäyttö tai tahallinen ohjeiden vastainen toiminta voi johtaa muun ohella rikosoikeudellisiin seuraamuksiin.

7.     Politiikan hyväksyntä ja vahvistaminen

Johto hyväksynyt 2.1.2021.
Seuraava katselmointi 2.1.2022.