Tietosuojapolitiikka

Taustaa

Suomen Restonomit - Sure ry:ssä tunnistamme, että tietosuoja on tärkeää jäsenillemme ja työntekijöillemme. Olemme sitoutuneet kunnioittamaan ja toteuttamaan asianmukaista tietosuojaa kaikissa toiminnoissamme. Noudatamme kansallisia ja EU-tasoisia tietosuojasäännöksiä sekä virallisia suosituksia ja ohjeita, ja kaikki prosessimme sekä toimintatapamme perustuvat sovellettavaan lainsäädäntöön.

Laajuus

Tätä tietosuojapolitiikkaa sovelletaan Suomen Restonomit - Sure ry:hyn ja kaikkiin sen alaisiin organisaatioihin, jotka käsittelevät EU:n jäsenvaltioissa olevien henkilöiden henkilötietoja. Tähän tietosuojapolitiikkaan voi liittyä muita asiakirjoja, joissa täsmennetään miten tietosuojaa ja tietoturvaa koskevia periaatteita toteutetaan käytännössä.

Tarkoitus

Tietosuojapolitiikan tarkoituksena on asettaa korkeat ja yhtenäiset standardit tietosuojaa koskien. Tietosuojapolitiikalla varmistetaan, että rekisteröidyt henkilöt voivat olla varmoja siitä, että heidän yksityisyyttään kunnioitetaan ja turvataan. Tavoitteena on myös vähentää tietosuojaan liittyviä oikeudellisia ja sääntelyllisiä riskejä sekä suojautua maineriskiltä tietosuojaan liittyen.

Yleiset periaatteet

Henkilötietojen käsittely perustuu oikeudellisiin perusteisiin ja määritellään aina selkeästi ja lainmukaisesti. Käsittely rajoitetaan siihen, mikä on tarpeellista suhteessa määriteltyihin käsittelyn tarkoituksiin, kuten jäsensuhteen hoitamiseen ja jäsenpalvelujen toteuttamiseen.

Käsittely toteutetaan kohtuullisesti ja lainmukaisesti kaikissa toiminnoissa, joissa henkilötietoja käsitellään, riippumatta siitä missä käsittely tapahtuu, ja käsitelläänkö henkilötietoja liiton sisäisesti vai ulkopuolella. Henkilötietoja ei säilytetä pidempään kuin on laissa vaadittu, tai tarpeen määriteltyjä käsittelyn tarkoituksia varten. Kun henkilötietoja ei enää tarvita, tiedot poistetaan tai anonymisoidaan.

Kaikki työntekijät ja käsittelyyn osallistuvat henkilöt ovat tietoisia tietosuojaa koskevista velvollisuuksistaan. Heitä sitoo lakisääteinen tai erikseen kirjallisesti sovittu salassapitovelvollisuus. Henkilötietoja voidaan luovuttaa kolmansille osapuolille vain jos laki sitä vaatii, tai jos

luovutukseen on henkilön suostumus. Henkilötietojen käsittelyn vaikutukset ja riskit henkilön oikeuksien kannalta arvioidaan

ennen käsittelyn aloittamista ja sen jälkeen tarvittaessa, jotta tietosuoja voidaan sisällyttää kaikkiin käsittelytoimintoihin, ja jotta käsittelytoimintojen tietosuoja voidaan pitää ajan tasalla. Henkilötietojen käsittelytoiminnot on dokumentoitu asianmukaisesti ja dokumentaatiota tarkastellaan säännöllisesti. Sure ry:ssa varmistutaan siitä, että liiton yhteistyökumppanit ja alihankkijat ovat sitoutuneita tietosuojapolitiikkaan niiden osallistuessa henkilötietojen käsittelyyn. Näissä tapauksissa

kiinnitetään erityistä huomiota asianmukaisten käsittelyohjeiden ja ohjeisiin sisältyvien vaatimusten esittämiseen henkilötietojen käsittelijälle.

Rekisteröidyn oikeudet

Käsiteltävien henkilötietojen on oltava oikean sisältöisiä ja ajantasaisia. Rekisteröidyille tulee asianmukaisin keinoin antaa läpinäkyvää tietoa henkilötietojen käsittelystä. Henkilön oikeutta määrätä henkilötietojensa käyttämisestä kunnioitetaan lain edellyttämällä tavalla myöntämällä henkilölle asiaankuuluvat oikeudet, kuten oikeus tarkastaa omat tietonsa ja oikeus tulla unohdetuksi. Henkilöllä on aina oikeus tehokkaasti peruuttaa antamansa henkilötietojen käsittelyä koskeva suostumus ja kieltää henkilötietojen käsittely liiton markkinointitarkoituksiin.

Kun henkilötietoja käsitellään ulkopuolisen rekisterinpitäjän lukuun, varmistetaan, että henkilön oikeudet huomioidaan asianmukaisesti käsittelyn toteuttamisessa. Rekisterinpitäjälle tarjotaan apua, jotta rekisterinpitäjä voi täyttää velvollisuutensa vastata henkilöiden oikeuksien toteuttamista koskeviin pyyntöihin.

Tietoturva

Luottamuksellisuus, eheys ja pääsy henkilötietoihin toteutetaan sopivilla teknisillä ja organisatorisilla keinoilla, ottaen huomioon henkilöiden oikeuksille ja vapauksille henkilötietojen käsittelystä aiheutuvat riskit.

Jos henkilön tietosuoja vaarantuu, asia käsitellään asianmukaisella tavalla ja asianosaisia tiedotetaan laissa asetettujen vaatimusten mukaisesti. Yhdistyksessä suoritetaan kaikki toimenpiteet, jotka ovat tarpeen henkilöille kohdistuvien haitallisten vaikutusten lieventämiseksi tietoturvaloukkaustilanteessa.

Roolit ja vastuut

Yhdistys on hyväksynyt tietosuojapolitiikan ja sitoutunut siihen. Puheenjohtajien on varmistettava, että kaikki heidän hallituslaisensa ovat tietoisia tietosuojapolitiikan sisällöstä ja noudattavat sitä. Nimetty vastuuhenkilö (toiminnansuunnittelija) kehittää ja turvaa tietosuojan toimeenpanoa ohjeistamalla ja neuvomalla tietosuojaan liittyvistä velvoitteista ja

valvomalla tietosuojaa koskevan lainsäädännön noudattamista.

Tietosuojapolitiikkaa tarkastellaan säännöllisesti ja päivitetään tarvittaessa.

Tietosuojaperiaatteet ja henkilötietojen käsittely

  • Käyttötarkoitussidonnaisuus
    • Tietoja käytetään tietosuojaselosteen tarkoituksen mukaan.
  • Tietojen minimointi
    • Henkilötietoja kerätään mahdollisimman minimaalisesti.
  • Täsmällisyys
    • Tietoja säilytetään täsmällisesti ja kohdennetusti.
  • Luottamuksellisuus
    • Tietoja käsitellään luottamuksellisesti ja läpinäkyvästi.
  • Säilytys
    • Henkilötiedot säilytetään jäsenrekisteriä lukuunottamatta organisaation tekemän säilytyssuunnitelman mukaan
  • Rekisteröidyn tarkastusoikeus
    • Sama kuin mikä määritellään tietosuojaselosteessa.
  • Tietojen luovutus, muuttaminen, tarkistus ja unohtaminen
    • Jos rekisteröity haluaa tarkastella/unohtaa/siirtää/muokata omia tietoja tulee hän ilmoittaa siitä rekisterin haltijalle kirjallisesti vapaamuotoisella hakemuksella. Rekisterin haltija toimittaa/muokkaa/unohtaa halutut tiedot rekisteristä rekisteröidyn tahdon mukaan kahden kuukauden kuluessa.
  • Hallituksen perehdyttäminen
    • Hallitus perehdytetään henkilötietojen käsittelyyn jo ennen kauden alkua omassa perehdytyksessään. Näin varmistetaan, että jokainen rekisterin käyttäjä tietää tietosuojakäytänteet. Perehdytys pyritään järjestämään tammikuussa, kun uusi hallitus aloittaa toimintansa ja puheenjohtaja vastaa perehdytyksen järjestämisestä.

Ilmoitusvelvollisuus

Tarkoitus, tavoitteet ja soveltamisala

Ilmoitusmenettelyn tarkoituksena on määritellä ne pääperiaatteet, joiden mukaisesti toimitaan organisaatioon kohdistuvissa mahdollisissa tietoturvaloukkauksissa ja varmistetaan tietosuoja-asetuksen velvollisuuksien toteutuminen käytännössä. Menettelyn tavoitteena on, että organisaatiossa noudatetaan asian osalta voimassaolevaa lainsäädäntöä sekä parhaita käytäntöjä. Ilmoitusmenettelyä sovelletaan, mikäli tietosuoja-asetuksen artiklan 33 ja artiklan 34 mukainen henkilötietojen tietoturvaloukkaus on tapahtunut.

Määritelmät

Henkilötietojen käsittelijä on luonnollinen tai oikeushenkilö, viranomainen, virasto tai muu elin, joka käsittelee henkilötietoja rekisterinpitäjän lukuun. Henkilötietojen tietoturvaloukkauksella tarkoitetaan tietoturvaloukkausta, jonka seurauksena on henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton luovuttaminen

Ilmoitusmenettely

Tietoturvahäiriöstä raportoidaan Suomen Restonomit - Sure:n nimetylle vastuuhenkilölle tai tietosuojavastaavalle, joka huolehtii tarvittaessa ilmoituksista rekisterinpitäjälle, viranomaiselle ja rekisteröidyille. Suomen Restonomit - Sure dokumentoi kaikki henkilötietojen tietoturvaloukkaukset, mukaan lukien henkilötietojen tietoturvaloukkaukseen liittyvät seikat, sen vaikutukset ja toteutetut korjaavat toimet. Suomen Restonomit - Suren nimetty vastuuhenkilö tai tietosuojavastaava vastaa tietoturvaloukkaukseen liittyvien seikkojen, niiden vaikutusten ja toteutettujen korjaavien toimenpiteiden reaaliaikaisesta dokumentoinnista. Jos henkilötietojen tietoturvaloukkaus on tapahtunut ja Suomen Restonomit - Sure on näiden tietojen osalta rekisterinpitäjänä, Suomen Restonomit - Sure ilmoittaa siitä artiklan 33 mukaisesti ilman aiheetonta viivytystä

ja mahdollisuuksien mukaan 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle valvontaviranomaiselle, paitsi jos henkilötietojen tietoturvaloukkauksesta ei todennäköisesti aiheudu luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvaa riskiä. Jos tietoja ei ole mahdollista toimittaa samanaikaisesti, tiedot toimitetaan vaiheittain ilman aiheetonta viivytystä. Jos Suomen Restonomit - Sure toimii henkilötietojen käsittelijän ominaisuudessa, se ilmoittaa henkilötietojen tietoturvaloukkauksesta rekisterinpitäjälle ilman aiheetonta viivytystä saatuaan sen tietoonsa. Kun henkilötietojen tietoturvaloukkaus todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille ja Suomen Restonomit - Sure toimii näiden tietojen osalta rekisterinpitäjänä, Suomen Restonomit - Sure ilmoittaa tietoturvaloukkauksesta rekisteröidylle artiklan 34 mukaisesti ilman aiheetonta viivytystä. Organisaation nimetty vastuuhenkilö tai tietosuojavastaava vastaa organisaatiossa tapahtuvasta sisäisestä ja ulkoisesta viestinnästä. Tietoturvaloukkauksen tapahduttua organisaatio varmistaa tarvittavin lisätoimenpitein, että rekisteröityjen oikeuksiin ja

vapauksiin kohdistuvia loukkauksia ei todennäköisesti jatkossa toteudu.

Päivittäminen ja hyväksyntä

Ilmoitusmenettelyn asianmukaisuutta arvioidaan säännöllisin väliajoin. Mikäli asiaa koskevassa sääntelyssä tai organisaation toiminnassa tapahtuu muutoksia, sisältöä päivitetään tarpeen mukaan. Asian arviointi ja sisällön päivitys on Suomen Restonomit - Sure ry:n nimetyn vastuuhenkilön tai tietosuojavastaavan vastuulla. Suomen Restonomit - Sure ry:n hallitus hyväksyy henkilötietojen tietoturvaloukkausten ilmoitusmenettelyn.