1. Tavoitteet ja soveltamisala
HKFoods-konsernin tietosuojakäytännön ("Käytäntö") tavoitteena on varmistaa, että henkilötietoja käsitellään tietosuojalainsäädännön mukaisesti sekä luoda puitteet parhaiden käytäntöjen noudattamiselle henkilötietojen käsittelyssä ja yksilöiden oikeuksien toteuttamisessa heidän henkilötietoihinsa liittyen.
Tätä Käytäntöä on aina noudatettava myös HKFoods Oyj:n omistamissa tai hallinnoimissa tytäryhtiöissä ja osakkuusyhtiöissä (jäljempänä "HKFoods" tai "Konserni").
Politiikka toimii HKFoodsin tietosuojakäytäntöjen yleisenä viitekehyksenä, jossa määritellään tietosuojan keskeiset periaatteet. Politiikkaa täydentävät tietosuojaan liittyvät ohjeistukset ja ohjeet, joiden avulla varmistetaan politiikan asianmukainen soveltaminen.
Tätä politiikkaa sovelletaan aina, kun HKFoods käsittelee henkilötietoja rekisterinpitäjänä tai henkilötietojen käsittelijänä. Se koskee kaikkia HKFoodsin työntekijöitä ja liiketoimintayksikköjä ja niiden toimintoja eri maissa, joissa käsitellään henkilötietoja.
Mikäli tietosuojalainsäädännön ja tämän politiikan välillä esiintyy ristiriitoja, tietosuojalainsäädäntö on ensisijainen.
2. Määritelmät
Politiikassa käytetyillä termeillä on seuraavat merkitykset:
"Henkilötiedot" tarkoittavat mitä tahansa tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön.
"Tietosuojalainsäädäntö" tarkoittaa Euroopan unionin tietosuojalainsäädäntöä, kuten yleistä tietosuoja-asetusta (2016/679) ("GDPR") sekä sähköisen viestinnän tietosuojadirektiiviä (2002/58), ja näitä täydentävää kansallista tietosuojalainsäädäntöä, sekä valvontaviranomaisten ohjeistuksia ja pätevien tuomioistuinten ratkaisuja.
"Rekisteröity" tarkoittaa tunnistettavissa olevaa luonnollista henkilöä, joka voidaan tunnistaa esimerkiksi nimen, henkilötunnuksen, sijaintitiedon, verkkotunnisteen tai fyysisten, fysiologisten, geneettisten, psyykkisten, taloudellisten, kulttuuristen tai sosiaalisten tekijöiden perusteella.
"Käsittely" tarkoittaa mitä tahansa toimenpidettä tai toimenpidejoukkoa, jota tehdään henkilötiedoille, kuten esimerkiksi keräämistä, tallentamista, järjestämistä, muokkaamista, poistamista tai tuhoamista.
"Rekisterinpitäjä" tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot.
"Henkilötietojen käsittelijä" tarkoittaa luonnollista henkilöä tai oikeushenkilöä, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.
"Arkaluonteiset henkilötiedot" tarkoittavat tietoja, jotka paljastavat esimerkiksi rotu- tai etnisen alkuperän, poliittiset mielipiteet, uskonnollisen tai filosofisen vakaumuksen, tai ammattiliiton jäsenyyden, sekä henkilötietoja, jotka koskevat luonnollisen henkilön terveystietoja tai seksuaalista suuntautumista.
3. Roolit, vastuut ja tietosuojan hallintajärjestelmä
HKFoodsin hallitus vastaa lopullisesti tietosuojalainsäädännön noudattamisesta, mukaan lukien tämän politiikan hyväksyminen sekä tarvittavan tietosuojaorganisaation perustaminen HKFoodsissa.
Taktisella tasolla HKFoodsin konsernin johtoryhmä (GET) vastaa tämän Politiikan noudattamisen ohjaamisesta ja valvonnasta. GET huolehtii myös riittävien resurssien allokoinnista tietosuojaan liittyvien vastuiden ja velvollisuuksien täyttämiseksi.
HKFoods perustaa tietosuojan hallintajärjestelmän (”HKFoods Data Privacy Management System”) Nymity-tietosuojahallinnan vastuullisuuskehyksen pohjalta tietosuojalainsäädännön vaatimusten täyttämiseksi. Järjestelmää pidetään ajan tasalla ja kehitetään jatkuvasti.
Tietosuojan ohjausryhmä vastaa HKFoodsin tietosuojan hallintajärjestelmän toteutuksesta ja se koostuu politiikan mukaisesti määritellyistä henkilöistä.
Jokainen HKFoodsin liiketoimintayksikkö vastaa tietosuojalainsäädännön ja tämän politiikan noudattamisesta. Jokaisen HKFoodsin työntekijän tulee olla tietoinen omista tietosuojavastuistaan. Konsernin Tietosuojapäällikkö yhdessä riskienhallintayksikön kanssa ohjaa ja kehittää tietosuojaan liittyviä hallintatoimia ja -menettelyjä HKFoodsin eri liiketoimintayksiköissä ja yhtiöissä. Lisäksi konsernin Tietosuojapäällikkö ja Riskienhallintayksikkö tarjoavat käytännön apua tietosuoja-asioissa valituille tietosuojayhteyshenkilöille ja tietosuojavastaaville eri maissa ja konsernin toiminnoissa.
Eri henkilöstöryhmien vastuut HKFoodsin tietosuojaorganisaatiossa määritellään tarkemmin HKFoodsin tietosuojan hallintajärjestelmässä.
4. Henkilötietojen käsittelyn periaatteet
4.1. Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
HKFoods käsittelee henkilötietoja lainmukaisella, kohtuullisella ja läpinäkyvällä tavalla.
Kun HKFoods toimii rekisterinpitäjänä, sen tulee aina voida perustella, mihin tietosuojalainsäädännössä määriteltyyn oikeusperusteeseen henkilötietojen käsittely perustuu. Henkilötietoja ei saa käsitellä ilman asianmukaista oikeusperustetta.
Lisäksi HKFoods käsittelee rekisteröidyn henkilötietoja läpinäkyvästi. Tämä varmistetaan esimerkiksi selkeillä ja yksiselitteisillä tietosuojaselosteilla, avoimella henkilötietojen käsittelyllä ja toimilla, jotka helpottavat rekisteröidyn oikeuksien käyttämistä (kuten esimerkiksi oikeus saada pääsy tietoihin).
4.2. Käyttötarkoituksen rajoittaminen
Henkilötietoja saa käsitellä ainoastaan ennalta määriteltyihin ja dokumentoituihin tarkoituksiin. HKFoods ei saa käsitellä henkilötietoja tarkoituksiin, jotka eivät ole yhteensopivia alkuperäisten käsittelytarkoitusten kanssa, ellei tietosuojalainsäädäntö toisin salli.
4.3. Tietojen minimointi
HKFoods käsittelee henkilötietoja tietojen minimoinnin periaatteen mukaisesti. HKFoods käsittelee ainoastaan ne tiedot, jotka ovat tarpeellisia niiden tarkoitusten toteuttamiseksi, joita varten tiedot on kerätty.
4.4. Tietojen paikkansapitävyys
HKFoods ryhtyy tarvittaviin toimiin varmistaakseen, että käsiteltävät henkilötiedot ovat tarkkoja, täydellisiä ja tarvittaessa ajan tasalla. Jos käsiteltävät tiedot osoittautuvat virheellisiksi, ne korjataan tai poistetaan ilman aiheetonta viivytystä.
4.5. Säilytyksen rajoittaminen
Henkilötietoja ei säilytetä pidempään kuin on tarpeen henkilötietojen käsittelyn tarkoitusten tai lakisääteisten velvoitteiden täyttämiseksi. HKFoods varmistaa henkilötietojen säilyttämisen HKFoodsin tietojen säilytysohjeiden mukaisesti ja sillä on käytäntö tarpeettomien tietojen poistamiseen.
4.6. Eheys ja luottamuksellisuus (tietojen turvallisuus)
HKFoods toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen, että henkilötiedot suojataan ja käsitellään turvallisesti. Tietoturvallinen käsittely tarkoittaa, että tiedot säilytetään luottamuksellisina ja suojattuina vahingossa tai laittomasti tapahtuvaa tuhoamista, häviämistä, muuttamista tai luvattomalle taholle paljastumista vastaan. HKFoodsin tulee käyttää vain IT-järjestelmiä, jotka pystyvät takaamaan riittävän suojaustason henkilötietojen käsittelyyn.
4.7. Vastuullisuus
Toimiessaan rekisterinpitäjänä HKFoodsin tulee pystyä osoittamaan henkilötietojen käsittelyn periaatteiden noudattaminen. Tämä sisältää esimerkiksi sen, että HKFoods pystyy osoittamaan oikeusperusteen käsittelylle ja että asianmukaiset tekniset ja organisatoriset toimenpiteet on toteutettu henkilötietojen suojaamiseksi.
Tärkeänä osana tätä vastuullisuutta on ylläpitää ja päivittää dokumentaatiota, joka kuvaa toimet tietosuojalainsäädännön noudattamiseksi. Tähän sisältyy sisäisten käsittelytoimintojen kirjaaminen.
5. Tietoturva ja tietoturvaloukkausten hallinta
HKFoods toteuttaa teknisiä ja organisatorisia toimenpiteitä suojatakseen henkilötiedot laittomalta tai vahinkotapahtumasta johtuvasta häviämiseltä, tuhoutumiselta tai muuttamiselta sekä luvattomalta pääsyltä. Tietoturvatoimenpiteiden tulee olla suhteessa käsittelyyn liittyviin riskeihin ja käsiteltävien henkilötietojen arkaluonteisuuteen. Arkaluonteisten henkilötietojen kohdalla HKFoods toteuttaa tiukemmat suojatoimet kuin muiden henkilötietojen osalta.
Kaikki henkilötietoja käsittelevät IT-järjestelmät tulee olla suunniteltu siten, että ne noudattavat rekisteröidyn oikeuksia ja varmistavat turvallisen ja lainmukaisen käsittelyn. Lisäksi järjestelmien tulee täyttää tietosuojaperiaatteet oletusarvoisesti.
Jos tapahtuu tietoturvaloukkaus, joka johtaa henkilötietojen vahingossa tapahtuvaan menettämiseen tai luvattomaan pääsyyn henkilötietoihin, HKFoods selvittää tapauksen ja sen mahdolliset seuraukset välittömästi saatuaan tiedon tapahtuneesta. Mikäli tapaus saattaa uhata rekisteröityjen oikeuksia ja vapauksia, HKFoods ilmoittaa asiasta valvontaviranomaiselle tietosuojalainsäädännön mukaisesti. Jos kyseessä on merkittävä riski rekisteröidyn oikeuksille, HKFoods ilmoittaa asiasta myös rekisteröidyille.
6. Rekisteröidyn oikeudet
HKFoods noudattaa rekisteröityjen oikeuksia tietosuojalainsäädännön mukaisesti ja ryhtyy asianmukaisiin teknisiin ja organisatorisiin toimiin voidakseen vastata rekisteröityjen oikeuksien käyttöpyyntöihin, joita ovat muun muassa:
- Oikeus saada tietoa käsittelystä
- Oikeus saada pääsy omiin henkilötietoihin
- Oikeus oikaista henkilötiedot
- Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”)
- Oikeus rajoittaa käsittelyä
- Oikeus tietojen siirrettävyyteen
- Oikeus vastustaa käsittelyä
Rekisteröityjen oikeuksien soveltuvuus riippuu tietosuojalainsäädännön asettamista ehdoista ja HKFoods arvioi aina pyynnön soveltuvuuden HKFoodsin rekisteröidyn oikeuksia koskevien ohjeiden mukaisesti.
7. Tietojen siirrot
Siirtäessään henkilötietoja toiselle rekisterinpitäjälle HKFoods varmistaa, että vastaanottaja noudattaa tietosuojalainsäädäntöä sopimuksella tai varmistaen, että vastaanottajalla on asianmukainen oikeusperuste tietojen vastaanottamiselle. HKFoods varmistaa myös, että rekisteröidyt saavat tietoa henkilötietojen siirrosta.
HKFoods käyttää ulkoisia palveluntarjoajia henkilötietojen käsittelyssä ja varmistaa, että nämä käsittelijät täyttävät tietosuojalainsäädännön vaatimukset. HKFoods tekee aina henkilötietojen käsittelysopimuksen käsittelijän kanssa varmistaakseen käsittelyn vaatimustenmukaisuuden toteutumisen.
Siirtäessään henkilötietoja EU- tai ETA -alueen ulkopuolelle, HKFoods varmistaa, että siirto täyttää tietosuojalainsäädännön vaatimukset esimerkiksi EU -komission vakiosopimuslausekkeilla.
8. Politiikan muutokset
Politiikan muutokset tulee hyväksyä hallituksessa, lukuun ottamatta teknisiä muutoksia, jotka eivät muuta tämän politiikan peruskonseptia. Näiden teknisten muutosten hyväksymisestä vastaa politiikan omistaja. Kaikista muutoksista ilmoitetaan hallitukselle.
9. Viestintä ja käyttöönotto
HKFoods varmistaa, että kaikki relevantit työntekijät ovat tietoisia henkilötietojen suojan tärkeydestä ja kehittää koulutusohjelmia tietosuoja-asioihin. Uudet työntekijät saavat koulutusta osana perehdytystä ja koulutuksiin osallistuminen dokumentoidaan.
Riskienhallintayksikkö ja konsernin Tietosuojapäällikkö vastaavat politiikan viestinnästä, koulutuksesta ja käyttöönotosta koko konsernissa.
10. Sisäiset tarkastukset ja valvonta
Politiikan omistaja varmistaa, että sisäiset valvontamekanismit ovat riittäviä tämän politiikan ja siihen liittyvien ohjeiden noudattamisen varmistamiseksi. Sisäiset ja ulkoiset tahot arvioivat säännöllisesti politiikan toimeenpanoa ja noudattamista.
11. Seuraukset rikkomuksista
Jos HKFoodsin työntekijä toimii tämän politiikan vastaisesti, rikkomus johtaa asiaankuuluviin seuraamuksiin, jopa työsuhteen päättymiseen. Rikkomuksesta voidaan myös ilmoittaa viranomaisille, jos HKFoodsilla on syytä epäillä, että työntekijän käytös on lainvastaista.
HKFoodsin hallitus on hyväksynyt tämän politiikan 23.9.2020.