1. Tausta
Odum Oy kehittää ja ylläpitää tiedonkeruu, analysointi ja raportointijärjestelmiä. Odumissa suhtaudutaan vakavasti tietosuojaan, josta huolehtiminen on osa yhtiön jatkuvaa toimintaa ja riskienhallintaa. Tietosuojapolitiikassa määritellään, kuinka Odumissa varmistetaan henkilötietojen ja muiden luottamuksellisten tietojen lainmukainen käsittely ja tietosuojan korkea taso.
Tietosuojapolitiikkaa noudatetaan kaikessa toiminnassa ja se koskee kaikkia yhtiön palveluksessa olevia henkilöitä sekä niitä alihankkijoita, jotka osallistuvat tietojen käsittelyyn ja/tai tuotekehitykseen. Tietosuojapolitiikkaa päivitetään tarpeen mukaan ja sen muutoksista tiedotetaan henkilökunnalle. Tämän lisäksi Odumin työntekijöille annetaan sisäisiä ja tarkempia ohjeita tietosuoja-asioista.
2. Tietosuojapolitiikan tavoitteet
Kaikessa järjestelmien ja toiminnan kehittämisessä seurataan ja noudatetaan toimialaan ja henkilötietojen käyttöön liittyviä lakeja ja määräyksiä. Yhtiön tehtävänä on huolehtia myös siitä, että tietojärjestelmät täyttävät tietoturvaan ja tietosuojaan liittyvät erityisvaatimukset.
Tietosuojapolitiikan avulla turvataan lainsäädännön mukaiset henkilötietojen käyttöön liittyvät oikeudet ja velvollisuuksien noudattaminen. Tietosuojaa toteutettaessa kiinnitetään erityistä huomiota henkilötietojen salassapitoon sekä siihen, ettei asiattomilla ole pääsyä tietoihin.
Kaikkien henkilötietoja käsittelevien henkilöiden on ymmärrettävä tietojen käsittelyn periaatteet, eli mitä tietoa saa käsitellä, missä tarkoituksessa tietoa saa käsitellä ja milloin tietoa saa käsitellä.
Henkilötietojen käsittelijöiden, ylläpitäjien ja johdon tietosuojaosaamista kehitetään jatkuvasti, jotta kaikki yhtiön toiminnassa mukana olevat tahot ymmärtävät oman tehtävänsä ja velvollisuutensa tietosuojan ylläpidossa. Tietojen luottamuksellisuuden, eheyden ja saatavuuden vaatimus toteutuu kaikessa tietojenkäsittelyssä ja se mahdollistaa tietoturvallisen asioinnin ja tietojen käytön.
Tietoturvallisuuden vaatimukset otetaan huomioon kaikessa kehittämistoiminnassa. Tietoturvallinen toimintatapa on sisäänrakennettuna organisaatiossa, toimintaprosesseissa ja tietojärjestelmissä niin, että helpoin ja luontevin tapa tehdä jokin asia on myös tietosuojan kannalta paras.
3. Henkilötietojen käyttö ja elinkaari
Odumissa henkilötietoja ja muita luottamuksellisia tietoja käsittelevät ainoastaan nimetyt terveydenhuollon ammattilaiset, joita sitoo erikseen tehdyn sopimuksen lisäksi lain määrittämä salassapitovelvollisuus. Lisäksi käyttöoikeudet rajataan vain työtehtävien hoitamisen kannalta välttämättömiin tietoihin.
Yhtiön toiminnassa henkilötietojen käsittely perustuu aina henkilön vapaaehtoiseen suostumukseen. Henkilötietoja käsitellään vain perustellun käyttötarkoituksen johdosta ja vain siinä määrin ja niin kauan, kun se on käyttötarkoituksen kannalta tarpeellista. Käytettävien tietojen oikeellisuus pyritään varmistamaan ja tietoja kerätään ja päivitetään henkilöltä itseltään.
Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot tuhotaan asianmukaisesti. Käytännössä tietoja säilytetään rekisterissä niin kauan kuin henkilön työnantajalla on voimassa oleva sopimus palvelun käytöstä. Mikäli sopimus päättyy, poistetaan kaikki henkilötiedot kolmen kuukauden kuluessa sopimuksen päättymisestä. Työnantajan ilmoittaessa työntekijän lopettaneen työsuhteensa, poistetaan kyseisen työntekijän henkilötiedot mahdollisimman pian, kuitenkin viimeistään kuukauden sisällä ilmoituksesta.
4. Rekisteröityjen informointi ja oikeudet
Kustakin henkilörekisteristä laaditaan lainsäädännön edellyttämä dokumentaatio. Rekisteröidyille tarjotaan laissa tarkoitettu tai muuten tarpeellinen informaatio henkilötietojen käsittelystä tietoja kerättäessä. Kaikkia tietoja ja toimia käytetään vain rekisteröidyn eduksi.
Rekisteröidyllä on oikeus tarkastaa mitä tietoja hänestä on tallennettu rekisteriin, sekä oikeus vaatia itseensä liittyvän virheellisen tiedon korjaamista. Rekisteröidyllä on oikeus pyytää henkilötietojensa poistamista rekisteristä. Tällöin henkilötietojen poistaminen toteutetaan mahdollisimman pian, kuitenkin viimeistään kuukauden kuluessa pyynnöstä.
5. Odumin henkilöstön vastuut
Jokainen Odumin työntekijä vastaa omalta osaltaan tietosuojan toteutumisesta voimassaolevan lainsäädännön ja tietojen käsittelystä annettujen ohjeiden mukaisesti. Ohjeilla annetaan henkilöstölle perustiedot tietojärjestelmien käytöstä ja niihin liittyvästä tietoturvasta.
Odum ja sen henkilöstö ovat sitoutuneet ylläpitämään yksilön tietosuojaa voimassa olevan lainsäädännön mukaisesti. Odumin työntekijöiden tulee tuntea ja hallita oman vastuualueensa tietosuojasääntely ja -riskit.
Odum huolehtii, että asiakkaiden tietoja käsittelevät työntekijät noudattavat tietoturvakäytäntöjä. Työntekijöitä on ohjeistettu ilmoittamaan esimiehelle kaikista havaitsemistaan tietoturvariskeistä tai -rikkomuksista.
Kaikki Odumin työntekijät, joilla on pääsy asiakkaiden tietoihin allekirjoittavat salassapito-sopimuksen. Odum varmistaa kouluttamalla, että kaikki työntekijät ovat tietoisia, miten henkilötietoja käsitellään tietoturvallisesti. Koulutus tapahtuu työntekijän aloittaessa työsuhteensa, sekä säännöllisesti toimiessaan työtehtävässä.
Henkilötietoja käsitellessä korostetaan huolellisuutta ja mikäli tiedoissa havaitaan virheitä, ne korjataan viiveettä. Kaikkien työntekijöiden tulee tietää minkälaisilla toimintatavoilla voi itse vaikuttaa tietosuojaan.
6. Tietosuojan varmistaminen
Yhtiö pyrkii varmistamaan tietoturvallisuuden, jonka keskeisimmät turvallisuustekijät liittyvät työntekijöiden toimintaan. Tietosuojan vaikutukset ulottuvat koko organisaatioon ja sen ylläpitäminen on jatkuva prosessi, jota toteutetaan hallinnollisten, fyysisten ja teknisten ratkaisujen avulla. Henkilötietojen käsittelystä laaditaan aina kirjallinen sopimus, jossa osapuolten vastuut ja velvollisuudet määritellään. Käyttäjien toimintaa ohjataan niihin sisältyvillä käyttösäännöillä ja toimintaohjeilla sekä tietoturvakoulutuksella.
Tietoturvatoimien tavoitteena on estää tietojen luvaton käyttö ja haltuunotto. Tietoturvatoiminnan tavoitteena on vastata siitä, että tieto on käytettävissä ja oikeassa muodossa sekä niiden henkilöiden käytettävissä, joilla on siihen työtehtävänsä vaatima valtuutus. Tietosuojatoimilla vähennetään ja ennaltaehkäistään tietosuojariskien syntyminen, ja turvataan rekisteröidyn yksityisyyden suoja lainsäädännön ja muiden määräysten edellyttämällä tavalla.
Tietosuoja-asiat kuuluvat osana henkilötietoja käsittelevien uusien työntekijöiden perehdytykseen ja niistä järjestetään säännöllisesti koulutusta Odumin työntekijöille. Kaikkia henkilötietoja käsitteleviä henkilöitä sitoo laissa säännelty tai erikseen sovittu ja dokumentoitu vaitiolovelvollisuus.
Tietojärjestelmien käyttöä kontrolloidaan käyttäjähallintaratkaisulla tai muuten dokumentoiduilla menettelyillä. Lokitiedot kerätään erikseen laissa säädetyllä tai muutoin riittävällä tarkkuudella rekisteristä.
Odum käyttää sekä teknisiä, fyysisiä että hallinnollisia turvatoimenpiteitä estämään luvattoman pääsyn annettuihin henkilötietoihin ja estääkseen niiden luvattoman käytön. Tiedot tallennetaan suojattuun ja luottamukselliseen tietojärjestelmään, jonka konesali täyttää nykyiset voimassa olevat tietoturvavaatimukset.
7. Menettely tietosuojan vaarantuessa
Katsomme tietosuojaa vaarantavaksi toiminnaksi kaiken henkilötietojen käsittelyä koskevien lakien, tämän tietosuojapolitiikan tai sen perusteella annetun ohjeistuksen vastaisen toiminnan. Mikäli arvioimme tietosuojaa vaarantavan toiminnan täyttävän lainsäädännössä kuvatun rangaistavan toiminnan tunnusmerkistön, annamme asian viranomaisten tutkittavaksi. Jos vaaraa aiheuttava toiminta ei täytä em. tunnusmerkistöä, mutta vaarantaa tietosuojaa, voi asiasta seurata huomautus, varoitus tai työsuhteen päättäminen.
Mikäli tietosuojan epäillään tai havaitaan vaarantuneen, asia tutkitaan viipymättä. Lisäksi asiasta ilmoitetaan viipymättä rekisteröidylle, jonka tietosuoja on vaarantunut, edellyttäen, että ilmoittaminen on aiheellista korjaavien toimenpiteiden suorittamiseksi tai vahingon rajaamiseksi. Odum arvioi ja valvoo tietosuojan toteutumista omissa toiminnoissaan.
8. Yhteystiedot
Nimi: Odum Oy, 0224529-8
Osoite: Hitsaajankatu 20, 00810 Helsinki
Muut yhteystiedot: info@odum.fi
Päivitetty viimeksi: Maaliskuu 2022