Tietosuojaseloste

Päivitetty: 20.04.2023

Rekisterinpitäjä

Yrityksen nimi: Oy Mapromec Ab

Osoite: Teollisuustie 10

Puhelinnumero: 65610 MUSTASAARI

Sähköpostiosoite: info@mapromec.fi

Henkilötietojen käsittelijä

Keskuskauppakamari

Aleksanterinkatu 17, 00100 Helsinki

09 4242 6200

ilmoituskanava@kauppakamari.fi

Vaikutustenarvioinnin tekijä

Oy Mapromec Ab

Vastuuhenkilö: Tapio Kaunismäki

Vastuuhenkilön yhteystiedot: tapio.kaunismaki@mapromec.fi (+358 (0)10 2290 159)

Arvioinnin ajankohta

20.04.2023

Tarkoitus, johon henkilötietojen käsittelyprosessi perustuu.

Prosessi perustuu Euroopan unionin 23.10.2019 hyväksyttyyn direktiiviin unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta (EU 2019/1937).

Direktiivi velvoittaa yritykset tarjoamaan esimerkiksi työntekijöilleen luotettavan ilmoituskanavan, joka mahdollistaa ilmoitukset väärinkäytöksistä ja epäeettisestä toiminnasta. Henkilötietojen käsittely on välttämätöntä, jotta direktiivin asettamat velvoitteet voidaan täyttää.

Lyhyt selostus henkilötietojen käsittelystä ja tarkoituksesta.

Henkilötiedoilla tarkoitetaan tietoja, joiden avulla henkilö voidaan suoraan tai välillisesti tunnistaa yksittäiseksi henkilöksi. Henkilötiedot, rekisteröity, rekisterinpitäjä ja muut keskeiset termit on määritelty yleisessä tietosuoja-asetuksessa (2016/679, ”GDPR”). Oy Mapromec Ab noudattaa GDPR:ää kaikessa henkilötietojen käsittelyssä yhdessä muun soveltuvan kansallisen tietosuojalainsäädännön kanssa.

Tietojen käsittely liittyy Keskuskauppakamarin tarjoaman whistleblowing-ilmoituskanavan ylläpitoon. Keskuskauppakamari tarjoaa ilmoituskanava-alustan asiakasyrityksille, jotka voivat hyödyntää sitä esimerkiksi työntekijöidensä tekemien ilmoitusten vastaanottamiseen. Palvelua käyttävä organisaatio on rekisterinpitäjä ja Keskuskauppakamari henkilötietojen käsittelijä. Tietosuoja-asetuksen mukaisesti tietosuojaa koskeva vaikutustenarviointi on rekisterinpitäjän vastuulla.

Ilmoittava henkilö voi tehdä ilmoituksen anonyymisti ja niin, että ilmoitus ei sisällä häntä itseään koskevia henkilötietoja. Mikäli ilmoituksen tekijä poikkeuksellisesti jättää esimerkiksi omat yhteystietonsa ilmoituslomakkeeseen, henkilötietojen käsittely perustuu rekisteröidyn suostumukseen.

Miten henkilötiedot kerätään.

Ilmoittava henkilö (rekisteröity) antaa tietoja tehdessään ilmoitusta havaitsemastaan väärinkäytöksestä tai muusta epäeettisestä toiminnasta. Ilmoitus ei sisällä ilmoittavaa henkilöä koskevia henkilötietoja, ellei ilmoittaja niitä nimenomaisesti anna. Ilmoitusta koskevissa ohjeissa todetaan, että ilmoituksen tekeminen ei edellytä esimerkiksi ilmoittajan henkilötietojen antamista.

Ilmoitus voi sisältää kolmatta henkilöä koskevia henkilötietoja. Näin on asianlaita esimerkiksi silloin, jos ilmoitus sisältää kuvatiedoston kolmannesta henkilöstä.

Edellä mainittujen lisäksi rekisterinpitäjän ilmoitusten käsittelijöistä kerätään henkilötiedot pääsynhallintaa varten (käyttäjätunnukset).

Henkilötietoja ei kerätä muilla tavoin.

Miten henkilötietoja käsitellään.

Henkilötietoja käsitellään whistleblowing-ilmoitusten käsittelemiseksi. Ilmoitusten avulla rekisterinpitäjä ryhtyy lisäksi tarvittaviin toimenpiteisiin. Nämä velvoitteet seuraavat suoraan lainsäädännöstä.

Rekisterinpitäjän ilmoitusten käsittelijöiden tietoja käsitellään Keskuskauppakamarin Ilmoituskanavan pääsynhallinnan kannalta välttämättömiin toimenpiteisiin. Käsittely perustuu sopimuksen rekisterinpitäjän ja Henkilötietojen käsittelijän välisen sopimusvelvoitteiden toimenpanoon Ilmoituskanava-palvelun käytöstä.

Minne kerätyt henkilötiedot tallennetaan.

Ilmoitustiedot tallennetaan tietokantaan salattuina. Henkilötietojen käsittelijällä ei ole pääsy tallennettuihin tietoihin, vaan tiedot ovat vain rekisterinpitäjän nimettyjen ilmoitusten käsittelijöiden käytössä. Rekisterinpitäjä voi rajata pääsyn ilmoituksiin eri ilmoitustyyppien perusteella.

Palvelun tilaajatiedot ja käsittelijätiedot tallennetaan henkilötietojen käsittelijän CRM-järjestelmään palvelua koskevaa käyttäjäviestintää, laskutusta ja sopimuksen muiden velvoitteiden toimeenpanoa varten.

Henkilötietojen käsittelyn laajuus

Palvelussa käsitellään seuraavia henkilötietoja:

• ilmoitusten käsittelijöiden etunimet, sukunimet, sähköposti, julkinen nimi ja käyttäjätunnus
• ilmoitusten jättäjistä ei kerätä henkilötietoja, mutta ilmoittajat saattavat itse sisällyttää osaksi ilmoitusta omia, toisen henkilön/henkilöiden tietoja osana kirjallista ilmoitusta tai liitetiedostojen metatietojen avulla.

Rekisteröityjen informointi

Sen varmistamiseksi, että rekisteröidyt tietävät henkilötietojen käsittelyn tarkoituksesta ja laajuudesta, rekisterinpitäjä ylläpitää ilmoituskanavapalvelun Internet-sivuilla tietosuojaselostetta.

Henkilötietojen käsittelyn tarpeellisuuden ja oikeellisuuden arviointi

Henkilötietojen käsittely perustuu kolmansien henkilöiden tietojen osalta rekisterinpitäjän lakisääteiseen velvoitteeseen sekä rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun, ja ilmoittavan henkilön tietojen osalta suostumukseen sekä rekisterinpitäjän tai kolmannen osapuolen oikeutettuun etuun.

Ilmoitus sisältää vain tarpeelliset tiedot ilmoitusten käsittelytoimenpiteitä varten. Ilmoittaja ei esimerkiksi jätä ilmoituksen yhteydessä omia yhteystietojaan.

Ilmoitukset olisi mahdollista kerätä myös vaihtoehtoisella tavalla, esimerkiksi sähköpostitse tai puhelimitse, mutta näihin vaihtoehtoisiin tapoihin liittyy selvästi suuremmat luottamuksellisuuteen ja turvallisuuteen liittyvät puutteet. Ilmoituskanavapalvelu on tietoturvallinen ratkaisu vastaanottaa ilmoitukset.

Tietoja säilytetään ilmoituskanavapalvelussa rajoitetun ajan. Rekisterinpitäjä poistaa tiedot sen jälkeen, kun henkilötietojen käsittely ei ole enää tarpeen.

Henkilötietoja ei käsitellä EU- tai ETA-alueen ulkopuolella.

Vain rajoitetulla määrällä henkilöitä on pääsy henkilötietoihin. Henkilöiden, jotka käsittelevät ilmoituskanavapalveluun liittyviä henkilötietoja, tulee olla asianmukaisen salassapitovelvoitteen piirissä.

Rekisteröidylle aiheutuvien riskien arviointi

Rekisteröidyllä on mahdollisuus saada pääsy omiin tietoihinsa paitsi, milloin pääsyn rajoittaminen perustuu tarpeeseen suojella rekisterinpitäjän tai kolmannen henkilön välttämättömiä oikeuksia. Tällainen tilanne on esimerkiksi silloin, jos pääsy tietoihin johtaa siihen, että ilmoittavan henkilön henkilöllisyys olisi vaarassa paljastua.

Rekisteröidyllä on myös mahdollisuus vaatia omien tietojensa poistamista palvelusta. Myös tätä rekisteröidylle kuuluvaa oikeutta on mahdollista rajoittaa, jos rajoittamisen tarkoituksena on turvata rekisterinpitäjän lakisääteinen velvoite, erityisesti velvoite tarjota luotettava ja puolueeton ilmoituskanava.

Kaikkien rekisteröityjen oikeuksien rajoitusten tulee perustua oikeasuhtaisiin ja välttämättömiin perusteisiin, eivätkä ne saa rajoittaa rekisteröityjen oikeuksia enempää kuin on tarpeen rekisterinpitäjän tai kolmannen oikeuksien toteuttamiseksi.

Rekisterinpitäjän on ennen käsittelyä kuultava valvontaviranomaista, jos tämä tietosuojaa koskeva vaikutustenarviointi osoittaa, että käsittely aiheuttaisi korkean riskin, jos rekisterinpitäjä ei ole toteuttanut toimenpiteitä riskin pienentämiseksi.

Todennäköisyyttä mainittujen riskien toteutumiselle voidaan pitää pienenä. Henkilötiedot on suojattu asetuksen edellyttämällä tavalla teknisin ja organisatorisin keinoin, ja pääsy tietoihin on vain rekisterinpitäjän valtuuttamilla henkilöille, joiden määrä on rajattu.

Henkilötietojen käsittelyyn liittyviä seuraavia riskejä koskien tietojen katoamista tai luvatonta pääsyä tietoihin. Riskin todennäköisyys on arvioitu asteikolla 1-4 (1=hyvin epätodennäköinen, 4=hyvin todennäköinen). Riskin vakavuus on kuvattu asteikolla 1-4 (1=ei lainkaan vakava, 4=hyvin vakava).

Toimenpiteet, joilla rekisteröidylle aiheutuvia riskejä voidaan vähentää tai poistaa

Rekisterinpitäjä huolehtii siitä, että se kouluttaa ilmoituksia vastaanottavat henkilöt käsittelemään ilmoituksia asianmukaisesti ja tietoturvallisesti.

Rekisterinpitäjä sitoutuu informoimaan rekisteröityjen näille kuuluvista oikeuksista. Informointia varten rekisterinpitäjä ylläpitää palvelussa tietosuojaselostetta.

Ilmoituskanavajärjestelmän tietoturvaa on testattu/auditoitu kolmannen osapuolen toimesta.

Rekisterinpitäjä toteuttaa seuraavat toimenpiteet riskien vähentämiseksi ja poistamiseksi:

Vaikutustenarvioinnin uusiminen

Rekisterinpitäjä toteuttaa uuden vaikutustenarvioinnin, mikäli se tunnistaa uudenlaisen riskin tai nykyisten käsittelytoimien sisältämä riski muuttuu.