Integritetspolicy

Uppdaterad: 20.04.2023

Personuppgiftsansvarig

Företagets namn: Oy Mapromec Ab

Adress: Verkstadsvägen 10, 65610 KORSHOLM

E-postadress: info@mapromec.fi

Personuppgiftsbiträde

Centralhandelskammaren

Alexandersgatan 17, 00100 Helsingfors

09 4242 6200

ilmoituskanava@kauppakamari.fi

Konsekvensbedömningen genomförs av 

Oy Mapromec Ab

Ansvarsperson: Tapio Kaunismäki

Ansvarspersonens kontaktuppgifter: tapio.kaunismaki@mapromec.fi (+358 (0)10 2290 159)

Bedömningstidpunkt

20.04.2023

Grund för behandling av personuppgifter

Processen grundar sig på direktivet om skydd av personer som rapporterar om överträdelser av EU-lagstiftningen (EU 2019/1937), som antogs av Europeiska unionen den 23 oktober 2019.

 

Enligt direktivet måste företag till exempel erbjuda sina anställda en pålitlig anmälningskanal som möjliggör rapportering av missbruk och oetisk verksamhet. Behandlingen av personuppgifter är nödvändig för att uppfylla de skyldigheter som direktivet fastställer.

Sammanfattning av behandlingen av personuppgifter och dess syfte

Henkilötiedoilla tarkoitetaan tietoja, joiden avulla henkilö voidaan suoraan tai välillisesti tunnistaa yksittäiseksi henkilöksi. Henkilötiedot, rekisteröity, rekisterinpitäjä ja muut keskeiset termit on määritelty yleisessä tietosuoja-asetuksessa (2016/679, ”GDPR”). Oy Mapromec Ab noudattaa GDPR:ää kaikessa henkilötietojen käsittelyssä yhdessä muun soveltuvan kansallisen tietosuojalainsäädännön kanssa.

Tietojen käsittely liittyy Keskuskauppakamarin tarjoaman whistleblowing-ilmoituskanavan ylläpitoon. Keskuskauppakamari tarjoaa ilmoituskanava-alustan asiakasyrityksille, jotka voivat hyödyntää sitä esimerkiksi työntekijöidensä tekemien ilmoitusten vastaanottamiseen. Palvelua käyttävä organisaatio on rekisterinpitäjä ja Keskuskauppakamari henkilötietojen käsittelijä. Tietosuoja-asetuksen mukaisesti tietosuojaa koskeva vaikutustenarviointi on rekisterinpitäjän vastuulla.

Ilmoittava henkilö voi tehdä ilmoituksen anonyymisti ja niin, että ilmoitus ei sisällä häntä itseään koskevia henkilötietoja. Mikäli ilmoituksen tekijä poikkeuksellisesti jättää esimerkiksi omat yhteystietonsa ilmoituslomakkeeseen, henkilötietojen käsittely perustuu rekisteröidyn suostumukseen.

 

Insamling av personuppgifter

Den anmälande, registrerade, personen uppger sina personuppgifter i samband med att upptäckt missbruk eller annan oetisk verksamhet anmäls. Anmälan innehåller inte anmälarens personuppgifter om personen inte uttryckligen uppger dem. I instruktionerna står det exempelvis att anmälningen inte kräver att man uppger sina personuppgifter.

En anmälan kan innehålla en tredje parts personuppgifter, till exempel om den innehåller en bildfil i vilken en tredje part figurerar.

Utöver detta samlas personuppgifter in av dem som behandlar anmälningen för att kunna kontrollera åtkomsten (användarnamn).

Personuppgifter samlas inte in på några andra sätt.

 

Miten henkilötietoja käsitellään.

Henkilötietoja käsitellään whistleblowing-ilmoitusten käsittelemiseksi. Ilmoitusten avulla rekisterinpitäjä ryhtyy lisäksi tarvittaviin toimenpiteisiin. Nämä velvoitteet seuraavat suoraan lainsäädännöstä.

Rekisterinpitäjän ilmoitusten käsittelijöiden tietoja käsitellään Keskuskauppakamarin Ilmoituskanavan pääsynhallinnan kannalta välttämättömiin toimenpiteisiin. Käsittely perustuu sopimuksen rekisterinpitäjän ja Henkilötietojen käsittelijän välisen sopimusvelvoitteiden toimenpanoon Ilmoituskanava-palvelun käytöstä.

Behandling av personuppgifter

Personuppgifter behandlas vid hanteringen av whistleblowing-anmälningar. Baserat på anmälningarna vidtar den personuppgiftsansvariga även nödvändiga åtgärder. Dessa skyldigheter har fastställts i lagstiftningen.

Personlig information om dem som för den personuppgiftsansvarigas räkning hanterar anmälningarna behandlas för att kunna genomföra åtgärder som är nödvändiga för Centralhandelskammarens Anmälningskanals åtkomstkontroll. Behandlingen grundar sig på implementeringen av de avtalsförpliktelser som finns mellan den personuppgiftsansvariga och personuppgiftsbiträdet när det gäller användningen av Anmälningskanaltjänsten.

Hantering och förvaring av personuppgifter

Anmälningsuppgifterna lagras krypterade i databasen. Personuppgiftsbiträdet saknar åtkomst till dessa uppgifter, och endast de som behandlar den personuppgiftsansvarigas anmälningar har åtkomst till dem. Den personuppgiftsansvariga kan begränsa åtkomsten till anmälningarna baserat på anmälningstyp. 

Information om tjänstens prenumeranter och användare lagras i personuppgiftsbiträdets CRM-system för servicerelaterad kommunikation, fakturering och implementering av andra kontraktsmässiga skyldigheter.

Omfattningen av hanteringen av personuppgifter

I tjänsten behandlas följande personuppgifter:

  • förnamn, efternamn, e-postadress, officiellt namn och användarnamn på dem som behandlar anmälan
  • vi samlar inte in några personuppgifter av dem som gör anmälan, men vid behov finns det möjlighet att lägga till sina egna eller andras personuppgifter, antingen skriftligen eller genom metadata i bifogade filer. 

Att informera de registrerade

För att säkerställa att de registrerade förstår syftet med behandlingen av personuppgifter och dess omfattning upprätthåller den personuppgiftsansvariga en integritetspolicy på Anmälningskanalens webbsida.

Bedömning av personuppgiftsbehandlingens nödvändighet och korrekthet

När det gäller en tredje parts personuppgifter baseras behandlingen av personuppgifter på den personuppgiftsansvarigas lagstadgade skyldigheter och den personuppgiftsansvarigas eller den tredje partens legitima intresse. Avseende den som lämnar in en anmälan är bearbetningen baserad på samtycke och den personuppgiftsansvariges eller tredje parts legitima intresse.

Anmälan innehåller endast den information som behövs för att kunna behandla anmälningarna. Till exempel uppger inte den som lämnar in en anmälan sina egna kontaktuppgifter.

Anmälningar kan också samlas in på alternativa sätt, såsom via e-post eller telefon, men dessa alternativa metoder har klart större brister när det gäller sekretess och säkerhet. Tjänsten Anmälningskanal är en datasäker lösning för att ta emot anmälningar.

Informationen lagras i Anmälningskanalen under en begränsad tid. Den personuppgiftsansvarige raderar informationen när bearbetningen av personuppgifter inte längre är nödvändig.

Personuppgifter behandlas inte utanför EU eller EES.

Endast ett begränsat antal personer har tillgång till personuppgifterna. Personer som behandlar personuppgifter som rör Anmälningskanalen måste vara föremål för lämpliga sekretessåtaganden.

 

Bedömning av risker för de registrerade 

Den registrerade har möjlighet att få tillgång till sina egna uppgifter, förutom när begränsningen av åtkomsten är nödvändig för att skydda den personuppgiftsansvarigas eller en tredje parts väsentliga rättigheter. Ett exempel på en sådan situation är när åtkomst till uppgifter skulle kunna leda till att identiteten på den som lämnade in anmälan riskerar att avslöjas.

Den registrerade har också möjlighet att begära att de egna uppgifterna tas bort från tjänsten. Denna rättighet kan också begränsas om begränsningen syftar till att säkerställa den personuppgiftsansvarigas lagstadgade skyldighet, särskilt skyldigheten att tillhandahålla en tillförlitlig och opartisk anmälningskanal.

Alla begränsningar av de registrerades rättigheter måste vara proportionerliga och nödvändiga och får inte begränsa de registrerades rättigheter mer än vad som krävs för att uppfylla den personuppgiftsansvarigas eller en tredje parts rättigheter.

Om konsekvensbedömningen visar att behandlingen av personuppgifter kan medföra en hög risk i det fall att den personuppgiftsansvariga inte vidtar åtgärder, måste den personuppgiftsansvariga konsultera tillsynsmyndigheten innan några personuppgifter kan behandlas.

Sannolikheten att de nämnda riskerna blir verklighet kan anses vara låg. Personuppgifterna skyddas genom tekniska och organisatoriska åtgärder på det sätt som krävs enligt lagstiftningen och endast ett begränsat antal personer, auktoriserade av den personuppgiftsansvariga, har åtkomst till dem.

Följande risker vid behandling av personuppgifter är relaterade till förlorade data eller obehörig åtkomst till data. Sannolikheten för risken bedöms på en skala från 1–4 (1 = mycket osannolikt, 4 = mycket troligt), och allvaret av risken beskrivs på en skala från 1–4 (1 = inte alls allvarligt, 4 = mycket allvarligt).

Risk Sannolikhet Allvarsgrad
En utomstående person kommer åt uppgifterna som finns på anmälningskanalen 1 1
Personuppgifter sprids till andra än de fastslagna personerna 1 1

 

Åtgärder med hjälp av vilka riskerna för de registrerade kan minimeras eller helt uteslutas

Den personuppgiftsansvariga utbildar de personer som tar emot anmälan att behandla anmälan sakligt och dataskyddsenligt.

Den personuppgiftsansvariga förbinder sig att informera de registrerade om deras rättigheter. Av denna anledning upprätthåller den personuppgiftsansvariga en integritetspolicy i tjänsten.

Anmälningskanalssystemets dataskydd har testats av en tredje part.

Den personuppgiftsansvariga verkställer följande åtgärder för att minimera och utesluta risker:

Risk Åtgärd Konsekvens
En utomstående person kommer åt uppgifterna som finns på anmälningskanalen Endast personer med fullmakt har tillgång till systemet, som baserar sig på datasäkerhetsprinciper. Åtkomsten till uppgifterna är begränsad. Incidentens sannolikhet och allvar har minskat betydligt.
Personuppgifter sprids till andra än de fastslagna personerna Lösenord har skapats, IT-avdelningen undersöker vid behov fallet och vid behov kontaktas även polisen Incidentens sannolikhet och allvar har minskat betydligt.

Ny konsekvensbedömning

Den personuppgiftsansvariga genomför en ny konsekvensbedömning om nya risker upptäcks eller om de befintliga riskerna förändras.