MPS-Yhtiöt Andmekaitsepoliitika

Infokaitse eest hoolitsemine on osa MPS-Yhtiöt vastavuspoliitikast, mis hõlmab endas riskide hajutamist ja eetiliste juhiste toimise järgimist. Andmekaitsepoliitikaga määratletakse, kuidas kõikides MPS-Yhtiöt kontserni filiaalide ja lepingupartnerite tegevustes töödeldakse vaid otstarbekohaseid isikuandmeid, jälgitakse seadusi ja andmetekaitse turvalisuse kõrget taset. Andmekaitspoliitika on heaks kiitnud MPS-Yhtiöt juhtkond ja IT- osakond.

1. Andmekaitsepoliitika hõlmavus, eesmärgid ja riskijuhtimine

Andmekaitsepoliitika hõlmab isikute eraelu ja eraelu puutumatust kaitsvaid õigusi isikuandmete töötlemisel, andmekaitseseadust (523/1999) 10 § ja 24 §, kaasa-arvatud 25.5.2018 kohalduv EL üldised andmekaitseseaduse nõudmised.

Andmekaitsepoliitika rakendab MPS-Yhtiöt iga üksuse kohta eraldi, järgides kohalikest seadustest lähtuvat ja isikuandmete töötlemisel põhinevat seadusandlust, MPS-Yhtiöt isikuandmete infoturbes kasutatud klientide, töötajate ja teistesse sidusrühmadesse kuuluvate isikute õigusi ning kindlustab nii isikuandmete töötlemise nõuetekohase kasutamise kui ka isikuandmete töötleja õigusi ning kohustusi jälgides nõutekohase kasutuse.

Andmekaitsel on otsene seos turbeauditiga. MPS-Yhtiöt turbeauditi poliitika määratleb, kuidas käsitletakse infoturvet ja riskijuhtimist ning kuidas seda järgitakse.

2. Isikuandmete eluiga ja kasutus

Kõik MPS-Yhtiöt andmebaasid ja neis sisalduv info säilitatakse Euroopa Liidus. Isikuandmete töötlemise aluseks on avatus, läbipaistvus ning täpsus. Isikuandmete töötlemine baseerub isiku nõusolekul või muul seaduses määratletud alusel. Isikuandmeid töödeldakse vaid põhjendatud otstarbel ja vaid sel määral ja nii kaua kui on otstarbekas. Kasutatavate isikuandmete õigsuses veendutakse isikuandmete loovutajalt või tema lähedastelt saadud info põhjal. Kui isikuandmete kasutus pole enam otstabekas, isikuandmed kustutatakse.

Isikuandmeid kasutatakse vaid selles olukorras, mille jaoks need on kogutud seaduslikes piires. Isikuandmeid edastatakse täpselt reglementeeritud või seadusega nimetatud saajatele. Infot võidakse edastada registripidaja valdusalast väljapoole, väljaarvatud juhul kui andmete edastamise aluseks on seadusest tulenev nõue. Sellega järgitakse andmete edastamist puudutavaid seadusandlikke meetmeid.

3. Isikute teavitamine

Registripidaja on see MPS-Yhtiöt kuuluv firma, kelle tarbeks isikuandmed on kogutud. Igas isikuregistris järgitakse Soome ja Euroopa Liidu seadusandlikku dokumentatsiooni. Isikuandmete töötleja teavitab isikut isikuandmete töötlemist kohalduvate õigusaktidega iskuandmeid kogudes või võimaluse korral muude allikate kaudu (registripidaja koduleht).

4. Vastutus ja meetmed

Vastutus infoturbe teostamise osas on kontserni äriüksusel oma üksuse piires. MPS-Yhtiöt üksustele on määratud infoturbe eest vastutav isik ning infoturbe töörühm, mis tagab infoturbe teostamiseks vajaminevate vahendite ja meetmete ajakohasuse. Iga MPS-Yhtiöt töötaja teab ja tunneb oma vastutusala infoturvet ning -riske. Iga äriüksus vastutab infoturbe ressursside ja nende kasutuse üle üksusepõhiselt. Iga äriüksus vastutab infoturbe eest ka seda väljapoole edastades. Iga äriüksus hoolitseb selle eest, et valitud koostööpartner järgib sama infoturbepoliitikat. Isikuandmete töötlemise väljastamisel kolmandatele osapooltele tehakse alati kirjalik leping, kus määratakse ära mõlema osapoole vastutus ja kohustused.

5. Infoturbe tagamine

Infoturbe nõuete järgimine kuulub erandituna kõikide isikuandmeid töötlevate uute töötajate koolitusse ja kõik töötajad sooritavad MPS-Yhtiöt infoturvet puudutava online koolituse. Online infoturbe koolitusi korraldatakse regulaarselt kõigile töötajatele.

Kõiki isikuandmeid töötlevaid töötajaid seob seaduses määratud või eraldi kokkulepitud ja dokumenteeritid konfidentsiaalsusnõue. Iga MPS töötaja on allkirjastanud koos töölepinguga ka konfidentsiaalsusnõude.

Isikuandmeid sisaldavate süsteemide kasutamist kontrollitakse kontserni dokumenteeritud menetlusega. Logiinfo kogutakse kõikidest registritest eraldi seaduses ettenähtud nõuete kohaselt või muul täpselt määratletud meetmel. Isikuandmeid sisaldavaid süsteeme võivad kasutada vaid need töötajad, kellel on ametikohustuste tõttu õigus töödelda isikuandmeid. Igal kasutajal on süsteemi kasutamiseks isiklik kasutajatunnus ja salasõna.

Isikuandmed kogutakse andmebaasidesse, mis on kaitstud kas tulemüüri, salasõnaga või muul tehnilisel viisil. Andmebaasid ja nende varukoopiad paiknevad lukustatud tingimustes ja andmetele pääsevad ligi vaid selleks eelnevalt volitatud isikud. Isikuandmeid säilitatakse vastavalt seaduses sätestatule.

Infoturbe ohtu märgates teavitab Isikuandmete töötleja viivitamata ametnikke mis tahes rikkumisest või Isikuandmete juhuslikust, ebaseaduslikust või volitamata juurdepääsust, kasutamisest või avaldamisest või sellest, et Isikuandmete puutumatus võib olla rikutud või Isikuandmete terviklikkust võib olla rikutud. Iga äriüsksus hindab ja vastutab infoturbe teostamise osas oma üksuse piires.

6. Menetluste rakendamine infoturbe ohu korral

Infoturvet ohustavaks tegevuseks peame isikuandmete töötlemise seaduse, infoturbe poliitikapõhiste juhiste vastast tegevust. Juhul kui kahtleme, et isikuandmete puutumatust või terviklikkust võib olla rikutud, teavitatakse sellest viivitamatult ametnikke. Kui rikkumine ei leia tõestust, kuid ohustab infoturvet, võib juhtumile järgneda märkus, hoiatus või töösuhte lõpetamine.

7. Teavitamine töötajaskonnale, isikuandmete omanikule ja sidusrühmale

Infoturbepoliitikast ning selle muudatustest teavitatakse MPS-Yhtiöt töötajaskonnale MPS-Yhtiöt intranetis. Infoturbepoliitikat uuendatakse vastavalt vajadusele. Lisaks jagatakse intraneti kaudu MPS-Yhtiöt siseseid infoturbealaseid juhiseid.

Päivitetty 9.5.2018.