Huolehdimme henkilökohtaisesta tiedostasi
Parempi kokemus
Tuotteiden ja palvelujen tarjoamiseksi keräämme jatkuvasti henkilötietoja. Tietoja, jotka parantavat verkkosivustomme käyttökokemusta ja vuorovaikutusta kanssasi. Ymmärrämme helpommin tilannettasi ja tarpeitasi, jotta voimme koota sinulle optimaalisen ratkaisun.
Mitä on GDPR?
Yleinen tietosuoja-asetus (GDPR) on EU:n laki, jonka tarkoituksena on parantaa yritysten henkilötietojen ja asiakkaan henkilötietojen suojaa.
100% läpinäkyvyys luo turvallisuutta
Meille on tärlkeää, että tunnet olosi turvalliseksi tietojenkäsittelyssä, että suojelemme yksityisyyttäsi ja tiedät oikeutesi. Collectiassa käsittelemme kaikkia tietoja luottamuksellisesti ja lain mukaisesti. Haluamme olla avoimia ja kertoa mitö tietoja käsittelemme ja miksi. Jos haluat tietää enemmän siitä, miten suojaamme tietojasi, ota meihin yhteyttä osoitteessa gdpr@collectiagroup.fi.
Collectia käsittelee asiakkaidensa henkilötietoja kunkin asiakkaan ohjeiden mukaisesti. Tässä tapauksessa asiakas viittaa henkilöön, joka on velkoja.Collectia on henkilötietolaissa tarkoitettuna henkilötietojen avustaja suhteessa asiakkaaseen, joka puolestaan on vastuussa henkilötiedoista. Käsiteltäviä tietoja ovat esimerkiksi etu- ja sukunimi, osoite, henkilötunnus, sähköpostiosoite, puhelinnumero ja IP-osoite. Joissakin tapauksissa rekisteröidään myös tietoa asiakkaan taloudellisesta tilanteesta ja maksukyvystä. Lisäksi rekisteröidään, kuinka paljon kukin asiakas on velvollinen maksamaan, jaettuna pääomaan, korkoihin ja kuluihin . Jos velka jää maksamatta perintätoimenpiteiden jälkeen, tietoja mahdollisista jatkotoimenpiteistä sekä oikeudellisista toimenpiteistä, Tarkoituksena on varmistaa, että Collectia pystyy suorittamaan asiakkaan turvallisen tunnistamisen perintäprosessin mahdollistamiseksi perintälain ja hyvän perintätavan mukaisesti. Tiedot voidaan luovuttaa tuomioistuimille tai muille viranomaisille oikeudellisiin toimeenpanotoimiin. Jos asiakas muuttaa ulkomaille, rekisteröidyt tiedot voidaan luovuttaa myös ulkomaalaisille perintäedustajille. Velkoja keräsi alun perin henkilökohtaiset tiedot saatavan alkuperän yhteydessä. Nämä tiedot toimitetaan Collectialle ja rekisteröidään yhtiöön perintätoimeksiantojen vastaanottamisen yhteydessä. Tiedot voidaan sitten päivittää ja täydentää hankkimalla tietoja viranomaisilta tai luottotietoyrityksiltä. Henkilöillä, joiden henkilötiedot on rekisteröity Collectiaan, on oikeus maksuttomasti kerran vuodessa saada nähtäväksi tietonsa. Pyyntö on tehtävä kirjallisesti Collectialle. Mahdolliset virheelliset henkilötiedot voidaan korjata kirjallisella pyynnöllä Collectialle.
Meillä Collectiassa on tärkeää, että asiakkaamme luottavat meihin aina. Tästä henkilötietokäytännöstä voit lukea lisää siitä, miten käsittelemme henkilötietoja.
- Henkilötietoja ovat sellaiset tiedot, joiden perusteella henkilö voidaan tunnistaa suoraan tai välillisesti esimerkiksi yhdistämällä yksittäinen tieto johonkin toiseen tietoon, joka mahdollistaa tunnistamisen. Henkilö voidaan tunnistaa esimerkiksi nimen, henkilötunnuksen tai jonkin hänelle tunnusomaisen tekijän perusteella.
- Rekisteröity on luonnollinen henkilö, johon henkilötiedot liittyvät esim, asiakkaat, työntekijät, toimittajat, kumppanit ja muut
- Henkilötietojen käsittelyä on tulkittava laajasti. Käsite ”käsittely” kattaa kaikki toimenpiteet tai toimenpiteiden sarjat, joihin henkilötiedot viittaavat. Se olla tallennus, muokkaus, haku, rekisteröinti, välitys ja poistaminen.
- Rekisterinpitäjä on henkilö tai organisaatio, joka itse tai yhdessä muiden kanssa päättää, missä määrin ja milllä apuvälineillä henkilötietoja voidaan käsitellä.
- Tietojenkäsittelijä on henkilö, joka käsittelee henkilötietoja rekisterinpitäjän puolesta -ts. toimii rekisterinpitäjän ohjeiden mukaan.
- Rekisteröidylle aiheutuva riksi on, että rekisteröity joutuu fyysiselle aineelliselle tai aineettomalle vahingolle, henkilötietojen hallinnan menettämiselle, hänen oikeuksiensa rajoitetaan, syrjitään, henkilöllisyysvarkaus, taloudellinen menetys, sosiaaliset seuraamukset tai maineen vahingoittuminen.
- Varotoimet (kutsutaan myös turvatarkastukseksi) kattavat sekä tekniset että organisatoriset varotoimet. Teknisiä varotoimia ovat virustorjuntaohjelmistot ja palomuurit, jotka estävät luvattomien henkilöiden pääsyn IT- järjestelmiin henkilökohtaisilla tiedoilla. Organisaation varotoimenpiteisiin kuuluu muun muassa työntekijämme opastus ja koulutus henkilötietojen käsittelyyn oikein ja turvallisesti.
- Collectia kerää ja vastaanottaa mm. henkilötietoja seuraavasti:
- Rekisteröidyiltä itseltään (mukaan lukien johto, omistajat, työntekijät)
- Rekisteröidyn ilmoituksen yhteydessä uutiskirjeestä
- Asian osapuolelta
- Eri rekistereistä
- Sosiaalisen median, mainonta- ja analyysivaihdon sekä erilaisten yleisesti saatavilla olevien tietokantojen / rekistereiden kautta
- Selaimen evästeiden kautta kun käytät Collectian verkkosivustoa. (lue lisää evästeistä https://collectia.fi/tietokeskus/evastekaytanto/ )
Ennen asiakassopimusta voidaan käydä keskusteluja sähköpostitse, puhelimitse tai chatissa. Collectia käsittelee myös asiakkaan tarpeiden arvioimiseksi olevia tietoja mm
- Yrityksen nimi ja mahdollisten yhteyshenkilöiden nimet
- Yrityksen osoite
- Sähköposti
- Puhelinnumero
Tehdessään yhteistyösopimuksia, mukaan lukien asiakassopimukset, Collectia käsittelee laajan valikoiman tietoja, jotka takaavat oikean hyödyn saamisen ja että asiakas, yhteistyökumppani ja hänen yhteyshenkilönsä tunnistetaan oikein. Tietoja käytetään myös viestinnän sopeutumisen varmistamiseen, sekä palvelun kehittämiseen ja parantamiseen. Collectia käsittelee mm seuraavat tiedot:
- Yrityksen nimi ja mahdolliset yhteyshenkilöt, mukaan lukien yritysjohtajat ja henkilökohtaisella vastuulla rekisteröidyt henkilöt
- CVR -numero
- CPR -numero, henkilökohtaisessa vastuussa olevia henkilöitä
- Yrityksen ja mahdollisten yritysjohtajien osoite
- Sähköposti
- Puhelinnumero
- Pankki – ja maksutiedot
- Yritysala
- Julkisten rekistereiden yrityskirjanpidot
Oikean ja tyydyttävän palvelun toimittamisen ja oikean laskutuksen varmistamiseksi Collectia käsittelee seuraavaa
- Kaikissa yllä olevissa, kohdassa 6 luetellut tiedot
- Erilaiset pyynnöt, jotka saattavat sisältää henkilökohtaisia tietoja
- Anonyymit tiedot raporttien, tilastojen jne. käyttöä varten.
- Maksuhistoria
Ryhmä/ominaisuus | Roolit ja vastuut |
Ylin johto/johtokunta | Ylimmällä johdolla/johtoryhmällä on lopullinen vastuu siitä, että Collectia noudattaa voimassa olevia henkilötietosuojaa koskevia sääntöjä. Ylimmän johdon /johtoryhmän tehtävänä on tehdä dokumentoituja hallinnollisia päätöksiä henkilötietojen suojaamisesta Collectiassa. |
Päivittäinen johtaja | Päivittäinen johtaja on vastuussa siitä, että henkilötietojen käsittelyn tarkoitus hänen liiketoimintayksikössään ja sekä käytäntöä tukevat ohjeet ilmoitetaan selkeästi työntekijöille. |
Henkilötietojen Koordinaattoritiimi | Ryhmän tehtävä on valmistella henkilötietojen suojaamista koskevia käytäntöjä ja ohjeita, kommunikoida niistä ja myötävaikuttaa niiden toteuttamiseen. |
Järjestelmän omistaja | Vastaa henkilötietoja käsittelevien laitteiden käytöstä ja ylläpidosta. |
Tietojen omistaja | Tietojen omistajat ovat työntekijöitä, jotka eivät ole tietosuojavastaavia tai johtajia, mutta joilla on koordinoiva rooli turvatoimenpiteiden toteuttamisessa ja jotka tarvitsevat sitä henkilötietojen suojan yhteydessä. Tietojen omistajat ovat tyypillisiä työntekijöitä, jotka vastaavat liiketoimintayksiköstä. He ovat siten vastuussa yksikössä toteutettavista turvatoimista. He vastaavat myös yksikössä käsitellyistä henkilötiedoista. |
Työntekijä | Henkilötietoja käsittelevät työntekijät ovat perehtyneet käsittelyn kohteisiin ja työnsä kannalta merkityksellisiin ohjeisiin. |
- Päätökset
- Toteuttamamme toimenpiteet
- Henkilötietojen käsittelyä koskevat ohjeet ja valvonnat
Lisäksi varmistamme aktiivisesti, että pysymme ajan tasalla tämän henkilötietopolitiikan sekä taustalla olevien ohjeiden vaatimusten mukaisesti:
- Henkilötietojen luokittelu ja perusperiaatteet
- Henkilötietojen laillinen käsittely
- Tietojen siirto EU: n / ES: n ulkopuolisiin maihin
- Luettelot hoitotoimenpiteistä
- Rekisteröijien oikeudet
- Rekisterinpitäjän ja prosessorin vastuu
- Rekisteröity riskinarviointi
- Vaikutuksen arviointi
- Henkilötietojen turvallisuuden käsittely
- Henkilötietojen turvallisuuden puute
Uusista suuntaviivoista johto ja työntekijät ovat vastuussa perehtymisestä näihin, jos työn kannalta olennaista.
Tarkoitus on asettaa pääkehys sille, miten käsittelemme henkilötietoja hyvin.
Tietosuoja-asetuksen 5 ja 9 artikla
9.1. Henkilötietojen luokittelu
Collectiassa olemme päättäneet luokitella henkilötiedot, kun käsittelemme niitä.
Luokittelulla on mm. merkitys, kun arvioimme käsittelyn lailliseksi tekemisen perustan, kun erotellaan tavallisten ja arkaluonteisten henkilötietojen käsittely. Lisäksi käytämme luokitusta arvioidessamme, suunnitellessamme ja toteuttaessamme teknisiä ja organisatorisia turvatoimenpiteitä ja valvontaa henkilötietojen suojaamiseksi. Luokittelumalli on selitetty “Luokittelua koskevissa ohjeissa ja henkilötietojen käsittelyn perusperiaatteissa”.
9.2 Henkilötietojen käsittelyn perusperiaatteet
Käsittelemme henkilötietoja tällä alalla sovellettavien sääntöjen mukaisesti. Tämä tarkoittaa muun muassa sitä, että käsittelemme henkilötietoja vain laillisiin, kohtuullisiin ja laillisiin tarkoituksiin, jotka voimme dokumentoida.
Keräämme, tallennamme ja käsittelemme vain henkilötietoja, jotka ovat tarpeen käsittelyvaatimusten täyttämiseksi. Siksi varmistamme aktiivisesti, että henkilötietojen kerääminen ja käsittely minimoidaan tarpeelliseksi.
Rajoitamme henkilötietojen käsittelyä siten, että emme käsittele niitä tavalla, joka on ristiriidassa alkuperäisen tarkoituksen kanssa. Lisäksi varmistamme, että henkilötietoja ei säilytetä pidempään kuin on tarpeen käsittelyn tarkoituksen saavuttamiseksi. Kun henkilötietoja ei enää tarvita, varmistamme, että ne joko poistetaan sääntöjemme mukaisesti tai että toteutetaan muita teknisiä ja organisatorisia toimenpiteitä, kuten nimettömyys, jotta rekisteröityä ei voida enää tunnistaa henkilötietojen perusteella. tiedot.
Jos henkilötiedot ovat virheellisiä tai puutteellisia / puuttuu käsittelyn tarkoituksen mukaisesti, varmistamme, että ne päivitetään tai poistetaan.
Henkilötietojen käsittelyn perusperiaatteita koskevat vaatimukset selitetään luvussa “Henkilötietojen luokittelun ohjeet ja henkilötietojen käsittelyn perusperiaatteet”.
Tarkoituksena on varmistaa, että käsittelemme henkilötietoja vain laillisesti.
Tietosuoja-asetuksen 6–10 artikla |
Varmistamme, että se on oikeusperusta käsitellessämme henkilötietoja. Siksi on esitettävä vähintään yksi seuraavista henkilötietojen käsittelyn perusteista.
Yleisten henkilötietojen perusta:
- Suostumus– rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn.
- Sopimus– käsittely on välttämätöntä, jotta voidaan täyttää tai tehdä sopimus, johon rekisteröity on osa.
- Lakisääteinen velvoite– käsittely on välttämätöntä laillisen velvoitteen noudattamiseksi.
- Elintärkeät edut– käsittely on välttämätöntä rekisteröidyn elintärkeiden etujen suojaamiseksi.
- Etujen tasapaino– käsittely on välttämätöntä oikeutetun edun saavuttamiseksi.
Arkaluonteisten henkilötietojen perusta (erilainen kuin yleisten henkilötietojen perusta):
- Suostumus– rekisteröity on antanut nimenomaisen suostumuksen henkilötietojen käsittelyyn.
- Elintärkeät edut– käsittely on välttämätöntä rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi tapauksissa, joissa kyseinen henkilö ei pysty antamaan suostumusta käsittelyyn.
- Rekisteröityjen julkaiseminen– rekisteröity on itse julkaissut henkilötiedot.
- Lakivaatimus– käsittely on merkityksellistä lain vaatimuksen yhteydessä.
Suostumus
Ellei käsittely tapahdu rekisteröidyn suostumuksen perusteella, varmistamme, että suostumus annetaan vapaaehtoisesti ja että se on muotoiltu helposti ymmärrettävällä kielellä, jotta rekisteröidyllä ei ole epäilyksiä siitä, mikä suostumus on annettu. Lisäksi varmistamme, että suostumus saadaan aktiivisen asiakirjan kautta, jotta rekisteröidyt esim. täytyy napsauttaa ok, allekirjoittaa tai vastaavaa hyväksyäksesi suostumuksen. Lisäksi varmistamme, että rekisteröidylle ilmoitetaan, että suostumus voidaan aina peruuttaa. Käsittelyperustaa, mukaan lukien suostumus, koskevat vaatimukset selitetään “Henkilötietojen laillista käsittelyä koskevissa ohjeissa”.
Tarkoituksena on varmistaa, että henkilötietoja ei siirretä EU: n / ETA: n ulkopuolisiin maihin ilman, että meillä on tähän oikeusperusta.
Tietosuoja-asetuksen 44–50 artikla |
Siirrämme henkilötietoja vain EU: n ja ETA: n ulkopuolisiin maihin (Euroopan taloudellinen yhteistyö), ellei meillä ole tähän laillista, kohtuullista ja laillista perustaa, ja voimme varmistaa riittävän suojan.
Vaatimukset henkilötietojen siirtämiselle EU: n ja ETA: n ulkopuolisiin maihin on selitetty ohjeissa henkilötietojen siirtämisestä EU: n ja ETA: n ulkopuolisiin maihin.
Tarkoituksena on varmistaa, että pidämme tarvittavat luettelot käsittelytoimista, jotka voidaan asettaa tietotarkastuksen saataville tarkastuksen aikana. Lisäksi tarkoituksena on varmistaa, että riskien arvioimiseksi on peruste rekisteröidyn henkilötietojen käsittelyssä.
Tietosuoja-asetuksen 30 artikla |
Pidämme luetteloa käsittelemistämme henkilötiedoista ja varmistamme aktiivisesti, että luettelo päivitetään. Luettelon säännöllisen päivittämisen varmistamiseksi olemme nimenneet Collectiaan joitain johtajia (Charlotte Møller, Charlotte Boysen, Nico Løje ja Julie Boldsen), jotka vastaavat luettelon ylläpidosta. Luetteloa käytetään mm. osana dokumentointivelvollisuutta, jos tietosuojavaltuutettu tulee valvomaan, ja perustana rekisteröidylle aiheutuvien riskien arvioimiseksi käsiteltäessä hänen henkilötietojaan.
Henkilötietoja käsittelevien työntekijöiden on ilmoitettava vastuuhenkilöille (Charlotte Møller, Charlotte Boysen, Nico Løje ja Julie Boldsen) henkilötietojen käsittelyyn liittyvistä muutoksista ja vastaavista.
Luettelon laatimista koskevat vaatimukset on selitetty kohdassa “Hoitotoimenpiteiden luettelon ohjeet”.
Tarkoituksena on varmistaa, että henkilötietojen käsittely täyttää rekisteröidyn oikeuden hallita, milloin, miten ja missä määrin hänen henkilötietojaan käsitellään ja kenelle rekisteröity haluaa pääsyn henkilötietoihinsa.
Tietosuoja-asetuksen 12–23 artikla |
Varmistamme rekisteröidyn oikeudet esimerkiksi käsitellä henkilötietojaan avoimella ja tietoon perustuvalla tavalla. Tämä tarkoittaa, että ilmoitamme rekisteröidylle, että käsittelemme hänen henkilötietojaan ja millä tavalla, jotta rekisteröidyllä on mahdollisuus puolustaa oikeuksiaan.
Tämän lisäksi autamme rekisteröityä käyttämään oikeuksiaan ja käsittelemme rekisteröidyn pyynnön puolustaa hänen oikeuksiaan. Kun kommunikoimme rekisteröidyn kanssa, teemme sen ytimekkäästi ja selkeällä ja helposti ymmärrettävällä kielellä.
Alla on luettelo oikeuksista, joissa autamme rekisteröityä, jos hän sitä pyytää:
- Katsaus henkilötietojen käsittelyyn
- Korjaus, jos henkilötiedot ovat virheellisiä tai puuttuvat
- Käsittelemiemme henkilötietojen poistaminen (katso kohta 14 “Tietojen poistaminen”)
- Henkilötietojen käsittelyn rajoittaminen
- Henkilötietojen luovuttaminen tai siirto sisäisesti tai ulkopuolisille yrityksille
- Henkilötietojen käsittelyä koskevan riidan käsittely.
Jos teemme päätöksiä, jotka vaikuttavat merkittävästi rekisteröityyn, varmistamme, että päätöstä ei tehdä yksinomaan automaattisessa käsittelyssä tai profiloinnissa.
Emme välitä henkilötietoja yhteistyökumppaneille tai muille ulkopuolisille organisaatioille, ellei rekisteröity ole antanut suostumusta tai meillä on laillinen velvollisuus välittää henkilötietoja.
Tapauksissa, joissa olemme välittäneet henkilötietoja Collectian ulkopuolisille yrityksille, varmistamme, että näille yrityksille ilmoitetaan kaikista korjauksista, poistamista tai rajoituksista, joihin on ryhdytty.
Rekisteröidyn oikeuksia koskevat vaatimukset on selitetty kohdassa “Rekisteröidyn oikeuksien ohjeet”
Jos haluat käyttää oikeuksiasi yllä olevan osan mukaisesti, lähetä sähköpostia osoitteeseen gdpr@collectia.dk.
Pyrimme vastaamaan kuukauden kuluessa pyynnön vastaanottamisesta.
Huomaa, että turvallisuussyistä sinun tulee vahvistaa henkilöllisyytesi ennen kuin pyyntösi voidaan käsitellä.
Tarkoituksena on varmistaa, että kaikessa henkilötietojen käsittelyssä on selvää, olemmeko rekisterinpitäjiä vai tietojenkäsittelijöitä. Lisäksi tarkoituksena on varmistaa, että on olemassa yleiskatsaus siitä, mitä tietojenkäsittelijöitä käytetään, ja että heidän kanssaan on tehty tietojenkäsittelysopimuksia.
Tietosuoja-asetuksen 24–29 artikla |
Käsittelemällä henkilötietoja arvostamme, kun olemme rekisterinpitäjiä, tietojenkäsittelijöitä tai meillä on jaettu vastuu (yhteinen rekisterinpitäjä).
15.1 Rekisterinpitäjä
Sikäli kuin olemme rekisterinpitäjiä, varmistamme, että kaikki käyttämämme tietojenkäsittelijät voivat tarjota tarvittavat suojaustakeet henkilötietojen käsittelylle. Lisäksi varmistamme, että heille opetetaan, miten he voivat käsitellä henkilötietoja puolestamme, ja että on tehty tietojenkäsittelijäsopimus, joka täyttää sovellettavien sääntöjen vaatimukset.
15.2 Tietojenkäsittelijä
Sikäli kuin olemme tietojenkäsittelijöitä, varmistamme, että käsittelemme henkilötietoja vain rekisterinpitäjän ohjeiden mukaisesti.
Lisäksi varmistamme, että emme käytä muita tietojenkäsittelijöitä (alitietojenkäsittelijöitä), mutta että rekisterinpitäjä on hyväksynyt tämän.
Siltä osin kuin olemme saaneet rekisterinpitäjältä kirjallisen hyväksynnän, varmistamme, että ilmoitamme rekisterinpitäjälle, jos aiomme korvata käytetyt tietojenkäsittelijät tai tehdä sopimuksia uusien kanssa, jotta rekisterinpitäjällä on mahdollisuus kiistää tällaiset muutoksia.
Siltä osin kuin rekisterinpitäjä on hyväksynyt, että käytämme muita tietojenkäsittelijöitä (osaprosessoreita), varmistamme, että ne täyttävät ainakin rekisterinpitäjän asettamat vaatimukset.
15.3 Yhteinen rekisterinpitäjä
Jos olemme yhdessä vastuussa tiedoista toisen organisaation kanssa, varmistamme, että olemme asettaneet jaetun vastuun alalla sovellettavien sääntöjen noudattamisesta. Varmistamme myös, että velvollisuutemme rekisteröityä kohtaan, mukaan lukien se, kuka asettaa tiedot rekisteröidyn saataville, täytetään ja että tämä tapahtuu avoimella ja tietoisella tavalla. Rekisteröity voi kuitenkin vapaasti valita, mitä rekisterinpitäjää hän haluaa käyttää oikeuksiaan vastaan.
Rekisterinpitäjille ja käsittelijöille asetetut vaatimukset on selitetty “Ohjeet rekisterinpitäjille ja käsittelijöille”.
Tarkoituksena on tunnistaa rekisteröidylle mahdollisesti aiheutuvat riskit käsiteltäessä hänen henkilötietojaan.
Käsittelemällä henkilötietoja arvioimme rekisteröidylle aiheutuvia riskejä käsitellessään hänen henkilötietojaan. Suoritamme arvioinnin tekemiemme hoitotoimenpiteiden ja käyttämiemme järjestelmien perusteella, jotta saamme yleiskuvan riskeistä. Riskit lasketaan ja tunnistetaan sen perusteella, mitä seurauksia rekisteröidylle aiheutuu hänen henkilötietojensa käsittelystä, sekä todennäköisyyden seurausten syntymiselle.
Ylin johto dokumentoi ja hyväksyy riskinarvioinnin.
Menetelmä rekisteröityjen henkilöiden riskien arvioimiseksi henkilötietoja käsiteltäessä on selitetty kohdassa “Rekisteröityjen henkilöiden riskien arviointia koskevat ohjeet”.
Tarkoituksena on varmistaa, että vaikutustenarviointi suoritetaan etukäteen sellaisten henkilötietojen käsittelylle, joihin todennäköisesti liittyy suuri rekisteröidyn riski, ja että siten tunnistetaan toimenpiteet, jotka voivat vähentää tätä riskiä.
Tietosuoja-asetuksen 35 + 36 artikla |
Jos rekisteröidyn riskiarvioinnissa arvioidaan, että henkilötietojen käsittelyyn liittyy todennäköisesti suuri riski rekisteröidyn oikeuksille tai vapauksille, teemme vaikutustenarvioinnin. Vaikutusten arviointi auttaa määrittämään toimenpiteet, joiden uskomme vastaavan näihin riskeihin. Jos aiotut tekniset ja organisatoriset turvatoimenpiteet eivät pysty vastaamaan riskeihin riittävässä määrin, neuvomme tietotarkastuksen kanssa ennen henkilötietojen käsittelyä.
Vaikutusten arviointien laatimista koskevat vaatimukset on selitetty kohdassa “Vaikutusten arviointia koskevat ohjeet”
Tarkoituksena on varmistaa, että henkilötietojen käsittelyssä on riittävä turvallisuus, joka kattaa tunnistetut riskit riskien ja vaikutusten arvioinnissa.
Tietosuoja-asetuksen 32 ja 25 artikla |
Varmistamme, että henkilötietojen käsittelyssä turvataan riittävä turvallisuustaso sekä teknisesti että organisatorisesti.
18.1 Turvallisuuden hallinta
Valmistellun riskianalyysin ja vaikutusten arvioinnin perusteella määritämme, mikä suojaustaso ja mitkä turvatoimet on toteutettava riittävän suojaustason varmistamiseksi henkilötietoja käsiteltäessä.
Tässä yhteydessä harkitsemme seuraavia ehtoja:
- Pseudo-nimettömyyden, salauksen ja nimettömyyden käyttö.
- Luottamuksellisuuden ja eheyden varmistaminen.
- Järjestelmän saatavuus ja joustavuus.
- Kyky luoda käsiteltyjen henkilötietojen saatavuus ja käyttö kohtuullisessa ajassa (varmuuskopiointi).
- Tunnistetut riskit, joita henkilötietojen käsittelyyn liittyy, esimerkiksi vahingossa tai laittomassa tuhoamisessa, katoamisessa, muuttamisessa tai luvattomassa siirtämisessä tai käsitellyn henkilötietojen saatavuudessa, mikä voi johtaa fyysiseen, aineelliseen tai aineettomaan vahinkoon.
Arvioimme jatkuvasti turvallisuustoimenpiteiden menettelyä, ja muutosten sattuessa turvallisuus testataan ja arvioidaan sen varmistamiseksi, että turvallisuustaso pysyy riittävänä.
18.2 Yksityisyydensuunnittelu / oletus
Varmistamme, että henkilötietojen käsittelyyn käytettävät ratkaisut suunnitellaan siten, että ne vähentävät rekisteröidyn yksityisyyden suojaa.
Lisäksi varmistamme, että henkilötietojen käsittelyyn käytetyissä ratkaisuissa suojausasetukset ovat oletusarvoisesti käytössä, jotta henkilötietoja ei kerätä tai käsitellä enempää kuin käsittelyn kannalta on tarpeen ja että henkilötietoja ei säilytetä kauemmin kuin on tarpeen.
Varmistamme myös, että henkilötietoja ei aseteta muiden saataville, vaan että mukana on luonnollinen henkilö, mikä tarkoittaa, että henkilötietojen luovuttaminen muille ei välttämättä tapahdu automaattisesti, esimerkiksi prosessin seurauksena.
Vaatimukset, jotka takaavat riittävän turvallisuuden henkilötietojen käsittelyssä, selitetään “Henkilötietojen turvallisen käsittelyn ohjeessa”
Tarkoituksena on varmistaa että tietoturvaloukkauksia käsitellään oikein, raportoidaan valvontaviranomaisille ja että rekisteröidylle ilmoitetaan, jos rikoksella on merkittäviä seurauksia rekisteröidylle.
Tietosuoja-asetus artikla 33 ja 34. |
19.1 Ilmoitus tietotarkastukselle
Jos henkilötietojen turvallisuutta rikotaan, ilmoitamme siitä viipymättä ja viimeistään 72 tunnin kuluttua sen havaitsemisesta tietotarkastukselle. Jos on epätodennäköistä, että rikos aiheuttaisi vaaraa rekisteröidyn oikeuksille tai vapauksille, meillä ei ole velvollisuutta ilmoittaa siitä.
19.2 Ilmoitus rekisteröidylle
Jos rikokseen liittyy todennäköisesti suuri riski rekisteröidyn oikeuksille tai vapauksille, ilmoitamme myös rekisteröidyille rikoksesta ilman aiheetonta viivytystä ja ilmoitamme seuraukset heille.
Vaatimukset, joilla varmistetaan henkilötietojen tietoturvaloukkausten asianmukainen käsittely, selitetään luvussa “Tietoturvaloukkausten ohjeet”
Tarkoituksena on nimetä henkilö, jonka tehtävänä on laatia käytäntö ja ohjeet, tiedottaa niistä ja osallistua niiden toteuttamieen. |
Voimassa olevien sääntöjen mukaisesti Collectialla ei ole velvollisuutta nimittää tietosuojaneuvonantajaa. Mutta koska otamme vastuun henkilötietojen käsittelystä, olemme päättäneet nimittää PDK-ryhmän. PDK-tiimi on vastuussa siitä, että Collectia tuntee tietosuoja-alalla tuolloin voimassa olleet säännöt ja ylläpitää niitä. Lisäksi PDK-tiimillä on yleinen vastuu siitä, että tarvittavat toimintaperiaatteet ja ohjeet valmistellaan, niistä välitetään ja toteutetaan Collectiassa.
Työntekijöiden, jotka epäilevät tämän henkilötietokäytännön sisältöä tai ohjeita siitä, miten henkilötietoja tulisi käsitellä, miten rekisteröidyn oikeuksia tulisi noudattaa tai vastaavia, tulisi ottaa yhteyttä PDK-tiimiin aina. PDK-tiimi voi myös osallistua asiantuntijoina henkilötietoja sisältäviin projekteihin.
PDK: n yhteystiedot:
Sähköposti: gdpr@collectia.dk
Puhelinnumero: +45 77 30 14 00
21. Yhteys tietosuojavaltuutetulle
Tietosuoja-asetuksen VI luku.
Jos tietosuojavaltuutettu suorittaa tarkastuksia tai esittää pyynnön Collectialle, ylimmän johdon on varmistettava, että he saavat pyydetyt ja oikeat tiedot, mukaan lukien luettelot käsittelytoimista.
Lisäksi varmistamme, että pidämme asettamat määräajat valvonnan tai kyselyn yhteydessä aina kun mahdollista.
Jos haluat tehdä valituksen tietosuojasta heihin voi ottaa yhteyttä täällä; https://tietosuoja.fi/ilmoitus-tietosuojavaltuutetulle.