Tietosuojakäytäntö
Tämä on Tietosuojalain ja Euroopan Unionin yleisen tietosuoja-asetuksen (2016/679/EU) mukainen yhdistetty tietosuojaseloste ja informointiasiakirja.
Rekisterinpitäjä
Terra Patris Oy
Käyntiosoite Technopolis Asemakeskus Peltokatu 27
33100 Tampere
Tytäryhtiöt
Movax Oy
Tölkkimäentie 10, 13130 Hämeenlinna
Metalpower Oy
Ketolantie 9, 91800 Tyrnävä
TP Silva Oy
Valimotie 1 85800 Haapajärvi
Finnmaster Boats Oy
Lahdenperäntie 10, 67900 Kokkola
Yhteystiedot
CEO Turkka Hirvonen
Terra Patris Oy
050 312 0132
turkka.hirvonen(at)terrapatris.fi
Rekisterin nimi
Terra Patris Oy:n ja sen tytäryhtiöiden tietosuojaseloste ja ilmoituskanavan rekisteri (jäljempänä “ilmoituskanavarekisteri”, “rekisteri”).
Henkilötietojen käsittelyn oikeusperuste, eli miksi keräämme henkilötietoja?
Keruu perustuu Euroopan unionin 23.10.2019 hyväksyttyyn direktiiviin unionin oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta (EU 2019/1937).
Direktiivi velvoittaa yritykset tarjoamaan esimerkiksi työntekijöilleen luotettavan ilmoituskanavan, joka mahdollistaa ilmoitukset väärinkäytöksistä ja epäeettisestä toiminnasta. Henkilötietojen käsittely on välttämätöntä, jotta direktiivin asettamat velvoitteet voidaan täyttää.
Selostus henkilötietojen käsittelystä ja tarkoituksesta
Tietojen käsittely liittyy konsernin whistleblowing-ilmoituskanavan ylläpitoon. Käytämme ostettua ilmoituskanava-alustapalvelua. Terra Patris Oy on rekisterinpitäjä (jäljempänä “rekisterinpitäjä“) ja palvelun tuottaja (Keskuskauppakamari, jäljempänä “palvelun tuottaja”) on henkilötietojen käsittelijä.
Ilmoittava henkilö voi tehdä ilmoituksen anonyymisti ja niin, että ilmoitus ei sisällä häntä itseään koskevia henkilötietoja. Mikäli ilmoituksentekijä poikkeuksellisesti jättää esimerkiksi omat yhteystietonsa ilmoituslomakkeeseen, henkilötietojen käsittely perustuu rekisteröidyn suostumukseen.
Siltä osin kuin ilmoituskanavarekisteri sisältää tunnistettavia henkilötietoja, niiden käsittelyssä noudatetaan tietosuojalakia ja muita kulloinkin voimassa olevia lakeja, asetuksia, määräyksiä ja viranomaisohjeita, jotka koskevat henkilötiedon käsittelyä. Henkilötiedolla tarkoitetaan tietoa, joka on yhdistettävissä tiettyyn henkilöön.
Rekisterin tietosisältö
Miten henkilötiedot kerätään?
Ilmoittava henkilö antaa tietoja tehdessään ilmoitusta havaitsemastaan väärinkäytöksestä tai muusta epäeettisestä toiminnasta. Ilmoitus ei sisällä ilmoittavaa henkilöä koskevia henkilötietoja, ellei ilmoittaja niitä nimenomaisesti anna. Ilmoitusta koskevissa ohjeissa todetaan, että ilmoituksen tekeminen ei edellytä esimerkiksi ilmoittajan henkilötietojen antamista.
Ilmoitus voi sisältää kolmatta henkilöä koskevia henkilötietoja. Näin on asianlaita esimerkiksi silloin, jos ilmoitus sisältää kuvatiedoston kolmannesta henkilöstä.
Henkilötietoja ei kerätä muilla tavoin.
Miten henkilötietoja käsitellään?
Henkilötietoja käsitellään whistleblowing-ilmoitusten käsittelemiseksi. Ilmoitusten avulla rekisterinpitäjä ryhtyy lisäksi tarvittaviin toimenpiteisiin. Nämä velvoitteet seuraavat suoraan lainsäädännöstä.
Minne kerätyt henkilötiedot tallennetaan?
Ilmoitustiedot tallennetaan tietokantaan salattuina. Henkilötietojen käsittelijällä ei ole pääsy tallennettuihin tietoihin, vaan tiedot ovat vain rekisterinpitäjän nimettyjen ilmoitusten käsittelijöiden käytössä. Rekisterinpitäjä voi rajata pääsyn ilmoituksiin eri ilmoitustyyppien perusteella.
Henkilötietojen käsittelyn laajuus
Ilmoitusten jättäjistä ei kerätä henkilötietoja, mutta ilmoittajat saattavat itse sisällyttää osaksi ilmoitusta omia, toisen henkilön/henkilöiden tietoja osana kirjallista ilmoitusta tai liitetiedostojen metatietojen avulla.
Rekisterin suojauksen periaatteet
Sähköisesti käsiteltävät ilmoituskanavarekisterin sisältämät tiedot suojataan palomuureilla, salasanoilla, tarjoamalla kaksivaiheista tunnistautumista ilmoitusten käsittelijöille sekä muilla tietoturvan toimialalla yleisesti hyväksyttävillä teknisillä keinoilla. Tiedonsiirto salataan SSL (Secure Socket Layer) -teknologialla tai muulla yleisesti tietoturvalliseksi luokitellulla ratkaisulla. Luottamuksellisia aineistoja käsittelevässä sähköpostiviestinnässä käytetään turvapostiratkaisuja (mm. Deltagon SecGW).
Palveluun jätetyt ilmoitukset ja liitetiedostot salataan ilmoituksen jättöhetkellä. Salaus tehdään symmetrisellä ja asymmetrisellä vahvalla salausalgoritmilla (XSalsa20 ja Poly1305 algoritmien yhdistelmä). Salauksen purku ja ilmoitusten selkokielinen luku onnistuvat vain ja ainoastaan rekisterinpitäjän ennalta määriteltyjen valtuutettujen käsittelijöiden tunnuksilla. Palveluntuottaja ei purkaa salausta edes rekisterinpitäjän pyynnöstä.
Palveluntuottaja toteuttaa sisäisiä ja kolmannen osapuolen suorittamia arviointeja, jotka kattavat sekä kriittisten tietojärjestelmien teknisen turvallisuuden että hallinnollista tietoturvaa ja tietosuojaa koskevia prosesseja ja ohjeistuksia. Ilmoituskanavan teknisenä alustana käytetään GlobaLeaks- nimistä sovellusalustaa. Sovelluksen kehittäminen tapahtuu sekä aktiivisen käyttäjäyhteisön toimesta, että palveluntuottajan toimesta (alihankkijat Haltu Oy ja Silverskin Information Security Oy).
Tietojen säilytysaika
Laki velvoittaa rekisterinpitäjää säilyttämään ilmoitusta koskevat tiedot viisi vuotta. Rekisterinpitäjä säilyttää Terra Patris Oy:n keskitetyssä konesalissa suojatussa paikassa levyjärjestelmän osiossa, johon on pääsy vain ennalta määriteltyjen valtuutettujen käsittelijöiden tunnuksilla. Valtuutetut käsittelijät kopioivat ilmoitukset palvelun tuottajan osoittamalla tavalla kohdeosoitteeseen.
Tietojen siirto EU:n ulkopuolelle
Rekisterinpitäjä ei siirrä tietoja EU:n ulkopuolelle, kolmansiin maihin tai kansainvälisiin järjestöihin.
Rekisteröidyn oikeudet
Kun käsittelyperusteena on rekisterinpitäjän lakisääteisen velvoitteet, rekisteröidyllä on oikeus saada informaatiota henkilötietojen käsittelystä. Rekisteröidyllä on halutessaan oikeus saada oikeus saada tutustua häntä koskeviin tietoihin, oikeus oikaista tietoja, oikeus rajoittaa tietojen käsittelyä, vaatia henkilötietojen oikaisua. Rekisteröidyllä on velvollisuus ilmoittaa henkilötiedon käsittelyn rajoituksista. Rekisteröidyllä on oikeus olla joutumatta automaattisen päätöksenteon kohteeksi ilman lainmukaista perustetta.
Ilmoitusrekisterin ilmoitus on mahdollista tehdä anonyyminä, jolloin ilmoittaja hyväksyy, että halutessaan vedota oikeuksiinsa, tämän tulee toimittaa henkilökohtaiset tietonsa rekisterinpitäjän tietoon.
Rekisteröidyn tulee toimittaa pyyntönsä rekisterinpitäjälle kirjallisena.
GDPR ja sisältö sosiaalisessa mediassa
Kuvia ja videoita, joita käyttäjä on itse julkaissut sosiaalisen median kanavissa (Facebook, Instagram & Instagram stories, Twitter, Pinterest ym.), voidaan jakaa tai ns regrammata yrityksen sosiaalisen median tileillä ja verkkosivuilla jos:
a) Käyttäjä itse on käyttänyt yritykseen/tuotemerkkiin liittyviä tunnisteita (#, eli risuaita/hashtag), jossa selkeästi ilmenee tuotemerkin nimi, esim. Finnmaster-, Husky- ja Grandezza-venetuotemerkeillä nämä voisivat olla #finnmasterboats #huskyboats #grandezzaboats
b) Tuotemerkin sosiaalisen median tili on @-merkkiä hyödyntäen lisätty käyttäjän kuvaan/videoon, käyttäjän omasta tahdosta.
Muissa tapauksissa, jossa käyttäjän kuvassa/videossa/sisällössä ei ole yllä mainittuja tunnisteita käytetty, yrityksen sosiaalisen median kanavien ylläpitäjät voivat hyödyntää sisältöä vain, jos käyttäjältä on erikseen kysytty lupa.
Sosiaalisen media sisällöt voidaan julkaista sosiaalisen media kanavien (Facebook, Instagram, LinkedIn, Twitter yms.) lisäksi myös tuotemerkin omilla kotisivuilla. Kaikissa jaetuissa kuvissa/videoissa käytetään aina @-viittausta sisällön alkuperäiseen julkaisijaan. Käyttäjän itse tulee huolehtia siitä, että julkaisemassaan sisällössä esiintyvät henkilöt ovat antaneet suostumuksensa kuvan julkaisuun sosiaalisessa mediassa. Kuvan/sisällön alkuperäisellä julkaisijalla on milloin tahansa oikeus pyytää yritystä poistamaan hänen sosiaalisen median tililtä jaetun sisällön.
Sosiaalisessa mediassa jaettujen sisältöjen käyttäjätietoja ei hyödynnetä suoranaisesti markkinointiin ja mainostamiseen, eikä henkilötietoja säilytetä muualla kuin ylläpitäjän julkaisutyökalussa. Jaettu sisältö voidaan pitää julkaistuna sosiaalisen median kanavissa ja kotisivuilla niin kauan kuin käyttäjän asiakassuhde jatkuu, tai kunnes käyttäjä itse pyytää yritystä poistamaan jaetun sisällön.
Yrityksen itse julkaisemissa kuvissa/videoissa/sisällöissä esiintyviltä henkilöiltä on joko kirjallisesti tai suullisesti saatu hyväksyntä ennen sisällön julkaisua. Kuviin/videoihin ei koskaan merkata toista käyttäjää/henkilöä ellei siihen ole saatu kuvauskohteelta lupa. Taustalla toissijaisesti esiintyvät henkilöt/omaisuudet, josta henkilön voi tunnistaa, pyritään kaikin tavoin minimoimaan mm. kuvaeditoinnin avulla.
Tietoa evästeistä
Sivustomme käyttää evästeitä. Käytämme evästeitä verkkopalvelumme toteuttamiseksi ja kehittämiseksi, parhaan mahdollisen käyttäjäkokemuksen luomiseksi ja mainonnan kodentamiseksi. Kunnioitamme yksityisyyttäsi, joten voit halutessasi estää muiden paitsi sivuston toiminnan kannalta välttämättömien evästeiden käytön. Alta voit tutustua eri evästekategorioihin ja niiden oletusasetuksiin sekä muuttaa niitä. Joidenkin evästetyyppien estäminen saattaa vaikuttaa sivuston käyttökokemukseen negatiivisesti ja rajoittaa tarjoamiemme palvelujen käyttöä.