Ilmoituskanavarekisteri

Tietosuojaseloste

Viimeksi päivitetty
02.11.2023

Rekisterinpitäjä

Luxid Group Ltd (2496380-5)
Läntinen Rantakatu 3
20100 Turku

Yhteyshenkilö rekisteriä koskevissa asioissa

Eija Väliranta Luxid Group Ltd Läntinen rantakatu 3, 20100 Turku Finland eija.valiranta@luxidgroup.com +358-40-350 9449

Käsittelyn oikeusperuste

Lakisääteinen velvoite

Henkilötietojen käsittelyn tarkoitus

Oikeusperusteena on ilmoituksen sisällön perusteella joko: - lakisääteinen velvoite (direktiivin alainen ilmoitettu tieto) tai - oikeutettu etu (direktiivin ulkopuolinen ilmoitettu tieto). Tietojen käsittely perustuu ilmoittajansuojalakiin sekä ns. ”whistleblowdirektiiviin” ja niitä käsitellään väärinkäytösten, rikosten ja vastaavien ehkäisemiseksi sekä tutkimiseksi.

Oikeutetun edun peruste

Oikeutetun edun perusteena on rekisterinpitäjän ja rekisteröidyn merkityksellinen suhde: ilmoittaja on joko omaa henkilöstöä tai muuten WB-direktiivin mukainen sidosryhmäläinen suhteessa rekisterinpitäjään.

Kyseessä olevat henkilötietoryhmät

Ilmoitettavan nimi sekä muuta ilmoitettavan toimintaan liittyvää tietoa sekä ilmoittajan nimi, mikäli ilmoitusta ei ole tehty nimettömänä. Käsittelyyn voi liittyä korkea riski annettavasta tiedosta johtuen. Riskejä on arvioitu tarkemmin alla näkyvässä ilmoituskanavarekisterin vaikutusten arvioinnissa. Rekisteröityjen oikeuksiin ja vapauksiin kohdistuvien mahdollisten riskien arvioinnissa on käytetty seuraavaa riskienhallintamäärittelykarttaa: Todennäköisyys T: 1–4 1 = epätodennäköinen, 2 = mahdollinen, 3 = todennäköinen, 4 = lähes varma Vakavuus/suuruus V: 1–4 1 = vähäinen, 2 = kohtalainen, 3 = merkittävä, 4 = kriittinen Riskiluku kuvaa kokonaisriskiä 1. Henkilötietojen tietoturvaloukkaukset Riskiluku - järjestelmän tietovuoto T2 V4 8 - tietomurto ilmoituskanavan palvelimelle T1 V4 4 - tietomurto www-palvelimelle T1 V3 3 - tietomurto päätelaitteelle T2 V4 8 - tietomurto asian käsittelyprosesseissa T2 V4 8 - tietomurto www-selaimelle T1 V3 3 - tutkivalle ulkoistuskumppanille tehty murto T2 V4 8 2. Rekisterinpitäjän tai käsittelijän virheratkaisut - tietosuojaperiaatteita ei noudateta T2 V3 6 - ilmoittajansuojan vaaraantuminen T2 V4 8 - tutkinta-aineiston katoaminen T2 V4 8 3. Ilmoituksen käsittelyyn liittyvät riskit - ilmoittajansuojan vaaraantuminen T2 V4 8 - ilmoituksen kohteeseen kohdistuvat vastatoimet T1 V4 4 - tahallinen tietovuoto T1 V4 4 - tahaton tietovuoto T1 V3 3 - tahaton tietojen poistaminen T1 V3 3 - ilmoittajan itsensä tekemä paljastus T2 V4 8 4. Muut kuin inhimilliset riskit - sähkökatko T1 V2 2 - tulipalo palvelinsalissa T1 V3 3 - luonnonkatastrofit T1 V1 1 5. Datasiirrot, yhteistyökumppaniriskit - yhteistyökumppani vaihtuu T2 V1 2 - virtuaalialustan laiteongelma T2 V3 6 - varmuuskopioinnin epäonnistuminen T1 V2 2 - sovellusongelmat T1 V2 2 - tietoliikennekatkos palvelinsali T1 V2 2 6. Henkilötietoihin kohdistuvat rikokset - identiteettivarkaus T1 V4 4 - salassapitorikos T2 V4 8 7. Henkilötietojen käyttöön liittyvät riskit - oikeudeton käsittely ilman rekisterinpitäjän lupaa T2 V4 8 - sähköisten palvelujen oikeudeton käyttö laittomasti saatujen käyttäjätunnusten ja salasanojen avulla T2 V4 8 - ilmoitettujen tietojen väärinkäyttö T2 V3 6

Vastaanottajat ja vastaanottajaryhmät

Rekisterinpitäjän oma henkilöstö sekä syvempää tutkintaa vaadittaessa siihen dedikoitu ulkoistuskumppani, jonka GDPR-valmiudet on tarkastettu ja jonka kanssa on tehty artikla 28 -mukaiset muut toimenpiteet. Tietoja voidaan myös luovuttaa poliisille tai muulle viranomaiselle tilanteessa, joissa on tapahtunut tai epäillään tapahtuneen rikos.

Rekisterin tietosisältö

Rekisteri sisältää mahdollisesti seuraavia tietoja: - Ilmoittajan nimi - Ilmoituksen kohteen nimi - Ilmoituksen aiheena olevaa ilmoittajan antamaa muuta tietoa. Henkilötietoja, joilla selvästi ei ole merkitystä tietyn ilmoituksen käsittelyn kannalta, ei kerätä, tai jos niitä kerätään vahingossa, ne poistetaan ilman aiheetonta viivytystä.

Säännönmukaiset tietolähteet

Rekisteröidyltä itseltään, eli ilmoittajalta.

Henkilötietojen säilyttämisaika

Henkilörekisterin tietoja säilytetään niin kauan, kuin se on rekisterinpitäjän mahdollisen syyttömyystodistuksen kannalta välttämätöntä ja ne poistetaan lain mukaisen säilytysajan maksimin jälkeen tietoturvallisesti.

Tietojen säännönmukaiset luovutukset

Rekisterin tietoja ei pääsääntöisesti luovuteta kolmansille osapuolille muuta kuin syvemmissä tutkintatilanteissa valikoiduille, GDPR-kelpoisille toimijoille, joiden kanssa on toteutettu artikla 28:n mukaiset toimenpiteet.

Tietojen siirto EU:n tai ETA:n ulkopuolelle

Henkilötietoja ei siirretä Euroopan Unionin ulkopuolelle. Jos ilmoitus kuitenkin koskee esimerkiksi yhdysvaltalaista kollegaa ja asiaa tutkitaan Yhdysvalloissa, saadut tiedot siirretään Yhdysvaltoihin. Löydät kansainvälistä tiedonsiirtoa koskevat tiedot Luxidin tietosuojakäytännön luvusta 4: "International transfers of your personal data”. Ylläpidämme toimistoja ja toimitiloja Suomessa, Isossa-Britanniassa ja Yhdysvalloissa. Euroopan komissio on antanut riittävyyspäätöksen kunkin maan tietosuojan tasosta. Kaikki tiedonsiirrot näihin maihin turvataan soveltuvin toimenpitein, erityisesti käyttämällä Euroopan komission hyväksymiä vakiolausekkeita. Näiden lausekkeiden yksityiskohtainen kuvaus on saatavilla osoitteessa https://edps.europa.eu/data-protection/data-protection/reference-library/international-transfers_en.

Rekisterin suojauksen periaatteet A: Manuaalinen aineisto

Ilmoituskanavarekisteriin liittyvä aineisto on pääasiassa vain sähköisessä muodossa ja tietoja käsitellään vain sähköisesti. Manuaalista aineistoa voi kuitenkin syntyä esimerkiksi suullisten tapaamisten yhteydessä kirjoitetuista muistioista tai vastaavista. Pääsy rekisterin tietoihin on vain niillä ja siinä laajuudessa kuin asian käsittely, valvominen tai muu ilmoitukseen liittyvän asian hoito edellyttää. Rekisterin tietojen suojaamisessa ja käsittelyssä noudatetaan tietosuojalain säännöksiä ja periaatteita, viranomaisten määräyksiä sekä hyvää tietojenkäsittelytapaa.

Rekisterin suojauksen periaatteet B: Sähköinen aineisto

Pääsy rekisterin tietoihin on vain niillä ja siinä laajuudessa kuin kuin asian käsittely, valvominen tai muu ilmoitukseen liittyvän asian hoito edellyttää. Rekisteriä säilytetään suojatulla palvelimella, joka sijaitsee Suomessa. Rekisterin tietojen suojaamisessa ja käsittelyssä noudatetaan tietosuojalain säännöksiä ja periaatteita, viranomaisten määräyksiä sekä hyvää tietojenkäsittelytapaa. Rekisterin luonteen vuoksi ilmoituksia käsittelevien henkilöiden kanssa on käyty salassapitovaatimukset ja niiden osaaminen läpi.

Automaattinen käsittely ja profilointi

Automattista päätöksentekoa tai muutakaan arviointia henkilöistä ei ilmoituskanavatoiminnalla suoriteta, eikä rekisteröidylle aiheudu käsittelystä haittaa tai seurauksia.

Tarkastusoikeus, eli oikeus saada pääsy henkilötietoihin.

Ilmoituksen kohteena olevalla rekisteröidyllä ei ole tarkastusoikeutta tietoihin, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä. Jos ilmoittamiseen käytetään puhelinlinjaa tai muuta ääniviestijärjestelmää, joka ei nauhoita keskustelua, on rekisterinpitäjällä oikeus dokumentoida suullinen ilmoitus ilmoituksen käsittelystä vastaavan henkilöstön jäsenen keskustelusta kirjoittaman tarkan pöytäkirjan muodossa. Ilmoittavalla henkilöllä on tällöin mahdollisuus tarkistaa, korjata ja hyväksyä allekirjoituksellaan keskustelusta laadittu pöytäkirja.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyillä ei ole oikeutta siirtää tietoja, jos tietojen antaminen voisi haitata epäiltyjen rikkomisten selvittämistä, käsittelyn oikeusperusteena on oikeutettu etu tai se saattaisi vaarantaa ilmoittajansuojan.

Oikeus vaatia tiedon korjaamista

Ilmoittajalla on mahdollisuus tarkistaa, korjata ja hyväksyä allekirjoituksellaan esimerkiksi keskustelusta laadittu selostus. Korjauspyyntö voidaan myös evätä. Korjauspyynnön epäämisestä rekisterin vastuuhenkilö antaa kirjallisen todistuksen, jossa mainitaan syyt, joiden vuoksi korjauspyyntö on evätty. Asianomainen voi saattaa epäämisen tietosuojavaltuutetun ratkaistavaksi.

Rajoittamisoikeus

Rekisteröidyllä on oikeus pyytää tietojenkäsittelyn rajoittamista esim. jos rekisterissä olevat henkilötiedot ovat virheelliset, kunhan se ei haittaa epäiltyjen rikkomusten selvittämistä tai vaaranna ilmoittajansuojaa. Tällöin käsittelyä rajoitetaan, kunnes rekisterinpitäjä on varmistanut tietojen paikkansapitävyyden.

Vastustamisoikeus

Rekisteröidyillä ei ole oikeutta vastustaa käsittelyä, jos se voisi haitata epäiltyjen rikkomisten selvittämistä tai se mahdollisesti vaarantaisi ilmoittajansuojan.

Oikeus tehdä valitus valvontaviranomaiselle

Mikäli rekisteröity katsoo, että häntä koskevassa henkilötietojen käsittelyssä on rikottu tietosuoja-asetusta, niin rekisteröidyllä on oikeus tehdä kantelu valvontaviranomaiselle. Kantelun voi tehdä myös siinä jäsenvaltiossa, jossa rekisteröidyllä on vakinainen asuinpaikka tai työpaikka. Kansallisen valvontaviranomaisen yhteystiedot ovat: Tietosuojavaltuutetun toimisto Käyntiosoite: Lintulahdenkuja 4, 00530 Helsinki Postiosoite: PL 800, 00531 Helsinki Puhelinvaihde: 029 566 6700 Kirjaamo: 029 566 6768 tietosuoja@om.fi www.tietosuoja.fi

Muut henkilötietojen käsittelyyn liittyvät oikeudet

Rekisteröidyllä on oikeus kieltää tietojensa luovuttaminen ja käsittely suoramainontaa ja muuta markkinointia varten, vaatia tietojen anonymisointia soveltuvin osin sekä oikeus tulla kokonaan unohdetuksi työsuhteen päätyttyä, ellei tämä voisi haitata epäiltyjen rikkomisten selvittämistä tai mahdollisesti vaarantaa ilmoittajansuojan.