Skip to Content
Go back
BAS-IP / MUISTIO HENKILÖTIETOJEN KÄSITTELYN VAATIMUSTENMUKAISUUDESTA

Olemme sitoutuneet vahvoihin ja innovatiivisiin tietosuojakäytäntöihin, jotta jokainen asiakas voi luottaa siihen, että heidän henkilötietojaan käsitellään turvallisesti ja luotettavasti.

BAS-IP DISTRIBUTION LTD (Yhtiö tai BAS-IP) on laatinut tämän muistion asiakkaillemme koskien sovellettavan tietosuojalainsäädännön noudattamista, mukaan lukien Yhdistyneen kuningaskunnan yleinen tietosuoja-asetus (UK GDPR) ja EU:n yleinen tietosuoja-asetus (GDPR). Alla tutustut toimintaamme liittyen henkilötietojen suojelun vaatimusten noudattamiseen.

MÄÄRITELMÄT

  • ”UK GDPR” tarkoittaa Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta (UK General Data Protection Regulation), sellaisena kuin se on sisällytetty Yhdistyneen kuningaskunnan lainsäädäntöön vuoden 2018 tietosuojalain (Data Protection Act 2018) nojalla, yhdessä muun soveltuvan Yhdistyneen kuningaskunnan tietosuoja- ja yksityisyydensuojalainsäädännön kanssa.
  • ”GDPR” tarkoittaa yleistä tietosuoja-asetusta (asetus (EU) 2016/679) ja kaikkea siihen liittyvää tietosuoja- ja yksityisyydensuojalainsäädäntöä, joka on sovellettavissa Euroopan unionissa ja Euroopan talousalueella.
  • Henkilötiedot (Personal data) tarkoittavat kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja.
  • Rekisteröity (Data subject) tarkoittaa tunnistettavissa olevaa luonnollista henkilöä, joka voidaan tunnistaa suoraan tai epäsuorasti.
  • Rekisterinpitäjä (Controller) tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.
  • Henkilötietojen käsittelijä (Processor) tarkoittaa luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka käsittelee henkilötietoja rekisterinpitäjän puolesta.
  • Alikäsittelijä (Subprocessor) tarkoittaa luonnollista henkilöä tai oikeushenkilöä, jonka käsittelijä on ottanut käyttöön ja joka suorittaa henkilötietojen käsittelyä rekisterinpitäjän puolesta.
  • Käsittely (Processing) tarkoittaa mitä tahansa henkilötiedoille tai henkilötietojen joukoille suoritettua toimenpidettä tai toimenpidekokonaisuutta riippumatta siitä, suoritetaanko se automaattisin keinoin vai ei, kuten keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, mukauttamista tai muuttamista, hakuja, kyselyjä, käyttöä, luovuttamista siirtämällä, levittämällä tai asettamalla muulla tavoin saataville, yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

TIETOA BAS-IP:STÄ

BAS-IP kehittää ja valmistaa IP-ovipuhelimia, kulunvalvontajärjestelmiä ja viestintäjärjestelmiä ja on alan johtava toimija. Löydät lisätietoja toiminnastamme verkkosivuilta: https://bas-ip.com/.

Toimintansa aikana Yhtiö voi kerätä, saada pääsyn tai muuten käsitellä henkilötietoja, jotka liittyvät eri rekisteröityjen luokkiin: asiakkaisiin ja käyttäjiin, työntekijöihin, urakoitsijoihin ja muihin rekisteröityihin. Tällaisen käsittelyn aikana Yhtiö on sitoutunut toteuttamaan kaikki tarvittavat toimenpiteet ja noudattamaan asianmukaisia henkilötietojen suojelua koskevia käytäntöjä, menettelytapoja ja muuta dokumentaatiota käsitelläkseen henkilötietoja soveltuvan lainsäädännön ja parhaiden käytäntöjen mukaisesti.

Roolit henkilötietojen käsittelyssä

BAS-IP:llä voi olla erilaisia rooleja UK GDPR:n ja GDPR:n mukaisesti:

  • Rekisterinpitäjänä Yhtiö määrittää henkilötietojen käsittelyn tarkoitukset ja keinot esimerkiksi kommunikoidessaan asiakkaiden ja verkkosivuston kävijöiden kanssa, markkinointitoiminnassa, johon liittyy henkilötietojen käsittelyä jne.
  • Käsittelijänä Yhtiö voi käsitellä henkilötietoja asiakkaamme ohjeiden mukaisesti, joka toimii rekisterinpitäjänä, tai kyseisen rekisterinpitäjän puolesta.
  • Käsitellessämme henkilötietoja käsittelijänä, voimme ottaa käyttöön kolmannen osapuolen palveluntarjoajia, jotka toimivat alikäsittelijöinä.
Käsitellessään henkilötietoja tarjotessaan palveluja asiakkailleen, Yhtiö toimii käsittelijänä ja noudattaa UK GDPR:n ja GDPR:n soveltuvia vaatimuksia, samoin kuin Yhtiön ja asiakkaan välisiä asiaankuuluvia sopimusvelvoitteita.

BAS-IP JA TIETOSUOJA

BAS-IP on sitoutunut noudattamaan korkeimpia tietosuojastandardeja ja sovellettavaa henkilötietojen suojelua koskevaa lainsäädäntöä.

Kaikki toiminnot, joihin liittyy henkilötietojen käsittelyä, suoritetaan henkilötietojen käsittelyn sääntelyä koskevan sisäisen dokumentaation mukaisesti.

Yhtiö soveltaa seuraavia henkilötietojen suojaamistoimenpiteitä:

Henkilötietojen suojelua koskevan dokumentaation säännöllinen tarkistus ja tarvittavien muutosten tekeminen dokumentaatioon ja toimintaan

Sisäisen henkilötietojen suojelua koskevan dokumentaation säännöllinen tarkistaminen ja päivittäminen on olennainen osa Yhtiön strategiaa varmistaa UK GDPR:n, GDPR:n ja muiden tietosuojalainsäädännön säädösten vaatimusten noudattaminen.

Asiaankuuluvat sisäiset asiakirjat ja hyväksytyt käytännöt ja menettelyt, erityisesti koskien rekisteröityjen pyyntöjä, henkilötietojen tietoturvaloukkauksista ilmoittamista, kolmansien osapuolten vaatimustenmukaisuuden arviointeja, jotka ovat mukana henkilötietojen käsittelyssä jne., päivitetään tai muutetaan säännöllisesti tarpeen mukaan, erityisesti lainsäädännön muutosten tai uusien henkilötietojen käsittelytoimintojen käyttöönoton yhteydessä.

Lisäksi henkilötietojen käsittelytoiminnot kirjataan, mikä sisältää henkilötietojen käsittelyrekisterin (RoPA) ylläpitämisen, ja tarvittaessa suoritetaan tietosuojaa koskeva vaikutustenarviointi (DPIA) ja oikeutetun edun arviointi (LIA).

Pitämällä henkilötietojen suojelua koskevan dokumentaationsa ajan tasalla, Yhtiö varmistaa korkeatasoisen henkilötietojen suojan ja jatkuvan lainsäädännön noudattamisen.

Rekisteröityjen oikeuksien suojaamista koskevien vaatimusten noudattaminen

Yhtiön tietosuojakäytäntö, joka on julkisesti saatavilla sen verkkosivuilla, tarjoaa asiakkaille ja muille rekisteröidyille tietoa tarkoituksista, joita varten henkilötietoja voidaan käsitellä, miten ja mitä nimenomaisia henkilötietoja voidaan käsitellä, sekä tietoa heidän oikeuksistaan sovellettavan henkilötietojen suojalainsäädännön mukaisesti, mukaan lukien kuinka näitä oikeuksia käytetään.

Lisäksi Yhtiö on hyväksynyt pyyntöjen ja valitusten menettelytavan, joka sisältää menettelytavan rekisteröityjen pyyntöihin ja heidän oikeuksiinsa vastaamiseksi UK GDPR:n ja GDPR:n mukaisesti.

Yhtiö on sitoutunut antamaan kaiken tarvittavan tuen asiakkaalle vastatessaan rekisteröityjen pyyntöihin, joiden tietoja Yhtiö käsittelee käsittelijänä, UK GDPR:n, GDPR:n säännösten ja Yhtiön ja asiakkaan välisten sopimusvelvoitteiden mukaisesti.

Teknisen ja organisatorisen turvallisuuden parhaiden standardien ja käytäntöjen noudattaminen

Yhtiö on toteuttanut tekniset ja organisatoriset toimenpiteet henkilötietojen turvallisuuden varmistamiseksi. Yhtiön sisäinen dokumentaatio määrittelee selkeästi henkilötietojen käsittelyssä käytetyt tekniset ja organisatoriset toimenpiteet:

  • kehitetty ja hyväksytty tietoturvallisuutta ohjaava dokumentaatio, ja lisäksi seurataan jatkuvasti tietoturvallisuuden tapahtumia ja varmistetaan oikea-aikainen reagointi poikkeamiin;
  • on otettu käyttöön suojatoimia rajoittaa pääsyä henkilötietoihin, kuten henkilötietojen pääsyn valvonta, erityisesti käyttämällä henkilökohtaisia tilejä, tilien salasanojen pituutta ja monimutkaisuutta koskevien vaatimusten valvonta ja verkkoyhteyden suojaaminen verkkohyökkäysten riskin vähentämiseksi; fyysisten palvelinkeskusten, joissa tietoja säilytetään, vaatimustenmukaisuuden tarkistaminen turvallisuusvaatimusten kanssa; monivaiheinen todennus ja käyttäjän todennus valtuutuksen aikana, samoin kuin tietojen käyttöoikeuksien konfigurointi ja soveltaminen, olemassa olevien käyttöoikeuksien säännöllinen tarkistus jne.;
  • käyttää salaustekniikoita henkilötietojen tallentamisessa ja käsittelyssä pilviteknologioiden avulla ja asettaa vaatimukset vain ajantasaisten ja vankkojen kryptografisten protokollien, algoritmien, salauspakettien, salaustekniikoiden ja avaintenhallintatapojen käytölle;
  • tarkistaa säännöllisesti henkilötietojen varmuuskopiot sen määrittämiseksi, onko niiden säilytys operatiivisten vaatimusten ja oikeudellisten velvoitteiden mukainen;
  • toteuttaa muita organisatorisia turvatoimenpiteitä, mukaan lukien roolien ja vastuiden erottamisen politiikan täytäntöönpano, asiaankuuluvien käytäntöjen ja menettelytapojen säännöllinen päivittäminen, velvollisuuksien suorittamisen seuranta ja halukkuuden osoittaminen yhteistyöhön asiaankuuluvien valtion viranomaisten kanssa. Yhtiön toteuttamat henkilöstöturvatoimet sisältävät joissakin tapauksissa työntekijöiden taustatarkistukset, työntekijöiden tietoisuuden lisäämisen tietoturva-asioista ja tällaisen tietoisuuden seurannan, samoin kuin koulutus- ja ammatillisten kehitysohjelmien järjestämisen;
  • seuraa jatkuvasti lainsäädännön muutoksia ja toteuttaa parhaita käytäntöjä henkilötietojen suojelun alalla kyberturvallisuusstandardien, ohjeiden, henkilötietojen suojelun valvontaviranomaisten ja Information Commissioner’s Office (ICO) suositusten mukaisesti.

Yhtiö noudattaa kaikkia käytäntöjä ja menettelytapoja henkilötietojen suojan turvaamiseksi, tarkistaa säännöllisesti niiden relevanssin ja varmistaa oikea-aikaisen tarkistuksen.

Säännöllinen kolmannen osapuolen tarkistus

Kaikki henkilötietojen käsittelyyn osallistuvat kolmannet osapuolet tarkistetaan käyttämällä sisäisesti säänneltyä kolmannen osapuolen vaatimustenmukaisuuden arviointimenettelyä. Tällaisissa tarkistuksissa arvioidaan erityisesti henkilötietojen käsittelyyn liittyvän asiaankuuluvan dokumentaation saatavuutta, samoin kuin teknisten ja organisatoristen turvatoimenpiteiden saatavuutta ja tehokkuutta, jotka on otettu käyttöön henkilötietojen suojaamiseksi luvattomalta pääsyltä, katoamiselta tai eheysrikkomuksilta.

Henkilötietojen turvalliset siirrot

Palveluja tarjotessaan Yhtiö voi siirtää henkilötietoja Yhdistyneen kuningaskunnan ulkopuolelle, esimerkiksi Yhdysvaltoihin ja Ukrainaan.

Henkilötietojen siirron turvallisuuden ja oikeudellisten vaatimusten noudattamisen varmistamiseksi suoritetaan ennakkoon arviointi. Lisäksi suoritetaan säännöllisesti sisäistä seurantaa sen varmistamiseksi, että Yhdysvaltojen, Ukrainan ja tarvittaessa muiden maiden, joihin henkilötietoja siirretään, oikeudelliset vaatimukset ja käytännöt ovat UK:n ja EU:n henkilötietojen suojastandardien ja käytäntöjen mukaisia. Lisäksi tarkistetaan perusteellisesti tietojen tuojien toteuttamat turvatoimet, erityisesti allekirjoittamalla asiaankuuluva henkilötietojen suojelua säätelevä dokumentaatio.

Kun Yhtiö siirtää henkilötietoja, joihin sovelletaan UK GDPR:ää ja/tai GDPR:ää, se solmii tietojenkäsittelysopimuksen (DPA) urakoitsijoidensa kanssa. Tällaiset sopimukset sisältävät asianmukaiset siirtomekanismit, mukaan lukien EU:n vakiosopimuslausekkeet (SCC:t) yhdessä UK-lisäyksen (UK Addendum) tai kansainvälisen tiedonsiirtosopimuksen (IDTA) kanssa.

Säännölliset koulutukset

Yhtiö järjestää säännöllisesti koulutusta työntekijöilleen ja urakoitsijoilleen UK GDPR:n ja GDPR:n vaatimusten sekä henkilötietojen suojelun noudattamisesta. Koulutuksen aiheet sisältävät muun muassa UK GDPR:n, GDPR:n ja muiden sovellettavien henkilötietojen suojalakien yleiset vaatimukset, roolit käsittelyssä, henkilötietojen käsittelyn periaatteet, käsittelyn perusteet, rekisteröityjen oikeuksien varmistamisen ja henkilötietojen suojeluun liittyvät kysymykset.

Lisäksi Yhtiö on hyväksynyt tarvittavan dokumentaation ja toteuttanut asianmukaiset toimenpiteet työntekijöiden koulutuksen ja tietoisuuden varmistamiseksi tietosuojan alalla.

YHTEYSTIEDOT

Jos sinulla on lisäkysymyksiä BAS-IP:n henkilötietojen suojelusta, ota meihin yhteyttä sähköpostitse: [email protected].

Ystävällisin terveisin,

BAS-IP DISTRIBUTION LTD