Henkilötietojen suojaaminen

Krka Finland Oy (jäljempänä ”Krka”) edistää perusoikeuksien kunnioittamista ja kiinnittää erityistä huomiota henkilötietojen suojaamiseen ja käsittelyyn.

Krkan sitoumus

Krka on sitoutunut käsittelemään työntekijöidensä, osakkeenomistajiensa, sopimuskumppaneidensa, verkkosivustonsa käyttäjien ja muiden asianosaisten henkilötietoja turvallisesti ja luottamuksellisesti. Lisäksi Krka varmistaa, että henkilötietoja käsitellään lainmukaisesti, asianmukaisesti ja läpinäkyvästi sekä kunnioittamalla rekisteröityjen oikeuksia.

Henkilötietojen suojaamiskäytännöt

Sitoumuksensa täyttämiseksi Krka on ottanut käyttöön uudet Henkilötietojen suojaamista koskevat säännöt, jotka noudattavat yleistä tietosuoja-asetusta (Euroopan parlamentin ja neuvoston asetus (EU) 2016/679). Nämä uudet säännöt sekä useat muut yhtiön sisäiset säännöt ja toimenpiteet edustavat Krka-konsernin käytäntöjä, joilla varmistetaan, että henkilötietoja kerätään ja käsitellään tiettyjä tarkoituksia varten, noudatetaan tietojen minimoinnin periaatetta ja varmistetaan, että henkilötietoja säilytetään vain niin kauan kuin on välttämätöntä sen tarkoituksen saavuttamiseksi, jota varten ne on kerätty.

Laajuus

Käytäntömme koskevat kaikkia henkilöitä, jotka toimittavat henkilökohtaisia tietojaan meille: Krkan työntekijöitä, työnhakijoita, osakkeenomistajia, asiakkaita, toimittajia jne.

Keitä nämä käytännöt sitovat

Nämä käytännöt sitovat kaikkia henkilöitä ja yksiköitä, joiden kanssa Krka tekee yhteistyötä tai jotka toimivat Krkan nimissä ja tarvitsevat satunnaisesti pääsyä henkilötietoihin. Kaikkien Krkan työntekijöiden ja tytäryhtiöiden on noudatettava niitä, ja ne sitovat myös alihankkijoita, neuvonantajia ja muita henkilötietojen ulkopuolisia käsittelijöitä.

Käytäntöjen sisältö

Meidän on kerättävä ja käsiteltävä henkilötietoja, jotta voimme suorittaa prosessejamme. Henkilötiedot sisältävät tietoja, joiden avulla voidaan tunnistaa rekisteröityjä, kuten nimet, osoitteet, käyttäjänimet ja salasanat, digitaaliset jalanjäljet, valokuvat, henkilötunnukset, taloudelliset tiedot jne.

Krka kerää kyseisiä tietoja läpinäkyvällä tavalla ja ainoastaan asianosaisten täyden yhteistyön ja tietoisuuden perusteella. Kun kyseisiä tietoja on saatu, niihin sovelletaan seuraavia sääntöjä:

Krkan keräämien henkilötietojen on oltava seuraavanlaisia:

• ne ovat asianmukaisesti ja vain laillisiin tarkoituksiin kerättyjä
• ne ovat paikkansapitäviä ja ajanmukaisia
• niitä käsitellään lainmukaisilla ja eettisillä tavoilla
• niitä suojataan sisäisten tai ulkoisten tahojen luvatonta tai laitonta pääsyä vastaan.

Krkan keräämiä henkilötietoja ei saa

• siirtää Krkan ulkopuolelle ilman laillista perustetta
• säilyttää määriteltyä pidempiä aikoja
• siirtää organisaatioihin tai maihin, joilla ei ole käytössä asianmukaisia sääntöjä tietosuojasta
• siirtää muille kuin rekisteröidyn hyväksymille osapuolille (lukuun ottamatta lainvalvontaviranomaisten esittämiä lainmukaisia vaatimuksia).

Tietojen asianmukaisen käsittelyn lisäksi Krkalla on suora velvollisuus rekisteröityjä kohtaan. Yleisen tietosuoja-asetuksen ja muun henkilötietojen suojaamista koskevan, sovellettavan lainsäädännön mukaisesti Krkan on varmistuttava muun muassa seuraavista asioista:

• seikat, jotka kuuluu antaa omista henkilötiedoistaan kiinnostuneiden yksityishenkilöiden tiedoksi, eli keräämiemme henkilötietojen ryhmät, heidän henkilötietojensa keräämisen tarkoitus, heidän henkilötietojensa säilytysaika, siirrämmekö heidän henkilötietojaan muille osapuolille jne.
• virheellisten henkilötietojen oikaiseminen
• kaikkien henkilötietojen poistaminen, jos poistamisen edellytykset täyttyvät, kuten rekisteröidyn suostumuksen peruuttaminen
• kadonneita, vahingoittuneita tai vaarantuneita tietoja koskevat menettelytavat.

Toimenpiteet

Lupaamme ryhtyä seuraaviin henkilötietojen suojaamista koskeviin toimenpiteisiin:

• henkilötietojen erityisryhmiin pääsyn rajoitus ja valvonta
• tietojen keräämistä koskevien läpinäkyvien menettelytapojen kehitys ja toteutus
• työntekijöiden kouluttaminen henkilökohtaisten ja teknisten varotoimenpiteiden toteuttamiseksi
• tietoturvallisen verkon perustaminen henkilötietojen suojaamiseksi tietoverkkohyökkäyksiltä
• selkeiden menettelytapojen laatiminen yksityisyydenloukkausten tai tietoihin perustuvien petosten ilmoittamiseksi
• tietojen käsittelyämme koskevien sopimusmääräysten tai selkeiden ohjeiden sisällyttäminen
• parhaiden käytäntöjen laatiminen tietojen suojaamista varten (”clean desk policy” ja ”clear screen policy”, asiakirjojen silppuaminen, turvalliset lukitukset, tietojen salaaminen kryptaamalla, varmistuskopioiden säännöllinen ottaminen, kulku- ja pääsyluvat jne.).

Krkalla on ISO 27001 -sertifikaatti, mikä tarkoittaa, että yhtiö noudattaa tehokkaita tietosuojakäytäntöjä standardin ISO 27001 Tietoturvallisuuden hallintajärjestelmä mukaisesti.

Krkan tietosuojaa koskevat säännökset on määritelty seuraavissa asiakirjoissa:

• Verkkosivustossamme olevien henkilötietojen suojaamista koskevat erityiskäytännöt
• Henkilötietojen suojaamista koskeva sääntökirja, jossa kuvataan yksityiskohtaisesti henkilötietojen suojajärjestelmä
• Henkilötietojen suojaamisen yleisten menettelyiden liite, joka sisältää lyhyen kuvauksen henkilötietojen suojaamisen teknisistä ja organisatorisista varotoimenpiteistä
• Henkilötietojen käsittelyselosteet – henkilötietorekisterien kuvaukset.

Kurinpidolliset seuraamukset

Krkan työntekijöiden on noudatettava tiukasti kaikkia näissä käytännöissä kuvattuja periaatteita. Tietosuojaa koskevien sääntöjen rikkominen saattaa johtaa kurinpidollisiin ja muihin toimenpiteisiin.