Tietosuojapolitiikka

Tietosuojapolitiikka

Tausta

PYN Fund Management Oy (jäljempänä myös ”PYN” tai ”Yritys”) hallinnoi PYN Elite Erikoissijoitusrahastoa ja käsittelee toiminnassaan niin rahaston osuudenomistajien tai sellaisiksi aikovien, kuin myös henkilökunnan ja mahdollisesti muihin sidosryhmiin kuuluvien henkilöiden henkilötietoja.

Tietosuojasta huolehtiminen on olennainen osa Yrityksen toimintaa, riskienhallintaa ja vastuullisia toimintaperiaatteita. Tietosuojapolitiikassa on määritelty henkilötietojen käsittelyn perusperiaatteet ja tietosuojan merkitys yrityksessä. Tämä Tietosuojapolitiikka on ylin tietosuojaa ohjaava dokumentti yrityksessä ja se on kaikkien organisaatiossa työskentelevien henkilöiden, sidosryhmien ja rekisteröityjen nähtävillä.

Tietosuojalla on perinteisesti ymmärretty henkilötietolain ja erityisesti henkilötietojen käsittelyä koskevien vaatimusten huomioon ottamista ja rekisteröityjen yksityisyyden suojan ja oikeusturvan toteutumista. Henkilötiedolla tarkoitetaan kaikenlaisia luonnollisia henkilöitä taikka hänen ominaisuuksiaan tai elinolosuhteitaan kuvaavia merkintöjä, jotka voidaan tunnistaa häntä tai hänen perhettään tai hänen kanssaan samassa taloudessa eläviä koskeviksi.

Tietosuojapolitiikan periaatteet perustuvat kansallisiin, yleisiin ja toimialakohtaisiin tietoturvaa, henkilörekistereitä, hyvää tiedonhallintatapaa ja tiedon laatua ohjaaviin ja velvoittaviin säädöksiin, ohjeisiin ja standardeihin. Henkilötietojen käsittelyssä noudatetaan EU:n yleisen tietosuoja-asetuksen (2016/679 EU) vaatimuksia.

Tietosuojatoimintaa ohjaavat tekijät

Toteutamme Tietosuojapolitiikkaa kaikissa toiminnoissamme. Tietosuojapolitiikan avulla pyritään varmistamaan henkilötietojen käsittelyyn liittyvät organisaatiossa työskentelevien henkilöiden, sidosryhmien ja rekisteröityjen oikeudet sekä rekisterinpitäjän oikeudet ja velvollisuudet. Henkilötietojen käsittelyssä toteutetaan yksityiselämän suojaa ja edistetään hyvän tietojenkäsittelytavan noudattamista.

Henkilötietojen käsittelyssä noudatetaan seuraavia yleisiä periaatteita:

– lainmukaisuus, kohtuullisuus ja läpinäkyvyys
– käyttötarkoitussidonnaisuus
– tietojen minimointi
– täsmällisyys
– säilytyksen rajoittaminen
– eheys ja luottamuksellisuus.

Tietojen hankinta ja käsittely

Hankimme tietomme henkilöiltä itseltään ja luotettavista lähteistä. Yrityksen järjestelmät ja palvelut on suunniteltu tietosuoja huomioiden. Kussakin rekisterissä olevia henkilötietoja käsitellään ja käytetään vain rekisteriselosteessa määriteltyihin tarkoituksiin. Yrityksessämme on tietosuojaa käsittelevä tietosuojaorganisaatio, joka seuraa ja kehittää tietosuoja-asioita. Yrityksellä on laadittuna tietojen hankintaa ja käsittelyä koskevat yksityiskohtaiset ohjeet.

Rekisteröidyn oikeudet

Tietosuoja on ihmisen yksityiselämän suojaamista ja rekisterinpitäjänä tiedotamme avoimesti henkilötietojen käsittelystä ennen käsittelytoimien aloittamista. Rekisteröidyn oikeuksien perusperiaatteena on henkilötietojen suojan takaaminen valtuudettomalta tai henkilöä vahingoittavalta tietojen käytöltä. Rekisteröidylle kuuluvista oikeuksista säädetään EU:n tietosuoja-asetuksessa ja kansallisessa lainsäädännössä.

Rekisteröidyn tiedonsaantioikeuden mukaisesti uusia rekisteröidylle ilmoitettavia asioita ovat asetuksen mukaan henkilötietojen säilytysaika ja mahdollisen tietosuojavastaavan yhteystiedot, mikäli sellainen päätetään myöhemmin PYN:iin nimetä. Rekisteröity voi tarkastaa tietojansa ja pyytää niihin korjauksia tai lisäyksiä ottamalla yhteyttä PYN Fund Management Oy:hyn. Rekisteröidyllä on myös oikeus siirtää tietojaan rekisteristä toiseen. Siirtämisoikeuden käyttö edellyttää, että käsittely perustuu rekisteröidyn suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti. Kun rekisteröity käyttää tätä oikeuttaan, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.

Rekisteröidyllä on oikeus vastustaa tietojensa käsittelyä suoramarkkinointitarkoituksissa ja eräissä muissa tietosuoja-asetuksessa mainituissa tilanteissa, jolloin hänen henkilötietojaan ei saa enää käsitellä ko. tarkoituksissa. Rekisteröidyllä on myös oikeus peruuttaa suostumuksensa, jolloin rekisterinpitäjän on poistettava rekisteröityä koskevat tiedot järjestelmästään, ellei käsittelylle ole muuta laillista perustetta.

Rekisterinpitäjän oikeudet ja velvollisuudet

Huolehdimme rekisteröidyn lakisääteisistä oikeuksista. Lisäksi varmistamme, että henkilötietoja ei käsitellä ilman asianmukaista oikeusperustaa. Huolehdimme, että henkilötietoja käsitellään vain asianmukaisin edellytyksin ja, että tämä huomioidaan myös uusia käsittelytapoja suunniteltaessa. Henkilötietojen käsittely on käyttötarkoitussidonnaista eli määrittelemme ennakkoon ne tarkoitukset, joihin henkilötietoja käsitellään. Rekisterinpitäjänä huolehdimme tietojen laadusta, tarpeellisuudesta ja oikeellisuudesta, sekä rekisteröityjen muista oikeuksista.

Henkilötietojen käsittely on suunniteltua ja ohjeistettua kokonaisuudessaan. Henkilötietojen käsittelyyn liittyvät vastuut ja menettelyt on kirjattu sisäisiin ohjeisiimme. Henkilötietorekistereistä laaditaan tietosuojaselosteet ja rekisteröityjä informoidaan lain edellyttämällä tavalla. Osoitusvelvollisuuden mukaisesti teemme tarvittavat dokumentoinnit ja vaikutustenarvioinnit.

Valvomme henkilötietojen käsittelyä ja pystymme myös jälkikäteen todentamaan lokitiedostoista, mitä henkilötietoja on muutettu, lisätty tai poistettu sekä milloin toimenpide on suoritettu. Menettely on etukäteen suunniteltua. Toteutamme myös tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan lainsäädäntöä. Näitä toimenpiteitä tarkistetaan ja päivitetään tarvittaessa.

Henkilötietojen käsittelijä

Käytämme ainoastaan sellaisia henkilötietojen käsittelijöitä, jotka toteuttavat riittävät suojatoimet asianmukaisten teknisten ja organisatoristen toimien täytäntöönpanemiseksi niin, että käsittely täyttää tietosuoja-asetuksen vaatimukset. Henkilötietojen käsittelijän vastuu on määritettävä sopimuksella, joka sitoo henkilötietojen käsittelijää suhteessa rekisterinpitäjään. Sopimuksessa on määritelty vähintään käsittelyn kohde ja kesto, käsittelyn luonne ja tarkoitus, henkilötietojen tyyppi ja rekisteröityjen ryhmät sekä rekisterinpitäjän velvollisuudet ja oikeudet.

Tekniset ja hallinnolliset ratkaisut tietojen suojaamiseen

Tietoturva on oleellinen osa tietosuojan toteutumista ja Yrityksen kannalta merkittävä tekijä käsiteltävän tiedon luottamuksellisuuden säilymisen kannalta. Tietosuojalainsäädäntö edellyttää, että henkilötietojen käsittely on turvattava ja henkilötiedot on suojattava asiattomalta käsittelyltä.

Valitsemme riskien arvioinnin perusteella tekniset suojausratkaisut hallussamme olevien tietojen suojaamiseen ja olemme rakentaneet riskien arvioinnin mukaisesti hallintojärjestelmän valvomaan, ohjaamaan sekä toteuttamaan päivittäistä tietojen käsittelyä yrityksessämme. Varmistamme tietosuojapolitiikan mukaisen tietosuojatason suorittamalla auditointeja ja katselmuksia. Käytetyt tietojärjestelmäratkaisut ja tietoturvan tekninen toteutus on dokumentoitu.

Keräämme lokitietoja tietojen käsittelyn alku-, muutos- ja lopputapahtumista riittävällä tarkkuudella, mikä on osa hallintajärjestelmämme mukaista toimintaa.

Henkilötietojen käsittelijöitä sitoo salassapitovelvollisuus, joka jatkuu myös työ-/sopimussuhteen päätyttyä.
Tietosuojakoulutus ja -ohjeet

Tietosuoja-asiat kuuluvat osana kaikkien uusien työntekijöiden perehdytykseen ja niistä järjestetään säännöllisesti koulutusta Yrityksen työntekijöille. Yritys on laatinut erillisen ohjeistuksen henkilötietojen käsittelyä varten.

Toiminta tietosuojan vaarantuessa

PYN Fund Management Oy katsoo tietosuojaa vaarantavaksi toiminnaksi kaiken henkilötietojen käsittelyä koskevien lakien, tämän tietosuojapolitiikan tai sen perusteella annetun ohjeistuksen vastaisen toiminnan.

Jos tietosuojan epäillään tai havaitaan vaarantuneen, asia tutkitaan välittömästi. Lisäksi asiasta ilmoitetaan viipymättä tarvittaessa rekisteröidylle, jonka tietosuoja on vaarantunut. Teemme myös ilmoituksen valvontaviranomaiselle henkilötietojen tietoturvaloukkauksesta. Ilmoitus valvontaviranomaiselle tehdään 72 tunnin kuluessa siitä, kun loukkaus on havaittu.

Rikkomukset ja seuraamukset

Jokainen PYN Fund Management Oy:n tietojenkäsittelyjärjestelmien käyttäjä on velvollinen noudattamaan hyväksyttyjä käyttösääntöjä ja tietoturvaohjeita, PYN Fund Management Oy:n Tietosuojapolitiikkaa ja muuta ohjeistusta. Näihin liittyviä ohjeita vastaan havaitut rikkomukset raportoidaan organisaation johdolle. Jos tietosuojaa vaarantava toiminta täyttää laissa kuvatun rangaistavan toiminnan tunnusmerkit, asia annetaan viranomaisten tutkittavaksi. Jos ko. toiminta ei kuitenkaan täytä em. tunnusmerkkejä, mutta se vaarantaa tietosuojaa, asiasta voi seurata huomautus, varoitus tai työsuhteen päättäminen.

Tiedottaminen henkilöstölle, rekisteröidylle ja sidosryhmille

Tästä Tietosuojapolitiikasta ja sen muutoksista tiedotetaan PYN Fund Management Oy:n henkilökunnalle. Tietosuojapolitiikka päivitetään tarpeen mukaan. Tietosuojapolitiikka julkaistaan myös yrityksen verkkosivuilla www.pyn.fi.
Tietosuojapolitiikan vahvistaminen

PYN Fund Management Oy:n hallitus on vahvistanut tämän politiikan ja hyväksyy kaikki muutokset siihen.