TREVIAN ASSET MANAGEMENT OY:N TIETOSUOJAPOLITIIKKA

Tässä tietosuojapolitiikassa linjataan Trevian Asset Management Oy:n tietosuojan päämäärä, vastuut ja organisointi.

Tietosuojapolitiikka toimii perustana tietosuojaa koskeville toimintatavoille ja -ohjeille, joiden avulla tarkennetaan politiikassa annettuja määräyksiä ja ohjataan niiden soveltamista käytäntöön. Tietosuoja on olennaisesti yhteydessä tietoturvaamme, jota koskevat periaatteet on määritelty tietoturvapolitiikassamme. Asiakkaidemme luottamus ja vastuullisuus ovat keskeisiä arvojamme.

Tietosuojapolitiikan päämäärä

Tietosuojasta huolehtiminen on osa vastuullisuuttamme ja riskienhallintaamme. Tietosuojapolitiikan päämääränä on määrittää periaatteet, toimintatavat ja vastuut henkilötietojen lainmukaisen käsittelyn ja tietosuojan varmistamisen toiminnassamme.

Henkilötietojen suojaa koskevat periaatteet

Oikeus henkilötietojen suojaan on jokaiselle ihmiselle kuuluva perusoikeus. Henkilötietojen käsittely on lainmukaista, kohtuullista ja läpinäkyvää ja se tapahtuu tiettyä, nimettyä tarkoitusta varten ja käsittelemme tietoja vain siinä määrin ja niin kauan, kun se on käyttötarkoituksen kannalta tarpeellista.

Pyrimme varmistamaan käytettävien tietojen oikeellisuuden ja tietoja päivitetään henkilöltä itseltään tai luotettavista lähteistä. Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot poistetaan asianmukaisesti.

Henkilötietojen suojalla tarkoitetaan myös jokaiselle turvattua oikeutta tutustua niihin tietoihin, joita hänestä on kerätty ja tarvittaessa myös saada itseään koskevat virheelliset tiedot oikaistuiksi ja tarpeettomat tiedot poistetuiksi.

Tietosuojan turvaaminen

Tietosuojatyö on riskilähtöistä ja tietosuojariskien hallinta on osa riskienhallintaprosessiamme. Suoritamme tietosuojan toteuttamisen varmistamiseksi tietosuojariskin arviointeja henkilötietojen käsittelyn suunnitteluvaiheessa sekä osana riskiarviointia. Lisäksi varsinainen tietosuojaa koskeva vaikutustenarviointi tehdään aina laissa ja viranomaisohjeistuksessa erikseen määritellyissä tilanteissa. Edellä mainittujen arviointien tuloksia käytetään määritettäessä niitä teknisiä ja organisatorisia hallintakeinoja, joilla pyritään pienentämään henkilötietojen käsittelyn riskitasoa koko tietojen elinkaaren ajan.

Huolehdimme tietosuoja-asetuksen mukaisten rekisteröityjen oikeuksien toteutumisesta informoimalla rekisteröityjä tietojen käsittelystä sekä määrittämällä toimintamallit ja ohjeet niihin tilanteisiin, joissa rekisteröidyt haluavat käyttää oikeuksiaan.

Varmistamme tietosuojan toteutumisen dokumentoimalla ja ohjeistamalla henkilötietojen käsittelyn käytänteet. Huolehdimme henkilöstömme riittävästä tietosuojaosaamisesta koulutuksien ja tiedottamisen avulla. Uudet työntekijämme perehdytetään tietosuoja-asioihin.

Rekisterinpitäjänä voimme ulkoistaa henkilötietojen käsittelyn toimeksisaajalle, henkilötietojen käsittelijälle. Valitsemme sopimuskumppaniksemme vain sellaisia henkilötietojen käsittelijöitä, jotka noudattavat hyvää henkilötietojen käsittelytapaa asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla sekä täyttävät tietosuoja-asetuksen vaatimukset ja pystyvät huolehtimaan rekisteröidyn oikeuksien toteutumisesta. Laadimme henkilötietojen käsittelijän kanssa lainsäädännön edellyttämän kirjallisen sopimuksen.

Menettely tietosuojan vaarantuessa

Pyrimme turvaamaan henkilötiedot tietoturvaloukkauksilta, eli vahingossa tapahtuvalta tai lainvastaiselta tuhoamiselta, hävittämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai pääsyltä tietoihin. Olemme määritelleet tietoturvaloukkausten yhteydessä käytettävän prosessin. Jokainen on velvollinen viipymättä ilmoittamaan epäilemistään tai havaitsemistaan tietoturvaloukkauksista erillisen ohjeistuksen mukaisesti.

Mikäli tietosuojan epäillään vaarantuneen, asia tutkitaan viipymättä ja teemme riskiarvion. Dokumentoimme tietoturvaloukkaukset ja teemme ilmoituksen sen kohteeksi joutuneelle henkilölle sekä tietosuojaviranomaiselle ilmoituskynnyksen ylittyessä tietosuoja-asetuksen edellyttämissä tilanteissa. Tietosuojarikkomukset raportoidaan tietoturvatiimille ja tapahtuman vakavuudesta riippuen toimitusjohtajalle ja johtoryhmälle.

Vastuut ja organisointi

Tietosuojan toteutumisesta ja siihen tarvittavien edellytysten luomisesta vastaa ylimpänä Trevian Asset Management Oy:n toimitusjohtaja ja johtoryhmä. Johtoryhmä on nimennyt tietosuojavastaavan, joka ohjaa ja neuvoo tietosuoja-asetuksen toimeenpanossa ja soveltamisessa.

Tietosuojavastaava valvoo asetuksen vaatimusten toteutumista ja huolehtii, että asetuksen osoitusvelvollisuuden mukainen dokumentaatio on laadittu ja saatavilla. Tietosuojavastaava huolehtii säännöllisten riskikartoitusten tekemisestä ja raportoi organisaation ylimmälle johdolle. Tietosuojavastaava toimii tietosuojan yhteyspisteenä organisaation sisällä ja ulkoisille tahoille. Tietosuojavastaavan osaamista kehitetään jatkuvasti. Tietosuojavastaavan työn tukena toimii tietoturvatiimi. Tiimi kokoontuu säännöllisesti sekä aina tarvittaessa käsittelemään tietosuoja-asioita.

Liiketoimintajohtajat toimivat liiketoiminta-alueensa tiedon omistajina ja edistävät tietosuojatietoisuutta ja henkilötiedon asetuksen mukaisesta käsittelyä sekä osoitusvelvollisuuden täyttämistä. Rekisterinpitäjä on se, jonka käyttötarkoituksia varten henkilötietoja kulloinkin käsitellään. Vastuu tietosuojan toteuttamisesta on liiketoimintajohdolla omissa tiimeissään. Johto vastaa siitä, että tietosuojan ylläpito on selkeästi organisoitu ja että kukin vastuussa ole henkilö tuntee roolinsa.

Henkilöstömme on noudatettava tietosuojapolitiikkaa. Liiketoimintajohtajat huolehtivat politiikan toteutuksesta ja tarvittavasta resursoinnista omilla liiketoiminta-alueillaan mukaan lukien ne sidosryhmät, jotka toimeksiantojensa puitteissa käsittelevät hallussamme olevia henkilötietoja.

Päivittäminen ja hyväksyminen

Arvioimme tietosuojapolitiikkaamme säännöllisin väliajoin ja päivitämme sen sisältöä tarpeen mukaan. Asian arviointi ja sisällön päivitys on nimetyn vastuuhenkilömme vastuulla.

Tietosuojapolitiikka on hyväksytty Trevian Asset Management Oy:n hallituksessa 22.04.2022.