ABB-konsernin säännöt – yhteenveto
ABB:n kattavat tietosuojanormit standardoidun ja korkeatasoisen henkilötietojen suojan varmistamiseksi
Sisällys:
1. Johdanto
1.1. Kohtuullisuus ja lainmukaisuus
1.2. Arkaluonteisten henkilötietojen käsittely
1.3. Läpinäkyvyys
1.4.Tarkoitus
1.5. Oikeasuhteisuus ja laatu
1.6. Säilytyksen rajoittaminen
1.7. Tietoturva
2. Henkilötietojen jakaminen
2.1. Tietojen jakaminen henkilötietojen käsittelijöiden kanssa
2.2. Tietojen jakaminen rekisterinpitäjien kanssa
2.3. Tietojen siirtäminen edelleen muille tahoille
3. Valitus
4. Rekisteröityjen käytettävissä olevat kolmansien osapuolten oikeudet
1. Johdanto
Tietosuojaoikeuksien kunnioittaminen on ABB:llä etusijalla. ABB on ottanut käyttöön kattavat tietosuojanormit standardoidun ja korkeatasoisen henkilötietojen suojan varmistamiseksi.
ABB-konsernin yhtiöt ovat sitoutuneet noudattamaan seuraavassa kuvattuja tietosuojaperiaatteita silloin, kun ABB-konsernin yhtiöt toimivat henkilötietojen rekisterinpitäjinä.
1.1. Kohtuullisuus ja lainmukaisuus
Henkilötietoja käsitellään aina kohtuullisesti ja lainmukaisesti kohtuudella odotettavissa olevin tavoin jollakin seuraavista käsittelyperusteista:
- rekisteröity on antanut suostumuksensa henkilötietojen käsittelyyn;
- käsittely on tarpeen rekisteröidyn kanssa tehdyn sopimuksen täytäntöön panemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
- käsittely on tarpeen rekisterinpitäjän lakisääteisen velvollisuuden noudattamiseksi;
- käsittely on tarpeen rekisteröidyn elintärkeiden etujen suojaamiseksi; tai
- käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi silloin, jos rekisteröidyn edut syrjäyttävät nämä edut.
1.2. Arkaluonteisten henkilötietojen käsittely
Silloin, kun ABB-konsernin yhtiöt käsittelevät arkaluonteisia henkilötietoja, kyseinen tietojen käsittely toteutetaan aina kohtuullisesti ja lainmukaisesti kohtuudella odotettavissa olevin tavoin jollakin seuraavista käsittelyperusteista:
- rekisteröity on antanut nimenomaisen suostumuksensa tietojen käsittelyyn;
- käsittely on tarpeen työtä, sosiaaliturvaa ja terveydenhoitoa koskevaan kansalliseen tai eurooppalaiseen lainsäädäntöön perustuvien velvoitteiden noudattamiseksi tai siihen perustuvien oikeuksien käyttämiseksi siltä osin kuin se sallitaan kansallisessa lainsäädännössä, jossa säädetään asianmukaisista suojatoimista;
- rekisteröity on nimenomaisesti saattanut henkilötiedot julkisiksi;
- käsittely on tarpeen oikeusvaateiden laatimiseksi, esittämiseksi tai puolustamiseksi;
- käsittely on tarpeen työntekijän työkyvyn arvioimiseksi; tai
- käsittely on tarpeen ABB:n, henkilöstön ja asiakkaiden omaisuuden turvallisuuden takaamiseksi esimerkiksi käyttämällä videotallenteita tai biometrisiä tunnisteita.
Asianmukaiset turvaamistoimet riippuvat siitä, millaisista henkilötiedoista on kyse ja millaisia riskejä suunniteltuihin käsittelytoimiin liittyy.
1.3. Läpinäkyvyys
ABB-konsernin yhtiöt antavat rekisteröidylle tietojen keräämishetkellä tai kohtuullisen ajan kuluessa tietojen keräämisestä tarvittavat tiedot käsittelyn kohtuullisuuden ja läpinäkyvyyden varmistamiseksi. Tällaisia tietoja ovat erityisesti seuraavat:
- rekisterinpitäjän identiteetti ja yhteystiedot sekä tietosuojavastaavan yhteystiedot;
- henkilötietojen käsittelyn tarkoitukset ja oikeusperuste;
- henkilötietojen vastaanottajat tai vastaanottajaryhmät;
- henkilötietojen lähde (ellei kyse ole rekisteröidyltä suoraan kerättävistä henkilötiedoista);
- henkilötietojen käsittelyyn liittyvät riskit, säännöt, suojatoimet ja oikeudet sekä tieto siitä, miten rekisteröity voi käyttää tällaiseen käsittelyyn liittyviä oikeuksiaan.
1.4. Tarkoitus
ABB-konsernin yhtiöt käsittelevät henkilötietoja ainoastaan nimenomaista ja laillista tarkoitusta varten. Kerättyjä henkilötietoja ei käsitellä muihin tarkoituksiin – paitsi jos rekisteröity on antanut siihen suostumuksensa ja hänelle on annettu läpinäkyvyysperiaatteen mukaiset tiedot tai jos tällainen käsittely on sovellettavan lain mukaan sallittua.
1.5. Oikeasuhteisuus ja laatu
Henkilötietojen on aina oltava asianmukaisia ja olennaisia kulloiseenkin käsittelytarkoitukseen nähden. Ennen muuta henkilötiedot on rajoitettava siihen, mikä on tarpeellista käsittelytarkoitukseen nähden. ABB varmistaa, että henkilötiedot ovat oikein, ja pitää tarpeen mukaan huolta siitä, että tiedot ovat ajan tasalla. ABB-konsernin yhtiöissä varmistetaan kaikin kohtuullisin keinoin, että virheelliset ja puutteelliset henkilötiedot poistetaan tai niiden käyttö estetään taikka tarvittaessa korjataan ilman aiheetonta viivytystä.
1.6. Säilytyksen rajoittaminen
Henkilötietoja käsitellään vain niin kauan kuin on välttämätöntä niihin tarkoituksiin, joihin niitä käsitellään, tai kuin on sovellettavien määräaikojen perusteella aiheellista. Kyseisen ajanjakson päätyttyä henkilötiedot poistetaan tai anonymisoidaan, ellei sovellettavassa laissa ole poikkeusta, jonka nojalla asianomaisia tietoja voidaan säilyttää pidempään.
1.7. Tietoturva
ABB-konsernin yhtiöissä pidetään yllä asianmukaisia teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan henkilötietojen asianmukainen turvallisuus. Toimenpiteissä otetaan huomioon seuraavat näkökohdat: henkilötietojen luonne; mahdolliset riskit, joita henkilötietoihin voi kohdistua; kyky taata henkilötietojen käsittelyn luottamuksellisuus, eheys, käytettävyys ja vikosietoisuus; sovellettavan lainsäädännön vaatimukset; ja mahdolliset asiakkaan kanssa tehdyssä palvelusopimuksessa määritetyt toimenpiteet.
ABB-konsernin yhtiöiden on noudatettava ABB-konsernin tietoturvan hallintaa koskevissa määräyksissä, ohjeissa, politiikoissa ja normeissa asetettuja tietoturvavaatimuksia. ABB ilmoittaa rekisteröidyille heidän henkilötietoihinsa kohdistuvista tietoturvaloukkauksista, jos a) on hyvin todennäköistä, että rekisteröidyille koituu tietoturvaloukkauksesta vahinkoa, tai jos b) tällaisen ilmoituksen tekemistä edellytetään sovellettavassa tietoturvaloukkauksesta ilmoittamista koskevassa lainsäädännössä (vaikka ei olisikaan hyvin todennäköistä, että loukkauksesta koituu rekisteröidylle vahinkoa).
2. Henkilötietojen jakaminen
2.1. Tietojen jakaminen henkilötietojen käsittelijöiden kanssa
ABB-konsernin yhtiö nimittää henkilötietojen käsittelijäksi kolmannen osapuolen vasta sitten, kun tietosuojaa ja tietoturvariskejä koskevassa arvioinnissa on todettu, että henkilötietojen käsittelijä antaa riittävät takeet asianmukaisten teknisten ja organisatoristen toimenpiteiden toteuttamisesta. ABB-konsernin yhtiö varmistaa, että henkilötietojen käsittelijän kanssa on kirjallinen sopimus, joka on sovellettavan lain mukaan pätevä ja joka sisältää sovellettavassa laissa vaaditut määräykset.
2.2. Henkilötietojen jakaminen rekisterinpitäjien kanssa
ABB-konsernin yhtiö voi jakaa henkilötietoja toisen rekisterinpitäjän kanssa silloin, kun ABB on asianomaisten henkilötietojen rekisterinpitäjä, sillä edellytyksellä, että tämä noudattaa ABB:n tietosuojaperiaatteita.
2.3. Tietojen siirtäminen edelleen muille tahoille
Eurooppalaisia henkilötietoja voidaan jakaa muiden ABB-konsernin yhtiöiden tai muiden sellaisten kolmansien osapuolten kanssa, jotka sijaitsevat Euroopan unionissa tai maassa tai alueella, jonka osalta on voimassa Euroopan komissio päätös, jossa eurooppalaisille henkilötiedoille määritetään riittävä tietosuojan taso ilman muita vaatimuksia tietojen riittävän suojan varmistamiseksi. Kaikissa muissa tilanteissa eurooppalaisia henkilötietoja voidaan jakaa ainoastaan silloin, kun eurooppalaisten henkilötietojen suojaamiseksi on otettu käyttöön yleisen tietosuoja-asetuksen 46 artiklassa määritettyjä asianmukaisia suojatoimia, kuten esimerkiksi EU:n vakiolausekkeita. Silloin, kun ABB-konsernin yhtiö on eurooppalaisten henkilötietojen rekisterinpitäjä, näitä tietoja voidaan jakaa myös sellaisissa erityistilanteissa, joissa unionin lainsäädännössä annetaan poikkeuslupa tietojen siirtämiseen – esimerkiksi silloin, kun rekisteröity on antanut tähän nimenomaisen suostumuksensa, tai silloin, kun tietojen siirtäminen on tarpeen rekisteröidyn kanssa tehdyn sopimuksen täytäntöön panemiseksi taikka sopimusta edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä. Muita kuin eurooppalaisia henkilötietoja voidaan jakaa muille yhteisöille ainoastaan, jos käytössä on asianmukaisia suojatoimia tietojen suojaamiseksi, ja sillä edellytyksellä, että tietoja käsitellään sovellettavan lainsäädännön vaatimusten mukaisesti.
3. Valitus
Jos rekisteröity epäilee, että ABB-konsernin yhtiö on käsitellyt hänen henkilötietojaan sovellettavien tietosuojalakien vastaisesti, hän voi tehdä asiasta kirjallisen valituksen täyttämällä yhteydenottolomakkeen osoitteessa abb.com/privacy tai lähettämällä sähköpostia osoitteeseen privacy@abb.com.
ABB ryhtyy viemään valitusprosessia eteenpäin ilman aiheetonta viivytystä, yleensä kuukauden kuluessa valituksen vastaanottamisesta. Tätä määräaikaa voidaan pidentää kahdella lisäkuukaudella, mikäli valituksen monimutkaisuus tai rekisteröidyn tekemien pyyntöjen määrä sitä edellyttää. Rekisteröidylle ilmoitetaan, mikäli hänen valituksensa käsittely viivästyy edellä mainituista syistä.
4. Rekisteröityjen käytettävissä olevat kolmansien osapuolten oikeudet
Aina silloin, kun ABB-konsernin yhtiöt käsittelevät eurooppalaisia henkilötietoja rekisterinpitäjinä, rekisteröidyillä on seuraavassa luetellut oikeudet. Aina, kun ABB-konsernin yhtiöt käsittelevät rekisterinpitäjinä muita kuin eurooppalaisia henkilötietoja, rekisteröidyt voivat vedota sovellettavan lainsäädännön heille antamiin oikeuksiin. Rekisteröidyn perusteltuun pyyntöön vastataan ilman aiheetonta viivytystä viimeistään kuukauden kuluessa.
Oikeus saada pääsy tietoihin ja oikeus siirtää tiedot järjestelmästä toiseen – Rekisteröidyllä on seuraavat oikeudet:
- saada vahvistus siitä, että ABB-konsernin yhtiö käsittelee asianomaista rekisteröityä koskevia henkilötietoja;
- saada jäljennös henkilötiedoista jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa;
- pyytää henkilötietojen siirtämistä toiselle yhteisölle jäsennellyssä ja koneellisesti luettavassa muodossa silloin, kun rekisteröity on antanut nämä henkilötiedot, niiden käsittely on automaattista ja kun henkilötietoja käsitellään henkilön suostumuksella tai hänen kanssaan tehdyn sopimuksen täyttämiseksi;
Oikeus tietojen oikaisemiseen – Rekisteröidyllä on oikeus pyytää virheellisten tai puutteellisten henkilötietojen korjaamista;
Oikeus tietojen poistamiseen (”oikeus tulla unohdetuksi”) – Rekisteröidyllä on oikeus poistaa henkilötiedot silloin, kun niitä ei enää tarvita tai kun sovellettava laki velvoittaa ABB:n tuhoamaan asianomaiset tiedot tai kun tietojen käsittely on lainvastaista;
Oikeus käsittelyn rajoittamiseen – Rekisteröidyllä on tietyissä tilanteissa oikeus rajoittaa henkilötietojen käsittelyä;
Vastustamisoikeus – Rekisteröidyllä on oikeus vastustaa henkilötietojen käsittelyä silloin, kun tietojen käsittelyn perusteena ovat ABB:n oikeutetut edut, tai silloin, kun tietosuojaoikeudet syrjäyttävät ABB:n oikeutettuja etuja koskevan perusteen;
Automaattinen päätöksenteko – Rekisteröidyllä on oikeus pyytää ABB:ltä, että häntä koskevia päätöksiä ei tehdä automaattisesti (eli ilman luonnollisen henkilön osallistumista päätöksentekoon);
Oikeus peruuttaa suostumus – Kun ABB on pyytänyt suostumuksen henkilötietojen käsittelyyn, rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumukseen perustuneen käsittelyn lainmukaisuuteen suostumuksen peruuttamista edeltävänä aikana.
Mikäli haluat ottaa yhteyttä ABB:hen tarkistaaksesi henkilötietosi ja määrittelemäsi tavat, joilla ABB tietojasi käsittelee, päivittääksesi tai muuttaaksesi henkilötietojasi tai niiden käsittelytapoja tai poistaaksesi ne, käy sivustolla Rekisteröityjen oikeudet - Pyyntölomakkeet.