Hyppää pääsisältöön

Tietosuojapolitiikka

Pro soveltaa toiminnassa EU:n tietosuoja-asetusta (GDPR=general data protection regulation) sekä voimassa olevaa muuta tietosuojalainsäädäntöä. Jäsenten ja henkilöstön luottamuksen säilyttäminen on keskeistä toiminnassamme.

​Pro edellyttää, että oman henkilöstön lisäksi sopimuskumppanit noudattavat tietosuoja-asetusta ja muuta tietosuojalainsäädäntöä sekä tämän politiikan periaatteita käsitellessään henkilötietoja. Tämä politiikka on osa Pron tietosuojaa koskevaa omavalvontasuunnitelmaa, ja koskee sekä Ammattiliitto Prota että Työttömyyskassa Prota.

Vastuut ja organisoituminen

Kokonaisvastuu Pron tietosuojasta on ylimmällä johdolla. Tietosuoja-asiat kuuluvat osana kaikkien työntekijöiden perehdytykseen ja niistä järjestetään säännöllisesti koulutusta.

Tietosuojavastaava ohjaa ja neuvoo tietosuojalainsäädännön toimeenpanossa ja soveltamisessa. Tietosuojaryhmässä on edustus eri yksiköistä ja se toimii tietosuojavastaavan tukena. Tietosuojavastaava tai edustus Tietosuojaryhmästä on otettava mahdollisimman aikaisessa vaiheessa mukaan kaikkien tietosuojakysymysten käsittelyyn.

Tietosuojatyö on riskilähtöistä. Riskejä tarkastellaan säännöllisesti ja tarvittaessa tehdään korjaavat toimenpiteet. Tietoturvaloukkauksia varten on luotu oma sisäinen prosessi. Yhteyshenkilö tietoturvaloukkaustilanteissa on tietosuojavastaava ([email protected]).

Liitto ylläpitää keskitetysti yhdistysrekisterilaissa tarkoitettua luetteloa jäsenyhdistystensä jäsenistä sekä yhdistyksistä. Muilta osin jäsenyhdistykset vastaavat itse toiminnastaan.

Henkilötietojen käsittelyn periaatteet

Henkilötietojen käsittelyssä noudatetaan seuraavia periaatteita:

  1. Lainmukaisuus, kohtuullisuus ja läpinäkyvyys

  2. Käyttötarkoitussidonnaisuus

  3. Tietojen minimointi

  4. Täsmällisyys

  5. Säilytyksen rajoittaminen

  6. Eheys ja luottamuksellisuus

Pro seuraa ja ohjaa periaatteiden toteutumisesta omassa organisaatiossaan ja edellyttää periaatteiden noudattamista yhteistyö- ja sopimuskumppaneiltaan. Mahdollisista poikkeamista on jokaisella velvollisuus ilmoittaa eteenpäin, jolloin asia selvitetään ja menettelytapoja tarkennetaan.

Sopimuksia koskevat periaatteet

Henkilötietojen käsittelyä ja ohjelmistohankintoja koskevista sopimuksista (yhteistyösopimukset, hankintasopimukset, palvelusopimukset, käsittelysopimukset jne.) laaditaan aina kirjallinen asiakirja.

Tietosuoja-asetuksen vaatimuksiin kiinnitetään erityistä huomioita ja mahdolliset riskit analysoidaan, yksilöidään ja minimoidaan mahdollisimman aikaisessa vaiheessa (sisäänrakennettu ja oletusarvoinen tietosuoja). Suunnittelu-, testaus-, riskienhallinta- ja muu dokumentaatio laaditaan ja säilytetään kattavasti. Jos esimerkiksi hankittava ohjelmisto tai järjestelmä todennäköisesti aiheuttaa merkittäviä riskejä tietosuojalle, liitetään vaikutustenarviointi ja riskienhallintasuunnitelma osaksi tarjouspyyntöä.

Pron ollessa rekisterinpitäjä sillä on aina oikeus antaa tietojen käsittelyä koskevaa ohjeistusta, joita tietojen käsittelijä sitoutuu noudattamaan. Käsittelysopimuksella (ulkoistussopimus) tarkoitetaan tietosuoja-asetuksen 28 artiklan mukaisia tilanteita, joissa henkilötietoja käsitellään Pron toimeksiannosta ja lukuun. Käsittelysopimuksia varten on tehty mallipohja, jota voidaan tarvittaessa käyttää.

Sopimuskumppanilta edellytetään, että se toteuttaa tarpeelliset tekniset ja organisatoriset toimenpiteet käsittelyn turvallisuuden varmistamiseksi. Sopimuskumppanin tulee käsitellä Pron henkilötietoja ja muita tietoja vain siltä osin ja siten kuin se on tarpeellista sopimuksessa määritellyn tarkoituksen toteuttamiseksi ja että tietoihin pääsevät käsiksi vain erikseen määritellyt henkilöt, joiden tehtäviin näiden tietojen käsittely kuuluu.

Pron ja sen sopimuskumppaneiden välinen tietoliikenne on suoritettava turvallisella tavalla hyödyntäen salattujen tietoliikenneyhteyksien ja eri ohjelmistojen turvatoimien mahdollisuudet.

Sopijapuolet vastaavat kukin itsenäisesti omista lakiin tai sopimukseen perustuvista velvoitteistaan. Sopimuskumppanien on kuitenkin sitouduttava avustamaan Prota mahdollisuuksien mukaan täyttämään GDPR:n velvoitteet. Näillä velvoitteilla tarkoitetaan erityisesti rekisteröidyn oikeuksien toteuttamista sekä tietoturvaloukkausta koskevia tilanteita. Siltä osin kun loukkaus tai sen uhka kohdistuu Pron tietoihin, sopimuskumppanin tulee viivytyksettä tiedottaa Prota kirjallisesti tapahtuneista tietoturvaloukkauksista tai niiden uhasta ja antaa käsitys loukkauksen syystä ja seurauksista.

Rekisteröidyn informointi

Henkilötietojen käsittelyä koskeva Tietosuojaseloste löytyy Ammattiliitto Pron ja Työttömyyskassa Pron verkkosivuilta.