1. Mihin tarkoituksiin ja millä perusteella käsittelemme henkilötietojasi?

Whistleblowing-kanavan kautta E. Hartikaisen työntekijät ja sidosryhmät voivat ilmoittaa väärinkäytösepäilystään. Henkilötietoja käsitellään ilmoitettujen tapausten tutkinnassa sekä mahdollisten seuraamusten arvioinnissa ja toimeenpanossa. Kaikki ilmoitukset käsitellään luottamuksellisesti ja ilmoituksen tekijän sekä ilmoituksen kohteen yksityisyyttä suojaten riippumattoman tiimin puolesta. Henkilötietojen käsittelyssä noudatetaan tietosuoja-asetuksen (EU) 2016/679, työelämän tietosuojalain (759/2004) sekä tietosuojalain (1050/2018) vaatimuksia. Whistleblowing -kanavan kautta kertyneitä henkilötietoja käsitellään vain siinä laajuudessa kuin on tarpeen ilmoituskanavan kautta ilmoitetun asian asianmukaisen ja riittävän käsittelyn osalta. Käsittelyn oikeusperusteena on rekisterinpitäjän ilmoittajansuojelu -sääntelyyn perustuvien lakisääteisten velvoitteiden noudattaminen.

Niissä tilanteissa, joissa käsittelyyn ei ole suoraa lakisääteistä velvoitetta, käsittely perustuu työturvallisuutta ja työhyvinvointia sekä eettisten arvojen edistämistä koskevaan oikeutettuun etuun. Erityisten henkilötietojen, kuten mahdollisten terveyttä koskevien tietojen, tai muiden arkaluontoisten tietojen, kuten rikostuomioita tai rikoksia koskevien tietojen, käsittelyperusteena on rekisterinpitäjän ilmoittajansuojelulakiin perustuva lakisääteinen velvoite.

Erityisten henkilötietojen käsittely saattaa olla tarpeen myös oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

1. Mitä henkilötietoja käsittelemme?

REKISTERÖITYJEN RYHMÄ ESIMERKKEJÄ TIETOSISÄLLÖISTÄ Ilmoittaja Lähtökohtaisesti ilmoitukset voi tehdä nimettömänä tai nimellä. Easywhistlen whistleblowing-kanava on toteutettu siten, että ilmoittajasta ei kerätä mitään sähköisiä tunnistetietoja.

Ilmoittaja saattaa itse vapaaehtoisesti lisätä ilmoitukseen omia henkilötietojaan, kuten esimerkiksi Nimi Sijaintitieto Yhteystiedot Taloudelliset tiedot Käyttäytymistiedot Kuva tai videokuva Terveystiedot

Lisäksi käsitellään Viestien sisältö ja muu yhteydenpito

Vaikka ilmoitus tehdään nimettömänä, ilmoitettuun tapahtumaan liittyvät seikat tai ilmoituksen muu sisältö saattavat mahdollistaa sen, että ilmoittaja on näiden tietojen perusteella epäsuorasti tunnistettavissa. Ilmoittajan henkilöllisyyttä ei kuitenkaan pyritä selvittämään.

Ilmoittajansuojelulain mukaan ilmoittajan henkilöllisyyttä ei saa paljastaa, vaikka se olisi tiedossa. Ilmoituksen kohteena oleva henkilö Ilmoitus saattaa sisältää ilmoituksen kohteen käyttäytymistä ja olosuhteita koskevia tietoja sekä muita henkilökohtaisia tietoja, kuten esimerkiksi Nimi Sijaintitieto Taloudellisia tietoja Käyttäytymistietoja Kuva Videokuvaa Terveystietoja Sivulliset Ilmoitus saattaa sisältää ilmoituksen kohteen käyttäytymistä ja olosuhteita koskevia tietoja sekä muita henkilökohtaisia tietoja, kuten esimerkiksi Nimi Sijaintitieto Taloudellisia tietoja Käyttäytymistietoja Kuva Videokuvaa Terveystietoja Ilmoituksen käsittelijät

Ilmoitusten käsittelijöistä kerätään seuraavat henkilötiedot: Nimi Titteli Käyttäjätunnus ja salasana Viestintä ja ilmoitukset Sähköpostiosoite Lokitiedot Laitetunniste Aikaleima IP-osoite

1. Kenelle luovutamme henkilötietojasi?

Whistleblowing-ilmoituskanavan toimittaja

Whistleblowing-ilmoituskanavan toimittaja EasyWhistle käsittelee henkilötietojasi vain kanssamme sovituissa rajoissa. Huolehdimme siitä, että käsittely tapahtuu tietosuoja-asetuksen edellyttämällä tavalla.

Viranomaiset ja väärinkäytöstutkintapalvelujen tarjoajat

Luovutamme väärinkäytös- ja rikosepäilyn selvittämiseksi tarpeellisia tietoja viranomaisille ja väärinkäytöstutkintapalvelujen tarjoajille.

1. Missä maissa henkilötietojasi voidaan käsitellä?

Palveluntarjoaja Kohdemaa Henkilötietoryhmä Tiedonsiirtomekanismi EasyWhistle EU/ ETA* Kaikki järjestelmässä käsiteltävät tiedot Komission mallisopimuslausekkeet

• Yhdysvaltojen tiedustelulainsäädännön mukaan, yhdysvaltalaisten yritysten hallussa olevia tietoja voidaan pyytää luovuttamaan Yhdysvaltain viranomaisille, vaikka datakeskus sijaitsee EU-alueella.

Tilanteissa, joissa henkilötietojasi siirtyy kolmansiin maihin, toteutetaan suojatoimenpiteitä, joilla eurooppalaisen tietosuojalainsäädännön edellyttämä korkea henkilötietojen suojan taso säilyisi myös henkilötietojen siirtämisen jälkeen.

Euroopan komission laatimista mallilausekkeista voit lukea lisää täältä: https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en

1. Millaisia oikeuksia sinulla on omiin henkilötietoihisi liittyen?

Tietosuojalainsäädäntö takaa sinulle erilaisia oikeuksia henkilötietojen käsittelyyn liittyen. Jos haluat käyttää alla kuvattuja oikeuksiasi, sinun on esitettävä tätä koskeva yksilöity pyyntö kohdassa 1 mainitulle yhteyshenkilölle. Tahdomme kuitenkin huomauttaa, että nämä lainsäädännön takaamat oikeudet eivät ole täysin rajoittamattomia. Emme esimerkiksi voi poistaa tietojasi tilanteessa, jossa meihin soveltuva lainsäädäntö edellyttää henkilötietojen säilyttämistä tai toteuttaa henkilötietojen tarkistusoikeutta ilmoituskanavan tietojen osalta tilanteissa, joissa tietojen antaminen loukkaa toisen henkilön suojattua oikeutta tai etua tai vaarantaa ilmoitusta koskevan tutkinnan. Oikeus saada pääsy tietoihisi. Sinulla on aina oikeus saada vahvistus siitä, käsittelemmekö henkilötietojasi. Mikäli käsittelemme henkilötietojasi, sinulla on aina oikeus saada pääsy sekä oikeus saada jäljennös näistä tiedoista. Voimme pyytää sinua täsmentämään pyyntösi tarvittaessa, esimerkiksi tietojen toimittamiseen liittyvien yksityiskohtien osalta. Emme voi toteuttaa pääsyoikeutta tilanteissa, joissa tietojen antaminen loukkaa toisen henkilön suojattua oikeutta tai etua tai vaarantaa ilmoitusta koskevan tutkinnan tai jatkotoimet. Oikeus henkilötietojesi oikaisuun. Mikäli koet, että käsittelemämme henkilötiedot ovat virheellisiä, puutteellisia tai vanhentuneita, voit pyytää meitä oikaisemaan tällaiset henkilötiedot. Oikeus henkilötietojesi poistamiseen. Tietyissä tilanteissa voit pyytää meitä poistamaan sinua koskevia henkilötietoja. Huomioithan kuitenkin, että emme voi välttämättä poistaa sellaisia tietoja, joiden säilyttämiselle on edelleen olemassa perusteltu tarve, kuten tietty lakisääteinen velvollisuus tai muu erityisen painava syy. Oikeus vastustaa ja rajoittaa henkilötietojesi käsittelyä. Sinulla on oikeus vastustaa henkilötietojesi käsittelyä. Tämä ei kuitenkaan tarkoita yleistä oikeutta vastustaa kaikkea henkilötietojesi käsittelyä, vaan rajoittuu esimerkiksi sellaisiin tilanteisiin, joissa tietojen käsittely perustuu oikeutettuun etuun. Meillä on oikeus jatkaa henkilötietojen käsittelyä käsittelyn vastustamisesta huolimatta, jos meillä on käsittelyyn erityisen painava syy. Tällainen syy voi olla esimerkiksi väärinkäytösepäilyn selvittäminen. Sinulla on myös oikeus pyytää henkilötietojesi käsittelyn rajoittamista esimerkiksi tilanteissa, joissa kiistät henkilötietojesi paikkansapitävyyden. Oikeus tehdä valitus valvontaviranomaiselle. Jos epäilet, että olemme esimerkiksi käsitelleet henkilötietojasi lainvastaisesti, sinulla on aina oikeus tehdä ilmoitus valvontaviranomaiselle. Henkilötietojen käsittelyn lainmukaisuutta Suomessa valvoo tietosuojavaltuutetun toimisto, jonka yhteystiedot löydät täältä: https://tietosuoja.fi/etusivu

1. Miten huolehdimme henkilötietojen luottamuksellisuudesta ja turvallisuudesta?

Kunnioitamme yksityisyyttäsi ja henkilötietojesi turvallinen säilyttäminen ja käsittely on meille tärkeää. Suojaamme henkilötietojasi asianmukaisesti teknisin ja organisatorisin toimenpitein luvattomalta ja lainvastaiselta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta. Henkilötietojen suojauksessa on toteutettu mm. seuraavia toimenpiteitä: Pääsyn rajoittaminen. Henkilötietoja käsittelevät rekisterinpitäjän vain tiukasti rajattu joukko nimettyjä työntekijöitä, jotka osana työtehtäviään käsittelevät ilmoituksia ja tutkivat tapahtumia. Sopimukset. Tietoja käsittelevät henkilöt ovat salassapitovelvollisuuden alaisia, ja he ovat allekirjoittaneet salassapitositoumuksen. Myös mahdolliset henkilötietoja käsittelevät sopimuskumppanimme sitoutuvat huolehtimaan asianmukaisista henkilötietojen turvallisuutta koskevista toimista. Henkilöstön kouluttaminen ja ohjeistus. Olemme järjestäneet kattavaa tietosuojakoulutusta sekä ohjeistusta koko henkilöstöllemme. Tietojen tekninen suojaus. Whistleblowing-kanava on toteutettu siten, että ilmoittajasta ei kerätä mitään tunnistetietoja. Sinua ei voida tunnistaa, mikäli haluat tehdä ilmoituksen nimettömänä. Kun teet ilmoituksen, saat linkin ja tunniste-koodin, joiden avulla voit käydä keskustelua ilmoituksen käsittelijän kanssa anonyymisti. Tiedot on suojattu ulkopuolisilta ja kaikkiin tietoliikenneyhteyksiin käytämme suojattuja yhteyksiä.

1. Kuinka kauan säilytämme henkilötietojasi?

Tietoja säilytetään pääsääntöisesti enintään viisi (5) vuotta ilmoituksen tekemisestä.

Tietoja säilytetään viiden vuoden jälkeen, jos tietojen edelleen säilyttäminen on tarpeen rikostutkinnan, vireillä olevan oikeudenkäynnin, viranomaistutkinnan taikka ilmoituksen tekijän, ilmoituksen kohteena olevan henkilön tai E. Hartikaisen oikeuksien turvaamiseksi.

Säilytysajat perustuvat ilmoittajansuojelu-, työ-, rikos- tai vahingonkorvauslainsäädännön mukaisiin kanneaikoihin sekä väärinkäytösten selvittämiseen liittyvään oikeutettuun etuumme.

1. Voidaanko tähän tietosuojaselosteeseen tehdä muutoksia?

Tässä selosteessa esitetyt käsittelytavat voivat muuttua ja siten tätä tietosuojaselostetta voidaan päivittää. Muutokset voivat perustua myös lainsäädännön muuttumiseen. Pidämme tämän selosteen ajan tasalla ja suosittelemme tutustumaan sen sisältöön säännöllisesti. Suuremmista muutoksista henkilötietojen käsittelyssä ilmoitamme lisäksi viestintäkanavissamme.