Tietosuojakäytäntö

NANA Prime

Asiakirjatyyppi: Sisäinen

Soveltuu: Kaikkiin työntekijöihin, alihankkijoihin ja kumppaneihin, joilla on pääsy henkilötietoihin

Viimeksi päivitetty: 30.04.2026

Vastuuhenkilö: Rekisterinpitäjä / Johto

Tarkistussykli: Vuosittain tai merkittävän muutoksen yhteydessä

1. Tämän käytännön tarkoitus

Tämä käytäntö määrittelee, miten NANA Prime varmistaa yleisen tietosuoja-asetuksen (GDPR) ja soveltuvan Suomen tietosuojalainsäädännön noudattamisen käsitellessään iäkkäiden henkilöiden henkilötietoja.

Tämän käytännön tarkoituksena on:

  • suojata rekisteröityjen oikeuksia ja vapauksia;
  • määritellä sisäiset roolit ja vastuut;
  • luoda selkeät menettelyt lainmukaiseen, turvalliseen ja läpinäkyvään tietojenkäsittelyyn.

2. Soveltamisala

Tämä käytäntö koskee:

  • kaikkea henkilötietojen käsittelyä, jota NANA Prime suorittaa;
  • kaikkia työntekijöitä, alihankkijoita ja palveluntarjoajia, jotka toimivat NANA Primen lukuun;
  • kaikkia järjestelmiä, työkaluja ja alustoja, joissa henkilötietoja käsitellään.

3. Tietosuojaperiaatteet

NANA Prime käsittelee henkilötietoja GDPR:n 5 artiklan periaatteiden mukaisesti:

  • lainmukaisuus, kohtuullisuus ja läpinäkyvyys
  • käyttötarkoitussidonnaisuus
  • tietojen minimointi
  • täsmällisyys
  • säilytyksen rajoittaminen
  • eheys ja luottamuksellisuus
  • osoitusvelvollisuus

Kaikkien käsittelytoimien on oltava todennettavasti näiden periaatteiden mukaisia.

4. Roolit ja vastuut

4.1 Rekisterinpitäjä — NANA Prime toimii rekisterinpitäjänä kaikille alustan kautta käsiteltäville henkilötiedoille.

Rekisterinpitäjä vastaa:

  • käsittelyn tarkoitusten ja keinojen määrittämisestä;
  • lainmukaisen käsittelyperusteen varmistamisesta;
  • sisäisten käytäntöjen ja menettelyjen hyväksymisestä;
  • resurssien varmistamisesta GDPR-vaatimusten täyttämiseksi.

4.2 Johto — Johto vastaa:

  • tietosuojan sisällyttämisestä liiketoimintapäätöksiin;
  • tietosuojakäytäntöjen ja riskienhallintatoimien hyväksymisestä;
  • henkilöstön asianmukaisen koulutuksen varmistamisesta;
  • tietosuojavastaavan nimeämisestä (tarvittaessa).

4.3 Työntekijät ja alihankkijat — Kaikkien työntekijöiden ja alihankkijoiden tulee:

  • käsitellä henkilötietoja vain dokumentoitujen ohjeiden mukaisesti;
  • käyttää vain tehtävän kannalta välttämättömiä tietoja;
  • säilyttää luottamuksellisuus kaikissa tilanteissa;
  • ilmoittaa välittömästi epäillyistä tietoturvaloukkauksista;
  • suorittaa pakollinen tietosuojakoulutus.

5. Käsittelyn oikeusperuste ja erityiset henkilötietoryhmät

Jokaisella käsittelytoimella tulee olla:

  • dokumentoitu oikeusperuste GDPR:n 6 artiklan mukaisesti;
  • tarvittaessa pätevä käsittelyperuste GDPR:n 9 artiklan mukaisesti.

6. Sisäänrakennettu ja oletusarvoinen tietosuoja

NANA Prime integroi tietosuojan:

  • järjestelmäarkkitehtuuriin;
  • tuotesuunnitteluun;
  • ominaisuuksien kehitykseen.

Toimenpiteisiin kuuluvat:

  • tietojen minimointi oletusarvoisesti;
  • roolipohjaiset käyttöoikeudet;
  • arkaluonteisten tietojen salaus;
  • ympäristöjen eriyttäminen (tuotanto, testaus).

7. Käsittelytoimien kirjaaminen (RoPA)

NANA Prime ylläpitää ajantasaista rekisteriä käsittelytoimista GDPR:n 30 artiklan mukaisesti.

Rekisteri:

  • ylläpidetään sisäisesti;
  • tarkistetaan säännöllisesti;
  • toimitetaan valvontaviranomaisille pyydettäessä.

8. Rekisteröidyn oikeuksien toteuttaminen

NANA Primella on menettelyt rekisteröityjen pyyntöjen käsittelemiseksi, mukaan lukien:

  • pääsy tietoihin;
  • tietojen oikaisu;
  • tietojen poistaminen;
  • käsittelyn rajoittaminen;
  • siirrettävyys;
  • vastustamisoikeus;
  • suostumuksen peruuttaminen.

Pyynnöt käsitellään:

  • ilman aiheetonta viivytystä;
  • lakisääteisissä määräajoissa;
  • maksutta, ellei pyyntö ole ilmeisen perusteeton tai kohtuuton.

9. Tietoturvatoimenpiteet

NANA Prime soveltaa asianmukaisia teknisiä ja organisatorisia toimenpiteitä, kuten:

  • salaus siirron aikana ja levossa;
  • käyttöoikeuksien lokitus;
  • vahva tunnistautuminen;
  • säännölliset tietoturvatarkastukset;
  • poikkeamien havaitsemismekanismit.

10. Tietoturvaloukkausten hallinta

Kaikkien työntekijöiden tulee ilmoittaa epäillyistä tietoturvaloukkauksista välittömästi.

NANA Prime:

  • arvioi loukkaukset viipymättä;
  • ilmoittaa valvontaviranomaiselle 72 tunnin kuluessa tarvittaessa;
  • tiedottaa rekisteröityjä, jos riski on korkea;
  • dokumentoi kaikki loukkaukset riippumatta ilmoitusvelvollisuudesta.

11. Henkilötietojen käsittelijät ja kolmannet osapuolet

Kaikki NANA Primen puolesta toimivat käsittelijät:

  • ovat kirjallisten henkilötietojen käsittelysopimusten (DPA) alaisia;
  • arvioidaan GDPR-vaatimusten mukaisesti;
  • ovat jatkuvan seurannan piirissä.

Käsittelijä ei saa käyttää alikäsittelijää ilman ennakkohyväksyntää.

12. Kansainväliset tiedonsiirrot

Henkilötietoja käsitellään EU/ETA-alueella.

Siirrot EU/ETA-alueen ulkopuolelle edellyttävät:

  • pätevää siirtomekanismia;
  • dokumentoitua riskinarviointia;
  • johdon ja tietosuojavastaavan hyväksyntää (jos nimetty).

13. Koulutus ja tietoisuus

Kaikille asiaankuuluville henkilöille tarjotaan:

  • GDPR-peruskoulutus;
  • roolikohtainen tietosuojakoulutus;
  • säännölliset kertauskoulutukset.

Koulutusten suorittaminen dokumentoidaan.

14. Käytännön tarkistus ja valvonta

Tämä käytäntö:

  • tarkistetaan vuosittain;
  • päivitetään lainsäädännöllisten, teknisten tai organisatoristen muutosten yhteydessä.

Noudattamatta jättäminen voi johtaa:

  • kurinpitotoimiin;
  • käyttöoikeuksien poistamiseen;
  • sopimusoikeudellisiin seuraamuksiin.

15. Yhteystiedot ja eskalointi

Tietosuojaan liittyvät kysymykset tai poikkeamat tulee eskaloida:

  • johdolle
  • tietosuojavastaavalle (jos nimetty)