Tässä politiikassa kuvataan Kesko-konsernin (”Kesko”) tietosuojapolitiikan päämäärä ja linjaukset sekä vastuut ja organisointi.
Tietosuojapolitiikka toimii perustana tietosuojaa koskeville toimintatavoille ja -ohjeille, joiden avulla tarkennetaan politiikassa annettuja määräyksiä ja ohjataan niiden soveltamista käytäntöön.
Tietosuojalla on kiinteä yhteys tietoturvaan. Tietoturvaa koskeva periaatteet on määritelty Keskon tietoturvapolitiikassa.
Keskon toiminta perustuu tietoon ja sen käsittelyyn Keskon toimintaympäristöissä. Toiminta on riippuvaista tieto- ja viestintäteknologiasta ja näiden keskeytyksettömästä ja turvallisesta toiminnasta. Kesko on varautunut henkilötietojen käsittelyn suunnittelussa ja ohjauksessa erilaisiin toimintahäiriöihin sekä soveltuvin osin poikkeusoloihin. Erityistä huomiota kiinnitetään henkilötietojen käsittelyn ulkoistustilanteisiin.
Tietosuojasta huolehtiminen on osa Keskon compliance-toimintaa, riskienhallintaa ja K Code of Conduct -toimintaperiaatteita. Tietosuojapolitiikan päämääränä on määrittää periaatteet, toimintatavat ja vastuut henkilötietojen lainmukaisen käsittelyn ja tietosuojan korkean tason varmistamiseksi Keskossa.
Oikeus henkilötietojen suojaan on jokaiselle ihmiselle kuuluva perusoikeus.
Kesko suunnittelee henkilötietojen käsittelyn etukäteen. Käsittely on lainmukaista, kohtuullista ja läpinäkyvää ja se tapahtuu tiettyä, nimettyä tarkoitusta varten laissa säädetyn oikeusperusteen nojalla.
Kesko käsittelee tietoja vain siinä määrin ja niin kauan, kun se on käyttötarkoituksen kannalta tarpeellista.
Kesko pyrkii varmistamaan käytettävien tietojen oikeellisuuden ja tietoja päivitetään henkilöltä itseltään tai luotettavista lähteistä. Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot tuhotaan asianmukaisesti.
Henkilötietojen suojalla tarkoitetaan myös jokaiselle turvattua oikeutta tutustua niihin tietoihin, joita hänestä on kerätty ja tarvittaessa myös saada itseään koskevat virheelliset tiedot oikaistuiksi ja tarpeettomat tiedot poistetuiksi.
Perustana tietosuojan turvaamisessa on riskilähtöisyys. Tietosuojariskien hallinta on osa Keskon riskienhallintaprosessia. Kesko suorittaa tietosuojan tehokkaan toteuttamisen varmistamiseksi tietosuojariskin arviointeja henkilötietojen käsittelyn suunnitteluvaiheessa sekä osana vuosittaista riskiarviointia. Lisäksi varsinainen tietosuojaa koskeva vaikutustenarviointi tehdään aina laissa ja viranomaisohjeistuksessa erikseen määritellyissä tilanteissa. Edellä mainittujen arviointien tuloksia käytetään määritettäessä niitä teknisiä ja organisatorisia hallintakeinoja, joilla pyritään pienentämään henkilötietojen käsittelyn riskitasoa koko tietojen elinkaaren ajan. Samalla Kesko varmistaa tietosuojasääntelyn vaatimusten toteutumisen. Tarvittaessa toteutetaan viranomaisen ennakkokuuleminen.
Kesko huolehtii tietosuoja-asetuksen mukaisten rekisteröityjen oikeuksien toteutumisesta informoimalla rekisteröityjä tietojen käsittelystä sekä määrittämällä toimintamallit ja ohjeet niihin tilanteisiin, joissa rekisteröidyt haluavat käyttää em. oikeuksiaan.
Kesko varmistaa tietosuojan toteutumisen dokumentoimalla ja ohjeistamalla henkilötietojen käsittelyn käytänteet. Kesko huolehtii henkilöstön riittävästä tietosuojaosaamisesta koulutuksien ja tiedottamisen avulla. Uudet työntekijät perehdytetään tietosuoja-asioihin järjestelmällisesti. Erityisesti tämä korostuu niissä tehtävissä, joissa käsitellään henkilötietoja ja suoritetaan rekisteröityjen oikeuksien toteuttamisprosesseja.
Kesko rekisterinpitäjänä voi ulkoistaa henkilötietojen käsittelyn toimeksisaajalle, henkilötietojen käsittelijälle. Kesko valitsee sopimuskumppanikseen vain sellaisia henkilötietojen käsittelijöitä, jotka noudattavat hyvää henkilötietojen käsittelytapaa asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla sekä täyttävät tietosuoja-asetuksen vaatimukset ja pystyvät huolehtimaan rekisteröidyn oikeuksien toteutumisesta. Kesko laatii henkilötietojen käsittelijän kanssa lainsäädännön edellyttämän kirjallisen sopimuksen.
Keskolla on tietosuojan compliance-ohjelma, jonka avulla se varmistaa em. tavoitteiden saavuttamisen ja toteuttaa laadukasta ja lainmukaista henkilötietojen käsittelyä.
Kesko pyrkii turvaamaan henkilötiedot tietoturvaloukkauksilta, eli vahingossa tapahtuvalta tai lainvastaiselta tuhoamiselta, hävittämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai pääsyltä tietoihin. Kesko on määritellyt tietoturvaloukkausten yhteydessä käytettävän prosessin. Jokainen on velvollinen viipymättä ilmoittamaan epäilemistään tai havaitsemistaan tietoturvaloukkauksista erillisen ohjeistuksen mukaisesti.
Mikäli tietosuojan epäillään vaarantuneen, asia tutkitaan viipymättä. Tutkintaan osallistuvat kulloisenkin tarpeen mukaan ao. liiketoimintayksikön edustajat, tietoturva- ja riskienhallintatiimit sekä tietosuojavastaava. Kesko dokumentoi kaikki tietoturvaloukkaukset lainsäädännön vaatimusten mukaisesti ja tekee vahvistetusta tietoturvaloukkauksesta ilmoituksen tietosuojaviranomaiselle ilmoituskynnyksen ylittyessä. Kesko ilmoittaa tietoturvaloukkauksesta viipymättä myös henkilölle, jonka tietosuoja on vaarantunut, tietosuoja-asetuksen edellyttämissä tilanteissa.
Kesko katsoo tietosuojaa vaarantavaksi toiminnaksi kaiken henkilötietojen käsittelyä koskevien lakien, tämän tietosuojapolitiikan tai sen perusteella annetun ohjeistuksen vastaisen toiminnan. Kesko soveltaa tietosuojaa vaarantavaan toimintaan Keskon Compliance-mallissa määriteltyjä toimintaohjeita ja tietosuojarikkomukset raportoidaan Keskon johdolle ja tietosuojavastaavalle.
Tietosuojapolitiikan hyväksyy Keskon hallitus. Politiikan ylläpidosta vastaa Keskon lakiasiat.
Keskon hallitus ja hallituksen tarkastusvaliokunta seuraavat ja arvioivat tietosuojan toteutumista. Kokonaisvastuu tietosuojan toteuttamisessa ja sen johtamisessa on konsernijohtoryhmällä ja lakiasiainjohtajalla. Lakiasiainjohtaja on vastuussa tietosuojalainsäädännön, tämän tietosuojapolitiikan ja sen perusteella annetun ohjeistuksen noudattamisen hallinnoinnista.
Keskolla voi olla yksi tai useampia tietosuojavastaavia. Tietosuojavastaava toimii tietosuojan erityisasiantuntijana, joka ohjaa ja kouluttaa liiketoimintaa tietosuoja-asioissa sekä valvoo tietosuojalainsäädännön noudattamista. Tietosuojavastaava raportoi tietosuojaa koskevista havainnoistaan lakiasiainjohtajan lisäksi tarvittaessa myös hallituksen tarkastusvaliokunnalle.
Rekisterinpitäjä on se Kesko-konserniin kuuluva yhtiö, jonka käyttötarkoituksia varten henkilötietoja kulloinkin käsitellään. Vastuu tietosuojan toteuttamisesta on liiketoiminta- ja konsernijohdolla omissa yksiköissään. Johto vastaa siitä, että tietosuojan ylläpito on selkeästi organisoitu ja kukin vastuussa oleva henkilö tuntee roolinsa.
Kukin liiketoimintayksikkö tai rekisterinpitäjä arvioi ja valvoo tietosuojan toteutumista omissa toiminnoissaan. Tietosuojavastaava tekee tarkastuksia tietosuoja-asioissa osana normaalia toimintaansa.
Tietosuojapolitiikka kattaa Keskon yhtiöiden toiminnot kaikissa Keskon toimintamaissa. Keskon henkilöstön on noudatettava politiikkaa. Keskon yhtiöt ja yksiköt huolehtivat politiikan toteutuksesta ja tarvittavasta resursoinnista omassa toiminnassaan mukaan lukien ne sidosryhmät, jotka toimeksiantojensa puitteissa käsittelevät Keskon hallussa olevia henkilötietoja.
Hyväksytty Keskon hallituksessa 17.12.2020. Tulee voimaan 1.1.2021. |
Korvaa Keskon hallituksen tarkastusvaliokunnan 23.4.2014 vahvistaman tietosuojapolitiikan. |