Apotti-ilmoituskanavan tietosuojaseloste

Rekisterinpitäjä:

Oy Apotti Ab
Valimotie 17−19
0038 Helsinki

1. Mitä henkilötietoa keräämme?

Apotin ilmoituskanavaan on mahdollista tehdä ilmoitus anonyyminä tai omalla nimellä. Ilmoitus käsitellään aina luottamuksellisesti ja ilmoittajan henkilöllisyys on vain ilmoituksen käsittelyyn nimettyjen henkilöiden sekä asiaa asiantuntijoina tutkimaan kutsuttujen henkilöiden tiedossa.

Rekisteri voi sisältää henkilötietoja seuraavasti:

• ilmoituksen tehneen henkilön nimi ja yhteystiedot, mikäli ilmoittaja on tiedot ilmoituksella antanut (ilmoitus on aina mahdollista tehdä anonyymisti);
• ilmoituksella annetut yksilöintitiedot epäillystä ilmoituksen kohdehenkilöstä/-henkilöistä ja henkilön lain tai eettisten periaatteiden vastaisesta toiminnasta;
• ilmoituksella annetut tiedot tapahtuman todistajasta/todistajista sillä laajuudella, millä ne on ilmoituksella annettu;
• sisäisen tutkinnan yhteydessä kerätyt tiedot koskien ilmoituksen kohdehenkilön menettelyä ja menettelyn lainmukaisuuden/toimintaperiaatteiden mukaisuuden arviointia;
• ilmoituksia käsittelevien henkilöiden tiedot, kuten nimi, tehtävänimike ja sähköpostiosoite; ja
• rekisterin käyttöön liittyvät tekniset tiedot, kuten käyttäjätunnukset ja sovelluskirjautumiset (lokit) käytössä olevien järjestelmien osalta.

Erityisiä henkilötietoryhmiä ei yleisesti ottaen käsitellä ilmoitusprosessin yhteydessä.

2. Mihin tarkoituksiin käsittelemme henkilötietoa?

Henkilötietoja voidaan käsitellä ainoastaan Oy Apotti Ab:n oikeudellisten ja eettisten velvoitteiden täyttämiseen ja tulleiden ilmoitusten asianmukaiseen selvittelyprosessiin.

Henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi sekä rekisterinpitäjän tai kolmannen osapuolen oikeutetun edun perusteella. Tietojen käsittely perustuu ilmoittajansuojelulakiin (laki Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta 1171/2022), minkä lisäksi Oy Apotti Ab:lla on oikeutettu etu saada tietoa yhtiöön ja sen toimintaan liittyvistä väärinkäytöksistä niihin puuttumiseksi sekä Oy Apotti Ab:n työntekijöiden ja yhteistyökumppanien eettisen ja lainmukaisen toiminnan varmistamiseksi.

Ilmoituskanava on lainsäädännön tunnistama tapa valvoa Oy Apotti Ab:n toimintatapojen lainmukaisuutta sekä eettisten periaatteiden toteutumista. Ilmoituskanavan kautta on mahdollista saada tietoa mahdollisista väärinkäytösepäilyistä ja rikkomuksista ja reagoida niihin ajoissa. Epäilyt tai havainnot voivat koskea esimerkiksi eettisten periaatteiden ja lainsäädännön vastaista toimintaa. Ilmoituskanavan olemassaolo tukee avointa ja läpinäkyvää yrityskulttuuria. Ilmoituksia epäilyksistä ja havainnoista voivat tehdä Oy Apotti Ab:n työntekijät sekä muut henkilöt.

Henkilötietoja käytetään ilmoitetun tapauksen tutkimisessa ja silloin kun väite on vahvistettu todeksi, kurinpito- ja korjaavien toimenpiteiden toimeenpanossa. Tietoja voidaan käyttää myös valvonnan kehittämiseen, analysointiin sekä tilastointiin.

3. Kenellä on pääsy henkilötietoihin ja luovutetaanko niitä kolmansille osapuolille

Oy Apotti Ab:lla on nimetyt henkilöt, jotka toteuttavat tutkimukset tai valvovat niitä, ja he käsittelevät henkilötietoja. Henkilötietoihin on pääsy vain niillä henkilöillä, jotka tarvitsevat tietoja.

Apotti-ilmoituskanavan ylläpito on ostettu ulkoiselta palveluntuottajalta SaaS-palveluna. EmCe Whistleblowing palvelun tuottaa Administer Oyj.

Henkilötietoja luovutetaan kolmansille osapuolille, esimerkiksi viranomaisille tai ulkopuolisille tarkastajille, vain silloin kun sille on lainmukainen peruste.

4. Säännönmukaiset tietolähteet

Rekisterissä olevien tietojen ensisijainen tietolähde on ilmoituksentekijä ja häneltä ilmoituksella ja siihen liittyneillä lisätietopyynnöillä saadut tiedot. Lisäksi rekisteriin kerätään tietoa ilmoituksen sisäisen tutkinnan yhteydessä tutkintaan liittyviltä eri osapuolilta. Muita tietolähteitä käytetään laissa säädetyissä rajoissa.

5. Mihin maihin siirrämme tietoa?

Henkilötietoa käsitellään vain Suomessa.

6. Miten suojaamme henkilötietoja?

Rekisterissä olevat henkilötiedot on suojattu lainsäädännössä edellytetyllä tavalla tietoturvallisuudesta huolehtien. Oy Apotti Ab on toteuttanut asianmukaiset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi vahingossa tapahtuvalta tai laittomalta häviämiseltä, luovuttamiselta, väärinkäytöltä, muuttamiselta, tuhoamiselta tai luvattomalta pääsyltä. Tietoa suojataan palomuurien ja erilaisten salaustekniikoiden avulla, minkä ohella käyttöön valitut laitetilat ovat turvallisia ja kulunvalvonta niissä asianmukainen. Järjestelmissä olevat tiedot varmuuskopioidaan säännöllisesti.

Käytössä oleva ilmoituskanava on suojattu teknisin keinoin, eikä ilmoituskanavan ylläpitäjällä ole pääsyä ilmoituksiin tai ilmoituksen tekijän tietoihin. Ilmoituskanava ei tallenna IP-osoitteita tai muita sellaisia tietoja, joilla voisi tunnistaa ilmoituksen lähettäjän. Ilmoituksen tekijästä ei tallennu järjestelmään mitään henkilötietoa, ellei hän itse tietoja sinne ilmoita. Ilmoittaja saa ilmoituksen tekovaiheessa numerokoodin, jonka avulla hän pystyy kirjautumaan ja seuraamaan tekemänsä ilmoituksen jatkokäsittelyä. Numerokoodi on ainoa tapa päästä ilmoitukseen käsiksi jälkikäteen, minkä vuoksi ilmoittajan tulee ottaa numerokoodi ilmoituksen teon yhteydessä talteen. Jos numerokoodi häviää, ilmoittaja joutuu tekemään uuden ilmoituksen.

Ainoastaan Oy Apotti Ab:n nimeämät henkilöt, jotka työnsä puolesta tarvitsevat tietoja, ovat oikeutettuja pääsemään järjestelmään ja käsittelemään järjestelmässä olevia tietoja. Henkilökohtaisten tunnusten käyttö vaaditaan. Oy Apotti Ab:n ilmoituskanavan edustajat eli whistleblowing-edustajat työskentelevät luottamuksellisesti.

7. Kuinka kauan säilytämme henkilötietoa?

Ilmoituskanavassa henkilötietoja säilytetään enintään yksi (1) vuosi Oy Apotti Ab:n ja rekisteröidyn välisestä viimeisestä aktiivisesta tapahtumasta lukien. Tietoja säilytetään pääsääntöisesti enintään kaksi (2) vuotta tutkimuksen päättymisestä. Säilytysaika voi kuitenkin vaihdella pakottavien säännösten vaatimuksesta. Mikäli asia etenee tuomioistuimeen ja käsittely tuomioistuimessa edellyttää pidempää säilytysaikaa, säilytetään tietoja oikeuskäsittelyn edellyttämän ajan.

8. Mitkä ovat rekisteröidyn oikeudet?

Alla kerromme sinulle tietosuoja-asetuksen mukaisista oikeuksistasi sekä siitä, miten niitä on rajoitettu ilmoittajansuojelulain soveltamisalaan kuuluvien tietojen käsittelyn osalta. Jos haluat käyttää oikeuksiasi, pyynnöt arvioidaan aina tilanne- ja tapauskohtaisesti.

Voit olla meihin yhteydessä sähköpostitse tietosuoja@apotti.fi milloin vain, jos sinulla kysyttävää tietosuojastasi ja henkilötietojesi käsittelystä, tai jos haluat käyttää henkilötietoihisi liittyviä oikeuksiasi. Jotta voimme vastata pyyntöösi, voimme tarvittaessa pyytää sinulta lisätietoja. Tällainen tilanne on kyseessä esimerkiksi silloin, kun emme voi riittävällä tasolla tunnistaa sinua pyyntösi ja sen yhteydessä meille antamiesi tietojen perusteella.

Toteutamme pyyntösi mahdollisimman pian ilman aiheetonta viivytystä. Määräaika tietojen toimittamiseksi tai tietopyyntöön liittyvien lisätietojen antamiseksi on kuukausi pyynnön vastaanottamisesta. Mikäli tietopyyntö on poikkeuksellisen monimutkainen ja laaja, määräaikaa voidaan jatkaa kahdella kuukaudella. Pääsääntöisesti tiedot toimitetaan sinulle samalla tavoin kuin miten tietopyyntö on sinulta vastaanotettu. Tietojen toimitustavasta sovimme tarkemmin yhdessä sinun kanssasi.

Tiedot toimitetaan lähtökohtaisesti maksutta. Jos tietopyyntö on ilmeisen perusteeton ja kohtuuton, erityisesti jos tietopyyntöjä esitetään toistuvasti, Oy Apotti Ab voi kuitenkin periä tietojen toimittamisesta aiheutuneet hallinnolliset kustannukset. Mahdollisista kustannuksista kerromme aina etukäteen perusteluineen.

Rekisteröidyllä on EU: n yleisen tietosuoja-asetuksen mukaan seuraavat oikeudet:

• Oikeus saada pääsy henkilötietoihin
• Oikeus tietojen oikaisemiseen
• Oikeus tietojen poistamiseen
• Oikeus käsittelyn rajoittamiseen
  • Oikeus vastustaa tietojen käsittelyä
  • Oikeus siirtää tiedot järjestelmästä toiseen

Huomaathan, etteivät kaikki rekisteröidyn oikeudet ole rajoittamattomia. Edellä kerrottuja rekisteröidyn oikeuksiasi on ilmoittajansuojelulain soveltamisalaan kuuluvien tietojen käsittelyn osalta rajoitettu siten, että sinulla ei ole tarkastusoikeutta kaikkiin rekisterissä oleviin tietoihin silloin, kun tietojen antaminen saattaisi haitata rikosten ehkäisemistä tai selvittämistä, tai jos tiedon antamisesta saattaisi aiheutua vakavaa vaaraa jonkun muun oikeuksille. Jos vain osa sinua koskevista tiedoista on sellaisia, että ne jäävät tarkastusoikeuden ulkopuolelle, sinulla on oikeus saada tietää muut sinusta talletetut tiedot. Oikeus vaatia rekisterissä olevan käsittelyn tarkoituksen kannalta virheellisen, puutteellisen, tarpeettoman taikka vanhentuneen tiedon oikaisemista tai poistamista rekisteristä koskee tietoja, joiden tarkastusoikeutta ei ole rajoitettu. Lisäksi oikeuttasi rajoittaa henkilötietojen käsittelyä ei sovelleta ilmoittajansuojelulaissa tarkoitettuun henkilötietojen käsittelyyn.  Jos tarvitset lisätietoja, ota yhteyttä tietosuoja@apotti.fi

Jos olet tyytymätön tapaan, jolla käsittelemme henkilötietojasi, eikä mahdollista henkilötietojesi käsittelyyn liittyvää erimielisyyttä saada sovinnollisesti ratkaistua sinun ja Oy Apotti Ab:n välillä, on sinulla oikeus viedä asia tietosuojaviranomaisen ratkaistavaksi. Suomessa tietosuojaviranomaisena toimii tietosuojavaltuutetun toimisto.  Ilmoituksen epäkohdasta henkilötietojen käsittelyssä voi tehdä tietosuojatoimiston internetsivuilla: https://tietosuoja.fi/ilmoitus-epakohdasta-henkilotietojen-kasittelyssa.