Privacy and security policy

Finnish Travel Marketing Ltd´s (Sumama)

privacy and security policy

Updated 18.06.2018

INTRODUCTION

We at Sumama respect the privacy of our customers, partners and employees. This privacy and security policy explains how Sumama collects, uses, and processes various personal information and secures privacy. The Privacy and Security Policy defines the principles, responsibilities, obligations, practices, and the monitoring and control that the company pursues in the implementation and development of data protection and security. This policy is complemented by detailed provisions and instructions

Company registers include information about customers, employees and activities that must be protected by law. The processing of personal data is governed by the EU Data Protection Regulation and the related local legislation. The data protection and security policy dealt with and enforced by Sumama's management covers all tasks related to computing in the company. Each user of the Sumama employee and the information system must know this policy and follow the instructions and instructions given on it.

Non-Sumama Operators and other third parties should also commit themselves to comply with the laws, data protection and data security policies and data protection and security guidelines as a condition of their access to company information systems and their data files. When a company acts as a controller, it is required to sign a separate agreement on the processing of personal data (or attachment) by the suppliers. Individuals handling individual data are required to sign the privacy statement. When an enterprise acts as a personal data handler, a separate agreement on the processing of personal data is concluded.

Privacy refers to privacy when handling personal data. Data protection and security in accordance with an accepted privacy and security policy should be included as a natural part of all activities. The development and maintenance of data protection and security is part of the company's overall security, risk management and internal control.

DATA PROTECTION AND INFORMATION SECURITY

The aim of data protection and data security is to safeguard the legitimate processing of personal data, to ensure the uninterrupted operation of enterprise information systems and data networks, to prevent security breaches and the unauthorized access of third parties to information systems and / or their unauthorized use, to prevent unintentional or deliberate destruction or distortion of information and to minimize the resulting damage. In addition, provision is made for action interception threats and solving them.

ORGANIZATION AND RESPONSIBILITIES

Data protection and security are managed and supervised by the company's director. The director decides on the overall objectives of the development of the various areas of the company, the organization, the resources and the powers of action. The director of the company, who appoints the data protection officer, is responsible for data protection and security.

The data protection officer is responsible for the tasks under the EU Data Protection Regulation and local legislation. The security officer is responsible for the company's overall security work within the resources and powers given by the company management. He is also responsible for the communication and information about security issues.

The duties of the data protection officer are:

* The tasks of the Data Protection Officer are defined in the EU Data Protection Regulation

* The IT security officer is responsible for defining, evaluating, and reporting information security. He is responsible for the information security development plans, monitoring of implementation, promotion of information security and a secure way of operating the company and the services it purchases, as well as reporting.

* The security officer is responsible for hardware and software security.

* The IT security officer is responsible for personnel safety in terms of information security.

Each register containing the personal data of the company has a person responsible for the register whose responsibilities are described in the EU Data Protection Regulation and local law.

Each company information system has a responsible person. The person in charge of the information system is responsible for defining the requirements of the operation and security of the information system (eg criticality, continuity planning and backup procedures), as well as the granting and monitoring of access rights.

The director of the company is responsible for instructing, informing and controlling of data protection issues.

Each company employee, managing personal information or other information, the administrator or user of information systems or data networks, is responsible for the implementation of data protection and security and for compliance with the instructions. Everyone is responsible for reporting threats and occurrences of data protection or security to a data protection or security officer.

IMPLEMENTATION

The foundation for implementing data protection and security is the company's written privacy and security policy, which is provided to every employee of the company and to the information system user.

The company's privacy and data security principles are based on the EU Data Protection Regulation and national law. Implementation and maintenance of data protection and security are described in detail in separate instructions. Achieving the goals of data protection and security is a continuous process.

User actions are guided by strengthened and available guidance and data protection and data security training.

CONTROLLING AND MONITORING

The task of the company's management and the person in charge is to monitor the implementation of data protection and security.

The task of the security officer is to control and monitor the company's security and take action to improve security.

ACQUISITION OF INFORMATION, SOURCES AND DATA GROUPS

The acquisition of information, sources and data groups formed from the registers are described separately in the data protection report for each registry.

CREATING DATA TO CUSTOMERS AND TRANSPARENCY TO REGISTERED

The disclosure of information to customers as well as the transparency of the registrants are described in the data protection report for each registry.

CO-OPERATION WITH DIFFERENT INTEREST GROUPS AND AUTHORITIES

The company co-operates with various interest groups and authorities in accordance with the EU Data Protection Regulation, local legislation and separate legislation.

INTERNATIONALITY

The company does not provide personal data outside the EU without valid reason, with the consent of the person and after checking the recipient's security procedures.

DATA PROTECTION SURPERVISORY AUTHORITY

The Data Protection Ombudsman is the authority that controls, advises and supervises the processing of personal data in accordance with the Personal Data Act. The EDPS exercises decision-making power in matters relating to the exercise of the right of inspection and correction of information, as well as to provide solutions to the legality of the maintenance of registers and to the exercise of the rights of the data subjects.

UPDATING DATA PROTECTION AND SECURITY PRINCIPLES

The privacy and security principles are in line with our current policy. We update the principles regularly, minimum once a year.

Suomen matkailumarkkinoinnin (Sumama) tietosuoja- ja tietoturvapolitiikka

Päivitetty 18.6.2018

JOHDANTO

Me Sumamassa kunnioitamme asiakkaiden, kumppaneiden ja työntekijöiden yksityisyyttä. Tässä tietosuoja- ja tietoturvapolitiikassa kerrotaan, miten Sumama kerää, käyttää ja käsittelee erilaisia henkilötietoja ja varmistaa yksityisyyden suojan. Tietosuoja- ja tietoturvapolitiikka määrittelee ne periaatteet, vastuut, velvoitteet, toimintatavat sekä seurannan ja valvonnan, joita yrityksessä noudatetaan tietosuojan ja -turvan toteuttamisessa ja kehittämisessä. Tätä politiikkaa täydentävät yksityiskohtaiset määräykset ja ohjeet.

Yrityksen rekisterit sisältävät asiakkaisiin, työntekijöihin ja toimintaan liittyvää tietoa, joka on lainsäädännön perusteella suojattava. Henkilötietojen käsittelystä on säädelty EU:n tietosuoja-asetuksella sekä tähän liittyvällä paikallisella lainsäädännöllä. Sumaman johdon käsittelemä ja vahvistama tietosuoja- ja tietoturva-politiikka kattaa yritykseen kaikkeen toimintaan liittyvät tietojenkäsittelyn tehtävät. Jokaisen Sumaman työntekijän ja tietojärjestelmien käyttäjän on tunnettava tämä politiikka ja noudatettava sen perusteella annettuja ohjeita ja määräyksiä.

Sumaman ulkopuolisten toimijoiden ja muiden ulkopuolisten tahojen tulee myös sitoutua noudattamaan lainsäädäntöä, tätä tietosuoja- ja tietoturvapolitiikkaa sekä tietosuojaa ja -turvaa koskevia ohjeita ehtona tehtäviensä mukaiselle pääsylle yrityksen tietojärjestelmiin ja niiden tietoaineistoihin. Yrityksen toimiessa rekisterinpitäjänä edellytetään toimittajilta erillisen henkilötietojen käsittelyä koskevan sopimuksen (tai liitteen) allekirjoitusta. Yksittäisiltä tietoja käsitteleviltä henkilöiltä edellytetään tietosuoja-sitoumuksen allekirjoitus. Yrityksen toimiessa henkilötietojen käsittelijänä solmitaan erillinen sopimus henkilötietojen käsittelystä.

Tietosuojalla tarkoitetaan yksityisyyden suojaamista henkilötietoja käsiteltäessä. Hyväksytyn tietosuoja- ja tietoturvapolitiikan mukainen tietosuoja ja -turva tulee sisällyttää luonnollisena osana kaikkeen toimintaan. Tietosuojan ja -turvan kehittäminen ja ylläpito on osa yrityksen yleistä turvallisuustoimintaa, riskien hallintaa ja sisäistä valvontaa.

TIETOSUOJA- JA TIETOTURVATYÖ

Tietosuoja- ja tietoturvatyön tavoite on turvata henkilötietojen lainmukainen käsittely, varmistaa yrityksen tietojärjestelmien ja tietoverkkojen keskeytymätön toiminta, estää tietoturvaloukkaukset sekä ulkopuolisten asiaton pääsy tietojärjestelmiin ja/tai niiden valtuudeton käyttö, estää tietojen tahaton tai tahallinen tuhoutuminen tai vääristyminen sekä minimoida aiheutuvat vahingot. Lisäksi varaudutaan toiminnan keskeyttäviin uhkatilanteisiin ja niiden ratkaisemiseen.

ORGANISOINTI JA VASTUUT

Tietosuojaa ja -turvaa johtaa ja valvoo yrityksen johtaja. Johtaja päättää yrityksen kokonaisturvallisuuden eri osa-alueiden kehittämisen tavoitteista, organisoinnista, resursseista ja toimintavaltuuksista. Tietosuojasta sekä tietoturvasta vastaavana toimii yrityksen johtaja, joka nimeää tietosuojavastaavan.
Tietosuojavastaava vastaa EU-tietosuoja-asetuksen sekä paikallisen lainsäädännön mukaisista tehtävistä. Tietoturvavastaava vastaa yrityksen tietoturvatyön kokonaisuudesta yrityksen johdolta saamiensa resurssien ja toimintavaltuuksien puitteissa. Hän vastaa myös tietoturva-asioiden viestinnästä.
Tietoturvavastaavan tehtävät ovat:

Tietosuojavastaavan tehtävät on määritelty EU-tietosuoja-asetuksessa
Tietoturvavastaava vastaa tietoturvan määrittelystä, arvioinnista ja raportoinnista. Hän vastaa tietoturvan kehittämissuunnitelmien tekemisestä, toteutuksen valvonnasta, tietoturvatietouden edistämisestä ja tietoturvallisesta toimintatavasta yrityksessä ja sen ostamissa palveluissa sekä raportoinnista.
Tietoturvavastaava vastaa laitteisto- ja ohjelmistoturvallisuudesta.
Tietoturvavastaava vastaahenkilöstöturvallisuudesta tietoturvallisuuden osalta.
Jokaisella yrityksen henkilötietoja sisältävällä rekisterillä on rekisteristä vastaava henkilö, jonka vastuut on kuvattu EU-tietosuoja-asetuksessa ja paikallisessa lainsäädännössä.

Jokaisella yrityksen tietojärjestelmällä on vastuuhenkilö. Tietojärjestelmän vastuuhenkilön velvollisuuksiin kuuluu tietojärjestelmän toimintaan ja turvallisuuteen asetettavien vaatimusten (esim. kriittisyyden, jatkuvuussuunnittelun ja varmuuskopiointimenettelyn) määrittely sekä käyttöoikeuksien myöntäminen ja valvonta.

Tietoturva-asioiden ohjeistamisesta, tiedottamisesta ja valvonnasta omassa yksikössään vastaa yrityksen johtaja.

Jokainen yrityksen työntekijä, henkilötietoja tai muita tietoja käsittelevä, tietojärjestelmien tai tietoverkkojen ylläpitäjä tai käyttäjä on omalta osaltaan vastuussa tietosuojan ja -turvan toteuttamisesta sekä ohjeiden noudattamisesta. Jokainen henkilö on velvollinen tietosuojaan tai -turvaan liittyvien uhkien ja poikkeamien raportoimisesta tietosuoja- tai tietoturvavastaavalle.

TOTEUTUS

Tietosuojan ja -turvan toteuttamisen perusta on tämä yrityksen kirjallinen tietosuoja- ja tietoturvapolitiikka, joka annetaan tiedoksi jokaiselle yrityksen työntekijälle ja tietojärjestelmien käyttäjälle.

Yrityksen tietosuoja- ja tietoturvaperiaatteet perustuvat EU-tietosuoja-asetukseen ja kansalliseen lainsäädäntöön. Tietosuojan ja -turvan toteuttaminen ja ylläpito kuvataan yksityiskohtaisesti erillisissä ohjeissa. Tietosuojan ja -turvan tavoitteiden saavuttaminen on jatkuva prosessi.

Käyttäjien toimintaa ohjataan vahvistetuilla ja saatavilla olevilla ohjeilla sekä tietosuoja- ja tietoturvakoulutuksella.

SEURANTA JA VALVONTA

Yrityksen johdon ja vastuuhenkilön tehtävänä on valvoa tietosuojan- ja tietoturvan toteutumista.
Tietoturvavastaavan tehtävänä on seurata ja valvoa yrityksen tietoturvan toteutumista ja ryhtyä tarvittaessa toimenpiteisiin tietoturvan parantamiseksi.

TIETOJEN HANKINTA, LÄHTEET JA TIETORYHMÄT

Tiedon hankintatavat, lähteet sekä rekisteröidyistä muodostetut tietoryhmät on erikseen kuvattu kunkin rekisterin tietosuojaselosteessa.

TIETOJEN LUOVUTTAMINEN ASIAKKAILLE JA AVOIMUUS REKISTERÖITYJÄ KOHTAAN

Tietojen luovuttaminen asiakkaille sekä avoimuus rekisteröityjä kohtaan on kuvattu kunkin rekisterin osalta tietosuojaselosteessa.

YHTEISTYÖ ERI INTRESSIRYHMIEN JA VIRANOMAISTEN KANSSA

Yritys tekee yhteistyötä eri intressiryhmien ja viranomaisten kanssa EU-tietosuoja-asetuksen, paikallisen lainsäädännön ja erillislainsäädännön mukaisesti.

KANSAINVÄLISYYS

Yritys ei toimita henkilötietoja EU-alueen ulkopuolelle ilman pätevää syytä, henkilön omalla suostumuksella ja tarkistettuaan vastaanottajan tietoturvamenettelyt.

TIETOSUOJAA VALVOVA VIRANOMAINEN

Tietosuojavaltuutettu on viranomainen, joka ohjaa, neuvoo ja valvoo henkilötietojen käsittelyä henkilötietolain mukaisesti. Tietosuojavaltuutettu käyttää päätösvaltaa tarkastusoikeuden toteuttamista ja tiedon korjaamista koskevissa asioissa sekä antaa ratkaisuja rekisterinpidon lainmukaisuudesta ja rekisteröityjen oikeuksien toteutumisesta.

TIETOSUOJA- JA TIETOTURVAPERIAATTEIDEN PÄIVITTÄMINEN

Tietosuoja- ja tietoturvaperiaatteet ovat tämän hetken käytäntömme mukaiset. Päivitämme periaatteita säännöllisesti ja vähintään vuosittain.