Tarkoitus

Tämä tietosuojakäytäntö koskee Allderma AB:tä (559156—4322) ja/tai mitä tahansa muuta yritystä, joka kuuluu samaan konserniin kuin edellä mainittu yritys jäljempänä (”Allderma”, ”me”, ”meidän”, ”me”).

Johto on hyväksynyt tietosuojakäytännön, ja sitä päivitetään tarpeen mukaan. Käytäntö muodostaa yleistä tietoa siitä, miten yritys käsittelee sisäisiä ja ulkoisia henkilötietoja.

Henkilötietoja käsitellään yrityksessä ja sen toiminnassa. Tietoja käsitellään muun muassa sen varmistamiseksi, että yritys pystyy täyttämään asiakkaiden, toimittajien ja työntekijöiden kanssa tehdyt sopimukset sekä lain mukaisten velvoitteiden vuoksi. Lähtökohtana on, että Allderman asiakkaat ovat rekisterinpitäjä kaikessa henkilötietojen käsittelyssä, joka tehdään meidän ja asiakkaidemme välisissä sopimuksissa. Tällaista käsittelyä varten yhtiö tekee asiakkaidensa kanssa henkilötietojen käsittelysopimukset ja käsittelee tietoja asiakkaan ja asiakkaan puolesta antamien ohjeiden mukaisesti.

Tämä yleinen tietosuojakäytäntö (”Tietosuojakäytäntö”) pätee, kun käsittelemme henkilötietoja oma tilieli kun Allderma on rekisterinpitäjä. Tämä tietosuojakäytäntö koskee kaikkia yrityksemme työntekijöitä ja palkattua henkilöstöä, mukaan lukien johto, toimihenkilöt, työntekijät ja muut henkilöt, jotka toimivat yrityksen puolesta tai puolesta.

Tämän tietosuojakäytännön yleisenä tarkoituksena on määrittää roolit ja vastuut organisaatiossamme sekä vahvistaa standardit ja periaatteet, joilla varmistetaan, että henkilötietojen kerääminen ja käsittely yrityksessä tapahtuu sovellettavan tietosuojalainsäädännön mukaisesti (määritelty jäljempänä).

‍

Määritelmät

Käsittely (henkilötietojen) on mikä tahansa automatisoitu vai ei henkilötietojen osalta toteutettu toimenpide tai toimien sarja, kuten tietojen kerääminen, rekisteröinti, organisointi, tallentaminen, käsittely, muuttaminen, rajoittaminen, mukauttaminen, poistaminen tai hävittäminen, luovuttaminen siirtämällä, levittämällä tai muulla tavalla toimittamalla tietoja, kokoaminen tai yhteenliittäminen.

Hoitotiedot viittaa tietojenkäsittelyrekisteriin, jota Allderma on velvollinen pitämään henkilötietojen käsittelyä varten GDPR:n artiklan 30i mukaisesti.

Tietosuojalainsäädäntö viittaa luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 27 päivänä huhtikuuta 2016 annettuun Euroopan parlamentin ja neuvoston asetukseen (EU) 2016/679 (GDPR”) ja mikä tahansa muu kansallinen tai eurooppalainen laki, asetus tai direktiivi, jota ajoittain sovelletaan Yhtiön suorittamaan henkilötietojen käsittelyyn.

Henkilötiedot on tiedot, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, joka on elossa. Tunnistettavissa olevalla luonnollisella henkilöllä tarkoitetaan henkilöä, joka voidaan tunnistaa suoraan tai välillisesti erityisesti viittaamalla tunnisteeseen, kuten nimeen, tunnistenumeroon, sijaintitietoihin tai verkkotunnuksiin, taikka yhteen tai useampaan luonnollisen henkilön fyysiseen, fysiologiseen, geneettiseen, psykologiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen identiteettiin liittyvään tekijään.

Rekisterinpitäjä on oikeushenkilö, joka yksin tai yhdessä muiden kanssa määrittää henkilötietojen käsittelyn tarkoitukset ja keinot.

Henkilötietojen käsittelijä on oikeushenkilö, joka käsittelee henkilötietoja rekisterinpitäjän, esim. Allderman toimittajien puolesta.

Tietosuojavaltuutettu (IMY) suorittaa tarkastuksia yksityishenkilöiden tekemien valitusten, joukkotiedotusvälineissä olevien tietojen perusteella tai omasta aloitteestaan. Toimenpiteisiin kuuluvat kenttätarkastukset ja tarkastukset kyselylomakkeilla tai muulla valvonnalla sähköpostitse, puhelimitse tai kirjeellä.

‍

Allderman personupp-lahjakäsittelyn perusperiaatteet

Noudatamme aina sovellettavaa tietosuojalainsäädäntöä henkilötietojen käsittelyssä.

Käsittelemme henkilötietoja vain laillisesti, oikein ja läpinäkyvästi suhteessa rekisteröidyn ja rekisterinpitäjään. Tämä tarkoittaa muun muassa sitä, että henkilötietojen käsittelyssä on noudatettava seuraavia perusperiaatteita:
‍

• Dokumentoitu henkilötietovastuu: Jokaisessa henkilötietojen käsittelyssä, jossa määritämme tarkoitukset ja keinot, yrityksessä on oltava yksi tai useampi yritys, jonka on katsottu olevan henkilötietojen rekisterinpitäjä. Vastuu käsittelytoimista, joissa yhtiön sisäiset yritykset ovat rekisterinpitäjänä, on dokumentoitava käsittelyrekisteriin.
• Oikeudellisesti matala: Henkilötietojen käsittely on suoritettava dokumentoidun oikeusperustan perusteella.
• Tarkoituksen rajoitus: Tiedot kerätään erityisiin, nimenomaisesti ilmoitettuihin tarkoituksiin, eikä niitä saa myöhemmin käsitellä yhteensopimattomalla tavalla.
• Tehtävän minimointi: Kerätään vain henkilötietoja, jotka ovat tarkoitukseen nähden riittäviä, merkityksellisiä eivätkä liian laajoja.
• Oikeus: Tietojen on oltava täsmällisiä ja ajantasaisia, ja niiden on voitava seurata muutoksia.
• Varastoinnin minimointi: Tietoja ei säilytetä pidempään kuin on tarpeen suhteessa tarkoitukseen.
• Luottamuksellisuus: Henkilötietoja on suojattava asianmukaisin teknisin ja organisatorisin turvatoimenpitein, jotta estetään luvaton tai luvaton käsittely sekä tietojen häviäminen, tuhoutuminen tai vääristyminen.

‍

Kun henkilötietojen käsittely on laillista

Yleistä tietoa oikeusperustasta

Henkilötietojen käsittely on laillista vain, jos vähintään yksi seuraavista edellytyksistä täyttyy:

• Rekisteröidyllä on ovat antaneet suostumuksensa hänen henkilötietojensa käsittely yhteen tai useampaan erityistarkoitukseen.
• Hoito on välttämätön vähennyksen täyttämiseksil, jossa rekisteröity on osapuoli, tai ryhtyä toimiin rekisteröidyn pyynnöstä ennen tällaisen sopimuksen tekemistä.
• Hoito on välttämättömiä lakisääteisen velvoitteen täyttämiseksi; joka on rekisterinpitäjän vastuulla.
• Hoito on välttämätöntä, jotta suojella olennaisen tärkeitä etuja; rekisteröidyn tai muun luonnollisen henkilön osalta.
• Hoito on tarpeen yleisen edun mukaisen tehtävän suorittamiseksi tai osana rekisterinpitäjän valtuuksien käyttöä.
• Hoito on jotka ovat tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettuihin etuihin liittyviin tarkoituksiin; paitsi jos rekisteröidyn edut tai perusoikeudet ja -vapaudet ovat suuremmat ja edellyttävät henkilötietojen suojaa.

Henkilötietojen käsittelyn oikeusperusta määritellään ja dokumentoidaan rekisterinpitäjän käsittelyrekisterissä. Epävarmuustapauksissa on neuvoteltava Allderman yleisen tietosuojapäällikön (GPM) kanssa.

‍

Henkilötietojen käsittelyn oikeusperusta rekrytoinnissa

Käsittely on välttämätöntä, jotta voimme käsitellä kanssamme työtä hakevan henkilön hakemuksen, ja se perustuu hakemuksen yhteydessä antamaasi suostumukseen. Meillä ei ole kiinnostusta tietää ammattiliiton jäsenyydestä, uskonnosta, seksuaalisesta suuntautumisesta, poliittisista näkemyksistä, sairauksista tai muista tiedoista, joilla ei ole merkitystä rekrytoinnin kannalta.

Tiettyä rekrytointiin liittyvää erityistä käsittelyä varten saatat tarvita lisätietoja, täydentäviä tai erilaisia tietoja henkilökohtaisesta henkilötietojen käsittelystä.

‍

Rekisteröidyn oikeudet

Olennainen osa tietosuojalainsäädäntöä on, että se sisältää tiettyjä lakisääteisiä ja sitovia oikeuksia rekisteröidyille, joiden henkilötietoja käsitellään. Rekisterinpitäjänä Alldermalla on velvollisuus helpottaa GDPR:n mukaisten oikeuksiensa käyttämistä.

Jos henkilö haluaa tietää, mitä tietoja hänestä on rekisteröity, tai jos henkilö haluaa käyttää muita GDPR:n mukaisia oikeuksiaan, sinut ohjataan Alldermas GPM: hen.

Rekisteröidyllä on myös oikeus peruuttaa antamansa suostumukset. Suostumuksen peruuttaminen ei vaikuta suostumukseen perustuvan käsittelyn laillisuuteen ennen sen peruuttamista.

Rekisteröidyllä on muun muassa oikeus:

• Oikeus tutustua henkilötiedoistaan, mikä tarkoittaa, että rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö rekisteröityä koskevia henkilötietoja, ja jos on, hänellä on myös pääsy henkilötietoihin ja tiettyihin käsittelyä koskeviin lisätietoihin.
• Oikeus tietojen siirrettävyyteen, mikä tarkoittaa, että tietyissä olosuhteissa rekisteröidyllä on oikeus tutustua henkilötietoihin voidakseen siirtää henkilötiedot toiselle rekisterinpitäjälle.
• Oikeus oikaisuun, poistamiseen tai rajoittamiseen henkilötietojensa käsittelystä ja oikeus vastustaa käsittelyä.
• Oikeus valittaa kansalliselle tietosuojaviranomaiselle (Ruotsissa IMY), jos heidän henkilötietojensa käsittely ei vastaa EU/ETA:n tietosuojalainsäädännön vaatimuksia.
• Oikeus peruuttaa suostumus jos ja siltä osin kuin tietylle käsittelylle on annettu erityinen suostumus.
• Oikeus vastustaa etujen tasapainottamista kun käsittely tapahtuu niin sanotun etujen tasapainottamisen perusteella yleisen tietosuoja-asetuksen 6 artiklan 1 kohdan f alakohdan mukaisesti.
• Oikeus vastustaa suoramarkkinointia henkilötietojensa käsittelyssä. Tällöin henkilötietoja ei enää käsitellä tällaisiin tarkoituksiin.

‍

Henkilötietojen tallentaminen ja poistaminen

Yleisen tietosuoja-asetuksen mukaan henkilötietoja ei saa säilyttää pidempään kuin laki sallii tai muutoin tarpeellista niiden käyttötarkoitusten kannalta. Tiedot, joita ei enää saa säilyttää, on poistettava ja hävitettävä pysyvästi (harvennus). Erityisolosuhteissa harvennus voidaan toteuttaa anonymisoimalla henkilötiedot sen tuhoamisen sijaan. Anonymisointi tarkoittaa, että kaikki tiedot, jotka mahdollistavat tietojen jäljittämisen rekisteröidylle, poistetaan peruuttamattomasti.

Jos on olemassa erityisiä lakeja tai määräyksiä, jotka edellyttävät henkilötietojen säilyttämistä tietyn ajan, kuten vero-, kirjanpito- tai rahanpesulainsäädännössä, tällaisia säännöksiä sovelletaan ennen yleistä tietosuoja-asetusta. Kirjanpitolaissa todetaan esimerkiksi, että kirjanpitotietoja on säilytettävä seitsemän vuoden ajan tilikauden päättymisvuodesta alkaen.

Yrityksen pääsääntö on, että henkilötiedot, joihin ei sovelleta erityisiä lakeja tai määräyksiä (yleisen tietosuoja-asetuksen lisäksi), tulee poistaa, kun emme enää tarvitse tietoja käsittelyn tarkoituksen täyttämiseksi.

‍

Turvallisuus henkilötietojen käsittelyssä

Kenraali

Allderma toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet estääkseen henkilötietojen tuhoamisen, muuttamisen tai vääristymisen. Tämä tarkoittaa sitä, että turvallisuusarviointi on tehtävä tapauskohtaisesti ja että eri prosessit/järjestelmät edellyttävät erilaisia turvatoimia riippuen tietojen arkaluonteisuudesta, tunkeutumisriskistä (ja muista riskeistä) ja haavoittuvuudesta.

Riskianalyysi

Ennen kuin aloitamme henkilötietojen käsittelyn, on tehtävä alustava riskianalyysi, jotta voidaan ottaa kantaa seuraaviin seikkoihin:

‍

• asianmukaiset tekniset ja organisatoriset turvatoimenpiteet kyseistä käsittelyä varten tietojen arkaluonteisuuden, asiaankuuluvien riskien ja haavoittuvuuden arvioinnin perusteella;
• Jos käsittely on mukautettu ulkopuolelta ja täyttää suunnittelua koskevat yksityisyyttä ja tietoturvaa koskevat vaatimuksemme.
• jos käsittely todennäköisesti aiheuttaa suuren riskin rekisteröityjen oikeuksille ja vapauksille esimerkiksi uuden teknologian käytön vuoksi tai koska rekisteröidyn ei voida olettaa tietävän, että heitä käsitellään; jos tällainen suuri riski havaitaan, vastuuhenkilölle on ilmoitettava asiasta ja päätettävä, tarvitaanko lisäanalyyseja tietosuojaa koskevan vaikutustenarvioinnin muodossa.

‍

Henkilötietojen siirto

‍

Siirto henkilötietoihin Tuet

Allderma voi siirtää henkilötietoja ulkopuoliselle osapuolelle, joka käsittelee henkilötietoja puolestamme ja ohjeidemme mukaisesti. Tällainen ulkopuolinen osapuoli on meille henkilötietojen käsittelijä ja hänen on aina allekirjoitettava avustussopimus Allderman kanssa. Allderman General Privacy Manager (GPM) on vastuussa siitä, että tällainen malli pidetään ajan tasalla sovellettavan tietosuojalainsäädännön mukaisesti ajoittain.

‍

Siirto henkilötietovastuullisille osapuolille

Allderma voi siirtää henkilötietoja toiselle ulkopuoliselle osapuolelle, jolla on oma henkilötietovastuu, edellyttäen, että meillä on oikeudellinen perusta tällaiselle siirrolle. Tällainen oikeusperusta voi olla esimerkiksi se, että siirto muodostaa meille oikeudellisen velvoitteen, tai asiakassopimus, joka antaa meille oikeuden siirtää tietoja.

‍

Henkilötietojen siirtäminen kolmanteen maahan

Jos ja siltä osin kuin henkilötietojen käsittelyyn liittyy henkilötietojen siirto EU/ETA-alueen ulkopuolelle, säilytetään tai muuten käsitellään, tarvitaan lisätoimenpiteitä käsittelyn laillisuuden varmistamiseksi. Riittää, että henkilötietoihin on pääsy EU/ETA:n ulkopuolelta tai että jokin infrastruktuuri tai resurssi sijaitsee EU/ETA:n ulkopuolella, jotta jatkotoimet ovat tarpeen. Kun henkilötietoja siirretään EU/ETA-alueen ulkopuolelle, rekisteröidylle on ilmoitettava siirron tarkoituksesta ja laajuudesta.

Toimenpiteet, joihin ryhdymme varmistaaksemme, että henkilötietojen käsittely on laillista EU/ETA-alueen ulkopuolella, on aina dokumentoitava ja hyväksyttävä Allderman yleisen tietosuojapäällikön (GPM) toimesta.

‍

Viranomaisen tietopyyntö

Allderma ja sen työntekijät ovat velvollisia toimittamaan tietoja henkilötietojen käsittelystä ja siihen liittyvistä olosuhteista IMY:n pyynnöstä. Myös muilla viranomaisilla voi olla oikeus saada meiltä henkilötietoja sisältäviä tietoja, kuten Ruotsin valvontaviranomaiselta, Ruotsin veroviranomaiselta tai Ruotsin ympäristörikoshallinnolta. Rikostutkinnan yhteydessä voi olla myös velvollisuus luovuttaa tietoja poliisille tai syyttäjille, ja tietoja saa luovuttaa vain tutkinnanjohtajan tai syyttäjän kirjallisesta pyynnöstä.

Säännöllisen ja pakollisen henkilötietojen siirron lisäksi viranomaisille, jotka meillä on lakisääteinen velvollisuus ilmoittaa (esim. palkkatiedot Ruotsin verovirastolle ja sairauslomaa koskevat tiedot Försäkringskassanille), henkilötietoja luovutetaan viranomaiselle vasta Allderman yleisen tietosuojapäällikön (GPM) kuulemisen jälkeen.

Allderman General Privacy Manager (GPM) vastaa yhteydenpidosta IMY:n kanssa. Kaikki yhteydenotot IMY:hen tai muihin viranomaisiin liittyen henkilötietojen käsittelyyn liittyen Allderman puolesta tulee lähettää Allderman General Privacy Managerille (GPM).

‍

Raportointi

Allderman General Privacy Manager (GPM) raportoi vuosittain tai tarpeen mukaan johdolle henkilötietojen käsittelystä ja lisäksi ilmoittaa välittömästi johdolle, jos ilmenee vakavia puutteita, tietosuojariskejä tai ongelmia.

Raportin on sisällettävä tämän tietosuojakäytännön mukaisesti suoritetun henkilötietojen seurannan ja valvonnan tulokset, mukaan lukien:

‍

• Jos käsittely on mukautettu ulkopuolelta ja täyttää sisäänrakennetun tietosuojan (yksityisyyden suunnittelu) ja tietoturvan vaatimukset.
• Henkilötietojen tietoturvaloukkausten määrä
• Noudatamme sovellettavaa tietosuojalainsäädäntöä ja tätä tietosuojakäytäntöä.
• kaikki yhteydenotot yksityisyyden suojaviranomaisen kanssa; ja
• Muutokset sovellettavaan tietosuojalainsäädäntöön ja henkilötietojen käsittelyyn liittyviin valvontakäytäntöihin.

‍

Yhteystiedot

Jos sinulla on kysyttävää henkilötietojesi käsittelystä, tästä käytännöstä tai jos haluat käyttää yllä mainittuja oikeuksiasi, voit ottaa meihin yhteyttä alla olevalla tavalla.

‍

Allderma AB (559156-4322)

Box 1890, 116 74, Tukholma

Puhelinnumero: 010-889 93 10s

Sähköposti: gpm@allderma.se

‍

Tämän käytännön on hyväksynyt Allderma AB.

‍

Päivitetty viimeksi: 20.8.2025

‍