Tietosuojakäytäntö
Yksityisyytesi on meille erittäin tärkeää. Olemme laatineet tämän yleisen tietosuojakäytännön kertoaksemme sinulle, kuinka keräämme, käytämme, säilytämme, jaamme, luovutamme, lähetämme, poistamme tai muutoin käsittelemme (yhteisesti "käsittelemme") henkilötietojasi. Tässä yleisessä tietosuojakäytännössä kuvataan toimenpiteet, joiden avulla varmistamme, että henkilötietojasi suojellaan. Kerromme myös, kuinka voit ottaa meihin yhteyttä, mikäli sinulla on tietosuojaa koskevia kysymyksiä.
Soveltamisala
Yleistä tietosuojakäytäntöä sovelletaan Sodexo Suomen yksiköiden (jäljempänä ”Sodexo”) osana maailmanlaajuista organisaatiota kaikkine ulottuvuuksineen ja toimintoineen, kaikissa toimintapaikoissamme ja kaikilla maantieteellisillä alueilla, joilla toimimme, kun sovelletaan eurooppalaista tietosuojalainsäädäntöä eli yleistä tietosuoja-asetusta (GDPR).
Tätä käytäntöä sovelletaan niiden henkilötietojen käsittelyyn, joita Sodexo on suoraan tai välillisesti kerännyt kaikilta henkilöiltä, mukaan lukien Sodexon nykyiset, aiemmat tai mahdolliset tulevat työnhakijat, työntekijät, asiakkaat, kuluttajat, lapset, tavarantoimittajat/hankkijat, urakoitsijat/aliurakoitsijat, osakkeenomistajat ja mitkä tahansa kolmannet osapuolet, näihin kuitenkaan rajoittumatta, ja ”henkilötiedoilla” tarkoitetaan mitä tahansa tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevaan yksilöön tai henkilöön, jonka voisimme tunnistaa kohtuudella käytettävissä olevin keinoin.
Tässä käytännössä termeillä ”sinä” ja ”sinun” tarkoitetaan ketä tahansa käytännön piiriin kuuluvaa henkilöä. Termeillä ”me”, ”meille”, ”meidän” ja ”Sodexo” tarkoitetaan Sodexon yksiköiden maailmanlaajuista organisaatiota.
Henkilötietojesi kerääminen ja käsitteleminen
Eurooppalaisen tietosuojalainsäädännön ja muiden sovellettavien paikallisten tietosuojalakien noudattaminen
Olemme sitoutuneet noudattamaan kaikkia henkilötietoihin liittyviä sovellettavia lakeja ja varmistamme, että henkilötietoja kerätään ja käsitellään eurooppalaisen tietosuojalainsäädännön ja muiden mahdollisesti sovellettavien paikallisten lakien ja säännösten mukaisesti.
Lainmukaisuus, kohtuullisuus ja läpinäkyvyys
Emme kerää tai käsittele henkilötietoja, ellei meillä ole siihen laillista perustetta. Meidän on ehkä kerättävä ja käsiteltävä henkilötietojasi, jos se on tarpeen sopimuksen täytäntöönpanemiseksi kanssasi tai lakisääteisen velvollisuutemme täyttämiseksi tai, mikäli tarpeen, jos olet antanut siihen suostumuksesi etukäteen. Saatamme kerätä ja käsitellä henkilötietojasi myös Sodexon oikeutettujen etujen perusteella, paitsi tilanteissa, joissa sinun etusi tai perusoikeutesi ja -vapautesi syrjäyttävät tällaiset etumme.
Kun keräämme ja käsittelemme henkilötietojasi, toimitamme sinulle asianmukaisen ja täydellisen ilmoituksen tai tietosuojalausunnon siitä, kuka on vastuussa henkilötietojesi käsittelystä, mihin tarkoituksiin henkilötietojasi käsitellään, ketkä ottavat niitä vastaan, mitä oikeuksia sinulla on ja kuinka voit niitä käyttää, jne. ellei tämä osoittaudu mahdottomaksi tai aiheuta kohtuutonta vaivaa.
Pyydämme suostumustasi etukäteen, mikäli sovellettava laki sitä edellyttää (esim. ennen arkaluotoisten henkilötietojen keräämistä).
Laillinen tarkoitus, käyttötarkoitussidonnaisuus ja tietojen minimointi
Henkilötietojasi kerätään määritettyjä, nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä myöhemmin näiden tarkoitusten kanssa yhteensopimattomalla tavalla.
Kun Sodexo toimii omasta puolestaan, henkilötietojasi käsitellään pääasiassa seuraaviin tarkoituksiin, niihin kuitenkaan rajoittumatta: rekrytoinnin hallinta; henkilöstöhallinto; kirjanpito ja taloushallinto sekä niihin liittyvä valvonta ja raportointi, rahoitus, kassanhallinta ja verohallinto; riskienhallinta; työntekijöiden turvallisuuden hallinta; aktiivihakemiston, IT-työkalujen tai sisäisten verkkosivustojen ja muiden digitaalisten ratkaisujen tai yhteistyöalustojen tarjoaminen; IT-tuen hallinta, mukaan lukien infrastruktuurin hallinta, järjestelmien hallinta ja sovellukset; terveyden ja turvallisuuden hallinta; tietoturvan hallinta; asiakassuhteiden hallinta; tarjousten, myynnin ja markkinoinnin hallinta; toimitusketjun hallinta; sisäinen ja ulkoinen viestintä ja tilaisuuksien järjestäminen; rahanpesun torjuntaan liittyvien velvollisuuksien tai muiden laillisten vaatimusten noudattaminen; tietojen analysointi; oikeudellinen yritysjohtaminen sekä sääntöjenmukaisuusprosessien toteuttaminen.
Tietojen täsmällisyys ja säilytyksen rajoittaminen
Sodexo pitää käsitellyt henkilötiedot täsmällisinä ja tarvittaessa päivitettyinä. Tämän lisäksi säilytämme henkilötietoja vain niin kauan kuin on tarpeen niitä keräämäämme tarkoitusta varten, mukaan lukien oikeudellisten, kirjanpito- tai raportointivaatimusten täyttämiseksi, ja jos Sodexo tarvitsee niitä oikeudellisten vaatimusten esittämiseksi tai puolustautumiseksi niitä vastaan, asianomaisen säilytysajan päättymiseen saakka tai siihen saakka, kunnes kyseiset vaatimukset on ratkaistu. Jos haluat lisätietoja säilyttämispolitiikkamme mukaisista henkilötietojesi erityisistä säilytysajoista, voit ottaa meihin yhteyttä osoitteessa privacy.nordics@sodexo.com.
Sovellettavan säilytysajan päätyttyä tuhoamme henkilötietosi turvallisesti sovellettavien lakien ja asetusten mukaisesti.
Henkilötietojesi turvallisuus
Konsernimme tietoturvakäytännön mukaisesti käytämme asianmukaisia teknisiä ja organisatorisia menetelmiä suojataksemme henkilötietojasi vahingossa tapahtuvalta tai laittomalta muuttamiselta tai häviämiseltä tai luvattomalta käytöltä, luovuttamiselta tai henkilötietoihin pääsyltä.
Ryhdymme tarvittaessa kaikkiin sisäänrakennetun tietosuojan ja oletusarvoisen tietosuojan periaatteiden mukaisiin kohtuullisiin toimenpiteisiin toteuttaaksemme tarvittavat suojatoimet ja turvataksemme henkilötietojen käsittelyn.
Käsittelyn riskitasosta riippuen suoritamme myös tietosuojaa koskevan vaikutustenarvioinnin (Privacy Impact Assessment, ”PIA”) ottaaksemme käyttöön asianmukaiset suojatoimet ja varmistaaksemme henkilötietojen suojelun. Arkaluontoisiksi katsottujen henkilötietojen kohdalla käytämme myös muita suojatoimia.
Henkilötietojesi luovuttaminen
Jaamme henkilötietojasi seuraavissa tilanteissa:
- Sodexon yksiköiden kanssa tässä tietosuojakäytännössä kuvattuihin tarkoituksiin;
- kolmansien osapuolten kanssa, mukaan lukien tietyt palveluntarjoajat, joita olemme käyttäneet tässä tietosuojakäytännössä kuvattuihin tarkoituksiin ja tarjoamiimme palveluihin liittyen;
- yritysten kanssa, jotka tarjoavat palveluja rahanpesun ja terrorismin rahoituksen tarkastuksia ja muita petosten ja rikosten torjuntatarkoituksia varten, sekä yritysten kanssa, jotka tarjoavat vastaavia palveluja, mukaan lukien rahoituslaitokset ja sääntelyelimet, joiden kanssa tällaisia henkilötietoja jaetaan;
- tuomioistuimille, lainvalvontaviranomaisille, sääntelyviranomaisille, valtion virkamiehille tai asianajajille tai muille osapuolille, jos se on kohtuudella tarpeen oikeudellisen tai kohtuullisen vaatimuksen laatimiseksi, esittämiseksi tai puolustamiseksi tai luottamuksellisen vaihtoehtoisen riidanratkaisumenettelyn tarkoituksiin;
- palveluntarjoajien kanssa, joita käytämme Sodexon sisällä tai sen ulkopuolella, kotimaassa tai ulkomailla, esim. yhteiset palvelukeskukset, henkilötietojen käsittelemiseksi edellä lueteltuihin tarkoituksiin meidän puolestamme ja ainoastaan meidän ohjeidemme mukaisesti;
- jos myymme tai ostamme liiketoimintaa tai omaisuutta, jolloin saatamme luovuttaa henkilötietojasi tällaisen liiketoiminnan tai omaisuuden mahdolliselle myyjälle tai ostajalle, jolle siirrämme tai luovutamme oikeuksiamme ja velvollisuuksiamme.
ChatBot käyttäjänseuranta
Käytämme kolmannen osapuolen; Leadoon käyttäjänseurantaa seurataksemme miten käyttäjämme liikkuvat nettisivuillamme ja yhdistämme tämän datan käyttäjän tietoihin joita kerätään esim. Chat interaktioiden kautta. Leadoo käyttää etag seurantaa joka teknisesti eroaa keksipohjaisesta seurannasta, mutta johon pätee samat lainalaisuudet kuin evästeisiin. Tarkista Leadoo Marketing Technologies Oyn tietosuojakäytäntö (https://leadoo.com/privacy-policy/) tietääksesi enemmän siitä mitä järjestelmässä seurataan. GDPR mielessä me toimimme kontrollerina ja Leadoo datan prosessorina. Voit lopettaa seurannan tyhjentämällä selaimesi välimuistin käynnin jälkeen. Lisätietoja siitä miten Leadoo toimii tarkista https://leadoo.com/privacy-policy-processor/
Kansainväliset henkilötietojen siirrot
EU:n tietosuojalainsäädäntö ei salli henkilötietojen siirtoa ETA-alueen ulkopuolisiin kolmansiin maihin, jotka eivät tarjoa riittävän tasoista tietosuojaa. Euroopan komissio ei katso joidenkin maiden, joissa Sodexolla on liiketoimintaa, tarjoavan henkilöiden tietosuojaoikeuksien kannalta riittävää tietosuojan tasoa.
Sodexo on ottanut käyttöön riittävät suojatoimet henkilötietojesi suojaamiseksi, kun henkilötietojasi siirretään tällaisiin maihin joko Sodexon sisäisille tai ulkopuolisille yksiköille. Saat lisätietoja henkilötietojesi siirtämisestä Euroopan ulkopuolelle henkilötietojasi kerättäessä asianmukaisissa tietosuojaselosteissa.
Jos haluat lisätietoja, mukaan lukien kopion asiakirjoista, joilla tietojasi suojataan, ota yhteyttä osoitteeseen privacy.nordics@sodexo.com.
Evästeet
Jotkin verkkosivustomme saattavat käyttää "evästeitä". Evästeet ovat tekstin osia, jotka sijoitetaan tietokoneesi kovalevylle, kun vierailet tietyillä verkkosivustoilla. Saatamme käyttää evästeitä esimerkiksi saadaksemme tietää, oletko käynyt sivustollamme aiemmin vai oletko uusi kävijä, ja jotta voisimme tunnistaa ominaisuuksia, jotka kiinnostavat sinua eniten. Evästeet voivat parantaa verkkokokemustasi tallentamalla asetuksesi, kun vierailet verkkosivustolla.
Kun käyt verkkosivustoillamme, ilmoitamme sinulle, minkä tyyppisiä evästeitä käytämme ja kuinka voit poistaa nämä evästeet käytöstä. Jos laki sitä edellyttää, voit käydä verkkosivustoillamme ja kieltää evästeiden käytön tietokoneellasi koska tahansa. Lisätietoja saat evästekäytännöstämme.
Oikeutesi
Sodexo on sitoutunut turvaamaan soveltuvaan lainsäädäntöön perustuvat oikeutesi. Alla oleva taulukko sisältää yhteenvedon eri oikeuksistasi:
Oikeus saada pääsy tietoihin
Voit pyytää pääsyä henkilötietoihisi. Voit myös pyytää virheellisten henkilötietojesi oikaisua ja puutteellisten henkilötietojesi täydentämistä.
Oikeus tietojen poistamiseen
Oikeutesi tulla unohdetuksi oikeuttaa sinut pyytämään henkilötietojesi poistamista, jos
- tietoja ei enää tarvita
- päätät peruuttaa suostumuksesi
- vastustat henkilötietojesi automaattista käsittelyä teknisiä ominaisuuksia hyödyntäen
- henkilötietojasi on käsitelty lainvastaisesti
- henkilötietosi on poistettava lakisääteisen velvoitteen noudattamiseksi
- poistaminen on tarpeen soveltuvan lainsäädännön noudattamiseksi.
Oikeus käsittelyn rajoittamiseen
Voit pyytää henkilötietojesi käsittelyn rajoittamista, jos
- kiistät henkilötietojen paikkansapitävyyden
- Sodexo ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin
- olet vastustanut käsittelyä oikeutetusta syystä.
Oikeus siirtää tiedot järjestelmästä toiseen
Voit tarvittaessa pyytää Sodexolle toimittamiesi henkilötietojen siirtämistä jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja sinulla on oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle Sodexon estämättä, jos
(a) henkilötietojesi käsittely perustuu suostumukseen tai sopimukseen; ja
(b) käsittely suoritetaan automaattisesti.
Voit myös pyytää, että henkilötietosi siirretään suoraan valitsemallesi kolmannelle osapuolelle (jos se on teknisesti mahdollista).
Oikeus vastustaa käsittelyä suoramarkkinointitarkoituksia varten
Voit vastustaa henkilötietojesi käsittelyä erityisesti profiloinnin tai markkinointiviestinnän yhteydessä (eli käyttää oikeuttasi "opt-out"). Kun käsittelemme henkilötietojasi suostumuksesi perusteella, voit peruuttaa suostumuksesi milloin tahansa.
Oikeus olla joutumatta automaattisten päätösten kohteeksi
Sinulla on oikeus olla hyväksymättä päätöksiä, jotka perustuvat ainoastaan automaattiseen käsittelyyn, profilointi mukaan lukien, ja joilla on oikeudellisia vaikutuksia tai muita merkittäviä vaikutuksia sinuun.
Oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle
Voit halutessasi tehdä valituksen sen maan tietosuojaviranomaiselle, jossa sinulla on vakinainen asuinpaikka, työpaikka tai paikka, jossa väitetty rikkomus on tapahtunut, riippumatta siitä, oletko kärsinyt vahinkoa.
Oikeus suostumuksen perumiseen
Sinulla on oikeus perua henkilötietojesi käsittelyyn antamasi suostumus
Voit käyttää näitä oikeuksiasi lähettämällä pyyntösi joko yleiseen sähköpostiosoitteeseen, joka on ilmoitettu tietosuojailmoituksissa ja/tai tietosuojakäytännöissä, jotka annettiin sinulle henkilötietojesi keräämisen yhteydessä, ja/tai paikalliseen tietosuojayhteyshenkilöön osoitteeseen privacy.nordics@sodexo.com ja/tai konsernin tietosuojavastaavalle osoitteeseen dpo.group@sodexo.com tai täyttämällä tämän lomakkeen.
Voit halutessasi tehdä valituksen sen maan tietosuojaviranomaiselle, jossa sinulla on vakinainen asuinpaikka, työpaikka tai paikka, jossa väitetty rikkomus on tapahtunut, riippumatta siitä, oletko kärsinyt vahinkoa. Sinulla on myös oikeus tehdä valitus tuomioistuimessa, jossa Sodexo-yksiköllä on toimipaikka tai jossa sinulla on asuinpaikkasi.
Lapset
Lapset ansaitsevat erityistä suojelua henkilötietojensa osalta, koska he saattavat olla vähemmän tietoisia riskeistä, seurauksista ja suojatoimista sekä oikeuksistaan henkilötietojen käsittelyssä. Tällaista erityissuojaa olisi sovellettava erityisesti lasten henkilötietojen käyttöön markkinointitarkoituksiin tai henkilö- tai käyttäjäprofiilien luomiseen sekä lasten henkilötietojen keräämiseen, kun käytetään suoraan lapselle tarjottuja palveluja.
Me emme kerää tai käytä lasten henkilötietoja ilman vanhempainvastuunkantajan suostumusta, jos sellaista edellytetään. Emme varsinkaan mainosta tai markkinoi palveluitamme lapsille, paitsi erityispalveluiden osalta ja vanhempainvastuunkantajan suostumuksella. Jos uskot, että olemme keränneet virheellisesti lasten henkilötietoja, ilmoita siitä meille alla olevilla yhteystiedoilla
Päivitys
Voimme päivittää tätä yleistä tietosuojakäytäntöä ajoittain, kun liiketoimintamme tai oikeudelliset vaatimukset muuttuvat. Jos teemme merkittäviä muutoksia tähän käytäntöön, julkaisemme ilmoituksen verkkosivustollamme, kun muutokset astuvat voimaan ja, tarvittaessa, lähetämme ilmoituksen muutoksesta suoraan sinulle.
Ota yhteyttä
Jos sinulla on tätä käytäntöä koskevia kysymyksiä, kommentteja tai pyyntöjä, voit lähettää ne paikalliselle tietosuojayhteyshenkilöllesi osoitteeseen privacy.nordics@sodexo.com ja/tai konsernin tietosuojavastaavalle osoitteeseen dpo.group@sodexo.com tai lähettää kirjeen osoitteeseen Sodexo SA, Group Data Protection Officer, 255 quai de la bataille de Stalingrad, 92130 Issy-les-Moulineaux, France.
Päivitetty viimeksi - lokakuu 2019
Määritelmät
Valitus tarkoittaa rekisteröidyn valvontaviranomaiselle jättämää valitusta tilanteessa, jossa rekisteröity katsoo, että hänen sovellettaviin tietosuojalakeihin perustuvia oikeuksiaan on rikottu.
Rekisterinpitäjä tarkoittaa tahoa, joka päättää henkilötietojen käsittelyn tarkoituksista ja tavoista.
EU/ETA tarkoittaa Euroopan unionia / Euroopan talousaluetta
Eurooppalainen tietosuojalainsäädäntö tai yleinen tietosuoja-asetus tai GDPR tarkoittaa Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679, annettu 27. päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta.
Paikallinen tietosuojayhteyspiste tarkoittaa Sodexon yksikön nimeämää henkilöä, joka on vastuussa paikallisten tietosuoja-asioiden käsittelystä. Tämä yhteyshenkilö on osa maailmanlaajuista tietosuojaverkostoa.
Henkilötiedot tarkoittavat kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja; tunnistettavissa olevana pidetään luonnollista henkilöä, joka voidaan suoraan tai epäsuorasti tunnistaa erityisesti tunnistetietojen, kuten nimen, henkilötunnuksen, sijaintitiedon, verkkotunnistetietojen taikka yhden tai useamman hänelle tunnusomaisen fyysisen, fysiologisen, geneettisen, psyykkisen, taloudellisen, kulttuurillisen tai sosiaalisen tekijän perusteella.
Käsittely tai henkilötietojen käsittely tarkoittaa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.
Sisäänrakennettu tietosuoja tarkoittaa sitä, että uuteen henkilötietojen käsittelyä sisältävään digitaaliseen projektiin tai liiketoimintaan ryhdyttäessä tietosuoja huomioidaan sekä silloin, kun käsittelytapoja sekä niihin liittyviä asianmukaisia teknisiä ja organisatorisia suojatoimia määritetään, että silloin, kun itse käsittely toteutetaan. Samaa periaatetta sovelletaan, kun Sodexo suunnittelee fuusiota tai yritysostoa; Sodexo varmistaa, että tietosuojaperiaatteita kunnioitetaan.
Oletusarvoinen tietosuoja tarkoittaa sitä, että henkilökuntaa on koulutettava henkilötietojen käsittelyn osalta, ja on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet, joilla varmistetaan, että oletusarvoisesti käsitellään vain käsittelyn kunkin erityisen tarkoituksen kannalta tarpeellisia henkilötietoja (tämä koskee käsiteltyjen tietojen määrää, käsittelyn laajuutta ja tietojen säilytystä). Lisäksi tietojen on oltava saatavilla vain rajalliselle määrälle henkilöitä, joilla on tarve niiden saamiseen.
Pyyntö tarkoittaa yhtä yleisen tietosuoja-asetuksen tarjoamaa mekanismia, jonka avulla henkilöt voivat käyttää oikeuksiaan (esim. oikeutta päästä, oikaista, poistaa jne.). Henkilö voi esittää pyynnön mille tahansa taholle, joka käsittelee hänen henkilötietojaan, oli kyseessä sitten rekisterinpitäjä tai henkilötietojen käsittelijä.
Arkaluontoiset henkilötiedot, joita yleisessä tietosuoja-asetuksessa kutsutaan myös ”henkilötietojen erityisryhmiksi”, ovat mitä tahansa henkilötietoja, jotka koskevat rotua tai etnistä alkuperää, poliittisia mielipiteitä, uskonnollisia tai filosofisia uskomuksia tai ammattiliiton jäsenyyttä. Niihin kuuluvat myös geneettisten tai biometristen tietojen käsittely luonnollisen henkilön tunnistamiseksi sekä terveyttä koskevat tiedot ja luonnollisen henkilön seksielämää ja seksuaalista suuntautumista koskevat tiedot. Tämä määritelmä kattaa myös rikostuomioihin ja rikoksiin liittyvät henkilötiedot.
Sodexo-yksikkö tai Sodexo-yksiköt tarkoittaa mitä tahansa yritystä, kumppanuutta tai tahoa tai organisaatiota, jonka kulloinkin katsotaan kuuluvan Sodexo-konserniin.
Valvontaviranomainen tarkoittaa riippumatonta julkista viranomaista, jonka jäsenvaltio on perustanut yleisessä tietosuoja-asetuksessa määritellyllä tavalla.