Datasäkerhetspolicy

2022-11-23

1. Inledning
RETTA Group Oy och dess dotterbolag (“RETTA Group”) samlar in och behandlar
personuppgifter för att kunna driva sin verksamhet och för att uppfylla lagkrav. Personerna
kan vara kunder, anställda, leverantörer och andra personer som har en relation med RETTA
Group. Syftet med dataskyddet är att skydda personers rätt till integritet vid behandlingen av
personuppgifter.
En väsentlig del av RETTA Groups affärsverksamhet är att ombesörja personers rätt till
integritet. I denna dataskyddspolicy (”Policyn”) fastställs de allmänna principer som ska
uppfyllas med avseende på dataskydd och för att säkerställa att lagar och bestämmelser
tillämpas på rätt sätt. Relevanta nationella lagar har företräde ifall de är i strid med denna
Policy.
Policyn gäller RETTA Groups alla företag och verksamhetsländer. Policyn och tillhörande
riktlinjer och arbetspraxis har utformats för att säkerställa att alla anställda är medvetna om
och uppfyller sina skyldigheter att skydda personers integritet och att personuppgifterna
hanteras på ett säkert sätt. ”Personuppgifter” definieras som all information som är
förknippad med en identifierad eller identifierbar person. Personuppgifter är bland annat en
persons namn, hemadress, e-postadress, telefonnummer eller identifikationsnummer
utfärdade av myndighet.
2. Dataskydd och behandling av personuppgifter i RETTA Group
RETTA Group har antagit följande principer för insamlingen och behandlingen av
personuppgifter:
2.1 Rättvist och korrekt
Behandlingen av personuppgifter baseras alltid på ett särskilt och lagligt syfte och
behandlingen sker alltid på ett lagligt och rättvist sätt så att personernas lagliga rättigheter
skyddas.
2.2 Begränsning till ett särskilt syfte
Personuppgifter får endast samlas in för ett fastställt, uttryckligt och lagligt syfte och får inte
behandlas vidare i strid med ett sådant avsett syfte.
2.3 Dataekonomi
Personuppgifterna skall vara korrekta, relevanta och inte för omfattande i förhållande till det
syfte som de har insamlats och/eller vidarebehandlats för. RETTA Group har som mål att
minimera behandlingen av personuppgifter. Personuppgifter får inte lagras längre än vad
som absolut behövs eller förutsätts i lag.
2.4 Datakvalitet
Lämpliga åtgärder ska vidtas för att säkerställa att personuppgifter som behandlas är
korrekta, kompletta och aktuella.
2.5 Datasäkerhet
Personuppgifter skall behandlas som konfidentiella och datasäkerhet skall iakttas i RETTA
Groups datasystem. Erforderliga tekniska och organisatoriska skyddsåtgärder skall vidtas för
att skydda personuppgifter mot obehörig och olaglig användning samt mot oavsiktlig förlust
eller destruktion. Tillgång till material som innehåller personuppgifter ges endast efter
behov. Anställda får ha tillgång till personuppgifter endast då det behövs för positionen i
fråga. Detta gäller oavsett om data behandlas elektroniskt eller i pappersform.
2.6 Transparens
RETTA Group verkar öppet mot de registrerade personerna och tillämpar principen om
transparens vid behandlingen av personuppgifter. Öppenhet tillämpas till exempel genom att
tillhandahålla information om behandlingsåtgärderna för personuppgifter på RETTA Groups
webbplatser. Alla registrerade personer ska ges information om vilka personuppgifter som
används och på vilket sätt personuppgifterna behandlas. RETTA Group ser till att alla
registrerade personer känner till hur de kan utöva sina rättigheter som registrerade personer.
3. Genomförande av dataskyddet
Den lokala ledningen har tillsammans med personalavdelningen och RETTA Groups
koordinator för dataskyddet ansvaret för att bedöma och uppfylla de lokala bestämmelserna
gällande behandlingen av personuppgifter. Varje anställd ska känna till denna Policy samt
relevanta riktlinjer som hör ihop med den.
Om en anställd på RETTA Group misstänker överträdelser med avseende på Policyn ska han
eller hon rapportera sina misstankar till sin chef, den tillsynsansvariga förmannen (Chief
Compliance Officer) eller koordinatorn för dataskyddet.
Alla åtgärder som är i strid med (i) denna Policy, (ii) interna riktlinjer eller anvisningar som
baseras på Policyn eller (iii) dataskyddslagstiftning anses vara dataskyddsöverträdelser. Alla
överträdelser ska rapporteras enligt ovanstående och undersökas i tillräcklig utsträckning.