Laadittu 22.9.2022

1  Rekisterinpitäjä ja yhteystiedot rekisteriasioissa
JCDecaux Finland Oy (y-tunnus 0201696-2)
Mekaanikonkatu 11, 00880 Helsinki
gdpr@jcdecaux.fi
+358 20 7758 200
“yhtiö” tai ”me”

2  Mihin käyttötarkoituksiin ja millä perusteella käsittelemme henkilötietojasi?
Ilmoituskanavajärjestelmän tarkoituksena on valvoa yhtiön toimintaa. Henkilötietojen käsittely perustuu lakiin sekä oikeutettuun etuumme. Kanavan avulla yhtiö voi seurata, noudattaako se päätöksenteko- ja valvontajärjestelmäänsä liittyviä sääntöjä ja lakeja erityisesti kirjanpitoon, tilintarkastuksiin, lahjontaan, rahanpesuun, ympäristö- ja talousrikoksiin sekä kilpailuoikeuteen liittyen.
Järjestelmän kautta henkilö voi tehdä ilmoituksen lainvastaisesta tai eettisten ohjesääntöjen ja menettelytapaohjeiden vastaisesta toiminnasta, kuten taloudellisiin epäselvyyksiin, eturistiriitoihin, lahjontaan, väärinkäytöksiin ja muihin laittomiin toimiin liittyen. Tietoja käytetään väärinkäytösten seuraamiseen ja selvittämiseen sekä tarvittaessa oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi. Lisäksi tietoja voidaan käyttää valvonnan kehittämiseen, analysointiiin ja tilastointiin.

3  Millaisia henkilötietoja käsittelemme ja mistä keräämme tiedot?
Rekisteri voi sisältää seuraavanlaisia henkilötietoja ilmoittajasta ja ilmoituksen kohteesta sekä muista asiaan liittyvistä henkilöistä, kuten todistajista:
• Ilmoittajan nimi, sähköpostiosoite ja puhelinnumero (ilmoituksen voi tehdä myös anonyymisti).
• Ilmoituksen tiedot, kuten ilmoituksen kohteen nimi ja yhteystiedot, rikkomuksen tai väärinkäytöksen kuvailu, aika ja paikka sekä muut ilmoittajan merkityksellisiksi kokemat seikat.
• Mahdollisten todistajien tai muuten asiaan liittyvien henkilöiden nimet ja yhteystiedot.
• Ilmoituksen tekemiseen ja käsittelyyn sekä viestintään liittyvät tiedot (ml. ilmoituksen koodi ja status).
• Mahdolliset ilmoittajan itsensä antamat muut tiedot.

Lisäksi tietoja tallentuu kanavan kautta tulevien ilmoitusten käsittelijöistä, kuten nimi, tehtävänimike, sähköpostiosoite, käyttäjätunnukset järjestelmään sekä lokitiedot järjestelmän käytöstä.
Rekisteriin tallennettavien tietojen ensisijainen tietolähde on ilmoituksentekijä itse. Lisäksi tiedot koostuvat väärinkäytösilmoitusten käsittelyprosessissa tallennetuista tiedoista kuten asiaan liittyviltä työntekijöiltä ja IT-järjestelmistä sekä kohteena mahdollisesti olevan henkilön kuulemisessa. Muita tietolähteitä käytetään laissa säädetyissä rajoissa.

4  Mille tahoille luovutamme tai siirrämme tietoja?
Tukenamme ilmoituskanavan kautta vastaanotettujen ilmoitusten käsittelyssä ja jatkotoimissa on lakipalveluita tarjoava palveluntarjoaja Fondia Oyj. Fondia Oyj käsittelee tietoja tietosuojaviranomaisten ohjeistuksen mukaisesti itsenäisenä rekisterinpitäjä. Lisäksi ilmoituksen käsittelyyn saattaa osallistua hyvin rajattu määrä muita henkilöitä, kuten ilmoitusten käsittelyyn osallistuvat yhtiön valtuuttamat muut asiantuntijat ja sisäiseen tarkastukseen osallistuvat henkilöt. Tietoja voidaan luovuttaa lain mukaisesti, kuten poliisiviranomaisille rikosten tutkintaan varten.
Tietoa ilmoittajan henkilöllisyydestä ei ilman ilmoittajan nimenomaista suostumusta ilmaista muille kuin ilmoitusten vastaanottamisesta ja jatkotoimista vastaaville tahoille. Ilmoittajan henkilöllisyys voidaan kuitenkin ilmaista, jos tiedon ilmaiseminen on tarpeellista ilmoittajansuojelulaissa tarkoitetun ilmoituksen käsittelemiseksi ulkoisessa ilmoituskanavassa, poliisille tehtävää rikosilmoitusta varten, poliisin toteuttamaa esitutkintaa tai tuomioistuimen käsittelyä varten. Kerromme tällaisessa tapauksessa ilmoituksen tekijälle etukäteen hänen henkilöllisyytensä ilmaisemisesta, ellei tällainen tieto vaaranna asiaan liittyvää esitutkintaa tai oikeudenkäyntiä.
Käytämme ilmoituskanavajärjestelmän hallinnoinnissa ja ilmoitusten käsittelyssä lukuumme toimivia palveluntarjoajia. Ilmoituskanavajärjestelmän teknisen toteutuksen tarjoaa Whistleblowing Centre AB, yritystunnus 556873-2753. Palveluntarjoajamme käsittelevät henkilötietojasi vain siinä määrin kuin se on tarpeen whistleblowing-kanavan toteuttamiseksi. Huolehdimme tietosuojastasi tekemällä henkilötietoja käsittelevien palveluntarjoajien kanssa tietojenkäsittelysopimukset.

5  Siirrämmekö tietoa EU:n tai ETA:n ulkopuolelle?
Henkilötietoja ei pääsääntöisesti siirretä EU:n tai ETA:n ulkopuolelle.
Palvelun tuottamiseen osallistuvilla palveluntarjoajilla saattaa poikkeustilanteessa olla pääsy tietojärjestelmään EU:n/ETA:n ulkopuolelta teknisen tuen tarjoamista varten. Tällaisessa tapauksessa tiedonsiirrot EU:n/ETA:n ulkopuolelle toteutetaan EU komission hyväksymiä vakiolausekkeita ja tietosuojatoimenpiteitä noudattaen.

6  Miten suojaamme tietoja ja kuinka kauan säilytämme niitä?
Järjestelmän käyttöön ovat oikeutettuja vain ne henkilöt, joilla työnsä puolesta on oikeus käsitellä tietoja ja käsittelijöitä sitoo salassapitovelvollisuus. Kullakin käyttäjällä on oma käyttäjätunnus ja salasana järjestelmään. Tiedot kerätään tietokantoihin, jotka ovat palomuurein, salasanoin ja muilla teknisillä keinoilla suojattuja. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa tiloissa ja tietoihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt.
Henkilötietojen käsittelijät noudattavat kattavia tietoturvamenettelyitä ja niillä on prosessit tietoturvaloukkausten havaitsemiseksi ja ehkäisemiseksi. Pilvipalvelu, jossa ilmoituskanava sijaitsee, on ISO 27001 (tietoturva) ja ISO 27018 (henkilötietojen suoja pilvipalvelussa) standardien mukaisesti sertifioitu.
Rekisterin tietoja säilytetään niin kauan, kuin valvonnan tarkoituksen toteuttamiseksi tai lakisääteisten velvoitteiden vuoksi on tarpeellista. Lähtökohtaisesti ilmoitustiedot poistetaan viiden vuoden kuluttua ilmoituksen vastaanottamisesta, jollei tietojen edelleen säilyttäminen ole tarpeen meneillään olevan rikostutkinnan, oikeudenkäynnin tai viranomaistutkinnan vuoksi taikka ilmoituksen tekijän tai ilmoituksen kohteena olevan henkilön oikeuksien turvaamiseksi.

7  Oikeutesi rekisteröitynä tietojen käsittelyyn liittyen
Rekisteröitynä sinulla on alla olevat oikeudet tietosuoja-asetuksen ja tietosuojalain mukaisesti, mutta oikeudet eivät ole ehdottomia. Oikeuden toteuttamisesta ja/tai rajoittamisesta on säädetty lainsäädännössä ja mahdollisissa viranomaismääräyksissä ja -ohjeistuksissa, joita ei ole tyhjentävästi kuvattu alla. Esimerkiksi yhtiöllä voi olla oikeus rajoittaa alla mainittujen oikeuksien toteuttamista, jos se on välttämätöntä rikoksen ennaltaehkäisyn, tutkinnan ja paljastamisen tai oikeudellisten toimien kannalta. Rekisteröityjen oikeuksia koskevat pyynnöt tulee toimittaa kohdassa 1 mainittuun osoitteeseen.

• Tarkastusoikeus ja oikeus vaatia tiedon oikaisua ja tietojen poistoa
Sinulla on oikeus tarkastaa itseäsi koskevat henkilörekisteriin tallennetut tiedot sekä oikeus vaatia virheellisen tiedon oikaisua ja tietojen poistamista, mikäli sille on lain edellyttämät perusteet. Jos henkilötietoja käsitellään suostumuksen perusteella, rekisteröidyllä on oikeus peruuttaa suostumuksensa.

• Vastustamisoikeus ja oikeus käsittelyn rajoittamiseen
 Sinulla on oikeus vastustaa tai pyytää tietojesi käsittelyn rajoittamista erityisistä henkilökohtaisista syistä. Vaatimuksen yhteydessä sinun tulee yksilöidä se erityinen tilanne, johon perustuen vastustat käsittelyä. Rekisterinpitäjä voi kieltäytyä toteuttamasta pyyntöä ainoastaan laissa säädetyin perustein.
Whistleblowing-ilmoituskanavassa käsiteltävät tiedot eivät koskaan ole automaattisen päätöksenteon kohteena.

• Oikeus tehdä kantelu valvontaviranomaiselle
Sinulla on oikeus tehdä kantelu valvontaviranomaiselle, erityisesti siinä EU-jäsenvaltiossa, jossa vakinainen asuinpaikkasi tai työpaikkasi on taikka jossa väitetty rikkominen on tapahtunut, jos katsot, että sinua koskevien henkilötietojen käsittelyssä rikotaan EU:n tietosuoja-asetusta.