Henkilötietojen käsittelijän velvoitteista usein kysytyt kysymykset

1

Usein kysyttyjä kysymyksiä

  1. Onko yrityksenne julkaissut yksityisyyttä ja tietosuojaa käsittelevän ilmoituksen/tiedotteen, jonka voimme lukea?
    • HP:n virallinen Tietosuojakäytäntö on saatavilla kaikilla hp.com-verkkosivuilla. Ilmoitukset ovat saatavilla useilla eri kielillä TÄÄLLÄ.

  1. Ylläpidättekö selostetta kaikista suoritetuista käsittelytoimista?
    • HP ylläpitää ja päivittää jatkuvasti käsittelytoimia koskevaa selostetta. Olemme ottaneet käyttöön yksityisyydenhallinta- ja kirjaustyökaluja useiden vaatimustenmukaisuustoimenpiteiden käyttöönottoa ja kirjanpitoa varten, mukaan lukien kirjanpidon käsittelystä, tietosuojaa koskevan vaikutustenarvioinnin ja sisäänrakennetun yksityisyyden suojan.

  1. Millä maantieteellisillä alueilla tarjoatte nämä palvelut? Siirrättekö henkilötietoja ETA:n ulkopuolisiin maihin?
    • HP on maailmanlaajuinen yritys, ja monet liiketoimintaprosessimme käyttävät maailmanlaajuista toimintamallia. HP:lle annetut henkilötiedot saatetaan siirtää osavaltioiden ja maiden rajojen yli tietojen yhdistämistä, varastointia ja asiakastietojen yksinkertaisempaa hallintaa varten. Aina kun henkilötietoja käytetään tai siirretään osavaltioiden tai maiden rajojen yli, tämän täytyy täyttää asiaankuuluvat lait ja sopimusvaatimukset. HP osallistuu useisiin ohjelmiin, jotka mahdollistavat henkilötietojen kansainvälisen siirtämisen HP:n entiteeteille maailmanlaajuisesti. Voit lukea lisätietoja osallistumisestamme näihin ohjelmiin käymällä HP:n tietosuojalausunnon sivulla..

  1. Käytättekö tietojen siirtoon laillisia mekanismeja?
    • HP käyttää tiedonsiirtoon GDPR:n mukaisia hyväksyttyjä mekanismeja.
      • HP on rekisterinpitäjänä hyväksynyt yritystä koskevat sitovat säännöt, joiden tarkoituksena on antaa riittävät takeet siitä, että HP:n työntekijöiden, toimittajien ja kuluttaja-asiakkaiden henkilötiedot suojataan, kun niitä siirretään mille tahansa HP-yritykselle. HP on yksi maailmanlaajuisesti alle sadasta yrityksestä, jotka ovat saaneet tunnustusta EU:n tietosuojaviranomaisilta yritystä koskevista sitovista säännöistä. Saat lisätietoa HP:tä yrityksenä koskevista sitovista säännöistä ja voit vahvistaa HP:n osallistumisen TÄÄLTÄ.
      • 21 talouden muodostama Aasian ja Tyynenmeren maiden talousjärjestö (APEC) on ottanut käyttöön kansainvälisen tietosuojasääntöjärjestelmän (Cross-Border Privacy Rules, CBPR), joka sisältää henkilötietojen yksityisyyden turvaamisen alueella. HP:n tietosuojakäytännöt ovat APECin CBPR-tietosuojajärjestelmän mukaisia muun muassa avoimuuden, vastuuvelvollisuuden ja käyttäjien henkilökohtaisten tietojen keräämistä ja käyttöä koskevien valintojen osalta. Saat lisätietoja CBPR:stä ja voit vahvistaa HP:n osallistumisen TÄÄLTÄ.
      • HP on myös itse ilmoittanut noudattavansa EU:n ja USA:n välistä Privacy Shield -viitekehystä. Saat lisätietoja Privacy Shieldistä ja voit vahvistaa HP:n osallistumisen TÄÄLTÄ.
      • Voit lukea lisätietoja osallistumisestamme näihin ohjelmiin käymällä HP:n tietosuojalausunnon sivulla..

  1. Oletteko nimittäneet tietosuojavastaavan tai vastaavan toimihenkilön?
    • HP:n tietosuojavastaava on tietosuojatoimiston tuella valtuutettu varmistamaan GDPR:n ja muiden yksityisyys- ja tietosuojalakien vaatimusten täyttäminen maailmanlaajuisesti. Euroopan unionin alueella on HP:n tietosuojatoimiston edustajia, ja he toimivat yhteyshenkilöinä rekisteröidyille ja EU:ssa sijaitseville tietosuojaviranomaisille.

  1. Onko teillä muodollisesti dokumentoitu tietoturvaloukkaustapausten hallintasuunnitelma, joka kattaa henkilötietojen tietoturvaloukkaukset?
    • HP on ottanut käyttöön ja ylläpitää tietoturva- ja yksityisyyskäytäntöjä, joiden tarkoituksena on parantaa tietoturvaa, fyysistä turvallisuutta ja tietoisuutta tietoturvasta.
    • Tietoturvaloukkaukset – olivat ne sitten fyysisiä, teknisiä tai tietoihin pohjautuvia – käsitellään pääasiassa maailmanlaajuisen tietoturvaloukkausten raportointiprosessin kautta. Kun saamme tietoturvaloukkausraportin, tiimi ohjaa sen HP:n sisäiselle vastuussa olevalle osapuolelle, ja kaikki osapuolet noudattavat kulloistakin tapaustyyppiä koskevia vahvistettuja menettelytapoja. Nämä menetelmät on tehty toimialan parhaiden käytänteiden, lakiin perustuvien vaatimusten ja eri sopimusten asiakaspohjaisten määritteiden mukaisesti.
    • Kaikki kyberturvallisuuteen liittyvät tapaukset tulee raportoida HP:n kyberturvaosastolle 24/7 toimivan verkkoprosessin avulla. HP on dokumentoinut tietoturvatapausten hallinnan eskalointiprosessin, mutta yleisesti ottaen HP ottaa tapauksen raportoinnin jälkeen välittömästi käyttöön korjaavat protokollat ja suorittaa kattavan selvityksen sen määrittämiseksi, onko valtuuttamatonta tietojen käyttöä tapahtunut. Jos henkilötietojen valtuuttamatonta käyttöä havaitaan, tapaus eskaloidaan HP:n tietosuojatoimistolle, maailmanlaajuiselle lakiosastolle ja muille HP:n sisäisen sidosryhmän jäsenille, jotka päättävät ratkaisusta ja ilmoittamisesta.

  1. Voitteko auttaa asiakkaita rekisteröityjen pyyntöjä koskevissa asioissa, ja onko teillä muodollisesti dokumentoitu prosessi jonka mukaan toimia, kun rekisteröidyt käyttävät oikeuksiaan?
    • Yksilöt voivat käyttää oikeuksiaan sekä lähettää tietosuojaan liittyviä kysymyksiä ja valituksia ottamalla yhteyttä HP:n tietosuojatoimistoon.
    • Kun HP käsittelee henkilötietoja asiakkaiden puolesta, HP auttaa asiakkaitaan tiettyjen rajoitusten puitteissa täyttämään velvollisuutensa ja vastaa rekisteröityjen kysymyksiin, jos nämä haluavat käyttää oikeuksiaan sopimusvaatimusten mukaisesti.

  1. Onko yrityksellänne tietosuojaa koskeva standardi/käytäntö, joka täyttää hallintoalueella, jolla yritys toimii, voimassa olevat asianmukaiset tietosuojalait?
    • HP:llä on pitkä historia toimialan tietosuoja- ja tietoturvajohtajana; laajan tuotevalikoimamme, ohjelmistojemme ja tietoturvapalveluidemme avulla voimme tukea asiakkaidemme työtä henkilötietojen suojaamiseksi ja vaatimustenmukaisuuden varmistamiseksi. HP:llä on sisäiset käytännöt, jotka koskevat henkilötietojen tietoturvaa, käyttöoikeuksia ja täsmällisyyttä, ja HP kieltää henkilötietojen jakamisen ilman asianmukaisia toimenpiteitä. HP:lle on tärkeää ymmärtää asiakkaidensa tietosuojan ja tietoturvan vaatimukset ja käyttää prosesseja, joiden avulla sen tuotteet ja palvelut toimitetaan tavoilla, jotka auttavat asiakasta vaatimustenmukaisuuden saavuttamisessa.

  1. Kouluttaako yrityksenne henkilöstöä tietoturva-asioissa?
    • HP:n työntekijät ja väliaikaiset työntekijät saavat vuosittain liiketoiminnan etiikan koulutusta, jossa tietosuoja ja tietoturva ovat keskeisiä osa-alueita. Lisäksi tiettyihin työtehtäviin voi kuulua pakollista koulutusta, jos työhön kuuluu säännöllistä tai ”tarvittaessa” tapahtuvaa henkilötietojen käsittelyä tiettyjä liiketoimintoja varten.

  1. Sitoutuvatko HP:n myyjät suojaamaan henkilötietoja, kun he käsittelevät tietoja HP:n puolesta?
    • HP vaatii, että kolmannet osapuolet, mukaan lukien myyjät ja kumppanit, jotka käsittelevät henkilötietoja HP:n puolesta, sitoutuvat sopimuksella suojaamaan HP:ltä saamiaan henkilötietoja, ja eikä heidän ole sallittua käyttää henkilötietoja mihinkään muuhun tarkoitukseen kuin HP:n ohjeistamaan palvelun tuottamiseen. HP on ottanut käyttöön riskipohjaisen vaatimustenmukaisuuden arvioinnin toimittajille, jotka käsittelevät HP:n tai HP:n asiakkaiden tietoja.

  1. Käytättekö järjestelmien ja tuotteiden kehityksessä sisäänrakennettua yksityisyyden suojaa ja tietosuojaa koskevaa vaikutustenarviointia?
    • Käytämme sisäänrakennettua yksityisyyttä toiminnassamme varmistaaksemme, että kaikki HP:n tuotteet, palvelut, verkkosivustot, järjestelmät ja sovellukset suunnitellaan ja otetaan käyttöön vasta tietosuojaa koskevien tekijöiden syvällisen harkinnan jälkeen. Toinen erittäin tärkeä prosessi on tietosuojaa koskeva vaikutustenarviointi, jonka avulla arvioimme yksilöiden oikeuksiin kohdistuvat riskit ja dokumentoimme tiettyjen käsittelytoimenpiteiden päätöksenteon.

  1. Millä tavoilla HP tukee asiakkaiden pyrkimyksiä suojata henkilötietoja ja vaatimustenmukaisuutta?
    • Käytämme asiakkaidemme puolesta käsittelemiämme tietoja varten tietoturvatoimia. Tulostusjärjestelmien ja henkilökohtaisten järjestelmien hallinta- ja tekniikkapalveluita tarjoavana toimijana HP on sitoutunut täyttämään velvollisuutensa ja suojaamaan henkilötietoja, joita käsittelemme asiakkaidemme puolesta. Muokkaamme useita asiakaspalvelutarjouksiamme täyttämään ISO 27001 -sertifikaatin. Tähän kuuluu sertifikaatin kattavuuden laajentaminen sisältämään hallitut tulostuspalvelut ja Device-as-a-Service-palvelutarjoukset.
    • HP on myös ottanut käyttöön tietosuojan viitekehyksen, joka sisältää yli sata erillistä, GDPR:n vaatimusten täyttämiseen liittyvää toimintoa. Tämä viitekehys on tietosuoja- ja tietoturvaohjelmamme ytimessä. Riippumaton kolmas osapuoli on arvioinut viitekehyksen lakivaatimusten ja toimialan standardien perusteella.

5

Lisää aiheesta: