Tietosuoja Naantalin Satamassa > Tietoturva- ja tietosuojapolitiikka

Tietosuoja Naantalin Satamassa

Tietoturva- ja tietosuojapolitiikka

1 JOHDANTO

Tietoturva on olennainen osa Naantalin Satama Oy:n toimintaa, sillä se käsittelee laajasti erilaisia satama- ja logistiikka-alan asiakastietoja, työntekijöiden henkilötietoja ja muita luottamuksellisia tietoja. Tämä tietoturva- ja tietosuojapolitiikka määrittelee periaatteet ja käytännöt, joilla varmistamme tietojen turvallisuuden ja noudatamme tietosuoja-asetusta (GDPR), tietosuojalakia, asiakastietolakia sekä muuta soveltuvaa lainsäädäntöä.

Tässä politiikassa kuvataan Naantalin Satama Oy:n tietoturva- ja tietosuojapolitiikan päämäärä ja periaatteet sekä tietoturva- ja tietosuojatoiminnan vastuut ja organisointi. Tietoturva- ja tietosuojapolitiikka toimii perustana tietoturvaa ja tietosuojaa koskeville toimintatavoille ja -ohjeille, joiden avulla tarkennetaan politiikassa annettuja määräyksiä ja ohjataan niiden soveltamista organisaation arkeen.

2 Tietoturva- ja tietosuojapolitiikan tarkoitus ja tavoitteet

2.1 Tietoturva- ja tietosuojapolitiikan tarkoitus

Tietoturva- ja tietosuojapolitiikan tarkoituksena on kuvata Naantalin Satama Oy:n tietoturvallisuuden ja tietosuojan tavoitteet ja periaatteet sekä varmistaa, että kaikki henkilötietojen, kuten asiakastietojen, sekä muiden luottamuksellisten tietojen käsittely tapahtuu Suomen lainsäädännön, kuten GDPR:n, kyberturvallisuuslain ja satamatoimialaa koskevien lakien sekä muiden säädösten ja viranomaismääräysten mukaisesti. Tämä sisältää erityisesti arkaluontoisten asiakastietojen ja muiden luottamuksellisten tietojen suojaamisen, tietoturvariskien hallinnan sekä henkilökunnan jatkuvan koulutuksen tietoturvaan liittyvissä asioissa. Käytännössä tämä tarkoittaa esimerkiksi asiakastietojen huolellista suojaamista, henkilökunnan kouluttamista tietoturvakäytännöistä ja järjestelmien asianmukaista valvontaa mahdollisten tietovuotojen ja muiden tietoturvapoikkeamien estämiseksi.

Tämä tietoturva- ja tietosuojapolitiikka määrittelee organisaation vastuut ja periaatteet tietojen luottamuksellisuuden, eheyden ja saatavuuden turvaamiseksi sekä henkilötietojen lainmukaisen käsittelyn ja tietosuojan korkean tason varmistamiseksi. Lisäksi se ohjaa organisaation toimintaa niin, että tietoturvaan ja tietosuojaan liittyvät periaatteet sisältyvät päivittäiseen toimintaan tietosuoja-asetuksen sisäänrakennetun ja oletusarvoisen tietosuojan periaatteen mukaisesti.

2.2 Tietoturvatavoitteet

Naantalin Satama Oy:n tietoturvallisuuden tavoitteina on:

  • Suojata asiakkaiden ja henkilöstön luottamuksellisia tietoja väärinkäytöksiltä, tietovuodoilta ja luvattomalta pääsyltä.
  • Taata tietojen eheys ja oikeellisuus, jotta kaikki käsitellyt tiedot ovat ajantasaisia ja virheettömiä.
  • Varmentaa tietojen saatavuus niiden käsittelyyn valtuutetuille henkilöille tarpeen mukaan.
  • Noudattaa systemaattisesti lainsäädäntöä ja viranomaisohjeita.

Tavoitteiden toteutumista seurataan mittaamalla tietoturvapoikkeamien määrää, henkilöstön koulutusten kattavuutta sekä säännöllisesti suoritettujen riskianalyysien tuloksia. Organisaatio pyrkii myös parantamaan asiakastyytyväisyyttä varmistamalla, että tietoturvaan liittyvät käytännöt tukevat asiakkaiden luottamusta ja asioinnin sujuvuutta.

2.3 Tietosuojaa koskevat periaatteet

Oikeus henkilötietojen suojaan on jokaiselle ihmiselle kuuluva perusoikeus, joka pohjautuu Suomen perustuslakiin. Naantalin Satama Oy suunnittelee henkilötietojen käsittelyyn liittyvän toiminnan etukäteen. Käsittely on lainmukaista, kohtuullista ja läpinäkyvää ja se tapahtuu aina tiettyä, nimettyä tarkoitusta varten laissa säädetyn oikeusperusteen nojalla. Naantalin Satama Oy käsittelee henkilötietoja vain siinä laajuudessa ja niin kauan, kuin se on kunkin käyttötarkoituksen kannalta tarpeellista.

Naantalin Satama Oy pyrkii varmistamaan käsiteltävien henkilötietojen oikeellisuuden ja tietoja päivitetään tarpeen mukaan henkilöltä itseltään tai muista luotettavista lähteistä. Kun henkilötiedot eivät enää ole tarpeen, tiedot tuhotaan asianmukaisesti.

Tietosuoja tarkoittaa myös jokaiselle taattua oikeutta tutustua niihin tietoihin, joita hänestä on kerätty ja tarvittaessa myös saada itseään koskevat virheelliset tiedot oikaistuiksi ja tarpeettomat tiedot poistetuiksi.

3 Tietoturvan ja tietosuojan hallinta

3.1 Tietoturvallisuuden toteutuksen periaatteet

Tietoturvan toteutuksessa noudatetaan seuraavia periaatteita:

  • Luottamuksellisuus: Pääsy tietoihin myönnetään vain niille, joilla on siihen oikeus tehtävänsä mukaisesti.
  • Eheys: Tietojen muuttumattomuus varmistetaan asianmukaisilla teknisillä ja organisatorisilla ratkaisuilla.
  • Saatavuus: Tiedot ja järjestelmät ovat käytettävissä niiden tarpeen mukaisesti.
  • Lainmukaisuus: Kaikessa toiminnassa noudatetaan soveltuvaa lainsäädäntöä ja viranomaismääräyksiä.
  • Ennaltaehkäisy: Tietoturvauhkien tunnistaminen ja niihin varautuminen ovat keskeisiä osia tietoturvaprosessia.

3.2 Tietosuojan toteutuksen periaatteet

Riskilähtöisyys on perusta tietosuojan turvaamiselle. Tietosuojariskien hallinta on osa Naantalin Satama Oy:n riskienhallintaprosessia. Tietosuojariskien arviointia toteutetaan henkilötietojen käsittelyn suunnitteluvaiheessa sekä osana vuosittaista riskiarviointia. Lisäksi tietosuojaa koskeva vaikutustenarviointi (DPIA) tehdään aina laissa ja viranomaisohjeistuksessa erikseen määritellyissä tilanteissa tai jos käsittelystä voi koitua korkeita riskejä rekisteröidyille. Vaikutustenarviointien tuloksia käytetään määritettäessä niitä teknisiä ja organisatorisia keinoja, joilla pyritään pienentämään henkilötietojen käsittelyn riskejä koko tietojen elinkaaren ajan. Samalla varmistetaan tietosuojalainsäädännön vaatimusten toteutuminen.

Naantalin Satama Oy huolehtii GDPR:n mukaisista rekisteröityjen oikeuksista informoimalla rekisteröityjä henkilötietojen käsittelystä sekä määrittämällä toimintamallit ja ohjeet niihin tilanteisiin, joissa rekisteröidyt haluavat käyttää oikeuksiaan.

Naantalin Satama Oy varmistaa tietosuojan toteutumisen dokumentoimalla ja ohjeistamalla henkilötietojen käsittelyyn liittyvät käytännöt ja prosessit. Henkilöstön riittävästä tietosuojaosaamisesta huolehditaan koulutusten ja tietoisuuden lisäämisen avulla niihin liittyvien erillisten suunnitelmien mukaisesti. Uudet työntekijät perehdytetään tietosuoja-asioihin työsuhteen alkaessa. Erityisesti tämä korostuu niissä tehtävissä, joissa käsitellään arkaluonteisia henkilötietoja ja suoritetaan rekisteröityjen oikeuksiin liittyviä prosesseja.

Naantalin Satama Oy voi rekisterinpitäjänä ulkoistaa henkilötietojen käsittelyn toimeksisaajalle, henkilötietojen käsittelijälle. Naantalin Satama Oy voi myös itse toimia henkilötietojen käsittelijänä asiakkaidensa lukuun, esimerkiksi kuljetusliikkeiden tietojen käsittelyssä kulkulupaprosessissa. Naantalin Satama Oy valitsee sopimuskumppanikseen vain sellaisia henkilötietojen käsittelijöitä, jotka noudattavat hyvää henkilötietojen käsittelytapaa asianmukaisten teknisten ja organisatoristen toimenpiteiden avulla sekä täyttävät tietosuoja-asetuksen vaatimukset ja pystyvät huolehtimaan rekisteröidyn oikeuksien toteutumisesta. Naantalin Satama Oy laatii henkilötietojen käsittelijän kanssa lainsäädännön edellyttämän kirjallisen sopimuksen henkilötietojen käsittelystä.

3.3 Tietoturvariskien arviointi ja käsittely

Tietoturvariskejä arvioidaan säännöllisesti, vähintään kerran vuodessa, sekä aina merkittävien toiminnan tai järjestelmien muutosten tai hankinnan yhteydessä. Merkittävät muutokset määritellään esimerkiksi laajojen järjestelmäpäivitysten tai uusien toimintatapojen käyttöönoton yhteydessä, ja niihin liittyvien riskien arvioinnista päättää organisaation johto yhteistyössä tietosuojayhteyshenkilön kanssa.

Riskienhallinnassa hyödynnetään seuraavia toimenpiteitä:

  • Riskianalyysit ja organisaatiossa toteutetut auditoinnit.
  • Korjaavat toimenpiteet havaittujen heikkouksien poistamiseksi.
  • Viranomaislähteistä ja mediasta saadut ajantasaiset uhkatiedot.

3.4 Tietojen luokittelu ja käsittely

Organisaatiolla on käytössä tietojen luokittelumenetelmä, jossa ohjeistetaan, miten tiedot tulee luokitella ja määritellään tarvittavat turvallisuuskäytännöt ja ohjeistukset eri luokkiin kuuluvan tiedon käsittelylle ja säilytykselle.

3.5 Henkilötietojen käsittely

Naantalin Satama Oy:n henkilötietojen käsittelyä suunniteltaessa ja kehitettäessä analysoidaan henkilötietojen käyttötarkoituksiin sovellettavat tietosuojavaatimukset. Sovellettavat tietosuojavaatimukset voivat vaihdella kerättävien henkilötietojen ja niiden käyttötarkoituksen mukaan. Tekninen toteutus ja käsittelyprosessit suunnitellaan siten, että ne vastaavat käsittelyn riskitasoa. Riskitason perusteella valitaan tilanteeseen sopivat hallintakeinot ja tietoturvakäytännöt riskitason pienentämiseksi riittävälle tasolle sekä vaatimustenmukaisuuden saavuttamiseksi.

3.6 Tietoturvavaatimukset ja niihin sitoutuminen

Naantalin Satama Oy:n tietoturvavaatimukset määrittävät niin organisaation omalta toiminnalta kuin sopimuskumppaneilta vaadittavan minimitason tietoturvan osalta. Kaikki Naantalin Satama Oy:n työntekijät ja yhteistyökumppanit sitoutuvat noudattamaan organisaation toimintaan kohdistuvia tietoturvavaatimuksia. Yhteistyökumppaneiden osalta tietoturvan toteutumista valvotaan tarkastamalla sopimusten noudattamista säännöllisten auditointien avulla sekä seuraamalla mahdollisten poikkeamien raportointia.

Työsopimuksissa ja palvelusopimuksissa edellytetään salassapitoa ja tietoturvavaatimusten noudattamista. Vaatimustenmukainen tietoturvan taso voidaan tarvittaessa todentaa auditoinnein.

3.7 Tietoturvakoulutus ja -tietoisuus

Kaikille työntekijöille järjestetään:

  • Perehdytys tietoturva- ja tietosuojakäytäntöihin uuden työntekijän aloittaessa.
  • Vuosittainen tietoturvakoulutus, jossa käsitellään ajankohtaisia uhkia ja toimintatapoja.
  • Ohjeistusta tietoturvapoikkeamien ja -havaintojen raportoinnille.

Tietoturvakoulutuksissa hyödynnetään organisaation ohjeistuksia ja määräyksiä sekä mahdollisuuksien mukaan verkkokoulutusympäristöä.

3.8 Tietoturvallisuuden valvonta ja seuranta

Naantalin Satama Oy:n tietoturvan toteutumista valvotaan jatkuvasti seuraavilla menetelmillä:

  • Työntekijöiden käyttöoikeuksien säännölliset tarkastukset.
  • Tietojärjestelmien lokitietojen seuranta.
  • Sisäiset auditoinnit.
  • Johtoryhmän kokoukset, joissa käsitellään ajankohtaisia tietoturva-asioita.

3.9 Tietoturva- ja tietosuojapoikkeamien käsittely

Naantalin Satama Oy pyrkii turvaamaan henkilötietoja ja muita luottamuksellisia tietoja tietoturvaloukkauksilta, eli vahingossa tapahtuvalta tai lainvastaiselta tuhoamiselta, hävittämiseltä, muuttamiselta, luvattomalta luovuttamiselta tai pääsyltä tietoihin. Jokainen organisaation työntekijä on velvollinen viipymättä ilmoittamaan epäilemistään tai havaitsemistaan tietoturvaloukkauksista erillisen ohjeistuksen mukaisesti.

Mikäli tietosuojan epäillään vaarantuneen, tutkitaan asia viipymättä. Tutkintaan osallistuvat aina tarpeen mukaan johto, asiantuntijat sekä tietosuojayhteyshenkilö. Kaikki henkilötietoihin kohdistuvat tietoturvaloukkaukset dokumentoidaan lainsäädännön vaatimusten mukaisesti Tietosuojatyökalussa ja niistä tehdään ilmoitus tietosuojaviranomaiselle ilmoituskynnyksen ylittyessä. Naantalin Satama Oy ilmoittaa tietoturvaloukkauksesta viipymättä myös henkilölle, jonka tietosuoja on vaarantunut, jos loukkauksesta seuraa korkea riski henkilölle. Samoja käytäntöjä sovelletaan esimerkiksi yhteiskunnan toiminnan kannalta kriittisiin tietoihin tai toimintoihin kohdistuvien tietoturvaloukkausten tai -uhkien tapauksessa. Kyberturvallisuuslain vaatimat ilmoitukset tehdään tarvittaville valvontaviranomaisille lain määräämien menettelyjen mukaisesti. Ilmoitus tehdään tarvittaessa myös niille organisaatioille, joiden toimintaan tietoturvaloukkauksella tai -uhkalla voi olla vaikutusta.

Kaikki tietoturvapoikkeamat käsitellään viipymättä seuraavasti:

  • Poikkeaman tunnistaminen ja kirjaaminen.
  • Poikkeaman vaikutusten arviointi ja korjaavien toimenpiteiden toteuttaminen.
  • Ilmoitus tietosuojayhteyshenkilölle ja tarvittaessa viranomaisille (esim. Tietosuojavaltuutetun toimisto, Traficom).
  • Poikkeamasta oppiminen ja toimintatapojen päivittäminen vastaavien tapausten estämiseksi tulevaisuudessa.

Korjaavien toimenpiteiden toteutuksessa noudatetaan seuraavia menettelyjä:

  • Nopeiden korjaustoimien käynnistäminen vahinkojen minimoimiseksi.
  • Tapauksen juurisyyn selvittäminen ja analysointi.
  • Prosessien, ohjeiden ja teknisten ratkaisujen päivittäminen vastaavien poikkeamien ennaltaehkäisemiseksi.
  • Henkilöstön lisäkoulutus havaitun ongelman perusteella.

3.10 Menettelytavat tietoturvarikkomuksissa

Työntekijän aiheuttamiksi tietoturvarikkomukseksi lasketaan tietoturva- ja tietosuojapolitiikan ja -ohjeiden vastainen toiminta. Naantalin Satama Oy on määritellyt menettelytavat rikkomustilanteille, kuten huomautus- ja varoitusmenettelyt.

3.11 Tietoturva- ja tietosuojavastuut ja organisointi

Naantalin Satama Oy:n tietoturvavastuut on määritelty seuraavasti:

  • Toimitusjohtaja: Varmistaa tietoturva- ja tietosuojapolitiikan toteutuksen.
  • Tietosuoja- ja tietoturvayhteyshenkilö: Valvoo tietosuojalainsäädännön noudattamista, vastaa tietosuojan kehittämisestä ja kouluttamisesta sekä auttaa johtoa ja muuta henkilöstöä tietosuojaan liittyvissä kysymyksissä. Koordinoi tietoturvariskien hallintaa.
  • Tietoturvavastaava (IT kumppani): Vastaa organisaation tietoturvallisuuden kehittämisestä, tietojärjestelmien ja tietoverkkojen tietoturvallisuuden hallinnasta ja ylläpidosta.
  • Henkilöstö: Sitoutuu tietoturvakäytäntöjen noudattamiseen ja ilmoittaa havaitsemistaan poikkeamista määriteltyjen raportointikäytäntöjen mukaisesti.
  • Johtoryhmä: Seuraa tietoturvan ja tietosuojan kehitystä ja koordinoi mm. riskienhallintatoimia ja poikkeamien hallintaa.

3.12 Tietoturvallisuuden ja tietosuojan jatkuva parantaminen

Naantalin Satama Oy:n tietoturva- ja tietosuojapolitiikkaa tarkastetaan ja tarvittaessa päivitetään vähintään kerran vuodessa tai aina, kun lainsäädännössä, teknologiassa tai toiminnassa tapahtuu merkittäviä muutoksia. Organisaatio sitoutuu tietosuojan ja tietoturvan jatkuvaan parantamiseen riskienhallinnan, henkilöstön koulutuksen ja ajan tasalla olevien teknologisten ratkaisujen avulla.