YRITYKSEN KÄYTÄNNÖT: 
Yleinen tietosuojakäytäntö

Voimaantulo: lokakuu 2022
Omistaja: vaatimuksenmukaisuudesta ja tietosuojasta vastaavan yksikön johtaja

A.   YLEISTÄ TIETOA

Sonova AG on Sveitsin lainsäädännön mukaisesti rekisterinpitäjä, rekisteröitynä osoitteenaan Laubisrütistrasse 28, 8712 Stäfa, Sveitsi, ja se toimii yhdessä eri puolilla maailmaa sijaitsevien tytäryhtiöidensä kanssa (käytetään yhteisesti nimitystä ”yritys” tai ”me” tai ”meidän”).

Koska yritys käsittelee henkilötietoja päivittäisessä liiketoiminnassaan, tämä yleinen tietosuojakäytäntö (”käytäntö”) on laadittu ja pantu täytäntöön, jotta voidaan kuvata yrityksen käytäntöjä, jotka koskevat sen asiakkaiden, alihankkijoiden ja kumppaneiden henkilötietojen käyttöä (”rekisteröidyt”). Yritys kiinnittää erityistä huomiota yksityisyyden ja henkilötietojen kunnioittamiseen ja on sitoutunut noudattamaan tätä käytäntöä sovellettavien paikallisten lakien mukaisesti.

”Henkilötiedoilla” tarkoitamme kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja.

”Käsittelyllä” tarkoitamme mitä tahansa toimintoa tai toimintojen sarjaa, joka suoritetaan henkilötiedoille tai henkilötietojoukoille riippumatta siitä, suoritetaanko se automatisoidulla tavalla, kuten keräämällä, tallentamalla, organisoimalla, jäsentämällä, säilyttämällä, muokkaamalla tai muuttamalla, hakemalla, konsultoimalla, käyttämällä, luovuttamalla, levittämällä tai muulla tavoin asettamalla saataville, yhdenmukaistamalla tai yhdistämällä, rajoittamalla, poistamalla tai tuhoamalla.

 

B.   KÄYTÄNTÖÖN SOVELLETTAVA LAINSÄÄDÄNTÖ

Yritys sitoutuu noudattamaan sovellettavaa tietosuojalainsäädäntöä (”sovellettava lainsäädäntö”). Näin ollen henkilötietojen käsittelyyn sovelletaan paikallista sovellettavaa lakia sen mukaan, mihin maahan yritys on sijoittunut. Vaikka tietyt vaatimukset voivat olla erilaisia eri maissa, yritys huolehtii erityisesti rekisteröityjen tietosuojasta, ja tämä käytäntö muodostaa yleisen ohjeen, johon yritys on sitoutunut.

Yritys on erityisesti sitoutunut noudattamaan seuraavia lakeja soveltuvin osin:

Euroopan parlamentin ja neuvoston 27. huhtikuuta 2016 antama asetus (EU) 2016/679 luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (”GDPR”). GDPR:n tavoitteena on yhdenmukaistaa ja järjestää henkilötietojen käsittelyä Euroopan unionin alueella koskevat säännöt, jotta ammattilaisille voidaan luoda yhtenäiset oikeudelliset puitteet. Lisäksi sillä pyritään siihen, että kansalaiset voivat paremmin valvoa, miten heitä koskevia henkilötietoja voidaan käyttää. Tätä asetusta sovelletaan EU:n kansalaisten tai asukkaiden henkilötietojen käsittelyyn sekä rekisterinpitäjän tai henkilötietojen käsittelijän toimintaan EU:n alueella.

Sveitsin liittovaltion 19. kesäkuuta 1992 tietosuojasta antama laki (”FDPA”), sellaisena kuin se on muutettuna vuonna 2020 soveltumaan nykyiseen teknologiaan ja olemaan yhdenmukainen yleisen tietosuoja-asetuksen ja muiden viimeaikaisten eurooppalaisten asetusten kanssa.

Vuoden 2018 California Consumer Privacy Act (”CCPA”), jonka tarkoituksena on lisätä avoimuutta ja taata lisää oikeuksia Kaliforniassa asuville kuluttajille, joiden henkilötietoja yritykset käsittelevät.

Vuoden 1996 Health Insurance Portability and Accountability Act (”HIPAA”), joka määrittelee Yhdysvalloissa terveystietojen sähköistä käsittelyä koskevat säännöt terveysalan toimijoille ja liikekumppaneille.

 

C.   KERÄTTÄVÄT HENKILÖTIEDOT

Yritys voi käsitellä seuraavia henkilötietoja:

henkilöllisyystiedot: sukunimi, etunimi, kansallisuus ja syntymäaika 

yhteystiedot: postiosoite, yksityinen puhelinnumero, yksityinen sähköpostiosoite ja yhteyshenkilö hätätilanteessa

henkilötunnus ja vakuutusyhtiö

raha-asioita koskevat tiedot: maksuväline, rahalaitos, IBAN

käyttäjän terveyteen liittyvät tiedot: paino, pituus, terveysongelmat, lääkärin määräykset, kuulokyky, fyysisen aktiivisuuden seuranta (askelmäärä, liikunnan rasittavuus, liikuntaminuutit), kuntotiedot (syke, energiankulutus, verenpaine)

tiedot liittyen käyttäjän käyttäytymiseen yrityksen sivustolla

asiakkaan ostamaan tuotteeseen liittyvät tiedot: malli, sarjanumero, käyttötiedot

tarjottuun palveluun liittyvät tiedot

tiedot liittyen asiakkaan tuotteistamme ja palveluistamme antamaan palautteeseen: kommentit ja huomautukset.

Koska toimintamme keskittyy pääasiassa innovatiivisten kuulokojeratkaisujen tuottamiseen, saatamme lisäksi joutua keräämään arkaluonteisia henkilötietoja ja erityisesti terveystietoja. Riippuen siitä, missä maassa rekisteröity asuu, nämä arkaluonteiset henkilötiedot voivat nauttia erityistä suojaa, erityisesti toteutettujen turvallisuus- ja luottamuksellisuustoimien osalta.

 

D.   HENKILÖTIETOJEN KÄSITTELYN TARKOITUS

Seuraavat lakisääteiset perusteet muodostavat perustan, johon yhtiö pohjaa henkilötietojen käsittelyssä. Muita lakisääteisiä perusteita voidaan käyttää riippuen rekisteröidyn asuinmaasta ja kyseisestä sovellettavasta laista.

Jokin henkilötietojen käsittely saattaa perustua rekisteröityjen suostumukseen. Henkilötietojen käsittelyyn tässä tarkoituksessa voi sisältyä

markkinointitarkoitus, kuten yrityksen uutiskirjeiden ja tietojen lähettäminen yrityksen tarjoamista tuotteista ja palveluista

verkkosivustomme toimivuuden parantaminen

neuvonta ja vuorovaikutus henkilöiden kanssa: tilin luominen, yhteydenotto yhteydenottolomakkeella, Sonovan vastaukset käyttäjille ja verkkokuulotestin tekeminen.

Henkilötietojen käsittely yrityksessä voi perustua myös sopimuksen toteuttamiseen tai rekisteröidyn kanssa ennen sopimuksen tekoa toteutettaviin toimiin. Henkilötietojen käsittelyyn tässä tarkoituksessa voi sisältyä

sopimusvelvoitteidemme täyttäminen rekisteröityjä kohtaan

asiakaspalvelun tarjoaminen asiakkaan ostettua tuotteen

sosiaaliturvaa/vakuutusta koskeva käsittely

vaateiden käsittely.

Yritys voi käsitellä henkilötietoja myös oikeutetun etunsa perusteella erityisesti tuotteiden ja palveluiden, asiakaskokemuksen ja sisäisten prosessien parantamiseksi. Henkilötietojen käsittelyyn tässä tarkoituksessa voi sisältyä

tilasto-/käyttöanalyysin tekeminen

sisäisten hallinnollisten tehtävien suorittaminen

asiakkaiden pyyntöjen käsittely

petollisen toiminnan estäminen ja turvallisuuden parantaminen

rekisteröityihin liittyvä suhdetoiminta

yrityksen tuotteiden ja palveluiden merkityksellisyyden arviointi.

Yritys voi käsitellä henkilötietoja myös vastatakseen lakisääteisiin vaatimuksiin. Lakisääteisiin vaatimuksiin perustuva käsittely riippuu sovellettavasta laista.

 

E.  HENKILÖTIETOJEN SÄILYTTÄMINEN

Henkilötietoja ei säilytetä pidempään kuin on tarpeen yllä mainittuihin tarkoituksiin. Tämä tarkoittaa, että henkilötiedot poistetaan heti, kun henkilötietojen käsittelyn tavoite on saavutettu. Yritys voi kuitenkin säilyttää henkilötietoja kauemmin, jos se on tarpeen sovellettavan lain noudattamiseksi tai yrityksen oikeuksien suojaamiseksi tai käyttämiseksi, sovellettavan tietosuojalainsäädännön sallimissa rajoissa.

Säilytysajan päättyessä yrityksen on ehkä myös arkistoitava henkilötiedot rajallisen ajan ja rajoitetuin käyttöoikeuksin noudattaakseen sovellettavaa lakia.

Nämä säilytysajat voivat olla erilaisia riippuen rekisteröityjen asuinmaista ja sovellettavasta laista.

 

F.   HENKILÖTIETOJEN LUOVUTTAMINEN

Yritys voi jakaa henkilötietoja seuraavien kolmansien osapuolten kanssa suostumuksellasi tai muulla asiaankuuluvalla oikeudellisella perusteella:

muut yritysryhmäämme kuuluvat yritykset, kuten tytäryhtiöt

luotettavat liikekumppanit, jotka tarjoavat palveluja puolestamme, esimerkiksi teknistä tukea, markkinointitarkoituksiin tai muuntyyppisten palvelujen tarjoamista varten

viranomaiset ja julkiset tahot siltä osin kuin tämä on tarpeen pyydettyjen tai valtuutettujen palvelujen tarjoamiseksi, asiakkaiden, alihankkijan ja kumppaneiden oikeuksien tai meidän tai muiden oikeuksien, omaisuuden tai turvallisuuden suojaamiseksi, palvelujen turvallisuuden ylläpitämiseksi, tai jos tämä on tarpeen sovellettavan lain, tuomioistuimen tai muiden viranomaisten määräysten vuoksi tai jos tällainen luovuttaminen on muutoin tarpeen oikeus- ja rikostutkinnan tai oikeudenkäynnin tukemiseksi.

Teemme sovellettavasta laista riippuen sopimuksia joidenkin kolmansien osapuolten kanssa varmistaaksemme, että henkilötietoja käsitellään näiden ohjeiden ja muiden asianmukaisten luottamuksellisuus- ja turvallisuustoimien mukaisesti.

 

G.   HENKILÖTIETOJEN SIIRTÄMINEN

Edellä mainittujen kolmansien osapuolten, kuten tytäryhtiöiden ja liikekumppaneiden, lisäksi viranomaiset, joille saatamme luovuttaa henkilötietoja, voivat sijaita rekisteröidyn kotimaan ulkopuolella, myös maissa, joiden tietosuojalainsäädäntö voi poiketa rekisteröidyn sijaintimaan lainsäädännöstä.

Jos henkilötietoja käsitellään Euroopan unionin / Euroopan talousalueen sisäpuolella ja jos henkilötietoja luovutetaan kolmansille osapuolille maihin, joiden ei Euroopan komission mukaan katsota tarjoavan riittävää suojaa, sitoudumme seuraavaan:

Otamme käyttöön asianmukaisia menettelyitä sovellettavan lainsäädännön noudattamiseksi erityisesti silloin, kun toimivaltaiselta valvontaviranomaiselta on pyydettävä lupa.

Toteutamme asianmukaisia organisatorisia, teknisiä ja lakisääteisiä toimenpiteitä hallitaksemme mainittua siirtoa ja varmistaaksemme tietosuojan riittävän tason sovellettavan lain nojalla.

Tarvittaessa otamme käyttöön Euroopan komission hyväksymät vakiosopimuslausekkeet.

Tarvittaessa toteutamme lisätoimenpiteitä, kuten tietosuojan tason riittävyyden arviointi, jos se katsotaan siirrettävien henkilötietojen suojaamisen kannalta tarpeelliseksi sen jälkeen, kun siirtoon liittyvät olosuhteet ja kolmannen maan lainsäädäntö on arvioitu.

Jos henkilötietoja ei käsitellä Euroopan unionin / Euroopan talousalueen sisäpuolella ja jos henkilötietoja luovutetaan kolmansille osapuolille alueille, jotka sijaitsevat rekisteröidyn lainkäyttöalueen ulkopuolella, yritys varmistaa, että asianmukaiset toimenpiteet ovat käytössä henkilötietojen suojaamiseksi toteuttamalla asianmukaisia oikeudellisia mekanismeja. Nämä mekanismit voivat olla erilaisia riippuen maasta ja kyseisestä sovellettavasta laista.

 

H.    HENKILÖTIEDOT JA TIETOTURVA

Yritys toteuttaa erilaisia turvatoimia sovellettavan lain mukaisesti suojatakseen henkilötietoja tietoturvaloukkauksilta tai luvattomalta luovuttamiselta sekä yleisemmin henkilötietoja koskevilta rikkomuksilta. Nämä turvatoimet on tunnustettu asianmukaisiksi turvallisuusstandardeiksi alalla, ja niihin kuuluvat muun muassa kulunvalvonta, salasanat, salaus ja säännölliset tietoturva-arvioinnit.

Jos henkilötietoja koskeva rikkomus tapahtuu ja erityisesti jos rikkomus johtaa vahingossa tai laittomasti siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen tuhoamiseen, häviämiseen, muuttamiseen, luvattomaan luovuttamiseen tai käyttöön, yritys ryhtyy asianmukaisiin toimenpiteisiin, kuten seuraavat:

Yritys suorittaa tutkinnan ja analysoinnin selvittääkseen henkilötietoja koskevan rikkomuksen seuraukset ja erityisesti sen, aiheuttaako rikkomus todennäköisesti riskin asianomaisten henkilöiden oikeuksille ja vapauksille.

Jos analyysi osoittaa, että asianomaisten henkilöiden oikeudet ja vapaudet ovat vaarassa, yhtiö ilmoittaa asiasta toimivaltaiselle viranomaiselle ja, jos riski on suuri, ilmoittaa asiasta niille, joita asia koskee.

Yritys toteuttaa mahdollisimman pian tarvittavat toimenpiteet henkilötietoja koskevan rikkomuksen korjaamiseksi ja lieventämiseksi.

Yritys dokumentoi henkilötietoja koskevan rikkomuksen sen jäljitettävyyden varmistamiseksi.

Asianmukaiset toimenpiteet ja menettelyt henkilötietoja koskevan rikkomuksen sattuessa voivat vaihdella sen maan mukaan, jossa rikkomus tapahtuu, rikkomuksen tyypin ja kyseisen sovellettavan lain mukaan.

 

I.   HENKILÖTIETOIHIN LIITTYVÄT OIKEUDET YKSITYISYYTEEN

Vaihdellen kyseisen sovellettavan lain mukaan rekisteröidyillä on henkilötietoihin liittyviä oikeuksia, kuten oikeus pyytää pääsyä tietoihinsa, oikeus pyytää tietojensa oikaisemista tai poistamista, oikeus pyytää rajoittamaan tietojensa käsittelyä, oikeus vastustaa tietojensa käsittelyä, oikeus pyytää tietojensa siirtämistä järjestelmästä toiseen, oikeus saada tietoja henkilötietojensa käsittelystä ja oikeus peruuttaa henkilötietojen käsittelyä koskeva suostumuksensa. Rekisteröidyt voivat myös vastustaa automaattisesti tehtäviä yksittäispäätöksiä, jos käsittely koskee heitä. 

Lisäksi joillakin lainkäyttöalueilla rekisteröidyt voivat antaa ohjeita henkilötietojensa säilyttämisestä, välittämisestä ja poistamisesta jälkikäteen. 

Kaikkia oikeuksia ei voi käyttää kaikissa tilanteissa, ja niitä koskevat sovellettavan lain mukaiset rajoitukset. 

Jos henkilötietojen käsittely on rekisteröidyn mielestä sovellettavan lainsäädännön vastaista, hänellä voi olla oikeus tehdä valitus paikalliselle valvontaviranomaiselle tai toimivaltaiselle sääntelyviranomaiselle.

Käyttääkseen oikeuksiaan rekisteröidyt henkilöt voivat ottaa yhteyttä meihin alla Yhteydenotto-osassa kerrotulla tavalla. Voimme pyytää henkilöllisyyden todistamista vastataksemme pyyntöön. Jos emme pysty täyttämään pyyntöäsi (kieltäytyminen tai rajoittaminen), perustelemme päätöksemme kirjallisesti.

 

J.   TÄHÄN KÄYTÄNTÖÖN TEHTÄVÄT PÄIVITYKSET

Tätä käytäntöä voidaan tarvittaessa päivittää aika ajoin, jotta se vastaa uusia tai erilaisia tietosuojakäytäntöjä. Tällöin käytännön tarkistetut versiot julkaistaan tällä sivulla. Tarkistettu käytäntö koskee vain sellaisia tietoja, jotka kerätään tarkistetun käytännön voimaantulopäivän jälkeen. Suosittelemme, että käyt säännöllisesti tällä sivulla lukemassa tuoreimmat tiedot tietosuojakäytänteistämme.

 

K.   YHTEYDENOTTO

Jos sinulla on tähän käytäntöön liittyvää kysyttävää, kommentteja tai huolenaiheita tai jos haluat käyttää henkilötietoihin sovellettavan lain sallimia tietosuojaoikeuksiasi, ota yhteyttä tietosuojavastaavaamme lähettämällä postia osoitteeseen Sonova AG, Laubisruetistrasse 28, 8712 Stäfa, Sveitsi, tai sähköpostia osoitteeseen privacy@sonova.com