Tietosuoja ABAXilla

Tietoaltaan anonymisointi 

Tietojen anonymisointi, jota kutsutaan usein ”tietojen sanitoinniksi” on prosessi, jonka tarkoituksena on suojata käyttäjän yksityisyys. Tiedot, jotka voidaan yhdistää käyttäjään, salataan tai poistetaan anonymiteetin varmistamiseksi.

ABAXin säilyttämät tiedot ovat sijaintitietoja 

Tietoaltaat täydennetään varmuuskopioista ja sitten tiedot anonymisoidaan käyttäen skriptejä (jotka on laadittu ja todennettu). Vain datatiedetiimillä on pääsy tietoaltaaseen ja tietoja käytetään analyyttisiin tarkoituksiin, kuten seurantalaitteiden algoritmien parantamiseen. 

Tietoallas sisältää seuraavat tiedot:

• Etäisyys

• Enimmäisnopeus

• Matkan aloitus- ja lopetusaika 

• Ajankohta, jona matka rekisteröitiin palvelimillemme

• Matkan tyyppi (työ tai yksityinen)

• Kuljettajan numeerinen tunnus (ei linkkiä henkilötietoihin). Käytetään seuraavien tietojen tarjoamiseen:

  • Yrityksen identiteetti

  • Tilin tyyppi: käyttäjätili tai pääkäyttäjätili

  • Aktiivinen tili

  • Tilin kieliasetukset

  • Viimeisen sisäänkirjautumisen pvm

  • Viimeisen uloskirjautumisen pvm

  • Tiliin yhdistetty käyttöliittymä/tuote

  • Onko Show welcome page -lipun arvoksi asetettu tosi tai epätosi

  • Onko Force password reset -lipun arvoksi asetettu tosi tai epätosi

  • Verotuksellinen kotimaa

  • Sisältääkö asiakkaan tili matkoja

  • Sisältääkö asiakkaan tili aktiivisen kuljettajan

  • Onko asiakkaan tili poistettu yrityksestä

  • Onko yhteystiedot päivitetty

• Päivämäärä, jolloin tiliä muutettiin viimeksi

• Matkan asetukset

• Numeerinen tunnus, jolla tunnistetaan paikannuslaite

• Numeerinen tunnus, jolla tunnistetaan pääkonttori

• Numeerinen tunnus, jolla tunnistetaan ajoneuvo.

Mitään henkilötietoja, kuten nimiä, puhelinnumeroita ja sähköpostiosoitteita ei siirretä tietoaltaaseen. 
Sijainnit anonymisoidaan siten, että ei ole mahdollista tunnistaa datapisteeseen yhdistetyn henkilön osoitetta tai alkuperäisen datapisteen tarkkaa sijaintia. Matkan aloitus- ja lopetussijainnit ryhmitetään yhteen muiden paikannuslaitteiden sijaintien kanssa siten, että mikään tietty paikannuslaite ei aloita tai lopeta sijaintia eikä mitään tiettyä aloitus- tai lopetussijaintia voida jäljittää tunnistettavaan henkilöön. 

Hieman teknisempi selitys  

Matkat anonymisoidaan käyttämällä geohashing-menetelmää aloitus- ja lopetussijainneissa. Geohashing muuntaa sijainnin (leveys- ja pituuspiiriparit) hash-koodiksi, joka tunnistaa ruudun maailmankartan päällä olevassa ristikossa. Ristikon koko riippuu geohash-koodin pituudesta (katso https://en.wikipedia.org/wiki/Geohash).

Anonymisointiprosessi on iteratiivinen ja alkaa arvoltaan suurista geohash-koodeista (pienet ruudut). Geohash-arvo alkaa 12:sta (alueen koko on 7 neliömetriä) ja laskee 1:een (alueen koko on 25 009 930 neliökilometriä). Jos vain yhden SIM-kortin sijainti on ruudussa, jonka arvo on 12, geohash-arvoa pienennetään yhdellä ja prosessi toistetaan, kunnes muilla SIM-korteilla on sijainti samassa geohash-ruudussa tai kunnes geohash-arvo on 4, jolloin alueen koko vastaa 762 neliökilometriä (ks. kuva 1).

Anonymisointia käytetään myös kun sijaintitietoja myydään tai jaetaan kolmannen osapuolen käyttäjille, jolloin käytetään samalaista menettelyä tietojen anonymisointiin.

Tietojenkäsittelysopimus 

Ehtojemme ja tietosuojakäytännön lisäksi kaikkien ABAXin asiakkaiden pitää allekirjoittaa tietojenkäsittelyä koskeva sopimus.  
Kaikille markkinoillemme tarkoitetut asiakirjat löytyvät tästä: https://www.abax.com/terms-and-conditions. 

ABAXin käyttämät alikäsittelijät 

Tietosuoja-asetuksen mukaisesti on oltava käytössä kaksi vaihtoehtoista valtuutusta, jotka on saatava rekisterinpitäjältä ennen kuin tietojenkäsittelijä voi alkaa käyttää alikäsittelijää:  

1.    Etukäteen saatu erityinen valtuutus alikäsittelijän käyttöön. Tämä vaihtoehto on sopiva, kun tehtävät/palvelut, joita henkilötietojen käsittelijä suorittaa tai tarjoaa rekisterinpitäjälle ovat luonteeltaan erityisiä, toisin sanoen alikäsittelijä tarjoaa erityisiä palveluita yhdelle tai muutamalle asiakkaalle. Tästä on yleensä kyse, kun tietojen käsittelijän tarjoama ratkaisu on muokattava vastaamaan rekisterinpitäjän tarpeita.

2.    Yleinen valtuutus alikäsittelijän käyttöön. Tämä vaihtoehto on sopiva, kun henkilötietojen käsittelijän tarjoamat palvelut rekisterinpitäjälle ovat samat, tai olennaisesti samat, kuin suurelle määrälle asiakkaita tarjotut palvelut. Näissä tapauksissa henkilötietojen käsittelijän pitää kertoa rekisterinpitäjälle alikäsittelijöiden käytöstä ja näihin liittyvistä muutoksista ennen uusien alikäsittelijöiden ottamista käyttöön. Rekisterinpitäjällä on aina oikeus kieltää tiettyjen alikäsittelijöiden käyttö.

ABAX käyttää yleistä valtuutusvaihtoehtoa palveluitamme käyttäville asiakkaille. ABAX kehittää ja parantaa palveluitaan jatkuvasti. Uusi tai parannettu ominaisuus voi edellyttää uusien alikäsittelijöiden käyttöä. Jos ABAXin pitäisi pyytää kirjallinen suostumus kaikilta asiakkailtaan, uusien tuotteiden kehittäminen olisi mahdotonta. 
Käyttämiemme alikäsittelijöiden päivitetty yhteenveto löytyy osoitteesta https://www.abax.com/fi/legal/terms-and-conditions

Kuinka tietosuojaan suhtaudutaan palvelussasi? Proaktiivisuus ja torjunta 

Sisäänrakennetun tietosuojan periaatteeseen sisältyy ennakoiva suhtautuminen tietosuojariskeihin. Ongelmat on torjuttava ennen niiden esiintymistä ja on toteutettava toimenpiteet, jotta vältetään mahdolliset riskit ennen kuin ne ovat ilmeisiä. On myös tunnistettava huonot turvallisuus- ja tietosuojakäytännöt ja parannettava niitä ennen kuin vahinkoa syntyy.

Tämä vaatii tietosuoja-asetuksen edellyttämien tietoturvastandardien täytäntöönpanoa. Tämän kattaa vaatimus tietosuojan vaikutuksen arvioinnista ennen henkilötietojen käsittelyn aloittamista. Rekisterinpitäjien ja henkilötietojen käsittelijöiden vastuut on myös määritelty selvästi ja niitä on noudatettava. Tämä edellyttää perusteellista sitoutumista asianmukaiseen toteuttamiseen.

Oletusarvoinen tietosuoja 

Oletusarvoisen tietosuojan periaate edellyttää, että käyttäjän tiedot on suojattava ilman heiltä edellytettäviä toimenpiteitä. Yksittäisten henkilöiden ei tarvitse tehdä mitään sen varmistamiseksi, että heidän tietonsa on suojattu – ne suojataan oletusarvoisesti.
Tästä on säädetty yleisen tietosuoja-asetuksen artikloissa 25 ja 32 ja tietosuojavastaavien tehtävänä on varmistaa, että määräyksiä noudatetaan. Tietosuoja-asetus sisältää myös oletusarvoisen tietosuojan kolme pääelementtiä, mukaan lukien:

Käyttötarkoituksen määrittely – henkilöille on kerrottava, mihin tarkoitukseen heidän tietojaan käytetään
Keräämisen rajoitus – henkilötietojen keräämisen pitää olla lainmukaista ja läpinäkyvää
Tietojen minimointi – on kerättävä mahdollisimman vähän tietoja ja vain välitöntä käsittelytarkoitusta varten.
 

Sisäänrakennettu tietosuoja 

Luotaessa teknologioita yritysten ja online-palvelujen käyttöön on varmistettava, että ne suunnitellaan siten, että tietosuoja on olennainen osa järjestelmää.
Kaikkien tietosuojatoimenpiteiden on oltava toteutettuna jopa ennen kuin järjestelmät tulevat loppukäyttäjien käyttöön. Näiden toimenpiteiden ei pitäisi vaikuttaa käyttäjäkokemukseen ja järjestelmät pitäisi rakentaa siten, että mahdolliset virheelliset konfiguraatiot tai virheet eivät huononna tietosuojaa. Artikloissa 25 ja 32 käsitellään tätä periaatetta samoin kuin useissa johdanto-osan kappaleissa.

Täysi toiminnallisuus - positiivinen summa 

Sisäänrakennetun tietosuojan tavoitteena on saada aikaan win-win-tilanne kaikille asianosaisille. Tarkoituksena on, että nämä tietosuojatoimenpiteet hyödyttävät sekä yrityksiä että käyttäjiä. Sen sijaan, että olisi kyse nollasummatilanteesta, jossa käyttäjät voivat hyötyä vain yritysten kustannuksella ja päinvastoin, sisäänrakennetun tietosuojan tavoitteena on luoda positiivisia kokonaisvaikutuksia ilman kompromisseja.

Turvallisuus koko elinkaaren ajan  

Tietojen turvallisuus ja yksityisyys on varmistettava niiden keräämisestä lopulliseen hävittämiseen asti. Tiedot on suojattava ja niistä on vastattava niiden elinkaaren jokaisessa vaiheessa.

Tietosuoja-asetus on hyvin määräävä tässä suhteessa. Sen monissa tietojen keräystä, säilytystä ja hävittämistä koskevissa määräyksissä tämän säännön henki tulee hyvin esille. Tavoitteena on varmistaa, että tietoturvassa ei ole mitään aukkoja, koska turvallisuus on olennainen osa yksityisyyttä.

Tietosuoja-asetus siis edellyttää useiden menetelmien käyttämistä, jotta varmistetaan vastuuvelvollisuus (kuten rekisterinpito) ja turvallisuus (anonymisointi, pääsyn valvonta jne.).

Näkyvyys ja läpinäkyvyys 

Avain vastuuvelvollisuuden täyttämiseen (ja tietosuoja-asetuksen noudattamiseen) on läpinäkyvyys. Kaikki asianosaiset, kumppanit ja alikäsittelijät on tarkastettava ja niiden on mahdollistettava ulkoinen verifiointi. Jos läpinäkyvyyttä ja näkyvyyttä ei taata, ei ole mitään mahdollisuutta varmistaa, että sisäänrakennetun tietosuojan periaatteet on toteutettu asianmukaisesti.

Yksityisyyden kunnioittaminen 

Paras tapa saada hyvät tulokset sisäänrakennetun tietosuojan periaatteiden toteuttamisessa on luoda tuotteita loppukäyttäjiä ajatellen. Tuotteet pitäisi suunnitella vastaamaan käyttäjien tarpeita ja niiden pitäisi sisältää yksinkertaisia mahdollisuuksia tarkastaa ja valvoa tietojensa käsittelyä.

Kuinka yksityisyys varmistetaan otettaessa käyttöön uusia ominaisuuksia?

Jo ennen kuin me päätämme ottaa käyttöön uuden ominaisuuden tai tuotteen, arvioimme yksityisyysaspektin perusteellisesti. Pyydämme apua tietosuojavastaavalta ja oikeudellisilta neuvonantajilta (asianajotoimistoilta), jos olemme epävarmoja. Lisäksi ohjelmistojemme testaajat kiinnittävät erityistä huomiota yksityisyyteen ja kaikki mahdolliset riskit suljetaan pois ennen tuotteen tuomista markkinoille.

Privacy assistant 

Anna meidän hoitaa tietosuoja-asetukseen liittyvät asiat. Tietosuoja-asetuksen perusteella työntekijöilläsi on nyt oikeus saada tietää, mitä henkilötietoja yrityksellä on heistä ja ”oikeus tulla unohdetuksi”. Jotkut työntekijät luultavasti esittävät kysymyksiä tästä. Onko sinulla aikaa vastata kaikkiin työntekijöidesi pyyntöihin vai haluatko, että me teemme sen puolestasi? Hoidamme suurimman osan yksityisyyteen liittyvistä asioista työntekijöidesi kanssa Privacy Assistant -palvelumme avulla, jotta sinä voit keskittyä kannattavan liikeyrityksen hoitoon.

Privacy Assistant hoitaa seuraavat

• Varmistaa, että yrityksesi käyttää ABAXin tuotteita ja palveluita tavalla, jolla täytät tietosuoja-asetuksen vaatimukset 

• Käsittelee työntekijöiden pyynnöt, jotta voit keskittyä yrityksen hoitamiseen 

• Tiedottaa työntekijöille yksinkertaisella ja vaatimukset täyttävällä tavalla käyttäen erityisiä yritystäsi koskevia asiakirjoja.

ABAX pitää tietoturvallisuutta erittäin tärkeänä. Tässä annetaan vastaukset joihinkin kaikkein yleisimpiin kysymyksiin, joita asiakkaat kysyvät tietoturvallisuudesta sivustollamme abax.com.

Missä ABAX säilyttää asiakkaiden tietoja? 

Asiakkaiden tiedot ovat kaikkein arvokkain omaisuutemme, joten säilytysratkaisujemme täytyy olla turvalliset ja luotettavat. Käytämme sekä omia datakeskuksiamme että julkisia pilvipalveluita. Päädatakeskuksemme on Ruotsissa. Löydät luettelon julkisista pilvipalvelujen tarjoajista säännöllisesti päivitettävässä luettelossa, joka sisältää alikäsittelijät. Luettelo löytyy osoitteesta https://www.abax.com/fi/terms-and-conditions

Kuinka ABAX salaa tallennettavat tiedot? 

Datakeskuksiimme tallennettavat tiedot tallennetaan itsesalaaville kiintolevyille, joten asiakkaat voivat luottaa siihen, että heidän tietonsa ovat turvassa meillä.

Kuinka ABAX salaa tiedot siirrettäessä ne asiakkaille? 

Kun käytät tuotteitamme, joko selaimen tai sovellustemme kautta, kaikki tiedot salataan standardin TLS-protokollan avulla. Selaimen osoitekentässä näkyy lukkosymboli sen merkiksi, että yhteys on salattu.

Minkälaisia turvallisuusstandardeja ABAX noudattaa? 

Noudatamme tietoturvallisuuden hallintajärjestelmän standardia ISO 27001. Tähän standardiin sisältyy joukko tarkastuksia, jotta varmistetaan, että kaikki käsittelyt tapahtuvat turvallisesti ja tavalla, joka ei muodosta riskiä asiakkaiden tiedoille.  

Mitä toimittajia ABAX käyttää tietojen siirtoon? 

Laitteistomme ovat yhteydessä mobiiliverkkoon Telenorin ja sen globaalin partnereiden verkon kautta. Monet internet-palveluntarjoajat (ISP) mahdollistavat kommunikaation asiakkaidemme ja järjestelmiemme välityksellä tuplavarmistettujen ratkaisujen avulla. ABAXin infrastruktuuri on yhteydessä internet-väyliin useissa keskeisissä internetin yhdysliikennepisteissä. 

Kuinka ABAX varmistaa palvelintensa turvallisuuden?  

Jotta varmistaisimme palvelintemme turvallisuuden, rakennamme infrastruktuurimme aina alan standardien ja parhaiden käytäntöjen pohjalta. Koko infrastruktuuri pidetään ajan tasalla käyttäen uusimpia tietoturvapäivityksiä, jotka toimittajamme julkaisevat. 

Minkälaiset ovat asiakkaan tietoja koskevat ABAXin varmuuskopiointirutiinit? 

Teemme säännölliset varmuuskopiot kaikista arvokkaista asiakkaiden tiedoista ja tallennamme ne toimitilojemme ulkopuolella sijaitsevaan turvalliseen paikkaan. Asiakkaille tämä tarkoittaa sitä, että voimme palauttaa tiedot ja minimoida tietojen menetyksen onnettomuuden sattuessa. 

Kuinka ABAX turvaa asiakkaiden tiedot verkoissaan? 

Palvelinten turvallisuus varmistetaan käyttämällä verkon segmentointia, mikä tarkoittaa, että jaamme verkkomme pienempiin osiin. Näin suojaamme infrastruktuurimme kyberhyökkäyksiltä.

Kuinka ABAX varmistaa palvelinten ja järjestelmien pääsynvalvonnan? 

Käytämme laajalti käytössä olevaa pääsynvalvontamenetelmää, pienimmän valtuuden periaatetta (principle of least privilege, POLP). Se tarkoittaa käytännössä sitä, että rajoitamme pääsyn järjestelmiemme tileille myöntäen vain tiettyjen tehtävien suorittamiseen tarvittavat minimaaliset valtuudet. Jotta varmistetaan pienimmän valtuuden periaatteen noudattaminen, tarkastamme kaikki tilimme ja niiden pääsyoikeudet säännöllisesti osana ISO 27001 -standardin noudattamismenettelyä.

Palvelun käyttöönotto: alusta lähtien oikealla tavalla Aseta palvelulle hyväksytty käyttötarkoitus 

Kun aloitat ABAX-palvelun käytön, sinun pitää muistaa ottaa se käyttöön oikein, jotta olet varma tietosuojamääräysten noudattamisesta. Se tarkoittaa sitä, että yritykselläsi pitää olla hyväksytty oikeusperuste henkilötietojen käsittelyyn yleisen tietosuoja-asetuksen 6 artiklan kohtien a-f mukaisesti, joissa sanotaan: 

Käsittely on lainmukaista ainoastaan jos ja vain siltä osin kuin vähintään yksi seuraavista edellytyksistä täyttyy:

(a)    rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten.
(b)    käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.
(c)    käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi.
(d)    käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi.
(e)    käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.
(f)     käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut, erityisesti jos rekisteröity on lapsi.

ABAXin eri aloilla jotkin ehdotetut käyttötarkoitukset voivat olla relevantteja ja käytössä asiakkaitamme varten.
 

ABAXIN PALVELUILLE EHDOTETUT KÄYTTÖTARKOITUKSET 

Asiakirjat veroviranomaisten käyttöön 
ABAX Triplog -ajopäiväkirjan tarkoituksena on kirjata ajoneuvojen käyttö veroviranomaisten antamien määräysten mukaisesti. Kaikki yritys- tai työsuhdeajoneuvoilla ajetut matkat dokumentoidaan. Voimassa olevan lainsäädännön noudattamista varten laaditaan rutiinit.

Työ- ja yksityisajojen erottelu verotustarkoituksiin
ABAX Triplog -ajopäiväkirjaa käytetään erottamaan yksityiset matkat työmatkoista verotustarkoituksia varten. Matkojen luokituksen tekee kuljettaja, pääkäyttäjä ja/tai automaattisesti järjestelmä.

Asiakaskyselyt
ABAX Triplog -tietoja voidaan käyttää apuna vastattaessa yrityksen omien asiakkaiden kyselyihin tai käsiteltäessä reklamaatioita. Tietoja tulee hakea vain asiakkaan esittämän erityisen kyselyn jälkeen ja vain sen ratkaisemista varten.

Turvallisuus
ABAX Triplog -ajopäiväkirjaa voidaan käyttää työntekijän paikallistamiseen, jos työnantaja on menettänyt yhteyden työntekijään ja epäilee, että on sattunut onnettomuus.

Asiakkaiden laskutus
ABAX Triplog -tietoja voidaan käyttää perustana kilometrikorvausten laskuttamiselle asiakkailta (aika ja kilometrimäärä).

Väärät tuntilistat
ABAX Triplog -ajopäiväkirjaa voidaan käyttää, jos on konkreettinen epäily, että tuntilista ei pidä paikkaansa. Kyseisellä työntekijällä tulee olla mahdollisuus olla läsnä tarkastuksen aikana ja häntä voi tukea työntekijöiden edustaja tai muu osapuoli.

Huollon seuranta
ABAX Triplog -tietoja voidaan käyttää ajoneuvon huoltoaikataulun seurantaan. Huoltoilmoitukset voidaan lähettää sähköpostitse tai tekstiviestinä järjestelmästä.

Tehokkuus
ABAX Triplogin aktiivinen kartta ja ABAX Fleet Management -järjestelmä jäljittää ajoneuvojen sijainnin. Palvelua voidaan käyttää ohjaamaan lähimpänä työkohdetta oleva ajoneuvo kohteeseen.

Reitin suunnittelu
ABAX Triplog ja ABAX Fleet Management voi näyttää kaikki tiettynä päivänä ajetut matkat kartalla. Tätä voidaan käyttää ajoreittien optimointiin.

Ympäristövaikutuksen vähentäminen
ABAX Driving Behaviour -ajotapapalvelu voi antaa kuljettajille pisteitä ajotavasta. Korkeammat pisteet saavien kuljettajien ympäristövaikutus on vähäisempi.

Sosiaalinen vastuu
ABAX Driving Behaviour -ajotapapalvelua voidaan käyttää kannustamaan kuljettajia ajamaan turvallisemmin ja tehokkaammin.

Ajostandardien kehittäminen
ABAX Driving Behaviour -ajotapapalvelua voidaan käyttää kannustamaan kuljettajia ajamaan turvallisemmin ja tehokkaammin, jolloin onnettomuuksien määrä vähenee.

Ajokalustoon liittyvien kulujen vähentäminen 
ABAX Driving Behaviour --ajotapapalvelu voi auttaa optimoimaan ajotapaa, jolloin polttoaine- ja huoltokustannukset pienentyvät.

Paikannus ja seuranta
ABAX Equipment Control -kalustonvalvontaa voidaan käyttää kadonneen laitteiston jäljitykseen ja palautukseen.

Tehokkuus
ABAX Equipment Control -kalustonvalvontaa voidaan käyttää tietyn laitteiston löytämiseen tiettyä työtä varten. 

Säästöt
ABAX Equipment Control -kalustonvalvonta voi rekisteröidä omavoimaisen laitteiston käyttöaikaa. Näitä tietoja voidaan käyttää liikakäytön vähentämiseen.

Laskutus todellisen käytön mukaan
ABAX Equipment Control -kalustonvalvonta voi rekisteröidä omavoimaisen laitteiston käyttöaikaa. Yritys voi käyttää näitä tietoja laskuttaakseen asiakasta todellisen käytön perusteella.

Laskutus käytön perusteella tietyllä alueella
ABAX Equipment Control -kalustonvalvonta voi rekisteröidä omavoimaisen laitteiston käyttöaikaa tietyllä alueella. Yritys voi käyttää näitä tietoja laskuttaakseen asiakasta projektiin käytettyjen työtuntien perusteella.

Huollon seuranta
ABAX Equipment Control -tietoja voidaan käyttää laitteistojen huollon seurantaan. Huoltoilmoitukset voidaan lähettää sähköpostitse tai tekstiviestinä järjestelmästä.
 

Tärkeää muistaa 

Kun otetaan käyttöön uusi palvelu, joka sisältää valvontatoimenpiteitä, viranomaiset suosittelevat, että yritys ottaa työntekijät mukaan prosessin varhaisessa vaiheessa. Luottamushenkilö on usein sopiva tähän tarkoitukseen. 

Yrityksen johdon pitää järjestää tapaaminen luottamushenkilön ja/tai muun asianmukaisen yrityksen henkilöstön jäsenen kanssa, jotta voidaan keskustella eri valvontatoimenpiteistä, joita ABAX-palvelun käyttöön liittyy. 
Lisäksi yrityksen pitää ilmoittaa valvontatoimenpiteen tarkoitus, mahdolliset seuraukset, joita sillä voi olla (esim. kuinka teknologia toimii ja minkälaisia tietoja mitataan ja raportoidaan pääkäyttäjälle) ja kuinka kauan valvontatoimenpide on käytössä (yleensä sopimuksen voimassaolon ajan). 

Tiedot voidaan antaa työntekijöille suullisesti tai kirjallisesti. Joissakin tapauksissa yritys voi pitää tiedotustilaisuuden, jotta varmistetaan, että kaikille työntekijöille on tiedotettu asiasta ja kuullaan työntekijöiden mielipiteitä. Ajanmukaiset tiedot on oltava saatavilla työntekijöille.

Asiakkaamme voivat itse määritellä parhaiten liiketoimintaansa sopivan henkilötietojen käsittelyn tarkoitukset. Edellä mainitut tarkoitukset ovat vain ehdotuksia ja asiakkaamme voivat määritellä niiden lisäksi muita tarkoituksia, jotka vastaavat paremmin heidän vaatimuksiaan. Työelämän tietosuojalain mukaan suositellaan, että työntekijöitä kuullaan otettaessa käyttöön ABAX-palvelu, jotta varmistetaan koko yrityksen sujuva asiakkaaksi tulo. 

Jokaisen tarkoituksen on oltava lainmukainen tietosuoja-asetuksen nojalla (6 artiklan a-f kohdat) Mikä on tärkeää muistaa? Seuraavien avainseikkojen pitäisi olla merkittäviä asiakkaillemme, kun määritellään tarkoitus ja oikeusperuste henkilötietojen käsittelylle. 
 

Muista

• Henkilötietojen käsittelyyn pitää olla pätevä oikeusperuste.

• Käsittelylle on kuusi mahdollista oikeusperustetta. Mikään yksittäinen peruste ei ole ”parempi” tai tärkeämpi kuin jokin toinen. Kaikkein sopivin peruste määräytyy tarkoituksen ja asiakkaan perusteella.

• Useimmat oikeusperusteet edellyttävät, että käsittely on välttämätöntä tiettyä tarkoitusta varten. Jos sama tarkoitus voidaan kohtuudella toteuttaa ilman henkilötietojen käsittelyä, oikeusperustetta ei ole.

• Oikeusperuste on määriteltävä ennen käsittelyn aloittamista ja se on dokumentoitava. Meillä on interaktiivinen Privacy Assistant -työkalu, joka voi olla avuksi.

• Varmista, että toimit alusta lähtien oikein - oikeusperustetta ei voi muuttaa myöhemmin ilman hyvää syytä. Yleisesti ottaen on niin, että etenkään suostumusperustetta ei voi muuttaa muuksi perusteeksi.

• Tietosuojaselosteen pitää sisältää tietojenkäsittelyn oikeusperuste sekä tarkoitus/tarkoitukset.

• Jos tarkoitus muuttuu, voit ehkä jatkaa tietojenkäsittelyä alkuperäisen oikeusperusteen pohjalta, jos uusi tarkoitus on yhteensopiva alkuperäisen tarkoituksen kanssa (paitsi jos alkuperäinen oikeusperuste oli suostumus).

• Jos käsittelet erityistä tietokategoriaa, on määriteltävä oikeusperuste yleistä käsittelyä varten sekä lisäehto tämän tyyppisten tietojen käsittelylle.

• Jos käsittelet rikostuomioita tai rikoksia koskevia tietoja, on määriteltävä oikeusperuste yleistä käsittelyä varten sekä lisäehto tämän tyyppisten tietojen käsittelylle.

Voinko käyttää järjestelmän tietoja mihin tahansa tarkoitukseen

Kun ABAX-palvelu otetaan käyttöön, on määriteltävä tarkkaan, mihin tietoja halutaan käyttää. Tietoja ei saa käyttää muulla tavalla kuin ennalta määriteltyyn tarkoitukseen ilman uutta ilmoitusta työntekijöille.

Jos muutat tarkoitusta tai määrittelet toisen tarkoituksen, on pidettävä toinen kokous luottamushenkilön/asianosaisen työntekijän kanssa ja varmistettava, että kaikille työntekijöille tiedotetaan asiasta. Uuden tarkoituksen on tietenkin oltava pätevä  ja sillä on oltava selkeä oikeusperuste tietosuoja-asetuksen mukaan. 

Yrityksen pitää tiedottaa henkilötietojen käsittelyn tarkoituksesta ja kuvata tarkasti, mihin henkilötietoja käytetään eikä mihin niitä voidaan käyttää. Toisin sanoen tarkoitus on määriteltävä ja siitä on tiedotettava eikä sen pidä olla liian laaja tai epämääräinen. Henkilötietoja käytetään määritellyn tarkoituksen mukaisesti. Mikäli henkilötietoja käytetään muihin kuin määriteltyihin tarkoituksiin, rikotaan tietosuojaa koskevia määräyksiä. 

Vaikutustenarviointi (englanniksi Data Protection Impact Assessment, DPIA) on tietosuoja-asetuksen mukanaan tuoma uusi velvoite, kun yritys käsittelee henkilötietoa. Tietosuojavaltuutetun toimisto ohjeistaa, että yrityksen on laadittava vaikutustenarviointi, kun kyseessä on työntekijöiden paikannustiedon jatkuva saanti sähköisen ajopäiväkirjan myötä.

Näitä ohjeita seuraamalla voi kukin yritys laatia oman dokumentoinnin vaikutustenarvioinnista. Koko yrityksen toiminnot kattava vaikutustenarviointi ja sen päivittäminen muutosten yhteydessä on yritykselle oiva itsearviointityökalu riskienhallintaan ja osoitus tietosuojavelvoitteiden noudattamisesta (ks. artikla 25 kohta 2).

Yleinen tietosuoja-asetus meidän teknologiassamme Päättäminen ja poistaminen 

Tietojen poistamiseen johtava päättäminen koskee tietoja, jotka kuuluvat asiakkaille, jotka päättävät ABAXin sopimuksen ja jotka eivät ole ostaneet Data Storage -palvelua. Data Storage on tiedontallennuspalvelu, jonka asiakas voi ostaa ja kun se on ostettu, me takaamme, että säilytämme asiakkaan tiedot turvallisesti sopimuksen päättämisen jälkeen. Tietojen poistaminen voi koskea kaikkia asiakkaan sopimukseen liittyviä tietoja tai asiakkaan yksittäistä käyttäjää/kuljettajaa. Kun yksittäinen käyttäjä/kuljettaja pyytää tietojen poistamista, vain tähän käyttäjään/kuljettajaan liittyvät tiedot poistetaan. Yksittäisen käyttäjän tietojen poistaminen toteutetaan Privacy Assistant -palvelun avulla (ks. kuva 2). Kuljettaja määrittelee itse mitkä tiedot on poistettava täyttämällä lomakkeen (yritykset voivat luoda mallilomakkeen, joka helpottaa kuljettajien prosessia). 
Kun asiakkaan sopimus on päättynyt, kaikki asiakkaan käyttäjiin/kuljettajiin liittyvät tiedot poistetaan. 

Ylimääräisenä laatutarkastuksena luomme listan, joka sisältää kaikki poistettavat asiakkaat. Lista tarkistetaan ja siinä yhteydessä poistamme listalta asiakkaat, joita ei jostain syystä pitäisikään poistaa (sopimuksen uusiminen tms.). 

Kun saamme pyynnön tietojen poistamisesta, ne on poistettava 30 päivän sisällä. Se koskee sekä asiakkaan että yksittäisen kuljettajan tietojen poistamista.

Kun poistaminen aloitetaan, käytämme erityistä palvelua, joka lähettää komentoja kaikkiin eri alojemme palveluihin. Komennot käynnistävät sellaisten tietojen poistamisen, jotka voidaan yhdistää henkilöön (henkilötiedot) kaikilla asiakkaan tai kuljettajan aloilla.

Ennen tietojen poistamista erotamme mahdollisesti arvokkaat tietopisteet ja ajamme ne tietoaltaamme läpi. Tietoallasrutiiniemme avulla anonymisoimme tiedot siten, että niitä ei voida enää jäljittää asiakkaaseen tai kuljettajaan. Tulevaisuudessa on tarkoitus automatisoida tietoallas, kun saamme tietoja paikannuslaitteista. Anonymisoidut tiedot säilytetään analyyttisiin tarkoituksiin vaikka niiden poistamista pyydettäisiin (ks. anonymisointi) 

https://www.abax.com/fi/legal/cookies