Data Protection Policy – Whistleblowing Channel

(In Finnish below)

This data protection policy describes how Black Donuts processes personal data in connection with the processing of notifications received through the whistleblowing channel, as well as in connection with the investigations and procedures initiated from them.

Data controller company

Black Donuts Engineering Oy
Y-tunnus 2352555-5
Myllyhaantie 6e, 33960 Pirkkala, Finland

Contact Person

Marko Ylitolva
Head of ICT
Myllyhaantie 6 E
33960 Pirkkala
Finland
firstname.lastname@blackdonuts.com

Purposes of and legal bases for the processing of personal data

Black Donuts may collect and process personal data for various purposes, including:

  • processing, investigation and reporting of notifications submitted through the whistleblowing channel
  • monitoring and verifying compliance with legislation, contracts and the company’s internal regulations
  • prevention, investigation and prosecution of criminal offences and other misconducts
  • safeguarding of legal rights
  • fulfilment of legal obligations

The legal basis for processing personal data is the fulfilment of legal obligations and Black Donuts’ legitimate interest.

Personal data processed

Black Donuts may collect and process the following personal data:

  • identification data, such as name and social security number
  • contact details, such as address, telephone number and email
  • occupational and employer information
  • information relating to the suspected offence or misconduct
  • image and video material
  • other information provided by the person submitting the notification

The personal data processed typically concerns the person who submitted the notification or the person who is the subject of the notification.

Retention period

We will retain your personal data for as long as the data is necessary to fulfil the purposes set out in this data protection policy, unless the law obliges us to retain your personal data for a longer period of time.

Regular sources of information

Generally, we receive personal data from the person in question through the whistleblowing channel. Anyone can make a notification through the whistleblowing channel.

Black Donuts may also collect personal data from its internal systems, parties related to the notification and authorities.

Disclosure of personal data

Personal data may be disclosed at Black Donuts’ discretion to the extent permitted by the legislation in force at any given time. The disclosure of data may, in principle, take place only for legitimate purposes that support Black Donuts’mission statement, and where the purpose of processing of the data is compatible with Black Donuts’ purposes.

Personal data may be disclosed, for example, to the following recipients:

  •  to the authorities at their request, when required by law and to exercise Black Donuts’ rights
  • to Black Donuts’ owner to monitor the quality and legality of the process
  • in the context of mergers and acquisitions to potential buyers, financiers and their advisors, if we sell or otherwise organise our business

If your personal data is disclosed to a third party, we will ensure that your data is protected by appropriate contractual protective measures.

Transfer of data outside the European Economic Area

Generally, we process personal data within the European Economic Area (“EEA”). Data may also be processed outside the EEA if it is necessary for the purposes of processing personal data mentioned in this data protection policy or for the technical or practical implementation of the processing, such as the location of servers.

If personal data is transferred outside the EEA, we will ensure that the requirements of data protection legislation are complied with in the transfer of data.

Safety of the processing of personal data

When processing personal data, we ensure appropriate security and data protection of personal data, including protection of personal data against unauthorised processing and accidental loss.

Personal data processed electronically is protected by firewalls, passwords and other commonly accepted means in the field of data security. On websites and other services, data is protected by necessary means. Personal data can only be accessed by specific Black Donuts employees with access right granted by Black Donuts.

Black Donuts’ whistleblowing channel is a system implemented by an external service provider that operates detached from our own systems.

Automated decision-making including profiling

Black Donuts do not use automated decision-making or profiling in connection with the processing of personal data described in this data protection policy.

Rights of the data subject

As a data subject, you have the right to:

  • request access to the personal data relating to you;
  • request the rectification, erasure or restriction of processing of your data;
  • object to the processing of your data;
  • request the transfer of your data from one system to another; and
  • where the processing is based on your consent, withdraw your consent. Please note that this will not affect any processing prior to the withdrawal.

You can exercise your rights under data protection legislation by contacting us. We will evaluate the prerequisites for complying with your request as soon as possible and, if necessary, ask you for any additional information you may need. If we consider the request to be manifestly unfounded or unreasonable, we may charge a fee for the execution of the request or refuse to execute it.

If you believe that your personal data is not being processed lawfully, you have the right to lodge a complaint with the Data Protection Ombudsman.

In Finnish

Tietosuoja­seloste – Whistleblowing-kanava

Tässä tietosuojaselosteessa kuvataan, kuinka käsittelemme henkilötietoja konsernin Whistleblowing-kanavan kautta tulleiden ilmoitusten käsittelyn sekä niistä käynnistyvien selvitysten ja prosessien yhteydessä.

Rekisterinpitäjäyhtiö

Black Donuts Engineering Oy
Y-tunnus FI2352555-5
Myllyhaantie 6e, 33960 Pirkkala, Finland

Yhteyshenkilö rekisteriin liittyvissä kyselyissä

Marko Ylitolva
Head of ICT
Myllyhaantie 6 E
33960 Pirkkala
Finland
firstname.lastname@blackdonuts.com

Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperusteet

Black Donuts voi kerätä ja käsitellä henkilötietoja muun muassa seuraaviin tarkoituksiin:

  • Ilmoituskanavan kautta jätettyjen ilmoitusten käsittely, tutkinta ja raportointi
  • Lainsäädännön, sopimusten ja yhtiön sisäisten määräysten noudattamisen seuraaminen ja varmistaminen
  • Rikosten ja muiden väärinkäytösten ehkäiseminen, selvittäminen ja tutkintaan saattaminen
  • Lakiin perustuvien oikeuksien turvaaminen
  • Lakimääräisten velvollisuuksien täyttäminen

Henkilötietojen käsittelyn oikeusperusteena on lakisääteisten velvoitteiden toteuttaminen ja Black Donutsin oikeutettu etu.

Käsiteltävät henkilötiedot

Yhtiö voi kerätä ja käsitellä seuraavia henkilötietoja:

  • Yksilöintitiedot, kuten nimi ja henkilötunnus
  •  Yhteystiedot, kuten osoite, puhelinnumero ja sähköposti
  • Ammatti- ja työnantajatiedot
  • Epäiltyyn rikokseen tai väärinkäytökseen liittyvät tiedot
  • Kuva- ja videoaineisto
  • Muut ilmoituksen tekijän ilmoittamat tiedot

Käsiteltävät henkilötiedot koskevat tyypillisesti ilmoituksen jättänyttä henkilöä tai sen kohteena olevaa henkilöä.

Säilytysajat

Säilytämme henkilötietojasi niin kauan kuin ne ovat tarpeen tässä tietosuojaselosteessa määriteltyjen tarkoitusten toteuttamiseksi, ellei lainsäädäntö velvoita säilyttämään henkilötietoja pidempään.

Säännönmukaiset tietolähteet

Saamme henkilötiedot pääsääntöisesti ilmoittajalta itseltään ilmoituskanavan kautta. Ilmoituksen ilmoituskanavassa voi tehdä kuka tahansa.

Black Donuts voi lisäksi kerätä henkilötietoja konsernin sisäisistä järjestelmistä, ilmoitukseen liittyviltä tahoilta ja viranomaisilta.

Henkilötietojen luovuttaminen

Henkilötietoja voidaan Black Donutsin harkinnan perusteella luovuttaa kulloinkin voimassa olevan lainsäädännön sallimissa rajoissa. Tietojen luovuttaminen voi lähtökohtaisesti tapahtua vain sellaisiin laillisiin tarkoituksiin, jotka tukevat yhtiön toiminta-ajatusta, ja joissa tietojen käyttötarkoitus on yhteensopiva yhtiön käyttötarkoitusten kanssa.

Henkilötietoja voidaan luovuttaa esimerkiksi seuraaville vastaanottajille:

  • Viranomaisille näiden pyynnöstä, lain velvoittaessa ja yhtiön oikeuksien toteuttamiseksi
  • Yhtiön omistajataholle prosessin laadun valvonnan ja laillisuuden valvomiseksi
  • Yritysjärjestelyiden yhteydessä potentiaalisille ostajille, rahoittajille ja heidän neuvonantajilleen, jos yhtiö myy tai muutoin järjestelee liiketoimintaansa

Jos henkilötietojasi luovutetaan kolmannelle osapuolelle, varmistamme, että tietosi suojataan asianmukaisin sopimusperusteisin suojauksin.

Tietojen siirto Euroopan talousalueen ulkopuolelle

Käsittelemme henkilötietoja pääsääntöisesti Euroopan talousalueen (”ETA”) sisällä. Tietoja voidaan käsitellä myös ETA:n ulkopuolella, jos se on tässä tietosuojaselosteessa mainittujen henkilötietojen käsittelytarkoitusten tai tietojen käsittelyn teknisen tai käytännön toteuttamisen kannalta tarpeen, kuten palvelinten sijainnin vuoksi.

Jos henkilötietoja siirretään ETA:n ulkopuolelle, huolehdimme, että tietojen siirrossa noudatetaan tietosuojalainsäädännön vaatimuksia.

Henkilötietojen käsittelyn turvallisuus

Henkilötietoja käsitellessämme varmistamme henkilötietojen asianmukaisen turvallisuuden ja tietosuojan, mukaan lukien henkilötietojen suojaamisen luvattomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä.

Sähköisesti käsiteltävät henkilötiedot on suojattu palomuureilla, salasanoilla ja muilla tietoturvan toimialalla yleisesti hyväksyttävillä keinoilla. Verkkosivustoilla ja muissa palveluissa tietoja suojataan tarpeellisilla tavoilla. Henkilötietoihin on pääsy ainoastaan yksilöidyillä Black Donutsin työntekijöillä Black Donutsin myöntämällä käyttöoikeudella.

Black Donutsin ilmoituskanava on ulkoisen palveluntuottajan toteuttama järjestelmä, joka toimii irrallaan omista järjestelmistämme.

Automaattinen päätöksenteko, mukaan lukien profilointi

Black Donuts ei käytä automaattista päätöksentekoa tai profilointia tässä tietosuojaselosteessa kuvatun henkilötietojen käsittelyn yhteydessä.

Rekisteröidyn oikeudet

Rekisteröitynä sinulla on oikeus:

  • pyytää pääsyä itseäsi koskeviin henkilötietoihin,
  • pyytää kyseisten tietojen oikaisemista, poistamista tai käsittelyn rajoittamista,
  • vastustaa käsittelyä
  • pyytää tietojesi siirtämistä järjestelmästä toiseen, sekä
  • kun käsittely perustuu suostumukseesi, peruuttaa antamasi suostumus. Huomaathan, ettei tämä kuitenkaan vaikuta ennen peruuttamista suoritettuun käsittelyyn.

Voit käyttää tietosuojalainsäädännön mukaisia oikeuksiasi olemalla meihin vapaamuotoisesti yhteydessä. Arvioimme edellytykset täyttää pyyntösi mahdollisimman pian ja tarvittaessa pyydämme sinulta tarpeellisia lisätietoja. Jos katsomme, että pyyntö on ilmeisen perusteeton tai kohtuuton, voimme periä maksun pyynnön toteuttamisesta tai kieltäytyä toteuttamasta pyyntöä.

Jos katsot, ettei henkilötietojasi käsitellä lainmukaisesti, sinulla on oikeus tehdä asiasta valitus tietosuojavaltuutetulle.