Sijainti: Finland Muuta sijaintiSulje

Landis+Gyr-yhtiön | maailmanlaajuinen tietosuojakäytäntö

SISÄLLYSLUETTELO

1| Johdanto
2| Lain noudattaminen
3| Henkilötietojen kerääminen ja käsitteleminen
3.1 Kerätyt henkilötiedot
3.2 Käsittelyn tarkoitukset ja oikeusperusteet
3.3 Henkilötietojen säilyttäminen
3.4 Henkilötietojen luovuttaminen
3.5 Henkilötietojen siirtäminen
3.6 Henkilötietojen suojaaminen
4| Henkilötietoihin liittyvät tietosuojaoikeudet
5| Kalifornian tietosuojaoikeudet
6| Kiinaa koskevat erityisvaatimukset
7| Tämän käytännön päivitykset
8| Kuinka voit ottaa meihin yhteyttä?

1| Johdanto

Landis+Gyr Group AG on rekisteröity Sveitsin lakien mukaisesti, sen rekisteröity osoite on Alte Steinhauserstrasse 18, 6330 Cham, Sveitsi, ja se toimii ympäri maailmaa sijaitsevien tytäryhtiöidensä kautta (yhdessä ”yhtiö”) ja voi toimia rekisterinpitäjänä tai henkilötietojen käsittelijänä.

Yhtiö kerää ja käsittelee henkilötietoja päivittäisen liiketoimintansa yhteydessä. Tämä maailmanlaajuinen tietosuojakäytäntö (”käytäntö”) on laadittu ja otettu käyttöön kuvaamaan yhtiön käytäntöjä ja asiaankuuluvia tietosuojaperiaatteita henkilötietojen suojaamiseksi asiakkaiden, urakoitsijoiden ja muiden liikekumppaneiden (”rekisteröidyt”) henkilötietojen käsittelyn aikana.

Tämän käytännön soveltamisalaan liittyvissä tarkoituksissa yhtiö tarkoittaa Landis+Gyr Group AG:tä ja sen osakkuusyhtiöitä (”osakkuusyhtiöt”), joiden kaikkien katsotaan olevan konserniyhtiöitä.

”Sovellettava laki” viittaa asianomaisen maan tietosuojalakiin tai sovellettavaan tietosuoja-asetukseen.

”Henkilötiedot” tarkoittaa kaikkia tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön liittyviä tietoja.

”Käsittely” tarkoittaa mitä tahansa toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista tai muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

2| Lain noudattaminen

Yhtiö on älykkäiden verkko- ja mittaustuotteiden maailmanlaajuinen johtaja ja pyrkii olemaan hyvä yrityskansalainen. Yhtiö tunnustaa asiaankuuluvat tietosuojaoikeudet ja noudattaa sovellettavaa lakia. Tietyt vaatimukset voivat vaihdella osakkuusyhtiöiden välillä sovellettavasta laista riippuen. Tämä käytäntö on maailmanlaajuinen ohjeistus, johon yhtiö on sitoutunut ja joka on olennainen osa yhtiön sisäisiä käytännesääntöjä.

Yhtiö on sitoutunut noudattamaan Euroopan parlamentin ja neuvoston asetusta (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (”GDPR”), Euroopan parlamentin ja neuvoston direktiiviä 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla, Yhdistyneen kuningaskunnan yleistä tietosuoja-asetusta (asetus (EU) 2016/679 [”UK GDPR”]) ja vuoden 2018 tietosuojalakia, 25. syyskuuta 2020 annettua Sveitsin liittovaltion tietosuojalakia 235.1, vuoden 2018 Kalifornian kuluttajien tietosuojalakia (”CCPA”), sellaisena kuin se on muutettuna Kalifornian vuoden 2020 tietosuojalailla (”CPRA”), Kiinan kansantasavallan henkilötietojen suojaa koskevaa lakia (”PIPL”), 14. elokuuta 2018 annettua Brasilian lakia nro 13.709 (yleinen henkilötietosuojalaki, sellaisena kuin se on muutettuna 8. heinäkuuta 2019 annetulla lailla nro 13.853) (”LGPD”), Intian digitaalisten henkilötietojen suojaa koskevaa lakia ja kaikkia muita asiaankuuluvia tietosuojasäännöksiä, jotka sovellettavan lain mukaan koskevat yhtiön toimintaa.

3| Henkilötietojen kerääminen ja käsitteleminen

3.1 Kerätyt henkilötiedot

Tämä käytäntö koskee yhtiön asiakkaita (mukaan lukien sen asiakkaiden loppukäyttäjät), toimittajia ja muita liikekumppaneita. Yhtiö voi käsitellä seuraavia henkilötietojen ryhmiä:

  • henkilötiedot: sukunimi, etunimi, sukupuoli, kansalaisuus ja syntymäaika
  • ostettua tuotetta koskevat tiedot: malli, sarjanumero, käyttötiedot
  • tarjottuun palveluun liittyvät tiedot, mukaan lukien mittaustiedot
  • kumppanin antamaan palautteeseen liittyvät tiedot
  • mittauksiin liittyvät tiedot, mukaan lukien sähkönkulutus
  • laskutukseen ja asiakassuhteeseen liittyvät henkilötiedot.

3.2 Käsittelyn tarkoitukset ja oikeusperusteet

Henkilötietojen käsittelyn oikeusperuste voi olla sopimuksen täytäntöönpaneminen tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttaminen, joihin kuuluvat seuraavat:

  • yhtiön sopimusvelvoitteiden täyttäminen
  • myynnin jälkeisten palvelujen tarjoaminen sen jälkeen, kun asiakas on ostanut tuotteen
  • asiakaspyyntöjen käsitteleminen ja palvelutuki
  • korvausvaatimusten käsitteleminen
  • laskutuksen hallinta.

Henkilötietoja voidaan käsitellä myös yhtiön oikeutettujen etujen perusteella, erityisesti sen tuotteiden ja palvelujen, asiakaskokemuksen ja sisäisten prosessien parantamiseksi. Käsittelyyn sisältyvät seuraavat:

  • markkinointitarkoitukset (esimerkiksi uutiskirjeiden tai päivitysten lähettäminen) yritystenvälisen suhteemme yhteydessä sovellettavan lain mukaisesti
  • vuorovaikutus rekisteröidyn kanssa, esimerkiksi tilin- ja asiakashallintatarkoituksissa
  • tilastollisen/käyttöanalyysin tekeminen
  • sisäisten hallinnollisten toimintojen suorittaminen
  • asiakaspyyntöjen käsitteleminen
  • henkilötietojen suojauksen parantaminen ja petollisen toiminnan ehkäiseminen
  • rekisteröityjen asiakassuhteen hallinta
  • profilointi asiakassuhteiden parempaa hallintaa varten, ei automatisoidun päätöksenteon kohteena
  • tuotteidemme keräämien tietojen arvioiminen
  • videovalvonta yhtiön tiloissa turvallisuussyistä.

Sovellettavasta laista riippuen yhtiö voi myös käsitellä henkilötietoja täyttääkseen lakisääteiset velvoitteensa asiakkaan tuntemista koskeviin vaatimuksiin liittyen. Jos kyseessä on markkinointi mahdollisille asiakkaille, mitä yhtiö tai sen kumppanit saattavat toteuttaa, yhtiö hankkii ensin rekisteröidyn suostumuksen ja varmistaa, että tällaisesta markkinoinnista voidaan kieltäytyä milloin tahansa.

3.3 Henkilötietojen säilyttäminen

Henkilötietoja säilytetään käsittelyn ajan ja yhtiön tietojensäilytyskäytännön ja siihen liittyvän tietojensäilytysaikataulun mukaisesti. Henkilötiedot poistetaan heti, kun henkilötietojen käsittelyn tarkoitus on saavutettu tietojensäilytyskäytännössä ja -aikataulussa määritetyllä tavalla, mutta niitä voidaan tarvittaessa säilyttää pidempään lakisääteisten velvoitteiden tai muun sovellettavan lain noudattamiseksi tai yhtiön oikeuksien suojaamiseksi tai käyttämiseksi sovellettavan lain sallimassa laajuudessa.

Säilytysajan päättyessä ja henkilötietojen luonteesta riippuen yhtiö voi sovellettavaa lakia noudattaakseen arkistoida henkilötietoja rajoitetun ajan siten, että niihin on rajoitettu pääsy.

Säilytysaika voi vaihdella rekisteröidyn asuinmaan ja sovellettavan lain mukaan.

3.4 Henkilötietojen luovuttaminen

Henkilötietoja voidaan jakaa muiden yhtiön osakkuusyhtiöiden, valtion virastojen ja kolmansien osapuolten kanssa yhtiön sopimusvelvoitteiden täyttämiseksi, perustelluista liiketoiminnallisista syistä tai muutoin sovellettavan lain sallimissa tai vaatimissa olosuhteissa.

3.5 Henkilötietojen siirtäminen

Kolmansien osapuolten käyttöön voi liittyä henkilötietojen siirtämistä maiden rajojen yli. Myös monet liiketoimintaprosessit voivat edellyttää henkilötietojen siirtämistä yhtiön sisällä kansainvälisesti.

Jos henkilötietoja käsitellään EU:ssa/ETA:ssa ja jos henkilötietoja luovutetaan kolmansille osapuolille tai maahan, jonka ei katsota tarjoavan sovellettavan lain mukaista riittävää suojaustasoa, yhtiö varmistaa tarvittaessa, että se:

  • käyttää yritystä koskevia sitovia sääntöjä konsernin sisäisissä tiedonsiirroissa
  • käyttää vakiosopimuslausekkeita, jotka EU:n komissio tai muu valvontaviranomainen on hyväksynyt sovellettavan lain mukaisesti
  • suorittaa omaehtoisen sertifioinnin rekisteröinnin EU:n ja Yhdysvaltojen tietosuojakehystä koskevan sopimuksen mukaisesti
  • toteuttaa lisätoimenpiteitä, kuten riittävyysarvioinnin, tai ottaa käyttöön tietojen käsittelyä koskevan lisäyksen.

Jos henkilötietoja ei käsitellä EU:ssa/ETA:ssa ja jos henkilötietoja luovutetaan rekisteröidyn lainkäyttöalueen ulkopuolella sijaitseville kolmansille osapuolille, yhtiö varmistaa, että se hankkii tarvittavat suostumukset, toteuttaa tarvittavat suojatoimet henkilötietojen suojaamiseksi ja/tai hankkii valvontaviranomaisen hyväksynnän tarvittaessa. Nämä mekanismit voivat vaihdella maan ja sovellettavan lain mukaan.

3.6 Henkilötietojen suojaaminen

Yhtiö käyttää turvatoimia suojatakseen henkilötietoja tietoturvaloukkauksilta ja luvattomalta luovuttamiselta. Näihin turvatoimiin kuuluvat mm. pääsynvalvonta, salasanasuojaus, salaus, turvallisuusarvioinnit ja tarkastukset.

Tietoturvaloukkauksen ilmetessä yhtiöllä on käytössään menettelyt, jotta se voi:

  • tutkia ja analysoida tietoturvaloukkausta määrittääkseen sen seuraukset rekisteröityjen oikeuksille ja vapauksille
  • ilmoittaa toimivaltaiselle viranomaiselle ja tarvittaessa asianosaisille, jos rekisteröityjen oikeudet ja vapaudet ovat vaarassa
  • toteuttaa tarvittavat toimenpiteet tietoturvaloukkauksen korjaamiseksi ja lieventämiseksi
  • varmistaa tietoturvaloukkauksen jäljitettävyyden.

Asianmukaiset toimenpiteet voivat vaihdella sovellettavan lain mukaan.

4| Henkilötietoihin liittyvät tietosuojaoikeudet

Sovellettavan lain mukaisesti jokaisella henkilöllä, jonka henkilötietoja yhtiö käsittelee, on tietoihinsa liittyviä oikeuksia, kuten:

  • oikeus saada pääsy tietoihin
  • oikeus tietojen oikaisemiseen
  • oikeus tietojen poistamiseen sääntelyrajoitusten puitteissa
  • oikeus käsittelyn vastustamiseen tai rajoittamiseen
  • oikeus henkilötietojen siirtämiseen järjestelmästä toiseen
  • oikeus automaattisesti tehtävien yksittäispäätösten vastustamiseen
  • oikeus antaa ohjeet kuolemanjälkeistä henkilötietojen käsittelyä varten (mikäli se on sovellettavan lain mukaista).

Tällaisten oikeuksien käyttö ei ole absoluuttista ja siihen sovelletaan sovellettavan lain määräämiä rajoituksia.

Sovellettavasta laista riippuen rekisteröidyllä voi olla oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle omalla lainkäyttöalueellaan, jos hän ei ole tyytyväinen yhtiön vastaukseen.

Edellä mainittujen oikeuksien käyttämiseksi rekisteröity voi ottaa yhteyttä yhtiöön kohdassa ”8| Kuinka voit ottaa meihin yhteyttä?” kuvatulla tavalla.

5| Kalifornian tietosuojaoikeudet

Kalifornian siviililain pykälä 1798 sallii Kalifornian asukkaiden pyytää yrityksiä, joiden kanssa heillä on vakiintunut liikesuhde, antamaan tiettyjä tietoja siitä, miten yritys jakaa henkilötietoja kolmansille osapuolille suoramarkkinointitarkoituksiin. Yhtiö ei jaa mitään Kalifornian kuluttajien henkilötietoja kolmansille osapuolille markkinointitarkoituksia varten ilman suostumusta.

6| Kiinaa koskevat erityisvaatimukset

Tätä kohtaa sovelletaan, kun henkilötiedot sijaitsevat Kiinan kansantasavallan rajojen sisäpuolella tai kun henkilötietoja käsittelee yhtiön osakkuusyhtiö, joka on rekisteröity Kiinan kansantasavallassa.

PIPL-lain 13 artiklan mukaan henkilötietoja voidaan kerätä:

  • henkilön suostumuksella
  • sopimusten täytäntöönpanemiseksi
  • oikeutettujen liiketoiminnallisten etujen perusteella
  • lakisääteisten velvollisuuksien ja velvoitteiden täyttämiseksi.

PIPL-lain 23 artiklassa määritettyjen vaatimusten ja pykälän 4 sisällön mukaisesti henkilötietoja ei siirretä tai jaeta kolmannelle osapuolelle ellei (1) rekisteröity ole antanut siihen nimenomaista suostumustaan, mikäli tarpeen, tai (2) kyse ole sovellettavan lain mukaisten lakisääteisten velvollisuuksien täyttämisestä.

Liiketoiminnalliset tarkoitukset voivat edellyttää, että yhtiö siirtää henkilötietoja Kiinan kansantasavallan ulkopuolelle ja käsittelee niitä Kiinan kansantasavallan ulkopuolella.

Tässä käytännössä määritettyjen tarkoitusten perusteella henkilötietoja voidaan siirtää käsittelyä varten maahan tai alueelle, joka on rekisteröityjen asuinpaikan ulkopuolella. Tällöin yhtiö suojaa henkilötietojen turvallisuutta sovellettavan lain mukaisesti muun muassa pääsynvalvonnan, salasanojen, salausstandardien, säilytysaikojen tiukkojen aikarajojen, kirjausmekanismien ja säännöllisten turvallisuusarviointien avulla.

Yhtiö ilmoittaa rekisteröidylle rajat ylittävästä tiedonsiirrosta PIPL-lain artiklan 39 mukaisesti ennen henkilötietojen siirtämistä Kiinan kansantasavallan ulkopuolelle, hankkii rekisteröidyn suostumuksen sekä antaa rekisteröidylle seuraavat tiedot: ulkomaisen vastaanottajan nimi ja yhteystiedot, käsittelyn tarkoitus, käsittelymenetelmä ja henkilötietojen tyyppi, sekä muistuttaa rekisteröityä PIPL-lain mukaisten oikeuksien käyttämistä koskevista menetelmistä ja menettelyistä.

Yhtiö suorittaa tarvittaessa rajat ylittävän tiedonsiirron riskinarvioinnin sovellettavan lain mukaisesti, jos henkilötietoja siirretään Kiinan kansantasavallan ulkopuolelle.

7| Tämän käytännön päivitykset

Yhtiön on ehkä päivitettävä tätä käytäntöä noudattaakseen uusia sääntelyvaatimuksia. Tämän käytännön päivitetty versio on saatavilla asianmukaisen kanavan kautta ja koskee vain tietoja, joita on kerätty ja käsitelty sen voimaantulopäivän jälkeen.

8| Kuinka voit ottaa meihin yhteyttä?

Jos sinulla on kysyttävää tästä käytännöstä tai haluat käyttää rekisteröidyn oikeuksia, ota yhteyttä yhtiön tietosuojavastaavaan osoitteessa Landis+Gyr AG, Alte Steinhauserstrasse 18, 6330 Cham, Switzerland, tai täyttämällä tämä lomake.