KotitaloudetYrityksetTaloyhtiöt ja isännöitsijätTurku Energia Sähköverkot OyHakuKirjaudu
Kirjaudu 24/7 EnergiaOnline-palveluun
In English|På Svenska
TietosuojaTietosuojapolitiikka

Tietosuojapolitiikka

1.12.2025

Johdanto

Turku Energiassa noudatetaan EU:n yleisen tietosuoja-asetuksen (2016/679 EU) ja siihen liittyvien lakien ja muiden säädösten vaatimuksia. Turku Energia huolehtii, että jokainen työntekijä ja yhteistyökumppani tuntee omaan asemaansa liittyvät tietosuojavelvoitteet.

Turku Energia kunnioittaa ja suojelee kaikkien perusoikeutta yksityisyyteen ja tietosuojaan.

Tietosuojapolitiikassa kuvataan henkilöön (asiakkaaseen, työntekijään, yhteistyökumppaniin tai muuhun sidosryhmään) liittyvien henkilötietojen tai muiden luottamuksellisten tietojen käsittelyn periaatteet ja käytännöt Turku Energia konsernissa. Periaatteiden ja käytäntöjen avulla varmistetaan korkea tietosuojan taso ja taataan myös korkea palvelujen laatu.

Tämä politiikka koskee kaikkien Turku Energian vastuulla olevien henkilötietojen käsittelyä riippumatta niiden käsittelypaikasta, välineistä tai muista järjestelyistä.

Tietosuoja

EU:n tietosuoja-asetus edellyttää henkilön yksityisyyden suojaamisen. Näin ollen kaikki henkilötiedot on suojattu ja henkilötietoja käsittelevät vain ne henkilöt, joilla on työnsä puolesta laillinen oikeus käsitellä tietoja. Henkilötietoja ei luovuteta kolmansille osapuolille ilman henkilön suostumusta, ellei siihen ole laillista velvoitetta.

Tietosuojalainsäädäntö edellyttää, että henkilötietojen käsittely on turvattava ja henkilötiedot on suojattava asiattomalta käsittelyltä. Henkilöstö sitoutuu noudattamaan annettuja ohjeita, käytäntöjä ja määräyksiä tehtäviensä hoidossa.

Henkilötietojen käsittely ja elinkaari

Kaikki henkilötietoihin kohdistuvat toimenpiteet henkilötietojen käsittelyn suunnittelusta henkilötietojen poistamiseen ovat henkilötietojen käsittelyä. Henkilötietojen käsittelyssä noudatetaan tietosuojalainsäädännön mukaisia tietosuojaperiaatteita. Turku Energia konsernissa henkilötietoja ja muita luottamuksellisia tietoja käsittelevät vain ne henkilöt, joilla on työnsä puolesta laillinen oikeus käsitellä tietoja. Henkilöitä sitoo salassapitosopimus. Lisäksi käyttöoikeudet rajataan vain työtehtävien hoitamisen kannalta välttämättömiin tietoihin.

Yhtiön toiminnassa henkilötietojen käsittely perustuu aina henkilön suostumukseen tai laissa määriteltyyn muuhun perusteeseen. Henkilötietoja käsitellään vain perustellun käyttötarkoituksen takia ja vain siinä määrin ja niin kauan, kun se on käyttötarkoituksen kannalta tarpeellista. Käytettävien tietojen oikeellisuus pyritään varmistamaan ja tietoja kerätään sekä päivitetään henkilöltä itseltään tai luotettavista lähteistä.

Tietoja käytetään niitä kerättäessä kuvattuihin tarkoituksiin lainsäädännön kulloinkin sallimissa rajoissa. Tietoja luovutetaan vain nimenomaisesti kerrotulla tai laissa mainitulla perusteella ja nimenomaisesti kerrotuille tai laissa mainituille luovutuksen saajille. Tietoja saatetaan siirtää rekisterinpitäjän sijaintivaltion ulkopuolelle, mikäli kyseistä rekisteriä koskeva lainsäädäntö sallii siirron. Tällöin noudatetaan siirtoa koskevia, kunkin maan lainsäädännössä mahdollisesti säädettyjä menettelyitä.

Kun tiedot eivät enää ole käyttötarkoituksensa vuoksi tarpeellisia, tiedot tuhotaan asianmukaisesti. Osaa tiedoista säilytetään pidempään perustuen laillisiin velvoitteisiin.

Rekisteröityjen informointi ja oikeudet

Kustakin henkilörekisteristä laaditaan lainsäädännön edellyttämä dokumentaatio. Rekisteröidyille tarjotaan laissa tarkoitettu tai muuten tarpeellinen informaatio tietosuojaselosteena henkilötietojen käsittelystä tietoja kerättäessä.

Rekisteröidyllä on oikeus tarkastaa mitä tietoja hänestä on tallennettu rekisteriin, sekä oikeus vaatia itseensä liittyvän virheellisen tiedon korjaamista. Rekisteröidyllä on oikeus pyytää henkilötietojensa poistamista rekisteristä. Tällöin henkilötietojen poistaminen toteutetaan mahdollisimman pian, mikäli lain vaatimaa säilytysvelvollisuutta ei ole.

Asiakastietoja säilytetään 10 vuotta asiakassuhteen päättymisestä. Tiedot poistetaan määräajan täyttymistä seuraavan kalenterivuoden kuluessa. Myyntiehtojen mukaisesti rekisterinpitäjän tulee säilyttää asiakkaan energian mittausta ja laskutusta koskevat tiedot sopimuksen päättymisestä alkaen kymmenen vuoden ajan mahdollisia laskutuksen korjausvaateiden käsittelemiseksi, mikä määrittää enimmäissäilytysajan asiakastiedoille.

Evästekäytäntömme on kuvattu ja ajantasaisesti saatavilla nettisivuillamme.

Tietosuoja- ja tietoturvapoikkeamien käsittely

Turku Energiassa raportoidaan tietoturvaan ja tietosuojaan liittyvistä uhista, poikkeamista ja ohjeiden vastaisista menettelyistä esihenkilölle ja/tai tietosuojakoordinaattorille sekä tietoturvavastaavalle.

Mikäli tietosuojan epäillään tai havaitaan vaarantuneen, asia tutkitaan viipymättä ja ilmoitetaan tietosuojaviranomaiselle. Turku Energia konserni on velvollinen ilmoittamaan viranomaisille tietosuojarikkomuksista 72 h sisällä ilmoituksesta ja/tai löydöksestä. Lisäksi asiasta ilmoitetaan viipymättä rekisteröidylle, jonka tietosuoja on vaarantunut, edellyttäen, että ilmoittaminen on aiheellista korjaavien toimenpiteiden suorittamiseksi tai vahingon rajaamiseksi. Turku Energia arvioi ja valvoo tietosuojan toteutumista omissa toiminnoissaan.

Tietosuojakoordinaattorilla ja tietoturvavastaavalla on Turku Energian johtoryhmän antama valtuutus ja velvollisuus tehdä tietojärjestelmien ja tietojen käsittelyn tietoturvallisuuden ja tietosuojan seurantaa ja valvontaa sekä ryhtyä toimenpiteisiin havaittujen heikkouksien parantamiseksi ja ongelmatilanteiden selvittämiseksi. He raportoivat tapauksista liiketoimintateknologiapäällikölle, tietosuojavastaavalle ja tarvittaessa myös organisaation johdolle.

Yhteistyökumppaneiden ja toimittajien kyberturvallisuus- ja tietosuojavaatimukset

Turku Energia sitoutuu noudattamaan EU:n NIS2-direktiivin (EU 2022/2555) ja kansallisen kyberturvallisuuslain vaatimuksia. Merkittävistä tietoturvaloukkauksista ilmoitetaan Liikenne- ja viestintävirasto Traficomille 24 tunnin kuluessa havaitsemisesta. Jatkoilmoitus tehdään 72 tunnin kuluessa ja loppuraportti toimitetaan kuukauden sisällä. Näiden säädösten mukaisesti myös Turku Energian yhteistyökumppaneilta ja toimittajilta edellytetään kyberturvallisuuden ja tietosuojan toteuttamista osana yhteistoimintaa.

Turku Energian yhteistyökumppani voi yhteistyön perusteella myös kuulua kyberturvallisuuslain piiriin. Toimitusketjun hallinta perustuu riskiperusteiseen lähestymistapaan, jossa arvioidaan alihankkijoiden ja muiden yhteistyökumppaneiden kyberturvallisuuskäytännöt, häiriönsietokyky ja palvelujen laatu. Näissä tapauksissa Turku Energialla on oikeus varmistaa, että kumppanilla on käytännöt kyberturvallisuuslainsäädännön vaatimusten täyttämiseksi, ja tähän sisältyy oikeus toteuttaa tarkastuksia itse tai kolmannen osapuolen kautta.

Yhteistyökumppaneilta edellytetään:

  • dokumentoituja tietoturva- ja tietosuojakäytäntöjä,

  • nimettyä vastuuhenkilöä kyberturvallisuusasioille,

  • kykyä ilmoittaa merkittävistä tietoturvaloukkauksista Liikenne- ja viestintävirasto Traficomille 24 tunnin kuluessa havaitsemisesta,

  • valmiutta osallistua Turku Energian tarjoamaan tietoturvaohjeistukseen ja koulutukseen, mikäli yhteistyön laatu tai tietojärjestelmäpääsy sitä edellyttää,

  • salassapitosopimusten noudattamista ja käyttöoikeuksien rajaamista vain tehtävien kannalta välttämättömiin tietoihin.

Turku Energia hallinnoi toimitusketjun tietoturvaa osana riskienhallintamenettelyä. Riskienhallinta kattaa kumppanien kyvykkyyden suojata henkilötietoja ja muita luottamuksellisia tietoja sekä kyvyn reagoida poikkeamiin.

Tietosuoja- ja tietoturvaperiaatteiden päivittäminen ja vahvistaminen

Tietosuoja- ja tietoturvaperiaatteet ovat tämän hetken käytäntömme mukaiset. Päivitämme periaatteita säännöllisesti.

Turku Energia konsernin johtoryhmä on vahvistanut tämän politiikan 24.11.2025.

Mitä mieltä olet tästä sisällöstä?