Tietosuojaseloste

Yleiset tietosuoja-asetukset (GDPR)

Tietosuojaseloste on dokumentti, joka kertoo verkkosivuston kävijöille, miten heidän henkilötietojaan kerätään, käytetään ja säilytetään. Sen tarkoitus on varmistaa kävijöiden tietoisuus siitä, miten heidän tietonsa käsitellään ja suojataan verkkosivustolla. Tietosuojaseloste on osa tietosuojalainsäädännön noudattamista, kuten Euroopan Unionin yleistä tietosuoja-asetusta (GDPR) ja vastaavia lakeja eri maissa.

Tietosuojaseloste antaa kävijöille tietoa heidän oikeuksistaan ja siitä, miten he voivat käyttää niitä.
Selkeä ja läpinäkyvä tietosuojaseloste voi auttaa rakentamaan kävijöiden luottamusta verkkosivustoon.

Yhteenvetona tietosuojaseloste on tärkeä osa verkkosivuston toimintaa, joka auttaa varmistamaan lainmukaisuuden, kävijöiden oikeudet, luottamuksen rakentamisen ja riskienhallinnan.

Tietosuojaseloste

Sisällysluettelo

Arsedel Oy:n (jäljempänä Yritys) tietosuojaselosteessa kuvataan, miten Yritys käsittelee henkilötietoja ja mitä tietoja kerätään asiakkaista. Asiakkaiden yksityisyydensuoja on meille tärkeää. Käsittelemme henkilötietoja ainoastaan siihen tarkoitukseen, johon tiedot on kerätty. Noudatamme kaikissa henkilötietojen käsittelyssä voimassa olevia tietosuojan asetuksia ja lainsäädäntöä.

Mikäli Sinulla on kysyttävää Yrityksen henkilötietojen käsittelystä, voit olla yhteydessä rekisterinpitäjään, jonka yhteystiedot on esitetty kappaleessa 2.

1. Rekisterin nimi

Rekisterin nimi on Arsedel Oy:n asiakas- ja markkinointirekisteri.

2. Rekisterinpitäjä

3. Henkilötietojen käsittelyn tarkoitus

Henkilötietoja käsitellään sellaisiin tarkoituksiin, jotka liittyvät asiakassuhteen hoitamiseen, hallinnointiin, laskutukseen sekä palvelujen ja tuotteiden tarjoamiseen että kehittämiseen. Henkilötietoja käsitellään myös mahdollisten reklamaatioiden ja muiden vaatimusten selvittämiseen.

Lisäksi henkilötietoja käsitellään asiakkaille suunnatussa viestinnässä, kuten tiedotus- ja uutisointitarkoituksissa sekä markkinoinnissa. Asiakkaisiin voi kohdistua sekä perinteistä että sähköistä suoramarkkinointia, mikäli asiakas on antanut tähän suostumuksensa. Asiakkaalla on oikeus kieltää hänelle kohdistettu suoramarkkinointi.

Rekisterinpitäjä käsittelee henkilötietoja itse tai mahdollisesti käyttää alihankkijoita siten kuin tässä tietosuojaselosteessa jäljempänä on kuvattu.

4. Käsittelyn oikeusperusteet

Yritys perustaa henkilötietojen käsittelyn seuraaviin EU:n yleisen tietosuoja-asetuksen (jäljempänä  ”GDPR”) mukaisiin perusteisiin:

  1. rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten; [GDPR 6 artikla 1.a]
  2. käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; [GDPR 6 artikla 1.b]
  3. käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi; [GDPR 6 artikla 1.c]
  4. käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. [GDPR 6 artikla 1.f]

4.1 Lisätietoja suostumukseen perustuvasta käsittelystä

Rekisteröidyn antamaa suostumusta koskevat tiedot tallennetaan asiakas- ja markkinointirekisteriin. Rekisteröidyn antama suostumus saadaan pääasiassa Yrityksen verkkosivustolla olevien lomakkeiden kautta tai henkilön hyväksyessä verkkosivustolle tullessaan sivuja koskevat evästeet.

Yritys perustaa suoramarkkinointinsa aina asiakkaan antamaan suostumukseen pois lukien mahdollisen B2B-markkinnoinnin, joka voi perustua myös rekisterinpitäjän oikeutettuun etuun siten kuin jäljempänä on kuvattu. Kaikki muut rekisterin käyttötarkoitukset (muun muassa laskutus, palveluiden tuottaminen ja kehittäminen) perustuvat muihin käsittelyperusteisiin.

4.2 Lisätietoja sopimussuhteeseen perustuvasta käsittelystä

Yritys perustaa henkilötietojen käsittelyn ennen kaikkea osapuolten väliseen sopimussuhteeseen. Sopimussuhde voi syntyä asiakkaan ollessa yhteydessä Yrityksen joko tämän verkkosivujen kautta tai muulla keinolla ja osoittaa olevansa kiinnostunut Yrityksen tuotteista tai palveluista joko tekemällä hankinnan tai tehdessään tarjouspyynnön.

4.3 Lisätietoja yrityksen lakisääteiseen velvoitteeseen perustuvasta käsittelystä

Yritys perustaa kaiken maksutietojen käsittelyyn ja hallinnointiin liittyvän henkilötietojen käsittelyn Yrityksen lakisääteiseen velvoitteeseen käsitellä henkilötietoja riippumatta siitä, mikä on maksutapa. Kun asiakas maksaa tuotteet tai palvelut, henkilötietoja käsitellään maksutapahtumien arkistointia ja kirjanpitoa varten noudatten kirjanpitolainsäädäntöä.

4.4 Lisätetoja yrityksen oikeutettuun etuun perustuvasta käsittelystä

Rekisterinpitäjä voi kerätä asiakaspalautetta toimittamistaan tuotteista ja palveluista sekä tehdä muun muassa asiakaskyselyjä. Tämä käsittely perustuu rekisterinpitäjän oikeutettuun etuun. Rekisterinpitäjä voi myös kerätä julkisista lähteistä tietoja yrityksistä ja näiden yhteyshenkilöistä, jotka saattavat olla Yrityksen potentiaalisia asiakkaita ja käyttää tarvittaessa tätä tietoja suoramarkkinointitarkoituksiin.

5. Rekisterin tietosisältö (käsiteltävät henkilötietoryhmät)

Rekisteröityjen henkilöryhmät ovat yritysasiakkaat ja näiden yhteyshenkilöt sekä mahdollisille kursseille tai koulutuksiin osallistuvat henkilöt, kuluttaja-asiakkaat ja markkinointirekisterissä olevat henkilöt, jotka ovat esimerkiksi tilanneet Yritykseltä sähköisen uutis- ja markkinointikirjeen. Yritysasiakkaat voivat käsittää myös esimerkiksi yhdistyksiä, säätiöitä tai muita vastaavia asiakasryhmiä, joita ei voida pitää kuluttajina.

Rekisteri sisältää seuraavat henkilötiedot lähtökohtaisesti kaikista rekisteröidyistä henkilöistä:

  1. henkilön perustiedot ja yhteystiedot: etunimi, sukunimi, sähköpostiosoite, lähiosoite ja puhelinnumero sekä mahdollinen erillinen laskutusosoite,
  2. henkilön yritykseen tai muuhun organisaatioon liittyvät tiedot ja henkilön asema tai tehtävänimike kyseessä olevassa yrityksessä tai organisaatiossa,
  3. maksutapaan liittyvät tiedot, joihin lukeutuvat esimerkiksi maksukortin numero, tapahtumanumero ja varmenne, mahdollinen viite sekä muut maksuun liittyvät tarvittavat tiedot,
  4. ostetut tuotteet tai palvelut tai pyydetyn tarjouksen tiedot ja
  5. henkilön suoramarkkinointiluvat ja -kiellot.

6. Säännönmukaiset tietolähteet

Pääsääntöisesti henkilötietoja kerätään rekisteröidyltä henkilöltä itseltään.

Yritysasiakkaiden kohdalla henkilötietoja saatetaan kerätä myös rekisteröidyn työnantajalta tai muualta vastaavalta taholta, joka on tilannut kurssin, koulutuksen, konsultaation tai palvelun kyseessä olevalle rekisteröidylle henkilölle. Myös näissä tapauksissa kerätyt tiedot on rajattu siten, että tiedot sisältävät ainoastaan sellaiset pakolliset tiedot, jotka ovat pakollisia tuotteen tai palvelun toimittamiseksi.

Henkilötietoja kerätään ja päivitetään myös sovellettavan lainsäädännön rajoissa yleisesti saatavilla olevista lähteistä, jotka liittyvät rekisterinpitäjän ja rekisteröidyn henkilön välisen asiakassuhteen toteuttamiseen ja joiden avulla rekisterinpitäjä toteuttaa asiakassuhteiden ylläpitämiseen liittyviä velvollisuuksiaan.

7. Henkilötietojen säilytysaika

Rekisteriin kerättyjä henkilötietoja säilytetään niin kauan ja niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin ne alunperin on kerätty.

Henkilötietojen säilyttämisen tarvetta arvioidaan vuosittain, mutta lähtökohtana on, että henkilötietoja säilytetään asiakassuhteen voimassaoloajan sekä tämän jälkeen kuusi täyttä kalenterivuotta. Kuuden vuoden säilytysaika perustuu muun muassa verolakeihin, kirjanpitolakeihin, rahanpesulakeihin ja maksulaitoslakeihin. Tietoja voidaan säilyttää pidempään mikäli viranomaisvaatimukset tätä edellyttävät. Kuitti-, lasku- ja maksutietoja säilytetään ostotapahtumiin liittyvällä tavalla arkistointitarkoitukseen. Henkilötietojen käsittely on välttämätöntä osa ostotapahtumaa ja sen osoittamista varten.

Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti sisäisten sääntöjensä mukaisesti. Kaikki epätarkat, virheelliset tai vanhentuneet henkilötiedot korjataan tai poistetaan viipymättä.

8. Henkilötietojen vastaanottajat (vastaanottajaryhmät) sekä tietojen säännönmukaiset luovutukset

Pääsääntöisesti henkilötietoja ei luovuteta  kolmansille osapuolille. Poikkeuksena on kuitenkin ne osapuolet, jotka palvelun toteuttamiseen käsittelevät henkilötietoja:

  • tilitoimisto, joka kirjaa tilaukset kirjanpitoomme,
  • IT-yritys, joka ylläpitää verkkosivustoamme,
  • perintätoimisto silloin, kun asiakas ei maksa maksusuoritusta sovitusti,
  • alihankintayritykset, jotka tarvitsevat henkilötietoja ja
  • viranomaiset, joilla on lakiin perustuva oikeus vaatia henkilötietoja nähtäväkseen.

9. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Pääsääntöisesti rekisteriin sisältyviä henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

Mikäli myöhemmin ilmenisi välttämätön tarve siirtää tietoja EU:n tai ETA:n ulkopuolelle, huolehtii Yritys siitä, että henkilötietojen saajan kanssa solmitaan henkilötietojen käsittelyä koskeva sopimus (DPA), joka noudattaa Euroopan komission päätöksen mukaisia mallisopimuslausekkeita tietosuojan asianmukaisen turvan varmistamiseksi kansainvälisesti siirrettäville tiedoille.

10. Rekisterin suojauksen periaatteet

Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä vastuuhenkilöillä.

Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä vastuuhenkilöillä. Palvelin on suojattu asianmukaisella palomuurilla ja muulla teknisellä suojauksella.

Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että henkilötietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat rekisteröityvät rekisterinpitäjän IT-järjestelmän lokitietoihin.

Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

11. Evästeet, verkkoanalytiikka ja kohdennettu verkkomarkkinointi

Yrityksen verkkosivustolla käytetään evästeitä. Evästeitä käytetään käyttäjäkokemuksen parantamiseen. Eväste on pieni tekstitiedosto, jonka Yritys tallentaa kiintolevylle. Käyttäjältä pyydetään suostumus evästeiden käyttöön hänen tullessaan verkkosivustolle. Käyttäjä voi halutessaan estää evästeiden käytön selaimen asetuksista tai poistamalla evästeet selaimesta palvelun käytön päätyttyä. Evästeiden käyttökiellon yhteydessä Yritys ei kuitenkaan takaa kaikkien palveluiden toimivuutta.

Yrityksen verkkosivustolla on myös kolmannen osapuolen evästeitä, kuten esimerkiksi Googlen verkkoanalytiikkapalveluiden evästeitä. Tämän tyyppisten evästeiden tiedot on lähetetty ja tallennettu mahdollisesti EU:n ja ETA-alueiden ulkopuolelle. Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa. [GDPR 45 artikla 1]

Yrityksen verkkosivustolla tapahtunut vierailu voi johtaa verkossa tapahtuvaan kohdennettuun mainontaan. Yritys voi kohdentaa mainontaa tämän perusteella esimerkiksi sosiaalisessa mediassa.

12. Rekisteröidyn henkilön oikeudet

Rekisteröidyllä henkilöllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:

1. oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai ei käsitellä. Mikäli rekisteröidyn henkilön tietoja käsitellään, niin hänellä on oikeus saada pääsy henkilötietoihin sekä muihin seuraaviin tietoihin:

  • henkilötietojen käsittelyn tarkoitus (katso kappale 3),
  • rekisterin tietosisältö (katso kappale 5),
  • henkilötietojen vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa (katso tämän lausunnon kohta 8),
  • henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit (katso tämän lausunnon kohta 7),
  • rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä,
  • oikeus tehdä valitus valvontaviranomaiselle ja
  • jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot. [GDPR 15 artikla 1g]

2. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen; [GDPR 7 artikla 3]

3. oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin; [GDPR 16 artikla]

4. oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että

  • henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
  • rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta;
  • rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten;
  • henkilötietoja on käsitelty lainvastaisesti;
  • henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi. [GDPR 17 artikla 1e]

5. oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos

  • rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;
  • käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
  • rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;
  • rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet. [GDPR 18 artikla 1c]

6. oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti. [GDPR 20 artikla 1 ja 1b]

Rekisteröity voi pyytää itseään koskevat tiedot lähettämällä sähköpostin rekisterinpitäjälle. Rekisterinpitäjä voi tarvittaessa pyytää rekisteröityä todistamaan henkilöllisyytensä ennen henkilötietojen toimittamista tai vaihtoehtoisesti henkilötiedot toimitetaan ainoastaan postitse postisalaisuuden turvaamalla tavalla;

7. oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta. [GDPR 77 artikla 1]

(Tietosuojavaltuutetun toimisto, Ratapihantie 9, PL 800, 00521 Helsinki tai tietosuoja@om.fi. Lisätietoja valituksen tekemisestä löydät tietosuojavaltuutetun toimiston kotisivuilta: Ilmoitus tietosuojavaltuutetulle – Tietosuojavaltuutetun toimisto).

Rekisteröity voi koska tahansa kääntyä rekisterinpitäjän puoleen (katso yhteystiedot kappaleessa 2) mikäli asiakkaalla herää kysymyksiä, kuinka Yritys käsittelee henkilötietoja tai asiakas epäilee henkilötietojensa tulleen loukatuksi Yrityksen toimesta.

13. Muutokset

Päivitämme tätä tietosuojaselostetta aika ajoin, mikäli henkilötietojen käsittelytapoihin tai palveluihin tulee muutoksia, jotka edellyttävät tietosuojaselosteen päivittämistä. Lisäksi tätä tietosuojaselostetta saatetaan päivittää, mikäli laissa tai lain tulkinnassa tapahtuu muutoksia. Tämän tietosuojaselosteen alussa näet päivämäärän, jolloin tätä tietosuojaselostetta on viimeksi päivitetty. Yritys suosittelee asiakkaitaan tutustumaan tietosuojaselosteeseen säännöllisesti.