Tietosuojalausunto

Sisällysluettelo

Meri-Lapin Taitoluistelijat ry:n (jäljempänä Seura) tietosuojalausunnossa kuvataan, miten Seura käsittelee henkilötietoja ja mitä tietoja kerätään asiakkaista. Asiakkaiden yksityisyydensuoja on meille tärkeää. Käsittelemme henkilötietoja ainoastaan siihen tarkoitukseen, johon tiedot on kerätty. Noudatamme kaikissa henkilötietojen käsittelyssä voimassa olevia tietosuojan asetuksia ja lainsäädäntöä.

Mikäli sinulla on kysyttävää Seuran henkilötietojen käsittelystä, voit olla yhteydessä rekisterinpitäjään, jonka yhteystiedot on esitetty kappaleessa 2.

1. Rekisterin nimi

Rekisterin nimi on Meri-Lapin Taitoluistelijat ry:n asiakas- ja markkinointirekisteri.

2. Rekisterinpitäjä

3. Henkilötietojen käsittelyn tarkoitus

Henkilötietoja käsitellään sellaisiin tarkoituksiin, jotka liittyvät asiakassuhteen hoitamiseen, hallinnointiin sekä laskutukseen että kehittämiseen. Henkilötietoja käsitellään myös mahdollisten reklamaatioiden ja muiden vaatimusten selvittämiseen.

Lisäksi henkilötietoja käsitellään asiakkaille suunnatussa viestinnässä, kuten tiedotus- ja uutisointitarkoituksissa sekä markkinoinnissa. Asiakkaisiin voi kohdistua sekä perinteistä että sähköistä suoramarkkinointia, mikäli asiakas on antanut tähän suostumuksensa. Asiakkaalla on oikeus kieltää hänelle kohdistettu suoramarkkinointi.

Rekisterinpitäjä käsittelee henkilötietoja itse tai mahdollisesti käyttää alihankkijoita siten kuin tässä tietosuojalausunnossa jäljempänä on kuvattu.

4. Käsittelyn oikeusperusteet

Seura perustaa henkilötietojen käsittelyn seuraaviin EU:n yleisen tietosuoja-asetuksen (jäljempänä  ”GDPR”) mukaisiin perusteisiin:

  1. rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten; [GDPR 6 artikla 1.a]
  2. käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä; [GDPR 6 artikla 1.b]
  3. käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi; [GDPR 6 artikla 1.c]
  4. käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. [GDPR 6 artikla 1.f]

4.1 Lisätietoja suostumukseen perustuvasta käsittelystä

Rekisteröidyn antamaa suostumusta koskevat tiedot tallennetaan asiakas- ja markkinointirekisteriin. Rekisteröidyn antama suostumus saadaan pääasiassa Seuran verkkosivustolla olevien lomakkeiden kautta tai henkilön hyväksyessä verkkosivustolle tullessaan sivuja koskevat evästeet.

Seura perustaa suoramarkkinointinsa aina asiakkaan antamaan suostumukseen pois lukien mahdollisen B2B-markkinnoinnin, joka voi perustua myös rekisterinpitäjän oikeutettuun etuun siten kuin jäljempänä on kuvattu. Kaikki muut rekisterin käyttötarkoitukset (muun muassa laskutus, palveluiden tuottaminen ja kehittäminen) perustuvat muihin käsittelyperusteisiin.

4.2 Lisätietoja sopimussuhteeseen perustuvasta käsittelystä

Seura perustaa henkilötietojen käsittelyn ennen kaikkea osapuolten väliseen sopimussuhteeseen. Sopimussuhde voi syntyä asiakkaan ollessa yhteydessä Seuran joko tämän verkkosivuston kautta tai muulla keinolla ja osoittaa olevansa kiinnostunut Seuran toiminnasta.

4.3 Lisätietoja seuran lakisääteiseen velvoitteeseen perustuvasta käsittelystä

Seura perustaa kaiken maksutietojen käsittelyyn ja hallinnointiin liittyvän henkilötietojen käsittelyn Seuran lakisääteiseen velvoitteeseen käsitellä henkilötietoja riippumatta siitä, mikä on maksutapa. Kun asiakas maksaa tuotteet tai palvelut, henkilötietoja käsitellään maksutapahtumien arkistointia ja kirjanpitoa varten noudatten kirjanpitolainsäädäntöä.

4.4 Lisätetoja seuran oikeutettuun etuun perustuvasta käsittelystä

Rekisterinpitäjä voi kerätä asiakaspalautetta toimittamistaan tuotteista ja palveluista sekä tehdä muun muassa asiakaskyselyjä. Tämä käsittely perustuu rekisterinpitäjän oikeutettuun etuun. Rekisterinpitäjä voi myös kerätä julkisista lähteistä tietoja yrityksistä ja näiden yhteyshenkilöistä, jotka saattavat olla Seuran potentiaalisia asiakkaita ja käyttää tarvittaessa tätä tietoja suoramarkkinointitarkoituksiin.

5. Rekisterin tietosisältö (käsiteltävät henkilötietoryhmät)

Rekisteröityjen henkilöryhmät ovat seuran asiakkaita ja näiden yhteyshenkilöt sekä Seuran toimintaan osallistuvat henkilöt, kuluttaja-asiakkaat ja markkinointirekisterissä olevat henkilöt, jotka ovat esimerkiksi tilanneet mahdollisesti Seuralta sähköisen uutis- ja markkinointikirjeen. Seuran asiakkaat voivat käsittää myös esimerkiksi yhdistyksiä, säätiöitä tai muita vastaavia asiakasryhmiä, joita ei voida pitää kuluttajina.

Rekisteri sisältää seuraavat henkilötiedot lähtökohtaisesti kaikista rekisteröidyistä henkilöistä:

  1. henkilön perustiedot ja yhteystiedot: etunimi, sukunimi, sähköpostiosoite, lähiosoite ja puhelinnumero sekä mahdollinen erillinen laskutusosoite,
  2. henkilön yritykseen tai muuhun organisaatioon liittyvät tiedot ja henkilön asema tai tehtävänimike kyseessä olevassa yrityksessä tai organisaatiossa,
  3. maksutapaan liittyvät tiedot, joihin lukeutuvat esimerkiksi maksukortin numero, tapahtumanumero ja varmenne, mahdollinen viite sekä muut maksuun liittyvät tarvittavat tiedot,
  4. ostetut jäsen- ja lisenssitiedot ja
  5. henkilön suoramarkkinointiluvat ja -kiellot.

6. Säännönmukaiset tietolähteet

Pääsääntöisesti henkilötietoja kerätään rekisteröidyltä henkilöltä itseltään.

Seuran asiakkaiden kohdalla henkilötietoja saatetaan kerätä myös rekisteröidyn työnantajalta tai muualta vastaavalta taholta, joka on tilannut jäsenyyden, lisenssin tai muun palvelun kyseessä olevalle rekisteröidylle henkilölle. Myös näissä tapauksissa kerätyt tiedot on rajattu siten, että tiedot sisältävät ainoastaan sellaiset pakolliset tiedot, jotka ovat pakollisia jäsenyyden, lisenssin tai palvelun toimittamiseksi.

Henkilötietoja kerätään ja päivitetään myös sovellettavan lainsäädännön rajoissa yleisesti saatavilla olevista lähteistä, jotka liittyvät rekisterinpitäjän ja rekisteröidyn henkilön välisen asiakassuhteen toteuttamiseen ja joiden avulla rekisterinpitäjä toteuttaa asiakassuhteiden ylläpitämiseen liittyviä velvollisuuksiaan.

7. Henkilötietojen säilytysaika

Rekisteriin kerättyjä henkilötietoja säilytetään niin kauan ja niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin ne alunperin on kerätty.

Henkilötietojen säilyttämisen tarvetta arvioidaan vuosittain, mutta lähtökohtana on, että henkilötietoja säilytetään asiakassuhteen voimassaoloajan sekä tämän jälkeen kuusi täyttä kalenterivuotta. Kuuden vuoden säilytysaika perustuu muun muassa verolakeihin, kirjanpitolakeihin, rahanpesulakeihin ja maksulaitoslakeihin. Tietoja voidaan säilyttää pidempään mikäli viranomaisvaatimukset tätä edellyttävät. Kuitti-, lasku- ja maksutietoja säilytetään ostotapahtumiin liittyvällä tavalla arkistointitarkoitukseen. Henkilötietojen käsittely on välttämätöntä osa ostotapahtumaa ja sen osoittamista varten.

Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti sisäisten sääntöjensä mukaisesti. Kaikki epätarkat, virheelliset tai vanhentuneet henkilötiedot korjataan tai poistetaan viipymättä.

8. Henkilötietojen vastaanottajat (vastaanottajaryhmät) sekä tietojen säännönmukaiset luovutukset

Pääsääntöisesti henkilötietoja ei luovuteta  kolmansille osapuolille. Poikkeuksena on kuitenkin ne osapuolet, jotka palvelun toteuttamiseen käsittelevät henkilötietoja:

  • tilitoimisto, joka kirjaa tilaukset kirjanpitoomme,
  • IT-yritys, joka ylläpitää verkkosivustoamme,
  • perintätoimisto silloin, kun asiakas ei maksa maksusuoritusta sovitusti,
  • alihankintayritykset, jotka tarvitsevat henkilötietoja ja
  • viranomaiset, joilla on lakiin perustuva oikeus vaatia henkilötietoja nähtäväkseen.

9. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Pääsääntöisesti rekisteriin sisältyviä henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

Mikäli myöhemmin ilmenisi välttämätön tarve siirtää tietoja EU:n tai ETA:n ulkopuolelle, huolehtii Seura siitä, että henkilötietojen saajan kanssa solmitaan henkilötietojen käsittelyä koskeva sopimus (DPA), joka noudattaa Euroopan komission päätöksen mukaisia mallisopimuslausekkeita tietosuojan asianmukaisen turvan varmistamiseksi kansainvälisesti siirrettäville tiedoille.

10. Rekisterin suojauksen periaatteet

Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä vastuuhenkilöillä.

Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä vastuuhenkilöillä. Palvelin on suojattu asianmukaisella palomuurilla ja muulla teknisellä suojauksella.

Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että henkilötietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat rekisteröityvät rekisterinpitäjän IT-järjestelmän lokitietoihin.

Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

11. Evästeet, verkkoanalytiikka ja kohdennettu verkkomarkkinointi

Seuran verkkosivustolla käytetään evästeitä. Evästeitä käytetään käyttäjäkokemuksen parantamiseen. Eväste on pieni tekstitiedosto, jonka Seura tallentaa kiintolevylle. Käyttäjältä pyydetään suostumus evästeiden käyttöön hänen tullessaan verkkosivustolle. Käyttäjä voi halutessaan estää evästeiden käytön selaimen asetuksista tai poistamalla evästeet selaimesta palvelun käytön päätyttyä. Evästeiden käyttökiellon yhteydessä Seura ei kuitenkaan takaa kaikkien palveluiden toimivuutta.

Seuran verkkosivustolla on myös kolmannen osapuolen evästeitä, kuten esimerkiksi Googlen verkkoanalytiikkapalveluiden evästeitä. Tämän tyyppisten evästeiden tiedot on lähetetty ja tallennettu mahdollisesti EU:n ja ETA-alueiden ulkopuolelle. Henkilötietojen siirto johonkin kolmanteen maahan tai kansainväliselle järjestölle voidaan toteuttaa, jos komissio on päättänyt, että kyseinen kolmas maa tai kolmannen maan alue tai yksi tai useampi tietty sektori tai kyseinen kansainvälinen järjestö varmistaa riittävän tietosuojan tason. Tällaiselle siirrolle ei tarvita erityistä lupaa. [GDPR 45 artikla 1]

Seuran verkkosivustolla tapahtunut vierailu voi johtaa verkossa tapahtuvaan kohdennettuun mainontaan. Seura voi kohdentaa mainontaa tämän perusteella esimerkiksi sosiaalisessa mediassa.

12. Rekisteröidyn henkilön oikeudet

Rekisteröidyllä henkilöllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:

1. oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai ei käsitellä. Mikäli rekisteröidyn henkilön tietoja käsitellään, niin hänellä on oikeus saada pääsy henkilötietoihin sekä muihin seuraaviin tietoihin:

  • henkilötietojen käsittelyn tarkoitus (katso kappale 3),
  • rekisterin tietosisältö (katso kappale 5),
  • henkilötietojen vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa (katso tämän lausunnon kohta 8),
  • henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit (katso tämän lausunnon kohta 7),
  • rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä,
  • oikeus tehdä valitus valvontaviranomaiselle ja
  • jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot. [GDPR 15 artikla 1g]

2. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen; [GDPR 7 artikla 3]

3. oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin; [GDPR 16 artikla]

4. oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että

  • henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
  • rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta;
  • rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten;
  • henkilötietoja on käsitelty lainvastaisesti;
  • henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi. [GDPR 17 artikla 1e]

5. oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos

  • rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;
  • käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
  • rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;
  • rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet. [GDPR 18 artikla 1c]

6. oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti. [GDPR 20 artikla 1 ja 1b]

Rekisteröity voi pyytää itseään koskevat tiedot lähettämällä sähköpostin rekisterinpitäjälle. Rekisterinpitäjä voi tarvittaessa pyytää rekisteröityä todistamaan henkilöllisyytensä ennen henkilötietojen toimittamista tai vaihtoehtoisesti henkilötiedot toimitetaan ainoastaan postitse postisalaisuuden turvaamalla tavalla;

7. oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta. [GDPR 77 artikla 1]

(Tietosuojavaltuutetun toimisto, Ratapihantie 9, PL 800, 00521 Helsinki tai tietosuoja@om.fi. Lisätietoja valituksen tekemisestä löydät tietosuojavaltuutetun toimiston kotisivuilta: Ilmoitus tietosuojavaltuutetulle – Tietosuojavaltuutetun toimisto).

Rekisteröity voi koska tahansa kääntyä rekisterinpitäjän puoleen (katso yhteystiedot kohdassa 2) mikäli asiakkaalla herää kysymyksiä, kuinka Seura käsittelee henkilötietoja tai asiakas epäilee henkilötietojensa tulleen loukatuksi Seuran toimesta.

13. Muutokset

Seura päivittää tätä tietosuojalausuntoa aika ajoin, mikäli tämä muuttaa henkilötietojen käsittelytapojaan tai tämän palveluissa tapahtuu muutoksia, jotka edellyttävät lausunnon päivittämistä. Lisäksi tätä tietosuojalausuntoa saatetaan päivittää, mikäli laissa tai lain tulkinnassa tapahtuu muutoksia. Tämän lausunnon alussa näet päivämäärän jolloin tätä tietosuojalausuntoa on viimeksi päivitetty. Seura suosittelee asiakkaitaan tutustumaan tietosuojalausuntoon säännöllisesti.