Rekisteri- ja tietosuojaseloste

MEDEGON ASIAKAS- JA MARKKINOINTIREKISTERIN TIETOSUOJASELOSTE

päivitetty 26.7.2021

Tässä Medegon tietosuojaselosteessa kuvataan yksityiskohtaisesti kuinka Medego käsittelee henkilötietoja ja mitä tietoja tämä kerää asiakkaistaan. Asiakkaiden yksityisyydensuoja on Medegolle tärkeää ja Medego vakuuttaa käsittelevänsä henkilötietoja ainoastaan siihen tarkoitukseen johon tiedot on kerätty. Medego noudattaa kaikessa henkilötietojen käsittelyssä henkilötietojen käsittelyä sekä tietosuojaa koskevaa lainsäädäntöä.

Mikäli sinulla on kysyttävää Medegon henkilötietojen käsittelystä, voit olla yhteydessä rekisterinpitäjän yhteyshenkilöön Sanna Rantaseen, jonka yhteystiedot on kerrottu alla kohdassa 1.

 

1 Rekisterinpitäjä

Rekisterin rekisterinpitäjä on Medego (y-tunnus 2630616-3)
Rekisteriasioiden yhteyshenkilö on: Sanna Rantanen, yrittäjä
MEDEGO
Osoite: Laurintie 31, 03300 Otalampi
Puhelin: +358 44 987 0262
Sähköposti: sanna.rantanen@medego.fi

 

2 Rekisterin nimi

Rekisterin nimi on Medegon asiakas- ja markkinointirekisteri.

 

3 Henkilötietojen käsittelyn tarkoitus

Henkilötietoja käsitellään tarkoituksissa, jotka liittyvät asiakassuhteen hoitamiseen, hallinnointiin ja kehittämiseen, palvelujen sekä tuotteiden tarjoamiseen ja toimittamiseen sekä palvelujen ja tuotteiden kehittämiseen, laskutukseen sekä maksutapahtumien hoitamiseen liittyen. Henkilötietoja käsitellään myös mahdollisten reklamaatioiden ja muiden vaatimusten selvittämisen edellyttämissä tarkoituksissa.

Lisäksi henkilötietoja käsitellään asiakkaille suunnatussa viestinnässä kuten tiedotus- ja uutisointitarkoituksissa sekä markkinoinnissa. Asiakkaisiin voi kohdistua sekä perinteistä että sähköistä suoramarkkinoitnai mikäli asiakas on antanut tähän suostumuksensa. Asiakkaalla on oikeus kieltää hänelle kohdistettu suoramarkkinointi.

Rekisterinpitäjä käsittelee tietoja itse sekä hyödyntää henkilötietojen käsittelyssä rekisterinpitäjän puolesta ja lukuun toimivia alihankkijoita siten kuin tässä selosteessa on jäljempänä kuvattu.

 

4 Käsittelyn oikeusperusteet

Medego perustaa henkilötietojen käsittelyn seuraaviin EU:n yleisen tietosuoja-asetuksen (jäljempänä myös ”GDPR”) mukaisiin perusteisiin:

  1. rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.a);
  2. käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR 6 art. 1.b);
  3. henkilötietojen käsittely perustuu rekisterinpitäjän lakisääteiseen velvoitteiseen, jollaisena voidaan pitää esimerkiksi yhtiön kirjanpitolainsäädäntöön liittyviä velvoitteita (GDPR 6 art. 1.c).
  4. käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (GDPR 6 art. 1.f).

 

4.1 Lisätietoja suostumukseen perustuvasta käsittelystä

Suostumukseen perustuva tietojenkäsittely perustuu rekisteröidyn nimenomaisesti antamaan yksilöityyn suostumukseen. Rekisteröidyn antamaa suostumusta koskevat tiedot tallennetaan asiakas- ja markkinointirekisteriin. Rekisteröidyn antama suostumus saadaan pääasiassa Medegon kotisivuilla olevien lomakkeiden kautta tai henkilön hyväksyessä kotisivuille tullessaan sivuja koskevat evästeet. Suostumus kerätään rekisteröidyn aktiivisella toimenpiteellä, kun hän rastittaa lomakkeelle suostumusta koskevan kohdan tai klikkaamalla “hyväksyn evästeet”. Vaihtoehtoisesti rekisteröity voi antaa suostumuksensa muulla aktiivisella toimenpiteellä, kuten esimerkiksi lähettämällään sähköpostilla, jossa hän kertoo antavansa suostumuksen henkilötietojensa käyttöön suoramarkkinointia varten. Yhtiö perustaa suoramarkkinointinsa aina asiakkaan antamaan suostumukseen pois lukien mahdollisen B-to-B markkinnoinnin joka voi perustua myös rekisterinpitäjän oikeutettuun etuun siten kuin jäljempänä on kuvattu. Kaikki muut rekisterin käyttötarkoitukset (mm. laskutus, palveluiden tuottaminen ja kehittäminen) perustuvat muihin käsittelyperusteisiin.

 

4.2 Lisätietoja sopimussuhteeseen perustuvasta käsittelystä

Medego perustaa henkilötietojen käsittelyn ennen kaikkea osapuolten väliseen sopimussuhteeseen. Sopimussuhde voi syntyä asiakkaan ollessa yhteydessä Medegoon joko tämän verkkosivujen kautta tai muulla keinolla ja osoittaa olevansa kiinnostunut Medegeon tuotteista tai palveluista joko tekemällä hankinnan tai tehdessään tarjouspyynnön. Kyseisen käsitelyperusteen pohjalta tietoja käytetään asiakassuhteen hoitamiseen, hallinnointiin ja kehittämiseen, palvelujen sekä tuotteiden tarjoamiseen ja toimittamiseen sekä palvelujen ja tuotteiden kehittämiseen.

 

4.3 Lisätietoja yhtiön lakisääteiseen velvoitteeseen perustuvasta käsittelystä

Medego perustaa kaiken maksutietojen käsittelyyn ja hallinnointiin liittyvän henkilötietojen käsittelyn yhtiön lakisääteiseen velvoitteeseen käsitellä henkilötietoja riippumatta siitä mikä on maksutapa. Asiakkaan maksaessa tuotteet tai palvelut henkilötietoja käsitellään maksutapahtumien arkistointia ja kirjanpitoa varten. Käsittely on tarpeen kirjanpitolainsäädäntöön perustuvien velvollisuuksien noudattamiseksi.


4.4 Lisätetoja yhtiön oikeutettuun etuun perustuvasta käsittelystä

Rekisterinpitäjän oikeutettu etu perustuu rekisteröidyn henkilön ja rekisterinpitäjän välillä olevaan merkitykselliseen ja asianmukaiseen suhteeseen, joka on seurausta siitä, että rekisteröity on rekisterinpitäjän asiakas tai potentiaalinen asiakas.Henkilötietojen käsittely tapahtuu tarkoituksiin, joita rekisteröity voi kohtuudella odottaa tapahtuvan.


Rekisterinpitäjä kerää asiakaspalautetta toimittamistaan tuotteista ja palveluista ja suorittaa muun muassa asiakaskyselyjä. Kyseinen käsittely perustuu rekisterinpitäjän oikeutettuun etuun.


Rekisterinpitäjä voi kerätä julkisista lähteistä tietoja yrityksistä ja näiden yhteyshenkilöistä, joiden tämä arvioi olevan potentiaalisia asiakkaita ja tämä käyttää kyseisiä tietoja suoramarkkinointitarkoituksiin.


Rekisterinpitäjä on huolellisesti arvioinut käyttötarkoituksen lain mukaisuuden tekemällä tasapainotestin ennen henkilötietojen keräämistä ja käyttöä tätä käyttötarkoitusta varten.

 

5 Rekisterin tietosisältö (käsiteltävät henkilötietoryhmät)

Rekisteröityjen henkilöryhmät ovat 1) yritysasiakkaat ja näiden yhteyshenkilöt, 2) kuluttaja-asiakkaat ja 3) markkinointirekisterissä olevat henkilöt, jotka ovat esimerkiksi tilanneet Medegolta sähköisen uutis- ja markkinointikirjeen. Selvyyden vuoksi todetaan, että yritysasiakkaat voivat käsittää myös esimerkiksi yhdistyksiä, säätiöitä tai muita vastaavia asiakasryhmiä joita ei voida pitää kuluttajina.


Rekisteri sisältää seuraavat henkilötiedot lähtökohtaisesti kaikista rekisteröidyistä henkilöistä:

  1. henkilön perustiedot ja yhteystiedot: etunimi, sukunimi, sähköpostiosoite, osoite ja puhelinnumero sekä mahdollinen erillinen laskutusosoite. Punainen Risti Ensiapu Oy:n koulutusohjelman mukaisilla kursseilla tallennetaan myös edellä mainittujen tietojen lisäksi henkilön syntymäaika;
  2. henkilön yritykseen tai muuhun organisaatioon liittyvät tiedot ja henkilön asema tai tehtävänimike ko. yrityksessä tai organisaatiossa;
  3. maksutapaan liittyvät tiedot joihin lukeutuvat esimerkiksi maksukortin numero, tapahtumanumero ja varmenne, mahdollinen viite sekä muut maksuun liittyvät keskeiset tiedot;
  4. ostetut tuotteet tai palvelut tai pyydetyn tarjouksen tiedot sekä
  5. henkilön suoramarkkinointiluvat ja -kiellot.

 

6 Säännönmukaiset tietolähteet

Henkilötietoja kerätään rekisteröidyltä henkilöltä itseltään.

Yritysasiakkaiden kohdalla henkilötietoja saatetaan kerätä myös rekisteröidyn työnantajalta tai muulta vastaavalta taholta joka on tilannut kurssin tai palvelun kyseessä olevalle rekisteröidylle henkilölle. Näin voi tapahtua esimerkiksi Medegon ensiapukurssien osalta, jossa Medego voi tarvittaessa pyytää tilaajalta (esimerkiksi yritys joka tilaa ensiapukurssin henkilöstölleen) kurssin osallistujalistan. Myös näissä tapauksissa kerätyt tiedot on rajattu siten, että tiedot sisältävät ainoastaan sellaiset pakolliset tiedot, jotka ovat pakollisia tuotteen tai palvelun toimittamiseksi.


Henkilötietoja kerätään ja päivitetään myös sovellettavan lainsäädännön rajoissa yleisesti saatavilla olevista lähteistä, jotka liittyvät rekisterinpitäjän ja rekisteröidyn henkilön välisen asiakassuhteen toteuttamiseen ja joiden avulla rekisterinpitäjä toteuttaa asiakassuhteiden ylläpitämiseen liittyviä velvollisuuksiaan.

 

7 Henkilötietojen säilytysaika

Rekisteriin kerättyjä tietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty.
Henkilötietojen säilyttämisen tarvetta arvioidaan vuosittain, mutta lähtökohtana on, että henkilötietoja säilytetään asiakassuhteen voimassaoloajan sekä tämän jälkeen kuusi täyttä kalenterivuotta. Kuuden vuoden säilytysaika perustuu verolakeihin, kirjanpitolakiin, lakiin rahanpesun ja terrorismin rahoittamisen estämisestä sekä maksulaitoslakiin. Tietoja voidaan säilyttää pidempään mikäli viranomaisvaatimukset tätä edellyttävät. Kuitti-, lasku- ja maksutietoja säilytetään ostotapahtumiin liittyvällä tavalla arkistointitarkoitukseen. Henkilötietojen käsittely on välttämätöntä osa ostotapahtuman mahdollistamista sekä osoittamista.


Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti sisäisten käytännesääntöjensä mukaisesti. Lisäksi rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat, virheelliset tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä.

8 Henkilötietojen vastaanottajat (vastaanottajaryhmät) sekä tietojen säännönmukaiset luovutukset

Henkilötietoja ei luovuteta pääsääntöisesti kolmansille tahoille. Poikkeuksena kuitenkin ne tahot, jotka palvelun toteutumisen edellytyksenä käsittelevät tietoja:

  • Kuljetusyritys, joka kuljettaa tilauksen asiakkaalle
  • Tilitoimisto, joka kirjaa tilaukset kirjanpitoomme
  • IT-yritys, joka ylläpitää verkkosivujamme/verkkokauppaa
  • Punainen Risti Ensiapu Oy (SPR:n koulutusohjelmien mukaiset ensiapukurssit)
  • Kiwa Inspecta Oy (SPR:n koulutusohjelmien mukaiset ensiapukurssit)
  • Maksusuorituksia käsittelevät tahot: Zettle by PayPal sekä Visma Pay
  • Perintätoimisto silloin, mikäli asiakas ei suorita maksusuoritusta sovitusti.
  • Alihankintayritykset, jotka tarvitsevat tietoja koulutusten tai tavarantoimituksen yhteydessä.
  • Viranomaiset, joilla on lakiin perustuva oikeus vaatia henkilötietoja nähtäväkseen.

 

9 Tietojen siirto EU:n tai ETA:n ulkopuolelle

Rekisteriin sisältyviä henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

Mikäli myöhemmin ilmenisi välttämätön tarve siirtää tietoja EU:n tai ETA:n ulkopuolelle, huolehtii Medego siitä, että tietojensaajan kanssa solmitaan tietojen käsittelyä koskeva sopimus (DPA) joka noudattaa Euroopan komission päätöksen mukaisia mallisopimuslausekkeita tietosuojan asianmukaisen turvan varmistamiseksi kansainvälisesti siirrettäville tiedoille.

 

10 Rekisterin suojauksen periaatteet

Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.

Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä. Palvelin on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella.


Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat rekisteröityvät rekisterinpitäjän IT-järjestelmän lokitietoihin.


Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

 

11 Evästeet, verkkoanalytiikka ja kohdennettu verkkomarkkinointi

 

Medegon kotisivuilla käytetään evästeitä. Evästeitä käytetään käyttäjäkokemuksen parantamiseen. Eväste on pieni tekstitiedosto, jonka Medego tallentaa kiintolevylle. Käyttäjältä pyydetään suostumus evästeiden käyttöön hänen tullessaan verkkosivuille. Käyttäjä voi halutessaan estää evästeiden käytön selaimen asetuksista tai poistamalla evästeet selaimesta palvelun käytön päätyttyä. Evästeiden käyttökiellon yhteydessä Medego ei kuitenkaan takaa kaikkien palveluiden toimivuutta.


Medegon käyttämä eväste on Google Analytics -eväste, joka on Googlen verkkoanalytiikkapalvelu. Evästeen antama tieto sivuston käytöstä (IP-osoite, joka on tehty tunnistamattomaksi) lähetetään ja tallennetaan Googlen palvelimelle Yhdysvaltoihin. Niissä tapauksissa, joissa Google siirtää henkilötietoja EU:n tai ETA-alueen ulkopuolelle, on tietojen siirtämisen oikeusperuste EU:n ja Yhdysvaltojen välinen Privacy Shield -järjestely. Lisätietoja Google Analyticsin tietosuojapolitiikasta voit löytää täältä: Datan turvaaminen – Analytics Ohjeet (google.com)


Medegon sivuilla tapahtunut vierailu voi johtaa verkossa tapahtuvaan kohdennettuun mainontaan. Medego voi kohdetaa mainontaa tämän perusteella esimerkiksi Facebookissa tai muussa sosiaalisessa mediassa.

 

12 Rekisteröidyn oikeudet

Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:

1. oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot:

I käsittelyn tarkoitukset (ks. tämän selosteen kohta 3);
II kyseessä olevat henkilötietoryhmät (ks. tämän selosteen kohta 5);
III vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa (ks. tämän selosteen kohta 8);
IV mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit (ks. tämän selosteen kohta 7);
V rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä;
VI oikeus tehdä valitus valvontaviranomaiselle;
VII jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot (GDPR 15 art.).

2. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen (GDPR 7 art.);

3. oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin (GDPR 16 art.);

4. oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että

  1. henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
  2. rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta;
  3. rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten;
  4. henkilötietoja on käsitelty lainvastaisesti; tai
  5. henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.);

5. oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos

  1. rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;
  2. käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
  3. rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai
  4. rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.);

6. oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti (GDPR 20 art.) Rekisteröity voi pyytää itseään koskevat tiedot lähettämällä sähköpostin rekisterinpitäjälle. Rekisterinpitäjä voi tarvittaessa pyytää rekisteröityä todistamaan henkilöllisyytensä ennen henkilötietojen toimittamista tai vaihtoehtoisesti henkilötiedot toimitetaan ainoastaan postitse postisalaisuuden turvaamalla tavalla;

7. oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (GDPR 77 art.). 

(Tietosuojavaltuutetun toimisto, Ratapihantie 9, PL 800, 00521 Helsinki tai tietosuoja@om.fi. Lisätietoja valituksen tekemisestä löydät tietosuojavaltuutetun toimiston kotisivuilta: Ilmoitus tietosuojavaltuutetulle – Tietosuojavaltuutetun toimisto).

 

Rekisteröity voi koska tahansa kääntyä rekisterinpitäjän puoleen (ks. yhteystiedot kohdassa 1) mikäli tällä herää kysymyksiä kuinka Medego käsittelee henkilötietoja tai tämä epäilee henkilötietojensa tulleen loukatuksi Medegon toimesta.

 

13 Muutokset

Medego päivittää tätä selostetta aika ajoin mikäli tämä muuttaa henkilötietojen käsittelytapojaan tai tämän palveluissa tapahtuu muutoksia jotka edellyttävät selosteen päivittämistä. Lisäksi tätä selostetta saatetaan päivittää mikäli laissa tai lain tulkinnassa tapahtuu muutoksia. Tämän selosteen alussa näet päivämäärän jolloin tätä selostetta on viimeksi päivitetty. Medego suosittelee asiakkaitaan tutustumaan tietosuojaselosteeseen säännöllisesti.