ASIAKASREKISTERIN TIETOSUOJASELOSTE
1 Rekisterinpitäjä
Rekisterinpitäjä on WeFly Oy (y-tunnus 2807024-6)
Rekisteriasioiden yhteyshenkilö on: Joni Karvinen, TJ
WeFly Oy
Osoite: Ridalintie 3, 03100 Nummela
Puhelin: + 358 400 617990
Sähköposti: info@weflyfinland.fi
2 Rekisterin nimi
Rekisterin nimi on WeFly Oy:n varauskalenterin asiakasrekisteri.
3 Henkilötietojen käsittelyn
tarkoitus
Henkilötietoja käsitellään tarkoituksissa, jotka liittyvät
asiakassuhteen hoitamiseen, hallinnointiin ja kehittämiseen, palvelujen
tarjoamiseen ja toimittamiseen sekä palvelujen kehittämiseen ja laskutukseen
liittyen. Henkilötietoja käsitellään myös mahdollisten reklamaatioiden ja
muiden vaatimusten selvittämisen edellyttämissä tarkoituksissa.
Lisäksi henkilötietoja käsitellään asiakkaille suunnatussa viestinnässä
kuten tiedotus- ja uutisointitarkoituksissa sekä markkinoinnissa, jonka osana
henkilötietoja käsitellään myös suoramarkkinointiin ja sähköiseen
suoramarkkinointiin liittyvissä tarkoituksissa.
Asiakkaalla on oikeus kieltää hänelle kohdistettu suoramarkkinointi.
Rekisterinpitäjä käsittelee tietoja itse sekä hyödyntää henkilötietojen
käsittelyssä rekisterinpitäjän puolesta ja lukuun toimivia alihankkijoita.
4 Käsittelyn oikeusperusteet
Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen
tietosuoja-asetuksen (jäljempänä myös ”GDPR”) mukaiset perusteet:
- rekisteröity on antanut suostumuksensa henkilötietojensa
käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art.
1.a);
- käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi,
jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien
toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR 6 art. 1.b);
- käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen
oikeutettujen etujen toteuttamiseksi (GDPR 6 art. 1.f).
Edellä mainittu rekisterinpitäjän oikeutettu etu perustuu rekisteröidyn henkilön
ja rekisterinpitäjän välillä olevaan merkitykselliseen ja asianmukaiseen
suhteeseen, joka on seurausta siitä, että rekisteröity on rekisterinpitäjän
asiakas, ja kun käsittely tapahtuu tarkoituksiin, joita rekisteröity on
kohtuudella voinut odottaa henkilötietojen keräämisen ajankohtana ja
asianmukaisen suhteen yhteydessä.
5 Rekisterin tietosisältö
(käsiteltävät henkilötietoryhmät)
Rekisteri sisältää seuraavat henkilötiedot lähtökohtaisesti kaikista
rekisteröidyistä henkilöistä:
- henkilön perustiedot ja yhteystiedot: etunimi, sukunimi,
osoite, puhelinnumero, sähköpostiosoite;
- henkilön
suoramarkkinointiluvat ja -kiellot.
6 Säännönmukaiset tietolähteet
Henkilötietoja kerätään rekisteröidyltä henkilöltä itseltään.
Henkilötietoja kerätään ja päivitetään myös sovellettavan lainsäädännön
rajoissa yleisesti saatavilla olevista lähteistä, jotka liittyvät
rekisterinpitäjän ja rekisteröidyn henkilön välisen asiakassuhteen
toteuttamiseen ja joiden avulla rekisterinpitäjä toteuttaa asiakassuhteiden
ylläpitämiseen liittyviä velvollisuuksiaan.
7 Henkilötietojen säilytysaika
Rekisteriin kerättyjä tietoja säilytetään ainoastaan niin kauan ja siinä
laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai
yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty.
Henkilötietojen säilyttämisen tarvetta arvioidaan viiden vuoden välein ja
joka tapauksessa rekisteröityä henkilöä koskevat tiedot poistetaan rekisteristä
5 vuoden jälkeen, kun kyseisen rekisteröidyn asiakassuhde rekisterinpitäjään on
päättynyt, ja asiakassuhteeseen liittyvät velvollisuudet ja toimenpiteet on
suoritettu loppuun. Esimerkiksi kirjanpitotositteita säilytetään viisi vuotta
tilikauden päättymisestä.
Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta
säännöllisesti sisäisten käytännesääntöjensä mukaisesti. Lisäksi
rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen
varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat, virheelliset
tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä.
8 Henkilötietojen
vastaanottajat (vastaanottajaryhmät) sekä tietojen säännönmukaiset luovutukset
Henkilötietoja ei luovuteta ulkopuolisille tahoille.
9 Tietojen siirto EU:n tai
ETA:n ulkopuolelle
Rekisteriin sisältyviä henkilötietoja ei siirretä EU:n tai ETA:n
ulkopuolelle.
10 Rekisterin suojauksen
periaatteet
Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa,
joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn
valtuutetuilla henkilöillä.
Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään
lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi
pääsyyn valtuutetuilla henkilöillä. Palvelin on suojattu asianmukaisella
palomuurilla ja teknisellä suojauksella.
Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä
henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on
rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin
tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja
käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset
henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat
rekisteröityvät rekisterinpitäjän IT-järjestelmän lokitietoihin.
Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet
noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen
käsittelyn yhteydessä saamansa tiedot.
11 Rekisteröidyn oikeudet
Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset
oikeudet:
- oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä
koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos
näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä
seuraavat tiedot: (i) käsittelyn tarkoitukset; (ii) kyseessä olevat
henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille
henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv)
mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos
se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn
oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen
oikaisemista tai poistamista taikka henkilötietojen käsittelyn
rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä
valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä
rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot
(GDPR 15 art.). Nämä kuvatut perustiedot (i)–(vii) annetaan
rekisteröidylle henkilölle tällä lomakkeella;
- oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta
suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn
lainmukaisuuteen (GDPR 7 art.);
- oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta
viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot
sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa
toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja
käsiteltiin (GDPR 16 art.);
- oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat
henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i)
henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne
kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity
peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn
ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä
henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä
käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa
käsittelyä suoramarkkinointitarkoituksia varten; (iv) henkilötietoja on
käsitelty lainvastaisesti; tai (v) henkilötiedot on poistettava unionin
oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään
sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.);
- oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i)
rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin
käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi
varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja
rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan
niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse
kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity
tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai
puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen
käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä
perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän
oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.);
- oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on
toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja
koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot
toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle
henkilötiedot on toimitettu, jos käsittely perustuu asetuksen
tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti (GDPR
20 art.);
- oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity
katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n
yleistä tietosuoja-asetusta (GDPR 77 art.).
Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan
kohdassa 1 mainitulle rekisterinpitäjän yhteyshenkilölle.