Tietosuojaseloste

Tämä on Yrityksen henkilötietolain (10 ja 24 §) ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste.
Päivitetty 18.12.2024.

Rekisterinpitäjä

Plan&Care Sports Oy
Y-tunnus: 2845110-2

Yhteyshenkilö rekisteriä koskevissa asioissa
Ari-Pekka Piiparinen
[email protected]

Rekisterin nimi

Plan&Care Sports Oy – Asiakasrekisteri

Henkilötietojen käsittelyn tarkoitus

Henkilötietolain 8 §:n mukaiset yleiset edellytykset;
Asiakassuhteen hoitaminen ja ylläpito
Asiakaskirjeet ja tiedotteet
Markkinointi omille asiakkaille
Analysointi ja tilastointi

Rekisterin tietosisältö

Asiakkaan perustiedot
Nimi
Y-tunnus (seurat)
Sähköpostiosoite
Osoite
Puhelinnumero
Asiointikieli

Verkkopalvelujen käyttöön liittyvät asiakkaan tunnisteet:
Asiakkaan IP-osoite

Säännönmukaiset tietolähteet

Asiakkaiden itsensä itsestään antamat tiedot
Asiakkaiden itse antamat tarjonnan estot

Tietojen luovutukset ja ulkopuoliset käsittelijät

Henkilötietoja voidaan luovuttaa ulkopuolisille palveluntarjoajille vain niiltä osin kuin se on välttämätöntä palveluiden tarjoamiseksi tai lakisääteisten velvoitteiden täyttämiseksi. Esimerkkejä tilanteista, joissa tietoja voidaan luovuttaa:

IT-palveluntarjoajat ja pilvipalvelut:

Käytämme ulkopuolisia IT-palveluntarjoajia ja pilvipalveluja (esim. CloudFlare, Google Cloud, Microsoft 365, Amazon Web Services) tietojen tallentamiseen ja hallintaan. Kaikki palveluntarjoajamme noudattavat GDPR:n vaatimuksia, ja tiedot säilytetään ensisijaisesti EU:n alueella.

Maksupalveluntarjoajat

Maksutapahtumien käsittelyssä voidaan käyttää maksupalveluntarjoajia, kuten Paytrail tai Stripe, jotka toimivat henkilötietojen käsittelijöinä.

Analytiikka- ja markkinointipalvelut

Käytämme esimerkiksi Google Analyticsia tai muita analytiikkapalveluita verkkosivuston käytön analysointiin ja palvelujen kehittämiseen. Näiden palveluiden osalta varmistamme tietojen anonymisoinnin aina kun mahdollista.

Lakisääteiset velvoitteet

Tietoja voidaan luovuttaa viranomaisille, mikäli laki niin edellyttää.
Tietoja ei koskaan luovuteta ilman asianmukaisia suojatoimenpiteitä. Mikäli tietoja siirretään EU:n tai ETA:n ulkopuolelle, varmistamme tietojen turvallisuuden käyttämällä esimerkiksi Euroopan komission hyväksymiä mallisopimuslausekkeita, Privacy Shield -järjestelmää (jos soveltuva) tai muita vastaavia suojamekanismeja.

Henkilö- ja yritystietojen säilytysaika

Henkilötietoja säilytetään vain niin kauan kuin se on tarpeen tietojen käyttötarkoituksen toteuttamiseksi tai lakisääteisten velvoitteiden täyttämiseksi. Tietojen säilytysajat määritellään seuraavasti:

Asiakastiedot:

– Sopimuksen perusteella käsiteltäviä tietoja säilytetään asiakassuhteen ajan ja enintään viisi (5) vuotta asiakassuhteen päättymisestä, ellei laki edellytä pidempää säilytysaikaa.

Markkinointitiedot:

– Suostumuksen perusteella kerättyjä markkinointitietoja (esim. sähköpostiosoite ja puhelinnumero) säilytetään niin kauan kuin suostumus on voimassa. Rekisteröity voi peruuttaa suostumuksensa milloin tahansa, minkä jälkeen tiedot poistetaan kohtuullisessa ajassa (enintään 30 päivän kuluessa).

Kirjanpitoon liittyvät tiedot:

– Kirjanpitolain (Laki kirjanpidosta 1336/1997) edellyttämät tiedot säilytetään vähintään kuusi (6) vuotta sen tilikauden päättymisestä, johon tiedot liittyvät.

Verkkosivuston käyttöön liittyvät tiedot (esim. lokitiedot):

– Näitä tietoja säilytetään enintään kaksitoista (12) kuukautta, ellei tietoja tarvita pidempään esimerkiksi tietoturvasyistä.

Kun tietojen säilytysaika päättyy, henkilötiedot poistetaan tai anonymisoidaan turvallisesti.

Henkilötietojen käsittelyn oikeusperusteet

Henkilötietojen käsittely perustuu EU:n yleisen tietosuoja-asetuksen (GDPR) määrittelemiin oikeusperusteisiin. Käyttämämme oikeusperusteet ja niiden liittyminen eri käsittelytarkoituksiin ovat seuraavat:

Sopimuksen täytäntöönpano (GDPR, art. 6.1 b):

– Käsittelemme henkilötietoja tarjotaksemme palveluita, joita asiakkaamme ovat meiltä tilanneet (esim. tilauksen käsittely, asiakassuhteen ylläpito).

Lakisääteinen velvoite (GDPR, art. 6.1 c):

– Käsittelemme henkilötietoja täyttääksemme lakisääteisiä velvoitteitamme, kuten kirjanpitolain mukaisia velvoitteita tai verotietojen raportointia viranomaisille.

Suostumus (GDPR, art. 6.1 a):

– Käytämme henkilötietoja markkinointitarkoituksiin ja uutiskirjeiden lähettämiseen vain, jos olemme saaneet siihen rekisteröidyn suostumuksen. Rekisteröity voi peruuttaa suostumuksensa milloin tahansa.

Oikeutettu etu (GDPR, art. 6.1 f):

– Käsittelemme tietoja palveluiden kehittämiseen, asiakaspalautteen analysointiin ja turvallisuuden varmistamiseen (esim. lokitiedot). Oikeutettu etu perustuu arvioon, jossa henkilötietojen käsittely on tarpeen, mutta ei kohtuuttomasti rajoita rekisteröidyn oikeuksia.

Rekisteröidyn tai muun henkilön elintärkeät edut (GDPR, art. 6.1 d):

– Käsittelemme henkilötietoja poikkeustilanteissa, jos se on tarpeen rekisteröidyn tai toisen henkilön hengen tai terveyden suojaamiseksi (esim. tietoturvaloukkauksen havaitseminen ja estäminen).

Evästeiden käyttö ja niihin liittyvä informaatio

Verkkosivustomme käyttää evästeitä ja muita vastaavia tekniikoita tarjotakseen parhaan mahdollisen käyttäjäkokemuksen sekä kehittääkseen palveluitamme. Evästeet ovat pieniä tekstitiedostoja, jotka tallennetaan käyttäjän laitteelle.

Käytämme seuraavanlaisia evästeitä:

Välttämättömät evästeet:

– Nämä evästeet ovat välttämättömiä verkkosivuston toiminnalle, esimerkiksi kirjautumisen mahdollistamiseksi tai tietoturvan varmistamiseksi.
– Oikeusperuste: oikeutettu etu (GDPR, art. 6.1 f).

Toiminnalliset evästeet:

– Näiden avulla parannetaan verkkosivuston toimivuutta ja personointia, kuten muistamalla käyttäjän kielivalinta.
– Oikeusperuste: suostumus (GDPR, art. 6.1 a).

Analytiikkaevästeet:

– Näitä käytetään verkkosivuston käytön analysoimiseen ja parantamiseen. Esimerkiksi Google Analytics kerää tietoa, kuten vierailujen määrää ja käyttäjien navigointia sivustolla.
– Oikeusperuste: suostumus (GDPR, art. 6.1 a).

Markkinointievästeet:

Emme käytä verkkosivustollamme markkinointievästeitä tai muita evästeitä, joilla kerättäisiin tietoja käyttäjien kohdennettua mainontaa varten. Sivustollamme käytetään vain välttämättömiä ja toiminnallisia evästeitä, jotka tukevat sivuston teknistä toimintaa.

Evästeiden hallinta:

Käyttäjällä on oikeus hallita evästeitä seuraavasti:

Evästebanneri:

Sivustollamme näytetään evästebanneri, jossa voit valita, hyväksytkö kaikki evästeet vai vain välttämättömät evästeet.

Selaimen asetukset:

Voit estää evästeiden käytön tai poistaa ne selaimesi asetuksista. Huomioithan, että välttämättömien evästeiden estäminen voi vaikuttaa verkkosivuston toiminnallisuuteen.

Suostumuksen peruuttaminen:

Voit milloin tahansa muuttaa suostumustasi evästeiden käyttöön verkkosivustomme evästeasetuksista.

Rekisterin suojauksen periaatteet

Tiedot säilytetään teknisesti suojattuina turvallisessa palvelinsalissa. Fyysinen pääsy palvelinsaliin, jossa tiedot sijaitsevat on estetty kulunvalvonnan sekä muiden turvatoimien avulla. Pääsy tietoihin vaatii riittävät oikeudet, sekä monivaiheisen tunnistautumisen. Mm. palomuuritekniikan avulla estetään ulkopuoliset hyökkäykset ja pääsy rekisteritietoihin. Rekisteritiedot varmuuskopioidaan turvallisesti ja ne ovat palautettavissa tarpeen tullen.

Henkilö- ja yritystietoja käsittelevät vain Plan&Care Sports Oy:n palveluksessa olevat henkilöt. Nämä tunnistautuvat järjestelmiin henkilökohtaisen käyttäjätunnuksen, salasanan ja multi-factor autentikoinnin avulla. Käyttäjiä sitoo vaitiolovelvollisuus.

Rekisteröidyn oikeudet ja niiden käyttäminen

Rekisteröidyllä on useita oikeuksia, jotka hän voi käyttää omien henkilötietojensa käsittelyyn liittyen. Näiden oikeuksien käyttäminen on ilmaista, ja rekisteröity voi pyytää täsmällistä tietoa tai korjauksia henkilötietoihinsa milloin tahansa. Rekisteröidyn oikeudet ovat seuraavat:

Oikeus saada pääsy tietoihin (GDPR, art. 15):

– Rekisteröidyllä on oikeus pyytää kopio kaikista hänestä käsiteltävistä henkilötiedoista. Voit pyytää myös lisätietoa siitä, miten tietojasi käsitellään.

Oikeus oikaista tietoja (GDPR, art. 16):

– Jos tiedoissasi on virheitä tai puutteita, voit pyytää niiden korjaamista.

Oikeus tietojen poistamiseen (oikeus tulla unohdetuksi) (GDPR, art. 17):

– Rekisteröidyllä on oikeus pyytää tietojensa poistamista, jos tietojen käsittely ei enää ole tarpeellista, peruutat suostumuksesi tai sinulla on muita laillisia perusteita poistopyyntöön.

Oikeus käsittelyn rajoittamiseen (GDPR, art. 18):

– Rekisteröidyllä on oikeus pyytää, että henkilötietojen käsittelyä rajoitetaan, jos tietojen oikeellisuutta kyseenalaistetaan tai käsittely ei ole lainmukaista.

Oikeus siirtää tiedot (GDPR, art. 20):

– Rekisteröidyllä on oikeus saada itsestään tallennetut henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja siirtää tiedot toiselle palveluntarjoajalle.

Oikeus vastustaa käsittelyä (GDPR, art. 21):

– Rekisteröidyllä on oikeus vastustaa tietojen käsittelyä, erityisesti silloin, kun käsittely perustuu oikeutettuun etuun tai suoramarkkinointiin.

Oikeus peruuttaa suostumus (GDPR, art. 7):

– Jos käsittely perustuu suostumukseen (esim. markkinointiviestintään), rekisteröidyllä on oikeus peruuttaa suostumus milloin tahansa ilman, että se vaikuttaa aiempaan käsittelyyn.

Oikeuksien käyttäminen:

– Jos haluat käyttää oikeuksiasi, ota yhteyttä meihin alla olevalla yhteystiedolla.
– Pyynnöt käsitellään mahdollisimman nopeasti, kuitenkin viimeistään kuukauden kuluessa. Mikäli pyyntösi on erityisen monimutkainen tai laaja, voimme pidentää käsittelyaikaa enintään kahdella kuukaudella, ja ilmoitamme tästä sinulle.
– Voit käyttää oikeuksiasi ilman erityistä syytä, mutta pyynnön täytyy olla riittävän tarkka ja selkeä.

Yhteystiedot pyyntöjen tekemistä varten:

Sähköpostitse: [email protected]

Riskienhallinta ja tietoturvaloukkauksista ilmoittaminen

Olemme sitoutuneet suojaamaan henkilötietojasi ja varmistamaan niiden turvallisuuden. Olemme ottaneet käyttöön asianmukaiset tekniset ja organisatoriset toimenpiteet riskienhallintaan, mukaan lukien tietoturvaan liittyvät toimenpiteet, kuten tiedonsalauksesta, käyttöoikeuksien hallinnasta ja säännöllisistä tietoturvakoulutuksista.

Tietoturvaloukkaukset

Mikäli henkilötietoja käsittelevässä järjestelmässämme tapahtuu tietoturvaloukkaus, joka voi vaikuttaa rekisteröidyn oikeuksiin ja vapauksiin, ilmoitamme asiasta viipymättä ja viimeistään 72 tunnin kuluessa, mikäli se on mahdollista. Tietoturvaloukkauksella tarkoitetaan esimerkiksi sitä, että henkilötiedot menevät kolmansille osapuolille ilman rekisteröidyn suostumusta tai tietoja muutetaan, hävitetään tai menettävät saatavuutensa.

Tietoturvaloukkauksista ilmoittaminen

Jos tietoturvaloukkaus on todennäköisesti aiheuttanut korkean riskin rekisteröidyn oikeuksille ja vapaudelle, ilmoitamme asiasta suoraan rekisteröidylle mahdollisimman nopeasti. Ilmoituksessa kerromme:

– Luonteen ja laajuuden tietoturvaloukkauksesta
– Oikeuksien ja vapauksien mahdollisista seurauksista
– Toimenpiteistä, jotka on toteutettu tai jotka suunnitellaan toteutettavaksi tietoturvaloukkauksen vaikutusten minimoimiseksi

Jos et ole saanut tietoa tietoturvaloukkauksesta, mutta epäilet, että tietosi on saattanut olla vaarantuneita, voit ottaa meihin yhteyttä pyytääksesi lisätietoja.

Riskien arviointi ja jatkuva parantaminen

Teemme säännöllisiä riskien arviointeja ja tarkastuksia varmistaaksemme, että tietoturvatoimenpiteet ovat ajan tasalla ja riittäviä. Käytämme tehokkaita mekanismeja, kuten tietoturvatarkastuksia ja riskianalyysejä, vähentääksemme mahdollisia tietoturvariskejä ja varmistamme, että mahdollisiin loukkauksiin voidaan reagoida nopeasti ja tehokkaasti.