Tietoturvaseloste
1. Rekisterinpitäjä
Metataito Klinikka Oy Vantaanjänne 2 B 8 01730 Vantaa
2. Rekisteriasioita hoitava yhteyshenkilö
Toimitusjohtaja, Anssi Balk naffv@zrgngnvgb.sv
3. Rekisterin nimi
Metataito Klinikka Oy:n markkinointirekisteri.
4. Henkilötietojen käsittelyn tarkoitus ja oikeusperusteet
Rekisteriin tallennettuja henkilötietoja käsitellään sovellettavan tietosuojalainsäädännön edellytysten mukaisesti rekisterinpitäjän sidosryhmäviestintään, kuten uutiskirjeiden, mielipide- ja markkinatutkimuksien, sähköisten tiedotteinen, sähköisen suoramarkkinoinnin ja kutsujen lähettämiseen. Henkilötietoja voidaan käsitellä markkinoinnin kohdentamiseksi oikealle kohderyhmälle. Henkilötietojen käsittelyn perusteena on näihin liittyvä asiakassuhde, rekisteröidyn suostumus, tai muu asiallinen yhteys. Rekisterinpitäjän sähköistä suoramarkkinointia lähetetään sellaisille rekisteröidyille, jotka ovat antaneet vapaaehtoisen suostumuksensa sähköiseen suoramarkkinointiin. Lisäksi tietoyhteiskuntakaarta ja muuta soveltuvaa tietosuojalainsäädäntöä noudattaen sähköistä suoramarkkinointia voidaan lähettää myös sellaisille vastaanottajille, joiden osalta rekisterinpitäjä voi perustellusti katsoa, että markkinoitavilla tuotteilla tai palveluilla on olennainen liityntä potentiaalisen asiakkaan vastuualueeseen tai työtehtäviin. Markkinointiviestien tilaamisen voi peruuttaa ilmoittamalla tästä rekisterinpitäjälle tai klikkaamalla jokaisen markkinointiviestin yhteydessä olevaa kieltomahdollisuutta (”Poistu postituslistalta” tai ”Unsubscribe” -toiminto), jolloin rekisteröidyn tiedot poistetaan rekisterinpitäjän sähköisen suoramarkkinoinnin tilaajalistalta.
5. Rekisterin tietosisältö, käsiteltävät henkilötietoryhmät
Rekisteri sisältää tietoja seuraavista henkilötahoista:
- rekisterinpitäjän asiakkaista (asiakas-/sopimussuhde)
- potentiaalisista asiakkaista (asiallinen yhteys, oikeutettu etu)
Rekisteri sisältää seuraavat henkilöä yksilöivät tiedot:
- Yhteystiedot (kuten nimi, puhelinnumero, sähköpostiosoite)
- Syntymäaika tai ikä
- Sukupuoli
- Ammatti
- Kiinnostuksen kohteet
- Rekisterinpitäjän www-sivujen selaus/käyttöhistoria
- Palvelutapahtumatiedot
- Henkilön itse antamat lisätiedot
- Suoramarkkinointiluvat ja -kiellot
- Asiakkuuteen perustuvien kampanjoiden perustiedot, kontaktihistoria, palaute ja seurantatiedot
- Mahdolliset muut henkilön suostumuksella kerättävät tiedot
- Käsiteltävät henkilötiedot ovat tarpeellisia niiden käyttötarkoituksien kannalta.
6. Säännönmukaiset tietolähteet
Tiedot kerätään pääsääntöisesti rekisteröidyltä itseltään. Rekisterinpitäjän www-sivuilta tallennetaan sivujen selaus/käyttöhistoria, mistä ilmoitetaan rekisteröidylle nettisivuille saavuttaessa. Henkilötietoja voidaan lisäksi kerätä ja päivittää myös rekisterinpitäjän yhteistyökumppaneilta sekä henkilötietoja koskevia palveluita tarjoavilta viranomaisilta ja yrityksiltä.
7. Henkilötietojen vastaanottajat
Rekisterinpitäjä ei lähtökohtaisesti luovuta rekisteröityjen henkilötietoja ulkopuolisille, paitsi mikäli viranomaiset lainmukaisesti niin edellyttävät tai pakottavan lainsäädännön niin vaatiessa.
Edellä sanotusta huolimatta rekisterinpitäjä käyttää palveluidensa toteuttamisen yhteydessä luotettavia palveluntarjoajia, jotka käsittelevät henkilötietoja rekisterinpitäjän puolesta rekisterinpitäjän ja palveluntarjoajien välisen, sovellettavan tietosuojalainsäädännön edellyttämän tietojenkäsittelysopimuksen nojalla. Palveluntarjoajat käsittelevät rekisterinpitäjän vastuulla olevia henkilötietoja rekisterinpitäjän dokumentoitujen ohjeiden mukaisesti. Olemme vastuussa palveluntarjoajien meidän puolesta suorittamasta henkilötietojen käsittelystä suhteessa rekisteröityyn kuin omasta toiminnastamme. Henkilötietoja luovutamme seuraaville sidosryhmille:
- Harva-Marketing Oy, markkinointipalvelut
- Cygate Oy, konesalipalvelut
- Google Analytics, verkkopalvelun analysointi
- HubSpot, asiakkuudenhallinta
8. Henkilötietojen säilytysaika
Rekisterinpitäjä käsittelee ja säilyttää tietoja ainoastaan niin kauan kuin on tarpeellista henkilötiedon ennalta määritellyn käyttötarkoituksen kannalta. Tarpeettomiksi muuttuneet henkilötiedot, joita rekisterinpitäjällä ei ole enää perustetta säilyttää eikä käsitellä, poistetaan säännöllisin väliajoin rekisterinpitäjän omien tietosuojakäytäntöjen mukaisesti. Henkilötiedot ovat muuttuneet tarpeettomiksi esimerkiksi silloin, kun suhde asiakas-, liike-, yhteistyö- tai sopimussuhde rekisterinpitäjään on päättynyt.
9. Rekisteröidyn oikeudet
Oikeus peruuttaa suostumus
- EU:n yleisen tietosuoja-asetuksen (679/2016, ”Tietosuoja-asetus”) 7 artiklan nojalla rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun henkilötietojen käsittelyn lainmukaisuuteen.
- Rekisteröidyn oikeus saada pääsy tietoihin
- Tietosuoja-asetuksen 15 artiklan nojalla rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy tietoihin sekä tietyt kyseisessä artiklassa tarkemmin säädetyt tiedot henkilötietojen käsittelyä koskien.
- Oikeus tietojen oikaisemiseen
- Tietosuoja-asetuksen 16 artiklan nojalla rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin, rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.
- Oikeus tietojen poistamiseen
- Tietosuoja-asetuksen 17 artiklan nojalla rekisteröidyllä on oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, ja rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä, edellyttäen että jokin kyseisessä artiklassa säädetyistä perusteista täyttyy.
- Oikeus käsittelyn rajoittamiseen
- Tietosuoja-asetuksen 18 artiklan nojalla rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, edellyttäen että jokin kyseisessä artiklassa säädetyistä perusteista täyttyy.
- Oikeus siirtää tiedot järjestelmästä toiseen
- Tietosuoja-asetuksen 20 artiklan nojalla rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti.
- Kun rekisteröity käyttää edellä kuvattua oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.
- Vastustamisoikeus
Tietosuoja-asetuksen 21 artiklan nojalla rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu rekisterinpitäjän oikeutettuihin etuihin, kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.
Rekisteröity voi käyttää vastustamisoikeuttaan teknisiä ominaisuuksia hyödyntäen tietoyhteiskunnan palvelujen käyttämisen yhteydessä. Oikeus tehdä valitus valvontaviranomaiselle
Mikäli rekisteröity katsoo rekisterinpitäjän rikkovan henkilötietojen käsittelystä ja tietosuojasta annettua, sovellettavaa lainsäädäntöä, rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle. Rekisterinpitäjän velvollisuudet rekisteröityjen oikeuksien johdosta
Rekisterinpitäjän on toimitettava rekisteröidyille tiedot toimenpiteistä, joihin on ryhdytty 15-22 artiklan nojalla tehdyn pyynnön johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.
Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.
10. Henkilötietojen toimittaminen rekisterinpitäjälle
Tämän tietosuojaselosteen kohdassa 5 lueteltujen henkilötietoryhmien toimittaminen rekisterinpitäjälle on tarpeellista rekisterinpitäjän tässä tietosuojaselosteessa kuvattujen henkilötietojen käsittelytoimintojen kannalta. Henkilöllä on edellä kuvatut oikeudet henkilötietojensa käsittelyä koskien. Henkilötietojen toimittaminen rekisterinpitäjälle ei ole lakiin perustuva vaatimus.
11. Henkilötietojen jatkokäsittely
Rekisterinpitäjä ei käsittele henkilötietoja muihin tarkoituksiin kuin niihin, jotka on kuvattu tässä tietosuojaselosteessa. Mikäli rekisterinpitäjä käsittelisi henkilötietoja edelleen muihin tarkoituksiin, rekisterinpitäjän tietosuojalainsäädännön mukaisena velvollisuutena on ilmoittaa rekisteröidyille ennen jatkokäsittelyä tällaisesta tarkoituksesta. Tällöin rekisterinpitäjän on annettava myös kaikki asiaan kuuluvat lisätiedot.
12. Evästeet
Sivuilla käytetään evästeitä. Eväste on pieni, käyttäjän tietokoneelle lähetettävä ja siellä säilytettävä tekstitiedosto, joka mahdollistaa verkkosivujen ylläpitäjän tunnistamaan usein sivuilla vierailevat kävijät, helpottamaan kävijöiden kirjautumista sivuille ja mahdollistamaan yhdistelmätiedon laatimisen kävijöistä.
Evästeiden avulla pystytään parantamaan sivujen sisältöä ja tarjoamaan asiakkaille yksilöityjä sisältöjä. Evästeet eivät vahingoita käyttäjien tietokoneita tai tiedostoja ja ne voivat olla tarpeellisia joidenkin ylläpidettävien sivujen ja tarjottavien palveluiden asianmukaiselle toimimiselle.
Kävijäanalytiikkaan käytetään Google Analytics -järjestelmää. Google Analytics käyttää evästeitä auttaakseen verkkopalvelua analysoimaan, kuinka käyttäjät käyttävät verkkopalvelua. Evästeeseen tallentuvat tiedot siitä, kuinka käytät verkkopalvelua (mukaan luettuna IP-osoite). Evästeen tiedot lähetetään Googlen palvelimille ja tallennetaan niille eli tiedot voivat sijoittua EU-alueen ulkopuolelle.
Google käyttää näitä tietoja sen arvioimiseen, kuinka käyttäjä käyttää verkkosivustoa, verkkosivuston aktiivisuuden raporttien koostamiseen verkkosivuston operaattoreille ja muiden verkkosivuston aktiivisuuteen sekä internetin käyttöön liittyvien palveluiden tarjoamiseen. Google voi myös välittää näitä tietoja kolmansille osapuolille, mikäli laki tätä vaatii tai kolmansille osapuolille, jotka käsittelevät tietoja Googlen puolesta. Google ei yhdistä IP-osoitteita mihinkään muihin Googlen hallinnoimiin tietoihin. Käyttämällä verkkosivustoa käyttäjä hyväksyy, että Google käsittelee häntä koskevia tietoja edellä kuvatulla tavalla ja edellä kuvattuihin tarkoituksiin.
Metataito Klinikan verkkosivusto käyttää Active Campaign -markkinointiautomaatiojärjestelmää. Active Campaign käyttää evästeitä kerätäkseen tietoja siitä, kuinka käyttäjät käyttävät sivustoa. Näillä evästeillä kerättyjä tietoja käytetään raporttien koostamiseen, apuna sivuston parantamisessa ja markkinointimme tukena. HubSpotin tietosuojalauseke on nähtävillä tästä.
13. Tietojen siirto EU:n tai ETA:n ulkopuolelle
ActiveCampaign palvelu siirtää henkilön tiedot EU-alueen ulkopuolelle. Henkilötietojen siirto EU-alueen ulkopuolelle on järjestetty kyseisten paleluntarjoajien kanssa sopivin ja asianmukaisin suojatoimin, jotka vastaavat sovellettavan tietosuojalainsäädännön vaatimuksia (kuten Privacy Shield -järjestely Yhdysvaltoihin siirrettävien henkilötietojen osalta). Katso lisätietoja.
14. Rekisterin suojauksen periaatteet
Manuaalisina säilytettävät tiedot säilytetään lukitussa tilassa. Henkilötiedot kerätään rekisteriin, johon Metataito Klinikka Oy:n rajatuilla ja nimetyillä työntekijöillä ja yhteistyökumppaneilla on henkilökohtaiset tunnukset. Henkilötietoja käsittelevät tahot ovat allekirjoittaneet asianmukaiset salassapitositoumukset tai heitä muutoin koskee salassapitovelvollisuus. Käyttö edellyttää kirjautumista tietojärjestelmään ja käytössä on vahvat salasanat.
Digitaalisessa muodossa käsiteltävät henkilötiedot säilytetään luotettavalla tavalla suojatussa ja suljetussa tietojärjestelmässä, jonka käyttäminen edellyttää tietokantajärjestelmän pääkäyttäjän myöntämää käyttäjätunnusta ja salasanaa. Tiedot on talletettu palvelimelle, joka sijaitsee lukitussa tilassa, jossa liikkumista rajoitetaan kulunvalvonnalla ja valvotaan tallentavalla videovalvonnalla.
Rekisterinpitäjä on antanut työntekijöilleen sitovia kirjallisia ohjeita ja määräyksiä henkilötietojen käsittelyä, tietoturvaa ja tietosuojaa koskien, joita ohjeita ja määräyksiä työntekijät ovat sitoutuneet noudattamaan. Rekisterinpitäjä tarkastaa henkilötietojen käsittelytoimintonsa ja niissä käytettävät järjestelmät ja laitteet säännöllisin väliajoin ja mm. arvioi henkilötietojen käsittelytoimintaan sisältyvät riskit esimerkiksi uutta teknologiaa käyttöönotettaessa.