Asiakasrekisterin tietosuojaseloste

TAITOREITTI OY:N (HOTELLI LASARETTI) ASIAKAS- JA MARKKINOINTIREKISTERI

EU:n yleisen tietosuoja-asetuksen mukainen informointiasiakirja TaitoReitti Oy:n asiakas- ja markkinointirekisterissä tapahtuvasta henkilötietojen käsittelystä

1. REKISTERINPITÄJÄ

TaitoReitti Oy, y-tunnus: 1749977-6
Kasarmintie 13, 90130 Oulu
p. 020 757 4700, lasaretti@lasaretti.com

2. YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA

Katja Holm
Toimitusjohtaja
katja.holm@lasaretti.com
Puhelin +358 44 407 7314

3. REKISTERIN NIMI

TaitoReitti Oy:n asiakas- ja markkinointirekisteri

4. HENKILÖTIETOJEN KÄSITTELYN OIKEUSPERUSTE

– Asiakas- ja markkinointirekisterissä olevien henkilötietojen käsittely perustuu kuluttaja-asiakkaiden ja yritysasiakkaiden asiakkuussuhteeseen Hotelli Lasarettiin (oikeutettu etu)

– Rekisterinpitäjä käsittelee asiakastietoja myös rekisterinpitäjän ja rekisteröidyn väliseen sopimukseen perustuen. Tällä perusteella käsitellään henkilötietoja, joita asiakkaalta otetaan esim. kokous-, pöytä- tai huonevarausta tehtäessä tai huone- ja ravintolalaskutusta varten.

5. HENKILÖTIETOJEN KÄSITTELYN TARKOITUKSET

Asiakas- ja markkinointirekisterissä olevien asiakastietojen käyttötarkoituksia ovat:

– asiakassuhteen hoito ja kehittäminen
– asiakassuhdeviestintä
– asiakkaan tekemien varausten käsittely
– palveluiden myynti ja toteutus
– maksamiseen, laskutukseen sekä maksujen valvontaan ja perintään liittyvä henkilötietojen käsittely
– rekisterinpitäjän palvelujen markkinointi
– rekisterinpitäjän liiketoiminnan ja asiakaspalvelun kehittäminen

asiakkaan mahdollisia erityisruokavaliotietoja käytetään vain ruoan valmistukseen ja tarjoiluun.

6. KÄSITELTÄVÄT HENKILÖTIEDOT

Rekisterinpitäjä käsittelee asiakkaista seuraavia henkilötietoja:

– etu- ja sukunimi, syntymäaika, puhelinnumero, osoite, sähköpostiosoite
– kansalaisuus
– varauksia koskevat tiedot
– asiakkaan maksutapatiedot, laskutustiedot, mahdolliset maksuviivetiedot
– tieto siitä, jos asiakas on kieltänyt/antanut suostumuksensa suoramarkkinointiin
– tiedot palvelujen käytöstä ja ostoista
– asiakkaan valintoja ja toiveita koskevat tiedot (kuten huonetta koskevat erityistoiveet, esteettömyysasiat)
– mahdolliset asiakaspalaute- ja reklamointitiedot
– mahdoliset erityisruokavaliotiedot

Rekisterinpitäjä käsittelee yritysasiakkaista seuraavia henkilötietoja:

– yritysasiakkaan yhteyshenkilön nimi, osoite, sähköpostiosoite, puhelinnumero
– yrityksen yhteyshenkilön ilmoittamat lainsäädännön mukaiset suoramainonnan ja muun
– suoramarkkinoinnin kieltotiedot
– mahdolliset asiakaspalaute- ja reklamointitiedot

7. MISTÄ HENKILÖTIEDOT SAADAAN

– Tiedot saadaan rekisteröidyltä itseltään asioinnin yhteydessä mm. puhelimitse, sähköpostilla sekä asiakastapahtumissa/messuilla.
– Sivustolla olevat web-lomakkeet ja GoogleAnalytics
– Henkilötietoja kerätään rekisteröidyltä itseltään rekisterinpitäjän omassa toiminnassa asiakasasioinnin yhteydessä muun muassa puhelimitse, verkkopalvelussa sekä asiakastapahtumissa.
– Lisäksi liiketoimintaan liittyen esimerkiksi uusien asiakkaiden hankintaan liittyen, voimme käyttää esimerkiksi mediasta poimittuja nimiä, joihin voimme ottaa yhteyttä liiketoimintamielessä.
– Järjestöjen rekistereistä, joihin henkilö on jättänyt markkinointia varten suostumuksensa
– Varauspalvelut (booking.com, hotels.com)

8. HENKILÖTIETOJEN VASTAANOTTAJAT TAI VASTAANOTTAJIEN RYHMÄT

Käytämme kolmansien osapuolten palveluja sellaisten tietojen käsittelemiseen ja säilyttämiseen, mitkä saattavat sisältää henkilötietoja. Kolmannet osapuolet kuitenkin toimivat puhtaasti henkilötietojen käsittelijöinä, joilla on oikeus käsitellä tällaisia tietoja ainoastaan sovittujen palveluiden edellyttämässä laajuudessa, ja Hotelli Lasaretti pysyy tällaisten tietojen ainoana rekisterinpitäjänä. Luovutamme rajoitetusti henkilötietoja muille osapuolille.

– Markkinoinnin osalta käytämme ulkopuolisen palveluntuottajan palveluita, jonka kanssa on erillinen sopimus.
– Alihankintana ostettava ohjelmapalvelu/tapahtumanjärjestäjä saa asiakkaan kanssa sovittavat henkilötiedot palvelunsa toteuttamiseksi.
– Yhtiön omistaja Hengitysliitto ry tuottaa tietojärjestelmiin, henkilöstöhallintaan ja taloushallintoon liittyvät palvelut järjestelmineen.
– Tietoja voidaan luovuttaa viranomaisille voimassaolevan lainsäädännön mukaisissa rajoissa tai määräysten niin vaatiessa esimerkiksi väärinkäytösten selvittämiseksi.

9. TIETOJEN SIIRTO EU:N ULKOPUOLELLE

Tietoja ei siirretä säännönmukaisesti EU:n ulkopuolelle.

10. HENKILÖTIETOJEN SÄILYTYSAIKA

Asiakasrekisterissä olevia asiakkaan henkilötietoja käsitellään asiakkuussuhteen ajan. Rekisterinpitäjä katsoo asiakkuuden päättyneeksi, jos asiakas ei ole käyttänyt rekisterinpitäjänä olevan yrityksen palveluita 10 vuoteen. Aika lasketaan sen kalenterivuoden päättymisestä, jolloin asiakas on viimeksi käyttänyt yrityksen palveluita. Tiedot poistetaan asiakkuuden päätyttyä 6 kk kuluessa, ellei tietojen säilyttämiseen ole muuta perustetta.

Asiakkuuden päättymisen jälkeen tietoja voidaan kuitenkin käsitellä, jos se on tarpeen reklamaatioasioiden käsittelyä varten. Asiakasrekisterissä olevien tietojen säilytysajassa noudatetaan lain edellyttämiä säilytysaikoja kuten kirjanpitolakia. Kirjanpitolain vaatimia tietoja säilytetään niin kauan kuin kirjanpitolaki edellyttää.

Yritysasiakkaiden yhteyshenkilötiedot poistetaan vastaavalla tavallasen jälkeen kun asiakkuus katsotaan päättyneeksi. Tietoja voidaan tämän jälkeen kuitenkin säilyttää, jos siihen on olemassa muu peruste.

Kun tietoja käsitellään rekisterinpitäjän ja rekisteröidyn välisen sopimuksen nojalla, tietoja säilytetään niin kauan kuin tietoja tarvitaan sopimuksen täytäntöön panemiseen. Sopimuksen tultua suoritetuksi tietoja säilytetään niin kauan kuin asiakkuussuhde on olemassa tai käsittelyyn on olemassa muu peruste (esim. reklamaatiotapaukset tai kirjanpitolaki).

Asiakkuussuhteen aikana käsitellään vain sellaisia tietoja, jotka ovat tarpeellisia määriteltyjen käyttötarkoitusten kannalta. Rekisterinpitäjä suorittaa säännöllisesti määräaikaistarkastuksia tarpeettomien tietojen poistamiseksi.

Kun asiakkuussuhde päättyy, asiakkaiden tiedot voidaan siirtää yrityksen suoramarkkinointirekisteriin sellaisten henkilöiden kohdalla, jotka eivät ole kieltäneet tietojensa käyttöä suoramarkkinointiin.

11. REKISTERÖIDYN OIKEUKSISTA

Asiakasrekisterissä olevia henkilötietoja käsitellään rekisterinpitäjän oikeutetun edun nojalla (tietosuoja-asetus artikla 6 artikla 1 kohta e alakohta). Tässä tapauksessa oikeutetun edun muodostaa asiakkuussuhde. Henkilötietoja käsitellään myös rekisterinpitäjän ja rekisteröidyn välisen sopimuksen perusteella (tietosuoja-asetus artikla 6 artikla 1 kohta b alakohta). Tätä käsittelyperustetta on selostettu tarkemmin tietosuojaselosteen kohdassa 4.

Kun tietoja käsitellään oikeutetun edun ja sopimuksen nojalla, rekisteröidyllä on seuraavat oikeudet:

Rekisteröidyn oikeus päästä omiin tietoihinsa

Rekisteröidyllä on oikeus pyytää pääsyä itseään koskeviin tietoihin (=tarkastusoikeus) sen selvittämiseksi, käsitelläänkö häntä koskevia tietoja jäsenrekisterissä  tai että niitä ei käsitellä.

Rekisteröidyllä on pääsääntöisesti oikeus saada tietää, mitä häntä koskevia tietoja asiakasrekisteriin on tallennettu. Rekisterinpitäjä voi pyytää rekisteröityä täsmentämään riittävällä tavalla, mitä tietoja tai käsittelytoimia rekisteröidyn pyyntö koskee.

Rekisteröidyn oikeutta saada tiedot voidaan tietosuoja-asetuksen nojalla rajoittaa tai siitä kieltäytyä, jos tietojen antaminen vaikuttaisi haitallisesti muiden oikeuksiin ja vapauksiin. Tällaisia suojattavia oikeuksia ovat mm. rekisterinpitäjän liikesalaisuudet tai toisen henkilön henkilötiedot. Rekisteröidyn oikeutta saatetaan rajoittaa myös kansallisessa lainsäädännössä (kuten tietosuojalaissa).

Oikeus tietojen oikaisemiseen

Rekisteröidyllä on sen nojalla oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivästystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot.

Oikeus tietojen poistamiseen

Rekisterinpitäjän on rekisteröidyn pyynnöstä poistettava rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, jos jokin seuraavista edellytyksistä täyttyy:

– henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin
– rekisteröity vastustaa henkilötietojen käsittelyä eikä käsittelyyn ole olemassa perusteltua syytä
– rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten (käsittely on tässä tapauksessa mahdollista kuitenkin muihin tarkoItuksiin)
– henkilötietoja on käsitelty lainvastaisesti.

Vaikka jokin edellytyksistä täyttyisi, ei tietoja tarvitse poistaa jos käsittely on tarpeen esimerkiksi rekisterinpitäjään sovellettavan EU-oikeuteen tai kansalliseen lainsäädäntöön perustuvan käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Oikeus vastustaa tietojensa käsittelyä

Rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella, kun tietoja käsitellään oikeutetun edun perusteella.

Rekisteröidyllä ei ole oikeutta vastustaa henkilötietojen käsittelyä, kun käsittely perustuu rekisterinpitäjän ja rekisteröidyn väliseen sopimukseen.

Jos rekisteröity on vastustanut tietojensa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella, rekisteröidyn tulee yksilöidä erityinen tilanne, johon perustuen hän vastustaa oikeutetun edun perusteella tapahtuvaa käsittelyä. Rekisterinpitäjä voi jatkaa tietojen käsittelyä vastustuksesta huolimatta, jos käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käyttöä suoramarkkinoinnissa. Jos rekisteröity vastustaa henkilötietojen käyttöä suoramarkkinoinnissa, tietoja ei saa enää käsitellä tähän tarkoitukseen.

Oikeus pyytää käsittelyn rajoittamista

Rekisterinpitäjän on rekisteröidyn pyynnöstä rajoitettava henkilötietojen aktiivista käsittelyä seuraavissa tilanteissa:

– rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä on rajoitettava siksi aikaa, kunnes rekisterinpitäjä voi varmistaa tietojen paikkansapitävyyden
– käsittely on lainvastaista ja rekisteröity vaatii henkilötietojen poistamisen sijaan tietojen käsittelyn rajoittamista
– rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsitttelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudelliseen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai
– rekisteröity on vastustanut henkilötietojen käsittelyä (vastustusoikeudesta yllä) ja sen arviointi, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet, on kesken.

Käsittelyn rajoituksen kestäessä tietoja saa lähtökohtaisesti vain säilyttää. Tietoja saa käsitellä myös oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi taikka toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää yleistä etua koskevista syistä. Ennen kuin käsittelyn rajoitus poistetaan, siitä on ilmoitettava rekisteröidylle.

Oikeus siirtää tiedot järjestelmästä toiseen

Siltä osin kuin rekisteröity on itse toimittanut asiakasrekisteriin henkilötietoja, joita käsitellään automaattisen tietojenkäsittelyn avulla sekä rekisterinpitäjän ja rekisteröidyn välisen sopimuksen nojalla, rekisteröidyllä on oikeus saada tällaiset tiedot itselleen pääsääntöisesti koneluettavassa muodossa sekä siirrettyä henkilötiedot suoran rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.

12. OIKEUS TEHDÄ VALITUS VALVONTAVIRANOMAISELLE

Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle, jos rekisteröity katsoo, että rekisterinpitäjä ei ole noudattanut toiminnassaan soveltuvaa tietosuojasääntelyä.

13. REKISTERÖIDYN OIKEUKSIEN KÄYTTÄMISEEN LIITTYVÄT PYYNNÖT

Henkilötietojen käsittelyyn liittyvissä kysymyksissä ja omien oikeuksien käyttämiseen liittyvissä tilanteissa rekisteröity voi olla yhteydessä kohdassa 2 mainittuun rekisterinpitäjän yhteyshenkilöön.

Tarkastusoikeutta koskeva pyyntö tai muu rekisteröidyn oikeuksien toteuttamista koskeva pyyntö rekisterinpitäjälle tulee tehdä kirjallisesti joko sähköpostilla tai postitse. Pyynnön voi myös esittää henkilökohtaisesti rekisterinpitäjän toimipaikassa.

Rekisterinpitäjä voi pyytää rekisteröityä täsmentämään riittävällä tavalla, mitä tietoja tai käsittelytoimia rekisteröidyn pyyntö koskee.

Sen varmistamiseksi, että henkilötietoja ei rekisteröidyn oikeuksien käyttöön liittyen luovuteta muulle kuin rekisteröidylle itselleen, rekisterinpitäjä voi tarvittaessa pyytää rekisteröityä toimittamaan tarkastuspyynnön allekirjoitettuna. Rekisterinpitäjä voi myös pyytää pyynnön tekijää todistamaan henkilöllisyytensä virallisella henkilöllisyystodistuksella tai muulla luotettavalla tavalla.

14. AUTOMAATTINEN PÄÄTÖKSENTEKO JA PROFILOINTI

Rekisterinpitäjä ei tee automaattiseen päätöksentekoon perustuvia päätöksiä eikä profilointia käsittelemiensä henkilötietojen perusteella.