Tietosuojakäytäntö

Rekisteriseloste

 

Me otamme tietosuoja-asiat vakavasti. Pidämme hirmuhyvää huolta kaikesta tiedosta, mitä asiakkaistamme keräämme tai saamme. Mahdollistamme myös asiakkaille pääsyn omiin tietoihinsa sekä tulla unohdetuksi.

Skärishopin verkkokaupan asiakkaan on hyväksyttävä tässä tietosuojaselosteessa kuvatut tiedonkeruun sekä -käsittelyn keinot. Tämä hyväksyminen varmistetaan ja kirjataan järjestelmiimme tilauksen yhteydessä (sopimus), asiakastilin luonnin/käytön yhteydessä (suostumus) tai muun vastaavaa tiedonkeruuta vaativan toimenpiteen yhteydessä.

Me siis tallennamme ja säilytämme kolmenlaista tietoa: verkkopalveluiden käytöstä havaittavaa, käyttäjien itsensä antamaa sekä analytiikan avulla johdettavaa tietoa.

 

Päivitetty viimeksi 10.11.2021.

Tosi lyhyt versio

Emme käytä luovuttamiasi henkilötietoja väärin, emmekä spämmää.

 

Pitkä versio

SKÄRISHOP.FI ASIAKASREKISTERIN TIETOSUOJASELOSTE

 

1 Rekisterinpitäjä

Rekisterinpitäjä Ab Sextant Oy (Skärishop)

Y-tunnus 3242998-7

Rekisteriasioiden yhteyshenkilö on: Andreas Andersson

Ab Sextant Oy (myöhemmin Skärishop)

Osoite: Kuistikatu 6 B, 20780 Kaarina

Puhelin: 040 76 43 580

Sähköposti: pulloposti@skarishop.fi


2 Rekisterin nimi

Rekisterin nimi on Skärishopin asiakasrekisteri.


3 Henkilötietojen käsittelyn tarkoitus

Käytännössä tietojen lähde on verkkosivujen käyttäjä/asiakas itse. Henkilötietoja käsitellään tarkoituksissa, jotka liittyvät asiakassuhteen hoitamiseen, hallinnointiin ja kehittämiseen, palvelujen tarjoamiseen ja toimittamiseen sekä palvelujen kehittämiseen ja laskutukseen liittyen. Henkilötietoja käsitellään myös mahdollisten reklamaatioiden ja muiden vaatimusten selvittämisen edellyttämissä tarkoituksissa.

Lisäksi henkilötietoja käsitellään asiakkaille suunnatussa viestinnässä, kuten tiedotus- ja uutisointitarkoituksissa sekä markkinoinnissa, jonka osana henkilötietoja käsitellään myös suoramarkkinointiin ja sähköiseen suoramarkkinointiin liittyvissä tarkoituksissa.

Asiakkaalla on oikeus kieltää hänelle kohdistettu suoramarkkinointi. Rekisterinpitäjä käsittelee tietoja itse sekä hyödyntää henkilötietojen käsittelyssä rekisterinpitäjän puolesta ja lukuun toimivia alihankkijoita.


4 Käsittelyn oikeusperusteet

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös ”GDPR”) mukaiset perusteet:

  1. rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.a);
  2. käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR 6 art. 1.b);
  3. käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (GDPR 6 art. 1.f).

Edellä mainittu rekisterinpitäjän oikeutettu etu perustuu rekisteröidyn henkilön ja rekisterinpitäjän välillä olevaan merkitykselliseen ja asianmukaiseen suhteeseen, joka on seurausta siitä, että rekisteröity on rekisterinpitäjän asiakas, ja kun käsittely tapahtuu tarkoituksiin, joita rekisteröity on kohtuudella voinut odottaa henkilötietojen keräämisen ajankohtana ja asianmukaisen suhteen yhteydessä.


5 Rekisterin tietosisältö (käsiteltävät henkilötietoryhmät)

Mitä tietoja Skärishop kerää ja säilyttää?

  1. Käyttäjän itsensä antamat tiedot
    • Tunnistautumistiedot, kuten nimi
    • Yhteystiedot, kuten puhelinnumero, sähköpostiosoite ja postiosoite
    • Maksutiedot, kuten laskutustiedot sekä maksuvälinetiedot
    • Sijaintitiedot palvelun lokalisointia varten (valuutat, toimitustavat)
    • Tuotearvostelut
    • Suoramarkkinointiluvat ja -kiellot.
    • Toivelistan tuotteet
  2. Palveluiden käytöstä havaitut tiedot
    • Toimitustiedot, kuten toimitusosoite ja valittu maksutapa
    • Ostoshistoria, kuten tilatut tuotteet, palautukset ja maksut
    • Verkkokaupan selaus- ja käyttötiedot
    • Päätelaitteen tunnistetiedot
    • Verkkokauppasessiotapahtumat, kuten ostoskorilisäykset
  3. Analytiikalla päätellyt tiedot
    • Selaus- ja ostotiedoista pääteltävät tuotesuositukset
    • Ostotiedoista päätellyt asiakasryhmittelyt ja kiinnostuksen kohteet
    • Ostotiedoista päätellyt kokotiedot kokosuositusten antamista varten


6 Säännönmukaiset tietolähteet ja evästeet

Henkilötietoja kerätään rekisteröidyltä henkilöltä itseltään.

Henkilötietoja kerätään ja päivitetään myös sovellettavan lainsäädännön rajoissa yleisesti saatavilla olevista lähteistä, jotka liittyvät rekisterinpitäjän ja rekisteröidyn henkilön välisen asiakassuhteen toteuttamiseen ja joiden avulla rekisterinpitäjä toteuttaa asiakassuhteiden ylläpitämiseen liittyviä velvollisuuksiaan.

Skärishopin sivusto käyttää evästeitä. Sivustomme lähettää käyttämällesi selaimelle evästeen, joka on pieni tekstitiedosto, joka tallentuu tietokoneen kovalevylle. Käytössä on sekä väliaikaisia istuntokohtaisia evästeitä, jotka selain poistaa, kun suljet käyttämäsi internetselaimen, että pysyviä evästeitä, jotka tallentuvat tietokoneen kovalevylle. Evästeiden avulla voimme tunnistaa selaimesi ja käyttää näin saamaamme tietoa esimerkiksi sivustollamme vierailevien kävijöiden laskemiseen sekä sivustomme käytön analysointiin, kuten tilastolliseen seurantaan sekä lisäksi palveluidemme ja tuotteidemme tarjoamiseen sinulle sen perusteella, mitä olet aiemmin sivustollamme selannut. Evästeet antavat meille mahdollisuuden tarkastella ja seurata käyttäjiemme mielenkiinnon kohteita ja kehittää siten verkkosivujamme, kuten hakutoimintoja, asioiden esittämisjärjestyksiä, tietojen löydettävyyttä jne.

 

Käyttämäsi internetselain hyväksyy todennäköisesti evästeet automaattisesti, mutta halutessasi voit muokata selaimesi asetuksia ja milloin tahansa poistaa evästeet käytöstä. Voit halutessasi välttää evästeet muokkaamalla käyttämäsi selaimen asetuksia ja kieltämällä niiden käytön. Huomaathan, että evästeiden käytön kieltäminen saattaa kuitenkin vaikuttaa palveluidemme toimintaan ja estää joidenkin toimintojen käyttämisen.

Mainontaevästeet auttavat meitä valitsemaan sinulle parhaiten sopivat ja mielenkiintoisimmat mainokset, tuotteet ja esimerkiksi hakutulokset. Evästeiden tarkoitus on myös estää samojen mainoksien toistuva näyttäminen. Jotkin kolmannen osapuolen palvelut saattavat myös käyttää evästeitä tai verkkojäljitteitä (1 pikselin kuvatiedosto), jotta näet mieleisiäsi mainoksia, kun vierailet eri sivustoilla. Evästeiden ja verkkojäljitteiden avulla kerätyt tiedot eivät kerro meille tai kolmansille osapuolille mitään henkilökohtaisia tietoja, kuten nimeäsi tai yhteystietojasi.

Sivustolla saatetaan lisäksi käyttää tekniikkaa, jolla mitataan mainosten tehoa. Tätä varten verkkosivustollemme on sijoitettu jäljite, joka on yhden pikselin kokoinen, jonka avulla verkkosivustollamme kerätään nimettömiä tietoja. Saatuaan nimetöntä tietoa käyttäjän käynneistä Skärishopin verkkosivustolla ja muilla verkkosivuilla mainostajat voivat suunnitella mainoksia tuotteista ja palveluista, jotka mahdollisesti kiinnostavat käyttäjää.

Skärishopin sivustolla on käytössä lisäksi Google Adwords -eväste, jolla kohdennetaan markkinointia käyttäjäluettelon avulla Googlen mainosverkostoissa. Käyttäjä ei ole tunnistettavissa evästeeseen liitettävien tietojen perusteella. Voit halutessasi estää käyttäjäluetteloihin perustuvan Google Adwords-markkinoinnin osoitteessa www.google.com/settings/ads.

Lisätietoja selainkäyttöön perustuvasta mainonnan kohdentamisesta saa Your Online Choices –sivustolta


7 Henkilötietojen säilytysaika

Rekisteriin kerättyjä tietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty.

Säilytämme tietoja tarvittavan ajan, jotta pystymme toteuttamaan tässä selosteessa mainitut käyttötarkoitukset. Epäaktiiviseksi toteamamme asiakastilin henkilötiedot poistamme viimeistään viiden vuoden kuluttua aktiivisuuden päättymisestä. Joitain tietoja saatetaan säilyttää kauemmin, mikäli laki meitä siihen edellyttää. Esimerkiksi kirjanpitotositteita säilytetään kuusi vuotta tilikauden päättymisestä.

Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti sisäisten käytännesääntöjensä mukaisesti. Lisäksi rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat, virheelliset tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä.


8 Henkilötietojen vastaanottajat (vastaanottajaryhmät) sekä tietojen säännönmukaiset luovutukset

Joissakin tapauksissa meillä on tarve siirtää tietoa kolmansille osapuolille, esim. säilytystä, analytiikkaa tai markkinointia varten. Käytämme näihin tarkoituksiin vain luotettuja yhteistyökumppaneita, joiden kanssa olemme tehneet kattavat tietosuoja- ja tiedonkäsittelysopimukset. Sopimuksissa on AINA otettu huomioon lainsäädännön sekä EU:n tietosuoja-asetuksen asettamat vaatimukset.

Kullekin taholle lähetetään vain palvelun toteutumisen kannalta välttämättömin tieto eikä näillä palveluntarjoajilla ole oikeutta käyttää tietojasi muuhun kuin palvelun toteuttamiseen. Kaikki tiedonsiirto tapahtuu salattujen yhteyksien kautta.

Olemme varmistaneet, että kaikki palveluntarjoajamme noudattavat tietosuojalainsäädäntöä. Käytämme säännönmukaisesti seuraavia palveluntarjoajia:

  • Posti
  • Matkahuolto
  • Paytrail, kerää maksutapahtuman yhteydessä IP-osoitteen, maksutavan sekä maksuajankohdan (lisätietoja).
  • Meta (hallinnoi Facebook mainosasetuksiasi)
  • Unifaun
  • MailChimp
  • Google (mm. Adwords, Analytics)
     

9 Tietojen siirto EU:n tai ETA:n ulkopuolelle

Teemme verkkomarkkinointia ja -mainontaan mm. Googlen ja Metan palveluiden avulla. Nämä yhtiöt eivät kuitenkaan koskaan saa meiltä henkilötietojasi eikä kyse ole suoramarkkinoinnista. Henkilötiedot ovat siis kuitenkin suojattuna henkilötietolain edellyttämällä tavalla.Verkkomarkkinointi perustuu selaimesi keräämiin evästeisiin, joista on kerrottu tarkemmin kohdassa Evästeet. 

Google ja Meta ovat yhdysvaltalaisia yhtiöitä, jolloin henkilötietoja siirtyy Euroopan unionin ulkopuolelle. Jokainen näistä yrityksistä kuuluu USA:n ja EU:n välisen Privacy Shield -kehyksen sertifioitujen yritysten listalle ja ne noudattavat omalta osaltaan EU:n tietosuoja-asetusta.
 

10 Rekisterin suojauksen periaatteet

Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.

Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.  Palvelin on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella.

Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat rekisteröityvät rekisterinpitäjän IT-järjestelmän lokitietoihin.

Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

11 Rekisteröidyn oikeudet

Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:

  1. oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: (i) käsittelyn tarkoitukset; (ii) kyseessä olevat henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot (GDPR 15 art.). Nämä kuvatut perustiedot (i)–(vii) annetaan rekisteröidylle henkilölle tällä lomakkeella;
  2. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen (GDPR 7 art.);
  3. oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin (GDPR 16 art.);
  4. oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten; (iv) henkilötietoja on käsitelty lainvastaisesti; tai (v) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.);
  5. oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.);
  6. oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti (GDPR 20 art.);
  7. oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (GDPR 77 art.).

 

Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan kohdassa 1 mainitulle rekisterinpitäjän yhteyshenkilölle.