Dataskyddsbeskrivning
Dataskyddsbeskrivning
Register- och dataskyddsbeskrivning i enlighet med 10 och 24 § i personuppgiftslagen (523/1999) och EU:s allmänna dataskyddsförordning (GDPR).
Utarbetad 19.4.2018
1. Personuppgiftsansvarig
Ähtärin Matkailu Oy
FO-nummer: 0280949-5 Adress: Ostolantie 6 a 63700 Ähtäri
Tfn: 040 5003933
2. Kontaktperson i ärenden som gäller registret
Xxxxx Xxxxxxxx, Försäljningskonsulent Adress: Xxxxxxxxxx 0 a
63700 Ähtäri
Tfn: 040 5003933
e-post: xxxxx.xxxxxxxx@xxxxxx.xx
3. Registrets namn
Kundregister
4. Rättslig grund och syftet med behandlingen av personuppgifter
Enligt EU:s allmänna dataskyddsförordning kan en personuppgiftsansvarigs berättigade intresse utgöra rättslig grund för behandling av personuppgifter.
Ett berättigat intresse uppstår på basis av kundförhållandet mellan den personuppgiftsansvariga och den registrerade personen.
Som kunder betraktas personer som har köpt företagets tjänster eller produkter i egenskap av konsumentkunder, eller för ett företags eller annan sammanslutnings räkning i egenskap av kontaktperson.
Den personuppgiftsansvariga samlar in och behandlar lagligen endast de personuppgifter som behövs för följande ändamål:
a) upprättande, genomförande och underhåll av kund- eller annan avtalsrelation
b) kontakt till kunden
c) produktion, utveckling och marknadsföring av tjänster som den personuppgiftsansvariga tillhandahåller
d) betalning, fakturerings- och inkassoåtgärder, samt kreditkontroll
e) utredning av brott och missbruk
f) statistik, direktmarknadsföring, opinions- och marknadsundersökningar Uppgifterna används inte för automatiserat beslutsfattande eller profilering.
5. Kundregistrets datainnehåll
Innehållet i de data som lagrats i registret kan variera, till exempel beroende på vilka tjänster den Registrerade använder.
Följande uppgifter lagras i registret:
a) kunduppgifter: namn, födelsetid, adress, telefonnummer, faxnummer, e-postadress och andra elektroniska kontaktuppgifter, titel eller yrke, modersmål, kön, nationalitet, samt den registrerades eventuella förbud mot att överlåta uppgifterna till kundtjänst- och
direktmarknadsföringsändamål.
b) uppgifter som möjliggör avgiftsbelagda tjänster, ingång av avtal och kundrelationen: personbeteckning eller födelsetid, kundnummer eller avtalsnummer eller motsvarande identifieringsuppgift, hemkommun, hemland och beskattningsland, FO-nummer,
firmanamn, postadress, faxnummer till sammanslutning som den registrerade representerar, position i sammanslutningen, webbadress, kund- eller
avtalsrelationens startdatum och övriga profileringsuppgifter som den Registrerade uppgett.
c) kundresponsuppgifter (kan också lämnas anonymt)
d) uppgifter för användning av en tjänst: t.ex. användnings-, köp- och annulleringsuppgifter för tjänster
e) bokningsuppgifter, t.ex. tidigare och kommande bokningar, samt uppgifter om den registrerades önskemål och val (t.ex. extrabäddar, rummets tillgänglighet, samt uppgifter om önskade tjänster)
f) uppgifter om betalsätt och betalningsbeteende (inklusive uppgifter om betalningsdröjsmål), samt faktureringsuppgifter
Uppgifterna i registret lagras bara så länge det finns en affärsmässig och laglig grund
därtill. När uppgifterna inte längre är relevanta för det ursprungliga ändamålet raderas eller anonymiseras de.
6. Regelmässiga uppgiftskällor
Uppgifterna som lagras i registret fås av den Registrerade själv på basis av samtycke bl.a. från meddelanden som skickats via webbformulär, via e-post, telefon, via tjänster i sociala medier, avtal, kundmöten och andra situationer där kunden överlåter sina uppgifter på basis av samtycke.
Som uppgiftskälla kan dessutom användas personuppgifter som registrerats i transaktioner som gäller kundens önskade tjänster och inköp.
Personuppgifterna kan också uppdateras, lagras och samlas in från register hos Myndigheten för digitalisering och befolkningsdata, FODS, samt andra personuppgiftsansvariga som erbjuder adress-, uppdaterings- och motsvarande tjänster.
7. Regelmässigt utlämnande av uppgifter
Personuppgifter som lagrats i kundregistret utlämnas till myndigheterna i de syften och den omfattning som föreskrivs i lagen om inkvarterings- och förplägnadsverksamhet (308/2006).
Dessutom kan resenärsuppgifter, i den omfattning som behandlingen av personuppgifter förutsätter, lagras på servrar som administreras av den tjänsteleverantör som den personuppgiftsansvariga anlitar.
8. Överföring av uppgifter utanför EU eller EES
Uppgifter överförs inte utanför EU eller EES.
9. Principer för skydd av kundregistret
Skyddet för personuppgifterna håller en hög nivå med hjälp av tekniska och organisatoriska åtgärder genom uppföljning och kartläggning av nivån på eventuella hot, samt utvecklingen av skyddande teknologier och program.
Skyddsåtgärderna förbättras ständigt och skyddsmetoderna uppdateras regelbundet.
a) Manuellt material
Material som innehåller manuella personuppgifter förvaras i låsta utrymmen, dit varken utomstående personer eller arbetstagare, vars arbetsuppgifter inte omfattar behandling av personuppgifter, har tillträde.
b) Uppgifter som behandlas datatekniskt
Uppgifter i elektronisk form skyddas tekniskt och lagras på ett datasäkert
sätt. Utomstående har inte tillgång till dem, och inte heller arbetstagare, vars arbetsuppgifter inte omfattar behandling av personuppgifter som lagrats i registret.
10. Rätt till insyn och rätt att begära rättelse av uppgifter
Den registrerade har rätt att kontrollera sina egna uppgifter som lagrats i kundregistret och begära rättelse av en eventuell felaktig uppgift, eller komplettering av en bristfällig uppgift.
Begäran om att utöva rätten till insyn ska göras elektroniskt, personligen på plats, eller skriftligen styrkt av egenhändig namnteckning.
Begäran skickas till de kontaktuppgifter som anges i punkt 2 i denna dataskyddsbeskrivning. Den som lämnar in begäran ska vid behov kunna styrka sin identitet.
Den personuppgiftsansvariga svarar personen som lämnat in begäran inom den tid som föreskrivs i EU:s dataskyddsförordning (i regel inom en månad). Rätten till insyn är alltid personlig.
11. Rätt att förbjuda behandling
Den registrerade har rätt att förbjuda den personuppgiftsansvariga att behandla de egna personuppgifterna för direktmarknadsföring, samt opinions- och marknadsundersökningar.
Begäran om att utöva rätten att förbjuda behandling ska göras elektroniskt, personligen på plats, eller skriftligen styrkt av egenhändig namnteckning.
Begäran som gäller rätt att förbjuda behandling skickas till de kontaktuppgifter som anges i punkt 2 i denna dataskyddsbeskrivning. Den som lämnar in begäran ska vid behov kunna styrka sin identitet.
12. Rätt att begränsa behandling
Den registrerade har rätt att begära den personuppgiftsansvariga att begränsa behandlingen om något av följande
gäller:
a) den registrerade bestrider personuppgifternas riktighet, varvid behandlingen begränsas för den tid som den personuppgiftsansvariga behöver för att kontrollera riktigheten
b) behandlingen är lagstridig och den registrerade motsätter sig radering av personuppgifterna och kräver istället begränsning av deras användning
c) den personuppgiftsansvariga behöver inte längre personuppgifterna för ändamålen med behandlingen, men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk
d) den registrerade har gjort invändningar mot behandlingen av personuppgifter av skäl som
hänför sig till hans eller hennes specifika situation. Behandlingen begränsas i avvaktan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl. Medan behandlingen är begränsad får personuppgifterna, vid sidan av att förvaras, behandlas endast med den registrerades samtycke eller för att fastställa, göra gällande eller försvara rättsliga anspråk eller för att skydda en annan fysisk eller juridisk person.
Den personuppgiftsansvariga ska meddela den registrerade innan begränsningen för behandling hävs. Den skriftliga eller elektroniska begäran om att begränsa behandlingen ska lämnas till de kontaktuppgifter som anges i punkt 2 i denna dataskyddsbeskrivning. Begäran kan också göras personligen på plats.
13. Rätt att överföra uppgifter från ett system till ett annat
Den registrerade har rätt att överföra sina egna uppgifter från ett system till ett annat. Rätten tillämpas endast på automatisk behandling av personuppgifter då personuppgifterna berör den registrerade och har lämnats av honom eller henne, behandlingen av personuppgifter grundar sig på samtycke eller avtal och när överföringen av uppgifter inte inverkar skadligt på tredje parts rättigheter och friheter.
Om dessa villkor uppfylls, har den registrerade rätt att ta del av de personuppgifter som han eller hon lämnat till den personuppgiftsansvariga i ett strukturerat, vanligt och maskinläsbart format samt rätt att överföra uppgifterna ifråga till en annan personuppgiftsansvarig.
Den registrerade har också rätt att få sina personuppgifter direkt överförda från den personuppgiftsansvariga till en annan personuppgiftsansvarig om det är tekniskt möjligt.
Den skriftliga eller elektroniska begäran om överföring av uppgifter ska lämnas till de kontaktuppgifter som anges i punkt 2 i denna dataskyddsbeskrivning. Begäran kan också göras personligen på plats. Den som lämnar in begäran ska vid behov kunna styrka sin identitet.
Den personuppgiftsansvariga svarar personen som lämnat in begäran inom den tid som föreskrivs i EU:s dataskyddsförordning (i regel inom en månad).
14. Rätt att glömmas bort
En person som finns i ett register har rätt att begära att uppgifterna om honom eller henne raderas ur registret.
Den skriftliga eller elektroniska begäran om överföring av uppgifter ska lämnas till de kontaktuppgifter som anges i punkt 2 i denna dataskyddsbeskrivning. Begäran kan också göras personligen på plats. Den som lämnar in begäran ska vid behov kunna styrka sin identitet.
Den personuppgiftsansvariga svarar personen som lämnat in begäran inom den tid som föreskrivs i EU:s dataskyddsförordning (i regel inom en månad).