Nikolai Sourcing Oy:s kundregister
Publiceringsdatum: 21.10.2022
1. Allmänt
I denna dataskyddsbeskrivning beskriver vi vilka personuppgifter Nikolai Sourcing Oy (”bolaget”) samlar in, hur de behandlas och för vilka ändamål de används samt de instanser som uppgifterna kan lämnas till. Dataskyddsbeskrivningen ger även information om skyldigheterna som bolaget följer vid behandling av personuppgifter.
I behandlingen av personuppgifter fäster bolaget särskild uppmärksamhet vid dataskyddet och följer dataskyddslagen (1050/2018), EU:s allmänna dataskyddsförordning (2016/679) (”dataskyddsförordningen”) samt övrig tillämplig dataskyddslagstiftning och god databehandlingssed.
Denna dataskyddsbeskrivning tillämpas vid behandling av personuppgifter som rör bolagets kunder och deras kontaktpersoner.
Med personuppgifter avses uppgifter som rör en fysisk person (”registrerad”) och som kan användas till att direkt eller indirekt identifiera denna person enligt vad som anges i dataskyddsförordningen. Uppgifter som inte kan användas till att direkt eller indirekt identifiera den registrerade utgör inte personuppgifter.
2. Registeransvarig och kontaktperson
Registeransvarig: Nikolai Sourcing Oy
Adress: Henry Fords gata 5K, 150 Helsingfors
Kontaktperson: Rauli Ratasvuori
E-post: rauli.ratasvuori@nikolaisourcing.com
3. Syftena med behandlingen av personuppgifter samt deras rättsliga grund
Personuppgifterna behandlas bl.a. i följande syften:
Den rättsliga grunden för behandling av personuppgifter är avtalsförhållandet mellan bolaget och kunden. Detta förhållande grundar sig på beställning och genomförande av tjänster. Behandlingen av personuppgifter grundar sig även på lagstadgade skyldigheter, till exempel bokföringsskyldigheter. Behandling för marknadsföringsändamål eller för utveckling av tjänster och övrig affärsverksamhet grundar sig på bolagets berättigade intresse.
Elektronisk direktmarknadsföring och prenumeration på bolagets nyhetsbrev grundar sig på samtycke från den registrerade eller på bolagets berättigade intresse. Den registrerade har rätt att när som helst återta ett givet samtycke (se den registrerades rättigheter nedan).
4. Kategorier av personuppgifter som behandlas, datainnehåll och datakällor
Bolaget samlar bara in sådana personuppgifter gällande de registrerade som är väsentliga och nödvändiga för de ändamål som beskrivs i denna dataskyddsbeskrivning. Vi behandlar följande personuppgifter gällande de registrerade:
| Kategori av personuppgift | Exempel på datainnehåll |
| Identifierings- och kontaktuppgifter | Den registrerades namn, titel/position, adress, telefonnummer, e-postadress, namn och FO-nummer för företag |
| Uppgifter om kundrelationen | Kontonummer, fakturerings- och betalningsuppgifter och övriga uppgifter som identifierar kundrelationen |
| Uppgifter om kundtransaktioner och avtalsuppgifter | Uppgifter om avtal mellan bolaget och den registrerade eller bolaget och kunden, köpeavtal, kundfeedback samt kontakter mellan den registrerade och bolaget, reklamationer och övriga uppgifter om kundärenden samt uppgifter som behövs för att genomföra kundavtalet, till exempel kopior av pass som behövs för resetjänster |
| Den registrerades samtycken | Uppgifter om kundens samtycke eller återtagande av samtycke i fråga om elektronisk direktmarknadsföring samt uppgifter om förbud som den registrerade har angett |
| Uppgifter om beteende och tekniska identifieringsuppgifter | Uppföljning av den registrerades beteende på webbplatsen, uppföljningen sker med hjälp av tekniska identifieringsuppgifter. Uppgifter som samlas in kan till exempel vara användarens IP-adress, sidor som besöks, webbläsarens typ, webbadress, tidpunkt för sessionen samt dess längd. |
Det är nödvändigt att ge uppgifterna som anges i punkt A–C för att sköta skyldigheterna som grundar sig på avtalet mellan bolaget och kunden samt på lagstiftningen, samt för att producera bolagets tjänster. Bolaget använder externa tjänster för att följa besökare på webbplatsen. Dessa externa tjänster samlar in uppgifter som nämns vid punkt R. Som utgångspunkt går det inte att använda uppgifterna till att identifiera enskilda besökare på webbplatsen. Bolaget använder uppgifterna till att utveckla sina tjänster och sin affärsverksamhet.
Huvudsakligen samlas personuppgifterna in från den registrerade, till exempel i samband med marknadsförings- och säljåtgärder, vid ingående av kundavtal eller medan kundrelationen varar. Den registrerade har även kunnat ge bolaget uppgifter till exempel genom att prenumerera på det elektroniska nyhetsbrevet, i tjänster i sociala medier eller på bolagets webbplats.
Bolaget kan använda externa tjänsteleverantörer för marknadsföring. Dessa tjänsteleverantörer behandlar de registrerades kontaktuppgifter för marknadsföringen (t.ex. nyhetsbrevstjänster).
Personuppgifter kan även samlas in från företag som den registrerade agerar för. I situationer där lagen så tillåter kan uppgifter dessutom samlas in och uppdateras från register som upprätthålls av tredje part.
Bolagets underleverantörer och samarbetspartner tillhandahåller de registrerades personuppgifter till bolaget, i situationer då lagstiftning eller avtalsmässiga skyldigheter så kräver.
(F) Lagring av personuppgifter
Bolaget lagrar personuppgifterna så länge det behövs för att genomföra de syften som anges i dataskyddsbeskrivningen, förutom om lagstiftningen kräver att personuppgifterna lagras under längre tid (till exempel ansvar och skyldigheter i fråga om speciallagstiftning, bokföringsskyldigheter eller rapporteringsskyldigheter), eller förutom om bolaget behöver uppgifterna för att upprätta, lägga fram eller försvara sig mot rättsliga krav eller för att försöka lösa en motsvarande tvist.
Perioden och kriterierna för lagring av uppgifter varierar efter personuppgiftskategori, enligt användningsändamålet för en viss personuppgiftskategori.
Personuppgifterna behandlas under den tid som kund- och avtalsrelationen är i kraft och under den tid som är nödvändig efter att dessa relationer har avslutats.
Vad beträffar företag är lagringen av personuppgifter för företagets kontaktperson anknuten till hur länge denna registrerade fungerar som representant för företaget, gentemot bolaget.
När personuppgifterna inte längre behövs på det sätt som anges ovan, tas de bort inom rimlig tid.
(G) Instanser som behandlar personuppgifter och mottagare av personuppgifter
I enlighet med denna dataskyddsbeskrivning kan bolaget utkontraktera behandlingen av personuppgifter till tjänsteleverantörer eller underleverantörer. Bolaget använder tillräckliga avtalsskyldigheter till att säkerställa att personuppgifterna behandlas på vederbörligt sätt.
Personuppgifterna kan överlåtas åt myndigheterna under förhållanden där lagstiftningen så kräver eller berättigar.
Bolaget överlåter inte de registrerades personuppgifter för direktmarknadsföringsändamål.
Om bolaget är en del av en fusion, företagsaffär eller annat företagsförvärv, kan det behöva överlåta de registrerades personuppgifter till tredje parter.
Överlåtelse av uppgifter till tredje part sker i huvudsak via elektroniska dataförbindelser, men uppgifterna kan även överlåtas på annat sätt, till exempel på telefon eller med brev.
(H) Överföring av personuppgifter utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet
Som utgångspunkt överförs inte uppgifterna utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet.
Bolaget säkerställer en tillräcklig skyddsnivå för personuppgifter om dessa överförs utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. Detta görs bland annat genom att på det sätt som krävs i dataskyddslagstiftningen avtala om frågor som rör behandling av personuppgifter, till exempel genom att använda de modellavtalsklausuler som Europeiska kommissionen har godkänt.
(I) Principer för skydd av personuppgifter och behandlingens säkerhet
Bolaget behandlar personuppgifter på ett sätt som i alla situationer strävar till att säkerställa vederbörlig säkerhet och vederbörligt dataskydd för personuppgifterna, inklusive skydd mot obehörig behandling och mot att uppgifterna av misstag försvinner, förstörs eller skadas.
Vederbörliga tekniska och organisatoriska skyddsåtgärder används vid behandlingen av personuppgifter för att säkerställa detta. Dessa åtgärder innefattar brandmurar, krypteringstekniker, användning av säkra utrustningslokaler, vederbörlig passer- och tillträdeskontroll samt instruktioner till personalen.
Avtal och övriga dokument som lagras i originalexemplar förvaras i låsta lokaler med tillträdesrätt enbart för dem som har rätt till det. Pappersutskrifter förstörs på ett dataskyddat sätt.
I fråga om sådant som rör behandling av personuppgifter omfattas alla instanser som behandlar dessa uppgifter av tystnadsplikt enligt arbetsavtalslagen och sekretessvillkoren i avtalen.
I enlighet med denna dataskyddsbeskrivning kan bolaget utkontraktera behandlingen av personuppgifter till tjänsteleverantörer. I så fall använder bolaget tillräckliga avtalsmässiga skyldigheter till att säkerställa att personuppgifterna behandlas på ett vederbörligt och lagligt sätt.
(J) De registrerades rättigheter
De registrerade har rättigheter som garanteras i dataskyddslagstiftningen.
En registrerad har rätt att få bekräftelse om huruvida den registrerades personuppgifter behandlas. En registrerad har rätt att granska och se uppgifter om den registrerade själv och på begäran har han eller hon rätt att få en kopia av uppgifterna skriftligen eller i elektroniskt format.
En registrerad har rätt att kräva korrigering av felaktig eller bristfällig uppgift. Dessutom har en registrerad enligt gällande dataskyddslagstiftning rätt att kräva borttagande av sina personuppgifter. Bolaget tar bort, korrigerar och kompletterar även på eget initiativ sådana personuppgifter som i fråga om behandlingens syften är felaktiga, onödiga, bristfälliga eller föråldrade.
Den registrerade har i enlighet med gällande dataskyddslagstiftning rätt att kräva att hans eller hennes uppgifter överförs till en annan registeransvarig.
Dessutom har den registrerade rätt att under förhållanden som anges i dataskyddslagstiftningen begära att behandlingen av hans eller hennes uppgifter begränsas. Om det dessutom är så att en personuppgift som misstänks vara felaktig inte kan rättas eller tas bort eller om det föreligger oklarheter angående begäran om borttagande, begränsar bolaget åtkomsten till uppgifterna.
Den registrerade har rätt att invända mot att uppgifterna används för en viss typ av behandling. Den registrerade har rätt att förbjuda att hans eller hennes uppgifter överlåts och behandlas för direktmarknadsföringsändamål.
Begäranden som rör de registrerades rättigheter görs med ett personligt besök eller skriftligen eller elektroniskt och tillställs den kontaktperson som anges i bilagan till denna dataskyddsbeskrivning. Identitetskontroll görs innan uppgifterna lämnas ut. Vi besvarar en begäran om granskning inom rimlig tid och i mån av möjlighet inom en månad efter att begäran har lagts fram och identitetskontrollen har utförts.
Om det inte går att bevilja den registrerades begäran meddelar vi den registrerade skriftligen. Bolaget kan, på grund av lagstadgad skyldighet eller bolagets lagstadgade rättighet (till exempel skyldighet eller krav i samband med tjänsterna), avvisa en begäran om att till exempel ta bort uppgifter.
Genom att kontakta bolagets kontaktperson går det att återta ett samtycke som rör direktmarknadsföring eller att ange ett förbud mot direktmarknadsföring. Dessutom kan den registrerade säga upp sig från bolagets e-postlista när som helst genom att klicka på länken i e-postmeddelandet.
Den registrerade har rätt att klaga hos tillsynsmyndigheten (www.tietosuoja.fi) om den registrerade anser att hans eller hennes personuppgifter har behandlats i strid med gällande lagstiftning.
(K) Ändringar i dataskyddsbeskrivningen
Bolaget utvecklar sina tjänster hela tiden och kan därför behöva ändra och uppdatera denna dataskyddsbeskrivning. Ändringarna kan även vara baserade på att lagstiftningen ändras. Vi rekommenderar att man regelbundet läser innehållet i dataskyddsbeskrivningen. Bolaget meddelar om ändringar på sin webbplats och de registrerade får meddelande om väsentliga ändringar med e-post.