1. Yleistä

Tässä tietosuojaselosteessa kuvataan, mitä henkilötietoja Nikolai Sourcing Oy (”yhtiö”) kerää, miten tietoja käsitellään, mihin tarkoituksiin tietoja käytetään ja mille tahoille tietoja voidaan luovuttaa. Tietosuojaseloste antaa tietoa myös niistä velvoitteista, joita yhtiö noudattaa henkilötietojen käsittelyssä.

Yhtiö kiinnittää erityistä huomiota tietojen suojaamiseen ja noudattaa kaikessa henkilötietojen käsittelyssä tietosuojalakia (1050/2018), EU:n yleistä tietosuoja-asetusta (2016/679) (”tietosuoja-asetus”) sekä muuta soveltuvaa tietosuojalainsäädäntöä ja hyvää tietojenkäsittelytapaa.

Tätä tietosuojaselostetta sovelletaan yhtiön asiakkaiden ja näiden yhteyshenkilöiden henkilötietojen käsittelyyn.

Henkilötiedoilla tarkoitetaan kaikkia luonnollista henkilöä (”rekisteröity”) koskevia tietoja, joista hänet voi suoraan tai epäsuorasti tunnistaa tietosuoja-asetuksessa määritellyn mukaisesti. Tiedot, joista ei voi suoraan tai epäsuorasti tunnistaa rekisteröityä, eivät ole henkilötietoja.

2. Rekisterinpitäjä ja yhteyshenkilö

Rekisterinpitäjä: Nikolai Sourcing Oy

Y-tunnus: 2154748-6

Osoite: Henry Fordin katu 5K, 00150 Helsinki

Yhteyshenkilö: Rauli Ratasvuori

Sähköposti: rauli.ratasvuori@nikolaisourcing.com

3. Henkilötietojen käsittelyn tarkoitukset ja oikeusperuste

Henkilötietoja käsitellään mm. seuraavia tarkoituksia varten:

Henkilötietojen käsittelyn oikeusperusteena on yhtiön ja asiakkaan välinen sopimussuhde, joka perustuu palvelujen tilaamiseen ja tuottamiseen. Henkilötietojen käsittely perustuu myös lakisääteisiin velvoitteisiin kuten kirjanpitovelvoitteisiin. Käsittely markkinointiin tai palvelujen ja muun liiketoiminnan kehittämiseen perustuu yhtiön oikeutettuun etuun.

Sähköinen suoramarkkinointi ja yhtiön uutiskirjeiden tilaaminen perustuu rekisteröidyn antamaan suostumukseen tai yhtiön oikeutettuun etuun. Rekisteröidyllä on koska tahansa oikeus peruuttaa antamansa suostumus (ks. rekisteröidyn oikeudet jäljempänä).

4. Käsiteltävät henkilötietoryhmät, tietosisällöt ja tietolähteet

Yhtiö kerää rekisteröidyistä vain sellaisia henkilötietoja, jotka ovat olennaisia ja tarpeellisia tässä tietosuojaselosteessa selostettujen käyttötarkoitusten kannalta. Rekisteröidyistä käsitellään seuraavia tietoja:

Henkilötietoryhmä	Esimerkkejä tietosisällöstä
Yksilöinti- ja yhteystiedot	Rekisteröidyn nimi, titteli/asema, osoite, puhelinnumero, sähköpostiosoite, asiakasyrityksen nimi ja Y-tunnus
Asiakassuhteeseen liittyvät tiedot	Tilinumero, laskutus- ja maksutiedot ja muut asiakassuhteen yksilöivät tiedot
Asiakastapahtumatiedot sekä sopimustiedot	Tiedot yhtiön ja rekisteröidyn tai yhtiön ja asiakkaan välisestä sopimuksesta, kauppasopimukset, asiakaspalautteet sekä rekisteröidyn ja yhtiön väliset yhteydenotot, reklamaatiot ja muut asiointitiedot sekä asiakassopimusten toteuttamiseksi tarvittavat tiedot kuten matkapalveluiden edellyttävät passikopiot
Rekisteröidyn antamat suostumukset	Rekisteröidyn sähköiseen suoramarkkinointiin antamaa suostumusta sekä suostumuksen peruuttamista ja rekisteröidyn antamia kieltoja koskevat tiedot
Käyttäytymistiedot ja tekniset tunnistamistiedot	Rekisteröidyn verkkosivukäyttäytymisen seuranta teknisten tunnistetietojen avulla. Kerättäviä tietoja voivat olla esimerkiksi käyttäjän IP-osoite, käytetyt sivut, selaintyyppi, verkko-osoite, istunnon aika ja kesto.

Edellä kohdissa A – C mainittujen tietojen antaminen on välttämätöntä yhtiön ja asiakkaan välisen sopimukseen ja lainsäädäntöön perustuvien velvoitteiden hoitamiseksi sekä yhtiön palveluiden tuottamiseksi. Yhtiö hyödyntää verkkosivujen vierailijaseurantaan ulkopuolisia palveluita, jotka keräävät kohdassa E mainittuja tietoja. Yksittäinen verkkosivujen vierailija ei lähtökohtaisesti ole tunnistettavissa tietojen perusteella. Yhtiö hyödyntää tietoja palvelujensa ja liiketoimintansa kehittämiseksi.

Pääasiallisesti henkilötiedot kerätään rekisteröidyiltä itseltään esimerkiksi markkinointi- ja myyntitoimenpiteiden yhteydessä, asiakassopimuksen solmimisen yhteydessä tai asiakassuhteen aikana. Rekisteröity on voinut antaa yhtiölle tietoja myös esimerkiksi tilaamalla sähköisen uutiskirjeen, sosiaalisen median palveluissa tai yhtiön verkkosivuilla.

Yhtiö saattaa käyttää markkinoinnissa ulkopuolisia palveluntarjoajia, jotka käsittelevät rekisteröityjen yhteystietoja markkinointiin (esim. uutiskirjepalvelut).

Henkilötietoja voidaan kerätä myös asiakasyritykseltä, jonka puolesta rekisteröity toimii. Lisäksi tietoja voidaan lainsäädännön sallimissa tilanteissa kerätä ja päivittää myös kolmansien osapuolien ylläpitämistä rekistereistä.

Yhtiön alihankkijat ja yhteistyökumppanit toimittavat yhtiölle rekisteröityjen henkilötietoja lainsäädännön ja sopimusvelvoitteiden edellyttämissä tilanteissa.

(F) Henkilötietojen säilyttäminen

Yhtiö säilyttää henkilötietoja niin pitkään kuin on tarpeellista tietosuojaselosteessa määriteltyjen tarkoitusten toteuttamiseksi, ellei lainsäädäntö velvoita säilyttämään henkilötietoja pidempään (esimerkiksi erityislainsäädäntöön, kirjanpitovelvoitteisiin tai raportointivelvollisuuksiin liittyvät vastuut ja velvoitteet), tai ellei yhtiö tarvitse tietoja oikeusvaateen laatimiseksi, esittämiseksi tai oikeusvaateelta puolustautumiseksi tai vastaavan erimielisyystilanteen selvittämiseksi.

Tietojen säilyttämisaika ja säilyttämiskriteerit vaihtelevat henkilötietoryhmittäin sen mukaan, mikä on tietyn henkilötietoryhmän käyttötarkoitus.

Henkilötietoja käsitellään asiakas- ja sopimussuhteen voimassaolon ajan ja tarpeellinen aika asiakas- ja sopimussuhteen päättymisen jälkeen.

Asiakasyritysten osalta yrityksen edustajan henkilötietojen säilyttäminen on sidoksissa siihen, kuinka pitkään kyseinen rekisteröity toimii kyseisen yrityksen edustajana yhtiön suuntaan.

Kun henkilötietoa ei enää tarvita edellä määritellyllä tavalla, tiedot poistetaan kohtuullisessa ajassa.

(G) Henkilötietojen käsittelevät tahot ja vastaanottajat

Yhtiö voi tämän tietosuojaselosteen mukaisesti ulkoistaa henkilötietojen käsittelyä palveluntarjoajille tai alihankkijoille. Yhtiö varmistaa riittävillä sopimusvelvoitteilla, että henkilötietoja käsitellään asianmukaisesti.

Henkilötietoja voidaan luovuttaa viranomaisille lainsäädännön velvoittamissa ja oikeuttamissa tilanteissa.

Yhtiö ei luovuta rekisteröidyn henkilötietoja suoramarkkinointiin.

Mikäli yhtiö on osallisena fuusiossa, liiketoimintakaupassa tai muussa yritysjärjestelyssä, se voi joutua luovuttamaan rekisteröityjen henkilötietoja kolmansille osapuolille.

Tietojen luovutus kolmannelle tapahtuu pääsääntöisesti sähköisten tiedonsiirtoyhteyksien avulla, mutta tietoja voidaan luovuttaa myös muulla tavoin kuten puhelimitse tai kirjeitse.

(H) Henkilötietojen siirto Euroopan unionin tai Euroopan talousalueen ulkopuolelle

Tietoja ei lähtökohtaisesti siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolelle.

Mikäli tietoja siirretään Euroopan unionin tai Euroopan talousalueen ulkopuolelle, yhtiö huolehtii henkilötietojen suojan riittävästä tasosta muun muassa sopimalla henkilötietojen käsittelyyn liittyvistä asioista tietosuojalainsäädännön edellyttämällä tavalla kuten Euroopan komission hyväksymiä mallisopimuslausekkeita käyttäen.

(I) Henkilötietojen suojauksen periaatteet ja käsittelyn turvallisuus

Yhtiö käsittelee henkilötietoja tavalla, jolla pyritään kaikissa tilanteissa varmistamaan henkilötietojen asianmukainen turvallisuus ja tietosuoja, mukaan lukien suojaaminen luvattomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta.

Henkilötietojen käsittelyssä käytetään asianmukaisia teknisiä ja organisatorisia suojatoimia tämän turvaamiseksi, mukaan lukien palomuurien, salaustekniikoiden, turvallisten laitetilojen käyttö, asianmukainen kulunvalvonta ja pääsynhallinta sekä henkilöstön ohjeistaminen.

Sopimukset ja muu alkuperäiskappaleina säilytettävät asiakirjat pidetään lukituissa tiloissa, joihin pääsyoikeus on rajattu ainoastaan sinne oikeutetuille tahoille. Paperitulosteet tuhotaan tietoturvallisesti.

Kaikilla henkilötietoja käsittelevillä tahoilla on työsopimuslain ja sopimusten salassapitoehtojen perusteella vaitiolovelvollisuus rekisteröityjen henkilötietojen käsittelyyn liittyvistä asioista.

Yhtiö voi tämän tietosuojaselosteen mukaisesti ulkoistaa henkilötietojen käsittelyä palveluntarjoajille, jolloin yhtiö varmistaa riittävillä sopimusvelvoitteilla, että henkilötietoja käsitellään asianmukaisesti ja lainmukaisesti.

(J) Rekisteröityjen oikeudet

Rekisteröidyillä on tietosuojalainsäädännön takaamat oikeudet.

Rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja. Rekisteröidyllä on oikeus tarkistaa ja nähdä itseään koskevat tiedot ja pyynnöstä oikeus saada tiedot kirjallisesti tai sähköisessä muodossa.

Rekisteröidyllä on oikeus vaatia virheellisen tai epätarkan tiedon korjaamista. Lisäksi rekisteröidyllä on voimassa olevan tietosuojalainsäädännön mukainen oikeus vaatia tietojensa poistamista. Yhtiö poistaa, korjaa ja täydentää myös oma-aloitteisesti havaitsemansa käsittelyn tarkoituksen kannalta virheellisen, tarpeettoman, puutteellisen tai vanhentuneen henkilötiedon.

Rekisteröidyllä on voimassa olevan tietosuojalainsäädännön mukaisesti oikeus vaatia tietojensa siirtämistä toiselle rekisterinpitäjälle.

Lisäksi rekisteröidyllä on tietosuojalainsäädännön määrittämien edellytysten mukaisesti oikeus pyytää henkilötietojen käsittelyn rajoittamista. Lisäksi tilanteessa, jossa virheelliseksi epäiltyä henkilötietoa ei voida korjata tai poistaa taikka poistopyynnöstä on epäselvyyttä, yhtiö rajoittaa tietoihin pääsyä.

Rekisteröidyllä on oikeus vastustaa tietojen käyttöä tietynlaiseen käsittelyyn. Rekisteröidyllä on oikeus kieltää tietojensa luovuttaminen ja käsittely suoramarkkinointia varten.

Rekisteröityjen oikeuksia koskevat pyynnöt tehdään henkilökohtaisen käynnin yhteydessä tai kirjallisesti tai sähköisesti ja osoitetaan tämän tietosuojaliitteessä mainitulle yhteyshenkilölle. Henkilöllisyys tarkistetaan ennen tietojen antamista. Tarkastuspyyntöön vastataan kohtuullisessa ajassa ja mahdollisuuksien mukaan kuukauden kuluessa pyynnön esittämisestä ja henkilöllisyyden tarkistamisesta lukien.

Jos rekisteröidyn pyyntöön ei voida suostua, kieltäytymisestä ilmoitetaan rekisteröidylle kirjallisesti. Yhtiö voi kieltäytyä pyynnöstä kuten tietojen poistamisesta lakisääteisen velvoitteen tai yhtiön lakisääteisen oikeuden johdosta, esimerkiksi palveluihin liittyvä velvoite tai vaade.

Sähköistä suoramarkkinointia koskevan suostumuksen voi peruuttaa tai antaa suoramarkkinointia koskevan kiellon olemalla yhteydessä yhtiön yhteyshenkilöihin. Lisäksi rekisteröity voi poistua yhtiön sähköpostituslistalta koska tahansa klikkaamalla sähköpostissa olevaa linkkiä.

Rekisteröidyllä on oikeus tehdä valitus tietosuojaviranomaiselle (www.tietosuoja.fi), mikäli rekisteröity katsoo, että hänen henkilötietojaan on käsitelty voimassa olevan lainsääsäädännön vastaisesti.

(K) Muutokset tietosuojaselosteeseen

Yhtiö kehittää jatkuvasti palveluitaan ja voi sen johdosta joutua muuttamaan ja päivittämään tätä tietosuojaselostetta. Muutokset voivat perustua myös lainsäädännön muuttumiseen. Suosittelemme tutustumaan tietosuojaselosteen sisältöön säännöllisesti. Muutoksista ilmoitetaan yhtiön verkkosivuilla ja olennaisista muutoksista rekisteröidyille sähköpostitse.