Tietosuojaseloste

SELOSTE KÄSITTELYTOIMISTA

EU:n yleinen tietosuoja-asetus (679/2016), 12-22 ja 30 art.

1. Rekisterin nimi

Ceepos-verkkokauppa

2. Rekisterinpitäjä

Nimi

Vantaan kaupunki (Y-tunnus 0124610-9)

Osoite

PL11000, 01030 Vantaan kaupunki

Muut yhteystiedot (esim. puhelin virka-aikana, sähköpostiosoite)

Puhelinvaihde 09 839 11

3. Vastuuhenkilö

Vastuuhenkilö

Marjo Poutanen, museopalveluiden päällikkö

4. Yhteyshenkilö rekisteriä koskevissa asioissa

Nimi

Marjo Poutanen, museopalveluiden päällikkö

Osoite

Asematie 10, 01300 Vantaa

Muut yhteystiedot (esim. puhelin virka-aikana, sähköpostiosoite)

marjo.poutanen@vantaa.fi

5. Tietosuojavastaava

Nimi

Mikael Valtomaa, lakimies

Osoite

Asematie 10, 01300 Vantaa

Muut yhteystiedot (esim. puhelin virka-aikana, sähköpostiosoite)

mikael.valtomaa@vantaa.fi, puh. 040 071 3358

6.  Henkilötietojen käsittelyn kohde

Rekisteri sisältää tiedot

–          Asiakas

–          Työntekijä

7. Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Henkilötietoja kerätään mm. tilausten toimittamisen, maksujen oikean kohdistamisen, asiakkaan ja/tai asiakkaan ilmoittaman henkilön tunnistamisen, asiakkaan asiointihistorian ja asiointioikeuksien todentamisen ja raportoinnin vuoksi. 

Ohjelmiston käyttäjistä kerätään tietoja käyttöoikeuksien määrittelemiseksi sekä käytön valvomiseksi. Ohjelmisto luo henkilötietoja sisältäviä lokitietoja ohjelmiston käyttöhistorian ja ongelmatapausten selvitystarpeita varten.

Henkilötietojen käsittely perustuu asiakkaan ja työntekijän suostumukseen.

8. Rekisterin tietosisältö (tietotyypit)

Rekisterin sisältämät henkilötiedot:

Yleinen asiakasrekisteri: asiakasnumero, etunimi, sukunimi, lähiosoite, postitoimipaikka, puhelinnumero, sähköpostiosoite, tilaushistoria, käyttäjätunnus ja suoramarkkinalupa.

Tilausrekisteri: Yhteystiedot, tilatut tuotteet.

Asiakaskortit/-tunnisteet: korttinumero ja pin-tunnus.

Ilmoittautumiset: Ilmoitettavan nimi, yhteystiedot

Postituslistat: Sähköpostiosoite.

9. Henkilötietoryhmät

Rekisterin henkilötietoryhmät (tavalliset).  

10. Säännönmukaiset tietolähteet

Maksutapahtumia liittymien kautta välittävät ulkoiset järjestelmät, jotka ovat integroituneet verkkokauppaan. Pääsääntöisenä tietolähteenä ovat verkkokaupan asiakkaat tehdessään tilauksia, ilmoittautumisia ja maksaessaan verkkomaksujaan.

11. Tietojen luovutukset

Henkilötietoja ei luovuteta ulkopuolisille. Henkilötietoja voidaan siirtää rekisterin pitäjän muihin järjestelmiin, kuten kassajärjestelmä, kirjanpito, laskutus. Maksupalveluntarjoajasta riippuen tilauksen maksamisen yhteydessä maksujärjestelmään välitetään asiakkaan yhteystietoja ongelmatilanteiden ja maksujen palauttamisen helpottamiseksi.

12. Tietojen siirto EU:n tai ETA:n ulkopuolelle

Henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

13. Henkilötietojen säilytysaika

Palvelun järjestämisen kannalta välttämättömiä tietoja säilytetään kolmen vuoden ajan. Säilytysajan päätyttyä tiedot hävitetään.

Tietojen säilyttämistä ja hävittämistä ohjaa Vantaan kaupungin tiedonohjaussuunnitelma, jossa määritellyt asiakirjojen säilytysajat perustuvat Kansallisarkiston (ent. Arkistointilaitos) määräyksiin pysyvästi säilytettävistä asiakirjoista ja Kuntaliiton suosituksiin määräajan säilytettävistä asiakirjoista.

14. Henkilötietojen käsittelyyn liittyvä automaattinen päätöksenteko, ml. profilointi

Henkilötietojen käsittelyyn ei liity automaattista päätöksentekoa tai profilointia.

15. Rekisterin suojauksen periaatteet

Ceepos-verkkokauppa-järjestelmän ylläpito on suojattu käyttäjätunnuksin ja salasanoin sekä käyttäjäryhmäkohtaisin käyttöoikeuksin. Tietokannassa olevat tiedot on suojattu käyttäjätunnuksilla ja salasanoilla ja tiedon käsittely on rajattu vain verkkokauppajärjestelmän käytettäväksi. Levyille tallennetut tiedot on suojattu käyttöjärjestelmätason käyttöoikeuksin. Kaikki tietoliikenne järjestelmäntoimittajan järjestelmien sekä verkkokaupan ja maksupalveluntarjoajan välillä tapahtuu SSL-suojattuna.

Verkkokauppapalvelimen huoltoyhteys on sallittu vain palvelin- ja järjestelmätoimittajille. Ohjelmiston toimittajalla on täysi pääsy kaiken kerätyn tiedon tarkasteluun ja poistamiseen. Tilauksiin liittyvät toimenpiteet näkyvät tilauksen muutoshistoriassa ja kirjautumiset näkyvät yleisellä tapahtumalokilla. Kaikki tärkeimmät tapahtumat näkyvät myös yleisellä tapahtumalokilla. Sen lisäksi näkyy www-palvelimen lokilla jokainen sivunlataus ja mistä IP:stä se on tullut. Kaupassa tallentuu myös kaikki sisäänkirjautumisyritykset ja voi seurata esim. mistä maasta yritetään päästä sisään.

Rekisterin tietoturvallisuus sekä henkilötietojen luottamuksellisuus, eheys ja käytettävyys varmistetaan asianmukaisin teknisin ja organisatorisin toimenpitein. Yksittäisen henkilön tietoja saavat käsitellä vain ne henkilöt, jotka tarvitsevat tietoja työ- tai virkatehtäviensä hoitamiseksi ja vain siinä laajuudessa, kuin työtehtävä sitä edellyttää. Lisäksi tietoja käsittelevillä työntekijöillä ja viranhaltijoilla on lakiin perustuva salassapito- ja vaitiolovelvollisuus, joka jatkuu myös työ- ja virkasuhteen päättymisen jälkeen (laki viranomaisen toiminnan julkisuudesta 22-23 §). Mikäli ulkopuolinen taho käsittelee rekisteriin kuuluvia henkilötietoja rekisterinpitäjän lukuun, rekisterinpitäjä vastaa siitä, että riittävistä suojatoimenpiteistä ja salassapidosta on sovittu tietojenkäsittelijän kanssa tehdyssä sopimuksessa.

16. Rekisteröidyn oikeuksien toteuttaminen

Käsittelyn määräaika

Rekisterinpitäjän on toimitettava rekisteröidylle tiedot toimenpiteistä, joihin on ryhdytty hänen pyyntönsä johdosta ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt. Jos rekisteröity esittää pyynnön sähköisesti, tiedot on toimitettava sähköisesti mahdollisuuksien mukaan, paitsi jos rekisteröity toisin pyytää.

Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

Maksujen periminen

Rekisteröidyn oikeuksien toteuttamiseen perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko

a)       periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai

b)       kieltäytyä suorittamasta pyydettyä toimea.

Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

Henkilön tunnistaminen

Jos rekisterinpitäjällä on perusteltua syytä epäillä pyynnön esittäneen luonnollisen henkilön henkilöllisyyttä, rekisterinpitäjä voi pyytää toimittamaan lisätiedot, jotka ovat tarpeen rekisteröidyn henkilöllisyyden vahvistamiseksi, sanotun kuitenkaan rajoittamatta tietosuoja-asetuksen 11 artiklan (”Käsittely, joka ei edellytä tunnistamista”) soveltamista.

Muuta huomioitavaa

Lapsen puolesta rekisteröidyn oikeuksia käyttää lapsen huoltaja tai lapsen muu laillinen edustaja. Huoltajuus tai edustuksen peruste sekä tiedonsaantioikeus on tarkistettava tarvittaessa. Alle 18-vuotias voi kieltää tietojensa näyttämisen huoltajilleen, mikäli hän on kykenevä päättämään itseään koskevista asioista. Häntä myös informoidaan tarvittaessa huoltajan tai muun henkilön tekemästä tarkastuspyynnöstä ennen pyynnön toteuttamista.

 

Edunvalvoja voi tarkastaa päämiehensä tiedot, jos tarkastusoikeuden käyttö sisältyy edunvalvojalle annettuun valtakirjaan tai määräykseen. Edunvalvojan on esitettävä valtakirja tai tuomioistuimen tai maistraatin päätös tarkastuspyynnön yhteydessä.

17. Oikeus tietojen tarkastamiseen

 

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja sekä tarkastaa käsiteltävät tiedot. Mikäli tietoja käsitellään, rekisteröidylle on toimitettava jäljennös käsiteltävistä henkilötiedoista. Tarkastuspyyntö tehdään erillisellä lomakkeella, joka on saatavilla Vantaa-infosta. Lomake allekirjoitetaan omakätisesti ja se palautetaan henkilökohtaisen käynnin yhteydessä Vantaa-infoon. Pyynnön esittäjän henkilöllisyys tarkistetaan kuvallisesta henkilöllisyystodistuksesta pyynnön esittämisen yhteydessä. Oikeus tietojen tarkastamiseen tarkistetaan ennen tietojen luovutusta. Rekisterinpitäjän on toimitettava tiedot ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä.

18. Oikeus tietojen oikaisuun

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Rekisteröidyllä on lisäksi oikeus saada puutteelliset henkilötiedot täydennettyä muun muassa toimittamalla lisäselvitys. Pyyntö on maksuton. Kirjallinen pyyntö osoitetaan Vantaan kaupungin kirjaamoon osoitteeseen: Vantaan kaupunki, Kirjaamo, Asematie 7, 01300 Vantaa.

19. Oikeus tietojen poistamiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot poistettua ilman aiheetonta viivytystä edellyttäen, että

c)       henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;

d)       rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta;

e)       rekisteröity vastustaa käsittelyä 21 artiklan 1 kohdan nojalla eikä käsittelyyn ole olemassa perusteltua syytä (erityiseen tilanteeseen liittyvä peruste) tai 21 artiklan 2 kohdan nojalla (suoramarkkinointi);

f)        henkilötietoja on käsitelty lainvastaisesti; tai

g)       henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan lakisääteisen velvoitteen noudattamiseksi.

Oikeutta tietojen poistamiseen ei ole, jos käsittely on tarpeen

a)       sananvapautta ja tiedonvälityksen vapautta koskevan oikeuden käyttämiseksi;

b)       rekisterinpitäjään sovellettavaan unionin oikeuteen tai jäsenvaltion lainsäädäntöön perustuvan, käsittelyä edellyttävän lakisääteisen velvoitteen noudattamiseksi tai jos käsittely tapahtuu yleistä etua koskevan tehtävän suorittamista tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämistä varten;

c)       kansanterveyteen liittyvää yleistä etua koskevista syistä 9 artiklan 2 kohdan h ja i alakohdan sekä 9 artiklan 3 kohdan mukaisesti;

d)       yleisen edun mukaisia arkistointitarkoituksia taikka tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti, jos 1 kohdassa tarkoitettu oikeus todennäköisesti estää kyseisen käsittelyn tai vaikeuttaa sitä suuresti; tai

e)       oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

20. Oikeus käsittelyn rajoittamiseen

Rekisteröidyllä on oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos

a)       rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden;

b)       käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;

c)       rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi;

d)       rekisteröity on vastustanut henkilötietojen käsittelyä 21 artiklan 1 kohdan nojalla odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet.

Jos käsittelyä on rajoitettu em. nojalla, näitä henkilötietoja saa, säilyttämistä lukuun ottamatta, käsitellä ainoastaan rekisteröidyn suostumuksella taikka oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi tai toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.

Jos rekisteröity on saanut käsittelyn rajoitetuksi 1 kohdan nojalla, rekisterinpitäjän on tehtävä rekisteröidylle ilmoitus, ennen kuin käsittelyä koskeva rajoitus poistetaan.

21. Oikeus vastustaa tietojen käsittelyä

Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä, joka perustuu 6 artiklan 1 kohdan e (yleistä etua koskevan tehtävän suorittaminen tai rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen) tai f (rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttaminen) alakohtaan, kuten näihin säännöksiin perustuvaa profilointia. Rekisterinpitäjä ei saa enää käsitellä henkilötietoja, paitsi jos rekisterinpitäjä voi osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää rekisteröidyn edut, oikeudet ja vapaudet tai jos se on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin kun se liittyy tällaiseen suoramarkkinointiin. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.

Jos henkilötietoja käsitellään tieteellisiä tai historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten 89 artiklan 1 kohdan mukaisesti, rekisteröidyllä on oikeus henkilökohtaiseen tilanteeseensa liittyvällä perusteella vastustaa häntä itseään koskevien henkilötietojen käsittelyä, paitsi jos käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi.

Tämä oikeus ei koske niitä tietoja, joiden käsittely perustuu lakisääteisen velvoitteen noudattamiseen.

22. Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos

a)       käsittely perustuu suostumukseen tai sopimukseen; ja

b)       käsittely suoritetaan automaattisesti.

Kun rekisteröity käyttää 1 kohdan mukaista oikeuttaan siirtää tiedot järjestelmästä toiseen, hänellä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista. Tässä tarkoitetun oikeuden käyttäminen ei kuitenkaan saa rajoittaa 17 artiklan (oikeus tietojen poistamiseen) soveltamista eikä se saa vaikuttaa haitallisesti muiden oikeuksiin ja vapauksiin.

Tämä oikeus ei koske niitä tietoja, joiden käsittely perustuu lakisääteisen velvoitteen noudattamiseen.

23. Oikeus peruuttaa suostumus

Niiltä osin kuin henkilötietojen käsittely perustuu suostumukseen, rekisteröidyllä on oikeus peruuttaa käsittelyyn antamansa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen tätä suoritetun käsittelyn lainmukaisuuteen.

24. Oikeus tehdä valitus valvontaviranomaiselle

Rekisteröidyllä on oikeus tehdä valitus kansalliselle valvontaviranomaiselle erityisesti siinä jäsenvaltiossa, jossa hänen vakinainen asuinpaikkansa tai työpaikkansa on taikka jossa väitetty rikkominen on tapahtunut, jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan tietosuojalainsäädäntöä. Suomessa valitus tehdään tietosuojavaltuutetulle. Tietosuojavaltuutetun toimisto neuvoo valituksen tekemisessä. Tietosuojavaltuutetun puhelinneuvonnassa annetaan yleistä tietosuojaan liittyvä ohjausta ja neuvontaa sekä kerrotaan, jos asia vaatii tarkempaa tutkimista ja käsittelyä.

 

Tietosuojavaltuutetun toimisto (https://tietosuoja.fi/yhteystiedot)

Käyntiosoite: Ratapihantie 9, 6. krs, 00520 Helsinki

Postiosoite: PL 800, 00521 Helsinki

 

Puhelin (vaihde): + 358 29 56 66700 (https://tietosuoja.fi/puhelinneuvonta)

Faksi: + 358 9 56 66735

Sähköposti: tietosuoja@om.fi