Ratsulan kanta-asiakasrekisterin laaja tietosuojaseloste

Laaja rekisteri- ja tietosuojaseloste

Tämä on Antinasu & Ratsula Oy:n henkilötietolain (10 ja 24 §) ja EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste.

Rekisterinpitäjä

Minun Ratsula -asiakasrekisterin rekisterinpitäjä on Antinasu & Ratsula Oy (y-tunnus 0136873-9).
Moda-ketjun kanta-asiakasjärjestelmää hallinnoidaan yhdessä Texmoda Fashion Group Osuuskunnan (Y-tunnus 1093544-0) kanssa.

Rekisteriasioiden yhteyshenkilö: Toimistopäällikkö Miikka Kuusela

Antinasu & Ratsula Oy
Osoite: Antinkatu 17, 28100 Pori
Puhelin: 02-6316 500
Sähköposti: miikka.kuusela@ratsula.fi

  1. Rekisterin nimi

Rekisterin nimi on Minun Ratsula -asiakasrekisteri.

Ratsulan kanta-asiakasjärjestelmä on ollut käytössä vuodesta 1991.

Vuonna 2000 se laajeni koko Moda-ketjun Moda-kortti-kanta-asiakasjärjestelmäksi.

Keväällä 2017 Ratsulan omien kanta-asiakkaiden oli mahdollisuus syventää kanta-asiakkuutta kirjautumalla Ratsulan verkkosivujen kautta Minun Ratsula -asiakkaaksi. Se on osana Ratsulan Moda-korttijärjestelmää.

  1. Henkilötietojen käsittelyn tarkoitus

Henkilötietoja käsitellään tarkoituksissa, jotka liittyvät asiakassuhteen hoitamiseen, hallinnointiin ja kehittämiseen, tuotteiden tarjoamiseen, myyntiin ja toimittamiseen sekä tuotteiden kehittämiseen ja laskutukseen liittyen. Tietoja voidaan käyttää Ratsulan yrityksen toiminnan kehittämiseen liittyen ja tilastollisiin tarkoituksiin. Henkilötietoja käsitellään myös mahdollisten reklamaatioiden ja muiden vaatimusten selvittämisen edellyttämissä tarkoituksissa.

Henkilötietoja käsitellään myös ostoihin perustuvassa ostohyvitysjärjestelmässä, jossa henkilöllä on mahdollisuus kerätä keräyskaudella ostohyvityksiä progressiivisesti taulukon mukaan.

Lisäksi henkilötietoja käsitellään asiakkaille suunnatussa viestinnässä kuten tiedotus- ja uutisointitarkoituksissa sekä markkinoinnissa, jonka osana henkilötietoja käsitellään myös suoramarkkinointiin ja sähköiseen suoramarkkinointiin liittyvissä tarkoituksissa.

Asiakkaalla on oikeus kieltää hänelle kohdistettu suoramarkkinointi.

Ratsula kunnioittaa asiakkaiden yksityisyyttä, eikä lähetä asiakkaille mainosviestejä, elleivät he itse halua niitä vastaanottaa. Käsittelemme asiakkaiden tietoja huolellisesti ja käytössämme olevat kanta-asiakasjärjestelmät lisäpalveluineen on päivitetty EU:n uuden tietosuoja-asetuksen (GDPR) mukaiseksi huhti-toukokuussa 2018.

  1. Käsittelyn oikeusperusteet

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös ”GDPR”) mukaiset perusteet:

  1. rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.a);

  2. käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR 6 art. 1.b);

  3. käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (GDPR 6 art. 1.f).

Edellä mainittu rekisterinpitäjän oikeutettu etu perustuu rekisteröidyn henkilön ja rekisterinpitäjän välillä olevaan merkitykselliseen ja asianmukaiseen suhteeseen, joka on seurausta siitä, että rekisteröity on rekisterinpitäjän asiakas ja kun käsittely tapahtuu tarkoituksiin, joita rekisteröity on kohtuudella voinut odottaa henkilötietojen keräämisen ajankohtana ja asianmukaisen suhteen yhteydessä.

  1. Rekisterin tietosisältö (käsiteltävät henkilötietoryhmät)

Rekisteri sisältää seuraavat henkilötiedot lähtökohtaisesti kaikista rekisteröidyistä henkilöistä:

  1. henkilön perustiedot ja yhteystiedot: etunimi, sukunimi, syntymäaika, osoite, puhelinnumero, sähköpostiosoite;

  2. luotollisten korttien hakemusten yhteydessä henkilötunnus, henkilön työpaikkaan tai muuhun organisaatioon liittyvät tiedot ja henkilön asema tai tehtävänimike ko. yrityksessä tai organisaatiossa;

  3. tieto rekisteröidyn tekemistä ostoksista, ostohistoria;

  4. henkilön suoramarkkinointiluvat ja -kiellot.

Minun Ratsula – palvelussa asiakkaan henkilökohtaisilla sivuilla on lisäksi asiakkaan itsensä tallentamia tietoja tai hänen pyynnöstään sinne syötettyjä tietoja, jotka helpottavat asiakkaan seuraavia ostotapahtumia. Tällaisia tietoja ovat esimerkiksi asiakkaan kokotietoja, vaate- ja kenkäkokoja, värimieltymyksiä, mielibrandejä, kuvia aikaisemmista ostoksista ja yhdistelmistä.

  1. Säännönmukaiset tietolähteet

Henkilötietoja kerätään rekisteröidyltä henkilöltä itseltään.

Henkilötietoja kerätään ja päivitetään myös sovellettavan lainsäädännön rajoissa yleisesti saatavilla olevista lähteistä, jotka liittyvät rekisterinpitäjän ja rekisteröidyn henkilön välisen asiakassuhteen toteuttamiseen ja joiden avulla rekisterinpitäjä toteuttaa asiakassuhteiden ylläpitämiseen liittyviä velvollisuuksiaan. Posti ilmoittaa viikoittain asiakkaiden muuttuneet osoitteet, viimeistään silloin, jos kanta-asiakaspostitus on mennyt vanhaan osoitteeseen.

Luotollisen kortin hakemisen yhteydessä luottohistoriaa koskevat tiedot saadaan Suomen Asiakastieto Oy:stä.

  1. Henkilötietojen säilytysaika

Rekisteriin kerättyjä tietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty.

Henkilötietojen säilyttämisen tarvetta arvioidaan viiden vuoden välein ja joka tapauksessa rekisteröityä henkilöä koskevat tiedot poistetaan rekisteristä vuosi sen jälkeen, kun kyseisen rekisteröidyn asiakassuhde rekisterinpitäjään on päättynyt, ja asiakassuhteeseen liittyvät velvollisuudet ja toimenpiteet on suoritettu loppuun.

Henkilötunnus poistetaan välittömästi sen jälkeen, kun säilytystarve on päättynyt. Muut asiakkaan luotollisen tilinhoitoon vaadittavat tiedot kirjanpitolainsäädännön edellyttämällä tavalla.

Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti viiden vuoden välein. Lisäksi rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat, virheelliset tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä.

  1. Henkilötietojen vastaanottajat sekä tietojen säännönmukaiset luovutukset

Rekisterinpitäjä käsittelee tietoja itse sekä hyödyntää henkilötietojen käsittelyssä rekisterinpitäjän puolesta ja lukuun toimivia yhteistyökumppaneita ja vain tietyissä välttämättömissä tilanteissa muita kolmansia osapuolia. Henkilötietoja ei luovuteta valittujen yhteistyökumppaneiden ja tietyissä rajatuissa tapauksissa myös kolmansien osapuolten lisäksi ulkopuolisille tahoille. Rekisterin käyttöoikeus edellyttää Ratsulan turvakäytännön mukaisia käyttöoikeuksia. Minun Ratsula -asiakasrekisteri sijaitsee UpCloud Oy:n hallinnoimilla suojatuilla palvelimilla. Kaikki liikenne palvelussa on SSL-suojattua. Rekisterin käyttö edellyttää pääkäyttäjän myöntämää henkilökohtaista käyttäjätunnusta. Palvelua ja rekisteriä ylläpitää Aline Creative Technology Studio Oy.

Solteq Oyj vastaa Ratsulan ja Moda-ketjumyymälöiden kanta-asiakasmodulista ja sen toiminnasta. Solteq Oyj:n kanssa on solmittu asetusten mukainen sopimus henkilötietojen käsittelystä.

Comparo Oy ja Aline Creative Tecnology Studio Oy vastaavat Minun Ratsula -kanta-asiakasmodulista ja sen toiminnasta. Comparo Oy:n ja Aline Creative Tecnology Studio Oy:n on solmittu asetusten mukainen sopimus henkilötietojen käsittelystä.

Kaikki rekisteritietoja käsittelevät henkilöt on yksilöity ja kanta-asiakasjärjestelmässä on käytössä henkilökohtainen käyttäjähallinta. Kaikki henkilötietojen muutokset ovat jäljitettävissä käyttäjähallinnan kautta.

Tietojen siirto EU:n tai ETA:n ulkopuolelle

Rekisteriin sisältyviä henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

Rekisterin suojauksen periaatteet

Rekisteriin tallennettuja henkilötietoja käsitellään aina luottamuksellisesti. Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.

Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.  Palvelin on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella.

Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat rekisteröityvät rekisterinpitäjän IT-järjestelmän lokitietoihin.

Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

Kaikki varmuuskopiot salataan sivustolla, siirretään sitten suojattujen yhteyksien päälle ja tallennetaan salatussa pilvessä tai paikallisessa salatussa tietovarastossa Advanced Encryption Standards:n (AES) mukaan.

  1. Rekisteröidyn oikeudet

Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:

        1. oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: (i) käsittelyn tarkoitukset; (ii) kyseessä olevat henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot (GDPR 15 art.). Nämä kuvatut perustiedot (i)–(vii) annetaan rekisteröidylle henkilölle tällä lomakkeella;

        2. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen (GDPR 7 art.);

        3. oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin (GDPR 16 art.);

        4. oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten; (iv) henkilötietoja on käsitelty lainvastaisesti; tai (v) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.);

        5. oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.);

        6. oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti (GDPR 20 art.);

        1. oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (GDPR 77 art.).

Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan kohdassa 1 mainitulle rekisterinpitäjän yhteyshenkilölle.

Määrämuotoinen tietosuojaseloste 16.5.2018