Tietosuojaseloste

TIETOSUOJASELOSTE                                          Laatimispäivämäärä: 26.6.2018

Vaasan kaupunki

 1. Rekisterin nimi Verkkokaupan asiakasrekisteri
 2. Rekisterinpitäjä Nimi: Vaasan kaupunki  

Osoite: PL 3, 65101 Vaasa

Muut yhteystiedot: 06 325 1111
 3. Rekisterin yhteyshenkilö Nimi: Kansalaisinfo  

Puhelin: 06 – 325 1111

Sähköposti: market@vaasa.fi
 4. Tietosuojavastaavan yhteystieto Puhelinvaihde 06 325 1111  

Sähköposti: tietosuojavastaava@vaasa.fi
 5. Henkilötietojen käsittelyn tarkoitus ja oikeusperuste Vaasan kaupungin (myöhemmin rekisterinpitäjä) verkkokaupassa (myöhemmin rekisteri) rekisteröitynyt asiakas (myöhemmin rekisteröity) voi tehdä tilauksia. Henkilötietoja kerätään mm. tilausten toimittamisen, maksujen oikean kohdistamisen, asiakkaan ja/tai asiakkaan ilmoittaman henkilön tunnistamisen, asiakkaan asiointihistorian ja asiointioikeuksien todentamisen mahdollistamiseksi. Tietoa palvelun käyttäjistä kerätään käyttöoikeuksien määrittelemiseksi, käytön valvomiseksi sekä ongelmatapausten selvittämiseksi.  

Rekisterinpitäjän oikeus pitää rekisteriä niistä henkilöistä, joiden välillä rekisterinpitäjällä ja rekisteröidyllä on palvelussuhde tai siihen verrattavasta suhteesta johtuva asiallinen yhteys. Muiden rekisteröityjen osalta henkilötietojen käsittely perustuu asiakassuhteeseen tai asialliseen yhteyteen perustuvan suhteen hoitaminen.

Tietoa palvelun käyttäjistä kerätään käyttöoikeuksien määrittelemiseksi, käytön valvomiseksi sekä ongelmatapausten selvittämiseksi. Tietoja voidaan käyttää rekisterinpitäjän oman toiminnan suunnittelu-, kehittämis- ja tilastointitarpeisiin.
 6. Rekisterin tietosisältö Rekisteri sisältää muun muassa seuraaviin ryhmiin kuuluvia, rekisterin käyttötarkoituksen kannalta tarpeellisia tietoja.  

Rekisteröidystä mm. seuraavia tietoja:

  • Nimi
  • Osoitetiedot (katuosoite, talon/rapun/huoneiston numero), postinumero ja postitoimipaikka
  • Sähköpostiosoite
  • Äidinkieli
  • Puhelinnumero
  • Syntymäaika
  • Sukupuoli
  • Ruoka-aine allergia
  • Muut erityistiedot

Asiakkuuteen ja muuhun asialliseen yhteyteen liittyvät tiedot, kuten:

  • Palvelujen käyttämiseen littyvät käyttäjän tunnistautumistiedot
  • Tunnistautuneena käyttäjänä tehdyt toimenpiteet ja näihin liittyvät tapahtumat (tilaushistoria, verkkomaksuun liittyvät tiedot)
  • Markkinointi- ja kuvauslupa
 7. Säännönmukaiset tietolähteet Rekisteriin tuodaan henkilötietoja rekisteröidyn omalla ilmoituksella sekä rekisterinpitäjän järjestelmistä palveluihin rekisteröitymisen ja käytön yhteydessä kerättävät tiedot (mm. maksutapahtumia liittymien kautta välittävät ulkoiset järjestelmät).  

Palvelu käyttää selaimessa evästeitä. Evästeillä kerätään käyttäjästä ja käyttäjän laitteista tietoja, joilla optimoidaan palvelua.

Henkilötietoja voidaan kerätä ja päivittää rekisterinpitäjän ja sen kanssa kulloinkin samaan konserniin kuuluvien organisaatioiden / yhtiöiden rekistereistä.
 8. Tiedon säilytysaika Tietojen säilytysajat määräytyvät kirjanpitolain ja viranomaispäätösten perusteella:  

  • Tilinpäätös, toimintakertomus, kirjanpidot, tililuettelo sekä luettelo kirjanpidoista ja aineistoista on säilytettävä vähintään 10 vuotta tilikauden päättymisestä siten, että kirjanpitolain 6, 7 ja 9 §:n vaatimukset täyttyvät.
  • Mikäli laissa ei ole säädetty pitempää säilyttämisaikaa tilikauden tositteet ja liiketapahtumia koskeva kirjeenvaihto sekä muu kirjanpitoaineisto on säilytettävä vähintään kuusi vuotta sen vuoden lopusta, jonka aikana tilikausi on päättynyt.

(10 luku 2 §, KirjanpitoL 1336/1997)
 9. Tietojen säännönmukaiset luovutukset Henkilötietoja ei luovuteta ulkopuolisille.  

Rekisterinpitäjä voi luovuttaa tietoja voimassaolevan lainsäädännön sallimissa ja velvoittamissa rajoissa muun muassa rekisterinpitäjän kanssa samaan konserniin kuuluville organisaatioille / yhtiöille muihin järjestelmiin / rekistereihin kuten maksujärjestelmät, laskutus, kulunvalvonta. Maksupalveluntarjoajasta riippuen tilauksen maksamisen yhteydessä maksujärjestelmään välitetään asiakkaan yhteystietoja ongelmatilanteiden ja maksujen palauttamisen helpottamiseksi.

Rekisterinpitäjä voi luovuttaa Rekisteröidystä talletettuja tietoja viranomaisille lakisääteisissä tapauksissa.

Lokitietoja ei luovuteta ulkopuolisille. Kuitenkin tietoturvapoikkeamaa selvitettäessä tai rikoksen esitutkinnan yhteydessä rekisterinpitäjällä voi olla oikeus luovuttaa tietoja poliisille tai muulle viranomaiselle.
 10. Tietojen siirto EU:n tai ETA:n ulkopuolelle Tietoja ei siirretä EU:n tai ETA alueen ulkopuolelle.
 11. Rekisterin suojauksen periaatteet A. Manuaalinen aineisto säilytetään lukitussa ja elektronisesti suojatussa tilassa.  

B. ATK-pohjainen järjestelmä säilytetään

1. Henkilötietoja sisältäviä tietoja käsitellään suojatussa palvelin ympäristössä. Kaikki tietoliikenne järjestelmien välillä tapahtuu salattuna (SSL-suojattuna) tai muulla tavalla suojatuna tietoverkossa.

2. Henkilötiedot suojataan asiattomalta pääsyltä ja laittomalta käsittelyltä (esim. hävittäminen, muuttaminen tai luovuttaminen).

3. Tietojen käsittelyoikeuksia valvotaan käyttöoikeus- ja valvontamenettelyjen avulla.

4. Rekisterinpitäjän käyttäjien ovat suojattuja salasanalla, joka käyttäjän tulee vaihtaa säännöllisesti.

5. Rekisterinpitäjä huolehtii, että ainoastaan niillä rekisterinpitäjän työntekijöillä ja rekisterinpitäjän lukuun toimivien yritysten työntekijöillä on pääsy tietoihin, joille se heidän työtehtäviensä hoitamisen vuoksi on tarpeen. Työntekijöitä sitoo vaitiolovelvollisuus.

6. Rekisterin käyttö on ohjeistettu.
 12. Mahdollisen automaattisen päätöksenteon  olemassaolo Palvelu ei tee tallentuvaan tietoon perustuvaa profilointia eikä tee automaattisia päätöksiä.
 13. Rekisteröidyn oikeudet AOikeus saada pääsy tietoihin (15 artikla, pyyntö osoitetaan yhteyshenkilölle)  

Rekisteröidyllä on oikeus saada tieto, että rekisteröityä koskevia tietoja käsitellään tai ei käsitellä. Rekisteröidyllä on oikeus saada pääsy omiin tietoihin ja tarkastaa itseään koskevat henkilötiedot. Rekisterinpitäjän on toimitettava pyynnöstä jäljennös käsiteltävistä henkilötiedoista. Jos rekisteröity pyytää useampia jäljennöksiä, rekisterinpitäjä voi periä niistä hallinnollisiin kustannuksiin perustuvan kohtuullisen maksun.

Rekisterinpitäjän on toimitettava tiedot ilman aiheetonta viivytystä ja joka tapauksessa kuukauden kuluessa pyynnön vastaanottamisesta. Määräaikaa voidaan tarvittaessa jatkaa enintään kahdella kuukaudella ottaen huomioon pyyntöjen monimutkaisuus ja määrä. Rekisterinpitäjän on ilmoitettava rekisteröidylle tällaisesta mahdollisesta jatkamisesta kuukauden kuluessa pyynnön vastaanottamisesta sekä viivästymisen syyt.

Jos rekisterinpitäjä ei toteuta toimenpiteitä rekisteröidyn pyynnön perusteella, rekisterinpitäjän on ilmoitettava viipymättä ja viimeistään kuukauden kuluessa pyynnön vastaanottamisesta rekisteröidylle syyt siihen ja kerrottava mahdollisuudesta tehdä valitus valvontaviranomaiselle ja käyttää muita oikeussuojakeinoja.

Tarkastuspyyntö tehdään henkilökohtaisen käynnin yhteydessä tai omakätisesti allekirjoitetulla tai muulla luotettavalla tavalla varmennetulla asiakirjalla. Rekisteröidyn henkilöllisyydestä varmistutaan ja tarvittaessa se tarkastetaan ennen tietojen antamista. Tarkastuspyyntö osoitetaan rekisterinpitäjän yhteyshenkilölle.

Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko

  1. periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai
  2. kieltäytyä suorittamasta pyydettyä toimea.

Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

Asiakkaan oikeudesta lokitietoihin on erityisesti säädetty sosiaali- ja terveydenhuollon asiakastietojen sähköisestä käsittelystä (159/2007) annetussa laissa. Yleisemmin on sovellettu julkisuuslain 11 §:n asianosaisen tiedonsaantisäännöstä, joka mahdollistaa myös salassa pidettävän tiedon saamisen.

Rekisterinpitäjän käyttäjien suorittamasta henkilötiedon käsittelystä syntyvät lokitiedot eivät kuulu tietosuoja-asetuksen 15 artiklan tarkoittaman tarkastusoikeuden piiriin, koska lokitietojen rekisteröity on käyttäjä, ei asiakas.

B. Oikeus tehdä valitus valvontaviranomaiselle (77 artikla)

Rekisteröity voi tehdä asiaa koskevan toimenpidepyynnön tietosuojavaltuutetun verkkosivuilla (tietosuoja.fi).

C. Oikeus vaatia tiedon korjaamista (16 artikla)

Rekisteröidyllä on oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot. Ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin, rekisteröidyllä on oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys.

Mikäli rekisteri perustuu taustajärjestelmästä tuotavaan aineistoon, korjaamispyyntö tulee esittää taustajärjestelmän henkilörekisterin yhteyshenkilölle. Korjaamispyyntö on tehtävä kirjallisesti ja riittävän yksilöidysti. Rekisteröidyn henkilöllisyydestä varmistutaan ja tarvittaessa se tarkastetaan ennen tietojen korjaamista.

Tiedonkorjaamispyynnöt osoitetaan kirjallisesti rekisterinpitäjän yhteyshenkilölle. Rekisteröity vastaa itse rekisteritietoihin sisältyvien omien tietojen ajan tasalla pitämisestä.

Jos tiedon korjaamisesta kieltäydytään, rekisteröidylle annetaan kirjallinen kieltäytymistodistus. Todistuksesta ilmenevät syyt, joiden vuoksi vaatimusta ei ole hyväksytty.

Lokitietoja ei korjata, koska lokit suojataan niiden luottamuksellisuuden ja eheyden rikkomuksilta.

D. Oikeus poistaa tiedot (17 artikla) ”oikeus tulla unohdetuksi” EI sovelleta lakisääteisissä rekistereissä

Rekisterinpitäjällä on velvollisuus poistaa henkilötiedot ilman aiheetonta viivytystä. Rekisterissä olevat henkilötiedot säännöllisesti poistetaan / anonymisoidaan ja / tai pseudonymisoidaan, kun tiedon henkilöintiä ei enää tarvita. Mikäli rekisteröity haluaa pyytää itseään koskevan tiedon poistoa nopeammin, poistopyyntö osoitetaan kirjallisesti rekisterinpitäjän yhteyshenkilölle.

Rekisteröidyllä on oikeus pyytää itseään koskevan tiedon poistoa.  Henkilötiedot poistetaan rekisteristä niiltä osin kuin laki ja viranomaispäätökset sen mahdollistavat. Jos rekisteröidyn ja rekisterinpitäjän välillä vallitsee palvelussuhde tai siihen verrattavissa oleva suhde, rekisteröidyllä ei ole oikeutta poistaa tietoja. (8 §:n 1 momentin 5 kohta, HetiL 523/2006)

Jos tiedon poistamisesta kieltäydytään, rekisteröidylle annetaan kirjallinen kieltäytymistodistus. Todistuksesta ilmenevät syyt, joiden vuoksi vaatimusta ei ole hyväksytty.

E. Oikeus siirtää tiedot järjestelmästä toiseen (20 artikla)

Rekisteröidyllä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.

F. Rekisteröidyn suostumuksen peruuttaminen

Henkilötietojen käsittely perustuu rekisteröidyltä saatuun suostumukseen tai rekisterinpitäjän ja rekisteröidyn välillä vallitsemaan palvelussuhteeseen tai siihen verrattavasta suhteesta johtuva asiallinen yhteys. Asiakassuhteessa tai vastaavassa asiallisessa suhteessa olevalla rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruminen päättää asiakassuhteen. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Rekisteröidyllä ei ole oikeutta peruuttaa suostumusta niin kauan kuin rekisterinpitäjän ja rekisteröidyn välillä vallitsee palvelussuhde tai siihen verrattavissa oleva suhde.

G. Muu informaatio

Rekisteriin tallennettuja tietoja ei käytetä/luovuteta suoramainontaan tai etämyyntiin, eikä muuta suoramarkkinointia tai markkina- ja mielipidetutkimusta samoin kuin henkilömatrikkelia tai sukututkimusta varten.

Huoltaja tai edunvalvoja voi toimia rekisteröidyn puolesta rekisteröidyn suostumuksella.