Dataskyddbeskrivning för kundregister

1. PERSONUPPGIFTSANSVARIG
Personuppgiftsansvarig för registret är Hunajayhtymä Oy (FO-nummer 0204045-2).

Kontaktperson i registerärenden:
Aapo Savo, verkställande direktör

Hunajayhtymä Oy
Adress: Kojonperäntie 13, 32250 Kojonkulma
Tfn: 0207 769 680
E-post: hunaja@hunaja.fi

2. REGISTRETS NAMN
Registrets namn är Hunajayhtymä Oy:s kundregister.

3. ÄNDAMÅLET MED BEHANDLING AV PERSONUPPGIFTER
Personuppgifterna behandlas för ändamål i anslutning till skötsel, administration och utveckling av kundrelationen, erbjudande, försäljning och leverans av produkter och tillbehör, utveckling av produkter och tillbehör samt fakturering. Personuppgifter behandlas även för ändamål som förutsätts för att klargöra eventuella reklamationer och andra yrkanden.

Dessutom behandlas personuppgifter i kommunikation till kunderna i informations-, nyhets- och marknadsföringssyfte. Som en del av detta behandlas personuppgifter även i syften för direktmarknadsföring och elektronisk direktmarknadsföring.

Kunden har rätt att förbjuda direktmarknadsföring till sig själv.

Den personuppgiftsansvarige behandlar uppgifterna själv samt anlitar vid behandlingen av personuppgifter underleverantörer som verkar för den personuppgiftsansvarige och för dennes räkning.

4. RÄTTSLIG GRUND FÖR BEHANDLING
Rättsliga grunder för behandlingen av personuppgifter är följande grunder enligt EU:s allmänna dataskyddsförordning (härefter även ”GDPR”):

  • den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (GDPR 6.1 a)
  • behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (GDPR 6.1 b)
  • behandlingen är nödvändig för att tillgodose den personuppgiftsansvariges eller en tredje parts berättigade intresse (GDPR 6.1 f).

Den personuppgiftsansvariges berättigade intresse som nämns ovan grundar sig på ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige som är en följd av att den registrerade är kund hos den personuppgiftsansvarige och då behandlingen sker för ändamål som den registrerade rimligen kunde förvänta sig vid den tidpunkt personuppgifterna samlades in och i samband med ett relevant förhållande.

5. REGISTRETS DATAINNEHÅLL (PERSONUPPGIFTSKATEGORIER SOM BEHANDLAS)
Registret innehåller i princip följande personuppgifter om alla registrerade personer:

  • basuppgifter och kontaktuppgifter: förnamn, efternamn, adress, telefonnummer, e-postadress
  • uppgifter som ansluter till personens företag eller organisation och personen ställning eller befattning i företaget eller organisationen i fråga.

6. REGELMÄSSIGA UPPGIFTSKÄLLOR
Personuppgifterna samlas in från den registrerade personen själv.

Personuppgifter samlas in och uppdateras även inom ramen för tillämplig lagstiftning från källor som är allmänt tillgängliga och som ansluter till kundrelationen mellan den personuppgiftsansvarige och den registrerade och med vilka den personuppgiftsansvarige fullföljer sina skyldigheter för att upprätthålla kundrelationen.

7. PERSONUPPGIFTERNAS LAGRINGSTID
De uppgifter som samlats i registret sparas endast så länge och i den omfattning som det är nödvändigt med tanke på de ursprungliga eller därmed förenliga ändamål för vilka personuppgifterna har samlats in.

Behovet av att lagra personuppgifterna bedöms vart tredje år, och i varje fall raderas uppgifterna om en person i registret sex år efter att den registrerades kundrelation till den personuppgiftsansvarige har upphört och skyldigheterna och åtgärderna i anslutning till kundrelation har fullföljts.

Den personuppgiftsansvarige bedömer behovet av att lagra uppgifterna regelbundet utifrån interna praxisregler. Dessutom vidtar den personuppgiftsansvarige alla rimliga åtgärder för att säkerställa att personuppgifter som är inexakta, felaktiga eller föråldrade i förhållande till de ändamål för vilka de behandlas raderas eller rättas utan dröjsmål.

8. MOTTAGARE AV PERSONUPPGIFTER (KATEGORIER AV MOTTAGARE) SAMT REGELMÄSSIGT UTLÄMNANDE AV UPPGFTER
Personuppgifter överlåts inte externt.

9. ÖVERFÖRING AV INFORMATION UTANFÖR EU ELLER EES
Personuppgifter i registret överförs inte utanför EU eller EES.

10. PRINCIPER FÖR SKYDD AV REGISTRET
Material som innehåller personuppgifter förvaras i låsta utrymmen till vilka endast namngivna personer och på grund av sina uppgifter befullmäktigade personer har tillträde.

Databasen med personuppgifter finns på en server som förvaras i ett låst utrymme till vilket endast namngivna och på grund av sina uppgifter befullmäktigade personer har tillträde.

Servern är skyddad med en adekvat brandvägg och tekniskt skydd.

Tillträde till databaserna och systemen ges endast med personliga användarnamn och lösenord som beviljas separat. Den personuppgiftsansvarige har begränsat användarrättigheterna och användarbehörigheterna till datasystemen och andra lagringsplattformar så att endast de personer som är nödvändiga för lagenlig behandling kan granska och behandla uppgifterna.

Dessutom registreras användningen av databaserna och systemen i logguppgifterna i den personuppgiftsansvariges IT-system.

Den personuppgiftsansvariges anställda och andra personer som behandlar personuppgifter har förbundit sig till tystnadsplikt och att hemlighålla de uppgifter de får i samband med behandlingen av personuppgifter.

11. DEN REGISTRERADES RÄTTIGHETER
Den registrerade har följande rättigheter med stöd av EU:s allmänna dataskyddsförordning:

  • rätt att få bekräftelse av den personuppgiftsansvarige att hans/hennes personuppgifter behandlas eller att de inte behandlas, och om dessa personuppgifter behandlas, rätt att få tillgång till personuppgifterna samt följande uppgifter: (i) ändamålen med behandlingen, (ii) de kategorier av personuppgifter som behandlingen gäller, (iii) de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, (iv) om möjligt, de kriterier som används för att fastställa denna period, (v) den registrerades rätt att av den personuppgiftsansvarige begära rättelse eller rading av personuppgifterna eller begränsning av behandlingen den förutsedda period under vilken personuppgifterna kommer att lagras eller om av personuppgifter som rör den registrerade eller att invända mot sådan behandling, (vi) rätten att inge klagomål till en tillsynsmyndighet, (vii) om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer (GDPR artikel 15). Dessa här beskrivna basuppgifter (i)–(vii) ges till den registrerade på denna blankett.
  • rätt att återkalla samtycket när som helst utan att det påverkar lagenligheten av den behandling som grundar sig på samtycke, innan detta återkallats (GDPR artikel 7)
  • rätt att kräva att den personuppgiftsansvarige utan onödigt dröjsmål rättar felaktiga uppgifter som rör den registrerade samt rätt att få ofullständiga personuppgifter kompletterade, bland annat genom att tillhandahålla ett kompletterande utlåtande med beaktande av ändamålet med behandlingen (GDPR artikel 16)
  • rätt att av den personuppgiftsansvarige få sina personuppgifter raderade utan onödigt dröjsmål förutsatt att (i) personuppgifterna inte längre är nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats, (ii) den registrerade återkallar det samtycke på vilken behandlingen grundar sig och inte någon annan rättslig grund finns för behandlingen, (iii) den registrerade invänder mot behandlingen utifrån en personlig specifik situation och det saknas berättigade skäl för behandlingen som väger tyngre eller den registrerade invänder mot behandling i syfte för direktmarknadsföring, (iv) personuppgifterna har behandlats på olagligt sätt, eller (v) personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i nationell rätt som denpersonuppgiftsansvarige omfattas av (GDPR artikel 17),
  • rätt till att den personuppgiftsansvarige begränsar behandlingen om (i) den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta, (ii) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning, (iii) den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk, eller (iv) den registrerade har invänt mot behandling utifrån en personlig specifik situation i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (GDPR artikel 18)
  • rätt att få ut de personuppgifter som rör honom eller henne själv som den registrerade har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om behandlingen grundar sig på sådant samtycke som avses i förordningen och behandlingen sker automatiskt (GDPR artikel 20)
  • rätt att lämna in klagomål till en tillsynsmyndighet, om den registrerade anser att behandlingen av hans eller hennes personuppgifter strider mot EU:s allmänna dataskyddsförordning (GDPR artikel 77).

Den registrerades begäran om att utöva sina rättigheter ska riktas till den personuppgiftsansvariges kontaktperson som nämns i punkt 1.