Tietosuojaseloste

Yleistä

Tässä tietosuojaselosteessa määritellään tavat, joilla Ilmi Beauty (Ilmi Concept Oy, 3225224-5) kerää, käsittelee, suojaa ja siirtää asiakkaidensa henkilötietoja.

Henkilötiedoilla tarkoitetaan kaikkia luonnollista henkilöä koskevia tietoja, joista hänet voi suoraan tai epäsuorasti tunnistaa, siten kuin tietosuoja-asetuksessa on määritelty.

Tietosuojaseloste perustuu EU:n yleiseen tietosuoja-asetukseen (2016/679). Rekisterinpitäjä suojaa rekisteröityjen yksityisyyttä noudattamalla tietosuojalainsäädäntöä ja hyvää tietojenkäsittelytapaa.

Tämä tietosuojaseloste on julkaistu 21.10.2021.

 

 

Rekisterin tiedot

Tämän rekisterin rekisterinpitäjä on:

Ilmi Concept Oy (3225224-5).
Osoite: Leppäsuonkatu 9C711, 00100 Helsinki
Sähköposti: info@ilmibeauty.fi
Puhelinnumero: +358 407679616

Rekisterinpitäjän yhteyshenkilönä toimii:

Ilona Raimas
ilona.raimas@ilmibeauty.fi
+358 405771802

Rekisterin nimi on Ilmi Concept Oy:n asiakasrekisteri.

 

 

Henkilötietojen käsittelyn tarkoitus

Henkilötietoja käsitellään:

  • Tuotteiden ja palveluiden tilaamiseen sekä varaamiseen
  • Tuotteiden ja palveluiden kehittämiseen sekä laadunvalvontaan
  • Mahdollisissa reklamaatio- tai laskutustilanteissa
  • Muissa asiakassuhteen kannalta välttämättömissä palvelutilanteissa
  • Lakisääteisten velvollisuuksien täyttämiseen,
  • esimerkkinä kirjanpidolliset tarkoitukset sekä muut raportointivelvollisuudet

Näiden lisäksi henkilötietoja voidaan käsitellä myös markkinointiin liittyvissä tarkoituksissa.

Rekisterinpitäjä käsittelee tietoja itse sekä hyödyntää henkilötietojen käsittelyssä rekisterinpitäjän puolesta ja lukuun toimivia alihankkijoita.

Mikäli asiakas ei suostu luovuttamaan palvelun tai tuotteen ostamisen kannalta oleellisia henkilötietojaan, Ilmi Concept Oy voi pidättää oikeuden olla solmimatta asiakkaan kanssa ostosopimusta.

 

Käsittelyn oikeusperusteet

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset perusteet:

  • rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten (GDPR 6 art. 1.a);
  • käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR 6 art. 1.b);
  • käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi (GDPR 6 art. 1.f).

Edellä mainittu rekisterinpitäjän oikeutettu etu perustuu rekisteröidyn henkilön ja rekisterinpitäjän välillä olevaan merkitykselliseen ja asianmukaiseen suhteeseen, joka muodostuu siitä, että rekisteröity on rekisterinpitäjän asiakas, ja kun käsittely tapahtuu tarkoituksiin, joita rekisteröity on kohtuudella voinut odottaa henkilötietojen keräämisen ajankohtana ja asianmukaisen suhteen yhteydessä.

Varaamalla ajan asiakas hyväksyy tietojensa käsittelyn.

 

Rekisterin tietosisältö

Rekisteri sisältää seuraavanlaisia tietoja:

  • Henkilön perustiedot: etu- ja sukunimi, osoite, puhelinnumero, sähköpostiosoite
  • Mahdolliset laskutus- ja maksutiedot
  • Yritykseen tai muuhun organisaatioon liittyvät tiedot ja henkilön asema tai tehtävänimike ko. yrityksessä tai organisaatiossa
  • Asiakastiedot: ostetut ja varatut tuotteet sekä palvelut, niiden laatu sekä asiakassuhteeseen vaikuttavat tiedot, jotka asiakas on itse antanut palvelun yhteydessä
  • Rekisteröidyn antamat suostumukset sekä kiellot
 

Säännönmukaiset tietolähteet

Henkilö- sekä asiakastiedot kerätään rekisteröidyltä henkilöltä itseltään. Henkilötietoja kerätään ja päivitetään myös sovellettavan lainsäädännön rajoissa yleisesti saatavilla olevista lähteistä, jotka liittyvät rekisterinpitäjän ja rekisteröidyn henkilön välisen asiakassuhteen toteuttamiseen ja joiden avulla rekisterinpitäjä toteuttaa asiakassuhteiden ylläpitämiseen liittyviä velvollisuuksiaan.

 

Henkilötietojen säilytysaika

Rekisteriin kerättyjä tietoja säilytetään niin pitkään, kuin on tarpeellista tietosuojaselosteessa määriteltyjen tarkoitusten toteuttamiseksi. Poikkeuksen muodostavat lakisääteiset velvoitteet tai muut juridiset syyt.

Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti sisäisten käytännesääntöjensä mukaisesti. Lisäksi rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epärelevantit henkilötiedot poistetaan tai oikaistaan viipymättä.

 

Henkilötietojen vastaanottajat sekä tietojen säännönmukaiset luovutukset

Henkilötietoja ei luovuteta suoramarkkinointiin taikka mielipide- tai markkinatutkimuksiin. Tietoja voidaan eritystilanteissa luovuttaa viranomaisille, mikäli laki, juridiset syyt tai muut syyt sitä vaativat.

Henkilötietoja voidaan siirtää seuraaville varmistetuille tahoille:

  • Nets
  • Phorest

Ilmi Beauty käyttää Phorest -yrityksen tarjoamaa ohjelmistoa ajanvarausten, asiakkuuksien, maksujen sekä markkinoinnin hallintaan. Phorestin tietosuojaseloste on saatavilla osoitteessa: https://www.phorest.com/fi/data-protection-privacy/ Phorest (Anglesea Mills, 9 Anglesea Row, Smithfield, Dublin 7, D07 W5NE, Irlanti)

Phorestin henkilöstöllä on pääsy asiakkaiden henkilötietoihin ainoastaan mikäli Ilmi Concept Oy tarvitsee asiakastukea tai vianetsintää. Lisäksi Phorestin henkilöstön tulee käsitellä henkilötietoja tämän tietosuojaselosteen sekä soveltuvien tietosuojalakien mukaisesti.

Mikäli yhtiö on osallisena yritysjärjestelyssä, se voi joutua luovuttamaan rekisteröityjen henkilötietoja kolmansille osapuolille. Rekisteröidyn tietosuoja turvataan myös ko. järjestelyissä, ja niistä ilmoitetaan rekisteröidylle asianmukaisesti tarvittaessa.

Tietojen luovutus kolmannelle tapahtuu pääsääntöisesti sähköisten tiedonsiirtoyhteyksien avulla, mutta tietoja voidaan luovuttaa myös muulla tavoin, kuten puhelimitse tai kirjeitse.

Henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

 

Rekisterin suojauksen periaatteet

Asianmukaiset toimenpiteet suoritetaan asiakkaiden henkilötietojen suojaamiseksi organisaation sisäiseltä tai ulkoiselta luvattomalta tai asiattomalta pääsyltä. Asiakkaan avaama internetyhteys Phorest järjestelmään käyttää HTTPS tiedonsiirtoprotokollaa sekä TSL suojausta. Tämä tarkoittaa, että kaikki Phorest -järjestelmään siirretyt tiedot salataan tietojen syötön ja pilvipalveluun siirtämisen ajaksi. Työntekijöille annetaan näihin tietoihin ainoastaan rajatut pääsyoikeudet ja he voivat vierailla Phorest ohjelmistossa ainoastaan yrityksen johdon antamalla henkilökohtaisella PIN-koodilla.

Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.

Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä. Palvelin on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella.

Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat rekisteröityvät rekisterinpitäjän IT-järjestelmän lokitietoihin.

Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

 

Rekisteröidyn oikeudet

Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:

  1. oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: (i) käsittelyn tarkoitukset; (ii) kyseessä olevat henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot (GDPR 15 art.). Nämä kuvatut perustiedot (i)-(vii) annetaan rekisteröidylle henkilölle tällä lomakkeella;
  2. oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen (GDPR 7 art.);
  3. oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin (GDPR 16 art.);
  4. oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten; (iv) henkilötietoja on käsitelty lainvastaisesti; tai (v) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.);
  5. oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.);
  6. oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti (GDPR 20 art.);
  7. oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (GDPR 77 art.).

Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan rekisterinpitäjän yhteyshenkilölle.

Päivitetty: 20.10.2021