Asiakas- ja markkinointirekisterin tietosuojaseloste

Laadittu: 15.1.2024

Korvaa: 5.2.2020 laaditun asiakasrekisterin tietosuojaselosteen, 17.6.2018 laaditun asiakaspalvelun sähköpostilaatikoiden rekisterin tietosuojaselosteen sekä 23.10.2023 laaditun suoramarkkinointirekisterin tietosuojaselosteen

Tehdyt muutokset: 9.4.2024 – täsmennetty kohtaa 9 Henkilötietojen säilyttämisaika, 1.11.2024 – muutettu rekisterinpitäjän nimi Edita Lakitieto Oy:stä Edilex Lakitieto Oy:ksi

Tietosuojaseloste kuvaa rekisterin tietosisällön ja käyttötarkoituksen sekä EU:n yleisen tietosuoja-asetuksen (EU 2016/679) mukaiset rekisteröidyn oikeudet.

Sisältö:

1. Rekisterinpitäjä

Edilex Lakitieto Oy, y-tunnus 3451297-9

PL 700, 00043 EDITA
Verkkosaarenkatu 5, 00580 Helsinki

Puh. 020 450 00

2. Yhteyshenkilö rekisteriä koskevissa asioissa

Edilex Lakitieto Oy
Roosa Joensuu, kehityspäällikkö
roosa.joensuu@edilex.fi
Puh. +358 40 860 2233

PL 700, 00043 EDITA
Verkkosaarenkatu 5, 00580 Helsinki

3. Henkilötietojen käsittelyn tarkoitukset

Henkilötietoja käytetään

  • Asiakkuuden ylläpitämiseen
  • Tuotteiden tai palveluiden tilausten toimitukseen, käsittelyyn, laskutukseen ja arkistointiin
  • Asiakasviestintään ja asiakaskokemuksen parantamiseen
  • Käyttäjähallintaan ja palveluiden personointiin tunnistautumista edellyttävien digitaalisten palveluiden käytön yhteydessä
  • Digitaalisten palvelujen tunnistautumiseen tarvittavien tietojen välittämiseen suojattuna
  • Rekisterinpitäjän toiminnan ja palveluiden toteuttamiseen ja kehittämiseen
  • Markkinointiin ja mainontaan sekä näiden kohdentamiseen, etämyyntiin tai muuhun suoramarkkinointiin, mielipide- tai markkinatutkimukseen, tai muihin näihin rinnastettaviin osoitteellisiin lähetyksiin
  • Tilastollisiin tarkoituksiin
  • Väärinkäytösten estämiseen

Tietoja voidaan käsitellä yksin tai rekisterinpitäjän muiden rekisterien sisältämien tietojen kanssa tai yhdessä rekisterinpitäjän kanssa samaan konserniin kuuluvien yhtiöiden muiden rekisterien kanssa. Tietoja voidaan käsitellä rekisterinpitäjän kanssa samaan konserniin kuuluvissa yhtiöissä.

Rekisterinpitäjä ei käytä automaattista päätöksentekoa, kuten automaattista profilointia, osana henkilötietojen käsittelytoimintaa.

4. Henkilötietojen käsittelyn oikeusperuste

Henkilötietojen käsittelyn oikeusperusteita ovat henkilötietojen käsittelyn tarkoituksen mukaan rekisterinpitäjän lakisääteiset velvoitteet, sopimus, suostumus ja rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Rekisterinpitäjän lakisääteiset velvoitteet ovat käsittelyperusteena silloin, kun henkilötietoja on käsiteltävä esimerkiksi kirjanpitolainsäädännön ja verotuslainsäädännön noudattamiseksi.

Henkilötietoja voidaan käsitellä myös rekisterinpitäjän ja rekisteröidyn välisen sopimuksen täytäntöönpanemiseksi (kuten rekisterinpitäjän tuotteiden ostaminen) tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.

Rekisteröidyn antaman suostumuksen perusteella tietoja voidaan myös käyttää mainontaan ja markkinointiin, myyntiin, mielipide- tai markkinatutkimukseen sekä suoramarkkinointiin tai muihin näihin rinnastettaviin osoitteellisiin lähetyksiin. Suostumuksen peruuttaminen on mahdollista helposti ja milloin tahansa. Lisäksi sovellettavaa tietosuojalainsäädäntöä noudattaen sähköistä suoramarkkinointia voidaan lähettää myös sellaisille vastaanottajille, joiden osalta rekisterinpitäjä voi perustellusti katsoa, että markkinoitavilla tuotteilla tai palveluilla on olennainen liityntä potentiaalisen asiakkaan vastuualueeseen tai työtehtäviin. Suostumuksen suoramarkkinointiin voi peruuttaa ilmoittamalla tästä rekisterinpitäjälle tai klikkaamalla jokaisen markkinointiviestin yhteydessä olevaa kieltomahdollisuutta (”Poistu postituslistalta” tai ”Unsubscribe” -toiminto), jolloin rekisteröidyn tiedot poistetaan rekisterinpitäjän sähköisen suoramarkkinoinnin tilaajalistalta.

Rekisterinpitäjän oikeutettu etu on käsittelyperusteena silloin, kun rekisteröidyn ja rekisterinpitäjän välillä on asiallinen yhteys. Tällainen asiallinen yhteys muodostuu mm. silloin, kun rekisteröity on omasta aloitteestaan rekisterinpitäjään yhteydessä, tai kun rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja esimerkiksi rekisteröidyn työnantajan ja rekisterinpitäjän välisen liike- tai yhteistyötoiminnan yhteydessä. Lisäksi rekisterinpitäjä voi kirjata oikeutetun edun perusteella asiakasrekisteriin sellaisten potentiaalisten asiakkaiden ja näiden yhteyshenkilöiden ja edustajien tietoja, joiden rekisterinpitäjä voi perustellusti odottaa olevan kiinnostuneita hankkimaan rekisterinpitäjän tarjoamia palveluita tai tuotteita. Rekisterinpitäjän oikeutetun edun perusteella henkilötietoja voidaan käsitellä myös suoramarkkinointia ja tilastointia varten sekä henkilötietoja voidaan siirtää hallinnollisista syistä rekisterinpitäjän kanssa samaan konserniin kuuluvien yhtiöiden välillä.

5. Käsiteltävät henkilötietoryhmät

Rekisteröidyistä käsitellään seuraavia, kunkin käyttötarkoituksen kannalta tarpeellisia henkilötietoja:

Asiakkaan perustiedot, kuten

  • etu- ja sukunimet
  • arvo, asema tai ammatti, tehtäväalue organisaatiossa
  • yhteystiedot (kuten osoitteet, puhelinnumerot, sähköpostiosoitteet)
  • yrityksen tai organisaation nimi, jos asiakas asioi sen edustajana
  • tietoihin voidaan yhdistää muita tietoja, kuten yrityksen tai organisaation toimiala, henkilölukumäärä, liikevaihto ja päättäjätiedot

Asiakkuuteen ja muuhun asialliseen yhteyteen liittyvät tiedot, kuten

  • asiakkuuden tai asiallisen yhteyden alkamis- ja päättymisajankohta
  • tunnistettuna asiakkaana tehtyjen tilausten ja ostojen tiedot (esimerkiksi ostot verkkokaupassa tai verkkopalvelussa) ja ostoprosessin eri vaiheet ja tapahtumat
  • palvelujen käyttötiedot (esim. ilmaiset uutiskirjeet)
  • tiedot asiakkaan eduista ja kampanjoista sekä niiden käytöstä
  • mielenkiinnon kohteet ja muut asiakkaan itse antamat tiedot (esim. yhdistyksen tai liiton jäsenyys)
  • asiakkuushistoria: asiakkuuteen ja muuhun asialliseen yhteyteen liittyvä yhteydenpito ja viestintä eri kanavissa ja medioissa
  • asiakkaan palvelujen käytön tai tilaamisen yhteydessä itse antamat tai tuottamat tiedot (kuten kyselyt, tarjouspyynnöt, hintatiedustelut, palautteet)
  • muut asiakkaan suostumuksella kerätyt tiedot

Verkkokaupan tai digitaalisen palvelun käyttöön tunnistautuneena käyttäjänä liittyvät tiedot

  • käyttäjätunnus ja kryptattu salasana sekä käyttöoikeudet
  • asiakkaan käyttämään laitteeseen liittyvät tiedot, kuten päätelaite, IP-osoite, käyttöjärjestelmä

Maksamiseen ja ostamiseen liittyvät tiedot, kuten

  • valittu maksutapa ja maksuvälineiden yksilöintitiedot
  • pankkiyhteystiedot
  • laskutukseen ja perintään liittyvät tiedot
  • mahdollisia hinnanalennuksia varten annetut tiedot, kuten tiettyjen yhdistysten tai järjestöjen jäsenyys

Asiakkaan antamiin suostumuksiin ja kieltoihin liittyvät tiedot

  • markkinointiluvat ja -kiellot
  • markkinoinnin kohdentamiseen liittyvät tiedot

Verkkokaupan ja digitaalisten palvelujen käytöstä ja siitä johdetut tiedot, kuten

  • evästeiden avulla kerättyihin tietoihin perustuvat käyttäytymistiedot

6. Säännönmukaiset tietolähteet

Rekisteröity henkilö (asiakas) tai hänen puolestaan asioiva henkilö antaa itse tiedot asioidessaan verkkokaupassa tai muussa palvelussa. Kun kyseessä on ryhmätilaus, tiedot antaa ryhmän yhteyshenkilö.Tietoja kerätään rekisterinpitäjän tuotteita tai palveluita tilanneista ja käyttäneistä henkilöistä. Tietoja kerätään rekisterinpitäjän järjestelmistä palveluihin rekisteröitymisen ja käytön yhteydessä. Lisäksi henkilötietoja voidaan kerätä sovellettavan tietosuojalainsäädännön mukaisesti niistä rekisterinpitäjän toimintoihin liittyvistä sosiaalisista medioista, joissa rekisteröityneestä henkilöstä on tietoa saatavilla.

Tietoja voidaan täydentää rekisterinpitäjän tai rekisterinpitäjän kanssa samaan konserniin kuuluvien yhtiöiden kanssa muista rekistereistä tai myös osoite-, päivitys- tai muuta vastaavaa palvelua tarjoavan rekisterinpitäjän rekistereistä tai muista julkisista tai yksityisistä tietolähteistä, sekä rekisterinpitäjän yhteistyökumppaneilta.

Luottotietojen tarkistusta varten tietoja voidaan kerätä luottotietorekistereistä.

Rekisteröidyn antama tieto tiettyyn yhdistykseen tai järjestöön kuulumisesta voidaan tarkistaa ulkopuoliselta yhteistyökumppanilta.

7. Henkilötietojen vastaanottajat tai vastaanottajaryhmät

Jos asiakas on kirjautunut verkkokauppaan, evästeillä ja muilla vastaavilla tekniikoilla kerättyjä ns. havainnoituja tietoja voidaan yhdistää asiakkaalta muussa yhteydessä saatuihin tietoihin sovellettavan tietosuojalainsäädännön mukaisesti. Evästeistä on saatavilla lisätietoja sivulla Evästekäytännöt.

Rekisterinpitäjä voi luovuttaa tietoja voimassa olevan lainsäädännön sallimissa ja velvoittamissa rajoissa muun muassa rekisterinpitäjän yhteistyökumppaneille rekisterinpitäjän tuotteiden ja palveluiden myynti- ja markkinointitarkoituksiin, ellei rekisteröity ole kieltänyt tietojensa tällaista luovuttamista. Tietoja voidaan luovuttaa rekisterinpitäjän myymän palvelun tai sen osan tuottajalle tai rekisterinpitäjän yhteistyökumppanille, jolla on asiallinen yhteys kyseisen tuotteen tai palvelun kanssa. 

Tietoja voidaan siirtää ja luovuttaa myös rekisterinpitäjän kanssa samaan konserniin kuuluvien yhtiöiden sisällä konserniyhtiöiden tuotteiden ja palveluiden markkinointi- ja myyntitarkoituksiin.

Jos tietoja siirretään tai luovutetaan konsernin ulkopuolelle, rekisterinpitäjä huolehtii sopimusjärjestelyin riittävästä tietosuojan tasosta lainsäädännön edellyttämällä tavalla. Rekisterinpitäjän puolesta henkilötietoja voivat käsitellä esimerkiksi luotettavat palveluntarjoajat, joiden kanssa rekisterinpitäjä on tehnyt asianmukaiset sopimukset sovellettavan tietosuojalainsäädännön noudattamisen varmistamiseksi. Tällaisia palveluntarjoajia ovat esimerkiksi IT-palveluntarjoajat, markkinointipalveluntarjoajat ja lakiasiainpalveluiden tarjoajat. Lisäksi henkilötietoja voidaan luovuttaa yritysjärjestelyn yhteydessä tai rekisterinpitäjän tuottaman palvelun siirtyessä kolmannelle taholle; viranomaisille ja tuomioistuimille näiden määräyksestä; sekä maksujen perimiseksi perintäpalveluiden tarjoajille.

8. Henkilötietojen siirto Euroopan unionin tai Euroopan talousalueen ulkopuolelle

Henkilötietoja voidaan siirtää käsiteltäväksi Euroopan unionin tai Euroopan talousalueen ulkopuolelle, mikäli se on tarpeellista tietojärjestelmien käyttämisen vuoksi. Tällöin siirtoon osalliset varmistavat, että henkilötietoja siirretään ja käsitellään sovellettavan tietosuojalainsäädännön vaatimusten mukaisesti, kuten Euroopan komission hyväksymin mallisopimuslausekkein ja tarvittavin lisäsuojatoimin tai vastaavin hyväksytyin siirtomekanismein.

9. Henkilötietojen säilyttämisaika

Rekisterinpitäjä käsittelee ja säilyttää tietoja ainoastaan niin kauan kuin lakisääteinen velvoite vaatii tai kuin on tarpeellista henkilötiedon ennalta määritellyn käyttötarkoituksen kannalta. Henkilötietoja säilytetään asiakas- ja yhteistyösuhteiden hoitoon tarvittavan pituinen aika, kuitenkin vähintään kirjanpitolainsäädännön ja verotuslainsäädännön määrittelemä vähimmäisaika. Tarpeettomiksi muuttuneet henkilötiedot, joita rekisterinpitäjällä ei ole enää perustetta tai velvollisuutta säilyttää eikä käsitellä, poistetaan säännöllisin väliajoin rekisterinpitäjän omien tietosuojakäytäntöjen mukaisesti.

Henkilötietoja sisältävät asiakastiedot, jotka ovat osa kirjanpitoaineistoa, säilytetään kuuden vuoden ajan sen vuoden lopusta, jonka aikana tilikausi on päättynyt kirjanpitolain mukaisesti.

Oppimisympäristö Moodleen tallennetut henkilötiedot säilytetään kolmen vuoden ajan asiakkaan viimeisimmästä kirjautumisesta ympäristöön, jonka jälkeen tiedot poistetaan. Pääsääntöisesti muut asiakkaan henkilötiedot säilytetään neljän vuoden ajan viimeisimmän tilausjakson päättymisestä tai viimeisimmästä ostosta ja tiedot poistetaan tämän jälkeen, mikäli asiakas ei mainittuna aikana ole kirjautunut rekisterinpitäjän palveluihin eikä hänellä ole voimassa olevaa asiakassuhdetta rekisterinpitäjään. Perusteena säilytysajalle on palveluiden mahdollisimman helppo uudelleenaktivoiminen, palveluiden kehittäminen, sekä markkinointitarkoitukset asiakkaan aiempaan tilaus- tai ostohistoriaan perustuen.

Tietoja voidaan käsitellä suoramarkkinointiin yhteistyösuhteen päättymisen jälkeen voimassa olevan lainsäädännön mukaisesti, ellei rekisteröity ole sitä kieltänyt.

10. Rekisterin suojauksen periaatteet

Kaikkia rekisteröityihin liittyviä tietoja käsitellään luottamuksellisina, eikä niitä ilmaista muille kuin niitä työssään tarvitseville, joita sitoo salassapitovelvollisuus. Ainoastaan niillä rekisterinpitäjän tai sen kanssa samaan konserniin kuuluvien yhtiöiden työntekijöillä ja henkilötietojen käsittelysopimuksen tehneiden yhteistyökumppaneiden työntekijöillä on pääsy tietoihin, joille se on työhön liittyvien tehtävien hoitamiseksi tarpeellista. Käsiteltäviä henkilötietoja säilytetään tiloissa, joihin ulkopuolisilla ei ole pääsyä ilman valvontaa.

Tietokannat ja muut tietovarastot, joihin rekisterin tietoja tallennetaan, ovat palomuurein, salasanoin ja muin teknisin keinoin suojattuja. Rekisterin käyttöoikeus on ainoastaan rekisterinpitäjän tai sen kanssa samaan konserniin kuuluvien yritysten tai yhteistyökumppaneiden työntekijöillä, joilla on rekisteriin pääsyyn vaadittavat käyttäjätunnukset ja salasanat.

11. Rekisteröidyn oikeudet

Rekisteröidyllä on sovellettavan tietosuojalainsäädännön mukaiset oikeudet, joista keskeisimmät on kuvattu alla.

OikeusKuvaus
Oikeus saada pääsy henkilötietoihinRekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai niitä ei käsitellä. Jos henkilötietoja käsitellään, henkilöllä on oikeus saada pääsy tietoihin.
Oikeus vaatia tiedon oikaisemista, poistamista tai käsittelyn rajoittamistaRekisteröidyllä on oikeus pyytää rekisterinpitäjää oikaisemaan häntä koskevat virheelliset tiedot, sekä poistamaan jonkin häntä koskevan henkilötiedon tai pyytää käsittelyn rajoittamista laissa säädetyin perustein. Oikeutta tietojen poistamiseen ei ole mm. silloin, jos rekisterinpitäjällä on tarve käsitellä henkilötietoja tai henkilötietoihin kohdistuu säilyttämisvelvollisuus.
VastustamisoikeusRekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä erityiseen tilanteeseensa liittyen, silloin kuin rekisterinpitäjä käsittelee henkilötietoja oikeutetun edun perusteella.

Jos henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä tällaista markkinointia varten, mukaan lukien profilointia silloin, kun se liittyy tällaiseen suoramarkkinointiin. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointia varten, niitä ei saa enää käsitellä tähän tarkoitukseen.
Oikeus siirtää tiedot järjestelmästä toiseenRekisteröidyllä on oikeus saada häntä koskevat henkilötiedot, jotka hän on toimittanut rekisterinpitäjälle, yleisesti käytetyssä ja koneellisesti luettavassa muodossa ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jos käsittely perustuu suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti. Rekisteröidyllä on oikeus saada henkilötiedot siirrettyä suoraan rekisterinpitäjältä toiselle, jos se on teknisesti mahdollista.
Oikeus peruuttaa suostumusMilloin rekisteröidyn henkilötietoja käsitellään hänen suostumuksensa perusteella, rekisteröidyllä on oikeus peruuttaa suostumuksensa milloin tahansa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun henkilötietojen käsittelyn lainmukaisuuteen.
Oikeus tehdä valitus valvontaviranomaiselleSuomessa valvontaviranomainen on Tietosuojavaltuutetun toimisto, jonka yhteystiedot ja ohjeet löytyvät osoitteesta www.tietosuoja.fi.

Oikeuksien käyttäminen

Rekisteröity voi käyttää tietosuojaoikeuksiaan ottamalla yhteyttä rekisterinpitäjään lähettämällä sähköpostin tämän tietosuojaselosteen kohdassa 2 mainittuun sähköpostiosoitteeseen.
Rekisterinpitäjä pyrkii vastaamaan rekisteröidylle mahdollisimman pikaisesti ja pääsääntöisesti viimeistään kuukauden kuluessa pyynnön esittämisestä ja henkilöllisyyden tarkistamisesta lukien. Rekisterinpitäjä antaa tarvittaessa lisäohjeita tai esittää lisäkysymyksiä rekisteröidyn pyynnön johdosta.

Ennen pyynnön toteuttamista rekisterinpitäjällä on oikeus ja velvollisuus varmentua rekisteröidyn henkilöllisyydestä. Rekisterinpitäjän on kyettävä tunnistamaan rekisteröity riittävällä tavalla. Rekisterinpitäjä ilmoittaa rekisteröidylle edellä todetussa määräajassa, mikäli rekisteröidyn pyyntöä ei voida toteuttaa.

13. Lisätiedot

Mikäli rekisteröidyllä on kysyttävää rekisterinpitäjän suorittamaan henkilötietojen käsittelyyn liittyen, rekisteröity voi ottaa rekisterinpitäjään yhteyttä tämän tietosuojaselosteen alussa ilmoitetuilla yhteydenottotavoilla.

Rekisterinpitäjä voi ajoittain joutua muuttamaan tätä tietosuojaselostetta. Muutoksista ilmoitetaan rekisterinpitäjän verkkosivuilla.

Tämä tietosuojaseloste on viimeksi päivitetty 1.11.2024.