Registerbeskrivning

DATASKYDDSBESKRIVNING FÖR SCANVALL FINLAND OY:S KUNDREGISTER

1 Personuppgiftsansvarig
Registrets personuppgiftsansvarig är SCANVALL FINLAND OY (FO-nummer 2366982-3)

Kontaktperson i registerärenden: Juha Kankaanpää

SCANVALL FINLAND OY
Adress: Voimatie 5 b, 90630 ULEÅBORG
Telefon: 0400 168 184
E-post: info@scanvall.fi

2 Registrets namn
Registrets namn är SCANVALL FINLAND OY:s kundregister.

3 Ändamålet med behandlingen av personuppgifter
Personuppgifter behandlas för ändamål relaterade till hanteringen, administrationen och utvecklingen av kundrelationen, tillhandahållandet och leveransen av tjänster,
för att utveckla våra tjänster samt för fakturering. Personuppgifter behandlas också för ändamål som är nödvändiga för att utreda eventuella reklamationer och andra krav.

Dessutom behandlas personuppgifter vid kommunikation till kunder, till exempel för informations- och nyhetssyften och för marknadsföring. Personuppgifter behandlas även för ändamål relaterade till direktmarknadsföring och elektronisk direktmarknadsföring.

Kunden har rätt att förbjuda direktmarknadsföring riktad till honom eller henne.

Den personuppgiftsansvarige behandlar uppgifterna själv och använder underleverantörer som agerar på uppdrag av den personuppgiftsansvarige i behandlingen av personuppgifter.

4 Rättsliga grunder för behandlingen
Den rättsliga grunden för behandlingen av personuppgifterna är följande grjnder som är i enlighet med EU:s allmänna dataskyddsförordning (nedan kallad ”GDPR”):

• den registrerade har gett sitt samtycke till behandling av sina personuppgifter för ett eller flera specifika ändamål (GDPR 6, artikel 1.a).
• behandlingen är nödvändig för att uppfylla ett avtal som den registrerade är part i eller för att vidta åtgärder före ingående av avtalet på begäran av den registrerade (GDPR 6, 1.b),
• behandlingen är nödvändig för att uppnå den personuppgiftsansvariges eller en tredje parts berättigade intressen (GDPR 6 artikel 1.f).

Den personuppgiftsansvariges ovan nämnda berättigade intresse grundar sig på ett meningsfullt och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige till följd av att den registrerade är den personuppgiftsansvariges kund, när behandlingen sker för ändamål som den registrerade rimligen kunde ha förväntat sig vid tidpunkten för insamlingen av personuppgifter och i anslutning till det lämpliga förhållandet.

5 Registrets datainnehåll (personuppgiftsgrupper som ska behandlas)
Registret innehåller i princip följande personuppgifter om alla registrerade personer:

• grundläggande uppgifter och kontaktuppgifter: [förnamn, efternamn, adress, telefonnummer, e-postadress]
• information om personens företag eller annan organisation samt personens ställning eller titel i ifrågavarande företag eller organisation
• personens givna tillstånd för eller förbud mot direktmarknadsföring.

6 Regelmässiga uppgiftskällor
Personuppgifter samlas in från den registrerade själv.

Personuppgifter samlas också in och uppdateras från offentligt tillgängliga källor inom ramen för lagstiftningen
i anslutning till kundrelationen mellan den personuppgiftsansvarige och den registrerade för att möjliggöra för den personuppgiftsansvarige
att fullgöra sina skyldigheter i upprätthållandet av kundrelationer.

7 Uppgifternas lagringstid
De uppgifter som samlas i registret får endast sparas så länge och i den omfattning som krävs för
det ursprungliga ändamålet för vilket personuppgifterna samlades in eller för andra ändamål som är i linje med detta.

Behovet av att lagra personuppgifter bedöms [vart tredje år]; och under alla omständigheter ska uppgifterna om den registrerade raderas från registret [3 år] efter att kundens kundrelation med den personuppgiftsvarige har avslutats och de skyldigheter och åtgärder som kundförhållandet medför har slutförts.
Till exempel verifikat för bokföringen sparas i sex år från och med räkenskapsperiodens slut.

Den personuppgiftsansvarige bedömer regelbundet behovet av att lagra uppgifter i enlighet med sin interna uppförandekod.
Dessutom ska den personuppgiftsansvarige vidta alla rimliga åtgärder för att säkerställa att personuppgifter som är ofullständiga,
felaktiga eller föråldrade i förhållande till ändamålen med behandlingen raderas eller korrigeras utan dröjsmål.

8 Mottagare av personuppgifter (mottagargrupper) och regelmässigt utlämnande av uppgifter
Personuppgifter lämnas inte ut till tredje part.

9 Överlåtelse och mottagare av uppgifter

Uppgifterna lämnas inte ut regelmässigt till andra parter. Uppgifter kan offentliggöras i den utsträckning som överenskommits med kunden.

Våra tjänsteleverantörer utanför EU eller EES är Google Analytics, Facebook, Twitter och nyhetsbrevtjänsten MailChimp, som följer Privacy Shield-avtalet mellan EU och USA.

10 Principer för skydd av registret
Material som innehåller personuppgifter förvaras i låsta utrymmen som endast är tillgängliga för namngivna personer som har beviljats åtkomst till uppgifterna på grund av sina arbetsuppgifter.

Databasen som innehåller personuppgifter lagras på en server som finns i ett låst utrymme och endast kan nås av namngivna, auktoriserade personer. Servern skyddas av en ändamålsenlig brandvägg och genom tekniskt skydd.

Åtkomst till databaser och system fås endast med personliga användarnamn och lösenord som beviljas separat. Den personuppgiftsansvarige har begränsat
användningsrättigheterna och -behörigheterna till datasystem och andra lagringsplattformar så att av uppgifterna kan endast granskas och behandlaspersoner som är nödvändiga för en
lagenlig behandling av uppgifterna. Dessutom registreras händelserna i databaserna och systemen i den personuppgiftsansvariges IT-systemloggar.

Den personuppgiftsansvariges anställda och andra personer har förbundit sig att iaktta tystnadsplikt och hemlighålla de uppgifter som mottagits i samband med behandlingen av personuppgifter.

11 Den registrerades rättigheter
Den registrerade har följande rättigheter enligt EU:s allmänna dataskyddsförordning:

• rätt att få bekräftelse från den personuppgiftsansvarige att personuppgifter som rör honom eller henne behandlas eller inte behandlas och, om sådana personuppgifter behandlas, rätt att få tillgång till personuppgifterna samt följande information: (i) syftet med behandlingen, (ii) berörda kategorier av personuppgifter, (iii) mottagare eller kategorier av mottagare till vilka personuppgifter har lämnats eller ska lämnas, (iv) i tillämpliga fall den avsedda lagringstiden för personuppgifterna eller, om detta inte är möjligt, kriterierna för att fastställa denna tid, (v) den registrerades rätt att begära att den personuppgiftsansvarige korrigerar eller raderar personuppgifter som rör honom eller henne samt rätt att begränsa eller invända mot behandlingen av personuppgifter, (vi) rätt att inge klagomål till tillsynsmyndighet, (vii) om personuppgifter inte samlas in från den registrerade, all tillgänglig information om uppgifternas ursprung (artikel 15 i GDPR) Grunduppgifterna som beskrivs här (i)–(vii) ges till den registrerade på ett formulär
• rätt att när som helst återkalla sitt samtycke utan att det påverkar lagligheten av den behandling som gjordes på grundval av samtycket innan det återkallades (artikel 7 i GDPR)
• rätt att kräva att den personuppgiftsansvarige utan onödigt dröjsmål korrigerar ofullständiga och felaktiga personuppgifter om den registrerade och rätt att få ofullständiga personuppgifter kompletterade, bland annat genom att tillhandahålla ytterligare förtydligande, med beaktande av syftet för vilket uppgifterna behandlas (artikel 16 i GDPR)
• rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade om något av följande gäller: (i) Personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats. (ii) Den registrerade återkallar det samtycke på vilket behandlingen grundar sig och det finns inte någon annan rättslig grund för behandlingen. (iii) Den registrerade invänder mot behandlingen av skäl som hänför sig till hans eller hennes specifika situation och det saknas berättigade skäl för behandlingen, eller den registrerade invänder mot behandling för direkt marknadsföring. (iv) Personuppgifterna har behandlats på olagligt sätt. (v) Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av (artikel 17 i GDPR)
• rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt: (i) Den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta.(ii) Behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning. (iii) Den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk (iv) Den registrerade har invänt mot behandling av skäl som hänför sig till hans eller hennes specifika situation i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (artikel 18 i GDPR)
• rätt att få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om behandlingen grundar sig på samtycke enligt förordningen och behandlingen sker automatiserat (artikel 20 i GDPR)
• rätt att lämna in ett klagomål till en tillsynsmyndighet om den registrerade anser att behandlingen av personuppgifter som avser henne eller honom strider mot EU:s allmänna dataskyddsförordning (artikel 77 i GDPR)
• Den registrerades önskemål gällande uppfyllandet av rättigheterna riktas till den personuppgiftsansvariges kontaktperson enligt punkt 1.