Integritetspolicy


INTEGRITETSPOLICY FÖR KA-MU OY:S WEBBUTIK OCH BLINGFACTORYS KUNDREGISTER

1 Personuppgiftsansvarig

Personuppgiftsansvarig för registret är Ka-Mu Oy (Fo-nummer 0478028-6)

Kontaktperson i personuppgiftsärenden är: Jari Tuukkanen, administratör för webbutiken

Ka-Mu Oy
Adress: Taka-Wetkantie 3, 43500 Karstula, Finland
Telefon: +358 (0)50 5411231
E-post: info@blingfactory.fi

2 Registrets namn

Detta är kundregistret för Ka-Mu Oy:s webbutik BlingFactory.

3 Ändamålet för behandlingen av personuppgifter

Vi behandlar personuppgifter inom ramarna för hantering, administration och utveckling av kundrelationen, för att erbjuda och tillhandahålla tjänster, för utveckling av våra tjänster samt för fakturering. Vi behandlar också personuppgifter i samband med eventuella reklamationer och andra krav.

Dessutom behandlas personuppgifter i samband med kommunikation gentemot kunderna, exempelvis genom nyhetsbrev och marknadsföring.

Kunden har rätt att förvägra direktreklam.

Den personuppgiftsansvarige behandlar personuppgifter själv och anlitar underleverantörer som behandlar personuppgifter i stället för och åt den personuppgiftsansvarige.

4 Rättslig grund för behandlingen

Den rättsliga grunden för behandlingen av personuppgifter enligt EU:s dataskyddsförordning (nedan även kallad ”GDPR”) är som följer:

1.    den registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål (GDPR artikel 6, stycke 1a);

2.    behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås (GDPR artikel 6, stycke 1b);

3.    behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen (GDPR artikel 6, stycke 1f).

Den personuppgiftsansvariges berättigade intresse enligt ovan grundas på ett relevant och lämpligt förhållande mellan den registrerade och den personuppgiftsansvarige, vilket följer av att den registrerade är kund hos den personuppgiftsansvarige och i den omfattning som behandlingen sker för ändamål som den registrerade rimligen kan förvänta sig vid tidpunkten för insamlingen av personuppgifterna och inom ramarna för det lämpliga förhållandet.

5 Registrets innehåll (kategorier av personuppgifter som behandlas)

Registret innehåller följande personuppgifter om i princip alla registrerade:

1.    grundläggande personuppgifter och kontaktuppgifter: förnamn, efternamn, adress, telefonnummer, e-postadress;

2.    företags- eller organisationsuppgifter; *

3.    samtycke till och förbud mot direktreklam;

4.    kontonummer/IBAN; **

5.    momsnr. *

* Frivillig uppgift.

** Endast i samband med retur.

6 Datakällor

Personuppgifterna samlas in direkt från den registrerade.

Personuppgifterna insamlas och uppdateras inom ramarna för tillämpliga lagar även från allmänt tillgängliga källor där dessa har ett samband med kundrelationen mellan den personuppgiftsansvarige och den registrerade och då den personuppgiftsansvarige använder källorna för att utföra sina skyldigheter gentemot kunden.

7 Lagringstid för personuppgifterna

Uppgifterna i registret lagras endast under nödvändig tid och i nödvändig omfattning för de ursprungliga ändamål eller därmed förenliga ändamål för vilka uppgifterna insamlats.

Behovet av att lagra personuppgifterna omvärderas ungefär vart femte år; den registrerades personuppgifter raderas från registret i vilket fall som helst fem år efter upphörandet av kundrelationen mellan den registrerade och den personuppgiftsansvarige och tillhörande skyldigheter och åtgärder. Exempelvis bokföringsverifikationer lagras i fem år efter det aktuella räkenskapsårets slut.

Den personuppgiftsansvarige gör regelbundna utvärderingar av behovet av att lagra uppgifterna i enlighet med sin interna policy. Dessutom vidtar den personuppgiftsansvarige alla rimliga, möjliga åtgärder för att säkerställa att personuppgifter som för behandlingens ändamål är otydliga, felaktiga eller föråldrade raderas eller korrigeras omgående.

8 Mottagare av personuppgifter (kategorier av mottagare) och överlämning av personuppgifter

Personuppgifterna överlämnas inte till externa parter.

9 Överföring av personuppgifter utanför EU eller EES

Personuppgifterna i registret överförs inte utanför EU eller EES.

10 Skyddsprinciper

Material innehållande personuppgifter förvaras i ett låst utrymme med tillträde endast för namngivna personer som för utförandet av sina uppgifter är i behov av åtkomst.

Databasen med personuppgifterna finns på en server som förvaras i ett låst utrymme med tillträde endast för namngivna personer som för utförandet av sina uppgifter är i behov av åtkomst.  Servern är skyddad med lämplig brandvägg och övrigt tekniskt skydd.

Åtkomst till databaserna och IT-systemen kräver särskilt beviljade personliga inloggningsuppgifter inklusive lösenord. Den personuppgiftsansvarige har begränsat användarbehörigheterna och åtkomsten till IT-systemen och övriga dataplattformar så att endast den som enligt lagen behöver granska och behandla personuppgifterna har åtkomst. Dessutom sparas händelseloggar för databaserna och IT-systemen i den personuppgiftsansvariges IT-system.

Den personuppgiftsansvariges personal och övriga personer är bundna av tystnads- och sekretessplikt i fråga om de uppgifter som de tar del av vid behandlingen av personuppgifterna.

11 Den registrerades rättigheter

Den registrerade har följande rättigheter enligt EU:s allmänna dataskyddsförordning:

1.    rätt att få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna och följande information: (i) ändamålen med behandlingen; (ii) de kategorier av personuppgifter som behandlingen gäller; (iii) de mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut; (iv) om möjligt, den förutsedda period under vilken personuppgifterna kommer att lagras eller, om detta inte är möjligt, de kriterier som används för att fastställa denna period; (v) förekomsten av rätten att av den personuppgiftsansvarige begära rättelse eller radering av personuppgifterna eller begränsningar av behandling av personuppgifter som rör den registrerade eller att invända mot sådan behandling; (vi) rätten att inge klagomål till en tillsynsmyndighet; (vii) om personuppgifterna inte samlas in från den registrerade, all tillgänglig information om varifrån dessa uppgifter kommer (GDPR art. 15). De grundläggande uppgifterna enligt (i)–(vii) ovan lämnas till den registrerade på denna blankett;

2.    rätt att när som helst återkalla sitt samtycke utan att återkallandet påverkar lagligheten av behandling som grundar sig på samtycke innan samtycket återkallades (GDPR art. 7);

3.    rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade och rätt att med beaktande av ändamålet med behandlingen komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande (GDPR art. 16);

4.    rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade om något av följande gäller: (i) personuppgifterna är inte längre nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats; (ii) den registrerade återkallar det samtycke på vilket behandlingen grundar sig och det finns inte någon annan rättslig grund för behandlingen; (iii) den registrerade invänder mot behandlingen av skäl som hänför sig till hans eller hennes specifika situation och det saknas berättigade skäl för behandlingen som väger tyngre, eller den registrerade invänder mot behandlingen för ändamålet direkt marknadsföring; (iv) personuppgifterna har behandlats på olagligt sätt; eller (v) personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse i unionsrätten eller i medlemsstaternas nationella rätt som den personuppgiftsansvarige omfattas av (GDPR art. 17);

5.    rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas om något av följande alternativ är tillämpligt: (i) den registrerade bestrider personuppgifternas korrekthet, under en tid som ger den personuppgiftsansvarige möjlighet att kontrollera om personuppgifterna är korrekta; (ii) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning; (iii) den personuppgiftsansvarige behöver inte längre personuppgifterna för ändamålen med behandlingen men den registrerade behöver dem för att kunna fastställa, göra gällande eller försvara rättsliga anspråk; (iv) den registrerade har invänt mot behandling av skäl som hänför sig till hans eller hennes specifika situation i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades berättigade skäl (GDPR art. 18);

6.    rätt att få ut de personuppgifter som rör den registrerade och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och ha rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som tillhandahållits personuppgifterna hindrar detta, om behandlingen grundar sig på samtycke enligt dataskyddsförordningen och om behandlingen sker automatiserat (GDPR art. 20);

7.    rätt att lämna in ett klagomål till en tillsynsmyndighet om den registrerade anser att behandlingen av personuppgifter som avser henne eller honom strider mot EU:s allmänna dataskyddsförordning (GDPR art. 77).

Begäran avseende den registrerades rättigheter adresseras till den kontaktperson som anges under punkt 1.