1. Yleistä

Tässä tietosuojaselosteessa kuvataan, miten Mediaattori Oy (”Mediaattori”) käsittelee henkilötietoja asiakkaista ja mahdollisista asiakkaista, mitä henkilötietoja Mediaattori kerää, mihin tarkoituksiin tietoja käytetään, ja mille tahoille tietoja voidaan luovuttaa. Tietosuojaseloste antaa tietoa myös niistä velvoitteista, joita Mediaattori noudattaa henkilötietojen käsittelyssä.

Mediaattori suojaa rekisteröityjen yksityisyyttä ja noudattaa kaikessa henkilötietojen käsittelyssä EU:n yleisestä tietosuoja-asetusta (2016/679) sekä muuta soveltuvaa tietosuojalainsäädäntöä (yhdessä ”tietosuojalainsäädäntö”). Tietosuojasta huolehtiminen osa kaikkea Mediaattorin liiketoimintaa.

Tätä tietosuojaselostetta sovelletaan kaikkiin Mediaattorin tarjoamiin sovelluksiin, palveluihin sekä verkkosivuihin ja sosiaalisen median palveluihin. Lisäksi tietosuojaselostetta sovelletaan Mediaattorin yritys- ja yhteisöasiakkaiden, yhteistyökumppaneiden ja palveluntarjoajien edustajien ja yhteyshenkilöiden henkilötietojen käsittelyyn, joiden osalta Mediaattori toimii rekisterinpitäjänä. Tätä tietosuojaselostetta ei sovelleta työsuhdetta ja työnhakua koskevaan henkilötietojen käsittelyyn.

Palvelut ja verkkosivut voivat sisältää linkkejä myös ulkoisille verkkosivustoille ja palveluihin, joita operoivat muut organisaatiot. Tämä tietosuojaseloste ei sovellu niiden käyttöön ja Mediaattori ei vastaa muiden verkkosivustojen tai ulkoisten palvelujen tietosuojakäytännöistä.

”Henkilötiedoilla” tarkoitetaan kaikkia luonnollista henkilöä (”rekisteröity”) koskevia tietoja, joista hänet voi suoraan tai epäsuorasti tunnistaa, siten kuin tietosuoja-asetuksessa on määritelty. Tiedot, joista ei voi suoraan tai epäsuorasti tunnistaa rekisteröityä, eivät ole henkilötietoja.

2. Rekisterinpitäjä ja yhteystiedot

Rekisterinpitäjä Mediaattori Oy (y-tunnus: 2208233–4)
Mariankatu 12 B 15, 15150 Lahti

Yhteyshenkilö: toimitusjohtaja Elina Puska
Yhteystiedot: tietosuoja@mediaattori.fi

3. Henkilötietojen käsittelyn oikeusperuste ja käsittelyn tarkoitukset

Rekisteröityjen henkilötietojen käsittelyn oikeusperusteena on Mediaattorin ja rekisteröidyn välinen sopimussuhde, joka perustuu Mediaattorin tarjoaman tuotteen tai palvelun tilaamiseen tai hyödyntämiseen, sopimusvelvoitteiden hoitamiseen tai muuhun asiakassuhteeseen. Käsittely asiakassuhteen hoitoon ja suoramarkkinointiin perustuu pääasiallisesti Mediaattorin oikeutettuun etuun. Mediaattori on arvioinut käsittelyn hyödyt ja mahdolliset haitat rekisteröidylle ja todennut, että rekisteröityjen oikeudet ja edut eivät syrjäytä rekisterinpitäjän oikeutettua etua.

Henkilötietojen käsittely voi perustua myös lakisääteisiin velvoitteisiin.

Henkilötietoja käsitellään mm. seuraavia tarkoituksia varten:

• Mediaattorin tuotteiden ja palveluiden tilaamiseen ja hyödyntämiseen
• Mediaattorin palveluiden tuottamiseen, ylläpitoon, kehittämiseen ja laadunvarmistukseen
• Mediaattorin verkkosivujen kehittämiseen ja toiminnan varmistamiseen
• Mediaattorin palveluiden turvallisuuden varmistamiseen ja palveluiden käytön seurantaan
• lakisääteisten velvollisuuksien hoitamiseen (esimerkiksi kirjanpito- ja verovelvoitteiden hoitamiseen tai muusta erityislainsäädännöstä seuraavien velvollisuuksien hoitamiseen, kuten lääkelaista (395/1987) seuraavat velvoitteet)
• riskienhallintaan ja väärinkäytösten estämiseen
• liiketoiminnan suunnitteluun ja tuotekehitykseen
• asiakasviestintään ja tapahtumien järjestämiseen
• markkinointiin mukaan lukien markkinoinnin kohdentaminen (asiakkaille ja potentiaalisille asiakkaille), markkinatutkimukset, muu markkinoinnin edistäminen ja analyysit sekä statistiikan tuottaminen ja markkinoinnin tehon mittaaminen
• yhteydenpitoon yhteistyökumppaneiden kanssa

4. Käsiteltävät henkilötietoryhmät ja tietosisältö ja tietolähteet

Mediaattori kerää rekisteröidyistä vain sellaisia henkilötietoja, jotka ovat olennaisia ja tarpeellisia tässä tietosuojaselosteessa selostettujen käyttötarkoitusten kannalta.

Rekisteröityjen ryhmät ja käsiteltävät tiedot:

Tietojen antaminen on välttämätöntä Mediaattorin ja rekisteröidyn välisen sopimukseen täytäntöönpanemiseksi, lainsäädäntöön perustuvien velvoitteiden hoitamiseksi sekä Mediaattorin palveluiden tuottamiseksi.

Pääasiallisesti henkilötiedot kerätään rekisteröidyiltä itseltään esimerkiksi tarjouksen tekemisen yhteydessä, asiakas- tai muun sopimuksen solmimisen yhteydessä, kuvaus- tai haastattelutilanteissa, Mediaattorin palveluihin kirjautuessa, Mediaattorin verkkosivuilla tai palveluiden käytön aikana tai muutoin asiakkuuden aikana tai tilaamalla sähköisen uutiskirjeen.

Lisäksi Mediaattorin yhteisöasiakkaat ja sopimuskumppanit voivat antaa tietoja rekisteröidyistä.

Mediaattori voi hyödyntää myös kolmannen osapuolen tarjoamia analytiikkapalveluja, joiden kautta kerätään teknisiä tunnistetietoja.

5. Henkilötietojen säilyttäminen

Tietojen säilyttämisaika ja säilyttämiskriteerit vaihtelevat henkilötietoryhmittäin henkilötietoryhmän käyttötarkoituksen mukaisesti.

Mediaattori säilyttää henkilötietoja niin pitkään, kuin on tarpeellista tietosuojaselosteessa määriteltyihin tarkoituksiin, ja aina kuitenkin lainsäädännön velvoittaman ajan, tai oikeudenkäyntiä tai vastaavan erimielisyystilanteen selvittämistä varten tarvittavan ajan.

Henkilötietoja säilytetään asiakas- ja sopimussuhteen voimassaolon ajan ja tarpeellinen aika asiakas- ja sopimussuhteen päättymisen jälkeen. PODIUM-palvelun käyttäjätietoja säilytetään asiakassuhteen ajan ja tarpeellisia tietoja 3 vuotta asiakassuhteen päättymisen jälkeen, ellei lainsäädännössä velvoiteta säilyttämään pidempää aikaa.

Yhteisöjen osalta rekisteröidyn henkilötietojen säilyttäminen on sidoksissa siihen, kuinka pitkään kyseinen rekisteröity toimii yhteisön edustajana Mediaattorin suuntaan.

Markkinointia varten tarpeellisia henkilötietoja säilytetään niin pitkään, kun rekisteröity on markkinoinnin kohteena, eikä rekisteröity ole vastustanut häntä koskevien henkilötietojen käyttämistä markkinointia varten tai kieltänyt yhteystietojensa käyttöä sähköiseen suoramarkkinointiin.

Kun henkilötietoa ei enää tarvita edellä määritellyllä tavalla, tiedot poistetaan kohtuullisessa ajassa, ellei lainsäädännössä velvoiteta säilyttämään tietoja pidempää aikaa.

Lisäksi todetaan selvyyden vuoksi, että siltä osin, kun Mediaattori toimii henkilötietojen käsittelijänä rekisterinpitäjänä olevaan sopimuskumppaniin nähden, noudatetaan näiden henkilötietojen käsittelyn osalta asianomaisen rekisterinpitäjän tietosuojaselosteita. Henkilötietojen käsittelijänä toimiessaan Mediaattori palauttaa sopimuksen mukaisesti henkilötiedot rekisterinpitäjänä toimivalle sopimuskumppanille sopimussuhteen päättymisen jälkeen.

Henkilötietojen säilyttämisen välttämättömyyttä, kuten myös tietojen oikeellisuus, tarkistetaan säännöllisesti. Yksityiskohtaisemmat säilytysajat toimitetaan pyydettäessä.

6. Henkilötietoja käsittelevät tahot ja muut vastaanottajat

Mediaattori voi tämän tietosuojaselosteen mukaisesti käyttää henkilötietojen käsittelyssä kolmansia osapuolia, kuten palveluntarjoajia ja alihankkijoita. Henkilötietojen käsittelyyn osallistuvat esimerkiksi Mediaattorille IT-järjestelmiä ja taloushallintopalveluita, perintä- ja lakipalveluita, tavarantoimituksia ja muita palveluita tuottavat palveluntarjoajat. Lisäksi Mediaattorin palveluihin rekisteröityneiden käyttäjien henkilötietoja voidaan näyttää tai julkaista muille Mediaattorin palveluita käyttäville palvelun käyttötarkoituksen toteuttamiseksi liittyen. Varmistamme sopimusjärjestelyin, että henkilötietoja käsitellään voimassa olevan tietosuojalainsäädännön mukaisesti ja muutoin asianmukaisesti. Toimitamme pyynnöstä lisätietoja vastaanottajista.

Lisäksi henkilötietoja voidaan luovuttaa lakisääteisten velvoitteiden ja sopimusvelvoitteiden hoitamiseen liittyen mm. viranomaisille, kuten veroviranomaisille ja Mediaattorin yhteistyökumppaneille. Henkilötietoja voidaan luovuttaa suoramarkkinointitarkoituksiin sekä mielipide- ja markkinatutkimuksiin ja muihin vastaaviin selvityksiin lainsäädännön mukaisesti.

Lisäksi Mediaattori voi joutua hätätilanteissa tai muissa yllättävissä tilanteissa luovuttamaan rekisteröityjen henkilötietoja ihmisten hengen ja terveyden sekä omaisuuden suojaamiseksi. Lisäksi Mediaattori voi joutua luovuttamaan rekisteröityjen henkilötietoja, mikäli Mediaattori on osallisena oikeudenkäynneissä tai muissa riidanratkaisuelimissä tapahtuvissa menettelyissä.

Mikäli Mediaattori on osallisena fuusiossa, liiketoimintakaupassa tai muussa yritysjärjestelyssä se voi joutua luovuttamaan rekisteröityjen henkilötietoja kolmansille osapuolille tai järjestelyissä avustaville tahoille.

7. Henkilötietojen siirto Euroopan unionin tai Euroopan talousalueen ulkopuolelle

Mikäli henkilötietoja siirretään Euroopan unionin (EU) tai Euroopan talousalueen (ETA) ulkopuolelle, huolehdimme henkilötietojen suojan riittävästä tasosta muun muassa sopimalla henkilötietojen käsittelyyn liittyvistä asioista tietosuojalainsäädännön edellyttämällä tavalla, kuten Euroopan komission vakiosopimuslausekkeita käyttäen sekä huolehtien tarpeellisista lisäsuojatoimenpiteistä.

Seuraavat vastanottajat voivat käsitellä henkilötietoja EU/ETA:n ulkopuolella: Freshworks Inc. (asiakaspalvelupyyntöjen käsittely), Twilio Inc (sähköpostien välittäminen).

8. Henkilötietojen suojauksen periaatteet ja käsittelyn turvallisuus

Mediaattori käsittelee henkilötietoja tavalla, jolla pyritään varmistamaan henkilötietojen asianmukainen turvallisuus, mukaan lukien suojaaminen luvattomalta käsittelyltä sekä vahingossa tapahtuvalta häviämiseltä, tuhoutumiselta tai vahingoittumiselta.

Mediaattori käyttää asianmukaisia teknisiä ja organisatorisia suojatoimia tämän turvaamiseksi, mukaan lukien palomuurien, salaustekniikoiden, turvallisten laitetilojen käyttö, asianmukainen kulunvalvonta ja pääsynhallinta, henkilötietojen käsittelyyn osallistuvan henkilöstön sekä alihankkijoiden ohjeistaminen.

Pääsyoikeus henkilötietoihin on rajattu ainoastaan erikseen oikeutetuille tahoille. Varmistamme, että palveluntarjoajamme täyttävät vaaditut tietoturvavaatimukset.

Alkuperäiskappaleina säilytettävä asiakirja-aineisto pidetään lukituissa tiloissa, joihin pääsyoikeus on rajattu ainoastaan sinne oikeutetuille tahoille. Kaikilla henkilötietoja käsittelevillä tahoilla on vaitiolovelvollisuus rekisteröityjen henkilötietojen käsittelyyn liittyvistä asioista.

9. Rekisteröityjen oikeudet

Rekisteröidyillä on tietosuojalainsäädännön takaamat oikeudet.

Oikeus päästä tietoihin ja tietojen tarkastusoikeus

Rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja.

Rekisteröidyllä on oikeus tarkistaa ja nähdä itseään koskevat tiedot ja pyynnöstä oikeus saada tiedot kirjallisesti tai sähköisessä muodossa.

Oikeus tietojen oikaisuun ja tietojen poistamiseen

Rekisteröidyllä on oikeus vaatia virheellisen tai epätarkan tiedon korjaamista. Lisäksi rekisteröidyllä on voimassa olevan tietosuojalainsäädännön mukainen oikeus vaatia tietojensa poistamista.

Rekisterinpitäjä poistaa, korjaa ja täydentää myös oma-aloitteisesti havaitsemansa käsittelyn tarkoituksen kannalta virheellisen, tarpeettoman, puutteellisen tai vanhentuneen henkilötiedon.

Oikeus tietojen siirtämiseen sekä käsittelyn rajoittamiseen ja käsittelyn vastustamiseen

Rekisteröidyllä on voimassa olevan tietosuojalainsäädännön mukaisesti oikeus vaatia tietojensa siirtämistä toiselle rekisterinpitäjälle.

Lisäksi rekisteröidyllä on tietosuojalainsäädännön määrittämien edellytysten mukaisesti oikeus pyytää henkilötietojen käsittelyn rajoittamista. Lisäksi tilanteessa, jossa virheelliseksi epäiltyä henkilötietoa ei voida korjata tai poistaa taikka poistopyynnöstä on epäselvyyttä, yhtiö rajoittaa tietoihin pääsyä.

Rekisteröidyllä on oikeus vastustaa tietojen käyttöä tietynlaiseen käsittelyyn. Rekisteröidyllä on oikeus kieltää tietojensa luovuttaminen ja käsittely suoramarkkinointia varten.

Oikeus peruuttaa suostumus

Jos henkilötietojen käsittely perustuu rekisteröidyn antamaan suostumukseen, rekisteröidyllä on oikeus perua antamansa suostumus häntä koskevien tietojen käsittelyyn. Perumisella ei ole vaikutusta sitä aiemmin suoritettuun käsittelyyn. Rekisteröity voi koska tahansa perua suostumuksen ottamalla yhteyttä kappaleessa 2 annettuihin yhteystietoihin.

Oikeuksien toteuttaminen

Rekisteröityjen oikeuksia koskevat pyynnöt tehdään henkilökohtaisen käynnin yhteydessä tai kirjallisesti tai sähköisesti ja osoitetaan tämän tietosuojaliitteen kappaleen 2 mainitulle rekisterinpitäjän yhteyshenkilölle. Henkilöllisyys tarkistetaan ennen tietojen antamista.  Voimme pyytää tarpeen mukaan lisätietoja voidakseen täyttää edellä mainitut pyynnöt.

Pyyntöön vastataan kohtuullisessa ajassa ja mahdollisuuksien mukaan kuukauden kuluessa pyynnön esittämisestä ja henkilöllisyyden tarkistamisesta lukien.

Voimme kieltäytyä käsittelemästä pyyntöjä, jotka ovat suhteettoman toistuvia, kohtuuttomia tai ilmeisen perusteettomia. Lisäksi voimme kieltäytyä pyynnöstä (kuten tietojen poistamisesta), lakisääteisen velvoitteen tai yhtiön lakisääteisen oikeuden johdosta, kuten esimerkiksi palveluihin liittyvä velvoite tai vaade. Jos rekisteröidyn pyyntöön ei voida suostua, kieltäytymisestä ilmoitetaan rekisteröidylle kirjallisesti.

10. Oikeus tehdä valitus valvontaviranomaiselle

Rekisteröidyllä on oikeus tehdä valitus tietosuojaviranomaiselle, mikäli rekisteröity katsoo, että hänen henkilötietojaan on käsitelty voimassa olevan lainsääsäädännön vastaisesti. Suomen tietosuojaviranomaisen yhteystiedot löydät täältä.

11. Muutokset tietosuojaselosteeseen

Mediaattori kehittää jatkuvasti palveluitaan ja voi sen johdosta joutua tarpeen mukaan muuttamaan ja päivittämään tätä tietosuojaselostetta. Muutokset voivat perustua myös tietosuojaa koskevan lainsäädännön muuttumiseen. Suosittelemme tutustumaan tietosuojaselosteen sisältöön säännöllisesti. Mikäli muutokset pitävät sisällään uusia tarkoituksia henkilötietojen käsittelylle, ilmoittamme niistä etukäteen ja pyydämme tarvittaessa suostumuksen.

Tietosuojaseloste on päivitetty 8.4.2022