Tietosuojaseloste

Tietosuojaseloste FH Invest Oy:n asiakkaille 23.5.2018

Rekisterinpitäjä

FH Invest Oy
Maaherrankatu 10, 50100 Mikkeli
2159364-2

Rekisteristä vastaava yhteyshenkilö

Jussi-Pekka Viskari
j-p.viskari@fhinvest.fi
0505714043

Määritelmät

Henkilötieto

Henkilötiedolla voidaan tarkoittaa käytännössä mitä tahansa tietoa, mikä on yhdistettävissä luonnolliseen henkilöön. Henkilötietoa voi muun muassa olla nimi, yhteystiedot, henkilötunnus, sijaintitiedot, tunnusomainen fyysinen, fysiologinen, geneettinen, psyykkinen, taloudellinen tai kulttuurillinen piirre tai tieto.

Rekisterinpitäjä

Rekisterinpitäjällä tarkoitetaan tietosuoja-asetuksen piirissä luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka yksin tai yhdessä toisten kanssa määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot. FH Invest on tämän selosteen Rekisterinpitäjä.

Henkilötietojen käsittely

Henkilötietojen käsittelyllä tarkoitetaan toimintoa tai toimintoja, joita kohdistetaan henkilötietoihin tai henkilötietoja sisältäviin tietojoukkoihin joko automaattista tietojenkäsittelyä käyttäen tai manuaalisesti, kuten tietojen keräämistä, tallentamista, järjestämistä, jäsentämistä, säilyttämistä, muokkaamista, muuttamista, hakua, kyselyä, käyttöä, tietojen luovuttamista siirtämällä, levittämällä tai asettamalla ne muutoin saataville, tietojen yhteensovittamista tai yhdistämistä, rajoittamista, poistamista tai tuhoamista.

Henkilötietojen käsittelyn tarkoitus

Tässä selosteessa keskitytään asiakkaiden ja yrityksen ulkopuolisten tahojen henkilötietoihin ja niiden käsittelyyn. FH Invest kerää henkilötietoja toteuttaakseen välitys- ja rakennuttamistoimintaa. Välitystoiminnassa yritys kerää tietoja, joita vaaditaan tai ovat keskeisiä välitystoiminnan kannalta, osa näistä tiedoista on tai sisältää henkilötietoja. Ilman näitä henkilötietoja välitystoimeksianto ei ole toteutettavissa. Välitystoiminnassa yritys kerää henkilötietoja myös asiakaskokemuksen parantamiseksi. Rakennuttamisen puolella yritys kerää asiakkaiden tietoja projektien dokumentointia ja asiakaspalvelua varten.

Käsittelyn oikeusperusteet

Tietosuoja-asetuksen mukaan henkilötietoja saa käsitellä 1) Suostumuksella, 2) Yhteisen sopimuksen täytäntöön panemiseksi, 3) Lakisääteisen velvoitteen vuoksi, 4) Rekisteröidyn elintärkeiden etujen suojaamiseksi, 5) Yleistä etua olevan tehtävän suorittamiseksi tai julkisen vallan käyttämiseksi, 6) Rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi.

Välitystoiminnassa henkilötietojen keräämisen oikeusperusteita ovat käytännössä yrityksen ja asiakkaan välinen sopimus, toimeksianto, laki tai erillinen suostumus. Sopimus tai toimeksianto muodostavat itsessään yritykselle oikeuden kerätä välitystoimeksiannon toteuttamisen kannalta keskeisiä henkilötietoja. Välitysliikkeitä kohtaan on asetettu myös lakeja, jotka sitovat yritystä keräämään sähköisesti tai kirjallisesti tarvittavia tietoja välitettävästä kohteesta ja toimeksiantajasta. Erillisellä suostumuksella tarkoitetaan asiakirjaa, jossa asiakas tai muu yrityksen ulkopuolinen taho antaa suostumuksen henkilötietojen keräämiseen kirjallisesti tai sähköisesti selkeällä tahdonilmauksella. Suostumuksessa tulee myös määrittää henkilötietojen käyttötarkoitus.

Rakennuttamisliiketoiminnassa yrityksen oikeusperusteet ovat käytännössä samat kuin välitysliiketoiminnassa. Yritystä voivat sitoa tai oikeuttaa yhteinen sopimus (esim. kauppakirja), laki tai erillinen suostumus. Kukin näistä oikeusperusteista luo yritykselle perusteen, syyn, velvoitteen tai oikeuden käsitellä keskeistä henkilötietoa käyttötarkoituksen mukaisesti.

Säännönmukaiset tietolähteet

Henkilötietojen lähteinä ovat asiakkaat tai henkilöt itse, toimittajat, yhteyshenkilöt, sähköiset puhelinluettelot, yritysten ja viranomaisten kotisivut, keskusjärjestöt ja viranomaiset.

Henkilötietojen säilytysaika

Henkilötietoja tulee säilyttää vain oikeusperusteen myöntävä/velvoittama aika, tämän jälkeen tieto tulee hävittää tai pseudonymisoida. Pseudonymisointi tarkoittaa henkilötietojen naamiointia, jonka jälkeen säilytettävässä aineistossa oleva data ei ole enää yhdistettävissä luonnolliseen henkilöön, eli aineisto ei enää sisällä henkilötietoja.

Toimeksiantoihin ja sopimuksiin on asetettu sekä välitysliikkeille että rakennuttajille vastuita. Kyseiset asiakirjat on säilytettävä ainakin viranomaisten ja/tai lakien määrittelemä säilytysaika. Asiakkailta suostumuksella kerättävät henkilötiedot säilytetään, kunnes asiakassuhde ei ole enää aktiivinen.

Henkilötietojen vastaanottajat

Henkilötietoja tulee henkilötietoasetuksen mukaan käsitellä vain ne tahot, joilla on siihen käsittelyn oikeusperusteen (esim. laki, sopimus, suostumus) kannalta velvoite tai oikeus. Välitystoiminnan henkilötietoja käsittelevät yrityksen myynti, hallinto ja yritysjohto. Rakennuttamisen liiketoiminnassa henkilötietoja käsittelevät asianmukainen alueellaan toimiva toimi- ja kirvesmieshenkilöstö, hallinto ja yritysjohto.

Yritys ei luovuta tietoja kolmansille osapuolille ellei se ole sopimuksen, toimeksiannon, lain, viranomaismääräyksen tai suostumuksen kannalta olennainen tai välttämätön velvoite tai oikeus. Kolmansia osapuolia voivat olla muun muassa yhteistyökumppanit ja viranomaiset.

Tietojen siirto EU:n tai ETA:n ulkopuolelle

Rekisterinpitäjällä saattaa olla käytössään EU:n tai ETA:n ulkopuolella olevia resursseja ja palvelimia. Mikäli näihin kohteisiin siirretään henkilötietoja, rekisterinpitäjä varmistaa, että tietoja käsitellään tietosuoja-asetuksen velvoittamalla tavalla.

Rekisterin suojauksen periaatteet

Rekisterinpitäjä evää henkilötietoja sisältävään aineistoon pääsyn henkilöiltä, joilla ei ole siihen oikeusperustetta. Yritys käsittelee sekä manuaalista että sähköistä henkilötietoaineistoa. Aineiston säilytystapaan vaikuttaa sen arkaluonteisuus. Manuaalista arkaluontoista aineistoa säilytetään lukitussa tilassa, säilytyspisteessä tai kaapissa, kun aineiston käsittelijä ei ole paikalla. Sähköinen aineisto on asianmukaisesti suojattu virustorjunnan, salasanan, palomuurin tai muun sähköisen suojauksen tai tietoa rajaavan tekijän avulla. Käyttöoikeudet on rajattu henkilötiedon käsittelyn oikeusperusteen luoman oikeutuksen tai velvoitteen mukaan säilytys- tai käsittelytavasta riippumatta.

Rekisteröidyn oikeudet

Asetus määrittää rekisteröidyille seuraavat oikeudet: (1) Oikeus saada läpinäkyvää informaatiota, (2) Oikeus saada pääsy tietoihin, (3) Oikeus tietojen oikaisuun ja oikeus tulla unohdetuksi, (4) Oikeus käsittelyn rajaamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajauksesta, (5) Oikeus siirtää tiedot järjestelmästä toiseen, (6) Vastustamisoikeus ja (7) Automatisoidut yksittäispäätökset ja profilointi.

Rekisteröidyllä on oikeus pyytää Rekisterinpitäjältä häntä koskevat tiedot. Rekisterinpitäjän on tarkistettava kyselyn tullessa kyselijän henkilöllisyys, mikäli sillä on perusteltu syy epäillä pyynnön tehneen luonnollisen henkilön henkilöllisyyttä. Rekisterinpitäjä voi kuitenkin pyytää kyselyn tehnyttä tahoa toimittamaan lisätietoja.

Rekisterinpitäjän tulee antaa tiedot Rekisteröidylle selvästi tulkittavassa muodossa jäljennöksenä ((1) Oikeus saada läpinäkyvää informaatiota ja (2) Rekisteröidyn oikeus päästä tietoihin). Rekisteröidyllä on oikeus tehdä kysely vapaasti valitsemallaan tavalla eikä siitä saa lähtökohtaisesti aiheutua hänelle kustannuksia. Rekisterinpitäjä voi tietyin edellytyksin vaatia kulukorvauksen aiheutuneesta tietokyselystä ja tiedon toimittamisesta. Tiedot tulee toimittaa rekisteröidylle kuukauden kuluessa kyselyn tekohetkestä lähtien.

Rekisteröidyllä on myös oikeus tulla unohdetuksi ja oikaista hänestä olevaa tietoa (3). Tämä tarkoittaa, että hänellä on oikeus pyytää rekisterinpitäjää poistamaan kaikki hänestä oleva tieto, osa tiedoista tai pyytää tarkentamaan hänestä olevaa aineistoa virheellisyydestä johtuen. Tämä oikeus ei päde mikäli rekisterinpitäjällä on henkilötietojen käsittelyn oikeusperuste lakisääteisen velvoitteen vuoksi.

Oikeus käsittelyn rajaamiseen ja rekisterinpitäjän velvollisuus ilmoittaa rajauksesta (4) kohdalla tarkoitetaan, että rekisteröidyllä on oikeus rajata häntä koskevaa tietoa. Kohta käsittää myös rekisterinpitäjän velvoitteen, joka tarkoittaa, että hänen tulee ilmoittaa rekisteröidylle, mikäli hän ei ole kykeneväinen rajaamaan rekisteröidystä olevaa tietoa, esim. lakiin vedoten.

Oikeus siirtää tiedot järjestelmästä toiseen (5) tarkoittaa rekisteröidyn oikeutta pyytää Rekisterinpitäjää siirtämään tiedot toiselle rekisterinpitäjälle. Rekisterinpitäjän tulee siirtää tiedot mikäli se on teknisesti toteutettavissa. Rekisteröidyllä ei ole oikeutta tähän pyyntöön jos rekisterinpitäjällä on tietojen käsittelyoikeus yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi.

Vastustamisoikeudella (6) tarkoitetaan rekisteröidyn oikeutta vastustaa Rekisterinpitäjän oikeutta ylläpitää rekisteröidyn tietoja. Vastustamiseen on erittäin spesifit tilanteet, jotka käsittävät pääasiassa tai osan julkisia talouksia tai yrityksien keräämää markkinointi- tai tutkimustarkoitukseen olevaa aineistoa.

Automatisoidut yksittäispäätökset ja profilointi (7) käsittää (poikkeuksia lukuunottamatta) automatisoidut päätökset, joilla on rekisteröityjä koskevia oikeusvaikutuksia tai muita häneen vastaavalla tavalla olevia merkittäviä vaikutuksia. Rekisteröidyllä on oikeus vaatia hänen tietojen käsittelijäksi luonnollinen henkilö.

Valvontaviranomainen

Valvontaviranomaisena toimii tietosuojavaltuutettu, jonka verkkosivuille pääset tämän linkin kautta: www.tietosuoja.fi.