Tässä tietosuojakäytännössä (jatkossa ”tietosuojakäytöntö”) kuvaamme sitä, miten Smart Hotel OÜ (jatkossa ”yritys”) käsittelee työntekijöidensä, asiakkaidensa tai yrityksen kanssa muulla tavoin yhteistyötä tekevien henkilöiden henkilötietoja, ja millaisia keinoja henkilötietojen suojaamiseen käytämme.

Henkilötietoja käsitellään yleisen tietosuoja-asetuksen (asetus (EU) 2016/679) ja muiden valtiollisten ja Euroopan yksityisyyslakien sekä säännösten (yhdessä ”tietosuojalaki”) mukaisesti. Yrityksessä on saatettu käyttöön fyysiset, tekniset ja järjestölliset keinot henkilötietojen suojaamiseksi laittomalta tai omavaltaiselta tuhoamiselta, katoamiselta, muuttamiselta, julkistamiselta, anastamiselta tai luvattomalta käsiksi pääsyltä niihin.

1.LAAJUUS

Tätä tietosuojakäytäntöä sovelletaan kaikkiin henkilötietoihin, joita vastuullisena käsittelijänä käsittelemme.

Yritys käsittelee esimerkiksi työntekijöiden, tilapäisten työntekijöiden, yksityisten liikkeenharjoittajien, työpaikkaa ja tehtävää hakevien, tavarantoimittajien, yhteyshenkilöiden, asiakkaiden ja hotellivieraiden sekä muiden yhteistyökumppanien henkilötietoja.

2.TAVOITE

Tämän tietosuojakäytännön tavoitteena on selvittää, millaisia henkilötietoja me käsittelemme ja miten ja miksi niin teemme. Lisäksi tämä tietosuojakäytäntö kuvaa velvollisuuksiamme ja vastuutamme tietojen suojaamisessa.

KÄSITTEET

Tässä tietosuojakäytännössä käytetään käsitteitä seuraavassa merkityksessä:

ETA – Euroopan talousalue

GDPR – on EU:n yleinen tietosuoja-asetus (general data protection regulation, (EU) 2016/679), jonka soveltaminen aikoi 25. toukokuuta v. 2018.

Henkilötiedot – ovat kaikenlaisia tietoja, jotka liittyvät luonnolliseen henkilöön eli ihmiseen, ja jotka mahdollistavat tämän ihmisen henkilöllisyyden toteamisen. Henkilö on tunnistettava, kun hänen henkilöllisyytensä voi tietojen perusteella kohtuullisessa laajuudessa todeta ilman suhteettomia ponnistuksia. Tunnistamisen perusteena voi olla esimerkiksi nimi, henkilötunnus, osoitetiedot, verkkotunnistetiedot tai fyysinen, fysiologinen, perinnöllisyyteen liittyvä, henkinen, taloudellinen, kulttuurillinen tai sosiaalinen tunnus tai tällaisten tunnusten yhdistelmä.

Henkilötietojen erityisryhmät – ovat henkilötietoja, joista ilmenee henkilön rodullinen tai etninen syntyperä, poliittiset näkemykset, uskonnolliset tai filosofiset vakaumukset tai ammattiyhdistykseen kuuluminen, ja myös perinnöllisyyttä koskevat tiedot, henkilön yksilöivään tunnistamiseen käytettävät biometriset tiedot, terveystiedot tai tiedot luonnollisen henkilön seksuaalielämästä ja seksuaalisesta suuntauksesta.

Henkilötietoihin liittyvä rikkomus – tietosuojarikkomus, jonka seurauksena on välitettävien, talletettavien tai muulla tavoin käsiteltävien tietojen tahaton tai laiton tuhoutuminen, katoaminen, muuttaminen, luvaton julkistaminen tai luvaton pääsy käsiksi näihin tietoihin.

Asiakas – on luonnollinen henkilö, jolle yritys taloudelliseen toimintaansa liittyen tarjoaa palveluita ja/tai tarjoaa tavaroita.

Kolmas henkilö – on luonnollinen tai oikeushenkilö, julkisen sektorin laitos, virasto tai elin, pois lukien rekisteröity, vastuullinen käsittelijä tai valtuutettu käsittelijä sekä henkilöt, jotka voivat käsitellä henkilötietoja vastuullisen käsittelijän tai valtuutetun käsittelijän suorassa alaisuudessa.

Yhteistyökumppani – luonnollinen henkilö, joka on yrityksen tavarantoimittaja tai muu yhteistyökumppanin, joka on oikeushenkilö, työntekijä/edustaja/yhteyshenkilö.

Matkustajailmoituksen tiedot – turismilaissa vaaditut tiedot majoitusyrityksen asiakkaasta: nimi, syntymäaika, kansalaisuus ja osoite; hänen kanssaan matkustavan puolison ja alaikäisen nimi, syntymäaika ja kansalaisuus; majoituspalvelun tarjoamisen aika; mikäli kyseessä ei ole Viron, ETA-jäsenvaltion tai Sveitsin kansalainen tai Virossa oleskeluluvan tai oleskeluoikeuden perusteella asuva ulkomaalainen, niin lisäksi: matkustusasiakirjan laji, numero ja sen myöntänyt valtio.

Profiilianalyysi – on kaikenlaista henkilötietojen automatisoitua käsittelyä, joka käsittää henkilötietojen käytön luonnolliseen henkilöön liittyvien tiettyjen henkilökohtaisten näkökohtien arvioimiseen, ennen kaikkea sellaisten näkökohtien analysointiin tai ennustamiseen, jotka liittyvät tämän luonnollisen henkilön työtuloksiin, taloudelliseen tilanteeseen, terveyteen, henkilökohtaisiin mieltymyksiin, kiinnostuksen kohteisiin, luotettavuuteen, käyttäytymiseen, sijaintiin tai liikkumiseen.

Käsittely – on henkilötiedoilla tehtävä toiminto tai toimintojen kokonaisuus, kuten kerääminen, dokumentointi, järjestäminen, jäsentely, säilyttäminen, soveltaminen ja muuttaminen, välittämällä, levittämällä tai muulla tavalla saatavilla olevaksi tekemällä julkistaminen, yhteensovittaminen tai yhdistäminen, rajoittaminen, poistaminen tai hävittäminen. Käsitteleminen voi tapahtua käsin tai automatisoituja järjestelmiä, esimerkiksi IT-järjestelmiä käyttäen.

Toimeksiannon saaja / hallituksen jäsen – on luonnollinen henkilö (ts. ei ole yritys), jonka kanssa yritys on solminut toimeksiantosopimuksen/johtajasopimuksen (sopimuksen palvelun tarjoamisesta), tähän kuuluvat myös yrityksen johtoelinten jäsenet.

Vastuullinen käsittelijä – on henkilö, joka päättää miksi ja miten (ts. mihin tarkoituksiin ja millä tavoin) henkilötietoja käsitellään. Vastuullisen käsittelijän selvittämisessä voi olla apua seuraaviin kysymyksiin vastaamisesta.

– Kuka päättää, millaisia henkilötietoja säilytetään?

– Kuka päättää, mihin tarkoituksiin henkilötietoja käytetään?

– Kuka päättää, millä tavoin henkilötietoja käsitellään?

Jos henkilö päättää itse hallussaan olevien henkilötietojen käsittelystä ja on niistä vastuussa, hän on vastuullinen käsittelijä.

Valtuutettu käsittelijä – on henkilö, joka käsittelee henkilötietoja vastuullisen käsittelijän nimissä. Kun henkilötiedot ovat henkilön hallussa tai hän käsittelee niitä, mutta hänellä ei ole oikeutta niiden käsittelystä päättämiseen, ts. hän käsittelee niitä vastuullisen käsittelijän ohjeita noudattaen, tämä henkilö on valtuutettu käsittelijä. Valtuutettuja käsittelijänä voi olla esim. palvelun tarjoaja (esimerkiksi palkanlaskentapalvelun tarjoaja).

3. HENKILÖTIETOLUOKAT

3.1 Työntekijät ja toimeksiannon saajat / hallituksen jäsenet

Yritys käsittelee työntekijöidensä, työ- ja tehtäväpaikoille (esim. hallituksen jäsenet) hakijoiden ja toimeksiannon saajien / hallituksen jäsenten, samoin kuin entisten työntekijöidensä ja entisten toimeksiannon saajiensa / hallituksen jäsentensä henkilötietoja.

Nämä henkilötiedot käsittävät seuraavaa:

  • henkilökohtaiset tiedot, kuten nimi, syntymäaika, pankkitilin tiedot, viisumi-/passi-/ID-kortin tiedot tai vastaavan asiakirjan kopio;
  • yhteystiedot, kuten osoite ja puhelinnumero, sähköpostiosoite;
  • henkilöstötiedoston tiedot, muun muassa: työsuhteen ehdot, koulutustiedot, työtulosten arvioinnit, eteneminen työuralla, henkilökohtaiset kehityssuunnitelmat, käyttäytymis- ja kurinpidolliset tiedot, työn sijainti, palkkatiedot, pankkitilin tiedot ja verovelvollisen numero sekä henkilötunnus;
  • työsuhteiden historia- / hakutiedot, esimerkiksi koulutus- ja aiempien työsuhteiden historia;
  • perheenjäsenten tiedot, esimerkiksi lasten syntymäajat ja nimet (niitä tarvitaan esimerkiksi silloin, kun henkilö hakee vanhemman lomaa);
  • työalasuoritukseen liittyvät tiedot, esimerkiksi työntekijöiden vuosittainen palkan tarkistus, jne.
  • Henkilötietojen erityisryhmät: lääkärintodistukset ja sairauslomatodistukset;

3.2 Asiakkaat

Yritys käsittelee myös asiakkaidensa henkilötietoja. Nämä henkilötiedot voivat käsittää seuraavaa:

  • henkilökohtaiset tiedot, kuten nimi, syntymäaika/henkilötunnus;
  • yhteystiedot, esimerkiksi osoite ja puhelinnumero, sähköpostiosoite;
  • matkustajailmoituksen tiedot;
  • luottokortin tiedot kuten kortin numero, voimassaoloaika, CVV;
  • turvakameroiden tallenteet videovalvotuilta alueilta.

Käytämme kotisivullamme evästeitä. Evästekäytäntöön voi tutustua tässä.

3.3 Yhteistyökumppanit

Yritys käsittelee yhteistyökumppaniensa henkilötietoja. Tällaiset henkilötiedot voivat käsittää seuraavaa:

  • Yhteistyökumppanien edustajien ja yhteyshenkilöiden henkilökohtaiset tiedot, esimerkiksi nimi, tehtävänimike, työtehtävä, työhön liittyvät tunnistenumerot, osasto, liiketoimintayksikkö (ml. koulutusta/tarkastusta varten kerättävät yhteystiedot);
  • yhteystiedot, esimerkiksi sähköpostiosoite, puhelinnumerot ja työpaikan sijainti;

4. TIETOJENKÄSITTELYN TAVOITTEET

Yritys käsittelee henkilötietoja niihin tarkoituksiin, joihin henkilötiedot on kerätty.

Työntekijöiden henkilötietoja käsittelemme esimerkiksi seuraaviin tarkoituksiin:

  • työsopimuslaissa yritykselle säädettyjen työnantajan velvollisuuksien täyttäminen;
  • palkan ja korvausten hallinnointi;
  • henkilöstötoimintojen, suorituksen ja lahjakkuuden johtaminen;
  • sisäiset tarkastukset;

Asiakkaiden ja yhteistyökumppanien henkilötietoja käsittelemme esimerkiksi seuraavista syistä:

  • turismilaissa säädettyjen majoitusyrityksen velvollisuuksien täyttäminen (esim. matkustajailmoituksen täyttäminen ja säilyttäminen 2 vuoden ajan);
  • asiakkaan/yhteistyökumppanin kanssa solmitun sopimuksen valmistelu ja sen noudattaminen;
  • markkinointi- ja PR-suhteet;
  • yrityksen tuotteiden ja palveluiden täydentäminen;
  • yrityksen liikestrategian muokkaaminen;
  • yrityksen, asiakkaidemme ja työntekijöiden omaisuuden suojan ja turvallisuuden takaaminen, ml. yrityksen tai asiakkaidemme ja työntekijöiden suhteen laittoman ja/tai rikollisen käyttäytymisen välttäminen ja toteaminen.

5. REKISTERÖIDYN OIKEUDET

Henkilöllä on tietosuojalain perusteella henkilötietoihinsa liittyen tietyt oikeudet.

5.1. Oikeus tutustua tietoihin – Sinulla on oikeus tietää, millaisia tietoja Sinusta säilytetään ja miten niitä käsitellään.

5.2. Oikeus korjata tietoja – Sinulla on oikeus vaatia henkilötietojesi korjaamista, mikäli ne ovat virheelliset.

5.3. Oikeus tietojen poistamiseen (”oikeus olla unohdettu”) – Sinulla on tietyissä tapauksissa oikeus vaatia, että poistamme henkilötietosi (esim. kun emme enää tarvitse niitä, perut meille antamasi suostumuksen tietojen käsittelyyn jne.).

5.4. Oikeus rajoittaa käsittelyä – Sinulla on tietyissä tapauksissa oikeus kieltää tai rajoittaa henkilötietojesi käsittelyä tietyksi ajaksi (esim. kun olet esittänyt vastalauseen tietojen käsittelystä).

5.5. Oikeus esittää vastalauseita – konkreettisesta tilanteesta riippuen Sinulla on oikeus esittää henkilötietojesi käsittelystä vastalauseita, jos tietojesi käsittely tapahtuu meidän oikeutettuun etuumme nojautuen tai yleiseen etuun perustuen. Suoramarkkinointitarkoitukseen tapahtuvalle henkilötietojen käsittelylle voi vastalauseen esittää koska tahansa.

5.6 Oikeus tietojen siirtämiseen – Mikäli henkilötietojen käsittely perustuu henkilön suostumukseen tai yrityksen kanssa solmittuun sopimukseen ja tietoja käsitellään automatisoidusti, henkilöllä on oikeus saada häntä koskevia henkilötietoja, joita hän on vastuulliselle käsittelijälle esittänyt, jäsennellysti, yleisesti käytettävästi muotoiltuina ja koneella luettavassa muodossa sekä oikeus välittää näitä tietoja toiselle vastuulliselle käsittelijälle. Samoin hänellä on oikeus vaatia, että yritys välittää tiedot toiselle vastuulliselle käsittelijälle suoraan, mikäli se on teknisesti mahdollista.

6. HENKILÖTIETOJEN JULKISTAMINEN

Yritys voi toisinaan julkistaa henkilötietoja kolmansille henkilöille tai antaa niille yrityksessä käsiteltäviin henkilötietoihin pääsyn (esimerkiksi kun lainvalvontaviranomainen tai tietosuojavirasto – Andmekaitse Inspektsioon – esittää voimassa olevan vaatimuksen saada henkilötietoihin pääsy.

Yritys voi välittää henkilötietoja myös: a) toiselle yrityksen kanssa samaan konserniin kuuluvalle henkilölle (esim. emoyhtiö ja tytäryhtiöt, konsernin lopullinen hyödynsaaja ja sen tytäryhtiöt); b) valituille muille osapuolille, ml. liikekumppanit, tavarantoimittajat ja toimeksiannon saajat / hallituksen jäsenet; c) muille osapuolille, kun myymme tai ostamme muita yrityksiä tai omaisuuksia (ts. sopimusten solmimisen yhteydessä), tai d) kun yrityksellä on laillinen velvollisuus julkistaa henkilötietoja (tämä käsittää tiedonvaihdon muiden yritysten ja järjestöjen petosten välttämiseksi).

Kun yritys solmii muiden osapuolten kanssa sopimuksia henkilötietojen käsittelemiseksi yrityksen nimissä, se varmistaa henkilötietojen suojaamiseen sopivien sopimuksellisten suojakeinojen olemassaolon.

7. TIETOJEN SÄILYTTÄMINEN

Yritys säilyttää henkilötietoja vain niin kauan, kun tällaisten henkilötietojen säilyttämistä pidetään tarpeellisena niiden tavoitteiden kannalta, joihin näitä henkilötietoja kerättiin. Henkilötietoja säilytetään asianmukaisten lakien ja yrityksen periaatteiden mukaisesti.

Yritys lähtee henkilötietojen säilyttämisessä seuraavista kriteereistä:

  • niin kauan kuin on tarpeen säilyttää henkilötiedot palvelujemme tarjoamiseen
  • jos henkilöllä on yrityksessä asiakastili tai asiakaskortti, säilytämme henkilötiedot koko tilin/kortin aktiivisuusajan tai niin kauan kuin niitä on tarpeen säilyttää palvelujen tarjoamiseen henkilölle
  • jos yrityksellä on laista seuraava, sopimukseen perustuva tai muu sen kaltainen velvollisuus säilyttää henkilön tietoja, niin siihen asti, kun se on tällaisen velvollisuuden täyttämiseksi tarpeen
  • sopimussuhteen päättymisen jälkeen säilytämme tiettyjä tietoja niin kauan, kun henkilöllä (rekisteröidyllä) tai yrityksellä itsellään on oikeus esittää sopimuksen perusteella toista osapuolta vastaan vaatimuksia

Joitakin esimerkkejä:

  • Matkustajailmoituksen tietoja säilytämme turismilain vaatimusten mukaisesti 2 vuotta ilmoituksen täytöstä lukien.
  • Työsopimuksen kirjallisia asiakirjoja säilytämme työsopimuslain vaatimusten mukaisesti 10 vuotta työsopimuksen päättymisestä lukien.
  • Luottokorttitietoja säilytämme meidän välisen majoituspalvelusopimuksen vaatimustenmukaiseen täyttöön saakka.

8. VASTUUALAT

Yritys vastaa henkilötietojen käsittelystä. Yleinen vastuu tämän tietosuojakäytännön noudattamisesta yrityksessä on yrityksen johdolla, joka määrää pääyhteyshenkilön i) yrityksen työntekijöiden ja toimeksiannon saajien / hallituksen jäsenten henkilötietojen käsittelyyn; ii) asiakkaiden ja yhteistyökumppanien henkilötietojen käsittelyyn ja iii) yrityksessä käsiteltävien henkilötietojen turvallisuuteen liittyen.

Kaikilla yrityksen työntekijöillä, jotka ovat kosketuksissa henkilötietojen käsittelyyn, on velvollisuus noudattaa kaikkein ajanmukaisinta tämän tietosuojakäytännön versiota.

Mikäli Sinulla herää tässä tietosuojakäytännössä esitettyjen tietojen osalta kysymyksiä tai haluat esittää anomuksia rekisteröidyn oikeuden käyttämisestä, ota yhteyttä meihin sähköpostiosoitteella

Päivämäärä: 5.5.2020