6.1 Tietojen siirto alihankkijoille/käsittelijöille
Luovutamme tietoja alihankkijoille/käsittelijöille esim. maksutapahtumien yhteydessä, tuotteiden toimitusprosessin yhteydessä sekä tiettyjen markkinointipalveluiden tuottamiseksi. Tällaisia alihankkijoita ovat:
– Järjestelmäalustantarjoajat
– Logistiikkakumppanit
– Kuljetusliikkeet
– Maksujärjestelmäkumppani
– Maksunvälittäjät maksukortilla maksettaessa
– Kirjanpitotoimistot
– Luotonvälittäjät laskulla tai osamaksulla maksettaessa
– Sähköpostimarkkinointialustat
– Sosiaalisen median alustat ja palveluntarjoajat
Edellä mainitut alihankkijat ja käsittelijät eivät saa missään tilanteissa päättää annettujen tietojen käytöstä omiin tarkoituksiinsa. Heille toimitetaan vain palvelun toteutumisen kannalta oleellinen tieto tiukoin ehdoin. Alihankkijat eivät voi säilyttää tietoja pidempään kuin ohjeistettu tai yhteistyösopimuksen loputtua, vaan tietojen säilytys tapahtuu tietojenkäsittelysopimusten mukaisesti.
Tilanteissa, joissa alihankkijamme (kuten käsittelijämme, joka toimii myös erillisenä rekisterinpitäjänä, kuten maksujärjestelmäkumppanit) joutuu lain perusteella säilyttämään tai käsittelemään siirrettyjä tietoja pidempään, ylimääräinen säilytys tai käsittely toteutuu kyseiseen alihankkijaan kohdistuvien lain vaatimusten täyttämisen perusteella. Alihankkija toimii kyseisissä tilanteissa erillisenä rekisterinpitäjänä liittyen siihen käsittelyyn, johon laki heitä velvoittaa.
Käytämme alihankkijoita tuotteiden toimittamiseen. Käytämme myös eri alihankkijoiden valmistamia ja ylläpitämiä teknisiä järjestelmiä asiakastietojen, tilausten sekä sähköpostien hallintaan ja erilaisten analyysien tekemiseen.
6.2 Tietojen siirtäminen ETA-alueen ulkopuolelle
Pyrkimyksemme on käsitellä niin paljon henkilötietoja ETA-alueella eli Euroopan talousalueella kuin mahdollista. Käytämme verkkokaupassamme Shopify-alustaa. Shopify ei ole toiminnoissa rekisterinpitäjä, vaan henkilötietojen käsittelijä. Shopify hyödyntää toiminnassaan ETA:n ulkopuolella (Kanada/Yhdysvallat) toimivia palvelimia, joissa rekisterin tietoja säilytetään. Shopify Inc. sijaitsee Kanadassa, josta EU Komissio on antanut päätöksen riittävästä tietosuojan tasosta. Shopify on tehnyt vakiosopimuslausekkeita alihankkijoidensa kanssa tietojen siirtämisestä eteenpäin.
Toimitusten lähettäjät sijaitsevat Suomessa ja heidän palvelimensa ovat fyysisesti ETA- alueella.
Osa alihankkijoistamme käsittelee tietoja siten, että niitä siirretään ETA-alueen ulkopuolelle. Tämä koskee esimerkiksi jotain teknisiä järjestelmiä. Siirrot kolmansiin maihin toteutetaan seuraavien periaatteiden mukaan: 1) EU Komission on antanut päätöksen riittävästä tietosuojan tasosta kyseisessä maassa tai 2) siirtomekanismina hyödynnetään vakiosopimuslausekkeita sekä mahdollisia täydentäviä suojatoimia, jotta tiedonsiirto ja käsittely toteutuisi samalla tasolla kuin ETA-maiden sisällä.
Joissakin tapauksissa joko me tai alihankkijamme siirtää tietoja Yhdysvaltoihin. EU:n Komissio on katsonut EU-US Data Privacy Framework:n (EU-US DPF) tuovan riittävän tason suojan henkilötietojen käsittelylle kolmannessa maassa.
Mikäli tietojensiirtoa ei pysty enää toteuttamaan pohjautuen EU Komission päätökseen riittävästä tietosuojan tasoon tai alihankkijan tekemiin täydentäviin suojatoimiin, työskentelemme sen eteen, että tiedot siirtyvät sellaiselle alihankkijalle, joka täyttää vaatimuksemme tietosuojan osalta ETA:n ulkopuolella, tai tietoja käsitellään jatkossa ETA:n sisällä.
6.3 Tietojen siirto Klarnalle
Jotta voimme tarjota Klarnan maksuvaihtoehtoja, siirrämme ostotapahtuman yhteydessä henkilötietoja (nimi, yhteys- ja tilaustiedot) Klarnalle. Näin Klarna voi arvioida sinulle käytössä olevat maksuvaihtoehdot sekä räätälöidä ne sinulle sopiviksi. Siirrettäviä henkilötietoja käsitellään Klarnan tietosuojaselosteen mukaan ja Klarna toimii maksutapahtuman henkilötietojen rekisterinpitäjänä. Jos haluat lisätietoja siitä, mitä eri maksuvaihtoehtoja Klarna voi tarjoa, tutustu ehtoihimme.
6.4 Tietojen siirto Paytrailille
Jotta voimme tarjota Paytrailin palveluja maksunvälityspalvelun toteuttajana ja maksupalveluntarjoajana, siirrämme ostotapahtuman yhteydessä henkilötietoja (nimi, sähköpostiosoite ja postiosoite) Paytrailille. Siirrettäviä henkilötietoja käsitellään Paytrailin tietosuojaselosteen mukaan. Paytrail toimii henkilötietojen käsittelijänä siltä osin kuin tietoja käsitellään maksutapahtuman suorittamiseksi verkkokaupan toimen. Paytrail toimii rekisterinpitäjänä silti osin kuin maksutapahtumien henkilötietoja on käsiteltävä muun muassa heihin kohdistuvien lakisääteisten velvoitteiden noudattamiseksi. Jos haluat lisätietoja siitä, mitä eri maksuvaihtoehtoja Paytrail tarjoa, tutustu ehtoihimme.
6.5 Tietojen siirto Shopify Paymentsille
Tarjoamme mahdollisuutta maksaa luottokortilla Shopify Payments:in kautta. Shopify Payments tarjoaa integroitua maksupalvelua, joka yhdistää erilliselle maksupalvelutarjoajalle. Tällöin Shopify toimii käsittelijänä ja välittää tietoja eteenpäin Stripe Payments Europe, Ltd.:lle. Mikäli maksetaan Shopify Payments kautta, Shopifylle välittyy myös asiakkaan maksutietoja. Stripelle välittyy ostotapahtuman yhteydessä asiakkaan nimi, osoitetiedot, sähköpostiosoite sekä maksutiedot.
Stripe toimii henkilötietojen käsittelijänä siltä osin kuin tietoja käsitellään maksutapahtuman suorittamiseksi verkkokaupan toimen. Stripe toimii rekisterinpitäjänä silti osin kuin maksutapahtumien henkilötietoja on käsiteltävä muun muassa heihin kohdistuvien lakisääteisten velvoitteiden noudattamiseksi. Stripen tietosuojaselosteesta voi tarkistaa, kuinka Stripe muuten käsittelee asiakkaidemme henkilötietoja (tietosuojaselosteessa “end customer”). Myös Stripen Privacy Center -sivulta voi löytää lisätietoa ja vastauksia yleisiin kysymyksiin
6.6 ShopPay:n käytön tarjoaminen verkkokaupassamme
Tarjoamme mahdollisuutta käyttää ShopPay -nopeutettua kassatoimintoa verkkokaupassamme. ShopPay:n käyttämiseksi tulee asiakkaalla olla oma ShopPay-tili. Tämä tili voi olla jo entuudestaan asiakkaalla, jolloin sitä voi siihen kirjautumisen jälkeen käyttää nopeuttamaan maksamista, tai asiakas voi luoda sellaisen maksamisen yhteydessä.
ShopPay-tili luodaan asiakkaan ja Shopifyn välillä. Shopify säilyttää sen tarjoamien palveluiden käyttäjien tietoja vaatimuksen mukaisesti ja tietoturvallisesti omilla palvelimillaan. Lisätietoa ShopPay:stä löytyy Shop Help Center -sivulta. Shopify toimii yksinomaan ShopPay-käyttäjien henkilötietojen rekisterinpitäjänä. Shopifyn tietosuojaselosteessa kerrotaan heidän roolistaan tietojenkäsittelyssä ShopPay:n osalta sekä kuinka voi käyttää omia tietosuojaoikeuksiaan. Tilauksen toimitus- ja laskutustietoja luovutetaan meille vain tilauksen yhteydessä, jolloin toimimme rekisterinpitäjänä kyseisten tietojen käsittelystä tämän tietosuojaselosteen mukaisesti.
6.7 Yhteisrekisterin pitäminen
Meta Platforms Ireland Limited (jäljempänä ”Meta”) ja STR Global Group Oy ovat yhteisrekisterinpitäjiä soveltuvin osin Facebookissa olevien fanisivujen osalta. Meta käsittelee henkilötietoja siihen sovellettaviin tietosuojaperiaatteidensa mukaisesti. Ks. lisätietoa liittyen GDPR:n Artikla 13(1)(a) ja (b) löytyy nettisivulta (https://www.facebook.com/about/privacy). Meta on pääasiallisesti vastuussa tietosuojalainsäädännön noudattamisesta ja tietoturvallisuuden sekä rekisteröidyn oikeuksien toteuttamisesta palvelussa. Meihin sovelletaan Metan Controller Addendum - ehtoja (Katso: https://www.facebook.com/legal/controller_addendum )
Saamme käyttöömme vain samat tiedot, mitä muutkin Facebookin käyttäjät näkevät eli yksittäisten käyttäjien nimet, julkiset profiilikuvat sekä muut julkisesti näkyväksi määritetyt tiedot. Henkilötietojen käsittelyperusteena on oikeutettu etu. Henkilötietoja ei siirretä Facebookin sivulta tai kommenteista muihin järjestelmiin ilman erillistä ilmoitusta. Sen sijaan esimerkiksi yksityisviestillä ilmoitetut tilausten muutokset kirjataan muihin järjestelmiin.
Henkilötietojasi käytetään mm. uutisointiin, markkinointiin, kilpailujen ja arvontojen toteuttamiseen, palautteen vastaanottamiseen sekä osaltaan mainosten ostamiseen Metalta sekä mainosten toiminnan mittaamiseen. Kaikki vapaaehtoisten toimintojen kuten arvontoihin osallistuminen kautta annettu tieto perustuu osallistujan suostumukseen tai sopimukseen. Keräämme näitä tietoja käyttötarkoituksiamme varten. Keräämme yhdessä Metan kanssa tietoa mm. tykkäyksistä, sivuvierailuista, julkaisujen kommenteista, meille osoitetuista yksityisviesteistä sekä julkaisuihin liittyvistä tilastoista.
Käytämme henkilötietojasi mainosten kohdistamiseen ja kohderyhmien luomiseen Facebookissa. Näin voimme tarjota mahdollisimman kiinnostavia tuotteita juuri sinulle. Tämä tapahtuu kahdella tavalla: siirrämme asiakkaiden yhteystietoja Metalle kohdistaaksemme mainontaa sosiaalisessa mediassa. Jaettuja tietoja käytetään vain STR Global Group Oy:n määrittelemiin tarkoituksiin. Tässä tapauksessa me toimimme rekisterinpitäjinä ja Meta henkilötietojen käsittelijänä. Kohdistamme mainontaa myös niille, jotka eivät ole vielä asiakkaitamme, Metan ns. mukautettujen kohderyhmien kautta. Tämä tapahtuu oikeutetun edun perusteella.
Sinulla on oikeus kieltäytyä asiakastietojesi luovuttamisesta markkinoinnin kohdistamiseen. Voit ottaa yhteyttä asiakaspalveluumme ilmoittaaksesi siitä, että tahdot kieltäytyä tällaisesta tietojenkäsittelystä.
Hyödynnämme Page Insights -toimintoa tietojen käsittelyyn, jolloin meihin sovelletaan Page Insights Controller Addendum -ehtoja. (Katso: https://www.facebook.com/legal/terms/page_controller_addendum) Lisätietoa nettisivuillamme käytetyistä evästeistä löytyy evästeselosteestamme. Jos haluat tietää Metan evästeiden käyttöperusteita, katso tarkemmin Metan evästeseloste.
Jos haluat käyttää henkilötietoihin kuuluvia oikeuksiasi (mm. tietojesi poistaminen) kun olet ”tykännyt” Facebook-sivuistamme tai seuraat sitä, pyydämme ottamaan yhteyttä paikalliseen Metan edustajaasi. Tietopyynnöt liittyen Page Insights -toimintaan lähetetään eteenpäin Metalle. Jos haluat lisätietoja siitä, miten Meta käsittelee henkilötietoja, millä oikeusperusteella tiedot käsitellään sekä miten voit toteuttaa omia oikeuksiasi, tutustu seuraavaan linkkiin: https://www.facebook.com/about/privacy
6.8 Shopify-alustan käyttö
Koska verkkokauppamme käyttää Shopifyta sen toteuttamiseen verkkokaupan käyttäjä voi myös tietyissä tilanteissa tehdä pyyntöjä suoraan Shopifylle. Esimerkiksi Shopifyn yksityisyysasetuksista voi erikseen säätää, mitä tietoja Shopify voi käyttää sekä pyytää tietojen poistoa. Shopifyn tietosuojaselosteessa kerrotaan myös tarkemmin heidän roolistaan tietojenkäsittelyssä.
6.9 Trustmaryn käyttö
Käytämme Trustmary-palvelua asiakaspalautteen, arvostelujen ja suositusten keräämiseen. Trustmary auttaa meitä ymmärtämään asiakkaitamme paremmin erilaisten kyselyjen, kuten NPS- ja CSAT-kyselyjen avulla. Tämän lisäksi hyödynnämme tyytyväisten asiakkaidemme mielipiteitä julkisten arvostelujen muodossa markkinoinnissamme. Trustmaryyn siirtyy kyselytyypistä riippuen erilaista tietoa asiakkaistamme, jolloin me toimimme rekisterinpitäjänä ja Trustmary prosessoijana. Siirtyviä tietoja voivat olla esimerkiksi asiakkaan nimi, puhelinnumero, sähköpostiosoite, mahdollinen organisaatio, asiakkaan kuva, sekä palaute, arvostelu tai suositus teksti- tai videomuodossa. Asiakkaamme näkevät ja hyväksyvät lähetettävät tiedot vastatessaan kyselyyn Trustmaryssa. Trustmary ei luovuta tietoja eteenpäin eikä käytä niitä omiin tarkoituksiinsa käyttöehtojensa vastaisesti. Voit lukea lisää Trustmaryn käyttöehdoista saadaksesi lisätietoja.
6.10 Tietojen luovuttaminen viranomaisille
STR Global Group Oy:lla on oikeus ja velvollisuus luovuttaa rekisteröityjen henkilötietoja viranomaisille heiltä tulevien selvityspyyntöjen täyttämiseksi perustuen EU:n tai sen jäsenvaltioiden lainsäädäntöön.
6.11 Konsernin sisäiset tiedonsiirrot
Tietoja voidaan siirtää konsernin sisällä riippuen siitä, mikä yritys vastaa käsittelyn teknisestä toteutuksesta sekä henkilöstöresurssien mukaisesti. Konsernin sisäisten tietojensiirtoihin sovelletaan tietojenkäsittelysopimuksia. Käsittelijänä toimivat yhtiöt eivät käsittele tietoja muihin kuin STR Global Group Oy:n (eli rekisterinpitäjän) määrittämiin käyttötarkoituksiin.
6.12 Yritysosto tai fuusioituminen
Mikäli konsernin jokin tytäryhtiö tai konserni kokonaisuudessa osallistuu yritysostoon tai fuusioituu, konsernilla on oikeus siirtää kaikki henkilötiedot oikeutetuille osapuolille oston seurauksena. Konsernilla on oikeutettu etu toteuttaa kyseiset toimenpiteet, mikäli näin katsotaan konsernin intressien mukaisesti tulevaisuudessa.
Mikäli konsernin jokin tytäryhtiö on osallinen konsernin sisäiseen fuusioon tai yritysostoon, tällaisten toimenpiteisiin liittyvät tiedot siirtyisivät tällaisten tarkoitusta varten.
