Kuinka, koska ja miten käsittelemme henkilötietoja?

Nämä tiedot koskevat sekä Lomaristeilyjen (Premium Lomaristeilyt Oy) että yhteistyökumppanimme Go Cruising Travel Group Ab:n käytäntöjä tietosuojaan liittyen. Käytäntömme ovat yhteneväiset.

• Kun varaat meiltä matkan
• Kun rekisteröidyt uutiskirjeen tilaajaksi tai asiakasklubiimme
• Työsuhteessa, hakiessasi avointa työpaikkaa tai lähettäessäsi vapaaehtoisesti avoimen hakemukset johonkin tehtävään yhtiöissämme
• Asiakastilaisuuksien ja messutapahtumien yhteydessä
• Kun olemme yhteydessä toimittajiin voidaksemme käyttää heidän palvelujaan matkavarauksiin liittyen
• Kun olemme mahdollisesti muissa asioissa yhteydessä asiakkaisiimme

Kun varaat matkan meiltä tai rekisteröidyt uutiskirjeen tilaajaksi tai asiakasklubiimme, annat samalla suostumuksesi henkilötietojesi käsittelyyn tämän käytännön mukaisesti. Jos et suostu antamaan matkan varaamiseen tarvittavia henkilötietoja tai haluat jo antamasi henkilötiedot poistettavan rekisteristämme, emme voi toteuttaa varattua matkaasi tai sen osaa.

Mitä tietoja rekisteröidään?

Kun varaat matkan meidän kauttamme, rekisteröimme tiedot nimestä, osoitteesta, puhelinnumerosta, sähköpostiosoitteesta, syntymäajasta (vuosi, kuukausi, päivä), sukupuolesta ja kansallisuudesta, jotta voimme täyttää sopimuksemme kanssasi asiakkaana. Samat tiedot rekisteröidään aikuisista ja lapsista. Arkaluonteiset tiedot kuten terveys, allergiat tai erikoisruokavalio rekisteröidään vapaaehtoisesti ja sinun aloitteestasi asiakkaana.

Joitain matkoja varten tarvitsemme myös kopion passisi kuvasivusta, sillä tietyt risteily-yhtiöt, lentoyhtiöt ja muut palveluntarjoajat voivat vaatia sitä. Jos rekisteröidyt uutiskirjeemme tilaajaksi, rekisteröimme vain nimesi ja sähköpostiosoitteesi, ellet ilmoita muuta. Muissa asioissa rekisteröimme ne tiedot, jotka päätät antaa.

1. Tausta ja tarkoitus

1.1 Suojelemme asiakkaidemme, toimittajiemme, kumppaniemme ja työntekijöidemme yksityisyyttä ja noudatamme aina voimassa olevia Suomen ja/tai EU:n tietosuojasäännöksiä. Jokaisella on oikeus häntä koskevien henkilötietojen suojaan.

1.2 Olemme ottaneet käyttöön tämän henkilötietojen käsittelyä koskevan käytännön varmistaaksemme, että kaikki organisaatiossa noudattavat tietosuojasääntöjä. Tämän asiakirjan tarkoituksena on antaa myös työntekijöillemme tarkempaa ohjausta siitä, miten heidän tulee käsitellä henkilötietoja

1.3 Sovellamme 25. toukokuuta 2018 voimaan tullutta tietosuoja-asetusta. Se tarjoaa vahvemman suojan henkilöille, joiden henkilötietoja käsitellään, ja asettaa enemmän ja tiukempia vaatimuksia henkilötietoja käsitteleville organisaatioille.

1.4 Jos henkilötietojen käsittely rikkoisi tietosuoja-asetuksen säännöksiä, on olemassa riski rekisteröityjen henkilökohtaisen koskemattomuuden loukkaamisesta, mutta myös riski yritystemme maineen vahingoittumisesta. Lisäksi yhtiö voi joutua maksamaan vahingonkorvauksia tai sille voidaan määrätä hallinnollinen sakko, joka on enintään kaksikymmentä miljoonaa euroa tai 4 % vuotuisesta maailmanlaajuisesta kokonaisliikevaihdosta sen mukaan, kumpi näistä määristä on suurempi. Tällaisten seurausten välttämiseksi kaikkien työntekijöiden on noudatettava näitä ohjeita.

2. Soveltamisala ja laajuus

2.1 Käytäntö koskee kaikkia yritystemme työntekijöitä ja konsultteja, kaikilla markkinoilla ja kaikkina aikoina.

2.2 Yristystemme hallitusten on varmistettava, että tätä käytäntöä noudatetaan, mikä sisältää muun muassa koulutuksen kaikille työntekijöille. Työntekijöille annettavan tiedon tulee sisältää myös tietoa siitä, että käytännön rikkominen voi johtaa esimerkiksi työoikeudellisiin seuraamuksiin.

3. Perusperiaatteet

3.1 Seuraavassa kuvattuja perusperiaatteita on aina noudatettava henkilötietoja käsiteltäessä. GO Cruising Travel group AB ja Premium Lomaristeilyt OY ovat vastuussa ja niiden on pystyttävä osoittamaan, että periaatteita noudatetaan.

3.1.1 Laillisuus, kohtuullisuus, läpinäkyvyys – Henkilötietoja on käsiteltävä laillisesti, asianmukaisesti ja läpinäkyvästi suhteessa rekisteröityyn. Tämä tarkoittaa, että jokaisen käsittelytavan on perustuttava pätevään ns. lailliseen perusteeseen, kuten esimerkiksi sopimuksen täyttäminen, oikeudellisen velvoitteen täyttäminen, yleisen edun mukaisen tehtävän suorittaminen, oikeutettu etu tai suostumus (katso kohta 5 alla). Jos käsittelylle ei voida tunnistaa mitään sovellettavaa laillista perustetta, käsittelyä ei saa suorittaa. Tämän periaatteen lähtökohtana on selkeä viestintä rekisteröidyn kanssa mm. siitä, mihin tarkoituksiin henkilötietoja käsitellään, millaista käsittelyä suoritetaan, jaetaanko henkilötietoja muiden kanssa ja miten, kuinka kauan henkilötietoja säilytetään ja miten yrityksiimme saa yhteyden. Rekisteröidyille on siis annettava selkeää ja läpinäkyvää tietoa heidän henkilötietojensa käsittelystä.

3.1.2 Käyttötarkoitussidonnaisuus – Henkilötietoja saa kerätä ja muutoin käsitellä vain tiettyihin, nimenomaisesti määriteltyihin ja oikeutettuihin tarkoituksiin, eikä niitä saa myöhemmin käsitellä näiden tarkoitusten kanssa yhteensopimattomalla tavalla.

3.1.3 Tietojen minimointi – Käsiteltävien henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja siihen, mikä on tarpeellista suhteessa tarkoituksiin. Varmista, että kerättävät tiedot todella tarvitaan, äläkä kysy tietoja vain siksi, että ne saattavat olla hyödyllisiä.

3.1.4 Täsmällisyys – käsiteltävien henkilötietojen on oltava täsmällisiä ja tarvittaessa päivitettyjä. On toteutettava asianmukaiset toimenpiteet sen varmistamiseksi, että virheelliset tai puutteelliset tiedot oikaistaan, esimerkiksi osoitteenmuutoksen yhteydessä menettelytavat, joihin sisältyy yhteenveto järjestelmistä ja rekistereistä, joissa osoite on tallennettu. Vältä kuitenkin tietojen kopioiden säilyttämistä monissa järjestelmissä virhelähteiden välttämiseksi ja päivittämättömien tietojen säilyttämisen välttämiseksi.

3.1.5 Säilytyksen rajoittaminen – Henkilötietoja ei saa säilyttää pidempään kuin on välttämätöntä käsittelyn tarkoitusten kannalta. Kun tietoja ei enää tarvita, ne on poistettava, mikä tarkoittaa, että ne on joko poistettava tai anonymisoitava.

3.1.6 Vastuuvelvollisuuden periaate tarkoittaa, että yritystemme on pystyttävä osoittamaan, että tietosuoja-asetusta noudatetaan. Yhtiön on siksi esimerkiksi dokumentoitava toteutetut ja suunnitellut prosessit ja toimenpiteet, jotka koskevat tietosuojakysymyksiä.

Lisäksi on pidettävä rekisteriä kaikista suoritettavista henkilötietojen käsittelytoimista, ja meidän on pystyttävä esittämään tällainen rekisteri valvontaviranomaiselle tarvittaessa.

4. Henkilötiedot

4.1 Henkilötiedot ovat kaikkia tietoja, jotka koskevat tunnistettua tai tunnistettavissa olevaa luonnollista henkilöä ja jotka voivat suoraan tai epäsuorasti tunnistaa henkilön. Esimerkkejä henkilötiedoista ovat nimi, yhteystiedot, paikannustiedot tai tekijät, jotka liittyvät henkilön fyysiseen, taloudelliseen, kulttuuriseen tai sosiaaliseen identiteettiin. Tiedot, jotka yksittäin eivät täytä vaatimuksia, voivat yhdessä kuitenkin muodostaa henkilötietoja.

4.2 Kaikki henkilötietojen käsittely kuuluu tietosuoja-asetuksen ja sen sääntöjen piiriin. Käsittelyllä tarkoitetaan toimenpidettä tai toimenpiteiden yhdistelmää, joka kohdistuu henkilötietoihin ja joka suoritetaan kokonaan tai osittain automaattisesti. Myös sähköpostissa ja palvelimilla olevissa asiakirjoissa, yksinkertaisessa luettelossa, verkkosivustoilla ja muussa jäsentämättömässä materiaalissa olevat henkilötiedot kuuluvat piiriin.

4.3 Henkilötietojen käsittely, joka paljastaa rodun tai etnisen alkuperän, poliittiset mielipiteet, uskonnollisen tai filosofisen vakaumuksen tai ammattiliiton jäsenyyden, sekä geneettisten tietojen, biometristen tietojen, terveyttä koskevien tietojen tai henkilön seksuaalielämää tai seksuaalista suuntautumista koskevien tietojen (ns. erityiset henkilötietoryhmät) käsittely on pääsääntöisesti kielletty. Jotta tällainen käsittely olisi sallittua, tarvitaan pätevä poikkeus kiellosta. Yleisimmät poikkeukset ovat, että rekisteröity on antanut suostumuksensa tai on itse julkistanut tiedot, työoikeuden mukaisten oikeuksien käyttämiseksi tai velvollisuuksien täyttämiseksi, oikeudellisten vaatimusten vahvistamiseksi, esittämiseksi tai puolustamiseksi tai terveyden- ja sairaanhoidon tarkoituksiin.

4.4 Henkilötunnuksen käsittely on sallittua vain, jos se on selvästi perusteltua käsittelyn tarkoituksen, turvallisen tunnistamisen tärkeyden tai jonkin muun huomionarvoisen syyn vuoksi.

4.5 Rikkomuksia koskevien tietojen käsittely (rikosasioissa annetut langettavat tuomiot ja rikkomukset tai niihin liittyvät turvatoimet, mutta todennäköisesti ei tietoa rikosepäilystä) on sallittua vain tietyissä erityistapauksissa. Voimme käsitellä henkilötietoja, jos käsittely on tarpeen oikeudellisten vaatimusten vahvistamiseksi, esittämiseksi tai puolustamiseksi yksittäistapauksessa tai rahanpesun valvontaa varten.

5. Henkilötietojen käsittelyn laillinen peruste

5.1 Henkilötietojen käsittely on laillista ainoastaan, jos ja siltä osin kuin jokin seuraavista perusteista soveltuu.

5.1.1 Rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. On olemassa erityisiä vaatimuksia, joiden on täytyttävä, jotta suostumus olisi pätevä.

5.1.2 Käsittely on tarpeen sellaisen sopimuksen täytäntöönpanemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.

5.1.3 Käsittely on tarpeen yrityksiämme koskevan lakisääteisen velvoitteen noudattamiseksi. Esimerkkinä tästä voidaan mainita Verohallinnolle toimitettavat valvontatiedot.

5.1.4 Käsittely on tarpeen rekisteröidyn tai toisen luonnollisen henkilön elintärkeiden etujen suojaamiseksi (esim. kun henki on vaarassa).

5.1.5 Käsittely on tarpeen Yritystemme tai kolmannen osapuolen etuja koskevien tarkoitusten vuoksi, paitsi milloin henkilötietojen suojaa edellyttävät rekisteröidyn edut tai perusoikeudet ja -vapaudet syrjäyttävät tällaiset edut (intressipunninta). Intressipunninnassa on erityiset vaatimukset tehdyn arvioinnin dokumentoinnista.

6. Turvatoimet, käyttöoikeuksien hallinta ja pääsy, tietojen poistaminen

6.1 Henkilötietoja on käsiteltävä tavalla, joka varmistaa henkilötietojen asianmukaisen turvallisuuden käyttäen teknisiä ja organisatorisia toimenpiteitä. Organisatoriset turvatoimet voivat tarkoittaa, että käyttöoikeuksien hallintaa käytetään järjestelmissä, jotka sisältävät henkilötietoja, henkilötietoihin pääsyä kirjataan lokiin tai että tietokoneet ja vastaavat, jotka sisältävät henkilötietoja, on säilytettävä niin, että luvaton pääsy vaikeutuu eikä niitä jätetä esille. Esimerkkejä teknisistä toimenpiteistä, joita on valvottava, ovat, onko yhtiöllä riittävät varmuuskopiointikäytännöt, riittävät palomuurit, salasanasuojatut langattomat verkot, päivitetty virustorjunta, suojaus luvattomalta sisäiseltä pääsyltä, salasanavaatimukset, tarvittaessa salaus, IT-järjestelmiin pääsyn ja niiden käytön kirjaaminen lokiin jne.

6.2 Henkilötietoja ei saa säilyttää pidempään kuin on tarpeen käsittelyn tarkoituksen kannalta. Laatimalla ja noudattamalla kunkin tietokannan/käsittelyn poistokäytäntöä varmistetaan jäsennelty poistotyö. Myös niin kutsutussa jäsentämättömässä materiaalissa, kuten palvelimilla olevissa asiakirjoissa, yksinkertaisessa luettelossa, verkkosivustoilla jne. olevat henkilötiedot on poistettava, kun käsittelyn tarkoitus on täyttynyt.

7. Siirto kolmanteen maahan

7.1 Henkilötietojen siirtoon EU:n ja ETA:n ulkopuolisiin maihin (niin kutsuttu kolmansiin maihin siirto) sovelletaan erityisiä sääntöjä. Tietosuoja-asetus tarkoittaa, että kaikilla EU:n jäsenvaltioilla sekä ETA-mailla on vastaavantasoinen henkilötietojen ja henkilökohtaisen koskemattomuuden suoja, ja siksi henkilötietoja voidaan siirtää vapaasti kyseisellä alueella ilman rajoituksia. Alueen ulkopuolisille maille ei sitä vastoin ole olemassa yleisiä sääntöjä, jotka antaisivat vastaavat takuut, ja siksi kolmansiin maihin siirto saa tapahtua vain erityisin edellytyksin. Tämä koskee kaikkia tietojen rajat ylittäviä siirtoja, esim. monia verkossa toimivia IT-palveluja, pilvipalveluja, ulkoisen pääsyn palveluja tai globaaleja tietokantoja jne., ja se on analysoitava erikseen.

8. Vaikutusten arviointi

8.1 Yrityksillämme on käytössä erityinen menettely, jolla voidaan tunnistaa ja käsitellä erityisiä yksityisyyden suojaan liittyviä riskejä toiminnassa ja jäsenneltyä seurantaa varten. Erityisiä riskejä luonnollisten henkilöiden oikeuksille ja vapauksille voi esiintyä esimerkiksi tietyntyyppisen tietojenkäsittelyn, erityisen arkaluonteisten tietojen, erityisen laajamittaisen käsittelyn, uuden teknologian käytön tai vastaavan yhteydessä.

8.2 Jos uusi tai muutettu henkilötietojen käsittely tietyssä suhteessa todennäköisesti aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, on noudatettava menettelyä ja arvioitava suunniteltujen käsittelytoimien vaikutukset henkilötietojen suojalle ennen käsittelyn aloittamista.

8.3 Ennen tällaisen henkilötietojen käsittelyn aloittamista on otettava yhteyttä yhtiön vastuuhenkilöön sen selvittämiseksi, tarvitaanko vaikutustenarviointia, ja tarvittaessa vaikutustenarviointi suoritetaan yhdessä vastuuhenkilön kanssa [vastaamalla tiettyihin erityiskysymyksiin, työkokouksilla sekä riskinarvioinneilla].

9. Rekisteriote- ja tietojen luovuttaminen

9.1 Tietosuoja-asetus antaa rekisteröidyille useita oikeuksia koskien henkilötietojen käsittelyä. Yristystemme tehtävänä on täyttää nämä oikeudet ja varmistaa, että riittävät prosessit ovat olemassa rekisteröityjen palvelemiseksi.

9.1.1 Rekisteröidyllä on oikeus saada tietoa, kun henkilötietoja kerätään. Tämä tieto on toimitettava helposti saatavilla olevassa kirjallisessa muodossa selkeällä ja ymmärrettävällä kielellä. Tietosuoja-asetuksessa määritellään useita selkeitä vaatimuksia, joiden on täytyttävä, ja vaatimukset vaihtelevat sen mukaan, onko tiedot kerätty rekisteröidyltä itseltään vai kolmannelta osapuolelta.

9.1.2 Rekisteröidyllä on oikeus saada vahvistus siitä, käsitelläänkö häntä koskevia henkilötietoja, ja tällaisissa tapauksissa saada jäljennös henkilötiedoista (rekisteriote). Tämä oikeus on voimassa riippumatta siitä paikasta, jossa henkilötietoja käsitellään.

9.1.3 Jos käsiteltävät henkilötiedot ovat virheellisiä tai puutteellisia, rekisteröity voi vaatia korjausta. Jos rekisteröity osoittaa, että tarkoitus, jota varten henkilötietoja käsitellään, ei ole enää sallittu, tarpeellinen tai kohtuullinen olosuhteisiin nähden, kyseiset henkilötiedot on poistettava, ellei lainsäädännössä toisin määrätä.

9.1.4 Rekisteröidyllä on oikeus siirtää henkilötiedot, jotka hän on toimittanut Premium Lomaristeilyt OY:lle ja GO Cruising Travel group AB:lle, toiselle rekisterinpitäjälle (oikeus tietojen siirrettävyyteen), jos käsittely perustuu laillisiin perusteisiin, jotka ovat sopimus tai suostumus. Henkilötiedot on toimitettava rekisteröidylle jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Jos se on teknisesti mahdollista, rekisteröity voi pyytää, että tiedot siirretään suoraan toiselle rekisterinpitäjälle. Oikeus koskee vain niitä henkilötietoja, jotka rekisteröity on itse toimittanut meille.

9.1.5 Rekisteröidyllä on tietyissä tapauksissa oikeus vaatia, että rajoitamme hänen henkilötietojensa käsittelyä, eli rajoittaa käsittelyä tiettyihin rajattuihin tarkoituksiin. Oikeus rajoittamiseen pätee muun muassa silloin, kun rekisteröity katsoo tietojen olevan virheellisiä ja on pyytänyt henkilötietojen oikaisua. Rekisteröity voi tällöin pyytää, että henkilötietojen käsittelyä rajoitetaan siksi ajaksi, kun tietojen oikeellisuutta selvitetään. Kun rajoitus päättyy, siitä on ilmoitettava asianomaiselle.

9.1.6 Rekisteröidyllä on oikeus vastustaa henkilötietojen käsittelyä, joka perustuu oikeutettuun etuun oikeudellisena perusteena. Vastustuksen johdosta yhtiön on lopetettava käsittely, ellei se voi osoittaa pakottavia oikeutettuja perusteita käsittelylle, jotka syrjäyttävät rekisteröidyn edut, oikeudet ja vapaudet, tai jos henkilötietojen käsittely suoritetaan oikeudellisten vaatimusten laatimiseksi, esittämiseksi tai puolustamiseksi.

9.1.7 Tietyissä tapauksissa rekisteröidyllä on oikeus pyytää henkilötietojensa poistamista ("oikeus tulla unohdetuksi"). Esimerkkinä on tilanne, jossa suostumus on käsittelyn laillinen peruste ja rekisteröity peruuttaa suostumuksensa.

9.1.8 Kun henkilötietoja käsitellään suoramarkkinointia varten, rekisteröidyllä on oikeus milloin tahansa vastustaa häntä koskevien henkilötietojen käsittelyä. Jos rekisteröity vastustaa henkilötietojen käsittelyä suoramarkkinointitarkoituksiin, käsittely tällaisiin tarkoituksiin on lopetettava.

10. Henkilötietojen tietoturvaloukkaukset

10.1 Henkilötietojen tietoturvaloukkaus on tietoturvaloukkaus, joka johtaa henkilötietojen tahattomaan tai laittomaan tuhoamiseen, häviämiseen, muuttamiseen tai luvattomaan pääsyyn. Esimerkkejä henkilötietojen tietoturvaloukkauksista voivat olla asiakasrekisterin varkaus, tahaton palkkatietojen paljastuminen sähköpostitse väärälle vastaanottajalle, työntekijä vie kotiin salaamattoman työtietokoneen, joka myöhemmin varastetaan murrossa ja joka johtaa työntekijöitä tai asiakkaita koskevien tietojen paljastumiseen, henkilötietojen julkaiseminen verkossa vahingossa, henkilötietoja sisältävän kannettavan tietokoneen katoaminen tai varastaminen jne.

10.2 Henkilötietojen tietoturvaloukkauksista voidaan joutua ilmoittamaan valvontaviranomaiselle 72 tunnin kuluessa loukkauksen havaitsemisesta, jos on todennäköistä, että loukkaus aiheuttaa riskin luonnollisten henkilöiden oikeuksille ja vapauksille. Tapahtuneet loukkaukset on dokumentoitava, ja asianomaisille rekisteröidyille voidaan joutua ilmoittamaan.

10.3 Epäiltäessä henkilötietojen tietoturvaloukkausta, ota välittömästi yhteyttä Premium Lomaristeilyt OY:n asiakaspalveluun. Vastuuhenkilö päättää sen jälkeen, onko valvontaviranomaiselle tai rekisteröidyille ilmoitettava.

11. Muuta

11.1 Tässä käytännössä käytettyjen termien määritelmien osalta viitataan EU:n tietosuoja-asetukseen.

11.2 Tätä käytäntöä on päivitettävä säännöllisesti tai tarvittaessa Premium Lomaristeilyt OY:n hallituksen ohjeiden perusteella.

12. Kysymyksiä

Jos sinulla on henkilötietojen käsittelyyn liittyviä kysymyksiä, ota yhteyttä Premium Lomaristeilyt OY:n asiakaspalveluun .

__________

Käytäntö on hyväksytty GO Cruising Travel group AB:n hallituksessa 18.05.2018. Ja Premium Lomaristeilyt OY:n hallituksessa 4.4.2025.

Premium Lomaristeilyt OY yhteistyössä GO Cruising Travel group AB:n kanssa