Tämä Rekisteri- ja tietosuojaseloste (”seloste”) soveltuu yleisesti kaikkeen Primitive skillsin asiakkaiden, työntekijöiden ja alihankkijoiden henkilötietojen käsittelyyn. Heihin viitataan tässä selosteessa selkeyden vuoksi ”asiakkaana”. Tämän selosteen tarkoituksena on antaa tietoa siitä, miten ja miksi Primitive skills Oy (”Primitive skills”, ”me”) kerää ja käsittelee henkilötietoja. Pyrimme selosteessa esittämään  henkilötietolain (523/1999) 10 § ja 24 § vaatimat kohdat mahdollisimman selkeästi. Mikäli haluat lisätietoja Primitive skillsin menettelytavoista tai oikeuksistasi henkilötietolainsäädännön suhteen, otathan kirjallisesti yhteyttä rekisterinpitäjään.

Primitive skills kunnioittaa yksityisyyttäsi. Noudatamme meihin sovellettavia lakeja, emmekä käsittele asiakkaidemme henkilötietoja ilman tietosuojalainsäädännön mukaista oikeusperustetta. Käsittelemme vain niitä henkilötietoja, jotka ovat tarpeen asiakassuhteen hoitamiseksi, laadukkaiden palveluiden tarjoamiseksi tai toimintamme kehittämiseksi, mukaan lukien tiedotamme sinua uusista palveluista, kampanjoista ja tapahtumista.

Tämä seloste on päivitetty 25.5.2018

1. Rekisterinpitäjä

Primitive skills Oy
Y-tunnus: 2800088-9
Osoite: Merivirta 7, 02320 Espoo
Puhelinnumero: +358 40 665 9876
Sähköposti: info@primitiveskills.fi
Yhteyshenkilö: Cao Hoang, cao.hoang@primitiveskills.fi

2. Miten Henkilötiedot on meille päätynyt?

Primitive skills kerää käsittelemänsä henkilötiedot säännönmukaisesti aina asiakkaalta itseltään seuraavissa tilanteissa:

  • kun asiakas rekisteröityy ajanvarausjärjestelmään (www.varaaheti.fi/primitiveskills, Visma DigitalBooker Oy)
  • kun asiakas solmii palvelusopimuksen, toimeksiantosopimuksen tai työsopimuksen
  • kun asiakas täyttää esitietolomakkeen personal training -valmennuksen aloituksen yhteydessä (”PT-esitietolomake”) tai ensimmäisen hieronnan yhteydessä (”Hieronta-esitietolomake”)

Primitive skills ei kerää henkilötietoja alle 16-vuotiaalta ilman heidän vanhempiensa suostumusta tai valtuutusta. Henkilötietoja ei myöskään kerätä ilman tietosuojalainsäädännön mukaista oikeusperustetta.

3. Missä Henkilötietoja on ja miten niitä käsitellään?

3.1. Asiakasrekisteri
Primitive skills käyttää palveluidensa ajanvaraukseen ja ilmoittautumiseen Visma DigitalBooker Oy:n ajanvarausjärjestelmää (”asiakasrekisteri”). Asiakasrekisteri toimii samalla Primitive skillsin ensisijaisena asiakasrekisterinä, josta löytyy kaikkien asiakkaiden yhteystiedot. Asiakkaalla on tietoja tässä rekisterissä, mikäli hän käyttää yhtä tai useampaa palveluamme (sekä asiakkaan että työntekijän roolissa).

3.1.1. Mitä tietoja meillä on asiakkaasta tässä rekisterissä?
Asiakasrekisteriin asiakkaan on mahdollista oman asiakastilinsä kautta (tai sitä luotaessa) antaa meille yhteystietojen (nimi, puhelinnumero ja sähköpostiosoite) lisäksi seuraavat henkilötiedot: postiosoite, sukupuoli ja syntymävuosi. Asiakas voi halutessaan myös linkittää Facebook -profiilinsa ajanvarausjärjestelmään kirjautumisen helpottamiseksi. Välttämättömät tiedot ajanvarausjärjestelmän toiminnan kannalta ovat ainoastaan nimi ja sähköpostiosoite. Muiden tietojen täyttäminen ja luovuttaminen on täysin vapaaehtoista. Asiakastilillä olevat tiedot voi asiakas itse milloin tahansa päivittää tai poistaa oman salasanasuojatun asiakastilinsä kautta.

3.1.2. Miten käsittelemme kerättyjä henkilötietoja?
Yhteystiedot (nimi, puhelinnumero, sähköposti) siirretään Primitive skillsin oman Google-tilin (primitiveskills.fi@gmail.com) osoitekirjaan, johon kaikilla henkilökuntaan kuuluvilla on oikeudet. Asiakasrekisterissä olevia tietoja käytetään ensisijaisesti yhteydenpitoon. Sähköpostiosoitetta käytetään tiedottamiseen ja sähköpostimarkkinointiin. Sähköpostimarkkinointi on uutta asiakastiliä luotaessa automaattisesti  päällä, asiakas voi milloin vain kytkeä tämän pois päältä.

3.1.3. Kuinka kauan säilytämme henkilötietoja tässä rekisterissä?
Asiakasrekisterissä olevat henkilötiedot ovat asiakkaan omalla asiakastilillä. Passiivinen asiakastili ja siihen luovutetut henkilötiedot poistetaan. Asiakastili on passiivinen, mikäli kaikki seuraavat ehdot täyttyvät:

    • asiakastilin kautta ei ole tehty yhtään varausta 12 kuukauteen
    • asiakkaalla ei ole voimassa olevia sarjakortteja
    • asiakas ei ole kirjautunut järjestelmään 12 kuukauteen
    • asiakkaalla ei ole tulevia varauksia

Asiakas voi milloin tahansa itse päivittää henkilötietonsa tai sulkea asiakastilinsä kokonaan.

3.2. Laskutusrekisteri
Primitive skills käyttää kirjanpitoon ja laskutukseen Finago Procountor -kirjanpitopalvelua (”laskutusrekisteri”). Asiakkaan tiedot tähän rekisteriin on kerätty palvelusopimuksen solmimisen yhteydessä.

3.2.1. Mitä tietoja meillä on asiakkaasta tässä rekisterissä?
Laskutusrekisteriin asiakas antaa kirjallisesti palvelusopimuksella yhteystietojen lisäksi seuraavia tietoja: postiosoite, syntymäaika. Tähän rekisteriin luovutetaan tietoja ainoastaan silloin, kun asiakas ostaa palveluita tai tuotteita laskulla.

3.2.2. Miten käsittelemme kerättyjä henkilötietoja?
Palvelusopimuksen kautta kerätyt henkilötiedot kirjataan Finago Procountor -kirjanpitopalveluun ja palvelusopimus skannataan Primitive skillsin salasanalla suojatulle ulkoiselle kiintolevylle arkistoitavaksi. Paperinen versio palvelusopimuksesta annetaan asiakkaalle. Palvelusopimusta säilytetään ainoastaan sähköisessä muodossa kiintolevyllä. Yhteystiedot siirretään asiakasrekisteriin uutta asiakastiliä varten, mikäli se on tarpeellista.

3.2.3. Kuinka kauan säilytämme henkilötietoja tässä rekisterissä?
Laskutusrekisterissä olevat tiedot säilytetään kirjanpitolain (1336/1997) 2 luvun 10 §:n mukaisesti.

3.3. Valmennusrekisteri
Primitive skillsin personal trainerit keräävät valmennuksessa asiakkaan hyvinvoinnin edistämiseksi henkilötietoja, joita ovat mm. liikunta- ja terveyshistoria. Valmennusrekisteriin kerätään vain sellaisten asiakkaiden henkilötietoja, jotka käyttävät personal training -palveluita.

3.3.1. Mitä tietoja meillä on asiakkaasta tässä rekisterissä?
Valmennusrekisteriin voidaan kerätä yhteystietojen lisäksi seuraavia tietoja: arjen tottumukset, fyysisissä testeissä otetut valokuvat ja testitulokset, liikuntatottumukset, liikuntahistoria, liikunnan tavoitteet ja terveyshistoria. Näitä tietoja kerätään vain, jos se on valmennuksen kannalta tarpeellista.

3.3.2. Miten käsittelemme kerättyjä henkilötietoja?
PT-esitietolomake skannataan Primitive skillsin salasanalla suojatulle ulkoiselle kiintolevylle arkistoitavaksi.  Paperinen versio PT-esitietolomakkeesta annetaan asiakkaalle. PT-esitietolomakkeeseen annetut tiedot käsitellään luottamuksellisesti valmennuksen suunnittelussa ja valmennusmateriaalien (mm. kunto-ohjelmat, ruokaohjelmat, kausisuunnitelmat) laadinnassa. Yhteystiedot siirretään asiakasrekisteriin, mikäli se on tarpeellista. Arkaluontoisia tietoja ei luovuteta muihin rekistereihin ja rekisterin käyttöoikeudet ovat ainoastaan personal trainereilla.

3.3.3. Kuinka kauan säilytämme henkilötietoja tässä rekisterissä?
Sähköinen versio PT-esitietolomakkeesta poistetaan 12 kuukauden jälkeen, kun asiakas on päättänyt asiakassuhteen.

3.4. Hoitorekisteri
Primitive skillsin hierojat keräävät parhaan mahdollisen hoidon tarjoamiseksi asiakkaan henkilötietoja salasanalla suojattuun Excel-tiedostoon (”hoitorekisteri”). Hoitorekisteriin kerätään vain sellaisten asiakkaiden henkilötietoja, jotka käyttävät hierontapalveluita.

3.4.1. Mitä tietoja meillä on asiakkaasta tässä rekisterissä?
Hoitorekisteriin kerätään yhteystietojen lisäksi seuraavia tietoja: syntymäaika, postiosoite, tietoja yleisestä terveydentilasta, tietoja tuki- ja liikuntaelinongelmista ja tietoja sen hetkisistä kiputiloista asiakkaan kehossa.

3.4.2. Miten käsittelemme kerättyjä henkilötietoja?
Hoitorekisterissä arkaluontoisten henkilötietojen käsittelyssä ja säilyttämisessä noudatetaan Valviran ohjeita ja Sosiaali- ja terveysministeriön asetusta (298/2009) potilasasiakirjojen käsittelystä. Hieronta-esitietolomakkeesen luovutetut tiedot kopioidaan sähköiseen muotoon hoitorekisteriin, jota säilytetään Primitive skillsin salasanalla suojatulla ulkoisella kiintolevyllä. Paperinen versio Hieronta-esitietolomakkeesta hävitetään heti, kun tiedot on siirretty.

Hoitorekisteriin kerättyjä tietoja käytetään hoidon suunnitteluun ja toteutukseen. Hoitorekisteriin kirjataan hoitokertomuksia jokaiselta hierontakerralta eikä hoitokertomuksia muokata jälkeenpäin. Yhteystiedot siirretään asiakasrekisteriin, mikäli se on tarpeellista. Hoitorekisteriin annetut arkaluontoiset tiedot käsitellään luottamuksellisesti eikä näitä tietoja ei luovuteta muihin rekistereihin. Rekisterin käyttöoikeudet ovat ainoastaan hierojilla.

4. Tietojen luovuttaminen kolmannelle osapuolelle

Primitive skills voi käyttää alihankkijoita palveluiden tarjoamiseen ja toiminnan ylläpitämiseen. Luotetut palveluntarjoajamme toimivat meidän puolesta ja lukuun ja heillä ei ole itsenäistä oikeutta käyttää henkilötietoja. Pidämme huolta siitä, että alihankkijamme käyttävät henkilötietoja ainoastaan ohjeidemme mukaisesti. Alihankkijoillemme on asetettu asianmukaiset tietoturva- ja salassapitovelvollisuudet, sekä huolehtivat itse omalta osaltaan GDPR:n (General Data Protection Regulation) toteutuksesta. Voimme luovuttaa henkilötietoja lainsäädännön vaatiessa, kuten toimivaltaisten viranomaisten pyyntöjen noudattamiseksi.

5. Tietojen luovuttaminen EU/ETA:n ulkopuolelle

Primitive skills voi käyttää toiminnassaan alihankkijoita, jotka toimivat EU/ETA:n ulkopuolella. Henkilötietoja voidaan siirtää tarpeellisessa määrin palveluiden tarjoamiseksi EU/ETA:n ulkopuolelle. Siinä tapauksessa käytämme hyväksyttyjä vakiintuneita mekanismeja, kuten Euroopan komission hyväksymiä mallisopimuslausekkeita, jotka mahdollistavat henkilötietojen siirron alihankkijoillemme kolmansiin maihin. Palveluntarjoajamme, jotka ovat sijoittuneet Yhdysvaltoihin, ovat sitoutuneet toimimaan kuten GDPR vaatii. Näitä alihankkijoita ovat Google (pilvipohjainen kalenteri ja osoitekirja) ja Apple (pilvipohjainen kalenteri ja osoitekirja).

6. Tietoturva

Primitive skills on toteuttanut tarpeelliset tekniset toimenpiteet ja toimintatavat henkilötietojen suojaamiseksi asiattomalta pääsyltä tietoihin ja vahingossa tai laittomasti tapahtuvalta tietojen hävittämiseltä, muuttamiselta, luovuttamiselta, siirtämiseltä taikka muulta laittomalta käsittelyltä. Manuaalinen aineisto kopioidaan sähköiseen muotoon ja hävitetään tai annetaan asiakkaalle säilytettäväksi. Pääsy sähköisesti käsiteltäviin tietoihin on rajattu Primitive skillsin sisällä käyttöoikeuksin salasanalla suojattuna ja tiedot on suojattu asianmukaisin tietoturvamenetelmin.

7. Evästetiedot

Primitive skillsin nettisivut hyödyntävät evästeitä sekä vastaavia selainteknisiä toimintoja, kuten selaimen muistia. Nämä ovat nettisivujemme luomia tiedostoja, joiden avulla pystymme keräämään nettisivujen vierailijoista analytiikkaa ja kohdistamaan näin paremmin palveluitamme niistä kiinnostuneille. Oletusarvoisesti selaimesi evästeet säilyvät yhden kuukauden, ellet poista niitä erikseen. Evästeiden poistaminen onnistuu selaimesi asetuksista. Muista kuitenkin, että selaimeesi latautuu uudet evästeet, kun vierailet sivuillamme taas. Evästeiden ja niiden käytön hyväksyminen on pakollista.

8. Asiakkaan oikeudet

Asiakkaalla on oikeus siirtää itseänsä koskevat tiedot rekisteristä toiseen, eli saada itseänsä koskevat henkilötiedot jäsennellyssä ja yleisesti käytössä olevassa muodossa ja siirtää ne toiselle rekisterinpitäjälle. Asiakkaalla on oikeus tarkastaa hänestä tallennetut tiedot ja kirjallisella pyynnöstä saada niistä kopiot. Tarkastuspyynnössä tulee ilmoittaa tiedon etsimiseksi tarpeelliset seikat ja se tulee tehdä kirjallisesti käyttäjän allekirjoittamassa pyynnössä. Pyynnöt voi osoittaa selosteessa ilmoitetulle yhteyshenkilölle.

Primitive skills pyrkii omien mahdollisuuksiensa mukaan huolehtimaan käsittelemiensä henkilötietojen laadusta ja tarkistamaan henkilötiedot säännöllisin väliajoin. Primitive skills oikaisee, poistaa tai täydentää virheellisen, tarpeettoman, puutteellisen tai vanhentuneen henkilötiedon oma-aloitteisesti tai asiakkaan vaatimuksesta. Asiakas on kuitenkin itse vastuussa antamiensa tietojen oikeellisuudesta. Asiakkaan vastuulla on myös ilmoittaa, mikäli hänen antamissa tiedoissa tapahtuu muutoksia. Tietojensa korjaamiseksi tai poistamiseksi (”oikeus tulla unohdetuksi”) asiakkaan suositellaan ottavan yhteyttä tässä selosteessa ilmoitettuun yhteyshenkilöön.