Tietosuojaseloste

Mikkelin kaupungin verkkokauppa

EU:n yleinen tietosuoja-asetus (2016/679)

Tietosuojalaki 1050/2018

Päivitetty viimeksi 4.1.2021

1       Rekisterinpitäjä

Mikkelin kaupunki (y-tunnus 0165116-3)

Kaupunginhallitus

Raatihuoneenkatu 8-10, 50100 Mikkeli

2       Yhteyshenkilö rekisteriä koskevissa asioissa

Vastaava palveluneuvoja Marianne Tavast-Pasonen, marianne.tavast-pasonen(at)mikkeli.fi

3       Yhteyshenkilö rekisteriä koskevissa tietosuoja-asioissa

Mikkelin kaupungin tietosuojavastaava 

tietosuojavastaava(at)mikkeli.fi

Rekisterinpitäjä pyytää tarvittaessa rekisteröityä täsmentämään pyyntöään. Rekisteröidyn henkilöllisyys varmennetaan ennen muihin toimenpiteisiin ryhtymistä. Mikkelin kaupunki vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa).

4       Rekisterin nimi

Mikkelin kaupungin verkkokauppa

5       Henkilötietojen käsittelyn tarkoitus ja peruste

Mikkelin kaupungin verkkokauppa on perustettu tuotteiden ja palvelujen julkisessa verkossa tapahtuvaa myyntiä varten. Henkilötietoja kerätään asiakkaan tunnistamisen, tilausten toimittamisen, maksujen kohdistamisen ja raportoinnin vuoksi. Henkilötietojen käsittelyn peruste on rekisterinpitäjän yleinen etu.

Mikkelin kaupungin verkkokaupan ydinjärjestelmä on Ceepos-verkkokauppa, jonka avulla:

Verkkomaksaminen tapahtuu Suomi.fi-maksut/ Paytrail -palvelun kautta.

Verkkokauppaostosten ja -maksujen tekeminen katsotaan henkilötietojen käsittelyn hyväksynnäksi, eikä tätä erikseen kuluttajalta vaadita järjestelmän käyttämiseksi. Henkilötietojen tullessa Hellewi-ilmoittautumisesta henkilötietojen käsitteleminen hyväksytään ilmoittautuessa.

6       Rekisterin tietosisältö

Ceepos-verkkokauppa sisältää seuraavat tiedot:

Yleinen asiakasrekisteri: Asiakasnumero, etunimi, sukunimi, lähiosoite, postitoimipaikka, puhelinnumero, sähköpostiosoite, tilaushistoria ja rekisteröityneen käyttäjän käyttäjätunnus ja salasana.

Tilausrekisteri: Yhteystiedot, tilatut tuotteet.

Uimahallien asiakaskortit: korttinumero ja pin-tunnus.

7       Säännönmukaiset tietolähteet

Pääsääntöinen tietolähde ovat verkkokaupan asiakkaat tehdessään tilauksia, ilmoittautumisia ja maksaessaan verkkomaksujaan. Mikkelin kaupungin kansalaisopiston ja liikuntapalvelujen Hellewi -ilmoittautumisjärjestelmän maksutiedot siirretään Ceepos-verkkokaupan maksuosaan. Tuotetiedot perustetaan Ceepos-kassatietojärjestelmään (oma tietosuojaseloste), josta ne siirretään Ceepos-verkkokauppaan.

8       Tietojen säännönmukaiset luovutukset ja vastaanottajien ryhmät

Henkilötietoja ei luovuteta ulkopuolisille. Tilauksen maksamisen yhteydessä välitetään asiakkaan yhteystieto Paytrail -maksunvälitykseen.

9       Tietojen siirto EU:n tai Euroopan talousalueen (ETA) ulkopuolelle

Ei tietojen siirtoa ETA-alueen ulkopuolelle.

10  Rekisterin suojauksen periaatteet ja henkilötietojen säilytysaika

Järjestelmäntoimittajat hoitavat rekisterin ja siihen sisältyvien tietojen säilytyksen hyvän tietojenkäsittelytavan mukaisesti ja noudattavat ehdotonta vaitiolo- ja salassapitovelvollisuutta.

10.1 Käyttöoikeudet ja niiden hallinta

Tietojärjestelmän käyttö edellyttää henkilökohtaista käyttäjätunnusta ja käyttäjäryhmäkohtaista käyttöoikeutta. Tietokannassa olevat tiedot on suojattu käyttäjätunnuksilla ja salasanoilla ja tiedon käsittely on rajattu vain verkkokauppajärjestelmän käytettäväksi. Levyille tallennetut tiedot on suojattu käyttöjärjestelmätason käyttöoikeuksin. Kaikki tietoliikenne toimittajan järjestelmien sekä verkkokaupan ja maksupalveluntarjoajan välillä tapahtuu SSL-suojattuna.

Käyttöoikeus on vain niillä rekisterinpitäjän työntekijöillä, jotka tarvitsevat tietoja työtehtävissään.

Käsittelijät toimivat virkavastuulla ja noudattavat ehdotonta vaitiolo- ja salassapitovelvollisuutta. Käyttöoikeus päättyy henkilön siirtyessä pois niistä tehtävistä, joita varten hänelle on myönnetty käyttöoikeus. Vaitiolo- ja salassapitovelvollisuus jatkuu asiakastietojen käsittelyä sisältävien työtehtävien tai palvelussuhteen päätyttyä.

10.2 Käytön valvonta

Työtehtävien mukaista rekisterin käyttöä ja käytön yrityksiä valvotaan muodostamalla lokitiedot. Lokitiedostoja säilytetään tiedostojärjestelmässä, johon on käyttöoikeuksin rajattu pääsy palvelun ylläpidosta vastaavilla henkilöille. Ceepos-verkkokaupassa tapahtuneet muutokset tallentuvat lokiin. Tietokantaan tallennettujen tietojen avulla voidaan seurata ja raportoida rekistereiden asianmukaista käyttöä. Tiedoista tuotetaan käytön seurantaan tarvittavat raportit.

10.3 Tekninen ylläpito

Järjestelmäntoimittajat vastaavat, että rekisteri säilyy teknisesti eheänä. Järjestelmään liittyen teknistä tietoa tarvitaan järjestelmän teknisen käytettävyyden ja eheyden ylläpitoon ja varmistamiseen. Teknisinä tietoina tallentuvat laitteen tuottamat tapahtumat. Teknisinä tietoina ei kerätä eikä talleteta henkilötietoja.

10.4 Käytettävyyden varmistaminen

Tiedot suojataan tahalliselta ja tahattomalta tuhoutumiselta (mm. keskuslaitteet ovat lukituissa tiloissa, joihin on kulunvalvonta ja tiedostoista varmuuskopiot erillisessä paloturvallisuusosastossa) ja tietojen eheys hoitamalla suojaus teknisen ylläpitotietojen ja tapahtumatietojen kautta. Järjestelmän sisäiset tietoyhteydet on toteutettu suljetuin verkoin. Ulkopuoliset yhteydet on suojattu palomuurein. Järjestelmää ja sen tietoyhteyksiä valvotaan 24 tuntia vuorokaudessa.

10.5 Manuaalinen aineisto

Verkkokauppaan ei sisälly manuaalista aineistoa. Tulostettuja raportteja koskevat samat käsittelysäännöt kuin tietojärjestelmiin vietyjä tietoja.

10.6 Henkilötietojen säilytysaika

Mikkelin kaupunki noudattaa asiakirjojen säilyttämisessä lainsäädännön vaatimuksia ja Kansallisarkiston päätöksiä kunnallisten asiakirjojen pysyvästä säilyttämisestä, arkistoinnista. Yleisimmät säilytysajat ovat viisi tai kymmenen vuotta. Säilytysajan päätyttyä aineisto tuhotaan tietoturvallisesti.
Henkilö- ja tilaustiedot säilytetään rekistereissä, kunnes niiden poistot tehdään manuaalisesti tai ajastetusti. Sähköiset kuittihistoriat säilytetään vähintään kuusi vuotta. Henkilötiedot poistetaan, jos käyttäjällä ei ole ollut tapahtumia kolmeen vuoteen.

11  Muut henkilötietojen käsittelyyn liittyvät rekisteröidyn oikeudet

11.1 Rekisteröidyn oikeus saada pääsy tietoihin (tarkastusoikeus)

Rekisteröidyllä käyttäjällä on mahdollisuus nähdä oma ostohistoriansa Ceepos-verkkokaupassa. Rekisteröidyllä on myös oikeus tarkistaa, mitä tietoja hänestä on tallennettu Mikkelin kaupungin verkkokauppaan. Tarkistuspyyntö tulee tehdä ottamalla yhteyttä rekisterin yhteyshenkilöön, kohta 2 tai 3. Tarkistusoikeuden käyttäminen on lähtökohtaisesti maksutonta.

Jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, rekisterinpitäjä voi joko periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai kieltäytyä suorittamasta pyydettyä toimea. Näissä tapauksissa rekisterinpitäjän on osoitettava pyynnön ilmeinen perusteettomuus tai kohtuuttomuus.

11.2 Rekisteröidyn oikeus vaatia tiedon oikaisemista, poistamista tai   käsittelyn rajoittamista

Rekisteröidyn on ilman aiheetonta viivytystä, saatuaan tiedon virheestä tai, virheen itse havaittuaan, oma-aloitteisesti oikaistava, poistettava tai täydennettävä rekistereissä oleva, virheellinen, tarpeeton, puutteellinen tai vanhentunut tieto.

Korjauspyyntö tehdään ottamalla yhteyttä yhteyshenkilöön, kohta 2.

11.3 Rekisteröidyn oikeus vastustaa henkilötietojen käsittelyä

Rekisteröidyllä on oikeus henkilökohtaiseen erityiseen tilanteeseensa liittyen vastustaa itseensä kohdistuvaa profilointia ja muita käsittelytoimia, joita Mikkelin kaupunki kohdistaa rekisteröidyn henkilötietoihin siltä osin, kun tietojen käsittelemisen perusteena on Mikkelin kaupungin ja rekisteröidyn välinen asiakassuhde. Rekisteröity voi esittää vastustamista koskevan vaatimuksensa ottamalla yhteyttä rekisterin yhteyshenkilöön, kohta 2 ja 3.

Rekisteröidyn tulee vaatimuksen yhteydessä yksilöidä se erityinen tilanne, johon perustuen hän vastustaa käsittelyä. Mikkelin kaupunki voi kieltäytyä toteuttamasta vastustamista koskevaa pyyntöä laissa säädetyin perustein.

11.4 Rekisteröidyn oikeus siirtää tiedot järjestelmästä toiseen

Verkkokaupan rekisteriin ei ole tehty menettelyä, jolla rekisteröity saisi siirrettyä omat tietonsa toiseen järjestelmään.

11.5 Rekisteröidyn oikeus tehdä valitus valvontaviranomaiselle

Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle valvontaviranomaiselle, jos rekisterinpitäjä ei ole noudattanut toiminnassaan soveltuvaa tietosuojasääntelyä.

11.6 Muut oikeudet

Mikäli henkilötietoja käsitellään rekisteröidyn suostumukseen perustuen, rekisteröidyllä on oikeus peruuttaa suostumuksensa ilmoittamalla tästä Mikkelin kaupungille tämän tietosuojaselosteen kohdan 2 mukaisesti.

12  Automaattinen päätöksenteko

Verkkokauppa ei sisällä automaattiseen päätöksentekoon perustuvaa päättelyä.

13  Tietosuojaselosteen muuttaminen

Rekisterinpitäjä päivittää tietosuojaselosteen, jos sisältö muuttuu lakimuutoksien seurauksena tai jos rekisterin ominaisuudet muuttuvat.