TIETOSUOJA

1. Johdanto

Meille Arffmanilla on tärkeää, että voit luottaa meidän käsittelevän henkilötietojasi huolellisesti, läpinäkyvästi ja yksityisyyden suojastasi huolehtien. Noudatamme henkilötietojasi käsitellessämme tarkoin yleistä tietosuoja-asetusta (GDPR) ja muuta tietosuojalainsäädäntöä, sekä pyrimme aina toimimaan hyvien tietosuojakäytäntöjen mukaisesti. 

Tämä tietosuojaseloste kuvaa, miten keräämme, käsittelemme ja suojaamme henkilötietoja toiminnassamme.

2. Rekisterinpitäjän yhteystiedot 

Arffman Finland Oy 

Y-tunnus 2060633-3

tietosuoja@edu.arffman.fi

3. Käsiteltävät henkilötiedot ja käsittelyn tarkoitus 

Käsittelemme henkilötietojasi vain seuraavia, erikseen määriteltyjä tarkoituksia varten. Näet alta myös listan niistä henkilötietotyypeistä, joita kutakin tarkoitusta varten käsitellään. 

• Yhteydenottojen käsittely
  • Nimi
  • Sähköpostiosoite 
  • Puhelinnumero
  • Yhteydenottoviestissä mahdollisesti annetut henkilötiedot.
• Asiakastietojen käsittely
  • Henkilön perustiedot, henkilötunnus, palveluiden asiakasprofiili, asiakkaan työnhakuprofiili, palvelussa tehdyt työnhakuasiakirjat, kuvat ja videotallenteet
  • palvelussa tehdyt toimenpiteet, palvelun etenemis- ja seurantatiedot
  • teknisen valvonnan tallenteet

4. Henkilötietojen käsittelyn oikeusperusteet

Tietosuojalainsäädäntö edellyttää, että kaikki henkilötietojen käsittely pohjautuu johonkin yleisessä tietosuoja-asetuksessa määritettyyn oikeusperusteeseen. 

Verkkosivustojen, sähköpostin sekä puhelimen kautta tehtyjen yhteydenottojen käsittelyyn sekä sisäiseen viestintään liittyvä henkilötietojen käsittely perustuu oikeutettuun etuun. Asiakastietojen käsittely perustuu sopimukseen tai suostumukseen. Uutiskirjetilaukseen liittyvä henkilötietojen käsittely perustuu suostumukseen.

5. Henkilötietojen luovutukset ja siirrot

Käsittelemme tietojasi luottamuksellisesti, emmekä esimerkiksi myy, vuokraa tai muutenkaan tarpeettomasti paljasta henkilötietojasi ulkopuolisille tahoille.

5.1 Henkilötietojen luovutukset

Luovutuksella tarkoitetaan tapahtumaa, jossa rekisterinpitäjä (tässä Arffman) antaa henkilötietoja jollekin kolmannelle osapuolelle ja tämä kolmas osapuoli käyttää niitä omiin tarkoituksiinsa – ei siis Arffman Finland OY:n lukuun. Henkilötietoja voidaan luovuttaa Arffman-konserniin sekä Bravedo-konserniin kuuluville toisille yhtiöille.

5.2 Henkilötietojen siirrot

Henkilötietojen siirrolla tarkoitetaan tilannetta, jossa rekisterinpitäjä antaa henkilötietoja kolmannelle osapuolelle käsiteltäväksi rekisterinpitäjän itsensä lukuun. Esimerkiksi jonkin käsittely toimen, kuten uutiskirjeen lähetyksen, ulkoistaminen toiselle yritykselle edellyttää yleensä henkilötietojen siirtämistä. Arffman käyttää henkilötietojen käsittelyssä palveluntarjoajia, joille henkilötietoja siirretään palvelun tuottamista varten.

Keräämiämme tietoja säilytetään ja käsitellään osaksi Euroopan talousalueen ulkopuolella esimerkiksi silloin, kun käyttämämme palveluntarjoaja sijaitsee tai säilyttää tietoja Euroopan talousalueen ulkopuolella. Henkilötietoja saatetaan siirtää Yhdysvaltoihin. Käyttämämme palveluntarjoaja on sopimuksilla sitoutunut varmistamaan, että kaikessa henkilötietojasi käsittelyssä taataan riittävä tietosuojan taso.

6. Henkilötietojen suojaamisen keinot

Suojaamme henkilötietoja häviämiseltä, oikeudettomalta pääsyltä ja muulta väärinkäytöltä asianmukaisilla teknisillä ja organisatorisilla suojakeinoilla. Esimerkkejä tällaisista keinoista ovat muun muassa palomuurien, salaustekniikoiden, varmuuskopioiden ja turvallisten laitetilojen käyttö. 

Henkilötietoihin pääsy on sisäisesti rajoitettu sähköisellä ja fyysisellä kulunvalvonnalla, sekä eri järjestelmien käyttöoikeuksien myöntämistä ja valvontaa koskevien käytäntöjen avulla. Henkilötietoihin pääsee käsiksi ainoastaan ne työntekijät, joilla on työtehtäviensä puitteissa siihen oikeus. 

7. Automaattinen päätöksenteko

Automaattisella päätöksellä tarkoitetaan päätöstä, joka tehdään täysin automaattisesti (esimerkiksi algoritmin toimesta) ihmisen osallistumatta päätöksentekoon. Henkilötietojesi käsittely ei sisällä automaattista päätöksentekoa.

8. Henkilötietojen säilytysajat

Säilytämme henkilötietoja vain niin kauan kuin on tarpeen niiden käsittelylle määriteltyjen tarkoitusten toteuttamiseksi, ellei laki velvoita säilyttämään niitä pidemmän aikaa. 

Säilytysajan päätyttyä tiedot joko poistetaan tai tehdään tunnistamattomiksi muuttamalla ne peruuttamattomasti sellaiseen muotoon, josta yksittäinen henkilö ei ole enää tunnistettavissa. 

• Yhteydenottojen tietoja säilytetään kaksi vuotta
• Asiakastietoja säilytetään kaksi vuotta palvelun päättymisestä tai suostumuksen antamisesta

9. Rekisteröityjen henkilöiden oikeudet

9.1 Oikeus saada tietoa henkilötietojesi käsittelystä

Sinulla on oikeus saada meiltä tietoja henkilötietojesi käsittelystä tiiviisti esitetyssä, läpinäkyvässä, mahdollisimman helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä.

Tämän selosteen tavoitteena onkin toteuttaa oikeutesi tiedonsaantiin ja auttaa sinua mahdollisimman hyvin ymmärtämään miten ja miksi käsittelemme henkilötietojasi. Mikäli et saa selosteen perusteella selvyyttä johonkin kysymykseesi, voit ottaa meihin yhteyttä. 

9.2 Oikeus saada pääsy tietoihin

Sinulla on oikeus saada meiltä vahvistus siitä, mitä sinua koskevia henkilötietoja käsittelemme. Näin sinulla on mahdollisuus arvioida ja varmistaa käsittelyn lainmukaisuus. Lisäksi sinulla on oikeus pyytää ja saada jäljennös käsittelemistämme henkilötiedoista. Ohjeet tietopyynnön tekemiseksi löytyvät seuraavasta kappaleesta ”Oikeuksien käyttäminen”.

9.3 Oikeus siirtää tiedot järjestelmästä toiseen

Sinulla on tietyissä tilanteissa oikeus halutessasi saada sellaiset henkilötietosi, jotka olet itse meille toimittanut, siirrettyä suoraan toiselle rekisterinpitäjälle (kuten työnantajalle) yleisesti käytetyssä ja koneellisesti luettavassa muodossa. Tällainen oikeus on olemassa silloin, kun käsittelemme mainittuja tietoja suostumuksesi tai sopimuksen perusteella ja käsittely on luonteeltaan automaattista (digitaalista). 

9.4 Oikeus oikaista tietoja

Tavoitteenamme on pitää henkilötietosi ajan tasalla ja poistaa tai täydentää virheelliset, puutteelliset tai epätarkat henkilötiedot tarvittaessa viivytyksettä. Myös sinulla on oikeus vaatia, että oikaisemme sinua koskevat epätarkat tai virheelliset henkilötiedot, tai täydennämme tietojasi, jotka ovat jääneet puutteellisiksi.  

9.5 Oikeus rajoittaa tietojen käsittelyä

Käsittelyn rajoittaminen tarkoittaa, että rajoituksen alaisia henkilötietoja saa säilyttämisen lisäksi käsitellä vain

• Suostumuksellasi
• Oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi
• Toisen luonnollisen henkilön tai oikeushenkilön oikeuksien suojaamiseksi tai
• Tärkeää unionin tai jäsenvaltion yleistä etua koskevista syistä.

Oikeus on olemassa seuraavissa tilanteissa:

• Kiistät henkilötietojesi paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa paikkansapitävyysasia selvitetään.
• Käsittely on lainvastaista, mutta et halua poistaa tietojasi.
• Me emme enää tarvitse kyseisiä henkilötietoja ja poistaisimme ne muuten, mutta sinä tarvitset niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
• Olet vastustanut rekisterinpitäjän oikeutetun edun perusteella tapahtuvaa henkilötietojen käsittelyä ja odotetaan sen todentamista, syrjäyttävätkö rekisterinpitäjän edut rekisteröidyn edut.

9.6 Oikeus vastustaa henkilötietojesi käsittelyä

Sinulla on tietyissä tilanteissa oikeus vastustaa henkilötietojensa käsittelyä eli pyytää, että niitä ei käsiteltäisi ollenkaan. Tilanteissa, joissa käsittelemme henkilötietojasi yleistä etua koskevan tehtävän suorittamiseksi, julkisen vallan käyttämiseksi tai oikeutettujen etujen toteuttamiseksi, voit vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseesi liittyvällä perusteella.

Tällöin tietojen käsittely on lopetettava, paitsi jos

• Voimme osoittaa, että käsittelyyn on olemassa huomattavan tärkeä ja perusteltu syy, joka syrjäyttää sinun etusi, oikeutesi ja vapautesi, tai
• Käsittely on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi.

Kun tietoja käsitellään suoramarkkinointia varten, voit kuitenkin aina vastustaa käsittelyä ilman eri perusteluja. Vastustamisen jälkeen tietoja ei saa enää käsitellä suoramarkkinoinnin tarkoituksiin.

9.7 Oikeus poistaa tiedot ja tulla unohdetuksi

Sinulla on tietyissä tapauksissa oikeus ”tulla unohdetuksi”, eli saada jotkut käsittelemämme henkilötiedot kokonaan poistetuksi. Näin on yleensä esimerkiksi tilanteessa, jossa henkilötietojen käsittely on perustunut suostumukseen ja peruutat suostumuksesi, jos henkilötietojen käsittely on alunperinkin ollut lainvastaista, tai mikäli sinänsä aiheellisesti kerättyjä henkilötietoja ei enää tarvita alkuperäiseen tai muuhunkaan hyväksyttävään tarkoitukseen (esim. lakisääteinen velvoite säilyttää tietoja). 

9.8 Oikeus peruuttaa suostumus

Tilanteissa, joissa käsittelemme tietojasi sinun antamasi nimenomaisen suostumuksen nojalla, on sinulla oikeus milloin tahansa peruuttaa suostumuksesi. Mikäli peruutat suostumuksesi, ei henkilötietojesi käsittelyä tai säilyttämistä enää jatketa, ellei jokin muu oikeusperuste (kuten vaikkapa lakisääteinen velvoite) edellytä käsittelyn jatkamista. 

9.9 Oikeus tehdä valitus valvovalle viranomaiselle

Yllä mainittujen oikeuksien lisäksi sinulla on oikeus tehdä valitus valvontaviranomaiselle, mikäli uskot, että rikomme sinua koskevien henkilötietojen käsittelyssä tietosuoja-asetusta. Valituksen voi tehdä esimerkiksi tilanteessa, jossa tässä selosteessa kuvattuja rekisteröidyn oikeuksiasi ei toteuteta asianmukaisesti. Suomessa tietosuojaa koskevana valvontaviranomaisena toimii Tietosuojavaltuutetun toimisto. 

10. Oikeuksien käyttäminen

Mikäli sinulla on kysymyksiä liittyen yllä mainittuihin oikeuksiisi tai haluat tarkastaa tietosi tai muuten käyttää oikeuksiasi, voit ottaa meihin yhteyttä sähköpostitse osoitteeseen tietosuoja@edu.arffman.fi 

Oikeuksien käyttäminen on lähtökohtaisesti maksutonta; tietyissä lain määrittämissä poikkeustapauksissa (esimerkiksi mikäli pyydät tiedoistasi useita kopioita) saatamme pyytää sinulta etukäteen pyynnön toteuttamisen kustannuksia vastaavan maksun.

Vastaamme kaikkiin pyyntöihin ilman aiheetonta viivytystä (viimeistään kuukauden kuluessa pyynnön vastaanottamisesta) ja kerromme mihin toimenpiteisiin olemme pyyntösi johdosta ryhtyneet. Mikäli jostain syystä joudumme kieltäytymään pyynnöstäsi, ilmoitamme myös kieltäytymisestä ja sen perusteista viimeistään kuukauden kuluessa pyynnön vastaanottamisesta. 

Mikäli pyyntöjä on monta tai ne ovat monimutkaisia, saatamme joskus tarvita käsittelyyn lisäaikaa (max 2kk). Ilmoitamme tällöin lisäajan tarpeesta ja perusteista viimeistään 1 kk kuluttua pyynnön tekemisestä. 

Mikäli haluat tehdä valituksen valvontaviranomaiselle, löydät lisätietoja Tietosuojavaltuutetun toimiston sivuilta. https://tietosuoja.fi/ilmoitus-epakohdasta-henkilotietojen-kasittelyssa 

Päivitykset selosteeseen

Kehitämme jatkuvasti tietosuojakäytäntöjämme, minkä vuoksi voimme aika ajoin muuttaa tätä tietosuojaselostetta. Muutokset voivat perustua myös lainsäädännön muuttumiseen. Suosittelemme, että aika ajoin vierailet uudelleen tällä tietosuojaselostesivulla muutoksien huomaamiseksi. Tarvittaessa voimme myös ilmoittaa muutoksista suoraan sinulle.

1.Inledning

För oss på Arffman är det viktigt att du kan lita på att vi behandlar dina personuppgifter omsorgsfullt, transparent och med respekt med tanke på din integritet. Vid behandling av dina personuppgifter följer vi noggrant dataskyddsförordningen (GDPR) och annan dataskyddslagstiftning, samt strävar alltid till att agera i enlighet med god dataskyddspraxis.

Denna integritetspolicy beskriver hur vi samlar in, behandlar och skyddar personuppgifter i vår verksamhet.

2. Kontaktuppgifter till personuppgiftsansvarig

Arffman Finland Oy

FO-nummer 2060633-3

tietosuoja@edu.arffman.fi

3. Personuppgifter som behandlas och ändamål med behandlingen

 

Vi behandlar dina personuppgifter endast för följande, specifikt definierade ändamål. Nedan hittar du även en lista över de typer av personuppgifter som behandlas för respektive ändamål.

• Hantering av kontakter
• Namn
• E-postadress
• Telefonnummer
• Personuppgifter som eventuellt anges i kontaktmeddelandet.

• Behandling av kunduppgifter
• Grundläggande personuppgifter, personbeteckning, kundprofil för tjänster, kundens jobbsökarprofil, jobbsökningshandlingar som skapats i tjänsten, bilder och videoinspelningar
• Åtgärder som vidtagits i tjänsten, uppgifter om tjänstens framsteg och uppföljning
• Inspelningar från teknisk övervakning

4. Rättslig grund för behandling av personuppgifter

Dataskyddslagstiftningen kräver att all behandling av personuppgifter baseras på en rättslig grund som fastställs i dataskyddsförordningen.

Behandling av personuppgifter i samband med kontakter via webbsidorna, e-post och telefon samt intern kommunikation baseras på berättigat intresse. Behandling av kunduppgifter baseras på avtal eller samtycke. Behandling av personuppgifter i samband med prenumeration på nyhetsbrev baseras på samtycke.

5. Utlämnande och överföring av personuppgifter

Vi behandlar dina uppgifter konfidentiellt och varken säljer, hyr ut eller på annat sätt lämnar inte ut dina personuppgifter till utomstående parter i onödan.

5.1 Utlämnande av personuppgifter

Med utlämnande avses en situation där den personuppgiftsansvarige (i detta fall Arffman) lämnar ut personuppgifter till en tredje part, och denna tredje part använder uppgifterna för sina egna ändamål – alltså inte för Arffman Finland Oy:s räkning. Personuppgifter kan lämnas ut till andra bolag inom Arffman-koncernen samt Bravedo-koncernen.

5.2 Överföring av personuppgifter

Med överföring av personuppgifter avses en situation där den personuppgiftsansvarige lämnar personuppgifter till en tredje part för behandling för den personuppgiftsansvariges räkning.

Till exempel kräver utkontraktering av en behandlingsåtgärd, såsom utskick av nyhetsbrev, vanligtvis överföring av personuppgifter. Arffman använder tjänsteleverantörer vid behandling av personuppgifter, till vilka personuppgifter överförs för att kunna tillhandahålla tjänsten.

De uppgifter vi samlar in lagras och behandlas delvis utanför det Europeiska ekonomiska samarbetsområdet (EES), till exempel när en av våra tjänsteleverantörer är belägen eller lagrar uppgifter utanför EES. Personuppgifter kan komma att överföras till USA. Våra tjänsteleverantörer är genom avtal förpliktade att säkerställa att en tillräcklig nivå av dataskydd upprätthålls vid all behandling av dina personuppgifter.

6. Skyddsåtgärder för personuppgifter

Vi skyddar personuppgifter mot att gå förlorade, mot obehörig åtkomst och annat missbruk genom lämpliga tekniska och organisatoriska skyddsåtgärder. Exempel på sådana åtgärder är användning av brandväggar, kryptering, säkerhetskopior och säkra serverutrymmen.

Åtkomst till personuppgifter är internt begränsad genom elektronisk och fysisk åtkomstkontroll, samt genom rutiner för beviljande och övervakning av användarrättigheter i olika system. Endast de anställda som behöver uppgifterna för sina arbetsuppgifter har tillgång till dem.

7. Automatiserat beslutsfattande

Med automatiserat beslutsfattande avses beslut som fattas helt automatiskt (till exempel genom en algoritm) utan mänsklig medverkan. Behandlingen av dina personuppgifter innefattar inte automatiserat beslutsfattande.

8. Lagringstider för personuppgifter

Vi lagrar personuppgifter endast så länge som det är nödvändigt för att uppfylla de ändamål för vilka de behandlas, om inte lag kräver längre lagring.
När lagringstiden har löpt ut raderas uppgifterna eller anonymiseras genom att de omvandlas till en form där en enskild person inte längre kan identifieras.

Uppgifter från kontakter lagras i två år.
Kunduppgifter lagras i två år efter det att tjänsten avslutats eller efter att samtycke har lämnats.

9. De registrerades rättigheter

9.1 Rätt till att få information om behandlingen av dina personuppgifter

Du har rätt att få information av oss om behandlingen av dina personuppgifter i en kortfattad, transparent, lättförståelig och lättillgänglig form, uttryckt i ett klart och enkelt språk.
Syftet med denna policy är att tillgodose din rätt till informationen, och att hjälpa dig att så väl som möjligt förstå hur och varför vi behandlar dina personuppgifter. Om du inte får klarhet i någon fråga utifrån denna policy kan du kontakta oss.

9.2 Rätt att få tillgång till uppgifter

Du har rätt att från oss få en bekräftelse på vilka personuppgifter som rör dig som vi behandlar. Detta ger dig möjlighet att bedöma och säkerställa att behandlingen är laglig. Du har dessutom rätt att begära att få en kopia av de personuppgifter som vi behandlar. Anvisningar för hur man gör en begäran finns i avsnittet; ”Utövande av rättigheter”.

9.3 Rätt till flytta uppgifterna från ett system till ett annat

Du har i vissa situationer rätt att få de personuppgifter som du själv har lämnat till oss överförda direkt till en annan personuppgiftsansvarig (till exempel en arbetsgivare) i ett allmänt använt och maskinläsbart format. Denna rätt gäller när behandlingen baseras på ditt samtycke eller ett avtal och behandlingen sker automatiserat (digitalt).

9.4 Rätt till rättelse

Vårt mål är att hålla dina personuppgifter uppdaterade samt att vid behov utan dröjsmål rätta, komplettera eller radera felaktiga, bristfälliga eller inexakta uppgifter. Du har också rätt att kräva att vi rättar felaktiga eller inexakta personuppgifter som rör dig, eller kompletterar de uppgifter som är ofullständiga.

9.5 Rätt till begränsning av behandling

Begränsning av behandling innebär att personuppgifter som omfattas av begränsningen, utöver lagring, endast får behandlas:

• Med ditt samtycke
• För att fastställa, göra gällande eller försvara rättsliga anspråk
• För att skydda en annan fysisk eller juridisk persons rättigheter, eller
• Av skäl som rör ett viktigt allmänt intresse inom unionen eller en medlemsstat

 

Rätten gäller i följande situationer:

• Du bestrider riktigheten i dina personuppgifter, varvid behandlingen begränsas under den tid då riktigheten kontrolleras.
• Behandlingen är olaglig, men du motsätter dig radering av uppgifterna.
• Vi behöver inte längre personuppgifterna, men du behöver dem för att fastställa, göra gällande eller försvara rättsliga anspråk.
• Du har invänt mot behandling som grundar sig på ett berättigat intresse, och det pågår en kontroll av om den personuppgiftsansvariges berättigade skäl väger tyngre än dina intressen, rättigheter och friheter.

 

9.6 Rätt att invända mot behandling

Du har i vissa situationer rätt att invända mot behandling av dina personuppgifter, det vill säga begära att de inte behandlas alls. När vi behandlar dina personuppgifter för att utföra en uppgift av allmänt intresse, utöva myndighet eller på grund av berättigat intresse, kan du invända mot behandlingen på grund av din personliga situation.

I sådana fall ska behandlingen upphöra, om inte:

• Vi kan visa att det finns tvingande berättigade skäl för behandlingen som väger tyngre än dina intressen, rättigheter och friheter, eller
• Behandlingen är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk.

När uppgifter behandlas för direktmarknadsföring har du alltid rätt att invända utan att ange något skäl. Efter en invändning får uppgifterna inte längre behandlas för sådana ändamål.

9.7 Rätt till radering (”rätten att bli bortglömd”)

Du har i vissa fall rätt att få vissa av dina personuppgifter raderade. Detta gäller till exempel när behandlingen har baserats på samtycke och du återkallar ditt samtycke, när behandlingen från början varit olaglig, eller när uppgifterna inte längre behövs för det ursprungliga eller något annat legitimt ändamål.

9.8 Rätt att återkalla samtycke

I situationer där vi behandlar dina uppgifter med stöd av ditt uttryckliga samtycke har du rätt att när som helst återkalla ditt samtycke. Om du återkallar ditt samtycke fortsätter vi inte att behandla eller lagra dina personuppgifter, om det inte finns någon annan rättslig grund (till exempel en lagstadgad skyldighet) som kräver fortsatt behandling.

9.9 Rätt att lämna in klagomål till tillsynsmyndighet

Utöver ovan nämnda rättigheter har du rätt att lämna in ett klagomål till en tillsynsmyndighet om du anser att vi bryter mot dataskyddsförordningen vid behandlingen av dina personuppgifter. Ett klagomål kan till exempel lämnas in om dina rättigheter enligt denna policy inte tillgodoses på ett korrekt sätt.
I Finland är tillsynsmyndigheten Dataskyddsombudsmannens byrå.

10. Utövande av rättigheter

Om du har frågor gällande dina ovan nämnda rättigheter, vill kontrollera dina uppgifter eller på annat sätt utöva dina rättigheter, kan du kontakta oss via e-post på adressen tietosuoja@edu.arffman.fi

Utövandet av rättigheter är i regel kostnadsfritt. I vissa undantagsfall som fastställs i lag (till exempel om du begär flera kopior av dina uppgifter) kan vi i förväg ta ut en avgift som motsvarar kostnaderna för att genomföra din begäran.

Vi besvarar alla begäranden utan onödiga dröjsmål (senast inom en månad från det att begäran mottogs) och informerar dig om vilka åtgärder vi har vidtagit med anledning av din begäran. Om vi av någon anledning måste avslå din begäran, informerar vi dig om avslaget och skälen till detta senast inom en månad från mottagandet av begäran.

Om det finns många begäranden eller om de är komplexa kan vi i vissa fall behöva ytterligare tid för handläggningen (högst 2 månader). I sådana fall informerar vi dig om behovet av förlängd tid och skälen till detta senast inom en månad från det att begäran gjordes.

Om du vill lämna in ett klagomål till tillsynsmyndigheten hittar du mer information på Dataskyddsombudsmannens byrås webbplats: https://tietosuoja.fi/ilmoitus-epakohdasta-henkilotietojen-kasittelyssa

 

Uppdateringar av policyn

Vi utvecklar kontinuerligt vår dataskyddspraxis, vilket innebär att vi tidvis kan ändra denna integritetspolicy. Ändringarna kan även bero på förändringar i lagstiftningen. Vi rekommenderar att du regelbundet besöker denna sida för att ta del av eventuella ändringar. Vid behov kan vi också informera dig om ändringarna direkt.

 

Last updated on 29 June 2022. 

1. Introduction

At Arffman, the protection of your privacy is important. It is important to us that you can trust us processing your personal data in a careful and transparent manner, respecting your right to privacy. In processing your personal data, we abide by the General Data Protection Regulation and other data protection legislation, and we always follow the best privacy practices

Arffman uses this Data Protection Statement to describe how we collect, process and protect the personal data of our customers in all of our businesses.

 

2. Data controller’s contact information

Arffman Finland Oy 

Business ID 2060633-3

tietosuoja@edu.arffman.fi

 

3. Data types and purpose of processing

We collect and process personal data only for the following, specifically determined purposes. Below you can see a list of the types of personal data we process for each purpose.

• Processing of contact forms
  • Name
  • E-mail address
  • Any personal data included in the message
• Processing of customer data
  • Contact information, social security number, customer profile, customer work application profile, documents made while in service, including pictures, audio and video records.
  • Procedures made while in service, including records regarding progress in services. 
  • Technical administration and security records. 

 

4. Legal basis

Data protection legislation requires that processing of personal data is based on the legal bases included in the GDPR.

Processing of personal data in relation to websites, telecommunication, email and contact forms sent via our website and internal communication is based on legitimate interest. Personal data related to newsletter subscription is processed based on consent.

 

5. Transfers and disclosures

We process personal data confidentially, and we never sell, rent, or otherwise needlessly disclose your personal data to external parties.

 

5.1 Transfers of personal data

When the data controller (herein Arffman) gives personal data to a third party for them to use for their own purposes, this situation is considered a data transfer. Personal data may be transferred to other companies within the Arffman group and companies within the Bravedo group.

 

5.2 Disclosures of personal data

If a data controller reveals personal data to a third party without the third party processing the personal data according to their own purposes, the situation is considered a personal data disclosure. For example, if a certain business process, such as newsletter delivery, is outsourced, the personal data related to the business operation may be disclosed to the third party. Arffman uses third-party service providers in the processing of personal data. Personal data is disclosed to the service providers in the extent necessary for the provided service.

The collected personal data is partly processed and stored outside the EU/EEA, for example when service providers are located outside the EU. Personal data may be transferred to the U.S. The service providers used have contractually committed to ensuring adequate level of data protection in all processing activities. 

 

6. Technical and organizational measures

We protect your personal data with appropriate technical and organizational safeguards against loss, unauthorized access, and other misuse. Examples of such measures include the use of firewalls, encryption techniques, backup copies and safe data rooms. 

Access to your personal data is controlled by internal measures, such as electronic and physical access control, limited access credentials and monitoring policies. Your personal data is processed only by employees who are authorized to do so based on their role.

 

7. Automated decision-making

Automated decision-making refers to decisions made fully automatically, for example based on an algorithm without human intervention. The processing of your personal data at Arffman does not include automated decision-making. 

 

8. Retention times

We store your personal data only as long as necessary for the purposes of the data processing, unless a law requires a longer retention time. Personal data regarding your employment is stored for the period required by law. 

After the retention time has ended, your is made unidentifiable by irrevocably changing the personal data into a form that does not enable identifying an individual person. 

• Contact data is retained for 2 years.
• Customer data is retained for the duration of service or for 2 years after the given consent of  processing information. 

 

9. Data subject rights

9.1 Right to be informed

You have the right to be informed about the processing of your personal data in a concise, transparent, intelligible, and accessible form, presented in clear and plain language. The purpose of this privacy notice is to address the right to be informed and help you understand how we process your personal data. If after reading this notice you have further questions, you can contact us.

 

9.2 Right to access

You have the right to get confirmation of what personal data we process concerning you. Thereby, you can evaluate and confirm that the data is processed lawfully. Additionally, you have the right to ask and receive a copy of the personal data we process. Instructions for requesting a copy of your data can be found in the next section, “Exercising data subject rights”.

 

9.3 Right to data portability

In certain situations, you have the right to receive the personal data that you have provided to us in a structured, commonly used and machine-readable format and, if desired, transmit that data to another controller. This right exists when we process your personal data based on consent or contract and the data processing is digital in nature. 

 

9.4 Right to rectification

Our goal is to maintain personal data in a current and accurate form and to delete false, insufficient or inaccurate personal data without delay. You have the right to demand the rectification of inaccurate personal data concerning you and completion of insufficient personal data.  

 

9.5 Right to restrict processing 

The restriction of processing means that, in addition to storage, the personal data subject to the restriction can only be processed

• with your consent,
• for the establishment, exercise or defense of legal claims,
• for the protection of the rights of another natural or legal person, or
• for reasons of important public interest of the Union or a Member State.

The right exists in the following situations:

• The data subject contests the accuracy of the personal data. In such cases, the processing will be restricted for a period enabling the controller to verify the accuracy of the personal data.
• The processing is unlawful, but the data subject opposes the erasure of the personal data and requests the restriction of its use instead.
• The controller no longer needs the personal data for the purposes of the processing, but it is required by the data controller for the establishment, exercise or defense of legal claims.
• The data subject has objected to the processing of the personal data for purposes other than direct marketing and is awaiting verification on whether the legitimate grounds of the controller override those of the data subject.

 

9.6 Right to object data processing

In certain situations, you have the right to object to data processing by requesting that your data will not be processed at all. If the data is processed for the performance of a task carried out for reasons of public interest, in the exercise of official authority or for the purposes of the compelling legitimate interests pursued by us or a third party, you have the right to object to the processing on grounds relating to your particular situation.

In such cases, the processing must be stopped unless

• the controller demonstrates compelling legitimate grounds for the processing which override the interests, rights and freedoms of the data subject, or
• the processing is necessary for the establishment, exercise or defense of legal claims

If the personal data is processed for direct marketing, you have the right to object to the processing without any specific grounds, after which the data may no longer be processed for purposes of direct marketing.

 

9.7 Right to erasure and to be forgotten

In certain situations, you have the right to be forgotten, or to have your personal data erased entirely. This right exists when, for example, the personal data is no longer necessary in relation to the purposes for which it was collected or otherwise processed, the processing was based on consent and you withdraw the consent, or the personal data has been processed unlawfully. 

 

9.8 Right to withdraw consent

When your personal data is processed based on consent, you have the right to withdraw your consent at any time. If you withdraw your consent, processing of personal data will not be continued unless another legal basis, such as legal obligation, requires continuing the processing of data. You can withdraw your consent, for example, by clicking the “unsubscribe” link at the end of a newsletter email. 

 

9.9 Right to file a complaint to a supervisory authority

In addition to the rights mentioned previously, you have a right to file a complaint to a supervisory authority if you believe that our privacy practices do not follow the General Data Protection Regulation. A complaint can be filed, for example, if the rights described in this notice are not implemented appropriately. In Finland, the supervisory authority is the Office of the Data Protection Ombudsman. 

 

10 Exercising data subject rights

If you have questions regarding the aforementioned rights or you wish to examine your personal data or otherwise exercise your rights, please send an email to tietosuoja@edu.arffman.fi.

Exercising your rights is generally free of charge. In certain situations defined by law, for example, if you request multiple copies of your personal data, we may request a fee equivalent to the cost of implementing your request beforehand.

We respond to all requests without undue delay, at the latest one month after the request has been received. We will inform you about the measures we have taken in order to complete your request. If for some reason we have to decline your request, we will inform you about the refusal and reasoning for it in one month after the request has been received. 

If there are multiple requests, or they are complex, we may require additional time of up to 2 months for implementing the request. In this case, we will inform you about the need for additional time and reasoning for the delay in one month after receiving the request. 

If you want to file a complaint to the supervisory authority, more information can be found on the website of the Office of the Data Protection Ombudsman: https://tietosuoja.fi/en/notification-to-the-data-protection-ombudsman 

 

Updates to the statement

We continuously improve our privacy practices, which is why this privacy notice will also be updated occasionally. Updates may be due to changes in legislation. We recommend that you re-visit this page to be informed about any possible changes. If needed, we may also inform you directly about any changes in our privacy practices.