Tietosuojakäytäntö

Kuluttaja-asiakasrekisterin tietosuojaseloste

Gummerus Kustannus Oy:n omistaman verkkokaupan kuluttaja-asiakasrekisterin tietosuojaseloste  3.11.2023

1. Rekisterinpitäjän yhteystiedot

Nimi: Gummerus Kustannus Oy (jäljempänä ”Gummerus”)
y-tunnus: 0482813-9
Käyntiosoite: Käenkuja 3 a 3.krs
Postiosoite: PL 1000, 00501 Helsinki

Yhteydenotot kaikissa tietosuoja-asioissa

Gummerus Kustannus Oy
Tietosuoja-asiat
PL 1000
00501 Helsinki
info@gummerus.fi

2. Henkilötiedot sekä niiden käsittelyn tarkoitukset ja perusteet

Gummeruksen verkkokaupan gummerus.fi kävijöistä ja asiakkaista (henkilöt) kerätään ja käsitellään seuraavia tietoja:

  • Perustiedot: sukunimi, etunimet, osoite, toimitusosoite, puhelinnumero, sähköpostiosoite ja muut yhteystiedot, asiakasnumero.
  • Asiakkuustiedot: asiakkaan rekisteröitymistiedot: henkilöllisyyden todentamis-, tunnistamis- ja yksilöintitiedot; käyttäjätilin käyttäjätunnus, salasana tai muu mahdollinen yksilöivä tunnus; uutiskirjeen tilaus- ja lukutiedot, tiedot lähetyistä tarjouksista ja muista sopimusta edeltävistä markkinointitoimista ja yhteydenotoista, asiakkuuden alkamis- ja päättymisajankohta, sopimus-, tilaus-, osto-, keskeytys-, peruutus- ja toimitus- ja palautustiedot, laskutus-, maksu- ja perintätiedot, asiakaspalautteet, reklamaatiot ja muut yhteydenotot, vastaukset asiakastyytyväisyystutkimuksiin
  • Suostumukset ja kiellot: asiakkaan antamat tietojen käyttöä ja suoramarkkinointia koskevat suostumukset, kiellot, rajoitukset ja valtuutukset
  • Verkkokaupan käyttötiedot: evästeiden, mainontatunnisteiden tms. avulla kerättävät verkkokaupan selaus- ja käyttötiedot; mainokset jotka on näytetty sekä tiedot mainosten klikkaamisesta; sivu, jolta käyttäjä on siirtynyt verkkokaupan sivustolle, laitteen malli, yksilöllinen laite- ja/tai mainontatunniste, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä, maa-/kaupunkitasoinen sijainti (Lisätietoa Kirja-verkkokaupan käyttämistä evästeistä)
  • Tapahtumien osallistumistiedot: tapahtumiin, kilpailuihin ja arvontoihin liittyvät henkilön perustiedot, ruokavalio- ja muut niihin osallistumista koskevat tiedot
  • Profiili- ja luokittelutiedot: edellä mainittujen tietojen analysoinnin ja profiloinnin perusteella muodostetut asiakas-/käyttäjä ja markkinointisegmentit ja profiilit

Kerättyjä tietoja käsitellään seuraavissa käyttötarkoituksissa ja oikeusperusteilla:

  • kohtien 1-3 mukaisia tietoja sopimusten ja tilausten täytäntöönpanoon, eli osto- ja maksutapahtuman toteuttamiseen ja todistamiseen, tuotteiden toimittamiseen, maksujen toteuttamiseen, laskutukseen, palautuksiin, valvontaan, selvittämiseen ja perintään
  • kohtien 1-4 mukaisia tietoja kuluttajansuojalain mukaisten velvollisuuksien ja oikeuksien toteuttamiseen ja todistamiseen
  • kohtien 1-3 ja 6 mukaisia tietoja Gummeruksen oikeutetun edun perusteella ja kohtien 4-5 mukaisia tietoja henkilön suostumuksen perusteella
  • asiakaspalveluun, yhteydenottojen hoitamiseen, asiakassuhteen hoitamiseen, kehittämiseen ja ylläpitämiseen mukaan lukien kirjeellä, puhelimella, sähköpostilla, tekstiviestillä tai muilla sähköisillä välineillä tapahtuvaan asiakasviestintään, asiakastyytyväisyys- ja muihin asiakastutkimuksiin ja kyselyihin; verkkokaupan, tuotteiden ja liiketoiminnan kehittämiseen
  • verkkokaupan sisällön ja toiminnan sekä henkilökohtaisen käyttäjäkokemuksen tuottamiseen ja kehittämiseen
  • verkko- ja mobiilimainonnan personointiin ja kohdentamiseen
  • kaikille henkilöille kirjeellä ja puhelimella sekä asiakkaille myös sähköpostitse, tekstiviestillä tai muilla sähköisillä välineillä lähettäviin uutiskirjeisiin ja muuhun suoramarkkinointiin, markkina-, mielipide yms. tutkimuksiin ja niiden personointiin ja kohdentamiseen
  • kohtien 1-6 mukaisia tietoja tietosuojalainsäädännön mukaisten tietoturvavelvollisuuksien täyttämiseen sekä rekisterinpitäjän oikeutetun edun perusteella petosten ja väärinkäytösten estämiseen ja selvittämiseen
  • kohdan 5 mukaisia tietoja Gummeruksen oikeutetun edun perusteella kyseisen tapahtuman, arvonnan tai kilpailun järjestämiseksi sekä henkilön suostumuksella suoramarkkinointia ja muita tarkoituksia varten
  • kohtien 1-5 mukaisia tietoja Gummeruksen oikeutetun edun perusteella verkkokaupan kävijöiden ja asiakkaiden analysointiin, profilointiin ja segmentointiin sekä tieteellisiin ja historiallisiin tutkimuksiin ja tilastollisiin tarkoituksiin

3. Mistä tietoja kerätään

Henkilön tiedot kerätään säännönmukaisesti häneltä itseltään yhteydenottopyynnön, rekisteröitymisen, tilauksen tai muun henkilökohtaisen, sähköisen tai puhelinasioinnin yhteydessä tai tapahtumiin osallistumisen sekä verkkokaupan, uutiskirjeiden, kirja-arvostelujen ja mainosten käytön yhteydessä. Yhteystietoja voidaan kerätä ja päivittää myös Digi- ja väestöviraston (DVV), Postin rekistereistä ja muiden luotettavien tahojen yhteystietorekistereistä sekä Asiakkuusmarkkinointiliiton ylläpitämistä suoramarkkinoinnin kieltorekistereistä.

 4. Kenelle tietoja luovutetaan tai siirretään

Gummerus voi luovuttaa kuljetus- ja muille logistiikkayrityksille (esim. Kirjavälitys, Posti) niiden tarvitsemat tiedot asiakkaan ostamien tuotteiden perille toimittamiseksi sekä pankeille ja muille maksunvälittäjille sekä perintäyhtiöille tiedot, jotka ne tarvitsevat asiakkaan maksutapahtumien toteuttamiseksi ja maksujen perimiseksi. Muuten tietoja ei luovuteta ulkopuolisille tahoille ilman rekisteröidyn suostumusta paitsi, jos se on välttämätöntä Gummeruksen lakisääteisten velvollisuuksien täyttämiseksi, oikeuskäsittelyyn liittyen, viranomaisten pyynnöstä tai osana liiketoimintajärjestelyitä.

Gummerus käyttää tämän selosteen mukaisten tehtävien hoitamiseen alihankkijoita mm. seuraavissa tehtävissä ICT (esim. Shopify, Custobar); asiakassuhteen hoitaminen eli CRM, analytiikka, markkinointi ja viestintä (esim. Google, Meta (Facebook ja Instagram), TikTok, Custobar), kirja-arvostelut (Judge.me) sekä asiakastuki (Zendesk). Tällöin Gummerus voi siirtää henkilötietoja alihankkijoille siinä määrin, kuin se on tarpeen alihankkijan palvelujen toteuttamiseksi. Alihankkijoita sitovat Gummeruksen kanssa tehdyt sopimukset henkilötietojen käsittelystä mukaan lukien salassapitoa ja tietoturvaa koskevat ehdot. Gummerus varmistaa tietosuojan alihankkijoiden palveluissa tietosuoja-asetuksen mukaisilla kirjallisilla sopimuksilla.

Gummeruksen verkkokauppa toimii Shopify-verkkokauppa-alustalla. Shopify käyttää omia evästeitä kerätäkseen tietoja alustansa ja verkkokaupan toimintaa ja sen kehittämistä varten. Shopify vastaa itse omista evästeistään ja niillä kerätyistä tiedoista, ks.lisätietoja osoitteesta https://www.shopify.com/legal/cookies.

Tietoja kerätään myös GA4:sen (Google Analytics 4) evästeillä ja Facebook pikselin avulla sivustojen kävijämääristä, kestosta ja kävijäpolusta sivustolla sekä tuotteiden myynnistä.

Nämä yllämainitut kumppanit vastaavat vastaa itse omista evästeistään ja niillä kerätyistä tiedoista, ks.lisätietoja osoitteista:

https://policies.google.com/technologies/cookies?hl=fi 

Metan tietosuojakäytäntö ja Meta-alustojen teknologioiden täydentävä tietosuojakäytäntö | Meta Store

https://fi-fi.facebook.com/policies/cookies/ 

Privacy Policy - Custobar

Judge.me - Privacy Policy

Tietojen vastaanottajat (esim Shopify, Google ja Facebook, Custobar, Zendesk, Hotjar) voivat käsitellä henkilötietoja myös USA:ssa tai muussa EU-/ETA:n alueen ulkopuolisessa maassa. Ellei Euroopan komissio ole päättänyt, että käsittelymaan tietosuojan taso on hyväksyttävä, WSOY varmistaa asianmukaisen tietosuojan tekemällä vastaanottajien kanssa kirjalliset sopimukset Euroopan komission hyväksymillä vakiosopimusehdoilla tai muulla lainmukaisella menettelyllä. Vakiosopimusehdot löytyvät osoitteesta: https://ec.europa.eu/info/system/files/1_en_annexe_acte_autonome_cp_part1_v5_0.pdf

5. Rekisterin suojauksen periaatteet ja tietojen säilytysaika

Tietojen käyttöön ovat oikeutettuja vain ne henkilöt, joilla on työnsä puolesta oikeus käsitellä tietoja. Manuaalisesti käsiteltävä tietoja säilytetään lukituissa, paloturvallisissa ja kulunvalvonnalla suojatuissa tiloissa. Sähköiset tiedot on suojattu palomuurein, käyttöoikeuksien hallinnalla ja muilla teknisillä keinoilla. Tietojen turvaamisessa otamme huomioon henkilötietojen käsittelyyn liittyvät riskit yksityisyyden suojalle ja liiketoiminnalle, käytettävissä olevat tekniset mahdollisuudet sekä erilaiset uhkatekijät sovellettavan lainsäädännön, määräysten ja sopimusvelvoitteiden mukaisesti. 

Rekisteröityjen henkilötietoja säilytetään 12 kuukautta viimeisen ostotapahtuman tai uutiskirjeen tilauksen päättymisestä. Sen jälkeen tietoja säilytetään, jos se on tarpeellista 2. kohdan (henkilötiedot sekä niiden käsittelyn tarkoitukset ja perusteet) mukaisia käyttötarkoituksia varten, eli kunnes osapuolten väliset sopimukseen tai lainsäädäntöön perustuvat oikeudet ja velvollisuudet ja kirjanpitolaissa määritellyt säilytys- ja vastuuajat ovat päättyneet. Suostumuksen perusteella tietoja voidaan käsitellä niin kauan, kuin rekisteröidyn antama suostumus on voimassa.

Ellei henkilö ole kieltänyt suoramarkkinointia tai peruuttanut siihen antamaansa suostumusta, Gummerus voi käyttää oikeutetun edun perusteella tapahtuvaan suoramarkkinointiin henkilön perustietoja (2.1); tietoja asiakassuhteen kestosta ja ostohistoriasta. Tietoa säilytetään niin kauan kuin tietoja tarvitsee säilyttää ja niitä hyödynnetään.

Anonymisoituja tietoja, joista henkilö ei ole tunnistettavissa, voidaan säilyttää niin kauan kuin tietoja hyödynnetään. Tiedoista säilytetään varmuuskopioita normaalien säilytys- ja poistoaikataulujen mukaisesti.

 6. Tietojen tarkastus-, oikaisu- ja muut rekisteröidyn oikeudet

Henkilö voi tarkastaa ja hallinnoida henkilötietoja ja muita tietoja sekä tietojen käyttöoikeuksia tietyissä Gummeruksen palveluissa käyttäjätilin kautta tai käyttämällä palveluissamme olevia toimintoja. Henkilöllä on lisäksi oikeus

  • tarkastaa hänestä rekisteriin tallennetut tiedot ja vaatia rekisterissä olevan virheellisen tiedon korjaamista, täydentämistä tai poistamista.
  • peruuttaa uutiskirjeen tilauksen uutiskirjeessä olevasta peruuta tilaus -kohdasta tai laittamalla viestiä Kirja.fi verkkokaupan asiakaspalveluun ja kieltää tietojensa käyttö suoramarkkinointiin, mielipide- ja markkinatutkimuksiin mukaan lukien niihin liittyvä profilointi
  • vastustaa henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella Gummeruksen oikeutettuun etuun perustuvaa henkilötietojensa käsittelyä (esim. asiakassuhteen hoitamiseen liittyvää käsittelyä) tai käsittelyä tieteellistä tutkimusta varten.
  • peruuttaa antamansa suostumukset henkilötietojen käsittelyyn
  • siirtää tiedot toisen tahon pitämään järjestelmään lain edellyttämissä tilanteissa.

Henkilö voi laissa määritellyissä tilanteissa vaatia henkilötietojensa käsittelyn rajoittamista, esimerkiksi keskeyttämistä kokonaan tai osittain silloin, kun henkilön mielestä on epäselvyyttä tietojen virheettömyydestä tai niiden käsittelystä, kunnes tietoihin kohdistuvat pyynnöt saadaan selvitettyä ja ratkaistua.

Henkilöllä on myös oikeus tehdä valitus henkilötietojensa käsittelystä tietosuojavaltuutetulle: Henkilö voi käyttää em. oikeuksiaan lähettämällä niitä koskevat pyynnöt kirjallisesti tai sähköpostilla Gummerukselta (yhteystiedot on esitetty 1. kohdassa) tai esittämällä ne Gummeruksen asiakaspalvelussa luotettavasti tunnistettuna. Pyynnön tulee sisältää henkilön nimi, henkilötunnus ja yhteystiedot. Tietosuojan varmistamiseksi henkilön on pyydettäessä todistettava henkilöllisyytensä.