Dataskyddspolicy (GDPR)
Detta är Hairmail Oy:s dataskyddspolicy i enlighet med EU:s allmänna dataskyddsförordning (GDPR).
Upprättad 06.03.2018. Senaste ändring 29.07.2025.
1. Pesonuppgiftsansvarig
Hairmail Oy (0927969-3), Santaradantie 10, 01370 Vantaa
tel. +358 9 2538 5800 / e-post: asiakaspalvelu@hairmail.net
2. Kontaktpersoner i dataskyddsärenden
Dataskyddsombud: Aleksei Kivijärvi
tel. +358 9 2538 5800 / e-post: tietosuojavastaava@hairmail.net
Ställföreträdande dataskyddsansvarig: Anne Mustonen-Wallenius
tel. +358 50 338 4922 / e-post: anne.mustonen-wallenius@hairmail.net
Registerspecificerade kontaktdetaljer:
Kunder: Maria Kerttula, tel. +358 44 720 2991 / e-post: maria.kerttula@hairmail.net
Leverantörer: Virpi Nyman, tel. +358 40 844 2843 / e-post: virpi.nyman@hairmail.net
3. Allmänt
I denna dataskyddspolicy beskrivs hur Hairmail Oy (“personuppgiftsansvarig”) hanterar personuppgifter för sina kunder eller deras ombud (kundregister) och för sina leverantörers ombud (leverantörsregister).
4. Behandlade personuppgifter
De uppgifter som behandlas kan inkludera: namn, användarnamn, lösenord, företrädd företag/organisation och dess organisationsnummer, kontaktuppgifter (telefonnummer, e-postadress, adress), uppgifter om beställda tjänster och dess ändringar, faktureringsuppgifter, övriga uppgifter kopplade till kundrelationer och prenumererade tjänster samt telefonsamtalsinspelningar.
Att lämna personuppgifter är inte i sig en lagstadgad eller avtalsbunden skyldighet. Vissa uppgifter kan dock krävas för att avtalet mellan den personuppgiftsansvarige och kunden/leverantören ska kunna ingås och tjänster kunna levereras.
5. Lagringstider för personuppgifter
Personuppgifter sparas endast så länge och i den omfattning som de behövs för ändamålen enligt punkt 4.
I allmänhet sparas uppgifterna tills det gått tio (10) år sedan senaste inköp för B2B-kunder, och två (2) år för B2C-kunder. Därefter raderas uppgifterna utan onödigt dröjsmål.
För att uppfylla bokföringslagens krav bevaras de personuppgifter som ingår i bokföringsmaterial i tio (10) år efter det räkenskapsår som materialet avser.
6. Vanliga källor till personuppgifter
Personuppgifter erhålls från den registrerade via registreringsformulär på företagets webbplats, webbeställningar, meddelanden, e-post, telefon, sociala medier, avtal, kundmöten eller andra situationer där kunden lämnar sina uppgifter.
Vid önskemål om faktureringsbetalningssätt används i vanlig ordning kreditinformation från Dun & Bradstreet för både företag och privatpersoner. En kreditkontroll registreras i systemet hos den personuppgiftsansvarige.
Vid nykundsrekrytering (B2B) används företagsinformation från Vainu, som även kan innefatta kopplade personuppgifter.
7. Regelbundna överföringar av personuppgifter och överföring utanför EU/EES
Personuppgifter lämnas normalt inte ut till tredje part. Personuppgiftsansvarig kan emellertid överlämna personuppgifter till sina underleverantörer eller externa tjänsteleverantörer (personuppgiftsbiträden) som behandlar uppgifterna på uppdrag enligt instruktioner som ges av den personuppgiftsansvarige. Exempel är leverantörer av mjukvara, e-posttjänster, IT-support eller tjänster för nyhetsbrev och cookies. Biträden måste följa dataskyddslagstiftningen och får inte använda uppgifterna för egna ändamål.
Personuppgifter kan överlämnas till kreditinformationsleverantörer enligt punkt 7 samt till inkassopartner för betalningskontroll och inkasso.
I regel överförs inte personuppgifter utanför EU/EES. Om en personuppgiftsbiträde är beläget utanför EU/EES, säkerställs att skyddsnivån upprätthålls – exempelvis genom att biträdet accepterar EU-kommissionens standardavtalsklausuler som del av avtalet.
8. Principer för skydd av personuppgifter
Behandling av personuppgifter sker med noggrannhet och de uppgifter som hanteras elektroniskt skyddas med lämpliga tekniska och organisatoriska åtgärder. Vid lagring på webbtjänster garanteras fysisk och digital säkerhet för utrustningen. Den personuppgiftsansvarige ser till att lagrade uppgifter, serverbehörigheter och andra kritiska säkerhetsuppgifter hanteras konfidentiellt och endast av dem som har arbetsrelaterad behörighet, eller av underleverantörer som behöver tillgång för att utföra sitt arbete.
9. Registrerades rättigheter
9.1 Utövande av rättigheter
Den registrerade kan utöva de nedan beskrivna rättigheterna genom att kontakta den personuppgiftsansvarige, t.ex. via e-post till dataskyddsansvarig. Begärda åtgärder ska normalt meddelas inom en månad från mottagandet.
9.2 Rätt till tillgång / granskning
Den registrerade har rätt att få veta vilka personuppgifter som behandlas och att få tillgång till dessa.
9.3 Rätt till rättelse och radering
Den registrerade har rätt att begära att felaktiga, ofullständiga eller felaktigt behandlade uppgifter rättas. Den registrerade kan även begära radering av uppgifter, om dessa inte längre behövs för angivet ändamål. Den personuppgiftsansvarige kan dock vägra radering om det finns laglig grund att behålla uppgifterna.
9.4 Rätt att begära begränsning av behandling
Den registrerade kan i vissa fall begära att behandlingen av dennes uppgifter begränsas, t.ex. om riktigheten bestrids under utredning.
9.5 Rätt att invända
Den registrerade kan invända mot behandlingen om den baseras på berättigat intresse. Då får den personuppgiftsansvarige inte längre behandla uppgifterna, om inte denne kan visa tvingande berättigade skäl.
9.6 Rätt att återkalla samtycke
Om behandlingen baseras på samtycke kan den registrerade när som helst återkalla detta.
9.7 Rätt till dataportabilitet
Den registrerade har rätt att få sina uppgifter överförda i maskinläsbart format till sig själv eller annan. Denna rätt gäller endast automatiskt behandlade uppgifter som lämnats av den registrerade och behandlas på grundval av avtal eller samtycke.
9.8 Rätt att klaga till övervakningsmyndighet
Den registrerade kan göra anmälan till tillsynsmyndighet för dataskydd om hen anser att rättigheter kränkts eller att personuppgifter inte hanterats korrekt.
10. Ändringar av dataskyddspolicyn
Den personuppgiftsansvarige förbehåller sig rätten att uppdatera denna policy när behandling av personuppgifter eller tillämplig lagstiftning ändras.
Rekommendationen är att regelbundet kontrollera innehållet i policyn. Registrerade kommer att informeras per e-post om väsentliga ändringar i behandlingen av personuppgifter.