Tietosuojaseloste
Sawola Resort Y-tunnus: 2537605-5 Tossavanlahdentie 452 72600 Keitele +358505345033
info@sawolaresort.fi
1 Tietosuojaselosteen tarkoitus 1
2 Rekisterinpitäjä 1
3 Rekisterinpitäjän yhteyspiste 1
4 Tietoja julkisista verkkopalveluistamme 1
4.1 Tietoliikenteen suojaus 2
4.2 Tietoja evästeistä 2
4.3 Yhteisöliitännäiset 3
5 Sawola resort organisaationa 3
6 Henkilötietojen käsittelijät 3
7 Henkilötietojen käsittelyperiaatteet rekistereittäin 4
8 Sähköinen asiakasrekisteri 4
8.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste 4
8.2 Rekisterin tietosisältö 4 8.3 Henkilötietojen säännönmukaiset tietolähteet 5
8.4 Henkilötietojen vastaanottajat ja luovutuskäytännöt 5
8.5 Henkilötietojen säilytysaika ja poistaminen 5
9 Matkustajarekisteri 5
9.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste 5
9.2 Rekisterin tietosisältö 5
9.3 Henkilötietojen säännönmukaiset tietolähteet 6
9.4 Henkilötietojen vastaanottajat ja luovutuskäytännöt 6
9.5 Henkilötietojen säilytysaika ja poistaminen 6
10 Markkinointirekisteri 6
10.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste 6
10.2 Rekisteröityjen ryhmät 6
10.3 Rekisterin tietosisältö 6
10.4 Henkilötietojen säännönmukaiset tietolähteet 7
10.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt 7
10.6 Henkilötietojen säilytysaika ja poistaminen 7
Sawola Resort Y-tunnus: 2537605-5 Tossavanlahdentie 452 72600 Keitele +358505345033
info@sawolaresort.fi
11 Rekrytointirekisteri 8
11.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste 8
11.2 Rekisteröityjen ryhmät 8
11.3 Rekisterin tietosisältö 8
11.4 Henkilötietojen säännönmukaiset tietolähteet 8
11.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt 8
11.6 Henkilötietojen säilytysaika ja poistaminen 9
12 Kameravalvontarekisteri 9
12.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste 9
12.2 Rekisteröityjen ryhmät 9
12.3 Rekisterin tietosisältö 9
12.4 Henkilötietojen säännönmukaiset tietolähteet 9
12.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt 10
12.6 Henkilötietojen säilytysaika ja poistaminen 10
13 Henkilötietojen tekniset suojatoimet 10
13.1 Tekninen turvallisuus 10
13.2 Toimitilaturvallisuus 10
13.3 Manuaalisten henkilötietojen käsittely 11
14 Henkilötietojen organisatoriset suojatoimet 11
14.1 Organisatoristen suojatoimien perusta 11
14.2 Henkilöstöturvallisuus 11
14.3 Käyttövaltuushallinta 12
14.4 Muiden henkilötietojen käsittelijöiden organisatoriset suojatoimet 12
15 Henkilötietojen sijainti 12
16 Henkilötietojen siirtäminen 12
17 Rekisteröityjen oikeuksien toteuttaminen 13
18 Tietoturvaloukkauksista ilmoittaminen 14
19 Tietosuojakäytäntöjen muuttaminen 14
Sawola Resort Y-tunnus: 2537605-5 Tossavanlahdentie 452 72600 Keitele +358505345033
info@sawolaresort.fi
tietosuojaseloste rekisterinpitäjänä 1 Tietosuojaselosteen tarkoitus Tällä tietosuojaselosteella toteutetaan
EU:n yleisen tietosuoja asetuksen (EU) 2016/679 mukainen läpinäkyvä informointi, viestintä ja
yksityiskohtaiset säännöt, joiden avulla voidaan toimittaa rekisteröidyille 13 ja 14 artiklan mukaiset tiedot ja
15–22 artiklan ja 34 artiklan mukaiset kaikki käsittelyä koskevat tiedot tiiviisti esitetyssä, läpinäkyvässä,
helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä ja yksinkertaisella kielellä. Sawola
Resort on majoitus, matkailu/ohjelmapalvelu alan yritys, joka tuottaa asiakkailleen majoitus, matkailu ja
ohjelmapalveluita. Tässä tietosuojaselosteessa kuvataan henkilötietojen käsittelyn ja suojauksen
periaatteet, joiden avulla Sawola Resort yritys rekisterinpitäjänä suojaa henkilötietoja eri tilanteissa. 2
Rekisterinpitäjä Sawola Resort Y-tunnus: 2537605-5 Kotipaikka: Keitele Tässä tietosuojaselosteessa
rekisterinpitäjään viitataan myöhemmin termillä ”Sawola” tai ”rekisterinpitäjä”. 3 Rekisterinpitäjän
yhteyspiste Rekisterinpitäjän yhteyspiste kaikissa tietosuojaan liittyvissä kysymyksissä on: Sawola resort
tossavanlahdentie 452 72600 Keitele +358505345033 info@sawolaresort.fi Tietoja julkisista
verkkopalveluistamme Sawola resortilla on Internetissä muun muassa seuraavia julkisia verkkopalveluita:
www.sawolaresort.fi facebook…. instagram… Näissä palveluissa käytetään teknologiaa, joiden avulla
palveluiden käyttäjä voidaan tunnistaa ja hänelle voidaan tarjota tunnistetietojen avulla räätälöityjä
palveluita. 4.1 Tietoliikenteen suojaus: Tarjoamamme julkiset verkkopalvelut käyttävät lähtökohtaisesti SSL-
salausta käyttäjän päätelaitteen ja verkkopalvelun välisen tietoliikenteen suojaamiseen. SSL-salaus auttaa
myös verkkosivuston aitouden varmistamisessa. SSL-salausta käyttävän verkkopalvelun tunnistaa
useimmiten selaimen osoitekentän vieressä olevasta lukon kuvasta sekä HTTPS- alkuisesta osoitteesta. 4.2
Tietoja evästeistä: Käytämme sivuillamme niin sanottua Cookie-toimintoa eli evästeitä. Eväste on pieni,
käyttäjän tietokoneelle lähetettävä ja siellä säilytettävä tekstitiedosto, joka mahdollistaa muun muassa
sivuston perustoiminnot ja auttaa tunnistamaan sivuilla vierailevat kävijät. Evästeet ovat vaarattomia,
eivätkä ne vahingoita käyttäjien päätelaitteita tai tiedostoja. Evästeiden tuottamien tunnistetietojen avulla
pystymme kohdentamaan kävijälle häntä kiinnostavaa sisältöä. Mikäli et halua meidän saavan edellä
mainittuja tietoja evästeiden avulla, useimmat selainohjelmat mahdollistavat evästetoiminnon
poiskytkemisen sekä evästeiden poiston. On kuitenkin hyvä ottaa huomioon, että evästeet voivat olla
tarpeellisia joidenkin ylläpitämiemme sivujen ja tarjoamiemme palveluiden asianmukaiselle toiminnalle.
Voit tutustua selainkäyttöön perustuvan mainonnan toimintaperiaatteisiin, evästeisiin ja yksityisyyden
suojaamisen käytäntöihin tarkemmin esimerkiksi Your Online Choices – verkkosivustolla 4.3
Yhteisöliitännäiset: Verkkosivuillamme voi olla linkkejä ja yhteyksiä kolmannen osapuolen
verkkosivustoihin, kuten Facebookiin, Twitteriin, Instagramiin ja muihin yhteisöpalveluihin. Niiden kautta
tuleva sisältö latautuu kolmannen osapuolen Yhteisöliitännäisten avulla yhteisöpalveluntarjoajat voivat
kerätä tietoja kävijän vierailusta kulloinkin voimassaolevien ehtojensa mukaisesti. Voit tutustua näihin
kolmansien osapuolien tietosuojakäytänteisiin seuraavista linkeistä: Facebook Privacy Policy Twitter
Privacy Policy Instagram Privacy Policy 5. Sawola resort organisaationa: Sawola resort on majoitus- matkailu
ja tapahtumajärjestäjä paikallisesti Keiteleellä toteuttava yritys. Tarjoamme asiakkaillemme muun muassa
majoitus,matkailu,ohjelma, kokous- ja juhlatilapalveluita Hotelli Sawolassa. Luottamuksellisten
henkilötietojen ja muutoin salassa pidettävien tietojen käsittely on osa jokapäiväistä työtämme. Siksi
meidän on suhtauduttava myös tietosuoja- ja tietoturvakysymyksiin erityisen vakavasti. Haluamme kehittää
toimintamme laatua johdonmukaisesti ja ennakoida sekä reagoida tietosuoja- ja tietoturvakysymyksiin
mahdollisimman kattavasti. 6 Henkilötietojen käsittelijät: Rekisterinpitäjänä Sawola käyttää toiminnassaan
alihankkijoita. ”Alihankkijalla” tarkoitetaan käsittelijää, joka käsittelee henkilötietoja tämän sopimuksen
Sawola Resort Y-tunnus: 2537605-5 Tossavanlahdentie 452 72600 Keitele +358505345033
info@sawolaresort.fi
mukaisesti, kokonaan tai osittain, käsittelijän lukuun ja tämän toimeksiannosta. Käytännössä alihankkijat
ovat lähes poikkeuksetta ICTyhteistyökumppaneita ja muita kumppaneita, joilla on tekninen pääsy Sawolan
hallitsemiin tietojärjestelmiin tai toimitiloihin niiden ylläpitämiseksi. Sawola voi pyynnöstä yksilöidä
käyttämänsä alihankkijat. Sawola myös informoi rekisterinpitäjänä asiakkaitaan ennalta suunnitelluista
muutoksista, joilla alihankkijoita lisätään tai vaihdetaan. Kaikkien alihankkijoiden kanssa on laadittu
asianmukainen salassapitosopimus. Tietosuoja-asetuksen 29 artiklan mukaan henkilötietojen käsittelijä tai
kukaan rekisterinpitäjän tai henkilötietojen käsittelijän alaisuudessa toimiva henkilö, jolla on pääsy
henkilötietoihin, ei saa käsitellä niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin
oikeudessa tai jäsenvaltion lainsäädännössä niin vaadita. Sawolan ja alihankkijan välisen henkilötietojen
käsittelysopimuksen puitteissa Sawola resort on antanut alihankkijalle erilliset kirjalliset ohjeet
henkilötietojen asianmukaisesta käsittelystä. Ohjeistuksella varmistetaan, että tietosuoja-asetuksen
velvoite henkilötietojen käsittelyn suojaustoimista toteutetaan huomioiden tietojen riskiperusteisuus.
Sawola resort tarkastelee ohjeen ja muiden dokumenttien ajantasaisuutta säännöllisesti. Mikäli
alihankkijan tai Sawola resortin käytäntöihin tai tietojärjestelmiin tulee olennaisia muutoksia, niiden
vaikutus tietosuojan toteutumiseen arvioidaan erikseen. 7 Henkilötietojen käsittelyperiaatteet
rekistereittäin 8 Sähköinen asiakasrekisteri 8.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste Sawola
resortin asiakasrekisterin tarkoitus on yrityksen asiakassuhteiden hoitaminen ja kehittäminen. Sawolan
suorittama henkilötietojen käsittely perustuu henkilötietolain 8 §:n 1 momentin 1-kohtaan (rekisteröidyn
antama suostumus) ja 5- kohtaan (asiakassuhteen perusteella yhteys rekisterinpitäjän toimintaan).
Asiakasrekisterin sisältämiä henkilötietoja käytetään Sawola resortin huonevarauksia ja muita palveluita
koskevien varausten käsittelyyn, asiakassuhteen hoitoon ja kehittämiseen, rekisterinpitäjän palveluiden ja
tuotteiden markkinointiin sekä liiketoiminnan ja asiakaspalvelun kehittämiseen. Henkilötietojen käsittely
voi olla tarpeen myös rekisterinpitäjän oikeutettujen etujen toteuttamiseksi. 8.2 Rekisterin tietosisältö:
Sawola resort saattaa tallettaa ja käsitellä seuraavia tietoja: – Täydellinen nimi – Asema organisaatiossa tai
liitokset muihin organisaatioihin – Täydellinen osoite – Puhelinnumero, sähköpostiosoite – Varauksia
koskevat tiedot – Rekisteröidyn maksutapatiedot, laskutustiedot, mahdolliset maksuviitetiedot – Tiedot
palveluiden käytöstä tai ostoista – Rekisteröidyn valintoja tai toiveita koskevat tiedot, kuten huonetta
koskevat erityistoiveet, esteettömyysasiat yms. – Tieto mahdollisista viestintä- tai
markkinointiviestintäkielloista – Rekisteröityyn liittyvät muistiot – Rekisteröityyn liittyvät
kalenteritapahtumat – Rekisteröityyn liittyvät sähköpostiviestit – Muita asiakassuhteen hoitamisen kannalta
tärkeitä tietoja 5 8.3 Henkilötietojen säännönmukaiset tietolähteet: Henkilötietojen ensisijainen tietolähde
on Sawola resortin asiakas ja asiakkaan edustajat itse esimerkiksi majoitus- tai ravintolapalveluiden
varauksen yhteydessä. Rekisteriin voidaan kerätä tietoa myös julkisista tietolähteistä. Lisäksi Sawola resort
voi täydentää rekisteröidyn tietoja oman toimintansa perusteella. 8.4 Henkilötietojen vastaanottajat ja
luovutuskäytännöt: Sawola resortin asiakasrekisterin sisältämiä henkilötietoja käsitellään lähtökohtaisesti
ainoastaan Sawola resort konsernissa. Henkilötietoja ei säännönmukaisesti myydä, vuokrata tai luovuteta
kolmannelle osapuolelle. Tietoja hotellin asiakasrekisteristä ei luovuteta EU:n tai ETA-alueen ulkopuolelle.
8.5 Henkilötietojen säilytysaika ja poistaminen: Sawola resortin asiakasrekisterin henkilötietoja säilytetään
niin kauan, kuin henkilötietojen käsittely on tarpeen Sawola resortin tai asiakkaan välisen
toimeksiantosopimuksen tai muun oikeutetun edun toteuttamiseksi. Sawola resort arvioi asiakasrekisterin
henkilötietojen oikeusperustetta säännöllisesti, vähintään vuoden välein. Sawola resort toteuttaa tarpeen
mukaan toimenpiteitä, joilla epätarkat, virheelliset, vanhentuneet tai tarpeettomat henkilötiedot
poistetaan. 9 Matkustajarekisteri 9.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste Sawolan
majoitusrekisterin tarkoitus on täyttää Sawola resortille majoitusliikkeenä asetettu lakisääteinen vaatimus.
Laki majoitus ja ravitsemistoiminnasta velvoittaa majoitusliikkeen keräämään määrätyt tiedot majoittujista
Sawola Resort Y-tunnus: 2537605-5 Tossavanlahdentie 452 72600 Keitele +358505345033
info@sawolaresort.fi
ja säilyttämään niitä vuoden (12kk) ajan. 9.2 Rekisterin tietosisältö: Sawola saattaa tallettaa ja käsitellä
seuraavia tietoja: – Täydellinen nimi ja suomalainen henkilötunnus tai syntymäaika sekä kansalaisuus –
Mukana olevan puolison sekä alaikäisten lasten nimet ja henkilötunnukset tai niiden puuttuessa
syntymäajat – Täydellinen osoite – Majoitusliikkeeseen saapumispäivä ja lähtöpäivä (mikäli tiedossa) – Maa,
josta Suomeen saavutaan (jos matkustajan asuinpaikka ei ole Suomi) – Matkustusasiakirjan numero (ei
tarvita pohjoismaan kansalaisilta eikä Suomessa asuvalta) – Vapaaehtoinen tieto: tapahtuuko
majoittuminen vapaa-ajanvieton, työn, kokouksen tai muun syyn takia. 6 9.3 Henkilötietojen
säännönmukaiset tietolähteet: Henkilötietojen ensisijainen tietolähde on Sawola resortin asiakas itse ja
hänen täyttämänsä vaaditut tiedot matkustajailmoitukseen. 9.4 Henkilötietojen vastaanottajat ja
luovutuskäytännöt: Sawolan majoitusrekisterin sisältämiä henkilötietoja käsitellään lähtökohtaisesti
ainoastaan Sawola resort-konsernissa. Lain mukaan majoitusliike on velvollinen luovuttamaan
ulkomaalaisia koskevat tiedot viivytyksettä poliisille. Muutoin henkilötietoja ei säännönmukaisesti myydä,
vuokrata tai luovuteta kolmannelle osapuolelle. Tietoja majoitusrekisteristä ei luovuteta EU:n tai ETA-
alueen ulkopuolelle. 9.5 Henkilötietojen säilytysaika ja poistaminen: Sawola resortin majoitusrekisterin
henkilötietoja säilytetään laissa vaaditun vuoden (12kk) ajan. Tämän jälkeen tiedot hävitetään
asianmukaisesti. 10 Markkinointirekisteri 10.1Henkilötietojen käsittelyn tarkoitus ja oikeusperuste: Sawola
resortin markkinointirekisterin tarkoitus on Sawolan asiakassuhteiden hoitaminen ja kehittäminen. Lisäksi
markkinointirekisteriä käytetään sekä markkinointiviestinnän että virallisen tiedottamisen kohdentamiseen
asiakkaiden ja potentiaalisten asiakkaiden yhteyshenkilöille. Markkinointirekisteriä käytetään myös Sawola
resortin omissa verkkopalveluissaan vastaanottamien yhteydenotto- ja palvelupyyntöjen käsittelyyn.
Asiakkaiden osalta Sawolan suorittama henkilötietojen käsittely perustuu henkilötietolain 8 §:n 1 momentin
1-kohtaan (rekisteröidyn antama suostumus). Potentiaalisten asiakkaiden edustajien ja muiden henkilöiden
osalta henkilötietojen käsittely perustuu rekisteröidyn yksiselitteiseen tai nimenomaiseen suostumukseen
taikka Sawolan oikeutettuun etuun. 10.2Rekisteröityjen ryhmät: Sawola resort saattaa käsitellä seuraavien
keskeisten rekisteröityjen ryhmien henkilötietoja: – Sawolan aktiivisten asiakkaiden yhteyshenkilöt –
Sawolan potentiaalisten asiakkaiden yhteyshenkilöt – Sawolan tapahtumiin, kuten messuihin tai tilaisuuksiin
osallistuneet henkilöt – Sawolan yhteistyöverkostoon kuuluvat henkilöt 10.3 Rekisterin tietosisältö: Sawola
resort saattaa käsitellä seuraavia rekisteröityjen ryhmien henkilötietoja:7 – Rekisteröidyn nimi –
Rekisteröidyn asema organisaatiossa – Rekisteröidyn osoite – Rekisteröidyn puhelinnumero ja
sähköpostiosoite – Tieto mahdollisista viestintä- tai markkinointiviestintäkielloista – Tieto rekisteröidylle
lähetetystä viestinnästä – Tieto rekisteröidyn avaamasta sisällöstä Sawolan markkinointikirjeissä
Lähtökohtaisesti markkinointirekisterissä ei käsitellä erityisiä henkilötietoryhmiä. Sawola resort ei voi
varmuudella estää alle 13-vuotiaita henkilöitä käyttämästä Sawola resortin julkisia verkkopalveluita ja
tietolähteitä. Jos Sawola resort on perusteltu syy epäillä kerätyn henkilötiedon koskevan alle 13-vuotiasta
henkilöä, tietojen käsittely keskeytetään ja henkilötiedot poistetaan. 10.4Henkilötietojen säännönmukaiset
tietolähteet: Sawola resortin aktiivisten asiakkaiden yhteyshenkilöiden henkilötietoja voidaan käsitellä
myös Sawolan markkinointirekisterissä, ellei rekisteröity tätä kiellä. Muiden rekisteröityjen osalta rekisterin
ensisijainen tietolähde on rekisteröity itse ja hänen oma toimintansa Sawolan verkkopalveluissa. Rekisteriin
voidaan kerätä tietoa myös julkisista tietolähteistä ja Sawola resort voi täydentää rekisteröidyn tietoja
oman toimintansa perusteella. 10.5Henkilötietojen vastaanottajat ja luovutuskäytännöt: Sawola resortin
markkinointirekisterin sisältämiä henkilötietoja käsitellään lähtökohtaisesti ainoastaan Sawola resort –
konsernissa. Henkilötietoja ei myydä, vuokrata tai luovuteta kolmannelle osapuolelle. Sawolan ja
kolmannen osapuolen yhteisissä tapahtumissa ja kampanjoissa (esimerkiksi messut sekä yhteis- ja
asiakastilaisuudet) markkinointirekisteriin voidaan kerätä henkilötietoja, joita luovutetaan kolmannelle
osapuolelle tapahtuman tai kampanjan käytännön toteuttamiseksi. Tällöin jo henkilötietoja kerättäessä
Sawola Resort Y-tunnus: 2537605-5 Tossavanlahdentie 452 72600 Keitele +358505345033
info@sawolaresort.fi
rekisteröidyille kerrotaan henkilötietojen mahdollisesta luovuttamisesta kolmannelle osapuolelle. Sawola
resortin ja kolmannen osapuolen yhteisissä tapahtumissa ja kampanjoissa tapahtuva mahdollinen
henkilötietojen käsittely ja luovutus tapahtuu ensisijaisesti sähköisesti. Sähköisten henkilötietojen
luovuttamisessa henkilötietoja suojataan asianmukaisin teknisin menettelyin. 10.6 Henkilötietojen
säilytysaika ja poistaminen: Sawola resortin markkinointirekisterin henkilötietoja säilytetään niin kauan,
kuin henkilötietojen käsittely on tarpeen Sawola resortin tai asiakkaan välisen toimeksiantosopimuksen tai
muun oikeutetun edun toteuttamiseksi. Sawola arvioi markkinointirekisterin henkilötietojen
oikeusperustetta säännöllisesti, vähintään vuoden välein. Sawola resort toteuttaa tarpeen mukaan
toimenpiteitä, joilla epätarkat, virheelliset, vanhentuneet tai tarpeettomat henkilötiedot poistetaan. 11
Rekrytointirekisteri 11.1Henkilötietojen käsittelyn tarkoitus ja oikeusperuste: Sawolan rekrytointirekisterin
tarkoitus on Sawola resortin työntekijöiden ja työharjoittelijoiden rekrytointien käytännön toteuttaminen.
Henkilötietojen käsittely perustuu rekisteröidyn nimenomaiseen suostumukseen. 11.2 Rekisteröityjen
ryhmät: Sawola resort saattaa käsitellä seuraavien keskeisten rekisteröityjen ryhmien henkilötietoja: –
Avoimiin työpaikkoihin työhakemuksen jättävät henkilöt – Avoimiin työharjoittelupaikkoihin
työhakemuksen jättävät henkilöt – Avoimen hakemuksen jättävät henkilöt 11.3 Rekisterin tietosisältö:
Sawolan rekrytointirekisteri sisältää kaikki rekisteröidyn itsensä ilmoittamat henkilötiedot. Tällaisia tietoja
ovat muun muassa nimi, osoite, puhelinnumero, sähköpostiosoite, syntymäaika, sukupuoli, koulutustiedot,
työhistoria, oma arvio kielitaidosta, omat toiveet työtehtävän tai työharjoittelun sisällöstä, suosittelijoiden
yhteystiedot sekä mahdollisissa liitteissä, kuten ansioluettelossa annetut tiedot. 11.4 Henkilötietojen
säännönmukaiset tietolähteet: Sawola resortin rekrytointirekisterin ensisijainen tietolähde on työnhakija
itse. Rekisteröidyn antamia tietoja voidaan täydentää työnhakijan luvalla myös esimerkiksi suosittelijoiden
tai entisten työnantajien antamilla tiedoilla. Lisäksi Sawolan henkilöstöhallinto ja rekrytoiva esimies voivat
täydentää tietoja rekrytointiprosessin aikana. 11.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt:
Tietoja voidaan luovuttaa rekisteröidyn suostumuksella kolmannelle osapuolelle rekrytointiin liittyvän
henkilöarvioinnin toteuttamiseksi. Rekrytointirekisterin tietoja ei muutoin myydä, vuokrata tai luovuteta
kolmansille osapuolille. Henkilöarvioinnin toteuttamiseksi suoritettava henkilötietojen käsittely ja luovutus
tapahtuu ensisijaisesti sähköisesti. Sähköisten henkilötietojen luovuttamisessa henkilötietoja suojataan
asianmukaisin teknisin menettelyin. 9 11.6 Henkilötietojen säilytysaika ja poistaminen:
Rekrytointirekisterin sisältämiä henkilötietoja säilytetään enintään 24 kuukautta työhakemuksen
jättämisajankohdasta ja viimeisimmästä muokkausajankohdasta. 12 Kameravalvontarekisteri 12.1
Henkilötietojen käsittelyn tarkoitus ja oikeusperuste: Sawolan toimipisteissä on kameravalvonta.
Kameravalvonnalla pyritään ennaltaehkäisemään väärinkäytöksiä ja rikoksia. Lähtökohtaisesti
kameravalvonnalla suojataan: – toimipisteissä työskentelevää henkilöstöä – toimipisteessä vierailevia
asiakkaita ja muita henkilöitä – toimipisteissä käsiteltäviä asiakkaiden henkilötietoja ja – toimipisteissä
käsiteltävää asiakkaiden omaisuutta. Lisäksi kameravalvonnan tallentamia tietoja voidaan käyttää jo
tapahtuneiden väärinkäytösten tai rikosten selvittämiseen muun muassa seuraavan lainsäädännön
mukaisesti: – Laki yksityisyyden suojasta työelämässä (759/2004) – Laki naisten ja miesten välisestä tasa-
arvosta (609/1986) – Työturvallisuuslaki (738/2002) 12.2 Rekisteröityjen ryhmät: Kameravalvonta tallentaa
tiedon kaikista toimipisteessä vierailevista henkilöistä. 12.3 Rekisterin tietosisältö – Kuvamateriaali
kameravalvonnan kattamalla alueella – Kuvamateriaaliin liittyvä aikatieto: Lähtökohtaisesti
kameravalvonnan henkilörekisterissä ei käsitellä erityisiä henkilötietoryhmiä. Kameravalvonnan
kuvamateriaalissa voi kuitenkin olla viitteitä rekisteröityjen erityisistä henkilötietoryhmistä. 12.4
Henkilötietojen säännönmukaiset tietolähteet: Kameravalvontajärjestelmän kameroiden tallentama
kuvamateriaali ja tallentimen tuottama aikaleimatieto. 10 12.5 Henkilötietojen vastaanottajat ja
luovutuskäytännöt: Sawolan kameravalvontarekisterin sisältämiä henkilötietoja käsitellään lähtökohtaisesti
ainoastaan Sawola resort konsernissa ja vain tarpeen vaatiessa. Henkilötietoja ei myydä, Sawola Resort Y-
tunnus: 2537605-5 Tossavanlahdentie 452 72600 Keitele +358505345033 info@sawolaresort.fi
vuokrata tai luovuteta kolmannelle osapuolelle. Sawola resort voi luovuttaa kameravalvonnan sisältämiä
henkilötietoja viranomaisille mahdollisten väärinkäytös- tai rikosepäilyjen selvittämiseksi. Sawola resort voi
myös olla velvollinen luovuttamaan kameravalvonnan sisältämiä toimivaltaisen viranomaisen
määräyksestä. Henkilötietojen mahdollisesta luovuttamisesta viranomaiselle laaditaan luovutustodistus.
Kameravalvonnan henkilötietojen mahdollinen luovuttaminen tapahtuu sähköisesti ja henkilötietoja
suojataan asianmukaisin teknisin menettelyin. Henkilötietojen luovuttamisesta viranomaiselle myös
informoidaan rekisteröityjä, ellei toimivaltainen viranomainen tätä erityisesti kiellä. 12.6:Henkilötietojen
säilytysaika ja poistaminen: Kameravalvonnan henkilörekisterin sisältämän kuvamateriaalin ja
henkilötietojen poistaminen tapahtuu automaattisesti. Kameravalvonnan henkilörekisterin sisältämiä
tietoja säilytetään enintään vuoden ajan, ellei jonkin yksittäisen henkilötiedon säilyttämiselle ole muuta
hyväksyttävää perustetta. 13 Henkilötietojen tekniset suojatoimet 13.1 Tekninen turvallisuus: Sähköisesti
käsiteltäviä henkilötietoja suojataan asianmukaisten tietoturvateknologioiden avulla. Sawolan tietoliikenne
tapahtuu salatuissa tietoverkoissa, joihin pääsyä hallitaan useilla teknisillä menettelyillä. Tietojärjestelmiä ja
niiden sisältämää tietoa suojataan palomuureilla, virustorjuntaratkaisuilla, tunkeutumisen havaitsemis- ja
estojärjestelmillä (IDS/IPS) sekä käyttäytymisen analysointiin perustuvilla tekoälypohjaisilla ratkaisuilla.
Sawolan sähköposti- ja viestintäratkaisuissa käsiteltävät henkilötiedot on salattu sekä niiden ollessa
konesalissa että siirrettäessä niitä verkossa konesalin ja käyttäjän välillä. Sähköpostiviestit salataan niiden
sisällön ja lähettäjän perusteella tarpeen mukaan. Sawola resortin asiakkaiden tiedot varmuuskopioidaan
automatisoidusti ja varmuuskopiot säilytetään tuotantojärjestelmiin nähden eri fyysisessä sijainnissa.
13.2Toimitilaturvallisuus: Sawola resort toimii pääsääntöisesti toimitiloissa, joissa on asianmukainen
turvalukitus ja kameravalvonta. Toimitiloissa liikkuvat vieraat kuljetetaan saatettuna. Työpisteissä
noudatetaan puhtaan pöydän periaatetta. 11 13.3 Manuaalisten henkilötietojen käsittely: Manuaalisessa
muodossa säilytettävät asiakastiedot ja niihin liittyvät henkilötiedot säilytetään suljetuissa tiloissa.
Asiakkaan omaisuutta hallitaan ja suojataan ISO 9001 – standardin mukaisesti. Manuaalisen aineiston
luovuttamisesta laaditaan kirjalliset luovutustodistukset. Aineiston luovutuksen yhteydessä aineiston
vastaanottajan henkilöllisyys ja oikeus aineistojen vastaanottamiseen tarkistetaan erikseen. 14
Henkilötietojen organisatoriset suojatoimet 14.1Organisatoristen suojatoimien perusta Sawola resortissa
tullaan jalkauttamaan laadunhallintajärjestelmä joka toteutetaan pitkälti ISO 9001 -standardin mukaisesti.
ISO 9001 -standardissa noudatetaan prosessimaista toimintamallia, johon yhdistyy niin sanottu PDCA- malli
(suunnittele, toteuta, arvioi, toimi) ja riskiperusteinen ajattelu. Prosessimaisen toimintamallin avulla Sawola
resort voi suunnitella prosessinsa ja niiden vuorovaikutukset. PDCA-mallilla organisaatio voi varmistaa, että
sen prosesseille on riittävät resurssit ja hallinta, ja että myös parantamismahdollisuudet määritetään ja
hyödynnetään. Riskiperusteisen ajattelun avulla Sawola resort voi määrittää ne tekijät, jotka voivat saada
sen prosessit ja laadunhallintajärjestelmän poikkeamaan suunnitelluista tuloksista. Lisäksi Sawola resort voi
käyttää ehkäiseviä hallintakeinoja, joilla vähennetään haitallisia vaikutuksia ja hyödynnetään
mahdollisimman hyvin mahdollisuudet, kun niitä ilmenee. 14.2 Henkilöstöturvallisuus: Sawola resort
henkilöstöturvallisuuden perustana on hyvinvoiva, osaava ja motivoitunut henkilöstö. Rekrytointiin,
perehdytykseen, toimenkuvien muutoksiin ja työsuhteen päättymiseen liittyvät prosessit ovat hallittuja ja
niiden toimeenpanoa seurataan. Työnhakijoiden tausta, osaaminen ja soveltuvuus tehtävään varmistetaan
ennen rekrytointia. Jokainen Sawola resortin uusi työntekijä käy läpi erillisen perehdytysohjelman, joka
sisältää erilliset osiot muun muassa työvälineiden ja tietojärjestelmien käytöstä, tietoturvasta ja
tietosuojasta, toimitilaturvallisuudesta, laadunhallintakäytännöistä, dokumentoidun tiedon hallinnasta,
asiakkaan omaisuuden hallinnasta ja sosiaalisen median käytöstä. Perehdyttämisohjelman asianmukaista
läpikäyntiä valvotaan. Sawola resortilla on määritelty tietoturvapolitiikka sekä siihen liittyvät tietoturvaan ja
tietosuojaan liittyvät menettelytavat.Henkilöstön tietoturvaosaamista ylläpidetään jatkossa koulutuksilla ja
tietoiskuilla. 12 Sawola Resort Y-tunnus: 2537605-5 Tossavanlahdentie 452 72600 Keitele +358505345033
info@sawolaresort.fi
14.3Käyttövaltuushallinta: Sawola resortin asiakkaiden tietoja ja niihin liittyviä henkilötietoja saavat
käsitellä vain ne työntekijät, joiden työtehtäviin kyseisten tietojen käsittely kuuluu. Henkilötietojen käsittely
muihin tarkoituksiin on kiellettyä. Sawolan käyttövaltuushallinta on keskitetty. Pääsyä tietojärjestelmiin ja
asiakastietoihin rajoitetaan käyttäjätunnuksin ja käyttöoikeuksin. Työntekijän esimies käsittelee ja
määrittelee käyttöoikeudet tosiasiallisen tarpeen mukaan työsuhteen alkaessa ja käyttöoikeudet
auditoidaan määräajoin. Työntekijöiden käyttöoikeuksista sekä Sawola resortin, asiakkaiden että
kolmansien osapuolten tietojärjestelmiin ylläpidetään sähköistä rekisteriä. Työtehtävien muuttuessa tai
työsuhteen päättyessä tarpeettomat käyttöoikeudet auditoidaan ja poistetaan. 14.4 Muiden
henkilötietojen käsittelijöiden organisatoriset suojatoimet: Kaikkien Sawola resortin yhteistyökumppanien,
toimittajien ja alihankkijoiden kanssa on laadittu erillinen salassapitosopimus ja niitä sitoo
salassapitovelvollisuus. ISO 9001 – standardin mukaisesti kaikkia ulkoistettuja toimintoja ohjataan ja
valvotaan johdonmukaisella tavalla. Muiden henkilötietojen käsittelijöiden pääsyä Sawola resortin tietoihin
ja niihin liittyviin henkilötietoihin valvotaan ja hallitaan. 15 Henkilötietojen sijainti: Sawolan
tietojärjestelmien ja henkilörekistereiden sisältämät henkilötiedot säilytetään Suomessa. Sawolan
sähköpostipalvelun, muiden viestintäratkaisujen ja Business Intelligence -järjestelmien data säilytetään
EU:n alueella. Sawola resortin asiakastiedottamiseen ja markkinointiviestintään käytettävän ohjelmiston
data säilytetään Suomessa sijaitsevan palveluntarjoajan tietojärjestelmässä. Näissä tietojärjestelmissä ei
lähtökohtaisesti käsitellä tietosuoja-asetuksen tarkoittamia erityisiä henkilötietoryhmiä. Järjestelmää
suojataan Privacy Shield -järjestelyn mukaisesti. 16 Henkilötietojen siirtäminen: Lähtökohtaisesti Sawola
resort ei siirrä Rekisteröityjen henkilötietoja Euroopan unionin, Euroopan talousalueen tai muiden maiden,
joiden Euroopan komissio on todennut takaavan riittävän tietosuojan tason, ulkopuolelle. Sawola resort
käyttää omassa asiakastiedottamisessa ja markkinointiviestinnässään tietojärjestelmiä ja työkaluja, joiden
sisältämät tiedot tallennetaan Suomessa sijaitseville palvelimille. Samoja tietojärjestelmiä käytetään myös
markkinointiviestinnän kohdentamiseen potentiaalisille asiakkaille. Tällaisissa tietojärjestelmissä ja
työkaluissa ei lähtökohtaisesti käsitellä tietosuoja-asetuksen tarkoittamia erityisiä henkilötietoryhmiä. 13
17 Rekisteröityjen oikeuksien toteuttaminen: Tietosuoja-asetuksen 13-22 artiklojen mukaisesti
rekisteröidyillä on muun muassa seuraavat oikeudet: – Oikeus peruuttaa suostumuksensa henkilötietojen
käsittelyyn – Oikeus tehdä valitus henkilötietojen käsittelystä valvontaviranomaiselle – Oikeus tietää
käytetäänkö henkilötietojen käsittelyssä automaattista profilointia – Oikeus saada vahvistus siitä,
käsitelläänkö hänen henkilötietojaan – Oikeus saada pääsy omiin henkilötietoihinsa – Oikeus saada kopio
omista henkilötiedoistaan – Oikeus epätarkkojen ja virheellisten tietojen oikaisemiseen – Oikeus tietojen
poistamiseen (”oikeus tulla unohdetuksi”) – Oikeus käsittelyn rajoittamiseen – Oikeus siirtää tiedot
järjestelmästä toiseen – Oikeus vastustaa henkilötietojen käsittelyä ja automaattisesti tehtäviä
yksittäispäätöksiä Rekisteröidyn oikeudet eivät ole aina yksiselitteisiä. Muu lainsäädäntö voi
tapauskohtaisesti estää rekisteröityjen oikeuksien toteuttamisen täysimääräisenä. Esimerkiksi lakisääteinen
velvoite majoitusliikkeen majoittujien määrättyjen tietojen kerääminen ja säilytysvelvollisuus rajoittaa
rekisteröityjen oikeutta panna toimeen tietosuoja-asetuksen tarkoittaman oikeuden tulla unohdetuksi.
Sawola resortilla on oikeus ja velvollisuus kieltäytyä rekisteröityjen oikeuksien toteuttamisesta sellaisenaan
muun lainsäädännön sitä rajoittaessa. Tällaisessa tilanteessa Sawola resort informoi rekisteröityä selkeästi
kieltäytymisen perusteista ja opastaa rekisteröityä hänen oikeuksiensa kattavaksi toimeenpanemiseksi.
Rekisteröidyt voivat osoittaa tieto- ja toimenpidepyynnöt Sawola resortin osoittamaan yhteyspisteeseen.
Sawola resort tunnistaa tieto- ja toimenpidepyyntöjen esittäjät joko sähköisesti Tupas-palvelulla, tai
manuaalisesti useammalla kuin yhdellä tunnistautumismenetelmällä. Rekisteröidyn tulee esittää Sawola
resortille osoitettavassa tieto- tai toimenpidepyynnössä riittävän tarkat ja yksilöidyt tiedot tietopyynnön
toteuttamiseksi. Tietosuoja-asetuksen 13 ja 14 artiklan nojalla toimitetut tiedot ja kaikki 15–22 ja 34
artiklaan perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn Sawola Resort Y-tunnus:
2537605-5 Tossavanlahdentie 452 72600 Keitele +358505345033 info@sawolaresort.fi
pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti, Sawola
resort voi joko a) periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai
pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai b) kieltäytyä
suorittamasta pyydettyä toimea. Näissä tapauksissa Sawola resort osoittaa rekisteröidylle pyynnön ilmeisen
perusteettomuuden tai kohtuuttomuuden. 14 18 Tietoturvaloukkauksista ilmoittaminen ”Henkilötietojen
tietoturvaloukkauksella” tarkoitetaan tietoturvaloukkausta, jonka seurauksena on siirrettyjen,
tallennettujen tai muuten käsiteltyjen henkilötietojen vahingossa tapahtuva tai lainvastainen tuhoaminen,
häviäminen, muuttaminen, luvaton luovuttaminen taikka pääsy tietoihin. Jos tapahtuu henkilötietojen
tietoturvaloukkaus ja se aiheuttaa korkean riskin luonnollisten henkilöiden oikeuksille ja vapauksille, tällöin:
– sawola resort ilmoittaa siitä ilman aiheetonta viivytystä ja mahdollisuuksien mukaan 72 tunnin kuluessa
sen ilmitulosta toimivaltaiselle valvontaviranomaiselle tietosuojaasetuksen artiklan 33 määräysten
mukaisesti – Sawola ilmoittaa tietoturvaloukkauksesta myös Rekisteröidylle ilman aiheetonta viivytystä
tietosuoja-asetuksen artiklan 34 määräysten mukaisesti – Sawola ryhtyy tarvittaviin toimiin
tietoturvaloukkauksen aiheuttamien riskien ehkäisemiseksi ja mahdollisten haittavaikutusten
lieventämiseksi 19 Tietosuojakäytäntöjen muuttaminen Sawola resort kehittää tietosuoja- ja
tietoturvakäytäntöjään jatkuvasti. Siksi myös tietosuojaa ja tietoturvaa koskeva dokumentaatiomme
päivittyy aika ajoin. Tämän tietosuojaselosteen ajantasainen versio on aina saatavilla Sawola Resortin
osoittamassa verkkopalvelussa.