Sisältö

1 Tietosuojaselosteen tarkoitus…………………………………………………………………………………………………….. 5
2 Rekisterinpitäjä ja rekisterinpitäjän yhteyspiste…………………………………………………………………………….. 5
3 Tietoja julkisista verkkopalveluistamme ………………………………………………………………………………………. 5
3.1 Tietoliikenteen suojaus……………………………………………………………………………………………………….. 6
3.2 Tietoja evästeistä ja muusta verkkotunnistetietojen keräämisestä……………………………………………… 6
3.3 Yhteisöliitännäiset……………………………………………………………………………………………………………… 6
4 Henkilötietojen käsittelijät ………………………………………………………………………………………………………… 6
5 Henkilötietojen käsittelyperiaatteet rekistereittäin ……………………………………………………………………….. 7
5.1 Asiakasrekisteri …………………………………………………………………………………………………………………. 7
5.1.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste…………………………………………………………. 7
5.1.2 Yhteisrekisterinpitäjien nimet ja yhteystiedot…………………………………………………………………… 7
5.1.3 Rekisteröityjen ryhmät …………………………………………………………………………………………………. 8
5.1.4 Rekisterin tietosisältö …………………………………………………………………………………………………… 8
5.1.5 Henkilötietojen säännönmukaiset lähteet………………………………………………………………………… 9
5.1.6 Henkilötietojen vastaanottajat ja luovutuskäytännöt…………………………………………………………. 9
5.1.7 Henkilötietojen säilytysaika ja poistaminen………………………………………………………………………. 9
5.2 Markkinointirekisteri………………………………………………………………………………………………………… 10
5.2.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste……………………………………………………….. 10
5.2.2 Rekisteröityjen ryhmät ……………………………………………………………………………………………….. 10
5.2.3 Rekisterin tietosisältö …………………………………………………………………………………………………. 10
5.2.4 Henkilötietojen säännönmukaiset lähteet………………………………………………………………………. 11
5.2.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt……………………………………………………….. 11
5.2.6 Henkilötietojen säilytysaika ja poistaminen…………………………………………………………………….. 12
5.3 Kameravalvontarekisteri……………………………………………………………………………………………………. 12
5.3.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste……………………………………………………….. 12
5.3.2 Rekisteröityjen ryhmät ……………………………………………………………………………………………….. 12
5.3.3 Rekisterin tietosisältö …………………………………………………………………………………………………. 12
5.3.4 Henkilötietojen säännönmukaiset lähteet………………………………………………………………………. 13
5.3.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt……………………………………………………….. 13
5.3.6 Henkilötietojen säilytysaika ja poistaminen…………………………………………………………………….. 13
5.4 Kehonkoostumusmittausten rekisteri………………………………………………………………………………….. 13
5.4.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste……………………………………………………….. 13

5.4.2 Rekisteröityjen ryhmät ……………………………………………………………………………………………….. 13
5.4.3 Rekisterin tietosisältö …………………………………………………………………………………………………. 13
5.4.4 Henkilötietojen säännönmukaiset lähteet………………………………………………………………………. 14
5.4.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt……………………………………………………….. 14
5.4.6 Henkilötietojen säilytysaika ja poistaminen…………………………………………………………………….. 14
5.5 Valmennus- ja ohjausasiakkaiden rekisteri……………………………………………………………………………. 14
5.5.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste……………………………………………………….. 14
5.5.2 Rekisteröityjen ryhmät ……………………………………………………………………………………………….. 14
5.5.3 Rekisterin tietosisältö …………………………………………………………………………………………………. 15
5.5.4 Henkilötietojen säännönmukaiset lähteet………………………………………………………………………. 15
5.5.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt……………………………………………………….. 15
5.5.6 Henkilötietojen säilytysaika ja poistaminen…………………………………………………………………….. 15
5.6 Energiatestien rekisteri……………………………………………………………………………………………………… 15
5.6.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste……………………………………………………….. 15
5.6.2 Rekisteröityjen ryhmät ……………………………………………………………………………………………….. 16
5.6.3 Rekisterin tietosisältö …………………………………………………………………………………………………. 16
5.6.4 Henkilötietojen säännönmukaiset lähteet………………………………………………………………………. 16
5.6.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt……………………………………………………….. 16
5.6.6 Henkilötietojen säilytysaika ja poistaminen…………………………………………………………………….. 16
5.7 Henkilökohtaisten harjoitusohjelmien rekisteri……………………………………………………………………… 16
5.7.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste……………………………………………………….. 16
5.7.2 Rekisteröityjen ryhmät ……………………………………………………………………………………………….. 16
5.7.3 Rekisterin tietosisältö …………………………………………………………………………………………………. 16
5.7.4 Henkilötietojen säännönmukaiset lähteet………………………………………………………………………. 17
5.7.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt……………………………………………………….. 17
5.7.6 Henkilötietojen säilytysaika ja poistaminen…………………………………………………………………….. 17
5.8 Verkkosivujen lomake- ja lataustietojen rekisteri…………………………………………………………………… 17
5.8.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste……………………………………………………….. 17
5.8.2 Rekisteröityjen ryhmät ……………………………………………………………………………………………….. 17
5.8.3 Rekisterin tietosisältö …………………………………………………………………………………………………. 17
5.8.4 Henkilötietojen säännönmukaiset lähteet………………………………………………………………………. 18
5.8.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt……………………………………………………….. 18
5.8.6 Henkilötietojen säilytysaika ja poistaminen…………………………………………………………………….. 18
5.9 Rekrytointirekisteri…………………………………………………………………………………………………………… 18
5.9.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste……………………………………………………….. 18
5.9.2 Rekisteröityjen ryhmät ……………………………………………………………………………………………….. 18

5.9.3 Rekisterin tietosisältö …………………………………………………………………………………………………. 18
5.9.4 Henkilötietojen säännönmukaiset lähteet………………………………………………………………………. 18
5.9.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt……………………………………………………….. 19
5.9.6 Henkilötietojen säilytysaika ja poistaminen…………………………………………………………………….. 19
6 Henkilötietojen tekniset suojatoimet…………………………………………………………………………………………. 19
7 Henkilötietojen organisatoriset suojatoimet……………………………………………………………………………….. 19
7.2 Henkilöstöturvallisuus………………………………………………………………………………………………………. 19
7.3 Käyttövaltuushallinta………………………………………………………………………………………………………… 19
7.4 Muiden henkilötietojen käsittelijöiden organisatoriset suojatoimet………………………………………….. 20
8 Henkilötietojen sijainti ……………………………………………………………………………………………………………. 20
9 Henkilötietojen siirtäminen……………………………………………………………………………………………………… 20
10 Rekisteröityjen oikeuksien toteuttaminen ………………………………………………………………………………… 20
11 Tietoturvaloukkauksista ilmoittaminen…………………………………………………………………………………….. 21
12 Tietosuojakäytäntöjen muuttaminen……………………………………………………………………………………….. 21
13 Vastuunrajoitukset……………………………………………………………………………………………………………….. 21

1 Tietosuojaselosteen tarkoitus

Tämän tietosuojaselosteen tarkoituksena on tarjota rekisteröidylle EU:n yleisen tietosuoja-
asetuksen (EU 2016/679) edellyttämä läpinäkyvä informointi, viestintä ja yksityiskohtaiset

säännöt siten, että tarvittavat henkilötietojen käsittelyä koskevat tiedot ovat tiiviisti
esitetyssä, läpinäkyvässä, helposti ymmärrettävässä ja saatavilla olevassa muodossa selkeällä
ja yksinkertaisella kielellä.

MentalStep Gym Oy on liikunta-alan yritys, joka tuottaa asiakkailleen ensisijaisesti liikunta-
ja hyvinvointialan palveluita, erityisesti liikuntakeskuspalveluita. Tässä

tietosuojaselosteessa kuvataan henkilötietojen käsittelyn ja suojauksen periaatteet, joiden
avulla MentalStep Gym Oy rekisterinpitäjänä suojaa henkilötietoja eri tilanteissa.
Tämä tietosuojaseloste on saatavilla Liikuntakeskus Linean kotisivuilla ja tarvittaessa myös
erikseen pyydettäessä.

2 Rekisterinpitäjä ja rekisterinpitäjän yhteyspiste

Rekisterinpitäjä:
MentalStep Gym Oy
Y-tunnus: 2946913-6
Kotipaikka: Jyväskylä
Tässä tietosuojaselosteessa rekisterinpitäjään viitataan myöhemmin termillä ”MentalStep
Gym” tai ”rekisterinpitäjä”.
Rekisterinpitäjän yhteyspiste:
Rekisterinpitäjän yhteyspiste kaikissa tietosuojaan liittyvissä kysymyksissä on:
MentalStep Gym Oy
Mika Raatikainen, hallituksen puheenjohtaja
045 347 9335
040 352 7300 (asiakaspalvelu yhteydenottopyyntöä varten)
mika@liikuntakeskuslinea.fi
Sohlberginkatu 10, 40530 Jyväskylä
3 Tietoja julkisista verkkopalveluistamme

MentalStep Gymilla on tai on mahdollista olla Internetissä muun muassa seuraavia
julkisia verkkopalveluita:
– MentalStep Gym Oy:n / Liikuntakeskus Linean verkkosivut osoitteessa
www.liikuntakeskuslinea.fi
– MentalStep Gym Oy:n / Liikuntakeskus Linean Facebook yhteisösivu
osoitteessa https://www.facebook.com/LKLinea
– MentalStep Gym Oy:n / Liikuntakeskus Linean Google+ yhteisösivut
– MentalStep Gym Oy:n / Liikuntakeskus Linean LinkedIn yhteisösivu
– MentalStep Gym Oy:n / Liikuntakeskus Linean Twitter-tili
– MentalStep Gym Oy:n / Liikuntakeskus LInean Instagram-tili

Näissä ja muissa mahdollisesti käyttämissämme julkisissa verkkopalveluissa käytetään
teknologiaa, joiden avulla palveluiden käyttäjä voidaan tunnistaa ja hänelle voidaan tarjota
tunnistetietojen avulla räätälöityjä palveluita ja sisältöjä.

3.1 Tietoliikenteen suojaus

Tarjoamamme julkiset verkkopalvelut käyttävät lähtökohtaisesti SSL-salausta käyttäjän
päätelaitteen ja verkkopalvelun välisen tietoliikenteen suojaamiseen. SSL-salaus auttaa myös
verkkosivuston aitouden varmistamisessa. SSL-salausta käyttävän verkkopalvelun tunnistaa
useimmiten selaimen osoitekentän vieressä olevasta lukon kuvasta sekä HTTPS-alkuisesta
osoitteesta.

3.2 Tietoja evästeistä ja muusta verkkotunnistetietojen keräämisestä

Voimme käyttää kotisivuillamme niin sanottua Cookie-toimintoa eli evästeitä sekä muita
kävijän verkkotunnistetietoja kerääviä toimintoja. Evästeessä on käytännössä kyse pienestä,
käyttäjän tietokoneelle lähetettävästä ja siellä säilytettävästä tekstitiedostosta, jonka
tarkoituksena on esimerkiksi sivuoston perustoimintojen mahdollistaminen ja sivustoilla
vierailevien kävijöiden tunnistamisessa auttaminen. Evästeiden tuottamat tunnistetiedot
mahdollistavat kävijälle häntä kiinnostavan sisällön kohdentamisen ja ne saattavat olla
tarpeellisia joidenkin ylläpitämiemme sivujen ja tarjoamiemme palveluiden asianmukaiselle
toiminnalle. Evästeet eivät vahingoita käyttäjien päätelaitteita tai tiedostoja.
Koska osa ylläpitämistämme sivuista edellyttää evästeiden käyttöä, ohjataan kävijä pois
sivuiltamme, jos hän ei hyväksy verkkotunnistetietoja kerääviä toimintoja.

3.3 Yhteisöliitännäiset

Verkkosivuillamme voi olla linkkejä ja yhteyksiä kolmannen osapuolen verkkosivustoihin,
kuten LinkedIniin, Facebookiin, Google+:aan, Twitteriin, Instagramiin ja muihin
yhteisöpalveluihin. Niiden kautta tuleva sisältö latautuu kolmannen osapuolen palvelimilta.
Yhteisöpalveluntarjoajat voivat kerätä yhteisöliitännäisten avulla tietoja kävijän vierailusta
kulloinkin voimassaolevien ehtojensa mukaisesti.

4 Henkilötietojen käsittelijät

Tietosuoja-asetus erottelee toisistaan rekisterinpitäjän ja henkilötietojen käsittelijän. Tässä
luvussa käsitellään tilannetta, jossa MentalStep Gym rekisterinpitäjänä käyttää
toiminnassaan alihankkijoita ja yhteistyökumppaneita henkilötietojen käsittelijöinä.
”Alihankkijalla” tarkoitetaan käsittelijää, joka käsittelee henkilötietoja tämän sopimuksen
mukaisesti, kokonaan tai osittain, rekisterinpitäjän lukuun ja tämän toimeksiannosta.
Pääosin alihankkijat ovat ICT-yhteistyökumppaneita ja muita kumppaneita, joilla on
tekninen pääsy MentalStep Gymin hallitsemiin tietojärjestelmiin tai toimitiloihin niiden
ylläpitämiseksi. Myös osa liikuntapalveluiden tuottajista on alihankkijoita. Lisäksi
Liikuntakeskus Linean yhteydessä toimivilla yksityisen terveydenhuollon palvelujen
tuottajilla on pääsy MentalStep Gym Oy:n asiakasrekisteriin ja he hyödyntävät yhteistä
asiakasrekisteriä MentalStep Gym Oy:n kanssa. MentalStep Gym Oy voi pyynnöstä yksilöidä
käyttämänsä alihankkijat. Kaikkien alihankkijoiden kanssa on laadittu asianmukainen
salassapitosopimus.
Henkilötietojen käsittelijöillä tai kenelläkään rekisterinpitäjän tai henkilötietojen
käsittelijän alaisuudessa toimivista henkilöistä, joilla on pääsy henkilötietoihin, ei ole
oikeutta käsitellä

niitä muuten kuin rekisterinpitäjän ohjeiden mukaisesti, ellei unionin oikeudessa tai
jäsenvaltion lainsäädännössä niin vaadita.
MentalStep Gymin ja alihankkijan välisen henkilötietojen käsittelysopimuksen puitteissa
MentalStep Gym on antanut alihankkijalle erilliset kirjalliset ohjeet henkilötietojen
asianmukaisesta käsittelystä. Ohjeistuksella varmistetaan, että tietosuoja-asetuksen
velvoite henkilötietojen käsittelyn suojaustoimista toteutetaan huomioiden tietojen
riskiperusteisuus.
MentalStep Gym tarkastelee ohjeen ja muiden dokumenttien ajantasaisuutta säännöllisesti.
Mikäli alihankkijan tai MentalStep Gym käytäntöihin tai tietojärjestelmiin tulee olennaisia
muutoksia, niiden vaikutus tietosuojan toteutumiseen arvioidaan erikseen.

5 Henkilötietojen käsittelyperiaatteet rekistereittäin
5.1 Asiakasrekisteri
5.1.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

MentalStep Gymin asiakasrekisterin tarkoitus on MentalStep Gymin asiakassuhteiden
hoitaminen ja kehittäminen. MentalStep Gymin suorittama henkilötietojen käsittely
perustuu asiakassuhteeseen. Lisäksi Liikuntakeskus Linean yhteydessä toimivat yksityisen
terveydenhuollon palvelujen tarjoajat hyödyntävät samaa yhteistä asiakasrekisteriä.
Asiakasrekisterin sisältämiä henkilötietoja käytetään MentalStep Gymin palveluiden
tuottamiseksi asiakassuhteessa asiakkaaseen sekä MentalStep Gymin tuotteiden ja
palveluiden laadun kehittämiseksi. Lisäksi asiakasrekisterin sisältämiä henkilötietoja
käytetään MentalStep Gymin asiakasviestintään ja tiedottamiseen. Henkilötietojen käsittely
voi olla tarpeen myös rekisterinpitäjän oikeutettujen etujen toteuttamiseksi.
Liikuntakeskus Linean yhteydessä toimivilla yksityisen terveydenhuollon palvelujen tarjoajilla
on oikeus käsitellä yhteisen asiakasrekisterin sisältämiä henkilötietoja vain oman toimintansa
välttämättä edellyttämissä määrin ja tällöinkin ainoastaan heidän ja rekisteröidyn välisen
asiakassuhteen hoitamiseksi ja kehittämiseksi.
5.1.2 Yhteisrekisterinpitäjien nimet ja yhteystiedot

Liikuntakeskus Linean yhteydessä toimivat yksityisen terveydenhuollon palvelujen tarjoajat
hyödyntävät yhteistä asiakasrekisteriä MentalStep Gymin kanssa. Tällaisia
yhteisrekisterinpitäjiä ovat:
Hieronta Savinainen
Y-tunnus 2763558-3
0400 772 077
Sohlberginkatu 10, 40530 JyväskyläAsiakasrekisteri ei muodosta potilasrekisteriä eikä asiakasrekisterissä ylläpidetä
potilaskertomuksia. Yksityisen terveydenhuollon toimijat vastaavat itse terveydenhuollon
lainsäädännön edellyttämien rekistereiden ylläpidosta ja toimivat näissä näin ollen
itsenäisinä rekisterinpitäjinä.

5.1.3 Rekisteröityjen ryhmät

MentalStep Gymin tai muiden yhteisrekisterinpitäjien ja asiakkaan välisestä
asiakassuhteesta riippuen, MentalStep Gym ja yhteisrekisterinpitäjät saattavat
käsitellä seuraavien keskeisten rekisteröityjen ryhmien henkilötietoja:
– Asiakkaat
– Asiakkaan työnantaja
– Asiakkaan perheenjäsenet ja muut yhteyshenkilöt
– Asiakkaan yhteyshenkilöt muissa organisaatioissa

5.1.4 Rekisterin tietosisältö

MentalStep Gym ja yhteisrekisterinpitäjät tarvittavilta osin saattavat käsitellä
seuraavia rekisteröityjen ryhmien henkilötietoja:
– Perustiedot (esimerkiksi nimi, asiakastunniste, sukupuoli, syntymäaika, lisätiedot,
hälyttävä huomio, henkilötunnus, alv-tunnus, y-tunnus – yrityksen tiedot voidaan tulkita
henkilötiedoiksi, jos kyseessä on toiminimi)
– Osoitetiedot
– Sähköpostiosoitteet
– Puhelinnumerot
– Asiakasryhmät
– Asiakasryhmähakemukset
– Asiakasviestit
– Markkinointi- ja uutiskirjeet
– Asiakaskertomukset
– Kanta-asiakastunniste
– Kanta-asiakkuuden lisätiedot
– Ajanvaraukset
– Ryhmäajanvaraukset
– Avoinna24-ajanvarausoikeuden rajoitus
– Asiakastili
– Asiakastilin tapahtumat
– Kulunvalvontatapahtumat
– Lomakkeet
– Myynnit

– Tax-free-myynnit
– Myyntitilaukset
– Toimitusosoitteet
– Toistuva laskutusprofiili
– Toistuvan laskutusprofiilin lisätiedot
– Laskujen asiakastiedot
– E-laskusopimukset
– Vastaanottajailmoitukset
– Laskut
– Koontilaskutus
– Laskun lähetys
– Reskontra-asiakastiedot
– Korttimaksut
– Korttireskontran maksut
– Korttireskontran tilitykset
5.1.5 Henkilötietojen säännönmukaiset lähteet

Henkilötietojen ensisijainen tietolähde on MentalStep Gymin tai yhteisrekisterinpitäjän
asiakas ja asiakkaan edustajat itse. Rekisteriin voidaan kerätä tietoa myös julkisista
tietolähteistä. Lisäksi MentalStep Gym ja yhteisrekisterinpitäjät voivat täydentää
rekisteröidyn tietoja oman toimintansa perusteella ja tiedot voivat täydentyä
automaattisesti MentalStep Gymin, yhteisrekisterinpitäjien ja asiakkaan toiminnan
perusteella.
Henkilötietoja voidaan lisäksi vastaanottaa viranomaisilta, järjestöiltä ja
tapaturmavakuutusyhtiöiltä.

5.1.6 Henkilötietojen vastaanottajat ja luovutuskäytännöt

MentalStep Gymin asiakasrekisterin sisältämiä henkilötietoja käsitellään lähtökohtaisesti
ainoastaan MentalStep Gymin ja yhteisrekisterinpitäjien toiminnassa. Henkilötietoja ei
myydä, vuokrata tai luovuteta kolmannelle osapuolelle.
Henkilötietoja voidaan kuitenkin luovuttaa kolmansille osapuolille seuraavissa tilanteissa:
– Lain sallimissa tai sen edellyttämässä laajuudessa;
– Luovutettaessa tietoja henkilötietojen käsittelijöille;
– MentalStep Gym Oy:n ollessa mukana sulautumisessa, yritysjärjestelyssä taikka
liiketoiminnan tai sen osan myynnissä;
– Mikäli uskomme henkilötietojen olevan välttämätöntä oikeuksiemme toteuttamiseksi,
rekisteröidyn tai muiden turvallisuuden takaamiseksi, väärinkäytösten tai niiden epäilyjen
tutkimiseksi tai viranomaisen pyyntöön vastaamiseksi;
– Siinä laajuudessa kuin käyttäjätietosi on liitetty muihin henkilöihin tai organisaatioihin
(esimerkiksi harjoittelumaksusi laskuttaminen työnantajaltasi)

5.1.7 Henkilötietojen säilytysaika ja poistaminen

MentalStep Gymin asiakasrekisterin henkilötietoja säilytetään vähintään niin kauan, kuin
henkilötietojen käsittely on tarpeen MentalStep Gymin ja asiakkaan välisen asiakkuuden tai
muun oikeutetun edun toteuttamiseksi. Asiakkuuden päättymisestä huolimatta tietoja
säilytetään viisi (5) vuotta viimeisimmästä tapahtumasta tai tietojen muokkauksesta, jonka
jälkeen tiedot poistetaan. Edellä mainitun estämättä MentalStep Gymillä on oikeus
säilyttää henkilötietoja

tarvittavilta osin omien oikeutettujen etujensa toteuttamiseksi ja velvoitteidensa
täyttämiseksi (esimerkiksi kirjanpidon vaatimukset) erikseen määrittelemättömän ajan.
MentalStep Gym pyrkii toteuttamaan tarpeen mukaan toimenpiteitä, joilla epätarkat,
virheelliset, vanhentuneet tai tarpeettomat henkilötiedot poistetaan.

5.2 Markkinointirekisteri
5.2.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

MentalStep Gymin markkinointirekisterin tarkoitus on MentalStep Gymin asiakassuhteiden
hoitaminen ja kehittäminen. Lisäksi markkinointirekisteriä käytetään sekä
markkinointiviestinnän että virallisen tiedottamisen kohdentamiseen asiakkaille,
potentiaalisille asiakkaille ja edellä mainittujen yhteyshenkilöille. Markkinointirekisteriä
käytetään myös MentalStep Gymin omissa verkkopalveluissaan vastaanottamien
yhteydenotto- ja palvelupyyntöjen käsittelyyn.
Asiakkaiden ja heidän yhteyshenkilöidensä osalta MentalStep Gymin suorittama
henkilötietojen käsittely perustuu asiakassuhteeseen. Potentiaalisten asiakkaiden, heidän
edustajiensa ja muiden henkilöiden osalta henkilötietojen käsittely perustuu rekisteröidyn
yksiselitteiseen tai nimenomaiseen suostumukseen taikka MentalStep Gymin oikeutettuun

5.2.2 Rekisteröityjen ryhmät etuun.

MentalStep Gym saattaa käsitellä seuraavien keskeisten rekisteröityjen ryhmien henkilötietoja:
– MentalStep Gymin aktiiviset asiakkaat ja näiden yhteyshenkilöt;
– MentalStep Gymin potentiaaliset asiakkaat ja näiden yhteyshenkilöt;
– MentalStep Gymin tapahtumiin, kuten avoimiin oviin tai muihin fyysisiin ja
digitaalisiin tilaisuuksiin (esimerkiksi webinaarit) osallistuneet henkilöt;
– MentalStep Gymin ladattavia sisältöjä, kuten oppaita ladanneet henkilöt tai
kotisivujen lomakkeilla tietonsa lähettäneet henkilöt;
– MentalStep Gymin yhteistyöverkostoon kuuluvat henkilöt.

5.2.3 Rekisterin tietosisältö

MentalStep Gym saattaa käsitellä seuraavia rekisteröityjen ryhmien henkilötietoja:
– Rekisteröidyn nimi
– Rekisteröidyn asema organisaatiossa
– Rekisteröidyn osoite
– Rekisteröidyn puhelinnumero ja sähköpostiosoite
– Rekisteröidyn sosiaalisen median tilit
– Tieto mahdollisista viestintä- tai markkinointiviestintäkielloista
– Tieto rekisteröidylle lähetetystä viestinnästä
– Tieto rekisteröidyn lataamasta sisällöstä MentalStep Gymin verkkopalveluissa (oppaat,
webinaarit, muu sisältö)
– Tieto rekisteröidyn sähköisillä tai fyysisillä lomakkeilla ja suullisesti luovuttamista
tiedoista
– Tieto rekisteröidyn kiinnostuksen kohteista (MentalStep Gymin tuotteet, palvelut ja
tapahtumat)
– Tieto rekisteröidyn kontaktoinnista ja tähän liittyvistä muistiinpanoista Lähtökohtaisesti
markkinointirekisterissä ei käsitellä erityisiä henkilötietoryhmiä. MentalStep Gym ei voi
varmuudella estää alle 13-vuotiaita henkilöitä käyttämästä MentalStep Gymin julkisia

verkkopalveluita ja tietolähteitä. Jos MentalStep Gymillä on perusteltu syy epäillä
kerätyn henkilötiedon koskevan alle 13-vuotiasta henkilöä, tietojen käsittely
keskeytetään ja henkilötiedot poistetaan.
5.2.4 Henkilötietojen säännönmukaiset lähteet

MentalStep Gymin aktiivisten asiakkaiden ja heidän yhteyshenkilöidensä henkilötietoja
käsitellään myös MentalStep Gymin markkinointirekisterissä, ellei rekisteröity tätä kiellä.
Muiden rekisteröityjen osalta rekisterin ensisijainen tietolähde on rekisteröity itse tai hänen
edustajansa sekä rekisteröidyn oma toiminta MentalStep Gymin verkkopalveluissa.
Rekisteriin voidaan kerätä tietoa myös julkisista tietolähteistä ja MentalStep Gym voi
täydentää rekisteröidyn tietoja oman toimintansa perusteella tai tiedot voivat täydentyä
automaattisesti MentalStep Gymin ja asiakkaan toiminnan perusteella.

5.2.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt

MentalStep Gymin markkinointirekisterin sisältämiä henkilötietoja käsitellään
lähtökohtaisesti ainoastaan MentalStep Gymin toiminnassa. Henkilötietoja ei myydä,
vuokrata tai luovuteta kolmannelle osapuolelle. Edellä mainitun estämättä
henkilötietoja voidaan kuitenkin luovuttaa kolmansille osapuolille seuraavissa
tilanteissa:
– Lain sallimissa tai sen edellyttämässä laajuudessa;
– Luovutettaessa tietoja henkilötietojen käsittelijöille;
– MentalStep Gym Oy:n ollessa mukana sulautumisessa, yritysjärjestelyssä taikka
liiketoiminnan tai sen osan myynnissä;
– Mikäli uskomme henkilötietojen olevan välttämätöntä oikeuksiemme toteuttamiseksi,
rekisteröidyn tai muiden turvallisuuden takaamiseksi, väärinkäytösten tai niiden epäilyjen
tutkimiseksi tai viranomaisen pyyntöön vastaamiseksi;
– Siinä laajuudessa kuin käyttäjätietosi on liitetty muihin henkilöihin tai organisaatioihin
(esimerkiksi harjoittelumaksusi laskuttaminen työnantajaltasi)
MentalStep Gym voi käyttää omassa asiakastiedottamisessaan ja
markkinointiviestinnässään tietojärjestelmiä ja työkaluja, joiden sisältämät tiedot
tallennetaan Yhdysvalloissa sijaitseville palvelimille. Samoja tietojärjestelmiä käytetään myös
markkinointiviestinnän kohdentamiseen potentiaalisille asiakkaille. Tällaisissa
tietojärjestelmissä ja työkaluissa ei lähtökohtaisesti käsitellä tietosuoja-asetuksen
tarkoittamia erityisiä henkilötietoryhmiä. Järjestelmiä suojataan EU:n ja Yhdysvaltojen
välisen Privacy Shield -järjestelyn mukaisesti.
MentalStep Gymin ja kolmannen osapuolen yhteisissä tapahtumissa ja kampanjoissa
(esimerkiksi webinaarit ja asiakastilaisuudet) markkinointirekisteriin voidaan kerätä
henkilötietoja, joita luovutetaan kolmannelle osapuolelle tapahtuman tai kampanjan
käytännön toteuttamiseksi. Tällöin jo henkilötietoja kerättäessä rekisteröidyille kerrotaan
henkilötietojen mahdollisesta luovuttamisesta kolmannelle osapuolelle.
MentalStep Gymin ja kolmannen osapuolen yhteisissä tapahtumissa ja kampanjoissa
tapahtuva mahdollinen henkilötietojen käsittely ja luovutus tapahtuu ensisijaisesti
sähköisesti. Sähköisten henkilötietojen luovuttamisessa henkilötietoja suojataan
asianmukaisin teknisin menettelyin.
Henkilötietoja voidaan kuitenkin luovuttaa kolmansille osapuolille seuraavissa tilanteissa: –
Lain sallimissa tai sen edellyttämässä laajuudessa;

– Luovutettaessa tietoja henkilötietojen käsittelijöille;
– MentalStep Gym Oy:n ollessa mukana sulautumisessa, yritysjärjestelyssä taikka
liiketoiminnan tai sen osan myynnissä;
– Mikäli uskomme henkilötietojen olevan välttämätöntä oikeuksiemme toteuttamiseksi,
rekisteröidyn tai muiden turvallisuuden takaamiseksi, väärinkäytösten tai niiden epäilyjen
tutkimiseksi tai viranomaisen pyyntöön vastaamiseksi;
– Siinä laajuudessa kuin käyttäjätietosi on liitetty muihin henkilöihin tai organisaatioihin
(esimerkiksi harjoittelumaksusi laskuttaminen työnantajaltasi)

5.2.6 Henkilötietojen säilytysaika ja poistaminen

MentalStep Gymin markkinointirekisterin henkilötietoja säilytetään vähintään niin kauan,
kuin henkilötietojen käsittely on tarpeen MentalStep Gymin ja asiakkaan välisen
asiakkuuden tai muun oikeutetun edun toteuttamiseksi. Asiakkuuden päättymisestä
huolimatta tietoja säilytetään viisi (5) vuotta viimeisimmästä tapahtumasta tai tietojen
muokkauksesta, jonka jälkeen tiedot poistetaan. Lisäksi MentalStep Gym pyrkii
toteuttamaan tarpeen mukaan toimenpiteitä, joilla epätarkat, virheelliset, vanhentuneet tai
tarpeettomat henkilötiedot poistetaan.

5.3 Kameravalvontarekisteri
5.3.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

MentalStep Gymin toimipisteessä (Liikuntakeskus Linea) on kameravalvonta.
Kameravalvonnalla pyritään ennaltaehkäisemään väärinkäytöksiä ja rikoksia.
Lähtökohtaisesti kameravalvonnalla suojataan:
– Toimipisteessä työskentelevää henkilöstöä;
– Toimipisteessä vierailevia asiakkaita ja muita henkilöitä;
– Toimipisteessä käsiteltäviä asiakkaiden henkilötietoja ja omaisuutta;
– Rekisterinpitäjän oikeuksia ja omaisuutta.
Lisäksi kameravalvonnan tallentamia tietoja voidaan käyttää jo tapahtuneiden
väärinkäytösten tai rikosten selvittämiseen muun muassa seuraavan lainsäädännön
mukaisesti:
– Laki yksityisyyden suojasta työelämässä (759/2004)
– Laki naisten ja miesten välisestä tasa-arvosta (609/1986)
– Työturvallisuuslaki (738/2002)
– Rikoslaki (39/1889)
5.3.2 Rekisteröityjen ryhmät

Kameravalvonta tallentaa tiedon kaikista toimipisteessä vierailleista henkilöistä.

5.3.3 Rekisterin tietosisältö
Rekisteri sisältää:
– Kuvamateriaalin kameravalvonnan kattamalta alueelta;
– Kuvamateriaaliin liittyvän aikatiedon.
Lähtökohtaisesti kameravalvonnan henkilörekisterissä ei käsitellä erityisiä
henkilötietoryhmiä. Kameravalvonnan kuvamateriaalissa voi kuitenkin olla viitteitä
rekisteröityjen erityisistä henkilötietoryhmistä.

5.3.4 Henkilötietojen säännönmukaiset lähteet

Kameravalvontajärjestelmän kameroiden tallentama kuvamateriaali ja tallentimen tuottama
aikaleimatieto.

5.3.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt

MentalStep Gymin kameravalvontarekisterin sisältämiä henkilötietoja käsitellään
lähtökohtaisesti ainoastaan MentalStep Gym Oy:n sisällä ja vain tarpeen vaatiessa.
Henkilötietoja ei myydä, vuokrata tai luovuteta kolmannelle osapuolelle.
MentalStep Gym voi luovuttaa kameravalvonnan sisältämiä henkilötietoja viranomaisille
mahdollisten väärinkäytös- tai rikosepäilyjen selvittämiseksi. MentalStep Gym voi myös olla
velvollinen luovuttamaan kameravalvonnan sisältämiä tietoja toimivaltaisen viranomaisen
määräyksestä.
Henkilötietojen mahdollisesta luovuttamisesta viranomaiselle laaditaan luovutustodistus.
Kameravalvonnan henkilötietojen mahdollinen luovuttaminen tapahtuu sähköisesti ja
henkilötietoja suojataan asianmukaisin teknisin menettelyin. Henkilötietojen luovuttamisesta
viranomaiselle myös informoidaan rekisteröityjä, ellei toimivaltainen viranomainen tätä
erityisesti kiellä.

5.3.6 Henkilötietojen säilytysaika ja poistaminen

Kameravalvonnan henkilörekisterin sisältämän kuvamateriaalin ja henkilötietojen
poistaminen tapahtuu automaattisesti. Kameravalvonnan henkilörekisterin sisältämiä tietoja
säilytetään enintään vuoden ajan, ellei jonkin yksittäisen henkilötiedon säilyttämiselle ole
muuta hyväksyttävää perustetta tai oikeudellista vaatimusta.

5.4 Kehonkoostumusmittausten rekisteri
5.4.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Henkilötietojen käsittely perustuu rekisteröidyn nimenomaiseen halukkuuteen osallistua
kehonkoostumusmittaukseen ja edelleen nimenomaiseen suostumukseen käsitellä
mittauksen yhteydessä syntyviä henkilötietoja.

5.4.2 Rekisteröityjen ryhmät

Kehonkoostumusmittausten rekisteriin tallentuvat kaikkien kehonkoostumusmittaukseen
osallistuneiden taustatiedot ja mittaustulokset.

5.4.3 Rekisterin tietosisältö
Rekisteri sisältää:
– Etu- ja sukunimi;
– Syntymäaika;
– Pituus;
– Paino;
– Rasvaprosentti %;

– Rasvan massa kg;
– Rasvaton massa kg;
– Lihasmassa kg;
– Kehon nestepitoisuus (TBW);
– Solun ulkopuolinen vesimäärä (ECW);
– Solun sisäpuolinen vesimäärä (ICW);
– Painoindeksi (BMI);
– Luumassa kg;
– Vartalotyyppi;
– Viskeraalisen rasvan arvo;
– Perusaineenvaihdunta kcal;
– Kehon metabolinen ikä;
– Lihasmassan tasapaino;
– Lihasmassa-arvo;
– Rasvan tasapaino;
– Reaktanssi / resistanssi.
Kehonkoostumusmittausten rekisteri voi sisältää vahvoja viitteitä rekisteröityjen erityisistä
henkilötietoryhmistä.

5.4.4 Henkilötietojen säännönmukaiset lähteet

Kehonkoostumusmittauksen yhteydessä tallennettavat taustatiedot ja mittauksen tuottamat
mittaustulokset.

5.4.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt

MentalStep Gymin kehonkoostumusmittausten rekisterin sisältämiä henkilötietoja
käsitellään lähtökohtaisesti ainoastaan MentalStep Gym Oy:n sisällä ja vain tarpeen
vaatiessa. Henkilötietoja ei myydä, vuokrata tai luovuteta kolmannelle osapuolelle.

5.4.6 Henkilötietojen säilytysaika ja poistaminen

Kehonkoostumusmittausten rekisterin sisältämiä tietoja säilytetään enintään seitsemän (7)
vuoden ajan toistuvien mittausten ja näiden välisten tulosten vertailun mahdollistamiseksi.

5.5 Valmennus- ja ohjausasiakkaiden rekisteri
5.5.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Henkilötietojen käsittely perustuu rekisteröidyn nimenomaiseen halukkuuteen hyödyntää
valmennus- ja/tai ohjauspalveluita sekä edelleen rekisteröidyn nimenomaiseen
suostumukseen käsitellä aloitustapaamisen / taustakartoituksen yhteydessä rekisteröidyn
itsensä ilmoittamia sekä valmennus-/ohjaussuhteen aikana täydentyviä henkilötietoja.
Henkilötietojen käsittelyllä mahdollistetaan turvallinen ja tavoitteellinen valmennus- /
ohjaussuhde sekä rekisteröidyn henkilökohtaisen tilanteen ja ominaisuuksien huomioiminen
edellä mainituissa palveluissa.

5.5.2 Rekisteröityjen ryhmät

Valmennus- ja ohjausasiakkaiden rekisteriin tallennetaan kaikkien valmennus- ja/tai
ohjauspalveluita käyttävien asiakkaiden tiedot.

5.5.3 Rekisterin tietosisältö

Rekisteri voi sisältää esimerkiksi seuraavia tietoja:
– Etu- ja sukunimi;
– Ikä;
– Pituus;
– Paino;
– Postiosoite;
– Puhelinnumero;
– Sähköpostiosoite;
– Asiakkaan arki- ja liikuntatottumuksiin liittyvät arviot / merkinnät;
– Arviot fyysisestä suoritus- ja toimintakyvystä;
– Tavoitteenasetteluun ja rekisteröidyn resursseihin ja valmiuksiin liittyvät merkinnät;
– Ruokailutottumukset;
– Merkinnät harjoitteluun vaikuttavasta terveyshistoriasta;
– Muut alkukartoituksessa ja valmennus- / ohjaussuhteen aikana ilmenneet asiat.
Valmennus- ja ohjausasiakkaiden rekisteri sisältää vähintäänkin vahvoja viitteitä ja
mahdollisesti suoranaisia tietoja rekisteröityjen erityisistä henkilötietoryhmistä.

5.5.4 Henkilötietojen säännönmukaiset lähteet

Valmennus- ja/tai ohjausasiakkaiden taustakyselylomakkeilla ilmoittamat ja
aloitustapaamisen yhteydessä kirjallisesti tai suullisesti täydentämät tiedot sekä valmennus-
/ ohjaussuhteen aikana kertyvät tiedot.
5.5.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt

MentalStep Gymin valmennus- ja ohjausasiakkaiden rekisterin sisältämiä henkilötietoja
käsitellään lähtökohtaisesti ainoastaan MentalStep Gym Oy:n sisällä ja vain tarpeen
vaatiessa. Henkilötietoja ei myydä, vuokrata tai luovuteta kolmannelle osapuolelle pois
lukien mahdollisesta rekisteröidyn valmennus- tai ohjaussuhteesta vastaava alihankkija.

5.5.6 Henkilötietojen säilytysaika ja poistaminen

MentalStep Gymin valmennus- ja ohjausasiakkaiden rekisterin tietoja säilytetään
paperiversioina. Tietoja säilytetään ainoastaan niin pitkään kuin turvallisen ja tavoitteellisen
valmennuksen ja/tai ohjauksen toteuttaminen edellyttää. Tämän jälkeen tiedot hävitetään
välittömästi.
5.6 Energiatestien rekisteri
5.6.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Henkilötietojen käsittely perustuu rekisteröidyn nimenomaiseen halukkuuteen hyödyntää
Energiatesti-palvelua sekä edelleen rekisteröidyn nimenomaiseen suostumukseen käsitellä
testauksen taustatietojen ja testitulosten myötä syntyviä henkilötietoja.

5.6.2 Rekisteröityjen ryhmät

Energiatestien rekisteriin tallennetaan kaikkien kyseistä palvelua käyttäneiden henkilöjen
tiedot.
5.6.3 Rekisterin tietosisältö

Rekisteri sisältää seuraavia tietoja:
– Etu- ja sukunimi;
– Sähköpostiosoite;
– Energiatestin osatestien tulokset.
Energiatestien rekisteri voi sisältää viitteitä rekisteröityjen erityisistä henkilötietoryhmistä.

5.6.4 Henkilötietojen säännönmukaiset lähteet

Rekisteröidyn Energiatesti-palvelun yhteydessä ilmoittamat ja itse testin suorittamisen
myötä syntyvät tiedot.

5.6.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt

MentalStep Gymin Energiatestien rekisterin sisältämiä henkilötietoja käsitellään
lähtökohtaisesti ainoastaan MentalStep Gym Oy:n sisällä ja vain tarpeen vaatiessa.
Henkilötietoja ei myydä, vuokrata tai luovuteta kolmannelle osapuolelle. Tietojen
luovuttaminen kolmannelle osapuolelle on kuitenkin mahdollista henkilötietojen
käsittelijöiden osalta sekä siinä laajuudessa kuin käyttäjätietosi on liitetty muihin
henkilöihin tai organisaatioihin (esimerkiksi työnantaja) ja olet antanut suostumuksesi.

5.6.6 Henkilötietojen säilytysaika ja poistaminen

Tietoja säilytetään Energiatesti-palvelussa toistaiseksi ja ne poistetaan erikseen
pyydettäessä. Säilytyksellä mahdollistetaan osaltaan testin toistettavuus ja eri testikertojen
välisten tulosten vertailu.

5.7 Henkilökohtaisten harjoitusohjelmien rekisteri
5.7.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Henkilötietojen käsittely perustuu rekisteröidyn nimenomaiseen halukkuuteen hyödyntää
ohjaus- / valmennuspalveluita sekä niihin sisältyviä henkilökohtaisia harjoitusohjelmia.
Rekisteröity antaa nimenomaisen suostumuksen käsitellä henkilötietojaan tässä yhteydessä.

5.7.2 Rekisteröityjen ryhmät

Henkilökohtaisten harjoitusohjelmien rekisteriin tallennetaan kaikkien niiden henkilöiden
tiedot, joille laaditaan henkilökohtainen harjoitusohjelma.

5.7.3 Rekisterin tietosisältö

Rekisteri voi sisältää esimerkiksi seuraavia tietoja:
– Etu- ja sukunimi;
– Harjoitusohjelman jako osiin;

– Päiväkohtaiset ohjelmat;
– Ohjelmaan sisältyvien liikkeiden yksityiskohtaiset ohjeet sekä sarja- ja toistomäärät
– Asiakaskohtaisesti kirjatut tarkennukset harjoitusohjelmaan tai yksittäisiin liikkeisiin.
Henkilökohtaisten harjoitusohjelmien rekisteri voi sisältää viitteitä rekisteröityjen erityisistä
henkilötietoryhmistä.

5.7.4 Henkilötietojen säännönmukaiset lähteet

Rekisteröidyn harjoitusohjelman perusteeksi luovuttamat tiedot ja varsinaisena
henkilökohtaisten harjoitusohjelmien rekisteriin sisältyvänä tietona harjoitusohjelman
laatimisen yhteydessä syntyvät tiedot.
5.7.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt

MentalStep Gymin henkilökohtaisten harjoitusohjelmien rekisterin sisältämiä
henkilötietoja käsitellään lähtökohtaisesti ainoastaan MentalStep Gym Oy:n sisällä.
Henkilötietoja ei myydä, vuokrata tai luovuteta kolmannelle osapuolelle. Tietojen
luovuttaminen kolmannelle osapuolelle on kuitenkin mahdollista henkilötietojen
käsittelijöiden osalta tai MentalStep Gym Oy:n ollessa mukana sulautumisessa,
yritysjärjestelyssä taikka liiketoiminnan tai sen osan myynnissä.

5.7.6 Henkilötietojen säilytysaika ja poistaminen

Tietoja säilytetään toistaiseksi ja ne poistetaan erikseen pyydettäessä. Säilytyksellä
mahdollistetaan osaltaan nousujohteinen harjoittelu aiempien ohjelmien pohjalta.

5.8 Verkkosivujen lomake- ja lataustietojen rekisteri
5.8.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Henkilötietojen käsittely perustuu rekisteröidyn verkkosivujen lomakkeilla tai mahdollisten
sisältölatausten (esimerkiksi oppaat) yhteydessä antamiin tietoihin sekä rekisteröidyn
nimenomaiseen suostumukseen kyseisten tietojen käsittelemiseen.

5.8.2 Rekisteröityjen ryhmät

Verkkosivujen lomake- ja lataustietojen rekisteriin tallennetaan kaikkien niiden henkilöiden
tiedot, jotka ovat lähettäneet tietonsa verkkosivujen lomakkeella tai luovuttaneet tietonsa
sisältölatauksen yhteydessä.

5.8.3 Rekisterin tietosisältö

Rekisteri voi sisältää esimerkiksi seuraavia tietoja:
– Etu- ja sukunimi;
– Puhelinnumero;
– Sähköpostiosoite;
– Tieto asiakkaan kiinnostuksen kohteena olevista tai ostamista palveluista;
– Asiakkaan tilanteestaan tai muuten kertomat tiedot.

Verkkosivujen lomake- ja lataustietojen rekisterissä ei lähtökohtaisesti käsitellä
rekisteröityjen erityisiä henkilötietoryhmiä. Rekisteröidyn itsensä oman päätöksensä
mukaisesti luovuttamat tiedot saattavat kuitenkin sisältää viitteitä rekisteröityjen erityisistä
henkilötietoryhmistä.

5.8.4 Henkilötietojen säännönmukaiset lähteet

Rekisteröidyn itsensä verkkosivujen lomakkeilla tai sisältölatausten yhteydessä ilmoittamat
tiedot.

5.8.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt

MentalStep Gymin verkkosivujen lomake- ja lataustietojen rekisterin sisältämiä
henkilötietoja käsitellään lähtökohtaisesti ainoastaan MentalStep Gym Oy:n sisällä.
Henkilötietoja ei myydä, vuokrata tai luovuteta kolmannelle osapuolelle. Tietojen
luovuttaminen kolmannelle osapuolelle on kuitenkin mahdollista henkilötietojen
käsittelijöiden osalta.

5.8.6 Henkilötietojen säilytysaika ja poistaminen

Tietoja säilytetään varmistamaan, että rekisteröidyn lomaketiedot saavuttavat MentalStep
Gymin. Tietoja säilytetään ainoastaan sen aikaa, että tietojen siirtäminen asiakas- ja/tai
markkinointirekisteriin on mahdollista. Tämän jälkeen tiedot poistetaan viipymättä.

5.9 Rekrytointirekisteri
5.9.1 Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

MentalStep Gymin rekrytointirekisterillä mahdollistetaan MentalStep Gymin
työntekijöiden ja työharjoittelijoiden rekrytointien käytännön toteuttaminen.
Henkilötietojen käsittely perustuu rekisteröidyn nimenomaiseen suostumukseen.

5.9.2 Rekisteröityjen ryhmät

MentalStep Gym saattaa käsitellä seuraavien keskeisten rekisteröityjen ryhmien henkilötietoja:
– Avoimiin työpaikkoihin työhakemuksensa jättävät henkilöt
– Avoimiin työharjoittelupaikkoihin hakemuksensa jättävät henkilöt
– Avoimen hakemuksensa jättävät henkilöt.

5.9.3 Rekisterin tietosisältö

Rekrytointirekisteriin voidaan tallentaa kaikki rekisteröidyn itsensä ilmoittamat tiedot kuten
nimi, osoite, puhelinnumero, sähköpostiosoite, syntymäaika, sukupuoli, koulutustiedot,
työhistoria, oma arvio kielitaidosta, omat toiveet työtehtävän tai työharjoittelun sisällöstä,
suosittelijoiden yhteystiedot sekä mahdollisissa liitteissä, kuten ansioluettelossa annetut
tiedot.

5.9.4 Henkilötietojen säännönmukaiset lähteet

Ensisijaisena tietolähteenä toimii rekisteröity itse. Rekisteröidyn antamia tietoja voidaan
täydentää työnhakijan luvalla myös esimerkiksi suosittelijoiden tai entisten työnantajien
antamilla tiedoilla. Lisäksi tietoja voi kertyä rekrytointiprosessin aikana.

5.9.5 Henkilötietojen vastaanottajat ja luovutuskäytännöt

Tietoja voidaan luovuttaa rekisteröidyn suostumuksella kolmannelle osapuolelle rekrytointiin
liittyvän henkilöarvioinnin toteuttamiseksi. Rekrytointirekisterin tietoja ei muutoin myydä,
vuokrata tai luovuteta kolmansille osapuolille. Henkilöarvioinnin toteuttamiseksi suoritettava
henkilötietojen käsittely ja luovutus tapahtuu ensisijaisesti sähköisesti. Sähköisten
henkilötietojen luovuttamisessa henkilötietoja suojataan asianmukaisin teknisin menettelyin.

5.9.6 Henkilötietojen säilytysaika ja poistaminen

Rekrytointirekisterin sisältämiä henkilötietoja säilytetään 24 kuukautta työhakemuksen
jättämisajankohdasta tai viimeisimmästä muokkausajankohdasta.

6 Henkilötietojen tekniset suojatoimet

Sähköisesti käsiteltäviä henkilötietoja suojataan asianmukaisten tietoturvateknologioiden
avulla. Tietojärjestelmiä ja niiden sisältämää tietoa suojataan esimerkiksi palomuureilla ja
virustorjuntaratkaisuilla. Rekisteröityjen tiedot sijaitsevat rekisteristä riippuen
henkilötietojen käsittelijöiden (järjestelmätoimittajat) käyttämillä palvelimilla tai jollakin
MentalStep Gymin fyysisellä päätelaitteella.
Toimitilojen osalta MentalStep Gymin tiloissa on asianmukaiset lukitusjärjestelyt,
kulunvalvonta, kameravalvonta ja muita toimitilaturvallisuuteen liittyviä ratkaisuja.
Asiakkaiden pääsyä tiloihin, joissa henkilötietoja pääsääntöisesti käsitellään, on rajoitettu.
Manuaalisessa muodossa säilytettävät asiakastiedot ja niihin liittyvät henkilötiedot
säilytetään suljetuissa tiloissa.

7 Henkilötietojen organisatoriset suojatoimet
7.2 Henkilöstöturvallisuus

MentalStep Gymin henkilöstöturvallisuuden lähtökohtana on hyvinvoiva, osaava ja
motivoitunut henkilöstö. Rekrytointiin, perehdytykseen, toimenkuvien muutoksiin ja
työsuhteen päättymiseen liittyvät prosessit ovat suunnitelmallisia. Työnhakijoiden tausta,
osaaminen ja soveltuvuus tehtävään varmistetaan tarvittavilta osin ennen rekrytointia.
Jokaiselta MentalStep Gymin työntekijältä edellytetään erillisen salassapitosopimuksen
allekirjoittamista. Tietosuoja-asetuksen mukaiset asiat huomioidaan tarvittavassa
laajuudessa osana uuden työntekijän perehdyttämistä.

7.3 Käyttövaltuushallinta

MentalStep Gymin asiakkaiden tietoja ja niihin liittyviä henkilötietoja saavat käsitellä vain ne
työntekijät, joiden työtehtäviin kyseisten tietojen käsittely kuuluu. Henkilötietojen käsittely
muihin tarkoituksiin on kiellettyä.
MentalStep Gymin käyttövaltuushallinta on keskitetty. Pääsyä tietojärjestelmiin ja
asiakastietoihin rajoitetaan käyttäjätunnuksin ja käyttöoikeuksin. Käyttöoikeudet
myönnetään tosiasiallisen tarpeen mukaan. Työtehtävien muuttuessa tai työsuhteen
päättyessä tarpeettomat käyttöoikeudet poistetaan.

7.4 Muiden henkilötietojen käsittelijöiden organisatoriset suojatoimet
Kaikilta MentalStep Gymin henkilötietojen käsittelijöinä toimivilta tahoilta
edellytetään salassapitosopimuksen allekirjoittamista.

8 Henkilötietojen sijainti

Lähtökohtaisesti MentalStep Gymin tietojärjestelmien ja henkilörekistereiden sisältämät
henkilötiedot säilytetään Suomessa. MentalStep Gymin sähköpostipalvelun, muiden
viestintäratkaisujen sekä asiakastiedottamiseen ja markkinointiviestintään käytettävän
ohjelmiston data voidaan säilyttää EU:n alueella tai Yhdysvalloissa. Jälkimmäisten osalta
järjestelmää suojataan EU:n ja Yhdysvaltojen Privacy Shield -järjestelyn mukaisesti.

9 Henkilötietojen siirtäminen

Lähtökohtaisesti MentalStep Gym ei siirrä Rekisteröityjen henkilötietoja Euroopan unionin,
Euroopan talousalueen tai muiden maiden, joiden Euroopan komissio on todennut
takaavan riittävän tietosuojan tason, ulkopuolelle.
MentalStep Gym voi käyttää omassa asiakastiedottamisessa ja markkinointiviestinnässään
tietojärjestelmiä ja työkaluja, joiden sisältämät tiedot tallennetaan Yhdysvalloissa sijaitseville
palvelimille. Samoja tietojärjestelmiä käytetään myös markkinointiviestinnän
kohdentamiseen potentiaalisille asiakkaille. Tällaisissa tietojärjestelmissä ja työkaluissa ei
lähtökohtaisesti käsitellä tietosuoja-asetuksen tarkoittamia erityisiä henkilötietoryhmiä.
Järjestelmiä suojataan EU:n ja Yhdysvaltojen välisen Privacy Shield -järjestelyn mukaisesti.

10 Rekisteröityjen oikeuksien toteuttaminen
Rekisteröidylle on määritelty esimerkiksi seuraavat oikeudet:
– Oikeus peruuttaa suostumuksensa henkilötietojen käsittelyyn;
– Oikeus saada vahvistus siitä, käsitelläänkö hänen henkilötietojaan;
– Oikeus saada kopio omista henkilötiedoistaan;
– Oikeus epätarkkojen ja virheellisten tietojen oikaisemiseen;
– Oikeus tietojen poistamiseen eli ”oikeus tulla unohdetuksi”;
– Oikeus käsittelyn rajoittamiseen;
– Oikeus siirtää tiedot järjestelmästä toiseen;
– Oikeus vastustaa henkilötietojen käsittelyä ja automaattisesti tehtäviä yksittäispäätöksiä.
MentalStep Gymille saattaa muodostua oikeus ja velvollisuus kieltäytyä rekisteröityjen
oikeuksien toteuttamisesta sellaisenaan, jos muu lainsäädäntö asettaa tälle rajoitteita. Näin
ollen muu lainsäädäntö saattaa tapauskohtaisesti estää rekisteröityjen oikeuksien
täysimääräisen toteuttamisen. Tällainen tilanne saattaa syntyä esimerkiksi kirjanpitoa
koskevan lainsäädännön rajoittaessa rekisteröityjen oikeutta panna täysimääräisenä
toimeen oikeuden tulla unohdetuksi. Tällaisissa tilanteissa MentalStep Gym informoi
rekisteröityä selkeästi kieltäytymisen perusteista ja opastaa rekisteröityä hänen
oikeuksiensa kattavaksi toimeenpanemiseksi.
Rekisteröityjen mahdolliset tieto- ja toimenpidepyynnöt tulee osoittaa MentalStep Gymin
osoittamaan yhteyspisteeseen. Tieto- ja toimenpidepyynnöstä täytyy ilmetä riittävän tarkat ja
yksilöidyt tiedot pyynnön toteuttamiseksi, Tieto- ja toimenpidepyyntöjen toteuttamisen

edellytyksenä on, että rekisteröidyn henkilöllisyys pystytään todentamaan kuvallisella
henkilöllisyystodistuksella tai muulla MentalStep Gymin riittäväksi toteamalla tavalla.
Lähtökohtaisesti edellä kuvatut, tietosuoja-asetuksessa määritettyihin rekisteröidyn
oikeuksiin perustuvat tiedot ja toimenpiteet ovat maksuttomia. Jos rekisteröidyn pyynnöt
ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti,
MentalStep Gym voi joko
a) Periä kohtuullisen maksun ottaen huomioon tietojen tai viestien toimittamisesta tai
pyydetyn toimenpiteen toteuttamisesta aiheutuvat hallinnolliset kustannukset; tai
b) kieltäytyä suorittamasta pyydettyä toimea.
Näissä tapauksissa MentalStep Gym osoittaa rekisteröidylle pyynnön ilmeisen
perusteettomuuden tai kohtuuttomuuden.
Mahdollisissa tilanteissa, joissa MentalStep Gym toimii rekisterinpitäjän sijasta
henkilötietojen käsittelijänä, rekisteröidyn oikeuksien toteuttamisesta vastaa aina
rekisterinpitäjä. Tällöin MentalStep Gymillä ei ole oikeutta luovuttaa rekisterinpitäjän
henkilörekisteristä tietoja rekisteröidylle ilman rekisterinpitäjän suostumusta pois lukien
viranomaisten osoittamien lakisääteisten tietopyyntöjen perusteella. Näissä tilanteissa
rekisteröityjen tulee osoittaa tietopyynnöt ja muut toimenpidepyynnöt rekisterinpitäjälle.

11 Tietoturvaloukkauksista ilmoittaminen

”Henkilötietojen tietoturvaloukkauksella” tarkoitetaan tietoturvaloukkausta, jonka
seurauksena on siirrettyjen, tallennettujen tai muuten käsiteltyjen henkilötietojen
vahingossa tapahtuva tai lainvastainen tuhoaminen, häviäminen, muuttaminen, luvaton
luovuttaminen taikka pääsy tietoihin.
Jos tapahtuu henkilötietojen tietoturvaloukkaus ja se aiheuttaa korkean riskin luonnollisten
henkilöiden oikeuksille ja vapauksille, tällöin:
– MentalStep Gym ilmoittaa siitä ilman aiheetonta viivytystä ja mahdollisuuksien
mukaan 72 tunnin kuluessa sen ilmitulosta toimivaltaiselle valvontaviranomaiselle
tietosuoja-asetuksen 33 artiklan mukaisesti;
– MentalStep Gym ilmoittaa tietoturvaloukkauksesta myös rekisteröidylle ilman
aiheetonta viivytystä tietosuoja-asetuksen 34 artiklan mukaisesti
– MentalStep Gym ryhtyy tarvittaviin toimiin tietoturvaloukkauksen aiheuttamien
riskien ehkäisemiseksi ja mahdollisten haittavaikutusten lieventämiseksi.

12 Tietosuojakäytäntöjen muuttaminen

MentalStep Gym seuraa ja kehittää tietosuoja- ja tietoturvakäytäntöjään jatkuvasti. Tästä
syystä myös tietosuojaa ja -turvaa koskevaan dokumentaatioomme saattaa tulla päivityksiä.
MentalStep Gym pidättää itsellään täydet oikeudet edellä mainitun dokumentaation,
mukaan lukien tämän tietosuojaselosteen, muuttamiseen. Tämän tietosuojaselosteen
ajantasainen versio on aina saatavilla MentalStep Gymin (Liikuntakeskus Linea)
kotisivuilla.
13 Vastuunrajoitukset

MentalStep Gym vastaa vain tietosuoja-asetukseen ja sitä täydentävään lainsäädäntöön
liittyvistä tahallisista taikka huolimattomuudestaan johtuvista välittömistä vahingoista.
MentalStep Gym ei

vastaa välillisistä vahingoista, kuten tulon vähenemisestä tai rekisteröidylle
aiheutuneesta muusta haitasta. MentalStep Gymin vastuu rajoittuu rekisteröidyn, ja
tietoturvaloukkausten yhteydessä myös toimivaltaisen valvontaviranomaisen,
informoimiseen sekä MentalStep Gymin mahdollisuuksiensa mukaan käynnistämiin
toimenpiteisiin aiheutuneiden riskien ehkäisemiseksi ja mahdollisten haittavaikutusten
lieventämiseksi. MentalStep Gymillä ei ole velvoitetta vahingonkorvauksiin.
Sopimusrikkomus, virhe tai laiminlyönti eivät aiheuta MentalStep Gymille muuta
seuraamusta kuin mitä edellä on todettu.