Rekisteri- ja tietosuojaseloste Tämä on Lupanaisen EU:n yleisen tietosuoja-asetuksen (GDPR) mukainen rekisteri- ja tietosuojaseloste. Laadittu 22.12.2021 Viimeisin muutos 21.1.2022. 1. Rekisterinpitäjä Lupanainen, Läkkisepänkuja 7 PL 81015, 00620 Helsinki 2. Rekisteristä vastaava yhteyshenkilö Iina Helldan, lupanainen@lupanainen.com, +358 50 4509579. 3. Rekisterin nimi Lupanaisen Asiakas- ja markkinointirekisteri 4. Oikeusperuste ja henkilötietojen käsittelyn tarkoitus EU:n yleisen tietosuoja-asetuksen mukainen oikeusperuste henkilötietojen käsittelylle on henkilön suostumus (dokumentoitu, vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen) sopimus, jossa rekisteröity on osapuolena HENKILÖTIETOLAKI (523/1999) 10 JA 24 § rekisteripitäjän oikeutettu etu (esim. asiakassuhde). Henkilötietojen käsittelyn tarkoitus on yhteydenpito asiakkaisiin, asiakassuhteen ylläpito, markkinointi, asiakassuhteen kehittäminen ja palveluiden kehittäminen. 5. Rekisterin tietosisältö Asiakkaasta kerättävät tiedot: • Etunimi • Sukunimi • Sähköpostiosoite • Puhelinnumero • Yritysasiakkaan henkilö- ja/tai yritystiedot (y-tunnus, sähköpostiosoite, postiosoite, postitoimipaikka ja -numero) • Rekisteröitymistiedot: käyttäjätunnus ja salasana • Asiakassuhteen ylläpitoa koskevat tiedot; laskutus- ja maksutiedot, tilaustiedot, asiakaspalautteet, yhteydenotot, peruutustiedot • Palvelun tarjoamiseen liittyvien • Sivuston käyttäjän sähköpostiviestit • Sivuston käyttäjän luvat ja suostumukset Verkkosivuston vierailijoiden IP-osoitteita ja palvelun toiminnoille välttämättömiä evästeitä käsitellään oikeutetun edun perusteella mm. tietoturvasta huolehtimiseksi ja sivuston vierailijoiden tilastotietojen Lupanainen y-tunnus 3251889-1 +358 50 4059579 | lupanainen@lupanainen.com Läkkisepänkuja 7 PL 81015, 00510 Helsinki keruuta varten niissä tapauksissa, kun niiden voidaan katsoa olevan henkilötietoja. Kolmansien osapuolten evästeille pyydetään tarvittaessa suostumus erikseen. 6. Säännönmukaiset tietolähteet Rekisteriin tallennettavat tiedot saadaan asiakkaalta mm. www-lomakkeilla lähetetyistä viesteistä, Holvi-verkkokaupasta, sähköpostitse, puhelimitse, sosiaalisen median palvelujen kautta, sopimuksista, asiakastapaamisista ja muista tilanteista, joissa asiakas luovuttaa tietojaan. Yritysten ja muiden julkisten organisaatioiden yhteyshenkilöiden tietoja voidaan kerätä myös julkisista lähteistä kuten verkkosivuilta, hakemistopalveluista ja muilta yrityksiltä. 7. Tietojen säännönmukaiset luovutukset ja tietojen siirto EU:n tai ETA:n ulkopuolelle Lupanainen ei siirrä tai luovuta asiakkaan henkilötietoja Euroopan unionin tai Euroopan talousalueen ulkopuolelle. Tietoja voidaan tarvittaessa siirtää rekisterinpitäjän toimesta myös EU:n tai ETA:n ulkopuolelle henkilötietolain sallimilla tavoilla. 8. Rekisterin suojauksen periaatteet Rekisterin käsittelyssä noudatetaan huolellisuutta ja tietojärjestelmien avulla käsiteltävät tiedot suojataan asianmukaisesti. Kun rekisteritietoja säilytetään Internet-pilvipalvelimilla kolmannen osapuolen toimesta, niiden laitteiston fyysisestä ja digitaalisesta tietoturvasta huolehditaan asiaankuuluvasti. Rekisterinpitäjä huolehtii siitä, että tallennettuja tietoja sekä palvelimien käyttöoikeuksia ja muita henkilötietojen turvallisuuden kannalta kriittisiä tietoja käsitellään luottamuksellisesti ja vain niiden työntekijöiden toimesta, joiden työnkuvaan se kuuluu. 9. Tarkastusoikeus ja oikeus vaatia tiedon korjaamista Jokaisella rekisterissä olevalla henkilöllä on oikeus tarkistaa rekisteriin tallennetut tietonsa ja vaatia mahdollisen virheellisen tiedon korjaamista tai puutteellisen tiedon täydentämistä. Mikäli henkilö haluaa tarkistaa hänestä tallennetut tiedot tai vaatia niihin oikaisua, pyyntö tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää tarvittaessa pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa). 10. Muut henkilötietojen käsittelyyn liittyvät oikeudet Rekisterissä olevalla henkilöllä on oikeus pyytää häntä koskevien henkilötietojen poistamiseen rekisteristä (”oikeus tulla unohdetuksi”). Niin ikään rekisteröidyillä on muut EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet kuten henkilötietojen käsittelyn rajoittaminen tietyissä tilanteissa. Pyynnöt tulee lähettää kirjallisesti rekisterinpitäjälle. Rekisterinpitäjä voi pyytää tarvittaessa pyynnön esittäjää todistamaan henkilöllisyytensä. Rekisterinpitäjä vastaa asiakkaalle EU:n tietosuoja-asetuksessa säädetyssä ajassa (pääsääntöisesti kuukauden kuluessa). 11. Tietosuojan ja rekisteriselosteen muuttaminen Tietosuoja ja rekisteriseloste tarkistetaan kerran vuodessa, jonka yhteydessä ne voivat muuttua. Muutoksista tiedotetaan heti päivityksen yhteydessä. Käyttämällä sivustoja hyväksyt automaattisesti uuden tietosuojan ja rekisteriselosteen. Mikäli et hyväksy, silloin sivustojen käyttö tulee välittömästi lopettaa. 12. Muut mahdolliset oikeudet Lupanainen y-tunnus 3251889-1 +358 50 4059579 | lupanainen@lupanainen.com Läkkisepänkuja 7 PL 81015, 00510 Helsinki Käyttäjällä on oikeus tehdä valitus, mikäli olet tyytymätön yritykselle lähettämäsi valituksen käsittelyyn. Valitus tehdään valvontaviranomaiselle. http://www.tietosuoja.fi/fi/index/yhteystiedot.html | tietosuoja@om.fi

This is a registry and Privacy Statement under the Permitted EU General Data Protection Regulation (GDPR). Prepared on 22.12.2021 Last modified 21.1.2022.

1. The controller

Lupanainen, Läkkisepänkuja 7 PO Box 81015, FI-00620 Helsinki

1. Contact person responsible for the register Iina Helldan, lupanainen@lupanainen.com, +358 50 4509579.

2. The name of the registry Lupanainen's Customer and Marketing Register

3. Legal basis and purpose of the processing of personal data The legal basis for the processing of personal data under the EU General Data Protection Regulation is the consent of the person (documented, voluntary, identified, informed and unambiguous) to which the data subject is a legitimate interest of the data controller (eg customer relationship). The purpose of processing personal data is to communicate with customers, maintain a customer relationship, market, develop a customer relationship and develop services.

4. Information content of the register Information collected from the customer:

• First name • Last name • Email address • Phone number • Personal and / or business information of the business customer (business ID, e-mail address, postal address, post office and number) • Registration information: username and password • Customer relationship management information; billing and payment information, order information, customer feedback, contacts, cancellation information • Related to the provision of the service • Emails from the site user • Permissions and Consents of the Site User

The IP addresses of the visitors of the website and the cookies necessary for the functions of the service are processed on the basis of a legitimate interest, e.g. to ensure data security and to collect statistics about visitors to the Site in cases where they may be considered personal data. If necessary, the consent of third-party cookies will be requested separately.

1. Regular sources of information The information stored in the register is obtained from the customer e.g. Messages sent via web forms, the Holvi online store, e-mail, telephone, via social media services, contracts, customer meetings and other situations in which the customer discloses their information. Information about the contacts of companies and other public organizations can also be collected from public sources such as websites, directory services and other companies.

2. Regular transfers of data and transfers of data outside the EU or the EEA The licensee does not transfer or disclose the customer's personal data outside the European Union or the European Economic Area. If necessary, the data may also be transferred by the controller outside the EU or the EEA in ways permitted by the Personal Data Act.

3. Registry Security Principles The register shall be handled with due care and the data processed by the information systems shall be adequately protected. When registry information is stored on cloud Internet servers by a third party, the physical and digital security of their hardware is adequately addressed. The controller shall ensure that the data stored, as well as the access rights to the servers and other information critical to the security of personal data, are treated confidentially and only by the employees whose job description it belongs to.

4. Right of inspection and right to request rectification of information Every person in the register has the right to check the information stored in the register and to request the correction of any incorrect information or the completion of incomplete information. If a person wishes to check or request the rectification of data stored about him or her, the request must be sent in writing to the data controller. If necessary, the controller may ask the applicant to prove his or her identity. The controller will respond to the customer within the time limit set by the EU Data Protection Regulation (generally within one month).

5. Other rights related to the processing of personal data A person in the register has the right to request the removal of his or her personal data from the register (“right to be forgotten”). Data subjects also have other rights under the EU's general data protection regulation, such as restrictions on the processing of personal data in certain situations. Requests must be sent in writing to the controller. If necessary, the controller may ask the applicant to prove his or her identity. The controller will respond to the customer within the time limit set by the EU Data Protection Regulation (generally within one month).

6. Modification of data protection and registry description

The Privacy Policy and the Privacy Policy are reviewed once a year and may change. Changes will be announced immediately upon upgrade. By using the Sites, you automatically agree to the new Privacy Policy and Registry Statement. If you do not agree, then the use of the Sites should be stopped immediately.

1. Other Possible Rights

The user has the right to file a complaint if you are dissatisfied with the handling of the complaint you have sent to the company. The complaint shall be lodged with the supervisory authority. http://www.tietoproto.fi/en/index/coming information.html | tietosuoja@om.fi