HENKILÖTIETOJEN KÄSITTELYN KUVAUS – SELOSTE KÄSITTELYTOIMISTA

Pidämme tietosuojaasi erittäin tärkeänä, ja haluamme olla avoimia ja läpinäkyviä henkilötietojesi käsittelyssä. Sen vuoksi olemme määritelleet toimintatavat, joiden mukaisesti henkilötietojasi käsitellään ja suojataan.

Huolehdimme siitä, että EU:n yleisessä tietosuoja-asetuksessa määriteltyjä tietosuojaperiaatteita noudatetaan kaikissa meillä tehtävissä henkilötietojen käsittelyn vaiheissa.

Tietosuojaperiaatteiden mukaan henkilötietoja on mm.

  • käsiteltävä lainmukaisesti, asianmukaisesti ja rekisteröidyn kannalta läpinäkyvästi
  • käsiteltävä luottamuksellisesti ja turvallisesti
  • kerättävä ja käsiteltävä tiettyä, nimenomaista ja laillista tarkoitusta varten
  • kerättävä vain tarpeellinen määrä henkilötietojen käsittelyn tarkoitukseen nähden
  • päivitettävä aina tarvittaessa ‒ epätarkat ja virheelliset henkilötiedot on poistettava tai oikaistava viipymättä
  • säilytettävä muodossa, josta rekisteröity on tunnistettavissa ainoastaan niin kauan kuin on tarpeen tietojenkäsittelyn tarkoitusten toteuttamista varten.

Miksi käsittelemme henkilötietoja?

Käsittelemme henkilötietoja vain silloin, kun sille on tarve palvelutehtävämme tuottamiseksi. Kuhunkin palveluun liittyen voimme kertoa tarkemmin juuri tätä palvelua koskevista yksityiskohdista.

Henkilötietojen käsittelyperusteena on useimmiten henkilön oma suostumus, jolloin henkilö on luovuttanut itse tietonsa meille. Suostumus henkilötietojen käsittelyyn hankitaan kulloinkin asianmukaista menetelmää käyttäen. Tämä voi tapahtua esimerkiksi rastittamalla erikseen suostumusta osoittava ruutu, tekemällä valinta Palvelun tai verkkosivuston teknisissä asetuksissa taikka muulla suostumuksen yksiselitteisesti ilmaisevalla ilmoituksella tai toiminnalla. Suostumuksen epääminen saattaa vaikuttaa kyseessä olevan palvelun tarjoamiseen. Käsittelyn oikeusperusteena voi olla myös osapuolten välinen sopimus taikka ACTPRO:n oikeutettu etu, joka perustuu osapuolten väliseen asialliseen yhteyteen.

Tietojen saaminen, luovutus ja säilytys

Henkilötietoja kerätään pääsääntöisesti henkilöltä itseltään esimerkiksi palveluihin ilmoittautumisien, varauksien tai käytön yhteydessä. Henkilötietoja voidaan saada käsiteltäväksi myös yhteydenotto- tai tukipyynnöistä.

ACTPRO ei kuitenkaan luovuta henkilötietoja kolmansille osapuolille heidän omia tarkoituksiaan varten. Emme myöskään koskaan välitä, myy tai vaihda tietoja markkinointitarkoituksiin. Voimme kuitenkin ulkoistaa omaa henkilötietojen käsittelyä kolmansien osapuolien toteuttamiseksi palvelutehtävämme toteuttamiseksi. Näitä kolmansia osapuolia eli alikäsittelijöitä voivat olla esimerkiksi Palveluihin liittyvien sovellusten ja järjestelmien palveluntarjoajat tai vaikkapa valmennustehtävää suorittava asiantuntija. Edellytämme sopimuksin, että kyseiset palveluntarjoajat toimivat soveltuvan lainsäädännön mukaisesti ja tämän tietosuojaselosteen edellyttämällä tavalla.

Ainoastaan henkilöstöllä, jolla on tarve käsitellä tietoja, on pääsy tietoihin. Huolehdimme myös aina käytössämme olevien tietokoneiden virustorjunnasta ja palomuureista. Tietovarastot, joihin tieto on tallennettu, ovat vahvasti salasanasuojattuja ja niitä säilytetään tietoturvallisesti. Tiedot ovat varmennettuina järjestelmiin, joihin on pääsy ainoastaan salasanasuojattujen sovellusten kautta. Palvelimet, joissa tietovarastot ja niiden varmuuskopiot sijaitsevat ovat lukituissa ja turvallisissa tiloissa, joihin pääsy on valvottu. Järjestelmät ja niiden varmuuskopiot sijaitsevat EU:n tai Euroopan talousalueen alueella ja tietoja ei siirretä EU:n tai Euroopan talousalueen ulkopuolelle ACTPRO:n toimesta.

Tietoja voidaan luovuttaa asianmukaisille viranomaisille, mikäli tämä on välttämätöntä soveltuvan lain tai määräyksen noudattamiseksi.

Välttämättömiä ja tarpeen mukaisia tietoja, kuten IP-osoitteita, laitetietoja, evästeitä, käyttäjätunnuksia, klikkauksia ja muita vastaavia tietoja verkkopalveluiden käytöstä tai käyttöä tukemaan voidaan lisäksi tallentaa palveluiden toimivuuden ja suorituskyvyn mahdollistamiseksi, tutkimiseksi ja kehittämiseksi, luvattoman käytön estämiseksi, sekä osapuolten oikeutettujen etujen turvaamiseksi esimerkiksi mahdollisten tietoturvaongelmien tutkimista varten.

Tarkastus-, korjaus-, kielto- ja poisto-oikeus

Jokaisella on oikeus saada tarkastaa itseään koskevat tiedot. Jos tiedoissa on virheitä, voit esittää meille pyynnön virheen korjaamiseksi tai muutoin muuttaa suostumustasi tietojesi käsittelystä. Tarkastuspyyntö tulee tehdä kirjallisesti, omakätisesti allekirjoitetulla kirjeellä rekisterinpitäjän luona. Tarkastuspyynnöt osoitetaan ACTPRO asiakaspalvelulle esimerkiksi tällä lomakkeella: Henkilötietoihin liittyvä pyyntö.

Rekisterinpitäjä ja yhteys rekisteriä koskevissa asioissa

Vastuullinen henkilötietojen käsittelijä sekä valvoja, eli Rekisterinpitäjä on ActPro Oy (ACTPRO), Asiakaspalvelu, osoitteessa Aleksanterinkatu 17 (WTC Helsinki), 00100 Helsinki, Finland ja on vastuussa henkilötiedoistasi sovellettavan tietosuojalain mukaisesti. Jos mielestäsi käsittelemme henkilötietojasi väärin, voit ottaa meihin yhteyttä. Yhteystiedot ja yhteystietolomake löytyvät myös verkkosivuiltamme www.actpro.fi.

YKSILÖVALMENNUSTEN SÄHKÖINEN VARAUSJÄRJESTELMÄ JA ILMOITTAUTUMISLOMAKKEET

  • Rekisterissä säilytetään Asiakkaiden/valmennettavien/osallistujien tietoja, kuten nimi, puhelinnumero ja sähköpostiosoite, sekä ajanvaraus/ilmoittautumishistoria ja tulevat varaukset.

Rekisteri voi sisältää myös mahdollisia varauksen yhteydessä kirjattuja kommentteja tai toiveita. Rekisteriin ei koskaan kirjata asiakkaan terveydentilaa tai muita arkaluonteiseksi luokiteltavia asioita.

  • Rekisterin tietoja käytetään palvelun tuottamiseksi varaajalle sekä palveluiden käyttöön liittyvien asiakassuhteiden hoitoon.
  • Sähköisen ajanvarauksen ja lomakejärjestelmän palveluntuottajat huolehtivat talletettujen tietojen turvallisesta säilyttämisestä. Rekisterien käyttö on suojattu salasanoin ja tietoliikenne rekisteriin muodostetaan aina salatun yhteyden yli (SSL). Myös tietojen lähettäminen tietojen lähetyksen yhteydessä tehdään salatun yhteyden (SSL) ylitse.
    Palvelun tarjoavat palvelimet sekä niihin liittyvät varmuuskopiot sijaitsevat lukitussa ja vartioidussa tiloissa Suomessa ja Saksassa. Lisäksi sähköpostivahvistuksiin liittyviä tietoja voidaan käsitellä Saksassa, Belgiassa, Ranskassa ja Irlannissa.
  • Tietoja säilytetään asiakassuhteen jatkumisen ajan. Jos asiakkaalla ei ole uusia varauksia,
    eikä hänen tietojaan ole muokattu rekisterissä 24 kuukauteen, tiedot poistetaan järjestelmistä ilman eri pyyntöä.

FIRSTBEAT PALVELUT

Henkilötietojen käyttötarkoitus Firstbeat Hyvinvointianalyysi tai Firstbeat Life -palvelussa on Mitattavalle tehtävä analyysi hyvinvoinnin eri osa-alueista käyttäen Mitattavan henkilökohtaisia ominaisuuksia ja käyttäytymistä kuvaavia tietoja sekä sykemittaustietoa. Muita henkilötietojen käyttötarkoituksia ovat esimerkiksi käyttäjätukeen liittyvät toimet, palvelun käytön tilastointi sekä tilastollisen ja käyttötutkimuksen suorittaminen.

Säännönmukaiset tietojen luovutukset

  • Firstbeat -palvelut ACTPRO:lle tuottaa Firstbeat Technologies Oy, joka käsittelee rekisterinpitäjän henkilötietoja rekisterinpitäjän, eli ACTPRO lukuun alikäsittelijänä ja osapuolten välisen sopimuksen mukaisesti.
  • Tietoja voidaan luovuttaa vain Mitattavan antamalla erillisellä suostumuksella nimetylle kolmannelle osapuolelle, kuten Mitattavan terveydenhuollon toimintayksikölle.
  • Palvelun tuottamisen yhteydessä mittaustiedoista jää Firstbeatille anonymisoitu kopio tilastollista sekä tieteellistä tutkimusta, kuten keskimääräisten viitearvojen määritystä varten. Tilastollisissa sekä tieteellisissä menetelmissä käytetään automatisoituja prosesseja siten, että yksittäisten henkilöiden identiteetti ei selviä missään prosessin vaiheessa.
  • Lokitietoja verkkopalvelun käytöstä tai mittalaitteiden käsittelystä tallennetaan lisäksi Asiakkaan, ACTPRO:n, Firstbeatin sekä Mitattavien oikeutettujen etujen turvaamiseksi esimerkiksi mahdollisten tietoturvaongelmien tutkimista varten sekä esimerkiksi, jotta voidaan tarvittaessa todistaa, että laskutetut palvelut on suoritettu.

Palveluun kuuluu tyypillisesti Asiakkaalle (esimerkiksi Mitattavan työantaja) tuotettavia anonymisoituja raportteja Mitattavien (tyypillisesti työntekijöiden) keskimääräisestä hyvinvoinnista. Keskiarvotietoja ei toimiteta, jos Mitattavien määrä on niin pieni, että yksittäisen Mitattavan tiedot olisivat tunnistettavissa keskiarvoista.

Mittauksiin liittyvät henkilötiedot säilytetään palvelukonseptiin kuuluvia mahdollisia seurantamittauksia varten maksimissaan 24 kuukautta viimeisen mittauksen tai Firstbeat Life -palveluun kirjautumisen jälkeen, minkä jälkeen ne poistetaan. Jos Mitattava on antanut erillisen suostumuksensa pitempiaikaiseen säilytykseen, henkilötietoja voidaan säilyttää myös pitempään.

Tyypillisessä tapauksessa Mitattavan edustama organisaatio (esimerkiksi työnantaja) on Rekisterinpitäjän Asiakas ja Asiakas määrittää tai antaa kriteerit sille, ketkä ovat Mitattavia.

Mitattava itse ilmoittautuu tai rekisteröityy ACTPRO:n tuottamaan Palveluun ja luovuttaa siten itse henkilötietonsa ACTPRO:lle. Mitattavalle lähetetään sähköpostitse henkilökohtainen kutsu palvelun aktivoimiseksi ja palvelukohtaisen tietojenkäsittelyn/palveluehtojen hyväksymiseksi.

Muut tiedot saadaan palvelun toimittamista varten Mitattavalta itseltään verkkopalvelun tai mobiiliapplikaation kautta sekä mittalaitteita käyttämällä. ACTPRO:n edustaja saattaa lisäksi kerätä tietoja Mitattavilta palvelun käytön yhteydessä. Lisäksi tietoja kertyy ACTPRO:n omassa toiminnassa ja osana yksilö- tai ryhmävalmennuksia.

Henkilörekisteri sisältää Firstbeat -palvelun tuottamiseksi Mitattavista osittain tai kokonaan mm. seuraavia tietoja:

  • Etu- ja sukunimi
  • Syntymäaika, sukupuoli, pituus, paino
  • Aktiivisuusluokka, maksimi- ja minimisyke, maksimaalinen hapenottokyky
  • Käyttöliittymässä asetettu kieli
  • Mahdollisia tietoja pitkäaikaisista sairauksista ja lääkityksestä (ei kerätä Firstbeat Lifessä)
  • Sykemittaustietoja, kiihtyvyystietoja sekä mittausajan päiväkirjamerkintöjä, kuten alkoholin käyttö, lyhytaikaiset sairaudet ja lääkitys, merkintöjä yksittäisistä tapahtumista
  • Yhteystietoja, kuten osoite, sähköpostiosoite ja puhelinnumero
  • Tietoja Asiakkaasta, kuten organisaation nimi, yhteystiedot ja Mitattavan henkilöstöryhmä
  • Tietoja palvelun käytöstä, kuten muun muassa käyttöliittymän kielivalinta, lokitiedot, kirjausketjutiedot (audit trail), palvelujen tila ja palvelujen käyttö
  • Tieto suostumuksista tietojen käsittelyyn palvelussa
  • Analyysin tuloksena Mitattavalle luotu raportti ja toimenpidetavoitteet
  • Salasana, mikäli käytetään Firstbeat Lifea
  • ACTPRO ja sen Palveluihin liittyvät alikäsittelijät noudattavat hyvää tiedonhallintatapaa sekä tietosuojalainsäädännön mukaista huolellisuusvelvoitetta. Henkilötiedot suojataan siten, etteivät muut kuin määritellyt henkilöt voi käsitellä niitä ja että tietoja käsitellään vain liittyen työtehtäviin. Tietoihin voi olla pääsy ACTPRO:n omilla työntekijöillä sekä sen Palvelun tuotantoon liittyvillä alihankkijoilla.

Firstbeat -palvelun toteuttaja Firstbeat Technologies Oy huolehtii järjestelmiensä ja sovelluksiensa osalta siitä, että heidän tuottamiensa Palveluiden henkilötietojen käsittelyyn käytettävät tietojärjestelmät ovat riittävillä tavoin teknisesti suojattuja ja että pääsy niihin on suojattu asianmukaisilla menetelmillä mukaan lukien fyysisten tilojen kulunvalvonta, palomuurit, henkilökohtaiset käyttäjätunnukset ja salasanat sekä henkilöstön koulutus.

  • Tiedot on tallennettu Firstbeatin tuottamiin ja hallinnoimiin tietojärjestelmiin ja niitä käsitellään Firstbeatin tuottamilla käyttöliittymillä. Internet-yhteys Mitattavan tai Palveluntarjoajan käyttämältä laitteelta Firstbeatin palveluun tapahtuu suojatulla (SSL) yhteydellä. Mitattavan henkilötietojensa syöttämisessä Hyvinvointianalyysiin käyttämä henkilökohtainen lomakelinkki on tietoturvasyistä ajallisesti rajoitettu siten, että lomake lakkaa toimimasta pian mittausjakson jälkeen.
  • Postissa mahdollisesti kuljetettavat mittalaitteet eivät yksinään sisällä henkilötietoja eikä niissä ole paikannustietoja, vaan niiden sisältämä data yhdistetään henkilötietoihin jälkikäteen laitetunnisteen avulla tallennuksen yhteydessä.
  • Mikäli Firstbeat käyttää rekisterin teknisessä ylläpitämisessä ulkopuolisia tahoja (alihankkijoita), Firstbeat noudattaa alihankkijoiden osalta tietosuojalainsäädännön edellyttämiä velvoitteita.  Kaikissa tapauksissa henkilötiedot pidetään Firstbeatin hallinnoimissa tietojärjestelmissä tai Firstbeat Life-käyttäjän mobiililaitteessa ja Firstbeat tai alihankkijat eivät tallenna tietoa muihin järjestelmiin.
  • Henkilötiedot säilytetään pääasiallisesti Firstbeatin EU:ssa tai Yhdistyneessä kuningaskunnassa (UK) sijaitsevilla palvelimilla ja henkilötietoja ei siirretä EU- tai ETA-valtioiden tai UK:n ulkopuolelle, ellei erikseen muuta sovita. Tietoja voidaan siirtää väliaikaisesti EU- tai ETA-valtioiden ulkopuolelle, mikäli se on palvelun ja henkilötietojen käsittelyn teknisen toteutuksen kannalta tarpeellista, kuten lähetettäessä palveluun liittyviä tietoja Mitattavan käyttämään sähköpostiosoitteeseen, joka sijaitsee ulkomaisella sähköpostipalvelimella. Tällöin Firstbeat ryhtyy tarvittaviin toimenpiteisiin varmistaakseen henkilötietojen riittävän suojaamisen soveltuvan lainsäädännön mukaisesti.
  • Mitattava voi myös käyttää palvelua EU- tai ETA-valtioiden ulkopuolella sijaitsevalla laitteella, ja tällöin tiedot ovat nähtävissä kyseisellä laitteella palvelun käytön aikana.

TOIMISTO- JA VIESTINTÄSOVELLUKSET

  • Toimistosovellukset ja palvelut, joiden kautta mahdollisesti kanssasi viestimme meille tuottaa Microsoft.
  • Järjestelmiin ei tallenneta henkilötietoja kuin osoitetietona. Esimerkiksi lähettäessäsi meille sähköpostia, tallentuu järjestelmään nimesi ja sähköpostiosoitteesi. Samoin tapahtuu, kun lähetämme sinulle sähköpostin, kalenterivarauksen tai vaikkapa Teams -kokouskutsun.
  • Järjestelmiin ei koskaan tallenneta yksilön terveys- tai potilastietoa, eikä muuta henkilökohtaista arkaluonteista tietoa.
  • Käyttämämme toimistosovellukset ja palvelut on suunniteltu tietoturvallisiksi (Privacy by design) ja tietoihin on rajattu pääsy. Kaikki sähköposti- ja kalenteritilit on suojattu vahvoin salasanakäytännöin, joiden vaihtaminen vaatii kaksiosaista tunnistautumista ja tileihin on pääsy vain asianomaisilla käyttäjillä.
  • Palveluun liittyvät järjestelmät ja tietovarastot sijaitsevat EU:n tai ETA -valtioiden alueella Suomessa, Saksassa, Ranskassa, Alankomaissa, Itävallassa ja Irlannissa.
  • Microsoft on sitoutunut noudattamaan eurooppalaisia tietosuojalakeja, kuten yleistä tietosuoja-asetusta (GDPR) ja tietosuojastandardeja, kuten kansainvälistä pilvitietosuojan ohjesääntöä: ISO/IEC 27018

Tuotamme erilaisia tapahtumia, joiden ilmoittautumisen yhteydessä voidaan mainita erikseen henkilötietojen käsittelyn tarkoituksesta tai rajoituksista. Mikäli muuta ei ole mainittu, tietoja käytetään ainoastaan kyseisen palvelun tuottamiseen liittyen ja palvelun tarjoamiseksi tapahtumaan ilmoittautuneelle. Tietoja ei luovuteta kolmansille osapuolille, jotka eivät osallistu tapahtuman tuottamiseen.

LASKUTUSJÄRJESTELMÄT JA KIRJANPITO

  • Mikäli ACTPRO:lta hankittu palvelu tai tuote laskutetaan suoraan sinulta yksityishenkilönä, tai toimit yhteyshenkilönä laskutuksiin liittyvissä asioissa, tallennamme nimesi ja yhteystietosi laskutusjärjestelmäämme. Laskutositteet siirtyvät myös osaksi kirjanpitoa ja siten tietoja tulee säilyttää jopa 10 vuotta tapahtumavuodesta eteenpäin.

ACTPRO seuraa tietosuojaa koskevan lainsäädännön sekä viranomaisohjeiden muutoksia ja varaa oikeuden päivittää tätä selostetta.