HSL:n yritysasiakasrekisterin tietosuojaseloste

Rekisterin nimi on HSL:n yritysasiakasrekisteri (”Yritysasiakasrekisteri”), jonka rekisteröityjä ovat HSL:n palveluita käyttävien yritysten yhteyshenkilöt, työntekijät ja muut edunsaajat (”Asiakkaat”). Tarkempaa tietoa HSL:n palveluiden käyttäjien henkilötietojen käsittelystä sekä yrityskäyttäjätilin tunnistautumistietojen tallentamisesta löytyy http://www.hsl.fi/tietosuoja-sivustolta.

Rekisterin rekisterinpitäjä on Helsingin seudun liikenne kuntayhtymä (jäljempänä HSL), y-tunnus 2274586-3.

Osoite:Opastinsilta 6 A, Helsinki, PL 100, 00077 HSL 
Puhelin: 09 4766 400 (HSL Asiakaspalvelu)

HSL:n tietosuojavastaava
Osoite: PL 100, 00077 HSL
Puhelinnumero vaihde (09) 4766 4444
Sähköposti: [email protected]

HSL:n yritysasiakasrekisterin henkilötietojen käyttötarkoitus on yrityspalvelujen tarjoaminen.

HSL:n yritysasiakasrekisteri muodostuu seuraavista eri palveluiden alarekistereistä:

• Yritysasiakasrekisteri (CRM)
• Yritysuutiskirjeen ja muiden markkinointiviestien tilaajat
• HSL-lippujen osto tai etujen myöntäminen työntekijöille tai muille edunsaajille HSL:n verkkopalvelussa
• Kaupunkipyöräpalvelun yritysasiakkaat
• Yritysasiakastapahtumiin ilmoittautuneet

HSL:n yritysasiakasrekisterin henkilötietojen käyttötarkoitus on yrityspalvelujen tarjoaminen. Tähän liittyvät seuraavat kokonaisuudet, joissa henkilötietoja käsitellään:

• Palvelun toimittaminen sisältäen matkakortin, aikataulunäytön ja HSL:n verkkopalvelun ja kaupunkipyörien käytön.
• Asiakkuuden hoitaminen kuten asiakaspalvelu, sopimushallinta, epäselvyyksien selvittäminen ja muu hallinnollisissa tehtävissä tapahtuva henkilötietojen käyttö sekä asiakasviestintä kuten palvelun toimittamisen kannalta tarpeellinen tai sopimukseen liittyvä viestintä (esimerkiksi laajoja häiriötilanteita koskevat tiedotteet, tilausvahvistukset, sopimus- ja palveluehtojen sekä tietosuojaselosteiden muutoksia koskeva viestintä).
• Myynti ja suoramarkkinointi kuten kohderyhmien määrittely, markkinoinnin suunnittelu ja mittaaminen, myynti- ja suoramarkkinointiyhteydenotot, suoramarkkinointia ja uutiskirjettä koskevat luvat ja kiellot sekä myyntipalavereiden järjestäminen. 

Yritysasiakasrekisteri koostuu useista henkilötietotyypeistä. Tarkempaa tietoa HSL:n matkustaja-asiakkaiden henkilötietojen käsittelystä sekä yrityskäyttäjätilin tunnistautumistietojen tallentamisesta löytyy www.hsl.fi/tietosuoja -sivustolta.

(a) Asiakkaan tai potentiaalisen asiakkaan perustiedot kuten yhteyshenkilön tai pääkäyttäjän nimitiedot, yrityksen osoite, sähköpostiosoite, puhelinnumero, asema organisaatiossa, LinkedIn profiilin osoite- ja asiakastunnisteet kuten yrityksen Y-tunnus ja asiakasnumero ovat käytössämme, jotta pystymme yksilöimään asiakkaan ja tarjoamaan asiakkaalle palveluita eri välineissä ja medioissa.

(b) Asiakkuuden tyyppiin liittyvät tiedot kuten asiakasryhmä ja -luokka, erilaiset asiakkuus-, asiointi-, tilaus- ja palvelutiedot.

(c) Ostotiedot palvelukohtaisesti.

(d) Eri kanavissa tapahtuvan sisältökäytön ja viestinnän tiedot, ml. sisältö-, tunniste- ja tekniset tiedot koskien puheluita, evästeitä ja muita viestintäkanavia.

(e) Maksutiedot eri kanavissa.

(f)  Lupa-, kielto- ja muut vastaavat tiedot.

(g) HSL:n verkkopalvelua käyttävän yrityksen työntekijän eli henkilöasiakkaan tiedot kuten nimitiedot, sähköposti, kotikunta, liittymispäivä palveluun, ostopäivä, tuote ja vyöhyke, tuotteen voimassaoloaika ja etuuden voimassaoloaika. HSL:n verkkopalvelua koululaislippujen myöntämiseen käyttävän toimijan edunsaajan eli koululaislipun saajan (henkilöasiakkaan) tiedot: nimi, henkilötunnus/syntymäaika, koulutieto, huoltajan sähköpostiosoite, liittymispäivä palveluun, tuote ja vyöhyke ja etuuden voimassaoloaika.

HSL:n toteuttama henkilötietojen käsittely perustuu aina johonkin seuraavista EU:n yleisen tietosuoja-asetuksen (GDPR, 2016/679) 6 artiklan mukaisista oikeusperusteista.

(a) Käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR 6 art. 1 kohta alakohta b):

• Palveluiden toimitus asiakkaalle
• Asiakkuuden hoitaminen

(b) Käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (GDPR 6 art. 1 kohta alakohta e):

• Koululaislipun myöntäminen, hallinnointi ja toimitus asiakkaalle
• Myynti- ja suoramarkkinointi (lisäksi perusteena on Tietosuojalain 4§ 1 kohta)
• Siltä osin kuin rekisteröity ei ole itse sopimuksen osapuoli, vaan osapuolen yhteyshenkilö tai muu edustaja:
  • Palveluiden toimitus
  • Hallinnolliset tehtävät liittyen sopimuksen ja yritysasiakkuuden hallintaan sekä yritysasiakkuuteen liittyvä viestintä ja asiakaspalvelu

Sähköinen suoramarkkinointi

Lähetämme sähköisiä suoramarkkinointiviestejä (esim. sähköpostilla, push-ilmoituksilla matkapuhelimeen tai tekstiviesteillä)  yrityksen tai muun organisaation edustajille koskien tuotteita ja palveluita, jotka liittyvät henkilön työtehtäviin tai asemaan organisaatiossa. Markkinointiviestinnästä voi kieltäytyä milloin tahansa esimerkiksi sähköpostiviestissä olevan peruutuslinkin kautta tai ottamalla yhteyttä HSL:n yritysasiakaspalveluun.

Henkilötietoja kerätään ensisijaisesti asiakkaalta itseltään, ja keräämistä tapahtuu kohdassa 2 mainittujen palveluiden käyttöönoton, rekisteröitymisen, käytön ja asiakaspalvelun yhteydessä.

Muita säännönmukaisia tietolähteitä HSL:n yritysasiakasrekisterin tiedoille ovat:

• Asiakastietojen päivitys niitä tarjoavista palveluista: Henkilötietoja voidaan kerätä, tallettaa ja päivittää myös osoite-, päivitys-, tai muuta vastaavaa palvelua tarjoavilta rekisterinpitäjiltä.
• Koululaislippujen osalta lipun myöntävä kunta tai koulu luovuttaa henkilötiedot HSL:lle.

HSL soveltaa seuraavia säilytysaikaperiaatteita:

(a) Asiakkuuden perustietoja säilytetään asiakassuhteen voimassaolon ajan ja sen jälkeen niin kauan kuin on tarpeellista osapuolten oikeuksien ja velvoitteiden täyttämiseksi.

(b) Palvelukohtaisia tietoja säilytetään palvelukohtaisten periaatteiden mukaan.

Edellä mainittujen säilytysaikaperiaatteiden lisäksi HSL säilyttää henkilötietoja pääsääntöisesti enintään kolme (3) vuotta, ellei pidemmälle säilytysajalle ole asiallista perustetta. HSL Yritysportaalissa olevia koululaislippujen saajien tietoja säilytetään enintään yksi (1) vuosi. 

Tilaus-, toimitus-, osto- ja maksutietoja säilytetään soveltuvan lainsäädännön edellyttämä aika, eli pääsääntöisesti kirjanpitolain (1336/1997) mukainen säilytysaika.

Kirjanpidon kannalta tarpeellisia osto-, myynti-, tilaus-, laskutus- ja maksutietoja säilytetään enintään 10 vuoden ajan.

HSL arvioi tietojen säilyttämisen tarpeellisuutta vuosittain, ja poistaa tiedot, joiden säilyttämiselle ei ole perustetta. Lisäksi HSL toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että
käsittelyn tarkoituksiin nähden epätarkat, virheelliset tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä.

HSL voi käyttää tietojen käsittelytehtävien teknisessä, kaupallisessa tai operatiivisessa toteuttamisessa HSL:n lukuun toimivia sopimuskumppaneita, joille saatetaan yhteistyön puitteissa siirtää henkilötietoja tietosuojasopimuksen puitteissa.

Rekisteriin sisältyviä henkilötietoja luovutetaan tarpeen vaatiessa ulkopuolisille henkilöille tai organisaatioille seuraavasti:

HSL voi luovuttaa asiakastietoja viranomaisille voimassaolevan lainsäädännön sallimissa ja velvoittamissa rajoissa.

Rekisteriin sisältyviä henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle. HSL varaa kuitenkin mahdollisuuden tällaisiin siirtoihin tulevien liikekumppaneidensa osalta tällaiseen maahan soveltuvaa lakisääteistä menettelyä noudattaen.

Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.

Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä. Palvelin on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella.

Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat rekisteröityvät rekisterinpitäjän IT-järjestelmän lokitietoihin.

Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.

Rekisteröidyn EU:n yleisessä tietosuoja-asetuksessa määritellyt oikeudet ja ohjeet niiden käyttämiseen on kuvattu HSL:n verkkosivuilla osoitteessa https://www.hsl.fi/hsl/tietosuoja#rekistero-idyn-oikeudet

HSL voi tehdä tähän tietosuojaselosteeseen muutoksia ilmoittamalla muutoksista verkkosivuilla ja/tai sähköpostitse.