HSL:n Helsingin ja Espoon kaupunkipyöräpalvelun asiakasrekisterin tietosuojaseloste

1. REKISTERINPITÄJÄ 

HSL 

PL 100 (Opastinsilta 6A) 

00077 HSL (00520 Helsinki) 

puh. 09 4766 4000 

[email protected] 

 

HSL:n tietosuojavastaava: 

Osoite: PL 100, 00077 HSL 

Puhelinnumero vaihde: (09) 4766 4444 

Sähköposti: [email protected] 

 

2. REKISTERIN NIMI 

HSL:n Helsingin ja Espoon kaupunkipyöräpalvelun asiakasrekisteri 
 
Kaupunkipyöräpalvelua käyttävän yrityksen edustajan henkilötiedot käsitellään HSL:n yritysasiakasrekisterissä (ks. Yritysasiakasrekisterin tietosuojaseloste | Tietosuoja | HSL | HSL.fi).  
 

3. HENKILÖTIETOJEN KÄSITTELYN TARKOITUS 

Rekisterin henkilötietojen käsittelyn tarkoituksena on kaupunkipyöriä koskevan asiakassuhteen hoitaminen sekä kaupunkipyöräpalvelun toteutus ja kehittäminen. 

Asiakkaan yksilöintitietoja käytetään henkilön tunnistamiseen ongelmatilanteissa, yhteydenottoon järjestelmän toimintaan liittyvien viestien välittämisessä sekä käyttäjätietojen näyttämiseen käyttäjälle itselleen palvelun internetsivuilla. Käyttäjä voi tilinsä asetuksista myös itse muuttaa tietojaan. 

Tietoja käytetään myös palvelun toimintaa kuvaavien tilastojen tuottamiseen siten, ettei yksittäisiä käyttäjiä voida tunnistaa (Avoin data | HSL | HSL.fi). 

Sähköinen suoramarkkinointi   

Voimme lähettää sähköistä suoramarkkinointia (esim. sähköpostilla, push-ilmoituksilla matkapuhelimeen tai tekstiviesteillä) seuraavasti:

  • Asiakkuuteen perustuva sähköinen suoramarkkinointi: Lähetämme sähköisiä suoramarkkinointiviestejä asiakkaillemme perustuen olemassa olevaan asiakassuhteeseen, kun asiakkaan yhteystieto (esim. sähköpostiosoite) on saatu palvelun tai tuotteen myynnin yhteydessä (esim. HSL-tiliä luotaessa tai HSL:n palveluja käyttöönotettaessa). Viestintä koskee asiakkaan aiemmin käyttämiä tai niitä vastaavia HSL:n tuotteita ja palveluja. Markkinointiviestinnästä voi kieltäytyä milloin tahansa esimerkiksi sähköpostiviestien peruutuslinkin kautta, HSL-tilin asetuksissa tai ottamalla yhteyttä HSL:n asiakaspalveluun.    
  • Suostumukseen perustuva sähköinen suoramarkkinointi: Voimme lähettää muuta kuin asiakkuuteen perustuvaa sähköistä suoramarkkinointia rekisteröidyn suostumukseen perustuen. Suostumus voidaan antaa esimerkiksi digitaalisissa palveluissa, kampanjoiden yhteydessä tai muissa kanavissa. Suostumuksen voi perua milloin tahansa samoja kanavia käyttäen tai ottamalla yhteyttä HSL:n asiakaspalveluun.    

 

Kutsut tutkimuksiin ja kyselyihin   

HSL lähettää osallistumiskutsuja kyselyihin ja tutkimuksiin esimerkiksi HSL:n palveluiden käytön perusteella. Voit hallinnoida tutkimus- ja kyselykutsujen vastaanottamista sähköpostitse HSL-tilisi Ilmoitus ja yksityisyys –asetuksissa hsl.fi-sivuilla ja HSL-sovelluksen Viestiasetuksissa, jossa voit hallinnoida myös kutsujen näkymistä sovelluksessa. Valinnat löytyvät asetusten ”Osallistuminen joukkoliikenteen kehitykseen: kutsut tutkimuksiin ja kyselyihin” -kohdasta.  Voit osallistua kyselyihin ja tutkimuksiin klikkaamalla kutsussa olevaa osallistumispyyntöä, jolloin saat myös tarkempaa tietoa kyseisestä kyselystä tai tutkimuksesta.  Kyselyihin ja tutkimuksiin osallistuminen on vapaaehtoista.  

 
Yleinen HSL:n asiakasrekisteriä koskeva tietosuojaseloste löytyy HSL:n tietosuojasivustolta Tietosuoja | HSL | HSL.fi 

 

4. KÄSITTELYN OIKEUSPERUSTEET

Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös ”GDPR”) mukaiset perusteet:  

Sopimus: Henkilötietojen käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä (GDPR 6 art. 1 kohta alakohta b). Sopimukseen perustuvat: 

  • Kaupunkipyöräpalvelun tuottaminen ja toimitus asiakkaalle 
  • Asiakassuhteen hoitaminen 
     

Lakisääteinen velvoite: Henkilötietojen käsittely on tarpeen rekisterinpitäjän lakisääteisen velvoitteen noudattamiseksi (GDPR 6 art. 1 kohta alakohta c). Lakisääteiseen velvoitteeseen perustuvat: 

  • Henkilötietojen käsittely kirjanpidon tarpeisiin 

Yleinen etu: Henkilötietojen käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai rekisterinpitäjälle kuuluvan julkisen vallan käyttämiseksi (GDPR 6 art. 1 kohta alakohta e sekä Tietosuojalain 4.1§ alakohdat 2 ja 3). Tähän perustuvat: 

  • HSL:n tuottamat tutkimukset, asiakastyytyväisyys- ja palautekyselyt 
  • Markkinointi, markkinoinnin suunnittelu ja tehokkuuden mittaaminen 
  • HSL:n palvelujen ja toiminnan kehittäminen 
  • Käsittely yleisen edun mukaisiin tilastollisiin tarkoituksiin 

5. REKISTERIN TIETOSISÄLTÖ (KÄSITELTÄVÄT HENKILÖTIETORYHMÄT 
 

Kaupunkipyöräpalvelun asiakasrekisteri sisältää kaupunkipyöräpalvelun käyttäjiä (asiakkaita) koskevat seuraavat tiedot. 

Asiakastiedot 

Rekisteröityessä syötetyt tiedot: 

  • Nimi 
  • Sähköpostiosoite 
  • Puhelinnumero 
  • Tieto siitä, että asiakas on 15-vuotta täyttänyt 
  • Maksetun käyttöjakson alkamispäivä ja päättymispäivä 
  • Käyttäjätunnus 
  • Pin-koodi 
  • Kieli 
  • Status, onko käyttäjä nyt aktiivinen 
  • HSL-kortin numero, jos käyttäjä on lisännyt järjestelmään tunnisteekseen HSL-kortin 
  • Maksupalvelun ilmoittama osa maksukortin numerosta, viimeinen voimassaolopäivämäärä sekä minkä yrityksen maksukortti on käytössä. Näillä tiedoilla näytetään käyttäjälle minkä kortin on kaupunkipyöräjärjestelmään liittänyt, mutta koko maksukortin numeroa rekisteriin ei tallenneta.  
     

Käyttötapahtumat 

  • Toteutunut käyttö, josta tallennetaan tieto lähtö- ja päätepisteestä, ajankohta, käytetty kaupunkipyörä, sekä ajettu matka 
  • Maksutapahtumat 
  • Tieto mahdollisista toistaiseksi veloittamattomista maksuista. 
     

6. SÄÄNNÖNMUKAISET TIETOLÄHTEET

Henkilötiedot kerätään rekisteröidyltä itseltään sekä kaupunkipyöräjärjestelmän tuottamista käyttötapahtumista.  

7. HENKILÖTIETOJEN SÄILYTYSAIKA 

Tiedot säilytetään niin kauan, kuin se on tarpeellista sopimussuhteen velvoitteiden hoitamiseksi. Asiakastiedot poistetaan lähtökohtaisesti kolmen vuoden kuluttua viimeisimmästä kaupunkipyöräkauden käytöstä laskettuna. Maksutapahtumatietoja säilytetään soveltuvan lainsäädännön edellyttämä aika, eli pääsääntöisesti kirjanpitolain (1336/1997) mukainen säilytysaika. 

8. HENKILÖTIETOJEN VASTAANOTTAJAT (VASTAANOTTAJARYHMÄT) SEKÄ TIETOJEN SÄÄNNÖNMUKAISET LUOVUTUKSET 

Rekisterinpitäjänä HSL käsittelee tietoja itse sekä hyödyntää henkilötietojen käsittelyssä rekisterinpitäjän puolesta ja lukuun toimivia alihankkijoita. 

HSL voi käyttää tietojen käsittelytehtävien teknisessä, kaupallisessa tai operatiivisessa toteuttamisessa HSL:n lukuun toimivia sopimuskumppaneita, joille saatetaan yhteistyön puitteissa siirtää henkilötietoja tietosuojasopimuksen puitteissa. 

Rekisteriin sisältyviä henkilötietoja luovutetaan lisäksi tarpeen vaatiessa ulkopuolisille henkilöille tai organisaatioille seuraavasti: CityBike Finland Oy (palvelun toimittaja ja ylläpitäjä), Fifteen (Citybike Finlandin tekninen toimittaja), Stripe (maksupalvelu), Pääkaupunkiseudun Kaupunkiliikenne Oy ja Espoon kaupunki (kaupunkipyöräpalvelun tilaajat). 

9. TIETOJEN SIIRTO EU:NTAI ETA:N ULKOPUOLELLE

Rekisteriin sisältyviä henkilötietoja ei siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolisiin maihin, ellei siirto kohdistu kolmanteen maahan, josta Euroopan komissio on antanut päätöksen tietosuojan tason riittävyydestä (ns. vastaavuuspäätöksen), tai Yhdysvaltojen osalta vastaanottajaan, joka on sertifioitunut EU–US tietosuojakehykseen. HSL varaa mahdollisuuden muihin siirtoihin noudattaen kulloinkin voimassa olevan tietosuojalainsäädännön vaatimuksia tietojen siirtämisestä asianmukaisia suojatoimia soveltaen. 

10. REKISTERIN SUOJAUKSEN PERIAATTEET 

Kaupunkipyöräpalvelun asiakasrekisterin tietoturvallisuus sekä henkilötietojen luottamuksellisuus varmistetaan tarkoituksenmukaisin teknisin ja hallinnollisin toimenpitein hyvän tietojenkäsittelytavan mukaisesti. 

Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot. Rekisterinpitäjän ja järjestelmätoimittajien kanssa on tehty sopimus asiakasrekisterin tietosuojasta. Järjestelmätoimittajat hoitavat rekisterin ja siihen liittyvien tietojen säilytyksen hyvän tietojenkäsittelytavan mukaisesti ja noudattavat ehdotonta vaitiolo- ja salassapitovelvollisuutta. 

Asiakastietoja sisältävän järjestelmän käyttöön ovat oikeutettuja vain ne työntekijät, joilla työnsä puolesta on oikeus käsitellä asiakastietoja. Jokainen käyttäjä tunnistautuu järjestelmään henkilökohtaisilla tunnuksillaan, jotka annetaan käyttöoikeuden myöntämisen yhteydessä. Käyttöoikeus päättyy henkilön siirtyessä pois niistä tehtävistä, joita varten käyttöoikeus on myönnetty. Vaitiolo- ja salassapitovelvollisuus jatkuu asiakastietojen käsittelyä sisältävien työtehtävien tai palvelussuhteen päätyttyä. 

Tiedot kerätään tietokantoihin, jotka ovat suojattu loogisesti ja fyysisesti. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa tiloissa ja tietoihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt.  

Korttimaksaminen tapahtuu turvallisesti suojatulla maksulomakkeella Stripe Payments Europe Ltd –maksupalvelun välityksellä. Pääkaupunkiseudun Kaupunkiliikenne Oy:llä, HSL:llä, Espoon kaupungilla, Fifteenilla, eikä Citybike Finland Oy:llä ole pääsyä korttitietoihin eikä maksukortin tietoja sellaisenaan tallenneta järjestelmiimme. Kortista tallennetaan maksupalvelun ilmoittama osa maksukortin numerosta, viimeinen voimassaolopäivämäärä sekä minkä yrityksen maksukortti on käytössä. Näillä tiedoilla näytetään käyttäjälle minkä kortin on käyttäjä kaupunkipyöräjärjestelmään liittänyt. Käytössämme on vain valtuutus veloittaa käyttäjältä käyttöehtojen mukaiset maksut.  

11. REKISTERÖIDYN OIKEUDET 

Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen (GDPR) mukaiset oikeudet: 

(a) oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: (i) käsittelyn tarkoitukset; (ii) kyseessä olevat henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot (GDPR 15 art.). Nämä kuvatut perustiedot (i)–(vii) annetaan rekisteröidylle henkilölle tällä selosteella; Käyttäjä pääsee katsomaan omia henkilötietojaan myös HSL-tunnuksen kautta hsl.fi-palvelussa. 

(b) oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen (GDPR 7 art.);  

(a) oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin (GDPR 16 art.); . Hsl.fi-palvelussa rekisteröity pääsee itse muokkaamaan henkilötietojaan HSL-tunnuksen kautta. 

(b) oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä tai rekisteröity vastustaa käsittelyä suoramarkkinointitarkoituksia varten; (iv) henkilötietoja on käsitelty lainvastaisesti; tai (v) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi (GDPR 17 art.); 

(c) oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet (GDPR 18 art.); 

(d) oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen tai sopimukseen ja käsittely suoritetaan automaattisesti (GDPR 20 art.); 

(e) oikeus tehdä valitus valvontaviranomaiselle (Tietosuojavaltuutetun toimisto, puhelin vaihde: 029 5666700, sähköposti: [email protected]) jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta (GDPR 77 art.). 

Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan rekisteripitäjälle osoitteessa www.hsl.fi/tietosuoja annetun ohjeistuksen mukaisesti. 

12. TIETOSUOJASELOSTEEN PÄIVITYS 

Tätä tietosuojaselostetta voidaan päivittää tarvittaessa. 

Kaupunkipyöräpalvelun verkkosivuilla on aina päivitetty, voimassa oleva tietosuojaseloste.