Dataskyddsbeskrivning för stadscyklar i Helsingfors och Esbo

Dataskyddsbeskrivning för kundregistret för HRT:s stadscykeltjänst i Helsingfors och Esbo

 

1. REGISTERANSVARIG

HRT

PB 100 (Semaforbron 6A)

00077 HRT (00520 Helsingfors)

tfn. 09 4766 4000

[email protected]

 

HRT:s dataskyddsansvarig:

Adress: PB 100, 00077 HRT

Telefonnummer, växel: (09) 4766 4444

E-post: [email protected]

 

2. REGISTRETS NAMN

Kundregister för HRT:s stadscykeltjänst i Helsingfors och Esbo

Personuppgifterna av en representant för ett företag som använder stadscykeltjänsten behandlas i HRT:s företagskundregister (se Dataskyddsbeskrivning för HRT:s företagskundregister | Dataskydd | HRT | HSL.fi).

3. SYFTET MED BEHANDLINGEN AV PERSONUPPGIFTER

Syftet med behandling av personuppgifter i registret är att sköta kundrelationen avseende stadscyklar samt att tillhandahålla och utveckla stadscykeltjänsten.

Kundens specifikationsuppgifter används för att identifiera personen i problemsituationer, för kontakt i samband med meddelanden om systemets funktion samt för att visa användaruppgifter för användaren själv på tjänstens webbsida. Användaren kan också själv ändra sina uppgifter i sina kontoinställningar.

Uppgifterna används också för att ta fram statistik som beskriver hur tjänsten fungerar, utan att enskilda användare kan identifieras. (Öppen data | HRT | HSL.fi).

Elektronisk direktmarknadsföring   

Vi kan skicka elektronisk direktmarknadsföring (t.ex. via e-post, push-aviseringar till mobiltelefon eller textmeddelanden) enligt följande:  

  

  • Elektronisk direktmarknadsföring baserad på kundrelation: Vi skickar elektroniska direktmarknadsföringsmeddelanden till våra kunder på basis av en befintlig kundrelation, när kundens kontaktuppgift (t.ex. e‑postadress) har erhållits i samband med försäljning av en tjänst eller produkt (t.ex. vid skapande av ett HRT-konto eller när HRT:s tjänster tas i bruk). Kommunikation gäller HRT:s produkter och tjänster som kunden tidigare har använt eller motsvarande produkter och tjänster. Du kan när som helst avstå från marknadsföringskommunikation, till exempel via avregistreringslänken i e‑postmeddelanden, i inställningarna för ditt HRT‑konto eller genom att kontakta HRT:s kundservice.   

 

  • Elektronisk direktmarknadsföring baserad på samtycke: Vi kan skicka elektronisk direktmarknadsföring som inte baserar sig på kundrelationen på basis av den registrerades samtycke. Samtycke kan ges till exempel i digitala tjänster, i samband med kampanjer eller via andra kanaler. Samtycket kan när som helst återkallas via samma kanaler eller genom att kontakta HRT:s kundservice.   

 

Inbjudningar till undersökningar och enkäter  

HRT skickar inbjudningar att delta i enkäter och undersökningar, till exempel på basis av hur HRT:s tjänster används. Du kan hantera mottagandet av forsknings- och enkätinbjudningar via a e-post i inställningarna för Meddelanden och integritet på ditt HRT-konto på hsl.fi samt i Kommunikationsinställningar i HSL-appen, där du också kan välja hur inbjudningar ska visas i appen. Du hittar dessa i inställningarna under punkten ”Deltagande i utvecklingen av kollektivtrafiken: inbjudningar till undersökningar och enkäter”. Du kan delta i enkäter och undersökningar genom att klicka på deltagandeförfrågan i inbjudan. Då får du även mer detaljerad information om den aktuella enkäten eller undersökningen. Det är frivilligt att delta i enkäter och undersökningar. 


Den allmänna dataskyddsbeskrivningen för HRT:s kundregister finns på HRT:s dataskyddssida Dataskydd | HRT | HSL.fi.

 

4. RÄTTSLIG GRUND FÖR BEHANDLINGEN

De rättsliga grunderna för behandlingen av personuppgifter utgörs av följande grunder enligt EU:s allmänna dataskyddsförordning (nedan även ”GDPR”):

Avtal: Behandlingen av personuppgifterna är nödvändig för att verkställa ett avtal där den registrerade är part, eller för att förverkliga åtgärder som föregår ingående av avtal, på begäran av den registrerade (GDPR 6 art. 1 punkt b). På avtalet grundar sig:

  • Produktion och leverans av stadscykeltjänsten till kunden
  • Skötande av kundrelation

Lagstadgad förpliktelse: Behandlingen av personuppgifterna är nödvändig för att den registeransvarige ska uppfylla en lagstadgad förpliktelse (GDPR 6 art. 1 punkt c). Grundar sig på lagstadgad förpliktelse:

  • Behandling av personuppgifter för bokföring

 

Ett allmänt intresse: Behandlingen av personuppgifterna är nödvändig för att utföra en uppgift av allmänt intresse eller för att utöva offentlig makt som tillkommer den registeransvarige (GDPR 6 art. 1 punkt e  samt 4 § 1 mom. 2 och 3 punkten i dataskyddslagen). Grundar sig på detta:

  • HRT:s undersökningar samt kundnöjdhet- och responsenkäter
  • Marknadsföring, planering av marknadsföring och mätning av dess effektivitet
  • Utveckling av HRT:s tjänster och verksamhet
  • Behandling för statistiska ändamål av allmänt intresse

 

5. REGISTRETS DATAINNEHÅLL (BEHANDLADE KATEGORIER AV PERSONUPPGIFTER)

I stadscykeltjänstens kundregister ingår följande uppgifter om stadscykeltjänstens användare (kunder).

Kunduppgifter

Uppgifter som har angetts vid registreringen:

  • Namn
  • E-postadress
  • Telefonnummer
  • Uppgiften om att kunden har fyllt 15 år
  • Start- och slutdatum för den betalda användningsperioden
  • Användarnamn
  • PIN-kod
  • Språk
  • Status som visar om användaren för närvarande är aktiv
  • HRT-kortets nummer om användaren har lagt till sitt HRT-kort i systemet som identifierare
  • Den del av betalkortets nummer som anges av betaltjänsten, den sista giltighetsdagen samt vilket kort användaren använder. Med hjälp av dessa uppgifter visas för användaren vilket kort som har kopplats till stadscykeltjänsten, men betalkortets fullständiga nummer lagras inte i registret.

Användningshändelser

  • Faktisk användning, där uppgifter om start- och slutpunkt, tidpunkt, använd stadscykel samt färdad sträcka registreras.
  • Betalningstransaktioner
  • Information om betalningar som tillsvidare inte har debiterats.

 

6. REGELMÄSSIGA INFORMATIONSKÄLLOR

Personuppgifter samlas in från den registrerade själv samt från användningshändelser som genereras i stadscykelsystemet.

7. BEVARINGSTID FÖR PERSONUPPGIFTER

Uppgifterna lagras så länge det är nödvändigt för att fullgöra förpliktelserna i avtalsförhållandet. Personuppgifter raderas i regel tre år efter den senaste användningen av stadscykelsäsongen. Uppgifterna om transaktionerna sparas den tid som lagen förutsätter, dvs. huvudsakligen i enlighet med bokföringslagen (1336/1997).

8. PERSONUPPGIFTERNAS MOTTAGARE (MOTTAGARGRUPPER) SAMT REGELMÄSSIGT UTLÄMNANDE AV UPPGIFTER

Som personuppgiftsansvarig behandlar HRT uppgifterna själv och utnyttjar även underleverantörer som behandlar personuppgifter för den personuppgiftsansvariges räkning och på dess vägnar.

HRT kan i det tekniska, kommersiella eller operativa genomförandet av uppgifternas behandling använda avtalspartner som arbetar för HRT:s räkning, och till vilka personuppgifter inom ramen för samarbetet kan överföras enligt dataskyddsavtalet.

Personuppgifter som finns i registret överlåts vid behov till utomstående personer eller organisationer enligt följande: CityBike Finland Oy (tjänsteleverantör och operatör), Fifteen (teknisk leverantör till CityBike Finland), Stripe (betaltjänst), Huvudstadsregionens Stadstrafik Ab och Esbo stad (beställare av stadscykeltjänsten).

9. ÖVERFÖRING AV UPPGIFTER UTANFÖR EU ELLER EES

Personuppgifterna i registret överförs inte till länder utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet, om inte överföringen sker till ett tredjeland för vilket Europeiska kommissionen har meddelat ett beslut om adekvat skyddsnivå (s.k. likvärdighetsbeslut), eller – i fråga om Förenta staterna – till en mottagare som är certifierad enligt EU–US Data Privacy Framework. HRT förbehåller sig möjligheten till andra överföringar i enlighet med kraven i den vid var tid gällande dataskyddslagstiftningen, genom att tillämpa lämpliga skyddsåtgärder vid överföring av uppgifter.

10. PRINCIPER FÖR SKYDD AV REGISTRET

Datasäkerheten och personuppgifternas konfidentialitet i kundregistret för stadscykeltjänsten säkerställs genom ändamålsenliga tekniska och administrativa åtgärder i enlighet med god databehandlingssed.

Den registeransvariges arbetstagare och andra personer har förbundit sig att iaktta tystnadsplikt och hemlighålla de uppgifter de fått i samband med behandlingen av personuppgifter. Den registeransvarige och systemleverantörerna har sinsemellan ingått ett avtal om kundregistrets dataskydd. Systemleverantörerna sköter registret och lagringen av data som registret innehåller enligt god databehandlingssed och följer strikt sekretess och tystnadsplikt.

Behöriga för användning av systemet som innehåller kunduppgifter är endast personer vilkas arbetsbeskrivning omfattar behandling av kunduppgifter. Varje användare identifierar sig på tjänsten med personliga användarnamn som ges vid beviljandet av användarrättigheter. Rätten att använda registret upphör då personen inte längre har de arbetsuppgifter som var grunden för användarrättigheten. Tystnads- och sekretessplikten fortsätter också efter att arbetsuppgifterna eller anställningsförhållandet där kunduppgifterna behandlas upphört.

Uppgifterna samlas i databaser som är skyddade logiskt och fysiskt. Databaserna och deras säkerhetskopior ligger i låsta utrymmen och endast vissa, på förhand nämnda personer har tillgång till dem.

Kortbetalning sker säkert med en skyddad betalblankett via betalservicen Stripe Payments Europe Ltd. Huvudstadsregionens Stadstrafik Ab, HRT, Esbo stad, Smoove eller Citybike Finland Oy har inte tillgång till kortuppgifterna och uppgifterna på betalkorten sparas inte som sådana i våra system. Om kortet sparas den del av betalkortets nummer som anges av betaltjänsten, den sista giltighetsdagen samt vilket kort användaren använder. Med dessa uppgifter visas till användaren vilket betalkort denne har kopplat till stadscykeltjänsten. Vi har endast rätt att debitera användaren avgifterna enligt användarvillkoren.

11. DEN REGISTRERADES RÄTTIGHETER

Den registrerade har följande rättigheter i enlighet med EU:s allmänna dataskyddsförordning (GDPR):

(a) rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom/henne håller på att behandlas och i så fall få tillgång till personuppgifterna och vissa information som bestäms i EU:s allmänna dataskyddsförordning: (i) ändamålen med behandlingen; (ii) de kategorier av personuppgifter som behandlingen gäller, (iii) mottagare eller kategorier av mottagare till vilka personuppgifterna har lämnats ut eller ska lämnas ut, (iv) om möjligt den planerade lagringsperioden för personuppgifterna eller, om detta inte är möjligt, kriterierna för hur denna period fastställs, (v) den registrerades rätt att begära rättelse eller radering av personuppgifter som rör honom eller henne eller begränsning av behandlingen av sådana uppgifter eller att invända mot sådan behandling, (vi) rätten att lämna in ett klagomål till en tillsynsmyndighet, (vii) om personuppgifterna inte har samlats in från den registrerade, all tillgänglig information om uppgifternas ursprung (artikel 15 i GDPR). Dessa beskrivna grunduppgifter (i)–(vii) lämnas till den registrerade genom denna beskrivning. Användaren kan också ta del av sina personuppgifter via sitt HRT-konto i tjänsten hsl.fi.

(b) rätt att när som helst återkalla sitt samtycke utan att detta påverkar lagenligheten för behandling som gjorts utifrån samtycket innan det återkallades (artikel 7 i GDPR);

(a) rätt att kräva att den registeransvarige utan obefogat dröjsmål korrigerar oklara och felaktiga personuppgifter som gäller den registrerade samt rätt att få bristfälliga personuppgifter kompletterade, bland annat genom att tillhandahålla ett kompletterande utlåtande, med beaktande av de ändamål för vilka uppgifterna behandlades (artikel 16 i GDPR). I tjänsten hsl.fi kan den registrerade själv redigera sina personuppgifter via sitt HRT-konto.

(b) rätt att få personuppgifter som rör den registrerade raderade av den personuppgiftsansvarige utan onödigt dröjsmål, förutsatt att (i) personuppgifterna inte längre behövs för de ändamål för vilka de samlades in eller på annat sätt behandlades, (ii) den registrerade återkallar det samtycke som behandlingen grundar sig på och det saknas annan rättslig grund för behandlingen, (iii) den registrerade invänder mot behandlingen på grund av sin särskilda situation och det saknas berättigade skäl för behandlingen eller den registrerade invänder mot behandling för direktmarknadsföringsändamål, (iv) personuppgifterna har behandlats på olagligt sätt, eller (v) personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse som åvilar den personuppgiftsansvarige enligt unionsrätten eller nationell lagstiftning (artikel 17 i GDPR).

(c) rätt att få behandlingen begränsad av den personuppgiftsansvarige, om (i) den registrerade bestrider personuppgifternas korrekthet, varvid behandlingen ska begränsas under den tid som gör det möjligt för den personuppgiftsansvarige att kontrollera uppgifternas korrekthet, (ii) behandlingen är olaglig och den registrerade motsätter sig att personuppgifterna raderas och i stället begär en begränsning av deras användning, (iii) den personuppgiftsansvarige inte längre behöver personuppgifterna för behandlingsändamålen, men den registrerade behöver dem för att fastställa, göra gällande eller försvara rättsliga anspråk, eller (iv) den registrerade har invänt mot behandling med hänvisning till sin särskilda situation, i väntan på kontroll av huruvida den personuppgiftsansvariges berättigade skäl väger tyngre än den registrerades skäl (artikel 18 i GDPR).

(d) rätt att få de personuppgifter som rör honom eller henne och som den registrerade har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format, samt rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan hinder från den personuppgiftsansvarige till vilken personuppgifterna har lämnats, om behandlingen grundar sig på samtycke enligt förordningen eller på ett avtal och behandlingen sker automatiserat (artikel 20 i GDPR).

(e) rätt att lämna in ett klagomål till tillsynsmyndigheten (Dataombudsmannens byrå, växeln: 029 5666700, e-postadress: [email protected]) om den registrerade anser att man i behandlingen av personuppgifter som gäller honom/henne brutit mot EU:s allmänna dataskyddsförordning (GDPR 77 art).

Begäran om utövande av den registrerades rättigheter adresseras till den personuppgiftsansvarige i enlighet med anvisningarna som finns på adressen www.hsl.fi/sv/hrt/Dataskydd.

 

12. UPPDATERING AV DATASKYDDSBESKRIVNING

Denna registerbeskrivning kan uppdateras vid behov.

På stadscykelsajten finns alltid den uppdaterade versionen av den gällande dataskyddsbeskrivningen.