Integritetspolicy för användarregistret för Mutkaton onlinetjänst

Mehiläinen Oy
FO-nummer 1927556-5
Arkadiankatu 6, 00100 Helsingfors
Växel: 010 414 0112 (lna/msa) (samtalsavgift för lokalnät/mobil)

Mehiläinen Oy:s användarregister för Työterveys onlinetjänst

Webbtjänsten riktar sig främst till kontaktpersoner för Mehiläinens småföretagskunder. Vem som helst kan använda den som har de personliga nätbankskoder som krävs för registrering till tjänsten och rätten att teckna avtal för företagets räkning. Grunden för behandlingen av personuppgifter är Mehiläinens berättigade intresse som uppstår ur avtalsförhållandet mellan företaget och Mehiläinen samt dess förberedelse. Grunden för behandlingen kan också vara uppfyllandet av lagstadgade skyldigheter som gäller för Mehiläinen.

Personuppgifter behandlas för att implementera webbtjänsten. Personuppgifter kan behandlas för underhållsändamål, såsom användarhantering, kontroll av dataregistratorn och utredning av fel eller misstänkt missbruk. Personuppgifter kan också behandlas för att utveckla tjänsten. Behandlingsuppgifter kan läggas ut på Mehiläinen-koncernens företag och/eller externa tjänsteleverantörer i enlighet med och inom de gränser som dataskyddslagstiftningen anger. Tjänsteleverantörerna behandlar personuppgifter för Mehiläinens räkning.

Tillhandahållande av personuppgifter är en förutsättning för att använda webbtjänsten. Registrering till tjänsten kräver användning av personliga nätbankskoder för identifiering och verifiering av företagets rätt att teckna avtal. Om den registrerade inte tillhandahåller de nödvändiga personuppgifterna är det inte möjligt att använda tjänsten.

Behandlingen av personuppgifter baseras på Mehiläinens berättigade intresse i enlighet med artikel 6.1 f i EU:s allmänna dataskyddsförordning (GDPR).

Intresseavvägning för berättigat intresse:

Mehiläinens berättigade intresse: Mehiläinen har ett berättigat intresse av att behandla personuppgifter för användare av webbtjänsten för att implementera, underhålla och utveckla tjänsten, samt för att hantera avtalsförhållandet mellan Mehiläinen och kundföretaget. Behandlingen av användarnas personuppgifter är nödvändig för att Mehiläinen ska kunna erbjuda sina kundföretag en webbtjänst för hantering av företagshälsovård och för att säkerställa tjänstens korrekta funktion.

Nödvändighet av behandlingen: Behandlingen av personuppgifter är nödvändig för att identifiera tjänstanvändare, hantera åtkomsträttigheter, säkerställa tjänstens funktion och förhindra potentiellt missbruk. De behandlade personuppgifterna är begränsade till information som är nödvändig för tjänstens implementering, och behandlingen kan inte utföras på ett sätt som är mindre begränsande för den registrerades integritet.

Avvägning av den registrerades rättigheter och friheter: Behandlingen orsakar inte sådan skada på den registrerades rättigheter och friheter som skulle åsidosätta Mehiläinens berättigade intresse. Den registrerade agerar i tjänsten som representant för kundföretaget i sin yrkesroll, vilket innebär att påverkan på integritetsskyddet är liten. De behandlade uppgifterna är av vanlig karaktär, såsom kontaktuppgifter och identifieringsuppgifter. Mehiläinen har implementerat lämpliga tekniska och organisatoriska skyddsåtgärder för att skydda personuppgifter, och den registrerade har rätt att invända mot behandlingen på grundval av sin specifika situation. Den registrerade kan rimligen förvänta sig att deras personuppgifter behandlas i samband med användningen av tjänsten.

Följande typer av uppgifter är föremål för behandling:

• Den registrerades förnamn, efternamn, personbeteckning, e-postadress och telefonnummer.
• Uppgifter som den registrerade har angett om anställda som omfattas av företagshälsovården, vilka registreras i Mehiläinens patientregister för företagshälsovård.
• Loggdata som genereras från användningen av tjänsten.
• Annan information relaterad till kundrelationen, såsom data som samlas in från webbplatsanvändning som kan kopplas till kunden, till exempel användarens IP-adress, besökstid, besökta sidor, webbläsartyp som används (t.ex. Internet Explorer, Firefox), webbadressen från vilken användaren kom till webbplatsen, och servern från vilken användaren kom till webbplatsen.

Data erhålls primärt från följande källor:

• Den registrerade själv, och data som genereras genom den registrerades användning av onlinetjänst;
  • En identifieringstjänsteleverantör, såsom en nätbank.
  • En part som tillhandahåller verifiering av firmateckningsrätt, såsom informationstjänsten Virre som tillhandahålls av Patent- och registerstyrelsen (PRS), vilken tillhandahåller officiell registerinformation om företag, stiftelser och företagshypotek.

Personuppgifter lämnas inte regelbundet ut till tredje parter. Om det är nödvändigt att lämna ut personuppgifter kan utlämnandet ske till tredje parter antingen baserat på ett avtal, samtycke eller en uttrycklig laglig grund som föreskrivs i lag.

Personuppgifter kan överföras utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet, inklusive till USA, i enlighet med och inom de gränser som dataskyddslagstiftningen fastställer. I sådana fall är den primära grunden för överföring Europeiska kommissionens beslut om adekvat skyddsnivå i USA. Om personuppgifter överförs till ett land för vilket kommissionen har utfärdat ett beslut om adekvat skyddsnivå (artikel 45 i EU:s allmänna dataskyddsförordning), är beslutet om adekvat skyddsnivå den primära grunden för överföring.

Mehiläinen behåller personuppgifter i onlinetjänst så länge den registrerade använder onlinetjänst, det vill säga har ett användarkonto i tjänsten. Mehiläinen kan också radera uppgifterna tidigare om det är uppenbart att användaren inte längre använder tjänsten och deras kundrelation med Mehiläinen också har upphört på annat sätt.

En person som är registrerad i onlinetjänsten kan när som helst begära att få sitt användarkonto raderat genom att skicka ett e-postmeddelande till info.terveystiedot@mehilainen.fi. Radering av användardata i onlinetjänst raderar inte hälsovårdskunddata (patientdata) som genererats i samband med företagshälsovårdstjänsten. Mehiläinen Oy behåller loggdata från onlinetjänst i 12 år från händelsen.

A. Manuellt material Mehiläinen har lämpliga tekniska och organisatoriska skyddsåtgärder på plats för att skydda personuppgifter. Eventuellt manuellt material förvaras i ett låst utrymme, med tillgång endast för särskilt behörig personal.

B. Elektronisk behandling av uppgifter onlinetjänst kan användas via en säker dataanslutning, till exempel via en webbläsare på en dator, mobiltelefon, mobil enhet eller annan smart enhet, eller via någon annan teknisk applikation som Mehiläinen för närvarande erbjuder. Onlinetjänst kan användas via en säker dataanslutning, till exempel via en webbläsare på en dator, mobiltelefon, mobil enhet eller annan smart enhet, eller via någon annan teknisk applikation som Mehiläinen för närvarande erbjuder.

Företagets firmatecknare eller en av denne auktoriserad representant för kundföretaget loggar in i tjänsten med stark autentisering. Mehiläinen ordnar tjänsten och datasäkerheten med lämpliga tekniska lösningar.

9.1 Den registrerades rätt att invända mot behandling av personuppgifter

Den registrerade har rätt att när som helst, på grund av sin specifika situation, invända mot behandling av personuppgifter som rör denne och som baseras på Mehiläinens berättigade intressen. Den registrerade kan framställa sin invändning i enlighet med avsnitt 10 i denna integritetspolicy. I samband med begäran måste den registrerade specificera den specifika situation som ligger till grund för invändningen mot behandlingen. Mehiläinen kan vägra att genomföra invändningsbegäran på grunder som föreskrivs i lag.

9.2 Den registrerades rätt att få tillgång till uppgifter (insynsrätt)

Den registrerade har rätt att få bekräftelse från Mehiläinen om huruvida personuppgifter som rör denne behandlas eller inte. Om dennes personuppgifter behandlas har de registrerade rätt att få information om behandlingen av sina personuppgifter, till exempel syftena med behandlingen och de berörda kategorierna av personuppgifter. Mehiläinen informerar om behandlingen av personuppgifter i sina integritetspolicyer. Den registrerade kan också kontakta Mehiläinen angående behandlingen av personuppgifter på det sätt som beskrivs i avsnitt 10 i denna integritetspolicy. Den registrerade har rätt att granska vilka uppgifter som behandlas om denne. En begäran om granskning kan göras i enlighet med avsnitt 10 i denna integritetspolicy. Rätten till insyn kan nekas på grunder som föreskrivs i lag. Att utöva rätten till insyn är i princip kostnadsfritt. Under vissa förhållanden kan Mehiläinen dock ta ut en rimlig avgift från den registrerade baserat på administrativa kostnader.

9.3 Den registrerades rätt att begära rättelse, radering eller begränsning av behandling

Den registrerade kan uppdatera sina grundläggande uppgifter i onlinetjänsten. I den mån den registrerade kan agera själv, måste denne, utan onödigt dröjsmål, efter att ha fått kännedom om ett fel eller själv upptäckt det, på eget initiativ rätta, radera eller komplettera felaktig, onödig, ofullständig eller föråldrad information i tjänsten. I annat fall uppmanas den registrerade att uppdatera informationen genom att meddela enligt avsnitt 10. Under vissa förhållanden har den registrerade rätt till radering av sina personuppgifter, till exempel om den registrerade invänder mot behandlingen och det inte finns någon berättigad anledning till behandlingen. En begäran om radering kan göras i enlighet med avsnitt 10 i denna integritetspolicy.

Den registrerade har också rätt att kräva att Mehiläinen begränsar behandlingen av dennes personuppgifter, till exempel i en situation där den registrerade väntar på Mehiläinens svar på en begäran om rättelse eller radering av dennes uppgifter. En begäran om begränsning av behandlingen kan göras i enlighet med avsnitt 10 i denna integritetspolicy.

Automatiserat beslutsfattande och profilering

Webbtjänsten utför inte automatiserat beslutsfattande eller profilering enligt artikel 22 i EU:s allmänna dataskyddsförordning, vilket skulle ha rättsliga effekter för den registrerade eller på ett liknande sätt betydande påverkan på denne.

9.4 Den registrerades rätt att lämna in ett klagomål till en tillsynsmyndighet

Den registrerade har rätt att lämna in ett klagomål till den behöriga tillsynsmyndigheten (i Finland, Dataombudsmannens byrå) om den personuppgiftsansvarige inte har följt tillämplig dataskyddslagstiftning i sin verksamhet.

För ärenden som rör den registrerades patient- och personuppgifter kan du kontakta Mehiläinens team för hantering av hälsoinformation. Hantering av hälsoinformation info.terveystiedot@mehilainen.fi

Observera att vi endast kan ta emot registrerades förfrågningar skriftligen. Din identitet kommer att verifieras på en Mehiläinen-klinik med en fotolegitimation eller alternativt via OmaMehiläinen onlinetjänst. Detta säkerställer att information endast lämnas ut till personer som har rätt till den.

Du kan också lämna in en dataförfrågan via din närmaste Mehiläinen-klinik, där din identitet kommer att verifieras med en fotolegitimation. Du hittar din närmaste Mehiläinen-klinik på vår webbplats på https://www.mehilainen.fi/haku?k=toimipisteet. Om du skickar känslig information via e-post kan du vid behov använda Mehiläinens säkra e-post.

Dataskyddsombud Mehiläinens dataskyddsombud är Kim Klemetti (tietosuoja@mehilainen.fi).