DATASKYDDSBESKRIVNING FÖR MINMEHILÄINEN-TJÄNSTEN
Datum: 22.8.2019
1 Registeransvarig
Mehiläinen Oy
FO-nummer 1927556-5
Norra Hesperiagatan 17 C, 00260 Helsingfors
Telefonväxel: 010 414 0112 (lna/msa)
2 Kontaktperson vid registerärenden
Dataskyddsansvarig Kim Klemetti
Norra Hesperiagatan 17 C, 00260 Helsingfors
3 Registrets benämning
MinMehiläinen
4 Syftet med och grunden för behandlingen av personuppgifter
MinMehiläinen-tjänsten (även tjänsten) är först och främst riktad till Mehiläinens kunder men den kan användas av vem som helst som har personliga bankkoder som krävs för inloggning i tjänsten.
Behandlingen av personuppgifter är i första hand baserad på den kundrelation mellan Mehiläinen och den registrerade som uppstår när den registrerade skapar ett användarkonto i MinMehiläinen-tjänsten, och, till exempel till den del som den registrerade själv matar in uppgifter om sitt hälsotillstånd eller tidigare vårdhistorik, på den registrerades samtycke.
Personuppgifter behandlas för att genomföra och tillhandahålla Mehiläinens webbläsar- och applikationsbaserade MinMehiläinen-tjänst, för att genomföra stamkundsprogrammet och för att vårda kundrelationen.
Mehiläinen kan använda personuppgifter för att analysera och följa upp; kundhistorik, kundrespons, uppgifter om kundtillfredsställelse, enkäter och undersökningar; för att rikta kommunikation, marknadsföring och tjänster samt för att tillhandahålla, utveckla och erbjuda annan service samt profileringssyften så som det har beskrivits mera ingående i punkt 11 av denna dataskyddsbeskrivning. Tjänsten kan innehålla marknadsföringskommunikation per telefon, SMS, e-post eller MMS samt tjänsteintern marknadsföring och annan kommunikation på webbplatsen eller i mobilapplikationen.
Behandlingsuppgifter kan läggas ut till Mehiläinens koncernbolag och/eller externa tjänsteleverantörer i enlighet med dataskyddslagstiftningen och inom dess gränser.
5 Registrets datainnehåll
Om den registrerade kan sparas bland annat följande uppgifter:
Namn, tilltalsnamn, personbeteckning, kundnummer, kön, språk, adress, telefonnummer, e-postadress och övriga kontaktuppgifter som behövs
Nära anhörig, vårdnadshavare, barn, antal barn under 18 år och deras ålder, uppgifter om boende, hushållets storlek
Uppgifter om tjänster som den registrerade kunden har önskat, använt och köpt samt anteckning om nivå och giltighetstid för gällande förmånsprogram för stamkunder.
Det innehåll som den registrerade personen själv har sparat såsom hälsouppgifter, uppgifter om vård utanför Mehiläinen, intresseområden, fritidssysselsättningar eller annan liknande information.
Uppgifter som den registrerade lagrat om en person som anslutits till den registrerades familjeprofil.
Information om de personer som har deltagit i vården av den registrerade personen. Önskemål eller anteckningar om yrkespersonal, tjänster, verksamhetsenheter och övriga faktorer.
Uppgifter om förbud, begränsningar, samtycken som gäller användning av personuppgifter och andra val som gjorts av den registrerade.
Nödvändiga uppgifter om användning av identifikations- och certifieringsinstrument och -tjänster.
Uppgifter om databehandling, såsom datum då uppgiften sparades och informationskälla
Uppgifter om kommunikationen mellan den registrerade och en yrkesperson på Mehiläinen i MinMehiläinen-tjänsten, t.ex. meddelandenas innehåll och sändningstider.
Andra uppgifter om registrets syfte, till exempel information som samlats in om användning av webbplatsen vid användning av tjänsten och som kan kopplas till den registrerade, till exempel användarens IP-adress, tidpunkten för besöket, de besökta sidorna, använd webbläsartyp (t.ex. Internet Explorer, Firefox), den webbadress från vilken användaren kopplade sig till webbplatsen samt den server som användaren använde för att koppla sig till webbplatsen.
MinMehiläinen-registret innehåller inte patientinformation, den registrerade erbjuds endast begränsad rätt att granska den registrerades patientuppgifter via tjänsten. De uppgifter som lagrats i MinMehiläinen-tjänsten flyttas inte till patientdatasystemet om den registrerade inte speciellt har kommit överens om detta med den yrkesperson som vårdar den registrerade. De uppgifter som den registrerade själv har sparat i MinMehiläinen-tjänsten, till exempel uppgifter om den registrerades hälsotillstånd eller behandlingar och undersökningar som gjorts någon annanstans, är inte synliga för Mehiläinens yrkespersoner, om inte den registrerade i vårdprocessen med en yrkesperson speciellt kommer överens om att uppgifter används i vården. Då lagrar yrkespersonen de uppgifter som ska användas i vården i ett separat patientdatasystem.
6 Lagringstid för personuppgifter
Mehiläinen förvarar personuppgifter i MinMehiläinen-tjänsten så länge som den registrerade använder MinMehiläinen-tjänsten, dvs. har ett användarkonto i tjänsten. Mehiläinen kan också ta bort uppgifterna tidigare, om det är klart att användaren inte längre använder tjänsten och användarens kundrelation med Mehiläinen även i andra avseenden har upphört.
7 Regelmässigt använda informationskällor
Uppgifterna hämtas i första hand från följande informationskällor:
Den registrerade själv, och de uppgifter som uppstår genom att den registrerade använder MinMehiläinen-tjänsten.
Med den registrerades samtycke har en annan registrerad person tillagts i familjeprofilen i MinMehiläinen-tjänsten.
Mehiläinens kundregister.
Den part som erbjuder identifikations-, certifierings-, adress-, uppdaterings-, kreditupplysnings- eller annan motsvarande tjänst
I registret kan också antecknas uppgifter som lämnats av Mehiläinens andra samarbetspartner, till exempel uppgifter från försäkringsbolag.
Befolkningsregistercentralens befolkningsdatasystem och andra kända system.
8 Stadgeenligt utlämnande av uppgifter samt mottagargrupper
Uppgifter utlämnas till Mehiläinens koncernbolag för ändamål som beskrivits i dataskyddsbeskrivningens punkt 4 samt till Mehiläinens kundregister och direktmarknadsföringsregister.
Inga uppgifter lämnas utanför de parter som deltar i produktion, utveckling eller upprätthållande av tjänster och kommunikation för Mehiläinen eller för de parter som agerar å Mehiläinens vägnar, annat än enligt avtal, annan typ av samtycke och/eller uttryckliga bestämmelser.
9 Överföring av uppgifter till en mottagare utanför EU eller EES.
Personuppgifter kan överföras ut ur Europeiska unionen eller Europeiska ekonomiska samarbetsområdet bland annat till Förenta staterna i enlighet med dataskyddslagstiftningen och inom dess gränser.
10 Principerna för hur registret skyddas
A Manuellt material
Eventuellt manuellt material förvaras i ett låst utrymme som endast personer med särskilda rättigheter har tillgång till.
B Uppgifter som behandlas elektroniskt
MinMehiläinen fungerar på nätet och kan via en krypterad förbindelse användas med en webbläsare i exempelvis en dator, mobiltelefon, mobilapparat eller annan smart enhet eller via en annan teknisk tillämpning som Mehiläinen tillhandahåller vid tidpunkten.
Man loggar in i MinMehiläinen-tjänsten genom att använda dina personliga nätbankskoder eller en annan identifikation som Mehiläinen har godkänt. Mehiläinen upprätthåller tjänsten och datasäkerheten med lämpliga tekniska lösningar.
Tillgång till material har endast därtill berättigad anställd, yrkesutövare eller samarbetspartner med personligt användarnamn och lösenord. Behörigheterna har olika nivåer, och varje användare tilldelas en för uppgiften tillräcklig, men så begränsad behörighet som möjligt. Dessutom kan den registrerade själv med en yrkesperson (läs mer i punkt 2 “yrkesperson” i användarvillkoren) komma överens om att denna vid vårdbesök har åtkomst till den registrerades uppgifter i MinMehiläinen-tjänsten, till exempel de hälsouppgifter som sparats av den registrerade själv.
Den registrerade kan också själv ge de personer som anslutits till familjeprofilen i MinMehiläinen-tjänsten rätt att granska och behandla de uppgifter om den registrerade som lagrats i MinMehiläinen-tjänsten samt samma begränsade rätt att granska den registrerades patientuppgifter som den registrerade själv. Till familjeprofilen i MinMehiläinen-tjänsten kan endast anslutas sådana personer som själv är användare av MinMehiläinen-tjänsten och som alltså också är registrerade. Tilläggningen sker med hjälp av personbeteckningen och kräver ett separat samtycke av den registrerade som ska läggas till i familjeprofilen. Den officiella vårdnadshavaren till ett barn under 18 år kan lägga till barnet i sin familjeprofil utan barnets särskilda samtycke. (Läs mera i punkt 5 i användarvillkoren.)
I samband med att användningen av MinMehiläinen-tjänsten upphör avlägsnar Mehiläinen samtliga uppgifter som rör MinMehiläinen-tjänsten och som användaren själv har registrerat samt användarens MinMehiläinen-profil. De uppgifter som rör övriga tjänster (såsom respons och uppgifter som används för att rikta tjänsterna) överförs till och/eller blir kvar i Mehiläinens kundregister.
Syftet med de ovannämnda åtgärderna är att säkerställa MinMehiläinen-tjänstens konfidentialitet, uppgifternas tillgänglighet och integritet samt förverkligandet av de registrerades rättigheter.
11 Profilering
Som en del av behandlingen av personuppgifter som sparats i MinMehiläinen-tjänsten kan Mehiläinen också utnyttja uppgifterna för profilering. Profileringen genomförs genom att ge för den registrerade ett kund-id med hjälp av vilket man kan kombinera sådana uppgifter om den registrerade personen som uppstår när tjänsten används. Efter detta kan en profil som skapats på ovan beskrivet sätt till exempel jämföras med profiler för andra registrerade personer.
Syftet med profileringen är att utreda efterfrågan på tjänster samt konsumentbeteendet.
12 Den registrerades rätt att motsätta sig behandling av personuppgifter
En registrerad person har rätt att, med hänsyn till sin speciella situation, motsätta sig profilering av sig själv och andra behandlingsåtgärder som Mehiläinen riktar sig mot de registrerade personens personuppgifter till den del som grunden för behandlingen av uppgifterna är kundrelationen mellan Mehiläinen och den registrerade personen. Den registrerade kan framföra sin protest enligt punkt 15 i denna dataskyddsbeskrivning. Vid protest ska den registrerade specificera den särskilda situation på grund av vilken hon motsätter sig behandlingen. Mehiläinen kan vägra protestbegäran på lagstadgade grunder.
13 En registrerad person har rätt att motsätta sig direktmarknadsföring (förbudsrätt)
MinMehiläinen-tjänsten kan innehålla reklam från Mehiläinen och dess partner. Kunden kan inte förbjuda att det förekommer reklam i tjänsten.
I MinMehiläinen-tjänsten kan den registrerade ge samtycken eller förbud om tjänsteextern direktmarknadsföring (och profilering i direktmarknadsföringssyfte) kanalspecifikt.
14 Den registrerades andra rättigheter i anslutning till behandling av personuppgifter
Den registrerades rätt att få tillgång till uppgifter (insynsrätt)
Vid inloggning i MinMehiläinen-tjänsten kan den registrerade alltid se största delen av de uppgifter som MinMehiläinen-tjänsten har om henne.
Den registrerade har också rätt att granska sina andra uppgifter i MinMehiläinen-tjänsten. Begäran om insyn ska göras i enlighet med punkt 15 i denna dataskyddsbeskrivning. Rätten till insyn kan förvägras med stöd av lagens bestämmelser. Utövandet av insynsrätten är i princip avgiftsfritt.
Den registrerades rätt att kräva rättelse, borttagning eller begränsad behandling av en uppgift
Den registrerade kan uppdatera sina grunduppgifter i MinMehiläinen-tjänsten. I den mån den registrerade personen kan agera själv ska personen utan obefogat dröjsmål efter det att han/hon fått kännedom om ett fel eller själv har upptäckt ett fel på eget initiativ rätta till, ta bort eller komplettera den i registret sparade uppgift som strider mot syftet med MinMehiläinen-tjänsten är oriktig, onödig, bristfällig eller inaktuell.
I den mån den registrerade personen inte själv kan rätta till uppgifterna ska en begäran om rättelse göras enligt punkt 15 i denna dataskyddsbeskrivning.
Den registrerade har också rätt att kräva att den registeransvarige begränsar behandlingen av den registrerades personuppgifter till exempel i en situation där den registrerade väntar på Mehiläinens svar på begäran om rättelse eller borttagning av sina uppgifter.
Den registrerades rätt att överföra uppgifterna från ett system till ett annat
I den mån som den registrerade själv har levererat sådana uppgifter till MinMehiläinen-tjänster, som behandlas med den registrerades samtycke, har den registrerade rätt att få dessa uppgifter i regel i ett maskinellt läsbart format och rätt att överföra dessa uppgifter till en annan registerförare. I praktiken är detta slags uppgifter till exempel sådana uppgifter om hälsa och tidigare vårdhistorik som den registrerade själv matat in i MinMehiläinen-tjänsten.
Den registrerades rätt att anföra besvär till tillsynsmyndigheten
Den registrerade har rätt att anföra besvär till behörig tillsynsmyndighet, om den registeransvarige inte har följt tillämplig dataskyddsreglering i sin verksamhet.
Andra rättigheter
Om personuppgifter behandlas utgående från ett registrerat samtycke har den registrerade rätt att återkalla sitt samtycke genom att meddela Mehiläinen om detta i enlighet med punkt 15 i denna dataskyddsbeskrivning.
15 Kontakter
I alla frågor som gäller behandling av personuppgifter och situationer som har att göra med den registrerades utövning av sina rättigheter ska den registrerade ta kontakt med Mehiläinen i MinMehiläinen-tjänsten, på något av Mehiläinens verksamhetsställen eller per post till adressen: Mehiläinen Oy/ MinMehiläinen Norra Hesperiagatan 17 C, 00260 Helsingfors. Vid behov kan Mehiläinen be den registrerade att specificera sin begäran skriftligt och den registrerades identitet kan vid behov kontrolleras innan man vidtar andra åtgärder.