Integritetspolicy för MinMehiläinen-tjänsten
Detta är en översättning av den ursprungliga finska versionen av integritetspolicyn, senast uppdaterad: 1.1.2024, som finns tillgänglig här.
Mehiläinen Oy
FO-nummer 1927556-5
Arkadiagatan 6
00100 Helsingfors
Telefonväxel: 010 414 0112 (lna/msa)
MinMehiläinen
MinMehiläinen-tjänsten (nedan även 'tjänsten') är avsedd särskilt för Mehiläinens kunder, men kan användas av vem som helst som har tillgång till de personliga nätbankskoder som krävs för att registrera sig i tjänsten.
Behandlingen av personuppgifter baseras främst på avtalsförhållandet mellan Mehiläinen och den registrerade, Mehiläinens berättigade intresse samt lagstiftning. Behandlingen av personuppgifter kan också baseras på den registrerades samtycke. Mehiläinens berättigade intresse grundar sig på kundförhållandet mellan Mehiläinen och den registrerade. Ett kundförhållande mellan Mehiläinen och den registrerade uppstår när den registrerade skapar ett användarkonto i MinMehiläinen-tjänsten. Behandlingen av hälsouppgifter baseras på lagstiftning eller den registrerades samtycke. Till exempel när den registrerade själv matar in uppgifter om sin hälsostatus och välbefinnande i MinMehiläinen-tjänsten, kan insamling och behandling av hälsouppgifter baseras antingen på den registrerades samtycke eller lagstiftning.
Personuppgifter behandlas för att genomföra och tillhandahålla Mehiläinens webbläsar- och applikationsbaserade MinMehiläinen-tjänst, för att genomföra förmånsprogram, samt för att vårda kundrelationen.
Mehiläinen kan använda personuppgifter för att skapa kundhistorik, feedback, uppgifter om kundtillfredsställelse, enkäter och studier, för att verifiera tjänstehändelser, kvalitetskontroll, utveckling av verksamhet och tjänster; för att rikta kommunikation, marknadsföring och tjänster samt för andra ändamål relaterade till organisering, utveckling och erbjudande av tjänster samt för profileringssyften som beskrivs mer i detalj i punkt 10 i denna integritetspolicy. Tjänsten kan innehålla marknadsföringskommunikation via telefon, SMS, e-post eller multimedia-meddelanden samt tjänsteintern marknadsföring och annan kommunikation på webbplatsen eller i mobilapplikationen.
Dessutom visas i tjänsten hälsouppgifter om varje kund som finns i patientdatasystemet, där behandlingen av personuppgifter sker enligt integritetspolicy för patientuppgifter.
Behandlingsuppgifter kan outsourcas till Mehiläinens koncernbolag och/eller externa tjänsteleverantörer i enlighet med dataskyddslagstiftningen och inom de gränser som den fastställer. I sådana fall behandlar Mehiläinens koncernbolag och externa tjänsteleverantörer personuppgifter för Mehiläinens räkning.
Behandlingen omfattar bland annat följande typer av uppgifter:
- Namn, tilltalsnamn, personnummer, kundnummer, kön, språk, adress, telefonnummer, e-postadress och andra nödvändiga kontaktuppgifter;
- Nära anhörig, vårdnadshavare, vårdnadstagare, antal och åldrar på barn under 18 år;
- Uppgifter om de tjänster som den registrerade önskar, använder och köper samt uppgifter om den aktuella nivån och giltighetstiden för förmånsprogrammet. Uppgifter som den registrerade har lagrat om sig själv, såsom hälsouppgifter, uppgifter om vård som erhållits någon annanstans än hos Mehiläinen, intressen, fritidssysselsättningar eller liknande uppgifter;
- Hälsouppgifter och uppgifter om välbefinnande som den registrerade har överfört till tjänsten;
- Uppgifter som den registrerade har lagrat om en person som är kopplad till den registrerades familjeprofil;
- Uppgifter om personer som har tagit hand om den registrerade;
- Önskemål eller anteckningar om yrkespersoner, tjänster, verksamhetsenheter och andra faktorer;
- Förbud, begränsningar, samtycken och andra val relaterade till användningen av personuppgifter;
- Nödvändiga uppgifter relaterade till användningen av identifierings- och autentiseringstjänster och -verktyg;
- Uppgifter relaterade till databehandlingen, såsom lagringsdatum och datakälla;
- Innehåll i meddelanden mellan den registrerade och Mehiläinens yrkespersoner och innehållet i chattkonversationer som förts i Mehiläinens Digitala Klinik, eventuella filer som den registrerade har laddat upp, logguppgifter, information om meddelandenas parter och sändningstider;
- Övriga uppgifter relaterade till registrets syfte, såsom till exempel information som kan kopplas till den registrerade från användningen av webbplatser i samband med tjänstens användning, såsom användarens IP-adress, identifieringsuppgifter relaterade till användarens slutanordning och operativsystem, tidpunkten för besöket, besökta sidor, använd webbläsartyp (t.ex. Internet Explorer, Firefox), webbadressen från vilken användaren kom till webbplatsen samt servern från vilken användaren kom till webbplatsen.
Genom MinMehiläinen-tjänsten erbjuds den registrerade endast en begränsad visningsrätt till den registrerades patientuppgifter. Uppgifter som lagras i MinMehiläinen-tjänsten överförs inte till patientdatasystemet, om inte den registrerade har kommit överens om detta separat med den yrkesperson som behandlar den registrerade. Uppgifter som den registrerade själv har lagrat i MinMehiläinen-tjänsten, till exempel uppgifter om den registrerades hälsotillstånd eller behandlingar eller undersökningar som utförts någon annanstans än hos Mehiläinen, är inte synliga för Mehiläinens yrkespersoner, om inte den registrerade separat i samband med en behandlingshändelse kommer överens med yrkespersonen om att uppgifterna ska användas i samband med behandlingen. I så fall kan yrkespersonen lagra de uppgifter som behövs i samband med behandlingen i det separata patientdatasystemet.
Mehiläinen lagrar personuppgifter i MinMehiläinen-tjänsten så länge den registrerade använder MinMehiläinen-tjänsten, det vill säga så länge han eller hon har ett användarkonto i tjänsten. Mehiläinen kan också radera uppgifterna innan detta, om det är uppenbart att användaren inte längre använder tjänsten och hans eller hennes kundförhållande till Mehiläinen också i övrigt har upphört. Vi lagrar personuppgifter i MinMehiläinen högst tio (10) år från den senaste användningen av MinMehiläinen eller från att ha varit i kontakt med Mehiläinen.
Informationen erhålls främst från följande källor:
- Den registrerade själv och information som genereras genom användningen av MinMehiläinen-tjänsten;
- En annan registrerad som har lagts till i MinMehiläinen-tjänstens familjeprofil med den registrerades samtycke;
- Mehiläinens kundregister;
- Part som tillhandahåller identifierings-, autentiserings-, adress-, uppdaterings-, kreditinformations- eller liknande tjänster;
- Registret kan också kompletteras med information som tillhandahålls av andra av Mehiläinens samarbetspartners, såsom till exempel information från försäkringsbolag;
- Vi uppdaterar kontakt- och andra grundläggande uppgifter baserat på information från Digital- och befolkningsdataförvaltningen. Dessutom kan kontaktuppgifter uppdateras för företagshälsovårdskunder baserat på information som tillhandahålls av kundens arbetsgivare.
Uppgifter kan lämnas ut till Mehiläinens koncernbolag för de användningsändamål som beskrivs i punkt 3 i denna integritetspolicy samt till Mehiläinens kundregister och direktmarknadsföringsregister.
I huvudsak utlämnas inte personuppgifter utanför Mehiläinen till tredje parter. Om det är nödvändigt att lämna ut personuppgifter kan utlämningen genomföras till tredje parter på grundval av ett avtal, samtycke eller en uttrycklig grund som anges i lagstiftningen.
Personuppgifter kan överföras utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet, bland annat till USA, i enlighet med dataskyddslagstiftningen och inom de gränser som den fastställer. I sådana fall är den primära grunden för överföringen Europeiska kommissionens beslut om adekvat skyddsnivå i USA. Om personuppgifter överförs till ett land för vilket kommissionen har fattat ett adekvat beslut om skyddsnivån (artikel 45 i EU:s allmänna dataskyddsförordning), är den primära grunden för överföringen beslutet om adekvat skyddsnivå.
A. Manuellt material
Eventuellt manuellt material förvaras i ett låst utrymme där endast personer med särskild behörighet har tillträde.
B. Elektroniskt behandlade uppgifter
MinMehiläinen-tjänsten fungerar online och kan användas via en säker datakommunikationsförbindelse till exempel via en dator, mobiltelefon, mobilenhet eller annan smart enhet eller via annan teknisk applikation som Mehiläinen för tillfället erbjuder.
Man loggar in på MinMehiläinen-tjänsten med personliga nätbankstjänstkoder eller annan identifiering som godkänns av Mehiläinen. Mehiläinen ordnar tjänsten och informationssäkerheten med lämpliga tekniska lösningar.
Till materialet har endast behörig personal, yrkesutövare eller samarbetspartners tillgång med personlig användaridentitet och lösenord. Det finns olika nivåer av användarrättigheter och varje användare ges en tillräcklig, men så begränsad användarrättighet som möjligt för att utföra uppgiften. Dessutom kan den registrerade själv komma överens med yrkespersonen (läs mer i användarvillkorens punkt 2 "yrkesperson") om att denna har tillgång till uppgifter som den registrerade har lagrat i MinMehiläinen-tjänsten i samband med en vårdhändelse, såsom till exempel hälsouppgifter som den registrerade själv har lagrat.
Den registrerade kan också själv ge personer som är kopplade till MinMehiläinen-tjänstens familjeprofil rätt att granska och behandla uppgifter om den registrerade som har lagrats i MinMehiläinen-tjänsten, samt rätt att få samma begränsade visningsrätt till den registrerades patientuppgifter som den registrerade själv har. Personer som kan läggas till i MinMehiläinen-tjänstens familjeprofil är endast sådana som själva är användare av MinMehiläinen-tjänsten och därmed också registrerade. Tillägget görs med hjälp av personnummer och kräver den tillagda registrerades separata samtycke. En officiell vårdnadshavare till ett barn under 18 år kan dock lägga till barnet i sin familjeprofil utan barnets särskilda samtycke. (Läs mer i användarvillkorens punkt 5.)
Mehiläinen raderar alla uppgifter som användaren själv har lagrat i MinMehiläinen-tjänsten samt användarens MinMehiläinen-profil när användningen av MinMehiläinen-tjänsten upphör, men uppgifter relaterade till andra tjänster (såsom feedback och information som används för att rikta tjänster) överförs och/eller kvarstår i Mehiläinens kundregister.
Syftet med ovan nämnda åtgärder är att skydda konfidentialiteten, tillgängligheten och integriteten av MinMehiläinen-tjänsten samt att säkerställa att de registrerades rättigheter genomförs.
Som en del av behandlingen av personuppgifter som lagras i MinMehiläinen-tjänsten kan Mehiläinen också använda uppgifterna för profileringssyften. Profilering genomförs genom att skapa ett kund-ID för den registrerade, vilket möjliggör kombination av olika uppgifter relaterade till den registrerade som uppstår i samband med användningen av tjänsten. Den profil som skapas på detta sätt kan sedan jämföras med profiler som skapats för andra registrerade.
Syftet med profileringen är att undersöka efterfrågan på tjänster, kundbeteende samt att ge kunden rekommendationer.
Den registrerade har rätt att på grund av sin personliga specifika situation motsätta sig profilering och andra behandlingsaktiviteter som Mehiläinen riktar mot den registrerades personuppgifter, i den mån behandlingen av personuppgifterna grundar sig på Mehiläinens berättigade intresse, som baseras på kundförhållandet mellan Mehiläinen och den registrerade. Den registrerade kan framföra sin invändning i enlighet med punkt 14 i denna integritetspolicy. Den registrerade ska i samband med sin begäran specificera den specifika situationen som han eller hon grundar sin invändning på. Mehiläinen kan vägra att uppfylla begäran om invändning på grundval av lagstiftningen.
MinMehiläinen-tjänsten kan innehålla annonser från Mehiläinen och dess samarbetspartners. Kunden kan inte förbjuda att annonser visas i tjänsten.
I den mån personuppgifter behandlas för direktmarknadsföring har den registrerade rätt att när som helst motsätta sig behandlingen för sådan marknadsföring.
Den registrerade kan ge samtycken eller förbud gällande direktmarknadsföring gällande tjänster och annat utanför MinMehiläinen-tjänsten, inklusive profilering för direktmarknadsföringsändamål.
13.1 Den registrerades rätt att få tillgång till uppgifter (rätt till tillsyn)
Den registrerade har rätt att få bekräftelse från Mehiläinen om personuppgifter som rör honom eller henne behandlas eller inte. Om hans eller hennes personuppgifter behandlas har den registrerade rätt att få information om behandlingen av sina personuppgifter, till exempel syftet med behandlingen och de berörda personuppgiftskategorierna. Mehiläinen informerar om behandlingen av personuppgifter i sina integritetspolicyer. Den registrerade kan också kontakta Mehiläinen angående behandlingen av personuppgifter på det sätt som anges i punkt 14 i denna integritetspolicy.
När den registrerade loggar in på MinMehiläinen-tjänsten har han eller hon alltid tillgång till största delen av de uppgifter som MinMehiläinen-tjänsten innehåller om honom eller henne.
Den registrerade har också rätt att granska vilka andra uppgifter som rör honom eller henne som har sparats i MinMehiläinen-tjänsten. Begäran om granskning ska göras i enlighet med punkt 14 i denna integritetspolicy. Rätten till insyn kan nekas på de grunder som anges i lagen. I princip är användningen av rätten till insyn kostnadsfri. Mehiläinen kan dock under vissa förutsättningar ta ut en rimlig avgift baserad på administrativa kostnader från den registrerade.
13.2 Den registrerades rätt att kräva rättelse, radering eller begränsning av behandlingen
Den registrerade kan uppdatera sina grundläggande uppgifter i MinMehiläinen-tjänsten. I den mån den registrerade kan agera själv, ska han eller hon utan onödigt dröjsmål, efter att ha fått information om ett fel eller efter att själv ha upptäckt ett fel, på eget initiativ rätta, radera eller komplettera felaktiga, onödiga, ofullständiga eller föråldrade uppgifter i tjänsten.
I den mån den registrerade inte kan korrigera uppgifterna själv, ska en begäran om korrigering göras i enlighet med punkt 14 i denna integritetspolicy. Den registrerade har under vissa förutsättningar rätt att få sina personuppgifter raderade, till exempel om behandlingen grundar sig på den registrerades samtycke och den registrerade återkallar sitt samtycke, och det inte finns någon annan laglig grund för behandlingen. En begäran om radering kan göras i enlighet med punkt 14 i denna integritetspolicy.
Den registrerade har också rätt att kräva att personuppgiftsansvarig begränsar behandlingen av sina personuppgifter, till exempel i situationer där den registrerade väntar på Mehiläinens svar på en begäran om rättelse eller radering av uppgifter. En begäran om att begränsa behandlingen kan göras i enlighet med punkt 14 i denna integritetspolicy.
13.3 Den registrerades rätt att överföra uppgifter från ett system till ett annat
I den mån den registrerade själv har tillhandahållit uppgifter till MinMehiläinen-tjänsten som behandlas på grundval av den registrerades samtycke, har den registrerade rätt att få sådana uppgifter i ett strukturerat, allmänt använt och maskinläsbart format och har rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig. I praktiken kan sådana uppgifter till exempel vara hälsouppgifter som den registrerade själv har matat in i MinMehiläinen-tjänsten.
13.4 Den registrerades rätt att inge klagomål till tillsynsmyndigheten
Den registrerade har rätt att inge klagomål till den behöriga tillsynsmyndigheten (i Finland till dataombudsmannens byrå) om personuppgiftsansvarig inte har följt tillämplig dataskyddslagstiftning i sin verksamhet.
13.5 Övriga rättigheter
Om personuppgifter behandlas på grundval av den registrerades samtycke, har den registrerade rätt att när som helst återkalla sitt samtycke genom att meddela detta till Mehiläinen i enlighet med punkt 14 i denna integritetspolicy. Återkallande av samtycke påverkar dock inte lagligheten av den behandling som grundar sig på samtycke och som har utförts innan samtycket återkallades.
I frågor som rör den registrerades patient- och personuppgifter kan du vända dig till Mehiläinens team för hantering av hälsouppgifter info.terveystiedot@mehilainen.fi.
Observera att vi endast kan ta emot begäran från registrerade skriftligen. Din identitet kommer att verifieras på Mehiläinens verksamhetsställe med ett fotoförsett identitetskort eller alternativt via MinMehiläinen online-tjänster. Så här säkerställer vi att information endast lämnas ut till personer som har rätt till det.
Du kan också göra en informationsförfrågan via närmaste Mehiläinens verksamhetsställe, där din identitet kommer att verifieras med ett foto-ID. Du kan hitta den närmaste Mehiläinens verksamhetsställe på vår webbplats på https://www.mehilainen.fi/sv/verksamhetsstallen.
Om du skickar känsliga uppgifter via e-post kan du vid behov använda Mehiläinens säkerhetspost.
Dataskyddsombud
Mehiläinens dataskyddsombud är Kim Klemetti (tietosuoja@mehilainen.fi).