Dataskyddsbeskrivning för Mehiläinen Oy:s kundregister

Datum: 22.8.2019

1 REGISTERANSVARIG

Mehiläinen Oy, FO-nummer 1927556-5, Norra Hesperiagatan 17 C, 00260 Helsingfors.

2 KONTAKTPERSON VID REGISTERÄRENDEN

Dataskyddsansvarig Kim Klemetti, tietosuoja@mehilainen.fi, växel 010 414 0112.

3 REGISTRETS BENÄMNING

Mehiläinens kundregister

4 SYFTET MED OCH GRUNDEN FÖR BEHANDLINGEN AV PERSONUPPGIFTER

Den primära grunden för behandlingen av personuppgifter är kundrelationen mellan Mehiläinens kund och Mehiläinen, samtycket från kunden, det uppdrag som kunden har gett eller annan saklig anknytning.

Personuppgifter kan behandlas för följande ändamål:

Skötsel, genomförande, utveckling och uppföljning av kundrelationen, kundtjänsten och tillhörande kommunikation och marknadsföring

Analys, kategorisering och rapportering av kundrelationerna, genomförande av stamkundsprogram samt övriga ändamål för utveckling av den totala kundrelationen och Mehiläinens affärsverksamhet.

Insamling och behandling av kundrespons och uppgifter om kundtillfredsställelse

Genomförande av marknadsundersökningar och enkäter

Inspelning av kundtjänstens telefonsamtal för att verifiera servicehändelser, säkerställa rättsskydd och trygghet, utbilda kundtjänstpersonalen och kvalitetssäkra kundtjänsten.

De profileringssyften som beskrivs närmare i punkt 10 i denna dataskyddsbeskrivning.

Behandlingsuppgifter kan läggas ut till Mehiläinens koncernbolag och/eller externa tjänsteleverantörer i enlighet med dataskyddslagstiftningen och inom dess gränser.

5 REGISTRETS DATAINNEHÅLL

Om den registrerade kan sparas bland annat följande uppgifter:

Namn, tilltalsnamn, personbeteckning, kundnummer, kön, språk, adress, telefonnummer, e-postadress och övriga kontaktuppgifter som behövs

Nära anhörig, vårdnadshavare, barn, antal barn under 18 år och deras ålder, uppgifter om boende, hushållets storlek

Uppgifter om användning och köp av tjänster, nivå och giltighetstid för gällande förmånsprogram för stamkunder samt uppgifter om genomförd marknadsföring och kommunikation i olika kanaler, såsom nättjänster och automatiska tjänster, inklusive inspelning av kundtjänstens telefonsamtal.

Det innehåll som den registrerade personen själv har producerat, såsom kundrespons, och de tilläggsuppgifter som personen själv har lämnat, önskemål om kundrelationen, uppgifter om kundtillfredsställelse, intresseområden, fritidssysselsättningar eller annan liknande information.

Uppgifter om den registrerade personens eventuella försäkring, företagshälsovårdstjänster och -avtal, idrottsförening och liknande faktorer

Tjänster som den registrerade personen har önskat och använt inklusive betalningsuppgifter

Information om de personer som har deltagit i vården av den registrerade personen. Önskemål eller anteckningar om yrkespersonal, tjänster, verksamhetsenheter och övriga faktorer.

Förbud, begränsningar, samtycken och övriga val

Andra uppgifter om kundrelationen, till exempel användarens IP-adress, tidpunkten för besöket, de besökta sidorna, använd webbläsartyp (t.ex. Internet Explorer, Firefox), den webbadress från vilken användaren kopplade sig till webbplatsen samt den server som användaren använde för att koppla sig till webbplatsen.

Nödvändiga uppgifter om användning av identifikations- och certifieringsinstrument och -tjänster.

Uppgifter om databehandling, såsom datum då uppgiften sparades och informationskälla

6 LAGRINGSTID FÖR PERSONUPPGIFTER

Mehiläinen sparar uppgifter i kundregistret tills kundrelationen mellan den registrerade och Mehiläinen kan anses ha upphört. Tidpunkten för upphörandet bestäms utgående från den registrerades sista tjänstekontakt på basis av Mehiläinens viktigaste nyckeltal.

7 INFORMATIONSKÄLLOR SOM I REGEL ANVÄNDS

Uppgifterna hämtas i första hand från följande källor:

Den registrerade personen själv och händelser som hänför sig till den registrerade personens kundrelation, användning av tjänster, kommunikation och uträttande av ärenden.

Den part som erbjuder identifikations-, certifierings-, adress-, uppdaterings-, kreditupplysnings- eller annan motsvarande tjänst.

Befolkningsregistercentralens befolkningsdatasystem och andra kända system.

I registret kan också antecknas uppgifter som levererats av Mehiläinens andra samarbetspartner som till exempel försäkringsbolag eller idrottsföreningar.

8 REGELMÄSSIGT UTLÄMNANDE OCH ÖVERFÖRING AV INFORMATION TILL MOTTAGARE UTANFÖR EUROPEISKA UNIONEN ELLER EUROPEISKA EKONOMISKA SAMARBETSOMRÅDET

Uppgifter utlämnas till Mehiläinens koncernbolag för ändamål som beskrivs i punkt 4 i denna dataskyddsbeskrivning, samt till MinMehiläinen-registret, Mehiläinens register för direktmarknadsföring och till Mehiläinen-koncernens eventuella andra personregister, dock alltid i enlighet med dataskyddslagstiftningen och inom dess gränser.

Kunduppgifter lämnas inte utanför de parter som deltar i produktion, utveckling eller upprätthållande av tjänster och kommunikation för Mehiläinen eller för de parter som agerar å Mehiläinens vägnar, annat än enligt avtal, annan typ av samtycke och/eller uttryckliga bestämmelser.

Kunduppgifter kan översändas till stater utanför Europeiska unionen eller Europeiska ekonomiska sam-arbetsområdet, bland annat till Förenta staterna i enlighet med dataskyddslagstiftningen och inom dess gränser.

9 BESKRIVNING AV PRINCIPERNA FÖR HUR REGISTRET SKYDDAS

Eventuellt manuellt material förvaras i ett låst utrymme som endast personer med särskilda rättigheter har tillgång till. Tillgång till digitalt material har endast därtill berättigad anställd, yrkesutövare eller samarbetspartner med personligt användarnamn och lösenord. Behörigheterna har olika nivåer, och varje användare tilldelas en för uppgiften tillräcklig, men så begränsad behörighet som möjligt.

10 PROFILERING

Som en del av behandlingen av personuppgifter som sparats i kundregistret kan Mehiläinen också utnyttja uppgifterna för profilering. Profileringen genomförs genom att ge för den registrerade ett kund-id med hjälp av vilket man kan kombinera sådana uppgifter om den registrerade personen som uppstår när tjänsten används. Efter detta kan en profil som skapats på ovan beskrivet sätt till exempel jämföras med profiler för andra registrerade personer.

Syftet med profileringen är att utreda efterfrågan på tjänster samt konsumentbeteendet.

11 DEN REGISTRERADES RÄTT ATT MOTSÄTTA SIG BEHANDLING AV PER-SONUPPGIFTER OCH DIREKTMARKNADSFÖRING (FÖRBUDSRÄTT)

En registrerad person har rätt att, med hänsyn till sin speciella situation, motsätta sig profilering av sig själv och andra behandlingsåtgärder som Mehiläinen riktar till den registrerade personens personuppgifter till den del som grunden för behandlingen av uppgifterna är kundrelationen mellan Mehiläinen och den registrerade personen. Den registrerade kan framföra sin protest enligt punkt 13 i denna dataskydds-beskrivning. Vid protest ska den registrerade specificera den särskilda situation på grund av vilken hon motsätter sig behandlingen. Mehiläinen kan avvisa protestbegäran på lagstadgade grunder.

Den registrerade kan ge Mehiläinen samtycken eller förbud om direktmarknadsföring (och profilering i direktmarknadsföringssyfte) kanalspecifikt.

12 DEN REGISTRERADES ANDRA RÄTTIGHETER I ANSLUTNING TILL BEHANDLING AV PERSONUPPGIFTER

12.1 Den registrerades rätt att få tillgång till uppgifter (insynsrätt)

Varje registrerad person har rätt att kontrollera vilka uppgifter som har sparats om honom/henne i Mehiläinens kundregister. Begäran om insyn ska göras i enlighet med punkt 13 i denna dataskyddsbeskrivning. Rätten till insyn kan förvägras med stöd av lagens bestämmelser. Att använda sig av rätten till insyn är i princip avgiftsfritt.

12.2 Den registrerades rätt att kräva rättelse, borttagning eller begränsad behandling av en uppgift

En kund som är MinMehiläinen-tjänstens användare kan uppdatera sina grunduppgifter i MinMehiläinen-tjänsten. I den mån den registrerade personen eller användaren kan agera själv ska personen utan obefogat dröjsmål efter det att han/hon fått kännedom om ett fel eller själv har upptäckt ett fel på eget initiativ rätta till, ta bort eller komplettera den i registret sparade uppgift som är oriktig, onödig, bristfällig eller inaktuell.

I den mån den registrerade personen inte själv kan rätta till uppgifterna ska en begäran om rättelse göras enligt punkt 13 i denna dataskyddsbeskrivning.

Den registrerade har också rätt att kräva att den registeransvarige begränsar behandlingen av den registrerades personuppgifter till exempel i en situation där den registrerade väntar på Mehiläinens svar på begäran om rättelse eller borttagning av sina uppgifter.

12.3 Den registrerades rätt att överföra uppgifterna från ett system till ett annat

I den mån som den registrerade själv har lämnat sådana uppgifter till kundregistret som behandlas med den registrerades samtycke eller på uppdrag av denna, har den registrerade rätt att få dessa uppgifter i regel i ett maskinellt läsbart format och rätt att överföra dessa uppgifter till en annan registerförare.

12.4 Den registrerades rätt att anföra besvär till tillsynsmyndigheten

Den registrerade har rätt att anföra besvär till behörig tillsynsmyndighet, om den registeransvarige inte har följt tillämplig dataskyddsreglering i sin verksamhet.

12.5 Andra rättigheter

Om personuppgifter behandlas utgående från ett registrerat samtycke har den registrerade rätt att åter-kalla sitt samtycke genom att meddela Mehiläinen om detta i enlighet med punkt 13 i denna dataskyddsbeskrivning.

13 KONTAKTER

I alla frågor som gäller behandling av personuppgifter och situationer som har att göra med den registrerades utövning av sina rättigheter ska den registrerade ta kontakt med Mehiläinen i MinMehiläinen-tjänsten, på något av Mehiläinens verksamhetsställen eller per post till adressen: Mehiläinen Oy/ Kom-munikation, Norra Hesperiagatan 17 C, 00260 Helsingfors. Vid behov kan Mehiläinen be den registrerade att specificera sin begäran skriftligt och den registrerades identitet kan vid behov kontrolleras innan man vidtar andra åtgärder.