Lataa tietosuojaseloste PDF-muodossa

Firstbeat Technologies Oy

Hyvinvointianalyysi-palvelun ja Firstbeat Lifen tietosuojaseloste

Tämä tietosuojaseloste koskee Firstbeat Technologies Oy:n tuottamaa Hyvinvointianalyysi-palvelua ja Firstbeat Life-palvelua (“Palvelu”). Seloste sisältää EU:n yleisen tietosuoja-asetuksen (GDPR) määrittämät tiedot henkilötietojen käytöstä.

Rekisterinpitäjä

Firstbeat Technologies Oy (yritys- ja yhteisötunnus 1782772-5), käyntiosoite Yliopistonkatu 28 A, 40100 Jyväskylä (jäljempänä “Firstbeat” tai ”Rekisterinpitäjä”).

Termit

“Asiakas” on luonnollinen tai juridinen henkilö, jonka kanssa tehdyn sopimuksen perusteella Firstbeat tuottaa Palvelun Asiakkaan määrittämien Mitattavien mittaus- ja muita henkilötietoja käyttäen. Tyypillisessä tilanteessa Asiakas on työnantaja, jonka työntekijät ovat Mitattavia.

“Mitattava” on luonnollinen henkilö, jolle Firstbeat tuottaa Palvelun käyttäen Mitattavan sykemittaustietoja sekä muita henkilötietoja.

“Firstbeat Life” on vuonna 2020 julkistettu Palvelu, jonka käyttö vaatii Mitattavilta paikallisen mobiiliapplikaation asentamista, jolloin joitakin henkilötietoja tallennetaan paikallisesti Mitattavan mobiililaitteeseen, ja jonka käyttäjät pitävät mittalaitteen hallussaan.

“Hyvinvointianalyysi” on toinen Palvelu, joka eroaa Firstbeat Lifesta. Tässä palvelussa Mitattavat eivät asenna mobiiliapplikaatiota, heillä ei ole henkilökohtaista käyttäjätunnusta mittauksen jälkeen, ja he palauttavat mittalaitteen joka mittauksen jälkeen analyysia varten.

Huomautuksia rekisterinpitäjän asemasta

Selvyyden vuoksi:

  1. Tätä selostetta ei sovelleta sellaisissa tilanteissa, joissa Hyvinvointianalyysi-Palvelun tuottaa omille asiakkailleen tai työntekijöilleen Firstbeatin asiakkaana toimiva yhteistyökumppani (henkilö, yritys tai yhteisö, tässä “Palveluntarjoaja”). Näissä tapauksissa kyseinen Palveluntarjoaja toimii tietosuojasäännösten tarkoittamana rekisterinpitäjänä. Tällaisissa tapauksissa Palveluntarjoaja on hankkinut käyttöoikeuden Palveluun, tuottaa itsenäisesti palveluita itse määrittämiensä tai omien asiakkaidensa määrittämien mitattavien tiedoista ja vastaa mm. tarvittavien selosteiden laatimisesta, henkilötietojen käsittelyn lainmukaisuudesta, rekisteröityjen informoinnista sekä muista tietosuojalainsäädännön mukaisista rekisterinpitäjän velvoitteista.
  2. Firstbeat Life-Palvelun tuottaa aina Firstbeat. “Firstbeat Life-palveluntarjoaja” on Asiakas, joka on ostanut Palvelun omille asiakkailleen tai työntekijöilleen, mutta Firstbeat on aina Firstbeat Lifen rekisterinpitäjä tässä selosteessa kuvatulla tavalla.

Yhteyshenkilö rekisteriä koskevissa asioissa

Rekisterinpitäjään (Firstbeatiin) voi ottaa yhteyttä rekisteriä koskevissa asioissa sähköpostilla support@firstbeat.com tai puhelimella 020 7631 660. Yhteyshenkilönä tietosuoja-asioissa toimii Antti Hämäläinen.

Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Henkilötietojen käsittelyn tarkoituksena on Palvelun perustoiminta, mukaan lukien käyttäjätukeen liittyvät toimet, Palvelun käytön tilastointi sekä tilastollisen- ja markkinatutkimuksen suorittaminen.

Palvelun perustoimintaa on analyysi hyvinvoinnin eri osa-alueista. Analyysin tuottamisessa käytetään Mitattavan henkilökohtaisia ominaisuuksia ja käyttäytymistä kuvaavia tietoja sekä sykemittaustietoa. Palveluun voi kuulua myös Firstbeatin edustajan kullekin Mitattavalle puhelimitse tai henkilökohtaisesti antama palaute, jonka perusteella mahdollisesti sovitaan toimenpidetavoitteista.

Palveluun kuuluu tyypillisesti Firstbeatin Asiakkaalle puhelimitse, henkilökohtaisesti tai Asiakkaan www-käyttöliittymän kautta antama anonymisoitu palauteraportti Mitattavien (tyypillisesti työntekijöiden) keskimääräisestä hyvinvoinnista. Palvelun sisältö määritellään tarkemmin Asiakkaan kanssa tehtävässä sopimuksessa.

Henkilötietoja käytetään myös käyttäjätukeen liittyviin toimiin, joita voivat olla esimerkiksi Palvelun käyttäjän tilitietojen tai henkilökohtaisen verkkopalvelulinkin toimittaminen Mitattavalle.

Henkilötietoja voidaan käyttää Firstbeatin palveluista tiedottamiseen, kuten uutiskirjeen lähettämiseen ja muuhun asiakassuhteen hallintaan. Mitattavan henkilötietoja voidaan käyttää henkilökohtaisen seurantamittauksen markkinointiin soveltuvan tietosuojalainsäädännön mukaisesti.

Sovellettavan lainsäädännön edellyttäessä Mitattavan suostumusta tässä selosteessa tarkoitettuun henkilötietojen käsittelyyn (esimerkiksi kun on kysymys terveyteen liittyvistä tiedoista eli ns. erityisistä henkilötiedoista), suostumus hankitaan asianmukaista menetelmää käyttäen. Tämä voi tapahtua esimerkiksi rastittamalla erikseen suostumusta osoittava ruutu, tekemällä valinta Palvelun tai verkkosivuston teknisissä asetuksissa taikka muulla suostumuksen yksiselitteisesti ilmaisevalla ilmoituksella tai toiminnalla. Suostumuksen epääminen saattaa vaikuttaa kyseessä olevan palvelun tarjoamiseen.

Lokitietoja verkkopalvelun käytöstä tai mittalaitteiden käsittelystä tallennetaan lisäksi Asiakkaan, Firstbeatin sekä Mitattavien oikeutettujen etujen turvaamiseksi esimerkiksi mahdollisten tietoturvaongelmien tutkimista varten sekä esimerkiksi, jotta voidaan tarvittaessa todistaa, että laskutetut palvelut on suoritettu.

Henkilötietoja voidaan käsitellä yksin tai yhdessä Firstbeatin ja tämän konserniyhtiöiden muiden henkilörekisterien henkilötietojen kanssa. Palvelun tuottamisen yhteydessä mittaustiedoista jää Firstbeatille anonymisoitu kopio tilastollista sekä tieteellistä tutkimusta, kuten keskimääräisten viitearvojen määritystä varten. Tilastollisissa sekä tieteellisissä menetelmissä käytetään automatisoituja prosesseja siten, että yksittäisten henkilöiden identiteetti ei selviä missään prosessin vaiheessa.

Henkilötietojen käsittelyperusteena on osapuolten välinen sopimus taikka Firstbeatin oikeutettu etu, joka perustuu osapuolten väliseen asialliseen yhteyteen. Käsittelyn oikeusperusteena voi olla myös Mitattavan suostumus, sovellettavan lainsäädännön niin edellyttäessä.

Henkilötietojen säilytysaika

Mikäli muuta ei ole sovittu, mittauksiin liittyvät henkilötiedot säilytetään palvelukonseptiin kuuluvia seurantamittauksia varten 24 kuukautta viimeisen mittauksen jälkeen tai viimeisen kerran jälkeen, kun Mitattava on kirjautunut sisään Firstbeat Life-palveluun tai muuten käyttänyt Firstbeat Life-palvelua, minkä jälkeen ne poistetaan. Jos Mitattava on antanut erillisen suostumuksensa pitempiaikaiseen säilytykseen, henkilötietoja voidaan säilyttää myös pitempään.

Joitakin henkilötietoja, jotka eivät liity suoraan mittaukseen ja jotka eivät sisällä sydämen sykkeeseen tai terveyteen liittyviä tietoja, ja joita voidaan tarvita Asiakkaan, Firstbeatin tai Mitattavien oikeutettujen etujen suojelemiseen ja mahdollisten ongelmien tutkimiseen (kuten esimerkiksi yleiset lokitiedot palvelun käytöstä), ei poisteta muun henkilötiedon yhteydessä.

Firstbeat voi lainsäädännön mukaisesti siirtää suoramarkkinoinnin toteuttamista varten tarvittavat Mitattavan yhteystiedot Firstbeatin markkinointirekisteriin, josta on WWW-sivuillamme erillinen tietosuojaseloste ja johon sovelletaan kyseisen selosteen mukaista säilytysaikaa.

Kuvaus rekisteröityjen ryhmästä

Henkilörekisteri sisältää henkilötietoja Mitattavista. Tyypillisessä tapauksessa Mitattavan edustama organisaatio, kuten työnantaja, on Firstbeatin Asiakas. Asiakas määrittää ketkä ovat Mitattavia.

Kuvaus tietolähteistä

Asiakas toimittaa Firstbeatille kunkin Mitattavan sähköpostiosoitteen tai tarjoaa määrittämilleen Mitattaville mahdollisuuden ilmoittaa sähköpostiosoitteensa rekisteröintityökalun avulla. Osoitteisiin lähetetään kullekin Mitattavalle henkilökohtainen kutsu palvelun aktivoimiseksi.

Muut tiedot saadaan palvelun toimittamista varten Mitattavalta itseltään verkkopalvelun tai mobiiliapplikaation kautta sekä mittalaitteita käyttämällä. Firstbeatin edustaja saattaa lisäksi kerätä tietoja Mitattavilta palvelun käytön yhteydessä.

Erikseen sovittaessa tietoja voidaan Hyvinvointianalyysiin myös kerätä paperilomakkeilla sellaisilta Mitattavilta, joilla ei ole sähköpostiosoitetta.

Lisäksi tietoja kertyy Firstbeatin omassa toiminnassa.

Kuvaus rekisteröityihin liittyvistä tiedoista

Firstbeat kerää tässä selosteessa kuvattuja tarkoituksia varten Hyvinvointianalyysipalvelun Mitattavista osittain tai kokonaan seuraavia tietoja:

  • Etu- ja sukunimi
  • Syntymäaika, sukupuoli, pituus, paino
  • Aktiivisuusluokka, maksimi- ja minimisyke, maksimaalinen hapenottokyky
  • Käyttöliittymässä asetettu kieli
  • Tietoja pitkäaikaisista sairauksista ja lääkityksestä (ei kerätä Firstbeat Lifessä)
  • Sykemittaustietoja, kiihtyvyystietoja sekä mittausajan päiväkirjamerkintöjä, kuten alkoholin käyttö, lyhytaikaiset sairaudet ja lääkitys, merkintöjä yksittäisistä tapahtumista
  • Yhteystietoja, kuten osoite, sähköpostiosoite ja puhelinnumero
  • Tietoja Asiakkaasta, kuten organisaation nimi, yhteystiedot ja Mitattavan henkilöstöryhmä
  • Tietoja palvelun käytöstä, kuten muun muassa käyttöliittymän kielivalinta, lokitiedot, kirjausketjutiedot (audit trail), palvelujen tila ja palvelujen käyttö
  • Tieto suostumuksista tietojen käsittelyyn palvelussa Analyysin tuloksena Mitattavalle luotu raportti ja toimenpidetavoitteet
  • Salasana, mikäli käytetään Firstbeat Lifea

Mitattava voi halutessaan käyttää Palvelua myös anonyymisti valitsemansa henkilötunnisteen avulla. Tällöinkin hänestä tallennetaan sähköpostiosoite (paitsi erityistapauksissa, joissa sähköpostiosoitetta ei ole) ja jos palveluun kuuluu henkilökohtainen palaute, tallennetaan sitä varten myös puhelinnumero. Firstbeat Lifen käyttö edellyttää aina sähköpostiosoitetta. Firstbeat Lifessa Mitattavan kutsumiseen käytetty alkuperäinen sähköpostiosoite on Asiakkaan nähtävissä. Hallinnoidessaan Palvelun ostojen tilannetta, Asiakas tunnistaa Mitattavan tämän osoitteen perusteella (mikä saattaa olla sama tai eri osoite kuin Mitattavan tilinsä liittämä sähköpostiosoite).

Kuvaus rekisterin suojauksen pääperiaatteista

Firstbeat noudattaa hyvää tiedonhallintatapaa sekä tietosuojalainsäädännön mukaista huolellisuusvelvoitetta. Firstbeat suojaa keräämänsä henkilötiedot siten, etteivät muut kuin Firstbeatin määrittelemät henkilöt voi käsitellä niitä ja että tietoja käsitellään vain liittyen työtehtäviin. Tietoihin voi olla pääsy Firstbeatin omilla työntekijöillä sekä Firstbeatin alihankkijoilla.

Firstbeat huolehtii siitä, että henkilötietojen käsittelyyn käytettävät tietojärjestelmät ovat riittävillä tavoin teknisesti suojattuja ja että pääsy niihin on suojattu asianmukaisilla menetelmillä mukaan lukien fyysisten tilojen kulunvalvonta, palomuurit, henkilökohtaiset käyttäjätunnukset ja salasanat sekä henkilöstön koulutus.

Tiedot on tallennettu Firstbeatin tuottamiin ja hallinnoimiin tietojärjestelmiin ja niitä käsitellään Firstbeatin tuottamilla käyttöliittymillä. Internet-yhteys Mitattavan tai Palveluntarjoajan käyttämältä laitteelta Firstbeatin palveluun tapahtuu suojatulla (SSL) yhteydellä. Mitattavan henkilötietojensa syöttämisessä Hyvinvointianalyysiin käyttämä henkilökohtainen lomakelinkki on tietoturvasyistä ajallisesti rajoitettu siten, että lomake lakkaa toimimasta pian mittausjakson jälkeen.

Postissa mahdollisesti kuljetettavat mittalaitteet eivät yksinään sisällä henkilötietoja eikä niissä ole paikannustietoja, vaan niiden sisältämä data yhdistetään henkilötietoihin jälkikäteen laitetunnisteen avulla tallennuksen yhteydessä.

Mikäli Firstbeat käyttää rekisterin teknisessä ylläpitämisessä ulkopuolisia tahoja (alihankkijoita), Firstbeat noudattaa alihankkijoiden osalta tietosuojalainsäädännön edellyttämiä velvoitteita.  Kaikissa tapauksissa henkilötiedot pidetään Firstbeatin hallinnoimissa tietojärjestelmissä tai Firstbeat Life-käyttäjän mobiililaitteessa ja Firstbeat tai alihankkijat eivät tallenna tietoa muihin järjestelmiin.

Tietojen siirtäminen ja luovuttaminen

Henkilötietoja ei luovuteta ilman Mitattavan suostumusta Firstbeatin tai sen nykyisten tai tulevien konserniyhtiöiden ulkopuolelle siten, että tiedot olisivat tunnistettavissa yksittäistä käyttäjää koskeviksi muissa kuin seuraavissa poikkeustilanteissa: lain tai viranomaismääräyksen velvoittamana, tuomioistuimen määräyksestä tai jos se on muuten tarpeen lain, verkkopalveluiden käyttöehtojen tai hyvän tavan epäiltyjen loukkausten estämiseksi tai selvittämiseksi taikka Firstbeatin tai kolmansien oikeuksien suojaamiseksi.

Firstbeat ei luovuta Mitattavasta tallennettuja henkilötietoja Asiakkaalle ilman erillistä, nimenomaista suostumusta, lukuun ottamatta tietoa siitä,  jos Mitattava ei ole palauttanut lainattua laitetta ajoissa, koska Asiakas voi tällöin joutua maksamaan laitteen. Lisäksi Firstbeat Lifea käyttävistä Mitattavista annetaan Asiakkaalle seuraavia, Mitattavan tilauksen tilaan liittyviä rajattuja tietoja, jotta Palvelusta saadaan mahdollisimman paljon hyötyä: tunnisteina Mitattavan nimi, käyttöliittymän kieli ja alkuperäinen sähköpostiosoite, jonka Asiakas tai Mitattava on antanut kutsua varten (mutta ei tilillä käytettävää osoitetta, mikäli Mitattava on luonut tilinsä toisella osoitteella); alkuperäinen aktivointipäivämäärä josta tilausjakso on alkanut; kuinka pitkän aikaa sitten Mitattava on viimeksi käyttänyt Palvelua; ja mahdollisesti muuta vastaavaa yleistä tietoa tilauksen tilasta väärinkäytösten estämiseksi ja jotta Asiakas voi lopettaa käyttämättömän palvelun tai kehottaa Mitattavia käyttämään palvelua. (Huomautus: jos Mitattava on henkilö, joka ostaa Palvelun itselleen, Mitattava on samalla Asiakas ja saa luonnollisesti omat henkilötietonsa.)

Asiakkaalle toimitetaan ainoastaan keskiarvotietoja Mitattavien hyvinvoinnista. Keskiarvotietoja ei toimiteta, jos Mitattavien määrä on niin pieni, että yksittäisen Mitattavan tiedot olisivat tunnistettavissa keskiarvoista.

Jos Firstbeat Life-Palvelun tuottaa Mitattavalle Firstbeat Life-Palveluntarjoaja, Mitattavalta saatetaan vaatia suostumus tiettyjen henkilötietojen luovutukseen Firstbeat Life-Palveluntarjoajalle, jotta Mitattava voi käyttää Palvelun tilausta. Henkilötietojen tyyppien yksityiskohdat ja Firstbeat Life-Palveluntarjoajan nimi näytetään Mitattavalle Firstbeat Life-mobiiliapplikaatiossa (Mitattavan henkilökohtaisella tilillä) suostumuksen pyytämisen yhteydessä.

Tietoja voidaan luovuttaa Mitattavan erillisellä suostumuksella nimetylle kolmannelle osapuolelle, kuten Mitattavan terveydenhuollon toimintayksikölle.

Mitattavan henkilötietoja voivat käsitellä sellaiset valtuutetut kolmannet osapuolet, jotka käsittelevät henkilötietoja Firstbeatin puolesta tässä selosteessa kuvatuissa tarkoituksissa (esimerkiksi teknisten palveluiden tarjoajat). Nämä palveluntarjoajat saavat käyttää henkilötietoja ainoastaan Firstbeatin ohjeistuksen mukaisesti eli vain siihen tarkoitukseen, johon tiedot on kerätty ja perustuen sopimukseen, joka sisältää lainsäädännön vaatimat ehdot henkilötietojen käsittelystä. Firstbeat edellyttää, että kyseiset palveluntarjoajat toimivat soveltuvan lainsäädännön ja tämän selosteen mukaisesti asianmukaisen henkilötietojen suojan turvaten ja varmistaen.

Henkilötiedot säilytetään pääasiallisesti Firstbeatin EU:ssa tai Yhdistyneessä kuningaskunnassa (UK) sijaitsevilla palvelimilla ja henkilötietoja ei siirretä EU- tai ETA-valtioiden tai UK:n ulkopuolelle, ellei erikseen muuta sovita. Tietoja voidaan siirtää väliaikaisesti EU- tai ETA-valtioiden ulkopuolelle, mikäli se on palvelun ja henkilötietojen käsittelyn teknisen toteutuksen kannalta tarpeellista, kuten lähetettäessä palveluun liittyviä tietoja Mitattavan käyttämään sähköpostiosoitteeseen, joka sijaitsee ulkomaisella sähköpostipalvelimella. Tällöin Firstbeat ryhtyy tarvittaviin toimenpiteisiin varmistaakseen henkilötietojen riittävän suojaamisen soveltuvan lainsäädännön mukaisesti. Mitattava voi myös käyttää palvelua EU- tai ETA-valtioiden ulkopuolella sijaitsevalla laitteella, ja tällöin tiedot ovat nähtävissä kyseisellä laitteella palvelun käytön aikana.

Rekisteröidyn oikeudet

Firstbeat noudattaa henkilötietojen käsittelyssä Suomessa sovellettavaa tietosuojalainsäädäntöä, mukaan lukien EU:n tietosuoja-asetus (GDPR). Mitattavalla on tämän lainsäädännön mukaiset oikeudet tarkastaa ja korjata tai vaatia korjattavaksi virheellisiä henkilötietojansa tai tietyissä tilanteissa oikeus vaatia henkilötietojansa poistettavaksi. Mitattavalla on siten oikeus pyytää, että Firstbeat oikaisee ilman aiheetonta viivytystä häntä koskevat epätarkat tai virheelliset henkilötiedot. Mitattavalla on oikeus saada tietonsa poistetuksi ilman aiheetonta viivytystä, esimerkiksi milloin henkilötietoja ei enää tarvita niiden alkuperäisiin käsittelytarkoituksiin, henkilötietoja on käsitelty lainvastaisesti tai rekisteröity peruuttaa antamansa suostumuksen eikä käsittelylle ole muuta laillista perustetta.

Mitattavalla on oikeus vaatia, että Firstbeat rajoittaa käsittelyä tietyissä tilanteissa, esimerkiksi milloin Mitattava kiistää tietojensa paikkansa pitävyyden tai käsittely on lainvastaista. Tietyissä tilanteissa Mitattavalla on myös oikeus vastustaa henkilötietojen käsittelyä.

Mitattavalla voi tietyissä tilanteissa olla oikeus pyytää tietojen siirtämistä järjestelmästä toiseen. Kun Mitattavan henkilötietoja käsitellään hänen antamaansa suostumukseen perustuen, Mitattavalla on lisäksi milloin tahansa oikeus perua tällaiseen käsittelyyn antamansa suostumus.

Ensisijaisesti Firstbeat toivoo, että mahdolliset erimielisyydet henkilötietojen käsittelyssä ratkaistaan sovinnollisesti osapuolten kesken. Mitattavalla on myös oikeus tehdä valitus tietosuoja-asioista vastaavalle valvontaviranomaiselle.

Tarkastus-, korjaus- ja poistopyynnöt on osoitettava Firstbeatille henkilökohtaisesti taikka allekirjoitetulla kirjeellä tai vastaavalla tavalla varmennetulla asiakirjalla, jotta voidaan varmistaa pyynnön tekijän oikeus pyyntöön. Pyynnön voi tehdä sähköpostitse, mikäli käytetään palvelun käytön yhteydessä rekisteröityä sähköpostiosoitetta, tai käyttämällä Firstbeat Life-sovelluksen toimintoja. Firstbeat voi joutua tunnistamaan Mitattavan sekä pyytämään lisätietoja voidakseen täyttää Mitattavan yllä mainitut pyynnöt.

Tätä rekisteriselostetta on viimeksi muutettu 28.5.2021. Firstbeat seuraa tietosuojaa koskevan lainsäädännön sekä viranomaisohjeiden muutoksia sekä kehittää palvelun toimintaa, ja varaa siksi oikeuden päivittää tätä selostetta.