Hyvinvointianalyysi-palvelun ja Firstbeat Lifen rekisteriseloste

Lataa rekisteriseloste PDF-muodossa

FIRSTBEAT TECHNOLOGIES OY

HYVINVOINTIANALYYSI-PALVELUN JA FIRSTBEAT LIFEN REKISTERISELOSTE

Rekisteriseloste koskien Firstbeat Technologies Oy:n tuottamaa Hyvinvointianalyysi-palvelua ja Firstbeat Life-palvelua (“Palvelu”). Seloste sisältää EU:n yleisen tietosuoja-asetuksen (GDPR) määrittämät tiedot henkilötietojen käytöstä.

REKISTERINPITÄJÄ

Firstbeat Technologies Oy (yritys- ja yhteisötunnus 1782772-5), käyntiosoite Yliopistonkatu 28 A, 40100 Jyväskylä (jäljempänä “Firstbeat” tai ”Rekisterinpitäjä”).

TERMIT

“Asiakas” on luonnollinen tai juridinen henkilö, jonka kanssa tehdyn sopimuksen perusteella Firstbeat tuottaa Palvelun Asiakkaan määrittämien Mitattavien mittaus- ja muita henkilötietoja käyttäen. Tyypillisessä tilanteessa Asiakas on työnantaja, jonka työntekijät ovat Mitattavia.

“Mitattava” on luonnollinen henkilö, jolle Firstbeat tuottaa Palvelun käyttäen Mitattavan sykemittaustietoja sekä muita henkilötietoja.

“Firstbeat Life” on vuonna 2020 julkistettu uusi palvelu, jonka käyttö vaatii Mitattavilta paikallisen mobiiliapplikaation asentamista, jolloin joitakin henkilötietoja tallennetaan paikallisesti Mitattavan mobiililaitteeseen.

HUOMAUTUKSIA REKISTERINPITÄJÄN ASEMASTA

Selvyyden vuoksi todetaan, että tilanteissa, joissa Palvelun tuottaa omille asiakkailleen tai työntekijöilleen Firstbeatin asiakkaana toimiva yhteistyökumppani (henkilö, yritys tai yhteisö, tässä “Palveluntarjoaja”), kyseinen Palveluntarjoaja toimii tietosuojasäännösten tarkoittamana rekisterinpitäjänä eikä tätä selostetta sovelleta sellaisiin tapauksiin. Tällaisissa tapauksissa Palveluntarjoaja on hankkinut käyttöoikeuden Palveluun, tuottaa itsenäisesti palveluita itse määrittämiensä tai omien asiakkaidensa määrittämien mitattavien tiedoista ja vastaa mm. tarvittavien selosteiden laatimisesta, henkilötietojen käsittelyn lainmukaisuudesta, rekisteröityjen informoinnista sekä muista tietosuojalainsäädännön mukaisista rekisterinpitäjän velvoitteista.

YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA

Rekisterinpitäjään (Firstbeatiin) voi ottaa yhteyttä rekisteriä koskevissa asioissa sähköpostilla support@firstbeat.com tai puhelimella 020 7631 660. Yhteyshenkilönä tietosuoja-asioissa toimii Antti Hämäläinen.

HENKILÖTIETOJEN KÄSITTELYN TARKOITUS JA OIKEUSPERUSTE

Henkilötietojen käsittelyn tarkoituksena on Palvelun perustoiminta, käyttäjätukeen liittyvät toimet, Palvelun käytön tilastointi sekä tilastollisen- ja markkinatutkimuksen suorittaminen.

Palvelun perustoimintaa on analyysi hyvinvoinnin eri osa-alueista. Analyysin tuottamisessa käytetään Mitattavan henkilökohtaisia ominaisuuksia ja käyttäytymistä kuvaavia tietoja sekä sykemittaustietoa. Palveluun voi kuulua myös Firstbeatin edustajan kullekin Mitattavalle puhelimitse tai henkilökohtaisesti antama palaute, jonka perusteella mahdollisesti sovitaan toimenpidetavoitteista.

Palveluun kuuluu tyypillisesti Firstbeatin Asiakkaalle puhelimitse, henkilökohtaisesti tai Asiakkaan www-käyttöliittymän kautta antama anonymisoitu palauteraportti Mitattavien (tyypillisesti työntekijöiden) keskimääräisestä hyvinvoinnista. Palvelun sisältö määritellään tarkemmin Asiakkaan kanssa tehtävässä sopimuksessa. Mitattavien henkilötietoja ei luovuteta Asiakkaalle lukuun ottamatta tietoa siitä, jos Mitattava ei ole palauttanut lainattua laitetta ajoissa. Lisäksi Firstbeat Lifea käyttävistä Mitattavista annetaan Asiakkaalle seuraavia, Mitattavan tilauksen tilaan liittyviä rajattuja tietoja: alkuperäinen sähköpostiosoite, jonka Asiakas on antanut tunnisteeksi (mutta ei nykyistä osoitetta, mikäli Mitattava on muuttanut sitä); alkuperäinen aktivointipäivämäärä josta tilausjakso on alkanut; kuinka pitkän aikaa sitten Mitattava on viimeksi käyttänyt Palvelua; ja mahdollisesti muuta vastaavaa yleistä tietoa tilauksen tilasta väärinkäytösten estämiseksi. (Huomautus: jos Mitattava on henkilö, joka ostaa Palvelun itselleen, Mitattava on samalla Asiakas ja saa luonnollisesti omat henkilötietonsa.)

Henkilötietoja käytetään myös käyttäjätukeen liittyviin toimiin, joita voivat olla esimerkiksi Palvelun käyttäjän tilitietojen tai henkilökohtaisen verkkopalvelulinkin toimittaminen Mitattavalle.

Henkilötietoja voidaan käyttää Firstbeatin palveluista tiedottamiseen, kuten uutiskirjeen lähettämiseen ja muuhun asiakassuhteen hallintaan. Mitattavan henkilötietoja voidaan käyttää henkilökohtaisen seurantamittauksen markkinointiin soveltuvan tietosuojalainsäädännön mukaisesti.

Sovellettavan lainsäädännön edellyttäessä Mitattavan suostumusta tässä selosteessa tarkoitettuun henkilötietojen käsittelyyn (esimerkiksi kun on kysymys terveyteen liittyvistä tiedoista eli ns. erityisistä henkilötiedoista), suostumus hankitaan asianmukaista menetelmää käyttäen. Tämä voi tapahtua esimerkiksi rastittamalla erikseen suostumusta osoittava ruutu, tekemällä valinta Palvelun tai verkkosivuston teknisissä asetuksissa taikka muulla suostumuksen yksiselitteisesti ilmaisevalla ilmoituksella tai toiminnalla. Suostumuksen epääminen saattaa vaikuttaa kyseessä olevan palvelun tarjoamiseen.

Lokitietoja verkkopalvelun käytöstä tai mittalaitteiden käsittelystä tallennetaan lisäksi Asiakkaan, Firstbeatin sekä Mitattavien oikeutettujen etujen turvaamiseksi esimerkiksi mahdollisten tietoturvaongelmien tutkimista varten sekä esimerkiksi, jotta voidaan tarvittaessa todistaa, että laskutetut palvelut on suoritettu.

Henkilötietoja voidaan käsitellä yksin tai yhdessä Firstbeatin ja tämän konserniyhtiöiden muiden henkilörekisterien henkilötietojen kanssa. Palvelun tuottamisen yhteydessä mittaustiedoista jää Firstbeatille anonymisoitu kopio tilastollista sekä tieteellistä tutkimusta, kuten keskimääräisten viitearvojen määritystä varten. Tilastollisissa sekä tieteellisissä menetelmissä käytetään automatisoituja prosesseja siten, että yksittäisten henkilöiden identiteetti ei selviä missään prosessin vaiheessa.

Henkilötietojen käsittelyperusteena on osapuolten välinen sopimus taikka Firstbeatin oikeutettu etu, joka perustuu osapuolten väliseen asialliseen yhteyteen. Käsittelyn oikeusperusteena voi olla myös Mitattavan suostumus, sovellettavan lainsäädännön niin edellyttäessä.

HENKILÖTIETOJEN SÄILYTYSAIKA

Mikäli muuta ei ole sovittu, mittauksiin liittyvät henkilötiedot säilytetään palvelukonseptiin kuuluvia seurantamittauksia varten 24 kuukautta viimeisen mittauksen jälkeen tai viimeisen kerran jälkeen, kun Mitattava on kirjautunut sisään Firstbeat Life-palveluun tai muuten käyttänyt Firstbeat Life-palvelua, minkä jälkeen ne poistetaan. Jos Mitattava on antanut erillisen suostumuksensa pitempiaikaiseen säilytykseen, henkilötietoja voidaan säilyttää myös pitempään.

Firstbeat voi lainsäädännön mukaisesti siirtää suoramarkkinoinnin toteuttamista varten tarvittavat Mitattavan yhteystiedot Firstbeatin markkinointirekisteriin, josta on WWW-sivuillamme erillinen tietosuojaseloste ja johon sovelletaan kyseisen selosteen mukaista säilytysaikaa.

KUVAUS REKISTERÖITYJEN RYHMÄSTÄ

Henkilörekisteri sisältää henkilötietoja Mitattavista. Tyypillisessä tapauksessa Mitattavan edustama organisaatio, kuten työnantaja, on Firstbeatin Asiakas. Asiakas määrittää ketkä ovat Mitattavia.

KUVAUS TIETOLÄHTEISTÄ

Asiakas toimittaa Firstbeatille kunkin Mitattavan sähköpostiosoitteen. Osoitteisiin lähetetään kullekin Mitattavalle henkilökohtainen palvelun aktivointilinkki.

Muut tiedot saadaan palvelun toimittamista varten Mitattavalta itseltään verkkopalvelun tai mobiiliapplikaation kautta sekä mittalaitteita käyttämällä. Firstbeatin edustaja saattaa lisäksi kerätä tietoja Mitattavilta palvelun käytön yhteydessä.

Erikseen sovittaessa tietoja voidaan myös kerätä paperilomakkeilla sellaisilta Mitattavilta, joilla ei ole sähköpostiosoitetta. Lisäksi tietoja kertyy Firstbeatin omassa toiminnassa.

KUVAUS REKISTERÖITYIHIN LIITTYVISTÄ TIEDOISTA

Firstbeat kerää tässä selosteessa kuvattuja tarkoituksia varten Hyvinvointianalyysi-palvelun Mitattavista osittain tai kokonaan seuraavia tietoja:

  • Etu- ja sukunimi
  • Syntymäaika, sukupuoli, pituus, paino
  • Aktiivisuusluokka, maksimi- ja minimisyke, maksimaalinen hapenottokyky
  • Käyttöliittymässä asetettu kieli
  • Tietoja pitkäaikaisista sairauksista ja lääkityksestä
  • Sykemittaustietoja, kiihtyvyystietoja sekä mittausajan päiväkirjamerkintöjä, kuten alkoholin käyttö, lyhytaikaiset sairaudet ja lääkitys, merkintöjä yksittäisistä tapahtumista
  • Yhteystietoja, kuten osoite, sähköpostiosoite ja puhelinnumero
  • Tietoja työnantajasta, kuten työnantajan nimi, yhteystiedot ja henkilöstöryhmä
  • Tietoja palvelun käytöstä
  • Tieto suostumuksista tietojen käsittelyyn palvelussa
  • Analyysin tuloksena Mitattavalle luotu raportti ja toimenpidetavoitteet
  • Salasana, mikäli käytetään Firstbeat Lifea

Mitattava voi halutessaan käyttää Palvelua myös anonyymisti

valitsemansa henkilötunnisteen avulla. Tällöinkin hänestä tallennetaan sähköpostiosoite (paitsi erityistapauksissa, joissa sähköpostiosoitetta ei ole) ja jos palveluun kuuluu henkilökohtainen palaute, tallennetaan sitä varten myös puhelinnumero. Firstbeat Lifen käyttö edellyttää aina sähköpostiosoitetta.

KUVAUS REKISTERIN SUOJAUKSEN PÄÄPERIAATTEISTA

Firstbeat noudattaa hyvää tiedonhallintatapaa sekä tietosuojalainsäädännön mukaista huolellisuusvelvoitetta. Firstbeat suojaa keräämänsä henkilötiedot siten, etteivät muut kuin Firstbeatin määrittelemät henkilöt voi käsitellä niitä ja että tietoja käsitellään vain liittyen työtehtäviin. Tietoihin voi olla pääsy Firstbeatin omilla työntekijöillä sekä Firstbeatin alihankkijoilla.

Firstbeat huolehtii siitä, että henkilötietojen käsittelyyn käytettävät tietojärjestelmät ovat riittävillä tavoin teknisesti suojattuja ja että pääsy niihin on suojattu asianmukaisilla menetelmillä mukaan lukien fyysisten tilojen kulunvalvonta, palomuurit, henkilökohtaiset käyttäjätunnukset ja salasanat sekä henkilöstön koulutus.

Tiedot on tallennettu Firstbeatin tuottamiin ja hallinnoimiin tietojärjestelmiin ja niitä käsitellään Firstbeatin tuottamilla käyttöliittymillä. Internet-yhteys Mitattavan tai Palveluntarjoajan käyttämältä laitteelta Firstbeatin palveluun tapahtuu suojatulla (SSL) yhteydellä. Mitattavan henkilötietojensa syöttämisessä käyttämä henkilökohtainen lomakelinkki on tietoturvasyistä ajallisesti rajoitettu siten, että lomake lakkaa toimimasta pian mittausjakson jälkeen.

Postissa mahdollisesti kuljetettavat mittalaitteet eivät yksinään sisällä henkilötietoja eikä niissä ole paikannustietoja, vaan niiden sisältämä data yhdistetään henkilötietoihin jälkikäteen laitetunnisteen avulla tallennuksen yhteydessä.

Mikäli Firstbeat käyttää rekisterin teknisessä ylläpitämisessä ulkopuolisia tahoja (alihankkijoita), Firstbeat noudattaa alihankkijoiden osalta tietosuojalainsäädännön edellyttämiä velvoitteita.  Kaikissa tapauksissa henkilötiedot pidetään Firstbeatin hallinnoimissa tietojärjestelmissä tai Firstbeat Life-käyttäjän mobiililaitteessa ja Firstbeat tai alihankkijat eivät tallenna tietoa muihin järjestelmiin.

TIETOJEN SIIRTÄMINEN JA LUOVUTTAMINEN

Henkilötietoja ei luovuteta ilman Mitattavan suostumusta Firstbeatin tai sen nykyisten tai tulevien konserniyhtiöiden ulkopuolelle siten, että tiedot olisivat tunnistettavissa yksittäistä käyttäjää koskeviksi muissa kuin seuraavissa poikkeustilanteissa: lain tai viranomaismääräyksen velvoittamana, tuomioistuimen määräyksestä tai jos se on muuten tarpeen lain, verkkopalveluiden käyttöehtojen tai hyvän tavan epäiltyjen loukkausten estämiseksi tai selvittämiseksi taikka Firstbeatin tai kolmansien oikeuksien suojaamiseksi.

Firstbeat ei luovuta Mitattavasta tallennettuja henkilötietoja Asiakkaalle. Asiakkaalle toimitetaan ainoastaan keskiarvotietoja Mitattavien hyvinvoinnista. Keskiarvotietoja ei toimiteta, jos Mitattavien määrä on niin pieni, että yksittäisen Mitattavan tiedot olisivat tunnistettavissa keskiarvoista.

Tietoja voidaan luovuttaa Mitattavan erillisellä suostumuksella nimetylle kolmannelle osapuolelle, kuten Mitattavan terveydenhuollon toimintayksikölle.

Mitattavan henkilötietoja voivat käsitellä sellaiset valtuutetut kolmannet osapuolet, jotka käsittelevät henkilötietoja Firstbeatin puolesta tässä selosteessa kuvatuissa tarkoituksissa (esimerkiksi teknisten palveluiden tarjoajat). Nämä palveluntarjoajat saavat käyttää henkilötietoja ainoastaan Firstbeatin ohjeistuksen mukaisesti eli vain siihen tarkoitukseen, johon tiedot on kerätty. Firstbeat edellyttää, että kyseiset palveluntarjoajat toimivat soveltuvan lainsäädännön ja tämän selosteen mukaisesti asianmukaisen henkilötietojen suojan turvaten ja varmistaen.

Henkilötiedot säilytetään pääasiallisesti Firstbeatin EU:ssa tai Yhdistyneessä kuningaskunnassa (UK) sijaitsevilla palvelimilla ja henkilötietoja ei siirretä EU- tai ETA-valtioiden tai UK:n ulkopuolelle, ellei erikseen muuta sovita. Tietoja voidaan siirtää väliaikaisesti EU- tai ETA-valtioiden ulkopuolelle, mikäli se on palvelun ja henkilötietojen käsittelyn teknisen toteutuksen kannalta tarpeellista, kuten lähetettäessä palveluun liittyviä tietoja Mitattavan käyttämään sähköpostiosoitteeseen, joka sijaitsee ulkomaisella sähköpostipalvelimella. Tällöin Firstbeat ryhtyy tarvittaviin toimenpiteisiin varmistaakseen henkilötietojen riittävän suojaamisen soveltuvan lainsäädännön mukaisesti. Mitattava voi myös käyttää palvelua EU- tai ETA-valtioiden ulkopuolella sijaitsevalla laitteella, ja tällöin tiedot ovat nähtävissä kyseisellä laitteella palvelun käytön aikana.

REKISTERÖIDYN OIKEUDET

Mitattavalla on Suomessa sovellettavan tietosuojalainsäädännön, mukaan lukien EU:n tietosuoja-asetus (GDPR), mukaiset oikeudet tarkastaa ja korjata tai vaatia korjattavaksi virheellisiä henkilötietojansa tai tietyissä tilanteissa oikeus vaatia henkilötietojansa poistettavaksi. Mitattavalla on siten oikeus pyytää, että Firstbeat oikaisee ilman aiheetonta viivytystä häntä koskevat epätarkat tai virheelliset henkilötiedot. Mitattavalla on oikeus saada tietonsa poistetuksi ilman aiheetonta viivytystä, esimerkiksi milloin henkilötietoja ei enää tarvita niiden alkuperäisiin käsittelytarkoituksiin, henkilötietoja on käsitelty lainvastaisesti tai rekisteröity peruuttaa antamansa suostumuksen eikä käsittelylle ole muuta laillista perustetta.

Mitattavalla on oikeus vaatia, että Firstbeat rajoittaa käsittelyä tietyissä tilanteissa, esimerkiksi milloin Mitattava kiistää tietojensa paikkansa pitävyyden tai käsittely on lainvastaista. Tietyissä tilanteissa Mitattavalla on myös oikeus vastustaa henkilötietojen käsittelyä.

Mitattavalla voi tietyissä tilanteissa olla oikeus pyytää tietojen siirtämistä järjestelmästä toiseen. Kun Mitattavan henkilötietoja käsitellään hänen antamaansa suostumukseen perustuen, Mitattavalla on lisäksi milloin tahansa oikeus perua tällaiseen käsittelyyn antamansa suostumus.

Ensisijaisesti Firstbeat toivoo, että mahdolliset erimielisyydet henkilötietojen käsittelyssä ratkaistaan sovinnollisesti osapuolten kesken. Mitattavalla on myös oikeus tehdä valitus tietosuoja-asioista vastaavalle valvontaviranomaiselle.

Tarkastus-, korjaus- ja poistopyynnöt on osoitettava Firstbeatille henkilökohtaisesti taikka allekirjoitetulla kirjeellä tai vastaavalla tavalla varmennetulla asiakirjalla, jotta voidaan varmistaa pyynnön tekijän oikeus pyyntöön. Pyynnön voi tehdä sähköpostitse, mikäli käytetään palvelun käytön yhteydessä rekisteröityä sähköpostiosoitetta, tai käyttämällä Firstbeat Life-sovelluksen toimintoja. Firstbeat voi joutua tunnistamaan Mitattavan sekä pyytämään lisätietoja voidakseen täyttää Mitattavan yllä mainitut pyynnöt.

Tätä rekisteriselostetta on viimeksi muutettu 12.8.2020. Puhelinnumero on päivitetty ja postinumero korjattu 16.12.2020. Firstbeat seuraa tietosuojaa koskevan lainsäädännön sekä viranomaisohjeiden muutoksia sekä kehittää palvelun toimintaa, ja varaa siksi oikeuden päivittää tätä selostetta.