Hyvinvointianalyysi-palvelun rekisteriseloste Firstbeatin omille asiakkaille

Lataa rekisteriseloste PDF-muodossa

Rekisteriseloste koskien Firstbeat Technologies Oy:n tuottamia Hyvinvointianalyysi-palveluita. Seloste sisältää EU:n yleisen tietosuoja-asetuksen (GDPR) määrittämät tiedot henkilötietojen käytöstä.

Rekisterinpitäjä

Firstbeat Technologies Oy (yritys- ja yhteisötunnus 1782772-5), käyntiosoite Yliopistonkatu 28 A, 40700 Jyväskylä (jäljempänä ”Firstbeat” tai ”Rekisterinpitäjä”).

Termit

”Asiakas” on luonnollinen tai juridinen henkilö, jonka kanssa tehdyn sopimuksen perusteella Firstbeat tuottaa Hyvinvointianalyysi-palvelun Asiakkaan määrittämien Mitattavien mittaus- ja muita henkilötietoja käyttäen. Tyypillisessä tilanteessa Asiakas on työnantaja, jonka työntekijät ovat Mitattavia.

”Mitattava” on luonnollinen henkilö, jolle Firstbeat tuottaa Hyvinvointianalyysi-palvelun käyttäen Mitattavan sykemittaustietoja sekä muita henkilötietoja.

Huomatuksia rekisterinpitäjän asemasta

Selvyyden vuoksi todetaan, että tilanteissa, joissa Hyvinvointianalyysi-palvelun tuottaa omille asiakkailleen tai työntekijöilleen Firstbeatin asiakkaana toimiva yhteistyökumppani (henkilö, yritys tai yhteisö, tässä ”Palveluntarjoaja”), kyseinen Palveluntarjoaja toimii tietosuojasäännösten tarkoittamana rekisterinpitäjänä eikä tätä selostetta sovelleta sellaisiin tapauksiin. Tällaisissa tapauksissa Palveluntarjoaja on hankkinut käyttöoikeuden Hyvinvointianalyysi-palveluun, tuottaa itsenäisesti palveluita itse määrittämiensä tai omien asiakkaidensa määrittämien mitattavien tiedoista ja vastaa mm. tarvittavien selosteiden laatimisesta, henkilötietojen käsittelyn lainmukaisuudesta, rekisteröityjen informoinnista sekä muista tietosuojalainsäädännön mukaisista rekisterinpitäjän velvoitteista.

Yhteyshenkilö rekisteriä koskevissa asioissa

Rekisterinpitäjään voi ottaa yhteyttä rekisteriä koskevissa asioissa sähköpostilla support@firstbeat.com tai puhelimella 08 415 417 26. Yhteyshenkilönä tietosuoja-asioissa toimii Antti Hämäläinen.

Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Henkilötietojen käsittelyn tarkoituksena on palvelun perustoiminta, käyttäjätukeen liittyvät toimet, palvelun käytön tilastointi sekä tilastollisen- ja markkinatutkimuksen suorittaminen.

Palvelun perustoimintaa on analyysi hyvinvoinnin eri osa-alueista. Analyysin tuottamisessa käytetään Mitattavan henkilökohtaisia ominaisuuksia ja käyttäytymistä kuvaavia tietoja sekä sykemittaustietoa. Palveluun kuuluu tyypillisesti Rekisterinpitäjän Asiakkaalle puhelimitse tai henkilökohtaisesti antama anonymisoitu palauteraportti Mitattavien (tyypillisesti työntekijöiden) keskimääräisestä hyvinvoinnista. Palveluun voi kuulua myös Rekisterinpitäjän edustajan kullekin Mitattavalle puhelimitse tai henkilökohtaisesti antama palaute, jonka perusteella mahdollisesti sovitaan toimenpidetavoitteista. Palvelun sisältö määritellään tarkemmin Asiakkaan kanssa tehtävässä sopimuksessa. Mitattavien henkilötietoja ei luovuteta Asiakkaalle.

Käyttäjätukeen liittyviä toimia voivat olla esimerkiksi palvelun käyttäjän tilitietojen tai henkilökohtaisen verkkopalvelulinkin toimittaminen Mitattavalle.

Henkilötietoja voidaan käyttää Firstbeatin palveluista tiedottamiseen, kuten uutiskirjeen lähettämiseen ja muuhun asiakassuhteen hallintaan. Mitattavan henkilötietoja voidaan käyttää henkilökohtaisen seurantamittauksen markkinointiin soveltuvan tietosuojalainsäädännön mukaisesti.

Sovellettavan lainsäädännön edellyttäessä Mitattavan suostumusta tässä selosteessa tarkoitettuun henkilötietojen käsittelyyn (esimerkiksi kun on kysymys terveyteen liittyvistä tiedoista eli ns. erityisistä henkilötiedoista), suostumus hankitaan asianmukaista menetelmää käyttäen. Tämä voi tapahtua esimerkiksi rastittamalla erikseen suostumusta osoittava ruutu, tekemällä valinta palvelun tai verkkosivuston teknisissä asetuksissa taikka muulla suostumuksen yksiselitteisesti ilmaisevalla ilmoituksella tai toiminnalla. Suostumuksen epääminen saattaa vaikuttaa kyseessä olevan palvelun tarjoamiseen.

Lokitietoja verkkopalvelun käytöstä tai mittalaitteiden käsittelystä tallennetaan lisäksi Asiakkaan, Firstbeatin sekä Mitattavien oikeutettujen etujen turvaamiseksi esimerkiksi mahdollisten tietoturvaongelmien tutkimista varten sekä esimerkiksi, jotta voidaan tarvittaessa todistaa, että laskutetut palvelut on suoritettu.

Henkilötietoja voidaan käsitellä yksin tai yhdessä Rekisterinpitäjän ja tämän konserniyhtiöiden muiden henkilörekisterien henkilötietojen kanssa. Palvelun tuottamisen yhteydessä mittaustiedoista jää Firstbeatille anonymisoitu kopio tilastollista sekä tieteellistä tutkimusta, kuten keskimääräisten viitearvojen määritystä varten. Tilastollisissa sekä tieteellisissä menetelmissä käytetään automatisoituja prosesseja siten, että yksittäisten henkilöiden identiteetti ei selviä missään prosessin vaiheessa.

Henkilötietojen käsittelyperusteena on osapuolten välinen sopimus taikka Rekisterinpitäjän oikeutettu etu, joka perustuu osapuolten väliseen asialliseen yhteyteen. Käsittelyn oikeusperusteena voi olla myös Mitattavan suostumus, sovellettavan lainsäädännön niin edellyttäessä.

Henkilötietojen säilytysaika

Mikäli muuta ei ole sovittu, mittauksiin liittyvät henkilötiedot säilytetään palvelukonseptiin kuuluvia seurantamittauksia varten 18 kuukautta viimeisen mittauksen jälkeen, minkä jälkeen ne poistetaan. Jos Mitattava on antanut erillisen suostumuksensa pitempiaikaiseen säilytykseen, henkilötietoja voidaan säilyttää myös pitempään.

Firstbeat voi lainsäädännön mukaisesti siirtää suoramarkkinoinnin toteuttamista varten tarvittavat Mitattavan yhteystiedot Firstbeatin markkinointirekisteriin, josta on WWW-sivuillamme erillinen tietosuojaseloste ja johon sovelletaan kyseisen selosteen mukaista säilytysaikaa.

Kuvaus rekisteröityjen ryhmästä

Henkilörekisteri sisältää henkilötietoja Mitattavista. Tyypillisessä tapauksessa Mitattavan edustama organisaatio, kuten työnantaja, on Firstbeatin Asiakas. Asiakas määrittää ketkä ovat Mitattavia.

Kuvaus tietolähteistä

Asiakas toimittaa Firstbeatille kunkin Mitattavan sähköpostiosoitteen. Osoitteisiin lähetetään kullekin Mitattavalle henkilökohtainen palvelun aktivointilinkki.

Muut tiedot saadaan palvelun toimittamista varten Mitattavalta itseltään verkkopalvelun kautta sekä mittalaitteita käyttämällä. Rekisterinpitäjän edustaja saattaa lisäksi kerätä tietoja Mitattavilta palvelun käytön yhteydessä.

Erikseen sovittaessa tietoja voidaan myös kerätä paperilomakkeilla sellaisilta Mitattavilta, joilla ei ole sähköpostiosoitetta. Lisäksi tietoja kertyy Rekisterinpitäjän omassa toiminnassa.

Kuvaus rekisteröityihin liittyvistä tiedoista

Rekisterinpitäjä kerää tässä selosteessa kuvattuja tarkoituksia varten Hyvinvointianalyysi-palvelun Mitattavista osittain tai kokonaan seuraavia tietoja:

  • Etu- ja sukunimi
  • Syntymäaika, sukupuoli, pituus, paino
  • Aktiivisuusluokka, maksimi- ja minimisyke, maksimaalinen hapenottokyky
  • Käyttöliittymässä asetettu kieli
  • Tietoja pitkäaikaisista sairauksista ja lääkityksestä
  • Sykemittaustietoja sekä mittausajan päiväkirjamerkintöjä, kuten alkoholin käyttö, lyhytaikaiset sairaudet ja lääkitys, merkintöjä yksittäisistä tapahtumista
  • Yhteystietoja, kuten osoite, sähköpostiosoite ja puhelinnumero
  • Tietoja työnantajasta, kuten työnantajan nimi, yhteystiedot ja henkilöstöryhmä
  • Tietoja palvelun käytöstä
  • Tieto suostumuksista tietojen käsittelyyn palvelussa
  • Analyysin tuloksena Mitattavalle luotu raportti ja toimenpidetavoitteet

Mitattava voi halutessaan käyttää Hyvinvointianalyysi-palvelua myös anonyymisti

valitsemansa henkilötunnisteen avulla. Tällöinkin hänestä tallennetaan sähköpostiosoite (paitsi erityistapauksissa, joissa sähköpostiosoitetta ei ole) ja jos palveluun kuuluu henkilökohtainen palaute, tallennetaan sitä varten myös puhelinnumero.

Kuvaus rekisterin suojauksen pääperiaatteista

Rekisterinpitäjä noudattaa hyvää tiedonhallintatapaa sekä tietosuojalainsäädännön mukaista huolellisuusvelvoitetta. Rekisterinpitäjä suojaa keräämänsä henkilötiedot siten, etteivät muut kuin Rekisterinpitäjän määrittelemät henkilöt voi käsitellä niitä ja että tietoja käsitellään vain liittyen työtehtäviin. Tietoihin voi olla pääsy Rekisterinpitäjän omilla työntekijöillä sekä Rekisterinpitäjän alihankkijoilla.

Rekisterinpitäjä huolehtii siitä, että henkilötietojen käsittelyyn käytettävät tietojärjestelmät ovat riittävillä tavoin teknisesti suojattuja ja että pääsy niihin on suojattu asianmukaisilla menetelmillä mukaan lukien fyysisten tilojen kulunvalvonta, palomuurit, henkilökohtaiset käyttäjätunnukset ja salasanat sekä henkilöstön koulutus.

Tiedot on tallennettu Firstbeatin tuottamiin ja hallinnoimiin tietojärjestelmiin ja niitä käsitellään Firstbeatin tuottamilla käyttöliittymillä. Internet-yhteys Mitattavan tai Palveluntarjoajan käyttämältä laitteelta Firstbeatin palveluun tapahtuu suojatulla (SSL) yhteydellä. Mitattavan henkilötietojensa syöttämisessä käyttämä henkilökohtainen lomakelinkki on tietoturvasyistä ajallisesti rajoitettu siten, että lomake lakkaa toimimasta pian mittausjakson jälkeen.

Postissa mahdollisesti kuljetettavat mittalaitteet eivät sisällä henkilötietoja, vaan niiden sisältämä data yhdistetään henkilötietoihin jälkikäteen laitetunnisteen avulla tallennuksen yhteydessä.

Mikäli Rekisterinpitäjä käyttää rekisterin teknisessä ylläpitämisessä ulkopuolisia tahoja (alihankkijoita), Rekisterinpitäjä noudattaa alihankkijoiden osalta tietosuojalainsäädännön edellyttämiä velvoitteita.  Kaikissa tapauksissa henkilötiedot pidetään Rekisterinpitäjän hallinnoimissa tietojärjestelmissä ja Rekisterinpitäjä tai alihankkijat eivät tallenna tietoa muihin järjestelmiin.

Tietojen siirtäminen ja luovuttaminen

Henkilötietoja ei luovuteta ilman Mitattavan suostumusta Rekisterinpitäjän tai sen nykyisten tai tulevien konserniyhtiöiden ulkopuolelle siten, että tiedot olisivat tunnistettavissa yksittäistä käyttäjää koskeviksi muissa kuin seuraavissa poikkeustilanteissa: lain tai viranomaismääräyksen velvoittamana, tuomioistuimen määräyksestä tai jos se on muuten tarpeen lain, verkkopalveluiden käyttöehtojen tai hyvän tavan epäiltyjen loukkausten estämiseksi tai selvittämiseksi taikka rekisterinpitäjän tai kolmansien oikeuksien suojaamiseksi.

Rekisterinpitäjä ei luovuta Mitattavasta tallennettuja henkilötietoja Asiakkaalle. Asiakkaalle toimitetaan ainoastaan keskiarvotietoja Mitattavien hyvinvoinnista. Keskiarvotietoja ei toimiteta, jos Mitattavien määrä on niin pieni, että yksittäisen Mitattavan tiedot olisivat tunnistettavissa keskiarvoista.

Tietoja voidaan luovuttaa Mitattavan suostumuksella Mitattavan terveydenhuollon toimintayksikölle.

Mitattavan henkilötietoja voivat käsitellä sellaiset valtuutetut kolmannet osapuolet, jotka käsittelevät henkilötietoja Rekisterinpitäjän puolesta tässä selosteessa kuvatuissa tarkoituksissa (esimerkiksi teknisten palveluiden tarjoajat). Nämä palveluntarjoajat saavat käyttää henkilötietoja ainoastaan Rekisterinpitäjän ohjeistuksen mukaisesti eli vain siihen tarkoitukseen, johon tiedot on kerätty. Rekisterinpitäjä edellyttää, että kyseiset palveluntarjoajat toimivat soveltuvan lainsäädännön ja tämän selosteen mukaisesti asianmukaisen henkilötietojen suojan turvaten ja varmistaen.

Henkilötiedot säilytetään pääasiallisesti Rekisterinpitäjän EU:ssa sijaitsevilla palvelimilla ja henkilötietoja ei siirretä EU- tai ETA-valtioiden ulkopuolelle, ellei erikseen muuta sovita. Tietoja voidaan siirtää väliaikaisesti EU- tai ETA-valtioiden ulkopuolelle, mikäli se on palvelun ja henkilötietojen käsittelyn teknisen toteutuksen kannalta tarpeellista, kuten lähetettäessä palveluun liittyviä tietoja Mitattavan käyttämään sähköpostiosoitteeseen, joka sijaitsee ulkomaisella sähköpostipalvelimella. Tällöin Rekisterinpitäjä ryhtyy tarvittaviin toimenpiteisiin varmistaakseen henkilötietojen riittävän suojaamisen soveltuvan lainsäädännön mukaisesti. Mitattava voi myös käyttää palvelua EU- tai ETA-valtioiden ulkopuolella sijaitsevalla laitteella, ja tällöin tiedot ovat nähtävissä kyseisellä laitteella palvelun käytön aikana.

Rekisteröidyn oikeudet

Mitattavalla on Suomessa sovellettavan tietosuojalainsäädännön, mukaan lukien EU:n tietosuoja-asetus (GDPR), mukaiset oikeudet tarkastaa ja korjata tai vaatia korjattavaksi virheellisiä henkilötietojansa tai tietyissä tilanteissa oikeus vaatia henkilötietojansa poistettavaksi. Mitattavalla on siten oikeus pyytää, että Rekisterinpitäjä oikaisee ilman aiheetonta viivytystä häntä koskevat epätarkat tai virheelliset henkilötiedot. Mitattavalla on oikeus saada tietonsa poistetuksi ilman aiheetonta viivytystä, esimerkiksi milloin henkilötietoja ei enää tarvita niiden alkuperäisiin käsittelytarkoituksiin, henkilötietoja on käsitelty lainvastaisesti tai rekisteröity peruuttaa antamansa suostumuksen eikä käsittelylle ole muuta laillista perustetta.

Mitattavalla on oikeus vaatia, että Rekisterinpitäjä rajoittaa käsittelyä tietyissä tilanteissa, esimerkiksi milloin Mitattava kiistää tietojensa paikkansa pitävyyden tai käsittely on lainvastaista. Tietyissä tilanteissa Mitattavalla on myös oikeus vastustaa henkilötietojen käsittelyä.

Mitattavalla voi tietyissä tilanteissa olla oikeus pyytää tietojen siirtämistä järjestelmästä toiseen. Kun Mitattavan henkilötietoja käsitellään hänen antamaansa suostumukseen perustuen, Mitattavalla on lisäksi milloin tahansa oikeus perua tällaiseen käsittelyyn antamansa suostumus.

Ensisijaisesti Rekisterinpitäjä toivoo, että mahdolliset erimielisyydet henkilötietojen käsittelyssä ratkaistaan sovinnollisesti osapuolten kesken. Mikäli tällaista asiaa ei kuitenkaan saada sovinnollisesti ratkaistua, on Mitattavalla oikeus tehdä valitus tietosuoja-asioista vastaavalle valvontaviranomaiselle.

Tarkastus-, korjaus- ja poistopyynnöt on osoitettava Firstbeatille henkilökohtaisesti taikka allekirjoitetulla kirjeellä tai vastaavalla tavalla varmennetulla asiakirjalla, jotta voidaan varmistaa pyynnön tekijän oikeus pyyntöön. Pyynnön voi tehdä sähköpostitse, mikäli käytetään palvelun käytön yhteydessä rekisteröityä sähköpostiosoitetta. Firstbeat voi joutua tunnistamaan Mitattavan sekä pyytämään lisätietoja voidakseen täyttää Mitattavan yllä mainitut pyynnöt.

Tätä rekisteriselostetta on viimeksi muutettu toukokuussa 2018. Puhelinnumero on päivitetty 1.8.2019 Firstbeat seuraa tietosuojaa koskevan lainsäädännön sekä viranomaisohjeiden muutoksia sekä kehittää palvelun toimintaa, ja varaa siksi oikeuden päivittää tätä selostetta.