Integritetspolicy - BitHabit
Senast uppdaterad: 2.4.2024
— Dokumentet slutar —
Syftet med detta dokument är att informera dig om den behandling och insamling av personuppgifter som Wellpro Impact Solutions Oy, organisationsnummer 3227015-2, (nedan kallat ”Bolaget”) gör i samband med BitHabit-tjänsten (nedan kallad ”Tjänsten”) som Bolaget driver. Med personuppgifter avses all information som gör det möjligt att identifiera en enskild person.
Denna Integritetspolicy avser i första hand Tjänsten. Information om Bolagets behandling av personuppgifter i andra sammanhang finns tillgänglig på: https://wellpro.fi/.
1. Styrenhet och processorer
I samband med Tjänsten agerar Bolaget som personuppgiftsansvarig, det vill säga definierar vilka personuppgifter som ska samlas in för Tjänsten och ändamålen med behandlingen. Bolaget använder sig av följande personuppgiftsbiträden för att behandla personuppgifter relaterade till Tjänsten enligt separata skriftliga personuppgiftsbiträdesavtal med personuppgiftsbiträdena:- Leverantör av datacenter/webbplattformar, för närvarande Skillwell Oy (baserat i Jyväskylä)
- BitHabit-aktiveringstjänsten drivs i de europeiska datacentren för Amazon Web Services (AWS).
- Inmatning av undersökningsdata i tjänsten, för närvarande Typeform S.L. (baserat i Barcelona)
- Leverantör av nyhetsbrev/SMS, för närvarande SendinBlue SAS (baserat i Paris)
- Leverantör av CRM-tjänster, för närvarande Monday.com Ltd. (baserat i Tel Aviv)
- Signaturtjänst, för närvarande Oneflow (baserad i Stockholm)
- Webbplatstjänster, för närvarande Planeetta Internet Oy (baserat i Helsingfors)
- Leverantör av faktureringstjänster för Business-to-Business-kunder, för närvarande Fennoa Oy (baserat i Alavus)
2. Kategorier av personuppgifter och rättsliga grunder för behandlingen
Personuppgifter behandlas i Tjänsten i enlighet med EU:s allmänna dataskyddsförordning (nedan ”GDPR”) och tillämplig nationell dataskyddslagstiftning. Tillhandahållandet av personuppgifter är nödvändigt för att använda Tjänsten. Undantag: att enbart använda BitHabit-undersökningstjänsten kräver inte att personuppgifter lämnas, se avsnitt 3. För forskningsanvändning gäller inte detta undantag.| Kategori av personuppgifter | Ändamålet med behandlingen | Laglig grund för behandling | Radering av personuppgifter |
|---|---|---|---|
| Namn på användare, kontaktuppgifter | Komma igång, hantera ditt konto, svara på supportförfrågningar | Verkställighet av avtalet (artikel 6.1 b i GDPR) | 12 månader efter att kundens konto har blivit inaktivt, eller när det inte längre är nödvändigt att behålla dem för de ursprungliga ändamålen eller annan laglig behandling |
| Feedbackundersökningar om programvarans funktionalitet | Företagets berättigade intresse (artikel 6.1 f i GDPR) | 12 månader efter att kundens konto har blivit inaktivt, eller när det inte längre är nödvändigt att behålla dem för de ursprungliga syftena eller annan laglig behandling | |
| Bakgrundsinformation: ålder, kön, yrke, modersmål, utbildningsnivå, hälsoinformation (nuvarande och tidigare sjukdomar, begränsningar i fysisk aktivitet), alkohol- och drogvanor, matvanor, motionsvanor, eventuella stressande förändringar i livet, tillfredsställelse med det egna livet, social aktivitet, planerad pensionsålder, motivation att fortsätta arbeta | Bakgrundsinformation om hälsa och livsstil som tillhandahålls vid tidpunkten för tillgång till tjänsten; denna bakgrundsinformation kommer att jämföras med information som erhålls under tjänsten för att informera användaren om eventuella förändringar i deras hälsa eller livsstil. | Samtycke (artikel 6.1 a i GDPR) | 12 månader efter att kundens konto har blivit inaktivt, eller när det inte längre är nödvändigt att behålla det för de ursprungliga syftena eller annan laglig behandling |
| Självrapporterad information: arbetsstress, eventuella sömnproblem, börja motionera, följa upp matintag, självupplevda förändringar i kognition, förändringar i kognition som observerats av närstående, förändringar i tillfredsställelse med livet, förändringar i social aktivitet, öppet fält för kommentarer, som kan innehålla andra personuppgifter | Dokumentation av förändringar i hälsa och livsstil | Samtycke (artikel 6.1 a i GDPR) | 12 månader efter att kundens konto har blivit inaktivt, eller när det inte längre är nödvändigt att behålla dem för de ursprungliga ändamålen eller annan laglig behandling |
| Aktiveringsåtgärder som registreras av användaren i tjänsten: fysisk aktivitet, sociala möten, näringsåtgärder, mentala eller kognitiva åtgärder. | Registrering av hälso- och livsstilsrelaterade åtgärder | Samtycke (artikel 6.1 a i GDPR) | 12 månader efter att kundens konto har blivit inaktivt, eller när det inte längre är nödvändigt att behålla dem för de ursprungliga syftena eller annan laglig behandling |
| Statistik och grafiska modeller som genereras från de uppgifter som användaren matar in i tjänsten. | Statistik över hälso- och livsstilsförändringar och spårning av aktiveringsaktiviteter för att göra det möjligt för användaren att övervaka om hälsoplaner genomförs | Samtycke (artikel 6.1 a i GDPR) | 12 månader efter att kundens konto har blivit inaktivt, eller när det inte längre är nödvändigt att behålla det för de ursprungliga syftena eller annan laglig behandling |
3. Information från undersökningstjänsten BitHabit
I samband med BitHabits undersökningstjänst behandlar Bolaget många av de uppgifter som nämns i punkt 2, vilka i sig är personuppgifter, men som inte är kopplade till någon enskild användare och därför inte omfattas av personuppgiftslagstiftningen. Ingen personligt identifierbar information såsom namn eller kontaktuppgifter samlas in i samband med användningen av BitHabit-undersökningstjänsten, och ingen information från BitHabit-undersökningstjänsten är associerad med information som samlas in av tjänsten som också innehåller personligt identifierbar information.4. Särskilda kategorier av personuppgifter
Bolaget behandlar ett stort antal särskilda kategorier av personuppgifter (”känsliga personuppgifter”) i samband med Tjänsten, särskilt avseende användarnas hälsa, motionsvanor och sociala liv. Bolagets grund för att göra undantag från förbudet mot behandling av känsliga personuppgifter enligt artikel 9 i GDPR är användarnas uttryckliga samtycke, vilket erhålls från användarna när de får tillgång till Tjänsten. I praktiken är det inte möjligt att använda Tjänsten utan detta uttryckliga samtycke, eftersom de personuppgifter som registreras i Tjänsten till största delen är känsliga personuppgifter.5. Informationssäkerhet
Bolaget skyddar personuppgifter med rimliga och lämpliga skyddsåtgärder för att förhindra oavsiktliga dataläckor, obehörig behandling av personuppgifter och felaktig eller obehörig förstöring, användning, ändring eller utlämnande av personuppgifter. Bolaget har vidtagit lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter. Ovanstående åtgärder, såsom att begränsa tillgången till personuppgifter för bolagets personal och personuppgiftsbiträden samt lagring och behandling av personuppgifter i krypterad form, står i proportion till skadan och sannolikheten för potentiella dataläckor, känsligheten hos de personuppgifter som behandlas, omständigheterna under vilka de lagras och utvecklingen av säkerhetsteknik.6. Den registrerades rättigheter
Enligt dataskyddsförordningen har den registrerade följande rättigheter i fråga om personuppgifter, vilket förklaras närmare i artiklarna 15-21 i dataskyddsförordningen:- Rätt att återkalla samtycke: I den utsträckning som behandlingen baseras på användarnas samtycke har användarna rätt att när som helst återkalla sitt samtycke och begära att deras uppgifter tas bort från tjänsten.
- Tillgång till uppgifter: registrerade personer har rätt att begära bekräftelse på om deras personuppgifter behandlas av företaget eller dess registerförare och att få tillgång till sina uppgifter.
- Rätt till rättelse: den registrerade har rätt att begära att den personuppgiftsansvarige rättar felaktiga eller ofullständiga personuppgifter som behandlas i samband med Tjänsten.
- Rätt till radering: registrerade har rätt att begära radering av personuppgifter som rör dem om de inte längre är nödvändiga för de ändamål för vilka de samlades in eller behandlades, om de motsätter sig behandlingen och det inte finns några tvingande rättsliga skäl för behandlingen, om behandlingen är olaglig eller om personuppgifterna måste raderas för att uppfylla en rättslig skyldighet.
- Rätt till begränsning av behandling: den registrerade har rätt att begära begränsning av behandlingen av personuppgifter som rör honom eller henne om personuppgifternas korrekthet bestrids, om behandlingen är olaglig eller om den personuppgiftsansvarige inte längre behöver de berörda personuppgifterna men den registrerade har ett berättigat skäl att invända mot radering av personuppgifterna, eller om den registrerade invänder mot behandlingen och det ännu inte har fastställts om det finns en rättslig grund för behandlingen.
- Rätt att invända: registrerade har rätt att invända mot behandlingen av sina personuppgifter i den utsträckning som uppgifterna behandlas i enlighet med artikel 6.1 f i GDPR, i vilket fall den personuppgiftsansvarige måste bevisa att det finns en tvingande rättslig grund för behandlingen för att få fortsätta att behandla de berörda personuppgifterna.
- Rätt att klaga: Den registrerade har rätt att klaga på behandlingen av personuppgifter i samband med Tjänsten till den behöriga dataskyddsmyndigheten. Den behöriga dataskyddsmyndigheten i Finland är dataskyddsombudsmannen (tietosuoja@om.fi).
