Tietosuojakäytänteet – BitHabit
Viimeksi päivitetty: 2.4.2024
— Asiakirja päättyy —
Tämän asiakirjan tarkoituksena on kertoa Wellpro Impact Solutions Oy:n, y-tunnus 3227015-2, (jäljempänä ”Yhtiö”), henkilötietojen käsittelystä ja keräämisestä Yhtiön ylläpitämän BitHabit-palvelun (jäljempänä ”Palvelu”) yhteydessä. Henkilötieto tarkoittaa kaikkea tietoa, jonka nojalla yksittäinen henkilö voidaan tunnistaa.
Nämä tietosuojakäytänteet liittyvät ensisijaisesti Palveluun. Tietoa Yhtiön henkilötietojen käsittelystä muissa yhteyksissä on nähtävillä osoitteessa: https://wellpro.fi/.
1. Rekisterinpitäjä ja käsittelijät
Palvelun yhteydessä Yhtiö toimii rekisterinpitäjänä, eli määrittelee Palveluun kerättävät henkilötiedot sekä käsittelyn tarkoitukset. Yhtiö käyttää seuraavia käsittelijöitä Palveluun liittyvien henkilötietojen käsittelyssä erillisten, käsittelijöiden kanssa laadittujen kirjallisten käsittelysopimusten nojalla:- Konesali/verkkopalvelualustatarjoaja, tällä hetkellä Skillwell Oy (kotipaikka Jyväskylä)
- BitHabit-aktivointipalvelu toimii Amazon Web Services -yhtiön (AWS) eurooppalaisissa datakeskuksissa.
- Kyselytietojen syöttäminen Palveluun, tällä hetkellä Typeform S.L. (kotipaikka Barcelona)
- Uutiskirje/SMS palveluntarjoaja, tällä hetkellä SendinBlue SAS (kotipaikka Pariisi)
- CRM palveluntarjoaja, tällä hetkellä Monday.com Ltd. (kotipaikka Tel Aviv)
- Allekirjoituspalvelu, tällä hetkellä Oneflow (kotipaikka Stockholm)
- Web-sivupalvelut, tällä hetkellä Planeetta Internet Oy (kotipaikka Helsinki)
- Laskutuspalveluntarjoaja Business-to-Business -asiakkaiden osalta, tällä hetkellä Fennoa Oy (kotipaikka Alavus)
2. Henkilötietojen kategoriat ja käsittelyn lailliset perusteet
Henkilötietoja käsitellään Palvelussa EU:n yleisen tietosuoja-asetuksen (jäljempänä ”GDPR”) ja soveltuvan kansallisen tietosuojalainsäädännön säännösten nojalla. Henkilötietojen antaminen on välttämätöntä Palvelun käyttämiseksi. Poikkeus: Pelkän BitHabit-kyselypalvelun käyttäminen ei edellytä henkilötietojen antamista, kts. kohta 3. Tutkimuskäytössä tämä poikkeus ei ole voimassa.Henkilötietojen kategoria | Käsittelyn tarkoitus | Käsittelyn laillinen peruste | Henkilötietojen poistaminen |
---|---|---|---|
Käyttäjien nimet, yhteystiedot | Palvelun käyttöönotto, asiakkuuden hoitaminen, tukipyyntöihin vastaaminen | Sopimuksen täytäntöön paneminen (GDPR Artikla 6(1)(b)) | 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn |
Palautekyselyt ohjelmiston toimivuudesta | Yhtiön oikeutettu etu (GDPR Artikla 6(1)(f)) | 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn | |
Taustatiedot: Ikä, sukupuoli, ammatti, äidinkieli, koulutustaso, terveystiedot (nykyiset ja aiemmat sairaudet, liikuntarajoitteet), alkoholin/päihteiden käyttö, ruokailutottumukset, liikuntatottumukset, mahdolliset stressaavat elämänmuutokset, tyytyväisyys omaan elämään, sosiaalinen aktiivisuus, suunniteltu eläkeikä, motivaatio työssä jatkamiseen | Terveyteen ja elämäntapoihin liittyvät taustatiedot, jotka annetaan Palveluksen käyttöönoton yhteydessä; taustatietoja verrataan Palveluksen aikana saatuihin tietoihin kertoakseen käyttäjälle hänen terveytensä tai elämäntapojensa muutoksesta | Suostumus (GDPR Artikla 6(1)(a)) | 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn |
Palveluun itse raportoidut tiedot: työstressi, mahdolliset nukkumisvaikeudet, liikunnan aloittaminen, ruokailun seuraaminen, itsehavaitut muutokset kognitiossa, läheisten havaitsemat muutokset kognitiossa, muutokset tyytyväisyydessä omaan elämään, muutokset sosiaalisessa aktiivisuudessa, avoin kenttä huomioille, johon voi sisältyä muita henkilötietoja | Terveyteen ja elämäntapoihin liittyvien muutosten dokumentointi | Suostumus (GDPR Artikla 6(1)(a)) | 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn |
Käyttäjän Palveluun kirjaamat aktivointiteot: liikuntasuoritukset, sosiaaliset kohtaamiset, ravintoon liittyvät teot, mieleen tai kognitioon liittyvät teot | Terveyteen ja elämäntapoihin liittyvien tekojen kirjaaminen | Suostumus (GDPR Artikla 6(1)(a)) | 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn |
Käyttäjän Palveluun kirjaamista tiedoista muodostetut tilastot sekä graafiset mallit | Terveyteen ja elämäntapoihin liittyvien muutosten tilastointi ja aktivointitekojen seuraamine, jotta käyttäjä voi seurata toteutuvatko terveyteen liittyvät suunnitelmat | Suostumus (GDPR Artikla 6(1)(a)) | 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn |
3. BitHabit-kyselypalvelun tiedot
Yhtiö käsittelee BitHabit-kyselypalvelun yhteydessä monia kohdassa 2 mainituista tiedoista, jotka ovat sinänsä henkilötietoja, mutta ne eivät yhdisty mihinkään yksittäiseen käyttäjään, eivätkä ne siitä syystä ole henkilötietolainsäädännön piirissä. BitHabit-kyselypalvelun käytön yhteydessä ei kerätä mitään henkilöä yksilöivää tietoa kuten nimeä tai yhteystietoja, eikä BitHabit-kyselypalvelun tietoja liitetä Palvelun keräämiin tietoihin, joihin sisältyy myös henkilöä yksilöiviä tietoja.4. Erityiset henkilötietojen ryhmät
Yhtiö käsittelee Palvelun yhteydessä laajasti erityisiä henkilötietojen ryhmiä (”herkkiä henkilötietoja”), jotka liittyvät erityisesti käyttäjien terveyteen, liikuntatottumuksiin, sekä sosiaaliseen elämään. Yhtiön peruste poiketa GDPR:n artiklan 9 herkkien henkilötietojen käsittelykiellosta on käyttäjien nimenomainen suostumus, joka otetaan käyttäjiltä Palveluksen käyttöönoton yhteydessä. Palveluksen käyttö ei käytännössä ole mahdollista ilman tätä nimenomaista suostumusta, koska Palvelukseen syötetyt henkilötiedot ovat suurimmaksi osaksi herkkiä henkilötietoja.5. Tietoturva
Yhtiö suojelee henkilötietoja kohtuullisin, asianmukaisin suojatoimin estääkseen tahattomia tietovuotoja, luvatonta henkilötietojen käsittelyä, sekä henkilötietojen erheellistä tai luvatonta tuhoutumista, käyttöä, muuttamista tai paljastumista. Yhtiö on toimeenpannut asianmukaiset tekniset ja organisatoriset toimet henkilötietojen turvaamiseksi. Edellä mainitut toimet, kuten Yhtiön henkilöstön ja käsittelijöiden pääsyn rajaaminen henkilötietojen ja henkilötietojen säilyttäminen ja käsittely salatussa muodossa on mitoitettu ottaen huomioon mahdollisten tietovuotojen vahingollisuus ja todennäköisyys, käsiteltävien henkilötietojen herkkyys, olosuhteet missä niitä säilytetään, sekä turvallisuusteknologiassa tapahtuva kehitys.6. Rekisteröidyn oikeudet
GDPR:n nojalla rekisteröidyllä on seuraavat oikeudet henkilötietoihin liittyen, kuten tarkemmin selostetaan GDPR:n artikloissa 15-21:- Oikeus peruuttaa suostumus: siltä osin kuin käsittely perustuu käyttäjien suostumukseen, käyttäjillä on milloin tahansa oikeus peruuttaa antamansa suostumus ja pyytää, että heitä koskevat tiedot poistetaan Palveluksesta.
- Pääsy tietoihin: rekisteröidyllä on oikeus pyytää vahvistus, käsitelläänkö hänen henkilötietojaan Yhtiön tai sen käsittelijöiden toimesta, ja saada pääsy tietoihinsa.
- Oikeus oikaista tietoja: rekisteröidyllä on oikeus pyytää rekisterinpitäjää korjaamaan erheelliset tai epätäydelliset henkilötietonsa, joita käsitellään Palveluksen yhteydessä.
- Oikeus poistaa tiedot: rekisteröidyllä on oikeus pyytää, että häntä koskeva henkilötieto poistetaan, jos sitä ei enää tarvita siihen tarkoitukseen, johon se on kerätty tai käsitelty, jos rekisteröity vastustaa käsittelyä eikä käsittelylle ole mitään pakottavia oikeusperusteita, jos henkilötietoja käsitellään lainvastaisesti, tai jos henkilötietoja on poistettava lakisääteisen velvoitteen noudattamiseksi.
- Oikeus rajoittaa käsittelyä: rekisteröidyllä on oikeus pyytää rajoittamaan häntä koskevien henkilötietojen käsittelyä, jos henkilötietojen paikkansapitävyys kiistetään, jos käsittely on lainvastaista tai jos rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja mutta rekisteröity perustellusti vastustaa henkilötietojen poistamista, tai jos rekisteröity vastustaa käsittelyä, eikä ole vielä todennettu, onko käsittelylle oikeusperustetta.
- Oikeus vastustaa: rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä siltä osin, kuin tietoja käsitellään GDPR:n artiklan 6(1)(f) nojalla, missä tapauksessa rekisterinpitäjän on todistettava, että käsittelylle on painava oikeudellinen peruste, jotta se voi jatkaa kyseisten henkilötietojen käsittelemistä.
- Oikeus valittaa: rekisteröidyillä on oikeus valittaa henkilötietojen käsittelystä Palveluksen yhteydessä toimivaltaiselle tietosuojaviranomaiselle. Suomessa toimivaltainen tietosuojaviranomainen on tietosuojavaltuutettu (tietosuoja@om.fi).