Tietosuojaseloste

Tietosuojakäytänteet – BitHabit

Viimeksi päivitetty: 2.4.2024
Tämän asiakirjan tarkoituksena on kertoa Wellpro Impact Solutions Oy:n, y-tunnus 3227015-2, (jäljempänä ”Yhtiö”), henkilötietojen käsittelystä ja keräämisestä Yhtiön ylläpitämän BitHabit-palvelun (jäljempänä ”Palvelu”) yhteydessä. Henkilötieto tarkoittaa kaikkea tietoa, jonka nojalla yksittäinen henkilö voidaan tunnistaa. Nämä tietosuojakäytänteet liittyvät ensisijaisesti Palveluun. Tietoa Yhtiön henkilötietojen käsittelystä muissa yhteyksissä on nähtävillä osoitteessa: https://wellpro.fi/.

1. Rekisterinpitäjä ja käsittelijät

Palvelun yhteydessä Yhtiö toimii rekisterinpitäjänä, eli määrittelee Palveluun kerättävät henkilötiedot sekä käsittelyn tarkoitukset. Yhtiö käyttää seuraavia käsittelijöitä Palveluun liittyvien henkilötietojen käsittelyssä erillisten, käsittelijöiden kanssa laadittujen kirjallisten käsittelysopimusten nojalla:
  • Konesali/verkkopalvelualustatarjoaja, tällä hetkellä Skillwell Oy (kotipaikka Jyväskylä)
  • BitHabit-aktivointipalvelu toimii Amazon Web Services -yhtiön (AWS) eurooppalaisissa datakeskuksissa.
  • Kyselytietojen syöttäminen Palveluun, tällä hetkellä Typeform S.L. (kotipaikka Barcelona)
  • Uutiskirje/SMS palveluntarjoaja, tällä hetkellä SendinBlue SAS (kotipaikka Pariisi)
  • CRM palveluntarjoaja, tällä hetkellä Monday.com Ltd. (kotipaikka Tel Aviv)
  • Allekirjoituspalvelu, tällä hetkellä Oneflow (kotipaikka Stockholm)
  • Web-sivupalvelut, tällä hetkellä Planeetta Internet Oy (kotipaikka Helsinki)
  • Laskutuspalveluntarjoaja Business-to-Business -asiakkaiden osalta, tällä hetkellä Fennoa Oy (kotipaikka Alavus)
Kuluttaja-asiakkaiden osalta laskutuspalveluntarjoajat kuten Stribe, PayPal, Mastercard, Visa ym. toimivat itsenäisinä rekisterinpitäjinä, joiden omista tietosuojakäytänteistä on kerrottu mm. heidän verkkosivuillaan.

2. Henkilötietojen kategoriat ja käsittelyn lailliset perusteet

Henkilötietoja käsitellään Palvelussa EU:n yleisen tietosuoja-asetuksen (jäljempänä ”GDPR”) ja soveltuvan kansallisen tietosuojalainsäädännön säännösten nojalla. Henkilötietojen antaminen on välttämätöntä Palvelun käyttämiseksi. Poikkeus: Pelkän BitHabit-kyselypalvelun käyttäminen ei edellytä henkilötietojen antamista, kts. kohta 3. Tutkimuskäytössä tämä poikkeus ei ole voimassa.
Henkilötietojen kategoria Käsittelyn tarkoitus Käsittelyn laillinen peruste Henkilötietojen poistaminen
Käyttäjien nimet, yhteystiedot Palvelun käyttöönotto, asiakkuuden hoitaminen, tukipyyntöihin vastaaminen Sopimuksen täytäntöön paneminen (GDPR Artikla 6(1)(b)) 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn
Palautekyselyt ohjelmiston toimivuudesta Yhtiön oikeutettu etu (GDPR Artikla 6(1)(f)) 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn
Taustatiedot: Ikä, sukupuoli, ammatti, äidinkieli, koulutustaso, terveystiedot (nykyiset ja aiemmat sairaudet, liikuntarajoitteet), alkoholin/päihteiden käyttö, ruokailutottumukset, liikuntatottumukset, mahdolliset stressaavat elämänmuutokset, tyytyväisyys omaan elämään, sosiaalinen aktiivisuus, suunniteltu eläkeikä, motivaatio työssä jatkamiseen Terveyteen ja elämäntapoihin liittyvät taustatiedot, jotka annetaan Palveluksen käyttöönoton yhteydessä; taustatietoja verrataan Palveluksen aikana saatuihin tietoihin kertoakseen käyttäjälle hänen terveytensä tai elämäntapojensa muutoksesta Suostumus (GDPR Artikla 6(1)(a)) 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn
Palveluun itse raportoidut tiedot: työstressi, mahdolliset nukkumisvaikeudet, liikunnan aloittaminen, ruokailun seuraaminen, itsehavaitut muutokset kognitiossa, läheisten havaitsemat muutokset kognitiossa, muutokset tyytyväisyydessä omaan elämään, muutokset sosiaalisessa aktiivisuudessa, avoin kenttä huomioille, johon voi sisältyä muita henkilötietoja Terveyteen ja elämäntapoihin liittyvien muutosten dokumentointi Suostumus (GDPR Artikla 6(1)(a)) 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn
Käyttäjän Palveluun kirjaamat aktivointiteot: liikuntasuoritukset, sosiaaliset kohtaamiset, ravintoon liittyvät teot, mieleen tai kognitioon liittyvät teot Terveyteen ja elämäntapoihin liittyvien tekojen kirjaaminen Suostumus (GDPR Artikla 6(1)(a)) 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn
Käyttäjän Palveluun kirjaamista tiedoista muodostetut tilastot sekä graafiset mallit Terveyteen ja elämäntapoihin liittyvien muutosten tilastointi ja aktivointitekojen seuraamine, jotta käyttäjä voi seurata toteutuvatko terveyteen liittyvät suunnitelmat Suostumus (GDPR Artikla 6(1)(a)) 12 kuukauden kuluttua siitä, kun asiakkaan tili on muuttunut epäaktiiviseksi, tai kun niitä ei ole enää tarpeellista säilyttää alkuperäisiin käyttötarkoituksiin tai muuhun lailliseen käsittelyyn

3. BitHabit-kyselypalvelun tiedot

Yhtiö käsittelee BitHabit-kyselypalvelun yhteydessä monia kohdassa 2 mainituista tiedoista, jotka ovat sinänsä henkilötietoja, mutta ne eivät yhdisty mihinkään yksittäiseen käyttäjään, eivätkä ne siitä syystä ole henkilötietolainsäädännön piirissä. BitHabit-kyselypalvelun käytön yhteydessä ei kerätä mitään henkilöä yksilöivää tietoa kuten nimeä tai yhteystietoja, eikä BitHabit-kyselypalvelun tietoja liitetä Palvelun keräämiin tietoihin, joihin sisältyy myös henkilöä yksilöiviä tietoja.

4. Erityiset henkilötietojen ryhmät

Yhtiö käsittelee Palvelun yhteydessä laajasti erityisiä henkilötietojen ryhmiä (”herkkiä henkilötietoja”), jotka liittyvät erityisesti käyttäjien terveyteen, liikuntatottumuksiin, sekä sosiaaliseen elämään. Yhtiön peruste poiketa GDPR:n artiklan 9 herkkien henkilötietojen käsittelykiellosta on käyttäjien nimenomainen suostumus, joka otetaan käyttäjiltä Palveluksen käyttöönoton yhteydessä. Palveluksen käyttö ei käytännössä ole mahdollista ilman tätä nimenomaista suostumusta, koska Palvelukseen syötetyt henkilötiedot ovat suurimmaksi osaksi herkkiä henkilötietoja.

5. Tietoturva

Yhtiö suojelee henkilötietoja kohtuullisin, asianmukaisin suojatoimin estääkseen tahattomia tietovuotoja, luvatonta henkilötietojen käsittelyä, sekä henkilötietojen erheellistä tai luvatonta tuhoutumista, käyttöä, muuttamista tai paljastumista. Yhtiö on toimeenpannut asianmukaiset tekniset ja organisatoriset toimet henkilötietojen turvaamiseksi. Edellä mainitut toimet, kuten Yhtiön henkilöstön ja käsittelijöiden pääsyn rajaaminen henkilötietojen ja henkilötietojen säilyttäminen ja käsittely salatussa muodossa on mitoitettu ottaen huomioon mahdollisten tietovuotojen vahingollisuus ja todennäköisyys, käsiteltävien henkilötietojen herkkyys, olosuhteet missä niitä säilytetään, sekä turvallisuusteknologiassa tapahtuva kehitys.

6. Rekisteröidyn oikeudet

GDPR:n nojalla rekisteröidyllä on seuraavat oikeudet henkilötietoihin liittyen, kuten tarkemmin selostetaan GDPR:n artikloissa 15-21:
  • Oikeus peruuttaa suostumus: siltä osin kuin käsittely perustuu käyttäjien suostumukseen, käyttäjillä on milloin tahansa oikeus peruuttaa antamansa suostumus ja pyytää, että heitä koskevat tiedot poistetaan Palveluksesta.
  • Pääsy tietoihin: rekisteröidyllä on oikeus pyytää vahvistus, käsitelläänkö hänen henkilötietojaan Yhtiön tai sen käsittelijöiden toimesta, ja saada pääsy tietoihinsa.
  • Oikeus oikaista tietoja: rekisteröidyllä on oikeus pyytää rekisterinpitäjää korjaamaan erheelliset tai epätäydelliset henkilötietonsa, joita käsitellään Palveluksen yhteydessä.
  • Oikeus poistaa tiedot: rekisteröidyllä on oikeus pyytää, että häntä koskeva henkilötieto poistetaan, jos sitä ei enää tarvita siihen tarkoitukseen, johon se on kerätty tai käsitelty, jos rekisteröity vastustaa käsittelyä eikä käsittelylle ole mitään pakottavia oikeusperusteita, jos henkilötietoja käsitellään lainvastaisesti, tai jos henkilötietoja on poistettava lakisääteisen velvoitteen noudattamiseksi.
  • Oikeus rajoittaa käsittelyä: rekisteröidyllä on oikeus pyytää rajoittamaan häntä koskevien henkilötietojen käsittelyä, jos henkilötietojen paikkansapitävyys kiistetään, jos käsittely on lainvastaista tai jos rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja mutta rekisteröity perustellusti vastustaa henkilötietojen poistamista, tai jos rekisteröity vastustaa käsittelyä, eikä ole vielä todennettu, onko käsittelylle oikeusperustetta.
  • Oikeus vastustaa: rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä siltä osin, kuin tietoja käsitellään GDPR:n artiklan 6(1)(f) nojalla, missä tapauksessa rekisterinpitäjän on todistettava, että käsittelylle on painava oikeudellinen peruste, jotta se voi jatkaa kyseisten henkilötietojen käsittelemistä.
  • Oikeus valittaa: rekisteröidyillä on oikeus valittaa henkilötietojen käsittelystä Palveluksen yhteydessä toimivaltaiselle tietosuojaviranomaiselle. Suomessa toimivaltainen tietosuojaviranomainen on tietosuojavaltuutettu (tietosuoja@om.fi).

7. Tiedonsiirrot EU/ETA-alueen ulkopuolelle

Yhtiön palvelimet sijaitsevat tällä hetkellä Suomessa, ja Yhtiön käsittelijöiden palvelimet ovat suurimmaksi osaksi joko EU/ETA-alueella, tai maissa, joissa on EU komission päätöksellä vastaava tietosuojan taso. Palveluksen yhteydessä kerättyjä tai käsiteltäviä tietoja siirretään tai käsitellään EU- tai ETA-alueen ulkopuolelle ainoastaan GDPR:n artiklan 46 mukaisella siirtoperusteella, esimerkiksi Euroopan komission antaman vastaavuuspäätöksen nojalla tai Euroopan komission hyväksymien vakiolausekkeiden nojalla. Siltä osin kuin siirrot tehdään vakiolausekkeiden nojalla, rekisteröidyillä on oikeus saada nähdä vakiolausekkeiden liitteenä oleva kuvaus siirrettävistä henkilötiedoista.

8. Muutokset tietosuojakäytänteisiin

Näihin tietosuojakäytänteisiin voidaan ajoittain tehdä muutoksia lataamalla päivitetty versio asiakirjasta Palvelukseen tai muuten rekisteröityjen saataville, jonka jälkeen päivitettyä versiota sovelletaan. Mikäli tietosuojakäytänteisiin tehdään olennaisia muutoksia, Yhtiö pyrkii myös tiedottamaan asioista muilla keinoilla, esimerkiksi sähköpostilla.
— Asiakirja päättyy —