DATASKYDDSBESKRIVNING FÖR KUNDER, LEVERANTÖRER OCH ANDRA INTRESSENTGRUPPER
DATASKYDDSBESKRIVNING FÖR KUNDER, LEVERANTÖRER OCH ANDRA INTRESSENTGRUPPER
Uppdaterad 19.5.2021
1. Personuppgiftsansvarig
HYKS-instituutti Oy (FO-nummer: 0872967-2)
Xxxxxxxxxxxxxxx 000, PB 710, 00029 HUS
(“HUCS-institutet”, “vi”, “personuppgiftsansvarig”)
2. Den personuppgiftsansvariges ansvars- och kontaktperson
Ekonomichef Xxxxx Xxxxxxx Xxxxxxxxxxxxxxx 000, XX 710, 00029 HUS ext-minna.aromaki[at]xxx.xx
Ansvars- och kontaktpersonen har till uppgift att se till att behandlingsåtgärderna planeras och genomförs i enlighet med bestämmelserna och föreskrifterna tillsammans med dataskyddsombudet vid HUS.
Dataskyddsombud är HUS-koncernens dataskyddsombud: HUS Centralregistratur
PB 200, 00029 HUS
3. Allmänt
I denna dataskyddsbeskrivning redogörs för hur vi samlar in och behandlar personuppgifter från våra kunder, leverantörer och andra företrädare för våra intressentgrupper (”registrerade”). Därtill beskrivs förutsättningarna för och omfattningen av behandlingen av personuppgifter.
På behandlingen av registrerade personuppgifter tillämpas bestämmelserna i Europeiska unionens allmänna dataskyddsförordning (2016/679, “dataskyddsförordningen”) och dataskyddslagen (1050/2018) som är tillämpliga som allmänna lagar och andra tillämpliga speciallagar (tillsammans ”tillämplig lagstiftning”).
4. Syftet med och rättsgrunden för behandlingen av personuppgifter
Vi behandlar personuppgifter särskilt för följande syften:
• Tillhandahållande av tjänster som beställts och/eller används av dig eller din organisation samt fullgörande av skyldigheter i anslutning till detta
• Fullgörande av de skyldigheter som hänför sig till de produkter och/eller tjänster som vi beställer
• Skötsel, hantering och utveckling av kundrelationer eller andra samarbetsrelationer, inklusive kontakter samt tillhandahållande av kundservice och kommunikation
• Ordnande av evenemang och tillställningar, såsom kundevenemang och utbildningar
• Fakturering och betalning av fakturor
• Skötsel av lagstadgade avgifter
• Analys och statistikföring för affärsverksamhetens syften
• Utveckling av våra tjänster och vår kundservice t.ex. med hjälp av enkäter om kundnöjdhet och respons
• Förhindrande och utredning av missbruk, vilket kan genomföras t.ex. med hjälp av kameraövervakning eller annan teknisk övervakning
• Fullgörande av lagstadgade skyldigheter och svar på myndigheters begäranden om information eller andra krav
• Marknadsföring och reklam, inklusive riktad marknadsföring och direktmarknadsföring, i den mån den är baserad på tillämplig lagstiftning och/eller ditt samtycke
Det bör finnas en laglig grund för behandling av personuppgifter som baserar sig på dataskyddsförordningen. Vår behandling av personuppgifter grundar sig beroende på behandlingsåtgärden på ett eller flera av följande behandlingsgrunder:
• Ingående eller genomförande av ett avtal mellan oss och dig eller den organisation du företräder;
• Behandling av personuppgifter för syften som hänför sig till ett kundförhållande eller något annat motsvarande samarbetsförhållande, varvid grunden för behandlingen av personuppgifter är ett berättigat intresse för oss eller en tredje part (såsom nuvarande eller framtida affärspartner, leverantörer eller kunder), förutsatt att den registrerades grundläggande fri- och rättigheter inte väger tyngre än detta berättigade intresse. Exempel på berättigade intressen är t.ex. skötsel och utveckling av ett kundförhållande eller ett därmed jämförbart samarbetsförhållande, andra berättigade affärssyften, såsom utveckling av våra tjänster, samt direktmarknadsföring;
• Ditt samtycke; eller
• Lagstiftning som förpliktar oss.
När lämnandet av dina personuppgifter till oss på det sätt som beskrivs i denna dataskyddsbeskrivning grundar sig på ett avtal mellan oss och dig eller den organisation du företräder, är du skyldig att lämna vissa personuppgifter för de behandlingssyften som specificeras i denna dataskyddsbeskrivning. Observera att underlåtenhet att lämna ut personuppgifter kan hindra oss från att fullgöra våra avtalsförpliktelser eller andra förpliktelser eller åtaganden, vilket kan leda till att du eller den organisation du företräder inte kan ingå avtal eller göra en beställning, eller att en tjänst som redan beställts inte kan levereras. Detta gäller dock inte fall där lämnandet av uppgifter eller en viss behandling av uppgifterna baserar sig på ditt samtycke.
5. Personuppgifter som behandlas
Vi behandlar bara sådana personuppgifter som är nödvändiga för syftet med dessa personuppgifter. Beroende på fallet behandlar vi vanligtvis följande personuppgifter:
• Basuppgifter, såsom namn, kontaktuppgifter (inklusive adress, telefonnummer och e- postadress), personbeteckning och, om den registrerade företräder en sammanslutning, uppgifter om sammanslutningen samt uppgifter om den registrerades ställning och uppgifter inom sammanslutningen.
• Uppgifter om kundrelationen eller en annan motsvarande samarbetsrelation, såsom uppgifter om avtal, beställningar och tjänster som används, fakturerings- och betalningsuppgifter, uppgifter om kontakter och möten mellan oss och den registrerade samt uppgifter om förbud mot direktmarknadsföring;
• Uppgifter om deltagande i evenemang och tillställningar som vi ordnar, inklusive ovan nämnda basuppgifter och uppgifter om deltagande.
Utöver de personuppgifter som anges ovan kan vi behandla uppgifter som hör till särskilda kategorier av personuppgifter, dvs. känsliga uppgifter, på följande sätt:
• Uppgifter om specialdiet i samband med evenemang och tillställningar.
Dessutom kan vi behandla ändringsuppgifterna för alla de typer av uppgifter som räknas upp ovan.
6. Regelmässiga uppgiftskällor
Vi samlar i regel in personuppgifter från dig själv eller från den organisation du företräder, till exempel i samband med möten, ingående av avtal, beställningar eller fakturering. Om kund- eller andra samarbetsrelationer fortsätter och/eller i samband med produktionen av beställda tjänster samlas dina personuppgifter också in av dig på annat sätt, t.ex. i kundservicesituationer eller under andra kontakter via telefon eller e-post. Vi kan samla in och uppdatera personuppgifter också hos myndigheter och företag som tillhandahåller personuppgiftstjänster, såsom Suomen Asiakastieto Oy.
7. Regelmässigt utlämnande av uppgifter
Vi kan överföra personuppgifter för behandling på särskilt uppdrag till tredje part som producerar tjänster för oss, såsom informationssystem-, programvaru- eller andra databehandlingstjänster. Vi har med alla utomstående personuppgiftsbiträden ingått ett avtal om behandling av uppgifter som uppfyller kraven i EU:s dataskyddsförordning och som säkerställer att behandlingen är lagenlig.
De registrerades personuppgifter får dessutom lämnas ut till myndigheter eller tredje parter med stöd av tillämplig lagstiftning eller beslut eller föreskrifter av domstolar eller myndigheter som är förpliktande för oss.
Personuppgifter får dessutom lämnas ut till moderbolaget samt i samband med överföringar av verksamhet enligt bestämmelserna om överlåtelse av rörelse till den mottagande organisationen samt till dennes rådgivare i fråga om den personal som överförs.
8. Förvaringstid för uppgifter
Förvaringstiden för personuppgifter beror på uppgiften och dess användningsändamål. Vi förvarar personuppgifterna åtminstone så länge de behövs för de angivna användningsändamålen. Förvaringstiden för personuppgifter bestäms enligt följande grunder:
• Personuppgifter förvaras så länge som vårt berättigade intresse med fog kan anses vara i kraft. Giltighetstiden för ett berättigat intresse bestäms t.ex. utifrån kontakterna mellan oss och den registrerade. I typiska fall är förvaringstiden för personuppgifter
bunden till giltighetstiden för avtalet mellan oss och den registrerade eller den organisation som den registrerade företräder.
• Personuppgifter kan också omfattas av lagstadgade förvaringstider. Exempelvis bokföringslagstiftningen förutsätter att de uppgifter som ingår i bokföringsmaterialet förvaras i sex år.
• Om den registrerade har återkallat sitt eventuella samtycke eller motsatt sig behandlingen av sina personuppgifter för särskilda ändamål, ska den registrerades uppgifter raderas om det inte finns någon annan rättslig grund för behandlingen eller behandlingen av uppgifterna för särskilda ändamål avslutas.
När personuppgifter inte längre behövs förstörs uppgifterna på ett informationssäkert sätt eller anonymiseras oåterkalleligt.
9. Överföring av uppgifter till områden utanför EU eller EES
Om vi överför personuppgifter till länder utanför EU- eller EES-området, säkerställer vi genom avtal eller andra lämpliga skyddsåtgärder att en tillräcklig skyddsnivå iakttas vid behandlingen av personuppgifterna. Du kan be om ytterligare information om gränsöverskridande överföringar av personuppgifter och om lämpliga skyddsåtgärder för sådana överföringar genom att kontakta den kontaktperson som nämns i punkt 2.
10. Principer för skydd av personuppgifter
Vid behandlingen av personuppgifter iakttas den omsorgsfullhet som dataskyddsförordningen kräver och uppgifterna skyddas på behörigt sätt. Personuppgifter är tillgängliga endast för de personer för vilkas arbetsuppgifter det är nödvändigt.
Den fysiska och digitala datasäkerheten för de uppgifter som lagras elektroniskt och manuellt ska tryggas så att åtkomsten till uppgifterna begränsas endast till personer som på grund av sina arbetsuppgifter har rätt att behandla uppgifterna i fråga. Personerna i fråga har tystnadsplikt. Material som behandlas elektroniskt samlas in i databaser som är skyddade med lösenord, brandmurar och andra tekniska metoder. Alla manuellt behandlade personuppgifter förvaras i ett låst utrymme med begränsad åtkomst. Allt material förstörs på ett informationssäkert sätt.
11. Den registrerades rättigheter
Som registrerad har du följande rättigheter i anslutning till behandlingen av dina personuppgifter enligt dataskyddsförordningen:
• rätt att få uppgifter om behandlingen av dina personuppgifter;
• rätt att få tillgång till dina egna uppgifter och att kontrollera personuppgifter som gäller dig själv;
• rätt att begära rättelse av oriktiga eller felaktiga uppgifter och att komplettera uppgifterna;
• rätt att begära radering av dina personuppgifter;
• rätt att återkalla ditt samtycke och motsätta dig behandlingen av dina personuppgifter till den del behandlingen baserar sig på ditt samtycke;
• rätt att motsätta sig behandling av dina personuppgifter på grund av en särskild personlig situation till den del behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges berättigade intresse;
• rätt att få dina personuppgifter i maskinläsbar form och överföra dem till en annan personuppgiftsansvarig, förutsatt att du själv har lämnat personuppgifterna till den personuppgiftsansvarige, att den personuppgiftsansvarige behandlar personuppgifterna i fråga med stöd av ett avtal eller ett samtycke från den registrerade och att behandlingen sker automatiskt; samt
• rätt att kräva att behandlingen av dina personuppgifter begränsas.
Du kan utöva dina ovannämnda rättigheter genom att skicka en skriftlig begäran om detta per post eller e-post till den kontaktperson som nämns i punkt 2. Du kan göra begäran antingen fritt formulerat eller genom att använda den bifogade blanketten. Vi kan vid behov be dig precisera din begäran och verifiera din identitet innan begäran behandlas. Vi svarar i regel inom en månad från mottagandet av begäran. Observera att din begäran inte nödvändigtvis kan uppfyllas om det finns en sådan grund för vägran som anges i dataskyddsförordningen.
12. Rätt att överklaga hos tillsynsmyndigheten
Om du anser att dataskyddsförordningen inte har följts vid behandlingen av dina personuppgifter har du rätt att överklaga hos tillsynsmyndigheten i den medlemsstat där du har din permanenta bostad eller arbetsplats eller där det påstådda intrånget har skett.
I Finland är dataombudsmannen tillsynsmyndighet: Dataombudsmannens byrå
PB 800, 00531 Helsingfors
tietosuoja[at]xx.xx xxxxx://xxxxxxxxxx.xx
BILAGA Inlämning av blanketten:
HYKS-instituutti Oy PB 710
00029 HUS
Med denna blankett kan jag utöva de rättigheter som hänför sig till behandlingen av mina personuppgifter.
Jag vill: (kryssa för ett eller flera alternativ beroende på vilken rättighet du vill utöva)
☐ få information om behandlingen av mina personuppgifter;
☐ få tillgång till mina egna uppgifter och kontrollera de personuppgifter om mig som ni behandlar;
☐ kräva en korrigering av en inexakt och/eller felaktig personuppgift och/eller en komplettering av uppgifter;
☐ kräva att mina personuppgifter raderas;
☐ återkalla mitt samtycke och motsätta mig behandlingen av mina personuppgifter i den utsträckning behandlingen av mina personuppgifter grundar sig på ett samtycke som jag gett;
☐ motsätta mig behandlingen av mina personuppgifter enligt en särskild personlig grund som anknyter till min situation i den utsträckning grunden för behandlingen av mina personuppgifter är ert berättigade intresse;
☐ kräva att behandlingen av mina personuppgifter begränsas.
En mer detaljerad beskrivning av hur jag vill utöva mina rättigheter och vad min begäran grundar sig på:
Genom att underteckna denna blankett bekräftar jag valet jag gjort ovan.
Kontaktuppgifter (användningsändamålet är endast att vidta åtgärder som anknyter till mina rättigheter)
Hela namnet: Gatuadress:
Postnummer och postort:
E-post:
Ort och datum: Underskrift: