Rekisteriseloste koskien FitStopin toteuttamaa Firstbeat Life -palvelua, jossa tietoja käsitellään Firstbeat Technologies Oy:n Firstbeat Life -verkkopalvelussa. Seloste sisältää EU:n yleisen tietosuoja-asetuksen (GDPR) määrittämät tiedot henkilötietojen käytöstä.
REKISTERINPITÄJÄ JA TIETOJEN KÄSITTELIJÄ
FitStop, Y-tunnus 2780816-5 , Killankallionkatu 2 29200 Harjavalta, jäljempänä “Rekisterinpitäjä”.
Firstbeat Technologies Oy (yritys- ja yhteisötunnus 1782772-5), käyntiosoite Yliopistonkatu 28 A, 40700 Jyväskylä (jäljempänä “Firstbeat”) toimii tietojen käsittelijänä Rekisterinpitäjän lukuun.
TERMIT
“Asiakas” on luonnollinen tai juridinen henkilö, jonka kanssa tehdyn sopimuksen perusteella Rekisterinpitäjä tuottaa Firstbeat Life -palvelun Asiakkaan määrittämien Mitattavien mittaus- ja muita henkilötietoja käyttäen. Tyypillisessä tilanteessa Asiakas on työnantaja, jonka työntekijät ovat Mitattavia. Asiakas voi olla myös itse Mitattava.
“Mitattava” on luonnollinen henkilö, jolle Rekisterinpitäjä tuottaa Firstbeat Life -palvelun käyttäen Mitattavan sykemittaustietoja sekä muita henkilötietoja.
YHTEYSHENKILÖ REKISTERIÄ KOSKEVISSA ASIOISSA
Rekisterinpitäjään voi ottaa yhteyttä rekisteriä koskevissa asioissa fitstop.alruusunen@gmail.com, +358 (0)44 3300966. Yhteyshenkilönä tietosuoja-asioissa toimii Anna-Liisa Ruusunen.
HENKILÖTIETOJEN KÄSITTELYN TARKOITUS JA OIKEUSPERUSTE
Henkilötietojen käyttötarkoitus Firstbeat Life -palvelun on Mitattavalle tehtävä analyysi hyvinvoinnin eri osa-alueista käyttäen Mitattavan henkilökohtaisia ominaisuuksia ja käyttäytymistä kuvaavia tietoja sekä sykemittaustietoa. Muita henkilötietojen käyttötarkoituksia ovat mm. käyttäjätukeen liittyvät toimet ja palvelun käytön tilastointi.
Sovellettavan lainsäädännön edellyttäessä Mitattavan suostumusta tässä selosteessa tarkoitettuun henkilötietojen käsittelyyn (esimerkiksi kun on kysymys terveyteen liittyvistä tiedoista eli ns. erityisistä henkilötiedoista), suostumus hankitaan asianmukaista menetelmää käyttäen. Tämä voi tapahtua esimerkiksi rastittamalla erikseen suostumusta osoittava ruutu, tekemällä valinta palvelun tai verkkosivuston teknisissä asetuksissa taikka muulla suostumuksen yksiselitteisesti ilmaisevalla ilmoituksella tai toiminnalla. Suostumuksen epääminen saattaa vaikuttaa kyseessä olevan palvelun tarjoamiseen.
Lokitietoja verkkopalvelun käytöstä tai mittalaitteiden käsittelystä tallennetaan lisäksi Rekisterinpitäjän, Asiakkaan, Firstbeatin sekä Mitattavien oikeutettujen etujen turvaamiseksi esimerkiksi mahdollisten tietoturvaongelmien tutkimista varten sekä esimerkiksi, jotta voidaan tarvittaessa todistaa, että laskutetut palvelut on suoritettu.
Henkilötietojen käsittelyperusteena on osapuolten välinen sopimus taikka Rekisterinpitäjän oikeutettu etu, joka perustuu osapuolten väliseen asialliseen yhteyteen. Käsittelyn oikeusperusteena voi olla myös Mitattavan suostumus, sovellettavan lainsäädännön niin edellyttäessä.
Lisäksi todettakoon, että kopio palveluun tallennetuista tiedoista luovutetaan Firstbeatille anonyymissa muodossa tilastollista sekä tieteellistä tutkimusta varten, kuten keskimääräisten viitearvojen laskentaan.
HENKILÖTIETOJEN SÄILYTYSAIKA
Mittauksiin liittyvät henkilötiedot säilytetään palvelukonseptiin kuuluvia mahdollisia seurantamittauksia varten 3 vuotta viimeisen mittauksen jälkeen, minkä jälkeen ne poistetaan. Jos Mitattava on antanut erillisen suostumuksensa pitempiaikaiseen säilytykseen, henkilötietoja voidaan säilyttää myös pitempään.
KUVAUS REKISTERÖITYJEN RYHMÄSTÄ
Henkilörekisteri sisältää henkilötietoja Mitattavista. Tyypillisessä tapauksessa Mitattavan edustama organisaatio, kuten työnantaja, on Rekisterinpitäjän Asiakas ja Asiakas määrittää ketkä ovat Mitattavia.
KUVAUS TIETOLÄHTEISTÄ
Asiakas toimittaa Rekisterinpitäjälle kunkin Mitattavan sähköpostiosoitteen. Muut tiedot saadaan palvelun toimittamista varten Mitattavalta itseltään verkkopalvelun kautta sekä mittalaitteita käyttämällä. Rekisterinpitäjä saattaa lisäksi kerätä tietoja Mitattavilta palvelun käytön yhteydessä tai muulla tavoilla.
KUVAUS REKISTERÖITYIHIN LIITTYVISTÄ TIEDOISTA
Rekisterinpitäjä kerää tässä selosteessa kuvattuja tarkoituksia varten Firstbeat Life -palvelun Mitattavista osittain tai kokonaan seuraavia tietoja:
- Etu- ja sukunimi
- Syntymäaika, sukupuoli, pituus, paino
- Aktiivisuusluokka, maksimi- ja minimisyke, maksimaalinen hapenottokyky
- Käyttöliittymässä asetettu kieli
- Tietoja pitkäaikaisista sairauksista ja lääkityksestä
- Sykemittaustietoja sekä mittausajan päiväkirjamerkintöjä, kuten alkoholin käyttö, lyhytaikaiset sairaudet ja lääkitys, merkintöjä yksittäisistä tapahtumista
- Yhteystietoja, kuten osoite, sähköpostiosoite ja puhelinnumero
- Tietoja työnantajasta, kuten työnantajan nimi, yhteystiedot ja henkilöstöryhmä
- Tietoja palvelun käytöstä
- Tieto suostumuksista tietojen käsittelyyn palvelussa
- Analyysin tuloksena Mitattavalle luotu raportti ja toimenpidetavoitteet
KUVAUS REKISTERIN SUOJAUKSEN PÄÄPERIAATTEISTA
Rekisterinpitäjä noudattaa hyvää tiedonhallintatapaa sekä tietosuojalainsäädännön mukaista huolellisuusvelvoitetta. Rekisterinpitäjä suojaa keräämänsä henkilötiedot siten, etteivät muut kuin Rekisterinpitäjän määrittelemät henkilöt tai tietojen käsittelijät voi käsitellä niitä ja että tietoja käsitellään vain liittyen työtehtäviin.
Siltä osin, kun tietoja käsitellään Firstbeatin järjestelmissä, Firstbeat vastaa omalta osaltaan rekisterin suojauksesta.
TIETOJEN SIIRTÄMINEN JA LUOVUTTAMINEN
Henkilötiedot säilytetään ainoastaan Rekisterinpitäjän tai Firstbeatin hallinnoimissa järjestelmissä. Henkilötietoja ei luovuteta ilman Mitattavan suostumusta Rekisterinpitäjän tai sen nykyisten tai tulevien konserniyhtiöiden ulkopuolelle siten, että tiedot olisivat tunnistettavissa yksittäistä käyttäjää koskeviksi muissa kuin seuraavissa poikkeustilanteissa: lain tai viranomaismääräyksen velvoittamana, tuomioistuimen määräyksestä tai jos se on muuten tarpeen lain, verkkopalveluiden käyttöehtojen tai hyvän tavan epäiltyjen loukkausten estämiseksi tai selvittämiseksi taikka rekisterinpitäjän tai kolmansien oikeuksien suojaamiseksi.
Mitattavan henkilötietoja voivat käsitellä sellaiset valtuutetut kolmannet osapuolet, jotka käsittelevät henkilötietoja Rekisterinpitäjän puolesta tässä selosteessa kuvatuissa tarkoituksissa (esimerkiksi teknisten palveluiden tarjoajat). Nämä palveluntarjoajat saavat käyttää henkilötietoja ainoastaan Rekisterinpitäjän ohjeistuksen mukaisesti eli vain siihen tarkoitukseen, johon tiedot on kerätty. Rekisterinpitäjä edellyttää, että kyseiset palveluntarjoajat toimivat soveltuvan lainsäädännön ja tämän selosteen mukaisesti asianmukaisen henkilötietojen suojan turvaten ja varmistaen.
Rekisterinpitäjä ei luovuta Mitattavasta tallennettuja henkilötietoja Asiakkaalle. Asiakkaalle toimitetaan ainoastaan keskiarvotietoja Mitattavien hyvinvoinnista. Keskiarvotietoja ei toimiteta, jos Mitattavien määrä on niin pieni, että yksittäisen Mitattavan tiedot olisivat tunnistettavissa keskiarvoista.
REKISTERÖIDYN OIKEUDET
Mitattavalla on Suomessa sovellettavan tietosuojalainsäädännön, mukaan lukien EU:n tietosuoja-asetus (GDPR), mukaiset oikeudet tarkastaa ja korjata tai vaatia korjattavaksi virheellisiä henkilötietojansa tai tietyissä tilanteissa oikeus vaatia henkilötietojansa poistettavaksi. Mitattavalla on siten oikeus pyytää, että Rekisterinpitäjä oikaisee ilman aiheetonta viivytystä häntä koskevat epätarkat tai virheelliset henkilötiedot. Mitattavalla on oikeus saada tietonsa poistetuksi ilman aiheetonta viivytystä, esimerkiksi milloin henkilötietoja ei enää tarvita niiden alkuperäisiin käsittelytarkoituksiin, henkilötietoja on käsitelty lainvastaisesti tai rekisteröity peruuttaa antamansa suostumuksen eikä käsittelylle ole muuta laillista perustetta.
Mitattavalla on oikeus vaatia, että Rekisterinpitäjä rajoittaa käsittelyä tietyissä tilanteissa, esimerkiksi milloin Mitattava kiistää tietojensa paikkansa pitävyyden tai käsittely on lainvastaista. Tietyissä tilanteissa Mitattavalla on myös oikeus vastustaa henkilötietojen käsittelyä.
Mitattavalla voi tietyissä tilanteissa olla oikeus pyytää tietojen siirtämistä järjestelmästä toiseen. Kun Mitattavan henkilötietoja käsitellään hänen antamaansa suostumukseen perustuen, Mitattavalla on lisäksi milloin tahansa oikeus perua tällaiseen käsittelyyn antamansa suostumus.
Ensisijaisesti Rekisterinpitäjä toivoo, että mahdolliset erimielisyydet henkilötietojen käsittelyssä ratkaistaan sovinnollisesti osapuolten kesken. Mikäli tällaista asiaa ei kuitenkaan saada sovinnollisesti ratkaistua, on Mitattavalla oikeus tehdä valitus tietosuoja-asioista vastaavalle valvontaviranomaiselle.
Tarkastus-, korjaus- ja poistopyynnöt on osoitettava henkilökohtaisesti Rekisterinpitäjälle taikka allekirjoitetulla kirjeellä tai vastaavalla tavalla varmennetulla asiakirjalla, jotta voidaan varmistaa pyynnön tekijän oikeus pyyntöön. Pyynnön voi tehdä sähköpostitse, mikäli käytetään palvelun käytön yhteydessä rekisteröityä sähköpostiosoitetta. Rekisterinpitäjä voi joutua tunnistamaan Mitattavan sekä pyytämään lisätietoja voidakseen täyttää Mitattavan yllä mainitut pyynnöt.
Tätä rekisteriselostetta on viimeksi muutettu/päivitetty 9.11.2022. Rekisterinpitäjä seuraa tietosuojaa koskevan lainsäädännön sekä viranomaisohjeiden muutoksia sekä kehittää palvelun toimintaa, ja varaa siksi oikeuden päivittää tätä selostetta.
Anna-Liisa Ruusunen 