Dataskyddspolicy för arbetshälsoinstitutets kund- och marknadsföringsregister

Denna dataskyddsbeskrivning beskriver sådana uppgifter som registrerats i Arbetshälsoinstitutets kund- och marknadsföringsregister och hur uppgifterna behandlas.

Arbetshälsoinstitutet följer bestämmelserna i Europeiska unionens allmänna dataskyddsförordning (2016/679, ”GDPR”) och Finlands dataskyddslag (1050/2018), som kompletterar denna förordning, samt lagen om tjänster inom elektronisk kommunikation (917/2014).

Vilka uppgifter samlas in?

Kund- och marknadsföringsregistret innehåller uppgifter om kontaktpersoner till Arbetshälsoinstitutets kunder och potentiella kunder, personer som varit i kontakt med Arbetshälsoinstitutet eller prenumererar på nyhetsbrev samt personer som har gett marknadsföringstillstånd.

Kontaktuppgifter

Uppgifter om kontaktpersoner till kunder och potentiella kunder: namn, yrke, språk, telefonnummer, e-postadress samt adressuppgifter som avviker från basuppgifterna.
Uppgifter om personer som gett marknadsföringstillstånd: namn, adress, telefonnummer, yrke/titel, företagsuppgifter, ställning i företaget samt intresseuppgifter som getts av den registrerade personen.

Uppgifter om kundrelationer

Kundorganisationens namn, leveransadress, faktureringsadress, FO-nummer, kundkategori, näringsgren, momskategori, betalningsvillkor, kundklassificering, företagets språk, valuta, försäljningsområde, utländska kunders momsnummer, telefonnummer, www-adress, användarnamn för webbhandeln, besök och sammankomster.

Kundhändelseuppgifter samt avtals- och produktuppgifter

Uppgifter om inköp av produkter eller tjänster, givna offerter samt ingångna avtal. Uppgifter om leveranser och betalningssätt. Uppgifter om utbildningar som personen deltagit i.

Registrerade personers samtycken och förbud

Direktmarknadsföringstillstånd och -förbud samt uppgifter om prenumerationer på nyhetsbrev.

Beteendeuppgifter samt tekniska identifieringsuppgifter

Beteendeuppgifter som samlats in om en registrerad persons vid besök i våra webbtjänster, chattar. Uppgifter om genomförande och resultat av riktade åtgärder. Tekniska identifieringsuppgifter:  IP-adress, använd browser, användarsystem, apparatmodell samt cookies och andra identifieringsuppgifter.

Hur arbetshälsoinstitutet samlar in uppgifter

Uppgifter samlas in från kunden själv i samband med beställningar, offertbegäranden, avtal eller andra förfrågningar i syfte att hantera kundrelationen.

I samband med prenumerationer på nyhetsbrev, nätköp och anmälningar till utbildning samt i samband med registrering/anmälan till olika tjänster, marknadsföringskampanjer och tävlingar samlas uppgifter in från den registrerade personen med dennes samtycke.

Uppgifter samlas in från den registrerade personen själv med dennes samtycke i samband med olika evenemang och tillställningar.

Personuppgifter kan även samlas in ur offentliga källor eller från myndigheter och företag som erbjuder personuppgiftstjänster.

Syfte och laglig grund för behandling av uppgifter

Personuppgifter behandlas i samband med hantering av kundrelationer samt marknadsförings- och opinionsundersökningar.

Uppgifter som finns i registret kan användas även för kundsegmentering, inriktning av försäljnings- och marknadsföringsåtgärder samt kundkommunikation och produktion av mer personligt inriktat innehåll i Arbetshälsoinstitutets webbtjänster.

Behandlingen av personuppgifter som finns i registret baserar sig på avtal, samtycke eller ett berättigat intresse.

Till lagstadgade skyldigheter hör även sådana skyldigheter som föreskrivs i bokföringslagen.

Förvaring av uppgifter

Registrerade personers personuppgifter är tillgängliga endast för användare av vissa speciella dataprogram. Användarrättigheterna har dessutom begränsats så att ändringar i uppgifterna kan genomföras endast av personer som har rätt att göra sådana ändringar. Vi behandlar alla personuppgifter datasäkert och på det sätt som lagstiftningen förutsätter. Vi utvecklar och ser över vår datasäkerhet systematiskt. Arbetshälsoinstitutets personal (även praktikanter och uppdragsutförare) omfattas av bestämmelserna om tystnadsplikt och förbud mot utnyttjande (23 § i offentlighetslagen 621/1999).

Personuppgifter förvaras åtminstone under den tid som kundrelationen varar eller så länge det är nödvändigt för förverkligande av de syften som fastställs i dataskyddsbeskrivningen, om inte lagstiftningen föreskriver en längre förvaringstid.

När personuppgifterna inte längre behövs för ovan avsedda syfte, raderas de utan onödigt dröjsmål.

Vem behandlar personuppgifterna?

Registeruppgifter behandlas av Arbetshälsoinstitutets personal: marknadsföringen, försäljningen, produktchefer, serviceansvariga, anställda som arbetar i kundgränssnitt, kundtjänsten, ekonomiförvaltningen och faktureringen.

Registeruppgifter överlåts som regel inte till utomstående instanser eller för användning av Arbetshälsoinstitutets samarbetspartners.

I följande fall kan vi emellertid ge ut personuppgifter till nedan nämnda instanser:

Företag som erbjuder infrastruktur- och IT-tjänster. I sådana fall kan det innebära användning av servrar belägna i ett annat land än det där användaren har använt våra tjänster. Uppgifter kan då överföras till ett land utanför EU eller Europeiska ekonomiska samarbetsområdet (EES) på det sätt som dataskyddsförordningen tillåter.

Företag som erbjuder analys- och konsulttjänster kan få tillfälliga användarrättigheter till datasystem där behandlingen av personuppgifter genomförs.

Personuppgifter kan ges ut i ärenden som gäller indrivning samt till myndigheter i de fall då lagen kräver det.

Vilka rättigheter har en registrerad person?

Rätt att få tillgång till sina uppgifter (artikel 15)

Varje registrerad person har rätt att granska sina uppgifter genom att göra en begäran om detta till Arbetshälsoinstitutet i enlighet med nedanstående anvisningar.

Rätt till rättelse (artikel 16)

En registrerad person har rätt att ändra eller rätta sina kontaktuppgifter genom att göra en begäran om detta till Arbetshälsoinstitutet enligt anvisningarna om registrerade personers rättigheter.

Den personuppgiftsansvarige bör utan onödigt dröjsmål på en registrerad persons begäran eller på eget initiativ rätta eller komplettera sådana personuppgifter i registret som med avseende på syftet med behandlingen är felaktiga, onödiga, bristfälliga eller föråldrade. Den personuppgiftsansvarige bör även förhindra spridning av sådana uppgifter, om detta kan äventyra personens integritetsskydd eller rättigheter.

Rätt till radering av uppgifter (artikel 17)

En registrerad person har rätt att begära radering av sina uppgifter ur personregistret. Den personuppgiftsansvarige bör på personens begäran radera personuppgifterna utan onödigt dröjsmål.

Rätt till dataportabilitet (artikel 20)

En registrerad person har rätt att överföra uppgifter från registret i de fall då uppgifterna behandlas på grundval av samtycke eller avtal. Den personuppgiftsansvarige bör på personens begäran utan onödigt dröjsmål leverera uppgifterna i ett allmänt använt format.

En registrerad person har inte rätt att överföra uppgifter i sådana fall då behandlingen grundar sig på ett berättigat intresse.

Rätt att göra invändningar (artikel 21)

I sådana fall då behandlingen av uppgifter grundar sig på ett berättigat intresse har en registrerad person rätt att invända mot behandlingen av sina uppgifter.

En registrerad person har rätt att förbjuda att uppgifter som rör honom eller henne själv behandlas av den personuppgiftsansvarige för användning i direktreklam, distansförsäljning eller andra former av direkt marknadsföring.

Rätt att återkalla samtycke (artikel 7)

En registrerad person har rätt att återkalla sitt samtycke för behandling av personuppgifter. En registrerad person kan även begära radering av sina uppgifter (artikel 17).

Vem kan en registrerad person ta kontakt med?

Förverkligande av rättigheter

Begäran gällande en registrerad persons rättigheter enligt allmänna dataskyddsförordningen görs på Arbetshälsoinstitutets blankett eller genom en fritt formulerad skriftlig begäran och tillställs vanligen Arbetshälsoinstitutets dataskyddsombud.

En registrerad person kan även när som helst administrera sitt marknadsföringstillstånd och sina prenumerationer på nyhetsbrev i samband med e-postmeddelanden. I slutet av varje e-postmeddelande finns en länk, genom vilken man kommer åt att administrera dessa uppgifter.

Postadresser

Arbetshälsoinstitutet, PB 40, 00032 Arbetshälsoinstitutet
Arbetshälsoinstitutet, Dataskyddsombud, PB 40, 00032 Arbetshälsoinstitutet

Arbetshälsoinstitutets dataskyddsombud

tel. 030 474 2429
dso(at)ttl.fi
I frågor som gäller ärenden av konfidentiell natur kan du kontakta Arbetshälsoinstitutet via ett datasäkert meddelande (förutsätter egen e-post).

Dataombudsmannens byrå

Som nationell tillsynsmyndighet för dataskydd fungerar Dataombudsmannens byrå, där man får information om hur behandlingen av personuppgift bör gå till och där man även kan anföra klagomål.

Dataombudsmannens kontaktuppgifter