Integritetspolicy för Mehiläinens kundregister
Detta är en översättning av den ursprungliga finska versionen av integritetspolicyn, senast uppdaterad: 1.1.2024, som finns tillgänglig här.
Mehiläinen Oy
FO-nummer 1927556-5
Arkadiagatan 6
00100 Helsingfors
Mehiläinens kundregister
Den primära grunden för behandlingen av personuppgifter är Mehiläinens berättigade intresse, som uppstår på grund av kundrelationen mellan kunden och Mehiläinen eller annan saklig anknytning. Mehiläinens berättigade intressen omfattar exempelvis hantering, genomförande och utveckling av kundrelationer, kundservice och den relaterade kommunikationen och marknadsföringen. Dessutom kan behandlingen av personuppgifter baseras på den registrerades samtycke eller ett avtal. Behandlingsgrunden kan också vara lagstiftningen som tillämpas inom social- och hälsovården, om personuppgifter behandlas som en del av patientvården eller den hälsovårdstjänst som Mehiläinen tillhandahåller. Behandlingen av den registrerades hälsouppgifter baseras antingen på lagstiftning eller den registrerades samtycke.
Personuppgifter kan behandlas för följande användningsändamål:
- Hantering, genomförande, utveckling, forskning och uppföljning av kundrelationer, kundservice och den relaterade kommunikationen och marknadsföringen;
- Analys, gruppering och rapportering av kundrelationer, genomförande av lojalitetsprogram samt andra ändamål relaterade till utvecklingen av den totala kundrelationen och Mehiläinens affärsverksamhet;
- Insamling och behandling av kundfeedback och kundnöjdhetsinformation;
- Genomförande av marknads- och andra undersökningar och opinionsundersökningar;
- Inspelning av samtal till kundservicecentret för att verifiera servicetransaktioner, säkerställa rättssäkerhet och säkerhet samt utveckla personalens kompetens och kvaliteten på kundservicen;
- De profileringssyften som beskrivs mer i detalj i avsnitt 9 i denna integritetspolicy;
- Genomförande, utveckling och underhåll av tjänster och kommunikation.
Behandlingsuppgifter kan outsourcas till Mehiläinens koncernbolag och/eller externa tjänsteleverantörer i enlighet med dataskyddslagstiftningen och inom de gränser som den fastställer.
De registrerade är kunder, tidigare kunder och potentiella kunder.
- Behandlingen omfattar bland annat följande typer av uppgifter om de registrerade:
- Namn, tilltalsnamn, personnummer, kundnummer, kön, språk, adress, telefonnummer, e-postadress och andra nödvändiga kontaktuppgifter;
- Nära anhörig, vårdnadshavare, vårdnadstagare, antal och åldrar på barn under 18 år, uppgifter om boende, hushållets storlek;
- Användnings- och köpinformation om tjänster, nivå och giltighetstid för det aktuella förmånsprogrammet, samt information om genomförandet av marknadsföring och kommunikation i olika kontaktvägar, såsom onlinetjänster och automatiska tjänster, inklusive inspelning av samtal till kundservicecentret;
- Innehåll som den registrerade själv producerat, såsom kundrespons, samt ytterligare information som han eller hon själv har gett, såsom önskemål relaterade till kundrelationen, uppgifter om kundtillfredsställelse, intresseområden, fritidssysselsättningar eller annan liknande information;
- Information som eventuellt rör den registrerade, såsom försäkring, företagshälsovårdstjänster och -avtal, idrottsförening och liknande faktorer;
- De tjänster som den registrerade önskar och använder, inklusive betalningsinformation;
- Information om personer som har tagit hand om den registrerade. Önskemål eller anteckningar om yrkespersoner, tjänster, verksamhetsenheter och andra faktorer;
- Förbud, begränsningar, samtycken och andra val;
- Övrig information relaterad till kundrelationen, såsom till exempel information som kan kopplas till kunden från användningen av webbplatser, såsom användarens IP-adress, tidpunkt för besöket, besökta sidor, använd webbläsartyp (t.ex. Internet Explorer, Firefox), webbadressen från vilken användaren kom till webbplatsen och servern från vilken användaren kom till webbplatsen;
- Nödvändig information relaterad till användningen av identifierings- och autentiseringstjänster och -verktyg;
- Information relaterad till databehandlingen, såsom lagringsdatum och datakälla.
Mehiläinen behåller personuppgifter tills kundrelationen mellan den registrerade och Mehiläinen kan anses ha avslutats. Avslutningstiden bestäms på grundval av den registrerades senaste servicekontakt med Mehiläinens centrala affärssiffror. Efter att kundrelationen har avslutats kan Mehiläinen fortsätta att behålla uppgifterna om det finns ett särskilt skäl för detta, till exempel för att formulera, presentera eller försvara rättsliga anspråk och liknande krav. Lagringstiden påverkas bland annat av de allmänna preskriptionstiderna för skadestånd som baseras på lagstiftningen.
Uppgifterna erhålls främst från följande källor:
- Den registrerade själv och händelser relaterade till den registrerades kundrelation, användning av tjänster, kommunikation och kontakter;
- Part som tillhandahåller identifierings-, autentiserings-, adress-, uppdaterings-, kreditupplysnings- eller liknande tjänster;
- Befolkningsregistercentralens befolkningsdatasystem och andra system.
Registret kan också kompletteras med information som tillhandahålls av Mehiläinens andra samarbetspartners, såsom försäkringsbolag eller idrottsföreningar.
Personuppgifter kan utlämnas till Mehiläinens koncernbolag för de användningsändamål som beskrivs i punkt 4 i denna integritetspolicy.
I huvudsak lämnas inte personuppgifter utanför Mehiläinen till tredje parter. Om det är nödvändigt att lämna ut personuppgifter kan utlämningen genomföras till tredje parter på grundval av ett avtal, samtycke eller lagstiftning.
Mehiläinen kan överföra personuppgifter och outsourca behandlingsaktiviteter till Mehiläinens koncernbolag och externa tjänsteleverantörer som behandlar personuppgifter för Mehiläinens räkning.
Personuppgifter kan överföras utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet, bland annat till USA, i enlighet med dataskyddslagstiftningen och inom de gränser som den fastställer. I sådana fall är den primära grunden för överföringen Europeiska kommissionens beslut om adekvat skyddsnivå i USA. Om personuppgifter överförs till ett land för vilket kommissionen har fattat ett beslut om adekvat dataskyddsnivå (artikel 45 i EU:s allmänna dataskyddsförordning), är den primära grunden för överföringen beslutet om adekvat skyddsnivå.
Mehiläinen har lämpliga tekniska och organisatoriska skyddsåtgärder för att skydda personuppgifter. Eventuellt manuellt material förvaras i ett låst utrymme där endast personer med särskild behörighet har tillträde. Tillgång till digitalt material har endast behörig personal, yrkesutövare eller samarbetspartner med personlig användaridentitet och lösenord.
Det finns olika nivåer av användarrättigheter och varje användare ges en tillräcklig, men så begränsad användarrättighet som möjligt för att utföra uppgiften.
Som en del av behandlingen av personuppgifter som lagras i kundregistret kan Mehiläinen använda uppgifterna även för profileringsändamål. Profilering genomförs genom att skapa ett kund-ID för den registrerade, vilket möjliggör kombination av olika uppgifter relaterade till den registrerade som uppstår i samband med användningen av tjänster. Den profil som skapas på detta sätt kan sedan jämföras med profiler som skapats för andra registrerade.
Syftet med profileringen är att undersöka efterfrågan på tjänster och kundbeteende.
Personuppgifter används inte för automatiserat beslutsfattande.
Den registrerade har rätt att när som helst på grund av sin personliga specifika situation motsätta sig profilering och andra behandlingsaktiviteter som Mehiläinen riktar mot den registrerades personuppgifter, i den mån behandlingen av personuppgifterna grundar sig på Mehiläinens berättigade intresse. Den registrerade kan framf öra sin invändning i enlighet med punkt 12 i denna integritetspolicy. Den registrerade ska i samband med sin begäran specificera den specifika situationen som han eller hon grundar sin invändning på. Mehiläinen kan vägra att uppfylla begäran om invändning på grundval av lagstiftningen.
I den mån personuppgifter behandlas för direkt marknadsföring har den registrerade rätt att när som helst motsätta sig behandlingen för sådan marknadsföring.
Den registrerade kan ge Mehiläinen samtycken eller förbud gällande direkt marknadsföring, inklusive profilering för direkt marknadsföringsändamål.
11.1 Den registrerades rätt att få tillgång till uppgifter (rätt att insyn)
Den registrerade har rätt att få bekräftelse från Mehiläinen om personuppgifter som rör honom eller henne behandlas eller inte. Om hans eller hennes personuppgifter behandlas har den registrerade rätt att få information om behandlingen av sina personuppgifter, till exempel syftet med behandlingen och de berörda personuppgiftskategorierna. Mehiläinen informerar om behandlingen av personuppgifter i sina integritetspolicyer. Den registrerade kan också kontakta Mehiläinen angående behandlingen av personuppgifter på det sätt som anges i punkt 12 i denna integritetspolicy.
Den registrerade har rätt att granska vilka uppgifter som rör honom eller henne som har sparats i Mehiläinens kundregister. Begäran om granskning ska göras i enlighet med punkt 12 i denna integritetspolicy. Rätten till insyn kan nekas på de grunder som anges i lagen. I princip är användningen av rätten till insyn kostnadsfri. Mehiläinen kan dock under vissa förutsättningar ta ut en rimlig avgift baserad på administrativa kostnader från den registrerade.
11.2 Den registrerades rätt att kräva rättelse, radering eller begränsning av behandlingen
Om den registrerade även är användare av MinMehiläinen-tjänsten, kan han eller hon uppdatera sina grundläggande uppgifter i MinMehiläinen-tjänsten. I den mån den registrerade eller användaren kan agera själv, ska han eller hon utan onödigt dröjsmål, efter att ha fått information om ett fel eller efter att själv ha upptäckt ett fel, på eget initiativ rätta, radera eller komplettera felaktiga, onödiga, ofullständiga eller föråldrade uppgifter.
Den registrerade kan också göra en begäran om rättelse av personuppgifter till Mehiläinen i enlighet med punkt 12 i denna integritetspolicy. Den registrerade har också rätt att kräva att den personuppgiftsansvarige begränsar behandlingen av sina personuppgifter, till exempel i situationer där den registrerade väntar på Mehiläinens svar på en begäran om rättelse eller radering av uppgifter.
Den registrerade har under vissa förutsättningar rätt att få sina personuppgifter raderade, till exempel om behandlingen grundar sig på den registrerades samtycke och den registrerade återkallar sitt samtycke, och det inte finns någon annan laglig grund för behandlingen, eller om den registrerade motsätter sig behandlingen och det inte finns något berättigat skäl för behandlingen. En begäran om radering kan göras i enlighet med punkt 12 i denna integritetspolicy.
11.3 Den registrerades rätt att överföra uppgifter från ett system till ett annat
I den mån den registrerade själv har tillhandahållit uppgifter till Mehiläinen som behandlas på grundval av den registrerades samtycke eller ett avtal och behandlingen utförs automatiskt, har den registrerade rätt att få sådana uppgifter i ett strukturerat, allmänt använt och maskinläsbart format och har rätt att överföra dessa uppgifter till en annan personansvarig.
11.4 Den registrerades rätt att inge klagomål till tillsynsmyndigheten
Den registrerade har rätt att inge klagomål till den behöriga tillsynsmyndigheten (i Finland till dataombudsmannens byrå) om personuppgiftsansvarig inte har följt tillämplig dataskyddslagstiftning i sin verksamhet.
11.5 Övriga rättigheter
Om personuppgifter behandlas på grundval av den registrerades samtycke, har den registrerade rätt att när som helst återkalla sitt samtycke genom att meddela detta till Mehiläinen i enlighet med punkt 12 i denna integritetspolicy. Återkallande av samtycke påverkar dock inte lagligheten av den behandling som grundar sig på samtycke och som har utförts innan samtycket återkallades.
I frågor som rör den registrerades patient- och personuppgifter kan du vända dig till Mehiläinens team för hantering av hälsouppgifter info.terveystiedot@mehilainen.fi.
Observera att vi endast kan ta emot begäran från registrerade skriftligen. Din identitet kommer att verifieras på Mehiläinens verksamhetsställe med ett fotoförsett identitetskort eller alternativt via MinMehiläinen online-tjänster. Så här säkerställer vi att information endast lämnas ut till personer som har rätt till det.
Du kan också göra en informationsförfrågan via närmaste Mehiläinens verksamhetsställe, där din identitet kommer att verifieras med ett foto-ID. Du kan hitta den närmaste Mehiläinens verksamhetsställe på vår webbplats på https://www.mehilainen.fi/sv/verksamhetsstallen.
Om du skickar känsliga uppgifter via e-post kan du vid behov använda Mehiläinens säkerhetspost.
Dataskyddsombud
Mehiläinens dataskyddsombud är Kim Klemetti (tietosuoja@mehilainen.fi).