EU:n yleinen tietosuoja-asetus (2016/679)

1. Rekisterin nimi
Helsingin ja Espoon kaupunkipyöräpalvelun asiakasrekisteri

2. Rekisterinpitäjä

Helsingin kaupungin liikenneliikelaitos (HKL)
PL 1400
00099 Helsingin kaupunki

Espoon kaupunki
PL 1
02070 Espoon kaupunki

Helsingin seudun liikenne -kuntayhtymä (HSL)
PL 100
00077 HSL

3. Rekisterin vastuuhenkilö
HKL: Toimitusjohtaja
Espoon kaupunki: Liikenteenhallintapäällikkö
HSL: Asiakkuuspäällikkö

4. Rekisterin yhteyshenkilö
HKL: Projekti-insinööri
Espoon kaupunki: Liikenteenhallintapäällikkö
HSL: Asiakkuuspäällikkö

Helsingin kaupunki (HKL)
Kirjaamo
PL 10 (Pohjoisesplanadi 11-13)
00099 Helsingin kaupunki
kirjaamo@hel.fi

Espoon kaupunki
PL 1
02070 ESPOON KAUPUNKI
vaihde 09 816 21
kirjaamo@espoo.fi

HSL
PL 100 (Opastinsilta 6A)
00077 HSL (00520 Helsinki)
puh. 09 4766 4000
hsl@hsl.fi

5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste
Rekisterin henkilötietojen käsittelyn tarkoituksena on asiakassuhteen hoitaminen.

Käsittelyn oikeusperuste:
EU:n yleisen tietosuoja-asetuksen 6 artiklan b-kohta, käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä.

Kaupunkipyöräpalvelun asiakasrekisterin tietoja käytetään asiakassuhteen hoitamiseen ja palvelun toteutukseen. Asiakkaan yksilöintitietoja käytetään henkilön tunnistamiseen ongelmatilanteissa, yhteydenottoon järjestelmän toimintaan liittyvien viestien välittämisessä käyttäjätietojen näyttämiseen käyttäjälle itselleen palvelun internetsivuilla, joilla käyttäjä voi myös muuttaa tietojaan. Tietoja käytetään myös järjestelmän toimintaa kuvaaviin tilastoihin, joissa käyttäjät eivät ole tunnistettavissa.

Korttimaksaminen tapahtuu turvallisesti suojatulla maksulomakkeella Stripe Payments Europe Ltd –maksupalvelun välityksellä. HKL:llä, HSL:llä, Espoon kaupungilla, Smoovella, eikä Citybike Finland Oy:llä ole pääsyä korttitietoihin eikä maksukortin tietoja sellaisenaan tallenneta järjestelmiimme. Kortista tallennetaan maksupalvelun ilmoittama osa maksukortin numerosta, viimeinen voimassaolopäivämäärä sekä minkä yrityksen maksukortti on käytössä. Näillä tiedoilla näytetään käyttäjälle minkä kortin on käyttäjä kaupunkipyöräjärjestelmään liittänyt. Käytössämme on vain valtuutus veloittaa käyttäjältä käyttöehtojen mukaiset maksut.

Muu käyttö:
Asiakasrekisterin tietoja käytetään suoramarkkinointiin EU:n yleisen tietosuoja-asetuksen 6 artiklan a-kohdan mukaisesti rekisteröidyn annettua suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten. Rekisteröity voi milloin tahansa perua suostumuksensa tietojen käyttämiseen suoramarkkinointiin.

Keskeinen lainsäädäntö:
EU:n yleinen tietosuoja-asetus (679/2016)
Laki viranomaisten toiminnan julkisuudesta (621/1999)
Hallintolaki (434/2003)

6. Rekisterin tietosisältö
Kaupunkipyöräpalvelun asiakasrekisteri sisältää kaupunkipyöräpalvelun käyttäjiä (asiakkaita) koskevat seuraavat tiedot.

Asiakastiedot

Rekisteröityessä syötetyt tiedot

  • Nimi
  • Osoite
  • Syntymäaika
  • Maksetun käyttöjakson alkamispäivä ja päättymispäivä
  • Sähköpostiosoite
  • Puhelinnumero
  • Käyttäjätunnus
  • Pin-koodi
  • Kieli
  • Postinumero tai asuinmaa
  • Status, onko käyttäjä nyt aktiivinen
  • Matkakortin numero, jos käyttäjä on lisännyt järjestelmään tunnisteekseen matkakortin
  • Maksupalvelun ilmoittama osa maksukortin numerosta, viimeinen voimassaolopäivämäärä sekä minkä yrityksen maksukortti on käytössä. Näillä tiedoilla näytetään käyttäjälle minkä kortin on kaupunkipyöräjärjestelmään liittänyt, mutta koko maksukortin numeroa rekisteriin ei tallenneta.
  • Mahdollinen asiakkaan nimenomainen suostumus suoramarkkinointiin.

Käyttötapahtumat

  • Toteutunut käyttö, josta tallennetaan tieto lähtö- ja päätepisteestä, ajankohta, käytetty kaupunkipyörä, sekä ajettu matka
  • Maksutapahtumat
  • Tieto mahdollisista toistaiseksi veloittamattomista maksuista.

Käyttökielto
Käyttäjä voidaan asettaa käyttökieltoon käyttöehtojen mukaisesti.

7. Henkilötietojen säännönmukaiset luovutukset
Käyttäjän käyttötapahtumien tiedot luovutetaan Smooven järjestelmästä Hsl.fi-palveluun, jossa käyttäjä voi tarkastella omia tietojaan.
Rekisteristä ei siirretä tietoja EU:n tai ETA:n ulkopuolelle.

8. Tietojen säilytysajat 
Tiedot säilytetään sopimussuhteen hoitamiselle tarpeellisen ajan.

9. Henkilötietojen tietolähteet 
Henkilötiedot kerätään rekisteröidyltä itseltään sekä kaupunkipyöräjärjestelmän tuottamista käyttötapahtumista.

10. Rekisterin suojauksen periaatteet
Rekisterinpitäjän ja järjestelmätoimittajien kanssa on tehty sopimus asiakasrekisterin tietosuojasta. Järjestelmätoimittajat hoitavat rekisterin ja siihen liittyvien tietojen säilytyksen hyvän tietojenkäsittelytavan mukaisesti ja noudattavat ehdotonta vaitiolo- ja salassapitovelvollisuutta. Vaitiolovelvollisuus sitoo rekisteritietoja käsitteleviä työntekijöitä.
Kaupunkipyöräpalvelun asiakasrekisterin tietoturvallisuus sekä henkilötietojen luottamuksellisuus varmistetaan tarkoituksenmukaisin teknisin ja hallinnollisin toimenpitein hyvän tietojenkäsittelytavan mukaisesti.

Asiakastietoja sisältävän järjestelmän käyttöön ovat oikeutettuja vain ne työntekijät, joilla työnsä puolesta on oikeus käsitellä asiakastietoja. Jokainen käyttäjä tunnistautuu järjestelmään henkilökohtaisilla tunnuksillaan, jotka annetaan käyttöoikeuden myöntämisen yhteydessä. Käyttöoikeus päättyy henkilön siirtyessä pois niistä tehtävistä, joita varten käyttöoikeus on myönnetty. Vaitiolo- ja salassapitovelvollisuus jatkuu asiakastietojen käsittelyä sisältävien työtehtävien tai palvelussuhteen päätyttyä.

Tiedot kerätään tietokantoihin, jotka ovat suojattu loogisesti ja fyysisesti. Tietokannat ja niiden varmuuskopiot sijaitsevat lukituissa tiloissa ja tietoihin pääsevät käsiksi vain tietyt ennalta nimetyt henkilöt. Tiedot on suojattu sähköisen viestinnän tietosuojalain sekä Viestintäviraston määräysten ja ohjeiden mukaisesti.

11. Rekisteröidyn oikeudet
Rekisteröidyllä on seuraavat henkilötietolain mukaiset oikeudet:
a) Oikeus saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu, tai ettei rekisterissä ole häntä koskevia tietoja, sekä rekisterin säännönmukaiset tietolähteet ja mihin rekisterin tietoja käytetään sekä säännönmukaisesti luovutetaan.
b) Oikeus vaatia oikaistavaksi, poistettavaksi tai täydennettäväksi rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto.
c) Oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta varten.

Rekisteröidyllä on seuraavat EU:n yleisessä tietosuoja-asetuksessa määritellyt oikeudet 25.5.2018 lähtien: 
d) Oikeus saada rekisterinpitäjältä vahvistus siitä, että rekisteröityä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä tietyt EU:n yleisessä tietosuoja-asetuksessa määritellyt tiedot.
e) Oikeus vastustaa tietojen käsittelyä tiettyjä EU:n yleisessä tietosuoja-asetuksessa määriteltyjä tarkoituksia kuten suoramarkkinointia varten.
f) Oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen.
g) Oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä.
h) Oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä EU:n yleisessä tietosuoja-asetuksessa määritellyissä tilanteissa.
i) Oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä EU:n yleisessä tietosuoja-asetuksessa määritellyissä tilanteissa.