EU:s allmänna dataskyddsförordning (2016/679)

1. Registrets namn

Kundregister för stadscykeltjänsten i Helsingfors och Esbo

2. Registerförare

Helsingfors stads trafikverk (HST)
PB 1400
00099 Helsingfors stad

Esbo stad
PB 1
02070 Esbo stad

Samkommunen Helsingforsregionens trafik (HRT)
PB 100
00077 HRT

3. Registeransvarig

HST: Verkställande direktör
Esbo stad: Trafikstyrningschef
HRT: Kundrelationschef

4. Kontaktperson i registerärenden

HST: Projektingengör
Esbo stad: Trafikstyrningschef
HRT: Kundrelationschef

Helsingfors stad (HST)
Registraturen
PB 10 (Norra esplanaden 11-13)
00099 Helsingfors stad
kirjaamo@hel.fi

Esbo stad
PB 1
02070 ESBO STAD
växel 09 816 21
kirjaamo@espoo.fi

HRT
PB 100 (Semaforbron 6A)
00077 HRT (00520 Helsingfors)
tfn 09 4766 4000
hsl@hsl.fi

5. Ändamål och grunder för behandling av personuppgifter

Syftet med behandling av personuppgifter är skötsel av kundrelationer.

Laglig behandling av personuppgifter:

6 artikel punkt b i EU:s allmänna dataskyddsförordning: behandlingen är nödvändig för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås.

Uppgifterna i stadscykeltjänstens kundregister används för skötsel av kundrelationer och för genomförande av tjänsten. Uppgifterna för att identifiera kunden används vid problemsituationer, för att skicka meddelanden vad gäller systemets fungerande, för att visa användaruppgifter till användaren själv på tjänstens internetsida där användaren kan också ändra sina uppgifter. Uppgifterna används också för statistik som beskriver tjänstens fungerande. Enskilda användare kan inte identifieras i statistiken.

Kortbetalning sker säkert med en skyddad betalblankett via betalservicen Stripe Payments Europé Ltd. HST, HRT, Esbo stad, Smoove eller Citybike Finland Oy har inte tillgång till kortuppgifterna och uppgifterna på betalkorten sparas inte som sådana i våra system. Om kortet sparas den del av betalkortets nummer som anges av betaltjänsten, den sista giltighetsdagen samt vilket kort användaren använder. Med dessa uppgifter visas till användaren vilket betalkort denne har kopplat till stadscykeltjänsten. Vi har endast rätt att debitera användaren avgifterna enligt användarvillkoren.

Övrig användning:
Uppgifterna i kundregistret används till direktmarknadsföring i enlighet med artikel 6 punkt a i EU:s allmänna dataskyddsförordning dvs. den  registrerade har lämnat sitt samtycke till att dennes personuppgifter behandlas för ett eller flera specifika ändamål. Den registrerade kan återta sitt samtycke till direktmarknadsföring när som helst.

Den centrala lagstiftningen:

EU:s allmänna dataskyddsförordning (679/2016)
Lag om offentlighet i myndigheternas verksamhet (621/1999)
Förvaltningslag (434/2003)

6. Innehåll i registret

I stadscykeltjänstens kundregister ingår följande uppgifter om stadscykeltjänstens användare (kunder)

Kunduppgifter

Uppgifter som anges i samband med registreringen

  • Namn
  • Adress
  • Födelsedatum
  • Start- och slutdatum för den betalda användningsperioden
  • E-postadress
  • Telefonnummer
  • Användarnamn
  • Pin-kod
  • Språk
  • Postnummer eller hemvistland
  • Status, om användaren är nu aktiv
  • Resekortets nummer om användaren har lagt sitt resekort till systemet som identifikation
  • Den del av betalkortets nummer som anges av betaltjänsten, den sista giltighetsdagen samt vilket kort användaren använder. Med dessa uppgifter visas till användaren vilket kort har kopplats till stadscykeltjänsten men hela resekortnumret har inte sparats i registret.
  • Ett eventuellt samtycke från kunden till direktmarknadsföring.

Användning

  • Den realiserande användningen: information om avgång- och ändpunkt, tidpunkt, stadscykeln som använts samt den köra turen sparas
  • Betalningstransaktioner
  • Information om betalningar som tillsvidare inte är debiterade.

Användningsförbud

En användare kan få ett användningsförbud i enlighet med användarvillkoren.

7. Regelmässigt utlämnande av personuppgifter

Användarens uppgifter om användning av tjänsten utlämnas från Smooves system till tjänsten Hsl.fi. I tjänsten Hsl.fi kan användaren kontrollera sina egna uppgifter.

Personuppgifter överförs inte utanför EU eller EES.

8. Förvaringstider

Uppgifterna förvaras i den tid som är nödvändigt för skötseln av avtalsrelationen.

9. Uppgiftskällor   

Personuppgifterna samlas in av användaren i samband med registreringen och användningen av stadscykeltjänsten.

10. Principer för skydd av registret

Den registeransvarige och systemleverantörerna har sinsemellan ingått ett avtal om kundregistrets dataskydd. Systemleverantörerna ser till att registret och uppgifterna i detta sparas enligt god databehandlingspraxis och iakttar absolut tystnads- och sekretessplikt. Anställda som använder uppgifterna i registret är bundna av tystnadsplikt. Datasäkerhet och personuppgifternas förtrolighet i stadscykeltjänstens kundregister säkerställs genom ändamålsenliga tekniska och administrativa åtgärder enligt god databehandlingssed.

Rätt att använda systemet som innehåller uppgifterna i registret har endast de anställda som har rätt att behandla kunduppgifter i sitt arbete. Varje användare identifierar sig med sitt personliga användarkonto som skapas i samband med beviljandet av nyttjanderätten.  Nyttjanderätten upphör då personen övergår till andra uppgifter och lämnar de arbetsuppgifter för vilka nyttjanderätten har beviljats. Tystnads- och sekretessplikten fortsätter också efter att arbetsuppgifterna eller anställningsförhållandet där kunduppgifterna behandlas upphört.

Uppgifterna samlas i databaser som är skyddade logiskt och fysiskt. Databaserna och deras säkerhetskopior ligger i låsta utrymmen och endast vissa, på förhand nämnda personer har tillgång till dem. Uppgifterna är skyddade enligt lagen om dataskydd vid elektronisk kommunikation samt enligt Kommunikationsministeriets bestämmelser och anvisningar.

11. Den registrerades rättigheter

Den registrerade har följande rättigheter enligt personuppgiftslagen:

a) Rätt att få veta vilka uppgifter om honom/henne som har registrerats i ett personregister eller att registret inte innehåller uppgifter om honom/henne, de källor som i regel används för registret samt för vilket ändamål registeruppgifterna används och i regel lämnas ut.

b) Rätt att yrka att rätta, utplåna eller komplettera en personuppgift som ingår i ett personregister och som med hänsyn till ändamålet med behandlingen är oriktig, onödig, bristfällig eller föråldrad.

c) Rätt att förbjuda att uppgifter om en själv lämnas ut för direktreklam, distansförsäljning och annan direkt marknadsföring samt marknads- och opinionsundersökningar.

Fr.o.m. 25.5.2018 har den registrerade följande rättigheter som definieras i EU:s allmänna dataskyddsförordning:

d) den registrerade har rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom/henne håller på att behandlas och i så fall få tillgång till personuppgifterna och vissa information som bestäms i EU:s allmänna dataskyddsförordning.

e) Rätt att invända behandlingen av uppgifterna i vissa ändamål som bestäms i EU:s allmänna dataskyddsförordning såsom direktmarknadsföring.

f) Rätt att när som helst återkalla sitt samtycke utan att detta påverkar lagenligheten av behandlingen som gjorts före återkallande av samtycke.

g) Rätt att kräva att av den personuppgiftsansvarige utan onödigt dröjsmål få felaktiga personuppgifter som rör honom/henne rättade samt rätt att få komplettera bristfälliga uppgifter.

h) Rätt att av den registeransvarige utan onödigt dröjsmål få sina personuppgifter raderade i sådana situationer som bestäms i EU:s allmänna dataskyddsförordning.

i) Rätt att av den registeransvarige kräva att behandlingen begränsas i vissa situationer som bestäms i EU:s allmänna dataskyddsförordning.

j) Rätt att få ut de personuppgifter som rör honom/henne och som han/hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbar format och ha rätt att överföra dessa uppgifter till en annan registeransvarige utan att den registeransvarige som tillhandahållits personuppgifterna hindrar det.

k) Rätt att lämna in ett klagomål till en tillsynsmyndighet om den registrerade anser att behandlingen av personuppgifter som avser honom/henne strider mot EU:s allmänna dataskyddsförordning.