• Home
  • Tietosuojakäytäntö

Tietosuojakäytäntö

HJK:n hyvinvointipalvelut toimii osana Helsinki Stadion Management Oy:ta (myöhemmin HSM Oy) noudattaa tietojen käsittelyssä Suomen henkilötietolakia ja muuta lainsäädäntöä tai erityistapauksissa tietyn maan paikallista lainsäädäntöä. Palvelujen käyttäjien henkilötietoja käsitellään luottamuksellisesti ja haluamme antaa käyttäjille sekä asiakkaille selvän kuvan tietojen käytöstä. Tältä sivulta löytyvät HSM:n yleiset tietosuojakäytänteet sekä palvelukohtaiset rekisteriselosteet. Dokumentteja tullaan tarvittaessa päivittämään 25.5.2018 voimaan tulevan GDPR:n (EU:n yleinen tietosuoja-asetus) sekä sen edellyttämän kansallisen tietosuojalainsäädännön uudistuksen myötä.

Seloste koskien henkilötietojen käsittelyä Firstbeat Technologies Oy:n (jäljempänä ”Firstbeat”) Hyvinvointianalyysi-palvelussa silloin, kun palvelun toteuttaa Firstbeatin yhteistyökumppani. Yhteistyökumppani on tyypillisesti työterveyshuollon tai hyvinvointialan ammattilainen.

Tietojen käsittelijä

Helsinki Stadion Management Oy (y-tunnus 1544014-8), Urheilukatu 5, 00250 Helsinki.

Termit

”Asiakas” on luonnollinen tai juridinen henkilö, jonka kanssa tehdyn sopimuksen perusteella HSM Oy tuottaa kuntotestauspalvelun Testattavan antamien mittaus- ja muita henkilötietoja käyttäen. Tyypillisessä tilanteessa Asiakas on työnantaja, jonka työntekijät ovat Testattavia.

”Testattava” on luonnollinen henkilö, jolle HSM tuottaa kuntotestauspalvelun käyttäen Testattavan sykemittaustietoja sekä muita henkilötietoja, jotka tallennetaan K-Lab -testiohjelmaan.

Yhteyshenkilö rekisteriä koskevissa asioissa

Rekisterinpitäjään voi ottaa yhteyttä rekisteriä koskevissa asioissa sähköpostilla [email protected] tai puhelimella 044 7766551. Yhteyshenkilönä tietosuoja-asioissa toimii Hanne Vilpponen.

Henkilötietojen käsittelyn tarkoitus ja oikeusperuste

Henkilötietojen käsittelyn tarkoituksena on kuntotestauksen toteuttaminen, tulosten analysointi sekä raportin koostaminen ja lähettäminen. Analyysin tuottamisessa käytetään Testattavan antamia henkilötietoja sekä tietoja fyysisen terveyden ja kunnon tilasta. Palveluun kuuluu tyypillisesti Rekisterinpitäjän Testattavalle antama kirjallinen tai sähköinen lomake sekä kirjallisesti annettu palauteraportti.  Palveluun voi kuulua myös Rekisterinpitäjän edustajan kullekin Testattavalle puhelimitse tai henkilökohtaisesti antama palaute, jonka perusteella mahdollisesti sovitaan toimenpidetavoitteista. Palvelun sisältö määritellään tarkemmin Asiakkaan kanssa tehtävässä sopimuksessa. Testattavien henkilötietoja ei luovuteta Asiakkaalle.

Sovellettavan lainsäädännön edellyttäessä Testattavan suostumusta tässä selosteessa tarkoitettuun henkilötietojen käsittelyyn (esimerkiksi kun on kysymys terveyteen liittyvistä tiedoista eli ns. erityisistä henkilötiedoista), suostumus hankitaan asianmukaista menetelmää käyttäen. Tämä voi tapahtua esimerkiksi rastittamalla erikseen suostumusta osoittava ruutu, tekemällä valinta palvelun tai verkkosivuston teknisissä asetuksissa taikka muulla suostumuksen yksiselitteisesti ilmaisevalla ilmoituksella tai toiminnalla. Suostumuksen epääminen saattaa vaikuttaa kyseessä olevan palvelun tarjoamiseen.

Lokitietoja kuntotestausohjelmassa tapahtuvista henkilötietojen käsittelystä tallennetaan lisäksi Asiakkaan, HSM:n sekä Testattavien oikeutettujen etujen turvaamiseksi esimerkiksi mahdollisten tietoturvaongelmien tutkimista varten.

Henkilötietoja käsittelee ainoastaan kuntotestauksen suorittava ammattihenkilö, joka siirtää Testattavan henkilötiedot K-Lab -testiohjelmaan. K-Lab -tietokantaan tallentuvat henkilön nimi, syntymäaika, pituus ja paino sekä kuntotestaustulokset.

Henkilötietojen käsittelyperusteena on osapuolten välinen sopimus taikka Rekisterinpitäjän oikeutettu etu, joka perustuu osapuolten väliseen asialliseen yhteyteen. Käsittelyn oikeusperusteena voi olla myös Testattavan suostumus, sovellettavan lainsäädännön niin edellyttäessä.

Henkilötietojen säilytysaika

Mikäli muuta ei ole sovittu, mittauksiin liittyvät henkilötiedot säilytetään palvelukonseptiin kuuluvia seurantamittauksia varten 18 kuukautta viimeisen mittauksen jälkeen, minkä jälkeen ne poistetaan. Jos Mitattava on antanut erillisen suostumuksensa pitempiaikaiseen säilytykseen, henkilötietoja voidaan säilyttää myös pitempään.

Kuvaus rekisteröityjen ryhmästä

Henkilörekisteri sisältää henkilötietoja Testattavista. Tyypillisessä tapauksessa Testattavan edustama organisaatio, kuten työnantaja, on HSM:n Asiakas. Asiakas määrittää ketkä ovat Testattavia.

Kuvaus tietolähteistä

Kuntotestaukseen tarvittavat tiedot saadaan palvelun toimittamista varten Testattavalta itseltään kirjallisen lomakkeen kautta. Rekisterinpitäjän edustaja saattaa lisäksi kerätä tietoja Testattavilta palvelun käytön yhteydessä. Rekisterinpitäjä lähettää Asiakkaalle lomakkeen, jonka hän välittää testattaville. Testattava täyttää lomakkeen ja allekirjoittaa sen paikan päällä kuultuaan testauspalvelun sisällön tarkemmin.

Kuvaus rekisteröityihin liittyvistä tiedoista

Rekisterinpitäjä kerää tässä selosteessa kuvattuja tarkoituksia varten Testattavasta osittain tai kokonaan seuraavia tietoja:

  • Etu- ja sukunimi
  • Syntymäaika, sukupuoli, pituus, paino
  • Aktiivisuusluokka
  • Tietoja pitkäaikaisista sairauksista ja lääkityksestä
  • Testiin vaikuttavia taustatietoja kuten alkoholin käyttö, lyhytaikaiset sairaudet ja lääkitys, merkintöjä yksittäisistä tapahtumista
  • Yhteystietoja, kuten osoite, sähköpostiosoite ja puhelinnumero
  • Tieto suostumuksista tietojen käsittelyyn palvelussa
  • Testauksen tuloksena Testattavalle luotu raportti ja toimenpidetavoitteet

Mitattava voi halutessaan käyttää kuntotestauspalvelua myös anonyymisti valitsemansa henkilötunnisteen avulla. Tällöinkin hänestä tallennetaan sähköpostiosoite (paitsi erityistapauksissa, joissa sähköpostiosoitetta ei ole) ja jos palveluun kuuluu henkilökohtainen palaute, tallennetaan sitä varten myös puhelinnumero.

Kuvaus rekisterin suojauksen pääperiaatteista

Rekisterinpitäjä noudattaa hyvää tiedonhallintatapaa sekä tietosuojalainsäädännön mukaista huolellisuusvelvoitetta. Rekisterinpitäjä suojaa keräämänsä henkilötiedot siten, etteivät muut kuin Rekisterinpitäjän määrittelemät henkilöt voi käsitellä niitä ja että tietoja käsitellään vain liittyen työtehtäviin. Tietoihin voi olla pääsy Rekisterinpitäjän omilla työntekijöillä sekä Rekisterinpitäjän alihankkijoilla.

Rekisterinpitäjä huolehtii siitä, että henkilötietojen käsittelyyn käytettävät tietojärjestelmät ovat riittävillä tavoin teknisesti suojattuja ja että pääsy niihin on suojattu asianmukaisilla menetelmillä mukaan lukien fyysisten tilojen kulunvalvonta, palomuurit, henkilökohtaiset käyttäjätunnukset ja salasanat sekä henkilöstön koulutus.

Tiedot on tallennettu K-Labin hallinnoimiin tietojärjestelmiin ja niitä käsitellään HSM:n tuottamilla käyttöliittymillä.

Mikäli Rekisterinpitäjä käyttää rekisterin teknisessä ylläpitämisessä ulkopuolisia tahoja (alihankkijoita), Rekisterinpitäjä noudattaa alihankkijoiden osalta tietosuojalainsäädännön edellyttämiä velvoitteita.  Kaikissa tapauksissa henkilötiedot pidetään Rekisterinpitäjän hallinnoimissa tietojärjestelmissä ja Rekisterinpitäjä tai alihankkijat eivät tallenna tietoa muihin järjestelmiin.

Tietojen siirtäminen ja luovuttaminen

Henkilötietoja ei luovuteta ilman Testattavan suostumusta Rekisterinpitäjän tai sen nykyisten tai tulevien konserniyhtiöiden ulkopuolelle siten, että tiedot olisivat tunnistettavissa yksittäistä käyttäjää koskeviksi muissa kuin seuraavissa poikkeustilanteissa: lain tai viranomaismääräyksen velvoittamana, tuomioistuimen määräyksestä tai jos se on muuten tarpeen lain, verkkopalveluiden käyttöehtojen tai hyvän tavan epäiltyjen loukkausten estämiseksi tai selvittämiseksi taikka rekisterinpitäjän tai kolmansien oikeuksien suojaamiseksi.

Rekisterinpitäjä ei luovuta Testattavasta tallennettuja henkilötietoja Asiakkaalle. Asiakkaalle toimitetaan ainoastaan keskiarvotietoja Testattavien hyvinvoinnista. Keskiarvotietoja ei toimiteta, jos Testattavien määrä on niin pieni, että yksittäisen Testattavan tiedot olisivat tunnistettavissa keskiarvoista.

Tietoja voidaan luovuttaa Testattavan suostumuksella Testattavan terveydenhuollon toimintayksikölle.

Testattavan henkilötietoja voivat käsitellä sellaiset valtuutetut kolmannet osapuolet, jotka käsittelevät henkilötietoja Rekisterinpitäjän puolesta tässä selosteessa kuvatuissa tarkoituksissa (esimerkiksi teknisten palveluiden tarjoajat). Nämä palveluntarjoajat saavat käyttää henkilötietoja ainoastaan Rekisterinpitäjän ohjeistuksen mukaisesti eli vain siihen tarkoitukseen, johon tiedot on kerätty. Rekisterinpitäjä edellyttää, että kyseiset palveluntarjoajat toimivat soveltuvan lainsäädännön ja tämän selosteen mukaisesti asianmukaisen henkilötietojen suojan turvaten ja varmistaen.

Henkilötiedot säilytetään pääasiallisesti Rekisterinpitäjän EU:ssa sijaitsevilla palvelimilla ja henkilötietoja ei siirretä EU- tai ETA-valtioiden ulkopuolelle, ellei erikseen muuta sovita. Tietoja voidaan siirtää väliaikaisesti EU- tai ETA-valtioiden ulkopuolelle, mikäli se on palvelun ja henkilötietojen käsittelyn teknisen toteutuksen kannalta tarpeellista, kuten lähetettäessä palveluun liittyviä tietoja Testattavan käyttämään sähköpostiosoitteeseen, joka sijaitsee ulkomaisella sähköpostipalvelimella. Tällöin Rekisterinpitäjä ryhtyy tarvittaviin toimenpiteisiin varmistaakseen henkilötietojen riittävän suojaamisen soveltuvan lainsäädännön mukaisesti. Mitattava voi myös käyttää palvelua EU- tai ETA-valtioiden ulkopuolella sijaitsevalla laitteella, ja tällöin tiedot ovat nähtävissä kyseisellä laitteella palvelun käytön aikana.

Rekisteröidyn oikeudet

Testattavalla on Suomessa sovellettavan tietosuojalainsäädännön, mukaan lukien EU:n tietosuoja-asetus (GDPR), mukaiset oikeudet tarkastaa ja korjata tai vaatia korjattavaksi virheellisiä henkilötietojansa tai tietyissä tilanteissa oikeus vaatia henkilötietojansa poistettavaksi. Mitattavalla on siten oikeus pyytää, että Rekisterinpitäjä oikaisee ilman aiheetonta viivytystä häntä koskevat epätarkat tai virheelliset henkilötiedot. Testattavalla on oikeus saada tietonsa poistetuksi ilman aiheetonta viivytystä, esimerkiksi milloin henkilötietoja ei enää tarvita niiden alkuperäisiin käsittelytarkoituksiin, henkilötietoja on käsitelty lainvastaisesti tai rekisteröity peruuttaa antamansa suostumuksen eikä käsittelylle ole muuta laillista perustetta.

Testattavalla on oikeus vaatia, että Rekisterinpitäjä rajoittaa käsittelyä tietyissä tilanteissa, esimerkiksi milloin Testattava kiistää tietojensa paikkansa pitävyyden tai käsittely on lainvastaista. Tietyissä tilanteissa Testattavalla on myös oikeus vastustaa henkilötietojen käsittelyä.

Testattavalla voi tietyissä tilanteissa olla oikeus pyytää tietojen siirtämistä järjestelmästä toiseen. Kun Testattavan henkilötietoja käsitellään hänen antamaansa suostumukseen perustuen, Testattavalla on lisäksi milloin tahansa oikeus perua tällaiseen käsittelyyn antamansa suostumus.

Ensisijaisesti Rekisterinpitäjä toivoo, että mahdolliset erimielisyydet henkilötietojen käsittelyssä ratkaistaan sovinnollisesti osapuolten kesken. Mikäli tällaista asiaa ei kuitenkaan saada sovinnollisesti ratkaistua, on Testattavalla oikeus tehdä valitus tietosuoja-asioista vastaavalle valvontaviranomaiselle.

Tarkastus-, korjaus- ja poistopyynnöt on osoitettava HSM:lle henkilökohtaisesti taikka allekirjoitetulla kirjeellä tai vastaavalla tavalla varmennetulla asiakirjalla, jotta voidaan varmistaa pyynnön tekijän oikeus pyyntöön. Pyynnön voi tehdä sähköpostitse, mikäli käytetään palvelun käytön yhteydessä rekisteröityä sähköpostiosoitetta. HSM voi joutua tunnistamaan Testattavan sekä pyytämään lisätietoja voidakseen täyttää Testattavan yllä mainitut pyynnöt.

Tätä rekisteriselostetta on viimeksi muutettu toukokuussa 2018. HSM seuraa tietosuojaa koskevan lainsäädännön sekä viranomaisohjeiden muutoksia sekä kehittää palvelun toimintaa, ja varaa siksi oikeuden päivittää tätä selostetta.