Suomeksi – In English – På svenska
1. Rekisterin nimi
Fimlabin mobiilisovelluksen asiakasrekisteri
2. Rekisterinpitäjä
Fimlab Laboratoriot Oy
Pl 66
33013 Fimlab
3. Yhteyshenkilö rekisteriä koskevissa asioissa ja organisaation nimittämä tietotuojavastaava
Merja Maijala
Tietosuojavastaava
puh: 03 311 75259
sähköposti: tietosuoja[at]fimlab.fi
4. Henkilötietojen käsittelyn tarkoitus ja käsittelyn oikeusperusta
Asiakasrekisteriin tallennettujen tietojen käsittelyn perusteena on asiakkaan nimenomainen suostumus tai rekisteröidyn ja Fimlabin välisen sopimuksen täytäntöönpano.
Rekisterinpitäjä käyttää loogista rekisteriä seuraaviin tarkoituksiin:
- Asiakassuhteiden ylläpitoon, asiakkaiden informoimiseen Fimlabin toiminnasta ja muistuttamiseen rekisterinpitäjän palveluista
- Asiakaspalautteen ja asiakastyytyväisyyden kartoittamiseen
- Tilastointiin, raportointiin, suunnitteluun ja seurantaan, laskutukseen ja perintään sekä muihin rekisterinpitäjän oikeuksien ja velvollisuuksien toteuttamisen edellyttämiin tehtäviin
- Oman organisaation ja sen palveluiden, prosessien ja tuotteiden kehittämiseen ja tuottamiseen
- Laboratoriovastausten välittämiseen asiakkaalle
Fimlabin mobiilisovelluksen asiakasrekisteri on osa loogista Fimlabin asiakasrekisteriä.
5. Rekisterin tietosisältö
Rekisteröidystä voidaan tallentaa seuraavat asiakastiedot:
- Henkilön nimi ja henkilötunnus
- Puhelinnumero
- Sovelluksen asennuksen yksilöivä tunniste
- Mahdollinen kontaktointihistoria
- Mahdollinen asiakassuhteen hoitamiseen liittyvä historia
6. Säännönmukaiset tietolähteet
Säännönmukaiset tietolähteet ovat asiakkaan itse antamat ja palvelujen käytön yhteydessä muodostuneet tiedot.
7. Tietojen vastaanottajat
Rekisterin tietoja ei lähtökohtaisesti luovuteta organisaation ulkopuolelle, paitsi pakottavan lainsäädännön niin edellyttäessä viranomaisille yksilöityjen pyyntöjen perusteella. Rekisterinpitäjä saattaa käyttää alihankkijoita osan rekisterin henkilötietojen käsittelyssä.
8. Tietojen siirto EU:n tai ETA:n ulkopuolelle
Lähtökohtaisesti rekisterin henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.
9. Henkilötietojen säilytysaika
Rekisteriin kerättyjä tietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty. Rekisteriin tallennetut henkilötiedot poistetaan kun niiden käsittelylle ei ole enää laillista perustetta.
10. Rekisterin suojauksen periaatteet
Rekisterin tietoturvallisuus sekä henkilötietojen luottamuksellisuus, eheys ja käytettävyys varmistetaan asianmukaisin teknisin ja organisatorisin toimenpitein.
Rekisterin manuaalista aineistoa säilytetään arkistossa ja laboratorioyksiköiden valvotuissa tiloissa, joissa on kulunvalvonta ja/tai ovien lukitus. Rekisterin sähköisesti tallennetut tiedot on suojattu tietoturvallisesti niin, että niitä pääsee katsomaan vain organisaation sisäverkosta. Tietojärjestelmien ja tiedostojen käyttöoikeudet perustuvat henkilökohtaisiin käyttöoikeuksiin ja niiden käyttöä valvotaan. Kaikki tietoja käsittelevät henkilöt ovat salassapitovelvollisia.
Tietokannat säilytetään palveluntuottajan toimesta. Tietojen säilytyksessä noudatetaan Fimlab Laboratoriot Oy:n tietoturvasta ja tietosuojasta annettuja ohjeita ja Fimlab huolehtii riittävin sopimusvelvoittein, että sen käyttämät alihankkijat ovat sitoutuneet käsittelemään henkilötietoja asianmukaisesti ja lain edellyttämin tavoin.
11. Oikeus tietojen tarkastamiseen ja oikaisemiseen (art. 15 ja 16)
Rekisteröidyllä on oikeus tarkastaa, mitä häntä koskevia tietoja rekisteriin on tallennettu. Tarkastus- tai oikaisupyyntö voidaan tehdä toimittamalla kirjallinen pyyntö tietosuojavastaavalle (tietosuoja@fimlab.fi). Pyynnön toimittamisen jälkeen rekisteröidyn tulee tunnistautua rekisterinpitäjän toimipisteessä pyynnön esittäjän henkilöllisyyden todentamiseksi rekisterinpitäjän antamien tarkempien ohjeistusten mukaisesti tai vaihtoehtoisesti rekisterinpitäjä voi edellyttää rekisteröityä toimittamaan kulloinkin tarvittavat lisätiedot henkilöllisyyden todentamiseksi pyynnön kohteena olevien tietojen arkaluonteisuuden vuoksi.
12. Oikeus tietojen poistamiseen (art. 17)
Rekisteröidyllä on oikeus saada häntä koskevat henkilötiedot poistettua siltä osin kuin pakottava lainsäädäntö ei sitä estä tai rajoita ilman aiheetonta viivytystä edellyttäen, että
- henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin;
- rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta;
- henkilötiedot on kerätty alaikäiseltä;
- henkilötietoja on käsitelty lainvastaisesti; tai
- henkilötiedot on poistettava unionin oikeuteen tai kansalliseen lainsäädäntöön perustuvan lakisääteisen velvoitteen noudattamiseksi.
Pyyntö tietojen poistamisesta voidaan tehdä toimittamalla kirjallinen pyyntö tietosuojavastaavalle (tietosuoja@fimlab.fi). Pyynnön toimittamisen jälkeen rekisteröidyn tulee tunnistautua rekisterinpitäjän toimipisteessä pyynnön esittäjän henkilöllisyyden todentamiseksi rekisterinpitäjän antamien tarkempien ohjeistusten mukaisesti tai vaihtoehtoisesti rekisterinpitäjä voi edellyttää rekisteröityä toimittamaan kulloinkin tarvittavat lisätiedot henkilöllisyyden todentamiseksi pyynnön kohteena olevien tietojen arkaluonteisuuden vuoksi.
Rekisterinpitäjällä voi olla poistopyynnöstä huolimatta peruste jatkaa rekisteriin tallennettujen henkilötietojen käsittelyä EU:n yleisen tietosuojaasetuksen 17 artiklan 3. kohdan mukaisen syyn perusteella.
13. Oikeus käsittelyn rajoittamiseen (art. 18)
Rekisteröidyllä oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä siltä osin kuin pakottava lainsäädäntö ei sitä estä tai rajoita, jos
- rekisteröity kiistää henkilötietojen paikkansapitävyyden;
- käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista;
- rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi.
Käsittelyn rajoittamista koskeva pyyntö voidaan tehdä toimittamalla kirjallinen pyyntö tietosuojavastaavalle (tietosuoja@fimlab.fi). Pyynnön toimittamisen jälkeen rekisteröidyn tulee tunnistautua rekisterinpitäjän toimipisteessä pyynnön esittäjän henkilöllisyyden todentamiseksi rekisterinpitäjän antamien tarkempien ohjeistusten mukaisesti tai vaihtoehtoisesti rekisterinpitäjä voi edellyttää rekisteröityä toimittamaan kulloinkin tarvittavat lisätiedot henkilöllisyyden todentamiseksi pyynnön kohteena olevien tietojen arkaluonteisuuden vuoksi.
14. Oikeus peruuttaa suostumus (art.7)
Rekisteröidyllä on oikeus peruuttaa käsittelyyn antamansa suostumus milloin tahansa ilmoittamalla siitä kirjallisesti Fimlabille tämän vaikuttamatta suostumuksen perusteella ennen tätä suoritetun käsittelyn lainmukaisuuteen.
15. Oikeus siirtää tiedot järjestelmästä toiseen (art. 20)
Rekisteröidyllä on siltä osin kuin pakottava lainsäädäntö ei sitä estä tai rajoita oikeus saada häntä koskevat henkilötiedot, jotka hän on itse toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle, mikäli se on teknisesti mahdollista. Tämä oikeus koskee henkilötietoja, joita on käsitelty ainoastaan automaattisesti ja suostumuksen perusteella tai sopimuksen täytäntöönpanemiseksi. Pyynnön toimittamisen jälkeen rekisteröidyn tulee tunnistautua rekisterinpitäjän toimipisteessä pyynnön esittäjän henkilöllisyyden todentamiseksi rekisterinpitäjän antamien tarkempien ohjeistusten mukaisesti tai vaihtoehtoisesti rekisterinpitäjä voi edellyttää rekisteröityä toimittamaan kulloinkin tarvittavat lisätiedot henkilöllisyyden todentamiseksi pyynnön kohteena olevien tietojen arkaluonteisuuden vuoksi.
16. Oikeus tehdä valitus valvontaviranomaiselle (art. 77)
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle, jos rekisteröity katsoo, että häntä koskevia henkilötietojen käsittelyssä rikotaan soveltuvaa tietosuojasääntelyä.
Fimlab mobile application: Privacy policy
1. Name of the register
Customer register of the Fimlab mobile application
2. Data controller
Fimlab Laboratoriot Oy
PL 66
33013 Fimlab
3. Contact person in register-related matters and Data Protection Officer appointed by the organisation
Merja Maijala
Data Protection Officer
tel: 03 3117 5259
email: tietosuoja[at]fimlab.fi
4. Purpose of and legal basis for processing personal data
The basis for the processing of data stored in the customer register is either the customer’s explicit consent or the implementation of an agreement between the data subject and Fimlab.
The data controller uses the logical register for the following purposes:
- Maintenance of customer relationships, information of customers of Fimlab’s operations and reminding customers of the data controller’s services
- Processing customer feedback and surveying customer satisfaction
- Compilation of statistics, reporting, planning, and monitoring, invoicing and debt collection and other tasks necessary for the enforcement of the rights and obligations of the data controller
- Development and production of the data controller’s own organisation and its services, processes and products
- Relaying of laboratory examination results to the customer
The customer register of the Fimlab mobile application is part of the logical Fimlab customer register.
5. Data content of the register
The following customer data may be collected of the data subject:
- Name and social security number
- Telephone number
- Application download ID
- Possible contact history
- Possible customer relationship maintenance history
6. Regular sources of data
Regular sources of data consist of data provided by the customers themselves and generated in connection with services used.
7. Recipients of data
In principle, the data stored in the register are not disclosed to third parties. Where required under mandatory legislation, data may be disclosed to authorities based on individualised requests. The data controller may use subcontractors in the processing of personal data in the register.
8. Transfer of data outside the EU or EEA
In principle, personal data in the register are not transferred outside the EU or EEA.
9. Retention period
The data collected in the register are stored only for as long as and to the extent it is necessary for the original or appropriate purpose for which the personal data were collected. Personal data stored in the register are erased when the legal basis for their processing ceases to apply.
10. Principles of protection
Appropriate technical and organisational measures have been taken to ensure the information security of the register and the confidentiality, integrity and accessibility of the personal data collected.
Manual material is stored in an archive and in laboratory facilities controlled with access control and/or a locking system. Electronic material is protected securely so that it can only be accessed from the organisation’s intranet. The access rights to the organisation’s information systems and files are based on personal access rights, the use of which is controlled. All persons processing personal data are obligated to maintain secrecy.
Databases are maintained by the computer service provider. Fimlab Laboratoriot Oy’s guidelines on data security and data privacy are observed in the retention of data. Fimlab enforces adequate contractual obligations to ensure that its subcontractors are committed to processing personal data in an appropriate and legal manner.
11. Right to access and rectify data (Article 15 and 16)
The data subject shall have the right to know which of their personal data have been stored in the register. The request to access data or have data rectified is submitted by sending a written request to the Data Protection Officer (tietosuoja@fimlab.fi). After submitting their request, the data subject must identify themselves at the data controller’s service point in order to verify the identity of the applicant in accordance with the data controller’s instructions or, alternatively, the data controller may require the data subject to provide any necessary additional information to verify the applicant’s identity due to the sensitivity of the data requested.
12. Right to erasure (Article 17)
The data subject shall have the right to obtain from the controller the erasure of personal data concerning them without undue delay if
- the personal data are no longer necessary in relation to the purposes for which they were collected or otherwise processed;
- the data subject withdraws their consent on which the processing is based, and where there is no other legal ground for the processing;
- the data have been collected from a minor;
- the personal data have been unlawfully processed; or
- the personal data have to be erased for compliance with a legal obligation in Union or Member State law to which the controller is subject.
The request to have data erased is submitted by sending a written request to the Data Protection Officer (tietosuoja@fimlab.fi). After submitting their request, the data subject must identify themselves at the data controller’s service point in order to verify the identity of the applicant in accordance with the data controller’s instructions or, alternatively, the data controller may require the data subject to provide any necessary additional information to verify the applicant’s identity due to the sensitivity of the data requested.
Despite the request to have data erased, the data controller may be entitled to continue the processing personal data stored in the register based on a legal reason under Article 17(3) of the General Data Protection Regulation.
13. Right to restriction of processing (Article 18)
Insofar as mandatory legislation does not prevent or restrict the restriction of processing of data, the data subject shall have the right to obtain from the controller restriction of processing if
- the accuracy of the personal data is contested by the data subject;
- the processing is unlawful, and the data subject opposes the erasure of the personal data and requests the restriction of their use instead;
- the controller no longer needs the personal data for the purposes of the processing, but they are required by the data subject for the establishment, exercise, or defence of legal claims.
The request to restrict the processing of data is submitted by sending a written request to the Data Protection Officer (tietosuoja@fimlab.fi). After submitting their request, the data subject must identify themselves at the data controller’s service point in order to verify the identity of the applicant in accordance with the data controller’s instructions or, alternatively, the data controller may require the data subject to provide any necessary additional information to verify the applicant’s identity due to the sensitivity of the data requested.
14. Right to withdraw consent (Article 7)
The data subject shall have the right to withdraw their consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on consent before its withdrawal.
15. Right to data portability (Article 20)
The data subject shall have the right to receive the personal data concerning them, which they have provided to the data controller, in a structured, commonly used, and machine-readable format and have the right to transmit those data to another controller, if possible. This right shall apply to personal data which have been processed automatically and based on consent or for the purpose of implementing an agreement. After submitting their request, the data subject must identify themselves at the data controller’s service point in order to verify the identity of the applicant in accordance with the data controller’s instructions or, alternatively, the data controller may require the data subject to provide any necessary additional information to verify the applicant’s identity due to the sensitivity of the data requested.
16. Right to lodge a complaint with a supervisory authority (Article 77)
The data subject shall have the right to lodge a complaint with a supervisory authority if the data subject considers that the processing of personal data relating to them infringes the General Data Protection Regulation.
Fimlab-mobilappen: Sekretesspolicy
1. Namn på registret
Kundregister för Fimlabs mobilapp
2. Personuppgiftsansvarig
Fimlab Laboratoriot Oy
PL 66
33013 Fimlab
3. Kontaktperson i ärenden som gäller registret och personuppgiftsbehandlare som utsetts av organisationen
Merja Maijala
Personuppgiftsbehandlare
tfn 03 3117 5259
e-post: tietosuoja[at]fimlab.fi
4. Syfte med behandlingen av personuppgifter och rättslig grund för behandlingen
Grunden för behandling av uppgifter som sparats i registret är kundens uttryckliga samtycke eller genomförande av ett avtal mellan den registrerade och Fimlab.
Den personuppgiftsansvarige använder det logiska registret i följande syften:
- För att sköta kundförhållandet, för att informera kunderna om Fimlabs verksamhet och påminna om den personuppgiftsansvariges tjänster
- För att kartlägga kundrespons och kundnöjdhet
- För statistikföring, rapportering, planering och uppföljning, fakturering och inkasso samt övriga uppgifter som anknyter den personuppgiftsansvariges rättigheter och skyldigheter
- För utveckling och produktion som gäller den egna organisationen och dess tjänster, processer och produkter
- För att förmedla laboratoriesvar till kunden
Kundregistret för Fimlabs mobilapp är en del av Fimlabs logiska kundregister.
5. Informationsinnehållet i registret
Följande kunduppgifter om den registrerade kan sparas:
- Personens namn och personbeteckning
- Telefonnummer
- En specificerande identifierare för installationen av appen
- Eventuell kontakthistorik
- Eventuell historik som gäller kundförhållandet
6. Ordinarie uppgiftskällor
Ordinarie uppgiftskällor är de uppgifter som kunden själv lämnat och de uppgifter som genererats när tjänsterna använts.
7. Mottagare av uppgifterna
Uppgifterna i registret lämnas i regel inte ut utanför organisationen, utom på myndigheternas specificerade begäran när tvingande lagstiftning kräver detta. Den personuppgiftsansvarige använder underleverantörer för behandling av personuppgifterna i registret.
8. Utlämnande av uppgifter utanför EU eller EES
I regel lämnas inte personuppgifter i registret ut utanför EU eller EES.
9. Förvaringstid för personuppgifter
Uppgifter som samlats i registret förvaras endast så länge och i den omfattning som de behövs i relation till de ursprungliga syftena eller med dem förenliga syftena, för vilka personuppgifterna insamlats. Personuppgifterna som sparats i registret raderas när det inte längre finns en lagenlig grund att behandla dem.
10. Principer för skyddande av registret
Datasäkerheten för registret samt personuppgifternas konfidentialitet, enhetlighet och användbarhet säkerställs med relevanta tekniska och organisatoriska åtgärder.
Det manuella materialet i registret förvaras i arkiv och i laboratorieenheternas övervakade lokaler, som har passerkontroll och/eller låsta dörrar. Uppgifter som sparats elektroniskt i registret skyddas på ett datasäkert sätt så att de kan ses endast i organisationens lokala datanät. Behörigheterna till datasystem och filer grundas på personliga behörigheter och användningen av dem övervakas. Alla de personer som behandlar uppgifter har sekretessplikt.
Databaserna förvaras av tjänsteleverantören. Vid förvaringen av uppgifter iakttas de anvisningar som getts för Fimlab Laboratoriot Oy:s datasäkerhet och dataskydd, och Fimlab ser med tillräckliga avtalsförpliktelser till att dess underleverantörer har åtagit sig att behandla personuppgifterna på ändamålsenliga sätt och som lagen förutsätter.
11. Rätt att granska och rätta uppgifterna (art. 15 och 16)
Den registrerade har rätt att granska sina egna uppgifter i registret. En begäran om att få granska uppgifterna eller att rätta uppgifterna kan lämnas med en skriftlig begäran till den dataskyddsansvariga (tietosuoja@fimlab.fi). Efter att en begäran lämnats in ska den registrerade enligt den personuppgiftsansvariges anvisningar identifiera sig vid den personuppgiftsansvariges verksamhetsställe för att verifiera identiteten hos den som lämnat in begäran, eller alternativt kan den personuppgiftsansvarige kräva att den registrerade lämnar de tilläggsuppgifter som behövs i det aktuella fallet för att verifiera identiteten på grund av att de uppgifter som begärs är av känslig karaktär.
12. Rätt att radera uppgifter (art. 17)
Den registrerade har rätt att få sina egna personuppgifter raderade till den del detta inte hindras eller begränsas av tvingande lagstiftning, utan onödiga dröjsmål och under förutsättning att
- personuppgifterna inte längre behövs för de syften för vilka de insamlats eller för vilka de behandlats;
- den registrerade återkallar sitt samtycke som är grunden för behandlingen, och det finns ingen laglig grund för behandlingen;
- personuppgifter har insamlats av en minderårig;
- personuppgifter har behandlats på ett lagstridigt sätt; eller
- personuppgifterna ska raderas för att iaktta en lagstadgad förpliktelse som grundas på unionsrätten eller på nationell lagstiftning.
En begäran om att uppgifterna ska rättas eller raderas kan lämnas med en skriftlig begäran till den dataskyddsansvariga (tietosuoja@fimlab.fi). Efter att en begäran lämnats ska den registrerade enligt den personuppgiftsansvariges anvisningar identifiera sig vid den personuppgiftsansvariges verksamhetsställe för att verifiera identiteten hos den som lämnat begäran, eller alternativt kan den personuppgiftsansvarige kräva att den registrerade lämnar de tilläggsuppgifter som behövs i det aktuella fallet för att verifiera identiteten på grund av att de uppgifter som begärs är av känslig karaktär.
Den personuppgiftsansvarige kan trots begäran om att radera uppgifterna ha grund för att fortsätta behandla uppgifterna som sparats i registret utifrån en orsak som finns i 17 artikel 3 punkten i EU:s allmänna dataskyddsförordning.
13. Rätt att begränsa behandlingen (art. 18)
Den registrerade har rätt att begära att den personuppgiftsansvarige begränsar behandlingen till den del tvingande lagstiftning inte hindrar eller begränsar behandlingen om
- den registrerade bestrider att personuppgifterna är riktiga;
- behandlingen är lagstridig och den registrerade motsätter sig radering av personuppgifterna och i stället kräver att användningen av dem ska begränsas;
- den personuppgiftsansvarige behöver inte längre personuppgifterna ifråga för behandlingens syften, men den registrerade behöver dem för att upprätta, framställa eller försvara ett juridiskt krav.
En begäran om begränsning av behandlingen kan lämnas med en skriftlig begäran till den dataskyddsansvariga (tietosuoja@fimlab.fi). Efter att en begäran lämnats ska den registrerade enligt den personuppgiftsansvariges anvisningar identifiera sig vid den personuppgiftsansvariges verksamhetsställe för att verifiera identiteten hos den som lämnat begäran, eller alternativt kan den personuppgiftsansvarige kräva att den registrerade lämnar de tilläggsuppgifter som behövs i det aktuella fallet för att verifiera identiteten på grund av att de uppgifter som begärs är av känslig karaktär.
14. Rätt att ångra samtycke (art. 7)
Den registrerade har rätt att ångra sitt samtycke för behandling av personuppgifter när som helst genom att skriftligt meddela detta till Fimlab utan att detta påverkar lagenligheten i den behandling som före detta utförts utifrån samtycket.
15. Rätt att överföra uppgifterna från ett system till ett annat (art. 20)
Den registrerade har till den del tvingande lagstiftning inte hindrar eller begränsar denna rätt att få sina egna personuppgifter, som hen själv lämnat till den personuppgiftsansvarige, i ett strukturerat, allmänt använt och maskinläsbart format, och rätt att överföra uppgifterna ifråga till en annan personuppgiftsansvarig, om detta är tekniskt möjligt. Denna rättighet gäller personuppgifter som behandlats endast automatiskt och utifrån samtycke eller för att verkställa ett avtal. Efter att en begäran lämnats ska den registrerade enligt den personuppgiftsansvariges anvisningar identifiera sig vid den personuppgiftsansvariges verksamhetsställe för att verifiera identiteten hos den som lämnat begäran, eller alternativt kan den personuppgiftsansvarige kräva att den registrerade lämnar de tilläggsuppgifter som behövs i det aktuella fallet för att verifiera identiteten på grund av att de uppgifter som begärs är av känslig karaktär.
16. Rätt att lämna in ett klagomål till tillsynsmyndigheten (art. 77)
Den registrerade har rätt att lämna ett klagomål till tillsynsmyndigheten om den registrerade anser att behandlingen av hens personuppgifter bryter mot tillämplig dataskyddsreglering.