Integritetspolicy (På Svenska)
Privacy Policy (In English)

 

 

INTEGRITETSPOLICY

 

ePassi Min Friskvård AB, ePassi Payments Oy och ePassi Clearing Oy

 

  1. ALLMÄN INFORMATION

ePassi Min Friskvård AB, ePassi Payments Oy och ePassi Clearing Oy (gemensamt benämnda ”Epassi”, ”vi” eller ”oss”) respekterar din integritet och förbinder sig att skydda integriteten hos personer som använder Epassi-tjänster. I denna integritetspolicy beskrivs hur Epassi behandlar personuppgifter, till exempel vilka typer av personuppgifter vi samlar in, i vilka syften personuppgifterna används och till vilka parter personuppgifterna kan lämnas ut.

Denna integritetspolicy gäller användare av Epassi-tjänsterna, inklusive användare av Epassis slutanvändartjänster och våra webbplatser samt när vi kommunicerar om våra tjänster eller i vår kundrelationshantering. Dessutom gäller denna integritetspolicy även för våra arbetsgivares kunders kontaktpersoner, potentiella arbetsgivares kunders kontaktpersoner och våra tjänsteleverantörskunders kontaktpersoner.

Personuppgifter avser information som rör en fysisk person (”registrerad person”) som kan identifiera honom/henne direkt eller indirekt. Personuppgifter, registrerad person, personuppgiftsansvarig och andra viktiga termer definieras i den allmänna dataskyddsförordningen (2016/679, ”GDPR”). Epassi efterlever GDPR i all personuppgiftsbehandling tillsammans med annan tillämplig nationell dataskyddslagstiftning (”dataskyddslagstiftning”).

Våra tjänster kan också innehålla länkar till externa webbplatser och tjänster som drivs av andra organisationer som vi inte styr över. Denna integritetspolicy är inte tillämplig för deras användning, så vi uppmuntrar dig att granska de integritetspolicyer som gäller för dem. Vi ansvarar inte för integritetspolicyer för andra webbplatser eller externa tjänster.

  1. DELAT PERSONUPPGIFTSANSVARIGA OCH KONTAKTUPPGIFTER

Delat personuppgiftsansvarig: ePassi Min Friskvård AB

Organisationsnummer: 556617-0030

Adress: Storgatan 31, 461 30 Trollhättan, Sverige

E-post: dataprivacy@epassi.com

Representant för delat personuppgiftsansvarig: Henna Toivonen

 

Delat personuppgiftsansvarig: ePassi Payments Oy

Organisationsnummer: 2090737-1

Adress: Linnoitustie 11, 02600 Esbo

E-post: dataprivacy@epassi.com

Representant för delat personuppgiftsansvarig: Henna Toivonen

Delat personuppgiftsansvarig: ePassi Clearing Oy

Organisationsnummer: 2872241-9

Adress: Linnoitustie 11, 02600 Esbo

E-post: dataprivacy@epassi.com

Representant för delat personuppgiftsansvarig: Henna Toivonen

  1. SYFTEN, TYPER AV PERSONUPPGIFTER, RÄTTSLIGA GRUNDER OCH KVARHÅLLNINGSTIDER FÖR BEHANDLING

Epassi samlar endast in sådana personuppgifter som är relevanta och nödvändiga för de ändamål som beskrivs i denna integritetspolicy. Personuppgifterna är föremål för regelbundna uppdateringar, i enlighet med gällande lag. Personuppgifterna behandlas helt separat från andra Epassi-system och är inte kopplade till andra behandlingssyften.

Personuppgifter kommer att behandlas i följande syften:

3.1.                      Autentisering av slutanvändare

Personuppgifterna behandlas i syfte att utföra slutanvändarnas KYC-process (Know Your Customer) så att Epassi kan identifiera slutanvändare i enlighet med lagstadgade skyldigheter och tillhandahålla slutanvändartjänster.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • Namn
  • Nationalitet
  • Födelsedatum
  • Personnummer eller personlig identifikationskod
  • Bostadsadress
  • Yrke
  • Politisk exponering
  • Information om dokumentet som används för att verifiera identiteten, eller om personen har identifierats på distans, information om förfarandet eller källor som används vid verifieringen

De personuppgifter som krävs för att autentisera slutanvändare behandlas av Telia Finland Oyj för Epassis räkning.

Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.

Kvarhållningsperiod: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och högst fem år därefter, och även efter en sådan period om det finns öppna förfrågningar som rör slutanvändaren eller krävs i enlighet med tillämplig lagstiftning.

3.2.                      Autentisering av Tjänsteleverantörer

Personuppgifterna behandlas för att samla in och lagra KYC-informationen (Know Your Customer) och riskkategorierna för Epassis tjänsteleverantörers kunder för att uppfylla våra juridiska skyldigheter.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • Födelsedatum
  • Personnummer eller personlig identifikationskod
  • Nationalitet
  • PEP-status för ledamöter i styrelsen, VD och personer som äger mer än 25 % av bolaget

Uppgifterna behandlas av Clento Oy som personuppgiftsansvarig för Epassis räkning.

Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.

Kvarhållningsperiod: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och högst fem år därefter, och även efter en sådan period om det finns öppna förfrågningar som rör konsumenten eller krävs i enlighet med tillämplig lagstiftning.

3.3.                      Epassi-produkt och systemdata

Personuppgifter hanteras för distribution, användning, underhåll och utveckling av Epassi-specifika och allmänna betalningstjänster, finansiella uppgifter, applikationsanvändning och andra tekniklösningars backend-data.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • Namn
  • Företag (arbetsgivare)
  • Transaktionsinformation
  • Inköpshistorik
  • Åtkomstloggar
  • Användarenhet
  • Personuppgifter som den registrerade personen tillhandahåller
  • E-postadress
  • Personnummer (i Sverige)
  • Telefonnummer
  • Postnummer
  • Användarsaldo

Rättslig grund: Behandlingen av personuppgifter bygger på ett giltigt och rättsligt avtalsförhållande vid distribution och användning av tjänster, och i andra avseenden är behandlingen baserad på Epassis berättigade intresse att upprätthålla och utveckla sådana tjänster, både gentemot sina arbetsgivarkunder och slutanvändare (konsumentkunder). Behandlingen av personnumret baseras på tillämplig lagstiftning eller samtycke från den registrerade personen.

Kvarhållningsperiod: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och därefter i högst två år. Personuppgifter som behandlas och lagras för transaktions- och finansiell information lagras i tio år från datumet för skapandet i enlighet med tillämplig lag. Lagringen kan fortsätta under ännu längre perioder utifrån skäl som presenteras i avsnitt 3.1 och 3.2.

3.4.                      Rapportering till arbetsgivare om använda förmåner

Personuppgifter behandlas för att Epassis-arbetsgivare ska kunna få rapporter om förmånsanvändningen i förhållande till tilldelade förmåner. Behandlingen är nödvändig för att informera arbetsgivarna om användningen av anställningsförmåner i lönerelaterade syften, för att genomföra löneavdrag samt för beskattning och fakturering.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • Förmånsbelopp som getts
  • Förmånsbelopp som använts
  • De 10 mest populära handlarna som de anställda använt

Rättslig grund: Behandlingen av personuppgifter bygger på ett avtal.

Kvarhållningsperiod: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna.

3.5.                      Lagring av slutanvändares transaktionshistorik  

Personuppgifter behandlas för att lagra slutanvändarnas transaktionshistorik för att vid behov fastställa eller försvara rättsliga anspråk.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • Namn
  • Företag
  • Transaktionsinformation
  • Inköpshistorik
  • Åtkomstloggar

Rättslig grund: Behandlingen av personuppgifter baseras på ePassis berättigade intresse att lagra transaktionshistorik för att fastställa eller försvara rättsliga anspråk.

Kvarhållningsperiod: Personuppgifter lagras under den period som är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk. För transaktions- och finansinformation är lagringstiden minst 10 år i enlighet med tillämplig lag.

3.6.                      Användarkommunikation och marknadsföring

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • Namn
  • E-postadress
  • Användarpreferenser
  • Användarsaldo
  • Företag (arbetsgivare)
  • Geografisk plats (i Sverige)

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis legitima intresse att marknadsföra Epassis produkter och/eller tjänster till användare. Behandlingen av personuppgifter är också baserad på samtycke från den registrerade personen i förhållande till direktmarknadsföring för att tillhandahålla riktad marknadsföring och reklam. Den registrerade personen har rätt att inte tillåta att personuppgifter används i direktmarknadsföringssyfte och kan när som helst dra tillbaka ett tidigare samtycke.

Den elektroniska användarkommunikationen (som levereras via e-post) sker via APSIS och Apsis International AB fungerar som personuppgiftsansvarig. Mer information om dataöverföringar finns i avsnitt 6.

Kvarhållningsperiod: Personuppgifter behandlas så länge slutanvändaren förblir kund hos Epassi och/eller har tillåtit relevanta direktmarknadsföringssyften.

3.7.                      Utvärdering och uppföljning av e-postmeddelanden

Personuppgifterna behandlas för att utvärdera och följa upp e-postmottagarnas aktiviteter när e-postmeddelandet har skickats till Epassi-tjänsternas slutanvändare. Detta kan också inbegripa att generera sammanställd statistik gällande aktiviteterna.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • E-postadress
  • Information om huruvida den registrerade personen har öppnat ett e-postmeddelande eller bifogat material eller om den registrerade personen har klickat på några länkar eller tagit bort e-postmeddelandet

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kunna följa upp hur e-postmottagare agerar när de får e-post från Epassi.

Kvarhållningsperiod: Personuppgifter behandlas så länge slutanvändaren förblir kund hos Epassi och/eller har tillåtit relevanta direktmarknadsföringssyften.

3.8.                      Webbplats, webbanalys och cookies  

Personuppgifterna behandlas för att utveckla Epassis tjänster med hjälp av webbanalys och cookies samt för att administrera vår webbplats och hantera användarförfrågningar.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • IP-adress
  • Användarpreferenser
  • Användarenhet

Rättslig grund: Behandlingen av personuppgifter baseras på samtycke från den registrerade personen.

Kvarhållningsperiod: Personuppgifter lagras i högst två år.

3.9.                      Kommunikation med Epassis arbetsgivare- och tjänsteleverantörskunder

Personuppgifterna behandlas för att kommunicera med Epassis arbetsgivare- och tjänsteleverantörskunders kontaktpersoner.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • Namn
  • E-postadress
  • Telefonnummer

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kommunicera med Epassis arbetsgivare- och tjänsteleverantörskunders kontaktpersoner.

Personuppgifterna behandlas av HubSpot, Inc. som personuppgiftsansvarig för Epassis räkning.

Kvarhållningsperiod: Personuppgifter behandlas/lagras så länge som arbetsgivare- eller tjänsteleverantörskundens kontaktperson identifieras som kontaktperson som representerar företaget.

3.10.                   Supportärenden

Personuppgifterna behandlas för att administrera supportärenden för Epassis arbetsgivare och slutanvändare samt för att tillhandahålla telefonsupport.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • Kontaktuppgifter till den part som initierar supportärendet
  • Kontaktuppgifter till den person som ansvarar för att hantera ärendet
  • Information i textfält som tillhandahålls av den part som initierar supportärendet
  • Information i loggfiler
  • Telefonnummer

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis legitima intresse av att administrera supportärendena.

Vissa supportärenden (telefonsupport i första instans) drivs via Vakka-Suomen Puhelin Oy i Finland som personuppgiftsansvarig. Mer information om dataöverföringar finns i avsnitt 6.

Kvarhållningsperiod: Personuppgifter lagras endast för detta ändamål så länge som det är nödvändigt för det ändamål för vilket de samlades in och därefter i högst 2 år.

3.11.                   Efterleva juridiska skyldigheter (bokföring, redovisning etc.)

Personuppgifterna behandlas för att uppfylla våra juridiska skyldigheter, till exempel bokförings- eller skattelagsrelaterade skyldigheter.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • Alla kategorier av personuppgifter som har samlats in och är nödvändiga för att uppfylla juridiska skyldigheter.

Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.

Kvarhållningsperiod: Personuppgifter lagras så länge en viss juridisk skyldighet så kräver. Till exempel stipulerar bokföringslagen en skyldighet om att bevara redovisningsunderlag i 6 år efter räkenskapsårets slut.

För behandlingsaktiviteter som är baserade på ett legitimt intresse har vi noggrant balanserat ett sådant legitimt intresse med registrerade personers rätt till integritet och kommit fram till att vårt intresse överväger registrerade personers rättigheter och friheter.

Om behandlingen är sådan att ett samtycke krävs enligt tillämplig lagstiftning, kommer vi att informera om detta och erhålla samtycket, och detta kommer att vara den rättsliga grunden för behandlingen. Du har dock rätt att när som helst återkalla detta samtycke, utan att det påverkar legitimiteten i den behandling som baserats på samtycket innan det återkallades. Om ett sådant tillbakadragande innebär att vi inte längre kan tillhandahålla våra tjänster kan det hända att vi slutar tillhandahålla tjänsterna.

  1. DATAKÄLLOR

Personuppgifterna samlas huvudsakligen direkt från de registrerade själva, till exempel vid registrering eller användning av våra tjänster eller i en kundrelation.

Personuppgifterna kan också samlas in från slutanvändarens arbetsgivare i relation till tjänster som tillhandahålls av arbetsgivaren och av Epassi till slutanvändaren. Dessa samlas in baserat på behovet av att ingå avtal med slutanvändaren som konsumentkund hos Epassi och skapa deras personliga konton på Epassi.

Personuppgifterna kan också samlas in automatiskt när den registrerade personen använder våra tjänster, till exempel vid användning av våra slutanvändartjänster och vid besök på vår webbplats.

Dessutom, och med den registrerade personens tillstånd, kan uppgifter samlas in på annat sätt i ett marknadsföringssammanhang.

Personuppgifter kan uppdateras och kompletteras genom att data samlas in från privata och offentliga källor.

  1. KVARHÅLLNING AV PERSONUPPGIFTER

Personuppgifter som samlas in i samband med våra tjänster ska bevaras så länge som det definieras i denna integritetspolicy och i enlighet med lagen såvida inte sådan information ersätts genom regelbundna uppdateringar eller på annat sätt. Kvarhållningsperioden varierar stort mellan olika typer av behandling.

Vi utvärderar personuppgiftsbehandlingens nödvändighet och personuppgifternas riktighet regelbundet och försöker se till att felaktiga och onödiga personuppgifter korrigeras eller raderas.

Detaljerade kvarhållningstider kan tillhandahållas på begäran.

  1. TILLGÄNGLIGGÖRANDEN, ÖVERFÖRINGAR OCH MOTTAGARE AV PERSONUPPGIFTER

I de syften som anges i denna integritetspolicy kan personuppgifter vid behov lämnas ut till myndigheter, och till andra företag inom samma Epassi-koncern, och till utvalda tredje parter, till exempel tredjepartsleverantörer av tjänster (såsom våra IT-leverantörer och marknadsföringsbyråer som genomför marknadsföring för vår räkning etc.). I sådana fall kommer personuppgifterna endast att lämnas ut för de ändamål som definierats ovan och alla tillgängliggörande är alltid begränsade till endast de absolut nödvändiga personuppgifter som krävs för sådana ändamål. Vi varken säljer eller på annat vis tillgängliggör personuppgifter till tredje part utanför Epassi för tredje parts egna syften.

Regelbundna tillgängliggörande av personuppgifter som görs till tredje part för att tillhandahålla överenskomna tjänster:

  • Till Epassi-partner, där en sådan partners kund också är en Epassi-slutanvändare, och de båda syftena sammanfaller och kräver överföring eller matchning av personuppgifter, och
  • Till Epassi-leverantör, i de fall detta krävs för ekonomi- och betalningsbehandlingssyften när tjänsterna används.

Dessutom kan Epassi dela personuppgifterna i samband med en sammanslagning, försäljning av våra tillgångar eller finansiering eller förvärv av hela eller en del av vår verksamhet och i samband med andra liknande arrangemang.

Personuppgifterna lämnas också ut till tredje part om så krävs enligt tillämplig lag eller förordning av behöriga myndigheter, och för att undersöka eventuell kränkande användning av produkterna och tjänsterna samt för att garantera säkerheten och användbarheten för Epassis produkter och tjänster.

För att Epassi ska kunna tillhandahålla de avtalade tjänsterna behandlas personuppgifter också av följande Epassi-personuppgiftsbiträden. Lista över personuppgiftsbiträden och andra mottagare:

  • APSIS International AB (marknadsföringsverktyg)
  • Cellip AB (supportverktyg)
  • Clento Oy (Know Your Customer)
  • Fortnox AB (finansverktyg)
  • Freshworks Inc. (supportverktyg)
  • Google LLC (Google Analytics, Google Ads)
  • Hetzner Online GmbH (värd för onlineserviceplattformen)
  • HubSpot, Inc. (CRM-verktyg , Epassis Finska arbetsgivar- och tjänsteleverantörskunders kontaktpersoner, endast tillämplig i Finland)
  • InExchange Factorum AB (elektronisk fakturering)
  • Kund-o AB (supportverktyg som används för ärendehantering)
  • Lime Technologies AB (CRM-verktyg, Epassis Svenska arbetsgivar- och tjänsteleverantörskunders kontaktpersoner, endast tillämplig i Sverige)
  • Mainloop AB (IT-utveckling)
  • Microsoft Corporation (Affärsverktyg)
  • Sharpspring (marknadsföringsverktyg)
  • Telavox AB (supportverktyg)
  • Telia Finland Oyj (stark autentisering)
  • Vakka-Suomen Puhelin Oy (supporttjänster för Finska kunder, endast tillämplig i Finland)
  • Visma Solutions Oy (Netvisor).
  1. DATAÖVERFÖRINGAR UTANFÖR EU/EES

Några av de tjänster som används av Epassi för behandling av personuppgifter kan bedrivas utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES). Således kan personuppgifter överföras utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet. Om personuppgifter överförs utanför EU/EES sker sådana överföringar antingen till ett land som anses ge tillräckligt integritetsskydd av EU-kommissionen, eller så utförs överföringar med hjälp av lämpliga skyddsåtgärder såsom implementerade standardavtalsklausuler (Standard Contractual Clauses, SCC), inklusive eventuella kompletterande åtgärder, när detta bedöms vara nödvändigt, eller på annat sätt som godkänns av EU-kommissionen eller behörig dataskyddsmyndighet i enlighet med GDPR.

Följande mottagare kan föra över personuppgifter utanför EU/ EES:

  • HubSpot, Inc. (Epassis Finska arbetsgivar- och leverantörskunders kontaktpersoner data)

 

  1. SKYDD AV PERSONUPPGIFTER

Att skydda personuppgifternas sekretess, integritet och tillgänglighet är viktigt för Epassi. Epassis Security Management System bygger på kraven i lagar, förordningar, avtal och vissa standarder (som till exempel ISO 27001). Security Management System består av lämpliga tekniska, administrativa och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot obehörig åtkomst, tillgängliggörande, förstörelse eller annan obehörig behandling.

Administrativa och organisatoriska åtgärder:

  • Dedikerade servrar på två olika geografiska platser i EU. Anläggningar är certifierade mot internationellt erkänd informationssäkerhetsstandard.
  • Rollbaserad behörighetshantering

Tekniska åtgärder:

  • Brandväggar
  • Säkerhetskopiering
  • Åtkomstkontroller
  • Behandlingsövervakning
  • Säker krypteringsteknik
  • Krypterade nätverksanslutningar (HTTPS)

Med tanke på IT-hoten i dagens onlinemiljö kan vi dock inte ge fullständig garanti för att våra säkerhetsåtgärder kommer att förhindra att en tredje part med olagligt och illvilligt uppsåt får tillgång till personuppgifter, eller garantera absolut säkerhet för personuppgifterna vid överföring eller lagring i våra system.

Alla parter som behandlar personuppgifter har tystnadsplikt i frågor som rör behandling av personuppgifter. Åtkomsten till personuppgifter är begränsad till de anställda och parter som behöver dem för att utföra sina arbetsuppgifter. Vi kräver också att våra tjänsteleverantörer har lämpliga metoder på plats för att skydda personuppgifter.

  1. ANVÄNDNING AV COOKIES OCH LIKNANDE TEKNIK

Epassis webbplats använder cookies.

En kaka (cookie) är en liten textfil som lagras på din dator och innehåller information. Kakor används normalt för att förbättra webbplatsen för dig som besökare. Det finns två typer:

Den ena typen sparar en fil som ligger kvar på besökarens dator. Filen används till exempel för att du lättare ska kunna använda webbplatsen utifrån sina önskemål och intressen.

Den andra typen kallas sessionskaka. Under tiden en besökare är inne på en webbsida lagras den temporärt i besökarens datorminne. Sessionskakor försvinner när du stänger webbläsaren. Ingen personlig information sparas om dig, såsom mejladress och namn.

På vår webbplats används båda typerna. När du besöker webbplatsen skickas en sessionskaka mellan din dator och vår webbserver för att bland annat underlätta navigering. Sessionskakor används också när du använder våra e-tjänster. Kakan försvinner när du avslutat besöket.

På vår webbplats används också Google Analytics för att samla in anonym data för tjänsteutvecklingsändamål.

  1. AUTOMATISERAT BESLUTSFATTANDE OCH PROFILERING

Epassi använder inte automatiserat beslutsfattande eller profilering i enlighet med artikel 22 i GDPR.

  1. REGISTRERADE PERSONERS RÄTTIGHETER

Den registrerade personen har vissa rättigheter i samband med behandling av personuppgifter i enlighet med tillämpliga dataskyddslagar.

Rätt till åtkomst och rätt till inspektion

Den registrerade personen har rätt att få bekräftelse på huruvida personuppgifter som rör dem behandlas eller inte.

Den registrerade personen har rätt att inspektera och ta del av uppgifter om dem och på begäran, rätt att få uppgifterna levererade i skriftlig eller elektronisk form. Detta gäller information som den registrerade personen har lämnat ut till Epassi i den mån behandlingen är baserad på ett avtal/samtycke.

Att utöva denna rättighet är i allmänhet kostnadsfritt.

Rätt till korrigering och rätt till borttagning

Den registrerade personen har rätt att kräva korrigering av felaktiga personuppgifter som rör hen och rätt att få ofullständiga personuppgifter kompletterade.

Den registrerade personen har rätt att kräva att Epassi raderar eller avslutar bearbetningen av den registrerades personens personuppgifter, till exempel när uppgifterna inte längre är nödvändiga för behandlingens ändamål. Observera dock att vissa personuppgifter är absolut nödvändiga för att uppnå de ändamål som definieras i denna integritetspolicy och också kan behöva kvarhållas i enlighet med tillämpliga lagar.

Rätt till dataportabilitet

Den registrerade personen har rätt att ta emot de personuppgifter som hen har lämnat ut till Epassi i ett strukturerat, vanligen använt och maskinläsbart format och, om så önskas, överföra dessa uppgifter till en annan personuppgiftsansvarig. Rätten till dataportabilitet gäller behandlingen av personuppgifter baserat på samtycke eller avtal.

Rätt till begränsning av behandlingen

Den registrerade personen har rätt att under villkor som definieras i dataskyddslagstiftning begära begränsning av behandlingen av hens personuppgifter. I situationer där personuppgifter som misstänks vara felaktiga inte kan korrigeras eller tas bort, eller om begäran om borttagning är oklar, kommer Epassi att begränsa åtkomsten till sådana uppgifter.

Rätt att invända mot behandlingen

Den registrerade personen har rätt att invända mot behandlingen av sina personuppgifter om Epassi förlitar sig på sina legitima intressen som rättslig grund för behandlingen. Den registrerade personen kan till exempel invända mot att hens personuppgifter används för marknadsföringsändamål.

Rätt att dra tillbaka samtycke

I de fall behandlingen är baserad på de registrerade personens samtycke har den registrerade personen rätt att när som helst dra tillbaka sitt samtycke till sådan behandling.

Rätt att inkomma med klagomål till en tillsynsmyndighet

Den registrerade personen har rätt att inkomma med klagomål hos en behörig dataskyddsmyndighet om den registrerade personen anser att behandlingen av personuppgifter som rör den registrerade personen bryter mot gällande lagstiftning.

Dock begär vi att ärendet i första hand behandlas med Epassi.

Relevant myndighet i Sverige är Intrigitetsskyddsmyndigheten (https://www.imy.se)

Relevant myndighet i Finland är Dataombudsmannens byrå (http://www.tietosuoja.fi).

Utöva rättigheter

Begäranden gällande registrerade personers rättigheter ska göras skriftligen eller i elektronisk form och begäran ska riktas till den personuppgiftsansvarige, Epassi.

Identiteten kommer att kontrolleras innan information lämnas ut, och därför kan vi behöva be om ytterligare detaljer. Begäran kommer att besvaras inom rimlig tid, om möjligt inom en månad efter att begäran inkommit och identiteten verifierats.

Om den registrerade personens begäran inte kan tillgodoses ska avslag meddelas den registrerade personen skriftligen. Epassi kan avslå begäran (till exempel om borttagning av uppgifter) på grund av en för företaget lagstadgad skyldighet eller rättighet, till exempel en skyldighet eller ett anspråk som rör våra tjänster. Observera att Epassi kan ta ut en rimlig avgift om begäranden från en registrerad person är uppenbart ogrundade eller överdrivna, särskilt mot bakgrund av en repetitiv karaktär.

Den registrerade personen kan utöva ovan nämnda rättigheter genom att skicka en skriftlig begäran via e-post eller post med hjälp av kontaktuppgifterna i denna integritetspolicy, inklusive följande information: namn, telefonnummer, e-postadress, användar-ID och information om de produkter och tjänster du har använt.

Tveka inte att kontakta oss om du har frågor som rör vår dataskyddspolicy eller vill utöva dina rättigheter.

  1. ÄNDRINGAR I DENNA INTEGRITETSPOLICY

Epassi kan när som helst ändra i denna integritetspolicy genom att meddela om detta på webbplatsen och/eller på annat tillämpligt sätt. Registrerade personer rekommenderas starkt att då och då granska integritetspolicyn på vår webbplats.

Om den registrerade personen motsätter sig någon av ändringarna i denna sekretesspolicy, bör den sluta använda tjänsterna, där så är tillämpligt, och hen kan begära att vi tar bort personuppgifterna såvida inte tillämpliga lagar kräver att vi behåller sådana personuppgifter. Om inte annat anges gäller innevarande sekretesspolicy för alla personuppgifter vi behandlar vid given tidpunkt.

Denna integritetspolicy publicerades 2021-10-21, version 1.

 

                                                         

PRIVACY POLICY

 

ePassi Min Friskvård AB, ePassi Payments Oy och ePassi Clearing Oy

 

  1. GENERAL INFORMATION

ePassi Min Friskvård AB, ePassi Payments Oy och ePassi Clearing Oy (together ”Epassi”, “we” or “us”) respects your privacy and is dedicated to protecting the privacy of persons using Epassi’s services. This privacy policy describes how Epassi processes personal data; e.g. what kinds of personal data we collect, for which purposes the personal data is used and to which parties the personal data can be disclosed.

This privacy policy applies to users of Epassi’s services, including users of Epassi’s end-user services and our websites as well as when we communicate about our services or for customer relationship management reasons. In addition, this privacy policy also applies to our employer customers’ contact persons, potential employer customers’ contact persons and merchant customers’ contact persons.

Personal data refers to any information relating to a natural person (“data subject”) that can identify him/her directly or indirectly. Personal data, data subject, controller and other key terms are defined in the General Data Protection Regulation (2016/679, “GDPR”). Epassi complies with the GDPR in all processing of personal data in conjunction with other applicable national data protection legislation (“data protection legislation”).

Our services may also contain links to external websites and services operated by other organizations that we do not manage. This privacy policy is not applicable to their use, so we encourage you to review the privacy policies that apply to them. We are not responsible for the privacy policies of other websites or external services.

  1. JOINT CONTROLLERS AND CONTACT INFORMATION

Joint controller: ePassi Min Friskvård AB

Business ID: 556617-0030

Address: Storgatan 31, 461 30 Trollhättan, Sweden

Email: dataprivacy@epassi.com

Joint controller representative: Henna Toivonen

 

Joint controller: ePassi Payments Oy

Business ID: 2090737-1

Address: Linnoitustie 11, 02600 Espoo, Finland

Email: dataprivacy@epassi.com

Joint controller representative: Henna Toivonen

 

Joint controller: ePassi Clearing Oy

Business ID: 2872241-9

Address: Linnoitustie 11, 02600 Espoo, Finland

Email: dataprivacy@epassi.com

Joint controller representative: Henna Toivonen

 

  1. PURPOSES, TYPE OF DATA, LEGAL BASES AND RETENTION TIMES FOR PROCESSING

Epassi collects only such personal data that is relevant and necessary for the purposes described in this privacy policy. The personal data is subject to periodic updates, as required by mandatory law. The personal data is processed fully separately from other Epassi systems and is not connected to other processing purposes.

Personal data will be processed for the following purposes:

3.1.                      Authentication of end-users

The personal data is processed in order to carry out the end-users’ KYC (Know Your Customer) process so that Epassi is able to identify end-users according to its legal obligation and provide end-user services.

The personal data we process within the scope of this purpose include:

  • Name
  • Nationality
  • Date of birth
  • Personal identification code
  • Residential address
  • Profession
  • Political exposure
  • Information on the document used to verify the identity, or if the person has been remotely identified, information about the procedure or sources used in the verification

The personal data required for authenticating the end-user is processed by Telia Finland Oyj on behalf of Epassi.

Legal basis: The processing of personal data is based on a legal obligation.

Retention period: Personal data is stored for as long as the end-user uses the Epassi services and maximum period of five years thereafter, and even after such a period in case any open inquiries relating to the end-user exist or required by the mandatory legislation.

3.2.                      Authentication of merchant customers

The personal data is processed in order to collect and store the KYC (Know Your Customer) information and the risk categories of the Epassi’s merchant customers to comply with our legal obligations.

The personal data we process within the scope of this purpose include:

  • Date of birth
  • Personal identification code
  • Nationality
  • PEP status of the members of the boards of directors, managing director and persons who own more than 25 % of the firm

The data is processed by Clento Oy as a processor on behalf of Epassi.

Legal basis: The processing of personal data is based on a legal obligation.

Retention period: Personal data is stored for as long as the end-user uses the Epassi services and maximum period of five years thereafter, and even after such a period in case any open inquiries relating to the consumer exist or required by the mandatory legislation.

3.3.                      Epassi product and system data

The personal data is processed for the distribution, use, maintenance, and development of Epassi specific and general payment instruments, financial data, application usage data and other tech solution back-end data.

The personal data we process within the scope of this purpose include:

  • Name
  • Company (Employer)
  • Transactional information
  • Purchase history
  • Access logs
  • User device
  • Personal data provided by the data subject
  • Email address
  • Personal identification code (in Sweden)
  • Phone number
  • Postal code
  • User balances

Legal basis: The processing of personal data is based on valid and legal contract relationship when distributing and using services, and in other respects, the processing is based on Epassi’s legitimate interest to maintain and develop such services, both toward its employer customers and end-users (consumer customers). The processing of the personal identification code is based on the applicable legislation, or the consent given by the data subject.

Retention period: Personal data is stored for as long as the end-user uses the Epassi services and thereafter for a maximum period of two years. Personal data processed and retained for transactional and financial information is stored for 10 years from date of creation as required by mandatory law. The storing may continue based on reasons presented in Section 3.1 and 3.2 for even longer periods of time.

3.4.                      Reporting to employer customers about used benefits

The personal data is processed in order to report to Epassi’s employer customer of benefit usage in relation to allocated benefit. The processing is necessary in order to inform the employer customers of the use of employment benefits for payroll purposes, conclude salary deductions as well as for taxation and invoicing purpose.

The personal data we process within the scope of this purpose include:

  • Amount of benefit given
  • Amount of benefit used
  • 10 most popular merchants used by the employees

Legal basis: The processing of personal data is based on a contract.

Retention period: Personal data is stored for as long as the end-user uses the Epassi services.

3.5.                      Storage of end-users' transaction history

The personal data is processed in order to store the end-users’ transactional history to establish or defend legal claims, if necessary.

The personal data we process within the scope of this purpose include:

  • Name
  • Company
  • Transactional information
  • Purchase history
  • Access logs

Legal basis: The processing of personal data is based on ePassi’s legitimate interest to store transaction history in order to establish or defend legal claims.

Retention period: Personal data is stored for a period necessary in order to establish, exercise or defend legal claims. For transactional and financial information, the storing period is at least 10 years as required by mandatory law.

3.6.                      User communications and marketing

The personal data we process within the scope of this purpose include:

  • Name
  • Email address
  • User preferences
  • User balances
  • Company (Employer)
  • Geographical location (in Sweden)

Legal basis: The processing of personal data is based on Epassi’s legitimate interest to promote Epassi’s products and/or services to the users. The processing of personal data is also based on the consent given by the data subject in relation to direct marketing in order to provide targeted marketing and advertising. The data subject has the right to refuse personal data being used for direct marketing and may at any time recall prior consent.

The electronic user communications (as delivered via email) are conducted through APSIS and Apsis International AB acts as the processor. More information on data transfers in Section 6.

Retention period: Personal data is processed as long as the end-user remains a customer of Epassi and/or has accepted the relevant marketing opt-ins for direct marketing purposes.

3.7.                      Evaluation and follow-up of emails

The personal data is processed in order to evaluate and follow-up the email recipients’ actions when the email has been sent to the end-users of the Epassi services. This might also include generating aggregated statistics regarding the actions.

The personal data we process within the scope of this purpose include:

  • Email address
  • Information whether the data subject has opened an e-mail or any attached material or if the data subject has clicked on any links or deleted the e-mail

Legal basis: The processing of personal data is based on Epassi’s legitimate interest to be able to follow up on how the recipients of e-mail act when receiving e-mails from Epassi.

Retention period: Personal data is processed as long as the end-user remains a customer of Epassi and/or has accepted the relevant marketing opt-ins for direct marketing purposes.

3.8.                      Website, web analytics and cookies

The personal data is processed in order to develop Epassi’s services using web analytics and cookies as well as to administrate our website and fulfill user requests.

The personal data we process within the scope of this purpose include:

  • IP address
  • User preferences
  • User device

Legal basis: The processing of personal data is based on the consent given by the data subject.

Retention period: Personal data is stored for a maximum period of two years.

3.9.                      Communicating with Epassi's employer and merchant customers

The personal data is processed in order to communicate with the Epassi’s employer and merchant customers’ contact persons.

The personal data we process within the scope of this purpose include:

  • Name
  • Email address
  • Phone number

Legal basis: The processing of personal data is based on Epassi’s legitimate interest to communicate with Epassi’s employer and merchant customers’ contact persons.

The personal data is processed by HubSpot, Inc. as a processor on behalf of Epassi.

Retention period: Personal data is processed/stored for as long as the employer or merchant customer’s contact person is identified as the contact person representing the company.

3.10.                   Support matters

The personal data is processed in order to administrate the support matters for Epassi’s employer customers and end-users as well as to provide phone line support.

The personal data we process within the scope of this purpose include:

  • Contact details to the party initiating the support matter
  • Contact details to the person responsible for managing the matter
  • Information in text fields provided by the party initiating the support matter
  • Information in log files
  • Phone number

Legal basis: The processing of personal data is based on Epassi’s legitimate interest to administrate the support matters.

Some of the support matters (first-instance phone line support) are conducted through Vakka-Suomen Puhelin Oy in Finland as the processor. More information on data transfers in Section 6.

Retention period: Personal data is stored for this purpose only as long as necessary for the purpose it was collected and thereafter for a maximum period of 2 years.

3.11.                   Complying with legal obligations (accounting, bookkeeping etc.)

The personal data is processed in order to fulfil our legal obligations, such as for example accounting or tax legislation related obligations.

The personal data we process within the scope of this purpose include:

  • All categories of personal data which have been collected and are necessary in order to comply with legal obligations.

Legal basis: The processing of personal data is based on a legal obligation.

Retention period: Personal data is stored for as long as a certain legal obligation requires. For example, the Accounting Act imposes an obligation to maintain information on the accounting’s supporting material for 6 years following the end of the financial year.

For processing activities that are based on a legitimate interest, we have carefully balanced such legitimate interest with the data subjects right to privacy and concluded that our interest outweighs the data subjects’ rights and freedoms.

Where the processing is such that a consent is required by the applicable legislation, we will state so and obtain the consent, and this will be the legal basis for the processing. However, you have the right to withdraw that consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal. If such withdrawal means that we are no longer able to provide our services, we may cease to provide the services.

  1. DATA SOURCES

The personal data is mainly collected directly from the data subjects themselves, for example, at the time of registration or use of our services or during a customer relationship.

The personal data can also be collected from the end-user’s employer in relation to services which are provided by the employer and Epassi to the end-user. These are gathered based on the need to contract the end-user as a consumer customer of Epassi and create their personal account at Epassi.

The personal data may also be collected automatically when the data subject uses our services e.g., when using our end-user services and visiting our website.

In addition, and with the permission of the data subject, data may be collected in other ways in a marketing context.

Personal data may be updated and supplemented by collecting data from private and public sources.

  1. RETENTION OF PERSONAL DATA

Personal data collected in connection with our services shall be retained as long as defined in this privacy policy and as required by the law unless such data is replaced through regular updates or otherwise. The periods vary greatly from one type of processing to another.

We evaluate the necessity and accuracy of the personal data on a regular basis and endeavor to ensure that the incorrect and unnecessary personal data are corrected or deleted.

Detailed retention times can be provided upon requests.

  1. DISCLOSURES, TRANSFERS AND RECIPIENTS OF PERSONAL DATA

For the purposes stated in this privacy policy, the personal data may be disclosed, when necessary, to authorities, among and to other companies within the same group of companies of Epassi, and to selected third parties, such as third-party service providers (such as our IT vendors and marketing agencies conducting marketing on our behalf etc.). In such case, the personal data will only be disclosed for purposes defined above and any disclosure is always limited to only the strictly necessary personal data included in such purposes. We do not sell or otherwise disclose personal data to any third parties outside Epassi for such third parties’ own purposes.

Regular disclosures of personal data undertaken to third parties in order to provide the agreed services:

  • To Epassi Partners, where such partner’s customer is also an Epassi end-user, and the two purposes coincide and require cross-transferring or matching of personal data; and
  • To Epassi Merchants, as required for financial and payment processing related purposes while using the services.

In addition, Epassi may share the personal data in connection with any merger, sale of our assets, or a financing or acquisition of all or a portion of our business and in connection with other similar arrangements.

The personal data is also disclosed to third parties if required under any applicable law or regulation or order by competent authorities, and to investigate possible infringing use of the products and services as well as to guarantee the safety and usability of the Epassi products and services.

In order for Epassi to provide the agreed services, personal data is processed also by the following processors of Epassi. List of the processors and other recipients:

  • APSIS International AB (Marketing tool)
  • Cellip AB (Support tool)
  • Clento Oy (Know your customer)
  • ePassi payments Oy (IT operations)
  • Fortnox AB (Finance tool)
  • Freshworks Inc. (Support tool)
  • Google LLC (Google Analytics, Google Ads)
  • Hetzner Online GmbH (Hosting the online service platform)
  • HubSpot, Inc. (CRM tool, Epassi's Finnish employer and merchant customers' contact persons, only applicable in Finland)
  • InExchange Factorum AB (Electronic invoicing)
  • Kund-o AB (Support tool used for case management)
  • Lime Technologies AB (CRM tool, Epassi's Swedish employer and merchant customers' contact persons, only applicable in Sweden)
  • Mainloop AB (IT-development)
  • Microsoft Corporation (Business Tool)
  • Sharpspring (Marketing tool)
  • Telavox AB (Support tool)
  • Telia Finland Oyj (Strong authentication)
  • Vakka-Suomen Puhelin Oy (Support services for customers, only applicable in Finland )
  • Visma Solutions Oy (Netvisor).
  1. DATA TRANSFERS OUTSIDE THE EU/EEA

Some of the services used by Epassi for processing personal data may operate outside the territory of the European Union (EU) or the European Economic Area (EEA). Thus, personal data can be transferred outside the European Union and the European Economic Area. In case personal data is transferred outside the EU/EEA, such transfers are either made to a country that is deemed to provide a sufficient level of privacy protection by the European Commission or transfers are carried out by using appropriate safeguards such as Standard Contractual Clauses (SCC) adopted, including any supplementary measures, where assessed to be necessary, or otherwise approved by the EU Commission or competent data protection authority in accordance with the GDPR.

The following recipients may transfer personal data outside the EU/ EEA:

  • HubSpot, Inc. (Epassi’s Finnish employer and merchant customers’ contact persons data)

 

  1. PROTECTION OF PERSONAL DATA

Securing the confidentiality, integrity, and availability of personal data is important to Epassi. Epassi's Security Management System is based on the requirements from laws, regulations, contracts and certain standards (such as ISO 27001). Security Management System consists of appropriate technical, administrative, and organizational security measures to protect personal data against unauthorized access, disclosure, destruction, or other unauthorized processing.

Administrative and organizational measures:

  • Dedicated servers in two different geographical locations in the EU. Facilities are certified against internationally recognized Information Security Standard.
  • Role based access rights management

Technical measures:

  • Firewalls
  • Backups
  • Access controls
  • Monitoring of processing
  • Safe encryption technologies
  • Encrypted network connections (HTTPS)

Nevertheless, considering the cyber threats in modern day online environment, we cannot give full guarantee that our security measures will prevent illegally and maliciously operating third parties from obtaining access to personal data or absolute security of the personal data during its transmission or storage on our systems.

All parties processing personal data have a duty of confidentiality in matters related to the processing of personal data. Access to personal data is restricted to those employees and parties who need it to perform their duties. We also require our service providers to have appropriate methods in place to protect personal data.

  1. USE OF COOKIES AND SIMILIAR TECHNOLOGIES

The Epassi website uses cookies.

A cookie is a small text file that is stored on your computer and contains information. Cookies are normally used to improve the website for you as a visitor. There are two types:

One type saves a file that remains on the visitor's computer. This file is used, for example, to make it easier for you to use the website according to your preferences and interests.

The second type is called session cookie. While a visitor is on a website, it is temporarily stored in the visitor's computer memory. Session cookies disappear when you close your browser. No personal information is stored about you, such as your email address and name.

Our website uses both types. When you visit the site, a session cookie is sent between your computer and our web server to facilitate navigation, among other things. Session cookies are also used when you use our e-services. The cookie disappears when you end your visit.

Our website also uses Google Analytics to collect anonymous data for service development purposes.

  1. AUTOMATED DECISION-MAKING AND PROFILING

Epassi does not use any automated decision-making nor any profiling pursuant to the Article 22 GDPR.

  1. RIGHTS OF THE DATA SUBJECTS

The data subject has certain rights in relation to the processing of personal data under applicable data protection laws.

Right of access and right of inspection

The data subject has the right to obtain confirmation as to whether or not personal data concerning them is being processed.

The data subject has the right to inspect and view data concerning them and, upon a request, the right to obtain the data in a written or electric form. This applies to information that the data subject has provided to Epassi insofar the processing is based on a contract/consent.

Exercising this right is generally free of charge.

Right to rectification and right to erasure

The data subject has the right to demand the rectification of incorrect personal data concerning them and to have incomplete personal data completed.

The data subject has the right to require Epassi to delete or stop processing the data subject’s personal data, for example where the data is no longer necessary for the purposes of processing. However, please note that certain personal data is strictly necessary in order to achieve the purposes defined in this privacy policy and may also be required to be retained by applicable laws.

Right to data portability

The data subject has the right to receive the personal data that he or she has provided to Epassi in a structured, commonly used, and machine-readable format and, if desired, transmit that data to another controller. The right to data portability applies on the processing of the personal data based on consent or a contract.

Right to restriction of processing

The data subject has the right, under conditions defined by data protection legislation, to request the restriction of processing of his or her personal data. In situations where personal data suspected to be incorrect cannot be corrected or removed, or if the removal request is unclear, Epassi will limit the access to such data.

Right to object to processing

The data subject has the right to object to the processing of your personal data where Epassi is relying on its legitimate interests as the legal ground for processing. For example, the data subject may object to his or her personal data being used for marketing purposes.

Right to withdraw consent

In cases where the processing is based on the data subjects’ consent, the data subject has the right to withdraw his or her consent to such processing at any time.

Right to lodge a complaint with a supervisory authority

The data subject has the right to lodge a complaint with a competent data protection authority if the data subject considers that the processing of personal data relating to the data subject infringes current legislation.

However, we request that the matter will be dealt with Epassi in the first instance.

The relevant authority in Finland is the Data Protection Ombudsman (http://www.tietosuoja.fi)

In Sweden relevant authority is Swedish Data Protection Authority (https://www.imy.se/).

Exercising rights

Requests regarding the rights of data subjects shall be made in written or in electronic form, and the request shall be addressed to the controller, Epassi.

Identity will be checked before the information is given out, which is why we may have to ask for additional details. The request will be responded to within a reasonable time and, where possible, within one month of the request and the verification of identity.

If the data subject’s request cannot be met, the refusal shall be communicated to the data subject in writing. Epassi may refuse the request (for example erasure of data) due to a statutory obligation or a statutory right of the company, such as an obligation or a claim relating to our services. Please note that Epassi may charge a reasonable fee where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character.

The data subject may exercise the aforementioned rights by sending a written request by email or mail using the contact information provided in this privacy policy, including the following information: name, phone number, email address, user id and details of the products and services you have used.

If you have any questions relating to our data protection policies or wish to exercise your rights, please do not hesitate to contact us.

  1. CHANGES TO THIS PRIVACY POLICY

Epassi may make changes to this privacy policy at any time by giving a notice on the website and/or by other applicable means. The data subjects are highly recommended to review the privacy policy on our website every now and then.

If the data subject objects to any of the changes to this privacy policy, the data subject should cease using the services, where applicable, and he/she can request that we remove the personal data, unless applicable laws require us to retain such personal data. Unless stated otherwise, the then-current privacy policy applies to all personal data we process at the time.

This privacy policy has been published on 21.10.2021, version 1.0