Svenska

Privacy Policy In English ↓

Integritetspolicy

Epassi Finland Oy, Epassi Sweden AB och ePassi Clearing Oy

1. ALLMÄN INFORMATION

Epassi Finland Oy, Epassi Sweden AB och Epassi Clearing Oy (tillsammans ”Epassi” eller ”vi” i alla böjningsformer) respekterar din integritet och strävar efter att upprätthålla skyddet av personuppgifter för individer som använder Epassis tjänster. Denna integritetspolicy beskriver hur Epassi behandlar personuppgifter, inklusive vilka typer av personuppgifter som samlas in, för vilka ändamål personuppgifter används och till vilka änkparter personuppgifter kan lämnas ut.

Denna integritetspolicy gäller när du använder Epassis tjänster, inklusive tjänster avsedda för Epassis slutanvändare och våra webbplatser.
Den gäller också i andra situationer som anges i avsnitt 3 nedan, till exempel när vi kommunicerar om våra tjänster eller hanterar kundrelationer med våra klienters kontaktpersoner.

Med personuppgifter avses all information som rör en fysisk person (”registrerad”) som kan identifieras direkt eller indirekt. Termer som personuppgifter, registrerad och personuppgiftsansvarig definieras i den allmänna dataskyddsförordningen ((EU) 2016/679, ”GDPR”), som gäller för all behandling av personuppgifter hos Epassi. Epassi följer GDPR och annan tillämplig nationell dataskyddslagstiftning (”dataskyddslagstiftning”) vid all behandling av personuppgifter.

Våra tjänster kan även innehålla länkar till externa webbplatser och tjänster som denna integritetspolicy inte gäller för. Dessa webbplatser eller tjänster drivs av andra organisationer som Epassi inte kontrollerar och Epassi ansvarar därför inte för deras behandling av personuppgifter. Av denna anledning uppmanar vi dig att granska de tillämpliga integritetspolicys som gäller för dessa webbplatser eller tjänster.

2. DELAT PERSONUPPGIFTSANSVARIGA OCH KONTAKTUPPGIFTER

Gemensam personuppgiftsansvarig: Epassi Finland Oy
Organisationsnummer: 3220764-7
Adress: Porkkalankatu 22 A, 00180 Helsingfors, Finland
E-post: dataprivacy@epassi.com
Representant: Dataskyddsombud – Taika Pöntinen

Gemensam personuppgiftsansvarig: Epassi Sweden AB
Organisationsnummer: 556617-0030
Adress: Storgatan 31, 461 30 Trollhättan, Sverige
E-post: dataprivacy@epassi.com
Representant: Dataskyddsombud – Taika Pöntinen

Gemensam personuppgiftsansvarig: Epassi Clearing Oy
Organisationsnummer: 2872241-9
Adress: Porkkalankatu 22 A, 00180 Helsingfors, Finland
E-post: dataprivacy@epassi.com
Representant: Dataskyddsombud – Taika Pöntinen

3. ÄNDAMÅL, DATATYPER, RÄTTSLIG GRUND OCH LAGRINGSTIDER FÖR BEHANDLING

Epassi behandlar endast personuppgifter som är relevanta och nödvändiga för att uppfylla de ändamål som definieras i denna integritetspolicy. Personuppgifter behandlas separat från andra Epassi-system och kombineras inte med andra behandlingsändamål. Nedan hittar du tabeller som anger ändamål, kategorier av personuppgifter, beskrivning av behandlingen och lagringstider samt tillämplig rättslig grund enligt GDPR.

3.1. Epassi-tjänst för slutanvändare

Epassi behandlar personuppgifter för följande ändamål relaterade till tillhandahållandet av tjänsten:

Ändamål

Kategorier av personuppgifter

Beskrivning och lagring

Rättslig grund (GDPR art. 6)

3.1.1 Tillhandahållande av Epassi-tjänsten

• Namn
• Personnummer
• Telefonnummer
• Postadress
• E-postadress
• Belopp och typ av personalförmån
• Betalningstransaktioner och historik
• Användningshistorik

Vi behandlar personuppgifter för att tillhandahålla Epassi-plattformen som en tjänst till slutanvändaren. Detta inkluderar åtkomst till plattformen och inloggning samt genomförande av betalningstransaktioner.
Enligt avtal mellan Epassi och slutanvändaren.

Avtal

3.1.2 Identifiering av slutanvändare för betaltjänster

• Namn
• Nationalitet
• Födelsedatum
• Personnummer
• Hemadress
• Yrke
• Politisk exponering
• Uppgifter om identitetshandling eller, vid fjärridentifiering, uppgifter om metoder eller källor som används

Personuppgifter behandlas för att identifiera slutanvändare, komplettera användarprofiler och utföra nödvändiga KYC-processer (Know Your Customer) så att Epassi kan uppfylla sina rättsliga skyldigheter och tillhandahålla tjänster.
Så länge slutanvändaren använder Epassi-tjänster och upp till fem år efter avslut. Längre lagring kan ske om det finns öppna förfrågningar eller om lag kräver det.

Rättslig skyldighet

3.1.3 Genomförande av Epassi-betalningstransaktioner och betalningsinstrument

• Namn
• Företag (arbetsgivare)
• Transaktionsuppgifter
• Köphistorik
• Användningsloggar
• Användarens enhet
• E-postadress
• Telefonnummer
• Postnummer
• Kontosaldon
• Personuppgifter som tillhandahålls av den registrerade

Personuppgifter behandlas för distribution, användning, underhåll och utveckling av Epassis specifika och generella betalningsinstrument samt för ekonomiska uppgifter, applikationsanvändning och annan teknisk bakgrundsinformation.
Så länge slutanvändaren använder Epassi-tjänster och upp till två år därefter.
Finansiella och transaktionsrelaterade uppgifter lagras i tio år från skapandedatum enligt lag.

Avtal, berättigat intresse (underhåll och utveckling av tjänsten), Rättslig skyldighet (bevarande av betalningstransaktionsuppgifter)

3.1.4 Rapportering av använda förmåner

• Beviljat förmånsbelopp
• Använt förmånsbelopp
• Anställds namn, e-postadress och andra identifierare vid behov
• Tio mest populära handlare bland anställda
• Förmånskategori
• På arbetsgivarens begäran: individuell användningsdata (belopp i SEK och plats) (Sverige)

Personuppgifter behandlas för att rapportera användning av förmåner till arbetsgivarkunder för lönehantering, löneavdrag, beskattning och fakturering.
Så länge slutanvändaren använder Epassi-tjänster eller enligt lag vid bedrägeri-/missbruksfall (10 år för transaktionsdata).

Avtal, berättigat intresse (förebyggande av bedrägeri och missbruk)

3.1.5 Kommunikation relaterad till EpassiBIKE-tjänsten

• Namn
• E-postadress
• Telefonnummer
• Adress
• Personnummer för borgensman (om avtalat)

Personuppgifter behandlas för att genomföra EpassiBIKE-tjänsten. Epassi kommunicerar med finansieringspartners om aktivering och användning av cyklar samt med potentiella köpare om hämtning av cyklar.
Så länge slutanvändaren använder EpassiBIKE-tjänsten.

Avtal

3.1.6 Kundsupport

• Kontaktuppgifter för den som initierar ärendet
• Kontaktuppgifter för den som hanterar ärendet
• Information som lämnas i textfält
• Loggfilsinformation
• Telefonnummer

Personuppgifter behandlas för att hantera supportärenden och tillhandahålla telefonsupport.
Upp till två år efter att ärendet har lösts.

Berättigat intresse

3.1.7 Hantering av kvitton (Sverige)

• Uppgifter i kvitton
• Uppgifter om personalförmåner

Om du använder Epassi Sweden AB:s kvittohanteringstjänst kan du ge samtycke till automatisk kvittohantering med hjälp av Epassis AI-lösning. AI analyserar hela kvittots innehåll i förhållande till dina beviljade förmåner. Beslut om ersättning baseras endast på de personuppgifter du lämnat i kvittot. Du informeras alltid om beslutet, dess innehåll och grund. Du har rätt att begära manuell granskning via systemet.

Vi behandlar de uppgifter som finns i kvitton för att bedöma kvittonas ersättningsbarhet, översätta texten, fatta beslut samt lagra verifikationerna. 

Samtycke, berättigat intresse

3.1.8 Utveckling och analys av tjänsten

• Data som genereras från slutanvändarens användning av tjänsten

Epassi använder användningsdata för att analysera funktioner och förbättra tjänsten. Analysen hjälper oss att utveckla tjänsten enligt dina behov och önskemål.
Upp till två år eller tills datakategorin raderas tidigare.

Berättigat intresse

3.1.9 Epassi Savings

• Namn
• E‑postadress
• Uppgifter som genereras genom användningen av Epassi‑tjänsten

Epassi erbjuder tilläggstjänsten Epassi Savings till sina slutanvändare. Genom Epassi Savings‑tjänsten får slutanvändarna tillgång till erbjudanden från Epassis samarbetspartner.

I enlighet med användarvillkoren för Epassi‑tjänsten agerar Epassi inom ramen för Epassi Savings‑tjänsten som tjänsteleverantör och personuppgiftsansvarig i den utsträckning som Epassi tillhandahåller tjänsten, vilket innebär att användningen av samarbetspartnernas erbjudanden kan leda till behandling av personuppgifter och personuppgiftsansvar hos dessa samarbetspartner. Du bör alltid ta del av Epassis samarbetspartners integritetspolicy när du använder deras erbjudande.

Uppgifter lagras så länge slutanvändaren använder Epassi Savings‑tjänsten.

avtal, berättigat intresse


3.2 Andra funktioner i Epassi-tjänsten

3.2.1 Identifiering av handlarkunder

• Födelsedatum
• Personnummer
• Nationalitet
• PEP-status (Politically Exposed Person) för styrelseledamöter, VD och personer som äger mer än 25 % av företaget

Personuppgifter behandlas för att samla in och lagra nödvändig KYC-information (Know Your Customer) och riskklassificeringar för att identifiera Epassis handlarkunder i syfte att uppfylla våra rättsliga skyldigheter.
Så länge slutanvändaren använder Epassi-tjänster och i regel upp till fem år efter att tjänsten avslutats. Längre lagring kan ske om det finns öppna konsumentrelaterade förfrågningar eller om lag kräver det.

Rättslig skyldighet

3.2.2 Kommunikation med arbetsgivar- och handlarkunder

• Namn
• E-postadress
• Telefonnummer

Personuppgifter behandlas för att möjliggöra kommunikation med kontaktpersoner hos Epassis arbetsgivar- och handlarkunder.
Så länge kontaktpersonen är identifierad som representant för företaget.

Berättigat intresse

3.2.3 Kontohantering för arbetsgivar- och handlarkunder

• Kontaktuppgifter och kontoinformation för arbetsgivar- och handlarkunders representanter

Personuppgifter behandlas för att implementera arbetsgivar- och handlarportaler.
Så länge avtalet mellan arbetsgivaren eller handlarkunden och Epassi är giltigt.

Avtal

3.2.4 Behandling av personuppgifter för enskild näringsidkare

Samma kategorier av personuppgifter som anges ovan i punkt 3.2, tillämpligt beroende på situation.

Vissa handlarkunder som använder Epassis tjänst kan verka som enskilda näringsidkare, vilket innebär att uppgifter som rör deras verksamhet kan utgöra personuppgifter på ett annat sätt än för andra handlarkunder.

Epassi behandlar sådana handlarkunders uppgifter för att uppfylla syftet med handlaravtalet och tjänsteavtalet samt för att uppfylla sina egna rättsliga skyldigheter.

Eftersom en enskild näringsidkare anses vara en registrerad enligt dataskyddslagstiftningen kan eventuella begäranden från den registrerade avse endast dennes ställning som handlare.

Uppgifterna lagras under avtalets giltighetstid samt i enlighet med Epassis respektive rättsliga skyldigheter.

- Avtal

-Rättslig skyldighet


3.3 Övrig databehandling som utförs av Epassi

3.3.1 Tillgänglighetsfeedback

• Enligt vad som anges i tillgänglighetsredogörelsen

Om du lämnar tillgänglighetsfeedback via Epassis formulär behandlar vi de personuppgifter du anger i din feedback för att hantera ärendet.
Tre år från det att feedbacken besvarats.

Rättslig skyldighet

3.3.2 Webbplats, webbanalys och cookies

• Kategorier av personuppgifter som definieras i cookiepolicyn

Personuppgifter behandlas för att utveckla Epassis tjänster med hjälp av webbanalys och cookies, samt för att administrera vår webbplats och uppfylla användarförfrågningar.
För mer detaljerad information om vilka personuppgifter som behandlas via webbanalys och cookies, och hur du kan påverka behandlingen, se Epassis cookiepolicy.

Samtycke, berättigat intresse

3.3.3 Marknadsföring till arbetsgivarers kontaktpersoner

• Namn
• E-postadress
• Telefonnummer

Personuppgifter om arbetsgivares kontaktpersoner kan användas för marknadsföring av Epassis tjänster och/eller dess partners tjänster.
Under marknadsföringskampanjens varaktighet och upp till två (2) år därefter, eller tills den registrerade återkallar sitt samtycke.

Berättigat intresse

3.3.4 Marknadsföring av Epassi-plattformen och annan marknadsföring

• Kontaktuppgifter relaterade till tjänsteanvändning
• Loggdata och annan analys
• Platsdata (med samtycke)

Epassi skickar marknadsföringskommunikation till slutanvändare relaterad till deras användning av Epassi-tjänster.
Marknadsföring sker både baserat på samtycke och berättigat intresse.
Marknadsföring baserad på berättigat intresse gäller endast befintliga kundrelationer och riktas inte utanför dessa.
Slutanvändare kan också ge samtycke till riktad och platsbaserad marknadsföring, exempelvis erbjudanden i närheten och elektronisk direktmarknadsföring. Du kan hantera ditt samtycke via vårt samtyckesverktyg.
Så länge ditt samtycke är giltigt, och om behandlingen sker baserat på berättigat intresse, så länge du är Epassi-kund eller tills datakategorin raderas tidigare.

Samtycke, berättigat intresse


Epassis användning av AI är dock strikt begränsad genom avtalsvillkor, tekniska begränsningar och interna policyer för att säkerställa att personuppgifter aldrig lämnas ut till AI-modeller på ett sätt som skulle äventyra dataskyddet, exempelvis genom att träna AI:n. Användningen av dessa verktyg och applikationer inom Epassi påverkar inte och hindrar inte den registrerades rättigheter. Du har alltid möjlighet att vägra behandling av dina personuppgifter med AI genom att meddela Epassi enligt beskrivningen i avsnitt 9 ”Registrerades rättigheter”.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

    • Namn

    • Nationalitet

    • Födelsedatum

    • Personnummer eller personlig identifikationskod

    • Bostadsadress

    • Yrke

    • Politisk exponering

    • Information om dokumentet som används för att verifiera identiteten, eller om personen har identifierats på distans, information om förfarandet eller källor som används vid verifieringen

De personuppgifter som krävs för att autentisera slutanvändare behandlas av Telia Finland Oyj för Epassis räkning.

Rättslig grund: Behandlingen av personuppgifter bygger på ett avtal och en rättslig skyldighet.

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassis tjänster och högst fem år därefter, och även efter denna period ifall det finns öppna förfrågningar om slutanvändaren, eller om det krävs enligt den obligatoriska nationella lagstiftningen.

3.2. Autentisering av Tjänsteleverantörer

Personuppgifterna behandlas för att samla in och lagra KYC-informationen (Know Your Customer) och riskkategorierna för Epassis leverantörkunder för att uppfylla våra juridiska skyldigheter.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

    • Födelsedatum

    • Personlig identifieringskod

    • Nationalitet

    • PEP-status för ledamöter i styrelsen, VD och personer som äger mer än 25 % av bolaget

Uppgifterna behandlas av Visma Solutions Oy som personuppgiftsansvarig för Epassis räkning.

Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och högst fem år därefter, och även efter en sådan period om det finns öppna förfrågningar som rör konsumenten eller krävs i enlighet med tillämplig lagstiftning.

3.3. Epassi-produkt och systemdata

Personuppgifter hanteras för distribution, användning, underhåll och utveckling av Epassi-specifika och allmänna betalningsinstrument, finansiella uppgifter, applikationsanvändning och andra tekniska lösningars back-end-data.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

    • Namn

    • Företag (arbetsgivare)

    • Transaktionsinformation

    • Inköpshistorik

    • Åtkomstloggar

    • Användarenhet

    • E-postadress

    • Personnummer (i Sverige)

    • Telefonnummer

    • Postnummer

    • Användarsaldon

    • Personuppgifter som lämnas av den registrerade

Rättslig grund: Behandlingen av personuppgifter bygger på ett giltigt och rättsligt avtalsförhållande vid distribution och användning av tjänster, och i andra avseenden är behandlingen baserad på Epassis berättigade intresse att upprätthålla och utveckla sådana tjänster, både gentemot sina arbetsgivarkunder och slutanvändare (konsumentkunder). Behandlingen av den personnumret baseras på tillämplig lagstiftning eller samtycke från den registrerade personen.

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och därefter i högst två år. Personuppgifter som behandlas och lagras för transaktions- och finansiell information lagras i tio år från datumet för skapandet i enlighet med tillämplig lag. Lagringen kan fortsätta under ännu längre perioder utifrån skäl som presenteras i avsnitt 3.1 och 3.2.

3.4. Rapportering till arbetsgivare om använda förmåner

Personuppgifter behandlas för att Epassis-arbetsgivarkunder ska kunna få rapporter om förmånsanvändningen i förhållande till tilldelade förmåner. Behandlingen är nödvändig för att informera arbetsgivarkunderna om användningen av anställningsförmåner i lönerelaterade syften, för att genomföra löneavdrag samt för beskattning och fakturering. Personuppgifter behandlas och delas även med Epassis-arbetsgivarkunder för att undersöka fall av bedrägeri eller missbruk (eller misstänkta fall).

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

    • Förmånsbelopp som getts

    • Förmånsbelopp som använts

    • Medarbetarenss namn, e-postaddress, ID och avdelning

    • De 10 mest populära handlarna som de anställda använt

    • Kategori av friskvårdsförmån som använts (i Sverige)

    • På begäran av förmånstagarens arbetsgivare: data relaterat till individuell förmånsanvändning (hur mycket förmån som använts (i SEK) och handlaren där köpet genomförts) (i Sverige).

Rättslig grund: Behandlingen av personuppgifter bygger på ett avtal. Behandlingen av personuppgifter bygger på lag (bedrägeri/missbruk).

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna. eller enligt lagkrav i fall av bedrägeri/missbruk (10 års transaktionsdata).

3.5. Lagring av slutanvändares transaktionshistorik

Personuppgifter behandlas för att lagra slutanvändarnas transaktionshistorik för att vid behov fastställa eller försvara rättsliga anspråk.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

    • Namn

    • Företag

    • Transaktionsinformation

    • Inköpshistorik

    • Tillgångsloggar

Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis legitima intresse av att lagra transaktionshistorik för att kunna fastställa eller försvara rättsliga anspråk.

Lagringstid: Personuppgifter lagras under den period som är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk. För transaktions- och finansinformation är lagringstiden minst 10 år i enlighet med tillämplig lag.

3.6. Användarkommunikation och marknadsföring

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

    • Namn

    • E-postadress

    • Telefonnummer

    • Användarinställningar

    • Användarsaldon

    • Företag (arbetsgivare)

    • Geografisk plats (i Sverige)

Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis berättigade intresse av att marknadsföra Epassi:s produkter och/eller tjänster till användarna. Behandlingen av personuppgifter grundar sig också på den registrerades samtycke till direktmarknadsföring för riktad marknadsföring och reklam samt marknadsföring av tredje parts produkter eller tjänster. Den registrerade har rätt att vägra att personuppgifter används för direktmarknadsföring och kan när som helst återkalla sitt samtycke.

Den elektroniska användarkommunikationen (som levereras via e-post) sker via APSIS och Apsis International AB fungerar som personuppgiftsansvarig. Mer information om dataöverföringar finns i avsnitt 6.

Lagringstid: Personuppgifter behandlas så länge slutanvändaren förblir kund hos Epassi och/eller har tillåtit relevanta direktmarknadsföringssyften.

3.7. Utvärdering och uppföljning av e-postmeddelanden

Personuppgifterna behandlas för att utvärdera och följa upp e-postmottagarnas aktiviteter när e-postmeddelandet har skickats till Epassi-tjänsternas slutanvändare. Detta kan också inbegripa att generera sammanställd statistik gällande aktiviteterna.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

    • E-postadress

    • Information om huruvida den registrerade personen har öppnat ett e-postmeddelande eller bifogat material eller om den registrerade personen har klickat på några länkar eller tagit bort e-postmeddelandet

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kunna följa upp hur e-postmottagare agerar när de får e-post från Epassi.

Lagringstid: Personuppgifter behandlas så länge slutanvändaren är kund hos Epassi och/eller har accepterat de relevanta marknadsföringsalternativen för direktmarknadsföring.

3.8. Webbplats, webbanalys och cookies

Personuppgifterna behandlas för att utveckla Epassis tjänster med hjälp av webbanalys och cookies samt för att administrera vår webbplats och hantera användarförfrågningar.

I Epassis cookiepolicy hittar du mer detaljerad information om vilka personuppgifter som behandlas av webbanalys och cookies, samt instruktioner om hur du kan påverka behandlingen av personuppgifter genom cookies.Rättslig grund: Behandlingen av den personnumret baseras samtycke från den registrerade personen.

Lagringstid: Personuppgifter lagras i högst två år.

3.9. Kommunikation med Epassis arbetsgivare- och tjänsteleverantörskunder

Personuppgifterna behandlas för att kommunicera med Epassis arbetsgivare och kontaktpersoner för leverantörkunder.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

    • Namn

    • E-postadress

    • Telefonnummer

    • Bankkontonummer

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kommunicera med Epassis arbetsgivarkunders och leverantörkunders kontaktpersoner.

Personuppgifterna behandlas av HubSpot, Inc. som personuppgiftsansvarig för Epassis räkning.

Lagringstid: Personuppgifter behandlas/lagras så länge som arbetsgivarens eller leverantörkundens kontaktperson är identifierad som kontaktperson som representerar företaget.

3.10. Marknasföring riktad mot Epassis arbetsgivarkunders kontaktpersoner

Personuppgifterna för kontaktpersonerna för Epassi arbetsgivarkunder kan användas för att marknadsföra Epassi och/eller dess partners tjänster. För att uppfylla detta syfte behandlar vi följande personuppgifter:

    • namn

    • e-postadress

    • telefonnummer

Rättslig grund: Personuppgifter behandlas baserat på samtycke från arbetsgivarkundens kontaktperson.

Lagringsperiod: Personuppgifter behandlas för marknadsföringsändamål under den tid marknadsföringskampanjen pågår och högst två (2) år därefter eller tills den registrerade återkallar sitt samtycke till databehandling.

3.11. Kommunicering med Epassis finansieringspartner för EpassiBIKE-tjänsten

Personuppgifterna behandlas för att kommunicera med Epassis finansieringspartner.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

    • Namn

    • E-postadress

    • Telefonnummer

    • Socialförsäkringsnummer av en borgensman för ett leasingavtal (endast i undantagsfall när en borgensman krävs av finansieringspartnern)

Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis berättigade intresse av att kommunicera med kontaktpersoner för Epassis finansieringspartner.

Personuppgifterna behandlas av Svea Bank AB eller Svea Bank AB, filial i Finland, eller Tukirahoitus Oy i egenskap av personuppgiftsbiträde för Epassis räkning.

Lagringstid: Personuppgifter behandlas/lagras så länge som finansieringspartnerns kontaktperson är identifierad som kontaktperson som representerar företaget.

3.12. Produktleveranser

Personuppgifterna behandlas för att kunna leverera produkter till Epassis slutanvändare.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

    • Namn

    • E-postadress

    • Telefonnummer

    • Leveransadress för produkten/produkterna

    • Arbetsgivarens namn

Rättslig grund: Behandlingen av personuppgifter grundar sig på ett avtal och på Epassis berättigade intresse av att kommunicera med Epassis arbetsgivarkunder och kontaktpersoner för leverantörkunder.

Personuppgifterna behandlas av Shopify, Inc. som processor på uppdrag av Epassi.

Lagringstid: Personuppgifter behandlas/lagras så länge slutanvändaren är anställd av samma arbetsgivare, hyr en produkt av en arbetsgivare eller så länge som en viss rättslig skyldighet kräver det.

3.13. Supportärenden

Personuppgifterna behandlas för att administrera supportärenden för Epassis arbetsgivarkunder och slutanvändare samt för att tillhandahålla telefonsupport.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

    • Kontaktuppgifter till den part som initierar supportärendet

    • Kontaktuppgifter till den person som ansvarar för att hantera ärendet

    • Information i textfält som tillhandahålls av den part som initierar supportärendet

    • Information i loggfiler

    • Telefonnummer

Enligt detta avsnitt behandlar vi även den feedback du lämnar i applikationen och på våra plattformar, i den mån den innehåller personuppgifter.

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis legitima intresse av att administrera supportärendena.

Kvarhållningsperiod: Personuppgifter lagras endast för detta ändamål så länge som det är nödvändigt för det ändamål för vilket de samlades in och därefter i högst 2 år.

3.14. Efterleva juridiska skyldigheter (bokföring, redovisning etc.)

Personuppgifterna behandlas för att uppfylla våra juridiska skyldigheter, till exempel bokförings- eller skattelagsrelaterade skyldigheter.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

    • Alla kategorier av personuppgifter som har samlats in och är nödvändiga för att uppfylla juridiska skyldigheter.

Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.

Lagringstid: Personuppgifter lagras så länge som en viss rättslig skyldighet kräver. I Finland är man till exempel enligt bokföringslagen skyldig att bevara information om bokföringsmaterial i sex år efter räkenskapsårets slut. I Sverige är skyldigheten sju år efter räkenskapsårets slut.

När det gäller behandling som grundar sig på ett legitimt intresse har vi noggrant vägt det legitima intresset mot den registrerades rätt till integritet och kommit fram till att vårt intresse väger tyngre än den registrerades rättigheter och friheter.

Om behandlingen är sådan att ett samtycke krävs enligt tillämplig lagstiftning, kommer vi att informera om detta och erhålla samtycket, och detta kommer att vara den rättsliga grunden för behandlingen. Du har dock rätt att när som helst återkalla detta samtycke, utan att det påverkar legitimiteten i den behandling som baserats på samtycket innan det återkallades. Om ett sådant tillbakadragande innebär att vi inte längre kan tillhandahålla våra tjänster kan det hända att vi slutar tillhandahålla tjänsterna.

3.15. Tillgänglighetsfeedback

Om du ger oss tillgänglighetsfeedback via Epassis formulär för tillgänglighetsfeedback, behandlar vi de kategorier av personuppgifter du lämnar i din feedback för att kunna hantera den.

Mer information om tillgänglighetsfeedback och hur du lämnar den hittar du i Epassis tillgänglighetsredogörelse.

Rättslig grund: Lagstadgad skyldighet för att uppfylla kraven enligt lagen om tillhandahållande av digitala tjänster (306/2019).

Lagringstid: Uppgifterna lagras i tre år efter att varje feedback har besvarats.

4. DATAKÄLLOR

Personuppgifter samlas främst in direkt från den registrerade, till exempel vid registrering för våra tjänster, vid användning av dem eller under kundrelationen.
Personuppgifter som rör slutanvändare samlas också in från slutanvändarens arbetsgivare i samband med tjänster som tillhandahålls gemensamt av arbetsgivaren och Epassi enligt deras tjänsteavtal. Dessa uppgifter samlas in för att registrera slutanvändaren som Epassi-konsumentkund genom att skapa ett personligt konto och för att rapportera användningen av förmåner till arbetsgivaren för skatteändamål.
Personuppgifter som erhålls från arbetsgivare används enbart för att identifiera slutanvändaren för åtkomst till tjänsten, och uppgifter om slutanvändarens användning av tjänsten lämnas till arbetsgivaren endast i den utsträckning som är nödvändig för att tillhandahålla förmåner eller som annars avtalats för uppföljning av förmåner.
I samband med Epassis rättsliga skyldigheter avseende betalningsinstrument och kundkännedom kan Epassi uppdatera och komplettera relaterade uppgifter från privata och offentliga källor.

5. UTLÄMNANDE, ÖVERFÖRING OCH MOTTAGARE AV PERSONUPPGIFTER

Personuppgifter kan lämnas ut, i den utsträckning som är nödvändig för de ändamål som beskrivs i denna integritetspolicy, till följande tredje parter:

Epassis anslutna handlare för finansiella och betalningsrelaterade ändamål vid användning av tjänsten.

Finansiella tjänsteleverantörer eller andra tjänsteleverantörer för finansieringsprodukter som ingår i Epassis erbjudande.

Arbetsgivarkunder enligt beskrivningen i avsnitt 4 ”Källor till personuppgifter”.

Epassis tjänsteleverantörer, såsom webbtjänstleverantörer, i den utsträckning som är nödvändig för att leverera Epassi-tjänsten.

Epassi-koncernbolag enligt avtalade personuppgiftsbiträdesavtal, där de utför delar av Epassi-tjänsten eller dess stödfunktioner.

Epassi kan även dela personuppgifter i samband med en eventuell fusion, försäljning av tillgångar, finansiering eller överlåtelse av hela eller delar av verksamheten samt liknande arrangemang.
Personuppgifter kan lämnas ut till tredje part om det krävs enligt tillämpliga dataskyddsregler eller en order från behörig myndighet, samt för att utreda missbruk av produkter eller tjänster och för att säkerställa säkerheten och användbarheten av Epassis produkter och tjänster.

För att tillhandahålla avtalade tjänster behandlar följande Epassi-personuppgiftsbiträden också personuppgifter. En lista över biträden och andra mottagare inkluderar:

· Amazon Web Services (supportverktyg)

· APSIS International AB (marknadsföringsverktyg)

· BitBot Oy (supportverktyg för EpassiBIKE)

· Cellip AB (supportverktyg)

· Databricks (supportverktyg)

· Epassi Finland Oy (IT-drift)

· Fortnox AB (verktyg för ekonomihantering)

· Freshworks Inc. (supportverktyg)

· HeadQ Oy (digital handelsplattform)

· Google LLC (Google Analytics, Google Ads, Google Translation)

· Hetzner Online GmbH (webbhotell)

· HubSpot, Inc. (CRM-verktyg)

· InExchange Factorum AB (e-fakturering)

· Kund-o AB (ärendehanteringsverktyg)

· Lime Technologies AB (CRM-verktyg för svenska arbetsgivare och handlarkontakter, endast Sverige)

· Mainloop AB (IT-utveckling)

· Microsoft Corporation (affärsverktyg)

· Oneflow AB (digital avtalsplattform)

· Oura Health Oy (marknadsföringspartner)

· Parvus Vulpes Oy (plattformverktyg)

· Sharpspring (marknadsföringsverktyg)

· Shopify (EpassiBIKE-plattform)

    • Lightward Inc. (Shopify-funktionalitetsverktyg)

    • HulkApps Inc. (Shopify-funktionalitetsverktyg)

    • Instacollect Inc. (Shopify-funktionalitetsverktyg)

· Signicat AS (identitetsverifieringstjänst)

· Svea Bank AB och närstående eller Tukirahoitus Oy (EpassiBIKE-finansieringspartner)

· Telavox AB (supportverktyg)

· Telia Finland Oyj (stark autentisering)

· Tradedoubler AB (marknadsföringsverktyg)

· Visma Solutions Oy (Netvisor och kundkännedom)

· RevQore (Hubspot-konsultering)

· Kaks.io (Hubspot-konsultering)

· Vainu.io (Företagsinformationtjänst)

 

6. ÖVERFÖRING UTANFÖR EU/ESS

Vissa tredje parter och deras tjänster som används av Epassi för behandling av personuppgifter kan vara verksamma utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES), vilket innebär att personuppgifter kan överföras utanför dessa regioner. Om personuppgifter överförs utanför EU/EES omfattas sådana överföringar av följande rättsliga skyddsåtgärder:

Överföringar sker till ett land för vilket Europeiska kommissionen har utfärdat ett beslut om adekvat skyddsnivå.

Överföringar sker med hjälp av Europeiska kommissionens standardavtalsklausuler eller andra lämpliga skyddsåtgärder som godkänts av behörig dataskyddsmyndighet.

När data överförs till tredjeländer implementerar Epassi lämpliga skyddsåtgärder, inklusive ytterligare skyddsåtgärder där det är nödvändigt, eller andra metoder som godkänts av Europeiska kommissionen eller behörig dataskyddsmyndighet för att upprätthålla dataskydd i enlighet med GDPR.

Mottagare som kan överföra personuppgifter utanför EU/EES inkluderar:

Shopify, Inc. (EpassiBIKE-slutanvändardata)

Lightward Inc.

HulkApps Inc.

Instacollect Inc.

7. SÄKERHETSÅTGÄRDER

Att säkerställa konfidentialitet, integritet och tillgänglighet för personuppgifter är viktigt för Epassi. Epassis säkerhetsledningssystem baseras på juridiska, regulatoriska och avtalsmässiga krav. Epassis tjänster och IT-system är certifierade enligt informationssäkerhetsstandarden ISO27001. Säkerhetsledningssystemet består av lämpliga tekniska, administrativa och organisatoriska åtgärder för att skydda personuppgifter mot obehörig åtkomst, utlämnande, förstöring och behandling.

Administrativa och organisatoriska åtgärder:

  • Epassis tjänster implementeras och personuppgifter lagras i två separata EU-baserade datacenter certifierade enligt internationellt erkända säkerhetsstandarder

  • Rollbaserad åtkomstkontroll

  • Teknisk separering av personuppgifter

  • Leverantörs- och systemövervakning i enlighet med ISO27001

  • Brandväggar

  • Säkerhetskopiering

  • Åtkomstkontroll

  • Teknisk övervakning av behandling och fel

  • Säker krypteringsteknik

  • Krypterade nätverksanslutningar (HTTPS)

  • Legal obligation

  • Legitimate interest

  • Contract

  • Contract

  • Legal obligation

  • Legal obligation

  • Consent

  • Legitimate interest

  • Legitimate interest

  • Consent

  • Legitimate interest

Tekniska åtgärder:

Alla parter som är involverade i behandling av personuppgifter är bundna av avtalsmässiga sekretessförpliktelser. Vi kräver också att våra tjänsteleverantörer använder lämpliga metoder för att skydda personuppgifter.

8. ANVÄNDNING AV COOKIES OCH LIKNANDE TEKNIKER

Epassis webbplats använder cookies.
Detaljer om användningen av cookies och liknande tekniker dokumenteras i Epassis Cookiepolicy, som förklarar hur och för vilka ändamål Epassi använder varje cookie. Se ”Epassi Cookie Policy”.

9. DEN REGISTRERADES RÄTTIGHETER

När vi behandlar dina personuppgifter har du vissa rättigheter enligt tillämplig dataskyddslagstiftning. Varje rättighet som är tillämplig på de ändamål som anges i avsnitt 3 beskrivs nedan, tillsammans med instruktioner för hur du utövar dessa rättigheter:

Rätt till tillgång och rätt att granska uppgifter
Du har rätt att få bekräftelse på om dina personuppgifter behandlas och att få tillgång till dina uppgifter i skriftlig eller elektronisk form på begäran.

Rätt till rättelse och radering
Du har rätt att begära korrigering av felaktiga personuppgifter och rätt att begära radering av dina personuppgifter. Epassi måste radera personuppgifter där det inte finns någon rättslig grund för behandling (t.ex. återkallat samtycke).

Rätt till dataportabilitet
Du har rätt att få personuppgifter som du har lämnat till Epassi i ett strukturerat, allmänt använt och maskinläsbart format och att överföra dessa uppgifter till en annan personuppgiftsansvarig.

Rätt att begränsa behandling
Du har rätt att begränsa behandlingen där det inte längre finns någon rättslig grund för behandling men uppgifterna måste behållas för andra legitima ändamål. Om uppgifter som misstänks vara felaktiga inte kan korrigeras eller raderas, eller om en begäran om radering är oklar, kommer Epassi att begränsa åtkomsten till uppgifterna.

Rätt att invända mot behandling
Du har rätt att invända mot behandling baserad på Epassis berättigade intresse eller för direktmarknadsföring, om inte Epassi kan visa tvingande berättigade skäl för behandlingen.

Rätt att återkalla samtycke
Om behandlingen baseras på samtycke har du rätt att när som helst återkalla samtycket genom att meddela Epassi.

Rätt att lämna in klagomål till tillsynsmyndighet
Om du anser att dina personuppgifter har behandlats olagligt har du rätt att lämna in ett klagomål till behörig dataskyddsmyndighet.

I Finland: Dataombudsmannen (http://www.tietosuoja.fi)

I Sverige: Integritetsskyddsmyndigheten (https://www.imy.se/)

Utövande av dina rättigheter
Begäran måste göras skriftligen eller elektroniskt och skickas till den adress som anges i avsnitt 1. Ange tydligt din begäran och relaterade personuppgifter för att underlätta hanteringen. Inkludera ditt namn, telefonnummer, e-postadress, användarnamn och detaljer om de produkter eller tjänster som används.

Epassi kommer att verifiera din identitet innan begäran uppfylls och uppgifter lämnas ut. Svar lämnas inom rimlig tid, vanligtvis inom en månad efter begäran och identitetsverifiering.

Om din begäran inte kan uppfyllas kommer Epassi att informera dig skriftligen. Epassi kan vägra begäran (t.ex. radering) baserat på rättsliga skyldigheter eller rättigheter, inklusive tjänsterelaterade krav. Epassi kan ta ut en rimlig avgift om begäran är särskilt betungande eller uppenbart ogrundad.

Kontakta oss om du har frågor om våra integritetsrutiner eller vill utöva dina rättigheter.

10. ÄNDRINGAR AV INTEGRITETSPOLICY

Epassi kan uppdatera denna integritetspolicy genom att publicera ändringar på sin webbplats och/eller genom andra lämpliga metoder. Registrerade uppmanas starkt att regelbundet granska integritetspolicyn på vår webbplats.

Om du invänder mot ändringar måste du sluta använda tjänsterna och kan begära radering av dina personuppgifter om inte tillämplig lag kräver bevarande. Om inget annat anges gäller den aktuella integritetspolicyn för alla personuppgifter vi behandlar.

Denna integritetspolicy publicerades den 21 oktober 2021 (version 1.0).
Versionshistorik finns tillgänglig på begäran.

 

 

Privacy Policy

Epassi Finland Oy, Epassi Sweden AB and Epassi Clearing Oy

1. GENERAL INFORMATION

Epassi Finland Oy, Epassi Sweden AB, and Epassi Clearing Oy (together “Epassi” or “we” in all grammatical forms) respect your privacy and aim to maintain the protection of personal data of individuals using Epassi’s services. This Privacy Policy describes how Epassi processes personal data, including what types of personal data are collected, the purposes for which personal data is used, and to whom personal data may be disclosed.

This Privacy Policy applies when you use Epassi’s services, including services intended for Epassi end-users and our websites.
It also applies in other situations listed in section 3 below, for example when we communicate about our services or manage customer relationships with our clients’ contact persons.

Personal data refers to any information relating to a natural person (“data subject”) that can identify the person directly or indirectly. Terms such as personal data, data subject, and controller are defined in the General Data Protection Regulation ((EU) 2016/679, “GDPR”), which applies to all processing of personal data by Epassi. Epassi complies with the GDPR and other applicable national data protection laws (“data protection legislation”) in all personal data processing.

Our services may also include links to external websites and services to which this Privacy Policy does not apply. These websites or services are operated by other organizations that Epassi does not control and therefore Epassi is not responsible for their processing of personal data. For this reason, we encourage you to review the applicable privacy policies of those websites or services.

2. JOINT CONTROLLERS AND CONTACT INFORMATION

Joint Controller: Epassi Finland Oy
Business ID: 3220764-7
Address: Porkkalankatu 22 A, 00180 Helsinki, Finland
Email: dataprivacy@epassi.com
Representative of the joint controller: Data Protection Officer – Taika Pöntinen

Joint Controller: Epassi Sweden AB
Business ID: 556617-0030
Address: Storgatan 31, 461 30 Trollhättan, Sweden
Email: dataprivacy@epassi.com
Representative of the joint controller: Data Protection Officer – Taika Pöntinen

Joint Controller: Epassi Clearing Oy
Business ID: 2872241-9
Address: Porkkalankatu 22 A, 00180 Helsinki, Finland
Email: dataprivacy@epassi.com
Representative of the joint controller: Data Protection Officer – Taika Pöntinen

3. PURPOSES, TYPE OF DATA, LEGAL BASES AND RETENTION TIMES FOR PROCESSING

Epassi processes only personal data that is relevant and necessary to fulfill the purposes defined in this Privacy Policy. Personal data is processed separately from other Epassi systems and is not combined with other processing purposes. Below, you will find tables listing the purposes of processing identified by Epassi, the categories of personal data involved, a description of the processing and retention periods, and the applicable legal basis under the GDPR.

3.1 Epassi Service for End-Users

Epassi processes personal data for the following purposes related to providing its service:

Purpose

Categories of Personal Data

Description and Retention

Legal Basis (GDPR Art. 6)

3.1.1 Providing the Epassi Service

• Name

• Personal identity code

• Phone number

• Postal address

• Email address

• Amount and type of employee benefit

• Payment transactions and history

• Service usage history

We process personal data to provide the Epassi platform as a service to the end-user. This includes platform access and login, as well as execution of payment transactions. Data is retained according to the agreement between Epassi and the end-user.

• Contract

3.1.2 Identifying End-Users for Payment Services

 

• Name
• Nationality
• Date of birth
• Personal identity code
• Home address
• Occupation
• Political exposure
• Details of the identity document used for verification or, if the person is remotely identified, details of the methods or sources used for verification

 

Personal data is processed to identify end-users, complete user profiles, and perform the necessary KYC (Know Your Customer) process so that Epassi can fulfill its legal obligations and provide end-user services.
Personal data is retained for as long as the end-user uses Epassi services and for up to five years after termination. Epassi may process personal data for a longer period if there are pending inquiries related to the end-user or if mandatory national legislation requires it.

 

Legal obligation

 

3.1.3 Execution of Epassi Payment Transactions and Instruments

 

• Name
• Company (employer)
• Transaction details
• Purchase history
• Usage logs
• User device
• Email address
• Phone number
• Postal code
• Account balances
• Personal data provided by the data subject

 

Personal data is processed for the distribution, use, maintenance, and development of Epassi’s specific and general payment instruments, as well as for financial data, application usage data, and other technical background information.

Personal data is retained for as long as the end-user uses Epassi services and for up to two years thereafter.
Financial and transaction-related data is retained for ten years from the date of creation as required by law.

• Contract
• Legitimate interest (service maintenance and development)

• Legal obligation (Retention of payment information)

3.1.4 Reporting on Used Benefits

• Granted benefit amount
• Used benefit amount
• Employee name, email address, and other identifiers if necessary
• Top ten merchants most favored by employees
• Benefit category
• At employer’s request: individual benefit usage data (amount in SEK and location) (Sweden)

 

Personal data is processed to report benefit usage to employer clients for payroll purposes, salary deductions, taxation, and invoicing.
Personal data is retained for as long as the end-user uses Epassi services or as required by law in relation to fraud/misuse cases (10 years for transaction data).

 

• Contract
• Legitimate interest (fraud and misuse prevention)

 

3.1.5 Communication Related to EpassiBIKE Service

 

• Name
• Email address
• Phone number
• Address
• Personal identity code of guarantor (if agreed)

 

Personal data is processed to implement the EpassiBIKE service. Epassi communicates with financing partners regarding bike activation and usage, and with potential buyers regarding bike collection.
Personal data is processed/retained for as long as the end-user uses the EpassiBIKE service.

 

• Contract

 

3.1.6 Customer Support

 

• Contact details of the party initiating the support case
• Contact details of the person managing the case
• Information provided in text fields
• Log file details
• Phone number

 

Personal data is processed to manage support cases and provide phone support.
Personal data is retained for up to two years after the resolution of the support case.

 

• Legitimate interest

 

3.1.7 Receipt Handling (Sweden)

 

• Data contained in receipts
• Employee benefit details

 

If you use Epassi Sweden AB’s receipt management service, you can consent to automatic receipt processing using Epassi’s AI solution. The AI analyzes the entire receipt content against your granted benefits. Decisions regarding the reimbursement of the receipt and benefit are based solely on the personal data you provided in the receipt.
You will always be informed of the decision, its content, and its basis.
You have the right to request a human review of the decision through the system.

We process the information contained in receipts in order to assess the eligibility of the receipts for reimbursement, to translate the text, to make decisions, and to store the supporting documents.

• Consent
• Legitimate interest

 

3.1.8 Service Development and Analytics

 

• Data generated from end-user service usage

 

Epassi uses service usage data to analyze functionalities and improve the service. Analysis helps us develop the service according to your needs and preferences. Epassi strives to process personal data as minimally as possible relative to the purpose and legitimate interest.
Data is retained for up to two years or until the data category is deleted earlier.

 

Legitimate interest

3.1.9 Epassi Savings

 

• Name
• Email address
• Data generated from the use of the Epassi Service

 

 

Epassi offers the Epassi Savings add‑on service to its end users. Through the Epassi Savings service, end users gain access to offers from Epassi’s partners.

In accordance with the Terms of Use of the Epassi Service, within the Epassi Savings service Epassi acts as the service provider and as the controller of personal data to the extent that Epassi implements the service, meaning that the use of partners’ offers may result in the processing of personal data and controller responsibility by those partners. You should always review the privacy notice of Epassi’s partner when using the partner’s offer.

Data is stored for as long as the end user uses the Epassi Savings service.

 

Contract, Legitimate interest


3.2 Other functions of Epassi Service

3.2.1 Identification of Merchant Customers

• Date of birth
• Personal identity code
• Nationality
• PEP status (Politically Exposed Person) of board members, CEO, and individuals owning more than 25% of the company

Personal data is processed to collect and store the necessary KYC (Know Your Customer) information and risk classifications for identifying Epassi’s merchant customers in order to fulfill our legal obligations.
Personal data is retained for as long as the end-user uses Epassi services and generally for up to five years after the termination of service use. Epassi may process personal data for a longer period if there are pending consumer-related inquiries or if mandatory legislation requires it.

3.2.2 Communication with Employer and Merchant Customers

• Name
• Email address
• Phone number

Personal data is processed to enable communication with contact persons of Epassi’s employer and merchant customers.
Personal data is processed/retained for as long as the contact person is identified as representing the company.

  

3.2.3 Account Management for Employer and Merchant Customers

• Contact details and account information of employer and merchant customer representatives

Personal data is processed to implement employer and merchant portals.
Personal data is processed for as long as the agreement between the employer or merchant customer and Epassi remains in force.

  

3.2.4 Processing of Personal Data of a Sole Trader

- The same categories of personal data as listed above in section 3.2, as applicable to the situation.

Some merchant customers using Epassi’s service may operate as sole traders, in which case information related to their business may constitute personal data in a different way than for other merchant customers.

Epassi processes such merchant customers’ data to fulfill the purpose of the merchant agreement and service agreement, as well as to comply with its own legal obligations.

Since a sole trader is considered a data subject under data protection legislation, any data subject requests regarding this information may be limited to their merchant status only.

Data is retained for the duration of the agreement and in accordance with each of Epassi’s legal obligations.

  

 

3.3 Other data processing conducted by Epassi

3.3.1 Accessibility Feedback

• As specified in the accessibility statement

If you provide us with accessibility feedback via Epassi’s accessibility feedback form, we process the categories of personal data you include in your feedback to address it.
Data is retained for three years from the response to each feedback submission.

  

3.3.2 Website, Web Analytics, and Cookies

• Categories of personal data defined in the cookie policy

Personal data is processed to develop Epassi’s services using web analytics and cookies, as well as to manage our website and fulfill user requests.
For more detailed information on what personal data is processed through web analytics and cookies, and instructions on how you can manage cookie-based processing, please refer to Epassi’s cookie policy.

  

3.3.3 Marketing to Employer Customer Contact Persons

• Name
• Email address
• Phone number

Personal data of employer customer contact persons may be used for marketing Epassi’s services and/or the services of its partners.
Personal data is processed for the duration of the marketing campaign and up to two (2) years thereafter, or until the data subject withdraws consent for processing.

  

3.3.4 Marketing of the Epassi Platform and Other Marketing

• Contact details related to service use
• Log data and other analytics
• Location data (with consent)

Epassi sends marketing communications to end-users related to their use of Epassi services.
Marketing is carried out based on both consent and legitimate interest.
Marketing based on legitimate interest applies only to marketing related to an existing customer relationship and is not targeted beyond that relationship.
End-users can also give consent for targeted and location-based marketing, such as presenting nearby offers and electronic direct marketing. You can manage your marketing consent using the consent management tool.
Personal data is retained for as long as your consent remains valid, and if processing is based on legitimate interest, for as long as you remain an Epassi customer or until the relevant data category is deleted earlier.

  

 

Epassi uses tools that leverage artificial intelligence (AI), including large language models and machine learning models, in the delivery of its services. However, Epassi’s use of AI is strictly limited by contractual agreements, technical restrictions, and internal policies to ensure that personal data is never disclosed to AI models in a way that would compromise data protection, such as by training the AI. The use of these tools and applications within Epassi does not affect or hinder the exercise of data subject rights. You always have the option to refuse the processing of your personal data by AI by notifying Epassi as described in section 9, “Data Subject Rights.”

4. Sources of Personal Data

Personal data is primarily collected directly from data subjects, for example, during registration for our services, while using them, or during the customer relationship.

Personal data concerning end-users is also collected from the end-user’s employer in connection with services provided jointly by the employer and Epassi under their service agreement. This data is collected to register the end-user as an Epassi consumer customer by creating a personal account and to report the use of employment benefits to the employer for tax purposes.

Personal data received from employers is used solely to identify the end-user for service access, and data about the end-user’s service usage is disclosed to the employer only to the extent necessary to provide benefits or as otherwise agreed for benefit tracking.

In connection with Epassi’s legal obligations regarding payment instruments and customer due diligence, Epassi may update and supplement related data from private and public sources.

5. Disclosure, Transfer, and Recipients of Personal Data

Personal data may be disclosed, as necessary for the purposes described in this Privacy Policy, to the following third parties:

• Epassi merchants for financial and payment-related purposes during service use.

• Financial service providers or other service providers for financing products included in Epassi’s offering.

• Employer customers as described in section 4 “Sources of Personal Data.”

• Epassi’s service providers, such as web service providers, to the extent necessary to deliver the Epassi service.

• Epassi group companies under agreed data processing agreements, where they perform parts of the Epassi service or its support functions.

Epassi may also share personal data in connection with a potential merger, sale of assets, financing, or transfer of all or part of its business, and similar arrangements.

Personal data may be disclosed to third parties if required by applicable data protection regulations or an order from a competent authority, and for investigating misuse of products or services, as well as ensuring the security and usability of Epassi’s products and services.

To provide agreed services, the following Epassi data processors also process personal data. A list of processors and other recipients includes:

• Amazon Web Services (support tool)

• APSIS International AB (marketing tool)

• BitBot Oy (support tool for EpassiBIKE)

• Cellip AB (support tool)

• Databricks (support tool)

• Epassi Finland Oy (IT operations)

• Fortnox AB (financial management tool)

• Freshworks Inc. (support tool)

• HeadQ Oy (digital commerce platform)

• Google LLC (Google Analytics, Google Ads, Google Translation)

• Hetzner Online GmbH (web hosting)

• HubSpot, Inc. (CRM tool)

• InExchange Factorum AB (e-invoicing)

• Kund-o AB (case management support tool)

• Lime Technologies AB (CRM tool for Swedish employer and merchant contacts, Sweden only)

• Mainloop AB (IT development)

• Microsoft Corporation (business tools)

• Oneflow AB (digital contract platform)

• Oura Health Oy (marketing partner)

• Parvus Vulpes Oy (platform tool)

• Sharpspring (marketing tool)

• Shopify (EpassiBIKE platform)

o Lightward Inc. (Shopify functionality tool)

o HulkApps Inc. (Shopify functionality tool)

o Instacollect Inc. (Shopify functionality tool)

• Signicat AS (identity verification service)

• Svea Bank AB and affiliates or Tukirahoitus Oy (EpassiBIKE financing partner)

• Telavox AB (support tool)

• Telia Finland Oyj (strong authentication)

• Tradedoubler AB (marketing tool)

• Visma Solutions Oy (Netvisor and customer due diligence)

• RevQore (Hubspot consulting)

• Kaks.io (Hubspot consulting)

Vainu.io (Business information service)

6. Transfers Outside the EU/EEA

Some third parties and their services used by Epassi for personal data processing may operate outside the European Union (EU) or European Economic Area (EEA), meaning personal data may be transferred outside these regions. If personal data is transferred outside the EU/EEA, such transfers are subject to the following legal safeguards:
• Transfers are made to a country for which the European Commission has issued an adequacy decision regarding minimum data protection standards;
• Transfers are carried out using the European Commission’s standard contractual clauses or other appropriate safeguards approved by a competent data protection authority.

When transferring data to third countries, Epassi implements appropriate safeguards, including additional protective measures where necessary, or other methods approved by the European Commission or competent data protection authority to maintain data protection in accordance with the GDPR.

Recipients that may transfer personal data outside the EU/EEA include:
• Shopify, Inc. (EpassiBIKE end-user data)
o Lightward Inc.
o HulkApps Inc.
o Instacollect Inc.

7. Security measures

Ensuring the confidentiality, integrity, and availability of personal data is important to Epassi. Epassi’s security management system is based on legal, regulatory, and contractual requirements. The Epassi service and IT systems are certified according to the ISO27001 information security standard. The security management system consists of appropriate technical, administrative, and organizational measures to protect personal data from unauthorized access, disclosure, destruction, and processing.

Administrative and organizational measures:
• Epassi services are implemented and personal data stored in two separate EU-based data centers certified to internationally recognized security standards
• Role-based access control
• Technical segregation of personal data
• Supplier and system monitoring in accordance with ISO27001

Technical measures:
• Firewalls
• Backups
• Access control
• Technical monitoring of processing and errors
• Secure encryption techniques
• Encrypted network connections (HTTPS)

All parties involved in personal data processing are bound by contractual confidentiality obligations. We also require our service providers to use appropriate methods to protect personal data.

8. Use of Cookies and Similar Technologies

Epassi’s website uses cookies.
Details of the use of cookies and similar technologies are documented in Epassi’s Cookie Policy, which explains how and for what purposes Epassi uses each cookie. See “Epassi Cookie Policy”.

9. Data subject’s rights

When we process your personal data, you have certain rights under applicable data protection legislation. Each right applicable to the purposes listed in section 3 is described below, along with instructions for exercising these rights:

Right of access and right to review data
You have the right to obtain confirmation of whether your personal data is being processed and to access your data in written or electronic form upon request.

Right to rectification and erasure
You have the right to request correction of inaccurate personal data and the right to request deletion of your personal data. Epassi must delete personal data where there is no legal basis for processing (e.g., withdrawal of consent).

Right to data portability
You have the right to receive personal data you have provided to Epassi in a structured, commonly used, machine-readable format and to transfer that data to another controller.

Right to restriction of processing
You have the right to restrict processing where there is no longer a legal basis for processing but data must be retained for other legitimate purposes. In cases where data suspected to be inaccurate cannot be corrected or deleted, or where a deletion request is unclear, Epassi will restrict access to the data.

Right to object to processing
You have the right to object to processing based on Epassi’s legitimate interest or for direct marketing unless Epassi demonstrates compelling legitimate grounds for processing.

Right to withdraw consent
Where processing is based on consent, you have the right to withdraw consent at any time by notifying Epassi.

Right to lodge a complaint with a supervisory authority
If you believe your personal data has been processed unlawfully, you have the right to lodge a complaint with the competent data protection authority.
In Finland: Data Protection Ombudsman (http://www.tietosuoja.fi)
In Sweden: Swedish Authority for Privacy Protection (https://www.imy.se/)

Exercising your rights
Requests must be made in writing or electronically and sent to the address specified in section 1. Please clearly specify your request and related personal data to facilitate resolution. Include your name, phone number, email address, username, and details of the products or services used.
Epassi will verify your identity before fulfilling the request and providing data. Responses will be provided within a reasonable time, typically within one month of the request and identity verification.
If your request cannot be fulfilled, Epassi will inform you in writing. Epassi may refuse requests (such as deletion) based on legal obligations or rights, including service-related requirements. Epassi may charge a reasonable fee if requests are particularly burdensome or manifestly unfounded.

Contact us if you have questions about our privacy practices or wish to exercise your rights.

10. Changes to the Privacy policy

Epassi may update this Privacy Policy by posting changes on its website and/or through other appropriate means. Data subjects are strongly encouraged to review the Privacy Policy on our website regularly.
If you object to any changes, you must discontinue use of the services and may request deletion of your personal data unless applicable law requires retention. Unless otherwise stated, the current Privacy Policy applies to all personal data we process.

This Privacy Policy was published on 21 October 2021 (version 1.0).
Version history available upon request.