Integritetspolicy.

Epassi Sweden AB, Epassi Finland Oy och Epassi Clearing Oy

1. ALLMÄN INFORMATION

Epassi Sweden AB, Epassi Finland Oy och Epassi Clearing Oy (tillsammans "Epassi", "vi" eller "oss") respekterar din integritet och är tillägnat att skydda integriteten för personer som använder Epassis tjänster. Denna sekretesspolicy beskriver hur Epassi behandlar personuppgifter; t.ex. vilka typer av personuppgifter vi samlar in, för vilka ändamål personuppgifterna används och till vilka parter personuppgifterna kan lämnas ut.

Denna integritetspolicy gäller användare av Epassi-tjänsterna, inklusive användare av Epassis slutanvändartjänster och våra webbplatser samt när vi kommunicerar om våra tjänster eller i vår kundrelationshantering. Dessutom gäller denna integritetspolicy även för våra arbetsgivarkunders kontaktpersoner, potentiella arbetsgivarkunders kontaktpersoner och leverantörers kontaktpersoner.

Personuppgifter avser information som rör en fysisk person (”registrerad person”) som kan identifiera honom/henne direkt eller indirekt. Personuppgifter, registrerad person, personuppgiftsansvarig och andra viktiga termer definieras i den allmänna dataskyddsförordningen (2016/679, ”GDPR”). Epassi efterlever GDPR i all personuppgiftsbehandling i tillsammans med annan tillämplig nationell dataskyddslagstiftning (”dataskyddslagstiftning”).

Våra tjänster kan också innehålla länkar till externa webbplatser och tjänster som drivs av andra organisationer som vi inte styr. Denna integritetspolicy är inte tillämplig för deras användning, så vi uppmuntrar dig att granska de integritetspolicyer som gäller för dem. Vi ansvarar inte för integritetspolicyer för andra webbplatser eller externa tjänster.

2. GEMENSAMMA CONTROLLERS och kontaktuppgifter

Gemensam controller: Epassi Finland Oy

Företagsnummer: 3220764-7

Adress: Porkalagatan 22 A, 00180 Helsingfors, Finland

E-post: dataprivacy@epassi.com

Representant för delat personuppgiftsansvarig: Selma Nieminen

Gemensam controller: Epassi Sweden AB

Företagsnummer: 556617-0030

Adress: Kungsgatan 57, 461 34 Trollhättan, Sverige

E-post: dataprivacy@epassi.com

Representant för delat personuppgiftsansvarig: Selma Nieminen

Gemensam controller: Epassi Clearing Oy

Företagsnummer: 2872241-9

Adress: Porkalagatan 22 A, 00180 Helsingfors, Finland

E-post: dataprivacy@epassi.com

Representant för delat personuppgiftsansvarig: Selma Nieminen

3. SYFTEN, TYPER AV PERSONUPPGIFTER, RÄTTSLIGA GRUNDER OCH KVARHÅLLNINGSTIDER FÖR BEHANDLING 

Epassi samlar endast in sådana personuppgifter som är relevanta och nödvändiga för de ändamål som beskrivs i denna integritetspolicy. Personuppgifterna är föremål för regelbundna uppdateringar, i enlighet med gällande lag. Personuppgifterna behandlas helt separat från andra Epassi-system och är inte kopplade till andra behandlingssyften.

Personuppgifter kommer att behandlas i följande syften:

Personuppgifterna behandlas i syfte att utföra slutanvändarnas KYC-process (Know Your Customer) så att Epassi kan identifiera slutanvändare i enlighet med lagstadgade skyldigheter och tillhandahålla slutanvändartjänster.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

• Namn
• Nationalitet
• Födelsedatum
• Personnummer eller personlig identifikationskod
• Bostadsadress
• Yrke
• Politisk exponering
• Information om dokumentet som används för att verifiera identiteten, eller om personen har identifierats på distans, information om förfarandet eller källor som används vid verifieringen

De personuppgifter som krävs för att autentisera slutanvändare behandlas av Telia Finland Oyj för Epassis räkning.

Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassis tjänster och högst fem år därefter, och även efter denna period ifall det finns öppna förfrågningar om slutanvändaren, eller om det krävs enligt den obligatoriska nationella lagstiftningen.

Personuppgifterna behandlas för att samla in och lagra KYC-informationen (Know Your Customer) och riskkategorierna för Epassis leverantörkunder för att uppfylla våra juridiska skyldigheter.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• Födelsedatum
• Personlig identifieringskod
• Nationalitet
• PEP-status för ledamöter i styrelsen, VD och personer som äger mer än 25 % av bolaget

Uppgifterna behandlas av Visma Solutions Oy som personuppgiftsansvarig för Epassis räkning.

Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och högst fem år därefter, och även efter en sådan period om det finns öppna förfrågningar som rör konsumenten eller krävs i enlighet med tillämplig lagstiftning.

Personuppgifter hanteras för distribution, användning, underhåll och utveckling av Epassi-specifika och allmänna betalningsinstrument, finansiella uppgifter, applikationsanvändning och andra tekniska lösningars back-end-data.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• Namn
• Företag (arbetsgivare)
• Transaktionsinformation
• Inköpshistorik
• Åtkomstloggar
• Användarenhet
• E-postadress
• Personnummer (i Sverige)
• Telefonnummer
• Postnummer
• Användarsaldon
• Personuppgifter som lämnas av den registrerade

Rättslig grund: Behandlingen av personuppgifter bygger på ett giltigt och rättsligt avtalsförhållande vid distribution och användning av tjänster, och i andra avseenden är behandlingen baserad på Epassis berättigade intresse att upprätthålla och utveckla sådana tjänster, både gentemot sina arbetsgivarkunder och slutanvändare (konsumentkunder). Behandlingen av den personnumret baseras på tillämplig lagstiftning eller samtycke från den registrerade personen.

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och därefter i högst två år. Personuppgifter som behandlas och lagras för transaktions- och finansiell information lagras i tio år från datumet för skapandet i enlighet med tillämplig lag. Lagringen kan fortsätta under ännu längre perioder utifrån skäl som presenteras i avsnitt 3.1 och 3.2.

Personuppgifter behandlas för att Epassis-arbetsgivarkunder ska kunna få rapporter om förmånsanvändningen i förhållande till tilldelade förmåner. Behandlingen är nödvändig för att informera arbetsgivarkunderna om användningen av anställningsförmåner i lönerelaterade syften, för att genomföra löneavdrag samt för beskattning och fakturering. Personuppgifter behandlas och delas även med Epassis-arbetsgivarkunder för att undersöka fall av bedrägeri eller missbruk (eller misstänkta fall). 

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• Förmånsbelopp som getts
• Förmånsbelopp som använts
• Medarbetarens namn, e-postaddress, ID och avdelning
• De 10 mest populära handlarna som de anställda använt
• Kategori av friskvårdsförmån som använts (i Sverige)
• På begäran av förmånstagarens arbetsgivare: data relaterat till individuell förmånsanvändning (hur mycket förmån som använts (i SEK) och handlaren där köpet genomförts) (i Sverige). 

Rättslig grund: Behandlingen av personuppgifter bygger på ett avtal. Behandlingen av personuppgifter bygger på lag (bedrägeri/missbruk). 

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna eller enligt lagkrav i fall av bedrägeri/missbruk (10 års transaktionsdata).

Personuppgifter behandlas för att lagra slutanvändarnas transaktionshistorik för att vid behov fastställa eller försvara rättsliga anspråk.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• Namn
• Företag
• Transaktionsinformation
• Inköpshistorik
• Tillgångsloggar

Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis legitima intresse av att lagra transaktionshistorik för att kunna fastställa eller försvara rättsliga anspråk.

Lagringstid: Personuppgifter lagras under den period som är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk. För transaktions- och finansinformation är lagringstiden minst 10 år i enlighet med tillämplig lag.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• Namn
• E-postadress
• Telefonnummer
• Användarinställningar
• Användarsaldon
• Företag (arbetsgivare)
• Geografisk plats (i Sverige)

Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis berättigade intresse av att marknadsföra Epassi:s produkter och/eller tjänster till användarna. Behandlingen av personuppgifter grundar sig också på den registrerades samtycke till direktmarknadsföring för riktad marknadsföring och reklam samt marknadsföring av tredje parts produkter eller tjänster. Den registrerade har rätt att vägra att personuppgifter används för direktmarknadsföring och kan när som helst återkalla sitt samtycke.

Den elektroniska användarkommunikationen (som levereras via e-post) sker via APSIS och Apsis International AB fungerar som personuppgiftsansvarig. Mer information om dataöverföringar finns i avsnitt 6.

Lagringstid: Personuppgifter behandlas så länge slutanvändaren förblir kund hos Epassi och/eller har tillåtit relevanta direktmarknadsföringssyften.

Personuppgifterna behandlas för att utvärdera och följa upp e-postmottagarnas aktiviteter när e-postmeddelandet har skickats till Epassi-tjänsternas slutanvändare. Detta kan också inbegripa att generera sammanställd statistik gällande aktiviteterna.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• E-postadress
• Information om huruvida den registrerade personen har öppnat ett e-postmeddelande eller bifogat material eller om den registrerade personen har klickat på några länkar eller tagit bort e-postmeddelandet

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kunna följa upp hur e-postmottagare agerar när de får e-post från Epassi.

Lagringstid: Personuppgifter behandlas så länge slutanvändaren är kund hos Epassi och/eller har accepterat de relevanta marknadsföringsalternativen för direktmarknadsföring.

Personuppgifterna behandlas för att utveckla Epassis tjänster med hjälp av webbanalys och cookies samt för att administrera vår webbplats och hantera användarförfrågningar.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• IP-adress
• Användarinställningar
• Användarenhet

Rättslig grund: Behandlingen av den personnumret baseras samtycke från den registrerade personen.

Lagringstid: Personuppgifter lagras i högst två år.

Personuppgifterna behandlas för att kommunicera med Epassis arbetsgivare och kontaktpersoner för leverantörkunder.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• Namn
• E-postadress
• Telefonnummer
• Bankkontonummer

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kommunicera med Epassis arbetsgivarkunders och leverantörkunders kontaktpersoner.

Personuppgifterna behandlas av HubSpot, Inc. som personuppgiftsansvarig för Epassis räkning.

Lagringstid: Personuppgifter behandlas/lagras så länge som arbetsgivarens eller leverantörkundens kontaktperson är identifierad som kontaktperson som representerar företaget.

3.10. Marknadsföring riktad mot Epassis arvetsgivarskunders kontaktpersoner

Personuppgifterna för kontaktpersonerna för Epassi arbetsgivarkunder kan användas för att marknadsföra Epassi och/eller dess partners tjänster. För att uppfylla detta syfte behandlar vi följande personuppgifter:

• namn
• e-postadress
• telefonnummer

Rättslig grund: Personuppgifter behandlas baserat på samtycke från arbetsgivarkundens kontaktperson.

Lagringsperiod: Personuppgifter behandlas för marknadsföringsändamål under den tid marknadsföringskampanjen pågår och högst två (2) år därefter eller tills den registrerade återkallar sitt samtycke till databehandling.

Personuppgifterna behandlas för att kommunicera med Epassis finansieringspartner.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• Namn
• E-postadress
• Telefonnummer
• Socialförsäkringsnummer av en borgensman för ett leasingavtal (endast i undantagsfall när en borgensman krävs av finansieringspartnern)

Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis berättigade intresse av att kommunicera med kontaktpersoner för Epassis finansieringspartner.

Personuppgifterna behandlas av Svea Bank AB eller Svea Bank AB, filial i Finland, eller Tukirahoitus Oy i egenskap av personuppgiftsbiträde för Epassis räkning.

Lagringstid: Personuppgifter behandlas/lagras så länge som finansieringspartnerns kontaktperson är identifierad som kontaktperson som representerar företaget.

Personuppgifterna behandlas för att kunna leverera produkter till Epassis slutanvändare.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• Namn
• E-postadress
• Telefonnummer
• Leveransadress för produkten/produkterna
• Arbetsgivarens namn

Rättslig grund: Behandlingen av personuppgifter grundar sig på ett avtal och på Epassis berättigade intresse av att kommunicera med Epassis arbetsgivarkunder och kontaktpersoner för leverantörkunder.

Personuppgifterna behandlas av Shopify, Inc. som processor på uppdrag av Epassi.

Lagringstid: Personuppgifter behandlas/lagras så länge slutanvändaren är anställd av samma arbetsgivare, hyr en produkt av en arbetsgivare eller så länge som en viss rättslig skyldighet kräver det.

Personuppgifterna behandlas för att administrera supportärenden för Epassis arbetsgivarkunder och slutanvändare samt för att tillhandahålla telefonsupport.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• Kontaktuppgifter till den part som initierar supportärendet
• Kontaktuppgifter till den person som ansvarar för att hantera ärendet
• Information i textfält som tillhandahålls av den part som initierar supportärendet
• Information i loggfiler
• Telefonnummer

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis legitima intresse av att administrera supportärendena.

Vissa supportärenden (telefonsupport i första instans) drivs via Vakka-Suomen Puhelin Oy i Finland som personuppgiftsbiträde där samtalen bandas in och sparas t.ex. för att verifiera innehållet i samtal ifall det råder tvist. Mer information om dataöverföring finns i avsnitt 6.

Kvarhållningsperiod: Personuppgifter lagras endast för detta ändamål så länge som det är nödvändigt för det ändamål för vilket de samlades in och därefter i högst 2 år.

Personuppgifterna behandlas för att uppfylla våra juridiska skyldigheter, till exempel bokförings- eller skattelagsrelaterade skyldigheter.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

• Alla kategorier av personuppgifter som har samlats in och är nödvändiga för att uppfylla juridiska skyldigheter.

Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.

Lagringstid: Personuppgifter lagras så länge som en viss rättslig skyldighet kräver. I Finland är man till exempel enligt bokföringslagen skyldig att bevara information om bokföringsmaterial i sex år efter räkenskapsårets slut. I Sverige är skyldigheten sju år efter räkenskapsårets slut.

När det gäller behandling som grundar sig på ett legitimt intresse har vi noggrant vägt det legitima intresset mot den registrerades rätt till integritet och kommit fram till att vårt intresse väger tyngre än den registrerades rättigheter och friheter.

Om behandlingen är sådan att ett samtycke krävs enligt tillämplig lagstiftning, kommer vi att informera om detta och erhålla samtycket, och detta kommer att vara den rättsliga grunden för behandlingen. Du har dock rätt att när som helst återkalla detta samtycke, utan att det påverkar legitimiteten i den behandling som baserats på samtycket innan det återkallades. Om ett sådant tillbakadragande innebär att vi inte längre kan tillhandahålla våra tjänster kan det hända att vi slutar tillhandahålla tjänsterna.

4. DATAKÄLLOR

Personuppgifterna samlas huvudsakligen direkt från de registrerade själva, till exempel vid registrering eller användning av våra tjänster eller i en kundrelation.

Personuppgifterna kan också samlas in från slutanvändarens arbetsgivare i relation till tjänster som tillhandahålls av arbetsgivaren och av Epassi till slutanvändaren. Dessa samlas in baserat på behovet av att ingå avtal med slutanvändaren som konsumentkund hos Epassi och skapa deras personliga konton på Epassi.

Personuppgifterna kan också samlas in automatiskt när den registrerade personen använder våra tjänster, till exempel vid användning av våra slutanvändartjänster och vid besök på vår webbplats.

Dessutom, och med den registrerade personens tillstånd, kan uppgifter samlas in på annat sätt i ett marknadsföringssammanhang.

Personuppgifter kan uppdateras och kompletteras genom att data samlas in från privata och offentliga källor.

5. KVARHÅLLNING AV PERSONUPPGIFTER

Personuppgifter som samlas in i samband med våra tjänster ska bevaras så länge som det definieras i denna integritetspolicy och i enlighet med lagen såvida inte sådan information ersätts genom regelbundna uppdateringar eller på annat sätt. Kvarhållningsperioden varierar stort mellan olika typer av behandling.

Vi utvärderar personuppgiftsbehandlingens nödvändighet och personuppgifternas riktighet regelbundet och försöker se till att felaktiga och onödiga personuppgifter korrigeras eller raderas.

Detaljerade kvarhållningstider kan tillhandahållas på begäran.

6. TILLGÄNGLIGGÖRANDEN, ÖVERFÖRINGAR OCH MOTTAGARE AV PERSONUPPGIFTER

I de syften som anges i denna integritetspolicy kan personuppgifter vid behov lämnas ut till myndigheter, bland och till andra företag inom samma Epassi-koncern, och till utvalda tredje parter, till exempel tredjepartsleverantörer av tjänster (som våra IT-leverantörer och marknadsföringsbyråer som genomför marknadsföring för vår räkning etc.). I sådana fall kommer personuppgifterna endast att lämnas ut för de ändamål som definierats ovan och alla tillgängliggöranden är alltid begränsade till endast de absolut nödvändiga personuppgifter som krävs för sådana ändamål. Vi varken säljer eller på annat vis tillgängliggör personuppgifter till tredje part utanför Epassi för sådana tredje parters egna syften.

Regelbundna utlämningar av personuppgifter till tredje part för att tillhandahålla de överenskomna tjänsterna:

• Till Epassi-partners, om denna partners kund också är en slutanvändare av Epassi och de två syftena sammanfaller och kräver korsöverföring eller matchning av personuppgifter;
• Till Epassi-handlare, om det krävs för finansiella och betalningsrelaterade ändamål när man använder tjänsterna;
• Till leverantörer av finansiella tjänster för finansieringsprodukter som tillhandahålls inom ramen för Epassis produktportfölj.

Dessutom kanEpassi dela med sig av personuppgifter i samband med fusioner, försäljning av våra tillgångar, finansiering eller förvärv av hela eller en del av vår verksamhet och i samband med andra liknande arrangemang.

Personuppgifterna lämnas också ut till tredje part om så krävs enligt tillämplig lag eller förordning av behöriga myndigheter, och för att undersöka eventuell överträdande användning av produkterna och tjänsterna samt för att garantera Epassis-produkters och tjänsters säkerhet och användbarhet.

För att Epassi ska kunna tillhandahålla de avtalade tjänsterna behandlas personuppgifter också av följande Epassi-personuppgiftsbiträden. Förteckning över processorer och andra mottagare:

• APSIS International AB (marknadsföringsverktyg)
• BitBot Oy (supportverktyg för EpassiBIKE i Finland)
• Cellip AB (supportverktyg)
• Epassi Finland Oy (IT-verksamhet)
• Fortnox AB (finansieringsverktyg)
• Freshworks Inc. (Supportverktyg)
• Google LLC (Google Analytics, Google Ads)
• HeadQ Oy (digital handelsplatform)
• Hetzner Online GmbH (värd för plattformen för onlinetjänster)
• HubSpot, Inc. (CRM-verktyg, kontaktpersoner för Epassis finska arbetsgivarkunder och leverantörkunder, gäller endast i Finland)
• InExchange Factorum AB (elektronisk fakturering)
• Kund-o AB (supportverktyg för ärendehantering)
• Lime Technologies AB (CRM-verktyg, Epassis svenska arbetsgivarkunder och kontaktpersoner för leverantörkunder, gäller endast i Sverige)
• Mainloop AB (IT-utveckling)
• Microsoft Corporation (affärsverktyg)
• Obeflow AB (digital avtalsplatform)
• Oura Health Oy (marknadsföringspartner)
• Parvus Vulpes Oy (plattformsverktyg)
• Paytrail Oyj (supportverktyg för EpassiBIKE i Finland)
• Sharpspring (marknadsföringsverktyg)
• Shopify (plattform för EpassiBIKE)
  • Lightward Inc. (Funktionsverktyg i Shopify)
  • HulkApps Inc. (Funktionsverktyg i Shopify)
  • Instacollect Inc. (Funktionsverktyg i Shopify).

• Signicat AS (autentiseringstjänst)
• Svea Bank AB och Svea Bank AB, filial i Finland eller Tukirahoitus Oy (finansieringspartner för EpassiBIKE)
• Telavox AB (supportverktyg)
• Telia Finland Oyj (stark autentisering)
• Tradedoubler AB (marknadsföringsverktyg)
• Vakka-Suomen Puhelin Oy (supporttjänster för kunder, endast i Finland)
• Visma Solutions Oy (Netvisor och känn din kund).
  
  

7. ÖVERFÖRING AV UPPGIFTER UTANFÖR EU/EEA

Några av de tjänster som används av Epassi för behandling av personuppgifter kan bedrivas utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES). Således kan personuppgifter överföras utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet. Om personuppgifter överförs utanför EU/EES sker sådana överföringar antingen till ett land som anses ge tillräckligt integritetsskydd av EU-kommissionen, eller så utförs överföringar med hjälp av lämpliga skyddsåtgärder såsom implementerade standardavtalsklausuler (Standard Contractual Clauses, SCC), inklusive eventuella kompletterande åtgärder, när detta bedöms vara nödvändigt, eller på annat sätt som godkänns av EU-kommissionen eller behörig dataskyddsmyndighet i enlighet med GDPR.

Följande mottagare kan föra över personuppgifter utanför EU/ EES:

• HubSpot, Inc. (Epassis finska arbetsgivarkunders och leverantörkunders kontaktpersonsuppgifter)
• Shopify, Inc. (Epassis uppgifter om slutanvändare för EpassiBIKE)
  • Lightward Inc. (Funktionsverktyg i Shopify)
  • HulkApps Inc. (Funktionsverktyg i Shopify)

• • Instacollect Inc. (toiminnallisuustyökalu Shopifyssa).
    
    

8. SKYDD AV PERSONUPPGIFTER

Att skydda personuppgifternas konfidentialitet, integritet och tillgänglighet är viktigt för Epassi. Epassis Security Management System bygger på kraven i lagar, förordningar, avtal och vissa standarder (som till exempel ISO 27001). Security Management System består av lämpliga tekniska, administrativa och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot obehörig åtkomst, tillgängliggörande, förstörelse eller annan obehörig behandling.

Administrativa och organisatoriska åtgärder:

• Dedikerade servrar på två olika geografiska platser i EU. Anläggningar är certifierade mot internationellt erkänd informationssäkerhetsstandard.
• Rollbaserad behörighetshantering

Tekniska åtgärder:

• Brandväggar
• Säkerhetskopiering
• Åtkomstkontroller
• Behandlingsövervakning
• Säker krypteringsteknik
• Krypterade nätverksanslutningar (HTTPS)

Med tanke på IT-hoten i dagens onlinemiljö kan vi dock inte ge fullständig garanti för att våra säkerhetsåtgärder kommer att förhindra att en tredje part med olagligt och illvilligt uppsåt får tillgång till personuppgifter, eller garantera absolut säkerhet för personuppgifterna vid överföring eller lagring i våra system.

Alla parter som behandlar personuppgifter har tystnadsplikt i frågor som rör behandling av personuppgifter. Åtkomsten till personuppgifter är begränsad till de anställda och parter som behöver dem för att utföra sina arbetsuppgifter. Vi kräver också att våra tjänsteleverantörer har lämpliga metoder på plats för att skydda personuppgifter.

9. ANVÄNDNING AV COOKIES OCH LIKNANDE TEKNIK

På Epassis webbplats använder cookies.

En cookie är en liten textfil som lagras på din dator och som innehåller information. Cookies används normalt för att förbättra webbplatsen för dig som besökare. Det finns två typer:

Den ena typen sparar en fil som finns kvar på besökarens dator. Denna fil används till exempel för att göra det lättare för dig att använda webbplatsen i enlighet med dina preferenser och intressen.

Den andra typen kallas sessionscookie. När en besökare besöker en webbplats lagras den tillfälligt i besökarens datorminne. Sessionscookies försvinner när du stänger din webbläsare. Ingen personlig information om dig lagras, till exempel din e-postadress och ditt namn.

Vår webbplats använder båda typerna. När du besöker webbplatsen skickas en sessionscookie mellan din dator och vår webbserver för att bland annat underlätta navigeringen. Sessionscookies används också när du använder våra e-tjänster. Cookien försvinner när du avslutar ditt besök.

Vår webbplats använder också Google Analytics för att samla in anonyma uppgifter i syfte att utveckla tjänsterna.

10. AUTOMATISERAT BESLUTSFATTANDE OCH PROFILERING

Epassi använder inte automatiserat beslutsfattande eller profilering i enlighet med artikel 22 i GDPR.

11. REGISTRERADE PERSONERS RÄTTIGHETER

Den registrerade personen har vissa rättigheter i samband med behandling av personuppgifter i enlighet med tillämpliga dataskyddslagar.

Rätt till åtkomst och rätt till inspektion

Den registrerade personen har rätt att få bekräftelse på huruvida personuppgifter som rör hen behandlas eller inte.

Den registrerade personen har rätt att inspektera och ta del av uppgifter om hen och, på begäran, rätt att få uppgifterna levererade i skriftlig eller elektronisk form. Detta gäller information som den registrerade personen har lämnat ut till Epassi i den mån behandlingen är baserad på ett avtal/samtycke.

Att utöva denna rättighet är i allmänhet kostnadsfritt.

Rätt till korrigering och rätt till borttagning

Den registrerade personen har rätt att kräva korrigering av felaktiga personuppgifter som rör hen och rätt att få ofullständiga personuppgifter kompletterade.

Den registrerade personen har rätt att kräva att Epassi raderar eller avslutar behandlingen av den registrerades personens personuppgifter, till exempel när uppgifterna inte längre är nödvändiga för behandlingens ändamål. Observera dock att vissa personuppgifter är absolut nödvändiga för att uppnå de ändamål som definieras i denna integritetspolicy och också kan behöva kvarhållas i enlighet med tillämpliga lagar.

Rätt till dataportabilitet

Den registrerade personen har rätt att ta emot de personuppgifter som hen har lämnat ut till Epassi i ett strukturerat, vanligen använt och maskinläsbart format och, om så önskas, överföra dessa uppgifter till en annan personuppgiftsansvarig. Rätten till dataportabilitet gäller behandlingen av personuppgifter baserat på samtycke eller avtal.

Rätt till begränsning av behandlingen

Den registrerade personen har rätt att under villkor som definieras i dataskyddslagstiftning begära begränsning av behandlingen av hens personuppgifter. I situationer där personuppgifter som misstänks vara felaktiga inte kan korrigeras eller tas bort, eller om begäran om borttagning är oklar, kommer Epassi att begränsa åtkomsten till sådana uppgifter.

Rätt att invända mot behandlingen

Den registrerade personen har rätt att invända mot behandlingen av sina personuppgifter om Epassi förlitar sig på sina legitima intressen som rättslig grund för behandlingen. Den registrerade personen kan till exempel invända mot att hens personuppgifter används för marknadsföringsändamål.

Rätt att dra tillbaka samtycke

I de fall behandlingen är baserad på de registrerade personens samtycke har den registrerade personen rätt att när som helst dra tillbaka sitt samtycke till sådan behandling.

Rätt att inkomma med klagomål till en tillsynsmyndighet

Den registrerade personen har rätt att inkomma med klagomål hos en behörig dataskyddsmyndighet om den registrerade personen anser att behandlingen av personuppgifter som rör den registrerade personen bryter mot gällande lagstiftning.

Vi begär dock att ärendet behandlas av Epassi i första hand.

Den behöriga myndigheten i Finland är dataskyddsombudsmannen (http://www.tietosuoja.fi)

I Sverige är den relevanta myndigheten den svenska dataskyddsmyndigheten (https://www.imy.se/).

Utövande av rättigheter

Begäranden gällande registrerade personers rättigheter ska göras skriftligen eller i elektronisk form och begäran ska riktas till den personuppgiftsansvarige, Epassi.

Identiteten kommer att kontrolleras innan information lämnas ut, och därför kan vi behöva be om ytterligare detaljer. Begäran kommer att besvaras inom rimlig tid, om möjligt inom en månad efter att begäran inkommit och identiteten verifierats.

Om den registrerade personens begäran inte kan tillgodoses ska avslag meddelas den registrerade personen skriftligen. Epassi kan avslå begäran (till exempel om borttagning av uppgifter) på grund av en för företaget lagstadgad skyldighet eller rättighet, till exempel en skyldighet eller ett anspråk som rör våra tjänster. Observera att Epassi kan ta ut en rimlig avgift om begäranden från en registrerad person är uppenbart ogrundade eller överdrivna, särskilt mot bakgrund av en repetitiv karaktär.

Den registrerade personen kan utöva ovan nämnda rättigheter genom att skicka en skriftlig begäran via e-post eller post med hjälp av kontaktuppgifterna i denna integritetspolicy, inklusive följande information: namn, telefonnummer, e-postadress, användar-ID och information om de produkter och tjänster du har använt.

Tveka inte att kontakta oss om du har frågor som rör vår dataskyddspolicy eller vill utöva dina rättigheter.

12. ÄNDRINGAR I DENNA INTEGRITETSPOLICY

Epassi kan när som helst ändra i denna integritetspolicy genom att meddela om detta på webbplatsen och/eller på annat tillämpligt sätt. Registrerade personer rekommenderas starkt att då och då granska integritetspolicyn på vår webbplats.

Om den registrerade personen motsätter sig någon av ändringarna i denna sekretesspolicy, bör den hen sluta använda tjänsterna, där så är tillämpligt, och hen kan begära att vi tar bort personuppgifterna såvida inte tillämpliga lagar kräver att vi behåller sådana personuppgifter. Om inget annat anges gäller den då gällande sekretesspolicyn för alla personuppgifter som vi behandlar vid den aktuella tidpunkten.

Denna integritetspolicy har publicerats den 21.10.2021, version 1.0

Versionshistorik