Epassi Finland Oy, Epassi Sweden AB ja Epassi Clearing Oy (yhdessä ”Epassi” tai ”me” kaikissa taivutusmuodoissa) kunnioittavat yksityisyyttäsi ja haluavat ylläpitää Epassin palveluita käyttävien henkilöiden henkilötietojen tietosuojaa. Tässä tietosuojakäytännössä kuvataan, miten Epassi käsittelee henkilötietoja eli esimerkiksi sitä, minkälaisia henkilötietoja kerätään, mihin tarkoituksiin henkilötietoja käytetään ja mille tahoille henkilötietoja voidaan luovuttaa.
Tätä tietosuojakäytäntöä sovelletaan silloin kun käytät Epassin palveluita, mukaan lukien Epassin loppukäyttäjille tarkoitettuja palveluita ja verkkosivustojamme.
Tietosuojakäytäntöä sovelletaan myös muihin tilanteisiin alla kohdassa 3 olevan listauksen mukaan myös esimerkiksi silloin, kun viestimme palveluistamme tai hallinnoimme asiakassuhteita asiakkaidemme yhteyshenkilöihin.
Henkilötiedoilla tarkoitetaan kaikkia luonnolliseen henkilöön (jäljempänä ”rekisteröity”) liittyviä tietoja, joiden avulla henkilö voidaan suoraan tai epäsuorasti tunnistaa. Termit kuten henkilötieto, rekisteröity, rekisterinpitäjä on määritelty yleisessä tietosuoja-asetuksessa ((EU) 2016/679, ”GDPR”) joka soveltuu kaikkeen Epassin henkiklötietojen käsittelyyn. Epassi noudattaa kaikessa henkilötietojen käsittelyssä yleistä tietosuoja-asetusta (GDPR) sekä muuta sovellettavaa kansallista tietosuojalainsäädäntöä (”tietosuojalainsäädäntö”).
Palvelumme voivat myös sisältää linkkejä jotka johtavat ulkoisille verkkosivustoille ja ulkoisiin palveluihin joihin tämä tietosuojaseloste ei sovellu. Kyseisiä verkkosivustoja tai palveluita ylläpitävät muut organisaatiot, joita Epassi ei hallinnoi eikä näin vastaa näiden henkilötietojen käsittelystä. Tästä syystä kannustamme tutustumaan niihin sovellettaviin tietosuojakäytäntöihin.
Yhteisrekisterinpitäjä: Epassi Finland Oy
Y-tunnus: 3220764-7
Osoite: Porkkalankatu 22 A, 00180 Helsinki, Suomi
Sähköposti: dataprivacy@epassi.com
Yhteisrekisterinpitäjän edustaja: Tietosuojavastaava - Taika Pöntinen
Yhteisrekisterinpitäjä: Epassi Sweden AB
Y-tunnus: 556617-0030
Osoite: Storgatan 31, 461 30 Trollhättan, Ruotsi
Sähköposti: dataprivacy@epassi.com
Yhteisrekisterinpitäjän edustaja: Tietosuojavastaava - Taika Pöntinen
Yhteisrekisterinpitäjä: Epassi Clearing Oy
Y-tunnus: 2872241-9
Osoite: Porkkalankatu 22 A, 00180 Helsinki, Suomi
Sähköposti: dataprivacy@epassi.com
Yhteisrekisterinpitäjän edustaja: Tietosuojavastaava - Taika Pöntinen
Epassi käsittelee vain sellaisia henkilötietoja, jotka ovat olennaisia ja välttämättömiä tässä tietosuojakäytännössä määriteltyjen tarkoitusten täyttämiseksi. Henkilötietoja käsitellään täysin erillään muista Epassin järjestelmistä, eikä niitä yhdistetä muihin käsittelytarkoituksiin. Alta tämän kohdan taulukoista löydät Epassin tunnistamat henkilötietojen käsittelytarkoitukset, näitä koskevat henkilötietokategoriat, käsittelyn kuvauksen, henkilötietojen säilytysajat ja soveltuvan tietosuoja-asetuksen mukaisen oikeusperusteen.
Epassi käsittelee henkilötietoja liittyen sen palvelun toteuttamiseksi seuraavia tarkoituksia varten:
|
Tarkoitus |
Henkilötietokategoriat |
Käsittelyn kuvaus ja säilytys |
Oikeusperuste (GDPR Art. 6) |
|
3.1.1 Epassi-palvelun tarjoaminen |
|
Käsittelemme henkilötietoja tarjotaksemme Epassi-alustan palveluna loppukäyttäjälle. Tämä käsittely koskee alustan tarjoamista ja sinne kirjautumista itsessään, kun alla on avattu itse maksutapahtumien toteuttaminen. Henkilötietoja säilytetään Epassin ja loppukäyttäjän mukaisen sopimuksen mukaisesti. |
|
|
3.1.2 Loppukäyttäjien tunnistaminen maksupalvelua varten |
|
Henkilötietoja käsitellään loppukäyttäjien identifioimiseksi, käyttäjäprofiilin Henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita ja enintään viisi vuotta käytön päättymisen jälkeen. Epassi voi kuitenkin käsitellä henkilötietoja tätäkin pitempään, mikäli avoimia loppukäyttäjään liittyviä tiedusteluja on olemassa tai mikäli pakottava kansallinen lainsäädäntö niin edellyttää.
|
|
|
3.1.3 Epassin maksutapahtumien ja maksuvälineiden toteuttaminen |
|
Henkilötietoja käsitellään Epassin erityisten ja yleisten maksuvälineiden jakelua, käyttöä, ylläpitoa ja kehitystä varten sekä taloustietoja, sovelluksen käyttötietoja ja muita teknisten ratkaisujen taustatietoja varten. Henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita ja sen jälkeen enintään kaksi vuotta. Maksutapahtumiin liittyviä ja taloudellisia tietoja varten käsiteltäviä ja säilytettäviä henkilötietoja säilytetään kymmenen vuoden ajan luomispäivästä alkaen pakottavan lain mukaisesti. |
|
|
3.1.4 Käytetyistä eduista raportointi |
|
Henkilötietoja käsitellään, jotta Epassin työnantaja-asiakkaille voidaan ilmoittaa kohdennettujen etujen käytöstä palkanmaksutarkoituksia, palkanvähennyksien toteuttamista sekä verotus- ja laskutustarkoituksia varten. Henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita tai niin kauan kuin laki vaatii liittyen petos-/väärinkäyttötapauksiin (10 vuotta transaktiodata). |
|
|
3.1.5 EpassiBIKE-palveluun liittyvä viestintä |
|
Henkilötietoja käsitellään EpassiBIKE-palvelun toteuttamiseksi. Epassi viestii pyörien rahoituskumppanien kanssa pyörän käyttöönottoon ja käyttöön liittyvissä asioissa. Epassi viestii pyörien mahdollisten lunastajien kanssa pyörän noudosta. Henkilötietoja käsitellään/säilytetään niin kauan kuin loppukäyttäjä käyttää EpassiBIKE-palvelua. |
|
|
3.1.6 Asiakastuki |
|
Henkilötietoja käsitellään Epassin loppukäyttäjien tukiasioiden hallinnoimiseksi sekä puhelintuen tarjoamiseksi. Henkilötietoja säilytetään tukiasian ratkaisemisen jälkeen enintään kaksi vuotta. |
|
|
3.1.7 Receipt handling -käsittely (Ruotsi) |
|
Mikäli käytät Epassi Sweden AB:n ruotsalaisille asiakkaille tarjoamaa kuittienhallintapalvelua voit antaa suostumuksesi kuittien automaattiseen käsittelyyn Epassin tekoälyratkaisun avulla. Tällöin tekoälyratkaisu analysoi koko kuitin sisällön suhteessa sinulle myönnettyihin etuihin. Ratkaisu kuitin ja edun korvattavuudesta tehdään tällöin ainoastaan niiden henkilötietojen pohjalta jotka sinä olet toimittanut kuitissa. Järjestelmä tiedottaa sinulle aina tehdystä ratkaisusta, sen sisällöstä ja sen perusteista. Sinulla on aina oikeus vaatia ratkaisun tarkistamista ihmisen toimesta itse järjestelmän kautta. |
|
|
3.1.8 Epassin palvelun kehitys ja analytiikka |
|
Epassi käyttää loppukäyttäjän palvelun käytöstä muodostuvia tietoja Epassin palvelun toiminnallisuuksien analysoinnissa ja sen jatkokehittämisessä. Palvelun käytön analysointi auttaa meitä kehittämään sitä juuri niiltä osin kuin koet sen tarpeelliseksi ja toiveidesi mukaisesti. Epassi pyrkii käsittelemään henkilötietoja mahdollisimman rajoitetusti suhteessa sovellettavaan käyttötarkoitukseen ja sen oikeutettuun etuun. Tietoja säilytetään enintään kaksi vuotta tai mikäli henkilötietokategoria poistetaan tätä aiemmin. |
|
|
3.1.9 Epassi Superdeals |
|
Epassi tarjoaa lisäpalveluna Epassi SuperDeals-portaalia sen työnantaja-asiakkaiden kautta loppukäyttäjilleen. SuperDeals-portaalissa loppukäyttäjät pääsevät käsiksi Epassin yhteistyökumppanien tarjouksiin. Epassi SuperDeals-portaali kerää loppukäyttäjien henkilötietoja sen tietosuojaselosteessa [linkki] esitetyllä tavalla, joka sisältää tietosuojasääntelyn vaatimat tiedot käsitellyistä henkilötiedoista ja rekisteröidyn oikeuksista. |
|
|
3.2.1 Kauppiasasiakkaiden tunnistaminen |
|
Henkilötietoja käsitellään Epassin kauppiasasiakkaiden (ml. Yksityinen elinkeinonharjoittaja) tunnistamiseksi tarvittavien KYC-tietojen (KYC, know your customer, asiakkaan tunnistamisvelvollisuus) ja riskiluokkien keräämiseksi ja säilyttämiseksi lakisääteisten velvoitteidemme täyttämiseksi. Henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita ja pääsääntöisesti enintään viisi vuotta palveluiden käyttämisen päättymisestä. Epassi voi kuitenkin käsitellä henkilötietoja tätäkin kauemmin, mikäli avoimia kuluttajaan liittyviä tiedusteluja on olemassa tai mikäli pakottava lainsäädäntö niin edellyttää. |
|
|
3.2.2 Viestintä Epassin työnantaja- ja kauppiasasiakkaiden kanssa |
|
Henkilötietoja käsitellään Epassin työnantaja- ja kauppiasasiakkaiden yhteyshenkilöiden kanssa viestimisen mahdollistamiseksi. Henkilötietoja käsitellään/säilytetään niin kauan kuin työnantaja- tai kauppiasasiakkaan yhteyshenkilö tunnistetaan yritystä edustavaksi yhteyshenkilöksi. |
|
|
3.2.3 Epassin työnantaja- ja kauppiasasiakkaiden tilien hallinta |
|
Henkilötietoja käsitellään työnantaja- ja kauppiasportaalien toteuttamiseksi. Henkilötietoja käsitellään niin kauan kuin työnantaja- tai kauppiasasiakkaan sekä Epassin välinen sopimus on voimassa. |
|
|
3.2.4 Yksityisen elinkeinonharjoittajan henkilötietojen käsittely |
|
Osa Epassin palvelussa olevista kauppiasasiakkaista voivat toimia yksityisinä elinkeinonharjoittajina (toiminimi / tmi) jolloin näiden liiketoimintaa koskevat tiedot voivat olla henkilötietoja eri tavalla kuin muilla kauppiasasiakkailla. Epassi käsittelee tällaisten kauppiasasiakkaiden tietoja toteuttaakseen kauppiassopimuksen ja palvelusopimuksen tarkoitusta sekä omia oikeudellisia velvoitteitaan varten. Koska yksityinen elinkeinonharjoittaja on tietosuojalainsäädännön tarkoittama rekisteröity, voi näitä tietoja koskevat rekisteröidyn pyynnöt rajoittua koskemaan vain tämän kauppiasasemaa. Tietoja säilytetään sopimuksen voimassa olon ajan sekä Epassin kunkin oikeudellisen velvoitteen mukaan. |
|
|
3.3.1 Saavutettavuuspalaute |
|
Mikäli annat meille saavutettavuuspalautetta Epassin saavutettavuuspalautelomakkeen kautta, käsittelemme palautteessasi antamia henkilötietokategorioita palautteen toteuttamiseksi. Tietoja säilytetään kolme vuotta kuhunkin palautteeseen vastaamisesta.
|
|
|
3.3.2 Verkkosivusto, verkkoanalytiikka ja evästeet |
|
Henkilötietoja käsitellään Epassin palveluiden kehittämiseksi verkkoanalytiikkaa ja evästeitä käyttäen sekä verkkosivustomme hallinnoimiseksi ja käyttäjien pyyntöjen täyttämiseksi. Epassin evästeselosteesta saat tarkemmat tiedot siitä mitä henkilötietoja verkkoanalytiikka sekä evästeet käsittelevät ja ohjeet miten voit vaikuttaa henkilötietojen käsittelyyn evästeillä. |
|
|
3.3.3 Epassin työnantaja-asiakkaiden yhteyshenkilöille markkinointi |
|
Epassi työnantaja-asiakkaiden yhteyshenkilöiden henkilötietoja voidaan käyttää Epassin ja/tai tämän yhteistyökumppaneiden palveluiden markkinoimiseen. Henkilötietoa käsitellään markkinointitarkoituksessa markkinointikampanjan keston ajan ja enintään kaksi (2) vuotta tämän jälkeen tai siihen asti kun rekisteröity peruuttaa tietojen käsittelyä koskevan suostumuksensa. |
|
|
3.3.4 Epassi-alustan markkinointi ja muu markkinointi |
|
Epassi lähettää loppukäyttäjille markkinointiviestintää liittyen näiden Epassi-palvelun käyttöön. Epassi toteuttaa markkinointia sekä suostumuksen että oikeutetun edun perusteella. Oikeutetun edun perusteella tehtävä markkinointi koskee vain olemassaolevaan asiakassuhteeseen perustuvaa markkinointia, jota ei kohdenneta muun kuin asiakassuhteen perusteella. Loppukäyttäjällä on myös mahdollisuus antaa suostumuksensa kohdennettuun ja sijainnin perusteella tehtävään markkinointiin esimerkiksi häntä lähellä olevien tarjousten esittämiseen ja sähköiseen suoramarkkinointiin. Voit hallinnoida markkinointisuostumustasi suostumustyökalun avulla. Henkilötietoja säilytetään suostumuksesi voimassaolon ajan ja mikäli käsittely tapahtuu oikeutetun edun perusteella niin kauan kunnes pysyt Epassin asiakkaana tai jos henkilötietokategoriat poistetaan sitä ennen. |
|
|
3.3.5 Epassin käyttäjätutkimukset |
|
Epassi kerää asiakkailtaan ja käyttäjiltään vapaaehtoisten kysely- ja haastattelututkimuksien kautta henkilötietoja koskien heidän käyttäkokemustaan Epassi-palveluista ja tuotteista. Riippuen tutkimuksesta ja rekisteröidyn antaman suostumuksen laajuudesta Epassi saattaa yhdistää tutkimustuloksiin tietoja sinun palvelun käytöstäsi ja muita profiiliisi liittyviä tietoja. Epassi tiedottaa kunkin tutkimuksen käyttämistä tiedoista ja siihen liittyvästä käsittelystä itse kyselyssä jossa suostumus kerätään. Tutkimustuloksia säilytetään tunnistettavassa muodossa enintään kaksi vuotta kyselyn toteuttamisesta tai niin kauan kuin suostumus on voimassa.
|
|
Epassi käyttää tekoälyä (suuret kielimallit, koneoppineet mallit) hyödyntäviä työkaluja palveluidensa toteuttamisessa. Epassin tekoälyn käyttö on kuitenkin tarkkaan rajattu sopimuksin, teknisin rajauksin ja sisäisin politiikoin sellaiseksi, joiden mukaan Epassi ei luovuta henkilötietoja tekoälymalliin tavalla jossa henkilötietojen suoja vaarantuisi esimerkiksi kouluttamalla tekoälyä. Näiden työkalujen ja sovellusten käyttö Epassin toiminnassa ei vaikuta tai haittaa rekisteröidyn oikeuksien toteuttamista. Sinulla on aina mahdollisuus kieltäytyä henkilötietojesi käsittelystä tekoälyn avulla ilmoittamalla siitä Epassille kohdassa 9 “Rekisteröidyn oikeudet” esitetyllä tavalla.
Henkilötiedot kerätään pääasiassa suoraan rekisteröidyiltä, esimerkiksi palveluihimme rekisteröitymisen ja niiden käytön yhteydessä tai asiakassuhteen aikana.
Loppukäyttäjiä koskevia henkilötietoja kerätään myös loppukäyttäjän työnantajalta niiden palveluiden yhteydessä, jotka työnantaja ja Epassi tarjoavat loppukäyttäjälle näiden sopiman palvelusopimuksen mukaan. Tällöin tietoja kerätään, jotta loppuasiakas saadaan rekisteröityä Epassin kuluttaja-asiakkaaksi luomalla henkilökohtainen tili Epassi-palveluun ja jotta loppuasiakkaan työnantajalle voidaan raportoida tämän työsuhde-etujen käyttö verotarkoituksia varten.
Loppukäyttäjiä koskevia työnantajalta saatuja henkilötietoja käytetään vain loppukäyttäjän tunnistamiseen palvelun piiriin, ja loppukäyttäjän palvelun käytöstä seuraavia tietoja luovutetaan työnantajalle vain siinä määrin kuin välttämätöntä etujen tarjoamiseksi tai kuten erikseen sovittu työnantajan kanssa etujen seuraamiseksi.
Liittyen Epassin oikeudellisiin velvoitteisiin koskien maksuvälineiden tarjoamista ja asiakkaan tuntemista, Epassi voi päivittää ja täydentää sen tähän käsittelyyn liittyviä tietoja yksityisistä ja julkisista lähteistä kerättävillä tiedoilla.
Henkilötietoja voidaan tarvittaessa luovuttaa tässä tietosuojakäytännössä mainittuja käsittelytarkoituksia varten seuraaville kolmansille osapuolille:
Epassi voi lisäksi jakaa henkilötietoja mahdollisen fuusion, omaisuuseriemme myynnin tai koko liiketoimintamme tai sen osan rahoituksen tai kaupan yhteydessä ja muiden vastaavien järjestelyjen yhteydessä.
Henkilötietoja luovutetaan kolmansille osapuolille myös, jos siihen soveltuva henkilötietojen käsittelyä koskeva sääntely tai toimivaltaisen viranomaisen antama määräys niin edellyttää, ja mahdollisen tuotteiden tai palveluiden loukkaavan käytön tutkimiseksi sekä Epassin tuotteiden ja palveluiden turvallisuuden ja käytettävyyden takaamiseksi.
Jotta Epassi voi tarjota sovitut palvelut, myös seuraavat Epassin henkilötietojen käsittelijät käsittelevät henkilötietoja. Luettelo henkilötietojen käsittelijöistä ja muista tietojen vastaanottajista:
Osa Epassin henkilötietojen käsittelyyn käyttämistä kolmansista osapuolista ja näiden palveluista voi toimia Euroopan unionin (EU) tai Euroopan talousalueen (ETA) ulkopuolella jolloin henkilötietoja voidaan siirtää näiden ulkopuolelle. Mikäli henkilötietoja siirretään EU:n/ETA:n ulkopuolelle, kyseisiin tietojensiirtoihin sovelletaan seuraavia lain mukaisia turvatoimia:
Toteuttaessaan tiedonsiirtoja kolmansiin maihin Epassi toimeenpanee asianmukaiset suojatoimet, mukaan lukien mahdolliset lisäsuojatoimet, kun niiden katsotaan olevan tarpeellisia, tai muut Euroopan komission tai toimivaltaisen tietosuojaviranomaisen hyväksymät tavat tietosuojan ylläpitämiseksi yleisen tietosuoja-asetuksen mukaisesti.
Seuraavat vastaanottajat voivat siirtää henkilötietoja EU:n/ETA:n ulkopuolelle:
Henkilötietojen luottamuksellisuuden, eheyden ja saatavuuden turvaaminen on Epassille tärkeää. Epassin turvallisuudenhallintajärjestelmä perustuu lakien, määräysten ja sopimusten vaatimuksiin. Epassi-palvelu ja IT-järjestelmät on sertifioitu ISO27001-tietoturvastandardin mukaisiksi. Turvallisuudenhallintajärjestelmä koostuu asianmukaisista teknisistä, hallinnollisista ja organisatorisista turvatoimenpiteistä, joilla henkilötietoja suojataan luvattomalta pääsyltä, luovuttamiselta, tuhoamiselta ja käsittelyltä.
Hallinnolliset ja organisatoriset toimenpiteet:
Tekniset toimenpiteet:
Epassi varmistaa, ettäkKaikkia henkilötietojen käsittelyyn liittyviä osapuolia sitoo sopimuksellinen salassapitovelvollisuus kaikissa henkilötietojen käsittelyyn liittyvissä asioissa. Vaadimme myös palveluntarjoajiltamme asianmukaisia menetelmiä henkilötietojen suojaamiseksi.
Epassin verkkosivustolla käytetään evästeitä.
Olemme dokumentoineet evästeiden ja näitä vastaavien teknologioiden käyttöä Epassin evästeselosteeseen, josta voit saada lisätietoa siitä miten ja mihin tarkoituksiin Epassi käyttää kutakin evästettä.
Kun käsittelemme henkilötietojasi, sinulla on sovellettavan tietosuojalainsäädännön nojalla rekisteröitynä tiettyjä henkilötietojen käsittelyyn liittyviä oikeuksia. Kukin näistä kohdassa 3 listattuihin käsittelytarkoituksiin soveltuvista oikeuksista on listattu alle, jonka lisäksi löydät ohjeet tällaisten oikeuksien käyttämiseen tämän kohdan lopusta.
Oikeus saada pääsy tietoihin ja oikeus tarkastaa tiedot
Rekisteröidyllä on oikeus saada vahvistus henkilötietojensa käsittelystä. Rekisteröidyllä on lisäksi oikeus saada pääsy häntä koskeviin tietoihin ja saada ne pyynnöstä kirjallisessa tai sähköisessä muodossa.
Oikeus tietojen oikaisemiseen ja oikeus tietojen poistamiseen
Rekisteröidyillä on oikeus vaatia heitä koskevien virheellisten henkilötietojen oikaisemista. Rekisteröidyllä on lisäksi oikeus vaatia häntä koskevien henkilötietojen poistamista. Epassilla on velvollisuus poistaa henkilötiedot siltä osin kuin sillä ei ole oikeudellista perustetta niiden käsittelyyn (esimerkiksi käsittelyn perustuvan suostumuksen peruutuksessa).
Oikeus siirtää tiedot järjestelmästä toiseen
Rekisteröidyllä on oikeus saada Epassille toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä oikeus halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle.
Oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on henkilötietojensa käsittelyn rajoittamiseen siltä osin kuin käsittelylle ei ole enää oikeudellista perustetta, mutta henkilötietoja tulee säilyttää muuta perusteltua tarkoitusta varten. Tilanteissa, jossa virheelliseksi epäiltyä henkilötietoa ei voida korjata tai poistaa taikka poistopyynnöstä on epäselvyyttä, Epassi rajoittaa tietoihin pääsyä.
Oikeus vastustaa henkilötietojen käsittelyä
Rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä siltä osin kuin se koskee Epassin oikeutetun edun perusteella tehtävää käsittelyä tai esimerkiksi suoramarkkinointia eikä Epassi osoita tärkeää ja perusteltua syytä henkilötietojen käsittelylle.
Oikeus peruuttaa suostumus
Siltä osin kun henkilötietojen käsittely perustuu rekisteröidyn antamaan suostumukseen, rekisteröidyllä on oikeus peruuttaa antamansa suostumus milloin tahansa ilmoittamalla tästä Epassille.
Oikeus tehdä valitus valvontaviranomaiselle
Mikäli rekisteröity katsoo, että hänen henkilötietojaan on käsitelty voimassa olevan lainsääsäädännön vastaisesti hänellä on oikeus tehdä valitus toimivaltaiselle tietosuojaviranomaiselle,.
Epassi suosittelee kuitenkin aina ottamaan yhteyttä ensisijaisesti Epassiin henkilötietojen käsittelyä koskevan pyynnön tai huolen selvittämiseksi.
Suomessa asiaankuuluva viranomainen on tietosuojavaltuutettu (http://www.tietosuoja.fi)
Ruotsissa asiaankuuluva viranomainen on Ruotsin tietosuojaviranomainen (https://www.imy.se/).
Oikeuksien käyttäminen
Rekisteröityjen oikeuksia koskevat pyynnöt tulee tehdä kirjallisessa tai sähköisessä muodossa ja lähettää yllä kohdassa 1 osoitettuun osoitteeseen. Suosittelemme yksilöimään pyynnön ja siihen liittyvät henkilötiedot mahdollisimman selkeästi asian helpon ratkaisun toteuttamiseksi. Pyyntöön on sisällytettävä mukaan seuraavat tiedot: nimi, puhelinnumero, sähköpostiosoite, käyttäjätunnus ja tiedot käytetyistä tuotteista tai palveluista.
Epassi tarkistaa myös pyynnön esittäjän henkilöllisyyden ennen pyynnön toteuttamista ja tietojen luovuttamista. Pyyntöön vastataan kohtuullisen ajan kuluessa ja mahdollisuuksien mukaan yhden kuukauden kuluessa pyynnöstä ja henkilöllisyyden todentamisesta.
Mikäli rekisteröidyn pyyntöä ei voida täyttää Epassi tiedottaa tästä rekisteröidylle kirjallisesti. Epassi voi kieltäytyä pyynnöstä (kuten tietojen poistamisesta) yhtiön lakisääteisen velvoitteen tai oikeuden, kuten palveluihimme liittyvän velvoitteen tai vaateen, perusteella. Epassi voi periä kohtuullisen maksun, jos rekisteröidyn pyynnöt ovat erityisen työläitä tai ilmeisen kohtuuttomia.
Ota meihin yhteyttä, jos sinulla on kysyttävää tietosuojakäytännöistämme tai haluat käyttää oikeuksiasi.
Epassi voi tehdä muutoksia tähän tietosuojakäytäntöön ilmoittamalla siitä verkkosivustollaan ja/tai muilla soveltuvilla tavoilla. Rekisteröityjen on erittäin suositeltavaa tarkastaa verkkosivustollamme oleva tietosuojakäytäntö säännöllisin väliajoin.
Jos rekisteröity vastustaa mitä tahansa tämän tietosuojakäytännön muutosta, rekisteröidyn on lopetettava palvelujen käyttö tarvittaessa, ja hän voi pyytää meitä poistamaan henkilötiedot, ellei sovellettava laki vaadi meitä säilyttämään tällaisia henkilötietoja. Ellei toisin mainita, nykyinen tietosuojakäytäntö koskee kaikkia käsittelemiämme henkilötietoja.
Tämä tietosuojakäytäntö on julkaistu 21.10.2021 (versio 1.0).
Versiohistoria
|
Versionumero |
Muutoksen kuvaus |
Päiväys |
|
1.0 |
Asiakirja luotu |
|
|
2.0 |
Asiakirja päivitetty |
25.2.2022 |
|
2.1 |
Asiakirja päivitetty |
17.3.2022 |
|
2.2 |
Asiakirja päivitetty (EpassiBIKE) |
21.6.2022 |
|
2.3 |
Asiakirja päivitetty |
3.5.2023 |
|
2.4 |
Asiakirja päivitetty |
21.11.2023 |
|
2.5 |
Asiakirja päivitetty |
19.12.2023 |
|
2.6 |
Asiakirja päivitetty |
15.3.2024 |
|
2.7 |
Asiakirja päivitetty |
12.9.2024 |
|
2.8 |
Asiakirja päivitetty |
25.6.2025 |
|
2.9 |
Asiakirja päivitetty |
18.7.2025 |
|
3.0 |
Asiakirja päivitetty |
15.1.2026 |
Epassi Finland Oy, Epassi Sweden AB, and Epassi Clearing Oy (together “Epassi” or “we” in all grammatical forms) respect your privacy and aim to maintain the protection of personal data of individuals using Epassi’s services. This Privacy Policy describes how Epassi processes personal data, including what types of personal data are collected, the purposes for which personal data is used, and to whom personal data may be disclosed.
This Privacy Policy applies when you use Epassi’s services, including services intended for Epassi end-users and our websites.
It also applies in other situations listed in section 3 below, for example when we communicate about our services or manage customer relationships with our clients’ contact persons.
Personal data refers to any information relating to a natural person (“data subject”) that can identify the person directly or indirectly. Terms such as personal data, data subject, and controller are defined in the General Data Protection Regulation ((EU) 2016/679, “GDPR”), which applies to all processing of personal data by Epassi. Epassi complies with the GDPR and other applicable national data protection laws (“data protection legislation”) in all personal data processing.
Our services may also include links to external websites and services to which this Privacy Policy does not apply. These websites or services are operated by other organizations that Epassi does not control and therefore Epassi is not responsible for their processing of personal data. For this reason, we encourage you to review the applicable privacy policies of those websites or services.
Joint Controller: Epassi Finland Oy
Business ID: 3220764-7
Address: Porkkalankatu 22 A, 00180 Helsinki, Finland
Email: dataprivacy@epassi.com
Representative of the joint controller: Data Protection Officer – Taika Pöntinen
Joint Controller: Epassi Sweden AB
Business ID: 556617-0030
Address: Storgatan 31, 461 30 Trollhättan, Sweden
Email: dataprivacy@epassi.com
Representative of the joint controller: Data Protection Officer – Taika Pöntinen
Joint Controller: Epassi Clearing Oy
Business ID: 2872241-9
Address: Porkkalankatu 22 A, 00180 Helsinki, Finland
Email: dataprivacy@epassi.com
Representative of the joint controller: Data Protection Officer – Taika Pöntinen
Epassi processes only personal data that is relevant and necessary to fulfill the purposes defined in this Privacy Policy. Personal data is processed separately from other Epassi systems and is not combined with other processing purposes. Below, you will find tables listing the purposes of processing identified by Epassi, the categories of personal data involved, a description of the processing and retention periods, and the applicable legal basis under the GDPR.
Epassi processes personal data for the following purposes related to providing its service:
|
Purpose |
Categories of Personal Data |
Description and Retention |
Legal Basis (GDPR Art. 6) |
|
3.1.1 Providing the Epassi Service |
|
We process personal data to provide the Epassi platform as a service to the end-user. This includes platform access and login, as well as execution of payment transactions. Data is retained according to the agreement between Epassi and the end-user. |
|
|
3.1.2 Identifying End-Users for Payment Services
|
|
Personal data is processed to identify end-users, complete user profiles, and perform the necessary KYC (Know Your Customer) process so that Epassi can fulfill its legal obligations and provide end-user services.
|
|
|
3.1.3 Execution of Epassi Payment Transactions and Instruments
|
|
Personal data is processed for the distribution, use, maintenance, and development of Epassi’s specific and general payment instruments, as well as for financial data, application usage data, and other technical background information. Personal data is retained for as long as the end-user uses Epassi services and for up to two years thereafter. |
|
|
3.1.4 Reporting on Used Benefits |
|
Personal data is processed to report benefit usage to employer clients for payroll purposes, salary deductions, taxation, and invoicing.
|
|
|
3.1.5 Communication Related to EpassiBIKE Service
|
|
Personal data is processed to implement the EpassiBIKE service. Epassi communicates with financing partners regarding bike activation and usage, and with potential buyers regarding bike collection.
|
|
|
3.1.6 Customer Support
|
|
Personal data is processed to manage support cases and provide phone support.
|
|
|
3.1.7 Receipt Handling (Sweden)
|
|
If you use Epassi Sweden AB’s receipt management service, you can consent to automatic receipt processing using Epassi’s AI solution. The AI analyzes the entire receipt content against your granted benefits. Decisions regarding the reimbursement of the receipt and benefit are based solely on the personal data you provided in the receipt.
|
|
|
3.1.8 Service Development and Analytics
|
|
Epassi uses service usage data to analyze functionalities and improve the service. Analysis helps us develop the service according to your needs and preferences. Epassi strives to process personal data as minimally as possible relative to the purpose and legitimate interest.
|
|
|
3.1.9 Epassi Superdeals
|
|
Epassi provides the Epassi SuperDeals portal as an additional service to end users through its employer clients. In the SuperDeals portal, end users can access offers from Epassi’s partners. The SuperDeals portal collects end users’ personal data as described in its Privacy Policy, which includes the information required by data protection regulations regarding the processed personal data and the rights of the data subject.
|
|
|
3.2.1 Identification of Merchant Customers
|
|
Personal data is processed to collect and store the necessary KYC (Know Your Customer) information and risk classifications for identifying Epassi’s merchant customers in order to fulfill our legal obligations.
|
|
|
3.2.2 Communication with Employer and Merchant Customers
|
|
Personal data is processed to enable communication with contact persons of Epassi’s employer and merchant customers. |
|
|
3.2.3 Account Management for Employer and Merchant Customers
|
|
Personal data is processed to implement employer and merchant portals. |
|
|
3.2.4 Processing of Personal Data of a Sole Trader
|
|
Some merchant customers using Epassi’s service may operate as sole traders, in which case information related to their business may constitute personal data in a different way than for other merchant customers. Epassi processes such merchant customers’ data to fulfill the purpose of the merchant agreement and service agreement, as well as to comply with its own legal obligations. Since a sole trader is considered a data subject under data protection legislation, any data subject requests regarding this information may be limited to their merchant status only. Data is retained for the duration of the agreement and in accordance with each of Epassi’s legal obligations.
|
|
|
3.3.1 Accessibility Feedback
|
|
If you provide us with accessibility feedback via Epassi’s accessibility feedback form, we process the categories of personal data you include in your feedback to address it.
|
|
|
3.3.2 Website, Web Analytics, and Cookies
|
|
Personal data is processed to develop Epassi’s services using web analytics and cookies, as well as to manage our website and fulfill user requests.
|
|
|
3.3.3 Marketing to Employer Customer Contact Persons
|
|
Personal data of employer customer contact persons may be used for marketing Epassi’s services and/or the services of its partners.
|
|
|
3.3.4 Marketing of the Epassi Platform and Other Marketing
|
|
Epassi sends marketing communications to end-users related to their use of Epassi services.
|
|
Epassi uses tools that leverage artificial intelligence (AI), including large language models and machine learning models, in the delivery of its services. However, Epassi’s use of AI is strictly limited by contractual agreements, technical restrictions, and internal policies to ensure that personal data is never disclosed to AI models in a way that would compromise data protection, such as by training the AI. The use of these tools and applications within Epassi does not affect or hinder the exercise of data subject rights. You always have the option to refuse the processing of your personal data by AI by notifying Epassi as described in section 9, “Data Subject Rights.”
Personal data is primarily collected directly from data subjects, for example, during registration for our services, while using them, or during the customer relationship.
Personal data concerning end-users is also collected from the end-user’s employer in connection with services provided jointly by the employer and Epassi under their service agreement. This data is collected to register the end-user as an Epassi consumer customer by creating a personal account and to report the use of employment benefits to the employer for tax purposes.
Personal data received from employers is used solely to identify the end-user for service access, and data about the end-user’s service usage is disclosed to the employer only to the extent necessary to provide benefits or as otherwise agreed for benefit tracking.
In connection with Epassi’s legal obligations regarding payment instruments and customer due diligence, Epassi may update and supplement related data from private and public sources.
Personal data may be disclosed, as necessary for the purposes described in this Privacy Policy, to the following third parties:
Epassi may also share personal data in connection with a potential merger, sale of assets, financing, or transfer of all or part of its business, and similar arrangements.
Personal data may be disclosed to third parties if required by applicable data protection regulations or an order from a competent authority, and for investigating misuse of products or services, as well as ensuring the security and usability of Epassi’s products and services.
To provide agreed services, the following Epassi data processors also process personal data. A list of processors and other recipients includes:
o Lightward Inc. (Shopify functionality tool)
o HulkApps Inc. (Shopify functionality tool)
o Instacollect Inc. (Shopify functionality tool)
Some third parties and their services used by Epassi for personal data processing may operate outside the European Union (EU) or European Economic Area (EEA), meaning personal data may be transferred outside these regions. If personal data is transferred outside the EU/EEA, such transfers are subject to the following legal safeguards:
• Transfers are made to a country for which the European Commission has issued an adequacy decision regarding minimum data protection standards;
• Transfers are carried out using the European Commission’s standard contractual clauses or other appropriate safeguards approved by a competent data protection authority.
When transferring data to third countries, Epassi implements appropriate safeguards, including additional protective measures where necessary, or other methods approved by the European Commission or competent data protection authority to maintain data protection in accordance with the GDPR.
Recipients that may transfer personal data outside the EU/EEA include:
• Shopify, Inc. (EpassiBIKE end-user data)
o Lightward Inc.
o HulkApps Inc.
o Instacollect Inc.
Ensuring the confidentiality, integrity, and availability of personal data is important to Epassi. Epassi’s security management system is based on legal, regulatory, and contractual requirements. The Epassi service and IT systems are certified according to the ISO27001 information security standard. The security management system consists of appropriate technical, administrative, and organizational measures to protect personal data from unauthorized access, disclosure, destruction, and processing.
Administrative and organizational measures:
• Epassi services are implemented and personal data stored in two separate EU-based data centers certified to internationally recognized security standards
• Role-based access control
• Technical segregation of personal data
• Supplier and system monitoring in accordance with ISO27001
Technical measures:
• Firewalls
• Backups
• Access control
• Technical monitoring of processing and errors
• Secure encryption techniques
• Encrypted network connections (HTTPS)
All parties involved in personal data processing are bound by contractual confidentiality obligations. We also require our service providers to use appropriate methods to protect personal data.
Epassi’s website uses cookies.
Details of the use of cookies and similar technologies are documented in Epassi’s Cookie Policy, which explains how and for what purposes Epassi uses each cookie. See “Epassi Cookie Policy” [link].
When we process your personal data, you have certain rights under applicable data protection legislation. Each right applicable to the purposes listed in section 3 is described below, along with instructions for exercising these rights:
Right of access and right to review data
You have the right to obtain confirmation of whether your personal data is being processed and to access your data in written or electronic form upon request.
Right to rectification and erasure
You have the right to request correction of inaccurate personal data and the right to request deletion of your personal data. Epassi must delete personal data where there is no legal basis for processing (e.g., withdrawal of consent).
Right to data portability
You have the right to receive personal data you have provided to Epassi in a structured, commonly used, machine-readable format and to transfer that data to another controller.
Right to restriction of processing
You have the right to restrict processing where there is no longer a legal basis for processing but data must be retained for other legitimate purposes. In cases where data suspected to be inaccurate cannot be corrected or deleted, or where a deletion request is unclear, Epassi will restrict access to the data.
Right to object to processing
You have the right to object to processing based on Epassi’s legitimate interest or for direct marketing unless Epassi demonstrates compelling legitimate grounds for processing.
Right to withdraw consent
Where processing is based on consent, you have the right to withdraw consent at any time by notifying Epassi.
Right to lodge a complaint with a supervisory authority
If you believe your personal data has been processed unlawfully, you have the right to lodge a complaint with the competent data protection authority.
In Finland: Data Protection Ombudsman (http://www.tietosuoja.fi)
In Sweden: Swedish Authority for Privacy Protection (https://www.imy.se/)
Exercising your rights
Requests must be made in writing or electronically and sent to the address specified in section 1. Please clearly specify your request and related personal data to facilitate resolution. Include your name, phone number, email address, username, and details of the products or services used.
Epassi will verify your identity before fulfilling the request and providing data. Responses will be provided within a reasonable time, typically within one month of the request and identity verification.
If your request cannot be fulfilled, Epassi will inform you in writing. Epassi may refuse requests (such as deletion) based on legal obligations or rights, including service-related requirements. Epassi may charge a reasonable fee if requests are particularly burdensome or manifestly unfounded.
Contact us if you have questions about our privacy practices or wish to exercise your rights.
Epassi may update this Privacy Policy by posting changes on its website and/or through other appropriate means. Data subjects are strongly encouraged to review the Privacy Policy on our website regularly.
If you object to any changes, you must discontinue use of the services and may request deletion of your personal data unless applicable law requires retention. Unless otherwise stated, the current Privacy Policy applies to all personal data we process.
This Privacy Policy was published on 21 October 2021 (version 1.0).
Version history available upon request.
Version history
|
Version number |
Change description |
Date |
|
1.0 |
Document created |
|
|
2.0 |
Document updated |
25.2.2022 |
|
2.1 |
Document updated |
17.3.2022 |
|
2.2 |
Document updated (EpassiBIKE) |
21.6.2022 |
|
2.3 |
Document updated |
3.5.2023 |
|
2.4 |
Document updated |
21.11.2023 |
|
2.5 |
Document updated |
19.12.2023 |
|
2.6 |
Document updated |
15.3.2024 |
|
2.7 |
Document updated |
12.9.2024 |
|
2.8. |
Document updated |
25.6.2025 |
|
2.9. |
Document updated |
18.7.2025 |
|
3.0. |
Document updated |
15.1.2026 |
Epassi Finland Oy, Epassi Sweden AB och ePassi Clearing Oy
Epassi Finland Oy, Epassi Sweden AB och Epassi Clearing Oy (tillsammans ”Epassi” eller ”vi” i alla böjningsformer) respekterar din integritet och strävar efter att upprätthålla skyddet av personuppgifter för individer som använder Epassis tjänster. Denna integritetspolicy beskriver hur Epassi behandlar personuppgifter, inklusive vilka typer av personuppgifter som samlas in, för vilka ändamål personuppgifter används och till vilka parter personuppgifter kan lämnas ut.
Denna integritetspolicy gäller när du använder Epassis tjänster, inklusive tjänster avsedda för Epassis slutanvändare och våra webbplatser.
Den gäller också i andra situationer som anges i avsnitt 3 nedan, till exempel när vi kommunicerar om våra tjänster eller hanterar kundrelationer med våra klienters kontaktpersoner.
Med personuppgifter avses all information som rör en fysisk person (”registrerad”) som kan identifieras direkt eller indirekt. Termer som personuppgifter, registrerad och personuppgiftsansvarig definieras i den allmänna dataskyddsförordningen ((EU) 2016/679, ”GDPR”), som gäller för all behandling av personuppgifter hos Epassi. Epassi följer GDPR och annan tillämplig nationell dataskyddslagstiftning (”dataskyddslagstiftning”) vid all behandling av personuppgifter.
Våra tjänster kan även innehålla länkar till externa webbplatser och tjänster som denna integritetspolicy inte gäller för. Dessa webbplatser eller tjänster drivs av andra organisationer som Epassi inte kontrollerar och Epassi ansvarar därför inte för deras behandling av personuppgifter. Av denna anledning uppmanar vi dig att granska de tillämpliga integritetspolicys som gäller för dessa webbplatser eller tjänster.
Gemensam personuppgiftsansvarig: Epassi Finland Oy
Organisationsnummer: 3220764-7
Adress: Porkkalankatu 22 A, 00180 Helsingfors, Finland
E-post: dataprivacy@epassi.com
Representant: Dataskyddsombud – Taika Pöntinen
Gemensam personuppgiftsansvarig: Epassi Sweden AB
Organisationsnummer: 556617-0030
Adress: Storgatan 31, 461 30 Trollhättan, Sverige
E-post: dataprivacy@epassi.com
Representant: Dataskyddsombud – Taika Pöntinen
Gemensam personuppgiftsansvarig: Epassi Clearing Oy
Organisationsnummer: 2872241-9
Adress: Porkkalankatu 22 A, 00180 Helsingfors, Finland
E-post: dataprivacy@epassi.com
Representant: Dataskyddsombud – Taika Pöntinen
Epassi behandlar endast personuppgifter som är relevanta och nödvändiga för att uppfylla de ändamål som definieras i denna integritetspolicy. Personuppgifter behandlas separat från andra Epassi-system och kombineras inte med andra behandlingsändamål. Nedan hittar du tabeller som anger ändamål, kategorier av personuppgifter, beskrivning av behandlingen och lagringstider samt tillämplig rättslig grund enligt GDPR.
3.1. Epassi-tjänst för slutanvändare
Epassi behandlar personuppgifter för följande ändamål relaterade till tillhandahållandet av tjänsten:
|
Ändamål |
Kategorier av personuppgifter |
Beskrivning och lagring |
Rättslig grund (GDPR art. 6) |
|
3.1.1 Tillhandahållande av Epassi-tjänsten
|
|
Vi behandlar personuppgifter för att tillhandahålla Epassi-plattformen som en tjänst till slutanvändaren. Detta inkluderar åtkomst till plattformen och inloggning samt genomförande av betalningstransaktioner.
|
|
|
3.1.2 Identifiering av slutanvändare för betaltjänster
|
|
Personuppgifter behandlas för att identifiera slutanvändare, komplettera användarprofiler och utföra nödvändiga KYC-processer (Know Your Customer) så att Epassi kan uppfylla sina rättsliga skyldigheter och tillhandahålla tjänster.
|
|
|
3.1.3 Genomförande av Epassi-betalningstransaktioner och betalningsinstrument
|
|
Personuppgifter behandlas för distribution, användning, underhåll och utveckling av Epassis specifika och generella betalningsinstrument samt för ekonomiska uppgifter, applikationsanvändning och annan teknisk bakgrundsinformation.
|
|
|
3.1.4 Rapportering av använda förmåner
|
|
Personuppgifter behandlas för att rapportera användning av förmåner till arbetsgivarkunder för lönehantering, löneavdrag, beskattning och fakturering.
|
|
|
3.1.5 Kommunikation relaterad till EpassiBIKE-tjänsten
|
|
Personuppgifter behandlas för att genomföra EpassiBIKE-tjänsten. Epassi kommunicerar med finansieringspartners om aktivering och användning av cyklar samt med potentiella köpare om hämtning av cyklar.
|
|
|
3.1.6 Kundsupport
|
|
Personuppgifter behandlas för att hantera supportärenden och tillhandahålla telefonsupport.
|
|
|
3.1.7 Hantering av kvitton (Sverige)
|
|
Om du använder Epassi Sweden AB:s kvittohanteringstjänst kan du ge samtycke till automatisk kvittohantering med hjälp av Epassis AI-lösning. AI analyserar hela kvittots innehåll i förhållande till dina beviljade förmåner. Beslut om ersättning baseras endast på de personuppgifter du lämnat i kvittot. Du informeras alltid om beslutet, dess innehåll och grund. Du har rätt att begära manuell granskning via systemet.
|
|
|
3.1.8 Utveckling och analys av tjänsten
|
|
Epassi använder användningsdata för att analysera funktioner och förbättra tjänsten. Analysen hjälper oss att utveckla tjänsten enligt dina behov och önskemål.
|
|
|
3.1.9 Epassi Superdeals
|
|
Epassi tillhandahåller Epassi SuperDeals-portalen som en tilläggstjänst till slutanvändare via sina arbetsgivarkunder. I SuperDeals-portalen får slutanvändare tillgång till erbjudanden från Epassis samarbetspartners. SuperDeals-portalen samlar in slutanvändarnas personuppgifter enligt beskrivningen i dess integritetspolicy, som innehåller den information som krävs enligt dataskyddsregleringen om behandlade personuppgifter och den registrerades rättigheter. |
|
|
3.2.1 Identifiering av handlarkunder
|
|
Personuppgifter behandlas för att samla in och lagra nödvändig KYC-information (Know Your Customer) och riskklassificeringar för att identifiera Epassis handlarkunder i syfte att uppfylla våra rättsliga skyldigheter.
|
|
|
3.2.2 Kommunikation med arbetsgivar- och handlarkunder
|
|
Personuppgifter behandlas för att möjliggöra kommunikation med kontaktpersoner hos Epassis arbetsgivar- och handlarkunder.
|
|
|
3.2.3 Kontohantering för arbetsgivar- och handlarkunder
|
|
Personuppgifter behandlas för att implementera arbetsgivar- och handlarportaler.
|
|
|
3.2.4 Behandling av personuppgifter för enskild näringsidkare
|
|
Vissa handlarkunder som använder Epassis tjänst kan verka som enskilda näringsidkare, vilket innebär att uppgifter som rör deras verksamhet kan utgöra personuppgifter på ett annat sätt än för andra handlarkunder. Epassi behandlar sådana handlarkunders uppgifter för att uppfylla syftet med handlaravtalet och tjänsteavtalet samt för att uppfylla sina egna rättsliga skyldigheter. Eftersom en enskild näringsidkare anses vara en registrerad enligt dataskyddslagstiftningen kan eventuella begäranden från den registrerade avse endast dennes ställning som handlare. Uppgifterna lagras under avtalets giltighetstid samt i enlighet med Epassis respektive rättsliga skyldigheter.
|
|
|
3.3.1 Tillgänglighetsfeedback
|
|
Om du lämnar tillgänglighetsfeedback via Epassis formulär behandlar vi de personuppgifter du anger i din feedback för att hantera ärendet.
|
|
|
3.3.2 Webbplats, webbanalys och cookies
|
|
Personuppgifter behandlas för att utveckla Epassis tjänster med hjälp av webbanalys och cookies, samt för att administrera vår webbplats och uppfylla användarförfrågningar.
|
|
|
3.3.3 Marknadsföring till arbetsgivarers kontaktpersoner
|
|
Personuppgifter om arbetsgivares kontaktpersoner kan användas för marknadsföring av Epassis tjänster och/eller dess partners tjänster.
|
|
|
3.3.4 Marknadsföring av Epassi-plattformen och annan marknadsföring
|
|
Epassi skickar marknadsföringskommunikation till slutanvändare relaterad till deras användning av Epassi-tjänster.
|
|
Epassis användning av AI är dock strikt begränsad genom avtalsvillkor, tekniska begränsningar och interna policyer för att säkerställa att personuppgifter aldrig lämnas ut till AI-modeller på ett sätt som skulle äventyra dataskyddet, exempelvis genom att träna AI:n. Användningen av dessa verktyg och applikationer inom Epassi påverkar inte och hindrar inte den registrerades rättigheter. Du har alltid möjlighet att vägra behandling av dina personuppgifter med AI genom att meddela Epassi enligt beskrivningen i avsnitt 9 ”Registrerades rättigheter”.
De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:
De personuppgifter som krävs för att autentisera slutanvändare behandlas av Telia Finland Oyj för Epassis räkning.
Rättslig grund: Behandlingen av personuppgifter bygger på ett avtal och en rättslig skyldighet.
Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassis tjänster och högst fem år därefter, och även efter denna period ifall det finns öppna förfrågningar om slutanvändaren, eller om det krävs enligt den obligatoriska nationella lagstiftningen.
Personuppgifterna behandlas för att samla in och lagra KYC-informationen (Know Your Customer) och riskkategorierna för Epassis leverantörkunder för att uppfylla våra juridiska skyldigheter.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Uppgifterna behandlas av Visma Solutions Oy som personuppgiftsansvarig för Epassis räkning.
Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.
Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och högst fem år därefter, och även efter en sådan period om det finns öppna förfrågningar som rör konsumenten eller krävs i enlighet med tillämplig lagstiftning.
Personuppgifter hanteras för distribution, användning, underhåll och utveckling av Epassi-specifika och allmänna betalningsinstrument, finansiella uppgifter, applikationsanvändning och andra tekniska lösningars back-end-data.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter bygger på ett giltigt och rättsligt avtalsförhållande vid distribution och användning av tjänster, och i andra avseenden är behandlingen baserad på Epassis berättigade intresse att upprätthålla och utveckla sådana tjänster, både gentemot sina arbetsgivarkunder och slutanvändare (konsumentkunder). Behandlingen av den personnumret baseras på tillämplig lagstiftning eller samtycke från den registrerade personen.
Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och därefter i högst två år. Personuppgifter som behandlas och lagras för transaktions- och finansiell information lagras i tio år från datumet för skapandet i enlighet med tillämplig lag. Lagringen kan fortsätta under ännu längre perioder utifrån skäl som presenteras i avsnitt 3.1 och 3.2.
Personuppgifter behandlas för att Epassis-arbetsgivarkunder ska kunna få rapporter om förmånsanvändningen i förhållande till tilldelade förmåner. Behandlingen är nödvändig för att informera arbetsgivarkunderna om användningen av anställningsförmåner i lönerelaterade syften, för att genomföra löneavdrag samt för beskattning och fakturering. Personuppgifter behandlas och delas även med Epassis-arbetsgivarkunder för att undersöka fall av bedrägeri eller missbruk (eller misstänkta fall).
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter bygger på ett avtal. Behandlingen av personuppgifter bygger på lag (bedrägeri/missbruk).
Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna. eller enligt lagkrav i fall av bedrägeri/missbruk (10 års transaktionsdata).
Personuppgifter behandlas för att lagra slutanvändarnas transaktionshistorik för att vid behov fastställa eller försvara rättsliga anspråk.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis legitima intresse av att lagra transaktionshistorik för att kunna fastställa eller försvara rättsliga anspråk.
Lagringstid: Personuppgifter lagras under den period som är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk. För transaktions- och finansinformation är lagringstiden minst 10 år i enlighet med tillämplig lag.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis berättigade intresse av att marknadsföra Epassi:s produkter och/eller tjänster till användarna. Behandlingen av personuppgifter grundar sig också på den registrerades samtycke till direktmarknadsföring för riktad marknadsföring och reklam samt marknadsföring av tredje parts produkter eller tjänster. Den registrerade har rätt att vägra att personuppgifter används för direktmarknadsföring och kan när som helst återkalla sitt samtycke.
Den elektroniska användarkommunikationen (som levereras via e-post) sker via APSIS och Apsis International AB fungerar som personuppgiftsansvarig. Mer information om dataöverföringar finns i avsnitt 6.
Lagringstid: Personuppgifter behandlas så länge slutanvändaren förblir kund hos Epassi och/eller har tillåtit relevanta direktmarknadsföringssyften.
Personuppgifterna behandlas för att utvärdera och följa upp e-postmottagarnas aktiviteter när e-postmeddelandet har skickats till Epassi-tjänsternas slutanvändare. Detta kan också inbegripa att generera sammanställd statistik gällande aktiviteterna.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kunna följa upp hur e-postmottagare agerar när de får e-post från Epassi.
Lagringstid: Personuppgifter behandlas så länge slutanvändaren är kund hos Epassi och/eller har accepterat de relevanta marknadsföringsalternativen för direktmarknadsföring.
Personuppgifterna behandlas för att utveckla Epassis tjänster med hjälp av webbanalys och cookies samt för att administrera vår webbplats och hantera användarförfrågningar.
I Epassis cookiepolicy hittar du mer detaljerad information om vilka personuppgifter som behandlas av webbanalys och cookies, samt instruktioner om hur du kan påverka behandlingen av personuppgifter genom cookies.Rättslig grund: Behandlingen av den personnumret baseras samtycke från den registrerade personen.
Lagringstid: Personuppgifter lagras i högst två år.
Personuppgifterna behandlas för att kommunicera med Epassis arbetsgivare och kontaktpersoner för leverantörkunder.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kommunicera med Epassis arbetsgivarkunders och leverantörkunders kontaktpersoner.
Personuppgifterna behandlas av HubSpot, Inc. som personuppgiftsansvarig för Epassis räkning.
Lagringstid: Personuppgifter behandlas/lagras så länge som arbetsgivarens eller leverantörkundens kontaktperson är identifierad som kontaktperson som representerar företaget.
Personuppgifterna för kontaktpersonerna för Epassi arbetsgivarkunder kan användas för att marknadsföra Epassi och/eller dess partners tjänster. För att uppfylla detta syfte behandlar vi följande personuppgifter:
Rättslig grund: Personuppgifter behandlas baserat på samtycke från arbetsgivarkundens kontaktperson.
Lagringsperiod: Personuppgifter behandlas för marknadsföringsändamål under den tid marknadsföringskampanjen pågår och högst två (2) år därefter eller tills den registrerade återkallar sitt samtycke till databehandling.
Personuppgifterna behandlas för att kommunicera med Epassis finansieringspartner.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis berättigade intresse av att kommunicera med kontaktpersoner för Epassis finansieringspartner.
Personuppgifterna behandlas av Svea Bank AB eller Svea Bank AB, filial i Finland, eller Tukirahoitus Oy i egenskap av personuppgiftsbiträde för Epassis räkning.
Lagringstid: Personuppgifter behandlas/lagras så länge som finansieringspartnerns kontaktperson är identifierad som kontaktperson som representerar företaget.
Personuppgifterna behandlas för att kunna leverera produkter till Epassis slutanvändare.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter grundar sig på ett avtal och på Epassis berättigade intresse av att kommunicera med Epassis arbetsgivarkunder och kontaktpersoner för leverantörkunder.
Personuppgifterna behandlas av Shopify, Inc. som processor på uppdrag av Epassi.
Lagringstid: Personuppgifter behandlas/lagras så länge slutanvändaren är anställd av samma arbetsgivare, hyr en produkt av en arbetsgivare eller så länge som en viss rättslig skyldighet kräver det.
Personuppgifterna behandlas för att administrera supportärenden för Epassis arbetsgivarkunder och slutanvändare samt för att tillhandahålla telefonsupport.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Enligt detta avsnitt behandlar vi även den feedback du lämnar i applikationen och på våra plattformar, i den mån den innehåller personuppgifter.
Rättslig grund: Behandlingen av personuppgifter baseras på Epassis legitima intresse av att administrera supportärendena.
Kvarhållningsperiod: Personuppgifter lagras endast för detta ändamål så länge som det är nödvändigt för det ändamål för vilket de samlades in och därefter i högst 2 år.
Personuppgifterna behandlas för att uppfylla våra juridiska skyldigheter, till exempel bokförings- eller skattelagsrelaterade skyldigheter.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.
Lagringstid: Personuppgifter lagras så länge som en viss rättslig skyldighet kräver. I Finland är man till exempel enligt bokföringslagen skyldig att bevara information om bokföringsmaterial i sex år efter räkenskapsårets slut. I Sverige är skyldigheten sju år efter räkenskapsårets slut.
När det gäller behandling som grundar sig på ett legitimt intresse har vi noggrant vägt det legitima intresset mot den registrerades rätt till integritet och kommit fram till att vårt intresse väger tyngre än den registrerades rättigheter och friheter.
Om behandlingen är sådan att ett samtycke krävs enligt tillämplig lagstiftning, kommer vi att informera om detta och erhålla samtycket, och detta kommer att vara den rättsliga grunden för behandlingen. Du har dock rätt att när som helst återkalla detta samtycke, utan att det påverkar legitimiteten i den behandling som baserats på samtycket innan det återkallades. Om ett sådant tillbakadragande innebär att vi inte längre kan tillhandahålla våra tjänster kan det hända att vi slutar tillhandahålla tjänsterna.
Om du ger oss tillgänglighetsfeedback via Epassis formulär för tillgänglighetsfeedback, behandlar vi de kategorier av personuppgifter du lämnar i din feedback för att kunna hantera den.
Mer information om tillgänglighetsfeedback och hur du lämnar den hittar du i Epassis tillgänglighetsredogörelse.
Rättslig grund: Lagstadgad skyldighet för att uppfylla kraven enligt lagen om tillhandahållande av digitala tjänster (306/2019).
Lagringstid: Uppgifterna lagras i tre år efter att varje feedback har besvarats.
Personuppgifter samlas främst in direkt från den registrerade, till exempel vid registrering för våra tjänster, vid användning av dem eller under kundrelationen.
Personuppgifter som rör slutanvändare samlas också in från slutanvändarens arbetsgivare i samband med tjänster som tillhandahålls gemensamt av arbetsgivaren och Epassi enligt deras tjänsteavtal. Dessa uppgifter samlas in för att registrera slutanvändaren som Epassi-konsumentkund genom att skapa ett personligt konto och för att rapportera användningen av förmåner till arbetsgivaren för skatteändamål.
Personuppgifter som erhålls från arbetsgivare används enbart för att identifiera slutanvändaren för åtkomst till tjänsten, och uppgifter om slutanvändarens användning av tjänsten lämnas till arbetsgivaren endast i den utsträckning som är nödvändig för att tillhandahålla förmåner eller som annars avtalats för uppföljning av förmåner.
I samband med Epassis rättsliga skyldigheter avseende betalningsinstrument och kundkännedom kan Epassi uppdatera och komplettera relaterade uppgifter från privata och offentliga källor.
Personuppgifter kan lämnas ut, i den utsträckning som är nödvändig för de ändamål som beskrivs i denna integritetspolicy, till följande tredje parter:
Epassis anslutna handlare för finansiella och betalningsrelaterade ändamål vid användning av tjänsten.
Finansiella tjänsteleverantörer eller andra tjänsteleverantörer för finansieringsprodukter som ingår i Epassis erbjudande.
Arbetsgivarkunder enligt beskrivningen i avsnitt 4 ”Källor till personuppgifter”.
Epassis tjänsteleverantörer, såsom webbtjänstleverantörer, i den utsträckning som är nödvändig för att leverera Epassi-tjänsten.
Epassi-koncernbolag enligt avtalade personuppgiftsbiträdesavtal, där de utför delar av Epassi-tjänsten eller dess stödfunktioner.
Epassi kan även dela personuppgifter i samband med en eventuell fusion, försäljning av tillgångar, finansiering eller överlåtelse av hela eller delar av verksamheten samt liknande arrangemang.
Personuppgifter kan lämnas ut till tredje part om det krävs enligt tillämpliga dataskyddsregler eller en order från behörig myndighet, samt för att utreda missbruk av produkter eller tjänster och för att säkerställa säkerheten och användbarheten av Epassis produkter och tjänster.
För att tillhandahålla avtalade tjänster behandlar följande Epassi-personuppgiftsbiträden också personuppgifter. En lista över biträden och andra mottagare inkluderar:
· Amazon Web Services (supportverktyg)
Vissa tredje parter och deras tjänster som används av Epassi för behandling av personuppgifter kan vara verksamma utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES), vilket innebär att personuppgifter kan överföras utanför dessa regioner. Om personuppgifter överförs utanför EU/EES omfattas sådana överföringar av följande rättsliga skyddsåtgärder:
Överföringar sker till ett land för vilket Europeiska kommissionen har utfärdat ett beslut om adekvat skyddsnivå.
Överföringar sker med hjälp av Europeiska kommissionens standardavtalsklausuler eller andra lämpliga skyddsåtgärder som godkänts av behörig dataskyddsmyndighet.
När data överförs till tredjeländer implementerar Epassi lämpliga skyddsåtgärder, inklusive ytterligare skyddsåtgärder där det är nödvändigt, eller andra metoder som godkänts av Europeiska kommissionen eller behörig dataskyddsmyndighet för att upprätthålla dataskydd i enlighet med GDPR.
Mottagare som kan överföra personuppgifter utanför EU/EES inkluderar:
Shopify, Inc. (EpassiBIKE-slutanvändardata)
Lightward Inc.
HulkApps Inc.
Instacollect Inc.
Att säkerställa konfidentialitet, integritet och tillgänglighet för personuppgifter är viktigt för Epassi. Epassis säkerhetsledningssystem baseras på juridiska, regulatoriska och avtalsmässiga krav. Epassis tjänster och IT-system är certifierade enligt informationssäkerhetsstandarden ISO27001. Säkerhetsledningssystemet består av lämpliga tekniska, administrativa och organisatoriska åtgärder för att skydda personuppgifter mot obehörig åtkomst, utlämnande, förstöring och behandling.
Administrativa och organisatoriska åtgärder:
Tekniska åtgärder:
Alla parter som är involverade i behandling av personuppgifter är bundna av avtalsmässiga sekretessförpliktelser. Vi kräver också att våra tjänsteleverantörer använder lämpliga metoder för att skydda personuppgifter.
Epassis webbplats använder cookies.
Detaljer om användningen av cookies och liknande tekniker dokumenteras i Epassis Cookiepolicy, som förklarar hur och för vilka ändamål Epassi använder varje cookie. Se ”Epassi Cookie Policy”.
När vi behandlar dina personuppgifter har du vissa rättigheter enligt tillämplig dataskyddslagstiftning. Varje rättighet som är tillämplig på de ändamål som anges i avsnitt 3 beskrivs nedan, tillsammans med instruktioner för hur du utövar dessa rättigheter:
Rätt till tillgång och rätt att granska uppgifter
Du har rätt att få bekräftelse på om dina personuppgifter behandlas och att få tillgång till dina uppgifter i skriftlig eller elektronisk form på begäran.
Rätt till rättelse och radering
Du har rätt att begära korrigering av felaktiga personuppgifter och rätt att begära radering av dina personuppgifter. Epassi måste radera personuppgifter där det inte finns någon rättslig grund för behandling (t.ex. återkallat samtycke).
Rätt till dataportabilitet
Du har rätt att få personuppgifter som du har lämnat till Epassi i ett strukturerat, allmänt använt och maskinläsbart format och att överföra dessa uppgifter till en annan personuppgiftsansvarig.
Rätt att begränsa behandling
Du har rätt att begränsa behandlingen där det inte längre finns någon rättslig grund för behandling men uppgifterna måste behållas för andra legitima ändamål. Om uppgifter som misstänks vara felaktiga inte kan korrigeras eller raderas, eller om en begäran om radering är oklar, kommer Epassi att begränsa åtkomsten till uppgifterna.
Rätt att invända mot behandling
Du har rätt att invända mot behandling baserad på Epassis berättigade intresse eller för direktmarknadsföring, om inte Epassi kan visa tvingande berättigade skäl för behandlingen.
Rätt att återkalla samtycke
Om behandlingen baseras på samtycke har du rätt att när som helst återkalla samtycket genom att meddela Epassi.
Rätt att lämna in klagomål till tillsynsmyndighet
Om du anser att dina personuppgifter har behandlats olagligt har du rätt att lämna in ett klagomål till behörig dataskyddsmyndighet.
I Finland: Dataombudsmannen (http://www.tietosuoja.fi)
I Sverige: Integritetsskyddsmyndigheten (https://www.imy.se/)
Utövande av dina rättigheter
Begäran måste göras skriftligen eller elektroniskt och skickas till den adress som anges i avsnitt 1. Ange tydligt din begäran och relaterade personuppgifter för att underlätta hanteringen. Inkludera ditt namn, telefonnummer, e-postadress, användarnamn och detaljer om de produkter eller tjänster som används.
Epassi kommer att verifiera din identitet innan begäran uppfylls och uppgifter lämnas ut. Svar lämnas inom rimlig tid, vanligtvis inom en månad efter begäran och identitetsverifiering.
Om din begäran inte kan uppfyllas kommer Epassi att informera dig skriftligen. Epassi kan vägra begäran (t.ex. radering) baserat på rättsliga skyldigheter eller rättigheter, inklusive tjänsterelaterade krav. Epassi kan ta ut en rimlig avgift om begäran är särskilt betungande eller uppenbart ogrundad.
Kontakta oss om du har frågor om våra integritetsrutiner eller vill utöva dina rättigheter.
Epassi kan uppdatera denna integritetspolicy genom att publicera ändringar på sin webbplats och/eller genom andra lämpliga metoder. Registrerade uppmanas starkt att regelbundet granska integritetspolicyn på vår webbplats.
Om du invänder mot ändringar måste du sluta använda tjänsterna och kan begära radering av dina personuppgifter om inte tillämplig lag kräver bevarande. Om inget annat anges gäller den aktuella integritetspolicyn för alla personuppgifter vi behandlar.
Denna integritetspolicy publicerades den 21 oktober 2021 (version 1.0).
Versionshistorik finns tillgänglig på begäran
Versionshistorik
|
Versionsnummer |
Ändringsbeskrivning |
Datum |
|
1.0 |
Dokument skapats |
|
|
2.0 |
Dokumentet uppdaterats |
25.2.2022 |
|
2.1 |
Dokumentet uppdaterats |
17.3.2022 |
|
2.2 |
Dokument uppdaterat (EpassiBIKE) |
21.6.2022 |
|
2.3 |
Dokumentet uppdaterats |
3.5.2023 |
|
2.4 |
Dokumentet uppdaterats |
21.11.2023 |
|
2.5 |
Dokumentet uppdaterats |
19.12.2023 |
|
2.6 |
Dokumentet uppdaterats |
15.3.2024 |
|
2.7 |
Dokumentet uppdaterats |
12.9.2024 |
|
2.8 |
Dokumentet uppdaterats |
25.6.2025 |
|
2.9 |
Dokumentet uppdaterats |
18.7.2025 |
|
3.0 |
Dokumentet uppdaterats |
15.1.2026 |
Jätä tukipyyntö
tai soita 0200 69000
ma-ke & pe 8.00-16.00 1,75 € + pvm (mvm)
to 8.00-14.00 1,75 € + pvm (mvm)
Laskutus ma-pe 9.00-15.00
![English-Default-Badge-Black[77]](https://www.epassi.fi/hs-fs/hubfs/English-Default-Badge-Black%5B77%5D.png?width=136&height=41&name=English-Default-Badge-Black%5B77%5D.png "English-Default-Badge-Black[77]"){kind=icon}
