Epassi Finland Oy, Epassi Sweden AB ja Epassi Clearing Oy (yhdessä ”Epassi” tai ”me” kaikissa taivutusmuodoissa) kunnioittavat yksityisyyttäsi ja haluavat kaikin keinoin suojella Epassin palveluita käyttävien henkilöiden yksityisyyttä. Tässä tietosuojakäytännössä kuvataan, miten Epassi käsittelee henkilötietoja eli esimerkiksi sitä, minkälaisia henkilötietoja kerätään, mihin tarkoituksiin henkilötietoja käytetään ja mille tahoille henkilötietoja voidaan luovuttaa.
Tätä tietosuojakäytäntöä sovelletaan henkilöihin, jotka käyttävät Epassin palveluita, mukaan lukien Epassin loppukäyttäjille tarkoitettuja palveluita ja verkkosivustojamme. Tietosuojakäytäntöä sovelletaan henkilöihin myös silloin, kun viestimme palveluistamme tai hallinnoimme asiakassuhteita. Lisäksi tätä tietosuojakäytäntöä sovelletaan työnantaja-asiakkaidemme, potentiaalisten työnantaja-asiakkaidemme ja kauppiasasiakkaidemme yhteyshenkilöihin.
Henkilötiedoilla tarkoitetaan kaikkia luonnolliseen henkilöön (jäljempänä ”rekisteröity”) liittyviä tietoja, joiden avulla henkilö voidaan suoraan tai epäsuorasti tunnistaa. Henkilötiedot, rekisteröity, rekisterinpitäjä ja muut keskeiset termit on määritelty yleisessä tietosuoja-asetuksessa (2016/679, ”GDPR”). Epassi noudattaa kaikessa henkilötietojen käsittelyssä yleistä tietosuoja-asetusta (GDPR) sekä muuta sovellettavaa kansallista tietosuojalainsäädäntöä (”tietosuojalainsäädäntö”).
Palvelumme voivat myös sisältää ulkoisille verkkosivustoille ja ulkoisiin palveluihin johtavia linkkejä. Kyseisiä verkkosivustoja tai palveluita ylläpitävät muut organisaatiot, joita Epassi ei hallinnoi. Tätä tietosuojakäytäntöä ei sovelleta ulkoisten verkkosivustojen tai palveluiden käyttöön. Tästä syystä kannustamme tutustumaan niihin sovellettaviin tietosuojakäytäntöihin. Emme vastaa muiden verkkosivustojen tai ulkoisten palveluiden tietosuojakäytännöistä.
2. YHTEISREKISTERINPITÄJÄT JA YHTEYSTIEDOT
Yhteisrekisterinpitäjä: Epassi Finland Oy
Y-tunnus: 3220764-7
Osoite: Porkkalankatu 22 A, 00180 Helsinki, Suomi
Sähköposti: dataprivacy@epassi.com
Yhteisrekisterinpitäjän edustaja: Mikael Nordenswab
Yhteisrekisterinpitäjä: Epassi Sweden AB
Y-tunnus: 556617-0030
Osoite: Storgatan 31, 461 30 Trollhättan, Ruotsi
Sähköposti: dataprivacy@epassi.com
Yhteisrekisterinpitäjän edustaja: Mikael Nordenswan
Yhteisrekisterinpitäjä: Epassi Clearing Oy
Y-tunnus: 2872241-9
Osoite: Porkkalankatu 22 A, 00180 Helsinki, Suomi
Sähköposti: dataprivacy@epassi.com
Yhteisrekisterinpitäjän edustaja: Mikael Nordenswan
Epassi kerää vain sellaisia henkilötietoja, jotka ovat olennaisia ja välttämättömiä tässä tietosuojakäytännössä määriteltyjen tarkoitusten täyttämiseksi. Henkilötietoja päivitetään säännöllisin väliajoin pakottavan lain mukaisesti. Henkilötietoja käsitellään täysin erillään muista Epassin järjestelmistä, eikä niitä yhdistetä muihin käsittelytarkoituksiin.
Henkilötietoja käsitellään seuraavia tarkoituksia varten:
Henkilötietoja käsitellään loppukäyttäjien tunnistamiseksi tarvittavan KYC-prosessin (KYC, know your customer, asiakkaan tuntemisvelvollisuus) suorittamiseksi, jotta Epassi voi tunnistaa loppukäyttäjät lakisääteisen velvoitteensa mukaisesti ja tarjota loppukäyttäjäpalveluita.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Telia Finland Oyj vastaa loppuasiakkaan todentamiseen vaadittavien henkilötietojen käsittelystä Epassin puolesta.
Oikeusperuste: henkilötietojen käsittely perustuu lakisääteiseen velvoitteeseen.
Säilytysaika: Henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita ja enintään viisi vuotta käytön päättymisen jälkeen. Epassi voi kuitenkin käsitellä henkilötietoja tätäkin pitempään, mikäli avoimia loppukäyttäjään liittyviä tiedusteluja on olemassa tai mikäli pakottava kansallinen lainsäädäntö niin edellyttää.
Henkilötietoja käsitellään Epassin kauppiasasiakkaiden tunnistamiseksi tarvittavien KYC-tietojen (KYC, know your customer, asiakkaan tunnistamisvelvollisuus) ja riskiluokkien keräämiseksi ja säilyttämiseksi lakisääteisten velvoitteidemme täyttämiseksi.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Visma Solutions Oy vastaa kyseisten tietojen käsittelystä henkilötietojen käsittelijänä Epassin puolesta.
Oikeusperuste: henkilötietojen käsittely perustuu lakisääteiseen velvoitteeseen.
Säilytysaika: Henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita ja pääsääntöisesti enintään viisi vuotta palveluiden käyttämisen päättymisestä. Epassi voi kuitenkin käsitellä henkilötietoja tätäkin kauemmin, mikäli avoimia kuluttajaan liittyviä tiedusteluja on olemassa tai mikäli pakottava lainsäädäntö niin edellyttää.
Henkilötietoja käsitellään Epassin erityisten ja yleisten maksuvälineiden jakelua, käyttöä, ylläpitoa ja kehitystä varten sekä taloustietoja, sovelluksen käyttötietoja ja muita teknisten ratkaisujen taustatietoja varten.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: Henkilötietojen käsittely perustuu voimassa olevaan ja lainmukaiseen sopimussuhteeseen, kun palveluita jaellaan ja käytetään, ja muissa tapauksissa käsittely perustuu Epassin oikeutettuun etuun ylläpitää ja kehittää kyseisiä palveluita sekä työnantaja-asiakkailleen että loppuasiakkailleen (kuluttaja-asiakkailleen). Henkilötunnuksen käsittely perustuu sovellettavaan lainsäädäntöön tai rekisteröidyn antamaan suostumukseen.
Säilytysaika: Henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita ja sen jälkeen enintään kaksi vuotta. Maksutapahtumiin liittyviä ja taloudellisia tietoja varten käsiteltäviä ja säilytettäviä henkilötietoja säilytetään kymmenen vuoden ajan luomispäivästä alkaen pakottavan lain mukaisesti. Säilyttäminen voi jatkua tätäkin kauemmin kohdissa 3.1 ja 3.2 esitellyistä syistä.
Henkilötietoja käsitellään, jotta Epassin työnantaja-asiakkaille voidaan ilmoittaa kohdennettujen etujen käytöstä. Käsittely on tarpeen, jotta työnantaja-asiakkaille voidaan ilmoittaa työsuhde-etujen käytöstä palkanmaksutarkoituksia, palkanvähennyksien toteuttamista sekä verotus- ja laskutustarkoituksia varten. Henkilötietoja voidaan myös käsitellä ja raportoida työnantaja-asiakkaille mahdollisten etuuksien petos- tai väärinkäyttötapauksissa (tai eipäillyt tapaukset).
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: henkilötietojen käsittely perustuu sopimukseen tai henkilötietojen käsittely perustuu lakisääteiseen velvoitteeseen (petos/väärinkäyttö).
Säilytysaika: henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita tai niin kauan kuin laki vaatii liittyen petos-/väärinkäyttötapauksiin (10 vuotta transaktiodata).
Henkilötietoja käsitellään, jotta loppukäyttäjien maksutapahtumahistoriaa voidaan säilyttää mahdollisten oikeusvaateiden laatimiseksi tai puolustamiseksi tarvittaessa.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: Henkilötietojen käsittely perustuu Epassin oikeutettuun etuun säilyttää maksutapahtumahistoriaa oikeusvaateiden laatimiseksi tai puolustamiseksi.
Säilytysaika: Henkilötietoja säilytetään niin kauan kuin on tarpeen oikeusvaateiden laatimiseksi, esittämiseksi tai puolustamiseksi. Säilytysaika maksutapahtumatietoja ja taloudellisia tietoja varten on vähintään kymmenen vuotta pakottavan lain mukaisesti.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: Henkilötietojen käsittely perustuu Epassin oikeutettuun etuun markkinoida Epassin tuotteita ja/tai palveluita käyttäjille. Suoramarkkinoinnin yhteydessä henkilötietojen käsittely perustuu myös rekisteröidyn antamaan suostumukseen kohdennetun markkinoinnin ja mainonnan sekä kolmansien osapuolten tuotteiden ja palvelujen markkinoinnin tarjoamista varten. Rekisteröidyllä on oikeus kieltää henkilötietojensa käyttö suoramarkkinointiin, ja hän voi milloin tahansa peruuttaa aiemmin antamansa suostumuksen.
Sähköinen käyttäjäviestintä (sähköpostitse) tapahtuu APSIS-alustan kautta, ja Apsis International AB toimii Henkilötietojen käsittelijänä. Lisätietoja tiedonsiirrosta on kohdassa 6.
Säilytysaika: henkilötietoja käsitellään niin kauan kuin loppukäyttäjä pysyy Epassin asiakkaana ja/tai on antanut asianmukaisen suostumuksensa suoramarkkinointitarkoituksiin.
Henkilötietoja käsitellään sähköpostiviestien vastaanottajien toimien arvioimiseksi ja seuraamiseksi, kun sähköpostiviesti on lähetetty Epassi-palveluiden loppukäyttäjille. Tähän voi sisältyä myös toimia koskevien koontitilastojen tuottamista.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: henkilötietojen käsittely perustuu Epassin oikeutettuun etuun voida seurata sitä, miten sähköpostien vastaanottajat toimivat vastaanottaessaan sähköpostiviestejä Epassilta.
Säilytysaika: Henkilötietoja käsitellään niin kauan kuin loppukäyttäjä pysyy Epassin asiakkaana ja/tai on antanut asianmukaisen suostumuksensa suoramarkkinointitarkoituksiin.
Henkilötietoja käsitellään Epassin palveluiden kehittämiseksi verkkoanalytiikkaa ja evästeitä käyttäen sekä verkkosivustomme hallinnoimiseksi ja käyttäjien pyyntöjen täyttämiseksi.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: henkilötietojen käsittely perustuu rekisteröidyn antamaan suostumukseen.
Säilytysaika: henkilötietoja säilytetään enintään kaksi vuotta.
3.9. Viestintä Epassin työnantaja- ja kauppiasasiakkaiden kanssa
Henkilötietoja käsitellään Epassin työnantaja- ja kauppiasasiakkaiden yhteyshenkilöiden kanssa viestimisen mahdollistamiseksi.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: Henkilötietojen käsittely perustuu Epassin oikeutettuun etuun viestiä Epassin työnantaja- ja kauppiasasiakkaiden yhteyshenkilöiden kanssa.
HubSpot, Inc. vastaa henkilötietojen käsittelystä henkilötietojen käsittelijänä Epassin puolesta.
Säilytysaika: henkilötietoja käsitellään/säilytetään niin kauan kuin työnantaja- tai kauppiasasiakkaan yhteyshenkilö tunnistetaan yritystä edustavaksi yhteyshenkilöksi.
Epassi työnantaja-asiakkaiden yhteyshenkilöiden henkilötietoja voidaan käyttää Epassin ja/tai tämän yhteistyökumppaneiden palveluiden markkinoimiseen.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: Henkilötietoja käsitellään työnantaja-asiakkaan yhteyshenkilön antaman suostumuksen perusteella.
Säilytysaika: Henkilötietoa käsitellään markkinointitarkoituksessa markkinointikampanjan keston ajan ja enintään kaksi (2) vuotta tämän jälkeen tai siihen asti kun rekisteröity peruuttaa tietojen käsittelyä koskevan suostumuksensa.
Henkilötietoja käsitellään Epassin rahoituskumppanin kanssa viestimisen mahdollistamiseksi.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: Henkilötietojen käsittely perustuu Epassin oikeutettuun etuun viestiä Epassin rahoituskumppanien yhteyshenkilöiden kanssa.
Svea Bank AB tai Svea Bank AB, filial i Finland tai Tukirahoitus Oy vastaa henkilötietojen käsittelystä henkilötietojen käsittelijänä Epassin puolesta.
Säilytysaika: Henkilötietoja käsitellään/säilytetään niin kauan kuin rahoituskumppanin yhteyshenkilö tunnistetaan yritystä edustavaksi yhteyshenkilöksi.
Henkilötietoja käsitellään tuotteiden toimittamiseksi Epassin loppukäyttäjille.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: Henkilötietojen käsittely perustuu sopimukseen ja Epassin oikeutettuun etuun viestiä Epassin työnantaja- ja kauppiasasiakkaiden yhteyshenkilöiden kanssa.
Shopify, Inc. vastaa henkilötietojen käsittelystä henkilötietojen käsittelijänä Epassin puolesta.
Säilytysaika: Henkilötietoja käsitellään/säilytetään niin kauan kuin loppukäyttäjä on saman työnantajan palveluksessa tai vuokraa tuotetta työnantajalta tai niin kauan kuin kukin lakisääteinen velvoite edellyttää.
Henkilötietoja käsitellään Epassin työnantaja-asiakkaiden ja loppukäyttäjien tukiasioiden hallinnoimiseksi sekä puhelintuen tarjoamiseksi.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: Henkilötietojen käsittely perustuu Epassin oikeutettuun etuun hallinnoida tukiasioita.
Suomessa sijaitseva Vakka-Suomen Puhelin Oy hoitaa henkilötietojen käsittelijänä osan tukiasioista (yleinen puhelintuki), joka nauhoittaa ja tallentaa puhelut esim. varmistaakseen puhelun sisällön riita-asioissa. Lisätietoja tiedonsiirrosta on kohdassa 6.
Säilytysaika: henkilötietoja säilytetään vain niin kauan kuin on tarpeen sen tarkoituksen täyttämiseksi, jota varten henkilötiedot on kerätty, ja sen jälkeen enintään kaksi vuotta.
Henkilötietoja käsitellään lakisääteisten velvoitteidemme, kuten kirjanpito- tai verolainsäädäntöön liittyvien velvoitteidemme, täyttämiseksi.
Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:
Oikeusperuste: henkilötietojen käsittely perustuu lakisääteiseen velvoitteeseen.
Säilytysaika: Henkilötietoja säilytetään niin kauan kuin kukin lakisääteinen velvoite edellyttää. Suomen kirjanpitolaki esimerkiksi velvoittaa säilyttämään kirjanpidon tukiaineistoa koskevat tiedot vähintään kuusi vuotta tilikauden päättymisen jälkeen. Ruotsissa vastaava säilytysvelvoite on seitsemän vuotta tilikauden päättymisen jälkeen.
Oikeutettuun etuun perustuvien käsittelytoimien osalta olemme huolellisesti punninneet oikeutetun etumme painoarvoa suhteessa rekisteröityjen yksityisyyttä koskevaan oikeuteen ja tulleet siihen tulokseen, että etumme syrjäyttää rekisteröityjen oikeudet ja vapaudet.
Jos käsittely on sellaista, että se sovellettavan lainsäädännön mukaan edellyttää suostumusta, ilmoitamme sen ja pyydämme suostumuksen, jolloin tämä on käsittelyn oikeusperuste. Sinulla on kuitenkin oikeus peruuttaa antamasi suostumus milloin tahansa ilman, että se vaikuttaa ennen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Mikäli peruuttaminen tarkoittaa, että emme pysty tarjoamaan enää palveluitamme, voimme lopettaa palveluiden tarjoamisen.
Henkilötiedot kerätään pääasiassa suoraan rekisteröidyiltä, esimerkiksi palveluihimme rekisteröitymisen ja niiden käytön yhteydessä tai asiakassuhteen aikana.
Henkilötietoja voidaan myös kerätä loppukäyttäjien työnantajalta niiden palveluiden yhteydessä, jotka työnantaja ja Epassi tarjoavat loppukäyttäjälle. Tällöin tietoja kerätään, jotta loppuasiakas saadaan rekisteröityä Epassin kuluttaja-asiakkaaksi ja jotta loppuasiakkaalle saadaan luotua henkilökohtainen tili Epassi-palveluun.
Henkilötietoja voidaan myös kerätä automaattisesi rekisteröidyn käyttäessä palveluitamme esimerkiksi loppukäyttäjäpalveluidemme käytön tai verkkosivustollamme vierailun yhteydessä.
Rekisteröidyn luvalla tietoja voidaan myös kerätä muilla tavoilla markkinoinnin yhteydessä.
Henkilötietoja voidaan päivittää ja täydentää yksityisistä ja julkisista lähteistä kerättävillä tiedoilla.
Palveluidemme yhteydessä kerättäviä henkilötietoja säilytetään tässä tietosuojakäytännössä määritellyn ja lain vaatiman ajan, ellei kyseisiä tietoja korvata säännöllisillä päivityksillä tai muutoin. Käsittelytyypistä riippuen säilytysajat vaihtelevat merkittävästi.
Arvioimme henkilötietojen tarpeellisuuden ja täsmällisyyden säännöllisesti ja pyrimme varmistamaan, että virheelliset ja tarpeettomat henkilötiedot korjataan tai poistetaan.
Yksityiskohtaiset säilytysajat on saatavissa pyynnöstä.
Henkilötietoja voidaan tarvittaessa luovuttaa tässä tietosuojakäytännössä mainittuja tarkoituksia varten viranomaisille, muille samaan Epassin yritysryhmään kuuluville yhtiöille ja valituille kolmansille osapuolille, kuten kolmannen osapuolen palveluntarjoajille (esimerkiksi IT-toimittajillemme ja markkinointia puolestamme hoitaville mainostoimistoille). Tällaisissa tapauksissa henkilötietoja luovutetaan ainoastaan edellä määriteltyjä tarkoituksia varten. Lisäksi kaikki tietojenluovutukset rajoittuvat aina kyseessä olevien tarkoitusten kannalta ehdottoman tarpeellisiin henkilötietoihin. Emme myy tai muutoin luovuta henkilötietoja Epassin ulkopuolisille kolmansille osapuolille kyseisten kolmansien osapuolten omia tarkoituksia varten.
Henkilötietoja luovutetaan säännöllisesti seuraaville kolmansille osapuolille sovittujen palveluiden tarjoamiseksi:
Epassi voi lisäksi jakaa henkilötietoja mahdollisen fuusion, omaisuuseriemme myynnin tai koko liiketoimintamme tai sen osan rahoituksen tai kaupan yhteydessä ja muiden vastaavien järjestelyjen yhteydessä.
Henkilötietoja luovutetaan kolmansille osapuolille myös, jos jokin sovellettava laki tai sääntely tai toimivaltaisen viranomaisen antama määräys niin edellyttää, ja mahdollisen tuotteiden tai palveluiden loukkaavan käytön tutkimiseksi sekä Epassin tuotteiden ja palveluiden turvallisuuden ja käytettävyyden takaamiseksi.
Jotta Epassi voi tarjota sovitut palvelut, myös seuraavat Epassin henkilötietojen käsittelijät käsittelevät henkilötietoja. Luettelo henkilötietojen käsittelijöistä ja muista tietojen vastaanottajista:
Osa Epassin henkilötietojen käsittelyyn käyttämistä palveluista voi toimia Euroopan unionin (EU) tai Euroopan talousalueen (ETA) ulkopuolella. Tästä syystä henkilötietoja voidaan siirtää Euroopan unionin ja Euroopan talousalueen ulkopuolelle. Mikäli henkilötietoja siirretään EU:n/ETA:n ulkopuolelle, kyseiset tiedonsiirrot tehdään joko maahan, jonka Euroopan komissio on katsonut pystyvän tarjoamaan riittävän tasoista tietosuojaa, tai suoritetaan käyttäen Euroopan komission tai toimivaltaisen tietosuojaviranomaisen hyväksymiä asianmukaisia suojatoimia. Tällaisia asiamukaisia suojatoimia ovat esimerkiksi hyväksytyt vakiosopimuslausekkeet, mukaan lukien mahdolliset lisäsuojatoimet, kun niiden katsotaan olevan tarpeellisia, tai muut Euroopan komission tai toimivaltaisen tietosuojaviranomaisen hyväksymät tavat yleisen tietosuoja-asetuksen mukaisesti.
Seuraavat vastaanottajat voivat siirtää henkilötietoja EU:n/ETA:n ulkopuolelle:
Henkilötietojen luottamuksellisuuden, eheyden ja saatavuuden turvaaminen on Epassille tärkeää. Epassin turvallisuudenhallintajärjestelmä perustuu lakien, määräysten, sopimusten ja tiettyjen standardien (kuten ISO 27001) vaatimuksiin. Turvallisuudenhallintajärjestelmä koostuu asianmukaisista teknisistä, hallinnollisista ja organisatorisista turvatoimenpiteistä, joilla henkilötietoja suojataan luvattomalta pääsyltä, luovuttamiselta, tuhoamiselta ja käsittelyltä.
Hallinnolliset ja organisatoriset toimenpiteet:
Tekniset toimenpiteet:
Kun otamme kuitenkin huomioon uhat nykypäivän verkkoympäristössä, emme voi täysin taata sitä, että turvatoimenpiteemme estävät laittomasti ja haitallisesti toimivia kolmansia osapuolia pääsemästä henkilötietoihin taikka henkilötietojen absoluuttista turvallisuutta, kun niitä siirretään tai tallennetaan järjestelmiimme.
Kaikkia henkilötietoja käsitteleviä osapuolia sitoo salassapitovelvollisuus henkilötietojen käsittelyyn liittyvissä asioissa. Pääsy henkilötietoihin on rajoitettu työntekijöihin, joilla on tehtäviinsä liittyvä tarve saada pääsy niihin. Vaadimme myös palveluntarjoajiltamme asianmukaisia menetelmiä henkilötietojen suojaamiseksi.
Epassin verkkosivustolla käytetään evästeitä.
Eväste on pieni tietoa sisältävä tekstitiedosto, joka tallentuu tietokoneellesi. Evästeitä käytetään tavallisesti verkkosivuston käyttäjäkokemuksen parantamiseksi. Evästeitä on kahta tyyppiä:
Ensimmäinen tyyppi tallentaa vierailijan tietokoneelle pysyvän tiedoston. Tiedostoa käytetään esimerkiksi helpottamaan verkkosivuston käyttöä mieltymystesi ja kiinnostuksen kohteidesi mukaan.
Toista tyyppiä kutsutaan istuntokohtaiseksi evästeeksi. Se tallentuu väliaikaisesti vierailijan tietokoneen muistiin vierailijan ollessa verkkosivustolla. Istuntokohtaiset evästeet poistuvat, kun suljet selaimen. Sinusta ei tallenneta henkilökohtaisia tietoja, kuten sähköpostiosoitettasi tai nimeäsi.
Verkkosivustollamme käytetään kumpaakin evästetyyppiä. Kun vierailet sivustolla, tietokoneesi ja verkkopalvelimemme välillä lähetetään istuntoeväste, joka muun muassa helpottaa liikkumistasi sivustolla. Istuntokohtaisia evästeitä käytetään myös käyttäessäsi verkkopalvelujamme. Eväste poistuu istunnon päättyessä.
Verkkosivustomme kerää myös anonyymia tietoa Google Analyticsin avulla palvelun kehittämistä varten.
Epassi ei käytä yleisen tietosuoja-asetuksen 22 artiklan mukaista automaattista päätöksentekoa tai profilointia.
Rekisteröidyillä on sovellettavan tietosuojalainsäädännön nojalla tiettyjä henkilötietojen käsittelyyn liittyviä oikeuksia.
Oikeus saada pääsy tietoihin ja oikeus tarkastaa tiedot
Rekisteröidyllä on oikeus saada vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä.
Rekisteröidyllä on oikeus tarkastaa ja nähdä häntä koskevat tiedot ja saada ne pyynnöstä kirjallisessa tai sähköisessä muodossa. Tätä sovelletaan tietoihin, jotka rekisteröity on antanut Epassille siltä osin kuin käsittely perustuu sopimukseen tai suostumukseen.
Tämän oikeuden käyttäminen on yleisesti maksutonta.
Oikeus tietojen oikaisemiseen ja oikeus tietojen poistamiseen
Rekisteröidyillä on oikeus vaatia heitä koskevien virheellisten henkilötietojen oikaisemista ja puutteellisten henkilötietojen täydentämistä.
Rekisteröidyllä on oikeus vaatia Epassia poistamaan rekisteröidyn henkilötiedot tai lopettamaan niiden käsittelyn esimerkiksi silloin, kun tiedot eivät enää ole tarpeen käsittelytarkoituksiin. On kuitenkin syytä huomata, että tietyt henkilötiedot ovat ehdottoman välttämättömiä tässä tietosuojakäytännössä määriteltyjen tarkoitusten täyttämiseksi. Lisäksi sovellettavat lait voivat edellyttää niiden säilyttämistä.
Oikeus siirtää tiedot järjestelmästä toiseen
Rekisteröidyllä on oikeus saada Epassille toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä oikeus halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Oikeutta siirtää tiedot järjestelmästä toiseen sovelletaan suostumukseen tai sopimukseen perustuvaan henkilötietojen käsittelyyn.
Oikeus käsittelyn rajoittamiseen
Rekisteröidyllä on tietosuojalainsäädännön määrittämien edellytysten mukaisesti oikeus pyytää henkilötietojensa käsittelyn rajoittamista. Tilanteissa, jossa virheelliseksi epäiltyä henkilötietoa ei voida korjata tai poistaa taikka poistopyynnöstä on epäselvyyttä, Epassi rajoittaa tietoihin pääsyä.
Oikeus vastustaa henkilötietojen käsittelyä
Rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä, jos käsittelyn oikeudellisena perusteena ovat Epassin oikeutetut edut. Rekisteröity voi vastustaa henkilötietojensa käyttöä markkinointitarkoituksiin.
Oikeus peruuttaa suostumus
Jos henkilötietojen käsittely perustuu rekisteröidyn antamaan suostumukseen, rekisteröidyllä on oikeus peruuttaa antamansa suostumus milloin tahansa.
Oikeus tehdä valitus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle tietosuojaviranomaiselle, mikäli rekisteröity katsoo, että hänen henkilötietojaan on käsitelty voimassa olevan lainsääsäädännön vastaisesti.
Pyydämme kuitenkin, että asiat pyritään ratkaisemaan ensin suoraan Epassin kanssa.
Suomessa asiaankuuluva viranomainen on tietosuojavaltuutettu (http://www.tietosuoja.fi)
Ruotsissa asiaankuuluva viranomainen on Ruotsin tietosuojaviranomainen (https://www.imy.se/).
Oikeuksien käyttäminen
Rekisteröityjen oikeuksia koskevat pyynnöt tulisi tehdä kirjallisessa tai sähköisessä muodossa ja osoittaa rekisterinpitäjänä toimivalle Epassille.
Henkilöllisyys tarkistetaan ennen tietojen luovuttamista, mistä syystä saatamme pyytää lisätietoja. Pyyntöön vastataan kohtuullisen ajan kuluessa ja mahdollisuuksien mukaan yhden kuukauden kuluessa pyynnöstä ja henkilöllisyyden todentamisesta.
Mikäli rekisteröidyn pyyntöä ei voida täyttää, kieltäytyminen on annettava kirjallisesti tiedoksi rekisteröidylle. Epassi voi kieltäytyä pyynnöstä (kuten tietojen poistamisesta) yhtiön lakisääteisen velvoitteen tai oikeuden, kuten palveluihimme liittyvän velvoitteen tai vaateen, perusteella. On huomattava, että Epassi voi periä kohtuullisen maksun, jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti.
Rekisteröity voi käyttää edellä mainittuja oikeuksia lähettämällä kirjallisen pyynnön sähköpostitse tai kirjeitse käyttäen tässä tietosuojakäytännössä annettuja yhteystietoja. Pyyntöön on sisällytettävä mukaan seuraavat tiedot: nimi, puhelinnumero, sähköpostiosoite, käyttäjätunnus ja tiedot käytetyistä tuotteista tai palveluista.
Ota meihin yhteyttä, jos sinulla on kysyttävää tietosuojakäytännöistämme tai haluat käyttää oikeuksiasi.
Epassi voi tehdä muutoksia tähän tietosuojakäytäntöön milloin tahansa ilmoittamalla siitä verkkosivustollaan ja/tai muilla soveltuvilla tavoilla. Rekisteröityjen on erittäin suositeltavaa tarkastaa verkkosivustollamme oleva tietosuojakäytäntö säännöllisin väliajoin.
Jos rekisteröity vastustaa mitä tahansa tämän tietosuojakäytännön muutosta, rekisteröidyn on lopetettava palvelujen käyttö tarvittaessa, ja hän voi pyytää meitä poistamaan henkilötiedot, ellei sovellettava laki vaadi meitä säilyttämään tällaisia henkilötietoja. Ellei toisin mainita, nykyinen tietosuojakäytäntö koskee kaikkia käsittelemiämme henkilötietoja.
Tämä tietosuojakäytäntö on julkaistu 21.10.2021 (versio 1.0).
Versiohistoria
Versionumero |
Muutoksen kuvaus |
Päiväys |
1.0 |
Asiakirja luotu |
|
2.0 |
Asiakirja päivitetty |
25.2.2022 |
2.1 |
Asiakirja päivitetty |
17.3.2022 |
2.2 |
Asiakirja päivitetty (EpassiBIKE) |
21.6.2022 |
2.3 |
Asiakirja päivitetty |
3.5.2023 |
2.4 |
Asiakirja päivitetty |
21.11.2023 |
2.5 |
Asiakirja päivitetty |
19.12.2023 |
2.6 |
Asiakirja päivitetty |
15.3.2024 |
2.7 |
Asiakirja päivitetty |
12.9.2024 |
Epassi Finland Oy, Epassi Sweden AB and Epassi Clearing Oy (together ”Epassi”, “we” or “us”) respects your privacy and is dedicated to protecting the privacy of persons using Epassi’s services. This privacy policy describes how Epassi processes personal data; e.g. what kinds of personal data we collect, for which purposes the personal data is used and to which parties the personal data can be disclosed.
This privacy policy applies to users of Epassi’s services, including users of Epassi’s end-user services and our websites as well as when we communicate about our services or for customer relationship management reasons. In addition, this privacy policy also applies to our employer customers’ contact persons, potential employer customers’ contact persons and merchant customers’ contact persons.
Personal data refers to any information relating to a natural person (“data subject”) that can identify him/her directly or indirectly. Personal data, data subject, controller and other key terms are defined in the General Data Protection Regulation (2016/679, “GDPR”). Epassi complies with the GDPR in all processing of personal data in conjunction with other applicable national data protection legislation (“data protection legislation”).
Our services may also contain links to external websites and services operated by other organizations that we do not manage. This privacy policy is not applicable to their use, so we encourage you to review the privacy policies that apply to them. We are not responsible for the privacy policies of other websites or external services.
Joint controller: Epassi Finland Oy
Business ID: 3220764-7
Address: Porkkalankatu 22 A, 00180 Helsinki, Finland
Email: dataprivacy@epassi.com
Joint controller representative: Mikael Nordenswan
Joint controller: Epassi Sweden AB
Business ID: 556617-0030
Address: Storgatan 31, 461 30 Trollhättan, Sweden
Email: dataprivacy@epassi.com
Joint controller representative: Mikael Nordenswan
Joint controller: Epassi Clearing Oy
Business ID: 2872241-9
Address: Porkkalankatu 22 A, 00180 Helsinki, Finland
Email: dataprivacy@epassi.com
Joint controller representative: Mikael Nordenswan
Epassi collects only such personal data that is relevant and necessary for the purposes described in this privacy policy. The personal data is subject to periodic updates, as required by mandatory law. The personal data is processed fully separately from other Epassi systems and is not connected to other processing purposes.
Personal data will be processed for the following purposes:
The personal data is processed in order to carry out the end-users’ KYC (Know Your Customer) process so that Epassi is able to identify end-users according to its legal obligation and provide end-user services.
The personal data we process within the scope of this purpose include:
The personal data required for authenticating the end-user is processed by Telia Finland Oyj on behalf of Epassi.
Legal basis: The processing of personal data is based on a legal obligation.
Retention period: Personal data is stored for as long as the end-user uses the Epassi services and maximum period of five years thereafter, and even after such a period in case any open inquiries relating to the end-user exist or required by the mandatory national legislation.
The personal data is processed in order to collect and store the KYC (Know Your Customer) information and the risk categories of the Epassi’s merchant customers to comply with our legal obligations.
The personal data we process within the scope of this purpose include:
The data is processed by Visma Solutions Oy as a processor on behalf of Epassi.
Legal basis: The processing of personal data is based on a legal obligation.
Retention period: Personal data is stored for as long as the end-user uses the Epassi services and maximum period of five years thereafter, and even after such a period in case any open inquiries relating to the consumer exist or required by the mandatory legislation.
The personal data is processed for the distribution, use, maintenance, and development of Epassi specific and general payment instruments, financial data, application usage data and other tech solution back-end data.
The personal data we process within the scope of this purpose include:
Legal basis: The processing of personal data is based on valid and legal contract relationship when distributing and using services, and in other respects, the processing is based on Epassi’s legitimate interest to maintain and develop such services, both toward its employer customers and end-users (consumer customers). The processing of the personal identification code is based on the applicable legislation, or the consent given by the data subject.
Retention period: Personal data is stored for as long as the end-user uses the Epassi services and thereafter for a maximum period of two years. Personal data processed and retained for transactional and financial information is stored for 10 years from date of creation as required by mandatory law. The storing may continue based on reasons presented in Section 3.1 and 3.2 for even longer periods of time.
The personal data is processed in order to report to Epassi’s employer customer of benefit usage in relation to allocated benefit. The processing is necessary in order to inform the employer customers of the use of employment benefits for payroll purposes, conclude salary deductions as well as for taxation and invoicing purpose. The personal data can also be processed and shared with employer customers to investigate fraud or misuse of benefits (or suspected cases thereof).
The personal data we process within the scope of this purpose include:
Legal basis: The processing of personal data is based on a contract. The processing of personal data is based on a legal obligation (fraud/misuse).
Retention period: Personal data is stored for as long as the end-user uses the Epassi services or as required by law in relation to fraud/misuse (10 years transaction history).
The personal data is processed in order to store the end-users’ transactional history to establish or defend legal claims, if necessary.
The personal data we process within the scope of this purpose include:
Legal basis: The processing of personal data is based on Epassi’s legitimate interest to store transaction history in order to establish or defend legal claims.
Retention period: Personal data is stored for a period necessary in order to establish, exercise or defend legal claims. For transactional and financial information, the storing period is at least 10 years as required by mandatory law.
The personal data we process within the scope of this purpose include:
Legal basis: The processing of personal data is based on Epassi’s legitimate interest to promote Epassi’s products and/or services to the users. The processing of personal data is also based on the consent given by the data subject in relation to direct marketing in order to provide targeted marketing and advertising, as well as to provide marketing of third parties’ products or services. The data subject has the right to refuse personal data being used for direct marketing and may at any time recall prior consent.
The electronic user communications (as delivered via email) are conducted through APSIS and Apsis International AB acts as the processor. More information on data transfers in Section 6.
Retention period: Personal data is processed as long as the end-user remains a customer of Epassi and/or has accepted the relevant marketing opt-ins for direct marketing purposes.
The personal data is processed in order to evaluate and follow-up the email recipients’ actions when the email has been sent to the end-users of the Epassi services. This might also include generating aggregated statistics regarding the actions.
The personal data we process within the scope of this purpose include:
Legal basis: The processing of personal data is based on Epassi’s legitimate interest to be able to follow up on how the recipients of e-mail act when receiving e-mails from Epassi.
Retention period: Personal data is processed as long as the end-user remains a customer of Epassi and/or has accepted the relevant marketing opt-ins for direct marketing purposes.
The personal data is processed in order to develop Epassi’s services using web analytics and cookies as well as to administrate our website and fulfill user requests.
The personal data we process within the scope of this purpose include:
Legal basis: The processing of personal data is based on the consent given by the data subject.
Retention period: Personal data is stored for a maximum period of two years.
The personal data is processed in order to communicate with the Epassi’s employer and merchant customers’ contact persons.
The personal data we process within the scope of this purpose include:
Legal basis: The processing of personal data is based on Epassi’s legitimate interest to communicate with Epassi’s employer and merchant customers’ contact persons.
The personal data is processed by HubSpot, Inc. as a processor on behalf of Epassi.
Retention period: Personal data is processed/stored for as long as the employer or merchant customer’s contact person is identified as the contact person representing the company.
Legal basis: The processing of personal data is based on consent by the contact person of Epassi’s employer customer. Retention period: Personal data is processed/stored for marketing purposes during the marketing capaign and two (2) years after the campaign or until the contact person withdraws his/her consent.
The personal data is processed in order to communicate with the Epassi’s financing partner.
The personal data we process within the scope of this purpose include:
Legal basis: The processing of personal data is based on Epassi’s legitimate interest to communicate with Epassi’s financing partners’ contact persons.
The personal data is processed by Tukirahoitus Oy, Svea Bank AB or Svea Bank AB, filial i Finland or Tukirahoitus Oy as a processor on behalf of Epassi.
Retention period: Personal data is processed/stored for as long as the financing partner’s contact person is identified as the contact person representing the company.
3.12. Product deliveries
The personal data is processed in order to deliver products to Epassi’s end-users.
The personal data we process within the scope of this purpose include:
Legal basis: The processing of personal data is based on a contract and on Epassi’s legitimate interest to communicate with Epassi’s employer and merchant customers’ contact persons.
The personal data is processed by Shopify, Inc. as a processor on behalf of Epassi.
Retention period: Personal data is processed/stored for as long as the end-user is employed by the same employer, is leasing a product from an employer, or as long as a certain legal obligation requires.
3.13. Support Matters
The personal data is processed in order to administrate the support matters for Epassi’s employer customers and end-users as well as to provide phone line support.
The personal data we process within the scope of this purpose include:
Legal basis: The processing of personal data is based on Epassi’s legitimate interest to administrate the support matters.
Some of the support matters (first-instance phone line support) are conducted through Vakka-Suomen Puhelin Oy in Finland as the processor whereby calls are recorded and stored to e.g., validate contents of a call in the event of a dispute. More information on data transfers in Section 6.
Retention period: Personal data is stored for this purpose only as long as necessary for the purpose it was collected and thereafter for a maximum period of 2 years.
3.14. Complying with legal obligations (accounting, bookkeeping etc.)
The personal data is processed in order to fulfil our legal obligations, such as for example accounting or tax legislation related obligations.
The personal data we process within the scope of this purpose include:
Legal basis: The processing of personal data is based on a legal obligation.
Retention period: Personal data is stored for as long as a certain legal obligation requires. For example, in Finland the Accounting Act imposes an obligation to maintain information on the accounting’s supporting material for 6 years following the end of the financial year. In Sweden, the obligation is 7 years following the end of the financial year.
For processing activities that are based on a legitimate interest, we have carefully balanced such legitimate interest with the data subjects right to privacy and concluded that our interest outweighs the data subjects’ rights and freedoms.
Where the processing is such that a consent is required by the applicable legislation, we will state so and obtain the consent, and this will be the legal basis for the processing. However, you have the right to withdraw that consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal. If such withdrawal means that we are no longer able to provide our services, we may cease to provide the services.
The personal data is mainly collected directly from the data subjects themselves, for example, at the time of registration or use of our services or during a customer relationship.
The personal data can also be collected from the end-user’s employer in relation to services which are provided by the employer and Epassi to the end-user. These are gathered based on the need to contract the end-user as a consumer customer of Epassi and create their personal account at Epassi.
The personal data may also be collected automatically when the data subject uses our services e.g., when using our end-user services and visiting our website.
In addition, and with the permission of the data subject, data may be collected in other ways in a marketing context.
Personal data may be updated and supplemented by collecting data from private and public sources.
Personal data collected in connection with our services shall be retained as long as defined in this privacy policy and as required by the law unless such data is replaced through regular updates or otherwise. The periods vary greatly from one type of processing to another.
We evaluate the necessity and accuracy of the personal data on a regular basis and endeavor to ensure that the incorrect and unnecessary personal data are corrected or deleted.
Detailed retention times can be provided upon requests.
For the purposes stated in this privacy policy, the personal data may be disclosed, when necessary, to authorities, among and to other companies within the same group of companies of Epassi, and to selected third parties, such as third-party service providers (such as our IT vendors and marketing agencies conducting marketing on our behalf etc.). In such case, the personal data will only be disclosed for purposes defined above and any disclosure is always limited to only the strictly necessary personal data included in such purposes. We do not sell or otherwise disclose personal data to any third parties outside Epassi for such third parties’ own purposes.
Regular disclosures of personal data undertaken to third parties in order to provide the agreed services:
In addition, Epassi may share the personal data in connection with any merger, sale of our assets, or a financing or acquisition of all or a portion of our business and in connection with other similar arrangements.
The personal data is also disclosed to third parties if required under any applicable law or regulation or order by competent authorities, and to investigate possible infringing use of the products and services as well as to guarantee the safety and usability of the Epassi products and services.
In order for Epassi to provide the agreed services, personal data is processed also by the following processors of Epassi. List of the processors and other recipients:
Some of the services used by Epassi for processing personal data may operate outside the territory of the European Union (EU) or the European Economic Area (EEA). Thus, personal data can be transferred outside the European Union and the European Economic Area. In case personal data is transferred outside the EU/EEA, such transfers are either made to a country that is deemed to provide a sufficient level of privacy protection by the European Commission or transfers are carried out by using appropriate safeguards such as Standard Contractual Clauses (SCC) adopted, including any supplementary measures, where assessed to be necessary, or otherwise approved by the EU Commission or competent data protection authority in accordance with the GDPR.
The following recipients may transfer personal data outside the EU/ EEA:
Securing the confidentiality, integrity, and availability of personal data is important to Epassi. Epassi's Security Management System is based on the requirements from laws, regulations, contracts and certain standards (such as ISO 27001). Security Management System consists of appropriate technical, administrative, and organizational security measures to protect personal data against unauthorized access, disclosure, destruction, or other unauthorized processing.
Administrative and organizational measures:
Technical measures:
Nevertheless, considering the cyber threats in modern day online environment, we cannot give full guarantee that our security measures will prevent illegally and maliciously operating third parties from obtaining access to personal data or absolute security of the personal data during its transmission or storage on our systems.
All parties processing personal data have a duty of confidentiality in matters related to the processing of personal data. Access to personal data is restricted to those employees and parties who need it to perform their duties. We also require our service providers to have appropriate methods in place to protect personal data.
The Epassi website uses cookies.
A cookie is a small text file that is stored on your computer and contains information. Cookies are normally used to improve the website for you as a visitor. There are two types:
One type saves a file that remains on the visitor's computer. This file is used, for example, to make it easier for you to use the website according to your preferences and interests.
The second type is called session cookie. While a visitor is on a website, it is temporarily stored in the visitor's computer memory. Session cookies disappear when you close your browser. No personal information is stored about you, such as your email address and name.
Our website uses both types. When you visit the site, a session cookie is sent between your computer and our web server to facilitate navigation, among other things. Session cookies are also used when you use our e-services. The cookie disappears when you end your visit.
Our website also uses Google Analytics to collect anonymous data for service development purposes.
Epassi does not use any automated decision-making nor any profiling pursuant to the Article 22 GDPR.
The data subject has certain rights in relation to the processing of personal data under applicable data protection laws.
Right of access and right of inspection
The data subject has the right to obtain confirmation as to whether or not personal data concerning them is being processed.
The data subject has the right to inspect and view data concerning them and, upon a request, the right to obtain the data in a written or electric form. This applies to information that the data subject has provided to Epassi insofar the processing is based on a contract/consent.
Exercising this right is generally free of charge.
Right to rectification and right to erasure
The data subject has the right to demand the rectification of incorrect personal data concerning them and to have incomplete personal data completed.
The data subject has the right to require Epassi to delete or stop processing the data subject’s personal data, for example where the data is no longer necessary for the purposes of processing. However, please note that certain personal data is strictly necessary in order to achieve the purposes defined in this privacy policy and may also be required to be retained by applicable laws.
Right to data portability
The data subject has the right to receive the personal data that he or she has provided to Epassi in a structured, commonly used, and machine-readable format and, if desired, transmit that data to another controller. The right to data portability applies on the processing of the personal data based on consent or a contract.
Right to restriction of processing
The data subject has the right, under conditions defined by data protection legislation, to request the restriction of processing of his or her personal data. In situations where personal data suspected to be incorrect cannot be corrected or removed, or if the removal request is unclear, Epassi will limit the access to such data.
Right to object to processing
The data subject has the right to object to the processing of your personal data where Epassi is relying on its legitimate interests as the legal ground for processing. For example, the data subject may object to his or her personal data being used for marketing purposes.
Right to withdraw consent
In cases where the processing is based on the data subjects’ consent, the data subject has the right to withdraw his or her consent to such processing at any time.
Right to lodge a complaint with a supervisory authority
The data subject has the right to lodge a complaint with a competent data protection authority if the data subject considers that the processing of personal data relating to the data subject infringes current legislation.
However, we request that the matter will be dealt with Epassi in the first instance.
The relevant authority in Finland is the Data Protection Ombudsman (http://www.tietosuoja.fi)
In Sweden relevant authority is Swedish Data Protection Authority (https://www.imy.se/).
Exercising rights
Requests regarding the rights of data subjects shall be made in written or in electronic form, and the request shall be addressed to the controller, Epassi.
Identity will be checked before the information is given out, which is why we may have to ask for additional details. The request will be responded to within a reasonable time and, where possible, within one month of the request and the verification of identity.
If the data subject’s request cannot be met, the refusal shall be communicated to the data subject in writing. Epassi may refuse the request (for example erasure of data) due to a statutory obligation or a statutory right of the company, such as an obligation or a claim relating to our services. Please note that Epassi may charge a reasonable fee where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character.
The data subject may exercise the aforementioned rights by sending a written request by email or mail using the contact information provided in this privacy policy, including the following information: name, phone number, email address, user id and details of the products and services you have used.
If you have any questions relating to our data protection policies or wish to exercise your rights, please do not hesitate to contact us.
12. CHANGES TO THIS PRIVACY POLICY
Epassi may make changes to this privacy policy at any time by giving a notice on the website and/or by other applicable means. The data subjects are highly recommended to review the privacy policy on our website every now and then.
If the data subject objects to any of the changes to this privacy policy, the data subject should cease using the services, where applicable, and he/she can request that we remove the personal data, unless applicable laws require us to retain such personal data. Unless stated otherwise, the then-current privacy policy applies to all personal data we process at the time.
This privacy policy has been published on 21.10.2021, version 1.0
Version history
Version number |
Change description |
Date |
1.0 |
Document created |
|
2.0 |
Document updated |
25.2.2022 |
2.1 |
Document updated |
17.3.2022 |
2.2 |
Document updated (EpassiBIKE) |
21.6.2022 |
2.3 |
Document updated |
3.5.2023 |
2.4 |
Document updated |
21.11.2023 |
2.5 |
Document updated |
19.12.2023 |
2.6 |
Document updated |
15.3.2024 |
2.7 |
Document updated |
12.9.2024 |
Epassi Finland Oy, Epassi Sweden AB och ePassi Clearing Oy
Epassi Finland Oy, Epassi Sweden AB och Epassi Clearing Oy (tillsammans "Epassi", "vi" eller "oss") respekterar din integritet och är tillägnat att skydda integriteten för personer som använder Epassis tjänster. Denna sekretesspolicy beskriver hur Epassi behandlar personuppgifter; t.ex. vilka typer av personuppgifter vi samlar in, för vilka ändamål personuppgifterna används och till vilka parter personuppgifterna kan lämnas ut.
Denna integritetspolicy gäller användare av Epassi-tjänsterna, inklusive användare av Epassis slutanvändartjänster och våra webbplatser samt när vi kommunicerar om våra tjänster eller i vår kundrelationshantering. Dessutom gäller denna integritetspolicy även för våra arbetsgivarkunders kontaktpersoner, potentiella arbetsgivarkunders kontaktpersoner och leverantörers kontaktpersoner.
Personuppgifter avser information som rör en fysisk person (”registrerad person”) som kan identifiera honom/henne direkt eller indirekt. Personuppgifter, registrerad person, personuppgiftsansvarig och andra viktiga termer definieras i den allmänna dataskyddsförordningen (2016/679, ”GDPR”). Epassi efterlever GDPR i all personuppgiftsbehandling i tillsammans med annan tillämplig nationell dataskyddslagstiftning (”dataskyddslagstiftning”).
Våra tjänster kan också innehålla länkar till externa webbplatser och tjänster som drivs av andra organisationer som vi inte styr. Denna integritetspolicy är inte tillämplig för deras användning, så vi uppmuntrar dig att granska de integritetspolicyer som gäller för dem. Vi ansvarar inte för integritetspolicyer för andra webbplatser eller externa tjänster.
2. DELAT PERSONUPPGIFTSANSVARIGA OCH KONTAKTUPPGIFTER
Gemensam controller: Epassi Finland Oy
Företagsnummer: 3220764-7
Adress: Porkalagatan 22 A, 00180 Helsingfors, Finland
E-post: dataprivacy@epassi.com
Representant för delat personuppgiftsansvarig: Mikael Nordenswan
Gemensam controller: Epassi Sweden AB
Företagsnummer: 556617-0030
Adress: Storgatan 31, 461 30 Trollhättan, Sverige
E-post: dataprivacy@epassi.com
Representant för delat personuppgiftsansvarig: Mikael Nordenswan
Gemensam controller: Epassi Clearing Oy
Företagsnummer: 2872241-9
Adress: Porkalagatan 22 A, 00180 Helsingfors, Finland
E-post: dataprivacy@epassi.com
Representant för delat personuppgiftsansvarig: Mikael Nordenswan
Epassi samlar endast in sådana personuppgifter som är relevanta och nödvändiga för de ändamål som beskrivs i denna integritetspolicy. Personuppgifterna är föremål för regelbundna uppdateringar, i enlighet med gällande lag. Personuppgifterna behandlas helt separat från andra Epassi-system och är inte kopplade till andra behandlingssyften.
Personuppgifter kommer att behandlas i följande syften:
Personuppgifterna behandlas i syfte att utföra slutanvändarnas KYC-process (Know Your Customer) så att Epassi kan identifiera slutanvändare i enlighet med lagstadgade skyldigheter och tillhandahålla slutanvändartjänster.
De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:
De personuppgifter som krävs för att autentisera slutanvändare behandlas av Telia Finland Oyj för Epassis räkning.
Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.
Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassis tjänster och högst fem år därefter, och även efter denna period ifall det finns öppna förfrågningar om slutanvändaren, eller om det krävs enligt den obligatoriska nationella lagstiftningen.
Personuppgifterna behandlas för att samla in och lagra KYC-informationen (Know Your Customer) och riskkategorierna för Epassis leverantörkunder för att uppfylla våra juridiska skyldigheter.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Uppgifterna behandlas av Visma Solutions Oy som personuppgiftsansvarig för Epassis räkning.
Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.
Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och högst fem år därefter, och även efter en sådan period om det finns öppna förfrågningar som rör konsumenten eller krävs i enlighet med tillämplig lagstiftning.
3.3. Epassi-produkt och systemdata
Personuppgifter hanteras för distribution, användning, underhåll och utveckling av Epassi-specifika och allmänna betalningsinstrument, finansiella uppgifter, applikationsanvändning och andra tekniska lösningars back-end-data.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter bygger på ett giltigt och rättsligt avtalsförhållande vid distribution och användning av tjänster, och i andra avseenden är behandlingen baserad på Epassis berättigade intresse att upprätthålla och utveckla sådana tjänster, både gentemot sina arbetsgivarkunder och slutanvändare (konsumentkunder). Behandlingen av den personnumret baseras på tillämplig lagstiftning eller samtycke från den registrerade personen.
Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och därefter i högst två år. Personuppgifter som behandlas och lagras för transaktions- och finansiell information lagras i tio år från datumet för skapandet i enlighet med tillämplig lag. Lagringen kan fortsätta under ännu längre perioder utifrån skäl som presenteras i avsnitt 3.1 och 3.2.
Personuppgifter behandlas för att Epassis-arbetsgivarkunder ska kunna få rapporter om förmånsanvändningen i förhållande till tilldelade förmåner. Behandlingen är nödvändig för att informera arbetsgivarkunderna om användningen av anställningsförmåner i lönerelaterade syften, för att genomföra löneavdrag samt för beskattning och fakturering. Personuppgifter behandlas och delas även med Epassis-arbetsgivarkunder för att undersöka fall av bedrägeri eller missbruk (eller misstänkta fall).
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter bygger på ett avtal. Behandlingen av personuppgifter bygger på lag (bedrägeri/missbruk).
Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna. eller enligt lagkrav i fall av bedrägeri/missbruk (10 års transaktionsdata).
Personuppgifter behandlas för att lagra slutanvändarnas transaktionshistorik för att vid behov fastställa eller försvara rättsliga anspråk.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis legitima intresse av att lagra transaktionshistorik för att kunna fastställa eller försvara rättsliga anspråk.
Lagringstid: Personuppgifter lagras under den period som är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk. För transaktions- och finansinformation är lagringstiden minst 10 år i enlighet med tillämplig lag.
3.6. Användarkommunikation och marknadsföring
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis berättigade intresse av att marknadsföra Epassi:s produkter och/eller tjänster till användarna. Behandlingen av personuppgifter grundar sig också på den registrerades samtycke till direktmarknadsföring för riktad marknadsföring och reklam samt marknadsföring av tredje parts produkter eller tjänster. Den registrerade har rätt att vägra att personuppgifter används för direktmarknadsföring och kan när som helst återkalla sitt samtycke.
Den elektroniska användarkommunikationen (som levereras via e-post) sker via APSIS och Apsis International AB fungerar som personuppgiftsansvarig. Mer information om dataöverföringar finns i avsnitt 6.
Lagringstid: Personuppgifter behandlas så länge slutanvändaren förblir kund hos Epassi och/eller har tillåtit relevanta direktmarknadsföringssyften.
Personuppgifterna behandlas för att utvärdera och följa upp e-postmottagarnas aktiviteter när e-postmeddelandet har skickats till Epassi-tjänsternas slutanvändare. Detta kan också inbegripa att generera sammanställd statistik gällande aktiviteterna.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kunna följa upp hur e-postmottagare agerar när de får e-post från Epassi.
Lagringstid: Personuppgifter behandlas så länge slutanvändaren är kund hos Epassi och/eller har accepterat de relevanta marknadsföringsalternativen för direktmarknadsföring.
Personuppgifterna behandlas för att utveckla Epassis tjänster med hjälp av webbanalys och cookies samt för att administrera vår webbplats och hantera användarförfrågningar.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av den personnumret baseras samtycke från den registrerade personen.
Lagringstid: Personuppgifter lagras i högst två år.
Personuppgifterna behandlas för att kommunicera med Epassis arbetsgivare och kontaktpersoner för leverantörkunder.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kommunicera med Epassis arbetsgivarkunders och leverantörkunders kontaktpersoner.
Personuppgifterna behandlas av HubSpot, Inc. som personuppgiftsansvarig för Epassis räkning.
Lagringstid: Personuppgifter behandlas/lagras så länge som arbetsgivarens eller leverantörkundens kontaktperson är identifierad som kontaktperson som representerar företaget.
Personuppgifterna för kontaktpersonerna för Epassi arbetsgivarkunder kan användas för att marknadsföra Epassi och/eller dess partners tjänster. För att uppfylla detta syfte behandlar vi följande personuppgifter:
Rättslig grund: Personuppgifter behandlas baserat på samtycke från arbetsgivarkundens kontaktperson.
Lagringsperiod: Personuppgifter behandlas för marknadsföringsändamål under den tid marknadsföringskampanjen pågår och högst två (2) år därefter eller tills den registrerade återkallar sitt samtycke till databehandling.
Personuppgifterna behandlas för att kommunicera med Epassis finansieringspartner.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis berättigade intresse av att kommunicera med kontaktpersoner för Epassis finansieringspartner.
Personuppgifterna behandlas av Svea Bank AB eller Svea Bank AB, filial i Finland, eller Tukirahoitus Oy i egenskap av personuppgiftsbiträde för Epassis räkning.
Lagringstid: Personuppgifter behandlas/lagras så länge som finansieringspartnerns kontaktperson är identifierad som kontaktperson som representerar företaget.
Personuppgifterna behandlas för att kunna leverera produkter till Epassis slutanvändare.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter grundar sig på ett avtal och på Epassis berättigade intresse av att kommunicera med Epassis arbetsgivarkunder och kontaktpersoner för leverantörkunder.
Personuppgifterna behandlas av Shopify, Inc. som processor på uppdrag av Epassi.
Lagringstid: Personuppgifter behandlas/lagras så länge slutanvändaren är anställd av samma arbetsgivare, hyr en produkt av en arbetsgivare eller så länge som en viss rättslig skyldighet kräver det.
Personuppgifterna behandlas för att administrera supportärenden för Epassis arbetsgivarkunder och slutanvändare samt för att tillhandahålla telefonsupport.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter baseras på Epassis legitima intresse av att administrera supportärendena.
Vissa supportärenden (telefonsupport i första instans) drivs via Vakka-Suomen Puhelin Oy i Finland som personuppgiftsbiträde där samtalen bandas in och sparas t.ex. för att verifiera innehållet i samtal ifall det råder tvist. Mer information om dataöverföring finns i avsnitt 6.
Kvarhållningsperiod: Personuppgifter lagras endast för detta ändamål så länge som det är nödvändigt för det ändamål för vilket de samlades in och därefter i högst 2 år.
Personuppgifterna behandlas för att uppfylla våra juridiska skyldigheter, till exempel bokförings- eller skattelagsrelaterade skyldigheter.
De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:
Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.
Lagringstid: Personuppgifter lagras så länge som en viss rättslig skyldighet kräver. I Finland är man till exempel enligt bokföringslagen skyldig att bevara information om bokföringsmaterial i sex år efter räkenskapsårets slut. I Sverige är skyldigheten sju år efter räkenskapsårets slut.
När det gäller behandling som grundar sig på ett legitimt intresse har vi noggrant vägt det legitima intresset mot den registrerades rätt till integritet och kommit fram till att vårt intresse väger tyngre än den registrerades rättigheter och friheter.
Om behandlingen är sådan att ett samtycke krävs enligt tillämplig lagstiftning, kommer vi att informera om detta och erhålla samtycket, och detta kommer att vara den rättsliga grunden för behandlingen. Du har dock rätt att när som helst återkalla detta samtycke, utan att det påverkar legitimiteten i den behandling som baserats på samtycket innan det återkallades. Om ett sådant tillbakadragande innebär att vi inte längre kan tillhandahålla våra tjänster kan det hända att vi slutar tillhandahålla tjänsterna.
Personuppgifterna samlas huvudsakligen direkt från de registrerade själva, till exempel vid registrering eller användning av våra tjänster eller i en kundrelation.
Personuppgifterna kan också samlas in från slutanvändarens arbetsgivare i relation till tjänster som tillhandahålls av arbetsgivaren och av Epassi till slutanvändaren. Dessa samlas in baserat på behovet av att ingå avtal med slutanvändaren som konsumentkund hos Epassi och skapa deras personliga konton på Epassi.
Personuppgifterna kan också samlas in automatiskt när den registrerade personen använder våra tjänster, till exempel vid användning av våra slutanvändartjänster och vid besök på vår webbplats.
Dessutom, och med den registrerade personens tillstånd, kan uppgifter samlas in på annat sätt i ett marknadsföringssammanhang.
Personuppgifter kan uppdateras och kompletteras genom att data samlas in från privata och offentliga källor.
Personuppgifter som samlas in i samband med våra tjänster ska bevaras så länge som det definieras i denna integritetspolicy och i enlighet med lagen såvida inte sådan information ersätts genom regelbundna uppdateringar eller på annat sätt. Kvarhållningsperioden varierar stort mellan olika typer av behandling.
Vi utvärderar personuppgiftsbehandlingens nödvändighet och personuppgifternas riktighet regelbundet och försöker se till att felaktiga och onödiga personuppgifter korrigeras eller raderas.
Detaljerade kvarhållningstider kan tillhandahållas på begäran.
I de syften som anges i denna integritetspolicy kan personuppgifter vid behov lämnas ut till myndigheter, bland och till andra företag inom samma Epassi-koncern, och till utvalda tredje parter, till exempel tredjepartsleverantörer av tjänster (som våra IT-leverantörer och marknadsföringsbyråer som genomför marknadsföring för vår räkning etc.). I sådana fall kommer personuppgifterna endast att lämnas ut för de ändamål som definierats ovan och alla tillgängliggöranden är alltid begränsade till endast de absolut nödvändiga personuppgifter som krävs för sådana ändamål. Vi varken säljer eller på annat vis tillgängliggör personuppgifter till tredje part utanför Epassi för sådana tredje parters egna syften.
Regelbundna utlämningar av personuppgifter till tredje part för att tillhandahålla de överenskomna tjänsterna:
Dessutom kanEpassi dela med sig av personuppgifter i samband med fusioner, försäljning av våra tillgångar, finansiering eller förvärv av hela eller en del av vår verksamhet och i samband med andra liknande arrangemang.
Personuppgifterna lämnas också ut till tredje part om så krävs enligt tillämplig lag eller förordning av behöriga myndigheter, och för att undersöka eventuell överträdande användning av produkterna och tjänsterna samt för att garantera Epassis-produkters och tjänsters säkerhet och användbarhet.
För att Epassi ska kunna tillhandahålla de avtalade tjänsterna behandlas personuppgifter också av följande Epassi-personuppgiftsbiträden. Förteckning över processorer och andra mottagare:
Några av de tjänster som används av Epassi för behandling av personuppgifter kan bedrivas utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES). Således kan personuppgifter överföras utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet. Om personuppgifter överförs utanför EU/EES sker sådana överföringar antingen till ett land som anses ge tillräckligt integritetsskydd av EU-kommissionen, eller så utförs överföringar med hjälp av lämpliga skyddsåtgärder såsom implementerade standardavtalsklausuler (Standard Contractual Clauses, SCC), inklusive eventuella kompletterande åtgärder, när detta bedöms vara nödvändigt, eller på annat sätt som godkänns av EU-kommissionen eller behörig dataskyddsmyndighet i enlighet med GDPR.
Följande mottagare kan föra över personuppgifter utanför EU/ EES:
Att skydda personuppgifternas konfidentialitet, integritet och tillgänglighet är viktigt för Epassi. Epassis Security Management System bygger på kraven i lagar, förordningar, avtal och vissa standarder (som till exempel ISO 27001). Security Management System består av lämpliga tekniska, administrativa och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot obehörig åtkomst, tillgängliggörande, förstörelse eller annan obehörig behandling.
Administrativa och organisatoriska åtgärder:
Tekniska åtgärder:
Med tanke på IT-hoten i dagens onlinemiljö kan vi dock inte ge fullständig garanti för att våra säkerhetsåtgärder kommer att förhindra att en tredje part med olagligt och illvilligt uppsåt får tillgång till personuppgifter, eller garantera absolut säkerhet för personuppgifterna vid överföring eller lagring i våra system.
Alla parter som behandlar personuppgifter har tystnadsplikt i frågor som rör behandling av personuppgifter. Åtkomsten till personuppgifter är begränsad till de anställda och parter som behöver dem för att utföra sina arbetsuppgifter. Vi kräver också att våra tjänsteleverantörer har lämpliga metoder på plats för att skydda personuppgifter.
På Epassis webbplats använder cookies.
En cookie är en liten textfil som lagras på din dator och som innehåller information. Cookies används normalt för att förbättra webbplatsen för dig som besökare. Det finns två typer:
Den ena typen sparar en fil som finns kvar på besökarens dator. Denna fil används till exempel för att göra det lättare för dig att använda webbplatsen i enlighet med dina preferenser och intressen.
Den andra typen kallas sessionscookie. När en besökare besöker en webbplats lagras den tillfälligt i besökarens datorminne. Sessionscookies försvinner när du stänger din webbläsare. Ingen personlig information om dig lagras, till exempel din e-postadress och ditt namn.
Vår webbplats använder båda typerna. När du besöker webbplatsen skickas en sessionscookie mellan din dator och vår webbserver för att bland annat underlätta navigeringen. Sessionscookies används också när du använder våra e-tjänster. Cookien försvinner när du avslutar ditt besök.
Vår webbplats använder också Google Analytics för att samla in anonyma uppgifter i syfte att utveckla tjänsterna.
Epassi använder inte automatiserat beslutsfattande eller profilering i enlighet med artikel 22 i GDPR.
Den registrerade personen har vissa rättigheter i samband med behandling av personuppgifter i enlighet med tillämpliga dataskyddslagar.
Rätt till åtkomst och rätt till inspektion
Den registrerade personen har rätt att få bekräftelse på huruvida personuppgifter som rör hen behandlas eller inte.
Den registrerade personen har rätt att inspektera och ta del av uppgifter om hen och, på begäran, rätt att få uppgifterna levererade i skriftlig eller elektronisk form. Detta gäller information som den registrerade personen har lämnat ut till Epassi i den mån behandlingen är baserad på ett avtal/samtycke.
Att utöva denna rättighet är i allmänhet kostnadsfritt.
Rätt till korrigering och rätt till borttagning
Den registrerade personen har rätt att kräva korrigering av felaktiga personuppgifter som rör hen och rätt att få ofullständiga personuppgifter kompletterade.
Den registrerade personen har rätt att kräva att Epassi raderar eller avslutar behandlingen av den registrerades personens personuppgifter, till exempel när uppgifterna inte längre är nödvändiga för behandlingens ändamål. Observera dock att vissa personuppgifter är absolut nödvändiga för att uppnå de ändamål som definieras i denna integritetspolicy och också kan behöva kvarhållas i enlighet med tillämpliga lagar.
Rätt till dataportabilitet
Den registrerade personen har rätt att ta emot de personuppgifter som hen har lämnat ut till Epassi i ett strukturerat, vanligen använt och maskinläsbart format och, om så önskas, överföra dessa uppgifter till en annan personuppgiftsansvarig. Rätten till dataportabilitet gäller behandlingen av personuppgifter baserat på samtycke eller avtal.
Rätt till begränsning av behandlingen
Den registrerade personen har rätt att under villkor som definieras i dataskyddslagstiftning begära begränsning av behandlingen av hens personuppgifter. I situationer där personuppgifter som misstänks vara felaktiga inte kan korrigeras eller tas bort, eller om begäran om borttagning är oklar, kommer Epassi att begränsa åtkomsten till sådana uppgifter.
Rätt att invända mot behandlingen
Den registrerade personen har rätt att invända mot behandlingen av sina personuppgifter om Epassi förlitar sig på sina legitima intressen som rättslig grund för behandlingen. Den registrerade personen kan till exempel invända mot att hens personuppgifter används för marknadsföringsändamål.
Rätt att dra tillbaka samtycke
I de fall behandlingen är baserad på de registrerade personens samtycke har den registrerade personen rätt att när som helst dra tillbaka sitt samtycke till sådan behandling.
Rätt att inkomma med klagomål till en tillsynsmyndighet
Den registrerade personen har rätt att inkomma med klagomål hos en behörig dataskyddsmyndighet om den registrerade personen anser att behandlingen av personuppgifter som rör den registrerade personen bryter mot gällande lagstiftning.
Vi begär dock att ärendet behandlas av Epassi i första hand.
Den behöriga myndigheten i Finland är dataskyddsombudsmannen (http://www.tietosuoja.fi)
I Sverige är den relevanta myndigheten den svenska dataskyddsmyndigheten (https://www.imy.se/).
Utövande av rättigheter
Begäranden gällande registrerade personers rättigheter ska göras skriftligen eller i elektronisk form och begäran ska riktas till den personuppgiftsansvarige, Epassi.
Identiteten kommer att kontrolleras innan information lämnas ut, och därför kan vi behöva be om ytterligare detaljer. Begäran kommer att besvaras inom rimlig tid, om möjligt inom en månad efter att begäran inkommit och identiteten verifierats.
Om den registrerade personens begäran inte kan tillgodoses ska avslag meddelas den registrerade personen skriftligen. Epassi kan avslå begäran (till exempel om borttagning av uppgifter) på grund av en för företaget lagstadgad skyldighet eller rättighet, till exempel en skyldighet eller ett anspråk som rör våra tjänster. Observera att Epassi kan ta ut en rimlig avgift om begäranden från en registrerad person är uppenbart ogrundade eller överdrivna, särskilt mot bakgrund av en repetitiv karaktär.
Den registrerade personen kan utöva ovan nämnda rättigheter genom att skicka en skriftlig begäran via e-post eller post med hjälp av kontaktuppgifterna i denna integritetspolicy, inklusive följande information: namn, telefonnummer, e-postadress, användar-ID och information om de produkter och tjänster du har använt.
Tveka inte att kontakta oss om du har frågor som rör vår dataskyddspolicy eller vill utöva dina rättigheter.
Epassi kan när som helst ändra i denna integritetspolicy genom att meddela om detta på webbplatsen och/eller på annat tillämpligt sätt. Registrerade personer rekommenderas starkt att då och då granska integritetspolicyn på vår webbplats.
Om den registrerade personen motsätter sig någon av ändringarna i denna sekretesspolicy, bör den hen sluta använda tjänsterna, där så är tillämpligt, och hen kan begära att vi tar bort personuppgifterna såvida inte tillämpliga lagar kräver att vi behåller sådana personuppgifter. Om inget annat anges gäller den då gällande sekretesspolicyn för alla personuppgifter som vi behandlar vid den aktuella tidpunkten.
Denna integritetspolicy har publicerats den 21.10.2021, version 1.0
Versionshistorik
Versionsnummer |
Ändringsbeskrivning |
Datum |
1.0 |
Dokument skapats |
|
2.0 |
Dokumentet uppdaterats |
25.2.2022 |
2.1 |
Dokumentet uppdaterats |
17.3.2022 |
2.2 |
Dokument uppdaterat (EpassiBIKE) |
21.6.2022 |
2.3 |
Dokumentet uppdaterats |
3.5.2023 |
2.4 |
Dokumentet uppdaterats |
21.11.2023 |
2.5 |
Dokumentet uppdaterats |
19.12.2023 |
2.6 |
Dokumentet uppdaterats |
15.3.2024 |
2.7 |
Dokumentet uppdaterats |
12.9.2024 |
Jätä tukipyyntö
tai soita 0200 69000
ma-ke & pe 8.00-16.00 1,75 € + pvm (mvm)
to 8.00-14.00 1,75 € + pvm (mvm)
Laskutus ma-pe 9.00-15.00