Tietosuojaseloste (Suomeksi) ↓
Privacy policy (In English) ↓
Integritetspolicy (På Svenska) ↓

 

Tietosuojakäytäntö

Epassi Finland Oy, Epassi Sweden AB ja ePassi Clearing Oy  

1. YLEISIÄ TIETOJA

Epassi Finland Oy, Epassi Sweden AB ja Epassi Clearing Oy (yhdessä ”Epassi” tai ”me” kaikissa taivutusmuodoissa) kunnioittavat yksityisyyttäsi ja haluavat kaikin keinoin suojella Epassin palveluita käyttävien henkilöiden yksityisyyttä. Tässä tietosuojakäytännössä kuvataan, miten Epassi käsittelee henkilötietoja eli esimerkiksi sitä, minkälaisia henkilötietoja kerätään, mihin tarkoituksiin henkilötietoja käytetään ja mille tahoille henkilötietoja voidaan luovuttaa.

Tätä tietosuojakäytäntöä sovelletaan henkilöihin, jotka käyttävät Epassin palveluita, mukaan lukien Epassin loppukäyttäjille tarkoitettuja palveluita ja verkkosivustojamme. Tietosuojakäytäntöä sovelletaan henkilöihin myös silloin, kun viestimme palveluistamme tai hallinnoimme asiakassuhteita. Lisäksi tätä tietosuojakäytäntöä sovelletaan työnantaja-asiakkaidemme, potentiaalisten työnantaja-asiakkaidemme ja kauppiasasiakkaidemme yhteyshenkilöihin.

Henkilötiedoilla tarkoitetaan kaikkia luonnolliseen henkilöön (jäljempänä ”rekisteröity”) liittyviä tietoja, joiden avulla henkilö voidaan suoraan tai epäsuorasti tunnistaa. Henkilötiedot, rekisteröity, rekisterinpitäjä ja muut keskeiset termit on määritelty yleisessä tietosuoja-asetuksessa (2016/679, ”GDPR”). Epassi noudattaa kaikessa henkilötietojen käsittelyssä yleistä tietosuoja-asetusta (GDPR) sekä muuta sovellettavaa kansallista tietosuojalainsäädäntöä (”tietosuojalainsäädäntö”).

Palvelumme voivat myös sisältää ulkoisille verkkosivustoille ja ulkoisiin palveluihin johtavia linkkejä. Kyseisiä verkkosivustoja tai palveluita ylläpitävät muut organisaatiot, joita Epassi ei hallinnoi. Tätä tietosuojakäytäntöä ei sovelleta ulkoisten verkkosivustojen tai palveluiden käyttöön. Tästä syystä kannustamme tutustumaan niihin sovellettaviin tietosuojakäytäntöihin. Emme vastaa muiden verkkosivustojen tai ulkoisten palveluiden tietosuojakäytännöistä.

 

2. YHTEISREKISTERINPITÄJÄT JA YHTEYSTIEDOT

Yhteisrekisterinpitäjä: Epassi Finland Oy

Y-tunnus: 3220764-7

Osoite: Porkkalankatu 22 A, 00180 Helsinki, Suomi

Sähköposti: dataprivacy@epassi.com

Yhteisrekisterinpitäjän edustaja: Mikael Nordenswab

 

Yhteisrekisterinpitäjä: Epassi Sweden AB

Y-tunnus: 556617-0030

Osoite: Storgatan 31, 461 30 Trollhättan, Ruotsi

Sähköposti: dataprivacy@epassi.com

Yhteisrekisterinpitäjän edustaja: Mikael Nordenswan

 

Yhteisrekisterinpitäjä: Epassi Clearing Oy

Y-tunnus: 2872241-9

Osoite: Porkkalankatu 22 A, 00180 Helsinki, Suomi

Sähköposti: dataprivacy@epassi.com

Yhteisrekisterinpitäjän edustaja: Mikael Nordenswan

 

 

3. KÄSITTELYN TARKOITUKSET, TIETOTYYPIT, OIKEUSPERUSTEET JA SÄILYTYSAJAT

Epassi kerää vain sellaisia henkilötietoja, jotka ovat olennaisia ja välttämättömiä tässä tietosuojakäytännössä määriteltyjen tarkoitusten täyttämiseksi. Henkilötietoja päivitetään säännöllisin väliajoin pakottavan lain mukaisesti. Henkilötietoja käsitellään täysin erillään muista Epassin järjestelmistä, eikä niitä yhdistetä muihin käsittelytarkoituksiin.

Henkilötietoja käsitellään seuraavia tarkoituksia varten:

3.1. Loppukäyttäjien tunnistaminen

Henkilötietoja käsitellään loppukäyttäjien tunnistamiseksi tarvittavan KYC-prosessin (KYC, know your customer, asiakkaan tuntemisvelvollisuus) suorittamiseksi, jotta Epassi voi tunnistaa loppukäyttäjät lakisääteisen velvoitteensa mukaisesti ja tarjota loppukäyttäjäpalveluita.

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • nimi
  • kansalaisuus
  • syntymäaika
  • henkilötunnus
  • kotiosoite
  • ammatti
  • poliittinen vaikutusvalta
  • henkilöllisyyden todentamiseksi käytetyn asiakirjan tiedot tai, jos henkilö on etätunnistettu, tiedot todentamisessa käytetyistä menettelyistä tai lähteistä.

Telia Finland Oyj vastaa loppuasiakkaan todentamiseen vaadittavien henkilötietojen käsittelystä Epassin puolesta.

Oikeusperuste: henkilötietojen käsittely perustuu lakisääteiseen velvoitteeseen.

Säilytysaika: Henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita ja enintään viisi vuotta käytön päättymisen jälkeen. Epassi voi kuitenkin käsitellä henkilötietoja tätäkin pitempään, mikäli avoimia loppukäyttäjään liittyviä tiedusteluja on olemassa tai mikäli pakottava kansallinen lainsäädäntö niin edellyttää.

3.2. Kauppiasasiakkaiden tunnistaminen

Henkilötietoja käsitellään Epassin kauppiasasiakkaiden tunnistamiseksi tarvittavien KYC-tietojen (KYC, know your customer, asiakkaan tunnistamisvelvollisuus) ja riskiluokkien keräämiseksi ja säilyttämiseksi lakisääteisten velvoitteidemme täyttämiseksi.

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • syntymäaika
  • henkilötunnus
  • kansalaisuus
  • hallituksen jäsenten, toimitusjohtajan ja yhtiöstä yli 25 prosentin osuuden omistavien henkilöiden PEP-status (PEP, politically exposed person, poliittisesti vaikutusvaltainen henkilö).

Visma Solutions Oy vastaa kyseisten tietojen käsittelystä henkilötietojen käsittelijänä Epassin puolesta.

Oikeusperuste: henkilötietojen käsittely perustuu lakisääteiseen velvoitteeseen.

Säilytysaika: Henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita ja pääsääntöisesti enintään viisi vuotta palveluiden käyttämisen päättymisestä. Epassi voi kuitenkin käsitellä henkilötietoja tätäkin kauemmin, mikäli avoimia kuluttajaan liittyviä tiedusteluja on olemassa tai mikäli pakottava lainsäädäntö niin edellyttää.

3.3. Epassin tuote- ja järjestelmätiedot

Henkilötietoja käsitellään Epassin erityisten ja yleisten maksuvälineiden jakelua, käyttöä, ylläpitoa ja kehitystä varten sekä taloustietoja, sovelluksen käyttötietoja ja muita teknisten ratkaisujen taustatietoja varten.

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • nimi
  • yritys (työnantaja)
  • maksutapahtumatiedot
  • ostohistoria
  • käyttölokit
  • käyttäjän laite
  • sähköpostiosoite
  • henkilötunnus (Ruotsissa)
  • puhelinnumero
  • postinumero
  • käyttäjän saldot
  • rekisteröidyn antamat henkilötiedot.

Oikeusperuste: Henkilötietojen käsittely perustuu voimassa olevaan ja lainmukaiseen sopimussuhteeseen, kun palveluita jaellaan ja käytetään, ja muissa tapauksissa käsittely perustuu Epassin oikeutettuun etuun ylläpitää ja kehittää kyseisiä palveluita sekä työnantaja-asiakkailleen että loppuasiakkailleen (kuluttaja-asiakkailleen). Henkilötunnuksen käsittely perustuu sovellettavaan lainsäädäntöön tai rekisteröidyn antamaan suostumukseen.

Säilytysaika: Henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita ja sen jälkeen enintään kaksi vuotta. Maksutapahtumiin liittyviä ja taloudellisia tietoja varten käsiteltäviä ja säilytettäviä henkilötietoja säilytetään kymmenen vuoden ajan luomispäivästä alkaen pakottavan lain mukaisesti. Säilyttäminen voi jatkua tätäkin kauemmin kohdissa 3.1 ja 3.2 esitellyistä syistä.

3.4. Käytetyistä eduista ilmoittaminen työnantaja-asiakkaille

Henkilötietoja käsitellään, jotta Epassin työnantaja-asiakkaille voidaan ilmoittaa kohdennettujen etujen käytöstä. Käsittely on tarpeen, jotta työnantaja-asiakkaille voidaan ilmoittaa työsuhde-etujen käytöstä palkanmaksutarkoituksia, palkanvähennyksien toteuttamista sekä verotus- ja laskutustarkoituksia varten. Henkilötietoja voidaan myös käsitellä ja raportoida työnantaja-asiakkaille mahdollisten etuuksien petos- tai väärinkäyttötapauksissa (tai eipäillyt tapaukset).

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • myönnetyn edun määrä
  • käytetyn edun määrä
  • Työntekijän nimi, sähköpostiosoite, ID-numero ja osasto
  • kymmenen työntekijöiden eniten suosimaa kauppiasta.
  • Etukategoria (Ruotsissa)
  • Työnantaja-asiakkaiden pyynnöstä: yksilöllinen etujen käyttödata (edun ,äärä (SEK) ja käyttöpaikka)(Ruotsissa)

Oikeusperuste: henkilötietojen käsittely perustuu sopimukseen tai henkilötietojen käsittely perustuu lakisääteiseen velvoitteeseen (petos/väärinkäyttö).

Säilytysaika: henkilötietoja säilytetään niin kauan kuin loppukäyttäjä käyttää Epassi-palveluita tai niin kauan kuin laki vaatii liittyen petos-/väärinkäyttötapauksiin (10 vuotta transaktiodata).

3.5. Loppukäyttäjien maksutapahtumahistorian säilyttäminen   

Henkilötietoja käsitellään, jotta loppukäyttäjien maksutapahtumahistoriaa voidaan säilyttää mahdollisten oikeusvaateiden laatimiseksi tai puolustamiseksi tarvittaessa.

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • nimi
  • yritys
  • maksutapahtumatiedot
  • ostohistoria
  • käyttölokit.

Oikeusperuste: Henkilötietojen käsittely perustuu Epassin oikeutettuun etuun säilyttää maksutapahtumahistoriaa oikeusvaateiden laatimiseksi tai puolustamiseksi.

Säilytysaika: Henkilötietoja säilytetään niin kauan kuin on tarpeen oikeusvaateiden laatimiseksi, esittämiseksi tai puolustamiseksi. Säilytysaika maksutapahtumatietoja ja taloudellisia tietoja varten on vähintään kymmenen vuotta pakottavan lain mukaisesti.

3.6. Käyttäjäviestintä ja ‑markkinointi

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • nimi
  • sähköpostiosoite
  • puhelinnumero
  • käyttäjäasetukset
  • käyttäjän saldot
  • yritys (työnantaja)
  • maantieteellinen sijainti (Ruotsissa).

Oikeusperuste: Henkilötietojen käsittely perustuu Epassin oikeutettuun etuun markkinoida Epassin tuotteita ja/tai palveluita käyttäjille. Suoramarkkinoinnin yhteydessä henkilötietojen käsittely perustuu myös rekisteröidyn antamaan suostumukseen kohdennetun markkinoinnin ja mainonnan sekä kolmansien osapuolten tuotteiden ja palvelujen markkinoinnin tarjoamista varten. Rekisteröidyllä on oikeus kieltää henkilötietojensa käyttö suoramarkkinointiin, ja hän voi milloin tahansa peruuttaa aiemmin antamansa suostumuksen.

Sähköinen käyttäjäviestintä (sähköpostitse) tapahtuu APSIS-alustan kautta, ja Apsis International AB toimii Henkilötietojen käsittelijänä. Lisätietoja tiedonsiirrosta on kohdassa 6.

Säilytysaika: henkilötietoja käsitellään niin kauan kuin loppukäyttäjä pysyy Epassin asiakkaana ja/tai on antanut asianmukaisen suostumuksensa suoramarkkinointitarkoituksiin.

3.7. Sähköpostien arviointi ja seuranta

Henkilötietoja käsitellään sähköpostiviestien vastaanottajien toimien arvioimiseksi ja seuraamiseksi, kun sähköpostiviesti on lähetetty Epassi-palveluiden loppukäyttäjille. Tähän voi sisältyä myös toimia koskevien koontitilastojen tuottamista.

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • sähköpostiosoite
  • tieto siitä, onko rekisteröity avannut sähköpostiviestin tai sen liitemateriaaleja tai onko rekisteröity napsauttanut viestissä olleita linkkejä tai poistanut viestin.

Oikeusperuste: henkilötietojen käsittely perustuu Epassin oikeutettuun etuun voida seurata sitä, miten sähköpostien vastaanottajat toimivat vastaanottaessaan sähköpostiviestejä Epassilta.

Säilytysaika: Henkilötietoja käsitellään niin kauan kuin loppukäyttäjä pysyy Epassin asiakkaana ja/tai on antanut asianmukaisen suostumuksensa suoramarkkinointitarkoituksiin.

3.8. Verkkosivusto, verkkoanalytiikka ja evästeet   

Henkilötietoja käsitellään Epassin palveluiden kehittämiseksi verkkoanalytiikkaa ja evästeitä käyttäen sekä verkkosivustomme hallinnoimiseksi ja käyttäjien pyyntöjen täyttämiseksi.

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • IP-osoite
  • käyttäjäasetukset
  • käyttäjän laite.

Oikeusperuste: henkilötietojen käsittely perustuu rekisteröidyn antamaan suostumukseen.

Säilytysaika: henkilötietoja säilytetään enintään kaksi vuotta.

 

3.9. Viestintä Epassin työnantaja- ja kauppiasasiakkaiden kanssa

Henkilötietoja käsitellään Epassin työnantaja- ja kauppiasasiakkaiden yhteyshenkilöiden kanssa viestimisen mahdollistamiseksi.

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • nimi
  • sähköpostiosoite
  • puhelinnumero.

Oikeusperuste: Henkilötietojen käsittely perustuu Epassin oikeutettuun etuun viestiä Epassin työnantaja- ja kauppiasasiakkaiden yhteyshenkilöiden kanssa.

HubSpot, Inc. vastaa henkilötietojen käsittelystä henkilötietojen käsittelijänä Epassin puolesta.

Säilytysaika: henkilötietoja käsitellään/säilytetään niin kauan kuin työnantaja- tai kauppiasasiakkaan yhteyshenkilö tunnistetaan yritystä edustavaksi yhteyshenkilöksi.

3.10. Epassin työnantaja-asiakkaiden yhteyshenkilöille markkinointi

Epassi työnantaja-asiakkaiden yhteyshenkilöiden henkilötietoja voidaan käyttää Epassin ja/tai tämän yhteistyökumppaneiden palveluiden markkinoimiseen.

 

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • nimi
  • sähköpostiosoite
  • Puhelinnumero

 

Oikeusperuste: Henkilötietoja käsitellään työnantaja-asiakkaan yhteyshenkilön antaman suostumuksen perusteella.

Säilytysaika: Henkilötietoa käsitellään markkinointitarkoituksessa markkinointikampanjan keston ajan ja enintään kaksi (2) vuotta tämän jälkeen tai siihen asti kun rekisteröity peruuttaa tietojen käsittelyä koskevan suostumuksensa.

3.11. Viestintä Epassin EpassiBIKE-palvelua rahoittavan kumppanin kanssa

Henkilötietoja käsitellään Epassin rahoituskumppanin kanssa viestimisen mahdollistamiseksi.

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • nimi
  • sähköpostiosoite
  • puhelinnumero
  • leasingsopimuksen takaajan henkilötunnus (vain poikkeustapauksissa, kun rahoituskumppani vaatii takaajan).

Oikeusperuste: Henkilötietojen käsittely perustuu Epassin oikeutettuun etuun viestiä Epassin rahoituskumppanien yhteyshenkilöiden kanssa.

Svea Bank AB tai Svea Bank AB, filial i Finland tai Tukirahoitus Oy vastaa henkilötietojen käsittelystä henkilötietojen käsittelijänä Epassin puolesta.

Säilytysaika: Henkilötietoja käsitellään/säilytetään niin kauan kuin rahoituskumppanin yhteyshenkilö tunnistetaan yritystä edustavaksi yhteyshenkilöksi.

3.12. Tuotetoimitukset

Henkilötietoja käsitellään tuotteiden toimittamiseksi Epassin loppukäyttäjille.

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • nimi
  • sähköpostiosoite
  • puhelinnumero
  • tuotteen tai tuotteiden toimitusosoite
  • työnantajan nimi.

Oikeusperuste: Henkilötietojen käsittely perustuu sopimukseen ja Epassin oikeutettuun etuun viestiä Epassin työnantaja- ja kauppiasasiakkaiden yhteyshenkilöiden kanssa.

Shopify, Inc. vastaa henkilötietojen käsittelystä henkilötietojen käsittelijänä Epassin puolesta.

Säilytysaika: Henkilötietoja käsitellään/säilytetään niin kauan kuin loppukäyttäjä on saman työnantajan palveluksessa tai vuokraa tuotetta työnantajalta tai niin kauan kuin kukin lakisääteinen velvoite edellyttää.

3.13. Tukiasiat

Henkilötietoja käsitellään Epassin työnantaja-asiakkaiden ja loppukäyttäjien tukiasioiden hallinnoimiseksi sekä puhelintuen tarjoamiseksi.

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • tukiasian aloittavan tahon yhteystiedot
  • asian hallinnoinnista vastuussa olevan henkilön yhteystiedot
  • tukiasian aloittavan tahon tekstikentissä antamat tiedot
  • lokitiedostojen tiedot
  • puhelinnumero.

Oikeusperuste: Henkilötietojen käsittely perustuu Epassin oikeutettuun etuun hallinnoida tukiasioita.

Suomessa sijaitseva Vakka-Suomen Puhelin Oy hoitaa henkilötietojen käsittelijänä osan tukiasioista (yleinen puhelintuki), joka nauhoittaa ja tallentaa puhelut esim. varmistaakseen puhelun sisällön riita-asioissa. Lisätietoja tiedonsiirrosta on kohdassa 6.

Säilytysaika: henkilötietoja säilytetään vain niin kauan kuin on tarpeen sen tarkoituksen täyttämiseksi, jota varten henkilötiedot on kerätty, ja sen jälkeen enintään kaksi vuotta.

3.14. Lakisääteisten velvoitteiden noudattaminen (kirjanpito, tilinpäätös jne.)

Henkilötietoja käsitellään lakisääteisten velvoitteidemme, kuten kirjanpito- tai verolainsäädäntöön liittyvien velvoitteidemme, täyttämiseksi.

Tämän tarkoituksen täyttämiseksi käsittelemme seuraavia henkilötietoja:

  • kaikki kerättyjen henkilötietojen luokat, jotka ovat välttämättömiä lakisääteisten velvoitteiden täyttämiseksi.

Oikeusperuste: henkilötietojen käsittely perustuu lakisääteiseen velvoitteeseen.

Säilytysaika: Henkilötietoja säilytetään niin kauan kuin kukin lakisääteinen velvoite edellyttää. Suomen kirjanpitolaki esimerkiksi velvoittaa säilyttämään kirjanpidon tukiaineistoa koskevat tiedot vähintään kuusi vuotta tilikauden päättymisen jälkeen. Ruotsissa vastaava säilytysvelvoite on seitsemän vuotta tilikauden päättymisen jälkeen.

Oikeutettuun etuun perustuvien käsittelytoimien osalta olemme huolellisesti punninneet oikeutetun etumme painoarvoa suhteessa rekisteröityjen yksityisyyttä koskevaan oikeuteen ja tulleet siihen tulokseen, että etumme syrjäyttää rekisteröityjen oikeudet ja vapaudet.

Jos käsittely on sellaista, että se sovellettavan lainsäädännön mukaan edellyttää suostumusta, ilmoitamme sen ja pyydämme suostumuksen, jolloin tämä on käsittelyn oikeusperuste. Sinulla on kuitenkin oikeus peruuttaa antamasi suostumus milloin tahansa ilman, että se vaikuttaa ennen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Mikäli peruuttaminen tarkoittaa, että emme pysty tarjoamaan enää palveluitamme, voimme lopettaa palveluiden tarjoamisen.

4. TIETOLÄHTEET

Henkilötiedot kerätään pääasiassa suoraan rekisteröidyiltä, esimerkiksi palveluihimme rekisteröitymisen ja niiden käytön yhteydessä tai asiakassuhteen aikana.

Henkilötietoja voidaan myös kerätä loppukäyttäjien työnantajalta niiden palveluiden yhteydessä, jotka työnantaja ja Epassi tarjoavat loppukäyttäjälle. Tällöin tietoja kerätään, jotta loppuasiakas saadaan rekisteröityä Epassin kuluttaja-asiakkaaksi ja jotta loppuasiakkaalle saadaan luotua henkilökohtainen tili Epassi-palveluun.

Henkilötietoja voidaan myös kerätä automaattisesi rekisteröidyn käyttäessä palveluitamme esimerkiksi loppukäyttäjäpalveluidemme käytön tai verkkosivustollamme vierailun yhteydessä.

Rekisteröidyn luvalla tietoja voidaan myös kerätä muilla tavoilla markkinoinnin yhteydessä.

Henkilötietoja voidaan päivittää ja täydentää yksityisistä ja julkisista lähteistä kerättävillä tiedoilla.

 

5. HENKILÖTIETOJEN SÄILYTTÄMINEN

Palveluidemme yhteydessä kerättäviä henkilötietoja säilytetään tässä tietosuojakäytännössä määritellyn ja lain vaatiman ajan, ellei kyseisiä tietoja korvata säännöllisillä päivityksillä tai muutoin. Käsittelytyypistä riippuen säilytysajat vaihtelevat merkittävästi.

Arvioimme henkilötietojen tarpeellisuuden ja täsmällisyyden säännöllisesti ja pyrimme varmistamaan, että virheelliset ja tarpeettomat henkilötiedot korjataan tai poistetaan.

Yksityiskohtaiset säilytysajat on saatavissa pyynnöstä.

6. HENKILÖTIETOJEN LUOVUTUKSET, SIIRROT ja VASTAANOTTAJAT

Henkilötietoja voidaan tarvittaessa luovuttaa tässä tietosuojakäytännössä mainittuja tarkoituksia varten viranomaisille, muille samaan Epassin yritysryhmään kuuluville yhtiöille ja valituille kolmansille osapuolille, kuten kolmannen osapuolen palveluntarjoajille (esimerkiksi IT-toimittajillemme ja markkinointia puolestamme hoitaville mainostoimistoille). Tällaisissa tapauksissa henkilötietoja luovutetaan ainoastaan edellä määriteltyjä tarkoituksia varten. Lisäksi kaikki tietojenluovutukset rajoittuvat aina kyseessä olevien tarkoitusten kannalta ehdottoman tarpeellisiin henkilötietoihin. Emme myy tai muutoin luovuta henkilötietoja Epassin ulkopuolisille kolmansille osapuolille kyseisten kolmansien osapuolten omia tarkoituksia varten.

Henkilötietoja luovutetaan säännöllisesti seuraaville kolmansille osapuolille sovittujen palveluiden tarjoamiseksi:

  • Epassin kumppaneille, kun kumppanin asiakas on myös Epassin loppukäyttäjä ja kun nämä kaksi tarkoitusta ovat yhteneviä ja edellyttävät henkilötietojen siirtämistä tai vertaamista näiden kahden tahon välillä
  • Epassin kauppiaille palveluiden käytön yhteydessä tarvittavia taloudellisia ja maksunvälitykseen liittyviä tarkoituksia varten
  • rahoituspalvelujen tarjoajalle tai tarjoajille Epassin tuotevalikoimaan kuuluvien tuotteiden rahoitusta varten.

Epassi voi lisäksi jakaa henkilötietoja mahdollisen fuusion, omaisuuseriemme myynnin tai koko liiketoimintamme tai sen osan rahoituksen tai kaupan yhteydessä ja muiden vastaavien järjestelyjen yhteydessä.

Henkilötietoja luovutetaan kolmansille osapuolille myös, jos jokin sovellettava laki tai sääntely tai toimivaltaisen viranomaisen antama määräys niin edellyttää, ja mahdollisen tuotteiden tai palveluiden loukkaavan käytön tutkimiseksi sekä Epassin tuotteiden ja palveluiden turvallisuuden ja käytettävyyden takaamiseksi.

Jotta Epassi voi tarjota sovitut palvelut, myös seuraavat Epassin henkilötietojen käsittelijät käsittelevät henkilötietoja. Luettelo henkilötietojen käsittelijöistä ja muista tietojen vastaanottajista:

  • APSIS International AB (markkinointityökalu)
  • BitBot Oy (tukityökalu EpassiBIKE-palvelua varten)
  • Cellip AB (tukityökalu)
  • Epassi Finland Oy (IT-toiminnot)
  • Fortnox AB (taloushallinnon työkalu)
  • Freshworks Inc. (tukityökalu)
  • HeadQ Oy (digitaalinen kaupankäyntialusta)
  • Google LLC (Google Analytics, Google Ads)
  • Hetzner Online GmbH (verkkopalvelualustan isännöinti)
  • HubSpot, Inc. (asiakkuudenhallinnan työkalu)
  • InExchange Factorum AB (verkkolaskutus)
  • Kund-o AB (tapausten hallinnassa käytettävä tukityökalu)
  • Lime Technologies AB (asiakkuudenhallinnan työkalu, Epassin ruotsalaisten työnantaja- ja kauppiasasiakkaiden yhteyshenkilöt, vain Ruotsissa)
  • Mainloop AB (IT-kehitys)
  • Microsoft Corporation (liiketoiminnan työkalut)
  • Oneflow AB (digitaalinen sopimusalusta)
  • Oura Health Oy (markkinointikumppani)
  • Parvus Vulpes Oy (alustatyökalu)
  • Sharpspring (markkinointityökalu)
  • Shopify (EpassiBIKEn alusta)
    • Lightward Inc. (toiminnallisuustyökalu Shopifyssa)
    • HulkApps Inc. (toiminnallisuustyökalu Shopifyssa)
    • Instacollect Inc. (toiminnallisuustyökalu Shopifyssa)
  • Signicat AS (tunnistuspalvelu)
  • Svea Bank AB ja Svea Bank AB, filial i Finland tai Tukirahoitus Oy (EpassiBIKEn rahoituskumppani)
  • Telavox AB (tukityökalu)
  • Telia Finland Oyj (vahva todennus)
  • Tradedoubler AB (markkinointityökalu)
  • Vakka-Suomen Puhelin Oy (asiakkaiden tukipalvelut, vain Suomessa)
  • Visma Solutions Oy (Netvisor ja asiakkaan tuntemisvelvollisuus).

 

7. EU:N JA ETA:N ULKOPUOLISET TIEDONSIIRROT

Osa Epassin henkilötietojen käsittelyyn käyttämistä palveluista voi toimia Euroopan unionin (EU) tai Euroopan talousalueen (ETA) ulkopuolella. Tästä syystä henkilötietoja voidaan siirtää Euroopan unionin ja Euroopan talousalueen ulkopuolelle. Mikäli henkilötietoja siirretään EU:n/ETA:n ulkopuolelle, kyseiset tiedonsiirrot tehdään joko maahan, jonka Euroopan komissio on katsonut pystyvän tarjoamaan riittävän tasoista tietosuojaa, tai suoritetaan käyttäen Euroopan komission tai toimivaltaisen tietosuojaviranomaisen hyväksymiä asianmukaisia suojatoimia. Tällaisia asiamukaisia suojatoimia ovat esimerkiksi hyväksytyt vakiosopimuslausekkeet, mukaan lukien mahdolliset lisäsuojatoimet, kun niiden katsotaan olevan tarpeellisia, tai muut Euroopan komission tai toimivaltaisen tietosuojaviranomaisen hyväksymät tavat yleisen tietosuoja-asetuksen mukaisesti.

Seuraavat vastaanottajat voivat siirtää henkilötietoja EU:n/ETA:n ulkopuolelle:

  • HubSpot, Inc. (Epassin suomalaisten työnantaja- ja kauppiasasiakkaiden yhteyshenkilöiden tiedot)
  • Shopify, Inc. (Epassin loppukäyttäjien tiedot EpassiBIKEa varten)
    • Lightward Inc. (toiminnallisuustyökalu Shopifyssa)
    • HulkApps Inc. (toiminnallisuustyökalu Shopifyssa).
    • Instacollect Inc. (toiminnallisuustyökalu Shopifyssa)

 

8. HENKILÖTIETOJEN SUOJAAMINEN

Henkilötietojen luottamuksellisuuden, eheyden ja saatavuuden turvaaminen on Epassille tärkeää. Epassin turvallisuudenhallintajärjestelmä perustuu lakien, määräysten, sopimusten ja tiettyjen standardien (kuten ISO 27001) vaatimuksiin. Turvallisuudenhallintajärjestelmä koostuu asianmukaisista teknisistä, hallinnollisista ja organisatorisista turvatoimenpiteistä, joilla henkilötietoja suojataan luvattomalta pääsyltä, luovuttamiselta, tuhoamiselta ja käsittelyltä.

Hallinnolliset ja organisatoriset toimenpiteet:

  • kahdessa eri maantieteellisessä sijainnissa EU:n alueella sijaitsevat erilliset palvelimet kansainvälisesti tunnustetun tietoturvastandardin mukaan sertifioidut toimitilat
  • rooleihin perustuva käyttöoikeuksien hallinta.

Tekniset toimenpiteet:

  • palomuurit
  • varmuuskopiot
  • kulunvalvonta
  • käsittelyn valvonta
  • turvalliset salaustekniikat
  • salatut verkkoyhteydet (HTTPS).

Kun otamme kuitenkin huomioon uhat nykypäivän verkkoympäristössä, emme voi täysin taata sitä, että turvatoimenpiteemme estävät laittomasti ja haitallisesti toimivia kolmansia osapuolia pääsemästä henkilötietoihin taikka henkilötietojen absoluuttista turvallisuutta, kun niitä siirretään tai tallennetaan järjestelmiimme.

Kaikkia henkilötietoja käsitteleviä osapuolia sitoo salassapitovelvollisuus henkilötietojen käsittelyyn liittyvissä asioissa. Pääsy henkilötietoihin on rajoitettu työntekijöihin, joilla on tehtäviinsä liittyvä tarve saada pääsy niihin. Vaadimme myös palveluntarjoajiltamme asianmukaisia menetelmiä henkilötietojen suojaamiseksi.

9. EVÄSTEIDEN JA VASTAAVIEN TEKNIIKOIDEN KÄYTTÖ

Epassin verkkosivustolla käytetään evästeitä.

Eväste on pieni tietoa sisältävä tekstitiedosto, joka tallentuu tietokoneellesi. Evästeitä käytetään tavallisesti verkkosivuston käyttäjäkokemuksen parantamiseksi. Evästeitä on kahta tyyppiä:

Ensimmäinen tyyppi tallentaa vierailijan tietokoneelle pysyvän tiedoston. Tiedostoa käytetään esimerkiksi helpottamaan verkkosivuston käyttöä mieltymystesi ja kiinnostuksen kohteidesi mukaan.

Toista tyyppiä kutsutaan istuntokohtaiseksi evästeeksi. Se tallentuu väliaikaisesti vierailijan tietokoneen muistiin vierailijan ollessa verkkosivustolla. Istuntokohtaiset evästeet poistuvat, kun suljet selaimen. Sinusta ei tallenneta henkilökohtaisia tietoja, kuten sähköpostiosoitettasi tai nimeäsi.

Verkkosivustollamme käytetään kumpaakin evästetyyppiä. Kun vierailet sivustolla, tietokoneesi ja verkkopalvelimemme välillä lähetetään istuntoeväste, joka muun muassa helpottaa liikkumistasi sivustolla. Istuntokohtaisia evästeitä käytetään myös käyttäessäsi verkkopalvelujamme. Eväste poistuu istunnon päättyessä.

Verkkosivustomme kerää myös anonyymia tietoa Google Analyticsin avulla palvelun kehittämistä varten.

10. AUTOMAATTINEN PÄÄTÖKSENTEKO JA PROFILOINTI

Epassi ei käytä yleisen tietosuoja-asetuksen 22 artiklan mukaista automaattista päätöksentekoa tai profilointia.

 

11. REKISTERÖITYJEN OIKEUDET

Rekisteröidyillä on sovellettavan tietosuojalainsäädännön nojalla tiettyjä henkilötietojen käsittelyyn liittyviä oikeuksia.

Oikeus saada pääsy tietoihin ja oikeus tarkastaa tiedot

Rekisteröidyllä on oikeus saada vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä.

Rekisteröidyllä on oikeus tarkastaa ja nähdä häntä koskevat tiedot ja saada ne pyynnöstä kirjallisessa tai sähköisessä muodossa. Tätä sovelletaan tietoihin, jotka rekisteröity on antanut Epassille siltä osin kuin käsittely perustuu sopimukseen tai suostumukseen.

Tämän oikeuden käyttäminen on yleisesti maksutonta.

Oikeus tietojen oikaisemiseen ja oikeus tietojen poistamiseen

Rekisteröidyillä on oikeus vaatia heitä koskevien virheellisten henkilötietojen oikaisemista ja puutteellisten henkilötietojen täydentämistä.

Rekisteröidyllä on oikeus vaatia Epassia poistamaan rekisteröidyn henkilötiedot tai lopettamaan niiden käsittelyn esimerkiksi silloin, kun tiedot eivät enää ole tarpeen käsittelytarkoituksiin. On kuitenkin syytä huomata, että tietyt henkilötiedot ovat ehdottoman välttämättömiä tässä tietosuojakäytännössä määriteltyjen tarkoitusten täyttämiseksi. Lisäksi sovellettavat lait voivat edellyttää niiden säilyttämistä.

Oikeus siirtää tiedot järjestelmästä toiseen

Rekisteröidyllä on oikeus saada Epassille toimittamansa henkilötiedot jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa sekä oikeus halutessaan siirtää kyseiset tiedot toiselle rekisterinpitäjälle. Oikeutta siirtää tiedot järjestelmästä toiseen sovelletaan suostumukseen tai sopimukseen perustuvaan henkilötietojen käsittelyyn.

Oikeus käsittelyn rajoittamiseen

Rekisteröidyllä on tietosuojalainsäädännön määrittämien edellytysten mukaisesti oikeus pyytää henkilötietojensa käsittelyn rajoittamista. Tilanteissa, jossa virheelliseksi epäiltyä henkilötietoa ei voida korjata tai poistaa taikka poistopyynnöstä on epäselvyyttä, Epassi rajoittaa tietoihin pääsyä.

Oikeus vastustaa henkilötietojen käsittelyä

Rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä, jos käsittelyn oikeudellisena perusteena ovat Epassin oikeutetut edut. Rekisteröity voi vastustaa henkilötietojensa käyttöä markkinointitarkoituksiin.

Oikeus peruuttaa suostumus

Jos henkilötietojen käsittely perustuu rekisteröidyn antamaan suostumukseen, rekisteröidyllä on oikeus peruuttaa antamansa suostumus milloin tahansa.

Oikeus tehdä valitus valvontaviranomaiselle

Rekisteröidyllä on oikeus tehdä valitus toimivaltaiselle tietosuojaviranomaiselle, mikäli rekisteröity katsoo, että hänen henkilötietojaan on käsitelty voimassa olevan lainsääsäädännön vastaisesti.

Pyydämme kuitenkin, että asiat pyritään ratkaisemaan ensin suoraan Epassin kanssa.

Suomessa asiaankuuluva viranomainen on tietosuojavaltuutettu (http://www.tietosuoja.fi)

Ruotsissa asiaankuuluva viranomainen on Ruotsin tietosuojaviranomainen (https://www.imy.se/).

Oikeuksien käyttäminen

Rekisteröityjen oikeuksia koskevat pyynnöt tulisi tehdä kirjallisessa tai sähköisessä muodossa ja osoittaa rekisterinpitäjänä toimivalle Epassille.

Henkilöllisyys tarkistetaan ennen tietojen luovuttamista, mistä syystä saatamme pyytää lisätietoja. Pyyntöön vastataan kohtuullisen ajan kuluessa ja mahdollisuuksien mukaan yhden kuukauden kuluessa pyynnöstä ja henkilöllisyyden todentamisesta.

Mikäli rekisteröidyn pyyntöä ei voida täyttää, kieltäytyminen on annettava kirjallisesti tiedoksi rekisteröidylle. Epassi voi kieltäytyä pyynnöstä (kuten tietojen poistamisesta) yhtiön lakisääteisen velvoitteen tai oikeuden, kuten palveluihimme liittyvän velvoitteen tai vaateen, perusteella. On huomattava, että Epassi voi periä kohtuullisen maksun, jos rekisteröidyn pyynnöt ovat ilmeisen perusteettomia tai kohtuuttomia, erityisesti jos niitä esitetään toistuvasti.

Rekisteröity voi käyttää edellä mainittuja oikeuksia lähettämällä kirjallisen pyynnön sähköpostitse tai kirjeitse käyttäen tässä tietosuojakäytännössä annettuja yhteystietoja. Pyyntöön on sisällytettävä mukaan seuraavat tiedot: nimi, puhelinnumero, sähköpostiosoite, käyttäjätunnus ja tiedot käytetyistä tuotteista tai palveluista.

Ota meihin yhteyttä, jos sinulla on kysyttävää tietosuojakäytännöistämme tai haluat käyttää oikeuksiasi.

 

 

12. MUUTOKSET TIETOSUOJAKÄYTÄNTÖÖN

Epassi voi tehdä muutoksia tähän tietosuojakäytäntöön milloin tahansa ilmoittamalla siitä verkkosivustollaan ja/tai muilla soveltuvilla tavoilla. Rekisteröityjen on erittäin suositeltavaa tarkastaa verkkosivustollamme oleva tietosuojakäytäntö säännöllisin väliajoin.

Jos rekisteröity vastustaa mitä tahansa tämän tietosuojakäytännön muutosta, rekisteröidyn on lopetettava palvelujen käyttö tarvittaessa, ja hän voi pyytää meitä poistamaan henkilötiedot, ellei sovellettava laki vaadi meitä säilyttämään tällaisia ​​henkilötietoja. Ellei toisin mainita, nykyinen tietosuojakäytäntö koskee kaikkia käsittelemiämme henkilötietoja.

Tämä tietosuojakäytäntö on julkaistu 21.10.2021 (versio 1.0).

Versiohistoria

Versionumero

Muutoksen kuvaus

Päiväys

1.0

Asiakirja luotu

 

2.0

Asiakirja päivitetty

25.2.2022

2.1

Asiakirja päivitetty

17.3.2022

2.2

Asiakirja päivitetty (EpassiBIKE)

21.6.2022

2.3

Asiakirja päivitetty

3.5.2023

2.4

Asiakirja päivitetty

21.11.2023

2.5

Asiakirja päivitetty

19.12.2023

2.6

Asiakirja päivitetty

15.3.2024

2.7 

Asiakirja päivitetty

12.9.2024

 

Privacy Policy

Epassi Finland Oy, Epassi Sweden AB and Epassi Clearing Oy

1. GENERAL INFORMATION

Epassi Finland Oy, Epassi Sweden AB and Epassi Clearing Oy (together ”Epassi”, “we” or “us”) respects your privacy and is dedicated to protecting the privacy of persons using Epassi’s services. This privacy policy describes how Epassi processes personal data; e.g. what kinds of personal data we collect, for which purposes the personal data is used and to which parties the personal data can be disclosed.

This privacy policy applies to users of Epassi’s services, including users of Epassi’s end-user services and our websites as well as when we communicate about our services or for customer relationship management reasons. In addition, this privacy policy also applies to our employer customers’ contact persons, potential employer customers’ contact persons and merchant customers’ contact persons.

Personal data refers to any information relating to a natural person (“data subject”) that can identify him/her directly or indirectly. Personal data, data subject, controller and other key terms are defined in the General Data Protection Regulation (2016/679, “GDPR”). Epassi complies with the GDPR in all processing of personal data in conjunction with other applicable national data protection legislation (“data protection legislation”).

Our services may also contain links to external websites and services operated by other organizations that we do not manage. This privacy policy is not applicable to their use, so we encourage you to review the privacy policies that apply to them. We are not responsible for the privacy policies of other websites or external services.

 

 

2. JOINT CONTROLLERS AND CONTACT INFORMATION

Joint controller: Epassi Finland Oy

Business ID: 3220764-7

Address: Porkkalankatu 22 A, 00180 Helsinki, Finland

Email: dataprivacy@epassi.com

Joint controller representative: Mikael Nordenswan

 

Joint controller: Epassi Sweden AB

Business ID: 556617-0030

Address: Storgatan 31, 461 30 Trollhättan, Sweden

Email: dataprivacy@epassi.com

Joint controller representative: Mikael Nordenswan

 

Joint controller: Epassi Clearing Oy

Business ID: 2872241-9

Address: Porkkalankatu 22 A, 00180 Helsinki, Finland

Email: dataprivacy@epassi.com

Joint controller representative: Mikael Nordenswan

 

 

3. PURPOSES, TYPE OF DATA, LEGAL BASES AND RETENTION TIMES FOR PROCESSING

Epassi collects only such personal data that is relevant and necessary for the purposes described in this privacy policy. The personal data is subject to periodic updates, as required by mandatory law. The personal data is processed fully separately from other Epassi systems and is not connected to other processing purposes.

Personal data will be processed for the following purposes:

3.1. Authentication of end-users

The personal data is processed in order to carry out the end-users’ KYC (Know Your Customer) process so that Epassi is able to identify end-users according to its legal obligation and provide end-user services.

The personal data we process within the scope of this purpose include:

  • Name
  • Nationality
  • Date of birth
  • Personal identification code
  • Residential address
  • Profession
  • Political exposure
  • Information on the document used to verify the identity, or if the person has been remotely identified, information about the procedure or sources used in the verification

The personal data required for authenticating the end-user is processed by Telia Finland Oyj on behalf of Epassi.

Legal basis: The processing of personal data is based on a legal obligation.

Retention period: Personal data is stored for as long as the end-user uses the Epassi services and maximum period of five years thereafter, and even after such a period in case any open inquiries relating to the end-user exist or required by the mandatory national legislation.

3.2. Authentication of merchant customers

The personal data is processed in order to collect and store the KYC (Know Your Customer) information and the risk categories of the Epassi’s merchant customers to comply with our legal obligations.

The personal data we process within the scope of this purpose include:

  • Date of birth
  • Personal identification code
  • Nationality
  • PEP status of the members of the boards of directors, managing director and persons who own more than 25 % of the firm

The data is processed by Visma Solutions Oy as a processor on behalf of Epassi.

Legal basis: The processing of personal data is based on a legal obligation.

Retention period: Personal data is stored for as long as the end-user uses the Epassi services and maximum period of five years thereafter, and even after such a period in case any open inquiries relating to the consumer exist or required by the mandatory legislation.

3.3. Epassi product and system data

The personal data is processed for the distribution, use, maintenance, and development of Epassi specific and general payment instruments, financial data, application usage data and other tech solution back-end data.

The personal data we process within the scope of this purpose include:

  • Name
  • Company (Employer)
  • Transactional information
  • Purchase history
  • Access logs
  • User device
  • Email address
  • Personal identification code (in Sweden)
  • Phone number
  • Postal code
  • User balances
  • Personal data provided by the data subject

Legal basis: The processing of personal data is based on valid and legal contract relationship when distributing and using services, and in other respects, the processing is based on Epassi’s legitimate interest to maintain and develop such services, both toward its employer customers and end-users (consumer customers). The processing of the personal identification code is based on the applicable legislation, or the consent given by the data subject.

Retention period: Personal data is stored for as long as the end-user uses the Epassi services and thereafter for a maximum period of two years. Personal data processed and retained for transactional and financial information is stored for 10 years from date of creation as required by mandatory law. The storing may continue based on reasons presented in Section 3.1 and 3.2 for even longer periods of time.

3.4. Reporting to employer customers about used benefits

The personal data is processed in order to report to Epassi’s employer customer of benefit usage in relation to allocated benefit. The processing is necessary in order to inform the employer customers of the use of employment benefits for payroll purposes, conclude salary deductions as well as for taxation and invoicing purpose. The personal data can also be processed and shared with employer customers to investigate fraud or misuse of benefits (or suspected cases thereof).

The personal data we process within the scope of this purpose include:

  • Amount of benefit given
  • Amount of benefit used
  • Employee name, email address, ID and department
  • 10 most popular merchants used by the employees
  • Benefit category (in Sweden)
  • If requested by the employer: individual benefit usage data i.e., amount of benefit used and place of purchase.

Legal basis: The processing of personal data is based on a contract. The processing of personal data is based on a legal obligation (fraud/misuse).

Retention period: Personal data is stored for as long as the end-user uses the Epassi services or as required by law in relation to fraud/misuse (10 years transaction history).

3.5. Storage of end-users’ transaction history   

The personal data is processed in order to store the end-users’ transactional history to establish or defend legal claims, if necessary.

The personal data we process within the scope of this purpose include:

  • Name
  • Company
  • Transactional information
  • Purchase history
  • Access logs

Legal basis: The processing of personal data is based on Epassi’s legitimate interest to store transaction history in order to establish or defend legal claims.

Retention period: Personal data is stored for a period necessary in order to establish, exercise or defend legal claims. For transactional and financial information, the storing period is at least 10 years as required by mandatory law.

3.6. User communications and marketing

The personal data we process within the scope of this purpose include:

  • Name
  • Email address
  • Telephone number
  • User preferences
  • User balances
  • Company (Employer)
  • Geographical location (in Sweden)

Legal basis: The processing of personal data is based on Epassi’s legitimate interest to promote Epassi’s products and/or services to the users. The processing of personal data is also based on the consent given by the data subject in relation to direct marketing in order to provide targeted marketing and advertising, as well as to provide marketing of third parties’ products or services. The data subject has the right to refuse personal data being used for direct marketing and may at any time recall prior consent.

The electronic user communications (as delivered via email) are conducted through APSIS and Apsis International AB acts as the processor. More information on data transfers in Section 6.

Retention period: Personal data is processed as long as the end-user remains a customer of Epassi and/or has accepted the relevant marketing opt-ins for direct marketing purposes.

 

3.7. Evaluation and follow-up of emails

The personal data is processed in order to evaluate and follow-up the email recipients’ actions when the email has been sent to the end-users of the Epassi services. This might also include generating aggregated statistics regarding the actions.

The personal data we process within the scope of this purpose include:

  • Email address
  • Information whether the data subject has opened an e-mail or any attached material or if the data subject has clicked on any links or deleted the e-mail

Legal basis: The processing of personal data is based on Epassi’s legitimate interest to be able to follow up on how the recipients of e-mail act when receiving e-mails from Epassi.

Retention period: Personal data is processed as long as the end-user remains a customer of Epassi and/or has accepted the relevant marketing opt-ins for direct marketing purposes.

3.8. Website, web analytics and cookies   

The personal data is processed in order to develop Epassi’s services using web analytics and cookies as well as to administrate our website and fulfill user requests.

The personal data we process within the scope of this purpose include:

  • IP address
  • User preferences
  • User device

Legal basis: The processing of personal data is based on the consent given by the data subject.

Retention period: Personal data is stored for a maximum period of two years.

3.9. Communicating with Epassi’s employer and merchant customers

The personal data is processed in order to communicate with the Epassi’s employer and merchant customers’ contact persons.

The personal data we process within the scope of this purpose include:

  • Name
  • Email address
  • Phone number
  • Bank account number

Legal basis: The processing of personal data is based on Epassi’s legitimate interest to communicate with Epassi’s employer and merchant customers’ contact persons.

The personal data is processed by HubSpot, Inc. as a processor on behalf of Epassi.

Retention period: Personal data is processed/stored for as long as the employer or merchant customer’s contact person is identified as the contact person representing the company.

3.10. Marketing directed to contact persons of Epassi's employer customers

The personal details of the contact persons of Epassi’s employer customers can be used to merket Epassi's and/or its partners services. The personal data we process within the scope of this purpose include:
  • Name
  • Email address
  • Phone number

Legal basis: The processing of personal data is based on consent by the contact person of Epassi’s employer customer. Retention period: Personal data is processed/stored for marketing purposes during the marketing capaign and two (2) years after the campaign or until the contact person withdraws his/her consent.

3.11. Communicating with Epassi's financing partner for EpassiBIKE service

The personal data is processed in order to communicate with the Epassi’s financing partner.

The personal data we process within the scope of this purpose include:

  • Name
  • Email address
  • Phone number
  • Social security number of a guarantor to a leasing agreement (only in exceptional circumstances when a guarantor is required by financing partner)

Legal basis: The processing of personal data is based on Epassi’s legitimate interest to communicate with Epassi’s financing partners’ contact persons.

The personal data is processed by Tukirahoitus Oy, Svea Bank AB or Svea Bank AB, filial i Finland or Tukirahoitus Oy as a processor on behalf of Epassi.

Retention period: Personal data is processed/stored for as long as the financing partner’s contact person is identified as the contact person representing the company.

3.12. Product deliveries

The personal data is processed in order to deliver products to Epassi’s end-users.

The personal data we process within the scope of this purpose include:

  • Name
  • Email address
  • Phone number
  • Delivery address for product(s)
  • Name of employer

Legal basis: The processing of personal data is based on a contract and on Epassi’s legitimate interest to communicate with Epassi’s employer and merchant customers’ contact persons.

The personal data is processed by Shopify, Inc. as a processor on behalf of Epassi.

Retention period: Personal data is processed/stored for as long as the end-user is employed by the same employer, is leasing a product from an employer, or as long as a certain legal obligation requires.

 

3.13. Support Matters

The personal data is processed in order to administrate the support matters for Epassi’s employer customers and end-users as well as to provide phone line support.

The personal data we process within the scope of this purpose include:

  • Contact details to the party initiating the support matter
  • Contact details to the person responsible for managing the matter
  • Information in text fields provided by the party initiating the support matter
  • Information in log files
  • Phone number

Legal basis: The processing of personal data is based on Epassi’s legitimate interest to administrate the support matters.

Some of the support matters (first-instance phone line support) are conducted through Vakka-Suomen Puhelin Oy in Finland as the processor whereby calls are recorded and stored to e.g., validate contents of a call in the event of a dispute. More information on data transfers in Section 6.

Retention period: Personal data is stored for this purpose only as long as necessary for the purpose it was collected and thereafter for a maximum period of 2 years.

 

3.14. Complying with legal obligations (accounting, bookkeeping etc.)

The personal data is processed in order to fulfil our legal obligations, such as for example accounting or tax legislation related obligations.

The personal data we process within the scope of this purpose include:

  • All categories of personal data which have been collected and are necessary in order to comply with legal obligations.

Legal basis: The processing of personal data is based on a legal obligation.

Retention period: Personal data is stored for as long as a certain legal obligation requires. For example, in Finland the Accounting Act imposes an obligation to maintain information on the accounting’s supporting material for 6 years following the end of the financial year. In Sweden, the obligation is 7 years following the end of the financial year.

For processing activities that are based on a legitimate interest, we have carefully balanced such legitimate interest with the data subjects right to privacy and concluded that our interest outweighs the data subjects’ rights and freedoms.

Where the processing is such that a consent is required by the applicable legislation, we will state so and obtain the consent, and this will be the legal basis for the processing. However, you have the right to withdraw that consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal. If such withdrawal means that we are no longer able to provide our services, we may cease to provide the services.

 

4. DATA SOURCES

The personal data is mainly collected directly from the data subjects themselves, for example, at the time of registration or use of our services or during a customer relationship.

The personal data can also be collected from the end-user’s employer in relation to services which are provided by the employer and Epassi to the end-user. These are gathered based on the need to contract the end-user as a consumer customer of Epassi and create their personal account at Epassi.

The personal data may also be collected automatically when the data subject uses our services e.g., when using our end-user services and visiting our website.

In addition, and with the permission of the data subject, data may be collected in other ways in a marketing context.

Personal data may be updated and supplemented by collecting data from private and public sources.

 

 

5. RETENTION OF PERSONAL DATA

Personal data collected in connection with our services shall be retained as long as defined in this privacy policy and as required by the law unless such data is replaced through regular updates or otherwise. The periods vary greatly from one type of processing to another.

We evaluate the necessity and accuracy of the personal data on a regular basis and endeavor to ensure that the incorrect and unnecessary personal data are corrected or deleted.

Detailed retention times can be provided upon requests.

6. DISCLOSURES, TRANSFERS AND RECIPIENTS OF PERSONAL DATA

For the purposes stated in this privacy policy, the personal data may be disclosed, when necessary, to authorities, among and to other companies within the same group of companies of Epassi, and to selected third parties, such as third-party service providers (such as our IT vendors and marketing agencies conducting marketing on our behalf etc.). In such case, the personal data will only be disclosed for purposes defined above and any disclosure is always limited to only the strictly necessary personal data included in such purposes. We do not sell or otherwise disclose personal data to any third parties outside Epassi for such third parties’ own purposes.

Regular disclosures of personal data undertaken to third parties in order to provide the agreed services:

  • To Epassi Partners, where such partner’s customer is also an Epassi end-user, and the two purposes coincide and require cross-transferring or matching of personal data;
  • To Epassi Merchants, as required for financial and payment processing related purposes while using the services;
  • To provider(s) of financial services for financing products provided under Epassi’s product portfolio.

In addition, Epassi may share the personal data in connection with any merger, sale of our assets, or a financing or acquisition of all or a portion of our business and in connection with other similar arrangements.

The personal data is also disclosed to third parties if required under any applicable law or regulation or order by competent authorities, and to investigate possible infringing use of the products and services as well as to guarantee the safety and usability of the Epassi products and services.

In order for Epassi to provide the agreed services, personal data is processed also by the following processors of Epassi. List of the processors and other recipients:

  • APSIS International AB (Marketing tool)
  • BitBot Oy (Support tool for Epassibike)
  • Cellip AB (Support tool)
  • Epassi Finland Oy (IT operations)
  • Fortnox AB (Finance tool)
  • Freshworks Inc. (Support tool)
  • Google LLC (Google Analytics, Google Ads)
  • HeadQ Oy (Digital Commerce Platform)
  • Hetzner Online GmbH (Hosting the online service platform)
  • HubSpot, Inc. (CRM tool)
  • InExchange Factorum AB (Electronic invoicing)
  • Kund-o AB (Support tool used for case management)
  • Lime Technologies AB (CRM tool, Epassi's Swedish employer and merchant customers' contact persons, only applicable in Sweden)
  • Mainloop AB (IT-development)
  • Microsoft Corporation (Business tools)
  • Oneflow AB (Digital Contract platform)
  • Oura Health Oy (Marketing Partner)
  • Parvus Vulpes Oy (Platform tool)
  • Sharpspring (Marketing tool)
  • Shopify (Platform for EpassiBIKE)
    • Lightward Inc. (Functionality tool in Shopify)
    • HulkApps Inc. (Functionality tool in Shopify)
    • Instacollect Inc. (Functionality tool in Shopify)
  • Signicat AS (Identification authentication service)
  • Svea Bank AB and Svea Bank AB, filial i Finland or Tukirahoitus Oy (EpassiBIKE financing partner)
  • Telavox AB (Support tool)
  • Telia Finland Oyj (Strong authentication)
  • Tradedoubler AB (Marketing partner)
  • Vakka-Suomen Puhelin Oy (Support services for customers, only applicable in Finland)
  • Visma Solutions Oy (Netvisor and know your customer).


7. DATA TRANSFERS OUTSIDE THE EU/EEA

Some of the services used by Epassi for processing personal data may operate outside the territory of the European Union (EU) or the European Economic Area (EEA). Thus, personal data can be transferred outside the European Union and the European Economic Area. In case personal data is transferred outside the EU/EEA, such transfers are either made to a country that is deemed to provide a sufficient level of privacy protection by the European Commission or transfers are carried out by using appropriate safeguards such as Standard Contractual Clauses (SCC) adopted, including any supplementary measures, where assessed to be necessary, or otherwise approved by the EU Commission or competent data protection authority in accordance with the GDPR.

The following recipients may transfer personal data outside the EU/ EEA:

  • HubSpot, Inc. (Epassi’s Finnish employer and merchant customers’ contact persons data)
  • Shopify, Inc. (Epassi’s end-user data for EpassiBIKE)
    • Lightward Inc. (Functionality tool in Shopify)
    • HulkApps Inc. (Functionality tool in Shopify)
    • Instacollect Inc. (Functionality tool in Shopify)

 

 

8. PROTECTION OF PERSONAL DATA

Securing the confidentiality, integrity, and availability of personal data is important to Epassi. Epassi's Security Management System is based on the requirements from laws, regulations, contracts and certain standards (such as ISO 27001). Security Management System consists of appropriate technical, administrative, and organizational security measures to protect personal data against unauthorized access, disclosure, destruction, or other unauthorized processing.

Administrative and organizational measures:

  • Dedicated servers in two different geographical locations in the EU. Facilities are certified against internationally recognized Information Security Standard.
  • Role based access rights management

Technical measures:

  • Firewalls
  • Backups
  • Access controls
  • Monitoring of processing
  • Safe encryption technologies
  • Encrypted network connections (HTTPS)

Nevertheless, considering the cyber threats in modern day online environment, we cannot give full guarantee that our security measures will prevent illegally and maliciously operating third parties from obtaining access to personal data or absolute security of the personal data during its transmission or storage on our systems.

All parties processing personal data have a duty of confidentiality in matters related to the processing of personal data. Access to personal data is restricted to those employees and parties who need it to perform their duties. We also require our service providers to have appropriate methods in place to protect personal data.

9. USE OF COOKIES AND SIMILIAR TECHNOLOGIES

The Epassi website uses cookies.

A cookie is a small text file that is stored on your computer and contains information. Cookies are normally used to improve the website for you as a visitor. There are two types:

One type saves a file that remains on the visitor's computer. This file is used, for example, to make it easier for you to use the website according to your preferences and interests.

The second type is called session cookie. While a visitor is on a website, it is temporarily stored in the visitor's computer memory. Session cookies disappear when you close your browser. No personal information is stored about you, such as your email address and name.

Our website uses both types. When you visit the site, a session cookie is sent between your computer and our web server to facilitate navigation, among other things. Session cookies are also used when you use our e-services. The cookie disappears when you end your visit.

Our website also uses Google Analytics to collect anonymous data for service development purposes.

10. AUTOMATED DECISION-MAKING AND PROFILING

Epassi does not use any automated decision-making nor any profiling pursuant to the Article 22 GDPR.

 

 

11. RIGHT OF THE DATA SUBJECTS

The data subject has certain rights in relation to the processing of personal data under applicable data protection laws.

Right of access and right of inspection

The data subject has the right to obtain confirmation as to whether or not personal data concerning them is being processed.

The data subject has the right to inspect and view data concerning them and, upon a request, the right to obtain the data in a written or electric form. This applies to information that the data subject has provided to Epassi insofar the processing is based on a contract/consent.

Exercising this right is generally free of charge.

Right to rectification and right to erasure

The data subject has the right to demand the rectification of incorrect personal data concerning them and to have incomplete personal data completed.

The data subject has the right to require Epassi to delete or stop processing the data subject’s personal data, for example where the data is no longer necessary for the purposes of processing. However, please note that certain personal data is strictly necessary in order to achieve the purposes defined in this privacy policy and may also be required to be retained by applicable laws.

Right to data portability

The data subject has the right to receive the personal data that he or she has provided to Epassi in a structured, commonly used, and machine-readable format and, if desired, transmit that data to another controller. The right to data portability applies on the processing of the personal data based on consent or a contract.

Right to restriction of processing

The data subject has the right, under conditions defined by data protection legislation, to request the restriction of processing of his or her personal data. In situations where personal data suspected to be incorrect cannot be corrected or removed, or if the removal request is unclear, Epassi will limit the access to such data.

Right to object to processing

The data subject has the right to object to the processing of your personal data where Epassi is relying on its legitimate interests as the legal ground for processing. For example, the data subject may object to his or her personal data being used for marketing purposes.

Right to withdraw consent

In cases where the processing is based on the data subjects’ consent, the data subject has the right to withdraw his or her consent to such processing at any time.

Right to lodge a complaint with a supervisory authority

The data subject has the right to lodge a complaint with a competent data protection authority if the data subject considers that the processing of personal data relating to the data subject infringes current legislation.

However, we request that the matter will be dealt with Epassi in the first instance.

The relevant authority in Finland is the Data Protection Ombudsman (http://www.tietosuoja.fi)

In Sweden relevant authority is Swedish Data Protection Authority (https://www.imy.se/).

Exercising rights

Requests regarding the rights of data subjects shall be made in written or in electronic form, and the request shall be addressed to the controller, Epassi.

Identity will be checked before the information is given out, which is why we may have to ask for additional details. The request will be responded to within a reasonable time and, where possible, within one month of the request and the verification of identity.

If the data subject’s request cannot be met, the refusal shall be communicated to the data subject in writing. Epassi may refuse the request (for example erasure of data) due to a statutory obligation or a statutory right of the company, such as an obligation or a claim relating to our services. Please note that Epassi may charge a reasonable fee where requests from a data subject are manifestly unfounded or excessive, in particular because of their repetitive character.

The data subject may exercise the aforementioned rights by sending a written request by email or mail using the contact information provided in this privacy policy, including the following information: name, phone number, email address, user id and details of the products and services you have used.

If you have any questions relating to our data protection policies or wish to exercise your rights, please do not hesitate to contact us.

12. CHANGES TO THIS PRIVACY POLICY

Epassi may make changes to this privacy policy at any time by giving a notice on the website and/or by other applicable means. The data subjects are highly recommended to review the privacy policy on our website every now and then.

If the data subject objects to any of the changes to this privacy policy, the data subject should cease using the services, where applicable, and he/she can request that we remove the personal data, unless applicable laws require us to retain such personal data. Unless stated otherwise, the then-current privacy policy applies to all personal data we process at the time.

This privacy policy has been published on 21.10.2021, version 1.0

Version history

Version number

Change description

Date

1.0

Document created

 

2.0

Document updated

25.2.2022

2.1

Document updated

17.3.2022

2.2

Document updated (EpassiBIKE)

21.6.2022

2.3

Document updated

3.5.2023

2.4

Document updated

21.11.2023

2.5

Document updated

19.12.2023

2.6

Document updated

15.3.2024

2.7

Document updated

12.9.2024

 

Integritetspolicy

Epassi Finland Oy, Epassi Sweden AB och ePassi Clearing Oy

1. ALLMÄN INFORMATION

Epassi Finland Oy, Epassi Sweden AB och Epassi Clearing Oy (tillsammans "Epassi", "vi" eller "oss") respekterar din integritet och är tillägnat att skydda integriteten för personer som använder Epassis tjänster. Denna sekretesspolicy beskriver hur Epassi behandlar personuppgifter; t.ex. vilka typer av personuppgifter vi samlar in, för vilka ändamål personuppgifterna används och till vilka parter personuppgifterna kan lämnas ut.

Denna integritetspolicy gäller användare av Epassi-tjänsterna, inklusive användare av Epassis slutanvändartjänster och våra webbplatser samt när vi kommunicerar om våra tjänster eller i vår kundrelationshantering. Dessutom gäller denna integritetspolicy även för våra arbetsgivarkunders kontaktpersoner, potentiella arbetsgivarkunders kontaktpersoner och leverantörers kontaktpersoner.

Personuppgifter avser information som rör en fysisk person (”registrerad person”) som kan identifiera honom/henne direkt eller indirekt. Personuppgifter, registrerad person, personuppgiftsansvarig och andra viktiga termer definieras i den allmänna dataskyddsförordningen (2016/679, ”GDPR”). Epassi efterlever GDPR i all personuppgiftsbehandling i tillsammans med annan tillämplig nationell dataskyddslagstiftning (”dataskyddslagstiftning”).

Våra tjänster kan också innehålla länkar till externa webbplatser och tjänster som drivs av andra organisationer som vi inte styr. Denna integritetspolicy är inte tillämplig för deras användning, så vi uppmuntrar dig att granska de integritetspolicyer som gäller för dem. Vi ansvarar inte för integritetspolicyer för andra webbplatser eller externa tjänster.

 

 

2. DELAT PERSONUPPGIFTSANSVARIGA OCH KONTAKTUPPGIFTER

Gemensam controller: Epassi Finland Oy

Företagsnummer: 3220764-7

Adress: Porkalagatan 22 A, 00180 Helsingfors, Finland

E-post: dataprivacy@epassi.com

Representant för delat personuppgiftsansvarig: Mikael Nordenswan

 

Gemensam controller: Epassi Sweden AB

Företagsnummer: 556617-0030

Adress: Storgatan 31, 461 30 Trollhättan, Sverige

E-post: dataprivacy@epassi.com

Representant för delat personuppgiftsansvarig: Mikael Nordenswan

 

Gemensam controller: Epassi Clearing Oy

Företagsnummer: 2872241-9

Adress: Porkalagatan 22 A, 00180 Helsingfors, Finland

E-post: dataprivacy@epassi.com

Representant för delat personuppgiftsansvarig: Mikael Nordenswan

 

 

3. SYFTEN, TYPER AV PERSONUPPGIFTER, RÄTTSLIGA GRUNDER OCH KVARHÅLLNINGSTIDER FÖR BEHANDLING

Epassi samlar endast in sådana personuppgifter som är relevanta och nödvändiga för de ändamål som beskrivs i denna integritetspolicy. Personuppgifterna är föremål för regelbundna uppdateringar, i enlighet med gällande lag. Personuppgifterna behandlas helt separat från andra Epassi-system och är inte kopplade till andra behandlingssyften.

Personuppgifter kommer att behandlas i följande syften:

3.1. Autentisering av slutanvändare

Personuppgifterna behandlas i syfte att utföra slutanvändarnas KYC-process (Know Your Customer) så att Epassi kan identifiera slutanvändare i enlighet med lagstadgade skyldigheter och tillhandahålla slutanvändartjänster.

De personuppgifter vi behandlar inom ramen för detta syfte inkluderar:

  • Namn
  • Nationalitet
  • Födelsedatum
  • Personnummer eller personlig identifikationskod
  • Bostadsadress
  • Yrke
  • Politisk exponering
  • Information om dokumentet som används för att verifiera identiteten, eller om personen har identifierats på distans, information om förfarandet eller källor som används vid verifieringen

De personuppgifter som krävs för att autentisera slutanvändare behandlas av Telia Finland Oyj för Epassis räkning.

Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassis tjänster och högst fem år därefter, och även efter denna period ifall det finns öppna förfrågningar om slutanvändaren, eller om det krävs enligt den obligatoriska nationella lagstiftningen.

3.2. Autentisering av Tjänsteleverantörer

Personuppgifterna behandlas för att samla in och lagra KYC-informationen (Know Your Customer) och riskkategorierna för Epassis leverantörkunder för att uppfylla våra juridiska skyldigheter.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • Födelsedatum
  • Personlig identifieringskod
  • Nationalitet
  • PEP-status för ledamöter i styrelsen, VD och personer som äger mer än 25 % av bolaget

Uppgifterna behandlas av Visma Solutions Oy som personuppgiftsansvarig för Epassis räkning.

Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och högst fem år därefter, och även efter en sådan period om det finns öppna förfrågningar som rör konsumenten eller krävs i enlighet med tillämplig lagstiftning.

3.3. Epassi-produkt och systemdata

Personuppgifter hanteras för distribution, användning, underhåll och utveckling av Epassi-specifika och allmänna betalningsinstrument, finansiella uppgifter, applikationsanvändning och andra tekniska lösningars back-end-data.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • Namn
  • Företag (arbetsgivare)
  • Transaktionsinformation
  • Inköpshistorik
  • Åtkomstloggar
  • Användarenhet
  • E-postadress
  • Personnummer (i Sverige)
  • Telefonnummer
  • Postnummer
  • Användarsaldon
  • Personuppgifter som lämnas av den registrerade

Rättslig grund: Behandlingen av personuppgifter bygger på ett giltigt och rättsligt avtalsförhållande vid distribution och användning av tjänster, och i andra avseenden är behandlingen baserad på Epassis berättigade intresse att upprätthålla och utveckla sådana tjänster, både gentemot sina arbetsgivarkunder och slutanvändare (konsumentkunder). Behandlingen av den personnumret baseras på tillämplig lagstiftning eller samtycke från den registrerade personen.

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna och därefter i högst två år. Personuppgifter som behandlas och lagras för transaktions- och finansiell information lagras i tio år från datumet för skapandet i enlighet med tillämplig lag. Lagringen kan fortsätta under ännu längre perioder utifrån skäl som presenteras i avsnitt 3.1 och 3.2.

3.4. Rapportering till arbetsgivare om använda förmåner

Personuppgifter behandlas för att Epassis-arbetsgivarkunder ska kunna få rapporter om förmånsanvändningen i förhållande till tilldelade förmåner. Behandlingen är nödvändig för att informera arbetsgivarkunderna om användningen av anställningsförmåner i lönerelaterade syften, för att genomföra löneavdrag samt för beskattning och fakturering. Personuppgifter behandlas och delas även med Epassis-arbetsgivarkunder för att undersöka fall av bedrägeri eller missbruk (eller misstänkta fall).

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • Förmånsbelopp som getts
  • Förmånsbelopp som använts
  • Medarbetarenss namn, e-postaddress, ID och avdelning
  • De 10 mest populära handlarna som de anställda använt
  • Kategori av friskvårdsförmån som använts (i Sverige)
  • På begäran av förmånstagarens arbetsgivare: data relaterat till individuell förmånsanvändning (hur mycket förmån som använts (i SEK) och handlaren där köpet genomförts) (i Sverige).

Rättslig grund: Behandlingen av personuppgifter bygger på ett avtal. Behandlingen av personuppgifter bygger på lag (bedrägeri/missbruk).

Lagringstid: Personuppgifter lagras så länge slutanvändaren använder Epassi-tjänsterna. eller enligt lagkrav i fall av bedrägeri/missbruk (10 års transaktionsdata).

3.5. Lagring av slutanvändares transaktionshistorik   

Personuppgifter behandlas för att lagra slutanvändarnas transaktionshistorik för att vid behov fastställa eller försvara rättsliga anspråk.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • Namn
  • Företag
  • Transaktionsinformation
  • Inköpshistorik
  • Tillgångsloggar

Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis legitima intresse av att lagra transaktionshistorik för att kunna fastställa eller försvara rättsliga anspråk.

Lagringstid: Personuppgifter lagras under den period som är nödvändig för att fastställa, utöva eller försvara rättsliga anspråk. För transaktions- och finansinformation är lagringstiden minst 10 år i enlighet med tillämplig lag.

3.6. Användarkommunikation och marknadsföring

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • Namn
  • E-postadress
  • Telefonnummer
  • Användarinställningar
  • Användarsaldon
  • Företag (arbetsgivare)
  • Geografisk plats (i Sverige)

Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis berättigade intresse av att marknadsföra Epassi:s produkter och/eller tjänster till användarna. Behandlingen av personuppgifter grundar sig också på den registrerades samtycke till direktmarknadsföring för riktad marknadsföring och reklam samt marknadsföring av tredje parts produkter eller tjänster. Den registrerade har rätt att vägra att personuppgifter används för direktmarknadsföring och kan när som helst återkalla sitt samtycke.

Den elektroniska användarkommunikationen (som levereras via e-post) sker via APSIS och Apsis International AB fungerar som personuppgiftsansvarig. Mer information om dataöverföringar finns i avsnitt 6.

Lagringstid: Personuppgifter behandlas så länge slutanvändaren förblir kund hos Epassi och/eller har tillåtit relevanta direktmarknadsföringssyften.

3.7. Utvärdering och uppföljning av e-postmeddelanden

Personuppgifterna behandlas för att utvärdera och följa upp e-postmottagarnas aktiviteter när e-postmeddelandet har skickats till Epassi-tjänsternas slutanvändare. Detta kan också inbegripa att generera sammanställd statistik gällande aktiviteterna.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • E-postadress
  • Information om huruvida den registrerade personen har öppnat ett e-postmeddelande eller bifogat material eller om den registrerade personen har klickat på några länkar eller tagit bort e-postmeddelandet

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kunna följa upp hur e-postmottagare agerar när de får e-post från Epassi.

Lagringstid: Personuppgifter behandlas så länge slutanvändaren är kund hos Epassi och/eller har accepterat de relevanta marknadsföringsalternativen för direktmarknadsföring.

3.8. Webbplats, webbanalys och cookies   

Personuppgifterna behandlas för att utveckla Epassis tjänster med hjälp av webbanalys och cookies samt för att administrera vår webbplats och hantera användarförfrågningar.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • IP-adress
  • Användarinställningar
  • Användarenhet

Rättslig grund: Behandlingen av den personnumret baseras samtycke från den registrerade personen.

Lagringstid: Personuppgifter lagras i högst två år.

3.9. Kommunikation med Epassis arbetsgivare- och tjänsteleverantörskunder

Personuppgifterna behandlas för att kommunicera med Epassis arbetsgivare och kontaktpersoner för leverantörkunder.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • Namn
  • E-postadress
  • Telefonnummer
  • Bankkontonummer

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis berättigade intresse att kommunicera med Epassis arbetsgivarkunders och leverantörkunders kontaktpersoner.

Personuppgifterna behandlas av HubSpot, Inc. som personuppgiftsansvarig för Epassis räkning.

Lagringstid: Personuppgifter behandlas/lagras så länge som arbetsgivarens eller leverantörkundens kontaktperson är identifierad som kontaktperson som representerar företaget.

3.10. Marknasföring riktad mot Epassis arbetsgivarkunders kontaktpersoner

Personuppgifterna för kontaktpersonerna för Epassi arbetsgivarkunder kan användas för att marknadsföra Epassi och/eller dess partners tjänster. För att uppfylla detta syfte behandlar vi följande personuppgifter:

  • namn
  • e-postadress
  • telefonnummer

Rättslig grund: Personuppgifter behandlas baserat på samtycke från arbetsgivarkundens kontaktperson.

Lagringsperiod: Personuppgifter behandlas för marknadsföringsändamål under den tid marknadsföringskampanjen pågår och högst två (2) år därefter eller tills den registrerade återkallar sitt samtycke till databehandling.

3.11. Kommunicering med Epassis finansieringspartner för EpassiBIKE-tjänsten

Personuppgifterna behandlas för att kommunicera med Epassis finansieringspartner.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • Namn
  • E-postadress
  • Telefonnummer
  • Socialförsäkringsnummer av en borgensman för ett leasingavtal (endast i undantagsfall när en borgensman krävs av finansieringspartnern)

Rättslig grund: Behandlingen av personuppgifter grundar sig på Epassis berättigade intresse av att kommunicera med kontaktpersoner för Epassis finansieringspartner.

Personuppgifterna behandlas av Svea Bank AB eller Svea Bank AB, filial i Finland, eller Tukirahoitus Oy i egenskap av personuppgiftsbiträde för Epassis räkning.

Lagringstid: Personuppgifter behandlas/lagras så länge som finansieringspartnerns kontaktperson är identifierad som kontaktperson som representerar företaget.

3.12. Produktleveranser

Personuppgifterna behandlas för att kunna leverera produkter till Epassis slutanvändare.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • Namn
  • E-postadress
  • Telefonnummer
  • Leveransadress för produkten/produkterna
  • Arbetsgivarens namn

Rättslig grund: Behandlingen av personuppgifter grundar sig på ett avtal och på Epassis berättigade intresse av att kommunicera med Epassis arbetsgivarkunder och kontaktpersoner för leverantörkunder.

Personuppgifterna behandlas av Shopify, Inc. som processor på uppdrag av Epassi.

Lagringstid: Personuppgifter behandlas/lagras så länge slutanvändaren är anställd av samma arbetsgivare, hyr en produkt av en arbetsgivare eller så länge som en viss rättslig skyldighet kräver det.

3.13. Supportärenden

Personuppgifterna behandlas för att administrera supportärenden för Epassis arbetsgivarkunder och slutanvändare samt för att tillhandahålla telefonsupport.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • Kontaktuppgifter till den part som initierar supportärendet
  • Kontaktuppgifter till den person som ansvarar för att hantera ärendet
  • Information i textfält som tillhandahålls av den part som initierar supportärendet
  • Information i loggfiler
  • Telefonnummer

Rättslig grund: Behandlingen av personuppgifter baseras på Epassis legitima intresse av att administrera supportärendena.

Vissa supportärenden (telefonsupport i första instans) drivs via Vakka-Suomen Puhelin Oy i Finland som personuppgiftsbiträde där samtalen bandas in och sparas t.ex. för att verifiera innehållet i samtal ifall det råder tvist. Mer information om dataöverföring finns i avsnitt 6.

Kvarhållningsperiod: Personuppgifter lagras endast för detta ändamål så länge som det är nödvändigt för det ändamål för vilket de samlades in och därefter i högst 2 år.

3.14. Efterleva juridiska skyldigheter (bokföring, redovisning etc.)

Personuppgifterna behandlas för att uppfylla våra juridiska skyldigheter, till exempel bokförings- eller skattelagsrelaterade skyldigheter.

De personuppgifter som vi behandlar inom ramen för detta syfte omfattar:

  • Alla kategorier av personuppgifter som har samlats in och är nödvändiga för att uppfylla juridiska skyldigheter.

Rättslig grund: Behandlingen av personuppgifter bygger på en rättslig skyldighet.

Lagringstid: Personuppgifter lagras så länge som en viss rättslig skyldighet kräver. I Finland är man till exempel enligt bokföringslagen skyldig att bevara information om bokföringsmaterial i sex år efter räkenskapsårets slut. I Sverige är skyldigheten sju år efter räkenskapsårets slut.

När det gäller behandling som grundar sig på ett legitimt intresse har vi noggrant vägt det legitima intresset mot den registrerades rätt till integritet och kommit fram till att vårt intresse väger tyngre än den registrerades rättigheter och friheter.

Om behandlingen är sådan att ett samtycke krävs enligt tillämplig lagstiftning, kommer vi att informera om detta och erhålla samtycket, och detta kommer att vara den rättsliga grunden för behandlingen. Du har dock rätt att när som helst återkalla detta samtycke, utan att det påverkar legitimiteten i den behandling som baserats på samtycket innan det återkallades. Om ett sådant tillbakadragande innebär att vi inte längre kan tillhandahålla våra tjänster kan det hända att vi slutar tillhandahålla tjänsterna.

 

 

4. DATAKÄLLOR

Personuppgifterna samlas huvudsakligen direkt från de registrerade själva, till exempel vid registrering eller användning av våra tjänster eller i en kundrelation.

Personuppgifterna kan också samlas in från slutanvändarens arbetsgivare i relation till tjänster som tillhandahålls av arbetsgivaren och av Epassi till slutanvändaren. Dessa samlas in baserat på behovet av att ingå avtal med slutanvändaren som konsumentkund hos Epassi och skapa deras personliga konton på Epassi.

Personuppgifterna kan också samlas in automatiskt när den registrerade personen använder våra tjänster, till exempel vid användning av våra slutanvändartjänster och vid besök på vår webbplats.

Dessutom, och med den registrerade personens tillstånd, kan uppgifter samlas in på annat sätt i ett marknadsföringssammanhang.

Personuppgifter kan uppdateras och kompletteras genom att data samlas in från privata och offentliga källor.

 

 

5. KVARHÅLLING AV PERSONUPPGIFTER

Personuppgifter som samlas in i samband med våra tjänster ska bevaras så länge som det definieras i denna integritetspolicy och i enlighet med lagen såvida inte sådan information ersätts genom regelbundna uppdateringar eller på annat sätt. Kvarhållningsperioden varierar stort mellan olika typer av behandling.

Vi utvärderar personuppgiftsbehandlingens nödvändighet och personuppgifternas riktighet regelbundet och försöker se till att felaktiga och onödiga personuppgifter korrigeras eller raderas.

Detaljerade kvarhållningstider kan tillhandahållas på begäran.

6. TILLGÄNGLIGGÖRANDEN, ÖVERFÖRINGAR OCH MOTTAGARE AV PERSONUPPGIFTER

I de syften som anges i denna integritetspolicy kan personuppgifter vid behov lämnas ut till myndigheter, bland och till andra företag inom samma Epassi-koncern, och till utvalda tredje parter, till exempel tredjepartsleverantörer av tjänster (som våra IT-leverantörer och marknadsföringsbyråer som genomför marknadsföring för vår räkning etc.). I sådana fall kommer personuppgifterna endast att lämnas ut för de ändamål som definierats ovan och alla tillgängliggöranden är alltid begränsade till endast de absolut nödvändiga personuppgifter som krävs för sådana ändamål. Vi varken säljer eller på annat vis tillgängliggör personuppgifter till tredje part utanför Epassi för sådana tredje parters egna syften.

Regelbundna utlämningar av personuppgifter till tredje part för att tillhandahålla de överenskomna tjänsterna:

  • Till Epassi-partners, om denna partners kund också är en slutanvändare av Epassi och de två syftena sammanfaller och kräver korsöverföring eller matchning av personuppgifter;
  • Till Epassi-handlare, om det krävs för finansiella och betalningsrelaterade ändamål när man använder tjänsterna;
  • Till leverantörer av finansiella tjänster för finansieringsprodukter som tillhandahålls inom ramen för Epassis produktportfölj.

Dessutom kanEpassi dela med sig av personuppgifter i samband med fusioner, försäljning av våra tillgångar, finansiering eller förvärv av hela eller en del av vår verksamhet och i samband med andra liknande arrangemang.

Personuppgifterna lämnas också ut till tredje part om så krävs enligt tillämplig lag eller förordning av behöriga myndigheter, och för att undersöka eventuell överträdande användning av produkterna och tjänsterna samt för att garantera Epassis-produkters och tjänsters säkerhet och användbarhet.

För att Epassi ska kunna tillhandahålla de avtalade tjänsterna behandlas personuppgifter också av följande Epassi-personuppgiftsbiträden. Förteckning över processorer och andra mottagare:

  • APSIS International AB (marknadsföringsverktyg)
  • BitBot Oy (supportverktyg för EpassiBIKE i Finland)
  • Cellip AB (supportverktyg)
  • Epassi FInland Oy (IT-verksamhet)
  • Fortnox AB (finansieringsverktyg)
  • Freshworks Inc. (Supportverktyg)
  • Google LLC (Google Analytics, Google Ads)
  • HeadQ Oy (digital handelsplatform)
  • Hetzner Online GmbH (värd för plattformen för onlinetjänster)
  • HubSpot, Inc. (CRM-verktyg)
  • InExchange Factorum AB (elektronisk fakturering)
  • Kund-o AB (supportverktyg för ärendehantering)
  • Lime Technologies AB (CRM-verktyg, Epassis svenska arbetsgivarkunder och kontaktpersoner för leverantörkunder, gäller endast i Sverige)
  • Mainloop AB (IT-utveckling)
  • Microsoft Corporation (affärsverktyg)
  • Oneflow AB (digital avtalsplatform)
  • Oura Health Oy (marknadsföringspartner)
  • Parvus Vulpes Oy (plattformsverktyg)
  • Sharpspring (marknadsföringsverktyg)
  • Shopify (plattform för EpassiBIKE)
    • Lightward Inc. (Funktionsverktyg i Shopify)
    • HulkApps Inc. (Funktionsverktyg i Shopify)
    • Instacollect Inc. (Funktionsverktyg i Shopify)
  • Signicat AS (autentiseringstjänst)
  • Svea Bank AB och Svea Bank AB, filial i Finland eller Tukirahoitus Oy (finansieringspartner för EpassiBIKE)
  • Telavox AB (supportverktyg)
  • Telia Finland Oyj (stark autentisering)
  • Tradedoubler AB (marknadsföringsverktyg)
  • Vakka-Suomen Puhelin Oy (supporttjänster för kunder, endast i Finland)
  • Visma Solutions Oy (Netvisor och känn din kund).

7. ÖVERFÖRING AV UPPGIFTER UTANFÖR EU/EEA

Några av de tjänster som används av Epassi för behandling av personuppgifter kan bedrivas utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES). Således kan personuppgifter överföras utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet. Om personuppgifter överförs utanför EU/EES sker sådana överföringar antingen till ett land som anses ge tillräckligt integritetsskydd av EU-kommissionen, eller så utförs överföringar med hjälp av lämpliga skyddsåtgärder såsom implementerade standardavtalsklausuler (Standard Contractual Clauses, SCC), inklusive eventuella kompletterande åtgärder, när detta bedöms vara nödvändigt, eller på annat sätt som godkänns av EU-kommissionen eller behörig dataskyddsmyndighet i enlighet med GDPR.

Följande mottagare kan föra över personuppgifter utanför EU/ EES:

  • HubSpot, Inc. (Epassis finska arbetsgivarkunders och leverantörkunders kontaktpersonsuppgifter)
  • Shopify, Inc. (Epassis uppgifter om slutanvändare för EpassiBIKE)
    • Lightward Inc. (Funktionsverktyg i Shopify)
    • HulkApps Inc. (Funktionsverktyg i Shopify)
    • Instacollect Inc. (Funktionsverktyg i Shopify)

 

 

 

8. SKYDD AV PERSONUPPGIFTER

Att skydda personuppgifternas konfidentialitet, integritet och tillgänglighet är viktigt för Epassi. Epassis Security Management System bygger på kraven i lagar, förordningar, avtal och vissa standarder (som till exempel ISO 27001). Security Management System består av lämpliga tekniska, administrativa och organisatoriska säkerhetsåtgärder för att skydda personuppgifter mot obehörig åtkomst, tillgängliggörande, förstörelse eller annan obehörig behandling.

Administrativa och organisatoriska åtgärder:

  • Dedikerade servrar på två olika geografiska platser i EU. Anläggningar är certifierade mot internationellt erkänd informationssäkerhetsstandard.
  • Rollbaserad behörighetshantering

Tekniska åtgärder:

  • Brandväggar
  • Säkerhetskopiering
  • Åtkomstkontroller
  • Behandlingsövervakning
  • Säker krypteringsteknik
  • Krypterade nätverksanslutningar (HTTPS)

Med tanke på IT-hoten i dagens onlinemiljö kan vi dock inte ge fullständig garanti för att våra säkerhetsåtgärder kommer att förhindra att en tredje part med olagligt och illvilligt uppsåt får tillgång till personuppgifter, eller garantera absolut säkerhet för personuppgifterna vid överföring eller lagring i våra system.

Alla parter som behandlar personuppgifter har tystnadsplikt i frågor som rör behandling av personuppgifter. Åtkomsten till personuppgifter är begränsad till de anställda och parter som behöver dem för att utföra sina arbetsuppgifter. Vi kräver också att våra tjänsteleverantörer har lämpliga metoder på plats för att skydda personuppgifter.

9. ANVÄNDNING AV COOKIES OCH LIKNANDE TEKNIK

På Epassis webbplats använder cookies.

En cookie är en liten textfil som lagras på din dator och som innehåller information. Cookies används normalt för att förbättra webbplatsen för dig som besökare. Det finns två typer:

Den ena typen sparar en fil som finns kvar på besökarens dator. Denna fil används till exempel för att göra det lättare för dig att använda webbplatsen i enlighet med dina preferenser och intressen.

Den andra typen kallas sessionscookie. När en besökare besöker en webbplats lagras den tillfälligt i besökarens datorminne. Sessionscookies försvinner när du stänger din webbläsare. Ingen personlig information om dig lagras, till exempel din e-postadress och ditt namn.

Vår webbplats använder båda typerna. När du besöker webbplatsen skickas en sessionscookie mellan din dator och vår webbserver för att bland annat underlätta navigeringen. Sessionscookies används också när du använder våra e-tjänster. Cookien försvinner när du avslutar ditt besök.

Vår webbplats använder också Google Analytics för att samla in anonyma uppgifter i syfte att utveckla tjänsterna.

10. AUTOMATISERAT BESLUTSFATTANDE OCH PROFILERING

Epassi använder inte automatiserat beslutsfattande eller profilering i enlighet med artikel 22 i GDPR.

 

 

11. REGISTRERADE PERSONERS RÄTTIGHETER

Den registrerade personen har vissa rättigheter i samband med behandling av personuppgifter i enlighet med tillämpliga dataskyddslagar.

Rätt till åtkomst och rätt till inspektion

Den registrerade personen har rätt att få bekräftelse på huruvida personuppgifter som rör hen behandlas eller inte.

Den registrerade personen har rätt att inspektera och ta del av uppgifter om hen och, på begäran, rätt att få uppgifterna levererade i skriftlig eller elektronisk form. Detta gäller information som den registrerade personen har lämnat ut till Epassi i den mån behandlingen är baserad på ett avtal/samtycke.

Att utöva denna rättighet är i allmänhet kostnadsfritt.

Rätt till korrigering och rätt till borttagning

Den registrerade personen har rätt att kräva korrigering av felaktiga personuppgifter som rör hen och rätt att få ofullständiga personuppgifter kompletterade.

Den registrerade personen har rätt att kräva att Epassi raderar eller avslutar behandlingen av den registrerades personens personuppgifter, till exempel när uppgifterna inte längre är nödvändiga för behandlingens ändamål. Observera dock att vissa personuppgifter är absolut nödvändiga för att uppnå de ändamål som definieras i denna integritetspolicy och också kan behöva kvarhållas i enlighet med tillämpliga lagar.

Rätt till dataportabilitet

Den registrerade personen har rätt att ta emot de personuppgifter som hen har lämnat ut till Epassi i ett strukturerat, vanligen använt och maskinläsbart format och, om så önskas, överföra dessa uppgifter till en annan personuppgiftsansvarig. Rätten till dataportabilitet gäller behandlingen av personuppgifter baserat på samtycke eller avtal.

Rätt till begränsning av behandlingen

Den registrerade personen har rätt att under villkor som definieras i dataskyddslagstiftning begära begränsning av behandlingen av hens personuppgifter. I situationer där personuppgifter som misstänks vara felaktiga inte kan korrigeras eller tas bort, eller om begäran om borttagning är oklar, kommer Epassi att begränsa åtkomsten till sådana uppgifter.

Rätt att invända mot behandlingen

Den registrerade personen har rätt att invända mot behandlingen av sina personuppgifter om Epassi förlitar sig på sina legitima intressen som rättslig grund för behandlingen. Den registrerade personen kan till exempel invända mot att hens personuppgifter används för marknadsföringsändamål.

Rätt att dra tillbaka samtycke

I de fall behandlingen är baserad på de registrerade personens samtycke har den registrerade personen rätt att när som helst dra tillbaka sitt samtycke till sådan behandling.

Rätt att inkomma med klagomål till en tillsynsmyndighet

Den registrerade personen har rätt att inkomma med klagomål hos en behörig dataskyddsmyndighet om den registrerade personen anser att behandlingen av personuppgifter som rör den registrerade personen bryter mot gällande lagstiftning.

Vi begär dock att ärendet behandlas av Epassi i första hand.

Den behöriga myndigheten i Finland är dataskyddsombudsmannen (http://www.tietosuoja.fi)

I Sverige är den relevanta myndigheten den svenska dataskyddsmyndigheten (https://www.imy.se/).

Utövande av rättigheter

Begäranden gällande registrerade personers rättigheter ska göras skriftligen eller i elektronisk form och begäran ska riktas till den personuppgiftsansvarige, Epassi.

Identiteten kommer att kontrolleras innan information lämnas ut, och därför kan vi behöva be om ytterligare detaljer. Begäran kommer att besvaras inom rimlig tid, om möjligt inom en månad efter att begäran inkommit och identiteten verifierats.

Om den registrerade personens begäran inte kan tillgodoses ska avslag meddelas den registrerade personen skriftligen. Epassi kan avslå begäran (till exempel om borttagning av uppgifter) på grund av en för företaget lagstadgad skyldighet eller rättighet, till exempel en skyldighet eller ett anspråk som rör våra tjänster. Observera att Epassi kan ta ut en rimlig avgift om begäranden från en registrerad person är uppenbart ogrundade eller överdrivna, särskilt mot bakgrund av en repetitiv karaktär.

Den registrerade personen kan utöva ovan nämnda rättigheter genom att skicka en skriftlig begäran via e-post eller post med hjälp av kontaktuppgifterna i denna integritetspolicy, inklusive följande information: namn, telefonnummer, e-postadress, användar-ID och information om de produkter och tjänster du har använt.

Tveka inte att kontakta oss om du har frågor som rör vår dataskyddspolicy eller vill utöva dina rättigheter.

 

 

12. ÄNDRINGAR I DENNA INTEGRITETSPOLICY

Epassi kan när som helst ändra i denna integritetspolicy genom att meddela om detta på webbplatsen och/eller på annat tillämpligt sätt. Registrerade personer rekommenderas starkt att då och då granska integritetspolicyn på vår webbplats.

Om den registrerade personen motsätter sig någon av ändringarna i denna sekretesspolicy, bör den hen sluta använda tjänsterna, där så är tillämpligt, och hen kan begära att vi tar bort personuppgifterna såvida inte tillämpliga lagar kräver att vi behåller sådana personuppgifter. Om inget annat anges gäller den då gällande sekretesspolicyn för alla personuppgifter som vi behandlar vid den aktuella tidpunkten.

Denna integritetspolicy har publicerats den 21.10.2021, version 1.0

Versionshistorik

Versionsnummer

Ändringsbeskrivning

Datum

1.0

Dokument skapats

 

2.0

Dokumentet uppdaterats

25.2.2022

2.1

Dokumentet uppdaterats

17.3.2022

2.2

Dokument uppdaterat (EpassiBIKE)

21.6.2022

2.3

Dokumentet uppdaterats

3.5.2023

2.4

Dokumentet uppdaterats

21.11.2023

2.5

Dokumentet uppdaterats

19.12.2023

2.6

Dokumentet uppdaterats

15.3.2024

2.7

Dokumentet uppdaterats

12.9.2024