Dataskyddsbeskrivning för användare

Denna dataskyddsbeskrivning baserar sig på kraven enligt EU:s allmänna dataskyddsförordning (GDPR). Den senaste ändringen har gjorts 29.10.2019.


Registeransvarig

Namn: Kivra Oy

FO-nummer : 2918721-9

Besöksadress: Karlavägen 9 C, 02150 Esbo


Kontaktperson i registerärenden

Kivra Oy, tietosuoja@kivra.fi


Registrets namn och registrerade

Kivra Oy:s användarregister.

Kivras användarregister används för Kivras tjänster (digital postlåda och eventuella Tilläggstjänster).

För tydlighets skull: Kivra är registeransvarig för uppgifter om Tjänstens Användare. En avsändande organisation är registeransvarig för upprättande och förmedling av digitala dokument till Användaren. Då ansvarar den avsändande organisationen för behandlingen av personuppgifter. Kivra behandlar personuppgifter för avsändarens räkning enligt de avsändande organisationernas anvisningar.


Vad är personuppgifter?

Personuppgifter är alla slags uppgifter som direkt eller indirekt kan kopplas till en levande fysisk person. Exempel på personuppgifter är namn, e-postadress, telefonnummer, postadress, personbeteckning och IP-adress. Registret består av personuppgifter.


Rättsgrund och syfte med behandling av personuppgifter?
Registrets personuppgifter
  • Personbeteckning
  • Epostadress
  • Mobiltelefonnummer
  • Namn
  • Postadress
  • IP-adress
  • Enhetens ID (Device-ID)
  • Uppgifter som insamlas om användningen av Tjänsten (såsom inloggningsuppgifter)

Kivra kan fortlöpande uppdatera Användarens adressuppgifter, namnuppgifter och personbeteckning genom att kontrollera dem i Befolkningsregistercentralens Befolkningsdatasystem.

Informationskälla:
  • Telia Identifiering – Stark elektronisk autentisering
  • Befolkningsregistercentralen (BRC) Befolkningsdatasystemet (BDS)
  • Användare
  • Kivra (när Tjänsten används och e-post skickas till Kivra)
  • Kivra (varje gång i samband med inloggning)

Med hjälp av Användarens personbeteckning ber vi om Användarens namn- och adressuppgifter från Befolkningsregistercentralen.

Syfte:

För dataskydds skäl är det viktigt att säkerställa personens identitet. En entydig identifiering av personen är viktig så att dokumenten levereras till rätt person. Detta innebär att Kivra och Avsändaren använder en personuppgift element när de identifierar mottagare av digitala dokument. Identifiering av användare sker genom att Kivra jämför mottagarens personuppgift till den av avsändaren givna av mottagare, för att kunna adressera dokumenten till rätt person. Även avsändaren kan jämföra dokumentets mottagare personuppgift över personuppgift för Kivras Användare.

Personuppgifter kan användas för att verifiera att den registrerade är den person som den påstår sig vara bland annat i kontrollsyfte och för att vidta andra säkerhetsåtgärder.

E-postadressen fungerar som användarnamn och används för att identifiera dig när du loggar in i Tjänsten. Mobiltelefonnummer används varje gång när du loggar in i tjänsten för att skicka ett engångslösenord. Detta kallas för identifiering i två steg och används för att trygga ditt användarkonto.

E-postadress används när information om till exempel nya Avsändare skickas till Användaren (man kan vägra ta emot dessa meddelanden via länken i nyhetsbrevet). Kivra har rätt att informera Användaren när en ny Avsändare börjar skicka dokument till Tjänsten.

Kivra kan använda e-postadress och/eller mobiltelefonnummer för att informera Användaren om viktiga ärenden relaterade till tjänsten, såsom nya digitala dokument och användarvillkor. Av säkerhetsskäl är det nödvändigt för Kivra att få både e-postadress och mobiltelefonnummer, så att registrerade får information om nya digitala dokument i Tjänsten (e-post påminnelser om olästa dokument och obetalda fakturor kan dock spärras via Tjänsten). Observera att en del av kommunikationen relaterad till Tjänsten, såsom ändringar av villkoren, inte kan spärras.

Namn används i kommunikationen för att göra Kivras tjänster mer personliga genom att till exempel skriva “Hej X” i meddelanden.

IP-adressen sparas i Kivras system i 45 dagar i logguppgifterna, så att Kivra kan diagnosticera fel, avvärja attacker och risker samt utveckla Tjänsten (främst när det gäller Tjänstens säkerhet).

För att vi ska kunna skicka push-notifikationer till dig via mobila enheter behöver vi enhetens ID.

Enhetens ID används när man loggar in med fingeravtryck (fingerprint login). Enhetens ID kan användas i produktutvecklingen av Tjänsten (främst när det gäller Tjänstens säkerhet).

Uppgifter som insamlas om användningen av Tjänsten (såsom inloggningsuppgifter) behandlas för att administrera och utveckla Tjänsten.

Rättsgrund:

Rättsgrund är avtalet mellan Användaren och Kivra (i samband med registrering och godkännande av Kivras allmänna användarvillkor) och berättigat intresse (motiveras med Kivras starka behov av att informera Användaren om att denne får digitala dokument till Tjänsten från en ny Avsändare och Kivras starka behov av att avvärja attacker och risker samt hela tiden förbättra Tjänsten och göra den mer säker). Behandling av sociala signum baserar sig också på användarens samtycke om behandling som är jämförbar med den verksamhet på personskyddslagen i 29 § 2.


Skydd av personuppgifter

Kivras alla medarbetare har grundläggande kunskap om dataskyddet, och Kivra strävar efter att säkerställa att personuppgifter behandlas korrekt. De databaser i vilka personuppgifter förvaras har skyddats med brandväggar, lösenord och andra tekniska metoder. Databaserna säkerhetskopieras regelbundet. Databaserna och säkerhetskopiorna av dem finns i låsta och övervakade utrymmen. Endast personer vars arbetsuppgifter förutsätter det har tillgång till databaserna. De personer som behandlar uppgifterna har tystnadsplikt.


Hur länge förvaras personuppgifter?

Kivra har entydig praxis för radering av personuppgifter. Detta innebär att personuppgifter endast förvaras så länge som en grund för det föreligger, dvs. så länge som syftet med behandlingen kräver det.

En del förvaringstider för behandlade personuppgifter påverkas av lagstadgade föreskrifter och säkerhetsaspekter.

Avtal:

Personuppgifter vars rättsgrund bygger på avtal behandlas så länge som du använder Tjänsten.

Om du avbryter eller avslutar användningen av Tjänsten raderar Kivra alla dina personuppgifter fyrtiofem (45) dagar efter att du stängt tjänsten (se allmänna användarvillkor för Tjänsten). Tidsfristen har fastställts med beaktande av Användarens möjligheter att överföra och spara dokument på annat håll och ge Avsändaren tid att börja skicka dokument via en annan kanal.

Kundtjänst:

De personuppgifter som Kivra behandlar om registrerade i kundtjänsten sparas upp till 180 dagar. Denna förvaringstid är nödvändig för att Kivra ska kunna hjälpa kunder och följa upp ärenden relaterade till kundtjänsten.

Befolkningsdatasystemets logguppgifter:

De personbeteckningar som Kivra behandlar i sambandmed sina tjänster sparas i befolkningsdatasystemets logguppgifter i fem (5) år. Denna förvaringstid är nödvändig för att Kivra ska kunna upptäcka, följa upp, administrera och korrigera säkerhetsåtgärder relaterade till personuppgifter.

Applikationslogg:

Personuppgifter som behandlas i tjänsterna förvaras i applikationsloggarna i fyrtiofem (45) dagar efter stängningen av Tjänsten. Applikationsloggar behandlas endast internt inom Kivra.


Vem har tillgång till personuppgifter?

Vi behandlar personuppgifter mycket exakt och omsorgsfullt. Vi uppskattar vars och ens rätt att skydda personuppgifter. Kivra säljer aldrig personuppgifter till tredje parter eller exponerar dem för dataskyddskränkningar. Kivra utlämnar inte heller eller använder personuppgifter för andra än ovan nämnda syften.

Personuppgifter behandlas endast av personer som måste göra det på grund av sina arbetsuppgifter

Kivra vidtar alla nödvändiga juridiska, tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter behandlas säkert och är tillräckligt skyddade. Detta gäller både Kivra internt och tredje parter med vilka Kivra samarbetar. Endast personer som måste behandla personuppgifter i ovan nämnda syfte har tillgång till personuppgifter. Alla som behandlar personuppgifter har tystnadsplikt.

Kivras underleverantörer och företag inom samma koncern

Kivra kan anlita underleverantörer och företag inom samma koncern för att tillhandahålla Tjänsten. Underleverantörer producerar bland annat IT-tjänster för Kivra. Underleverantörer och företag inom samma koncern kan behandla personuppgifter för Kivras räkning. I sådana situationer är Kivra skyldig att säkerställa att en sådan parts behandling av personuppgifter sker enligt dataskyddslagstiftningen och endast i det syfte som Kivra informerar registrerade om i tabellen ovan. En förutsättning för överföring av personuppgifter är att de organisationer som tar emot och behandlar dem har ingått avtal med Kivra om att personuppgifter behandlas lagenligt.

BRC

Kivra kan kontrollera dina personuppgifter i statens personuppgiftsregister (Befolkningsregistercentralens (BRC) Befolkningsdatasystem (BDS)) för se till att uppgifterna om registrerade är uppdaterade och korrekta.

Myndigheter

I lagstadgade situationer kan Kivra utlämna personuppgifter till myndigheter, till exempel polisen.


Var behandlas personuppgifter?

Kivra behandlar personuppgifter främst endast i Finland. Det kan dock förekomma situationer där det tekniska tillhandahållandet av Tjänsten förutsätter att personuppgifter behandlas i ett annat EU- eller EES-land och i exceptionella fall även utanför dessa länder. Om Kivra måste anlita en leverantör utanför EU/EES säkerställer Kivra att personuppgifter behandlas lagenligt till exempel genom avtal som är förenliga med EU-kommissionens mallavtalsklausuler.


Automatiskt beslutsfattande

Kivra fattar inte automatiserade beslut eller utför profilering som baserar sig på dina personuppgifter.


Vilka rättigheter har registrerade?

Du kan kontakta Kivra om du har frågor om behandlingen av personuppgifter eller vill använda dina rättigheter relaterade till behandling av personuppgifter. Då kan du kontakta Kivra på tietosuoja@kivra.fi.

Dina rättigheter relaterade till behandling av personuppgifter:

Du har rätt att få information om insamlingen och behandlingen av dina personuppgifter. Behandlingen av personuppgifter ska vara transparent.

Du har rätt till insyn i dina personuppgifter, dvs. på begäran får du veta om Kivra behandlar personuppgifter om dig. Du har också rätt att få en kopia av dessa personuppgifter. Berätta tydligt i din begäran vilka uppgifter du vill se. Uppgifterna är avgiftsfria​och skickas till dig per brev eller på annat sätt digitalt utan onödigt dröjsmål (inom en (1) månad). Om du har flera förfrågningar eller om de är komplicerade kan tidsfristen förlängas med två månader. Förlängningen av tidsfristen ska motiveras. Om de uppgifter som du vill ha inte kan lämnas till dig ska Kivra motivera detta.

Du har rätt att begära att dina personuppgifter rättas till. Det är viktigt att de uppgifter om dig som Kivra behandlar är korrekta. Om ditt telefonnummer, din e-postadress eller andra kontaktuppgifter ändras eller om du upptäcker att våra uppgifter om dig är inexakta, felaktiga eller bristfälliga har du rätt att be oss att korrigera dem.

I vissa situationer har du rätt att begära att personuppgifterna raderas och ”bli glömd” utan oskäligt dröjsmål. Till exempel om uppgifterna inte längre behövs i det syfte för vilka de inhämtats har du rätt att bli glömd. Denna rättighet föreligger dock inte om lagstadgade skyldigheter ålägger Kivra att inte radera personuppgifter. Om du begär att uppgifterna ska raderas raderar Kivra alla uppgifter om dig som kan raderas. Kivra raderar dock personuppgifter om dig utan separat begäran efter att lagen eller andra skyldigheter inte längre kräver förvaring av dem.

Du har rätt att begära att Kivra begränsar behandlingen av dina personuppgifter i vissa situationer. Behandlingen av personuppgifter kan begränsas till exempel om du begärt oss korrigera uppgifter men detta dröjer. I en sådan situation begränsar behandlingen tills vi åtgärdat din begäran.

I vissa situationer har du rätt att överföra uppgifterna från ett system till ett annat. Detta innebär att du har rätt att få dina personuppgifter i ett strukturerat, allmänt använt digitalt format och överföra dem till en annan registeransvarig. Du kan få uppgifterna överförda direkt till en annan registeransvarig endast om det är tekniskt möjligt.

I vissa situationer har du rätt att motsätta dig behandlingen av dina uppgifter, dvs. begära att dina personuppgifter inte behandlas överhuvudtaget. Du har rätt att motsätta dig behandling när rättsgrunden för behandlingen av uppgifterna är berättigat intresse (se ovan när rättsgrunden för vår behandling är berättigat intresse). Beskriv i din begäran vilken behandling du motsätter dig.

Kivra svarar på begäran inom en (1) månad från mottagandet, såvida särskilda skäl för att förlänga svarstiden föreligger. Vid behov kan Kivra be den som skickar en begäran att identifiera sig och precisera begäran. Åtgärder relaterade till begäran vidtas utan dröjsmål efter svaret, såvida inget annat nämns. Kivra kan vägra att uppfylla din begäran på lagstadgade grunder.


Till vem kan jag lämna klagomål?

Om du anser att Kivra behandlar dina personuppgifter i strid med tillämplig dataskyddslagstiftning vill vi att du informerar oss om detta. Du kan kontakta Kivra på tietosuoja@kivra.fi. Du har också rätt att lämna klagomål till Dataombudsmannens byrå. Ytterligare information finns på Dataombudsmannens byrås webbplats www.tietosuoja.fi.


Uppdatering av denna dataskyddsbeskrivning

Kivra förbehåller sig rätten att när som helst ändra denna dataskyddsbeskrivning, eftersom Kivra utvecklar Tjänsten hela tiden. Även när lagstiftningen ändras kan uppdateringar bli aktuella. Ändringar träder i kraft när den uppdaterade beskrivningen publiceras. Därför ska du regelbundet ta del av denna dataskyddsbeskrivning. Den nyaste versionen av dataskyddsbeskrivningen finns alltid på Kivras webbplats.