Dataskyddsbeskrivning för användare

Denna dataskyddsbeskrivning baserar sig på kraven enligt EU:s allmänna dataskyddsförordning (GDPR). Den senaste ändringen har gjorts 03.01.2024.


Registeransvarig

Namn: Kivra Oy

FO-nummer : 2918721-9

Besöksadress: Karlavägen 9 C, 02150 Esbo


Kontaktperson i registerärenden

Kivra Oy, tietosuoja@kivra.fi


Registrets namn och registrerade

Kivra Oy:s användarregister.

Kivras användarregister används för Kivras tjänster (digital postlåda och eventuella Tilläggstjänster).

För tydlighetens skull: Kivra fungerar som personuppgiftsansvarig för uppgifter som rör Användarna av Tjänsten. Avsändarorganisationen fungerar som registeransvarig när det gäller skapandet av elektroniska dokument och deras överföring till Användaren. Kivra fungerar under dokumentleveransen som personuppgiftsbiträde för avsändarens räkning och behandlar personuppgifter i enlighet med avsändarorganisationens instruktioner. Efter att ha tagit emot dokumentet från avsändarorganisationen blir Kivra personuppgiftsansvarig för dokumentet.


Vad är personuppgifter?

Personuppgifter är alla slags uppgifter som direkt eller indirekt kan kopplas till en levande fysisk person. Exempel på personuppgifter är namn, e-postadress, telefonnummer, postadress, personbetecknin, IP-adress, användarens dokument. Registret består av personuppgifter och användardokument.


Rättsgrund och syfte med behandling av personuppgifter?
Registrets personuppgifter
  • Personbeteckning
  • Epostadress
  • Mobiltelefonnummer
  • Namn
  • Postadress
  • IP-adress
  • Enhetens ID (Device-ID)
  • IBAN-kontonummer, om fakturor betalas genom Kivra, samt kontonamn som anges av banken eller kontonamn som användaren har angett
  • Brev, räkningar och annat innehåll, när det har anlänt till tjänsten
  • Annan information som följer med innehållet, såsom information om avsändare och räkningbetalningsinformation
  • Egna dokument som användaren laddar upp till tjänsten
  • Uppgifter som insamlas om användningen av Tjänsten (såsom inloggningsuppgifter, titta på innehåll, betala räkningar, delning av postlåda)

Kivra kan fortlöpande uppdatera Användarens adressuppgifter, namnuppgifter och personbeteckning genom att kontrollera dem i Befolkningsregistercentralens Befolkningsdatasystem.

Informationskälla:
  • Telia Identifiering – Stark elektronisk autentisering
  • Myndigheten för digitalisering och befolkningsdata (MDB) och Befolkningsdatasystemet (BDS)
  • Användare
  • Kivra (när Tjänsten används och e-post skickas till Kivra)
  • Kivra (varje gång i samband med inloggning)

Med hjälp av Användarens personbeteckning ber vi om Användarens namn- och adressuppgifter från Befolkningsregistercentralen.

Syfte:

För dataskydds skäl är det viktigt att säkerställa personens identitet. En entydig identifiering av personen är viktig så att dokumenten levereras till rätt person. Detta innebär att Kivra och Avsändaren använder en personuppgift element när de identifierar mottagare av digitala dokument. Identifiering av användare sker genom att Kivra jämför mottagarens personuppgift till den av avsändaren givna av mottagare, för att kunna adressera dokumenten till rätt person. Även avsändaren kan jämföra dokumentets mottagare personuppgift över personuppgift för Kivras Användare.

Personuppgifter kan användas för att verifiera att den registrerade är den person som den påstår sig vara bland annat i kontrollsyfte och för att vidta andra säkerhetsåtgärder.

E-postadressen fungerar som användarnamn och används för att identifiera dig när du loggar in i Tjänsten. Mobiltelefonnummer används varje gång när du loggar in i tjänsten för att skicka ett engångslösenord. Detta kallas för identifiering i två steg och används för att trygga ditt användarkonto.

E-postadress används när information om till exempel nya Avsändare skickas till Användaren (man kan vägra ta emot dessa meddelanden via länken i nyhetsbrevet). Kivra har rätt att informera Användaren när en ny Avsändare börjar skicka dokument till Tjänsten.

Kivra kan använda e-postadress och/eller mobiltelefonnummer för att informera Användaren om viktiga ärenden relaterade till tjänsten, såsom nya digitala dokument och användarvillkor. Av säkerhetsskäl är det nödvändigt för Kivra att få både e-postadress och mobiltelefonnummer, så att registrerade får information om nya digitala dokument i Tjänsten (e-post påminnelser om olästa dokument och obetalda fakturor kan dock spärras via Tjänsten). Observera att en del av kommunikationen relaterad till Tjänsten, såsom ändringar av villkoren, inte kan spärras.

Namn används i kommunikationen för att göra Kivras tjänster mer personliga genom att till exempel skriva “Hej X” i meddelanden.

IP-adressen sparas i Kivras system i 45 dagar i logguppgifterna, så att Kivra kan diagnosticera fel, avvärja attacker och risker samt utveckla Tjänsten (främst när det gäller Tjänstens säkerhet).

För att vi ska kunna skicka push-notifikationer till dig via mobila enheter behöver vi enhetens ID.

Enhetens ID används när man loggar in med fingeravtryck (fingerprint login). Enhetens ID kan användas i produktutvecklingen av Tjänsten (främst när det gäller Tjänstens säkerhet).

För att kunna betala lägger Användaren sina bankuppgifter till tjänsten. IBAN-kontonumret lagras i tjänsten.

Innehåll som har anlänt och laddats upp till tjänsten lagras på uppdrag av användaren för att möjliggöra användningen av tjänsten. Annan information som följer med innehållet, såsom räkningbetalningsinformation, används för att möjliggöra användningen av tjänsten.

Informationen som genereras från betalningen uppdateras tillsammans med räkningarna, så att informationen om betalningen når användaren.

Uppgifter som insamlas om användningen av Tjänsten (såsom inloggningsuppgifter) behandlas för att administrera och utveckla Tjänsten.

Rättsgrund:

Rättsgrund är avtalet mellan Användaren och Kivra (i samband med registrering och godkännande av Kivras allmänna användarvillkor) och berättigat intresse (motiveras med Kivras starka behov av att informera Användaren om att denne får digitala dokument till Tjänsten från en ny Avsändare och Kivras starka behov av att avvärja attacker och risker samt hela tiden förbättra Tjänsten och göra den mer säker). Kivra har rätt att behandla användarens personnummer, eftersom entydig identifiering av användaren är viktig för att användarens och Kivras rättigheter och skyldigheter ska uppfyllas enligt 29 § 1 mom. 2 i dataskyddslagen.


Skydd av personuppgifter

Kivras alla medarbetare har grundläggande kunskap om dataskyddet, och Kivra strävar efter att säkerställa att personuppgifter behandlas korrekt. De databaser i vilka personuppgifter förvaras har skyddats med brandväggar, lösenord och andra tekniska metoder. Databaserna säkerhetskopieras regelbundet. Databaserna och säkerhetskopiorna av dem finns i låsta och övervakade utrymmen. Endast personer vars arbetsuppgifter förutsätter det har tillgång till databaserna. De personer som behandlar uppgifterna har tystnadsplikt.


Hur länge förvaras personuppgifter?

Kivra har entydig praxis för radering av personuppgifter. Detta innebär att personuppgifter endast förvaras så länge som en grund för det föreligger, dvs. så länge som syftet med behandlingen kräver det.

En del förvaringstider för behandlade personuppgifter påverkas av lagstadgade föreskrifter och säkerhetsaspekter.

Avtal:

Personuppgifter vars rättsgrund bygger på avtal behandlas så länge som du använder Tjänsten.

Om du avbryter eller avslutar användningen av Tjänsten raderar Kivra alla dina personuppgifter fyrtiofem (45) dagar efter att du stängt tjänsten (se allmänna användarvillkor för Tjänsten). Tidsfristen har fastställts med beaktande av Användarens möjligheter att överföra och spara dokument på annat håll och ge Avsändaren tid att börja skicka dokument via en annan kanal.

Kundtjänst:

De personuppgifter som Kivra behandlar om registrerade i kundtjänsten sparas upp till 180 dagar. Denna förvaringstid är nödvändig för att Kivra ska kunna hjälpa kunder och följa upp ärenden relaterade till kundtjänsten.

Befolkningsdatasystemets logguppgifter:

De personbeteckningar som Kivra behandlar i sambandmed sina tjänster sparas i befolkningsdatasystemets logguppgifter i fem (5) år. Denna förvaringstid är nödvändig för att Kivra ska kunna upptäcka, följa upp, administrera och korrigera säkerhetsåtgärder relaterade till personuppgifter.

Applikationslogg:

Personuppgifter som behandlas i tjänsterna förvaras i applikationsloggarna i fyrtiofem (45) dagar efter stängningen av Tjänsten. Applikationsloggar behandlas endast internt inom Kivra.


Vem har tillgång till personuppgifter?

Vi behandlar personuppgifter mycket exakt och omsorgsfullt. Vi uppskattar vars och ens rätt att skydda personuppgifter. Kivra säljer aldrig personuppgifter till tredje parter eller exponerar dem för dataskyddskränkningar. Kivra utlämnar inte heller eller använder personuppgifter för andra än ovan nämnda syften.

Personuppgifter behandlas endast av personer som måste göra det på grund av sina arbetsuppgifter

Kivra vidtar alla nödvändiga juridiska, tekniska och organisatoriska åtgärder för att säkerställa att personuppgifter behandlas säkert och är tillräckligt skyddade. Detta gäller både Kivra internt och tredje parter med vilka Kivra samarbetar. Endast personer som måste behandla personuppgifter i ovan nämnda syfte har tillgång till personuppgifter. Alla som behandlar personuppgifter har tystnadsplikt.

Kivras underleverantörer och företag inom samma koncern

Kivra kan anlita underleverantörer och företag inom samma koncern för att tillhandahålla Tjänsten. Underleverantörer producerar bland annat IT-tjänster för Kivra. Underleverantörer och företag inom samma koncern kan behandla personuppgifter för Kivras räkning. I sådana situationer är Kivra skyldig att säkerställa att en sådan parts behandling av personuppgifter sker enligt dataskyddslagstiftningen och endast i det syfte som Kivra informerar registrerade om i tabellen ovan. En förutsättning för överföring av personuppgifter är att de organisationer som tar emot och behandlar dem har ingått avtal med Kivra om att personuppgifter behandlas lagenligt.

BRC

Kivra kan kontrollera dina personuppgifter i statens personuppgiftsregister (Befolkningsdatasystem (BDS)) för se till att uppgifterna om registrerade är uppdaterade och korrekta.

Myndigheter

I lagstadgade situationer kan Kivra utlämna personuppgifter till myndigheter, till exempel polisen.


Var behandlas personuppgifter?

Kivra behandlar personuppgifter främst endast i Finland. Det kan dock förekomma situationer där det tekniska tillhandahållandet av Tjänsten förutsätter att personuppgifter behandlas i ett annat EU- eller EES-land.


Automatiskt beslutsfattande

Kivra fattar inte automatiserade beslut eller utför profilering som baserar sig på dina personuppgifter.


Vilka rättigheter har registrerade?

Du kan kontakta Kivra om du har frågor om behandlingen av personuppgifter eller vill använda dina rättigheter relaterade till behandling av personuppgifter. Då kan du kontakta Kivra på tietosuoja@kivra.fi.

Dina rättigheter relaterade till behandling av personuppgifter:

Du har rätt att få information om insamlingen och behandlingen av dina personuppgifter. Behandlingen av personuppgifter ska vara transparent.

Du har rätt till insyn i dina personuppgifter, dvs. på begäran får du veta om Kivra behandlar personuppgifter om dig. Du har också rätt att få en kopia av dessa personuppgifter. Berätta tydligt i din begäran vilka uppgifter du vill se. Uppgifterna är avgiftsfria​och skickas till dig per brev eller på annat sätt digitalt utan onödigt dröjsmål (inom en (1) månad). Om du har flera förfrågningar eller om de är komplicerade kan tidsfristen förlängas med två månader. Förlängningen av tidsfristen ska motiveras. Om de uppgifter som du vill ha inte kan lämnas till dig ska Kivra motivera detta.

Du har rätt att begära att dina personuppgifter rättas till. Det är viktigt att de uppgifter om dig som Kivra behandlar är korrekta. Om ditt telefonnummer, din e-postadress eller andra kontaktuppgifter ändras eller om du upptäcker att våra uppgifter om dig är inexakta, felaktiga eller bristfälliga har du rätt att be oss att korrigera dem.

I vissa situationer har du rätt att begära att personuppgifterna raderas och ”bli glömd” utan oskäligt dröjsmål. Till exempel om uppgifterna inte längre behövs i det syfte för vilka de inhämtats har du rätt att bli glömd. Denna rättighet föreligger dock inte om lagstadgade skyldigheter ålägger Kivra att inte radera personuppgifter. Om du begär att uppgifterna ska raderas raderar Kivra alla uppgifter om dig som kan raderas. Kivra raderar dock personuppgifter om dig utan separat begäran efter att lagen eller andra skyldigheter inte längre kräver förvaring av dem.

Du har rätt att begära att Kivra begränsar behandlingen av dina personuppgifter i vissa situationer. Behandlingen av personuppgifter kan begränsas till exempel om du begärt oss korrigera uppgifter men detta dröjer. I en sådan situation begränsar behandlingen tills vi åtgärdat din begäran.

I vissa situationer har du rätt att överföra uppgifterna från ett system till ett annat. Detta innebär att du har rätt att få dina personuppgifter i ett strukturerat, allmänt använt digitalt format och överföra dem till en annan registeransvarig. Du kan få uppgifterna överförda direkt till en annan registeransvarig endast om det är tekniskt möjligt.

I vissa situationer har du rätt att motsätta dig behandlingen av dina uppgifter, dvs. begära att dina personuppgifter inte behandlas överhuvudtaget. Du har rätt att motsätta dig behandling när rättsgrunden för behandlingen av uppgifterna är berättigat intresse (se ovan när rättsgrunden för vår behandling är berättigat intresse). Beskriv i din begäran vilken behandling du motsätter dig.

Kivra svarar på begäran inom en (1) månad från mottagandet, såvida särskilda skäl för att förlänga svarstiden föreligger. Vid behov kan Kivra be den som skickar en begäran att identifiera sig och precisera begäran. Åtgärder relaterade till begäran vidtas utan dröjsmål efter svaret, såvida inget annat nämns. Kivra kan vägra att uppfylla din begäran på lagstadgade grunder.


Till vem kan jag lämna klagomål?

Om du anser att Kivra behandlar dina personuppgifter i strid med tillämplig dataskyddslagstiftning vill vi att du informerar oss om detta. Du kan kontakta Kivra på tietosuoja@kivra.fi. Du har också rätt att lämna klagomål till Dataombudsmannens byrå. Ytterligare information finns på Dataombudsmannens byrås webbplats www.tietosuoja.fi.


Uppdatering av denna dataskyddsbeskrivning

Kivra förbehåller sig rätten att när som helst ändra denna dataskyddsbeskrivning, eftersom Kivra utvecklar Tjänsten hela tiden. Även när lagstiftningen ändras kan uppdateringar bli aktuella. Ändringar träder i kraft när den uppdaterade beskrivningen publiceras. Därför ska du regelbundet ta del av denna dataskyddsbeskrivning. Den nyaste versionen av dataskyddsbeskrivningen finns alltid på Kivras webbplats.