Dataskyddsbeskrivning Business Espoo
Registrets namn: Nätverket Business Espoos marknadsföringsregister.
Nätverket Business Espoos marknadsföringsregister.
De sju aktörerna inom Business Espoo är gemensamt personuppgiftsansvariga. Aktörerna i nätverket Business Espoo är:
- Espoon kaupunki / Esbo stad / City of Espoo
- Enter Espoo Oy
- Espoon Yrittäjät / Företagarna i Esbo / Federation of Espoo Enterprises
- Helsingin seudun kauppakamari / Helsingforsregionens handelskammare / Helsinki Region Chamber of Commerce
- Omnia
- Uudenmaan TE-toimisto / Nylands arbets- och näringsbyrå / Uusimaa TE Office
- Espoon Seudun Uusyrityskeskus ry / Esbonejdens Nyföretagarcentral rf /Espoo Regional Enterprise Agency
Otsvängen 5A, 02150 Esbo
Sari Mäkisalo
sari.makisalo@espoo.fi
Sari Mäkisalo
sari.makisalo@espoo.fi
Paula Pernilä, dataskyddsansvarig, Esbo stad
tietosuoja@espoo.fi
PB 12, 02070 ESBO STAD
Tfn +358 43 8273077
Marknadsföringsregistret används i marknadsföringen av Business Espoos tjänster och nätverksevenemang, utskick av nyhetsbrev och kundinformation samt i annan likställd verksamhet.
Vid marknadsföring till privatpersoner grundar sig behandlingen av registrets personuppgifter på den registrerades samtycke (artikel 6, punkt 1 a i dataskyddsförordningen).
Vid marknadsföring till företag grundar sig behandlingen av registrets personuppgifter på ett allmänt intresse (artikel 6, punkt 1 e i dataskyddsförordningen).
Personkategorier vars uppgifter kan behandlas är kontaktpersoner hos den personuppgiftsansvarigas kund- och partnerföretag, personer som å tjänstens vägnar räknas till samarbetspartner, potentiella kunder och/eller personer som omfattas av marknadsföringen och som har haft kontakt med den personuppgiftsansvariga samt deltagare i evenemang som ordnats av den personuppgiftsansvariga eller de som beviljat marknadsföringstillstånd.
Registret kan innehålla bland annat följande uppgifter om de registrerade:
- namn
- organisation (och avdelning) samt ställning
- organisationens adressuppgifter
- e-postadress
- telefonnummer
- marknadsåtgärder som riktats mot de registrerade och deltagandet i dem
- övriga uppgifter som personen själv har utlämnat
- eventuella postningsförbud (e-post och post)
- uppgifter om ändring av ovan nämnda uppgifter
- logguppgifter (t.ex. öppnande av nyhetsbrev)
Marknadsföringsregistrets uppgifter fås eller samlas in via klientskapet från den registrerade själv, Business Espoos aktörer samt via anmälan till evenemang som ordnas av tredje parter, Business Espoos webbplats businessespoo.com (kontaktformulär, nedladdning av material, formulär för prenumeration av nyhetsbrev) samt allmänt tillgängliga internetkällor och eventuella andra offentliga källor. Personuppgifter kan även samlas in, lagras och uppdateras från adress- och uppdateringsregister och andra register som en personuppgiftsansvarig för motsvarande tjänster tillhandahåller.
Personuppgifterna utlämnas inte regelmässigt till tredje parter. Business Espoos aktörer kan dock lämna ut uppgifter i den mån lagstiftningen tillåter, bland annat till sina samarbetspartner i marknadsföringssyfte, om den registrerade har gett sitt samtycke till utlämnande av uppgifter. Dessutom kan uppgifterna lämnas ut även i de fall där man anser att den tredje parten kan erbjuda särskild information eller särskilda fördelar för ett företag som representeras av en person i registret.
Uppgifterna överförs inte utanför EU eller Europeiska ekonomiska samarbetsområdet (EES).
Personuppgifterna lagras så länge som det är nödvändigt med tanke på Business Espoos verksamhet eller tills personen själv förbjuder behandlingen av uppgifterna.
Uppgifterna har lagrats i Business Espoos aktörers CRM-system samt som en Excel-fil i en låst Teams-grupparbetslokal, dit endast marknadsföringsregistrets användare har tillträde.
Användningen av datasystemen övervakas och för att få åtkomst till systemen krävs användarnamn och lösenord. Systemen kräver ändring av lösenordet med jämna mellanrum.
Cheferna beslutar om beviljade och återkallande av användarrättigheter. När anställningen upphör passiviseras användarrättigheterna.
Behandlingen av personuppgifter följs upp och övervakas med hjälp av användarlogguppgifter, om det är möjligt att erhålla logguppgifter från datasystemet.
Alla registeranvändare godkänner nätverket Business Espoos dataskyddsavtal för varje enskild aktör, som omfattar ett avtal om användning av uppgifterna och ett sekretessavtal. Personalen görs förtrogen med dataskyddet och en vederbörlig behandling av personuppgifterna.
Om manuellt material skrivs ut ur registret ska det förvaras i ett låst utrymme och endast den personuppgiftsansvariga har rätt att använda materialet.
Den registrerade har rätt att av den personuppgiftsansvariga få bekräftelse på huruvida hens personuppgifter behandlas eller inte behandlas. Den personuppgiftsansvariga ska lämna en kopia på de personuppgifter som behandlas. Om den registrerade ber om flera kopior, kan den personuppgiftsansvariga ta ut en rimlig avgift som grundar sig på de administrativa kostnaderna.
Den personuppgiftsansvariga ska lämna uppgifterna utan onödigt dröjsmål och under alla omständigheter inom en månad efter mottagandet av begäran. Tidsfristen kan vid behov förlängas med högst två månader med beaktande av komplexiteten och omfattningen av begäran. Den personuppgiftsansvariga ska underrätta den registrerade om en sådan möjlig förlängning inom en månad från mottagandet av begäran samt orsakerna till fördröjningen.
Om den personuppgiftsansvariga inte vidtar åtgärder på den registrerades begäran ska den personuppgiftsansvariga utan dröjsmål och senast en månad efter att ha mottagit begäran informera den registrerade om orsaken till detta och om möjligheten att lämna in ett klagomål till tillsynsmyndigheten och använda andra rättsmedel.
Information som tillhandahålls utifrån begäran om information om de egna uppgifterna samt med stöd av artiklarna 13 och 14 i EU:s allmänna dataskyddsförordning, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt.
Om den registrerades begäranden är uppenbart ogrundade eller orimliga, särskilt om de framförs upprepade gånger, kan den personuppgiftsansvariga antingen
- ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller
- vägra att tillmötesgå begäran. I dessa fall ska den personuppgiftsansvariga visa att begäran är uppenbart ogrundad eller orimlig.
Uppgiftsbegäran ställs till registrets kontaktperson.
Begäran som rör rätten till insyn i de registrerade uppgifterna kan lämnas till den registeransvariga.
Den registrerade har rätt att av den personuppgiftsansvariga utan onödigt dröjsmål få felaktiga personuppgifter som rör honom eller henne rättade.
Den registrerade har rätt att komplettera ofullständiga personuppgifter, bland annat genom att tillhandahålla ett kompletterande utlåtande. Huruvida det finns brister i uppgifterna avgörs med beaktande av syftet med behandlingen av registrets personuppgifter.
Om den personuppgiftsansvariga inte godkänner den registrerades begäran om rättelse av uppgifter, ska hen lämna ett skriftligt intyg om detta. I intyget ska anges även de orsaker till varför begäran inte har godkänts och informeras om möjligheten att lämna in ett klagomål till tillsynsmyndigheten och använda andra rättsmedel.
Begäran om rättelse ställs till registrets kontaktperson.
Utan att det påverkar något annat administrativt prövningsförfarande eller rättsmedel, har den registrerade rätt att lämna in ett klagomål till en tillsynsmyndighet, särskilt i den medlemsstat där hen har sin hemvist eller arbetsplats eller där det påstådda intrånget begicks, om den registrerade anser att behandlingen av hens personuppgifter strider mot denna förordning. Rätten grundar sig på EU:s allmänna dataskyddsförordning (2016/679 artikel 77).
Begärandena ställs till registrets kontaktperson.
Rätt att få uppgifter raderade (art. 17 i dataskyddsförordningen)
Den registrerade har rätt att av den personuppgiftsansvariga utan onödigt dröjsmål få sina personuppgifter raderade, förutsatt att något av villkoren i artikel 17 mom. 1 i dataskyddsförordningen uppfylls. Rätten att få uppgifter raderade finns inte bland annat om behandlingen av uppgifterna är nödvändig för att uppfylla en rättslig förpliktelse eller om uppgifterna behandlas för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvariga.
Rätt till begränsning av behandling (art. 18 i dataskyddsförordningen)
Den registrerade har rätt att av den personuppgiftsansvariga kräva att behandlingen av personuppgifterna begränsas om något av villkoren i artikel 18 mom. 1 punkt a–d uppfylls.
Rätt att göra invändningar (art. 21 i dataskyddsförordningen)
Den registrerade har, av skäl som hänför sig till hens specifika situation, rätt att när som helst göra invändningar mot behandlingen av hens personuppgifter, som grundar sig på utförandet av en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvariga. Den personuppgiftsansvariga får inte längre behandla personuppgifterna såvida denne inte kan påvisa tvingande berättigade skäl för behandlingen.
Om personuppgifterna behandlas för direkt marknadsföring har den registrerade rätt att när som helst invända mot behandlingen av hens personuppgifter för sådan marknadsföring, vilket inkluderar profilering i den utsträckning som denna har ett samband med sådan direkt marknadsföring. Om den registrerade invänder mot behandling för direkt marknadsföring ska personuppgifterna inte längre behandlas för sådana ändamål.
Rätt till dataportabilitet (art. 20 i dataskyddsförordningen)
Den registrerade har rätt till överföring endast om behandlingen grundar sig på ett samtycke eller ett avtal och om behandlingen sker automatiserat. Den registrerades rätt att överföra uppgifterna från ett system till ett annat tillämpas inte i fråga om en behandling som är nödvändig för att utföra en uppgift av allmänt intresse eller som är ett led i myndighetsutövning som utförs av den personuppgiftsansvariga.
Om behandlingen av uppgifterna grundar sig på ett samtycke, har den registrerade rätt att när som helst ta tillbaka sitt samtycke.