Ung företagsamhet och ekonomi NYT:s dataskyddsbeskrivning:

1. Personuppgiftsansvarig

Personuppgiftsansvarig

Ung företagsamhet och ekonomi NYT (senare också NYT eller föreningen)
FO-nummer                      0202391-9
Adress                          Södra kajen 10, 00130 Helsingfors
Telefon                      0400 888 999
Kontaktperson            Dataskyddsombud Ville Salo, ville.salo@nuortennyt.fi

2. Registrets namn

Ung företagsamhet och ekonomi NYT rf:s kundregister.

3. Ändamål med och rättslig grund för behandling av personuppgifter

Syftet med kundregistret är att upprätthålla NYT:s kundregister och hantera kundrelationen. Uppgifterna i kundregistret behandlas och arkiveras också för att uppfylla föreningens lagstadgade skyldigheter (inklusive skyldigheterna i bokföringslagen (1336/1997)). Personuppgifter används också för att utveckla föreningens verksamhet, undersöka effektiviteten hos NYT:s tjänster och för att producera ett mer personligt riktat innehåll i våra webbtjänster. Personuppgifter behandlas inom gränserna för Europeiska unionens allmänna dataskyddsförordning (EU 2016/679) och annan tillämplig dataskyddslagstiftning.

Kundregistrets uppgifter kan dessutom användas i föreningens egna andra personregister till exempel för riktad reklam utan att överlämna personuppgifter till utomstående parter. För att upprätthålla kund- och tjänsteförhållandet kan föreningen använda samarbetspartner, varvid delar av kontaktuppgifterna som registret innehåller kan överföras till samarbetspartnerns server på grund av tekniska krav (se punkt 5). I detta fall behandlas uppgifterna via tekniska gränssnitt endast för att upprätthålla föreningens kundförhållande. Föreningen har rätt att publicera uppgifter som finns i kundregistret, som en elektronisk eller skriftlig katalog, om kunden inte särskilt förbjudit detta. I det här fallet menar vi med katalog t.ex. postklistermärken till direktreklam eller motsvarande. Kunden har rätt att förbjuda att dennes uppgifter publiceras genom att meddela föreningen per e-post (tietosuoja(a)nuortennyt.fi) eller kundregistrets kontaktperson.

Personuppgifter används inte vid automatiserat beslutsfattande eller profilering.

Behandlingen av personuppgifter om användare som är registrerade i de digitala tjänsterna grundar sig på ett avtal.

Behandlingen av personuppgifter som sker vid utbildningar och evenemang eller för deras ändamål, samt behandlingen av personuppgifter om kontaktpersoner för samfundskunder, grundar sig på berättigat intresse

Behandlingen av personuppgifter om särskilda dieter och eventuella icke-nödvändiga cookies baseras på samtycke.

4. Grunden för berättigat intresse

Grunden för det berättigade intresset att behandla kundregistrets personuppgifter är att möjliggöra och på ett effektivt sätt utföra föreningens lag- och regelenliga verksamhet. Grunden för behandlingen av personuppgifter baseras alltid på en rättslig grund som fastställs per register och det berättigade intresset och dess existens har bedömts och verifierats genom ett avvägningstest.

5. Mottagare och grupper av mottagare

• Sarkain Oy (3180183-9) agerar som personuppgiftsbiträde för kunduppgifterna i Jobbcoachen-appen vad gäller den tekniska databehandlingsmiljön.
• Into-Digital Oy (2241331-6) agerar som personuppgiftsbiträde för kunduppgifterna i Företagsby-appen vad gäller den tekniska databehandlingsmiljön.
• TriMedia (2007948-1) och Into-Digital Oy (2241331-6) agerar som personuppgiftsbiträden för kunduppgifterna i Lärarportalen vad gäller den tekniska databehandlingsmiljön.
• TalentAdore (2657117-8), Zef Oy (0640379-1) och Meta (WhatsApp) agerar som personuppgiftsbiträden för kunduppgifterna i Sommarföretagarprogrammet vad gäller den tekniska databehandlingsmiljön.
• Mediamaisteri (2660036-2) agerar som personuppgiftsbiträde för kunduppgifterna i Businesskurs och Investerarskolan vad gäller den tekniska databehandlingsmiljön.
• CRM-Service (2132453-0) agerar som personuppgiftsbiträde för personuppgifterna för samfundskundernas kontaktpersoner vad gäller den tekniska databehandlingsmiljön.
• Zef Oy (0640379-1) agerar som personuppgiftsbiträde för uppgifter som är relaterade till enkäter och anmälningar till evenemang vad gäller den tekniska databehandlingsmiljön.
• Som grundläggande databehandlingsmiljö för personuppgifter används också Microsofts
  O365-miljö och biträdet för denna är Elisa Oyj (0116510-6)

Även andra outsourcingpartner (särskilt ekonomiförvaltning) agerar för den personuppgiftsansvariges räkning där det är tillämpligt.

Outsourcingpartner för att utföra ekonomiförvaltningen är:

• Accountor Finago Oy (0836922-4), bokförings- och faktureringsprogrammet Procountor
• Accountor Services Oy (0932167-9), HR- och löneprogrammet Mepco samt behandling av personuppgifter relaterade till bokföring, betalning av kostnadsersättningar och andra fakturor samt betalning av arbetsersättningar

Ett avtal om behandling av personuppgifter ingås med alla outsourcingpartner som behandlar personuppgifter.

Kundregistrets uppgifter står endast i föreningens bruk, förutom vid användning av en extern tjänsteleverantör antingen för att producera mervärdestjänster eller för att stöda kreditbeslut. Personuppgifter i kundregistret kan inom ramen för användningsändamålet också lämnas ut till andra personregister i föreningen, till exempel för utskick av nyhetsbrev.

6. Registrets datainnehåll

Personregistret innehåller följande uppgifter:

• Personens för- och efternamn
• Organisation och uppgift (i förekommande fall för kontaktpersoner för samfundskunder)
• E-postadress
• Adress
• Telefonnummer
• Födelsedatum
• www-adress (i förekommande fall för kontaktpersoner för samfundskunder)
• IP-adress
• Information om samarbetets innehåll, till exempel användningen av utbildning och tjänster som tillhandahålls av föreningen, att agera som samarbetspartner i en tjänst, finansiering av föreningen eller annan stödjande verksamhet
• Specialdieter, endast för användning för ett visst tillfälle och dess servering. Informationen samlas in med personens samtycke och vid behov vidarebefordras den till en extern restaurangleverantör.
• Alla frågor som rör kunskap och utbildning, till exempel arbetslivserfarenhet, utbildning, färdigheter och styrkor, genomförda kurser och kvalifikationer
• Kön
• Ålder och födelseår
• Sysselsättnings- och studiesituation
• Cookies i samband med användningen av webbplatsen

7. Regelmässiga uppgiftskällor och hur personuppgifterna tillhandahålls

Informationen fås från registreringar som kunden gjort samt från gjorda anmälningar av kunden under kundförhållandet. Föreningen samlar också in kunduppgifter själv, bland annat från webbplatser, andra kunder eller andra personer som känner kunderna på något sätt.  Uppdateringar till namn- och kontaktuppgifter fås också från myndigheter och företag, som erbjuder uppdateringstjänster, så som exempelvis FODS-informationstjänsten eller Fonecta.

Det finns ingen lagstadgad skyldighet att lämna personuppgifter till föreningen, men vissa personuppgifter krävs för att föreningen och den registrerade (eller den registrerades bakgrundssamfund) ska kunna ingå avtal och agera i enlighet med detta.

Om den registrerade inte lämnar sina personuppgifter till föreningen kan ingående och utförande av avtal mellan föreningen och den registrerade (eller den registrerades bakgrundssamfund) helt eller delvis förhindras.

8. Personuppgifternas lagringstid

Personuppgifterna i kundregistret lagras så länge som kund- eller samarbetsförhållandet är i kraft. Efter kundförhållandet lagras uppgifterna 10 år från slutet av kundrelationen.

För skyldigheter i enlighet med bokföringslagen lagras dock personuppgifter med lagringstider enligt 2 kap. 10 § i nämnda lag.

Personuppgiften raderas när den inte längre är nödvändig eller om den har föråldrats. Personuppgifternas aktualitet och nödvändighet granskas med jämna mellanrum.

Personuppgiften raderas också om det inte längre finns ett användningsändamål för behandlingen (inklusive lagring).

9. Regelmässigt överlåtande och överförande av uppgifter utanför EU eller EES

I enlighet med reglerna överlåts inte personuppgifter utanför föreningen. Icke-regelmässiga överlåtelser beskrivs ovan i punkt 5.

Personuppgifter överförs inte utanför Europeiska unionen eller Europas ekonomiområde.

10. Principer för registrets säkerhet

Manuellt material: Kontaktuppgifter som ska samlas in på kundevenemang och andra manuellt behandlade dokument som innehåller kunduppgifter förvaras i låsta och brandsäkra förvaringsutrymmen efter förbehandlingen. Endast anställda vid föreningen som i förväg definierats har rätt att behandla manuellt lagrade kunduppgifter. I skyddet och behandlingen av kundregistrets uppgifter tillämpas dataskyddslagstiftningen, -principer, myndighetsbestämmelser samt god databehandlingspraxis.

Digitalt material: Personal hos föreningen och hos företag som agerar för dess räkning har rätt att använda och upprätthålla kundregistret och dess uppgifter endast i den utsträckning som användningen av uppgifterna är nödvändig för genomförandet av de tjänster som är relaterade till kundrelationen i utförandet av arbetstagarens uppgifter. Varje definierad användare har ett eget personligt användarnamn och lösenord. Systemen som används för att upprätthålla kundregistren är skyddade med de mest moderna tekniska lösningarna som skyddar mot kontakter som härrör sig utanför systemet. I skyddet och behandlingen av kundregistrets uppgifter tillämpas dataskyddslagstiftningen, -principer, myndighetsbestämmelser samt god databehandlingspraxis.

11. Cookies

Vi använder kakor (”cookies”) på vår webbplats. En kaka är en liten textfil som skickas och lagras på användarens dator. Kakor skadar inte användarnas datorer eller filer. Det primära syftet med att använda kakor är att förbättra och anpassa besökarens användarupplevelse samt att analysera och förbättra sidans funktionalitet och innehåll.

Informationen som samlas med hjälp av kakorna kan också utnyttjas genom att fokusera kommunikation och marknadsföring samt genom att optimera marknadsföringsåtgärder. Besökaren kan inte identifieras endast med hjälp av kakorna. Informationen som samlats in med kakorna kan ändå kopplas till uppgifter som möjligtvis fåtts i andra sammanhang, till exempel om användaren fyller i ett formulär på vår webbplats.

12. Den registrerades rätt att invända mot behandlingen av sina personuppgifter

Den registrerade har rätt att invända mot behandlingen av sina personuppgifter på grundval av föreningens eller en tredje parts berättigade intresse. Det finns dock ingen rätt att invända om föreningen kan visa att det finns ett väsentligt och legitimt skäl för behandlingen som åsidosätter den registrerades intressen, rättigheter och friheter eller om behandlingen är nödvändig för att fastslå, göra gällande eller försvara ett rättsligt anspråk.

Den registrerade har också rätt att när som helst invända mot behandlingen av sina personuppgifter för direktmarknadsföring (inklusive profilering för direktmarknadsföring). I detta fall måste föreningen upphöra med att behandla den registrerades personuppgifter för detta ändamål.

För att utöva rätten att invända måste den registrerade lämna in en skriftlig begäran till föreningen (inkl. elektroniskt till adressen tietosuoja(a)tat.fi) eller till registrets kontaktperson. I begäran ska den registrerade definiera vilka personuppgifter som begäran rör och på vilken grund man gör begäran.

Om föreningen inte vidtar åtgärder på grundval av den registrerades invändningsbegäran, informerar föreningen den registrerade utan dröjsmål, och senast inom en månad efter mottagandet av begäran, om skälen till detta och informerar den registrerade om möjligheten att lämna in ett klagomål hos tillsynsmyndigheten (se punkt 13) och att utöva andra rättsmedel.

Föreningens åtgärder för att fastslå, göra gällande eller försvara ett rättsligt anspråk eller andra skäl som härrör från tvingande lagstiftning (inklusive eventuella negativa effekter på tredje parts rättigheter eller friheter) kan från fall till fall förhindra eller begränsa utövandet av den registrerades rätt att invända.

13. Den registrerades rättigheter

Rätt att återkalla samtycke: Den registrerade har rätt att när som helst återkalla sitt samtycke till behandlingen av personuppgifter. I detta fall kommer föreningen att avsluta behandlingen av dessa personuppgifter om inte föreningen har annan tillämplig rättslig grund för behandling av personuppgifter.

Rätt att få tillgång till personuppgifter: Den registrerade har rätt att få tillgång till sina personuppgifter i kundregistret och att få en kopia av dem om den registrerade så önskar.

Rätt att överföra personuppgifter från ett system till ett annat: Om behandlingen av personuppgifter baseras på samtycke eller ett avtal har den registrerade rätt att få de personuppgifter som lämnats till föreningen i ett strukturerat, allmänt använt och maskinläsbart format och att överföra dessa uppgifter till en annan personuppgiftsansvarig.

Rätt till radering av personuppgifter: Den registrerade har rätt att få sina personuppgifter raderade från kundregistret om:

• personuppgifterna inte längre är nödvändiga för de ändamål som de samlats in eller på annat sätt behandlats för;
• den registrerade återkallar det samtycke på vilket behandlingen grundades och det inte finns någon annan rättslig grund för behandlingen;
• den registrerade har invänt mot behandlingen på grundval av ett berättigat intresse (se punkt 12) som eftersträvas av föreningen eller en tredje part och det inte finns några motiverade skäl för behandlingen;
• den registrerade invänder mot behandlingen för direkt marknadsföring (se punkt 12 ovan) – i detta fall gäller rätten till radering endast uppgifter som enbart används för direktmarknadsföring;
• personuppgifterna har behandlats i strid mot lagen; eller
• personuppgifterna har samlats in från ett barn i samband med tillhandahållandet av en informationssamhällestjänst (till exempel Jobbcoachen-tjänsten).

Rätt till rättelse av personuppgifter: Den registrerade har rätt att få felaktiga, onödiga, föråldrade eller bristfälliga personuppgifter i registret rättade, raderade eller kompletterade. Föreningen meddelar att felet har korrigerats till den som de felaktiga uppgifter har utlämnats till.

Rätt till begränsning: Den registrerade har rätt att kräva att behandlingen av personuppgifter begränsas, om:

• den registrerade bestrider att personuppgifterna är korrekta, varpå behandlingen begränsas under den period under vilken föreningen kan kontrollera att uppgifterna är korrekta;
• behandlingen strider mot lagen och den registrerade motsätter sig radering av personuppgifterna och i stället kräver begränsad användning;
• föreningen inte längre behöver personuppgifterna för behandlingens ändamål, men den registrerade behöver dem för att fastslå, göra gällande eller försvara ett rättsligt anspråk; eller
• den registrerade invänder mot behandlingen på grundval av föreningens eller en tredje parts berättigade intresse under den tid som krävs för att fastställa om föreningens eller en tredje parts berättigade intressen åsidosätter den registrerades intressen.

Rätt att lämna in klagomål hos tillsynsmyndighet: Den registrerade har rätt att lämna in klagomål hos tillsynsmyndigheten avseende behandlingen av personuppgifter, särskilt om den registrerade anser att behandlingen strider mot Europeiska unionens allmänna dataskyddsförordning. Förutom i Finland är det också möjligt att lämna in ett klagomål i den medlemsstat i Europeiska unionen där den registrerade har fast bostad eller arbetsplats.

Finlands nationella tillsynsmyndighets kontaktuppgifter är:

Dataombudsmannens byrå
PB 800
00531 Helsingfors
(besöksadress: Fågelviksgränden 4, 00530 Helsingfors)

tfn 029 566 6700
tietosuoja@om.fi
www.tietosuoja.fi

För att utöva dessa rättigheter måste den registrerade lämna in en skriftlig begäran till föreningen (inkl. elektroniskt till adressen tietosuoja(a)tat.fi) eller till registrets kontaktperson. I begäran ska den registrerade definiera vilka personuppgifter som begäran rör och på vilken grund man gör begäran.

Om föreningen inte vidtar åtgärder på grundval av den registrerades invändningsbegäran, informerar föreningen den registrerade utan dröjsmål, och senast inom en månad efter mottagandet av begäran, om skälen till detta och informerar den registrerade om möjligheten att lämna in ett klagomål hos tillsynsmyndigheten och att utöva andra rättsmedel.

Föreningens åtgärder för att fastslå, göra gällande eller försvara ett rättsligt anspråk eller andra skäl som härrör från tvingande lagstiftning (inklusive eventuella negativa effekter på tredje parts rättigheter eller friheter) kan från fall till fall förhindra eller begränsa utövandet av den registrerades rättigheter.