Dataskydd

Dataskyddbeskrivning

29.9.2015

Kombinerat registerbeskrivning och informationsdokument
10 och 24 § i personuppgiftslagen (523/99)

 

1. Registeransvarig

VR-Group Ab (senare VR)
FO-nummer: 1003521-5
Vilhelmsgatan 13
PB 488
00101 Helsingfors
tfn 0307 11

 

2. Handläggare för registreringsärenden

VR-Group Ab
VR Kundservicecenter
PB 54
11101 Riihimäki

 

3. Registrets namn

VR Passagerartrafiks kundregister

 

4. Syftet med behandlingen av personuppgifter

Den primära grunden för behandlingen av personuppgifter är kundrelationen mellan VR och VR:s kund (saklig anknytning). Behandlingen av personuppgifter kan också grunda sig på kundens samtycke, uppgifter som följer av lagen eller ett uppdrag som kunden gett VR.

Personuppgifter används för följande användningsändamål:

  • För producering, utveckling och uppföljning av VR:s tjänster samt i kundservicesyfte.
  • Vårdande och utveckling av kundrelationer samt personalisering av servicen.
  • Kundrelationskommunikation och marknadsföring samt administration av kontakthistoria.
  • Behandling av kundresponser och sändning av svar på dem.
  • Behandling av kompensationskrav och ersättningsansökningar samt sändning svar på dem, betalning.
  • Analysering och klassificering av kundunderlaget och reseuppgifter i syfte att utveckla målgrupper för kommunikationen.
  • Uppfyllelse av kundens och VR:s rättigheter och skyldigheter samt säkerhet och ansvarighet. Skötande av lagenliga skyldigheter och skyldigheter som baserar sig på myndighetsföreskrifter.
  • Uppföljning av och statistikföring om elektroniska servicekanaler (såsom webb-, automat- och mobiltjänster) för att utveckla servicen, till marknadsföringsändamål och för att underlätta uträttandet av ärenden.
  • Inspelning av samtal för bekräftelse av köpe- och servicetransaktioner, för säkerställande av rättsskydd och säkerhet samt utbildning av kundservicepersonal.

 

5. Registrets datainnehåll

Kundens grunduppgifter:

  • namn
  • födelsedatum
  • användar- och kundidentifikationer
  • kön
  • språk
  • adress
  • telefonnummer
  • e-postadress

Personuppgifter i anslutning till tjänsteproduktion och resande:

  • Uppgifter om service-, försäljnings-, betalnings- och resetransaktioner
  • Uppgifter om användningen av tjänster i olika tjänstekanaler, såsom internet-, automat- och mobiltjänster, där det ingår bl.a. logg- och servicehändelseuppgifter samt nödvändiga cookies för koppling av sidnedladdningar.
  • av kunden förmedlade uppgifter som personaliserar servicen och underlättar uträttandet av ärenden, såsom favoritanslutningar och favoritplats i tåget samt gruppuppgifter om kunden som VR bildat.
  • Personbeteckningen hanteras utifrån kundens samtycke, i sådana tjänster som kräver personifiering eller identifiering av kunden, till exempel skolbiljetter och identifiering med identitetskort. Vid identifiering med identitetskort lagras personbiljetten krypterad i personregistret och det går inte att återställa den ursprungliga informationen från teckensträngen som skapats.
  • uppgifter om resedokument vid gränsöverskridning, såsom passnummer
  • de av kunden lämnade uppgifter om bilen som behövs vid transport av bil
  • analyserings- och gruppuppgifter när det gäller kunder
  • samtycke till och förbud mot direkt marknadsföring (se punkt 12)
  • uppgifter om genomförandet av direkt marknadsföring och kundkommunikation
  • Bandinspelningar av Kundservicecentralens samtal
  • uppgifter om kunden som fås från externa informationskällor, såsom adressinformation från befolkningsdatasystemet
  • Uppgifter gällande informationshantering, såsom logguppgifter
  • Uppgifter som behövs för beställning och användning av assistanstjänster, såsom namn, vilken typ av hjälp som behövs, kontaktuppgifter och resans uppgifter.
  • Uppgifter om sökta kompensationer och ersättningar, såsom på vilka grunder, belopp och bankuppgifter.
  • Uppgifter som gäller kundresponser och svar

 

6. Regelmässiga uppgiftskällor

Sådana uppgifter som gäller kunden fås i första hand av kunden själv i samband med registreringen och bokningar, köp och användning av tjänster, genom ifyllande av Mina uppgifter på webben, vid kundkontakt samt då man annars är i direkt kontakt med kunden. Uppgifter som gäller kunden samlas in i VR:s datasystem också i samband med att kunden reser eller köper VR:s andra tjänster. Uppgifterna uppdateras även med data från befolkningsdatasystemet eller andra externa informationskällor.

 

7. Regelmässigt översändande och utlämnande av uppgifter samt översändande av uppgifter utanför EU eller EES

Kunduppgifter lämnas inte utan laglig grund till tredje part utanför VR eller till tredje part som inte är delaktig i producerande av VR:s tjänster. Kundernas uppgifter kan överföras till VR:s direktmarknadsföringsregister. VR kan lämna ut nödvändiga kunduppgifter som behövs i webbetalningstjänstens kundregister vid Verifone Finland Oy:s och Nets Finland Oy:s webbetalning för genomförande av mobilbetalning.

Kunduppgifter kan lämnas utanför Europeiska unionen, Europeiska ekonomiska samarbetsområdet eller länder där Europeiska kommissionen har konstaterat en adekvat dataskyddsnivå endast för genomförande av avtal mellan kunden och VR, för sådana användningsändamål som enligt lag är nödvändiga vid resor, eller om det går att säkerställa en adekvat dataskyddsnivå genom kontrakt eller så som krävs enligt lagen.

 

8. Användning av cookies

Cookie är en liten textfil som en webbserver sänder till användarens webbläsare och som sparas i datorn. VR använder cookies i sin webbtjänst för genomförande av olika tjänster och göra webbtjänsten lättare att använda. Cookies gör tjänsten säker, effektiv och användarvänlig. Med hjälp av cookies får man reda på vilka innehåll som användarna är intresserade av samt hur och när webbtjänsten används. Utifrån dessa uppgifter utvecklas webbtjänsten så att den ännu bättre ska svara mot användarnas behov. Cookie uppgifter kan också användas för att förbättra marknadsföringsaktiviteter och göra dess innehåll mer relevant för användaren.

Den som använder webbjänsten kan tillåta eller stänga av cookie-funktionen i sin webbläsare. Om cookie-funktionen är avstängd kan det hända att du inte kan använda alla tjänster som finns på webbsidan, t.ex. VR:s webbshop. Mer information om cookies och den tekniska utformningen av VR:s webbtjänst hittar du här.

 

9. Principerna för skyddet av registret

Datasäkerheten vid behandlingen av personuppgifter vid VR samt personuppgifternas konfidentialitet, integritet och tillgänglighet säkerställs genom lämpliga tekniska och administrativa åtgärder i enlighet med VR:s datasäkerhetspolicy. Personuppgifterna är skyddade mot obehörig åtkomst och olaglig eller oavsiktlig databehandling. Personuppgifterna kan endast behandlas av sådana personer som särskilt utnämnts av VR.

 

10. Rätt till insyn och utövande av rätten till insyn

Enligt § 26-28 i personuppgiftslagen har kunden rätt att kontrollera vilka uppgifter som registrerats om honom eller henne i VR Passagerartrafiks kundregister. Om kunden begär att få insyn i uppgifter om sig själv måste han eller hon lämna följande uppgifter som behövs för sökning av uppgifter i registret: Namn, adress, telefonnummer och användarnamn (kundnummer eller e-post). Den skriftliga och undertecknade begäran om insyn ska skickas till adressen:

VR-Group Ab
VR Kundservicecenter/Begäran om insyn
PB 54
11131 Riihimäki

Svaret på begäran om insyn skickas per post till den som framställt begäran om insyn. För en begäran om kontroll uppbärs en skälig avgift om det gått mindre än ett år sedan den senaste kontrollen.

 

11. Rättelse av en uppgift och genomförande av rättelsen av en uppgift

Enligt 29 § i personuppgiftslagen kan kunden uppdatera sina personuppgifter i VR:s webbtjänst. Vad gäller övriga uppgifter ska begäran om rättelse av en uppgift göras genom att ringa VR Kundservice eller skriftligen under adressen:

VR-Group Ab
VR Kundservicecenter
PB 54
11130 Riihimäki

För att uppgifterna ska kunna ändras måste kunden lämna följande nödvändiga uppgifter med vilka kunden identifieras: Namn, adress, telefonnummer och kundnummer. VR svarar för kunduppgifternas riktighet och integritet även genom att regelbundet uppdatera kundens officiella namn- och kontaktuppgifter med data från befolkningsdatasystemet.

 

12. Samtycke och förbud

Enligt 26 § i lagen om dataskydd vid elektronisk kommunikation kan kunden ge VR sitt samtycke till direktmarknadsföring eller enligt 30 § i personuppgiftslagen förbjuda VR att behandla uppgifter som gäller honom eller henne själv för direktmarknadsföring.

Kunden kan ge sitt samtycke till direktmarknadsföringen i respektive kanal (meddelanden, till mobiltelefonen, e-post). Kunden kan förbjuda direktmarknadsföring i olika kanaler (telefon, post), marknadsföringsenkäter samt användning av kundens reseuppgifter i marknadsföringssyfte.

Om kunden inte ger sitt samtycke till något och i stället helt förbjuder användningen av hans eller hennes uppgifter, skickas kunden i kommunikationssyfte endast sådan nödvändig information som handlar om genomförande av tjänster och skötsel av kundrelationen.

VR-Group Ab:s kundavtal

2.6.2015

1. Avtalets syfte och mål

I detta avtal fastställs villkoren för kundförhållande för registrerade kunder hos VR-Group Ab. Avtalet gäller VR-Group Ab:s egen trafik. Syftet med avtalet är att förbättra kundservicen genom att erbjuda kunden olika tjänster och förmåner i anslutning till kundförhållandet. Avtalet ingås mellan VR-Group Ab och kunden.

2. Tjänsteleverantör och kontaktuppgifter

VR-Group Ab
Vilhelmsgatan 13,
00100 Helsingfors
vr.fi/kundservice
FO-nummer 1003521-5

3. Kundförhållande

Uppkomst av kundförhållande Kundavtalet ingås mellan kunden och VR när en fysisk person registrerar sig som VR:s kund genom att lämna begärda uppgifter och genom att godkänna dessa villkor. Kundförhållandet är avgiftsfritt och gäller tills vidare. Uppkomsten av kundförhållandet förutsätter att korrekta uppgifter lämnats vid registreringen och att personen som registrerar sig är minst 16 år. För minderåriga krävs samtycke av en förälder eller vårdnadshavare. Kundförhållandet är avgiftsfritt och gäller tills vidare. VR förbehåller sig rätten att inte bevilja kundförhållande. Ett giltigt kundförhållande förutsätter att kunden svarar för de lämnade uppgifternas riktighet så länge avtalet är gällande och att kunder svarar för att uppgifterna är uppdaterade och korrigeras utan dröjsmål.

Avslutande av kundförhållande Kunden har rätt att säga upp kundförhållandet genom att skriftligen meddela VR om det. VR har rätt att häva avtalet på följande grunder:

  • Kunden har lämnat väsentligen felaktiga eller bristfälliga uppgifter,
  • Kunden begår ett väsentligt avtalsbrott,
  • Kunden är passiv i fråga om kundförhållandet i 24 månader,
  • Andra skäl orsakade av kunden, varför det inte är motiverat att förlänga kundförhållandet.

Efter att kunden har anmält att denne lämnar Veturi eller om VR har hävt avtalet kan kunden inte längre få några medlemskapsförmåner. Kundförhållandet upphör när VR har slutbehandlat alla de ärenden som rör klientförhållandet och som vid tidpunkten för uppsägningen varit öppna.

Hantering av personuppgifter När kunden lämnar sina uppgifter till VR, ger kunden samtidigt också sitt samtycke till att uppgifterna får behandlas i enlighet med VR Passagerartrafiks dataskyddsbeskrivning och VR:s direktmarknadsföringsregister.

4. Användning av webbtjänst

Kundens rättigheter och skyldigheter Kunden har rätt att använda VR:s webbtjänst för att sköta ärenden som gäller kundförhållandet. Kunden använder ett eget användarnamn (sin e-postadress eller sitt kundnummer). Kunden förbinder sig att använda webbtjänsten endast för avsett bruk och enligt VR:s instruktioner, lagen, god sed och avtalet. Användningsrätten är personlig. Kunden godkänner alla åtgärder som gjorts med kundens användaridentifikation som bindande för sig och ansvarar för dem. Kunden befrias från ansvar efter att ha underrättat VR om att användaridentifikationen har hamnat i orätta händer.

VR:s rättigheter och skyldigheter VR strävar till att den webbtjänst bolaget erbjuder är högklassig, men VR svarar inte för eventuella avbrott eller störningar i tjänsten, internetuppkopplingen, tekniska problem etc. VR svarar inte heller för skador som drabbar kunden på grund av brister i webbtjänsten. VR svarar inte för de externa länkar som finns på VR:s webbplats, de webbsidor som finns bakom länkarna eller för de eventuella skador som de orsakar kunden.

5. Allmänna villkor

Dessa avtalsvillkor gäller tills vidare och VR har ensidig rätt att göra ändringar i villkoren. Kunden får inte överföra avtalet till en tredje part. VR:s eventuella ersättningsskyldighet omfattar inte indirekta skador som drabbar kunden. VR svarar inte för påföljder orsakade av force majeure eller av att VR:s verksamhet försvåras orimligt mycket. På avtalet tillämpas Finlands lag. Sådana meningsskiljaktigheter som gäller eller orsakas av detta avtal och som parterna inte når enighet om, avgörs vid Helsingfors tingsrätt.
 

Direktmarknadsföringsregister

29.9.2015

Personuppgiftslagen (523/99) 19 §

1. Registeransvarig

VR-Group Ab (i det senare VR)
FO-nummer: 1003521-5
Vilhelmsgatan 13
PB 488 00101
Helsingfors
tfn 0307 11

2. Handläggare för registreringsärenden

VR-Group Ab
VR Kundservice
PB 54
11101 Riihimäki

3. Registrets namn

VR:s direktmarknadsföringsregister

4. Syftet med behandlingen av personuppgifter

Behandling av personuppgifter i enlighet med 19 § 1 mom. 1 och 2 punkten i personuppgiftslagen för VR:s direktreklam, distansförsäljning, marknadsföringsåtgärder, kampanjer eller annan direktmarknadsföring, opinions- eller marknadsundersökningar eller andra därmed jämförbara adresserade försändelser via e-post, post och mobiltelefon.

5. Registrets datainnehåll

I direktmarknadsföringsregistret registreras uppgifter om

  • den registrerades namn · titel eller yrke
  • ålder
  • kön
  • modersmål
  • en identifierare som kan kopplas till den registrerade
  • kontaktuppgifter: postadress, telefonnummer och e-postadress.
  • Personuppgifter som hänför sig till en på förhand specificerad och kortvarig marknadsföringsåtgärd eller kampanj och som inte äventyrar den registrerades integritetsskydd på grund av datainnehållet
  • Samtycken till och förbud mot direktmarknadsföring enligt 30 § i personuppgiftslagen och 26 § i lagen om dataskydd vid elektronisk kommunikation.

6. Lagenliga informationskällor

Uppgifter om VR:s kunder fås ur VR:s kundregister för passagerartrafiken och externa informationskällor, t.ex. tredje parters register som är avsedda för inriktning av marknadsföringen.

Uppgifternas kvalitet kan upprätthållas genom att uppgifterna i direktmarknadsföringsregister jämförs med uppgifterna i befolkningsdatasystemet eller någon annan motsvarande tillförlitlig informationskälla.

7. Lagenligt utlämnande av uppgifter samt översändande av uppgifter utanför EU eller Europeiska ekonomiska samarbetsområdet

Uppgifterna i direktmarknadsföringsregistret behandlas endast av VR eller tredje parter som upprätthåller eller utvecklar tjänsten för VR:s räkning samt samarbetspartner som deltar i en marknadsföringsåtgärd.

Personuppgifter kan översändas utanför Europeiska unionen, Europeiska ekonomiska samarbetsområdet eller länder där Europeiska kommissionen har konstaterat en adekvat dataskyddsnivå endast om det går att säkerställa en adekvat dataskyddsnivå genom kontrakt eller så som krävs enligt lagen.

8. Principerna för skydd av registret

Datasäkerheten i fråga om VR:s behandling av personuppgifter samt personuppgifternas konfidentiella läge, integritet och användbarhet säkerställs genom ändamålsenliga tekniska och administrativa åtgärder i enlighet med VR:s datasäkerhetsprinciper. Personuppgifterna är skyddade mot obehörigt tillträde och databehandling som sker olagligt eller i misstag. Personuppgifterna behandlas endast av personer som särskilt fått rätt att behandla VR:s personuppgifter.

9. Rätt till insyn

Kunden har i enlighet med 26-28 § i personuppgiftslagen rätt att få veta vilka uppgifter om honom eller henne som har registrerats i VR:s direktmarknadsföringsregister. I begäran om insyn ska kunden ge följande information som behövs för att söka fram uppgifterna: namn, adress och e-postadress. Den skriftliga och undertecknade begäran om insyn ska skickas till adressen:

VR-Group Ab
VR Kundservice
PB 54
11101 Riihimäki

Svaret på begäran om insyn sänds per post till den som framfört begäran. För begäran om insyn tas en skälig ersättning ut, om det har gått mindre än ett år sedan föregående begäran om insyn.

Kameraövervakningens dataskydd

18.9.2012

§ 10 och 24 i personuppgiftslagen (523/1999)

1. Registeransvarig

VR-Group Ab (senare VR)
FO-nummer: 1003521-5
Vilhelmsgatan 13
PB 488
00101 Helsingfors
tfn 0307 10

2. Kontaktperson i ärenden som berör registret

Pekka Ahola
VR-Group Ab
PB 488
00101 Helsingfors

3. Registrets namn

Kameraövervakningsregister för VR-Group Ab:s passagerartrafiks arbetsutrymmen och utrymmen för allmänheten.

4. Syftet med behandlingen av personuppgifter

Personuppgifterna behandlas för att försäkra upprätthållande av ordning och säkerhet samt för att reda ut brotts-, skade- och olyckssituationer i VR:s verksamhetsutrymmen, fastigheter, utomhusområden och i en del av tågen.

5. Registrets datainnehåll

De tids- och platsbundna videoinspelningarna som kameraövervakningssystemet lagrat är från VR:s verksamhetsutrymmen, fastigheter, utomhusområden samt Sm4- och Sm5-tåg.

6. Regelmässiga uppgiftskällor

Kameraövervakningssystemet som består av lagrande kameraövervakning i VR:s verksamhetsutrymmen, fastigheter och utomhusområden på de i bilagan nämnda områdena samt i Sm4- och Sm5-tågen.

7. Regelmässigt utlämnande av uppgifter

Uppgifter utlämnas inte regelmässigt. De utlämnas endast vid behov för att genomföra de i punkt 4 nämnda syftena.

8. Översändande av uppgifter utanför EU eller EES

Uppgifter utlämnas inte utanför EU eller EES.

9. Principerna för skyddet av registret

VR:s utrymmen, i vilka personuppgifter behandlas, har i enlighet med säkerhetsanvisningarna för verksamhetsutrymmen skyddats med inpasseringskontroll.

Handlingar/inspelningar i pappersformat lagras i låsta utrymmen dit utomstående inte alls har tillträde. Endast separat utnämnda personer kommer åt dem. Handlingarna förstörs enligt dataskyddsanvisningarna.

VR:s utrymmen, i vilka personuppgifter behandlas, har i enlighet med säkerhetsanvisningarna för verksamhetsutrymmen skyddats med inpasseringskontroll.

Handlingar och uppgifter i elektroniskt format har skyddats i enlighet med VR:s dataskyddsprinciper med användarnamn och för yttre inkräkter med brandväggar. Endast de personer som fått användarrätt har tillgång till uppgifterna.

10. Rätt till insyn

Enligt § 26-28 i personuppgiftslagen har kunden rätt att kontrollera vilka uppgifter som registrerats om honom eller henne i kameraövervakningsregistret. En person har, efter att ha gjort en tillräckligt noggrann och individualiserad begäran om kontroll, rätt att, i enlighet med de rättigheter och begränsningar som framgår av Personuppgiftslagen, få information om de uppgifter som berör denne själv och som finns i de sparade handlingarna. Den skriftliga och undertecknade begäran om kontroll ska skickas till adressen: VR-Group Ab, PB 488, 00101 Helsingfors.

Svaret på begäran om kontroll skickas per post till den som bett om begäran. För en begäran om kontroll uppbärs en skälig avgift om det gått mer än ett år sedan den senaste kontrollen.

VR har lagrande kamperaövervakning i de allmänna utrymmena på följande stationer:

Esbo, Helsingfors centralstation, Hyvinge, Tavastehus, Idensalmi, Imatra, Joensuu, Träskända, Kajana, Karis, Kemi, Kervo, Kyrkslätt, Karleby, Kouvola, Kuppis, Lahtis, Villmanstrand, S:t Mickel, Uleåborg, Pieksämäki, Björneborg, Riihimäki, Rovaniemi, Salo, Seinäjoki, Tammerfors, Dickursby, Åbo, Vasa, Ylivieska.

Trafikverket har kameraövervakning på en del av järnvägsnätets stationer.