Köp en biljett

Dataskydd

VR:s dataskydd

I dataskyddsbeskrivningen berättar vi hur vi behandlar våra kunders personuppgifter och hur vi skyddar våra kunders integritet.

Bekanta dig med VR:s rese- och biltransportvillkor.
Läs villkor

VR:s data­skydds­be­skriv­ning

21.4.2026

Denna dataskyddsbeskrivning kan komma att uppdateras löpande, exempelvis till följd av förändringar i lagstiftning, vidareutveckling av tjänster eller förändringar i våra arbetssätt. Väsentliga ändringar kommer att kommuniceras på ett lämpligt sätt, och den senaste versionen av dataskyddsbeskrivningen finns alltid tillgänglig i vår tjänst. Vi rekommenderar att du regelbundet tar del av beskrivningen för att hålla dig uppdaterad om eventuella förändringar.

Hur vi behandlar dina personuppgifter

Att skydda din integritet är viktigt för oss. Vi behandlar dina personuppgifter noggrant, lagligt och öppet. Vi använder dina personuppgifter endast för de ändamål som anges i förväg och beskrivs i denna beskrivning, och endast i den utsträckning som är nödvändig för behandlingsändamålet.

Dina personuppgifter kommer endast att behandlas av de personer vars arbetsuppgifter kräver detta.

I denna dataskyddsbeskrivning förklarar vi bland annat:

  • vilka personuppgifter vi samlar in och för vilka ändamål vi använder dem
  • när och på vilka grunder vi kan lämna ut eller överföra dina personuppgifter
  • vilka rättigheter du har i förhållande till dina personuppgifter och hur du kan utöva dessa rättigheter.

1 Per­son­upp­gifts­an­sva­rig

  • VR Group Plc (nedan kallat VR)
  • FO-nummer: 1003521-5
  • PB 488, 00096 VR
  • Tfn 0307 10

2 Kon­takt­per­son för frågor som rör registret

  • VR Groups dataskyddsombud: tietosuojavastaava(a)vr.fi
  • Du kan kontakta oss angående frågor om registret via formuläret.

3 Re­gi­stre­ra­de och datakällor

Denna dataskyddsbeskrivning beskriver behandlingen av personuppgifter som rör VR:s kundrelationer, resande, användning av digitala tjänster och kundkommunikation.

3.1 Kategorier av registrerade

Denna beskrivning gäller följande grupper av registrerade:

Kunder som har skapat ett VR-konto

Personer som har registrerat sig för VR:s tjänster och skapat ett personligt VR-konto. Alla som är 13 år eller äldre kan skapa ett konto. VR-kontot innehåller information som rör kundrelationen, transaktioner och resor, samt de samtycken och val som kunden har gjort.

Övriga kunder

Andra kunder är personer som interagerar med VR utan ett VR-konto, till exempel:

  • vid köp av biljett i biljettförsäljningen på stationer, biljettautomaten eller hos återförsäljare
  • vid resor med tåg
  • när man kontaktar kundtjänsten
  • när de deltar i undersökningar, kampanjer eller utlottningar.

Företagskunder och affärsresenärer

Med företagskund avses ett företag som har ingått avtal med VR. Dessa registrerade parter omfattar:

  • kontaktpersoner utsedda av företaget
  • företagsadministratörer för VR:s tjänster
  • affärsresenärer vars VR-konto är kopplat till en företagsprofil

Resor som görs via företagsprofilen och relaterade uppgifter kan kopplas till kundföretagets avtalsförhållande.

Personer som använder sociala medier

Registrerade omfattar även personer som interagerar med VR på sociala medier, till exempel:

genom att följa eller kommentera VR:s sidor

  • genom att skicka meddelanden
  • genom att delta i kampanjer eller tävlingar

I dessa situationer kan behandlingen av personuppgifter även innebära gemensamt personuppgiftsansvar med leverantören av den sociala medietjänsten, vilket beskrivs mer detaljerat senare i detta meddelande.

3.2 Källor till personuppgifter

Vi samlar in personuppgifter främst från den registrerade själv. Uppgifter samlas in till exempel:

  • i samband med registrering för tjänster och kundrelationshantering
  • i samband med biljettköp, resande och andra tjänstetransaktioner
  • i samband med kundtjänstkontakter, respons och ersättningsansökningar
  • i samband med undersökningar, forskning, kampanjer och utlottningar
  • i samband med användning av digitala tjänster (t.ex. logg- och användningsdata)
  • i samband med interaktioner på sociala medier

Dessutom kan vi komma att inhämta personuppgifter:

  • från ett kundföretag när relationen avser ett företagsavtal
  • från våra samarbetspartner i samband med tillhandahållandet av tjänsten
  • från myndigheter när det krävs enligt lag

När du använder digitala tjänster kan personuppgifter också samlas in genom användning av cookies och annan liknande teknologi. Mer information om detta finns i vår cookiepolicy.

4 Syften med behandling av per­son­upp­gif­ter, da­ta­ka­te­go­ri­er och rättsliga grunder

Vi behandlar personuppgifter för förutbestämda ändamål. De datakategorier som behandlas för varje ändamål och den rättsliga grunden för behandlingen beskrivs nedan.

Behandlingen kan baseras på ett avtal, samtycke, berättigat intresse eller en rättslig skyldighet, beroende på syftet med behandlingen.

Om behandlingen av dina personuppgifter baseras på ditt samtycke kan du när som helst återkalla ditt samtycke. Du kan återkalla ditt samtycke genom att logga in på ditt konto antingen på vår webbplats eller i VR Matkalla-appen.

Om behandlingen baseras på ett berättigat intresse har vi bedömt nödvändigheten av behandlingen och genomfört en intresseavvägning, där vi har vägt den registeransvariges berättigade intresse mot den registrerades rättigheter och friheter. Behandlingen utförs endast när vi bedömer att den inte åsidosätter den registrerades grundläggande rättigheter eller friheter. Våra berättigade intressen kan till exempel omfatta tillhandahållande och utveckling av transporttjänster, säkerställande av säkerhet och förebyggande av missbruk, upprätthållande och hantering av kundrelationer samt utveckling av tjänster och kundupplevelse. Vid denna bedömning beaktar vi särskilt den registrerades rimliga förväntningar utifrån relationen till oss, uppgifternas art samt behandlingens konsekvenser.

4.1 Tillhandahållande av tjänster och fullgörande av avtalsförhållandet

Syfte

Biljettförsäljning, researrangemang, upprättande och hantering av kundrelationer, fullgörande av företagsavtal, betalningshantering, fakturering och rapportering, tillhandahållande av tilläggs- och specialtjänster (såsom assistans- och biltransporttjänster) samt felrapportering och annan servicekommunikation.

Kategorier av uppgifter som behandlas

  • identifieringsuppgifter, såsom namn och födelsedatum
  • kontaktuppgifter, såsom adress, e-postadress och telefonnummer
  • kunduppgifter, såsom startdatum för kundrelationen, registreringskanal och språk
  • reseinformation, boknings- och tjänsteuppgifter
  • positionsdata när den registrerade har aktiverat kommunikation under resan eller en annan positionsbaserad tjänst
  • betalningsuppgifter och uppgifter om betalningstransaktioner
  • uppgifter om biljettleverans
  • passagerarinformation rörande gränsövergångar
  • fordonsinformation avseende biltransport samt eventuella fotografier som tagits vid skada
  • information om assistanstjänster, vilket kan omfatta särskilda kategorier av personuppgifter, såsom hälsouppgifter

För företagsavtal behandlar vi även:

  • namn, kontaktuppgifter och befattningar för de kontaktpersoner som företaget utsett
  • information om vilket företag VR-kontot är kopplat till
  • resor som gjorts med företagsprofilen samt relaterade fakturerings- och rapporteringsuppgifter

Rättslig grund

  • Avtal med den registrerade
  • Rättslig skyldighet (t.ex. redovisningslagstiftning, transport- och säkerhetsbestämmelser, skyldigheter som åläggs av myndigheter)
  • När särskilda kategorier av personuppgifter behandlas sker sådan behandling endast när det är nödvändigt och med stöd av tillämplig rättslig grund, såsom uttryckligt samtycke eller fullgörande av skyldigheter enligt tillämplig lagstiftning.
  • När det gäller företagskunder och kontakter med intressenter, den personuppgiftsansvariges berättigade intresse baserat på hantering av avtalsförhållanden och kommunikation relaterad till samarbete. Den registrerade har utsetts till företagets kontaktperson på begäran av avtalsparten eller den registrerade själv.

4.2 Kundservice och kommunikation

Syfte

Tillhandahållande av kundservice, besvarande av förfrågningar, hantering av respons, hantering av klagomål och ersättningsansökningar, utbetalning av ersättning, information till kunder om förändringar i tjänsten, säkerställande och utveckling av kundservicens kvalitet samt sammanställning av eventuella efterföljande förfrågningar som rör samma ärende för att hantera ärendet. Vissa steg i kundservicehanteringen kan stödjas av automatiserade metoder och lösningar baserade på artificiell intelligens (t.ex. skapande av transkriptioner av samtalsinspelningar).

Kategorier av uppgifter som behandlas

  • kontaktuppgifter, såsom e-postadress och telefonnummer
  • kund- och resedetaljer i den utsträckning som är nödvändig för att hantera ärendet
  • inspelningar av kundtjänstsamtal samt de transkriptioner och sammanfattningar som skapas utifrån dessa
  • uppgifter om samtalshistorik (nummer)
  • chatt-, e-post- och sociala mediemeddelanden
  • information som lämnats i respons- och ersättningsformulär
  • hälsouppgifter i den utsträckning det är nödvändigt för handläggningen av ett enskilt skadeärende
  • information som krävs för utbetalning av ersättning, samt ytterligare information rörande eventuella internationella betalningstransaktioner

Rättslig grund

  • Avtal med den registrerade, i den mån behandlingen avser tjänsteavtalet
  • Den personuppgiftsansvariges berättigade intresse, baserat på organisationen av kundtjänsten, dokumentation av verksamheten, förebyggande av oegentligheter och utveckling av tjänstekvaliteten
  • Uttryckligt samtycke vid behandling av hälsouppgifter i syfte att hantera ett enskilt skadeärende eller, när det är tillämpligt, behandling som är nödvändig för att fastställa, göra gällande eller försvara rättsliga anspråk.

4.3 Marknadsföring, kampanjer och kundkommunikation

Syfte Att skicka allmänna och riktade marknadsföringsmeddelanden, informera om kundrelaterade förmåner och tjänster, genomföra kampanjer och utlottningar, bedriva riktad marknadsföring och övervaka dess effektivitet, öka medvetenheten om tjänsterna samt informera om fördelarna med att vara kund. Marknadsföring och kommunikation kan även planeras och riktas med hjälp av automatiserade metoder.

Kategorier av uppgifter som behandlas

Datakategorier som behandlas

  • kontaktuppgifter, såsom e-postadress och telefonnummer
  • kund- och köphistorik
  • samtycken och förbud som gäller marknadsföring
  • preferenser för kommunikationskanaler
  • information om skickade meddelanden, samt öppnande av meddelanden och klickaktivitet
  • information som lämnas i samband med kampanjer och utlottningar

Rättslig grund

  • Samtycke vid elektronisk direktmarknadsföring eller annan samtyckesbaserad marknadsföring
  • Den personuppgiftsansvariges berättigade intresse när behandlingen avser kommunikation som rör en befintlig kundrelation och marknadsföring av tjänster till kunder.

4.4 Undersökningar, kundenkäter och tjänsteutveckling

Syfte

Att utvärdera kundnöjdhet och serviceupplevelse, genomföra undersökningar och kundenkäter, utveckla tjänster, produkter och verksamhetsrutiner samt kommunicera om testning av nya tjänster och produkter.

Undersökningar kan till exempel skickas ut efter en tjänstehändelse eller riktas till olika kundgrupper. Dessutom kan personuppgifter användas för utformning, testning och konsekvensbedömning av nya tjänster och funktioner. Analysen av undersökningar och enkäter, liksom tjänsteutvecklingen, kan stödjas av automatiserade metoder och artificiell intelligens.

Kategorier av uppgifter som behandlas

  • kontaktuppgifter för att skicka enkäter
  • kund-, rese- och tjänstedata i den mån de avser den tjänstehändelse som utvärderas
  • svar på kundundersökningar och studier
  • bakgrundsinformation som samlats in i enkäter (t.ex. postnummer)
  • uppgifter om användningen av tjänsterna för utvecklingsändamål

Enkätresultaten granskas i allmänhet på koncernnivå. Enskilda svar används inte för automatiserat beslutsfattande som skulle kunna få rättsliga konsekvenser eller liknande betydande effekter för den registrerade.

Rättslig grund

  • Den personuppgiftsansvariges berättigade intresse, baserat på utvärdering av tjänsternas kvalitet samt utveckling och förbättring av kundupplevelsen
  • Samtycke när det krävs för forskning eller undersökning.

4.5 Analys, profilering och personalisering

Syfte

Analys av verksamheten, övervakning av tjänsteanvändningen, bildande av kundgrupper och segment samt personalisering av digitala tjänster och kommunikation. Uppgifter kan kombineras statistiskt för att bilda kundprofiler och segment, till exempel för att utforma tjänster, utveckla kundupplevelsen och rikta kommunikationen. Analys och segmentering kan också utföras med hjälp av automatiserade metoder och artificiell intelligens.

Datagrupper som ska behandlas

  • data om tjänsteanvändning i olika tjänstekanaler
  • logg- och transaktionsdata
  • data som samlas in med hjälp av cookies och liknande teknologier
  • kund- och köphistorik
  • kundprofiler och segmenteringsdata

Profilering används för att bilda kundgrupper och för att rikta tjänster och kommunikation. Profilering och annan automatiserad analys, inklusive användning av artificiell intelligens, leder inte till automatiserat beslutsfattande som skulle ha rättsliga effekter för den registrerade eller liknande betydande effekter.

Rättslig grund

Rättslig grund

  • Den personuppgiftsansvariges berättigade intresse, baserat på analys av verksamheten, utveckling av tjänster och förbättring av kundupplevelsen
  • Samtycke när behandlingen baseras på valfria cookies eller andra liknande tekniker.

4.6 Efterlevnad av rättsliga skyldigheter och samarbete med myndigheter

Syfte

Uppfyllande av skyldigheter som följer av lagstiftning och officiella föreskrifter, säkerställande av säkerhet samt besvarande av begäranden om information från myndigheter. Detta inkluderar exempelvis uppfyllande av redovisningsskyldigheter, lämnande av information om gränsövergångar till behöriga myndigheter samt behandling i samband med straffavgifter och andra lagstadgade åtgärder.

Kategorier av uppgifter som behandlas

  • bokföringsmaterial och betalningsuppgifter
  • passageraruppgifter avseende gränsövergångar
  • kund- och resedata som ska lämnas ut till myndigheterna
  • identitets- och kontaktuppgifter avseende straffavgifter

Rättslig grund

  • Rättslig skyldighet

4.7 Sociala medier och gemensamt personuppgiftsansvar

Syfte

Interaktion med kunder och andra intressenter, tillhandahållande av kundservice, kommunikation, anordnande av kampanjer och tävlingar, analys och utveckling av aktiviteter på sociala medier samt användning av verktyg för hantering av sociala medier för att hantera inlägg, kundkommunikation och rapportering.

När du interagerar med sociala mediekanaler som underhålls av VR, till exempel genom att följa sidor, kommentera inlägg eller skicka meddelanden, behandlar vi personuppgifter relaterade till den interaktionen.

Behandlingen av personuppgifter på sociala mediekanaler kan innebära gemensamt personuppgiftsansvar med den relevanta tjänsteleverantören i den mån VR och tjänsteleverantören gemensamt fastställer ändamålen och metoderna för behandlingen, till exempel i samband med statistik över sidbesökare eller annan analys.

Kategorier av uppgifter som behandlas

  • offentlig profilinformation på sociala medier
  • meddelanden och kommentarer
  • uppgifter som lämnas i samband med kampanjer och tävlingar
  • analyser och statistiska uppgifter som tas fram av tjänsteleverantören

Rättslig grund

  • Den personuppgiftsansvariges berättigade intresse, baserat på kommunikation, upprätthållande av kundrelationer och ökad synlighet för verksamheten
  • Samtycke när behandlingen avser spårningsteknologi eller riktad reklam.

5 Per­son­upp­gifts­bi­trä­den

VR behandlar personuppgifter i egenskap av personuppgiftsansvarig. För att tillhandahålla våra tjänster och stödja vår verksamhet använder vi dock externa tjänsteleverantörer som behandlar personuppgifter på VR:s vägnar.

Tjänsteleverantörer kan behandla personuppgifter för ändamål såsom:

  • Underhåll och utveckling av IT-system
  • tillhandahållande av kundtjänstlösningar och kommunikationssystem
  • betalningshantering och fakturering
  • analys- och rapporteringstjänster
  • marknadsföringsimplementering
  • verktyg för hantering av sociala medier
  • inspelning och transkribering av samtal samt andra tekniska supporttjänster

Tjänsteleverantörer behandlar personuppgifter enbart i enlighet med VR:s instruktioner och får inte använda uppgifterna för egna ändamål. VR säkerställer, genom avtal och andra lämpliga åtgärder, att behandlingen av personuppgifter sker i enlighet med dataskyddslagstiftningen och att personuppgifterna skyddas på ett adekvat sätt.

6 Utlämnande och överföring av per­son­upp­gif­ter

Vi kan lämna ut dina personuppgifter till våra samarbetspartner i följande situationer:

  • När du köper tjänster från våra partner via oss kan vi lämna ut de personuppgifter som är nödvändiga för att tillhandahålla tjänsten till våra partner.
  • Vi kan lämna ut din respons och dina kontaktuppgifter till våra samarbetspartner om din respons avser en tjänst som tillhandahålls av vår samarbetspartner. Vi ber dig dock att i första hand kontakta vår samarbetspartner direkt. Om vi vidarebefordrar din respons som innehåller dina personuppgifter kommer vi att informera dig om utlämnandet av dina personuppgifter.
  • När vi tar ut en straffavgift vidarebefordrar vi dina personuppgifter till tjänsteleverantören i syfte att skicka fakturan.
  • Vid störningar i tjänsten kan nödvändiga kund- och reseuppgifter delas med tjänsteleverantörer som stöder kommunikation i realtid vid störningar (t.ex. partner för trafik- eller störningskommunikation).
  • Om du börjar använda en tjänst för vilken du samtycker till utlämnande av uppgifter under installationsprocessen kan uppgifter lämnas ut till den relevanta tjänsteleverantören (t.ex. MobilePay).
  • Om du reser på ett företagskonto kan vi lämna ut resor som gjorts via företagsprofilen, tillsammans med relaterade boknings-, rese-, fakturerings- och rapporteringsuppgifter, till behöriga administrativa användare av företagskontot i syfte att hantera och samordna resor.
  • Vi kan lämna ut din respons och dina kontaktuppgifter inom VR-koncernen om din respons rör andra företag inom koncernen.
  • Nödvändiga passageraruppgifter som rör internationella resor lämnas ut till utländska myndigheter och transportoperatörer vid gränsövergångar, om detta krävs enligt lagstiftning eller officiella krav.

Personuppgifter kan överföras utanför EU och EES i samband med tillhandahållande av IT-tjänster om personuppgifterna är tillgängliga från ett land utanför EU och EES. En överföring är möjlig om 1) ett avtal har ingåtts med tjänsteleverantören i enlighet med de standardavtalsklausuler som antagits av Europeiska kommissionen, eller 2) mottagarlandet har en adekvat nivå av dataskydd enligt ett beslut av Europeiska kommissionen, eller 3) det företag som behandlar uppgifterna har bindande företagsregler (Binding Corporate Rules) eller 4) det finns en annan laglig grund för överföringen. Vid behov bedömer vi dataskyddsnivån i mottagarlandet och genomför bedömningar av överföringens konsekvenser.

Vi lämnar inte ut kunduppgifter till parter utanför VR eller till dem som är involverade i tillhandahållandet av VR:s tjänster utan en grund enligt den allmänna dataskyddsförordningen.

7 Lagringstid för per­son­upp­gif­ter

Vi lagrar personuppgifter endast så länge som det är nödvändigt för att uppfylla de syften som beskrivs i denna beskrivning eller för att uppfylla lagstadgade skyldigheter. Därefter raderas eller anonymiseras uppgifterna.

Lagringstiderna fastställs utifrån syftet med behandlingen enligt följande:

  • Grundläggande kunduppgifter sparas under hela kundrelationen. Kunduppgifter kan raderas om de inte har använts på flera år, varefter uppgifterna raderas inom rimlig tid.
  • Uppgifter som rör avtal och betalningar sparas i enlighet med redovisningslagstiftningen.
  • Uppgifter som rör kundservice, klagomål och ersättningsärenden sparas så länge som krävs för hanteringen av ärendet och eventuell uppföljning av ansvarsperioden.
  • Uppgifter som rör marknadsföring sparas så länge som kundrelationen är aktiv eller tills den registrerade återkallar sitt samtycke eller invänder mot behandlingen.
  • Uppgifter som samlas in för forsknings- och utvecklingsändamål sparas i allmänhet i anonymiserad eller statistisk form.
  • Passageraruppgifter som rör gränsövergångar sparas endast under den tid som krävs enligt lag.

8 Den re­gi­stre­ra­des rättigheter

Som registrerad har du rättigheter avseende dina personuppgifter i den mån VR agerar som personuppgiftsansvarig. Du kan utöva dina rättigheter genom att skicka in en dataskyddsförfrågan via onlineformuläret på webbplatsen vr.fi eller genom att kontakta vår kundtjänst. Vi besvarar din förfrågan utan onödigt dröjsmål och senast en månad efter att vi mottagit den. Vi tillämpar dessa rättigheter i enlighet med gällande lagstiftning och beaktar eventuella lagstadgade begränsningar.

Begäranden behandlas i regel kostnadsfritt. Vi kan dock ta ut en rimlig avgift eller vägra att vidta åtgärder om en begäran är uppenbart ogrundad eller orimlig. Vi kan begära ytterligare uppgifter för att verifiera din identitet innan vi verkställer din begäran.

Om du köper biljetter eller tjänster via en annan tjänsteleverantör agerar den tjänsteleverantören som en självständig personuppgiftsansvarig. En dataskyddsförfrågan som görs via VR gäller inte och vidarebefordras inte till en annan personuppgiftsansvarig. Om du vill utöva dina rättigheter i en sådan situation, vänligen kontakta den tjänsteleverantören direkt.

Den registrerade har följande rättigheter:

Rätt till tillgång till uppgifter Du har rätt att få bekräftelse på om vi behandlar dina personuppgifter, samt rätt att få en kopia av de personuppgifter vi behandlar. Kopian tillhandahålls i första hand elektroniskt i ett säkert format eller, om nödvändigt, skriftligen.

Rätt till rättelse Du har rätt att begära rättelse av felaktiga eller oriktiga personuppgifter, samt komplettering av ofullständiga uppgifter.

Rätt till radering Under vissa omständigheter har du rätt att begära radering av dina personuppgifter. Denna rättighet gäller inte i situationer där vi har en rättslig skyldighet eller andra lagliga skäl att behålla uppgifterna.

Rätt till begränsning av behandling I vissa situationer har du rätt att begära att behandlingen av dina personuppgifter begränsas.

Rätt att invända mot behandling Du har rätt att invända mot behandlingen av dina personuppgifter som grundar sig på den personuppgiftsansvariges berättigade intressen. Du har alltid rätt att invända mot behandlingen av dina personuppgifter för direktmarknadsföringsändamål.

Rätt till dataportabilitet Du har rätt att få de personuppgifter du har lämnat i ett strukturerat och allmänt använt format, samt rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig, i den mån behandlingen grundar sig på samtycke eller avtal och utförs automatiskt.

Rätt att återkalla samtycke Om behandlingen av personuppgifter grundar sig på samtycke har du rätt att när som helst återkalla ditt samtycke. Återkallandet av samtycket påverkar inte lagligheten av den behandling som utförts före återkallandet.

Rätt att lämna in ett klagomål till en tillsynsmyndighet Om du anser att dina personuppgifter har behandlats olagligt har du rätt att lämna in ett klagomål till den behöriga dataskyddsmyndigheten.

9 Data­skydds­prin­ci­per

Vi säkerställer säkerheten vid behandling av personuppgifter och skyddar uppgifternas konfidentialitet, integritet och tillgänglighet genom lämpliga tekniska och organisatoriska åtgärder i enlighet med VR:s datasäkerhetsprinciper.

Personuppgifter skyddas mot obehörig åtkomst, obehörig eller olaglig behandling samt oavsiktlig förlust, ändring eller förstörelse. Personuppgifter får endast behandlas av personer som har behörighet att göra detta i kraft av sina arbetsuppgifter. Vi säkerställer vår personals kompetens inom dataskydd genom utbildning och vägledning.

Gemensamt register med Facebook

26.4.2021

Detta gäller VR:s Facebook-communitysidor, spårningspixel och meddelandetjänster. Situationer av detta slag uppkommer när du gillar en av VR:s Facebook-sidor eller blir medlem av eller följare i VR:s Facebook-community eller samtalar med VR i en meddelandetjänst. 

Personuppgiftsansvarig

Facebook Ireland (”Facebook”) och VR-Group Abp är till tillämpliga delar gemensamt personuppgiftsansvariga för fan- och community-sidorna, spårningspixeln och meddelandetjänsterna på Facebook. De uppgifter som gemensamt registeransvariga ska tillhandahålla i enlighet med artikel 13(1)a och (b) i dataskyddsförordningen meddelas i Facebooks dataskyddsförfarande: https://www.facebook.com/about/privacy, Öppnas i en ny flik

Facebook behandlar uppgifter i enlighet med sina dataskyddsprinciper www.facebook.com/about/privacy, Öppnas i en ny flik i vilka bland annat Facebooks rättsliga grund för behandlingen av personuppgifter och den registrerades rättigheter anges. Facebook har huvudansvaret för att dataskyddslagstiftningen iakttas och för att datasäkerheten och den registrerades rättigheter genomförs i tjänsten. Du kan administrera Facebooks dataskyddsinställningar på Facebook. VR ansvarar för behandlingen av meddelandenas innehåll.

Uppgifter som behandlas samt behandlingens ändamål och grund

VR får av Facebook kännedom om följande uppgifter som meddelats Facebook: den registrerades namn, offentliga profilbild och den registrerades övriga uppgifter som definierats som offentligt synliga på Facebook. Den registrerade kan också på eget initiativ meddela andra personuppgifter i kommentarer på community-sidorna eller i meddelandetjänsten. VR behandlar personuppgifter på Facebook med stöd av berättigat intresse.

Kundservicen på Facebook är en del av VR:s flerkanaliga kundservice. Utifrån uppgifterna i registret utför inget automatiskt beslutsfattande eller profilering som skulle ha rättsverkan på kunden som registrerad. VR samlar in anonymiserade data till sin egen data- och analysplattform för att bilda sig en uppfattning om de ämnen som diskuteras i de sociala medierna, allokera resurser inom kundservicen och använda uppgifterna som stöd för utvecklingen av tjänsten. VR kan ordna tävlingar på Facebook, varvid uppgifter behandlas i enlighet med VR:s dataskyddsbeskrivning, som meddelas i anslutning till tävlingen. 

VR använder verktyg i de sociala medierna för att administrera verksamhet som sker på Facebook. VR överför inte personuppgifter till länder utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet utan rättsliga grunder. En del av våra serviceleverantörer befinner sig utanför EU/EES och vi överför personuppgifter till dem om det är nödvändigt för de ändamål som avses i denna dataskyddsbeskrivning. Vid behov använder vi avtalsmässiga skyddsåtaganden (t.ex. standardiserade dataskyddsbestämmelser som antagits av Europeiska kommissionen) när vi överför personuppgifter till serviceleverantörer av detta slag. 

VR rekommenderar att du för uträttande av personliga ärenden eller för meddelanden som innehåller personuppgifter (t.ex. namn, adress, telefonnummer) använder VR:s responsformulär, så att du kan försäkra dig om att meddelandena är konfidentiella och datasäkra.

Du kan begränsa behandlingen av dina personuppgifter genom att sluta gilla eller följa community-sidan. Du kan också be om att personuppgifterna tas bort med dataskyddsformuläret

Den registrerades rättigheter

Du kan läsa om de rättigheter som den registrerade har i relation till Facebook Ireland i Facebook Irlands dataskyddsförfarande på adressen https://www.facebook.com/about/privacy, Öppnas i en ny flik.

Du har även rätt att anföra klagomål hos dataskyddsombudets byrå.

  • VR-koncernens dataskyddsombud: tietosuojavastaava(a)vr.fi
  • I frågor som gäller registret kontakta oss per e-post: palaute(a)vr.fi

Dataskydds­beskrivning för VR-Group Abp:s kamera­övervakning

17.6.2025

1 Per­son­upp­gifts­an­sva­rig

  • VR-Group Abp (nedan kallad VR)
  • FO-nummer: 1003521-5
  • PB 488, 00096 VR
  • Tfn 0307 10

2 Kon­takt­per­son i ärenden som gäller registret

  • Företagssäkerhetschef
  • VR-Group Abp
  • PB 488, 00096 VR

Dataskyddsombud:

  • VR-Group Abp
  • Dataskyddsombud
  • PB 488, 00096 VR
  • tietosuojavastaava(a)vr.fi

3 Syftet med behandling av per­son­upp­gif­ter

Personuppgifterna behandlas för att upprätthålla ordningen och garantera säkerheten, för att skydda egendom samt för att förebygga och utreda brott, skador och olyckor i VR:s lokaler, fastigheter, utomhusområden och en del av tågmaterielen.

Inom VR:s underhåll och järnvägslogistik används kameraövervakning också för att säkerställa att produktionsprocesserna löper smidigt.

Behandlingen av personuppgifter grundar sig på den personuppgiftsansvariges berättigade intresse.

4 In­for­ma­tions­käl­lor

Ett kameraövervakningssystem som består av övervakningskameror med inspelning i VR:s lokaler, fastigheter, utomhusområden, tågmateriel och kroppskameror. Dessutom finns det övervakningskameror med inspelning i vissa av VR-Group Abp:s landsvägstransportfordon.

VR har kameraövervakning med inspelning:

  • I de allmänna lokalerna på följande stationer: Helsingfors centralstation, Hyvinge, Iisalmi, Kajana, Kouvola, Kuopio, Lahtis, Pieksämäki, Riihimäki, Rovaniemi, Tammerfors, Toijala, Träskända, Uleåborg, och Ylivieska.
  • Inom VR:s underhåll och järnvägslogistik: Hyvinge maskinverkstad, Helsingfors depå (Ilmala), Imatra bangård, Kemi bangård, Kouvola depå och vagnverkstad, Kuopio bangård, Uleåborg depå och bangård, Pieksämäki depo, bangård, komponentverkstad och maskinverkstad, Riihimäki depå, Nyslotts sidospår vid Pääskylahti, Tammerfors depå och vagnverkstad samt Äänekoski spår.

Kroppskameror används i VR:s närtrafik på linjerna D, H, M, R, T, G och Z. Kroppskamerorna spelar inte in bild och ljud kontinuerligt. Konduktören aktiverar inspelningen när hen hamnar i en situation som hotar arbets- eller passagerarsäkerheten. I arbetskläderna för konduktörer som använder kroppskamera berättas om möjligheten att spela in bild och ljud, och man säger även till muntligen när inspelningen aktiveras, om möjligt. Kroppskameran indikerar inspelning med en ljus- och ljudsignal.

5 Re­gi­stre­ra­de

Registrerade personer är alla personer som rör sig inom kameraövervakningsområdet och som syns i övervakningskamerornas bilder. Dessa kan till exempel vara tågtrafikens passagerare, VR:s anställda och andra personer som rör sig i området.

6 Registrets da­ta­in­ne­håll

De tids- och platsbundna videoinspelningar av VR:s lokaler, fastigheter, utomhusområden, tågmateriel som kameraövervakningssystemet lagrat.

Tids- och platsbundna video- och ljudinspelningar inspelade med kroppskameror.

7 Mottagare av per­son­upp­gif­ter och per­son­upp­gifts­bi­trä­den

Vi lämnar ut personuppgifter till Trafikverket i den mån lagstiftningen tillåter detta och på begäran även till andra myndigheter. Uppgifterna kan överlämnas till andra företag inom samma koncern för att förhindra rättsliga anspråk samt till försäkringsbolag för handläggning av ersättningsärenden vid ett olycksfall.

Vi anlitar externa aktörer som stöd för behandling av personuppgifter, bland annat vid underhåll och utveckling av IT-system samt i olika uppgifter i säkerhetskontrollrummet. Dessa tjänsteleverantörer behandlar personuppgifterna på uppdrag av oss och för vår räkning. Uppgifterna behandlas i enlighet med gällande lagstiftning och denna beskrivning. Detta säkerställs bland annat med hjälp av personuppgiftsbiträdesavtal mellan organisationerna.

8 Överföring och utlämnande utanför EU eller EES-området

Uppgifterna lämnas inte ut utanför EU, Europeiska ekonomiska samarbetsområdet eller de länder som Europeiska kommissionen konstaterat erbjuda garantier som säkerställer en tillfredsställande skyddsnivå, om man inte genom avtal eller på andra sätt som avses i lagen har säkerställt att dataskyddet ligger på en tillräcklig nivå.

9 Lagringstid för per­son­upp­gif­ter

Videoinspelningarna lagras i högst en månad. Uppgifterna kan dock vid behov lagras under längre perioder, till exempel på begäran av en myndighet.

10 Våra kunders rättigheter

Som vår kund har du rätt till dina personuppgifter där VR är personuppgiftsansvarig. Du kan utöva dina rättigheter genom att lämna en dataskyddsbegäran via e-post tietosuojavastaava@vr.fi. Alternativt kan du göra en skriftlig begäran genom att skicka den till VR-Group Abp, Företagssäkerhetschef, PB 488, 00096 VR. Bifoga till din begäran en tillräckligt exakt och specifik beskrivning av tid och plats där videon spelades in.

Vi svarar på din begäran inom en månad. Vi uppfyller dessa rättigheter på de sätt som anges här, med beaktande av tillämpliga lagar och därtill relaterade begränsningar.

Observera att Trafikledsverket ansvarar för kameraövervakningen på plattformarna på bannätet samt på vissa stationer.

Rätt att få tillgång till uppgifter/Rätt till insyn

Du har rätt att från VR få en kopia av dina personuppgifter och en bekräftelse på huruvida vi har behandlat dina personuppgifter. För att genomföra begäran måste du ge en tillräckligt exakt och individualiserad beskrivning av tid och plats där videon spelades in.

Rätt till rättelse

Du har rätt att be oss att rätta inkorrekta eller felaktiga uppgifter som rör dig

Rätt till radering

Du har rätt att be oss att radera alla dina personuppgifter. Begärandena behandlas från fall till fall. VR har en rättslig skyldighet eller rättighet att bevara vissa uppgifter, vilket innebär att dessa inte kan raderas.

Rätt till begränsning av behandling

Du har rätt att i vissa särskilda situationer som fastställts i förordningen be att behandlingen av dina personuppgifter begränsas.

Rätten att göra invändning mot behandlingen av uppgifter

När behandlingen av personuppgifter grundar sig på ett berättigat intresse kan du invända mot behandlingen av dina uppgifter på grund av din personliga situation.

Rätt att lämna in ett klagomål till en myndighet

Vi strävar efter att i första hand lösa eventuella tvister direkt med de registrerade. Om kunden anser att vi inte har behandlat personuppgifterna enligt lag, kan kunden lämna in ett klagomål till en dataskyddsmyndighet.

11 Principer för skydd av registret

De av VR:s lokaler där man behandlar personuppgifter är skyddade med hjälp av inpasseringskontroll i enlighet med anvisningarna om lokalsäkerhet.

Vi säkerställer datasäkerheten för behandlingen av våra kunders personuppgifter samt personuppgifternas konfidentialitet, integritet och tillgänglighet med ändamålsenliga tekniska och administrativa åtgärder, i enlighet med VR:s principer för informationssäkerhet.

Personuppgifterna är skyddade mot obehörig åtkomst samt mot olaglig och oavsiktlig behandling. Personuppgifterna behandlas endast av de personer som VR särskilt berättigat till detta. Vi utbildar och instruerar våra anställda som behandlar personuppgifter i dataskyddsfrågor.