TIETOSUOJASELOSTE – yhdistetty rekisteriseloste ja informointiasiakirja
Henkilötietolaki (523/1999) 10 ja 24 §
Voimassa alkaen 1.12.2016

1. Rekisterinpitäjä
ePassi Payments Oy, 2090737-1
Pohjoinen Rautatiekatu 25
00100, Helsinki

2. Rekisteriasioiden yhteyshenkilö
Samppa Sarja
ePassi Payments Oy
Pohjoinen Rautatiekatu 25
00100 Helsinki
puh. 045 127 6920

3. Rekisterin nimi
ePassin käyttäjärekisteri

4. Rekisterin käyttötarkoitus
Rekisteriä ylläpidetään sähköisen maksujärjestelmän käyttäjien tunnistamiseksi ja palvelusuhteen hoitamiseksi (sisältäen esimerkiksi hallinnoinnin, laadun varmistamisen, kehittämisen, asiakaspalvelun hoitamisen, palvelutapahtumien varmistamisen, väärinkäytösten ehkäisemiseksi jne). Tietojärjestelmän tarkoituksena on tunnistaa henkilöt maksutapahtuman ja/tai verovapaan työsuhde-etuun oikeutetut henkilöt maksutapahtuman yhteydessä ja ylläpitää verottajan vaatiman tapahtumahistorian maksujärjestelmän käytöstä.
Rekisteri ei ole julkinen. Työnantajalla ei ole pääsyä yksittäisen henkilön tapahtumahistoriaan. Työnantaja näkee henkilötasolla vain verottajan edellyttämät tiedot käytetyistä eduista. Tarkemmin tietojen luovutuksesta kohdassa 7. (Tietojen luovutukset ja siirrot).
ePassin asiakaspalveluhenkilöstö käsittelee työntekijän tietoja asiakaspalvelutilanteessa. Rekisterin ylläpitäjien työntekijöistä vain osalla on rekisterin tarkasteluoikeus työtehtäviinsä vaatimusten mukaisesti. Jokainen rekisterin ylläpitäjän työntekijä on allekirjoittanut salassapitosopimuksen.

5. Rekisterin tietosisältö

Rekisterissä säilytetään vähimmäisvaatimuksena henkilön nimi ja puhelinnumero. Lisäksi säilytetään verottoman työsuhde-edun käyttöhistoria verottajan määrittelemän ajan ja/tai maksutapahtumien historia.
Pakollisina tietoina jokaisesta henkilöstä tallennetaan
- sukunimi
- etunimi
- puhelinnumero
- tunnistetiedot (sisäänkirjautumiseen tarvittavat tiedot)

Lisäksi voidaan tallentaa työnantajan päätöksellä:
- sähköpostiosoite
- työnantajan työntekijälleen antama tunnistenumero
- työntekijän osasto
- työntekijän paikkakunta
- muu työnantajan antama tieto, jolla on etujen käytön tilastoinnissa merkitystä
- työsuhteen ehdot (osa-aikatyöprosentti, työtekijän edun aktivointi-, keskeytys- ja päättymispäivä)
- työntekijän käytössä olevat edut

Tietoihin voidaan tallentaa myös henkilötunnus, mikäli sen tallentamiselle on vaatimus laissa tai esimerkiksi Finanssivalvonnan ohjeistuksessa. Ensisijaisesti tiedot saadaan työnantajalta työsuhde-etujen käyttöönoton yhteydessä. Työntekijä voi itse myöhemmin päivittää sähköpostiosoitteensa. Maksuvälitystapahtuman yhteydessä tietoa kerätään asiakkaan käyttämästä palveluntarjoajasta.
Edellä mainittujen lisäksi tallentuvat
- Asiakasviestintä ja –palaute sekä kontaktihistoria.
- Järjestelmien lokitiedot sekä tietojen käsittelyyn liittyvät tiedot
- Verkkopalvelujen käyttöön liittyvät tiedot:
- Käyttäjätunnus ja salasana
- Käyttöoikeudet
- IP-osoite jokaisen palveluun kirjautumisen yhteydessä
ePassi säilyttää vain ePassin toiminnan ja tietojen käyttötarkoitusten kannalta tarpeellisia tietoja, joiden käsittelylle on lailliset edellytykset. Käyttötarkoitukseensa tarpeettomaksi muuttuneet tiedot, vanhentuneet tiedot tai tiedot joiden käsittelylle ei enää muutoin ole perustetta, hävitetään tietoturvallisesti.
Henkilötietoja säilytetään rekisterissä sen ajan, kun asiakas on maksupalvelua käyttävän työnantajan palveluksessa tai hän jää ePassin asiakkaaksi työsuhteen päättymisen jälkeen (esimerkiksi jos asiakkaalla on edelleen käytössä henkilökohtaista saldoa). Rekisteröidyn maksujärjestelmän käyttöhistoriaa säilytetään viranomaisten määrittelemän ajan (viisi seuraavaa kalenterivuotta ja kuluva verotusvuosi).
Työntekijällä on oikeus pyytää työnantajaa poistamaan nimensä rekisteristä edun voimassaoloaikana, jolloin henkilö ei voi käyttää verottomia työsuhde-etuja. Yksityishenkilöasiakkaalla on oikeus pyytää tilinsä sulkemista ePassi-asiakaspalvelun kautta.
Asiakkaaseen liittyviä tietoja voidaan hankkia ja päivittää lainsäädännön mahdollistamissa tapauksissa asiakkaalle informoituihin käyttötarkoituksiin myös ulkoisista tietolähteistä.
Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä häntä itseään koskevia tietoja suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta varten.

6. Evästeiden käyttö
ePassi käyttää verkkopalvelussaan istuntokohtaisia evästeitä (cookies) palvelujen toteuttamiseksi ja helpottamaan palvelun käyttöä. Asiakas voi antaa suostumuksensa tai kieltää evästeiden käytön selaimensa asetuksista. Evästeiden käyttökiellon yhteydessä ePassi ei kuitenkaan takaa kaikkien palvelujen toimivuutta.

7. Tietojen luovutukset ja siirrot
Asiakkaan henkilötietoja ei luovuteta ePassin tai ePassin lukuun toimivien palvelua ylläpitävien ja kehittävien tai palvelukokonaisuuden tuotantoon osallistuvien kolmansien tahojen ulkopuolelle. Viranomaisille (esimerkiksi veroviranomaisille, poliisille tai Finanssivalvonnalle) tietoja luovutetaan lain edellyttämissä tapauksissa. Henkilötietoja voidaan luovuttaa henkilötietolaissa säädetyin edellytyksin tieteellistä tutkimusta tai tilastointitarkoitusta varten. Maksutapahtuman yhteydessä palveluntarjoajalle luovutetaan henkilöllisyyden todentamista varten maksajan nimi sekä tietyissä tapauksissa työnantajan tiedot.
Henkilötietoja ei siirretä Euroopan unionin tai Euroopan talousalueen ulkopuolelle.

8. Rekisterin suojauksen periaatteet
ePassin asiakasrekisterin tietoturvallisuus sekä henkilötietojen luottamuksellisuus, eheys ja käytettävyys varmistetaan tarkoituksenmukaisin teknisin ja hallinnollisin toimenpitein. Henkilötiedot suojataan asiattomalta pääsyltä ja laittomasti tai vahingossa tapahtuvalta tietojenkäsittelyltä. Henkilötietoja käsittelevät vain ePassin erityisesti määrittelemät henkilöt sekä ePassin toimeksiannosta palveluita ylläpitävät tai kehittävät kolmannet osapuolet, joiden tehtäviin henkilötietojen käsittely kuuluu.
ePassin tarjoama verkkopalvelu on suojattu SSL-sertifikaatilla, mistä asiakas tunnistaa kyseisen palvelun oikeellisuuden. Rekisteriin liittyvät tietojärjestelmät tunnistautuvat SSL-palvelinsertifikaattien avulla.

9. Tarkastusoikeus
Rekisteröidyllä on henkilötietolain 26 – 28 §:n mukaisesti oikeus tarkastaa, mitä häntä koskevia tietoja rekisteriin on tallennettu. Rekisteröity näkee rekisterin itseään koskevat tiedot kirjautumalla palveluun henkilökohtaisilla käyttäjätunnuksilla. Tarkastuspyynnön voi lisäksi tehdä toimittamalla kirjallinen ja allekirjoitettu tarkastuspyyntö osoitteella: ePassi Payments Oy, Rekisteriseloste/S. Sarja, Kuortaneenkatu 2, 00510 Helsinki. Tarkastuspyynnössä tulee mainita tietojen etsimiseksi tarpeelliset seikat sekä henkilön nimi ja postiosoite.

10. Tiedon korjaaminen
Rekisteröidyn työntekijän työnantaja voi päivittää ja muuttaa työntekijän tietoja ePassin verkkopalveluun tunnistautuneena. Työntekijä voi pyytää tietojen päivittämistä ainoastaan työnantajan kautta lukuunottamatta sähköpostiosoitetta ja omaa salasanaansa.