In English below
XAMPION® PALVELUN KÄYTTÄJÄREKISTERIN TIETOSUOJASELOSTE
1 Rekisterinpitäjä
Rekisterin rekisterinpitäjä on Progda Oy (y-tunnus 2761180-5)
Rekisteriasioiden yhteyshenkilö on:
Toimitusjohtaja Tero Suominen
Osoite: Kaarikatu 8, 20760 Piispanristi
Puhelin: 050 482 0827
Sähköposti: tero.suominen@progda.com tai tero.suominen@xampion.io
2 Rekisterin nimi
Rekisterin nimi on Xampion® palvelun käyttäjärekisteri.
3 HENKILÖTIETOJEN KÄSITTELYN TARKOITUS
Henkilötietoja käsitellään seuraavissa tarkoituksissa:
- Palvelun, siihen liittyvän laitteen ja kokonaiskonseptin tarjoamiseksi rekisteröidylle;
- Palvelun käytön mahdollistamiseksi rekisteröidyille;
- Palvelun hallinnointiin ja rekisterinpitäjän tähän liittyvien tehtävien, velvoitteiden ja oikeuksien toteuttamisen tarkoituksissa;
- Palvelun käyttöön liittyvien yhteydenottojen mahdollistamiseksi;
- Sen mahdollistamiseksi, että seurojen valmentajat voivat saada käyttöoikeuden Palveluun ja kutsua rekisteröityjä Team-palvelun käyttäjiksi.
Edellä kuvatuissa tarkoituksissa rekisterinpitäjä käsittelee henkilötietoja sekä palvelun käytön aikana näihin liittyvien asioiden ja tehtävien yhteydessä, että myös palvelun käytön päättymisen jälkeen siltä osin kuin se on tarpeellista mainitun tarkoituksen toteuttamiseksi.
Rekisterinpitäjä käsittelee tietoja itse sekä hyödyntää henkilötietojen käsittelyssä rekisterinpitäjän puolesta ja lukuun toimivia alihankkijoita.
4 Käsittelyn oikeusperusteet
Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat henkilötietolain mukaiset perusteet:
- (a) rekisteröidyn yksiselitteisesti antama suostumus;
- (b) rekisteröidyn toimeksianto tai sellaisen sopimuksen täytäntöönpaneminen, jossa rekisteröity on osallisena, taikka sopimusta edeltävien toimenpiteiden toteuttaminen rekisteröidyn pyynnöstä;
- (c) rekisteröidyn asiakas- tai muun siihen verrattavaan suhteeseen perustuva asiallinen yhteys rekisterinpitäjän toimintaan (yhteysvaatimus).
Henkilötietojen käsittelyn oikeusperusteita ovat seuraavat EU:n yleisen tietosuoja-asetuksen (jäljempänä myös ”GDPR”) mukaiset perusteet:
- (d) rekisteröity on antanut suostumuksensa henkilötietojensa käsittelyyn yhtä tai useampaa erityistä tarkoitusta varten;
- (e) käsittely on tarpeen sellaisen sopimuksen täytäntöön panemiseksi, jossa rekisteröity on osapuolena, tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi rekisteröidyn pyynnöstä;
- (f) käsittely on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi.
Edellä mainittu rekisterinpitäjän oikeutettu etu perustuu rekisteröidyn henkilön ja rekisterinpitäjän välillä olevaan merkitykselliseen ja asianmukaiseen suhteeseen, joka on seurausta siitä, että rekisteröity on ottanut käyttöön palvelun, ja kun käsittely tapahtuu tarkoituksiin, joita rekisteröity on kohtuudella voinut odottaa henkilötietojen keräämisen ajankohtana ja asianmukaisen suhteen yhteydessä.
Jos rekisteröity on alle 18-vuotias, edellä mainitun suostumuksen voi antaa vain lapsen vanhempainvastuunkantaja.
5 REKISTERIN TIETOSISÄLTÖ (käsiteltävät henkilötietoryhmät)
Rekisteri sisältää seuraavat henkilötiedot lähtökohtaisesti kaikista rekisteröidyistä henkilöistä:
- (a) rekisteröidyn perustiedot kuten nimi ja yhteystiedot;
- (b) rekisteröidyn palvelussa käyttämä käyttäjätunnus (sähköposti);
Lisäksi rekisteri sisältää seuraavat henkilötiedot sellaisista rekisteröidyistä, jotka ovat pelaajia:
- (c) syntymäaika (ikä), sukupuoli
- (d) rekisteröidyn biometriset tiedot (pituus, paino);
- (e) rekisteröidyn joukkuetiedot ja sarjataso;
- (f) rekisteröidyn pelipaikka;
- (g) rekisteröidyn puhelimen ja käyttämän Palveluun liittyvän laitteen tunnistamiseksi ja siihen yhdistämiseksi tarpeelliset tiedot;
- (h) rekisteröidyn palvelun käyttämisestä syntyneet aktiviteetti- ja harjoittelutiedot, mukaan lukien tiedot rekisteröidyn osaa ottamista harjoituksista ja peleistä, rekisteröidyn harjoittelun ja pelaamisen intensiteetistä, askelten määrästä, pallokosketuksien määrästä ja laadusta;
- (i) rekisteröidyn palvelun käyttötiedot, kuten automaattisesti kerättävät tilastotiedot palvelun suorituskyvystä ja käytöstä rekisteröidyllä.
Lisäksi rekisteri sisältää seuraavat henkilötiedot, jotka rekisteröity on itsestään lisännyt palveluun tai ne on hänen suostumuksellaan lisätty:
- (j) rekisteröidyn pelipaikkatiedot;
- (k) rekisteröidyn normaaliharjoitusmäärä viikossa;
- (l) rekisteröidyn linkitetyt sosiaaliset yhteydet palvelussa;
- (m) rekisteröidyn viestihistoria palvelussa;
- (n) rekisteröidyn jäsenyys yhteisöissä ja ryhmissä;
- (o) rekisteröidyn antamat suoramarkkinointisuostumukset ja/tai kiellot;
- (p) rekisteröidyn suostumukset palvelun käyttöön ja rekisteröidyn tietojen jakamiseen oman joukkueen valmentajalle/valmentajille sekä seuran valmennusvastaavalle tai vastaavassa roolissa toimivalle.
Edellä kuvattujen henkilötietojen antaminen rekisterinpitäjälle on palvelun käyttämisen edellyttämä vaatimus, ja jos rekisterinpitäjä ei saa kyseisiä henkilötietoja, rekisterinpitäjä ei välttämättä kykene suorittamaan sopimuksen mukaisia velvollisuuksiaan.
6 Säännönmukaiset tietolähteet
Henkilötietoja kerätään ensisijaisesti rekisteröidyltä itseltään.
Lisäksi rekisterinpitäjä kerää harjoituksien kalenteritietoja joukkueelta.
7 Henkilötietojen säilytysaika
Rekisteriin kerättyjä tietoja säilytetään ainoastaan niin kauan ja siinä laajuudessa kuin on tarpeellista suhteessa niihin alkuperäisiin tai yhteensopiviin tarkoituksiin, joihin henkilötiedot on kerätty ja toteutuksen onnistuneen loppuun saattamisen kannalta.
Henkilötietojen säilyttämisen tarvetta arvioidaan viiden vuoden välein ja joka tapauksessa rekisteröityä henkilöä koskevat tiedot poistetaan rekisteristä seitsemän vuotta sen jälkeen, kun kyseisen rekisteröidyn käyttäjäsuhde rekisterinpitäjän ylläpitämään palveluun on päättynyt, ja käyttäjäsuhteeseen liittyvät velvollisuudet ja toimenpiteet on suoritettu loppuun.
Rekisterinpitäjä arvioi tietojen säilyttämisen tarpeellisuutta säännöllisesti [sisäisten käytännesääntöjensä mukaisesti]. Lisäksi rekisterinpitäjä toteuttaa kaikki mahdolliset kohtuulliset toimenpiteet sen varmistamiseksi, että käsittelyn tarkoituksiin nähden epätarkat, virheelliset tai vanhentuneet henkilötiedot poistetaan tai oikaistaan viipymättä.
8 HENKILÖTIETOJEN VASTAANOTTAJAT (vastaanottajaryhmät) sekä TIETOJEN SÄÄNNÖNMUKAISET LUOVUTUKSET
Henkilötietoja ei luovuteta rekisteröidyn joukkueen tai seuran ulkopuolisille tahoille.
9 TIETOJEN SIIRTO EU:N TAI ETA:N ULKOPUOLELLE
Rekisteriin sisältyviä henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.
10 REKISTERIN SUOJAUKSEN PERIAATTEET
Henkilötietoja sisältäviä aineistoja säilytetään lukituissa tiloissa, joihin on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä.
Henkilötietoja sisältävä tietokanta on palvelimella, jota säilytetään lukitussa tilassa, johon on pääsy ainoastaan nimetyillä ja tehtäviensä vuoksi pääsyyn valtuutetuilla henkilöillä. Palvelin on suojattu asianmukaisella palomuurilla ja teknisellä suojauksella.
Tietokantoihin ja järjestelmiin on pääsy vain erikseen myönnettävillä henkilökohtaisilla käyttäjätunnuksilla ja salasanoilla. Rekisterinpitäjä on rajannut käyttöoikeudet ja -valtuudet tietojärjestelmiin ja muihin tallennusalustoihin siten, että tietoja pääsevät tarkastelemaan ja käsittelemään ainoastaan niiden lainmukaisen käsittelyn kannalta tarpeelliset henkilöt. Lisäksi tietokantojen ja järjestelmien käyttötapahtumat rekisteröityvät rekisterinpitäjän IT-järjestelmän lokitietoihin.
Rekisterinpitäjän työntekijät ja muut henkilöt ovat sitoutuneet noudattamaan vaitiolovelvollisuutta ja pitämään salassa henkilötietojen käsittelyn yhteydessä saamansa tiedot.
11 REKISTERÖIDYN OIKEUDET
Rekisteröidyllä on seuraavat henkilötietolain mukaiset oikeudet:
- oikeus tiedon etsimiseksi tarpeelliset seikat ilmoitettuaan saada tietää, mitä häntä koskevia tietoja henkilörekisteriin on talletettu, tai ettei rekisterissä ole häntä koskevia tietoja, sekä rekisterin säännönmukaiset tietolähteet ja mihin rekisterin tietoja käytetään sekä säännönmukaisesti luovutetaan;
- oikeus vaatia oikaistavaksi, poistettavaksi tai täydennettäväksi rekisterissä oleva, käsittelyn tarkoituksen kannalta virheellinen, tarpeeton, puutteellinen tai vanhentunut henkilötieto;
Rekisteröidyllä on seuraavat EU:n yleisen tietosuoja-asetuksen mukaiset oikeudet:
- oikeus saada rekisterinpitäjältä vahvistus siitä, että häntä koskevia henkilötietoja käsitellään tai että niitä ei käsitellä, ja jos näitä henkilötietoja käsitellään, oikeus saada pääsy henkilötietoihin sekä seuraavat tiedot: (i) käsittelyn tarkoitukset; (ii) kyseessä olevat henkilötietoryhmät; (iii) vastaanottajat tai vastaanottajaryhmät, joille henkilötietoja on luovutettu tai on tarkoitus luovuttaa; (iv) mahdollisuuksien mukaan henkilötietojen suunniteltu säilytysaika tai jos se ei ole mahdollista, tämän ajan määrittämiskriteerit; (v) rekisteröidyn oikeus pyytää rekisterinpitäjältä häntä itseään koskevien henkilötietojen oikaisemista tai poistamista taikka henkilötietojen käsittelyn rajoittamista tai vastustaa tällaista käsittelyä; (vi) oikeus tehdä valitus valvontaviranomaiselle; (vii) jos henkilötietoja ei kerätä rekisteröidyltä, kaikki tietojen alkuperästä käytettävissä olevat tiedot Nämä kuvatut perustiedot (i)–(vii) annetaan rekisteröidylle henkilölle tällä lomakkeella;
- oikeus peruuttaa suostumus milloin tahansa tämän vaikuttamatta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen;
- oikeus vaatia, että rekisterinpitäjä oikaisee ilman aiheetonta viivytystä rekisteröityä koskevat epätarkat ja virheelliset henkilötiedot sekä oikeus saada puutteelliset henkilötiedot täydennettyä, muun muassa toimittamalla lisäselvitys ottaen huomioon tarkoitukset, joihin tietoja käsiteltiin;
- oikeus saada rekisterinpitäjä poistamaan rekisteröityä koskevat henkilötiedot ilman aiheetonta viivytystä, edellyttäen, että (i) henkilötietoja ei enää tarvita niihin tarkoituksiin, joita varten ne kerättiin tai joita varten niitä muutoin käsiteltiin; (ii) rekisteröity peruuttaa suostumuksen, johon käsittely on perustunut, eikä käsittelyyn ole muuta laillista perustetta; (iii) rekisteröity vastustaa käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella eikä käsittelyyn ole olemassa perusteltua syytä; (iv) henkilötietoja on käsitelty lainvastaisesti; tai (v) henkilötiedot on poistettava unionin oikeuteen tai kansallisen lainsäädäntöön perustuvan rekisterinpitäjään sovellettavan lakisääteisen velvoitteen noudattamiseksi;
- oikeus siihen, että rekisterinpitäjä rajoittaa käsittelyä, jos (i) rekisteröity kiistää henkilötietojen paikkansapitävyyden, jolloin käsittelyä rajoitetaan ajaksi, jonka kuluessa rekisterinpitäjä voi varmistaa niiden paikkansapitävyyden; (ii) käsittely on lainvastaista ja rekisteröity vastustaa henkilötietojen poistamista ja vaatii sen sijaan niiden käytön rajoittamista; (iii) rekisterinpitäjä ei enää tarvitse kyseisiä henkilötietoja käsittelyn tarkoituksiin, mutta rekisteröity tarvitsee niitä oikeudellisen vaateen laatimiseksi, esittämiseksi tai puolustamiseksi; tai (iv) rekisteröity on vastustanut henkilötietojen käsittelyä henkilökohtaiseen erityiseen tilanteeseensa liittyvällä perusteella odotettaessa sen todentamista, syrjäyttävätkö rekisterinpitäjän oikeutetut perusteet rekisteröidyn perusteet;
- oikeus saada itseään koskevat henkilötiedot, jotka rekisteröity on toimittanut rekisterinpitäjälle, jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa, ja oikeus siirtää kyseiset tiedot toiselle rekisterinpitäjälle sen rekisterinpitäjän estämättä, jolle henkilötiedot on toimitettu, jos käsittely perustuu asetuksen tarkoittamaan suostumukseen ja käsittely suoritetaan automaattisesti;
- oikeus tehdä valitus valvontaviranomaiselle jos rekisteröity katsoo, että häntä koskevien henkilötietojen käsittelyssä rikotaan EU:n yleistä tietosuoja-asetusta.
Rekisteröidyn oikeuksien toteuttamista koskevat pyynnöt osoitetaan kohdassa 1 mainitulle rekisterinpitäjän yhteyshenkilölle.
XAMPION® SERVICE USER REGISTER PRIVACY STATEMENT
Progda Ltd (business ID 2761180-5) shall act as the Controller.
The contact person for register-related matters is:
Tero Suominen, CEO
Address: Kaarikatu 8, FI-20760 Piispanristi
Tel. +358 50 482 0827
Email: tero.suominen@progda.com
-
Name of the register
The register is called Xampion® Service User Register.
-
PURPOSE OF PERSONAL DATA PROCESSING
Personal data will be processed for the following purposes:
- for providing the Service, the related device and overall concept to the data subject;
- for enabling the use of the Service for the data subject;
- for managing the Service and carrying out the Controller’s tasks, obligations and rights relating to the Service management;
- for enabling Service-related contacts;
- to enable granting access rights to club coaches so that they can invite data subjects to use the Team Service.
The Controller shall process personal data for the aforementioned purposes in connection with matters and tasks relating to these purposes both during the use of the Service and after the use of the Service has ended, to the extent necessary for realising the relevant purpose.
The Controller shall process the personal data within its organisation and use subcontractors that operate on behalf of and for the Controller.
-
Legal basis for personal data processing
The legal basis for personal data processing shall include the following grounds laid down in the Finnish Personal Data Act:
- an unambiguous consent provided by the data subject;
- an assignment given by the data subject, or performance of a contract to which the data subject is a party, or to take steps at the request of the data subject before entering into a contract;
- a relevant connection between the data subject and the operations of the Controller, based on the data subject having a client relationship or another comparable relationship to the Controller (connection requirement).
The legal basis for personal data processing shall include the following grounds laid down in the EU’s General Data Protection Regulation (“GDPR”):
- the data subject has given consent to the processing of their personal data for one or more specific purposes;
- processing is necessary for the performance of a contract to which the data subject is party or in order to take steps at the request of the data subject prior to entering into a contract;
- processing is necessary for the purposes of the legitimate interests pursued by the Controller or by a third party.
The aforementioned legitimate interest pursued by the Controller shall be based on a relevant and appropriate relationship between the Controller and the data subject, which has resulted from the data subject’s Service use, and on the processing being performed for purposes that the data subject can reasonably have expected to be performed at the time of collecting the personal data and in connection with the appropriate relationship.
If the data subject is under 18 years of age, the aforementioned consent can only be provided by the holder of parental responsibility.
-
DATA CONTENT OF THE REGISTER (processed personal data categories)
Principally, the register contains the following personal data collected from all data subjects:
- the data subject’s basic information, such as name and contact details;
- the data subject’s user ID in the Service (email address);
In addition, the register contains the following personal data of data subjects who are players:
- date of birth (age), gender;
- the data subject’s biometric data (height, weight);
- data concerning the data subject’s team and division;
- the data subject’s playing position;
- data required for identifying the data subject’s phone and Service-related device and connecting to them;
- the activity and practice data generated when the data subject has used the Service, including data concerning the data subject’s participation in practices and matches, the intensity of the data subject’s practicing and playing, the number of steps as well as the number and quality of ball touches;
- the data on the data subject’s use of the Service, such as the automatically collected statistical information on the Service’s performance and on how the data subject uses the Service.
In addition, the register contains the following personal data on the data subject that they have entered to the Service by themselves or that have been entered with their consent:
- the data subject’s playing position data;
- the data subject’s normal amount of practice per week;
- the data subject’s linked social connections in the Service;
- the data subject’s message history in the Service;
- the data subject’s membership in communities and groups;
- the direct marketing consents and/or refusals the data subject has provided;
- the data subject’s consent to the use of the Service and for sharing their data with the team’s coach(es) and the person responsible for the club’s coaching or to a person in a similar position.
Providing the Controller with the aforementioned personal data is a requirement for using the Service. If the Controller does not receive this personal data, they may not be able to perform their duties as per the contract.
-
Regular data sources
Personal data shall primarily be collected from the data subject.
In addition, the Controller shall collect calendar information on practices from the team.
-
Personal data retention period
The collected data shall be retained only for the duration and in the extent necessary for the successful realisation of the original or compatible purposes for which the data was compiled.
The need to retain personal data shall be assessed in intervals of five (5) years, and in any case, data on a data subject shall be removed from the register seven (7) years after the relevant data subject’s user relationship to the Service hosted by the Controller has ended, and the obligations and measures related to the user relationship have been performed.
The Controller shall regularly assess the need to retain the data (as per the internal code of conduct). Furthermore, the Controller shall perform all possible and required measures to ensure that personal data which is too inaccurate, erroneous or outdated for the purposes of processing is deleted or corrected without delay.
-
THE RECIPIENTS OF PERSONAL DATA (RECIPIENT CATEGORIES) AND THE REGULAR DISCLOSURE OF DATA
Personal data shall not be disclosed to parties external to the data subject’s team or club.
-
TRANSFERRING DATA OUTSIDE OF THE EU OR THE EEA
The data contained in the register shall not be transferred outside of the EU or EEA.
-
PRINCIPLES OF REGISTER PROTECTION
Data material containing personal data is retained in a locked facility that can only be accessed by appointed persons whose duties require access authority.
The database containing personal data is on a server which is kept in a locked facility that can only be accessed by appointed persons whose duties require access authority. The server is protected with an appropriate fire wall and technical protection.
The databases and systems can only be accessed with separately granted personal user IDs and passwords. The Controller has restricted the access rights and the authorisations to access data systems and other mediums such that the data can only be accessed and processed by persons who are needed with regard to lawful processing. In addition, the database and system transactions are registered in the Controller’s IT system’s log.
The Controller’s employees and other personnel have undertaken to comply with the obligation of secrecy and to keep confidential the information they receive in connection with the personal data processing.
-
RIGHTS OF THE DATA SUBJECT
The data subject shall have the following rights laid down in the Finnish Personal Data Act:
-
-
-
-
the right of access, after having supplied sufficient search criteria, to the data on them in the person register, or to a notice that the register contains no such data as well as to information of the regular sources of data in the register, on the uses for the data in the register and the regular destinations of disclosed data;
-
the right to demand the correction, removal or supplementation of data which is erroneous, unnecessary, incomplete or obsolete for the purposes of the processing and which is contained in the register;
-
-
-
The data subject shall have the following rights laid down in the EU’s General Data Protection Regulation:
-
-
-
-
the right to obtain from the controller confirmation as to whether or not personal data concerning them is being processed, and, if that is the case, access to the personal data and the following information: (i) the purposes of the processing; (ii) the categories of personal data concerned; (iii) the recipients or categories of recipients to whom the personal data has been or will be disclosed; (iv) if possible, the planned period for which the personal data will be stored, or, if not possible, the criteria used to determine that period; (v) the right to request from the Controller rectification or erasure of personal data or restriction of processing of personal data concerning the data subject or to object to such processing; (vi) the right to lodge a complaint with a supervisory authority; (vii) if personal data is not collected from the data subject, any available information as to the data’s source. The described basic data (i)–(vii) shall be given to the data subject with this form;
-
the right to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal;
-
the right to obtain from the Controller without undue delay the rectification of inaccurate personal data concerning the data subject, and taking into account the purposes of the processing, the right to have incomplete personal data completed by means of, for example, providing a supplementary statement;
-
the right to obtain from the Controller the erasure of personal data concerning the data subject without undue delay provided that (i) the personal data is no longer necessary in relation to the purposes for which it was collected or otherwise processed; (ii) the data subject withdraws consent on which the processing is based and there are no longer legal grounds for the processing; (iii) the data subject objects to the processing on the grounds of a special personal situation and there are no overriding legitimate grounds for the processing; (iv) the personal data has been unlawfully processed; or (v) the personal data has to be erased for compliance with a legal obligation in the EU or national law to which the Controller is subject;
-
the right to obtain from the controller restriction of processing if (i) the accuracy of the personal data is contested by the data subject, for a period enabling the controller to verify the accuracy of the personal data; (ii) the processing is unlawful and the data subject opposes the erasure of the personal data and requests the restriction of its use instead; (iii) the controller no longer needs the personal data for the purposes of the processing, but it is required by the data subject for the establishment, exercise or defence of legal claims; or (iv) the data subject has objected to processing on the grounds of a special personal situation pending the verification whether the legitimate grounds of the controller override those of the data subject;
-
the right to receive the personal data concerning the data subject, which they have provided to the Controller, in a structured, commonly used and machine-readable format, and the right to transfer that data to another controller without hindrance from the Controller to which the personal data has been provided if the processing is based on consent set out in the GDPR and the processing is carried out automatically;
-
-
-
-
-
-
-
the right to lodge a complaint with a supervisory authority if the data subject considers that the EU’s General Data Protection Regulation is violated in the processing of personal data concerning them.
-
-
-
Requests concerning the realisation of the data subject’s rights shall be addressed to the Controller’s contact person mentioned in Section 1.