International Rescue Organization Ab (”IRO”)
Postbox: 1561
AX-22111 Mariehamn
Åland, Finland
Kontaktperson: Dan Nylund
E-post: info@rescueorg.com
IRO har utvecklat en applikation där personer med första hjälputbildning från bl.a. hälsovårds-, socialvårds-, brandförsvars- och säkerhetsbranschen kan ansöka om att bli medlemmar för att sedan bli kontaktade i nödsituationer. Kontakten med dessa medlemmar sker så att en applikationsanvändare, eller en medlem, kan skicka ut ett larm som mottas av medlemmarna genom applikationen. Applikationen läser av vilka medlemmar som är närmast belägna vid nödsituationen, och kan på detta sätt bidra till att hjälp når fram så snabbt som möjligt.
IRO kan även ingå samarbetsavtal med företag och organisationer för att på ett effektivare sätt hantera larm i eller i anslutning till företagets eller organisationens utrymmen.
Genom IRO:s applikation behandlar IRO olika slag av personuppgifter för fyra typer av registrerade:
IRO behandlar personuppgifterna för flera olika ändamål beroende på vilken typ av registrerad det är fråga om:
Applikationsanvändare Medlemmar Kontaktpersoner Tilläggskontaktpersoner Ett ändamål är att ta emot och hantera larm från applikationsanvändarna så att de skickas till medlemmar som är i närheten av den alarmerande applikationsanvändaren och så att en medlem med rätt kompetens och utveckling får larmet.
Den rättsliga grunden för detta är de avtalsmässiga rättigheterna och skyldigheterna som framgår av användar- och medlemsvillkoren. Ett ändamål är att hantera larm så att larmen skickas till medlemmar i företagets eller organisationens utrymmen och även till företagets eller organisationens kontaktperson för att koordinera hjälpinsatsen.
Den rättsliga grunden för detta är de avtalsmässiga rättigheterna och skyldigheterna som framgår av samarbetsavtalet mellan IRO och företaget eller organisationen. Ett ändamål är att kontakta tilläggskontaktpersonerna när applikationsanvändare som skickar larmet har angett dem för detta ändamål.
Den rättsliga grunden för detta är de avtalsmässiga rättigheterna och skyldigheterna som framgår av användar- och medlemsvillkoren.
Ett annat ändamål är att erbjuda en smidig och användarvänlig upplevelse vid bruk av applikationen.
Den rättsliga grunden för denna behandling är IRO:s berättigade intressen och i vissa fall samtycke från den registrerade.
Ytterligare ett ändamål är kontoregistrering.
Den rättsliga grunden för detta är de avtalsmässiga rättigheterna och skyldigheterna som framgår av användar- och medlemsvillkoren. Viss behandling av personuppgifter baserar sig dock på den registrerades samtycke.
IRO behandlar därtill vissa personuppgifter med ändamålet att hantera en medlems ansökan och vid behov verifiera att medlemmen har utbildning inom första hjälp.
Den rättsliga grunden för detta är de avtalsmässiga rättigheterna och skyldigheterna som framgår av användar- och medlemsvillkoren.
Vilka kategorier av personuppgifter som behandlas varierar beroende på vilken typ av registrerad det är fråga om. De olika kategorierna av personuppgifter är följande:
Dessa kategorier av personuppgifter behandlas för de olika kategorierna av registrerade på följande sätt:
| Personuppgiftskategori | Applikations-användare | Medlemmar | Kontakt-personer | Tilläggskon-taktpersoner |
|---|---|---|---|---|
| Grundläggande kontaktuppgifter | ✔ | ✔ | ✔ | |
| Geolokaliseringsuppgifter | ✔ | ✔ | ||
| Larmlogg | ✔ | ✔ | ||
| Tekniska användardata | ✔ | ✔ | ✔ | |
| Inloggningsuppgifter | ✔ | ✔ | ✔ | |
| Profilbilder | ✔ | |||
| Utbildning | ✔ | |||
| Legitimation | ✔ | ✔ | ||
| Språkkunskaper | ✔ | |||
| Tilläggskontaktpersoner | ✔ | |||
| Betaluppgifter | ✔ | ✔ | ||
| Personnummer | ✔ | |||
| Sjukdomar | ✔ | |||
| Samtycken | ✔ | ✔ | ✔ | |
| Tillstånd | ✔ |
Personuppgifterna som IRO behandlar har begränsats till vad som är nödvändigt. För att plattformen och applikationen ska fungera krävs att larmet kan skickas från användaren till rätt medlem för att vård ska kunna ges rätt och så snabbt som möjligt. Till detta behövs bl.a. de grundläggande kontaktuppgifterna, geolokaliseringsuppgifterna, larmloggen, utbildningen och språkkunskaperna. För att IRO ska kunna hantera medlemsansökan behövs de grundläggande kontaktuppgifterna och utbildningen. Den ständiga förbättringen av applikationen och användarupplevelsen kräver i sin tur bl.a. teknisk användardata.
Såsom har angetts i punkt 3 ovan använder IRO sig av berättigade intressen som grund för vissa behandlingar. En smidig och användarvänlig applikation bidrar till att fler applikationsanvändare, medlemmar och organisationer ansluter sig till den. Ju fler som är anslutna, desto större chans är det att användare får hjälp snabbt vid behov. Personuppgifterna som applikationen samlar in för detta ändamål är begränsade till larmloggar och tekniska användardata, vilket i detta fall är nödvändiga minimiuppgifter. Kategorierna av personuppgifter som används för detta ändamål är begränsade, och användarens intressen går hand i hand med IRO:s.
IRO behandlar personuppgifterna i huvudsak inom den egna organisationen. Idén med IRO:s applikation är dock att förmedla larm från applikationsanvändarna till medlemmarna (samt via företags kontaktpersoner och till tilläggskontaktpersoner i tillämpliga fall) så att rätt hjälp kan fås så snabbt som möjligt. Detta förutsätter att vissa personuppgifter lämnas ut eller överförs utanför IRO:s egen organisation till medlemmarna som tar emot larmet samt i tillämpliga fall till företagets kontaktpersoner och tilläggskontaktpersonerna. IRO anser också att det är viktigt att medlemmarna har sådan utbildning och sådana kunskaper som befrämjar detta syfte. Detta medför att IRO kan kontrollera uppgifterna i en medlemsansökan med en eventuell övervakande myndighet (t.ex. Valvira i Finland), och överför därmed vissa personuppgifter för detta ändamål.
Några av IRO:s tjänsteleverantörer har i begränsade situationer (t.ex. vid service och underhåll) tillfällig tillgång till IRO:s servrar och därmed till personuppgifterna som finns där. En applikationsanvändare har möjlighet att skapa ett konto via Facebook, vilket medför att Facebook har möjlighet att ta emot uppgifter om att applikationsanvändaren använder Facebook som inloggningsmetod.
IRO samlar in geolokaliseringsuppgifter från sina medlemmar under följande förutsättningar:
För att medlemmen ska kunna få meddelande om larm som skett i medlemmens närhet inhämtas geolokaliseringsuppgifter med jämna mellanrum. När ny geolokaliseringsuppgift för medlemmen har inhämtats raders tidigare geolokaliseringsuppgift och ersätts med den nya. Geolokaliseringsuppgifterna delas inte med någon annan användare eller samarbetspartner utan används endast på så sätt att systemet automatiskt läser av vilka medlemmar som befinner sig i närheten av aktuell händelse för att skicka ut larm. Historisk geolokaliseringsuppgift sparas inte.
Om medlemmen har accepterat att delta i en insats används medlemmens geolokaliseringsuppgift efter att medlemmen satt på ”tracking-mode” i applikationen. När ”tracking-mode” är på under insatsen delas medlemmens geolokaliseringsuppgift under en tidsbegränsad period (så länge insatsen pågår och medlemmen har ”tracking-mode” aktiverat) med insatsledaren och insatsledarens organisation. För denna behandling ansvarar respektive organisation och information om den aktuella organisationens personuppgiftsbehandling finns att tillgå i organisationens integritetspolicy, vilket finns länkad till i samband med insatser. Geolokaliseringsuppgiften sparas i systemet i syfte att dokumentera var insatsen har genomförts. Geolokaliseringsuppgifterna kan också komma att delas med berörda myndigheter så som polis i anonymiserad form.
IRO lagrar personuppgifterna så länge som de är nödvändiga för de ändamål de samlades in för. Detta varierar beroende på vilken kategori av personuppgifter det är fråga om. Personuppgifterna behövs som huvudregel så länge en registrerad använder sig av applikationen. Som exempel kan också nämnas att larmloggen och medlemmarnas utbildning lagras i varje fall 10 år efter ifrågavarande larm har skickats ut i syfte att kunna hantera frågor som kan uppstå om utskick och mottagande av larmen. Geolokaliseringsuppgifterna för medlemmar, där geolokaliseringsuppgifterna inte är kopplade till larm, lagras bara fram tills att följande geolokaliseringsuppgift samlas in. Personuppgifter som behandlas enligt den registrerades samtycke lagras bara så länge som samtycket är i kraft.
IRO behandlar personuppgifterna huvudsakligen inom den egna organisationen och inom det Europeiska Ekonomiska Samarbetsområdet (EES). I vissa begränsade situationer kan personuppgifter av tekniska skäl överföras till tjänsteleverantörer och andra samarbetspartners utanför EES. Bl.a. använder sig IRO av sådana leverantörer för webbhotell och vissa molntjänster. I de fallen där IRO använder sig av personuppgiftsbiträden för sådana ändamål har IRO ingått personuppgiftsbiträdesavtal med dem, och den eventuella överföringen av personuppgifterna skyddas av förutsättningar som anges i kapitel V i dataskyddsförordningen (EU/2016/679).
En registrerad har rätt att begära tillgång till samt rättelse och radering av de personuppgifter som IRO behandlar om denne. Den registrerade har även rätt att invända mot och begära begränsning av behandlingen av personuppgifterna samt att använda sig av sina rättigheter i fråga om dataportabilitet.
När en registrerad loggar in i applikationen får den registrerade tillgång till sina personuppgifter via sin egen profil, och dessa personuppgifter kan även rättas eller raderas på samma sida.
I övriga situationer kan en registrerad ta kontakt med IRO:s kontaktperson som har angivits ovan i avsnitt 1.
Till den del behandlingen av personuppgifter baserar sig på samtycke har en registrerad alltid rätt att återta samtycket. Detta är fallet i fråga om bl.a. profilbilder.
En registrerad har rätt att inge klagomål över IRO:s behandling av personuppgifter till en tillsynsmyndighet. Klagomålet kan inges till Dataombudsmannens byrå, som är den tillsynsmyndighet som övervakar behandlingen av personuppgifter som utförs av IRO som personuppgiftsansvarig. Ett klagomål kan också inges till en tillsynsmyndighet i ett annat land där den registrerade är bosatt.
Den registrerade har möjlighet att inte uppge personuppgifterna, men i sådana fall kan IRO inte garantera att applikationen fungerar korrekt eller över huvudtaget. För att applikationen ska fungera korrekt måste således IRO behandla vissa kategorier av personuppgifter. Nedan följer några exempel på situationer där användningen av applikationen kan påverkas om den registrerade inte uppger personuppgifterna:
IRO använder sig inte av automatiskt beslutsfattande, inbegripet profilering, i applikationen.
IRO samlar först och främst in personuppgifter från den registrerade själv, t.ex. när medlemmar lämnar in en medlemsansökan eller när kontaktpersonen uppges för samarbetet med företaget eller organisationen. Personuppgifter genereras även av den registrerades aktivitet, t.ex. geolokaliseringsuppgifterna och larmloggen.
Personuppgifterna kan även inhämtas från tredje parter. Detta sker bl.a. när applikationsanvändaren loggar in i applikationen via Facebook och när samarbetsföretaget eller -organisationen anger kontakpersonens personuppgifter. När IRO hanterar en medlemsansökan inhämtar applikationen uppgifter om eventuell legitimation från den övervakande myndigheten.