Dataskyddsbeskrivning
1. Allmänt
Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, dvs. den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
OP-Fondbolaget Ab
Postadress: PB 308, 00101 Helsingfors
Besöksadress: Gebhardsplatsen 1, 00510, HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 0100 253 0022
E-postadress: dataskydd@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi
4. Registrets namn
OP-Fondbolaget Ab:s andelsregister
Registret omfattar alla uppgifter för de privatpersoner och personer som verkar för företagskundernas räkning som äger fonder förvaltade och distribuerade av OP-Fondbolaget.
5. Ändamålen med behandlingen av personuppgifter och rättslig grund för behandlingen
Ändamålen med behandlingen
Personuppgifterna behandlas i registret huvudsakligen för att erbjuda fonder och lämna fondorder. Nedan finns en närmare beskrivning av syftet med personuppgifterna i registret.
Till ändamålen med personuppgifterna hör:
- kundbetjäning och skötsel av kundrelationen, inklusive kundkommunikation och rapportering
- produktion, tillhandahållande och leverans av tjänster samt utveckling och kvalitetskontroll
- utveckling av affärsrörelsen
- uppföljning och analysering av användningen av tjänster samt segmentering av kunder
- marknadsföring och inriktning av reklam
- skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
- riskhantering
- säkerställning av tjänsternas säkerhet och utredning av missbruk
Profilering
Behandlingen av personuppgifter i registret omfattar profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper.
Allmän information om det automatiska beslutsfattandet och profileringen i OP Gruppen finns i dataskyddsklausulen på adressen op.fi/dataskydd.
Man kan till exempel använda uppgifterna i registret för att bilda målgrupper för marknadsföring.
Förhindrande av penningtvätt och finansiering av terrorism samt uppföljning av sanktioner
Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism.
Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen får du i regel i villkoren för den produkt eller tjänst du förvärvar.
Rättsliga grunder för behandlingen
Nedan redogörs för de rättsliga grunderna för behandlingen av de personuppgifter som registret använder samt ges exempel på den behandling som utförs på respektive grund.
| Rättslig grund | Exempel |
|---|---|
| Avtalsförhållande eller åtgärder innan avtal ingås | Åtgärder som baserar sig på ett avtal eller ingåendet av ett avtal |
| Lagstadgad skyldighet | Lagstiftning som berör förhindrande av penningtvätt och av finansiering av terrorism Myndighetsrapportering som baserar sig på lagen |
| Berättigade intressen | Direktmarknadsföring och utvecklingen av affärsrörelsen baserar sig ofta på den personuppgiftsansvariges berättigade intresse. Den personuppgiftsansvariges uppföljning av internationella sanktioner baserar sig delvis på ett berättigat intresse. Den personuppgiftsansvarige kan lämna ut uppgifter till andra personregister hos företag i OP Gruppen på basis av ett berättigat intresse. Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska se till att en behandling som utförs på den här grunden är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar. |
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Privatperson: Den registrerades namn Den registrerades personbeteckning Den registrerades adressuppgifter Person som agerar för företagets räkning: Kontaktpersonens namn och information om personens förbindelse med företaget |
| Uppgifter om kundkännedom | Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning |
| Avtals- och produktuppgifter | Den registrerades fondspecifika innehav i OP-fonder |
| Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem. |
7. Mottagare och kategorier av mottagare av personuppgifter
De som får uppgifter
Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter. Dessutom kan personuppgifter lämnas ut bland annat till:
- myndigheter, såsom till Skatteförvaltningen i Finland och Finlands Bank, i lagstadgade fall
Överföring av uppgifter till underleverantörer
Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.
Underleverantörerna producerar bl.a. datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är andra företag i OP Gruppen.
Internationella överföringar av uppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter överförs begränsat utanför EU/EES.
Uppgifterna överförs utanför EU/EES genom att använda standardavtalsklausuler enligt dataskyddslagstiftningen eller en annan överföringsmekanism som lagstiftningen tillåter, med vilken man garanterar ett lämpligt skydd för personuppgifterna. En överföringsmekanism som den personuppgiftsansvarige använder är standardavtalsklausuler godkända av EU-kommissionen. De finns på adressen.
8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Personuppgifter behandlas under avtalsförhållandets giltighetstid. Då avtalsförhållandet har löpt ut raderas eller anonymiseras uppgifterna efter 10 år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.
Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.
Den personuppgiftsansvarige kan vara skyldig att, under en längre tid än vad som konstaterats ovan, behandla vissa personuppgifter som omfattas av registret för att följa lagstiftningen eller myndigheternas krav på till exempel regleringen kring kapitaltäckningsanalysen.
9. Personuppgiftskällor och uppdatering av personuppgifter
OP-Fondbolagets andelsregister får den registrerades personuppgifter från den andelsbank där den registrerade är kund, eller från OP Kapitalförvaltning Ab. Andelsbankerna och OP Kapitalförvaltning Ab samlar i regel personuppgifterna från den registrerade själv och dessutom från vissa externa källor, såsom Befolkningsregistercentralen.
10. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektronisk format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.
Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
11. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstransaktioner
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.