Dataskyddsbeskrivning
1. Allmänt
Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, dvs. den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
Respektive andelsbank i OP Gruppen
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 010 253 0022
E-postadress: dataskydd@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi
4. Registrets namn och registrerade
Andelsbankens kampanjregister
Registret omfattar dem som deltar i evenemang, tillfälle, kampanj, tävling eller utlottning (nedan avses med evenemang beroende på situationen något av de ovan nämnda) samt andra personer och sammanslutningar, såsom personer som verkar på företags vägnar, som visat sitt intresse för de tjänster som den personuppgiftsansvarige tillhandahåller. Ovan nämnda persongrupper är registrerade i registret. De som är registrerade i registret kan också vara representanter för en samarbetspartner som tillsammans med andelsbanken arrangerar evenemanget.
Uppgifterna i registret har inte anslutits till kundregistren hos företag i OP Gruppen.
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
Ändamålen med behandlingen
Till ändamålen med personuppgifterna hör:
- att ordna kampanjer och att föra deltagarlistor i anslutning till evenemang, i synnerhet därtill hörande kundbetjäning och anmälningar samt eventuell övrig information och kommunikation
- att dela in evenemangsdeltagarna i åldersgrupper/serier
- att utse och bekräfta vinnare samt publicering i arrangörens egna kanaler, såsom webbplatser
- att trygga säkerheten under evenemanget
- att planera och utveckla produkt- och tjänsteutbud samt inrikta utbudet
- opinions- och marknadsundersökningar
- respons och nöjdhetsförfrågningar
- direktmarknadsföring
- inriktning av marknadsföring och reklam i interna och externa medier
- utbildningsändamål
- Uppgifter om en minderårig registrerad får inte samlas in för marknadsföring, försäljning och inte heller för skötsel av kundrelationen.
Rättsliga grunder för behandlingen
Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.
| Rättslig grund | Exempel |
|---|---|
| Avtalsförhållande eller åtgärder innan avtal ingås | Exempel: Behandling av uppgifter i registret om en annan representant för evenemangsarrangören kan basera sig på ett avtal. |
| Samtycke | Behandlingen kan basera sig på en den registrerades samtycke. Den registrerade kan ge sitt samtycke exempelvis på webbplatsen där uppgifterna om vinnarna publiceras, för fotografering under evenemanget samt till publicering av foton och för elektronisk direktmarknadsföring. Samtycke av minderåriga begärs av vårdnadshavaren. |
| Den personuppgiftsansvariges berättigade intressen | Behandling av personuppgifter i anslutning till ett evenemang, såsom att utse vinnare och i vissa fall också för direktmarknadsföring kan basera sig på berättigade intressen. Den registrerade kan till exempel i samband med ett evenemang uttrycka sitt intresse för OP Gruppen eller dess produkter och tjänster. Utlämning av personuppgifter inom OP Gruppen kan basera sig på ett berättigat intresse. Den personuppgiftsansvarige ska se till att en behandling som utförs på den här grunden är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar. |
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Den registrerades namn Den registrerades kontaktinformation, såsom e-post, telefonnummer och adressuppgifter |
| Uppgifter om kundrelationen | Uppgifter som specificerar och klassificerar en potentiell kundrelation. Källa för kontaktinformation |
| Samtycken | Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade |
| Uppgifter om kundtransaktioner | Uppgifter om kontakter |
| Bakgrundsuppgifter | Betjäningsspråk |
| Intressen | Uppgifter om vad den registrerade är intresserad av |
| Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) / person som deltar på evenemanget eller dennes vårdnadshavare. | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem. |
| Tekniska identifieringsuppgifter / person som deltar på evenemanget eller dennes vårdnadshavare. | Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter |
7. Personuppgifternas mottagare och mottagargrupperna
Mottagare av uppgifter
Insamlade personuppgifter kan lämnas ut inom de gränser som lagstiftningen tillåter inom OP Gruppen och till myndigheter.
Insamlade personuppgifter kan lämnas ut för att ordna evenemanget till andra samarbetsparter som ansvarar för att ordna evenemanget. Dessutom kan uppgifter om vinnare och foton på deltagarna överlåtas till medierna med den registrerades samtycke.
Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning.
Överföring av uppgifter till underleverantörer
Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.
Underleverantörerna producerar bl.a. datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är andra företag i OP Gruppen.
Internationella överföringar av uppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter överförs begränsat utanför EU/EES.
Uppgifterna överförs utanför EU/EES genom att använda standardavtalsklausuler enligt dataskyddslagstiftningen eller en annan överföringsmekanism som lagstiftningen tillåter, med vilken man garanterar ett lämpligt skydd för personuppgifterna. De standardavtalsklausuler som är godkända av EU-kommissionen. Det finns på
8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Den personuppgiftsansvarige behandlar de registrerades personuppgifter en tid och förstör dem cirka 6 månader efter det att evenemanget har upphört. Förteckningar över vinnare under evenemanget kan förvaras något längre än så, i regel högst i några år.
Den personuppgiftsansvarige svarar inte för uppgifter om deltagare och vinnare i tävlingen som är framlagda på andra än de egna kanalerna (någon annan kanal är exempelvis en förteckning över vinnarna som publicerats på en lokaltidnings webbplats).
9. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in av den registrerade eller av den sammanslutning som den registrerade representerar. Personuppgifter kan också samlas in när nättjänster används. Som källa kan också användas kundregister hos andra bolag i OP Gruppen.
10. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den registeransvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.
Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
11. Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.
12. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.