Dataskyddsbeskrivning
1. Allmänt
Med den här dataskyddsbeskrivningen ges den information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella lagstiftningen, å ena sidan till den registrerade, det vill säga den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
Respektive andelsbank i OP Gruppen
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefonnummer: 0100 0500
E-postadress: dataskydd@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi
4. Registrets namn
Andelsbankens ägarkundsregister
I den här beskrivningen redogörs för behandlingen av personuppgifter i ägarkundsregistret i respektive andelsbank inom OP Gruppen. Registrerade i registret är andelsbankens ägarkunder.
5. Ändamålen med behandlingen av personuppgifter och rättslig grund för behandlingen
Ändamål med personuppgifterna
Den personuppgiftsansvarige använder personuppgifter om dem som hör till ägarkundsregistret huvudsakligen för att upprätthålla informationen om ägarkundrelationen och medlemskapet i förmånsprogrammet på grupplanet samt för att dela information om medlemskapet i förmånsprogrammet med andra företag i OP Gruppen. Informationen om medlemskapet i förmånsprogrammet delas för att gruppens företag ska kunna erbjuda förmåner baserade på ägarkundrelationen till de registrerade som hör till programmet. Den personuppgiftsansvarige upprätthåller också en offentlig medlemsförteckning över ägarkunderna.
Uppgifterna om ägarkundrelationen och medlemskapet i förmånsprogrammet kan också användas för följande ändamål:
- kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
- produktion och utveckling av tjänster samt kvalitetskontroll
- utveckling av affärsrörelsen
- uppföljning och analys av användningen av produkter och tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna och produkterna
- opinions- och marknadsundersökningar
- direktmarknadsföring
- marknadsföring och inriktning av reklam
- behandling av personuppgifter i anslutning till ägarkundernas, det vill säga andelslagsmedlemmarnas förvaltningsrätt, till exempel för att ordna andelsstämmor och fullmäktigesammanträden samt fullmäktigeval
- skötsel av skyldigheter som baserar sig på lagen eller myndigheternas föreskrifter och anvisningar
Då en kund hos andelsbanken ansluter sig som ägarkund via op.fi-nättjänsterna, sker i registret ett automatiskt beslutsfattande som omfattar profilering. Ägarkundrelationen godkänns automatiskt, om kunden har OP Användarkod och medlemsinsatsen kan debiteras kundens konto vid tidpunkten för ansökan.
Eftersom beslutsprocessen är helt automatisk, försäkrar vi att kunden kan föra ärendet till granskning och beslut i en manuell process. Allmän information om det automatiska beslutsfattandet och profileringen finns i dataskyddsklausulen på adressen op.fi/dataskydd.
Rättsliga grunder för behandlingen
| Rättslig grund | Behandling |
|---|---|
| Avtalsförhållande eller åtgärder innan avtal ingås | Anslutning som ägarkund och ägarkundrelationen |
| Samtycke | Då en kund ansluter sig som ägarkund kan kunden ge sitt samtycke till att anslutas till OP Gruppens förmånsprogram (familjehelhet) |
| Lagstadgad skyldighet | Exempelvis att upprätthålla en offentlig medlemsförteckning i enlighet med lagen om andelslag och lämna ut uppgifter till skattemyndigheterna på basis av skattelagstiftningen Behandling av personuppgifter i anslutning till verkställandet av ägarkundernas förvaltningsrättigheter |
| Den personuppgiftsansvariges berättigade intressen | Exempelvis användning av personuppgifter för direktmarknadsföring eller utveckling av affärsrörelsen samt utlämning av uppgifter till register hos andra företag i OP Gruppen kan basera sig på berättigade intressen Den personuppgiftsansvarige ska se till att behandlingen som baserar sig på berättigade intressen är proportionell i relation till den registrerades intressen och mot svarar den registrerades rimliga förväntningar. |
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Den registrerades namn och personbeteckning samt medlemsnummer |
| Samtycke | Den registrerades samtycket till att anslutas till OP Gruppens förmånsprogram |
| Avtals- och produktuppgifter | Uppgifter om avtalet mellan den registrerade och andelsbanken Uppgifter om den registrerades ägarkundrelation och förmånsprogrammet |
| Uppgifter om kundtransaktioner | Uppgifter och transaktioner i anslutning till skötseln av kundrelationen |
| Beteendeuppgifter (uppgifter som samlas in med bland annat cookies och annan motsvarande teknik) | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in om vilken sida användaren besökt, enhetens modell, enskilda enhets- och/eller cookieidentifikatorer, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sess-ionskod, sessionstid och längd samt skärmresolution och operativsystem. |
| Inspelningar och innehåll i meddelanden | Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal |
| Tekniska identifieringsuppgifter | Identifierare som definierats av en enhet eller applikation och med vilken användaren kan identifieras genom att vid behov använda kompletterande uppgifter |
7. Mottagare och kategorier av mottagare av personuppgifter
Insamlade personuppgifter kan lämnas ut inom OP Gruppen. Uppgifter lämnas ut till andra personregister hos företag i OP Gruppen, bland annat för erbjudande av ägarkundsförmåner och kontroll av rösträtten i fullmäktigeval.
Dessutom kan personuppgifter i lagstadgade fall lämnas ut till myndigheter, till exempel skattemyndigheterna.
8. Överföring av personuppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och Europeiska kommissionens standardavtalsklausuler i OPs webbsida: op.fi/dataskydd.
En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bl.a. datatekniska och övriga stödtjänster för den personuppgiftsansvarige.
9. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Personuppgifter behandlas under avtalsförhållandets giltighetstid. Då avtalsförhållandet har löpt ut raderas uppgifterna efter 10 år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar. Personuppgifter som behandlas för att verkställa ägarkundens förvaltningsrättigheter kan lagras längre. På grund av lagstiftning som är förpliktande för den personuppgiftsansvarige lagras exempelvis protokollen för andelsstämmor och fullmäktigesammanträden jämte bilagor permanent. Av dem framgår även deltagaruppgifter.
OP Gruppens företag kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.
10. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in av den registrerade. Dessutom erhålls uppgifter från kundregistren hos OP Gruppens andelsbanker. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster.
Alla samtal till eller från den personuppgiftsansvarige kan spelas in. Samtalsinspelningarna kan användas för verifiering av kundtransaktioner, säkring av kundtjänstens kvalitet, utveckling av tjänsterna och utbildning.
11. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.
Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
12. Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.
13. Hur registret är skyddat
Vi behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Vi har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.