Dataskyddsbeskrivning
Tidpunkt för upprättande eller ändring: 3.4.2024
1. Allmänt
Med den här dataskyddsbeskrivningen ges den information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella lagstiftningen, å ena sidan till den registrerade, det vill säga den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
Respektive andelsbank i OP Gruppen
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefonnummer: 0100 0500
E-postadress: dataskydd@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi
4. Registrets namn
Andelsbankens kundregister
Varje andelsbank har ett eget kundregister. I den här dataskyddsbeskrivningen redogörs för behandlingen av personuppgifter i respektive andelsbanks kundregister.
Registrerade i registret är andelsbankens kunder och potentiella kunder. En registrerad kan vara en privatperson eller en person som agerar för ett företag som använder andelsbankens tjänster, inklusive en företagare.
En potentiell kundrelation uppkommer vanligen då en person har visat sitt intresse för andelsbankens tjänster via op.fi eller vid ett besök på ett kontor. En potentiell kundrelation kan också uppkomma till exempel på basis av att en person är kund hos något annat företag i OP Gruppen och det här företaget lämnar ut kundens uppgifter till andelsbanken för marknadsföring.
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
5.1 Ändamålen med behandlingen
Bankverksamhet förutsätter behandling av personuppgifter. Andelsbankens kundregister omfattar sådan behandling av personuppgifter som är nödvändig för till exempel konto-, kredit- och placeringstjänster. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.
Till ändamålen med personuppgifterna hör:
- kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
- produktion och utveckling av tjänster samt kvalitetskontroll
- utveckling av affärsrörelsen
- uppföljning och analys av användningen av produkter och tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna och produkterna
- opinions- och marknadsundersökningar
- direktmarknadsföring
- marknadsföring och inriktning av reklam
- iakttagande av krav och förpliktelser i anslutning till betaltjänster
- skötsel av skyldigheter som baserar sig på lagen eller myndigheternas föreskrifter och anvisningar
- identifiering av betalningsoförmåga
- riskhantering och myndighetsrapportering
- säkerställande av tjänsternas säkerhet och utredning av missbruk
- utbildningsändamål
Automatiskt beslutsfattande och profilering
Behandlingen av personuppgifter i registret omfattar för vissa produkter och tjänster automatiskt beslutsfattande. Sådana produkter kan vara till exempel bolån och konsumentkrediter utan säkerhet som söks via digitala kanaler. Syftet med automatisk behandling är att förkorta behandlingstiderna och trygga objektiva beslut. Det är fråga om automatiskt beslutsfattande där beslutet är nödvändigt för att ingå eller verkställa ett avtal mellan den registrerade och den personuppgiftsansvarige. Om en produkt eller tjänst omfattar sådant beslutsfattande, ges information om det i samband med köpet av produkten eller tjänsten. Eftersom beslutsprocessen är helt automatisk, försäkrar den personuppgiftsansvarige att ärendet kan föras till granskning och beslut i en manuell process.
Behandlingen av personuppgifter i registret omfattar också profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper.
I den personuppgiftsansvariges verksamhet ingår automatiska kreditbeslut som omfattar exempelvis kundspecifik profilering av den registrerade för att bedöma hens kreditvärdighet i syfte att fatta kreditbeslut och ingå kreditavtal. Dessutom är den registrerade föremål för profilering i syfte att identifiera betalningsoförmåga. Kravet på bedömning av kreditvärdighet och identifiering av betalningsoförmåga baserar sig på lagstiftning.
Som stöd för det automatiska kreditbeslutet används uppgifter som beskriver kreditsökandens betalningsförmåga, såsom uppgifter om den kredit som söks, uppgifter som kreditsökanden själv lämnat under kreditansökningsprocessen, uppgifter från Suomen Asiakastieto Oy:s kreditupplysningsregister, uppgifter från Skatteförvaltningens positiva kreditupplysningsregister samt OP Gruppens interna betalningshistorik- och kredituppgifter. Dessutom utnyttjas vid beslutsfattandet bland annat adressuppgifter som fås från Myndigheten för digitalisering och befolkningsdata.
För den registrerade är följderna av automatisk behandling och profilering att kreditansökan antingen automatiskt godkänns eller avslås. En följd av den automatiska behandlingen och profileringen kan också vara att avtalsvillkor fastställs, till exempel krediträntan. Systemet kan också överföra ärendet direkt till en medarbetare för bedömning. Då är det en fysisk person som behandlar ansökan och fattar beslutet. En kreditansökan kan överföras till manuell behandling till exempel då sökanden är under 18 år eller då kreditansökan inte har kunnat godkännas automatiskt. Uppföljningen av betalningsförmågan och klassificeringarna i anslutning till den är nödvändig profilering med tanke på affärsrörelsen. Ett negativt kreditbeslut kan bero på exempelvis otillräcklig betalningsförmåga, en betalningsanmärkning, en extern betalningsstörning eller andra försummelser av avtal med OP.
Om de angivna kraven inte innebär hinder för att bevilja kredit, kan det göras en kreditklassificering som mäter sökandens betalningsförmåga och som det sökta kreditbeloppet proportioneras efter vid beslutsfattandet. Utöver de uppgifter som lämnats under kreditansökningsprocessen, kan vid beslutsfattandet beaktas bland annat uppgifterna om den sökta krediten, sökandens unga ålder och betalningsdröjsmål.
Den metod som används vid kreditbeslut bedöms och uppföljs regelbundet för att säkerställa dess tillförlitlighet. Den registrerade kan begära att ärendet omprövas vid en manuell behandling, om beslutet har baserat sig på automatiskt beslutsfattande.
Allmän information om det automatiska beslutsfattandet och profileringen finns i dataskyddsklausulen på adressen op.fi/dataskydd.
Förebyggande av brottslighet
Uppgifterna om kundkännedom och övriga personuppgifter om den registrerade kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism samt för att inleda undersökning av penningtvätt och finansiering av terrorism och brott genom vilket egendom eller brottslig vinning som är föremål för penningtvätt eller finansiering av terrorism har erhållits.
Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen får du i regel i villkoren för den produkt eller tjänst du förvärvar.
Den personuppgiftsansvarige kan behandla personuppgifter i anslutning till brott eller misstänkta brott som direkt riktar sig mot den kreditinstitutsverksamhet som den personuppgiftsansvarige bedriver, om det är nödvändigt för att förhindra och reda ut sådana brott.
5.2 Rättsliga grunder för behandlingen
Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.
| Rättslig grund | Exempel |
|---|---|
| Avtalsförhållande eller åtgärder innan avtal ingås | Åtgärder som baserar sig på ett avtal, såsom ett konto-, kredit- eller placeringstjänstavtal, eller ingåendet av ett avtal |
| Lagstadgad skyldighet | Till exempel lagstiftningen om förhindrande av penningtvätt och av finansiering av terrorism eller beskattning, lagstiftningen om kreditupplysningar, lagen om ett positivt kreditupplysningsregister, konsumentskyddslagstiftningen, bokföringsbestämmelserna samt lagen om stark autentisering och betrodda elektroniska tjänster Branschspecifik lagstiftning, såsom kreditinstitutslagen, lagen om investeringstjänster samt bestämmelser om säkerheter och kreditgivning |
| Den personuppgiftsansvariges eller en tredje parts berättigade intressen | Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Exempelvis direktmarknadsföring eller utveckling av produkter och tjänster samt typiskt också utlämning av uppgifter inom OP Gruppen Den personuppgiftsansvarige ska se till att en sådan behandling är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar. |
| Samtycke | Direktmarknadsföring via en elektronisk kanal baserar sig vanligen på den registrerades samtycke |
6. Kategorier av personuppgifter
Kategorier av personuppgifter som gäller kunder
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grundläggande uppgifter | Privatkund: Den registrerades namn, personbeteckning och kontaktinformation såsom adress, telefonnummer och e-postadress Samfundskund: Identifieringsuppgifter om personer som agerar för samfundets räkning samt om kopplingen till samfundet |
| Uppgifter om kundkännedom | Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning |
| Uppgifter om kundrelationen | Uppgifter som specificerar och klassificerar kundrelationen, såsom kundrelationens längd och art eller kreditklass |
| Samtycken | Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade |
| Avtals- och produktuppgifter | Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade Uppgifter om produkter och tjänster som den registrerade har förvärvat |
| Uppgifter om kundtransaktioner | Uppgifter och transaktioner i anslutning till skötseln av kundrelationen |
| Bakgrundsuppgifter | Exempelvis uppgifter om den registrerades livssituation, placeringserfarenhet och placeringskunskap samt finansiella ställning och mål |
| Intressen | Uppgifter om vad den registrerade är intresserad av, till exempel intresse för en viss produkt eller tjänst hos OP |
| Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in om vilken sida användaren besökt, enhetens modell, enskilda enhets- och/eller cookieidentifikatorer, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem. |
| Inspelningar och innehåll i meddelanden | Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal |
| Särskilda kategorier av personuppgifter | De särskilda kategorier av personuppgifter som definieras i artikel 9 i dataskyddsförordningen, till exempel uppgifter om hälsa och medlemskap i fackförening |
| Tekniska identifieringsuppgifter | Identifierare som definierats av en apparat eller applikation och med vilken användaren kan identifieras genom att vid behov använda kompletterande uppgifter |
Kategorier av personuppgifter som gäller potentiella kunder
Det datainnehåll som behandlas bestäms bland annat av den kategori av potentiella kunder som det är fråga om. Nedan redogörs för datainnehåll som den personuppgiftsansvarige typiskt behandlar.
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grundläggande uppgifter | Den registrerades namn, personbeteckning och kontaktinformation såsom adress, telefonnummer och e-postadress |
| Uppgifter om kundrelationen | Uppgifter som specificerar kundrelationen, till exempel kundrelationens begynnelsedatum och art |
| Avtals- och produktuppgifter | Uppgifter om offerter som den personuppgiftsansvarige har gett den registrerade |
| Uppgifter om kundtransaktioner | Uppgifter och transaktioner i anslutning till skötseln av kundrelationen |
| Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in om vilken sida användaren besökt, enhetens modell, enskilda enhets- och/eller cookieidentifikatorer, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem. |
| Inspelningar och deras innehåll | Olika samtalsinspelningar, där den registrerade är en part |
| Tekniska identifieringsuppgifter | Identifierare som definierats av en apparat eller applikation och med vilken användaren kan identifieras genom att vid behov använda kompletterande uppgifter |
7. Mottagare och kategorier av mottagare av personuppgifter
Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning, bl.a. den tystnadsplikt som gäller kreditinstitut. Nedan redogörs för typiskt utlämnande av uppgifter från registret.
Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter. I placeringsrörelsen kan uppgifter lämnas ut bl.a. till det företag i gruppen som sköter värdepappersförvaringen.
Personuppgifter kan via andra företag i OP Gruppen lämnas ut till ratinginstitut, dock så att en uppsättning av personuppgifter som lämnas ut inte innehåller uppgifter utifrån vilka en person direkt kunde identifieras.
Vid betalningsförmedling åtföljs överföringar av medel av de personuppgifter om betalaren eller betalningsmottagaren som lagstiftningen kräver.
Uppgifter om krediter som beviljats privatkunder överlåts i enlighet med lagen om ett positivt kreditupplysningsregister till det positiva kreditupplysningsregister som förs av Inkomstregisterenheten vid Skatteförvaltningen.
Då bestämmelser om borgen och säkerheter så kräver lämnar vi ut uppgifter om gäldenären till ställaren av säkerhet eller borgensmannen.
Uppgifter ges också ut till branschens gemensamma kundanmärkningsregister.
Personuppgifter kan också lämnas ut till Google på basis av den registrerades samtycke, om den registrerade har tagit i bruk Google Pay.
Personuppgifter kan i lagstadgade fall lämnas ut till myndigheter, såsom Finansinspektionen, polisen, utsökningsmyndigheterna och Skatteförvaltningen i Finland. Till Skatteförvaltningen sänds årsanmälningar över den personuppgiftsansvariges kunder. Dessutom kan uppgifter lämnas ut till indrivningsbyråer.
I samband med vissa finansierings- och/eller säkerhetsarrangemang kan personuppgifter lämnas ut till Europeiska centralbanken, Finlands Bank och eurosystemets övriga centralbanker, Europeiska investeringsbanken, Nordiska Investeringsbanken, Finnvera Abp, Europeiska investeringsfonden eller motsvarande.
Den personuppgiftsansvarige kan lämna ut sådana uppgifter som avses i lagen om ett övervakningssystem för bank- och betalkonton till myndigheter som enligt lagen är behöriga, så som polisen, utsökningsmyndigheten och Tullen. Tullen svarar för att förmedla sådana uppgifter till de behöriga myndigheterna. Den registrerade ska ställa frågorna om övervakningssystem för bank- och betalkonton till Tullen.
8. Överföring av personuppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och Europeiska kommissionens standardavtalsklausuler i OPs webbsida: op.fi/dataskydd.
En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bl.a. tjänster som gäller krediter och säkerheter samt datatekniska och övriga stödtjänster för den personuppgiftsansvarige.
9. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Personuppgifter behandlas under kundrelationens och avtalsförhållandets giltighetstid. Med kundrelation avses att den registrerade blir kund hos andelsbanken, varvid de grunddata och uppgifter om kundkännedom som är nödvändiga för att etablera kundrelationen samlas in. Ett avtalsförhållande uppstår då en kund ingår ett avtal om en tjänst eller produkt med andelsbanken.
Avtalsuppgifterna raderas cirka tio år efter det att avtalet har upphört. Uppgifterna om kundrelationen, till exempel uppgifterna om kundkännedom, raderas eller anonymiseras cirka tio år efter det att det sista avtalet har upphört. Uppgifterna raderas i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.
Uppgifterna om potentiella kunder lagras i regel sex månader efter etableringen av en potentiell kundrelation. Om en potentiell kundrelation i andelsbanken baserar sig på kunddata som andelsbanken har fått från ett annat företag i OP Gruppen för det här ändamålet, lagras uppgifterna om en sådan kundrelation till dess att den registrerades kundrelation till det företag som har lämnat ut uppgifterna har upphört.
Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.
10. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in av den registrerade. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster.
Personuppgifter kan inhämtas från andra register och företag i OP Gruppen inom de gränser som lagstiftningen tillåter. Sådana uppgifter kan användas till exempel för riskhanterings- och marknadsföringsändamål.
Alla samtal till eller från den personuppgiftsansvarige kan spelas in. Samtalsinspelningarna kan användas för verifiering av kundtransaktioner, säkring av kundtjänstens kvalitet, utveckling av tjänsterna och utbildning.
Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras från tredje parters register, såsom:
- myndighetsregister, till exempel Myndigheten för digitalisering och befolkningsdata, Skatteförvaltningens positiva kreditupplysningsregister, utsökningsmyndigheter och polisen
- kreditupplysningsregisteransvariga
- finanssektorns gemensamma kundanmärkningsregister
- Finansierings- och utvecklingscentralen för boendet, ARA
- instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar
11. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form.
Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
12. Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.
13. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.