Dataskyddsbeskrivning
1. Allmänt
Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
Personuppgiftsansvarig: OP Företagsbanken Abp
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1 00510, Helsingfors
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 010 2530022
E-postadress: dataskydd@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi
4. Registrets namn och registrerade
Kundregistret för ansökan om FO-nummer på op.fi
Registrerade är fysiska personer som är kunder hos ett eller flera företag i OP Gruppen och som vill grunda ett företag genom att på op.fi skaffa ett FO-nummer som beviljas av skatteförvaltningen i Finland. Till den del som uppgifter behandlas efter det att skatteförvaltningen har beviljat ett FO-nummer, betraktas de registrerade som personer som handlar för företagets räkning.
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
Ändamålen med behandlingen
Ansökan om FO-nummer på op.fi erbjuder möjlighet att grunda en firma. Processen för att grunda ett företag kräver behandling av personuppgifter. Den personuppgiftsansvarige behandlar uppgifter i registret främst för att ge den registrerade möjlighet att ansöka om FO-nummer av skatteförvaltningen i Finland samt för att göra det möjligt att erbjuda den nya företagaren nödvändiga tjänster genom att lämna ut uppgifter till andra tjänsteleverantörer inom OP Gruppen. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.
Till ändamålen med personuppgifterna hör:
- kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
- produktion och leverans av tjänster samt utveckling och kvalitetskontroll
- utveckling av affärsrörelsen
- uppföljning och analys av användningen av tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna
- direktmarknadsföring
- marknadsföring och inriktning av reklam
- skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
- riskhantering
Rättsliga grunder för behandlingen
Nedan redogörs för de rättsliga grunderna för behandlingen av de personuppgifter som registret använder samt ges exempel på den behandling som utförs på respektive grund.
| Rättslig grund | Exempel |
|---|---|
| Avtalsförhållande eller åtgärder innan avtal ingås | I registret behandlas personuppgifter i regel på basis av avtal. |
| Den personuppgiftsansvariges eller en tredje parts berättigade intressen | Den personuppgiftsansvarige kan lämna ut uppgifter till andra personregister hos företag i OP Gruppen på basis av ett berättigat intresse då användningsändamålet är försäljning, marknadsföring och utveckling av affärsrörelsen. Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska se till att en behandling som utförs på den här grunden är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar. |
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Uppgifter om den registrerade: Namn, födelsetid, telefonnummer och e-postadress Uppgifter om det företag som grundas: Namn, kontaktinformation, hemvist, näringsgren, uppskattad omsättning och övriga uppgifter om affärsrörelsen som behövs för att ansöka om FO-nummer |
| Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem. |
| Inspelningar och innehåll i meddelanden | Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal och chatt-inspelningar |
7. Mottagare och kategorier av mottagare av personuppgifter
Mottagare av uppgifter
Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter.
Som en del av tjänsten lämnas personuppgifter ut till skatteförvaltningen i Finland, som beslutar om beviljande av FO-nummer till den registrerade.
Överföring av uppgifter till underleverantörer
Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.
Underleverantörerna producerar bl.a. datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är andra företag i OP Gruppen.
Internationella överföringar av uppgifter
Den personuppgiftsansvarige överför i regel inte uppgifter i det här registret utanför EU/EES. Om uppgifter ändå i enskilda fall skulle överföras utanför EU/EES, tillämpar den personuppgiftsansvarige alltid överföringsmekanismer som tillåts enligt lagstiftningen, såsom standardavtalsklausuler enligt dataskyddslagstiftningen, med vilka man garanterar ett lämpligt skydd för personuppgifterna.
De standardavtalsklausuler som är godkända av EU-kommissionen finns på den här adressen.
8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Den personuppgiftsansvarige behandlar personuppgifter så länge som det är nödvändigt för att genomföra tjänsten. Den personuppgiftsansvarige raderar eller anonymiserar uppgifterna i enlighet med sina raderingsprocesser 5 år från det att uppgiften om skatteförvaltningens beslut om FO-numret har erhållits.
9. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas in av den registrerade. Personuppgifter kan också samlas in från personregister hos andra företag i OP Gruppen samt när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster.
Den personuppgiftsansvarige hämtar uppgifter om företag som grundats och godkänts av skatteförvaltningen i Finland från Suomen Asiakastieto Oy.
10. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.
Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
11. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett tillbörligt sätt skyddar de personuppgifter som behandlas.