Kundregistret för hyresadministration

Dataskyddsbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

Var och en av OP Gruppens (senare också OP) företag eller en fastighetsplaceringsfond som förvaltas av OP Gruppen och försäkrings- och pensionsföretag som äger och hyr ut bostäder och affärslokaler, för självständigt ett sådant personregister som avses i den här beskrivningsmallen.

Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1 00510, Helsingfors
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 010 2530022
E-postadress: dataskydd@op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi

4. Registrets namn och registrerade

Kundregistret för hyresadministration

De registrerade är privatpersoner som är eller har varit hyresgäster i bostäder som ägs av den personuppgiftsansvarige samt personer som agerar för sådana samfund som är eller har varit hyresgäster i affärslokaler som ägs av den personuppgiftsansvarige.

Registrerade kan också vara potentiella kunder: privatpersoner samt personer som agerar för ett samfund eller företag med vilka ett utkast till avtal har gjorts upp.

5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen

Ändamålen med behandlingen

Det huvudsakliga ändamålet med personuppgifterna i registret är hålla kontakt med kunden i anslutning till hyresboende och uthyrning av affärslokaler, såsom fakturering av hyror av kunden, samt information i ärenden som gäller hyresförhållandet. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.

Ändamål med personuppgifterna:

  • kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
  • produktion, tillhandahållande och leverans av tjänster samt utveckling och kvalitetskontroll
  • utveckling av affärsrörelsen
  • opinions- och marknadsundersökningar
  • skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
  • riskhantering
  • säkerställande av tjänsternas säkerhet och utredning av missbruk
  • direktmarknadsföring
  • marknadsföring och inriktning av reklam

Förhindrande av penningtvätt och av finansiering av terrorism samt uppföljning av sanktioner

Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism.

Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP får du i regel i villkoren för den produkt eller tjänst du förvärvar.

Rättsliga grunder för behandlingen

Behandlingen av personuppgifter baserar sig i regel på ett hyresavtal som gäller eller har upphört, till exempel fakturering och indrivning av hyror, eller på åtgärder som föregår ingåendet av ett hyresavtal, till exempel att erbjuda bostäder eller affärslokaler på basis av en privatpersons bostadsansökan eller ett samfunds kontakt gällande en affärslokal.

Behandlingen av personuppgifter kan också basera sig på:

  • den personuppgiftsansvariges lagstadgade skyldighet, såsom att informera hyresgäster om sådana fastighetsreparationer, planerade vatten- eller elavbrott eller sådan service på anordningar i fastigheten, t.ex. hissar, som påverkar boendet eller verksamheten.
  • den personuppgiftsansvariges eller en tredje parts berättigade intressen, såsom kund- och marknadsundersökningar, på basis av vilka den personuppgiftsansvarige kan utveckla sin affärsrörelse och sina tjänster i anslutning till boende eller uthyrning av affärslokaler. Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade.
  • personuppgifter kan också lämnas ut inom OP på basis den personuppgiftsansvariges berättigade intresse.

6. Kategorier av personuppgifter

Kategori av personuppgifter Kategorins datainnehåll
Grunddata Den registrerades namn och personbeteckning eller FO-nummer samt kontaktinformation (adress, e-postadress och telefonnummer)

Identifieringsuppgifter om personer som agerar för ett samfunds eller företags räkning samt om kopplingen till samfundet eller företaget
Uppgifter om kundkännedom Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning
Uppgifter om kundrelationen Uppgifter som specificerar och klassificerar kundrelationen
Avtals- och produktuppgifter Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade
Uppgifter om kundtransaktioner Uppgifter och transaktioner i anslutning till skötseln av kundrelationen
Bakgrundsuppgifter Exempelvis uppgifter om den registrerades livssituation och finansiella ställning, såsom kredituppgifter
Inspelningar och innehåll i meddelanden Olika meddelanden, där den registrerade är en part, till exempel e-postmeddelanden
Tekniska identifieringsuppgifter Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter
Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem.

7. Mottagare och kategorier av mottagare av personuppgifter

Mottagare av uppgifter

Insamlade personuppgifter kan inom OP lämnas ut inom de gränser som lagstiftningen tillåter. Dessutom kan personuppgifter lämnas ut bland annat till instanser som ställer ut en hyresgaranti, såsom Folkpensionsanstalten, en bank eller ett kundföretags moderbolag som utställare av hyresgaranti, samt vid indrivningsåtgärder till den byrå som sköter indrivningen.

Personuppgifter kan då lagen så kräver lämnas ut också till myndigheter, såsom kommunala myndigheter då det gäller bostadsobjekt med räntestöd.

Personuppgifter lämnas ut också om den personuppgiftsansvarige säljer en fastighet till en tredje part. Då överlåts de personuppgifter som är nödvändiga för hyresförhållandet och hyresärendet.

Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning, inkl. den tystnadsplikt som gäller den personuppgiftsansvarige.

Överföring av uppgifter till underleverantörer

Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Underleverantörerna tillhandahåller för den personuppgiftsansvarige bl.a. tjänster för hyresadministration (såsom förmedling av bostäder och affärslokaler samt fakturering av hyror), värdering av fastigheter och datatekniska tjänster. En del av de underleverantörer som anlitas är andra företag inom OP.

Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.

Internationella överföringar av uppgifter

Den personuppgiftsansvarige överför i regel inte uppgifter i det här registret utanför EU/EES. Om uppgifter ändå i enskilda fall skulle överföras utanför EU/EES, tillämpar den personuppgiftsansvarige alltid överföringsmekanismer som tillåts enligt lagstiftningen, såsom standardavtalsklausuler enligt dataskyddslagstiftningen, med vilka man garanterar ett lämpligt skydd för personuppgifterna.

Som en överföringsmekanism skulle den personuppgiftsansvarige använda standardavtalsklausuler som är godkända av EU-kommissionen och som finns på

8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Den personuppgiftsansvarige behandlar personuppgifter under hyresförhållandets giltighetstid. Då hyresförhållandet har löpt ut raderar eller anonymiserar den personuppgiftsansvarige uppgifterna efter 10 år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.

Personuppgifterna om potentiella kunder raderas cirka 5 år efter den senaste kontakten.

9. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade. Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:

  • Myndigheten för digitalisering och befolkningsdataandra myndighetsregister
  • kreditupplysningsregisteransvariga
  • instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar

10. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

11. Hur registret är skyddat

Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.

Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.