Uppdaterad 14.2.2024
Dataskyddsbeskrivning
1. Allmänt
Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund eller personal, och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
Respektive av OP Gruppens (senare också OP) bolag eller av OP Gruppen förvaltade fastighetsplaceringsfond och försäkrings- och pensionsföretag, som äger och hyr ut bostäder och affärslokaler, för självständigt ett sådant personregister som avses i den här beskrivningsmallen.
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1 00510, Helsingfors
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 0100 0500
E-postadress: tietosuoja@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi
4. Registrets namn och registrerade
Kundregister för hyresadministration
De registrerade är privatpersoner som är eller har varit hyresgäster i bostäder som ägs av den personuppgiftsansvarige samt personer som agerar för sådana samfund som är eller har varit hyresgäster i affärslokaler som ägs av den personuppgiftsansvarige.
Registrerade kan också vara potentiella kunder: privatpersoner samt personer som agerar för ett samfund eller företag med vilka ett utkast till avtal har gjorts upp.
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
5.1 Ändamålen med behandlingen
Det huvudsakliga ändamålet med personuppgifterna i registret är hålla kontakt med kunden i anslutning till hyresboende och uthyrning av affärslokaler, såsom fakturering av hyror av kunden, samt information i ärenden som gäller hyresförhållandet. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.
Ändamål med personuppgifterna:
- kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
- produktion, tillhandahållande och leverans av tjänster samt utveckling och kvalitetskontroll
- utveckling av affärsrörelsen
- opinions- och marknadsundersökningar
- skötsel av skyldigheter som baserar sig på lag eller på myndigheternas föreskrifter och anvisningar
- riskhantering
- säkerställande av tjänsternas säkerhet och utredning av missbruk
- direktmarknadsföring
- marknadsföring och inriktning av reklam
Förhindrande av penningtvätt och av finansiering av terrorism samt uppföljning av sanktioner
Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism.
Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar.
5.2 Rättsliga grunder för behandlingen
Behandlingen av personuppgifter baserar sig i regel på ett hyresavtal som gäller eller har upphört, till exempel fakturering och indrivning av hyror, eller på åtgärder som föregår ingåendet av ett hyresavtal, till exempel att erbjuda bostäder eller affärslokaler utgående från en privatpersons bostadsansökan eller ett samfunds kontakt gällande en affärslokal.
Behandlingen av personuppgifter kan också basera sig på:
- den personuppgiftsansvariges lagstadgade skyldighet, såsom att informera hyresgäster om sådana fastighetsreparationer, planerade vatten- eller elavbrott eller sådan service på anordningar i fastigheten, till exempel hissar, som påverkar boendet eller verksamheten.
- den personuppgiftsansvariges eller en tredje parts berättigade intressen, såsom kund- och marknadsundersökningar, utgående från vilka den personuppgiftsansvarige kan utveckla sin affärsrörelse och sina tjänster i anslutning till boende eller uthyrning av affärslokaler. Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade.
- personuppgifter kan också lämnas ut inom OP Gruppen utgående från den personuppgiftsansvariges berättigade intresse.
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Den registrerades namn och personbeteckning eller FO-nummer samt kontaktinformation (adress, e-postadress och telefonnummer) Identifieringsuppgifter om personer som agerar för ett samfunds eller företags räkning samt om kopplingen till samfundet eller företaget |
| Uppgifter om kundkännedom | Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning |
| Uppgifter om kundrelationen | Uppgifter som specificerar och klassificerar kundrelationen |
| Uppgifter om avtalet och produkterna | Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade |
| Uppgifter om kundtransaktioner | Uppgifter och transaktioner i anslutning till skötseln av kundrelationen |
| Bakgrundsuppgifter | Exempelvis uppgifter om den registrerades livssituation och finansiella ställning, såsom kredituppgifter |
| Inspelningar och innehåll i meddelanden | Olika meddelanden, där den registrerade är en part, till exempel e-postmeddelanden |
| Tekniska identifieringsuppgifter | Identifierare som anges av en enhet eller applikation och med vilken användaren av enheten eller applikationen kan identifieras genom kompletterande uppgifter vid behov |
| Beteendeuppgifter (uppgifter som samlas in med bl.a. kakor och annan motsvarande teknik) | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med kakor. Uppgifter kan samlas in exempelvis om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller kakidentifikatorer, kanal, såsom applikation, webbläsare eller mobil webbläsare, webbläsarversion, IP-adress, sessionskod, sessionens tid och längd samt skärmresolution och operativsystem. |
7. Mottagare och kategorier av mottagare av personuppgifter
7.1 Mottagare av uppgifter
Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter. Dessutom kan personuppgifter lämnas ut bland annat till instanser som ställer ut en hyresgaranti, såsom Folkpensionsanstalten, en bank eller ett kundföretags moderbolag som utställare av hyresgaranti, samt vid indrivningsåtgärder till den byrå som sköter indrivningen.
Uppgifter kan även lämnas ut till ett disponent- och servicebolag som sköter förvaltningen av hyresobjekt samt till bostadsbolaget.
Personuppgifter kan då lagen så kräver lämnas ut också till myndigheter, såsom kommunala myndigheter då det gäller bostadsobjekt med räntestöd.
Personuppgifter lämnas ut också om den personuppgiftsansvarige säljer en fastighet till en tredje part. Då överlåts de personuppgifter som är nödvändiga för hyresförhållandet och hyresärendet.
Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning, inklusive den tystnadsplikt som gäller den personuppgiftsansvarige.
7.2 Överföring av uppgifter till underleverantörer
Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Underleverantörerna tillhandahåller för den personuppgiftsansvarige bland annat tjänster för hyresadministration (såsom förmedling av bostäder och affärslokaler samt fakturering av hyror), värdering av fastigheter och datatekniska tjänster. En del av de underleverantörer som anlitas är andra företag inom OP.
Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.
7.3 Internationella överföringar av uppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och standardavtalsklausuler på OP:s webbplats: op.fi/dataskydd.
8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Den personuppgiftsansvarige behandlar personuppgifter under hyresförhållandets giltighetstid. Då hyresförhållandet har löpt ut raderar eller anonymiserar den personuppgiftsansvarige uppgifterna efter tio år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.
Uppgifterna om en bostadssökande raderas eller anonymiseras fem år från ansökan eller från det att man senast varit i kontakt med bostadssökanden.
9. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in från den registrerade själv. Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:
- Myndigheten för digitalisering och befolkningsdata
- andra myndighetsregister
- kreditupplysningsregisteransvariga
- instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar
10. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form utgående från dataskyddsförordningen.
Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av hens personuppgifter inte är lagenlig, har hen rätt att lämna in ett klagomål till tillsynsmyndigheten.
11. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.