Dataskyddsbeskrivning
Uppdaterat: 16.4.2024
1. Allmänt
Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund eller personal, och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
OP Detaljkunder Abp
Postadress: PB 1020, 00013 OP
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefonnummer: 0100 0500
E-postadress: dataskydd(a)op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd(a)op.fi
4. Registrets namn och registrerade
Kundregister för OP Detaljkunder Abp
Registrerade är OP Detaljkunder Abp:s privatkunder och potentiella privatkunder.
En kundrelation uppkommer till följd av ett avtalsförhållande. En potentiell kundrelation uppkommer vanligen då en person har visat sitt intresse för OP Detaljkunder Abp:s produkter och tjänster i olika tjänstekanaler, till exempel genom att påbörja en kreditansökan som inloggad med stark autentisering. Tjänster erbjuds både via OP:s betjäningskanaler och via samarbetskanaler för säljaraffärer. En potentiell kundrelation kan också uppkomma genom att en person är kund hos något annat företag i OP Gruppen och det här företaget lämnar ut kundens uppgifter till OP Detaljkunder Abp för marknadsföring.
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
5.1 Ändamålen med behandlingen
OP Detaljkunder Abp behandlar personuppgifter huvudsakligen för att producera, tillhandahålla och leverera tjänster i anslutning till kreditkort och krediter utan säkerhet. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.
Till ändamålen med personuppgifterna hör
- kundbetjäning och skötsel av kundrelationen, inklusive kundkommunikation
- produktion och utveckling av tjänster samt kvalitetskontroll
- utveckling av affärsrörelsen
- kundkategorier och -modeller
- säkerställande av tjänsternas säkerhet samt förhindrande och utredning av missbruk
- riskhantering
- uppföljning och analys av användningen av tjänster samt segmentering av kunder för att den personuppgiftsansvarige till exempel ska kunna erbjuda riktade tjänster till användarna
- skötsel av skyldigheter som baserar sig på lag eller på myndigheternas föreskrifter och anvisningar
- utbildningsändamål till exempel med hjälp av inspelade samtal
- direktmarknadsföring, opinions- och marknadsundersökningar, marknadsföring och inriktning av reklam.
Automatiskt beslutsfattande och profilering
Behandlingen av personuppgifter i registret omfattar för kort- och kreditprodukter automatiskt beslutsfattande. Syftet med automatisk behandling är att förkorta behandlingstiderna och trygga objektiva beslut. Det är fråga om automatiskt beslutsfattande där beslutet är nödvändigt för att ingå eller verkställa ett avtal mellan den registrerade och den personuppgiftsansvarige. Om en produkt eller tjänst omfattar sådant beslutsfattande, ges information om det i samband med köpet av produkten eller tjänsten. Eftersom beslutsprocessen är helt automatisk, försäkrar den personuppgiftsansvarige att ärendet kan föras till granskning och beslut i en manuell process.
Behandlingen av personuppgifter i registret omfattar också profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper.
I den personuppgiftsansvariges verksamhet ingår automatiska beslut om att bevilja kort och kredit, vilka omfattar exempelvis profilering av den registrerade för att bedöma hens kreditvärdighet samt för att fatta kreditbeslut och ingå kreditavtal. Kravet på bedömning av kreditvärdigheten baserar sig på lagstiftningen. Den metod som används vid beslutsfattande bedöms och uppföljs regelbundet för att säkerställa dess tillförlitlighet.
Som stöd för det automatiska beslutsfattandet kan användas uppgifter som beskriver kreditsökandens betalningsförmåga, såsom uppgifter om den kredit som söks, uppgifter som kreditsökanden själv lämnat under kreditansökningsprocessen, uppgifter från Suomen Asiakastieto Oy:s och Myndigheten för digitalisering och befolkningsdatas förfrågningssystem, uppgifter från Skatteförvaltningens positiva kreditupplysningsregister samt OP Gruppens interna betalningshistorik- och kredituppgifter samt andra uppgifter som stödjer bedömningen av lämpligheten för beviljande av kort eller kredit.
För den registrerade är följderna av automatisk behandling och profilering att kort- eller kreditansökan antingen automatiskt godkänns eller avslås. En följd av den automatiska behandlingen och profileringen kan också vara att avtalsvillkor fastställs, till exempel krediträntan. Systemet kan också överföra ärendet till en medarbetare för ytterligare bedömning. Då är det en fysisk person som behandlar ansökan och fattar beslutet. Utöver de uppgifter som lämnats under kreditansökningsprocessen, kan vid beslutsfattandet beaktas bland annat uppgifterna om den sökta krediten, sökandens unga ålder och betalningsdröjsmål. Den sökandes betalningsförmåga kan också kategoriseras, och kategorin används vid beslutsfattandet och vid proportionalisering av det sökta kreditbeloppet. Bedömningen av betalningsförmågan och klassificeringarna i anslutning till den är nödvändig profilering med tanke på affärsrörelsen. Orsaker till ett avslag på kreditansökan är till exempel otillräcklig betalningsförmåga, en betalningsanmärkning, den sökande är för ung, beloppet av andra krediter eller underlåtenhet att återbetala tidigare lån. Den registrerade kan begära att ärendet omprövas vid en manuell behandling, om beslutet har baserat sig på automatiskt beslutsfattande.
Allmän information om det automatiska beslutsfattandet och profileringen finns i dataskyddsklausulen på adressen op.fi/dataskydd.
Förebyggande av brottslighet
Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism.
Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Ytterligare information om iakttagandet av sanktioner i OP Gruppen får du i regel i villkoren för den produkt eller tjänst du förvärvar.
Den personuppgiftsansvarige kan behandla personuppgifter i anslutning till brott eller misstänkta brott som direkt riktar sig mot den kreditinstitutsverksamhet som den personuppgiftsansvarige bedriver, om det är nödvändigt för att förhindra eller reda ut sådana brott.
5.2 Rättsliga grunder för behandlingen
Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.
| Rättslig grund | Exempel |
|---|---|
| Avtalsförhållande eller åtgärder innan avtal ingås | I registret behandlas personuppgifter i regel på basis av avtal för att tillhandahålla och leverera tjänster som den registrerade förvärvat. |
| Samtycke | Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade |
| Lagstadgad skyldighet | Branschspecifik lagstiftning, såsom kreditinstitutslagen Lagstiftning som berör förhindrande av penningtvätt och av finansiering av terrorism Lagen om ett positivt kreditupplysningsregister |
| Den personuppgiftsansvariges eller en tredje parts berättigade intressen | Direktmarknadsföring, riskhantering, utveckling av produkter och tjänster Den personuppgiftsansvarige kan lämna ut uppgifter till andra personregister hos företag i OP Gruppen på basis av ett berättigat intresse. Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska se till att en behandling som utförs på den här grunden är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar. |
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Den registrerades namn, personbeteckning och kontaktinformation, såsom adress, telefonnummer och e-postadress |
| Uppgifter om kundkännedom | Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning |
| Uppgifter om kundrelationen | Uppgifter som specificerar och klassificerar kundrelationen |
| Samtycken | Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade |
| Avtals- och produktuppgifter | Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade Uppgifter om produkter och tjänster som den registrerade har förvärvat |
| Uppgifter om kundtransaktioner | Uppgifter och transaktioner inom kundrelationen Transaktionsuppgifter i anslutning till användningen av ett kort eller en kredit |
| Bakgrundsuppgifter | Den registrerades livssituation och finansiella ställning |
| Intressen | Uppgifter om vad den registrerade är intresserad av, till exempel intresse för produkter som tillhandahålls av den personuppgiftsansvarige |
| Beteendeuppgifter (uppgifter som samlas in med bland annat cookies och annan motsvarande teknik) | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikatorer, kanal, såsom applikation, webbläsare eller mobil webbläsare, webbläsarversion, IP-adress, sessionskod, sessionstid och -längd samt skärmresolution och operativsystem. |
| Inspelningar och innehåll i meddelanden | Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal |
| Särskilda kategorier av personuppgifter | I registret kan behandlas sådana särskilda kategorier av personuppgifter som avses i artikel 9 i dataskyddsförordningen, såsom uppgifter om hälsotillstånd, för vissa begränsade användningsändamål, till exempel i samband med överenskommelse om betalningsarrangemang. |
| Tekniska identifieringsuppgifter | Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter |
7. Mottagare och kategorier av mottagare av personuppgifter
7.1 Mottagare av uppgifter
Personuppgifter kan inom de ramar som lagen tillåter lämnas ut till myndigheter, såsom Finansinspektionen och skatteförvaltningen i Finland.
Den personuppgiftsansvarige kan lämna ut sådana uppgifter som avses i lagen om ett övervakningssystem för bank- och betalkonton till myndigheter som enligt lagen är behöriga, så som polisen, utsökningsmyndigheten och Tullen. Tullen svarar för att förmedla sådana uppgifter till de behöriga myndigheterna. Den registrerade ska ställa frågorna om övervakningssystem för bank- och betalkonton till Tullen.
Dessutom kan personuppgifter lämnas ut bland annat till:
- inom OP Gruppen inom de gränser som lagstiftningen tillåter
- samarbetspartner för eventuellt stamkundssamarbete eller mervärdestjänster i anslutning till produkter
- tvistlösningsorgan i olika tvistlösningssituationer
- internationella kortbolag (till exempel Visa och Mastercard) för att tillhandahålla tjänster relaterade till kortbetalningar
- Google på basis av den registrerades samtycke, om den registrerade har tagit i bruk Google Pay
- indrivningsbolag för att driva in kredit
- kreditupplysningsregisteransvariga, såsom Suomen Asiakastieto Oy, för uppföljning och registrering av betalningsanmärkningar och Skatteförvaltningens positiva kreditupplysningsregister
Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning, inkl. den tystnadsplikt som gäller den personuppgiftsansvarige.
7.2 Överföring av uppgifter till underleverantörer
Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.
Underleverantörerna producerar bl.a. datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är andra företag i OP Gruppen.
7.3. Internationella överföringar av uppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och Europeiska kommissionens standardavtalsklausuler i OPs webbsida: op.fi/dataskydd.
En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bl.a. datatekniska och övriga stödtjänster för den personuppgiftsansvarige.
8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Den personuppgiftsansvarige behandlar personuppgifter under avtalsförhållandets giltighetstid. Då avtalsförhållandet har löpt ut raderar eller anonymiserar den personuppgiftsansvarige uppgifterna i regel efter cirka 10 år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.
Den personuppgiftsansvarige behandlar uppgifter om potentiella kunder i regel cirka ett år från det att den registrerade senast genom en aktiv åtgärd har visat intresse för den person-uppgiftsansvariges produkter eller tjänster eller från det att personuppgifterna senast har be-handlats.
Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.
Den personuppgiftsansvarige kan vara skyldig att behandla vissa personuppgifter i registret under en längre period än den ovan nämnda för att iaktta lagstiftning eller myndighetskrav, såsom bestämmelserna om kapitaltäckningsanalysen.
9. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in från den registrerade själv. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, till exempel i OP:s nättjänster.
Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:
- Myndigheten för digitalisering och befolkningsdata
- Skatteförvaltningens positiva kreditupplysningsregister
- andra myndighetsregister
- kreditupplysningsregisteransvariga
- instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar
- övriga kundregister hos företag i OP Gruppen.
10. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form.
Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
11. Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner eller leda till avtalsändringar.
12. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.