OP Företagsbanken Abp:s kundregister

Dataskyddsbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, dvs. den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

OP Företagsbanken Abp
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1 00510, Helsingfors
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 010 2530022
E-postadress: dataskydd@op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi

4. Registrets namn

OP Företagsbanken Abp:s kundregister

Registrerade i kundregistret är den personuppgiftsansvariges kunder och potentiella kunder. Registrerade är privatpersoner samt företags- och samfundskunders (nedan "företag") kontaktpersoner, ansvarspersoner och ägare.

5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen

Ändamål med personuppgifterna

I det här kundregistret behandlas personuppgifter huvudsakligen för att producera, tillhandahålla, leverera och utveckla den personuppgiftsansvariges tjänster, såsom konto-, finansierings- och placeringstjänster. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.

  • kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
  • produktion och utveckling av tjänster samt kvalitetskontroll
  • utveckling av affärsrörelsen
  • uppföljning och analys av användningen av tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna
  • opinions- och marknadsundersökningar
  • direktmarknadsföring
  • marknadsföring och inriktning av reklam
  • skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
  • riskhantering
  • säkerställande av tjänsternas säkerhet samt förhindrande och utredning av missbruk
  • utbildningsändamål

Automatiskt beslutsfattande och profilering

Behandlingen av personuppgifter i registret omfattar för vissa produkter och tjänster automatiskt beslutsfattande. Om en produkt eller tjänst omfattar sådant beslutsfattande, ges information om det i samband med köpet av produkten eller tjänsten. Eftersom beslutsprocessen är helt automatisk, försäkrar den personuppgiftsansvarige att ärendet kan föras till granskning och beslut i en manuell process.

Behandlingen av personuppgifter i registret omfattar profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper.

Inom registret fattas automatiska kreditbeslut, och i anslutning till det profileras till exempel den registrerade för bedömning av den registrerades kreditvärdighet. I processen används uppgifter om den registrerades betalningsförmåga, såsom uppgifter som kunden har gett i processen samt uppgifter från kreditupplysningsregistret och kundregistren hos OP Gruppens företag. Uppföljningen av betalningsförmågan och klassificeringarna i anslutning till den är nödvändig profilering med tanke på affärsrörelsen.

Allmän information om det automatiska beslutsfattandet och profileringen finns i dataskyddsklausulen på adressen op.fi/dataskydd.

Förebyggande av brottslighet

Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism.

Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen finns i regel i villkoren för en produkt eller tjänst.

Den personuppgiftsansvarige kan behandla personuppgifter i anslutning till brott eller misstänkta brott som direkt riktar sig mot den kreditinstitutsverksamhet som den personuppgiftsansvarige bedriver, om det är nödvändigt för att förhindra och reda ut sådana brott.

Rättsliga grunder för behandlingen

Personuppgifter behandlas i registret på flera olika rättsliga grunder, som exemplifieras nedan.

1. Avtalsförhållande eller åtgärder innan avtal ingås, såsom

a. Etablering av kundrelation

b. Behandling av personuppgifter vid verkställighet av avtal

2. Lagstadgad skyldighet, såsom

a.    Lagstiftning som berör förhindrande av penningtvätt och av finansiering av terrorism

b.    Branschspecifik lagstiftning, såsom kreditinstitutslagen (610/2014)

c.    Lag om borgen och tredjemanspant (361/1999)

d.    Annan lagstadgad behandling av personuppgifter, såsom samarbete med polismyndigheter eller skatteförvaltningen samt skyldigheter som föranleds av myndighetsrapportering

3. Samtycke

a.    Elektronisk direktmarknadsföring och utlämning av vissa uppgifter till den personuppgiftsansvariges samarbetspartner kan basera sig på den registrerades samtycke

4. Berättigade intressen

a.    Etablering av en potentiell kundrelation och erbjudande av tjänster till potentiella kunder kan basera sig på ett berättigat intresse.

b.    Direktmarknadsföring och utveckling av affärsrörelsen kan basera sig på den personuppgiftsansvariges berättigade intresse.

c.    Utlämning av uppgifter inom OP Gruppen kan baserar sig på ett berättigat intresse.

Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska också se till att en sådan behandling är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar.

6. Kategorier av personuppgifter

Typiska kategorier av personuppgifter eller personuppgifter som behandlas för de registrerade beskrivs nedan. Det datainnehåll som behandlas beror bl.a. på om det är fråga om uppgifter som gäller en privatperson eller en person som handlar för ett företag.

Kategori av personuppgifter Exempel på kategorins datainnehåll
Grunddata Den registrerades namn, personbeteckning/FO-nummer, den registrerades postadress, telefonnummer, e-postadress
Namnuppgifter och kontaktinformation om företagskunders kontaktpersoner, ansvarspersoner och ägare samt information om ifrågavarande persons koppling till samfundet
Uppgifter om kundkännedom Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning
Uppgifter om kundrelationen Uppgifter som specificerar och klassificerar kundrelationen, såsom skattekod, medborgarskap, betjäningsspråk, yrke eller ställning
Samtycken Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade
Avtals- och produktuppgifter Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade
Uppgifter om produkter och tjänster som den registrerade har förvärvat
Uppgifter om kundtransaktioner Uppgifter och transaktioner i anslutning till skötseln av kundrelationen
Bakgrundsuppgifter Exempelvis uppgifter om den registrerades livssituation och finansiella ställning, erfarenhet och kunskaper
Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem.
Inspelningar och innehåll i meddelanden Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal
Tekniska identifieringsuppgifter Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter

7. Mottagare och kategorier av mottagare av personuppgifter

Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter. Dessutom kan personuppgifter lämnas ut bland annat till:

  • myndigheter, såsom Finansinspektionen, Europeiska centralbanken och skatteförvaltningen i Finland, i lagstadgade fall. Till skatteförvaltningen sänds årsanmälningar över den personuppgiftsansvariges kunder.
  • marknadsparter, såsom Finlands Värdepapperscentral
  • kreditupplysningsregisteransvariga, såsom Suomen Asiakastieto Oy för uppföljning av betalningsanmärkningar
  • instanser, till vilka den personuppgiftsansvarige har rätt att överföra eller pantsätta finansieringsavtal eller skuldebrev
  • Europeiska centralbanken, Finlands Bank och eurosystemets övriga centralbanker, Europeiska investeringsbanken, Nordiska Investeringsbanken, Finnvera Abp, Europeiska investeringsfonden eller motsvarande instanser i samband med finansierings- och/eller säkerhetsarrangemang

Till säljaraffärer som är samarbetspartner med den personuppgiftsansvarige kan utlämnas personuppgifter om registrerade som säljaraffären har förmedlat till OP Företagsbanken Abp i egenskap av ombud för den.

8. Överföring av personuppgifter

Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter överförs begränsat utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter.

En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen eller dess samarbetsföretag. De producerar bl.a. datatekniska och övriga stödtjänster för den personuppgiftsansvarige.

Den personuppgiftsansvarige anlitar säljaraffärer som ombud vid mottagningen av finansieringsansökningar, kundidentifieringen och finansierinsgdokumentationen.

9. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Personuppgifter behandlas under kundrelationens och avtalsförhållandets giltighetstid. De behandlas också efter kundrelationens och avtalsförhållandets slut så länge som det i respektive fall anses nödvändigt och som nedan har konstaterats.

Avtalsuppgifterna raderas cirka tio år efter det att avtalet har upphört. Uppgifterna om kundrelationen, till exempel uppgifterna om kundkännedom, raderas eller anonymiseras cirka tio år efter det att det sista avtalet har upphört. Uppgifterna raderas i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.

Uppgifterna om potentiella kunder lagras så länge som det är nödvändigt för att etablera en eventuell kundrelation.

Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.

Den personuppgiftsansvarige kan vara skyldig att behandla vissa personuppgifter i registret under en längre period än den ovan nämnda för att iaktta lagstiftning eller myndighetskrav, såsom bestämmelserna om kapitaltäckningsanalysen.

10. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade samt beroende på fall av det samfund för vars räkning den registrerade handlar. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster. Personuppgifter kan inom de ramar som lagen tillåter också inhämtas av andra företag i OP Gruppen, till exempel i riskhanterings- och marknadsföringssyfte.

Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras från tredje parters register, såsom:

  • Befolkningsregistercentralen
  • andra myndighetsregister, såsom Trafi, handelsregistret och stiftelseregistret, Officiella tidningen, lagfarts- och inteckningsregistret
  • kreditupplysningsregisteransvariga
  • finanssektorns kundstörningsregister
  • instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar

11. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

12. Rätt att återkalla samtycke

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.

13. Hur registret är skyddat

Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.

Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.