Päivitetty 16.09.2022
Tietosuojaseloste
1. Yleistä
Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle, kuten rekisterinpitäjän asiakkaalle tai henkilöstölle ja toisaalta valvovalle viranomaiselle.
2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot
OP Vähittäisasiakkaat Oyj
Postiosoite: PL 308, 00013 OP
Käyntiosoite: Gebhardinaukio 1, 00510 HELSINKI
Rekisterinpitäjän yhteyshenkilö: OP Ryhmän Tietosuojatiimi
Puhelinnumero: 0100 0500
Sähköpostiosoite: tietosuoja(a)op.fi
3. Tietosuojavastaavan yhteystiedot
OP Ryhmän tietosuojavastaava
OP Ryhmä
Postiosoite: PL 308, 00013 OP
Sähköpostiosoite: tietosuoja(a)op.fi
4. Rekisterin nimi ja rekisteröidyt
OP Vähittäisasiakkaat Oyj:n digitaalisten palveluiden asiakasrekisteri
Rekisteröityjä ovat henkilöasiakkaat sekä yhteisöjen puolesta toimivat henkilöt, jotka / joiden edustamat yhteisöt tekevät OP Vähittäisasiakkaat Oyj:n kanssa sopimuksen digitaalisista palveluista tai tunnistusvälineestä tai jotka sopimuksen nojalla edustavat asiakasyhteisöä digitaalisissa palveluissa.
5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste
Käsittelyn tarkoitukset
Asiointi digitaalisissa palveluissa sekä tunnistusvälineen käyttö edellyttävät henkilötietojen käsittelyä. Rekisterinpitäjä käsittelee rekisteriin kuuluvia henkilötietoja pääasiassa, jotta se voi tarjota rekisteröidylle / rekisteröidyn edustamalle yhteisölle digitaalisia palvelualustoja, kuten op.fi-palvelua, OP-mobiilia, OP-Yritysmobiilia, sähköisen allekirjoituksen palvelua ja puhelinpalvelua tai tunnistusvälineen, jolla käyttää näitä palveluita. Alla on tarkempaa tietoa henkilötietojen käytöstä rekisterissä.
Henkilötietojen käyttötarkoituksiin kuuluvat:
- asiakaspalvelu sekä asiakassuhteen hoito ja kehittäminen, mukaan lukien asiakasviestintä
- palvelujen tuottaminen, kehittäminen ja laadunvarmistus
- liiketoiminnan kehittäminen
- palvelujen käytön seuranta ja analysointi sekä asiakkaiden segmentointi, jotta rekisterinpitäjä pystyy tarjoamaan käyttäjille muun muassa personoitua sisältöä palveluissa
- mielipide- ja markkinatutkimukset
- suoramarkkinointi
- markkinoinnin ja mainonnan kohdentaminen
- lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen
- riskienhallinta
- palvelujen turvallisuuden varmistaminen ja väärinkäytösten selvittäminen
Automaattinen päätöksenteko ja profilointi
Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää automaattista päätöksentekoa. Automaattisesta päätöksenteosta on kyse silloin, kun päätös tehdään pelkästään automaattisesti siten, ettei ihminen osallistu yksittäisen päätöksen tekemiseen, ja kun tällaisella päätöksellä on rekisteröityä koskevia oikeusvaikutuksia tai se vaikuttaa rekisteröityyn vastaavalla tavalla merkittävästi.
Jos tällaista päätöksentekoa sisältyy asiakkaan hankkimaan tuotteeseen tai palveluun, siitä kerrotaan tuotteen tai palvelun oston yhteydessä. Päätösprosessin ollessa täysin automaattinen rekisterinpitäjä varmistaa, että rekisteröity voi saattaa asian manuaalisessa prosessissa tarkastettavaksi ja päätettäväksi.
Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää profilointia. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa näitä tietoja käyttämällä arvioidaan tiettyjä henkilökohtaisia ominaisuuksia.
Yleistä tietoa automaattisesta päätöksenteosta ja profiloinnista OP Ryhmässä saat tietosuojalausekkeesta osoitteesta op.fi/tietosuoja.
Rekisterinpitäjä käyttää automaattista päätöksentekoa tehdessään henkilöasiakkaan kanssa digitaalisten palveluiden sopimuksen tai sopimuksen tunnistusvälineestä. Automaattinen päätöksenteko sisältää profilointia, jossa käytetään seuraavia rekisteröityä koskevia tietoja: henkilötunnus, osoite, elossaolotieto, edunvalvontatieto ja tietyt viranomaisten julkistamat pakotelistat.
Pakoteseuranta
Rekisteröidyn henkilötietoja voidaan käyttää sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena. Saat lisätietoa pakotteiden noudattamisesta OP Ryhmässä pääsääntöisesti hankkimasi tuotteen tai palvelun ehdoista. Pakotelistatarkistuksen perusteella varmistetaan, etteivät kansainväliset pakotteet muodosta estettä henkilön asiakkuudelle taikka yhteisön edustajana toimimiselle.
Käsittelyn oikeusperusteet
Alla on kuvattu rekisterin käyttämät henkilötietojen käsittelyn oikeusperusteet sekä esimerkkejä kullakin perusteella suoritettavasta käsittelystä.
| Oikeusperuste | Esimerkki |
|---|---|
| Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet | Rekisterissä käsitellään henkilötietoja pääasiassa sopimukseen perustuen rekisteröidyn tai yhteisön hankkiman digitaalisen palvelun tai tunnistusvälineen tarjoamiseksi ja toimittamiseksi. |
| Lakisääteinen velvoite | Pakotelainsäädäntö Laki vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista tunnistusvälineen osalta |
| Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut | Suoramarkkinointi ja liiketoiminnan kehittäminen perustuvat usein rekisterinpitäjän oikeutettuun etuun. Rekisterinpitäjän suorittama kansainvälisten pakotteiden seuranta perustuu osin oikeutettuun etuun. Rekisterinpitäjä voi luovuttaa tietoja muihin OP Ryhmän yhteisöjen henkilörekistereihin oikeutetun edun perusteella. Useimmiten rekisterinpitäjän oikeutettu etu perustuu rekisterinpitäjän ja rekisteröidyn väliseen asiakas- tai vastaavaan suhteeseen. Rekisterinpitäjä huolehtii siitä, että tällä perusteella suoritettava käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa hänen kohtuullisia odotuksiaan. |
6. Henkilötietoryhmät
| Henkilötietoryhmä | Ryhmän tietosisältö |
|---|---|
| Perustiedot | Henkilöasiakkaalta: henkilötunnus tai vastaava ulkomainen tunnus ja nimi Rekisteröidyn osoite Todentamisasiakirjan tyyppi tai muu tieto todentamistavasta. Yhteisön puolesta toimivalta henkilöltä: Henkilötunnus tai vastaava ulkomainen tunnus tai syntymäaika ja nimi Sähköpostiosoite Puhelinnumero |
| Asiakkuustiedot | Henkilöasiakkaan asiakkuuden yksilöivät ja luokittelevat tiedot |
| Sopimus- ja tuotetiedot | Rekisterinpitäjän ja rekisteröidyn tai rekisteröidyn edustaman yhteisön välisen sopimuksen tiedot |
| Asiakastapahtumatiedot | Asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat |
| Käyttäytymistiedot (ml. evästeillä ja muilla vastaavilla teknologioilla kerätyt tiedot) | Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite- ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä. |
7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät
Tietojen luovutuksensaajat
Kerättyjä henkilötietoja voidaan luovuttaa lainsäädännön sallimissa puitteissa OP Ryhmän sisällä sekä viranomaisille, kuten Finanssivalvonnalle tai Viestintävirastolle.
Luovuttaessaan rekisteriin kuuluvia henkilötietoja rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset.
Tietojen siirto alihankkijoille
Rekisterinpitäjä käyttää tietoteknisten palvelujen tuottamiseen alihankkijoita, esimerkiksi OP-Palvelut Oy:tä, jotka käsittelevät henkilötietoja sen lukuun. Rekisterinpitäjä tekee tällaisten alihankkijoiden kanssa asianmukaiset henkilötietojen käsittelyä koskevat sopimukset.
Kansainväliset tiedonsiirrot
Rekisterinpitäjä käyttää alihankkijoita tietojen käsittelyssä, ja tietoja voidaan siirtää EU:n / ETA:n ulkopuolelle. EU:n / ETA:n ulkopuolelle siirrettäessä siirto tapahtuu käyttäen EU-komission mallisopimuslausekkeita tai muuta lainsäädännön sallimaa siirtomekanismia. Lisätietoja henkilötietojen kansainvälisistä siirroista sekä mallisopimuslausekkeista saat OP:n verkkosivuilta: op.fi/tietosuoja.
Osa rekisterinpitäjän käyttämistä alihankkijoista on muita OP Ryhmän yhteisöjä. Ne tuottavat rekisterinpitäjälle mm. tietoteknisiä ja muita tukipalveluja.
8. Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit
Rekisteröidyn henkilötietoja käsitellään sopimussuhteen voimassaolon ajan. Sopimussuhteen päätyttyä tiedot poistetaan tai anonymisoidaan 10 vuoden kuluttua rekisterinpitäjän noudattamien poistoprosessien mukaisesti.
Rekisterinpitäjä voi käsitellä sopimussuhteen päätyttyä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti.
Henkilötietojen lähteet ja päivittäminen
Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään. Lisäksi yhteisön pääkäyttäjä tai muu edustaja voi antaa tietoja yhteisön muista rekisteröidyistä. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, kuten verkkopalvelut.
Henkilötietoja voidaan kerätä ja päivittää lain sallimissa puitteissa myös kolmansien osapuolten rekistereistä, kuten:
- Digi- ja väestötietovirastosta
- Yrityksen digitaalisen asioinnin sopimuksella lisäksi luottotietorekisterinpitäjiltä
- Yrityksen digitaalisen asioinnin sopimuksella lisäksi muista OP Ryhmän yhteisöjen asiakasrekistereistä
- rekisterinpitäjän noudattamien kansainvälisten pakotteiden piiriin kuulumisen selvittämiseksi tarpeelliset tiedot tällaisia tietokantoja ylläpitäviltä tahoilta
9. Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.
Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista.
Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.
Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.
Tietosuoja-asetuksen soveltamisen alettua rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa tietosuoja-asetukseen perustuen.
Kaikki tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle.
Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.
10. Miten rekisterin suojaus on järjestetty
Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.
Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:
- laitteistojen ja tiedostojen suojaus
- kulunvalvonta
- käyttäjien tunnistus
- käyttövaltuudet
- käyttötapahtumien rekisteröinti
- käsittelyn ohjeistus ja valvonta
Rekisterinpitäjä edellyttää myös alihankkijoiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.