Dataskyddsbeskrivning
Uppdaterat 27.4.2022
1. Allmänt
Med den här dataskyddsbeskrivningen ges den information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella lagstiftningen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
OP-Livförsäkrings Ab
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510, HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 0100 0500
E-postadress: dataskydd@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi
4. Registrets namn
OP-Livförsäkrings Ab:s kundregister
Registrerade är bl.a. fysiska personer som har eller har haft en kundrelation till OP-Livförsäkrings Ab samt de potentiella kunder som den personuppgiftsansvarige har identifierat. Registrerade, då det gäller samfund, är de fysiska personer som agerar för deras räkning.
Registrerade är bl.a. försäkringstagaren, en person som har betalat en premie för försäkringstagaren, den försäkrade, en person som har ansökt om eller erhållit ersättning på basis av ett försäkringsavtal samt personer som annars har rätt till en försäkringsutbetalning utgående från försäkringsavtal (såsom förmånstagare).
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
Försäkringsverksamhet förutsätter behandling av personuppgifter. Den registrerades personuppgifter behövs bland annat för att upprätta ett försäkringsavtal och för utbetalning av ersättningar. Nedan presenteras mer ingående information om ändamålet med behandlingen av personuppgifter och om den rättsliga grunden för behandlingen
Ändamål med personuppgifterna:
- kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
- produktion av tjänster (försäkringsverksamhet, verkställighet och upprätthållande av försäkringsavtal, skadereglering som baserar sig på försäkringsavtal), utveckling, automatisering och kvalitetskontroll samt uppgörande av kund- och användarmodeller
- uppföljning och analys av användningen av produkter och tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna och produkterna
- säkerställning av tjänsternas säkerhet och utredning av missbruk
- riskhantering
- utbildningsändamål
- direktmarknadsföring, opinions- och marknadsundersökningar, distansförsäljning, marknadsföring och inriktning av reklam
- skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
- annan skötsel och utveckling av affärsrörelsen
Automatiserat beslutsfattande och profilering
Automatiserat beslutsfattande innebär att beslut som gäller registrerade fattas enbart på basis av automatisk databehandling. Behandling av personuppgifter i registret omfattar automatiserat beslutsfattande. Syftet med automatiska beslut är att förkorta behandlingstiderna och till exempel att trygga objektiva försäkringsbeslut. Automatiska beslut fattas till exempel då du tecknar en försäkring i nättjänsterna. Om en produkt eller tjänst som förvärvas omfattar automatiskt beslutsfattande, ges information om det i samband med köpet av produkten eller tjänsten.
Till följd av automatiserad beslutsfattning kan den registrerade till exempel beviljas försäkring. Den registrerade kan begära att ärendet omprövas vid en manuell behandling, om beslutet har baserat sig på automatiskt beslutsfattande.
Behandlingen av personuppgifter i registret omfattar också profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper. Profilering utnyttjas till exempel vid fastställandet av en försäkringspremies korrelation med risken, vid inriktningen av marknadsföring och vid kundurval för att betjäningen ska vara snabbare.
Allmän information om det automatiska beslutsfattandet och profileringen finns i dataskyddsklausulen på adressen op.fi/dataskydd.
Kundkännedom och åtgärder mot penningtvätt och finansiering av terrorism
Uppgifterna om kundkännedom och övriga personuppgifter om den registrerade kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism samt för att inleda undersökning av penningtvätt och finansiering av terrorism samt av brott genom vilket egendom eller brottslig vinning som är föremål för penningtvätt eller finansiering av terrorism har erhållits.
Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen får du i regel i villkoren för den produkt eller tjänst du förvärvar.
Rättsliga grunder för behandlingen
Vi behandlar personuppgifter huvudsakligen på basis av ett avtalsförhållande och åtgärder som föregår ingåendet av ett avtal.
Behandlingen av personuppgifter kan också basera sig på
- den registrerades samtycke, såsom samtycke till att inhämta vårduppgifter från vårdinrättningar,
- den personuppgiftsansvariges lagstadgade skyldigheter, såsom kraven i skattelagstiftningen och lagen om försäkringsbolag eller
- den personuppgiftsansvariges eller en tredje parts berättigade intressen, såsom användning av uppgifter för direktmarknadsföring, förutsatt att den registrerade är medveten om det och inte har förbjudit det, för utveckling av affärsrörelsen samt för förebyggande av missbruk och bedrägerier. Också utlämning av uppgifter mellan företag i OP Gruppen baserar sig oftast på berättigat intresse.
Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska se till att en sådan behandling är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar.
Behandlingen av uppgifter om den registrerades hälsotillstånd i registret baserar sig på lag eller den registrerades samtycke.
Den personuppgiftsansvarige har rätt att behandla sådana uppgifter om en försäkringstagares, en försäkrads, ersättningssökandes eller förmånstagares brott, straff eller annan brottspåföljd som är nödvändiga för att utreda försäkringsbolagets ansvar.
6. Kategorier av personuppgifter
Typiska kategorier av personuppgifter eller personuppgifter som behandlas för de registrerade beskrivs nedan. Det datainnehåll som behandlas beror bl.a. på om det är fråga om uppgifter som gäller en privatperson eller en person som handlar för ett företag.
| Kategori av personuppgifter | Exempel på kategorins datainnehåll |
|---|---|
| Grunddata | Privatperson: Den registrerades namn, personbeteckning och kontaktinformation Samfund, inkl. företagare: Identifieringsuppgifter om personer som agerar för samfundets räkning samt om kopplingen till samfundet, kontaktinformation |
| Uppgifter om kundkännedom | Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning |
| Uppgifter om kundrelationen | Uppgifter som specificerar och klassificerar kundrelationen, såsom kundkod och försäkringsbeteckning |
| Samtycken | Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade |
| Avtals- och produktuppgifter | Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade Uppgifter om produkter och tjänster som den registrerade har förvärvat |
| Uppgifter om kundtransaktioner | Uppgifter och transaktioner i anslutning till skötseln av kundrelationen, såsom ändringar i försäkringar och uppgifter om skadereglering |
| Bakgrundsuppgifter | Uppgifter om den registrerades livssituation och finansiella ställning Uppgifter om beskattningen, såsom uppgifter om förskottsinnehållningen som erhållits av skatteförvaltningen |
| Intressen | Uppgifter om vad den registrerade är intresserad av, såsom intresse för produkter och tjänster hos OP Gruppens företag |
| Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem. |
| Inspelningar och innehåll i meddelanden | Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal |
| Särskilda kategorier av personuppgifter | De särskilda kategorier av personuppgifter som definieras i artikel 9 i dataskyddsförordningen, såsom uppgifter om hälsa, biometriska uppgifter för att identifiera en person samt medlemskap i fackförening |
| Tekniska identifieringsuppgifter | Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter |
7. Mottagare och kategorier av mottagare av personuppgifter
Insamlade personuppgifter kan inom de gränser som lagstiftningen tillåter lämnas ut inom OP Gruppen samt till företag eller samfund som hör till samma ekonomiska sammanslutning. Dessutom kan personuppgifter lämnas ut bland annat till:
- vårdinrättningar på basis av samtycke av den registrerade
- vissa samarbetspartner som anlitas vid produktionen eller tillhandahållandet av tjänster. Sådana partner kan alltså agera som personuppgiftsbiträden för den personuppgiftsansvariges räkning eller som självständiga personuppgiftsansvariga.
Personuppgifter kan inom de ramar som lagen tillåter lämnas ut till myndigheter, såsom utsöknings- och socialmyndigheter, Finansinspektionen och skatteförvaltningen i Finland. Till skatteförvaltningen sänds årsanmälningar över den personuppgiftsansvariges kunder.
8. Överföring av personuppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och standardavtalsklausuler på OP:s webbplats: op.fi/dataskydd.
En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bl.a. datatekniska och övriga stödtjänster för den personuppgiftsansvarige.
9. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Den personuppgiftsansvarige fastställer lagringsperioderna för personuppgifter med beaktande av tillämplig lag och affärsrörelse, såsom skadereglering och handläggning av försäkringsärenden, funktion och smidighet. Personuppgifter lagras vanligen minst 10 år efter det att ett avtalsförhållande har löpt ut.
Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.
10. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in av den registrerade. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster.
Alla samtal till eller från den personuppgiftsansvariga kan spelas in. Samtalsinspelningar-na kan användas för verifiering av kundtransaktioner, säkring av kundtjänstens kvalitet, utveckling av tjänsterna och utbildning.
Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras från tredje parters register, såsom:
- från Myndigheten för digitalisering och befolkningsdata
- från andra myndighetsregister, t.ex. från finska skatteförvaltningens inkomstregister
- kreditupplysningsregisteransvariga
- vårdinrättningar på basis av samtycke av den registrerade
- samarbetspartner i anslutning till handläggningen av försäkringar och skador
- banker för identifiering
- instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar
- kundregister hos övriga företag i OP Gruppen
11. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektronisk format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.
Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
12. Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, såsom vid direktmarknadsföring via elektroniska kanaler, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.
13. Hur registret är skyddat
Vi behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Vi har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstransaktioner
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess samarbetspartner på ett tillbörligt sätt skyddar de personuppgifter som behandlas.