Dataskyddsbeskrivning
1. Allmänt
Med dataskyddsbeskrivningen ges den information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella lagstiftningen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktuppgifter
Pivo Wallet Oy
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Smidiga affärer kundservice
Telefonnummer: 010 253 0300
E-postadress: asiakaspalvelu.sujuvatkaupat@op.fi
3. Dataskyddsombudets kontaktuppgifter
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi
4. Registrets namn
Tjänsten OP Smidiga affärers kundregister
Registret täcker användare som köper eller säljer fordon i tjänsten OP Smidiga affärer eller besöker tjänsten OP Smidiga affärers webbplats.
Genom tjänsten OP Smidiga affärer, som tillhandahålls av Pivo Wallet Oy som personuppgiftsansvarig, kan användaren sköta bilaffärer mellan privatpersoner från början till slut. I tjänsten kan användaren också ansöka om finansiering hos OP Företagsbanken för köp av fordon och för fordonet teckna försäkringar som tillhandahålls av Pohjola Försäkring.
Då finansiering tillhandahålls fungerar Pivo Wallet som ombud för OP Företagsbanken och OP Företagsbanken behandlar när den beviljar finansieringen uppgifter som personuppgiftsansvarig i enlighet med dataskyddsbeskrivningen för OP Företagsbankens kundregister. OP Företagsbanken tillhandahåller betalning av bil som tjänstens personuppgiftsansvarige. OP Företagsbanken fungerar som personuppgiftsansvarig också i fråga om behandling av personuppgifter som hänför sig till förhindrande av penningtvätt som krävs enligt lagen.
När det gäller att bevilja försäkringar fungerar som personuppgiftsansvarig i enlighet med den egna dataskyddsbeskrivningen Pohjola Försäkring Ab och som personuppgiftsbiträde, som ombud för Pohjola Försäkring med ansvar för tjänsten Smidiga affärer säljer Pivo Wallet försäkringar. I tjänsten kan man också göra en överlåtelseanmälan om bil till Trafik- och kommunikationsverket Traficom med hjälp av Pohjola Försäkrings meddelandetjänst. Den här tjänsten tillhandahålls av Pohjola Försäkring som personuppgiftsansvarig.
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
5.1 Ändamålen med behandlingen
Ändamålen med personuppgifterna är:
- kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
- produktion, utveckling, automatisering och kvalitetskontroll av tjänster och produkter (tillhandahållande av tjänsten OP Smidiga affärer) samt utarbetande av kund- och användarmodeller
- uppföljning och analys av användningen av produkter och tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna och produkterna
- säkerställande av tjänsternas säkerhet och utredning av missbruk
- riskhantering
- utbildningsändamål
- direktmarknadsföring, opinions- och marknadsundersökningar, distansförsäljning, marknadsföring och inriktning av reklam
- skötsel av skyldigheter som baserar sig på lag eller på myndigheternas föreskrifter och anvisningar
- annan skötsel och utveckling av affärsrörelsen
Profilering
Behandlingen av personuppgifter i registret omfattar profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper. I marknadsföringen utförs målgruppsurval, och inriktningen baserar sig på olika segment.
Allmän information om profileringen i OP Gruppen får du i dataskyddsklausulen på adressen op.fi/dataskydd.
Förebyggande av brottslighet
Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism.
Oidentifierade besökare på webbplatsen OP Smidiga affärer:
Användning av tjänsten OP Smidiga affärer kräver identifiering. Det är möjligt att besöka tjänstens webbplats utan identifiering. Besökarens personuppgifter behandlas då med användarens samtycke för analys- och marknadsföringssyften genom att lagra kakor i användarens terminal.
5.2 Rättsliga grunder för behandlingen
Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.
| Rättslig grund | Exempel |
|---|---|
| Avtalsförhållande eller åtgärder innan avtal ingås | I registret behandlas personuppgifter i regel utgående från avtal baserat på uppgifter som den registrerade har gett om sig själv. Tillhandahållandet av tjänsten baserar sig på användarvillkoren för tjänsten OP Smi-diga affärer. På den här grunden behandlas användarnas uppgifter då de skapar och genomför ett uppdrag om försäljning av bil. |
| Samtycke | Elektronisk direktmarknadsföring baserar sig på samtycke av den registrerade, exem-pelvis den registrerades tillstånd för elektronisk direktmarknadsföring. Elektro-nisk marknadsföring är direktmarknadsfö-ring till exempel per e-post, textmed-delande eller applikationer med hjälp av push-meddelanden. Även användning av andra kakor på webb-platsen än sådana som är nödvändiga med tanke på tjänsten baserar sig på den regi-strerades samtycke. Den registrerade kan också med sitt samtycke prenumerera på nyhetsbrev. |
| Lagstadgad skyldighet | I registret behandlas personuppgifter för förhindrande av penningtvätt och av finansiering av terrorism samt utgående från sanktionslagstiftningen. Personuppgifter behandlas också till exempel för att genomdriva kraven i skatte- och bokföringslagstiftningen. |
| Den personuppgiftsansvariges eller en tredje parts berättigade intressen | Direktmarknadsföring som görs per telefon och per post baserar sig ofta på den per-sonuppgiftsansvariges berättigade intresse. Också utvecklingen av affärsrörelsen samt förebyggande av missbruk och bedrägerier baserar sig på den personuppgiftsansvari-ges berättigade intresse. Dessutom baserar sig utlämning av uppgif-ter mellan företag i OP Gruppen oftast på berättigat intresse. |
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Den registrerades personbeteckning för identifiering av personen Den registrerades namn Den registrerades kontaktinformation (e-postadress, telefonnummer) Fordonets registernummer |
| Uppgifter om kundrelationen | Uppgifter som specificerar och klassificerar kundrelationen, såsom affärssignum eller kundkod |
| Uppgifter om kundkännedom | Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning |
| Samtycken | Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade |
| Uppgifter om kundtransaktioner | Uppgifter och transaktioner i anknytning till skötseln av kundrelationen, såsom kontakt till kundbetjäningen i tjänsten OP Smidiga affärer samt säljtransaktioner som gjorts i tjänsten. |
| Inspelningar och innehåll i meddelanden | Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal i anslutning till kundtjänst |
| Beteendeuppgifter (uppgifter som samlas in med bl.a. kakor och annan motsvarande teknik) | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med kakor. Uppgifter kan samlas in exempelvis om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller kakidentifikatorer, kanal, såsom applikation, webbläsare eller mobil webbläsare, webbläsarversion, IP-adress, sessionskod, sessionens tid och längd samt skärmresolution och operativsystem. |
7. Mottagare och kategorier av mottagare av personuppgifter
7.1 Mottagare av uppgifter
Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter.
Personuppgifter kan inom de ramar som lagen tillåter lämnas ut till myndigheter. Tjänsten OP Smidiga affärer kontrollerar iTransport- och kommunikationsverketTraficoms register, om säljaren är fordonets rätta ägare, i vilket samband uppgifter söks i Transport- och kommunikationsverket Traficoms system med bilens registernummer och ägarskapet säkerställs med säljarens personbeteckning.
Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning.
7.2 Överföring av uppgifter till underleverantörer
Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.
Underleverantörerna producerar bland annat datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är andra företag i OP Gruppen.
7.3 Internationella överföringar av uppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och standardavtalsklausuler på OP:s webbplats: op.fi/dataskydd.
8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Den personuppgiftsansvarige behandlar personuppgifter under kundrelationens giltighetstid. Uppgifterna om kundrelationen, till exempel uppgifterna om kundkännedom, raderas eller anonymiseras cirka fem år efter den senaste affären.
Det köpebrev som har upprättats över affären sparas i ett år efter att affären har fullföljts.
Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.
Den personuppgiftsansvarige kan vara skyldig att behandla vissa personuppgifter i registret under en längre period än den ovannämnda för att iaktta lagstiftning eller myndighetskrav, såsom lagstiftning om beskattning eller bokföring.
Om kunden genom tjänsten OP Smidiga affärer tecknar försäkringar som Pohjola Försäkring tillhandahåller eller skaffar finansiering som OP Företagsbanken tillhandahåller för köp av fordon, sparas uppgifter som ska samlas in för det här på det sätt som fastställts i dataskyddsbeskrivningarna i kundregistren för Pohjola Försäkring och OP Företagsbanken som fungerar som tjänsternas personuppgiftsansvariga.
9. Registerkällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in från den registrerade själv. Personuppgifter kan också samlas in från den registrerades enhet, när den registrerade använder vissa av den personuppgiftsansvariges nättjänster.
Alla samtal till eller från den personuppgiftsansvarige kan spelas in. Samtalsinspelningarna kan användas för verifiering av kundtransaktioner, säkring av kundtjänstens kvalitet, utveckling av tjänsterna och utbildning.
Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras i tredje parters register, såsom i kundregister i andra företag i OP Gruppen samt i Transport- och kommunikationsverket Traficoms fordonsregister.
10. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring. Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form utgående från dataskyddsförordningen.
Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
11. Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter utgående från samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.
12. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.