Placerarregistret för fastighetsplaceringsfonder

Dataskyddsbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

Respektive fastighetsplaceringsfond* som förvaltas av OP Gruppen (senare också OP) och som självständigt för ett sådant personregister som avses i den här beskrivningsmallen.

(*Till exempel Real Estate Fund Finland III Ky, OP Asuntorahasto I Ky, OP Toimitilakiinteistö Ky)

Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1 00510, Helsingfors
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 010 2530022
E-postadress: dataskydd@op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi

4. Registrets namn och registrerade

Placerarregistret för fastighetsplaceringsfonder

De registrerade är personer som agerar för samfund eller företag som placerat i fastighetsplaceringsfonder, som förvaltas av OP, eller personer som agerar för potentiella placerare.

5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen

Ändamålen med behandlingen

Placeringsverksamhet förutsätter behandling av personuppgifter. Den personuppgiftsansvarige behandlar uppgifter i registret huvudsakligen för att producera, tillhandahålla och leverera placeringstjänster. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.

Till ändamålen med personuppgifterna hör:

  • kundbetjäning, skötsel och utveckling av kundrelationen samt rapportering
  • produktion, tillhandahållande och leverans av tjänster samt kvalitetskontroll
  • utveckling av affärsrörelsen
  • skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
  • riskhantering
  • säkerställande av tjänsternas säkerhet och utredning av missbruk
  • marknadsföring och inriktning av reklam

Förhindrande av penningtvätt och av finansiering av terrorism samt uppföljning av sanktioner

Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism.

Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP får du i regel i villkoren för den produkt eller tjänst du förvärvar.

Rättsliga grunder för behandlingen

Nedan redogörs för de rättsliga grunderna för behandlingen av de personuppgifter som registret använder samt ges exempel på den behandling som utförs på respektive grund.

Rättslig grund Exempel
Avtalsförhållande eller åtgärder innan avtal ingås I registret behandlas personuppgifter i regel på basis av avtal (placeringsförbindelse) för att tillhandahålla och leverera placeringstjänster som den registrerade förvärvat.
Lagstadgad skyldighet I registret behandlas personuppgifter i enlighet med lagen om förhindrande av penningtvätt och av finansiering av terrorism samt sanktionslagstiftningen.
Den personuppgiftsansvariges eller en tredje parts berättigade intressen Utlämningen av uppgifter till OPs övriga företag och tjänsteleverantörer, till exempel för skötsel av kundrelationen eller för marknadsföring, kan basera sig på ett berättigat intresse.

Den personuppgiftsansvariges uppföljning av internationella sanktioner baserar sig delvis på ett berättigat intresse.

Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska se till att en behandling som utförs på den här grunden är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar.

6. Kategorier av personuppgifter

Kategori av personuppgifter Kategorins datainnehåll
Grunddata Den registrerades namn

Den registrerades kontaktinformation (adress, e-postadress och telefonnummer).

Namn- och kontaktinformation om personer som agerar för ett samfunds eller företags räkning
Uppgifter om kundkännedom Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning
Uppgifter om kundrelationen Uppgifter som specificerar och klassificerar kundrelationen
Avtals- och produktuppgifter Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade samt fondspecifika innehav

Uppgifter om produkter och tjänster som den registrerade har förvärvat
Uppgifter om kundtransaktioner Uppgifter och transaktioner i anslutning till skötseln av kundrelationen
Inspelningar och innehåll i meddelanden Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal

7. Mottagare och kategorier av mottagare av personuppgifter

Mottagare av uppgifter   

Insamlade personuppgifter kan inom OP lämnas ut inom de gränser som lagstiftningen tillåter. Dessutom kan personuppgifter inom de ramar som lagen tillåter lämnas ut till myndigheter, såsom Finansinspektionen och skatteförvaltningen i Finland.

Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning, inkl. den tystnadsplikt som gäller den personuppgiftsansvarige.

Överföring av uppgifter till underleverantörer

Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.

Underleverantörerna producerar bl.a. datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är också företag utanför OP.

Internationella överföringar av uppgifter

Den personuppgiftsansvarige överför i regel inte uppgifter i det här registret utanför EU/EES. Om uppgifter ändå i enskilda fall skulle överföras utanför EU/EES, tillämpar den personuppgiftsansvarige alltid överföringsmekanismer som tillåts enligt lagstiftningen, såsom standardavtalsklausuler enligt dataskyddslagstiftningen, med vilka man garanterar ett lämpligt skydd för personuppgifterna.

Som en överföringsmekanism skulle den personuppgiftsansvarige använda standardavtalsklausuler som är godkända av EU-kommissionen och som finns på

8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Den personuppgiftsansvarige behandlar personuppgifter under avtalsförhållandets giltighetstid. Då avtalsförhållandet har löpt ut raderar eller anonymiserar den personuppgiftsansvarige uppgifterna efter cirka 5 år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.

Den personuppgiftsansvarige behandlar uppgifter om potentiella kunder högst ett år från det att den registrerade senast genom en aktiv åtgärd har visat intresse för den personuppgiftsansvariges produkter eller tjänster.

9. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade.

Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:

  • Befolkningsregistercentralen
  • andra myndighetsregister
  • kreditupplysningsregisteransvariga
  • instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar
  • övriga kundregister hos företag inom OP

10. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

11. Hur registret är skyddat

Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.

Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.