Dataskyddsbeskrivning
Uppdaterad 11.7.2022
1. Allmänt
Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella lagstiftningen, dels till den registrerade, dvs. den personuppgiftsansvariges kund eller personal, dels till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
Pohjola Försäkring AbPostadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefonnummer: 0303 0303
E-postadress: tietosuoja@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi
4. Registrets namn
Register över Pohjola Försäkring Ab:s kunder.
Registrerade är privatpersoner och samfund, inkl. företagare. Registrerade, då det gäller ett samfund, är de personer som agerar för dess räkning.
Registrerade är också privatpersoner och samfund som tidigare har varit kunder och som anses vara potentiella kunder.
Registrerade är dessutom bl.a. personer som har betalat premier för försäkringstagare, personer som har ansökt om eller erhållit ersättning på basis av försäkringsavtal, personer som annars har rätt till en försäkringsutbetalning på basis av försäkringsavtal (såsom förmånstagare) samt personer som är skyldiga att återbetala en försäkringsersättning (s.k. regressgäldenärer).
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
Försäkringsverksamhet förutsätter behandling av personuppgifter. Den registrerades personuppgifter behövs bland annat för att upprätta ett försäkringsavtal och för utbetalning av ersättningar. Nedan presenteras mer ingående information om ändamålet med behandlingen av personuppgifter och om den rättsliga grunden för behandlingen.
Ändamål med personuppgifterna
- kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
- produktion av tjänster och produkter (försäkringsverksamhet, verkställighet och upprätthållande av försäkringsavtal, skadereglering som baserar sig på försäkringsavtal), utveckling, automatisering och kvalitetskontroll samt uppgörande av kund- och användarmodeller
- uppföljning och analys av användningen av produkter och tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna och produkterna
- säkerställande av tjänsternas säkerhet och utredning av missbruk
- riskhantering
- utbildningsändamål
- direktmarknadsföring, opinions- och marknadsundersökningar, distansförsäljning, marknadsföring och inriktning av reklam
- skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
- annan skötsel och utveckling av affärsrörelsen
I Pohjola Försäkring Ab är ett ändamål med behandlingen av personuppgifter utöver de ovannämnda också verkställighet av de lagstadgade försäkringar som bolagen beviljar (arbetsolycksfalls- och yrkessjukdomsförsäkring samt trafikförsäkring).
Automatiserat beslutsfattande och profilering
Automatiserat beslutsfattande innebär att beslut som gäller registrerade fattas enbart på basis av automatisk databehandling. Behandling av personuppgifter i registret omfattar automatiserat beslutsfattande, såsom automatiska försäkrings- och ersättningsbeslut. Syftet med automatiska beslut är att förkorta behandlingstiderna och till exempel att trygga objektiva ersättningsbeslut.
Till följd av automatiserad beslutsfattning kan den registrerade till exempel beviljas försäkring eller utfärdas beslut om huruvida en skada är ersättningsgill. Den registrerade kan begära att ärendet omprövas vid en manuell behandling, om beslutet har baserat sig på automatiskt beslutsfattande.
Behandlingen av personuppgifter i registret omfattar också profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper. Profilering utnyttjas till exempel vid fastställandet av en försäkringspremies korrelation med risken, vid inriktningen av marknadsföring och vid köstyrningen i handläggningen för att betjäningen ska vara snabbare.
Allmän information om det automatiska beslutsfattandet och profileringen finns i dataskyddsklausulen på adressen op.fi/dataskydd.
Kundkännedom och åtgärder mot penningtvätt och finansiering av terrorism
Uppgifterna om kundkännedom och övriga personuppgifter om den registrerade kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism samt för att inleda undersökning av penningtvätt och finansiering av terrorism och brott genom vilket egendom eller brottslig vinning som är föremål för penningtvätt eller finansiering av terrorism har erhållits.
Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen får du i regel i villkoren för den produkt eller tjänst du förvärvar.
Rättsliga grunder för behandlingen
Vi behandlar den registrerades personuppgifter huvudsakligen på basis av ett avtalsförhållande och åtgärder som föregår ingåendet av ett avtal.
Behandlingen av personuppgifter kan också basera sig på
- den registrerades samtycke, såsom samtycke till att inhämta vårduppgifter från vårdinrättningar,
- den personuppgiftsansvariges lagstadgade skyldigheter, såsom kraven i skattelagstiftningen och lagen om försäkringsbolag eller
- den personuppgiftsansvariges eller en tredje parts berättigade intressen, såsom användning av uppgifter för direktmarknadsföring, förutsatt att den registrerade är medveten om det och inte har förbjudit det, för utveckling av affärsrörelsen samt för förebyggande av missbruk och bedrägerier. Också utlämning av uppgifter mellan företag i OP Gruppen baserar sig oftast på berättigat intresse.
Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska se till att en sådan behandling är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar.
Behandlingen av uppgifter om den registrerades hälsotillstånd i registret baserar sig på lag eller den registrerades samtycke.
Den personuppgiftsansvarige har rätt att behandla sådana uppgifter om en försäkrads, ersättningssökandes eller skadevållares brott, straff eller annan brottspåföljd som är nödvändiga för att utreda försäkringsbolagets ansvar.
6. Kategorier av personuppgifter
Typiska kategorier av personuppgifter eller personuppgifter som behandlas för de registrerade beskrivs nedan. Det datainnehåll som behandlas beror bl.a. på om det är fråga om uppgifter som gäller en privatperson eller en person som handlar för ett företag.
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Privatperson: Den registrerades namn och personbeteckning Samfund, inkl. företagare: Identifieringsuppgifter om personer som agerar för samfundets räkning samt om kopplingen till samfundet |
| Uppgifter om kundkännedom | Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning |
| Uppgifter om kundrelationen | Uppgifter som specificerar och klassificerar kundrelationen, såsom kundkod och försäkringsbeteckning |
| Samtycken | Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade |
| Avtals- och produktuppgifter | Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade Uppgifter om produkter och tjänster som den registrerade har förvärvat |
| Uppgifter om kundtransaktioner | Uppgifter och transaktioner i anslutning till skötseln av kundrelationen, såsom ändringar i försäkringar och uppgifter om skadereglering |
| Bakgrundsuppgifter | Uppgifter om den registrerades livssituation och finansiella ställning Till exempel uppgifter från skatteförvaltningen om utbetalda löner och förmåner för verkställigheten av arbetsolycksfalls- och yrkessjukdomsförsäkringen |
| Intressen | Uppgifter om vad den registrerade är intresserad av, såsom intresse för tjänster och produkter hos OP Gruppens företag |
| Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem. |
| Inspelningar och innehåll i meddelanden | Olika inspelningar och meddelanden, där en registrerade är en part, till exempel inspelningar av telefonsamtal |
| Särskilda kategorier av personuppgifter | De särskilda kategorier av personuppgifter som definieras i artikel 9 i dataskyddsförordningen, såsom uppgifter om hälsa, biometriska uppgifter för att identifiera en person samt medlemskap i fackförening |
| Lokaliserings- och sensordata | Uppföljning av den registrerades lokalisering och data om den registrerade insamlade med sensorer |
| Tekniska identifieringsuppgifter | Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter |
7. Mottagare och kategorier av mottagare av personuppgifter
Insamlade personuppgifter kan inom de gränser som lagstiftningen tillåter lämnas ut inom OP Gruppen samt till företag som hör till samma ekonomiska sammanslutning. Dessutom kan personuppgifter lämnas ut bland annat till:
- Finans Finland, skadestatistik som gäller försäkringsbranschen
- vårdinrättningar på basis av samtycke av den registrerade
- samarbetspartner som anlitas vid produktionen eller tillhandahållandet av tjänster. Sådana partner kan alltså agera som personuppgiftsbiträden för den personuppgiftsansvariges räkning eller som självständiga personuppgiftsansvariga.
- försäkringsbolagens gemensamma skaderegister och missbruksregister i enlighet med det som meddelas i punkt 10 i denna beskrivning.
Personuppgifter kan inom de ramar som lagen tillåter lämnas ut till myndigheter, såsom utsöknings- och socialmyndigheter, Finansinspektionen och skatteförvaltningen i Finland. Till skatteförvaltningen sänds årsanmälningar över den personuppgiftsansvariges kunder.
8. Överföring av personuppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och Europeiska kommissionens standardavtalsklausuler i OPs webbsida: op.fi/dataskydd.
En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bl.a. datatekniska och övriga stödtjänster för den personuppgiftsansvarige.
9. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Den personuppgiftsansvarige fastställer lagringsperioderna för personuppgifter med beaktande av tillämplig lag och affärsrörelse, såsom skadereglering och handläggning av försäkringsärenden, funktion och smidighet.
Exempelvis i flera frivilliga försäkringsgrenar lagras uppgifterna om försäkringsavtal minst 15 år från avtalets slutdatum. Beträffande lagstadgade person- och trafikskador är den lagstadgade lagringsperioden däremot 100 år från den sista dagen för handläggningen av en skada.
Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.
10. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in av den registrerade. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster.
Alla samtal till eller från den personuppgiftsansvariga kan spelas in. Samtalsinspelningarna kan användas för verifiering av kundtransaktioner, säkring av kundtjänstens kvalitet, utveckling av tjänsterna och utbildning.
Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras från tredje parters register, såsom:
- från Myndigheten för digitalisering och befolkningsdata och Postens flyttanmälningstjänst
- från register som förs av andra myndigheter, t.ex. från finska skatteförvaltningens inkomstregister och FPA
- kreditupplysningsregisteransvariga
- försäkringsbolagens gemensamma skade- och missbruksregister
- vårdinrättningar på basis av samtycke av den registrerade eller lag
- samarbetspartner i anslutning till handläggningen av försäkringar och skador
- offentliga informationskällor, på basis av vilka den registrerade kan identifieras tillförlitligt
- banker för Tupas-identifiering
- instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar
- kundregister hos övriga företag i OP Gruppen
Pohjola Försäkring Ab samlar in uppgifter om beskattningen från skatteförvaltningen i Finland för användningsändamål i enlighet med lagen om olycksfall i arbetet och om yrkessjukdomar (till exempel för att avgöra försäkringsfall och uppfylla försäkringsbolagets tillsynsplikt).
Skade- och missbruksregister
Den personuppgiftsansvarige har tillgång till försäkringsbolagens gemensamma skaderegister och missbruksregister till vilka försäkringsbolagen utlämnar information om skador och om brott och misstankar om brott som riktats mot försäkringsbolagen. Försäkringsbolagen kan använda data som utlämnats till dessa register vid sin försäkringshandläggning och skadereglering. I registren antecknas uppgifter bl.a. om skadefallet och den registrerade, såsom om den personuppgiftsansvariges kund. Syftet med registren är att förebygga och avslöja brottslighet som riktas mot försäkringsbolag genom att distribuera information mellan försäkringsbolagen.
Till skaderegistret utlämnas de grundläggande uppgifterna om skador som anmälts till försäkringsbolag. När ett försäkringsbolag registrerar de grundläggande uppgifterna om en skada i skaderegistret får försäkringsbolaget del av skadeuppgifter som den ersättningssökande eventuellt lämnat till andra försäkringsbolag. Syftet med skaderegistret är att förhindra att personer samtidigt ansöker om ersättning hos flera försäkringsbolag på felaktiga grunder.
Till missbruksregistret utlämnas uppgifter om brott och misstankar om brott som riktats till försäkringsverksamhet som ett försäkringsbolag bedriver. En anteckning i registret förutsätter att polisen eller åklagaren underrättats om den misstänkta brottsliga gärningen. En anteckning som gjorts med anledning av misstanke om brott avlägsnas från registret om den registrerade personen i domstol konstateras oskyldig till gärningen eller om rättsprocessen läggs ned. Uppgifterna i missbruksregistret används för att förebygga och avslöja brottslighet som riktas mot försäkringsbolag.
11. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektronisk format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.
Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
12. Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, såsom i regel vid direktmarknadsföring via elektroniska kanaler, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.
13. Hur registret är skyddat
Vi behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Vi har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstransaktioner
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.