OP Försäkring Ab:s, A-Försäkring Ab:s och Försäkringsaktiebolaget Europeiskas kundregister

Dataskyddsbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och personuppgiftslagen, å ena sidan till den registrerade, dvs. den personuppgiftsansvariges kund, och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvariga och de personuppgiftsansvarigas kontaktinformation

OP Försäkring Ab, A-Försäkring Ab och Försäkringsaktiebolaget Europeiska

Ovan nämnda försäkringsbolag verkar som sådana gemensamt personuppgiftsansvariga som avses i dataskyddsförordningen. Med personuppgiftsansvarig avses nedan alla tre gemensamt personuppgiftsansvariga, om inte annat särskilt nämns.

Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510, HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 010 253 0022
E-postadress: dataskydd@op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi

4. Registrets namn

OP Försäkring Ab:s, A-Försäkring Ab:s och Försäkringsaktiebolaget Europeiskas kundregister. Registrerade är privatpersoner och samfund, inkl. företagare. Registrerade, då det gäller ett samfund, är de personer som agerar för dess räkning.

Registrerade är också privatpersoner och samfund som tidigare har varit kunder och som anses vara potentiella kunder.

Registrerade är bl.a. personer som har betalat premier för försäkringstagare, personer som har ansökt om eller erhållit ersättning på basis av försäkringsavtal, personer som annars har rätt till en försäkringsutbetalning på basis av försäkringsavtal (såsom förmånstagare) samt personer som är skyldiga att återbetala en försäkringsersättning (s.k. regressgäldenärer).

5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen

Försäkringsverksamhet förutsätter behandling av personuppgifter. Den registrerades personuppgifter behövs bland annat för att upprätta ett försäkringsavtal och för utbetalning av ersättningar. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.

Ändamål med personuppgifterna

  • kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
  • produktion av tjänster (försäkringsverksamhet, verkställighet och upprätthållande av försäkringsavtal, skadereglering som baserar sig på försäkringsavtal), utveckling, automatisering och kvalitetskontroll
  • uppföljning och analys av användningen av produkter och tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna och produkterna
  • säkerställning av tjänsternas säkerhet och utredning av missbruk
  • riskhantering
  • utbildningsändamål
  • direktmarknadsföring, opinions- och marknadsundersökningar, distansförsäljning, marknadsföring och inriktning av reklam
  • skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
  • annan skötsel och utveckling av affärsrörelsen

I OP Försäkring Ab och A-Försäkring Ab är ett ändamål med behandlingen av personuppgifter utöver de ovan nämnda också verkställighet av de lagstadgade försäkringar som de här bolagen beviljar (arbetsolycksfalls- och yrkessjukdomsförsäkring samt trafikförsäkring).

Behandlingen av personuppgifter i registret omfattar automatiskt beslutsfattande. Om en produkt eller tjänst som du förvärvat omfattar sådant beslutsfattande, ges information om det i samband med köpet av produkten eller tjänsten. Behandlingen av personuppgifter i registret omfattar också profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa egenskaper hos en person.

Automatiska beslut fattas till exempel då du tecknar en försäkring i nättjänsterna. Samtidigt utförs också en profilering för att fastställa att premien motsvarar risken. Profilering utnyttjas också till exempel vid inriktningen av marknadsföring och köstyrningen i handläggningen för att betjäningen ska vara snabbare.

Allmän information om det automatiska beslutsfattandet och profileringen finns i dataskyddsklausulen på adressen op.fi/dataskydd.

Uppgifterna om kundkännedom och övriga personuppgifter om den registrerade kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism samt för att inleda undersökning av penningtvätt och finansiering av terrorism samt av brott genom vilket egendom eller brottslig vinning som är föremål för penningtvätt eller finansiering av terrorism har erhållits.

Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen får du i regel i villkoren för den produkt eller tjänst du förvärvar.

Rättsliga grunder för behandlingen

Vi behandlar den registrerades personuppgifter huvudsakligen på basis av ett avtalsförhållande och åtgärder som föregår ingåendet av ett avtal.

Behandlingen av personuppgifter kan också basera sig på

  • den registrerades samtycke, såsom samtycke till att inhämta vårduppgifter från vårdinrättningar,
  • den personuppgiftsansvariges lagstadgade skyldigheter, såsom kraven i skattelagstiftningen och lagen om försäkringsbolag eller
  • den personuppgiftsansvariges eller en tredje parts berättigade intressen, såsom användning av uppgifter för direktmarknadsföring, förutsatt att den registrerade är medveten om det och inte har förbjudit det, samt för utveckling av affärsrörelsen. Också utlämning av uppgifter mellan företag i OP Gruppen baserar sig oftast på berättigat intresse.

    Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska se till att en sådan behandling är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar.

Behandlingen av uppgifter om den registrerades hälsotillstånd i registret baserar sig på lag eller den registrerades samtycke.

Den personuppgiftsansvarige har rätt att behandla sådana uppgifter om en försäkrads, ersättningssökandes eller skadevållares brott, straff eller annan brottspåföljd som är nödvändiga för att utreda försäkringsbolagets ansvar.

6. Kategorier av personuppgifter

Kategori av personuppgifter Kategorins datainnehåll
Grunddata Privatperson: Den registrerades namn och personbeteckning
Samfund, inkl. företagare: Identifieringsuppgifter om personer som agerar för samfundets räkning samt om kopplingen till samfundet
Uppgifter om kundkännedom Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning
Uppgifter om kundrelationen Uppgifter som specificerar och klassificerar kundrelationen, såsom kundkod och försäkringsbeteckning
Samtycken Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade
Avtals- och produktuppgifter Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade
Uppgifter om produkter och tjänster som den registrerade har förvärvat
Uppgifter om kundtransaktioner Uppgifter och transaktioner i anslutning till skötseln av kundrelationen, såsom ändringar i försäkringar och uppgifter om skadereglering
Bakgrundsuppgifter Uppgifter om den registrerades livssituation och finansiella ställning
Till exempel uppgifter från skatteförvaltningen om utbetalda löner och förmåner för verkställigheten av arbetsolycksfalls- och yrkessjukdomsförsäkringen
Intressen Uppgifter om vad den registrerade är intresserad av, såsom intresse för tjänster och produkter hos OP Gruppens företag
Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem.
Inspelningar och innehåll i meddelanden Olika inspelningar och meddelanden, där en registrerade är en part, till exempel inspelningar av telefonsamtal
Särskilda kategorier av personuppgifter De särskilda kategorier av personuppgifter som definieras i artikel 9 i dataskyddsförordningen, såsom uppgifter om hälsa, biometriska uppgifter för att identifiera en person samt medlemskap i fackförening
Lokaliserings- och sensordata Uppföljning av den registrerades lokalisering och data om den registrerade insamlade med sensorer
Tekniska identifieringsuppgifter Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter

 

7. Mottagare och kategorier av mottagare av personuppgifter

Insamlade personuppgifter kan inom de gränser som lagstiftningen tillåter lämnas ut inom OP Gruppen samt till företag som hör till samma ekonomiska sammanslutning. Dessutom kan personuppgifter lämnas ut bland annat till:

  • Finans Finland, skadestatistik som gäller försäkringsbranschen
  • vårdinrättningar på basis av samtycke av den registrerade
  • samarbetspartner som anlitas vid produktionen eller tillhandahållandet av tjänster. Sådana partner kan alltså agera som personuppgiftsbiträden för den personuppgiftsansvariges räkning eller som självständiga personuppgiftsansvariga.

Personuppgifter kan inom de ramar som lagen tillåter lämnas ut till myndigheter, såsom utsöknings- och socialmyndigheter, Finansinspektionen och skatteförvaltningen i Finland. Till skatteförvaltningen sänds årsanmälningar över den personuppgiftsansvariges kunder.

8. Överföring av personuppgifter

Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan begränsat överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter.

En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bl.a. datatekniska och övriga stödtjänster för den personuppgiftsansvarige.

9. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Den personuppgiftsansvarige fastställer lagringsperioderna för personuppgifter med beaktande av tillämplig lag och affärsrörelse, såsom skadereglering och handläggning av försäkringsärenden, funktion och smidighet.

Exempelvis i flera frivilliga försäkringsgrenar lagras uppgifterna om försäkringsavtal minst 15 år från avtalets slutdatum. Beträffande lagstadgade person- och trafikskador är den lagstadgade lagringsperioden däremot 100 år från den sista dagen för handläggningen av en skada.

Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.

10. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster.

Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras från tredje parters register, såsom:

  • Befolkningsregistercentralen och postens flyttanmälningstjänst
  • andra myndighetsregister
  • kreditupplysningsregisteransvariga
  • försäkringsbolagens gemensamma skade- och missbruksregister
  • vårdinrättningar på basis av samtycke av den registrerade eller lag
  • samarbetspartner i anslutning till handläggningen av försäkringar och skador
  • offentliga informationskällor, på basis av vilka den registrerade kan identifieras tillförlitligt
  • banker för Tupas-identifiering
  • instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar
  • kundregister hos övriga företag i OP Gruppen

OP Försäkring Ab och A-Försäkring Ab samlar in uppgifter om beskattningen från skatteförvaltningen i Finland för användningsändamål i enlighet med lagen om olycksfall i arbetet och om yrkessjukdomar (till exempel för att avgöra försäkringsfall och uppfylla försäkringsbolagets tillsynsplikt).

11. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektronisk format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

12. Rätt att återkalla samtycke

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, såsom i regel vid direktmarknadsföring via elektroniska kanaler, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.

13. Hur registret är skyddat

Vi behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Vi har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.

Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstransaktioner
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.