Kundregistret för OP Tjänsten för förmedling av identifiering

Dataskyddsbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, dvs. den personuppgiftsansvariges kund, och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

OP Gruppens andelsbanker och OP Företagsbanken Abp tillsammans

Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 0100 0500
E-postadress: tietosuoja@op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi

4. Registrets namn

Kundregistret för OP Tjänsten för förmedling av identifiering.

Registret är gemensamt för OP Gruppens banker, och varje personuppgiftsansvarig ansvarar till fullo för behandlingen av personuppgifter inom det.

Registrerade i registret är personer som agerar för kunder och potentiella kunder hos andelsbankernas och OP Företagsbankens tjänst för förmedling av identifiering. Kunderna är samfund, såsom köpmän.

Registrerade är dessutom de privatpersoner som använder tjänsten för förmedling av identifiering. De här personerna går från en elektronisk tjänst via tjänsten för förmedling av identifiering till en identifieringsverktygsleverantörs tjänst för att identifiera sig (till exempel en bank eller teleoperatör), och deras identifieringsuppgifter förmedlas tillbaka till den elektroniska tjänsten.

5. Ändamålen med behandlingen av personuppgifter och rättslig grund för behandlingen

Ändamålen med behandlingen

Den personuppgiftsansvarige behandlar personuppgifterna i registret för att producera, tillhandahålla och leverera den tjänst för identifieringsförmedling som avses i lagen om stark autentisering och betrodda elektroniska tjänster (L 617/2009, med senare ändringar, nedan också autentiseringslagen).

Vid behandlingen iakttas också av Kommunikationsverkets Föreskrift 72/2016 om elektroniska identifieringstjänster och betrodda elektroniska tjänster och rekommendationens 216/2017 S Uppförandekoder för förtroendenätet för identifieringstjänster bilaga Behandling av personuppgifter i förtroendenätet för elektronisk identifiering.

Till ändamålen med personuppgifterna om personer som agerar för samfundskunder hör:

  • kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
  • produktion, tillhandahållande och leverans av tjänster samt utveckling och kvalitetskontroll
  • utveckling av affärsrörelsen
  • opinions- och marknadsundersökningar
  • direktmarknadsföring
  • marknadsföring och inriktning av reklam
  • skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
  • riskhantering
  • säkerställande av tjänsternas säkerhet och utredning av missbruk
  • utbildningsändamål

Till ändamålen med personuppgifterna om privatkunder, dvs. de som använder tjänsten hör:

  • produktion, tillhandahållande och leverans av tjänster samt utveckling och kvalitetskontroll
  • skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
  • säkerställande av tjänsternas säkerhet och utredning av missbruk

Förhindrande av penningtvätt och av finansiering av terrorism samt uppföljning av sanktioner

Uppgifter om kundkännedom och övriga personuppgifter om personer som agerar för samfundskunder kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften i enlighet med lagen om förhindrande av penningtvätt och av finansiering av terrorism. De här åtgärderna vidtar den personuppgiftsansvarige som en aktsam aktör på basis av berättigat intresse.

Uppgifterna om personer som agerar för samfundskunder kan användas för att utreda om personen är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen finns i regel i villkoren för den produkt eller tjänst som har förvärvats.

Rättsliga grunder för behandlingen

Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.

Rättslig grund Exempel
Avtalsförhållande eller åtgärder innan avtal ingås Åtgärder som baserar sig på ett avtal eller ingåendet av ett avtal:

Behandlingen av personuppgifter om personer som agerar för samfundskunder baserar sig i registret främst på ett avtal.

Grunden för behandlingen av personuppgifter om en privatperson som använder tjänsten för förmedling av identifiering är ett uppdrag. Vid förmedling av identifiering levererar den personuppgiftsansvarige personuppgifter om slutanvändaren i anslutning till en identifieringstransaktion till en samfundskund som köper tjänsten för förmedling av identifiering.
Lagstadgad skyldighet Behandlingen av uppgifter om privatpersoner (konsumentkunder) i registret baserar sig delvis på lagstadgade skyldigheter (autentiseringslagen samt Kommunikationsverkets regelverk på lägre nivå).

Sanktionsuppföljningen inom registret baserar sig delvis på lagen.
Den personuppgiftsansvariges eller en tredje parts berättigade intressen Följande funktioner som gäller personer som agerar för samfundskunder kan basera sig på berättigat intresse:
 
  • behandling av uppgifter om kundkännedom för ändamål enligt lagen om förhindrande av penningtvätt och av finansiering av terrorism
  • uppföljning av internationella sanktioner
  • lämnande av upplysningar till övriga personregister hos företag i OP Gruppen
Den personuppgiftsansvarige ska se till att en behandling som utförs på den här grunden är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar.

 

6. Kategorier av personuppgifter

Kategori av personuppgifter Kategorins datainnehåll
Grunddata Personer som agerar för samfundskunder:

Den registrerades namn, e-postadress, telefonnummer, adress, postnummer och postkontor, personbeteckning, nationalitet, information om personens koppling till samfundet eller ställning i samfundet

Användare av tjänsten för förmedling av identifiering:

Den registrerades namn, personbeteckning, identifieringstjänst i vilken användaren identifierade sig, elektronisk tjänst för vilken användaren identifierade sig, identifieringstransaktionens tidsstämpel, IP-adressen samt ett antal övriga tekniska uppgifter om identifieringstransaktionen som behövs för att senare styrka identifieringstransaktionen.
Uppgifter om kundkännedom Personer som agerar för samfundskunder:

Uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning.
Uppgifter om kundtransaktioner Uppgifter och transaktioner i anslutning till skötseln av kundrelationen.
Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem.
Inspelningar och innehåll i meddelanden Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal
Tekniska identifieringsuppgifter Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter

7. Mottagare och kategorier av mottagare av personuppgifter

Mottagare av uppgifter

Personer som agerar för samfundskunder

Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter. Dessutom kan personuppgifter lämnas ut bland annat till myndigheter, såsom polisen, i lagstadgade fall.

Användare av tjänsten för förmedling av identifiering

De personuppgifter som erhållits av identifieringsverktygets leverantör (bank, teleoperatör) om användaren av tjänsten för förmedling av identifiering överlåts till den elektroniska tjänst i vilken slutanvändaren identifierar sig. Dessutom kan uppgifter lämnas ut till myndigheter i lagstadgade fall.

Överföring av uppgifter till underleverantörer

Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Underleverantörerna producerar bl.a. datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är andra företag i OP Gruppen.

Internationella överföringar av uppgifter

Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter om personer som agerar för samfundskunder överförs begränsat utanför EU/EES.

Uppgifterna överförs utanför EU/EES genom att använda standardavtalsklausuler enligt dataskyddslagstiftningen eller en annan överföringsmekanism som lagstiftningen tillåter, med vilken man garanterar ett lämpligt skydd för personuppgifterna. Som en överföringsmekanism använder den personuppgiftsansvarige standardavtalsklausuler som är godkända av EU-kommissionen och som finns på följande adress:

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

 

8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Uppgifterna om personer som agerar för samfund behandlas under avtalsförhållandets giltighetstid. Då avtalsförhållandet har löpt ut raderas eller anonymiseras uppgifterna efter cirka 7 år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar. Uppgifterna om potentiella kunder raderas efter cirka 6 månader från ett evenemang eller en kontakt eller genast då den potentiella kunden så önskar.

Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.

Personuppgifterna om användaren av tjänsten för förmedling av identifiering sparas i 5 år från identifieringstransaktionen, varefter de raderas automatiskt.

9. Personuppgiftskällor och uppdatering av personuppgifter

Personer som agerar för samfundskunder

Personuppgifter samlas huvudsakligen in av den registrerade. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster.

Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:

  • handelsregistret
  • övriga myndighetsregister (t.ex. utsökningsregister)
  • Övriga kundregister hos företag i OP Gruppen
  • instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade har politiskt inflytande eller är ett föremål för internationella sanktioner som den personuppgiftsansvarige iakttar

Användare av tjänsten för förmedling av identifiering

De personuppgifter om användaren av tjänsten för förmedling av identifiering som förmedlas till den elektroniska tjänsten hämtas alltid från leverantören av identifieringsverktyget (banker och teleoperatörer).

10. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den registeransvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

De begäran som nämns här ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige. Eftersom de personuppgifter som förmedlas om användaren av tjänsten för förmedling av identifiering i samband med en identifieringstransaktion härstammar från kundregistret hos leverantören av identifieringsverktyget och leverantören av identifieringsverket är skyldig att kontrollera uppgifterna i Befolkningsdatasystemet, borde dock alla fel och rättelser i personuppgifterna till den här delen primärt anmälas till leverantörens kundtjänst och/eller till Befolkningsdatasystemet.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

11. Hur registret är skyddat

Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.

Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.

12.  Principer för identifiering

Principerna för identifiering för tjänsten för förmedling av identifiering finns synliga på op.fi.