OP Gruppens kampanj- och nyhetsbrevsregister

Dataskyddsbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och personuppgiftslagen, å ena sidan till den registrerade, dvs. den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

Gemensamt register för OP Gruppens (nedan också OP) företag (inklusive OP Andelslag jämte dotterföretag samt gruppens andelsbanker), frånsett Pohjola Hälsa Ab.

Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 010 2530022
E-postadress: dataskydd@op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskdd@op.fi

4. Registrets namn

OP Gruppens kampanj- och nyhetsbrevsregister

Registret omfattar dem som visat sitt intresse för tjänster som tillhandahålls av företag i OP Gruppen samt prenumeranter på nyhetsbrev och deltagare i kampanjer eller tävlingar. Uppgifterna i fråga har inte anslutits till kundregister hos företag i OP Gruppen.

5. Ändamålen med behandlingen av personuppgifter och rättslig grund för behandlingen

Ändamålen med behandlingen

Ändamålen med personuppgifterna är:

  • nyhetsbrevstjänster (till exempel OP Media, Chydenius) och arrangerande av kampanjer, till exempel i samband med evenemang och tävlingar, särskilt kundbetjäning samt skötsel och utveckling av kundrelationen i anslutning till sådana, inklusive annonsering och kommunikation
  • planering och utveckling av OPs produkt- och tjänsteutbud samt inriktning av det här utbudet
  • utveckling av affärsrörelsen
  • uppföljning och analys av användningen av tjänster samt segmentering av användare och prenumeranter för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna
  • opinions- och marknadsundersökningar
  • direktmarknadsföring
  • inriktning av marknadsföring och reklam i interna och externa medier
  • utbildningsändamål

Profilering

Behandlingen av personuppgifter i registret omfattar profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper. I marknadsföringen utförs målgruppsurval, och inriktningen baserar sig på olika segment. Ytterligare information om profileringen finns i dataskyddsklausulen på adressen op.fi/dataskydd.

Rättsliga grunder för behandlingen

Rättslig grund Exempel
Samtycke Behandlingen kan basera sig på samtycke av den registrerade, till exempel den registrerades tillstånd för elektronisk direktmarknadsföring. Den registrerade kan också med sitt samtycke prenumerera på nyhetsbrev.
Den personuppgiftsansvariges berättigade intressen Direktmarknadsföring eller deltagande i en tävling kan också basera sig på berättigade intressen. Den registrerade kan till exempel i samband med evenemang uttrycka sitt intresse för OP Gruppen eller dess produkter och tjänster.

6. Kategorier av personuppgifter

Kategori av personuppgifter Kategorins datainnehåll
Grunddata Den registrerades namn
Den registrerades kontaktinformation, såsom e-post, telefonnummer och adressuppgifter
Uppgifter om kundrelationen Uppgifter som specificerar och klassificerar en potentiell kundrelation. Källa för kontaktinformation
Samtycken Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade
Uppgifter om kundtransaktioner Uppgifter om kontaktning
Bakgrundsuppgifter Betjäningsspråk
Intressen Uppgifter om vad den registrerade är intresserad av
Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem.
Tekniska identifieringsuppgifter Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter

7. Mottagare och kategorier av mottagare av personuppgifter

Överföring av uppgifter till underleverantörer

Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.

Underleverantörerna producerar bl.a. datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är andra företag i OP Gruppen.

Internationella överföringar av uppgifter

Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter överförs begränsat utanför EU/EES.

Uppgifterna överförs utanför EU/EES genom att använda standardavtalsklausuler enligt dataskyddslagstiftningen eller en annan överföringsmekanism som lagstiftningen tillåter, med vilken man garanterar ett lämpligt skydd för personuppgifterna. En överföringsmekanism som den personuppgiftsansvarige använder är standardavtalsklausuler godkända av EU-kommissionen. De finns på

8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Personuppgifter som samlats in i tävlingar och kampanjer lagras cirka 6 månader, varefter de raderas i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.

I samband med prenumerationer på nyhetsbrev lagras personuppgifterna i enlighet med prenumerationens giltighet, dock så att lagringstiden för uppgifterna då den registrerade har avslutat sin prenumeration i regel är högst cirka 2 år, varefter uppgifterna raderas i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar, om inte den registrerade uttrycker sin önskan om att behandlingen av uppgifterna ska fortsätta också därefter.

9. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster.

10. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

11. Rätt att återkalla samtycke

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner. I varje nyhetsbrev finns en länk för avslutning av prenumerationen. Ytterligare information fås av de registeransvariga.

12. Hur registret är skyddat

Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.