OP-Kortbolaget Abp:s kundregister för betalningstjänster

Dataskyddbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

OP-Kortbolaget Abp,
Postadress: PB 909, 00013 OP,
Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: Kimmo Lapinkari
Telefonnummer: +358 50 4867745
E-postadress: kimmo.lapinkari@op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi

4. Registrets namn och registrerade

OP-Kortbolaget Abp:s kundregister för betalningstjänster

Registrerade är de privatkunder som använder samt de personer som agerar för samfund som använder en eller flera av de betalningstjänster som OP-Kortbolaget Abp tillhandahåller. Betalningstjänster som den personuppgiftsansvarige tillhandahåller är Pivo-betalning (konsumenttjänst), Pivos betalknapp (köpmannatjänst), Pivos limit (konsumenttjänst), OP Företagsgirering (köpmannatjänst) och Siirto-betalning i OP-mobilen (konsumenttjänst). Registrerade är dessutom de privatkunder som använder Pivos kontoutdragstjänst (konsumenttjänst) som tillhandahålls av OP-Kortbolaget Abp.

5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen

Ändamålen med behandlingen

Tillhandahållandet av betalningstjänster och Pivos kontoutdragstjänst förutsätter behandling av personuppgifter. Den personuppgiftsansvarige behandlar uppgifter i registret huvudsakligen för att producera, tillhandahålla och leverera betalningstjänster och Pivos kontoutdragstjänst. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.

Ändamålen med personuppgifterna redogörs för nedan. Om något av ändamålen med personuppgifterna gäller endast en viss tjänst/vissa tjänster, nämns det separat nedan.

  • utförande av betalningstjänster för privat- och företagskunder
  • tillhandahållande och leverans av Pivos kontoutdragstjänst för privatkunder
  • kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
  • produktion och utveckling av tjänster samt kvalitetskontroll
  • beträffande konsumenttjänsterna uppföljning och analys av användningen av tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna
  • utveckling av affärsrörelsen
  • beträffande konsumenttjänsterna opinions- och marknadsundersökningar
  • beträffande Pivo-betalning, Pivos betalknapp, Pivos limit och Pivos kontoutdragstjänst direktmarknadsföring
  • beträffande Pivo-betalning, Pivos betalknapp, Pivos limit och Pivos kontoutdragstjänst inriktning av marknadsföring och reklam
  • skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
  • riskhantering
  • säkerställande av tjänsternas säkerhet och utredning av missbruk

Automatiserat beslutsfattande och profilering

Det är fråga om automatiserat beslutsfattande då ett beslut fattas helt och hållet automatiskt så att ingen människa deltar i att fatta ett enskilt beslut och då ett sådant beslut har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den registrerade.

Behandlingen av personuppgifter i registret omfattar automatiskt beslutsfattande, som utförs då kunden förvärvar betalningstjänster. Med hjälp av kontroll av sanktionslistor, vilket ingår i beslutsfattande, kan den personuppgiftsansvarige reda ut till exempel om betalningstjänster som den personuppgiftsansvarige tillhandahåller används för att finansiera terrorism eller för penningtvätt.

Om en tjänst som du förvärvat omfattar sådant beslutsfattande, ges närmare information om det i samband med köpet av tjänsten. Eftersom beslutsprocessen är helt automatisk, försäkrar den personuppgiftsansvarige att den registrerade kan föra ärendet till granskning och beslut i en manuell process.

Behandlingen av personuppgifter i registret omfattar profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper.

Profilering utförs vid kontrollen av sanktionslistor för att den personuppgiftsansvarige ska få reda på om betalningstjänster används för att finansiera terrorism eller för penningtvätt. Profilering utförs dessutom vid segmenteringen av kunder beträffande privatkunder som anlitar betalningstjänster som tillhandahålls i appen Pivo, för att den personuppgiftsansvarige ska kunna erbjuda kunderna bland annat personifierat innehåll i tjänsterna. För inriktning av marknadsföring profileras privatkunder också på basis av de tjänster de anlitat.

Allmän information om det automatiserade beslutsfattandet och profileringen i OP Gruppen finns i dataskyddsklausulen på adressen op.fi/dataskydd.

Förhindrande av penningtvätt och av finansiering av terrorism samt uppföljning av sanktioner

Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism.

Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen får du i regel i villkoren för den produkt eller tjänst du förvärvar.

Den personuppgiftsansvarige kan behandla personuppgifter i anslutning till brott eller misstänkta brott som direkt riktar sig mot den kreditinstitutsverksamhet som den personuppgiftsansvarige bedriver, om det är nödvändigt för att förhindra och reda ut sådana brott

Rättsliga grunder för behandlingen

Nedan redogörs för de rättsliga grunder för behandlingen personuppgifter som registret tillämpar. Om någon av de rättsliga grunderna gäller endast en viss tjänst/vissa tjänster, nämns det separat nedan.

Rättslig grund Exempel
Avtalsförhållande eller åtgärder innan avtal ingås I registret behandlas personuppgifter i regel på basis av avtal för att tillhandahålla och leverera betalningstjänster, som den registrerade eller det samfund som den registrerade representerar förvärvat, samt Pivos kontoutdragstjänst.

Gäller följande registrerade: privatkunder och personer som agerar för samfund
Samtycke Behandlingen av personuppgifter i anslutning till tillhandahållandet av betalningstjänster baserar sig på samtycke i enlighet med betaltjänstlagen.

Direktmarknadsföring via en elektronisk kanal baserar sig på den registrerades samtycke, som begärs i anslutning till betalningstjänsterna i appen Pivo

Gäller följande registrerade: privatkunder
Lagstadgad skyldighet Tillhandahållandet av betalningstjänster kräver en grund för behandlingen av personuppgifter i enlighet med betaltjänstlagen.

I registret behandlas personuppgifter för betalningstjänsternas del i enlighet med lagen om förhindrande av penningtvätt och av finansiering av terrorism samt sanktionslagstiftningen.

I betalningstjänsterna krävs stark autentisering, varför lagen om stark autentisering och betrodda elektroniska tjänster tillämpas på autentiseringen. 

I registret behandlas personuppgifter för säkerställande av tjänsternas säkerhet och utredning av missbruk.

Gäller följande registrerade: privatkunder och personer som agerar för samfund
Den personuppgiftsansvariges eller en tredje parts berättigade intressen Direktmarknadsföring och utveckling av affärsrörelsen baserar sig på den personuppgiftsansvariges berättigade intresse.

Den personuppgiftsansvariges uppföljning av internationella sanktioner baserar sig delvis på ett berättigat intresse.Den personuppgiftsansvariges berättigade intresse baserar sig på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska se till att en behandling som utförs på den här grunden är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar.

Gäller följande registrerade: privatkunder och personer som agerar för samfund

6. Kategorier av personuppgifter

Nedan redogörs för de kategorier av personuppgifter som behandlas i registret. Om något datainnehåll behandlas endast i en viss tjänst/vissa tjänster, nämns det separat nedan.

Kategori av personuppgifter Kategorins datainnehåll
Grunddata Den registrerades namn och personbeteckning
Den registrerades kontaktinformation:
adress, telefonnummer, mobiltelefonnummer, e-post och betjäningsspråk

Gäller följande registrerade: privatkunder
Gäller alla konsumenttjänster

Den registrerades namn och personbeteckning
Den registrerades kontaktinformation:
titel, arbetsadress, arbetstelefonnummer, mobiltelefonnummer, e-post

Gäller följande registrerade: personer som agerar för samfund
Gäller alla köpmannatjänster
Uppgifter om kundkännedom Beträffande betalningstjänster lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning
Uppgifter om kundrelationen Uppgifter som specificerar och klassificerar kundrelationen

Gäller följande registrerade: privatkunder och personer som agerar för samfund
Samtycken Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade

Gäller följande registrerade: privatkunder
Avtals- och produktuppgifter Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade/det samfund som den registrerade representerar
Uppgifter om tjänster och/eller produkter som den registrerade har förvärvat

Gäller följande registrerade: privatkunder och personer som agerar för samfund
Uppgifter om kundtransaktioner Uppgifter och transaktioner i anslutning till skötseln av kundrelationen, inklusive uppgifter om betalningstransaktioner

Bankkonton och betalningsinstrument som använts i tjänsten

Gäller följande registrerade: privatkunder och personer som agerar för samfund
Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem.

Gäller följande registrerade: privatkunder och personer som agerar för samfund
Inspelningar och innehåll i meddelanden Olika inspelningar och meddelanden, där den registrerade är en part, till exempel foton och inspelningar av telefonsamtal

Gäller följande registrerade: privatkunder och personer som agerar för samfund
Tekniska identifieringsuppgifter Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter

Gäller följande registrerade: privatkunder och personer som agerar för samfund

7. Mottagare och kategorier av mottagare av personuppgifter

Mottagare av uppgifter

Personuppgifter kan inom de ramar som lagen tillåter lämnas ut till myndigheter, till exempel polisen i samband med missbruk.

Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning, inkl. den tystnadsplikt som gäller den personuppgiftsansvarige.

Överföring av uppgifter till underleverantörer

Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.

Den personuppgiftsansvarige anlitar underleverantörer bl.a. vid utförandet av betalningstjänster. En del av de underleverantörer som anlitas är andra företag i OP Gruppen, till exempel utför OP-Tjänster Ab på systemplanet de betalningar som gjorts i betalningstjänsterna till Automatia Pankkiautomaatti Oy:s Siirto-system.

Internationella överföringar av uppgifter

Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter överförs begränsat utanför EU/EES.

Uppgifterna överförs utanför EU/EES genom att använda standardavtalsklausuler enligt dataskyddslagstiftningen eller en annan överföringsmekanism som lagstiftningen tillåter, med vilken man garanterar ett lämpligt skydd för personuppgifterna. En överföringsmekanism som den personuppgiftsansvarige använder är standardavtalsklausuler godkända av EU-kommissionen. De finns på

8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Den personuppgiftsansvarige behandlar personuppgifter under avtalsförhållandets giltighetstid. Då avtalsförhållandet har löpt ut raderar den personuppgiftsansvarige personuppgifterna efter 10 år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.

Den personuppgiftsansvarige lagrar de personuppgifter som behövs för att utföra en betalningstransaktion 6 år från det att betalningstransaktionen har utförts, varefter den personuppgiftsansvarige raderar uppgifterna i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar. Övriga personuppgifter som behandlas i en betalningstransaktion, såsom foton som den registrerade själv har tagit, lagrar den personuppgiftsansvarige 2 år från det att betalningstransaktionen har utförts.

Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.

Den personuppgiftsansvarige kan vara skyldig att behandla vissa personuppgifter i registret under en längre period än den ovan nämnda för att iaktta lagstiftning eller myndighetskrav, såsom bestämmelserna om kapitaltäckningsanalysen.

9. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster.

Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:

  • Befolkningsregistercentralen
  • andra myndighetsregister
  • kreditupplysningsregisteransvariga
  • kundregister hos andra företag i OP Gruppen, till exempel i Pivos kontoutdragstjänst hämtas kontouppgifter från kundens bank för att OP-Kortbolaget Abp ska kunna visa saldot och kontotransaktionerna för den som anlitar Pivos kontoutdragstjänst.

10. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

11. Rätt att återkalla samtycke

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.

12. Hur registret är skyddat

Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.

Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.