OP Kundundersökningsregistret

Dataskyddsbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

OP Andelslag

Postadress: PB 308, 00013 OP

Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS

Den personuppgiftsansvariges kontaktperson: Juha Forsblom

E-postadress: juha.forsblom(a)op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud

OP Gruppen

Postadress: PB 308, 00013 OP

E-postadress: tietosuoja(a)op.fi

4. Registrets namn och registrerade

OP Kundundersökningsregistret

Registrerade är kunder och anställda hos OP Gruppens olika företag (inom bank-, försäkrings- och kapitalförvaltningsrörelse) samt personer som agerar för kundföretags räkning.

Registrerade kan också vara OP:s potentiella kunder, andra bankers kunder samt andra konsumenter som deltar i konsumentintervjuer, produkttester och andra undersökningar eller i insamling av användarupplevelser. Med potentiella kunder avses personer som inte ännu är kunder hos ett företag i OP Gruppen, men till vilka företag i OP Gruppen marknadsför sina tjänster eller produkter.

5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen

Ändamålen med behandlingen

För att utföra kundundersökningar och kundintervjuer och i övrigt kartlägga användarupplevelsen för OP Gruppens tjänster och produkter förutsätts behandling av personuppgifter. Den personuppgiftsansvarige behandlar uppgifter i registret huvudsakligen för att samla in och analysera anonyma analysdata.

Personer i registret kontaktas för att vi ska kunna fråga dem om deras åsikter, synsätt, upplevelser och respons som gäller till exempel utveckling av produkter och tjänster under utveckling samt som stöd för kommunikation, mätning eller beslutsfattande.

Nedan finns mer detaljerad information om användningen av personuppgifter i registret.

Till ändamålen med personuppgifterna hör:

  • utförande av marknadsundersökningar, kundenkäter och kundintervjuer samt tillgänglighetsundersökningar för privat- och företagskunder
  • sändning av enkäter för mätning av kundupplevelse
  • kontakt vid sändning av elektroniska undersökningar
  • kontakt för att kalla personer till intervju per telefon vid rekrytering
  • kontakt som gäller kundrespons
  • utveckling av tjänster samt kvalitetskontroll
  • statistiska ändamål
  • eventuell belöning för deltagande i enkäter och undersökningar
  • stöd för utveckling av affärsrörelsen utgående från resultatet av kundundersökningar

Rättsliga grunder för behandlingen

Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.

Rättslig grund Exempel
Samtycke Behandlingen av personuppgifter baserar sig på samtycke då det är fråga om personuppgifter om andra än OP Gruppens kunder.

Exempel: Sändning av enkäter via en elektronisk kanal baserar sig på den registrerades samtycke.
Den personuppgiftsansvariges eller en tredje parts berättigade intressen Behandlingen av personuppgifter om OP Gruppens kunder baserar sig på ett berättigat intresse.

Den personuppgiftsansvarige kan lämna ut uppgifter till andra personregister hos företag i OP Gruppen på basis av ett berättigat intresse.

Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska se till att en behandling som utförs på den här grunden är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar.

6. Kategorier av personuppgifter

Nedan redogörs för de kategorier av personuppgifter som behandlas i registret. Om något datainnehåll behandlas endast i vissa tjänster, nämns det separat nedan.

Kategori av personuppgifter Kategorins datainnehåll
Grunddata Den registrerades namn
Den registrerades personbeteckning
Den registrerades kontaktinformation
Den registrerades ålder
Den registrerades kön
Uppgifter om kundrelationen Bakgrundsuppgifter, såsom åldersklass och regional avgränsning, som finns att få i kundregistren hos företag i OP Gruppen.

Uppgifterna används vid uttagningen för undersökningar, och de behandlas inte individualiserade vid analys och rapportering av resultat.
Samtycken Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade
Avtals- och produktuppgifter Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade
Uppgifter om produkter och tjänster som den registrerade har förvärvat
Uppgifter om kundtransaktioner Uppgifter och transaktioner i anslutning till skötseln av kundrelationen, på basis av vilka till exempel enkäter för mätning av kundupplevelsen kan sändas till kunden.
Bakgrundsuppgifter Uppgifter som kommer fram i innehållet i en undersökning och som personen själv berättar om sig själv, till exempel ålder, kön, inkomstnivå, boningsort.

Uppgifterna behandlas inte individualiserade vid analys och rapportering av resultat.
Intressen Uppgifter om vad den registrerade är intresserad av, om det framgår av innehållet i en undersökning. Uppgifterna behandlas inte individualiserade vid analys och rapportering av resultat.
Beteendeuppgifter Beträffande kundundersökningar sparas om deltagaren:
- Uppgifter om deltagarens webbläsare
- Http-referensen för webbpost, det vill säga från vilken sida deltagaren har kommit till svarslänken
- Vilka sidor i enkäten som har besökts
- Identifikatorn som systemet genererat för svaret
- Svarsspråket
- Svarets status: Bjudits in, på hälft, slutfört enkäten, ordningsnummer för svaren
- Den sista besvarade sidan
- Tidsstämplar: uppgift om sändningen av inbjudan, svarstiden, start- och sluttiden för enkäten och svarstiden, hur mycket tid som använts på en viss sida

Dessutom förs i www-serverprogramvaran en logg över alla kontakter med IP-adressen, information om enhet, operativsystem och webbläsare samt tidsstämplar.
Svarsuppgifter Uppgifter som den intervjuade själv har gett vid undersökningar (t.ex. svar på enkäter, uppgifter som givits i intervjuer). Uppgifterna behandlas inte individualiserade.

7. Mottagare och kategorier av mottagare av personuppgifter

Mottagare av uppgifter

Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter.

Personuppgifter kan inom de ramar som lagen tillåter lämnas ut till myndigheter.

Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning, inkl. den tystnadsplikt som gäller den personuppgiftsansvarige.

Överföring av uppgifter till underleverantörer

Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.

Den personuppgiftsansvarige kan anlita underleverantörer för att utföra undersökningar. I så fall genomför underleverantören rekryteringen, undersökningen och mätningen samt rapporteringen eller deltar endast i en del av utförandet av en undersökning, till exempel i kundintervjuer och rapportering. 

Underleverantörer producerar bl.a. datatekniska tjänster för den personuppgiftsansvarige. Till sådana hör till exempel att sända inbjudningar till undersökningar, följa upp datainsamlingen och sända påminnelsemeddelanden vid behov. En del av de underleverantörer som anlitas är andra företag i OP Gruppen.

Internationella överföringar av uppgifter

Den personuppgiftsansvarige överför i regel inte uppgifter i det här registret utanför EU/EES. Om uppgifter ändå i enskilda fall skulle överföras utanför EU/EES, tillämpar den personuppgiftsansvarige alltid överföringsmekanismer som tillåts enligt lagstiftningen, såsom standardavtalsklausuler enligt dataskyddslagstiftningen, med vilka man garanterar ett lämpligt skydd för personuppgifterna.

8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Uppgifter som samlats in i kundundersökningar som utförts av den personuppgiftsansvarige och underleverantörer raderas 3–6 månader efter projektets slut.

Den personuppgiftsansvarige behandlar personuppgifter om potentiella kunder, samt andra fysiska personer som inte är OP:s kunder, högst ett år från det att den registrerade senast genom en aktiv åtgärd har visat intresse för den personuppgiftsansvariges produkter eller tjänster.

9. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster.

Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:

  • Befolkningsregistercentralen
  • andra myndighetsregister
  • kreditupplysningsregisteransvariga
  • kundregister i bank- och försäkrings- samt kapitalförvaltningsrörelsen
  • övriga kundregister hos företag i OP Gruppen

10. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

11. Rätt att återkalla samtycke

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke genom att kontakta den personuppgiftsansvariges kundtjänst. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet.

12. Hur registret är skyddat

Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.

Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.