Register över valbara ägarkunder, kandidater och anhängare i OP:s fullmäktigeval

Dataskyddsbeskrivning

Tidpunkt för upprättande eller ändring: 14.6.2021

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund eller personal, och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

Andelsbankerna i OP Gruppen, som ordnar sina fullmäktigeval 2021 enligt OP Gruppens gemensamma valkoncept.

Den personuppgiftsansvariges kontaktperson: Dataskyddsteamet
Telefonnummer: 0100 0500
E-postadress: tietosuoja@op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi

4. Registrets namn och registrerade

Register över valbara ägarkunder, kandidater och anhängare i OP:s fullmäktigeval.

5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen

5.1 Ändamålen med behandlingen

Ändamålet med personuppgifterna är att genomföra fullmäktigeval i andelsbankerna i OP Gruppen 2021 och att hålla kontakt i anslutning till det med kandidater och deras anhängare. Kandidaternas svar i kandidattestet sparas och offentliggörs för att underlätta väljarnas val av kandidat.

5.2 Rättsliga grunder för behandlingen

Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.

Rättslig grund Exempel
Samtycke Uppgifterna om kandidaten och anhängaren sparas och behandlas på basis av samtycke.
Lagstadgad skyldighet Ordnande av andelsbankens fullmäktigeval och sättet att genomföra valarrangemangen.
Den personuppgiftsansvariges eller en tredje parts berättigade intressen Uppgifter om ägarkunder som är röstberättigade och har röstat sparas för att ordna val och för att säkerställa att varje röstberättigad ägarkund kan rösta en gång och att ingen kan rösta flera gånger.

6. Kategorier av personuppgifter

Kategori av personuppgifter Kategorins datainnehåll
Grunddata Ägarkundens/kandidatens/anhängarens namn
Personbeteckning
Den registrerades kontaktinformation: telefonnummer, e-post och adress
Bostadsort
Kandidatens titel/yrke/syssla
Information om ett eventuellt nuvarande anställningsförhållande i OP Gruppen
Information om understöd och kandidatur Information om samtycke till att kandidera i fullmäktigevalet och till att bli anhängare
Information om ägarkundskapet Ägarkundskap i andelsbanken
Samtycken Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade
Svar i kandidattestet
(endast kandidater)
Synpunkter, intressen och bakgrundsuppgifter som ansluter sig till OP och utvecklandet av dess tjänster och som kandidaten ger i kandidattestet
Inspelningar och innehåll i meddelanden
(endast kandidater)
Kandidatens foto med bildkod, eventuella samtalsinspelningar och e-postmeddelanden som anknyter till valprocessen.
Kandidatens röstmängd
(endast kandidater)
Antal röster som kandidaten fått.

7. Mottagare och kategorier av mottagare av personuppgifter

7.1 Mottagare av uppgifter

Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter. Dessutom kan personuppgifter lämnas ut bland annat till myndigheter i lagstadgade fall.

7.2 Överföring av uppgifter till underleverantörer

Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.

Underleverantörerna producerar bl.a. datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är andra företag i OP Gruppen.

7.3 Internationella överföringar av uppgifter

Den personuppgiftsansvarige överför i regel inte uppgifter i det här registret utanför EU/EES. Om uppgifter ändå i enskilda fall skulle överföras utanför EU/EES, tillämpar den personuppgiftsansvarige alltid överföringsmekanismer som tillåts enligt lagstiftningen, såsom standardavtalsklausuler enligt dataskyddslagstiftningen, med vilka man garanterar ett lämpligt skydd för personuppgifterna.

Den personuppgiftsansvarige anlitar underleverantörer för att behandla personuppgifter. 

8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Personuppgifterna sparas och behandlas i fem år, vilket omfattar fullmäktiges mandattid.

9. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in från den registrerade själv. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster. Den registrerades foto kan sändas till kandidattestet direkt från fotoateljén på begäran av den registrerade.

Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:

  • Befolkningsdatasystemet
  • andra myndighetsregister

10. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats. 

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

11. Rätt att återkalla samtycke

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.

12. Hur registret är skyddat

Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.

Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.