Dataskyddsbeskrivning
Tidpunkt för upprättande eller ändring: 29.3.2022
1. Allmänt
Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund eller personal, och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
Andelsbankerna i OP Gruppen, som ordnar sina fullmäktigeval enligt OP Gruppens gemensamma valkoncept.
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefonnummer: 0100 0500
E-postadress: tietosuoja@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi
4. Registrets namn och registrerade
Register över valbara ägarkunder, kandidater och anhängare i OP:s fullmäktigeval.
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
5.1 Ändamålen med behandlingen
Ändamålet med personuppgifterna är att genomföra fullmäktigeval i andelsbanken i OP Gruppen och att hålla kontakt i anslutning till det med kandidater och deras anhängare. Kandidaternas svar i kandidattestet sparas och offentliggörs för att underlätta väljarnas val av kandidat.
5.2 Rättsliga grunder för behandlingen
Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.
| Rättslig grund | Exempel |
|---|---|
| Samtycke | Uppgifterna om kandidaten och anhängaren sparas och behandlas på basis av samtycke |
| Lagstadgad skyldighet | Ordnande av andelsbankens fullmäktigeval och sättet att genomföra valarrangemangen. |
| Den personuppgiftsansvariges eller en tredje parts berättigade intressen | Uppgifter om ägarkunder som är röstberättigade och har röstat sparas för att ordna val och för att säkerställa att varje röstberättigad ägarkund kan rösta en gång och att ingen kan rösta flera gånger. |
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Ägarkundens/kandidatens/anhängarens namn Personbeteckning Den registrerades kontaktinformation: telefonnummer, e-post och adress Bostadsort Kandidatens titel/yrke/syssla Information om ett eventuellt nuvarande anställningsförhållande i OP Gruppen Information om en eventuell nuvarande roll i OP Gruppens förvaltning |
| Information om understöd och kandidatur | Information om samtycke till att kandidera i fullmäktigevalet och till att bli anhängare |
| Information om ägarkundskapet | Ägarkundskap i andelsbanken |
| Samtycken | Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade |
| Svar i kandidattestet (endast kandidater) |
Synpunkter, intressen och bakgrundsuppgifter som ansluter sig till OP och utvecklandet av dess tjänster och som kandidaten ger i kandidattestet |
| Beteendeuppgifter (uppgifter som samlas in med bland annat cookies och annan motsvarande teknik) | Uppföljning av nätbeteendet och användningen av tjänster på sidan op.fi. Uppföljningen sker till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikatorer, kanal, såsom applikation, webbläsare eller mobil webbläsare, webbläsarversion, IP-adress, sessionskod, sessionstid och -längd samt skärmresolution och operativsystem. |
|
Inspelningar och innehåll i meddelanden (endast kandidater) |
Kandidatens foto med bildkod, eventuella samtalsinspelningar och e-postmeddelanden som anknyter till valprocessen. |
| Kandidatens röstmängd (endast kandidater) |
Antal röster som kandidaten fått. |
7. Mottagare och kategorier av mottagare av personuppgifter
Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter. Dessutom kan personuppgifter lämnas ut bland annat till myndigheter i lagstadgade fall.
8. Överföring av personuppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och Europeiska kommissionens standardavtalsklausuler i OPs webbsida: op.fi/dataskydd.
En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bl.a. datatekniska och övriga stödtjänster för den personuppgiftsansvarige.
9. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Personuppgifterna sparas och behandlas i fem år, vilket omfattar fullmäktiges mandattid.
10. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in från den registrerade själv. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster. Den registrerades foto kan sändas till kandidattestet direkt från fotoateljén, om den registrerade matar in den bildkod hen fått från fotoateljén i kandidattestet.
Personuppgifter kan inom lagens ramar samlas in från andra OP Gruppens sammanslutningars personregister, till exempel för att verifiera rösträtt i fullmäktigeval.
Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:
- Myndigheten för digitalisering och befolkningsdataandra myndighetsregister
11. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.
Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
12. Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.
13. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.