Dataskyddsbeskrivning
1. Allmänt
Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund eller personal, och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktuppgifter
Varje samfund i OP Gruppen som är skyldigt att föra ett personregister för en kanal för rapportering om misstänkt missbruk (nedan Whistle Blowing-register)
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: Rami Kinnala
E-postadress: rami.kinnala@op.fi
Varje samfund i gruppen som är skyldigt att föra ett Whistle Blowing-register är en självständig personuppgiftsansvarig i fråga om det register det har ansvaret för. Det här är en gemensam dataskyddsbeskrivning som beskriver behandlingen av personuppgifter i de separata registren hos varje samfund som fungerar som personuppgiftsansvarig.
3. Dataskyddsombudets kontaktuppgifter
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi
4. Registrets namn och de registrerade
Whistle blowing-register
De registrerade är personer som till den personuppgiftsansvarige har/har haft ett anställningsförhållande eller ett förhållande som kan likställas med ett anställningsförhållande baserat på annat avtal, uppdrag eller samarbete, eller som fungerar som den personuppgiftsansvariges ombud och som gör/har gjort en sådan rapport om en överträdelse som avses i lagstiftningen eller som är/har varit föremål för en sådan rapport. Registrerade kan även vara den personuppgiftsansvariges kunder, potentiella kunder eller andra personer som gör/har gjort en sådan rapport om en överträdelse som avses i lagstiftningen eller är/har varit föremål för en sådan rapport.
Rapporten kan även göras anonymt.
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
5.1 Ändamålen med behandlingen
Regleringen inom finansbranschen förutsätter rutiner för att anställda inom branschen internt genom en oberoende kanal ska kunna rapportera överträdelser av bestämmelser och föreskrifter om finansmarknaden samt om placeringstjänst-, placeringsfonds- och försäkringsbolagsverksamhet.
Till ändamålen med personuppgifterna hör:
- iakttagande av förpliktelser angående rapportering om överträdelser enligt 7 kap. 6 § i kreditinstitutslagen (610/2014), 150 § i lagen om placeringsfonder (48/1999), 6 b kap. 13 § i lagen om investeringstjänster (747/2012), 12 kap. 3 § i värdepappersmarknadslagen (746/2012), 6 kap. 17 a § i försäkringsbolagslagen (521/2008) och 9 kap. 72 § i lagen om försäkringsdistribution (234/2018) samt iakttagande av förpliktelser enligt 7 kap. 8 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism samt iakttagande av lagen om skydd för personer som rapporterar om överträdelser av EU-rätten och den nationella lagstiftningen (1171/2022)
- utredning av misstänkta överträdelser av bestämmelser och föreskrifter som gäller finansmarknaden samt om placeringstjänst-, placeringsfonds- och försäkringsbolagsverksamhet
- utredning av misstankar om verksamhet som strider mot OP Gruppens värden
- skötsel av sådana förvarings-, rapporterings- och anmälningsskyldigheter som baserar sig på lag eller myndigheternas anvisningar och föreskrifter
- riskhantering.
5.2 Rättsliga grunder för behandlingen
Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.
| Rättslig grund | Exempel |
|---|---|
| Lagstadgad skyldighet | I registret behandlas personuppgifter med stöd av kreditinstitutslagen, lagen om placeringsfonder, lagen om investeringstjänster, värdepappersmarknadslagen, lagen om förhindrande av penningtvätt, försäkringsbolagslagen och lagen om försäkringsdistribution samt lagen om skydd för personer som rapporterar om överträdelser. |
| Den personuppgiftsansvariges berättigade intresse | I registret behandlas personuppgifter för utredning av verksamhet som strider mot OP Gruppens värden, i syfte att främja det allmänna förtroendet för marknaden och dem som verkar på marknaden. Till exempel felaktiga begäranden kan hamna i rapporteringskanalen, och då avlägsnas de och styrs till den rätta kanalen. |
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grundläggande uppgifter | Från fall till fall: Den registrerades namn Den registrerades kontaktinformation Namnet på och adressen till den organisation som rapporten gäller Inga uppgifter samlas in om den som gör rapporten, och onödiga personuppgifter avlägsnas från rapporten. |
| Händelsen som rapporten gäller | En beskrivning om händelsen på rubriknivå samt en mer omfattande fritt formulerad beskrivning om den rapporterade misstänkta överträdelsen eller det rapporterade misstänkta missbruket. |
| Meddelanden och kanaluppgifter | Kanalen där rapporten togs emot. Innehållet i meddelandena i diskussionen som fördes i rapporteringskanalen. |
7. Mottagare och kategorier av mottagare av personuppgifter
7.1 Mottagare av uppgifter
Insamlade personuppgifter kan lämnas ut till myndigheter samt inom OP Gruppen inom de gränser som lagstiftningen tillåter.
Då personuppgifter i registret lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning, inklusive den tystnadsplikt som gäller den personuppgiftsansvarige.
7.2 Överföring av personuppgifter till underleverantörer
Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.
Underleverantörerna producerar bland annat datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är andra samfund i OP Gruppen.
7.3 Internationella överföringar av uppgifter
Personuppgifter överförs inte utanför EU eller EES.
8. Förvaringsperiod för personuppgifter eller kriterier för att fastställa förvaringsperioden
Den personuppgiftsansvarige raderar uppgifterna fem år efter att rapporten gjordes, om det inte är nödvändigt att fortsätta förvara uppgifterna för att trygga en brottsutredning, en anhängig rättegång, en myndighetsutredning eller rättigheterna hos den person som gjort rapporten eller den person som är föremålet för rapporten. Behovet att fortsätta förvara uppgifter granskas senast ett år efter den senaste granskningen.
9. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas in huvudsakligen genom Whistle Blowing-systemet.
Som en fortsatt åtgärd på grund av rapporten kan uppgifter samlas in av anställda hos den personuppgiftsansvarige eller av andra vars förhållande till den personuppgiftsansvarige baserar sig på ett avtal, ett uppdrag eller annat samarbete samt från den personuppgiftsansvariges system.
Den som gör rapporten ger sin rapport anonymt.
10. Den registrerades rättigheter
Den registrerade som är föremålet för rapporten har inte rätt att få åtkomst till sådana uppgifter som kan störa utredningen av de misstänkta överträdelserna om de lämnas ut. Verkställbarheten av den registrerades rättigheter som nämns nedan i den här punkten bedöms separat i vart fall med beaktande av de specialbestämmelser som gäller behandlingen av uppgifterna i registret.
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
I och med att dataskyddsförordningen har börjat tillämpas har den registrerade också i vissa situationer rätt att begära att behandlingen av den registrerades personuppgifter ska begränsas eller annars göra invändningar mot behandlingen av sina personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form med stöd av dataskyddsförordningen.
Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av hens personuppgifter inte är lagenlig, har hen rätt att lämna in ett klagomål till tillsynsmyndigheten.
11. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.