OP Vähittäisasiakkaat Oyj:n asiakasrekisteri

Tietosuojaseloste

Päivitetty 16.4.2024

1. Yleistä

Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle, kuten rekisterinpitäjän asiakkaalle tai henkilöstölle, ja toisaalta valvovalle viranomaiselle.

2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

OP Vähittäisasiakkaat Oyj

Postiosoite: PL 1020, 00013 OP

Rekisterinpitäjän yhteyshenkilö: OP Ryhmän tietosuojatiimi  

Puhelinnumero: 0100 0500

Sähköpostiosoite: tietosuoja(a)op.fi

3. Tietosuojavastaavan yhteystiedot

OP Ryhmän tietosuojavastaava

OP Ryhmä

Postiosoite: PL 308, 00013 OP

Sähköpostiosoite: tietosuoja(a)op.fi

4. Rekisterin nimi ja rekisteröidyt

OP Vähittäisasiakkaat Oyj:n asiakasrekisteri

Rekisteröityjä ovat OP Vähittäisasiakkaat Oyj:n henkilöasiakkaat ja potentiaaliset henkilöasiakkaat.

Asiakkuus syntyy sopimussuhteen myötä. Potentiaalinen asiakkuus syntyy tyypillisesti henkilön ilmaistua kiinnostuksensa OP Vähittäisasiakkaat Oyj:n tuotteisiin ja palveluihin eri palvelukanavissa, esimerkiksi aloittamalla luottohakemuksen tekemisen vahvasti tunnistettuna. Palveluja tarjotaan sekä OP:n palvelukanavissa että myyjäliikeyhteistyökanavissa. Potentiaalinen asiakkuus voi syntyä myös sillä perusteella, että henkilö on jonkin muun OP Ryhmän yhteisön asiakas ja tämä yhteisö luovuttaa asiakkaan tietoja OP Vähittäisasiakkaat Oyj:n käytettäväksi markkinoinnissa.

5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperusteet

5.1 Käsittelyn tarkoitukset

OP Vähittäisasiakkaat Oyj käsittelee henkilötietoja pääasiassa kortteihin ja vakuudettomiin luottoihin liittyvien palvelujen tuottamista, tarjoamista ja toimittamista varten. Alla on tarkempaa tietoa henkilötietojen käytöstä rekisterissä.

Henkilötietojen käyttötarkoituksiin kuuluvat:

  • asiakaspalvelu ja asiakassuhteen hoito, mukaan lukien asiakasviestintä
  • palvelujen tuottaminen, kehittäminen ja laadunvarmistus
  • liiketoiminnan kehittäminen
  • asiakasluokitukset ja -mallinnukset
  • palvelujen turvallisuuden varmistaminen sekä väärinkäytösten estäminen ja selvittäminen
  • riskienhallinta
  • palvelujen käytön seuranta ja analysointi sekä asiakkaiden segmentointi, jotta rekisterinpitäjä pystyy esimerkiksi tarjoamaan käyttäjille kohdennettuja palveluja
  • lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen
  • koulutustarkoitukset esimerkiksi puhelunauhoitteiden avulla
  • suoramarkkinointi, mielipide- ja markkinatutkimukset, markkinoinnin ja mainonnan kohdentaminen

Automaattinen päätöksenteko ja profilointi

Kortti- ja luottotuotteiden osalta rekisterin piiriin kuuluva henkilötietojen käsittely sisältää automaattista päätöksentekoa. Automaattisella käsittelyllä pyritään nopeuttamaan käsittelyaikoja ja turvaamaan päätösten tasapuolisuus. Kyse on automaattisesta päätöksenteosta, jossa päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten. Jos tällaista päätöksentekoa sisältyy tuotteeseen tai palveluun, siitä kerrotaan tuotteen tai palvelun oston yhteydessä. Päätösprosessin ollessa täysin automaattinen rekisterinpitäjä varmistaa, että asian voi saattaa manuaalisessa prosessissa tarkastettavaksi ja päätettäväksi.

Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää myös profilointia. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa näitä tietoja käyttämällä arvioidaan tiettyjä henkilökohtaisia ominaisuuksia.

Rekisterinpitäjän toiminnassa tehdään automaattisia kortin ja luoton myöntämispäätöksiä, joihin liittyy esimerkiksi rekisteröidyn profilointia hänen luottokelpoisuutensa arvioimiseksi sekä luottopäätöksen ja sopimuksen tekemiseksi. Vaatimus luottokelpoisuuden arvioinnista tulee lainsäädännöstä. Päätöksenteossa käytettyä menetelmää arvioidaan ja seurataan säännöllisesti, jotta varmistetaan sen luotettavuus.

Automaattisen päätöksenteon tukena voidaan käyttää hakijan maksukykyä kuvaavia tietoja, kuten haettua luottoa koskevia tietoja, luotonhakijan itsensä luotonhakuprosessissa antamia tietoja, Suomen Asiakastieto Oy:n ja Digi- ja väestötietoviraston kyselyjärjestelmistä saatavia tietoja, Verohallinnon positiivisesta luottotietorekisteristä saatavia tietoja sekä OP Ryhmän sisäisiä maksuhistoria- ja luottotietoja sekä muita myöntökelpoisuuden arviointia tukevia tietoja.

Automaattisen käsittelyn ja profiloinnin seuraukset rekisteröidylle ovat haetun kortin tai luoton automaattinen hyväksyntä tai hylkääminen. Automaattisen käsittelyn ja profiloinnin seurauksena voidaan määritellä myös sopimuksen ehtoja, kuten esimerkiksi luoton korko. Järjestelmä voi myös siirtää asian asiantuntija-arviointiin lisätarkistuksia varten, jolloin hakemuksen käsittelee ja päätöksen tekee luonnollinen henkilö. Luotonhakuprosessissa annettujen tietojen lisäksi päätöksenteossa voidaan huomioida muun muassa haettua luottoa koskevat tiedot, nuori ikä ja maksuviiveet. Hakijasta voidaan muodostaa maksukykyä mittaava luokitus, jota käytetään päätöksenteossa ja johon myönnettävän luoton määrä voidaan suhteuttaa. Maksukyvyn arviointi ja siihen liittyvät luokitukset ovat toiminnan kannalta välttämätöntä profilointia. Kielteiseen luottopäätökseen voivat johtaa esimerkiksi riittämätön maksukyky, luottohäiriömerkintä, nuori ikä, luottovastuiden määrä tai aikaisemmin myönnetyn lainan takaisinmaksun laiminlyönti. Rekisteröity voi pyytää asian uudelleen arviointia manuaalisessa käsittelyssä, mikäli päätös on perustunut automaattiseen päätöksentekoon.

Yleistä tietoa automaattisesta päätöksenteosta ja profiloinnista on saatavilla tietosuojalausekkeessa osoitteessa op.fi/tietosuoja.

Rikollisuuden ehkäiseminen

Asiakkaan tuntemistietoja ja rekisteröidyn muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä muihin laissa rahanpesun ja terrorismin rahoittamisen estämisestä edellytettyihin tarkoituksiin.

Rekisteröidyn henkilötietoja voidaan käyttää sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena. Saat lisätietoa pakotteiden noudattamisesta OP Ryhmässä pääsääntöisesti hankkimasi tuotteen tai palvelun ehdoista.

Rekisterinpitäjä voi käsitellä henkilötietoja liittyen harjoittamaansa luottolaitostoimintaan välittömästi kohdistuneisiin rikoksiin tai epäiltyihin rikoksiin, jos se on välttämätöntä tällaisten rikosten estämiseksi tai selvittämiseksi.

5.2 Käsittelyn oikeusperusteet

Alla on kuvattu rekisterin käyttämät henkilötietojen käsittelyn oikeusperusteet sekä esimerkkejä kullakin perusteella suoritettavasta käsittelystä.

Oikeusperuste Esimerkki
Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet Rekisterissä käsitellään henkilötietoja pääasiassa sopimukseen perustuen rekis-teröidyn hankkimien palvelujen tarjoa-miseksi ja toimittamiseksi.
Suostumus Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot
Lakisääteinen velvoite Toimialakohtainen lainsäädäntö kuten luottolaitoslaki
Rahanpesun ja terrorismin rahoittamisen estämistä koskeva lainsäädäntö
Laki positiivisesta luottotietorekisteristä
Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut Suoramarkkinointi, riskienhallinta, tuotteiden ja palveluiden kehittäminen

Rekisterinpitäjä voi luovuttaa tietoja muihin OP Ryhmän yhteisöjen henkilörekistereihin oikeutetun edun perusteella.

Useimmiten rekisterinpitäjän oikeutettu etu perustuu rekisterinpitäjän ja rekisteröidyn väliseen asiakas- tai vastaavaan suhteeseen. Rekisterinpitäjä huolehtii siitä, että tällä perusteella suoritettava käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa hänen kohtuullisia odotuksiaan.

6. Henkilötietoryhmät

Henkilötietoryhmä Ryhmän tietosisältö
Perustiedot Rekisteröidyn nimi, henkilötunnus ja yhteystiedot, kuten osoite, puhelinnumero ja sähköpostiosoite
Tuntemistiedot Lainsäädännön edellyttämät tuntemistiedot, kuten asiakkaan tunnistamiseksi sekä taloudellisen aseman ja poliittisen vaikutusvallan selvittämiseksi tarpeelliset tiedot
Asiakkuustiedot Asiakkuuden yksilöivät ja luokittelevat tiedot
Suostumukset Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot
Sopimus- ja tuotetiedot Rekisterinpitäjän ja rekisteröidyn välisten sopimusten tiedot
Rekisteröidyn hankkimien tuotteiden ja palvelujen tiedot
Asiakastapahtumatiedot Asiakassuhteen hoitamiseen liittyvät teh-tävät ja tapahtumat
Kortin tai luoton käyttämiseen liittyvät tapahtumatiedot
Taustatiedot Rekisteröidyn elämäntilanne ja taloudellinen asema
Kiinnostuksen kohteet Tiedot rekisteröidyn kiinnostuksen kohteista, esimerkiksi rekisterinpitäjän tarjoamia tuotteita kohtaan
Käyttäytymistiedot (ml. evästeillä ja muilla vastaavilla teknologioilla kerätyt tiedot) Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite- ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä.
Tallenteet ja viestien sisältö Erimuotoiset tallenteet ja viestit, joissa rekisteröity on osapuolena, esimerkiksi puhelutallenteet
Erityiset henkilötietoryhmät Rekisterissä voidaan käsitellä tietosuoja-asetuksen 9 artiklan mukaisia henkilötietojen erityisryhmiä, kuten terveydentilaa koskevia tietoja, tiettyjä rajattuja käyttötarkoituksia varten, esimerkiksi maksujärjestelystä sopimisen yhteydessä.
Tekniset tunnistamistiedot Laitteen tai sovelluksen määrittämä tunniste, jonka avulla laitteen tai sovelluksen käyttäjä on tunnistettavissa käyttämällä tarvittaessa lisätietoja

 

7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät

7.1 Tietojen luovutuksensaajat

Henkilötietoja voidaan luovuttaa lain sallimissa puitteissa viranomaisille, kuten Finanssivalvonnalle ja Suomen Verohallinnolle.

Rekisterinpitäjä voi luovuttaa pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaisia tietoja lain mukaan toimivaltaisille viranomaisille, kuten poliisille, ulosottoviranomaiselle ja Tullille. Tulli vastaa lain mukaisten tietojen välittämisestä toimivaltaisille viranomaisille. Rekisteröidyn tulee ohjata pankki- ja maksutilien valvontajärjestelmää koskevat kysymykset Tullille.

Lisäksi henkilötietoja voidaan luovuttaa muun muassa:

  • OP Ryhmän sisällä lainsäädännön sallimissa puitteissa
  • yhteistyökumppaneille tuotteeseen mahdollisesti liittyvän kanta-asiakasyhteistyön toteuttamista tai lisäarvopalvelun toimittamista varten
  • riidanratkaisuelimille eri riidanratkaisutilanteissa
  • kansainvälisille korttiyhtiöille (esim. Visa ja Mastercard) korttimaksamiseen liittyvien palveluiden tuottamiseksi
  • Googlelle rekisteröidyn suostumuksella, mikäli rekisteröity on ottanut Google Payn käyttöönsä
  • perintäyhtiöille luoton perintää varten
  • luottotietorekisterinpitäjille, kuten Suomen Asiakastieto Oy:lle, maksuhäiriöseurantaa ja -rekisteröintiä varten ja Verohallinnon ylläpitämään positiiviseen luottotietorekisteriin 

Luovuttaessaan rekisteriin kuuluvia henkilötietoja rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset, ml. rekisterinpitäjään kohdistuvat salassapitovelvoitteet.

7.2. Tietojen siirto alihankkijoille

Rekisterinpitäjä käyttää alihankkijoita, jotka käsittelevät henkilötietoja sen lukuun. Rekisterinpitäjä tekee tällaisten alihankkijoiden kanssa asianmukaiset henkilötietojen käsittelyä koskevat sopimukset.

Alihankkijat tuottavat rekisterinpitäjälle mm. tietoteknisiä palveluja. Osa käytetyistä alihankkijoista on muita OP Ryhmän yhteisöjä.

7.3. Kansainväliset tiedonsiirrot

Rekisterinpitäjä käyttää alihankkijoita tietojen käsittelyssä, ja tietoja voidaan siirtää EU:n / ETA:n ulkopuolelle. EU:n / ETA:n ulkopuolelle siirrettäessä siirto tapahtuu käyttäen EU-komission mallisopimuslausekkeita tai muuta lainsäädännön sallimaa siirtomekanismia. Lisätietoja henkilötietojen kansainvälisistä siirroista sekä mallisopimuslausekkeista saat OP:n verkkosivuilta: op.fi/tietosuoja.

Osa rekisterinpitäjän käyttämistä alihankkijoista on muita OP Ryhmän yhteisöjä. Ne tuottavat rekisterinpitäjälle mm. tietoteknisiä ja muita tukipalveluja.

8. Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit

Rekisterinpitäjä käsittelee henkilötietoja sopimussuhteen voimassaolon ajan. Sopimussuhteen päätyttyä rekisterinpitäjä poistaa tai anonymisoi tiedot pääsääntöisesti noin 10 vuoden kuluttua noudattamiensa poistoprosessien mukaisesti.

Potentiaalisten asiakkaiden henkilötietoja rekisterinpitäjä käsittelee pääsääntöisesti noin vuoden ajan laskettuna siitä, kun rekisteröity viimeksi aktiivisella toimenpiteellään on osoittanut kiinnostusta rekisterinpitäjän tuotteita tai palveluja kohtaan, tai kun henkilötietoja on viimeksi käsitelty.

Rekisterinpitäjä voi käsitellä sopimussuhteen päätyttyä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti.

Rekisterinpitäjällä voi olla velvollisuus käsitellä joitakin rekisteriin kuuluvia henkilötietoja yllä todettua pitempään lainsäädännön tai viranomaisvaatimusten, kuten vakavaraisuuslaskentaa koskevan sääntelyn, noudattamiseksi.

9. Henkilötietojen lähteet ja päivittäminen

Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, esimerkiksi OP:n verkkopalveluissa.

Henkilötietoja voidaan kerätä ja päivittää lain sallimissa puitteissa myös kolmansien osapuolten rekistereistä, kuten:

  • Digi- ja väestötietovirastolta
  • Verohallinnon positiivisesta luottotietorekisteristä
  • muiden viranomaisten pitämistä rekistereistä
  • luottotietorekisterinpitäjiltä
  • poliittisen vaikutusvallan ja rekisterinpitäjän noudattamien kansainvälisten pakotteiden piiriin kuulumisen selvittämiseksi tarpeelliset tiedot tällaisia tietokantoja ylläpitäviltä tahoilta
  • muista OP Ryhmän yhteisöjen asiakasrekistereistä

10. Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista.

Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.

Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.

Rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa.

Kaikki tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle.

Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.

11. Oikeus peruuttaa suostumus

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja suostumuksen perusteella, rekisteröidyllä on oikeus peruuttaa suostumuksensa. Suostumuksen peruuttaminen ei vaikuta ennen sen peruuttamista suoritetun suostumusperusteisen käsittelyn lainmukaisuuteen. Suostumuksen peruuttaminen voi kuitenkin vaikuttaa palvelun käytettävyyteen ja toiminnallisuuksiin tai johtaa sopimusmuutoksiin.

12. Miten rekisterin suojaus on järjestetty

Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.

Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:

  • laitteistojen ja tiedostojen suojaus
  • kulunvalvonta
  • käyttäjien tunnistus
  • käyttövaltuudet
  • käyttötapahtumien rekisteröinti
  • käsittelyn ohjeistus ja valvonta

Rekisterinpitäjä edellyttää myös alihankkijoiltaan ja muilta yhteistyökumppaneiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.