OP-Korttiyhtiö Oyj:n asiakasrekisteri

Tietosuojaseloste

1. Yleistä

Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle, kuten rekisterinpitäjän asiakkaalle tai henkilöstölle, ja toisaalta valvovalle viranomaiselle.

2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

OP-Korttiyhtiö Oyj

Postiosoite:PL 1020, 00013 OP

Rekisterinpitäjän yhteyshenkilö: OP Ryhmän tietosuojatiimi  

Puhelinnumero: 0100 0500

Sähköpostiosoite: tietosuoja(a)op.fi

3. Tietosuojavastaavan yhteystiedot

OP Ryhmän tietosuojavastaava

OP Ryhmä

Postiosoite: PL 308, 00013 OP

Sähköpostiosoite: tietosuoja(a)op.fi

4. Rekisterin nimi ja rekisteröidyt

OP-Korttiyhtiö Oyj:n asiakasrekisteri

Rekisteröityjä ovat OP-Korttiyhtiö Oyj:n henkilöasiakkaat ja potentiaaliset henkilöasiakkaat.

Asiakkuus syntyy sopimussuhteen myötä. Potentiaalinen asiakkuus syntyy tyypillisesti henkilön ilmaistua kiinnostuksensa. OP-Korttiyhtiö Oyj:n tuotteisiin ja palveluihin eri palvelukanavissa, esimerkiksi aloittamalla luottohakemuksen tekemisen vahvasti tunnistettuna. Palveluja tarjotaan sekä OPn palvelukanavissa että myyjäliikekanavissa. Potentiaalinen asiakkuus voi syntyä myös sillä perusteella, että henkilö on jonkin muun OP Ryhmän yhteisön asiakas ja tämä yhteisö luovuttaa asiakkaan tietoja OP-Korttiyhtiö Oyj:n käytettäviksi markkinoinnissa.

5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperusteet

Käsittelyn tarkoitukset

OP-Korttiyhtiö Oyj käsittelee henkilötietoja pääasiassa luottokortteihin ja vakuudettomiin luottoihin liittyvien palvelujen tuottamista, tarjoamista ja toimittamista varten. Alla on tarkempaa tietoa henkilötietojen käytöstä rekisterissä.

Henkilötietojen käyttötarkoituksiin kuuluvat:

  • asiakaspalvelu ja asiakassuhteen hoito, mukaan lukien asiakasviestintä
  • palvelujen tuottaminen, kehittäminen ja laadunvarmistus
  • liiketoiminnan kehittäminen
  • palvelujen turvallisuuden varmistaminen sekä väärinkäytösten estäminen ja selvittäminen
  • riskienhallinta
  • palvelujen käytön seuranta ja analysointi sekä asiakkaiden segmentointi, jotta rekisterinpitäjä pystyy esimerkiksi tarjoamaan käyttäjille kohdennettuja palveluja
  • lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen
  • koulutustarkoitukset esimerkiksi puhelunauhoitteiden avulla
  • suoramarkkinointi, mielipide- ja markkinatutkimukset, markkinoinnin ja mainonnan kohdentaminen

Automaattinen päätöksenteko ja profilointi

Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää automaattista päätöksentekoa. Automaattisesta päätöksenteosta on kyse silloin, kun päätös tehdään pelkästään automaattisesti siten, ettei ihminen osallistu yksittäisen päätöksen tekemiseen, ja kun tällaisella päätöksellä on rekisteröityä koskevia oikeusvaikutuksia tai se vaikuttaa rekisteröityyn vastaavalla tavalla merkittävästi. Jos tällaista päätöksentekoa sisältyy rekisteröidyn hankkimaan tuotteeseen tai palveluun, siitä kerrotaan tuotteen tai palvelun oston yhteydessä. Päätösprosessin ollessa täysin automaattinen rekisterinpitäjä varmistaa, että rekisteröity voi saattaa asian manuaalisessa prosessissa tarkastettavaksi ja päätettäväksi.

Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää profilointia. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa näitä tietoja käyttämällä arvioidaan tiettyjä henkilökohtaisia ominaisuuksia.

Nopean ja tehokkaan palvelun varmistamiseksi tässä rekisterissä tehdään luottopäätöksiä automaattisesti. Päätöksenteossa käytetään henkilön hakemusprosessissa antamien tietojen lisäksi häntä koskevia rekisterinpitäjän asiakasrekisterissä ja eräissä OP Ryhmän muissa rekistereissä olevia tietoja sekä eräistä ulkoisista lähteistä, kuten luottotietorekisteristä saatavia tietoja. Rekisterissä tehdään profilointia sekä luoton tai luottokortin hakemisen yhteydessä että asiakassuhteen elinkaaren aikana pääasiassa riskienhallinnallisissa tarkoituksissa.

Yleistä tietoa automaattisesta päätöksenteosta ja profiloinnista OP Ryhmässä saat tietosuojalausekkeesta osoitteesta op.fi/tietosuoja.

Rikollisuuden ehkäiseminen

Asiakkaan tuntemistietoja ja rekisteröidyn muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä muihin laissa rahanpesun ja terrorismin rahoittamisen estämisestä edellytettyihin tarkoituksiin.

Rekisteröidyn henkilötietoja voidaan käyttää sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena. Saat lisätietoa pakotteiden noudattamisesta OP Ryhmässä pääsääntöisesti hankkimasi tuotteen tai palvelun ehdoista.

Rekisterinpitäjä voi käsitellä henkilötietoja liittyen harjoittamaansa luottolaitostoimintaan välittömästi kohdistuneisiin rikoksiin tai epäiltyihin rikoksiin, jos se on välttämätöntä tällaisten rikosten estämiseksi tai selvittämiseksi.

Käsittelyn oikeusperusteet

Alla on kuvattu rekisterin käyttämät henkilötietojen käsittelyn oikeusperusteet sekä esimerkkejä kullakin perusteella suoritettavasta käsittelystä.

Oikeusperuste Esimerkki
Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet Rekisterissä käsitellään henkilötietoja pääasiassa sopimukseen perustuen rekisteröidyn hankkimien palvelujen tarjoamiseksi ja toimittamiseksi.
Suostumus Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot
Lakisääteinen velvoite Toimialakohtainen lainsäädäntö kuten luottolaitoslaki
Rahanpesun ja terrorismin rahoittamisen estämistä koskeva lainsäädäntö
Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut Suoramarkkinointi, riskienhallinta, tuotteiden ja palveluiden kehittäminen
Rekisterinpitäjä voi luovuttaa tietoja muihin OP Ryhmän yhteisöjen henkilörekistereihin oikeutetun edun perusteella.

Useimmiten rekisterinpitäjän oikeutettu etu perustuu rekisterinpitäjän ja rekisteröidyn väliseen asiakas- tai vastaavaan suhteeseen.

Rekisterinpitäjä huolehtii siitä, että tällä perusteella suoritettava käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa hänen kohtuullisia odotuksiaan.

6. Henkilötietoryhmät

Henkilötietoryhmä Ryhmän tietosisältö
Perustiedot Rekisteröidyn nimi, henkilötunnus ja
yhteystiedot, kuten osoite, puhelinnumero ja sähköpostiosoite
Tuntemistiedot Lainsäädännön edellyttämät tuntemistiedot, kuten asiakkaan tunnistamiseksi sekä taloudellisen aseman ja poliittisen vaikutusvallan selvittämiseksi tarpeelliset tiedot
Asiakkuustiedot Asiakkuuden yksilöivät ja luokittelevat tiedot
Suostumukset Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot
Sopimus- ja tuotetiedot Rekisterinpitäjän ja rekisteröidyn välisten sopimusten tiedot

Rekisteröidyn hankkimien tuotteiden ja palvelujen tiedot
Asiakastapahtumatiedot Asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat

Kortin tai luoton käyttämiseen liittyvät tapahtumatiedot
Taustatiedot Rekisteröidyn elämäntilanne ja taloudellinen asema
Kiinnostuksen kohteet Tiedot rekisteröidyn kiinnostuksen kohteista, esimerkiksi rekisterinpitäjän tarjoamia tuotteita kohtaan
Käyttäytymistiedot (ml. evästeillä ja muilla vastaavilla teknologioilla kerätyt tiedot) Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite- ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä.
Tallenteet ja viestien sisältö Erimuotoiset tallenteet ja viestit, joissa rekisteröity on osapuolena, esimerkiksi puhelutallenteet
Erityiset henkilötietoryhmät Rekisterissä voidaan käsitellä tietosuoja-asetuksen 9 artiklan mukaisia henkilötietojen erityisryhmiä, kuten terveydentilaa koskevia tietoja, tiettyjä rajattuja käyttötarkoituksia varten, esimerkiksi maksujärjestelystä sopimisen yhteydessä.
Tekniset tunnistamistiedot Laitteen tai sovelluksen määrittämä tunniste, jonka avulla laitteen tai sovelluksen käyttäjä on tunnistettavissa käyttämällä tarvittaessa lisätietoja

 

7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät

Tietojen luovutuksensaajat

Henkilötietoja voidaan luovuttaa lain sallimissa puitteissa viranomaisille, kuten Finanssivalvonnalle ja Suomen Verohallinnolle.

Lisäksi henkilötietoja voidaan luovuttaa muun muassa:

  • OP Ryhmän sisällä lainsäädännön sallimissa puitteissa
  • yhteistyökumppaneille tuotteeseen mahdollisesti liittyvän kanta-asiakasyhteistyön toteuttamista tai lisäarvopalvelun toimittamista varten
  • riidanratkaisuelimille eri riidanratkaisutilanteissa
  • luottotietorekisterinpitäjille, kuten Suomen Asiakastieto Oy:lle, maksuhäiriöseurantaa
    ja -rekisteröintiä varten

Luovuttaessaan rekisteriin kuuluvia henkilötietoja rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset, ml. rekisterinpitäjään kohdistuvat salassapitovelvoitteet.

Tietojen siirto alihankkijoille

Rekisterinpitäjä käyttää alihankkijoita, jotka käsittelevät henkilötietoja sen lukuun. Rekisterinpitäjä tekee tällaisten alihankkijoiden kanssa asianmukaiset henkilötietojen käsittelyä koskevat sopimukset.

Alihankkijat tuottavat rekisterinpitäjälle mm. tietoteknisiä palveluja. Osa käytetyistä alihankkijoista on muita OP Ryhmän yhteisöjä.

Kansainväliset tiedonsiirrot

Rekisterinpitäjä käyttää henkilötietojen käsittelyssä alihankkijoita ja tietoja siirretään rajatusti EU:n / ETA:n ulkopuolelle.

Tietojen siirto EU:n / ETA:n ulkopuolelle tapahtuu käyttäen tietosuojalainsäädännön mukaisia mallisopimuslausekkeita tai muuta lainsäädännössä sallittua siirtomekanismia, jolla taataan asianmukainen henkilötietojen suoja. Rekisterinpitäjä käyttää eräänä siirtomekanismina EU-komission hyväksymiä mallisopimuslausekkeita, jotka löydät tästä

8. Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit

Rekisterinpitäjä käsittelee henkilötietoja sopimussuhteen voimassaolon ajan. Sopimussuhteen päätyttyä rekisterinpitäjä poistaa tai anonymisoi tiedot pääsääntöisesti noin 10 vuoden kuluttua noudattamiensa poistoprosessien mukaisesti.

Potentiaalisten asiakkaiden henkilötietoja rekisterinpitäjä käsittelee pääsääntöisesti noin vuoden ajan laskettuna siitä, kun rekisteröity viimeksi aktiivisella toimenpiteellään on osoittanut kiinnostusta rekisterinpitäjän tuotteita tai palveluja kohtaan, tai kun henkilötietoja on viimeksi käsitelty.

Rekisterinpitäjä voi käsitellä sopimussuhteen päätyttyä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti.

Rekisterinpitäjällä voi olla velvollisuus käsitellä joitakin rekisteriin kuuluvia henkilötietoja yllä todettua pitempään lainsäädännön tai viranomaisvaatimusten, kuten vakavaraisuuslaskentaa koskevan sääntelyn, noudattamiseksi.

9. Henkilötietojen lähteet ja päivittäminen

Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, esimerkiksi OPn verkkopalveluissa.

Henkilötietoja voidaan kerätä ja päivittää lain sallimissa puitteissa myös kolmansien osapuolten rekistereistä, kuten:

  • Väestörekisterikeskuksesta
  • muiden viranomaisten pitämistä rekistereistä
  • luottotietorekisterinpitäjiltä
  • poliittisen vaikutusvallan ja rekisterinpitäjän noudattamien kansainvälisten pakotteiden piiriin kuulumisen selvittämiseksi tarpeelliset tiedot tällaisia tietokantoja ylläpitäviltä tahoilta
  • muista OP Ryhmän yhteisöjen asiakasrekistereistä

10. Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista.

Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.

Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.

Tietosuoja-asetuksen soveltamisen alettua rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa tietosuoja-asetukseen perustuen.

Kaikki tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle.

Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.

11. Oikeus peruuttaa suostumus

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja suostumuksen perusteella, rekisteröidyllä on oikeus peruuttaa suostumuksensa. Suostumuksen peruuttaminen ei vaikuta ennen sen peruuttamista suoritetun suostumusperusteisen käsittelyn lainmukaisuuteen. Suostumuksen peruuttaminen voi kuitenkin vaikuttaa palvelun käytettävyyteen ja toiminnallisuuksiin tai johtaa sopimusmuutoksiin.

12. Miten rekisterin suojaus on järjestetty

Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.

Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:

  • laitteistojen ja tiedostojen suojaus
  • kulunvalvonta
  • käyttäjien tunnistus
  • käyttövaltuudet
  • käyttötapahtumien rekisteröinti
  • käsittelyn ohjeistus ja valvonta

Rekisterinpitäjä edellyttää myös alihankkijoiltaan ja muilta yhteistyökumppaneiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.