OP Tunnistuksen välityspalvelun asiakasrekisteri

Tietosuojaseloste

1. Yleistä

Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle eli rekisterinpitäjän asiakkaalle ja toisaalta valvovalle viranomaiselle.

2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

OP Ryhmän osuuspankit ja OP Yrityspankki Oyj yhdessä

Postiosoite: PL 308, 00013 OP
Käyntiosoite: Gebhardinaukio 1, 00510 HELSINKI
Rekisterinpitäjän yhteyshenkilö: OP Ryhmän Tietosuojatiimi
Puhelinnumero: 0100 0500
Sähköpostiosoite: tietosuoja@op.fi

3. Tietosuojavastaavan yhteystiedot

OP Ryhmän tietosuojavastaava
OP Ryhmä
Postiosoite: PL 308, 00013 OP
Sähköpostiosoite: tietosuoja@op.fi

4. Rekisterin nimi

OP Tunnistuksen välityspalvelun asiakasrekisteri.

Rekisteri on OP Ryhmän pankkien yhteinen ja kukin rekisterinpitäjä vastaa sen piirissä suoritettavasta henkilötietojen käsittelystä täysimääräisesti.

Rekisterin rekisteröityjä ovat osuuspankkien ja OP Yrityspankin tunnistuksen välityspalvelun asiakkaiden ja potentiaalisten asiakkaiden puolesta toimivat henkilöt. Asiakkaita ovat yhteisöt, kuten kauppiaat.

Lisäksi rekisteröityjä ovat tunnistusvälityspalvelun käyttäjät, jotka ovat yksityishenkilöitä. Nämä henkilöt siirtyvät asiointipalvelusta tunnistusvälityspalvelun kautta tunnistautumaan tunnistusvälineen liikkeellelaskijan palveluun (esim. pankki tai teleoperaattori), ja heidän tunnistetietonsa välitetään takaisin asiointipalveluun.

5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste

Käsittelyn tarkoitukset

Rekisterinpitäjä käsittelee rekisteriin kuuluvia henkilötietoja lain vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (L 617/2009, myöhempine muutoksineen, jäljempänä myös tunnistuslaki) määrittelemän tunnistusvälityspalvelun tuottamiseksi, tarjoamiseksi ja toimittamiseksi.

Käsittelyssä noudatetaan myös Viestintäviraston Määräystä 72/2016 sähköisistä tunnistus- ja luottamuspalveluista sekä suosituksen 216/2017 S Tunnistuspalveluiden luottamusverkoston käytännesäännöt liitettä Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa.

Yhteisöasiakkaiden puolesta toimivien henkilötietojen käyttötarkoituksiin kuuluvat:

  • asiakaspalvelu sekä asiakassuhteen hoito ja kehittäminen, mukaan lukien asiakasviestintä
  • palvelujen tuottaminen, tarjoaminen ja toimittaminen sekä kehittäminen ja laadunvarmistus
  • liiketoiminnan kehittäminen
  • mielipide- ja markkinatutkimukset
  • suoramarkkinointi
  • markkinoinnin ja mainonnan kohdentaminen
  • lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen
  • riskienhallinta
  • palvelujen turvallisuuden varmistaminen ja väärinkäytösten selvittäminen
  • koulutustarkoitukset

Henkilöasiakkaiden eli palvelun käyttäjien henkilötietojen käyttötarkoituksiin kuuluvat:

  • palvelujen tuottaminen, tarjoaminen ja toimittaminen sekä kehittäminen ja laadunvarmistus
  • lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen
  • palvelujen turvallisuuden varmistaminen ja väärinkäytösten selvittämine

Rahanpesun ja terrorismin rahoittamisen estäminen sekä pakoteseuranta

Yhteisöasiakkaiden puolesta toimivia henkilöitä koskevia asiakkaan tuntemistietoja ja muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä muihin lain rahanpesun ja terrorismin rahoittamisen estämisestä mukaisiin tarkoituksiin. Näitä toimenpiteitä rekisterinpitäjä suorittaa huolellisena toimijana oikeutettuun etuun perustuen.

Yhteisöasiakkaiden puolesta toimivien henkilöiden tietoja voidaan käyttää sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena. Lisätietoa pakotteiden noudattamisesta OP Ryhmässä löytyy pääsääntöisesti hankitun tuotteen tai palvelun ehdoista.

Käsittelyn oikeusperusteet

Alla on kuvattu rekisterin käyttämät henkilötietojen käsittelyn oikeusperusteet sekä esimerkkejä kullakin perusteella suoritettavasta käsittelystä

Oikeusperuste Esimerkki
Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet Sopimukseen tai sen tekemiseen perustuvat toimenpiteet:

Yhteisöasiakkaiden puolesta toimivien henkilöiden tietojen käsittely rekisterissä perustuu pääasiassa sopimukseen

Tunnistusvälityspalvelun yksityishenkilökäyttäjän henkilötietojen käsittelyperuste on toimeksianto. Tunnistusvälitystoiminnassa rekisterinpitäjä toimittaa tunnistustapahtumaan liittyen loppukäyttäjän henkilötietoja tunnistusvälityspalvelua ostavalle yhteisöasiakkaalle
Lakisääteinen velvoite Yksityishenkilöiden (kuluttaja-asiakkaat) tietojen käsittely rekisterissä perustuu osin lakisääteisiin velvoitteisiin (tunnistuslaki sekä Viestintäviraston antama alemman asteinen sääntely).

Rekisterin piirissä suoritettava pakoteseuranta perustuu osin lakiin.
Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut Oikeutettuun etuun voivat perustua seuraavat yhteisöasiakkaiden puolesta toimivia henkilöitä koskevat toiminnot:
 
  • asiakkaan tuntemistietojen käsittely lain rahanpesun ja terrorismin rahoittamisen estämisen mukaisiin tarkoituksiin
  • kansainvälisten pakotteiden seuranta
  • tietojen luovuttaminen muihin OP Ryhmän yhteisöjen henkilörekistereihin
Rekisterinpitäjä huolehtii siitä, että tällä perusteella suoritettava käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa hänen kohtuullisia odotuksiaan.

 

6. Henkilötietoryhmät

Henkilötietoryhmä Ryhmän tietosisältö
Perustiedot Yhteisöasiakkaiden puolesta toimivat henkilöt:

Rekisteröidyn nimi, sähköpostiosoite, puhelinnumero, osoite, postinumero ja postitoimipaikka, henkilötunnus, kansalaisuus, tieto henkilön yhteydestä yhteisöön tai asemasta yhteisössä

Tunnistusvälityspalvelun käyttäjät:

Rekisteröidyn nimi, henkilötunnus, tunnistuspalvelu jossa käyttäjä tunnistautui, asiointipalvelu jota varten käyttäjä tunnistautui, tunnistustapahtuman aikaleima, IP-osoite sekä joukko muita tunnistustapahtumaan liittyviä teknisiä tietoja, jotka tarvitaan tunnistustapahtuman todentamiseksi myöhemmin.
Tuntemistiedot Yhteisöasiakkaiden puolesta toimivat henkilöt:

Asiakkaan tuntemistiedot, kuten asiakkaan tunnistamiseksi sekä taloudellisen aseman ja poliittisen vaikutusvallan selvittämiseksi tarpeelliset tiedot.
Asiakastapahtumatiedot Asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat.
Käyttäytymistiedot (ml. evästeillä ja muilla vastaavilla teknologioilla kerätyt tiedot) Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite- ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä.
Tallenteet ja viestien sisältö Erimuotoiset tallenteet ja viestit, joissa rekisteröity on osapuolena, esimerkiksi puhelutallenteet.
Tekniset tunnistamistiedot Laitteen tai sovelluksen määrittämä tunniste, jonka avulla laitteen tai sovelluksen käyttäjä on tunnistettavissa käyttämällä tarvittaessa lisätietoja.

7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät

Tietojen luovutuksensaajat

Yhteisöasiakkaiden puolesta toimivat henkilöt

Kerättyjä henkilötietoja voidaan luovuttaa OP Ryhmän sisällä lainsäädännön sallimissa puitteissa. Lisäksi henkilötietoja voidaan luovuttaa muun muassa viranomaisille, kuten poliisi, lakisääteisissä tapauksissa.

Tunnistusvälityspalvelun käyttäjät

Tunnistusvälineen liikkeellelaskijalta (pankki, teleoperaattori) saadut tunnistusvälityspalvelun käyttäjän henkilötiedot luovutetaan sille asiointipalvelulle, jota varten loppukäyttäjä tunnistautuu. Lisäksi tietoja voidaan luovuttaa viranomaisille lakisääteisissä tapauksissa.

Tietojen siirto alihankkijoille

Rekisterinpitäjä käyttää alihankkijoita, jotka käsittelevät henkilötietoja sen lukuun. Alihankkijat tuottavat rekisterinpitäjälle mm. tietoteknisiä palveluja. Osa käytetyistä alihankkijoista on muita OP Ryhmän yhteisöjä.

Kansainväliset tiedonsiirrot

Rekisterinpitäjä käyttää alihankkijoita tietojen käsittelyssä, ja yhteisöasiakkaiden puolesta toimivien henkilöiden tietoja siirretään rajatusti EU:n / ETA:n ulkopuolelle.

Tietojen siirto EU:n / ETA:n ulkopuolelle tapahtuu käyttäen tietosuojalainsäädännön mukaisia mallisopimuslausekkeita tai muuta lainsäädännössä sallittua siirtomekanismia, jolla taataan asianmukainen henkilötietojen suoja. Rekisterinpitäjä käyttää eräänä siirtomekanismina EU-komission hyväksymiä mallisopimuslausekkeita, jotka löydät osoitteesta:

https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

8. Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit

Yhteisöjen puolesta toimivien henkilöiden tietoja käsitellään sopimussuhteen voimassaolon ajan. Sopimussuhteen päätyttyä tiedot poistetaan tai anonymisoidaan noin seitsemän vuoden kuluttua rekisterinpitäjän noudattamien poistoprosessien mukaisesti. Potentiaalisten asiakkaiden tiedot poistetaan noin kuuden kuukauden kuluttua tapahtuman tai yhteydenoton jälkeen tai heti, kun potentiaalinen asiakas haluaa.

Rekisterinpitäjä voi käsitellä sopimussuhteen päätyttyä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti.

Tunnistusvälityspalvelun käyttäjän henkilötiedot säilytetään 5 vuoden ajan tunnistustapahtumasta, minkä jälkeen ne automaattisesti poistetaan.

9. Henkilötietojen lähteet ja päivittäminen

Yhteisöasiakkaiden puolesta toimivat henkilöt

Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, kuten verkkopalvelut.

Henkilötietoja voidaan kerätä ja päivittää lain sallimissa puitteissa myös kolmansien osapuolten rekistereistä, kuten:

  • kaupparekisteristä
  • muiden viranomaisten (esim. ulosotto) pitämistä rekistereistä
  • Muista OP Ryhmän yhteisöjen asiakasrekistereistä
  • rekisterinpitäjän noudattamien kansainvälisten pakotteiden piiriin kuulumisen sekä poliittisen vaikutusvaltaisuuden selvittämiseksi tarpeelliset tiedot tällaisia tietokantoja ylläpitäviltä tahoilta

Tunnistusvälityspalvelun käyttäjät

Asiointipalvelulle välitettävät tunnistusvälityspalvelun käyttäjän henkilötiedot haetaan aina tunnistusvälineen liikkeellelaskijalta (pankit ja teleoperaattorit).

10. Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista.

Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.

Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.

Rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa tietosuoja-asetukseen perustuen.

Tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle. Kuitenkin, koska tunnistustapahtuman yhteydessä välitettävät tunnistusvälityspalvelun käyttäjän henkilötiedot ovat peräisin tunnistusvälineen liikkeellelaskijan asiakasrekisteristä ja sillä on velvollisuus tarkastaa tiedot Väestötietojärjestelmästä, tältä osin virheistä henkilötiedoissa ja oikaisut tulisi ilmoittaa ensisijaisesti liikkeellelaskijan asiakaspalveluun ja/tai Väestötietojärjestelmään.

Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.

11. Miten rekisterin suojaus on järjestetty

Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.

Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:

  • laitteistojen ja tiedostojen suojaus
  • kulunvalvonta
  • käyttäjien tunnistus
  • käyttövaltuudet
  • käyttötapahtumien rekisteröinti
  • käsittelyn ohjeistus ja valvonta

Rekisterinpitäjä edellyttää myös alihankkijoiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.

12 .Tunnistusperiaatteet

Tunnistuksen välityspalvelun tunnistusperiaatteet ovat nähtävillä op.fi:ssa.