Tietosuojaseloste
Päivitetty 1.11.2022
1. Yleistä
Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle, kuten rekisterinpitäjän asiakkaalle tai henkilöstölle, ja toisaalta valvovalle viranomaiselle.
2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot
OP Vähittäisasiakkaat Oyj
Postiosoite: PL 1020, 00013 OP
Rekisterinpitäjän yhteyshenkilö: OP Ryhmän tietosuojatiimi
Puhelinnumero: 0100 0500
Sähköpostiosoite: tietosuoja(a)op.fi
3. Tietosuojavastaavan yhteystiedot
OP Ryhmän tietosuojavastaava
OP Ryhmä
Postiosoite: PL 308, 00013 OP
Sähköpostiosoite: tietosuoja(a)op.fi
4. Rekisterin nimi ja rekisteröidyt
OP Vähittäisasiakkaat Oyj:n asiakasrekisteri
Rekisteröityjä ovat OP Vähittäisasiakkaat Oyj:n henkilöasiakkaat ja potentiaaliset henkilöasiakkaat.
Asiakkuus syntyy sopimussuhteen myötä. Potentiaalinen asiakkuus syntyy tyypillisesti henkilön ilmaistua kiinnostuksensa. OP Vähittäisasiakkaat Oyj:n tuotteisiin ja palveluihin eri palvelukanavissa, esimerkiksi aloittamalla luottohakemuksen tekemisen vahvasti tunnistettuna. Palveluja tarjotaan sekä OP:n palvelukanavissa että myyjäliikeyhteistyökanavissa. Potentiaalinen asiakkuus voi syntyä myös sillä perusteella, että henkilö on jonkin muun OP Ryhmän yhteisön asiakas ja tämä yhteisö luovuttaa asiakkaan tietoja OP Vähittäisasiakkaat Oyj:n käytettäväksi markkinoinnissa.
5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperusteet
5.1 Käsittelyn tarkoitukset
OP Vähittäisasiakkaat Oyj käsittelee henkilötietoja pääasiassa kortteihin ja vakuudettomiin luottoihin liittyvien palvelujen tuottamista, tarjoamista ja toimittamista varten. Alla on tarkempaa tietoa henkilötietojen käytöstä rekisterissä.
Henkilötietojen käyttötarkoituksiin kuuluvat:
- asiakaspalvelu ja asiakassuhteen hoito, mukaan lukien asiakasviestintä
- palvelujen tuottaminen, kehittäminen ja laadunvarmistus
- liiketoiminnan kehittäminen
- asiakasluokitukset ja -mallinnukset
- palvelujen turvallisuuden varmistaminen sekä väärinkäytösten estäminen ja selvittäminen
- riskienhallinta
- palvelujen käytön seuranta ja analysointi sekä asiakkaiden segmentointi, jotta rekisterinpitäjä pystyy esimerkiksi tarjoamaan käyttäjille kohdennettuja palveluja
- lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen
- koulutustarkoitukset esimerkiksi puhelunauhoitteiden avulla
- suoramarkkinointi, mielipide- ja markkinatutkimukset, markkinoinnin ja mainonnan kohdentaminen
Automaattinen päätöksenteko ja profilointi
Kortti- ja luottotuotteiden osalta rekisterin piiriin kuuluva henkilötietojen käsittely sisältää automaattista päätöksentekoa. Automaattisella käsittelyllä pyritään nopeuttamaan käsittelyaikoja ja turvaamaan päätösten tasapuolisuus. Kyse on automaattisesta päätöksenteosta, jossa päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten. Jos tällaista päätöksentekoa sisältyy tuotteeseen tai palveluun, siitä kerrotaan tuotteen tai palvelun oston yhteydessä. Päätösprosessin ollessa täysin automaattinen rekisterinpitäjä varmistaa, että asian voi saattaa manuaalisessa prosessissa tarkastettavaksi ja päätettäväksi.
Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää myös profilointia. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa näitä tietoja käyttämällä arvioidaan tiettyjä henkilökohtaisia ominaisuuksia.
Rekisterinpitäjän toiminnassa tehdään automaattisia kortin ja luoton myöntämispäätöksiä, joihin liittyy esimerkiksi rekisteröidyn profilointia hänen luottokelpoisuutensa arvioimiseksi sekä luottopäätöksen ja sopimuksen tekemiseksi. Vaatimus luottokelpoisuuden arvioinnista tulee lainsäädännöstä. Päätöksenteossa käytettyä menetelmää arvioidaan ja seurataan säännöllisesti, jotta varmistetaan sen luotettavuus.
Automaattisen päätöksenteon tukena voidaan käyttää hakijan maksukykyä kuvaavia tietoja, kuten haettua luottoa koskevia tietoja, luotonhakijan itsensä luotonhakuprosessissa antamia tietoja, Suomen Asiakastieto Oy:n ja Digi- ja väestötietoviraston kyselyjärjestelmistä saatavia tietoja sekä OP Ryhmän sisäisiä maksuhistoria- ja luottotietoja sekä muita myöntökelpoisuuden arviointia tukevia tietoja.
Automaattisen käsittelyn ja profiloinnin seuraukset rekisteröidylle ovat haetun kortin tai luoton automaattinen hyväksyntä tai hylkääminen. Automaattisen käsittelyn ja profiloinnin seurauksena voidaan määritellä myös sopimuksen ehtoja, kuten esimerkiksi luoton korko. Järjestelmä voi myös siirtää asian asiantuntija-arviointiin lisätarkistuksia varten, jolloin hakemuksen käsittelee ja päätöksen tekee luonnollinen henkilö. Luotonhakuprosessissa annettujen tietojen lisäksi päätöksenteossa voidaan huomioida muun muassa haettua luottoa koskevat tiedot, nuori ikä ja maksuviiveet. Hakijasta voidaan muodostaa maksukykyä mittaava luokitus, jota käytetään päätöksenteossa ja johon myönnettävän luoton määrä voidaan suhteuttaa. Maksukyvyn arviointi ja siihen liittyvät luokitukset ovat toiminnan kannalta välttämätöntä profilointia. Kielteiseen luottopäätökseen voivat johtaa esimerkiksi riittämätön maksukyky, luottohäiriömerkintä, nuori ikä, luottovastuiden määrä tai aikaisemmin myönnetyn lainan takaisinmaksun laiminlyönti. Rekisteröity voi pyytää asian uudelleen arviointia manuaalisessa käsittelyssä, mikäli päätös on perustunut automaattiseen päätöksentekoon.
Yleistä tietoa automaattisesta päätöksenteosta ja profiloinnista on saatavilla tietosuojalausekkeessa osoitteessa op.fi/tietosuoja.
Rikollisuuden ehkäiseminen
Asiakkaan tuntemistietoja ja rekisteröidyn muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä muihin laissa rahanpesun ja terrorismin rahoittamisen estämisestä edellytettyihin tarkoituksiin.
Rekisteröidyn henkilötietoja voidaan käyttää sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena. Saat lisätietoa pakotteiden noudattamisesta OP Ryhmässä pääsääntöisesti hankkimasi tuotteen tai palvelun ehdoista.
Rekisterinpitäjä voi käsitellä henkilötietoja liittyen harjoittamaansa luottolaitostoimintaan välittömästi kohdistuneisiin rikoksiin tai epäiltyihin rikoksiin, jos se on välttämätöntä tällaisten rikosten estämiseksi tai selvittämiseksi.
5.2 Käsittelyn oikeusperusteet
Alla on kuvattu rekisterin käyttämät henkilötietojen käsittelyn oikeusperusteet sekä esimerkkejä kullakin perusteella suoritettavasta käsittelystä.
| Oikeusperuste | Esimerkki |
|---|---|
| Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet | Rekisterissä käsitellään henkilötietoja pääasiassa sopimukseen perustuen rekisteröidyn hankkimien palvelujen tarjoamiseksi ja toimittamiseksi. |
| Suostumus | Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot |
| Lakisääteinen velvoite | Toimialakohtainen lainsäädäntö kuten luottolaitoslaki Rahanpesun ja terrorismin rahoittamisen estämistä koskeva lainsäädäntö |
| Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut | Suoramarkkinointi, riskienhallinta, tuotteiden ja palveluiden kehittäminen Rekisterinpitäjä voi luovuttaa tietoja muihin OP Ryhmän yhteisöjen henkilörekistereihin oikeutetun edun perusteella. Useimmiten rekisterinpitäjän oikeutettu etu perustuu rekisterinpitäjän ja rekisteröidyn väliseen asiakas- tai vastaavaan suhteeseen. Rekisterinpitäjä huolehtii siitä, että tällä perusteella suoritettava käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa hänen kohtuullisia odotuksiaan. |
6. Henkilötietoryhmät
| Henkilötietoryhmä | Ryhmän tietosisältö |
|---|---|
| Perustiedot | Rekisteröidyn nimi, henkilötunnus ja yhteystiedot, kuten osoite, puhelinnumero ja sähköpostiosoite |
| Tuntemistiedot | Lainsäädännön edellyttämät tuntemistiedot, kuten asiakkaan tunnistamiseksi sekä taloudellisen aseman ja poliittisen vaikutusvallan selvittämiseksi tarpeelliset tiedot |
| Asiakkuustiedot | Asiakkuuden yksilöivät ja luokittelevat tiedot |
| Suostumukset | Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot |
| Sopimus- ja tuotetiedot | Rekisterinpitäjän ja rekisteröidyn välisten sopimusten tiedot Rekisteröidyn hankkimien tuotteiden ja palvelujen tiedot |
| Asiakastapahtumatiedot | Asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat Kortin tai luoton käyttämiseen liittyvät tapahtumatiedot |
| Taustatiedot | Rekisteröidyn elämäntilanne ja taloudellinen asema |
| Kiinnostuksen kohteet | Tiedot rekisteröidyn kiinnostuksen kohteista, esimerkiksi rekisterinpitäjän tarjoamia tuotteita kohtaan |
| Käyttäytymistiedot (ml. evästeillä ja muilla vastaavilla teknologioilla kerätyt tiedot) | Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite- ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä. |
| Tallenteet ja viestien sisältö | Erimuotoiset tallenteet ja viestit, joissa rekisteröity on osapuolena, esimerkiksi puhelutallenteet |
| Erityiset henkilötietoryhmät | Rekisterissä voidaan käsitellä tietosuoja-asetuksen 9 artiklan mukaisia henkilötietojen erityisryhmiä, kuten terveydentilaa koskevia tietoja, tiettyjä rajattuja käyttötarkoituksia varten, esimerkiksi maksujärjestelystä sopimisen yhteydessä. |
| Tekniset tunnistamistiedot | Laitteen tai sovelluksen määrittämä tunniste, jonka avulla laitteen tai sovelluksen käyttäjä on tunnistettavissa käyttämällä tarvittaessa lisätietoja |
7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät
7.1 Tietojen luovutuksensaajat
Henkilötietoja voidaan luovuttaa lain sallimissa puitteissa viranomaisille, kuten Finanssivalvonnalle ja Suomen Verohallinnolle.
Rekisterinpitäjä voi luovuttaa pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaisia tietoja lain mukaan toimivaltaisille viranomaisille, kuten poliisille, ulosottoviranomaiselle ja Tullille. Tulli vastaa lain mukaisten tietojen välittämisestä toimivaltaisille viranomaisille. Rekisteröidyn tulee ohjata pankki- ja maksutilien valvontajärjestelmää koskevat kysymykset Tullille.
Lisäksi henkilötietoja voidaan luovuttaa muun muassa:
- OP Ryhmän sisällä lainsäädännön sallimissa puitteissa
- yhteistyökumppaneille tuotteeseen mahdollisesti liittyvän kanta-asiakasyhteistyön toteuttamista tai lisäarvopalvelun toimittamista varten
- riidanratkaisuelimille eri riidanratkaisutilanteissa
- kansainvälisille korttiyhtiöille (esim. Visa ja Mastercard) korttimaksamiseen liittyvien palveluiden tuottamiseksi
- Googlelle rekisteröidyn suostumuksella, mikäli rekisteröity on ottanut Google Payn käyttöönsä
- perintäyhtiöille luoton perintää varten
- luottotietorekisterinpitäjille, kuten Suomen Asiakastieto Oy:lle, maksuhäiriöseurantaa ja -rekisteröintiä varten
Luovuttaessaan rekisteriin kuuluvia henkilötietoja rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset, ml. rekisterinpitäjään kohdistuvat salassapitovelvoitteet.
7.2. Tietojen siirto alihankkijoille
Rekisterinpitäjä käyttää alihankkijoita, jotka käsittelevät henkilötietoja sen lukuun. Rekisterinpitäjä tekee tällaisten alihankkijoiden kanssa asianmukaiset henkilötietojen käsittelyä koskevat sopimukset.
Alihankkijat tuottavat rekisterinpitäjälle mm. tietoteknisiä palveluja. Osa käytetyistä alihankkijoista on muita OP Ryhmän yhteisöjä.
7.3. Kansainväliset tiedonsiirrot
Rekisterinpitäjä käyttää alihankkijoita tietojen käsittelyssä, ja tietoja voidaan siirtää EU:n / ETA:n ulkopuolelle. EU:n / ETA:n ulkopuolelle siirrettäessä siirto tapahtuu käyttäen EU-komission mallisopimuslausekkeita tai muuta lainsäädännön sallimaa siirtomekanismia. Lisätietoja henkilötietojen kansainvälisistä siirroista sekä mallisopimuslausekkeista saat OP:n verkkosivuilta: op.fi/tietosuoja.
Osa rekisterinpitäjän käyttämistä alihankkijoista on muita OP Ryhmän yhteisöjä. Ne tuottavat rekisterinpitäjälle mm. tietoteknisiä ja muita tukipalveluja.
8. Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit
Rekisterinpitäjä käsittelee henkilötietoja sopimussuhteen voimassaolon ajan. Sopimussuhteen päätyttyä rekisterinpitäjä poistaa tai anonymisoi tiedot pääsääntöisesti noin 10 vuoden kuluttua noudattamiensa poistoprosessien mukaisesti.
Potentiaalisten asiakkaiden henkilötietoja rekisterinpitäjä käsittelee pääsääntöisesti noin vuoden ajan laskettuna siitä, kun rekisteröity viimeksi aktiivisella toimenpiteellään on osoittanut kiinnostusta rekisterinpitäjän tuotteita tai palveluja kohtaan, tai kun henkilötietoja on viimeksi käsitelty.
Rekisterinpitäjä voi käsitellä sopimussuhteen päätyttyä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti.
Rekisterinpitäjällä voi olla velvollisuus käsitellä joitakin rekisteriin kuuluvia henkilötietoja yllä todettua pitempään lainsäädännön tai viranomaisvaatimusten, kuten vakavaraisuuslaskentaa koskevan sääntelyn, noudattamiseksi.
9. Henkilötietojen lähteet ja päivittäminen
Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, esimerkiksi OP:n verkkopalveluissa.
Henkilötietoja voidaan kerätä ja päivittää lain sallimissa puitteissa myös kolmansien osapuolten rekistereistä, kuten:
- Digi- ja väestötietovirastolta
- muiden viranomaisten pitämistä rekistereistä
- luottotietorekisterinpitäjiltä
- poliittisen vaikutusvallan ja rekisterinpitäjän noudattamien kansainvälisten pakotteiden piiriin kuulumisen selvittämiseksi tarpeelliset tiedot tällaisia tietokantoja ylläpitäviltä tahoilta
- muista OP Ryhmän yhteisöjen asiakasrekistereistä
10. Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.
Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista.
Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.
Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.
Rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa.
Kaikki tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle.
Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.
11. Oikeus peruuttaa suostumus
Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja suostumuksen perusteella, rekisteröidyllä on oikeus peruuttaa suostumuksensa. Suostumuksen peruuttaminen ei vaikuta ennen sen peruuttamista suoritetun suostumusperusteisen käsittelyn lainmukaisuuteen. Suostumuksen peruuttaminen voi kuitenkin vaikuttaa palvelun käytettävyyteen ja toiminnallisuuksiin tai johtaa sopimusmuutoksiin.
12. Miten rekisterin suojaus on järjestetty
Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.
Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:
- laitteistojen ja tiedostojen suojaus
- kulunvalvonta
- käyttäjien tunnistus
- käyttövaltuudet
- käyttötapahtumien rekisteröinti
- käsittelyn ohjeistus ja valvonta
Rekisterinpitäjä edellyttää myös alihankkijoiltaan ja muilta yhteistyökumppaneiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.