Dataskyddsbeskrivning
1. Allmänt
Med den här dataskyddsbeskrivningen ges den information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella lagstiftningen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
OP Kapitalförvaltning Ab
Postadress: PB 1068, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510, HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 010 253 0022
E-postadress: dataskydd@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi
4. Registrets namn
OP Kapitalförvaltning Ab:s kundregister
I registret behandlas personuppgifter om OP Kapitalförvaltning Ab:s potentiella kunder och kunder. De registrerade är privatpersoner och samfund.
5. Ändamålen med behandlingen av personuppgifter och rättslig grund för behandlingen
Ändamål med personuppgifterna
- kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
- produktion och utveckling av tjänster samt kvalitetskontroll
- utveckling av affärsrörelsen
- uppföljning och analys av användningen av produkter och tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna och produkterna
- opinions- och marknadsundersökningar
- direktmarknadsföring
- marknadsföring och inriktning av reklam
- skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
- riskhantering
- säkerställning av tjänsternas säkerhet och utredning av missbruk
- utbildningsändamål
Behandlingen av personuppgifter i registret omfattar profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper. Ytterligare information om profileringen finns i dataskyddsklausulen på adressen op.fi/dataskydd. Profilering i det här registret är till exempel bedömningen av en placeringsrådgivningskunds risktolerans och bildandet av en lämplig målmarknad för en kund på basis av placerarprofilen. En personuppgiftsansvarig som tillhandhåller placeringsrådgivningstjänster har en lagstadgad skyldighet att utföra en sådan bedömning.
Uppgifterna om kundkännedom och övriga personuppgifter om den registrerade kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism samt för att inleda undersökning av penningtvätt och finansiering av terrorism samt av brott genom vilket egendom eller brottslig vinning som är föremål för penningtvätt eller finansiering av terrorism har erhållits.
Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen får du i regel i villkoren för den produkt eller tjänst du förvärvar.
Rättsliga grunder för behandlingen
Personuppgifter behandlas i registret på flera olika rättsliga grunder.
En allmän grund för behandling av personuppgifter är ett avtalsförhållande mellan den personuppgiftsansvarige och den registrerade eller att åtgärder utförs på en persons begäran innan ett avtal ingås, till exempel att en offertbegäran besvaras.
Den personuppgiftsansvarige behandlar också personuppgifter för att iaktta lagstadgade skyldigheter, såsom regelverket MiFID II/MiFIR, som gäller branschen, och bestämmelserna om förhindrande av penningtvätt och finansiering av terrorism.
Behandlingen av personuppgifter kan dessutom basera sig på samtycke av den registrerade, såsom samtycke till elektronisk direktmarknadsföring, eller på den personuppgiftsansvariges berättigade intressen. Baserat på berättigade intressen kan personuppgifter användas till exempel för marknadsföring och utveckling av affärsrörelsen, utöver av den personuppgiftsansvarige också av vissa andra företag i OP Gruppen. Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade.
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Den registrerades namn Den registrerades adress, telefonnummer, e-postadress Den registrerades skattestatus Privatperson: personbeteckning, födelseort, hemort, medborgarskap, uppgift/yrke, utbildning, rättskapacitet Samfund: identifieringsuppgifter om personer som agerar för samfundets räkning samt om kopplingen till samfundet |
| Uppgifter om kundkännedom | Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning |
| Uppgifter om kundrelationen | Uppgifter som specificerar och klassificerar kundrelationen, såsom uppgifter om placerarprofilen |
| Samtycken | Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade |
| Avtals- och produktuppgifter | Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade Uppgifter om produkter och tjänster som den registrerade har förvärvat |
| Uppgifter om kundtransaktioner | Uppgifter och transaktioner i anslutning till skötseln av kundrelationen |
| Bakgrundsuppgifter | Exempelvis uppgifter om den registrerades livssituation och finansiella ställning |
| Intressen | Uppgifter om vad den registrerade är intresserad av |
| Inspelningar och innehåll i meddelanden | Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal och e-postmeddelanden |
7. Mottagare och kategorier av mottagare av personuppgifter
Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter. Inom gruppen lämnas uppgifter ut bl.a. till det företag som sköter värdepappersförvaringen.
Dessutom kan personuppgifter i lagstadgade fall lämnas ut till myndigheter, såsom Finansinspektionen och skatteförvaltningen i Finland. Till skatteförvaltningen sänds bland annat årsanmälningar över den personuppgiftsansvariges kunder.
8. Överföring av personuppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter överförs begränsat utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter.
En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bl.a. datatekniska och övriga stödtjänster för den personuppgiftsansvarige.
9. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Personuppgifter behandlas under avtalsförhållandets giltighetstid. Då avtalsförhållandet har löpt ut raderas eller anonymiseras uppgifterna efter 10 år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar. Personuppgifterna om potentiella kunder raderas eller anonymiseras cirka 5 år efter den senaste kontakten.
Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.
10. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in av den registrerade. Uppgifter kan samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster. Personuppgifter kan också inhämtas av andra företag i OP Gruppen inom de gränser som lagstiftningen tillåter.
Dessutom kan personuppgifter inom de ramar som lagen tillåter samlas in och uppdateras från tredje parters register, såsom Befolkningsregistercentralen, handelsregistret och andra myndigheters register samt kreditupplysningsregisteransvariga.
Uppgifter som behövs för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar kan inhämtas från tredje parter som upprätthåller sådana databaser.
11. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektronisk format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.
Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
12. Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.
13. Hur registret är skyddat
Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstransaktioner
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.