OP Företagsbanken Abp:s kundregister

Uppdaterat: 17.12.2023

Dataskyddsbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, dvs. den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

OP Företagsbanken Abp
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1 00510, Helsingfors
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 0100 0500
E-postadress: dataskydd@op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: dataskydd@op.fi

4. Registrets namn

OP Företagsbanken Abp:s kundregister

Registrerade i kundregistret är den personuppgiftsansvariges kunder och potentiella kunder. Registrerade är privatpersoner samt företags- och samfundskunders (nedan "företag") kontaktpersoner, ansvarspersoner och ägare.

5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen

5.1 Ändamål med personuppgifterna

I det här kundregistret behandlas personuppgifter huvudsakligen för att producera, tillhandahålla, leverera och utveckla den personuppgiftsansvariges tjänster, såsom konto-, finansierings- och placeringstjänster. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.

  • kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
  • produktion och utveckling av tjänster samt kvalitetskontroll
  • utveckling av affärsrörelsen
  • uppföljning och analys av användningen av tjänster samt utarbetande av kund- och användarmodeller för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna
  • opinions- och marknadsundersökningar
  • direktmarknadsföring
  • marknadsföring och inriktning av reklam
  • skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
  • identifiering av betalningsoförmåga
  • riskhantering
  • säkerställande av tjänsternas säkerhet samt förhindrande och utredning av missbruk
  • utbildningsändamål

Automatiskt beslutsfattande och profilering

Behandlingen av personuppgifter i registret omfattar för finansbolagsprodukter och -tjänster automatiskt beslutsfattande. Syftet med automatisk behandling är att förkorta behandlingstiderna och trygga objektiva beslut. Det är fråga om automatiskt beslutsfattande där beslutet är nödvändigt för att ingå eller verkställa ett avtal mellan den registrerade och den personuppgiftsansvariga.

I den personuppgiftsansvariges verksamhet ingår automatiska kreditbeslut som omfattar exempelvis kundspecifik profilering av den registrerade för att bedöma hens kreditvärdighet i syfte att fatta kreditbeslut och ingå kreditavtal. Dessutom är den registrerade föremål för profilering i syfte att identifiera betalningsoförmåga. Kravet på bedömning av kreditvärdighet och identifiering av betalningsoförmåga baserar sig på lagstiftning. 

Som stöd för det automatiska kreditbeslutet används uppgifter som beskriver kreditsökandens betalningsförmåga, såsom uppgifter om den kredit som söks, uppgifter som kreditsökanden själv lämnat under kreditansökningsprocessen, uppgifter från Suomen Asiakastieto Oy:s förfrågningssystem och OP Gruppens interna betalningshistorik- och kredituppgifter. Dessutom utnyttjas vid beslutsfattandet bland annat adressuppgifter som fås från befolkningsregistret och uppgifter om företagskopplingar som fås från handelsregistret.

Behandlingen av personuppgifter i registret omfattar också profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper. 

För den registrerade är följderna av automatisk behandling och profilering att kreditansökan antingen automatiskt godkänns eller avslås. En följd av den automatiska behandlingen och profileringen kan också vara att avtalsvillkor fastställs, till exempel krediträntan. Systemet kan också överföra ärendet direkt till en medarbetare för bedömning. Då är det en fysisk person som behandlar ansökan och fattar beslutet. Uppföljningen av betalningsförmågan och klassificeringarna i anslutning till den är nödvändig profilering med tanke på affärsrörelsen. Ett negativt kreditbeslut kan bero på exempelvis otillräcklig betalningsförmåga, en betalningsanmärkning, en offentlig betalningsstörning hos ett företag som den sökande har kopplingar till, att den sökande är under 21 år gammal, beloppet av andra krediter eller att lån som beviljats tidigare, avbetalningsavtal eller andra avtalsförpliktelser har skötts bristfälligt. Om de angivna kraven inte innebär hinder för att bevilja kredit, kan det göras en kreditklassificering som mäter sökandens betalningsförmåga och som det sökta kreditbeloppet proportioneras efter vid beslutsfattandet. Utöver de uppgifter som lämnats under kreditansökningsprocessen, kan vid beslutsfattandet beaktas bland annat uppgifterna om den sökta krediten, sökandens unga ålder och betalningsdröjsmål.

Den metod som används vid kreditbeslut bedöms och uppföljs regelbundet för att säkerställa dess tillförlitlighet. Den registrerade kan begära att ärendet omprövas vid en manuell behandling, om beslutet har baserat sig på automatiskt beslutsfattande.

Allmän information om det automatiska beslutsfattandet och profileringen finns i dataskyddsklausulen på adressen op.fi/dataskydd.

Förebyggande av brottslighet

Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism.

Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen finns i regel i villkoren för en produkt eller tjänst.

Den personuppgiftsansvarige kan behandla personuppgifter i anslutning till brott eller misstänkta brott som direkt riktar sig mot den kreditinstitutsverksamhet som den personuppgiftsansvarige bedriver, om det är nödvändigt för att förhindra och reda ut sådana brott.

5.2 Rättsliga grunder för behandlingen

Personuppgifter behandlas i registret på flera olika rättsliga grunder, som exemplifieras nedan.

1. Avtalsförhållande eller åtgärder innan avtal ingås, såsom

a. Etablering av kundrelation
b. Behandling av personuppgifter vid verkställighet av avtal

2. Lagstadgad skyldighet, såsom

a. Lagstiftning som berör förhindrande av penningtvätt och av finansiering av terrorism
b. Branschspecifik lagstiftning, såsom kreditinstitutslagen (610/2014)
c. Lag om borgen och tredjemanspant (361/1999)
d. Annan lagstadgad behandling av personuppgifter, såsom samarbete med polismyndigheter eller skatteförvaltningen samt skyldigheter som föranleds av myndighetsrapportering

3. Samtycke

a. Elektronisk direktmarknadsföring och utlämning av vissa uppgifter till den personuppgiftsansvariges samarbetspartner kan basera sig på den registrerades samtycke

4. Berättigade intressen

a. Etablering av en potentiell kundrelation och erbjudande av tjänster till potentiella kunder kan basera sig på ett berättigat intresse. 
b. Direktmarknadsföring och utveckling av affärsrörelsen kan basera sig på den personuppgiftsansvariges berättigade intresse. 
c. Utlämning av uppgifter inom OP Gruppen kan basera sig på ett berättigat intresse. 

Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska också se till att en sådan behandling är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar.

6. Kategorier av personuppgifter

Typiska kategorier av personuppgifter eller personuppgifter som behandlas för de registrerade beskrivs nedan. Det datainnehåll som behandlas beror bl.a. på om det är fråga om uppgifter som gäller en privatperson eller en person som handlar för ett företag.

Kategori av personuppgifter Exempel på kategorins datainnehåll
Grunddata Den registrerades namn, personbeteckning/FO-nummer, den registrerades postadress, telefonnummer, e-postadress 
Namnuppgifter och kontaktinformation om företagskunders kontaktpersoner, ansvarspersoner och ägare samt information om ifrågavarande persons koppling till samfundet
Uppgifter om kundkännedom Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning
Uppgifter om kundrelationen Uppgifter som specificerar och klassificerar kundrelationen, såsom skattekod, medborgarskap, betjäningsspråk, yrke eller ställning
Samtycken Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade
Avtals- och produktuppgifter Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade
Uppgifter om produkter och tjänster som den registrerade har förvärvat
Uppgifter om kundtransaktioner Uppgifter och transaktioner i anslutning till skötseln av kundrelationen
Bakgrundsuppgifter Exempelvis uppgifter om den registrerades livssituation och finansiella ställning, erfarenhet och kunskaper
Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem.
Inspelningar och innehåll i meddelanden Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal
Tekniska identifieringsuppgifter Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter

7. Mottagare och kategorier av mottagare av personuppgifter

Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter. Dessutom kan personuppgifter lämnas ut bland annat till:

  • myndigheter, såsom Finansinspektionen, Europeiska centralbanken och skatteförvaltningen i Finland, i lagstadgade fall. Till skatteförvaltningen sänds årsanmälningar över den personuppgiftsansvariges kunder.
  • marknadsparter, såsom Finlands Värdepapperscentral
  • kreditupplysningsregisteransvariga, såsom Suomen Asiakastieto Oy för uppföljning av betalningsanmärkningar
  • instanser, till vilka den personuppgiftsansvarige har rätt att överföra eller pantsätta finansieringsavtal eller skuldebrev 
  • instanser som fungerar som borgensmän/garanter i samband med finansierings- och/eller säkerhetsarrangemang
  • Europeiska centralbanken, Finlands Bank och eurosystemets övriga centralbanker, Europeiska investeringsbanken, Nordiska Investeringsbanken, Finnvera Abp, Europeiska investeringsfonden eller motsvarande instanser i samband med finansierings- och/eller säkerhetsarrangemang

Den personuppgiftsansvarige kan lämna ut sådana uppgifter som avses i lagen om ett övervakningssystem för bank- och betalkonton till myndigheter som enligt lagen är behöriga, så som polisen, utsökningsmyndigheten och Tullen. Tullen svarar för att förmedla sådana uppgifter till de behöriga myndigheterna. Den registrerade ska ställa frågorna om övervakningssystem för bank- och betalkonton till Tullen.

Till säljaraffärer som är samarbetspartner med den personuppgiftsansvarige kan utlämnas personuppgifter om registrerade som säljaraffären har förmedlat till OP Företagsbanken Abp i egenskap av ombud för den.

8. Överföring av personuppgifter

Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och Europeiska kommissionens standardavtalsklausuler i OPs webbsida: op.fi/dataskydd.

En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bl.a. datatekniska och övriga stödtjänster för den personuppgiftsansvarige.

Den personuppgiftsansvarige anlitar säljaraffärer som ombud vid mottagningen av finansieringsansökningar, kundidentifieringen och finansieringsdokumentationen.

9. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Personuppgifter behandlas under kundrelationens och avtalsförhållandets giltighetstid. De behandlas också efter kundrelationens och avtalsförhållandets slut så länge som det i respektive fall anses nödvändigt och som nedan har konstaterats.

Avtalsuppgifterna raderas cirka tio år efter det att avtalet har upphört. Uppgifterna om kundrelationen, till exempel uppgifterna om kundkännedom, raderas eller anonymiseras cirka tio år efter det att det sista avtalet har upphört. Uppgifterna raderas i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.

Uppgifterna om potentiella kunder lagras så länge som det är nödvändigt för att etablera en eventuell kundrelation. 

Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag. 

Den personuppgiftsansvarige kan vara skyldig att behandla vissa personuppgifter i registret under en längre period än den ovan nämnda för att iaktta lagstiftning eller myndighetskrav, såsom bestämmelserna om kapitaltäckningsanalysen.

10. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade samt beroende på fall av det samfund för vars räkning den registrerade handlar. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster. Personuppgifter kan inom de ramar som lagen tillåter också inhämtas av andra företag i OP Gruppen, till exempel i riskhanterings- och marknadsföringssyfte.

Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras från tredje parters register, såsom:

  • Myndigheten för digitalisering och befolkningsdata
  • andra myndighetsregister, såsom Trafi, handelsregistret och stiftelseregistret, Officiella tidningen, lagfarts- och inteckningsregistret
  • kreditupplysningsregisteransvariga
  • finanssektorns kundstörningsregister
  • instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar

11. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats. 

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter.

Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

12. Rätt att återkalla samtycke

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.

13. Hur registret är skyddat

Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.

Den personuppgiftsansvarige har skyddat uppgifterna på ett tillbörligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.