Dataskyddsbeskrivning
1. Allmänt
Med den här dataskyddsbeskrivningen ges den information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella lagstiftningen, å ena sidan till den registrerade, det vill säga den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktuppgifter
OP Kapitalförvaltning Ab
Postadress: PB 1068, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefonnummer: 0100 0500
E-postadress: tietosuoja@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi
4. Registrets namn
OP Kapitalförvaltning Ab:s kundregister
Registrerade i kundregistret är den personuppgiftsansvariges kunder och potentiella kunder. Registrerade är privatpersoner samt företags- och samfundskunders (nedan "företag") kontaktpersoner, ansvarspersoner och ägare.
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
Ändamål med personuppgifterna
I det här kundregistret behandlas personuppgifter huvudsakligen för att producera, tillhandahålla, leverera och utveckla den personuppgiftsansvariges individuella kapitalförvaltningstjänster. Ändamålen kan indelas i följande helheter:
- kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
- produktion och utveckling av tjänster samt kvalitetskontroll
- utveckling av affärsrörelsen
- uppföljning och analys av användningen av produkter och tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna och produkterna
- opinions- och marknadsundersökningar
- direktmarknadsföring
- marknadsföring och inriktning av reklam
- skötsel av skyldigheter som baserar sig på lag eller på myndigheternas föreskrifter och anvisningar
- konstaterande av fallissemang
- riskhantering
- säkerställande av tjänsternas säkerhet och utredning av missbruk
- utbildningsändamål
Profilering
Behandlingen av personuppgifter i registret kan omfatta profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper. Mer information om profilering hittar du på op.fi/dataskydd. Profilering i det här registret är till exempel bedömningen av en placeringsrådgivningskunds risktolerans och bildandet av en lämplig målmarknad för en kund på basis av placerarprofilen. En personuppgiftsansvarig som tillhandhåller placeringsrådgivningstjänster har en lagstadgad skyldighet att utföra en sådan bedömning.
Förebyggande av brottslighet
Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism. Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Mer information om iakttagandet av sanktioner i OP Gruppen får du i regel i villkoren för den produkt eller tjänst du förvärvar.
Rättsliga grunder för behandlingen
Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.
| Rättslig Grund | Exempel |
|---|---|
| Avtalsförhållande eller åtgärder innan avtal ingås | Åtgärder som baserar sig på ett avtal, såsom ett konto-, kredit- eller placeringstjänstavtal, eller ingåendet av ett avtal |
| Lagstadgad skyldighet |
Behandling till exempel för att iaktta regelverket MiFID II/MiFIR som gäller branschen och bestämmelserna om förhindrande av penningtvätt och finansiering av terrorism. Annan lagstadgad behandling av personuppgifter, såsom samarbete med polismyndigheter eller skatteförvaltningen samt skyldigheter som föranleds av myndighetsrapportering. |
| Den personuppgiftsansvariges eller en tredje parts berättigade intressen |
Utgående från berättigade intressen kan personuppgifterna behandlas till exempel för utveckling av marknadsföringen och affärsverksamheten. Utlämnande av uppgifterna inom OP Gruppen och etablering av en potentiell kundrelation och erbjudande av tjänster till potentiella kunder kan basera sig på ett berättigat intresse. Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kundrelation eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska också se till att en sådan behandling är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar. |
| Samtycke | Direktmarknadsföring via en elektronisk kanal baserar sig vanligen på den registrerades samtycke. |
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Exempel på Kategorins datainnehåll |
|---|---|
| Grunduppgifter |
Den registrerades namn Privatperson: personbeteckning, födelseort, hemort, medborgarskap, uppgift/yrke, utbildning, rättskapacitet Samfund: identifieringsuppgifter om personer som agerar för samfundets räkning samt om kopplingen till samfundet |
| Uppgifter om kundkännedom | Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning |
| Uppgifter om kundrelationen | Uppgifter som specificerar och klassificerar kundrelationen, såsom uppgifter om placerarprofilen |
| Samtycken | Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade |
| Avtals- och produktuppgifter | Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade Uppgifter om produkter och tjänster som den registrerade har förvärvat |
| Uppgifter om kundtransaktioner | Uppgifter och transaktioner i anslutning till skötseln av kundrelationen |
| Bakgrundsuppgifter | Exempelvis uppgifter om den registrerades livssituation och finansiella ställning |
| Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) | Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med kakor. Uppgifter kan samlas in exempelvis om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller kakidentifikatorer, kanal, såsom applikation, webbläsare eller mobil webbläsare, webbläsarversion, IP-adress, sessionskod, sessionens tid och längd samt skärmresolution och operativsystem. |
| Intressen | Uppgifter om vad den registrerade är intresserad av |
| Inspelningar och innehåll i meddelanden | Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal och e-postmeddelanden |
| Tekniska identifieringsuppgifter | Identifierare som anges av en enhet eller applikation och med vilken användaren av enheten eller applikationen kan identifieras genom kompletterande uppgifter vid behov |
7. Mottagare och kategorier av mottagare av personuppgifter
Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter. Inom gruppen lämnas uppgifter ut bl.a. till det företag som sköter värdepappersförvaringen.
Dessutom kan personuppgifter i lagstadgade fall lämnas ut till myndigheter, såsom Finansinspektionen och skatteförvaltningen i Finland. Till skatteförvaltningen sänds bland annat årsanmälningar över den personuppgiftsansvariges kunder.
8. Överföring av personuppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Mer information om internationella överföringar av personuppgifter och standardavtalsklausuler på OP:s webbplats: op.fi/dataskydd.
En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bland annat datatekniska och övriga stödtjänster för den personuppgiftsansvarige.
9. Förvaringsperiod för personuppgifter eller kriterier för att fastställa förvaringsperioden
Personuppgifter behandlas under avtalsförhållandets giltighetstid. Då avtalsförhållandet har löpt ut raderas eller anonymiseras uppgifterna efter 10 år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar. Personuppgifter om potentiella kunder raderas eller anonymiseras i regel cirka ett år (1) från det att den registrerade senast genom en aktiv åtgärd har visat intresse för den personuppgiftsansvariges produkter eller tjänster eller från det att personuppgifterna senast har behandlats.
Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.
10. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in från den registrerade själv. Uppgifter kan samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster. Personuppgifter kan också inhämtas av andra företag i OP Gruppen inom de gränser som lagstiftningen tillåter.
Dessutom kan personuppgifter inom de ramar som lagen tillåter samlas in och uppdateras från tredje parters register, såsom Myndigheten för digitalisering och befolkningsdata, handelsregistret och andra myndigheters register samt kreditupplysningsregisteransvariga.
Uppgifter som behövs för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar kan inhämtas från tredje parter som upprätthåller sådana databaser.
11. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.
Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form utgående från dataskyddsförordningen.
Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av hens personuppgifter inte är lagenlig, har hen rätt att lämna in ett klagomål till tillsynsmyndigheten.
12. Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter utgående från samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner.
13. Hur registret är skyddat
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.