OP Detaljkunden Abp:s kundregister för digitala tjänster

Uppdaterad 16.09.2022

Dataskyddsbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

OP Detaljkunden Abp
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 0100 0500
E-postadress: tietosuoja(a)op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja(a)op.fi

4. Registrets namn och registrerade

OP Detaljkunden Abp:s kundregister för digitala tjänster

Registrerade är privatpersoner och personer som agerar för samfund som ingår avtal med OP Detaljkunden Abp om digitala tjänster eller identifieringsverktyg eller som med stöd av ett avtal representerar ett kundföretag i digitala tjänster.

5. Ändamålen med behandlingen av personuppgifter och rättslig grund för behandlingen

Ändamålen med behandlingen

Skötsel av ärenden i digitala tjänster samt användning av identifieringsverktyg förutsätter behandling av personuppgifter. Den personuppgiftsansvarige behandlar personuppgifter i registret huvudsakligen för att kunna erbjuda den registrerade/det samfund som den registrerade representerar digitala tjänsteplattformar, såsom tjänsten op.fi, OP-mobilen, OP-företagsmobilen, den elektroniska underskriftstjänsten och telefontjänsten eller identifieringsverktyg som de här tjänsterna kan användas med. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.

Till ändamålen med personuppgifterna hör:

  • kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
  • produktion och utveckling av tjänster samt kvalitetskontroll
  • utveckling av affärsrörelsen
  • uppföljning och analys av användningen av tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna
  • opinions- och marknadsundersökningar
  • direktmarknadsföring
  • marknadsföring och inriktning av reklam
  • skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
  • riskhantering
  • säkerställande av tjänsternas säkerhet och utredning av missbruk

Automatiserat beslutsfattande och profilering

Behandlingen av personuppgifter i registret omfattar automatiserat beslutsfattande. Det är fråga om automatiserat beslutsfattande då ett beslut fattas helt och hållet automatiskt så att ingen människa deltar i att fatta ett enskilt beslut och då ett sådant beslut har rättsliga följder för den registrerade eller på liknande sätt i betydande grad påverkar den registrerade.

Om en produkt eller tjänst som en kund förvärvat omfattar sådant beslutsfattande, ges information om det i samband med köpet av produkten eller tjänsten. Eftersom beslutsprocessen är helt automatisk, försäkrar den personuppgiftsansvarige att den registrerade kan föra ärendet till granskning och beslut i en manuell process.

Behandlingen av personuppgifter i registret omfattar profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper.

Allmän information om det automatiserade beslutsfattandet och profileringen i OP Gruppen finns i dataskyddsklausulen på adressen op.fi/dataskydd.

Den personuppgiftsansvarige använder sig av automatiserat beslutsfattande då ett avtal om digitala tjänster ingås med en privatkund eller ett avtal om identifieringsverktyg. Det automatiserade beslutsfattandet omfattar profilering, där följande uppgifter om de registrerade används: personbeteckning, adress, uppgift om huruvida den registrerade lever, uppgift om intressebevakning och vissa sanktionslistor som offentliggjorts av myndigheter.

Sanktionsuppföljning

Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen får du i regel i villkoren för den produkt eller tjänst du förvärvar. Baserat på kontrollen av sanktionslistor försäkras att internationella sanktioner inte utgör ett hinder för en persons kundrelation eller för att agera som representant för ett samfund.

Rättsliga grunder för behandlingen

Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.

Rättslig grund Exempel
Avtalsförhållande eller åtgärder innan avtal ingås I registret behandlas personuppgifter i regel på basis av avtal för att tillhandahålla och leverera den digitala tjänst eller det digitala identifieringsverktyg som en registrerad eller ett samfund har förvärvat.
Lagstadgad skyldighet Sanktionslagstiftning

Lagen om stark autentisering och betrodda elektroniska tjänster beträffande identifieringsverktyg
Den personuppgiftsansvariges eller en tredje parts berättigade intressen Direktmarknadsföring och utveckling av affärsrörelsen baserar sig ofta på den personuppgiftsansvariges berättigade intresse. Den personuppgiftsansvariges uppföljning av internationella sanktioner baserar sig delvis på ett berättigat intresse.
Den personuppgiftsansvarige kan lämna ut uppgifter till andra personregister hos företag i OP Gruppen på basis av ett berättigat intresse.

Den personuppgiftsansvarige kan lämna ut uppgifter till andra personregister hos företag i OP Gruppen på basis av ett berättigat intresse.

Vanligen baserar sig den personuppgiftsansvariges berättigade intresse på en kund- eller motsvarande relation mellan den personuppgiftsansvarige och den registrerade. Den personuppgiftsansvarige ska se till att en behandling som utförs på den här grunden är proportionell i relation till den registrerades intressen och motsvarar den registrerades rimliga förväntningar.

6. Kategorier av personuppgifter

 
Kategori av personuppgifter Kategorins datainnehål
Grunddata

Privatkund: personbeteckning eller motsvarande utländsk beteckning och namn
Den registrerades adress
Typ av identitetshandling eller annan kontroll av identitet

Person som agerar för samfunds räkning:
Personbeteckning eller motsvarande utländsk beteckning eller födelsetid och namn
E-postadress
Telefonnummer

Uppgifter om kundrelationen Uppgifter som specificerar och klassificerar en privatkunds kundrelation
Avtals- och produktuppgifter Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade eller det samfund som den registrerade representerar
Uppgifter om kundtransaktioner Uppgifter och transaktioner i anslutning till skötseln av kundrelationen
Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem.

7. Mottagare och kategorier av mottagare av personuppgifter

Mottagare av uppgifter

Insamlade personuppgifter kan lämnas ut inom de gränser som lagstiftningen tillåter inom OP Gruppen samt till myndigheter, såsom Finansinspektionen eller Kommunikationsverket.

Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning.

Överföring av uppgifter till underleverantörer

För produktionen av datatekniska tjänster anlitar den personuppgiftsansvarige underleverantörer, t.ex. OP-Tjänster Ab, vilka behandlar personuppgifter för den personuppgiftsansvariges räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.

Internationella överföringar av uppgifter

Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och Europeiska kommissionens standardavtalsklausuler i OPs webbsida: op.fi/dataskydd.

En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bl.a. datatekniska och övriga stödtjänster för den personuppgiftsansvarige.

8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Personuppgifter om den registrerade behandlas under avtalsförhållandets giltighetstid. Då avtalsförhållandet har löpt ut raderas eller anonymiseras uppgifterna efter 10 år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.

Den personuppgiftsansvarige kan efter avtalsförhållandets slut behandla personuppgifter i direktmarknadsföringssyfte i enlighet med tillämplig lag.

Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade. Dessutom kan administratören eller en annan representant för ett samfund lämna uppgifter om andra registrerade. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster.

Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:

  • Myndigheten för digitalisering och befolkningsdata
  • Beträffande avtal om digital kommunikation för företag dessutom av kreditupplysningsregisteransvariga
  • Beträffande avtal om digital kommunikation för företag dessutom från andra kundregister hos företag i OP Gruppen
  • instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar

9. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

10. Hur registret är skyddat

Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.

Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.