Uppdaterat: 15.2.2023
Dataskyddsbeskrivning
1. Allmänt
Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund eller personal, och å andra sidan till tillsynsmyndigheten.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
Respektive fastighetsplaceringsfond som förvaltas av OP Gruppen (senare också OP) och som självständigt för ett sådant personregister som avses i den här beskrivningsmallen.
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefonnummer: 0100 0500
E-postadress: tietosuoja@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi
4. Registrets namn och registrerade
Den personuppgiftsansvariges personregister för fastighetsplaceringsfonder.
De registrerade är personer som agerar för samfund eller företag som placerat i fastighetsplaceringsfonder, som förvaltas av OP, eller personer som agerar för potentiella placerare
Registrerade är även personer som säljer fastigheter, tomter och annan egendom till fastighetsfonder samt personer som är kopplade till sådana affärer.
5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen
5.1 Ändamålen med behandlingen
Placeringsrörelse samt köp och försäljning förutsätter behandling av personuppgifter. Den personuppgiftsansvarige behandlar uppgifter i registret huvudsakligen för att producera, tillhandahålla och leverera placeringstjänster samt under köp och försäljning av egendom. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.
Till ändamålen med personuppgifterna hör:
- kundbetjäning, skötsel och utveckling av kundrelationen samt rapportering
- produktion, tillhandahållande och leverans av tjänster samt kvalitetskontroll
- utveckling av affärsrörelsen
- skötsel av skyldigheter som baserar sig på lag eller på myndigheternas föreskrifter och anvisningar
- riskhantering
- säkerställande av tjänsternas säkerhet och utredning av missbruk
- marknadsföring och inriktning av reklam
Förhindrande av penningtvätt och av finansiering av terrorism samt uppföljning av sanktioner
Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism.
Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar.
5.2 Rättsliga grunder för behandlingen
Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.
| Rättslig grund | Exempel |
|---|---|
| Avtalsförhållande eller åtgärder innan avtal ingås | I registret behandlas personuppgifter utgående från avtal (placeringsförbin-delse) för att tillhandahålla och leverera placeringstjänster som den registrerade förvärvat. Behandlingen av personuppgifter under köp och försäljning av egendom är av-talsbaserad. |
| Lagstadgad skyldighet | I registret behandlas personuppgifter i enlighet med lagen om förhindrande av penningtvätt och av finansiering av terrorism samt sanktionslagstiftningen. |
| Den personuppgiftsansvariges eller en tredje parts berättigade intressen |
Utlämningen av uppgifter till OP:s övriga företag och tjänsteleverantörer, till exem-pel för skötsel av kundrelationen eller för marknadsföring, kan basera sig på ett berättigat intresse. |
6. Kategorier av personuppgifter
| Kategori av personuppgifter | Kategorins datainnehåll |
|---|---|
| Grunddata | Den registrerades namn, vid behov per-sonbeteckning eller FO-nummer Den registrerades kontaktinformation (adress, e-postadress och telefonnum-mer). Namn- och kontaktinformation om perso-ner som agerar för ett samfunds eller företags räkning |
| Uppgifter om kundkännedom | Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning |
| Uppgifter om kundrelationen | Uppgifter som specificerar och klassificerar kundrelationen |
| Uppgifter om avtalet och produkterna | Uppgifter om avtal mellan den person-uppgiftsansvarige och den registrerade samt fondspecifika innehav Uppgifter om de produkter och tjänster som den registrerade förvärvat |
| Uppgifter om kundtransaktioner | Uppgifter och transaktioner i anslutning till skötseln av kundrelationen |
| Inspelningar och innehåll i meddelanden | Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal |
7. Mottagare och kategorier av mottagare av personuppgifter
7.1 Mottagare av uppgifter
Insamlade personuppgifter kan inom OP lämnas ut inom de gränser som lagstiftningen tillåter. Dessutom kan personuppgifter inom de ramar som lagen tillåter lämnas ut till myndigheter, såsom Finansinspektionen och skatteförvaltningen i Finland.
Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning, inklusive den tystnadsplikt som gäller den personuppgiftsansvarige.
7.2 Överföring av uppgifter till underleverantörer
Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.
Underleverantörerna producerar bland annat datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är också företag utanför OP.
7.3 Internationella överföringar av uppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och standardavtalsklausuler på OP:s webbplats: op.fi/dataskydd.
8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Den personuppgiftsansvarige behandlar personuppgifter under avtalsförhållandets giltighetstid. Då avtalsförhållandet har löpt ut raderar eller anonymiserar den personuppgiftsansvarige uppgifterna efter cirka fem år i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.
Den personuppgiftsansvarige behandlar uppgifter om potentiella kunder högst ett år från det att den registrerade senast genom en aktiv åtgärd har visat intresse för den personuppgiftsansvariges produkter eller tjänster.
Personuppgifter som samlats in under köp och försäljning sparas i fem år efter att köpebrevet har undertecknats. Köpebrev sparas i regel under den personuppgiftsansvariges verksamhet.
9. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas huvudsakligen in från den registrerade själv.
Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:
- Myndigheten för digitalisering och befolkningsdata
- andra myndighetsregister
- kreditupplysningsregisteransvariga
- instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar
- övriga kundregister hos företag inom OP
10 Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.
Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring. Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form utgående från dataskyddsförordningen.
Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av hens personuppgifter inte är lagenlig, har hen rätt att lämna in ett klagomål till tillsynsmyndigheten.
11. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- skydd av utrustning och filer
- passerkontroll
- identifiering av användare
- åtkomsträttigheter
- registrering av användningstillfällen
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.