Dataskyddsbeskrivning för OP Gruppens kampanjer, nyhetsbrev och sociala medier

Uppdaterad 17.4.2023

1. Allmänt

Med den här dataskyddsbeskrivningen ges den information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella lagstiftningen, å ena sidan till den registrerade, det vill säga den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

Gemensamt register för OP Gruppens (nedan också OP) företag (inklusive OP Andelslag jämte dotterföretag samt gruppens andelsbanker). 

Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1, 00510 HELSINGFORS
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefonnummer: 0100 0500
E-postadress: tietosuoja@op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi

4. Registrets namn

Register för OP Gruppens kampanjer, nyhetsbrev och sociala medier

Registret omfattar dem som visat sitt intresse för tjänster som tillhandahålls av företag i OP Gruppen samt prenumeranter på nyhetsbrev och deltagare i kampanjer eller tävlingar och parter som producerat innehåll för webbtjänster. Registret omfattar också personer som har reagerat på OP Gruppens innehåll i sociala mediekanaler, skickat privata meddelanden till OP Gruppen eller följt OP Gruppen. Registrerade är OP Gruppens potentiella kunder, som inte är starkt autentiserade.

Uppgifterna i fråga har inte anslutits till kundregister hos företag i OP Gruppen.

5. Ändamålen med behandlingen av personuppgifter och rättslig grund för behandlingen

Ändamålen med behandlingen

Ändamålen med personuppgifterna är:

  • Nyhetsbrevstjänster (exempelvis OP Media) och arrangerande av kampanjer, exempelvis i samband med evenemang och tävlingar, särskilt kundbetjäning samt skötsel och utveckling av kundrelationen i anslutning till sådana, inklusive annonsering och kommunikation
  • produktion av innehåll för tjänster, såsom att kommentera blogginlägg
  • planering och utveckling av OP Gruppens produkt- och tjänsteutbud samt inriktning av det här utbudet
  • utveckling av affärsrörelsen
  • uppföljning och analys av användningen av tjänster samt segmentering av användare och prenumeranter för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna
  • opinions- och marknadsundersökningar
  • direktmarknadsföring
  • inriktning av marknadsföring och reklam i interna och externa medier
  • utbildningsändamål
  • bevakning och analys av reaktionerna på OP Gruppens innehåll i sociala medier för utveckling av kommunikation och affärsverksamhet
  • kundtjänst i sociala mediekanaler, såsom att svara på privata meddelanden och svara på kommentarer om offentliga inlägg

Profilering

Behandlingen av personuppgifter i registret omfattar profilering. Med profilering avses en automatisk behandling av personuppgifter där man genom att använda uppgifterna bedömer vissa personliga egenskaper. I marknadsföringen utförs målgruppsurval, och inriktningen baserar sig på olika segment. Ytterligare information om profileringen finns i dataskyddsklausulen på adressen op.fi/dataskydd.

Rättsliga grunder för behandlingen

Rättslig grund Exempel
Samtycke Behandlingen kan basera sig på samtycke av den registrerade, exempelvis den registrerades tillstånd för elektronisk direktmarknadsföring. Den registrerade kan också med sitt samtycke prenumerera på nyhetsbrev.
Den personuppgiftsansvariges berättigade intressen Direktmarknadsföring eller deltagande i en tävling kan också grunda sig på berättigat intresse.

Den registrerade kan exempelvis i samband med evenemang uttrycka sitt intresse för OP Gruppen eller dess produkter och tjänster.

Användning av anpassade målgrupper i sociala medier.

Utveckling av affärsrörelsen.

Bevakning och analys av reaktionerna på OP Gruppens innehåll i sociala medier för utveckling av kommunikation och affärsverksamhet.
Avtal Att svara på meddelanden och kommentarer till OP Gruppen i sociala mediekanaler.

6. Kategorier av personuppgifter

Typiska kategorier av personuppgifter eller personuppgifter som behandlas för de registrerade beskrivs nedan. Det datainnehåll som behandlas beror bland annat på om det är fråga om uppgifter som gäller en privatperson eller en person som handlar för ett företag.

Kategori av personuppgifter Kategorins datainnehåll
Grundläggande uppgifter Den registrerades namn 
Den registrerades kontaktuppgifter, såsom e-post, telefonnummer och adressuppgifter
Uppgifter om kundrelationen Uppgifter som specificerar och klassificerar en potentiell kundrelation, såsom exempelvis kontaktuppgifternas källa och pseudonym.

Ditt profilnamn och kontaktuppgifterna för din profil på plattformar för sociala medier som administreras av företag i OP Gruppen samt kommunikation och annat innehåll som du där delat med oss.
Samtycken Samtycken och förbud som gäller behandlingen av personuppgifter och som har lämnats av den registrerade
Uppgifter om kundtransaktioner Uppgifter om kontaktning
Bakgrundsuppgifter Betjäningsspråk
Intressen Uppgifter om vad den registrerade är intresserad av
Inspelningar och innehåll i meddelanden Meddelanden som du har skickat till OP Gruppen via sociala mediekanaler. Reaktioner på OP Gruppens publikationer i sociala mediekanaler. Publikationer som behandlar OP Gruppen som du offentligt har publicerat i sociala mediekanaler.
Beteendeuppgifter (uppgifter som samlas in med bl.a. cookies och annan motsvarande teknik) Uppföljning av den registrerades nätbeteende och användning av tjänster på webbplatser, i mobilappar och i OP Gruppens kanaler på sociala plattformar exempelvis med hjälp av cookies. Uppgifter kan samlas in exempelvis om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikatorer, kanal, såsom applikation, webbläsare eller mobil webbläsare, webbläsarversion, IP-adress, sessionskod, sessionens tid och längd samt skärmresolution och operativsystem.
Tekniska identifieringsuppgifter Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter

7. Mottagare och kategorier av mottagare av personuppgifter

Överföring av uppgifter till underleverantörer

Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.

Underleverantörerna producerar bland annat datatekniska tjänster och verktyg för hantering av marknadsföring för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är andra företag i OP Gruppen.

Internationella överföringar av uppgifter

Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och standardavtalsklausuler på OP:s webbplats: op.fi/dataskydd.

8. Gemensamt personuppgiftsansvar

OP Gruppen har användarkonton i sociala medietjänster, genom vilka OP Gruppen delar text-, bild- och videoinnehåll samt interagerar med användare av tjänsterna. Vid användningen och administrationen av dessa konton behandlar OP Gruppen personuppgifter och fungerar för vissa funktioners del som gemensamt personuppgiftsansvarig tillsammans med en tjänsteleverantör i sociala medier i enlighet med respektive tjänsteleverantörs användningsvillkor. De uppgifter som OP och tjänsteleverantören behandlar som gemensamt personuppgiftsansvariga varierar från tjänst till tjänst, men de består vanligen av uppgifter om användarkonton som tillhör personer som interagerat med OP:s användarkonto och kommentarer som dessa personer skrivit.
 
OP Gruppen har företagskonton, gemenskaper och grupper som omfattas av det gemensamma personuppgiftsansvaret i följande sociala medietjänster:
  • Facebook, Meta Platforms Ireland Limited
  • Instagram, Meta Platforms Ireland Limited
  • LinkedIn, LinkedIn Ireland Unlimited Company
  • Tiktok, TikTok Technology Limited (Ireland)
 
Respektive tjänsteleverantör i sociala medier ger i sin egen dataskyddsbeskrivning mer information om sin egen behandling av personuppgifter, såsom behandlingens rättsliga grund och användning av de registrerades rättigheter i tjänsten.  

 

9. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Personuppgifter som samlats in i tävlingar och kampanjer lagras cirka sex månader, varefter de raderas i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.

Personuppgifter som samlats in i sociala mediekanaler lagras cirka tolv månader, varefter de raderas i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar. 

I samband med prenumerationer på nyhetsbrev lagras personuppgifterna i enlighet med prenumerationens giltighet, dock så att lagringstiden för uppgifterna då den registrerade har avslutat sin prenumeration i regel är högst cirka två år, varefter uppgifterna raderas i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar, om inte den registrerade uttrycker sin önskan om att behandlingen av uppgifterna ska fortsätta också därefter.

Innehåll som producerats för tjänsten och information som hänför sig till denna lagras under hela tjänstens existens. Användaren har rätt att avlägsna innehåll som hen skickat till tjänsten genom att kontakta tjänstens administratör.

10. Registerkällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in från den registrerade själv.

Personuppgifter kan också samlas in när den registrerade använder den personuppgiftsansvariges tjänster, webbplatser eller kanaler på sociala plattformar. Personuppgifter samlas exempelvis med hjälp av cookies som följer besökarnas aktivitet på webbplatserna, om den registrerade har godkänt användningen av cookies. Sociala plattformar kan dela personuppgifter med oss beroende på dina personliga integritets- och cookieinställningar för kanalen i fråga.

11. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

Den registrerade har också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade be om att uppgifter som den registrerade själv har gett överförs i maskinläsbar form utgående från dataskyddsförordningen.

Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

12. Rätt att återkalla samtycke

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter på basis av samtycke, har den registrerade rätt att återkalla sitt samtycke. Om samtycket återkallas, påverkar det inte lagligheten för den samtyckesbaserade behandling av personuppgifterna som skett före återkallandet. Om samtycket återkallas, kan det dock påverka tjänstens användbarhet och funktioner. I varje nyhetsbrev finns en länk för avslutning av prenumerationen. Ytterligare information fås av de personuppgiftsansvariga personerna.

13. Hur registret är skyddat

Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:

  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen

Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.