OP Säilytys Oy:s kundregister

Dataskyddsbeskrivning

1. Allmänt

Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella dataskyddslagen, å ena sidan till den registrerade, såsom den personuppgiftsansvariges kund, eller personalen och å andra sidan till tillsynsmyndigheten.

2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation

OP Säilytys Oy
Postadress: PB 308, 00013 OP
Besöksadress: Gebhardsplatsen 1 00510, Helsingfors
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 0100 0500
E-postadress: tietosuoja@op.fi

3. Dataskyddsombudets kontaktinformation

OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi

4. Registrets namn och registrerade

OP Säilytys Oy:s kundregister

Registrerade i kundregistret är den personuppgiftsansvariges kunder och potentiella kun-der. Registrerade är privatpersoner samt företags- och samfundskunders (nedan "företag") kontaktpersoner, ansvarspersoner och ägare.

5. Ändamålen med behandlingen av personuppgifter och rättsliga grunder för behandlingen

Ändamålen med behandlingen

I det här kundregistret behandlas personuppgifter huvudsakligen för att producera, tillhandahålla, leverera och utveckla den personuppgiftsansvariges förvarings-, clearing-, emissions- och förvaringsinstitutstjänster. Nedan finns mer detaljerad information om användningen av personuppgifter i registret.
 
  • kundbetjäning samt skötsel och utveckling av kundrelationen, inklusive kundkommunikation
  • produktion och utveckling av tjänster samt kvalitetskontroll
  • utveckling av affärsrörelsen
  • uppföljning och analys av användningen av tjänster samt segmentering av kunder för att den personuppgiftsansvarige ska kunna erbjuda användarna bland annat personifierat innehåll i tjänsterna
  • opinions- och marknadsundersökningar
  • skötsel av skyldigheter som baserar sig på lagen eller myndigheters föreskrifter och anvisningar
  • riskhantering
  • säkerställande av tjänsternas säkerhet samt förhindrande och utredning av missbruk
  • utbildningsändamål
 
Förebyggande av brottslighet/Förhindrande av penningtvätt och av finansiering av terrorism samt uppföljning av sanktioner  

Uppgifter om kundkännedom och den registrerades övriga personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism, samt för andra syften som förutsätts i lagen om förhindrande av penningtvätt och av finansiering av terrorism.

Den registrerades personuppgifter kan användas för att utreda om den registrerade är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar. Närmare information om iakttagandet av sanktioner i OP Gruppen får du i regel i villkoren för den produkt eller tjänst du förvärvar.
 
Rättsliga grunder för behandlingen
 
Nedan redogörs för de rättsliga grunder för behandlingen av personuppgifter som registret tillämpar samt ges exempel på den behandling som utförs på respektive grund.
 
Rättslig grund Exempel
Avtalsförhållande eller åtgärder innan avtal ingås
  • Etablering av kundrelation
  • Behandling av personuppgifter vid verkställighet av avtal
Lagstadgad skyldighet
  • Lagstiftning som berör förhindrande av penningtvätt och av finansiering av terrorism
  • Branschspecifik lagstiftning
  • Annan lagstadgad behandling av personuppgifter, såsom samarbete med polismyndigheter eller skatteförvaltningen samt skyldigheter som föranleds av myndighetsrapportering
Den personuppgiftsansvariges eller en tredje parts berättigade intressen
  • Etablering av en potentiell kundrelation och erbjudande av tjänster till potentiella kunder kan basera sig på ett berättigat intresse.
  • Utlämning av uppgifter inom OP Gruppen kan baserar sig på ett berättigat intresse.

6. Kategorier av personuppgifter

Kategori av personuppgifter Kategorins datainnehåll
Grundläggande uppgifter
  • Den registrerades namn, personbeteckning/FO-nummer, den registrerades postadress, telefonnummer, e-postadress
  • Namnuppgifter och kontaktinformation om företagskunders kontaktpersoner, ansvarspersoner och ägare samt information om ifrågavarande persons koppling till samfundet
Uppgifter om kundkännedom
  • Lagstadgade uppgifter om kundkännedom, såsom uppgifter som är nödvändiga för att identifiera kunden samt för att utreda kundens finansiella ställning och politiskt utsatta ställning
Uppgifter om kundrelationen
  • Uppgifter som specificerar och klassificerar kundrelationen, såsom skattekod, medborgarskap, betjäningsspråk, yrke eller ställning
Avtals- och produktuppgifter
  • Uppgifter om avtal mellan den personuppgiftsansvarige och den registrerade
  • Uppgifter om produkter och tjänster som den registrerade har förvärvat
Uppgifter om kundtransaktioner
  • Uppgifter och transaktioner i anslutning till skötseln av kundrelationen
Bakgrundsuppgifter
  • Exempelvis uppgifter om den registrerades finansiella ställning, livssituation, erfarenhet och kunskaper om placeringsverksamhet.
Beteendeuppgifter (uppgifter som sam-las in med bl.a. cookies och annan mot-svarande teknik)
  • Uppföljning av den registrerades nätbeteende och användning av tjänster till exempel med cookies. Uppgifter kan samlas in till exempel om vilken sida användaren besökt, apparatens modell, enskilda apparat- och/eller cookieidentifikator, kanal, såsom applikation, mobilläsare eller webbläsare, läsarversion, IP-adress, sessionskod, sessionstid och längd samt skärmresolution och operativsystem.
Inspelningar och innehåll i meddelanden
  • Olika inspelningar och meddelanden, där den registrerade är en part, till exempel inspelningar av telefonsamtal
Tekniska identifieringsuppgifter
  • Identifierare som definierats av en apparat eller applikation och med vilken användaren av apparaten eller applikationen kan identifieras genom att vid behov använda kompletterande uppgifter

7. Mottagare och kategorier av mottagare av personuppgifter

Mottagare av uppgifter

Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter, såsom lagstiftningsrapportering. 
 
Personuppgifter kan inom de ramar som lagen tillåter lämnas ut till myndigheter, såsom Finansinspektionen och Skatteförvaltningen i Finland. Till Skatteförvaltningen sänds årsanmälningar över den personuppgiftsansvariges kunder.
 
Dessutom kan personuppgifter lämnas ut bland annat till:
 
  • Finlands Värdepapperscentral för värdeandelskontoanteckningar
 
Då personuppgifter om registrerade lämnas ut, ska den personuppgiftsansvarige beakta kraven i förpliktande lagstiftning, inkl. den tystnadsplikt som gäller den personuppgiftsansvarige.
 
Överföring av uppgifter till underleverantörer
 
Den personuppgiftsansvarige anlitar underleverantörer som behandlar personuppgifter för dess räkning. Den personuppgiftsansvarige ingår behöriga avtal med sådana underleverantörer om behandlingen av personuppgifter.

Underleverantörerna producerar bl.a. datatekniska tjänster för den personuppgiftsansvarige. En del av de underleverantörer som anlitas är andra företag i OP Gruppen.
 
Internationella överföringar av uppgifter
 
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter överförs begränsat utanför EU/EES. Den personuppgiftsansvarige överför också uppgifter utanför EU/EES.

Uppgifterna överförs utanför EU/EES genom att använda standardavtalsklausuler enligt dataskyddslagstiftningen eller en annan överföringsmekanism som lagstiftningen tillåter, med vilken man garanterar ett lämpligt skydd för personuppgifterna. En överföringsmekanism som den personuppgiftsansvarige använder är standardavtalsklausuler godkända av EU-kommissionen. 

8. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden

Personuppgifter behandlas under kundrelationens och avtalsförhållandets giltighetstid. De behandlas också efter kundrelationens och avtalsförhållandets slut så länge som det i respektive fall anses nödvändigt och som nedan har konstaterats.

Avtalsuppgifterna raderas cirka tio år efter det att avtalet har upphört. Uppgifterna om kundrelationen, till exempel uppgifterna om kundkännedom, raderas eller anonymiseras cirka tio år efter det att det sista avtalet har upphört. Uppgifterna raderas i enlighet med de raderingsprocesser som den personuppgiftsansvarige tillämpar.

Uppgifterna om potentiella kunder lagras så länge som det är nödvändigt för att etablera en eventuell kundrelation, dock högst tio år.

Den personuppgiftsansvarige kan vara skyldig att behandla vissa personuppgifter i registret under en längre period än den ovannämnda för att iaktta lagstiftning eller myndighetskrav, såsom bestämmelserna om kapitaltäckningsanalysen.
 

9. Personuppgiftskällor och uppdatering av personuppgifter

Personuppgifter samlas huvudsakligen in av den registrerade samt beroende på fall av det samfund för vars räkning den registrerade handlar. Personuppgifter kan också samlas in när den registrerade använder vissa av den personuppgiftsansvariges tjänster, såsom nättjänster. Personuppgifter kan inom de ramar som lagen tillåter också inhämtas av andra företag i OP Gruppen, till exempel i riskhanteringssyfte.

Personuppgifter kan inom de ramar som lagen tillåter samlas in och uppdateras också från tredje parters register, såsom:
 

  • Befolkningsregistercentralen
  • andra myndighetsregister, såsom handelsregistret
  • instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner som den personuppgiftsansvarige iakttar

10. Den registrerades rättigheter

Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.

Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär. Om den registrerade gör sin begäran elektroniskt och inte har bett om något annat leveranssätt, levereras informationen i ett elektroniskt format som är allmänt använt, förutsatt att informationen kan levereras på ett informationssäkert sätt.

Den registrerade har också rätt att be den personuppgiftsansvarige att rätta eller radera den registrerades personuppgifter, och den registrerade kan förbjuda behandlingen av sina personuppgifter för direktmarknadsföring.

När dataskyddsförordningen har börjat tillämpas, har den registrerade också i vissa situationer rätt att begära att behandlingen av personuppgifterna ska begränsas eller annars göra invändningar mot behandlingen av personuppgifter. Dessutom kan den registrerade begära att uppgifter som den registrerade själv har gett överförs i maskinläsbar form på basis av dataskyddsförordningen.

Alla här nämnda begäran ska sändas till den ovan nämnda kontaktpersonen för den personuppgiftsansvarige.

Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.

11. Hur registret är skyddat

Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
 
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
 
  • skydd av utrustning och filer
  • passerkontroll
  • identifiering av användare
  • åtkomsträttigheter
  • registrering av användningstillfällen
  • regler och kontroll för behandlingen
     
Den personuppgiftsansvarige kräver också att dess underleverantörer och andra samarbetspartner på ett lämpligt sätt skyddar de personuppgifter som behandlas.