Tietosuojaseloste
Päivitetty 26.1.2023
1. Yleistä
Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle eli rekisterinpitäjän asiakkaalle ja toisaalta valvovalle viranomaiselle.
2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot
OP Ryhmän osuuspankit ja OP Yrityspankki Oyj yhdessä
Postiosoite: PL 308, 00013 OP
Käyntiosoite: Gebhardinaukio 1, 00510 HELSINKI
Rekisterinpitäjän yhteyshenkilö: OP Ryhmän Tietosuojatiimi
Puhelinnumero: 0100 0500
Sähköpostiosoite: tietosuoja@op.fi
3. Tietosuojavastaavan yhteystiedot
OP Ryhmän tietosuojavastaava
OP Ryhmä
Postiosoite: PL 308, 00013 OP
Sähköpostiosoite: tietosuoja@op.fi
4. Rekisterin nimi
OP Tunnistuksen välityspalvelun asiakasrekisteri.
Rekisteri on OP Ryhmän pankkien yhteinen ja kukin rekisterinpitäjä vastaa sen piirissä suoritettavasta henkilötietojen käsittelystä täysimääräisesti.
Rekisterin rekisteröityjä ovat osuuspankkien ja OP Yrityspankin tunnistuksen välityspalvelun asiakkaiden ja potentiaalisten asiakkaiden puolesta toimivat henkilöt. Asiakkaita ovat yhteisöt, kuten kauppiaat.
Lisäksi rekisteröityjä ovat tunnistusvälityspalvelun käyttäjät, jotka ovat yksityishenkilöitä. Nämä henkilöt siirtyvät asiointipalvelusta tunnistusvälityspalvelun kautta tunnistautumaan tunnistusvälineen liikkeellelaskijan palveluun (esim. pankki tai teleoperaattori), ja heidän tunnistetietonsa välitetään takaisin asiointipalveluun.
5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste
Käsittelyn tarkoitukset
Rekisterinpitäjä käsittelee rekisteriin kuuluvia henkilötietoja lain vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista (L 617/2009, myöhempine muutoksineen, jäljempänä myös tunnistuslaki) määrittelemän tunnistusvälityspalvelun tuottamiseksi, tarjoamiseksi ja toimittamiseksi.
Käsittelyssä noudatetaan myös Viestintäviraston Määräystä 72B/2022 sähköisistä tunnistus- ja luottamuspalveluista sekä suosituksen 216/2022 S Tunnistuspalveluiden luottamusverkoston käytännesäännöt liitettä Henkilötietojen käsittely sähköisen tunnistamisen luottamusverkostossa.
Yhteisöasiakkaiden puolesta toimivien henkilötietojen käyttötarkoituksiin kuuluvat:
- asiakaspalvelu sekä asiakassuhteen hoito ja kehittäminen, mukaan lukien asiakasviestintä
- palvelujen tuottaminen, tarjoaminen ja toimittaminen sekä kehittäminen ja laadunvarmistus
- liiketoiminnan kehittäminen
- mielipide- ja markkinatutkimukset
- suoramarkkinointi
- markkinoinnin ja mainonnan kohdentaminen
- lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen
- riskienhallinta
- palvelujen turvallisuuden varmistaminen ja väärinkäytösten selvittäminen
- koulutustarkoitukset
Henkilöasiakkaiden eli palvelun käyttäjien henkilötietojen käyttötarkoituksiin kuuluvat:
- palvelujen tuottaminen, tarjoaminen ja toimittaminen sekä kehittäminen ja laadunvarmistus
- lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen
- palvelujen turvallisuuden varmistaminen ja väärinkäytösten selvittämine
Rahanpesun ja terrorismin rahoittamisen estäminen sekä pakoteseuranta
Yhteisöasiakkaiden puolesta toimivia henkilöitä koskevia asiakkaan tuntemistietoja ja muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä muihin lain rahanpesun ja terrorismin rahoittamisen estämisestä mukaisiin tarkoituksiin. Näitä toimenpiteitä rekisterinpitäjä suorittaa huolellisena toimijana oikeutettuun etuun perustuen.
Yhteisöasiakkaiden puolesta toimivien henkilöiden tietoja voidaan käyttää sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena. Lisätietoa pakotteiden noudattamisesta OP Ryhmässä löytyy pääsääntöisesti hankitun tuotteen tai palvelun ehdoista.
Käsittelyn oikeusperusteet
Alla on kuvattu rekisterin käyttämät henkilötietojen käsittelyn oikeusperusteet sekä esimerkkejä kullakin perusteella suoritettavasta käsittelystä
| Oikeusperuste | Esimerkki |
|---|---|
| Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet | Sopimukseen tai sen tekemiseen perustuvat toimenpiteet: Yhteisöasiakkaiden puolesta toimivien henkilöiden tietojen käsittely rekisterissä perustuu pääasiassa sopimukseen Tunnistusvälityspalvelun yksityishenkilökäyttäjän henkilötietojen käsittelyperuste on toimeksianto. Tunnistusvälitystoiminnassa rekisterinpitäjä toimittaa tunnistustapahtumaan liittyen loppukäyttäjän henkilötietoja tunnistusvälityspalvelua ostavalle yhteisöasiakkaalle |
| Lakisääteinen velvoite | Yksityishenkilöiden (kuluttaja-asiakkaat) tietojen käsittely rekisterissä perustuu osin lakisääteisiin velvoitteisiin (tunnistuslaki sekä Viestintäviraston antama alemman asteinen sääntely). Rekisterin piirissä suoritettava pakoteseuranta perustuu osin lakiin. |
| Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut | Oikeutettuun etuun voivat perustua seuraavat yhteisöasiakkaiden puolesta toimivia henkilöitä koskevat toiminnot:
|
6. Henkilötietoryhmät
| Henkilötietoryhmä | Ryhmän tietosisältö |
|---|---|
| Perustiedot | Yhteisöasiakkaiden puolesta toimivat henkilöt: Rekisteröidyn nimi, sähköpostiosoite, puhelinnumero, osoite, postinumero ja postitoimipaikka, henkilötunnus, kansalaisuus, tieto henkilön yhteydestä yhteisöön tai asemasta yhteisössä Tunnistusvälityspalvelun käyttäjät: Rekisteröidyn nimi, henkilötunnus, tunnistuspalvelu jossa käyttäjä tunnistautui, asiointipalvelu jota varten käyttäjä tunnistautui, tunnistustapahtuman aikaleima, IP-osoite sekä joukko muita tunnistustapahtumaan liittyviä teknisiä tietoja, jotka tarvitaan tunnistustapahtuman todentamiseksi myöhemmin. |
| Tuntemistiedot | Yhteisöasiakkaiden puolesta toimivat henkilöt: Asiakkaan tuntemistiedot, kuten asiakkaan tunnistamiseksi sekä taloudellisen aseman ja poliittisen vaikutusvallan selvittämiseksi tarpeelliset tiedot. |
| Asiakastapahtumatiedot | Asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat. |
| Käyttäytymistiedot (ml. evästeillä ja muilla vastaavilla teknologioilla kerätyt tiedot) | Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite- ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä. |
| Tallenteet ja viestien sisältö | Erimuotoiset tallenteet ja viestit, joissa rekisteröity on osapuolena, esimerkiksi puhelutallenteet. |
| Tekniset tunnistamistiedot | Laitteen tai sovelluksen määrittämä tunniste, jonka avulla laitteen tai sovelluksen käyttäjä on tunnistettavissa käyttämällä tarvittaessa lisätietoja. |
7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät
Tietojen luovutuksensaajat
Yhteisöasiakkaiden puolesta toimivat henkilöt
Kerättyjä henkilötietoja voidaan luovuttaa OP Ryhmän sisällä lainsäädännön sallimissa puitteissa. Lisäksi henkilötietoja voidaan luovuttaa muun muassa viranomaisille, kuten poliisi, lakisääteisissä tapauksissa.
Tunnistusvälityspalvelun käyttäjät
Tunnistusvälineen liikkeellelaskijalta (pankki, teleoperaattori) saadut tunnistusvälityspalvelun käyttäjän henkilötiedot luovutetaan sille asiointipalvelulle, jota varten loppukäyttäjä tunnistautuu. Lisäksi tietoja voidaan luovuttaa viranomaisille lakisääteisissä tapauksissa.
Tietojen siirto alihankkijoille
Rekisterinpitäjä käyttää alihankkijoita, jotka käsittelevät henkilötietoja sen lukuun. Alihankkijat tuottavat rekisterinpitäjälle mm. tietoteknisiä palveluja. Osa käytetyistä alihankkijoista on muita OP Ryhmän yhteisöjä.
Kansainväliset tiedonsiirrot
Rekisterinpitäjä käyttää alihankkijoita tietojen käsittelyssä, ja tietoja voidaan siirtää EU:n / ETA:n ulkopuolelle. EU:n / ETA:n ulkopuolelle siirrettäessä siirto tapahtuu käyttäen EU-komission mallisopimuslausekkeita tai muuta lainsäädännön sallimaa siirtomekanismia. Lisätietoja henkilötietojen kansainvälisistä siirroista sekä mallisopimuslausekkeista saat OP:n verkkosivuilta: op.fi/tietosuoja.
Osa rekisterinpitäjän käyttämistä alihankkijoista on muita OP Ryhmän yhteisöjä. Ne tuottavat rekisterinpitäjälle mm. tietoteknisiä ja muita tukipalveluja.
8. Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit
Yhteisöjen puolesta toimivien henkilöiden tietoja käsitellään sopimussuhteen voimassaolon ajan. Sopimussuhteen päätyttyä tiedot poistetaan tai anonymisoidaan noin seitsemän vuoden kuluttua rekisterinpitäjän noudattamien poistoprosessien mukaisesti. Potentiaalisten asiakkaiden tiedot poistetaan noin kuuden kuukauden kuluttua tapahtuman tai yhteydenoton jälkeen tai heti, kun potentiaalinen asiakas haluaa.
Rekisterinpitäjä voi käsitellä sopimussuhteen päätyttyä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti.
Tunnistusvälityspalvelun käyttäjän henkilötiedot säilytetään 5 vuoden ajan tunnistustapahtumasta, minkä jälkeen ne automaattisesti poistetaan.
9. Henkilötietojen lähteet ja päivittäminen
Yhteisöasiakkaiden puolesta toimivat henkilöt
Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, kuten verkkopalvelut.
Henkilötietoja voidaan kerätä ja päivittää lain sallimissa puitteissa myös kolmansien osapuolten rekistereistä, kuten:
- kaupparekisteristä
- muiden viranomaisten (esim. ulosotto) pitämistä rekistereistä
- Muista OP Ryhmän yhteisöjen asiakasrekistereistä
- rekisterinpitäjän noudattamien kansainvälisten pakotteiden piiriin kuulumisen sekä poliittisen vaikutusvaltaisuuden selvittämiseksi tarpeelliset tiedot tällaisia tietokantoja ylläpitäviltä tahoilta
Tunnistusvälityspalvelun käyttäjät
Asiointipalvelulle välitettävät tunnistusvälityspalvelun käyttäjän henkilötiedot haetaan aina tunnistusvälineen liikkeellelaskijalta (pankit ja teleoperaattorit).
10. Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.
Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista.
Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.
Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.
Rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa tietosuoja-asetukseen perustuen.
Tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle. Kuitenkin, koska tunnistustapahtuman yhteydessä välitettävät tunnistusvälityspalvelun käyttäjän henkilötiedot ovat peräisin tunnistusvälineen liikkeellelaskijan asiakasrekisteristä ja sillä on velvollisuus tarkastaa tiedot Väestötietojärjestelmästä, tältä osin virheistä henkilötiedoissa ja oikaisut tulisi ilmoittaa ensisijaisesti liikkeellelaskijan asiakaspalveluun ja/tai Väestötietojärjestelmään.
Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.
11. Miten rekisterin suojaus on järjestetty
Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.
Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:
- laitteistojen ja tiedostojen suojaus
- kulunvalvonta
- käyttäjien tunnistus
- käyttövaltuudet
- käyttötapahtumien rekisteröinti
- käsittelyn ohjeistus ja valvonta
Rekisterinpitäjä edellyttää myös alihankkijoiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.
12 .Tunnistusperiaatteet
Tunnistuksen välityspalvelun tunnistusperiaatteet ovat nähtävillä op.fi:ssa.