OP Yrityspankki Oyj:n asiakasrekisteri

Päivitetty: 21.8.2024

Tietosuojaseloste

1. Yleistä

Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle eli rekisterinpitäjän asiakkaalle tai henkilöstölle ja toisaalta valvovalle viranomaiselle.

2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

OP Yrityspankki Oyj
Postiosoite: PL 308, 00013 OP
Käyntiosoite: Gebhardinaukio 1 00510 HELSINKI
Rekisterinpitäjän yhteyshenkilö: OP Ryhmän Tietosuojatiimi
Puhelinnumero: 0100 0500
Sähköpostiosoite: tietosuoja@op.fi

3. Tietosuojavastaavan yhteystiedot

OP Ryhmän tietosuojavastaava
OP Ryhmä
Postiosoite: PL 308, 00013 OP
Sähköpostiosoite: tietosuoja@op.fi

4. Rekisterin nimi

OP Yrityspankki Oyj:n asiakasrekisteri

Asiakasrekisterin rekisteröityjä ovat rekisterinpitäjän asiakkaat ja potentiaaliset asiakkaat. Rekisteröityinä on yksityishenkilöitä sekä yritys- ja yhteisöasiakkaiden (jäljempänä ”yritys”) yhteyshenkilöitä, vastuuhenkilöitä ja omistajia.

5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperusteet

Henkilötietojen käyttötarkoitukset

Tässä asiakasrekisterissä henkilötietoja käsitellään pääasiassa rekisterinpitäjän palvelujen, kuten tili-, rahoitus- ja sijoituspalvelut, tuottamiseksi, tarjoamiseksi, toimittamiseksi ja kehittämiseksi. Alla on tarkempaa tietoa henkilötietojen käyttötarkoituksista.

  • asiakaspalvelu sekä asiakassuhteen hoito ja kehittäminen, mukaan lukien asiakasviestintä
  • palvelujen tuottaminen, kehittäminen ja laadunvarmistus
  • liiketoiminnan kehittäminen
  • palvelujen käytön seuranta ja analysointi sekä asiakas- ja käyttäjämallinnusten tekeminen, jotta rekisterinpitäjä pystyy tarjoamaan käyttäjille muun muassa personoitua sisältöä palveluissa
  • mielipide- ja markkinatutkimukset
  • suoramarkkinointi
  • markkinoinnin ja mainonnan kohdentaminen
  • lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen sekä vastuullisuusvelvoitteiden täyttäminen
  • maksukyvyttömyyden tunnistaminen
  • riskienhallinta
  • palvelujen turvallisuuden varmistaminen sekä väärinkäytösten estäminen ja selvittäminen
  • koulutustarkoitukset

Automaattinen päätöksenteko ja profilointi

Rahoitusyhtiötuotteiden ja palvelujen osalta rekisterin piiriin kuuluva henkilötietojen käsittely sisältää automaattista päätöksentekoa. Automaattisella käsittelyllä pyritään nopeuttamaan käsittelyaikoja, ja turvaamaan päätösten tasapuolisuus. Kyse on automaattisesta päätöksenteosta, jossa päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten.

Rekisterinpitäjän toiminnassa tehdään automaattisia rahoituspäätöksiä, joihin liittyy esimerkiksi rekisteröidyn asiakaskohtaista profilointia hänen luottokelpoisuutensa arvioimiseksi, luottopäätöksen ja luottosopimuksen tekemiseksi. Lisäksi rekisteröityä profiloidaan maksukyvyttömyyden tunnistamiseksi. Vaatimus luottokelpoisuuden arvioimisesta ja maksukyvyttömyyden tunnistamisesta tulee lainsäädännöstä.

Automaattisen luottopäätöksen tukena käytetään luotonhakijan maksukykyä kuvaavia tietoja, kuten haettua luottoa koskevia tietoja, luotonhakijan itsensä luotonhakuprosessissa antamia tietoja, Suomen Asiakastieto Oy:n kyselyjärjestelmästä saatavia tietoja, Verohallinnon positiivisesta luottotietorekisteristä saatavia tietoja sekä OP Ryhmän sisäisiä maksuhistoria- ja luottotietoja. Lisäksi päätöksenteossa hyödynnetään muun muassa väestörekisteristä saatavia osoitetietoja sekä kaupparekisteristä saatavia yritysyhteyksiä koskevia tietoja.

Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää myös profilointia. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa näitä tietoja käyttämällä arvioidaan tiettyjä henkilökohtaisia ominaisuuksia. 

Automaattisen käsittelyn ja profiloinnin seuraukset rekisteröidylle ovat joko haetun luottohakemuksen automaattinen hyväksyntä tai hylkääminen. Automaattisen käsittelyn ja profiloinnin seurauksena voidaan määritellä myös sopimuksen ehtoja, kuten esimerkiksi luoton korko. Järjestelmä voi myös siirtää asian suoraan asiantuntija-arviointiin, jolloin hakemuksen käsittelee ja päätöksen tekee luonnollinen henkilö. Maksukykyseuranta ja siihen liittyvät luokitukset ovat toiminnan kannalta välttämätöntä profilointia. Kielteiseen luottopäätökseen voivat johtaa esimerkiksi riittämätön maksukyky, luottohäiriömerkintä, julkinen maksuhäiriö yritysyhteyksissä, alle 21-vuoden ikä, luottovastuiden määrä tai aikaisemmin myönnettyjen lainojen, osamaksusopimuksien tai muiden sopimusvelvoitteiden heikko hoito. Mikäli määritellyistä vaatimuksista ei nouse estettä luoton myöntämiselle, hakijasta voidaan muodostaa maksukykyä mittaava luottoluokitus, johon päätöksenteossa haettavaa luoton määrää suhteutetaan. Luotonhakuprosessissa annettujen tietojen lisäksi päätöksenteossa voidaan huomioida muun muassa haettua luottoa koskevat tiedot, nuori ikä ja maksuviiveet.

Luottopäätöksessä käytettyä menetelmää arvioidaan ja seurataan säännöllisesti, jotta varmistetaan sen luottavuus. Rekisteröity voi pyytää asian uudelleen arviointia manuaalisessa käsittelyssä, mikäli päätös on perustunut automaattiseen päätöksentekoon.

Yleistä tietoa automaattisesta päätöksenteosta ja profiloinnista on saatavilla tietosuojalausekkeessa osoitteessa op.fi/tietosuoja.

Rikollisuuden ehkäiseminen

Asiakkaan tuntemistietoja ja rekisteröidyn muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä muihin laissa rahanpesun ja terrorismin rahoittamisen estämisestä edellytettyihin tarkoituksiin.

Rekisteröidyn henkilötietoja voidaan käyttää sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena. Lisätietoa pakotteiden noudattamisesta OP Ryhmässä annetaan pääsääntöisesti tuotteen tai palvelun ehdoissa.

Rekisterinpitäjä voi käsitellä henkilötietoja harjoittamaansa luottolaitostoimintaan välittömästi kohdistuneista rikoksista tai epäillyistä rikoksista, jos se on välttämätöntä tällaisten rikosten estämiseksi ja selvittämiseksi.

5.2 Käsittelyn oikeusperusteet

1. Henkilötietoja käsitellään rekisterissä usealla oikeusperusteella, joiden käytöstä annetaan alla kuvaavia esimerkkejä.

Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet, kuten

a. Asiakkuuden perustaminen
b. Sopimuksen täytäntöönpanossa tarvittava henkilötietojen käsittely

2. Lakisääteinen velvoite, kuten

a. Rahanpesun ja terrorismin rahoittamisen estämistä koskeva lainsäädäntö
b. Toimialakohtainen lainsäädäntö, kuten luottolaitoslaki (610/2014)
c. Laki takauksesta ja vierasvelkapanttauksesta (361/1999)
d. Laki positiivisesta luottotietorekisteristä (739/2022)
e. Muu lakisääteinen henkilötietojen käsittely, kuten yhteistyö poliisiviranomaisten ja verottajan kanssa sekä viranomaisraportoinnin velvoitteet

3. Suostumus

a. Sähköinen suoramarkkinointi ja eräät tietojen luovutukset rekisterinpitäjän yhteistyökumppaneille voivat perustua rekisteröidyn suostumukseen

4. Oikeutetut edut

a. Potentiaalisen asiakkaan perustaminen ja palvelujen tarjoaminen potentiaaliselle asiakkaalle voivat perustua oikeutettuun etuun.
b. Suoramarkkinointia ja liiketoiminnan kehittämistä voidaan tehdä rekisterinpitäjän oikeutetun edun perusteella.
c. Asiakasyritysten vastuuhenkilöiden, edustajien tai työntekijöiden tietojen käsittely yritystä koskevassa vastuullisuusarvioinnissa perustuu oikeutettuun etuun.
d. Tietojen luovutus OP Ryhmän sisällä voi perustua oikeutettuun etuun.

Useimmiten rekisterinpitäjän oikeutettu etu perustuu rekisterinpitäjän ja rekisteröidyn väliseen asiakas- tai vastaavaan suhteeseen. Rekisterinpitäjä myös huolehtii siitä, että tällainen käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa hänen kohtuullisia odotuksiaan.

6. Henkilötietoryhmät

Rekisteröidyistä käsitellään tyypillisesti alla kuvattuja henkilötietoryhmiä ja -tietoja. Käsiteltävä tietosisältö riippuu mm. siitä, onko kysymys yksityishenkilön vai yrityksen puolesta toimivan henkilön tiedoista.

Henkilötietoryhmä Esimerkkejä ryhmän tietosisällöstä
Perustiedot Rekisteröidyn nimi, henkilötunnus / y-tunnus, rekisteröidyn postiosoite, puhelinnumero, sähköpostiosoite 
Yritysasiakkaiden yhteyshenkilöiden, vastuuhenkilöiden ja omistajien nimi- ja yhteystiedot sekä tieto ao. henkilön yhteydestä yhteisöön
Tuntemistiedot Lainsäädännön määrittelemät tuntemistiedot, kuten asiakkaan tunnistamiseksi sekä taloudellisen aseman ja poliittisen vaikutusvallan selvittämiseksi tarpeelliset tiedot
Asiakkuustiedot Asiakkuuden yksilöivät ja luokittelevat tiedot kuten verokoodi, kansalaisuus, asiointikieli, ammatti tai asema
Suostumukset Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot
Sopimus- ja tuotetiedot Rekisterinpitäjän ja rekisteröidyn välisten sopimusten tiedot
Rekisteröidyn hankkimien tuotteiden ja palvelujen tiedot
Asiakastapahtumatiedot Asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat
Taustatiedot Esimerkiksi tiedot rekisteröidyn elämäntilanteesta ja taloudellisesta asemasta, kokemuksesta ja tietämyksestä, tietoja rekisteröidyn, tai rekisteröityyn liittyvistä toiminnanvaikutuksista asiakasyrityksen edustajana, johtoon kuuluvana tai työntekijänä
Käyttäytymistiedot (ml. evästeillä ja muilla vastaavilla teknologioilla kerätyt tiedot) Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite- ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä.
Tallenteet ja viestien sisältö Erimuotoiset tallenteet ja viestit, joissa rekisteröity on osapuolena, esimerkiksi puhelutallenteet
Tekniset tunnistamistiedot Laitteen tai sovelluksen määrittämä tunniste, jonka avulla laitteen tai sovelluksen käyttäjä on tunnistettavissa käyttämällä tarvittaessa lisätietoja

7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät

Kerättyjä henkilötietoja voidaan luovuttaa OP Ryhmän sisällä lainsäädännön sallimissa puitteissa. Lisäksi henkilötietoja voidaan luovuttaa muun muassa:

  • viranomaisille, kuten Finanssivalvonnalle, Euroopan keskuspankille ja Suomen Verohallinnolle, lakisääteisissä tapauksissa. Verohallinnolle toimitetaan vuosi-ilmoituksia rekisterinpitäjän asiakkaista.
  • markkinaosapuolille, kuten Suomen Arvopaperikeskukselle
  • kumppanipankeille maksutoimeksiantojen toteuttamiseksi
  • luottotietorekisterinpitäjille, kuten Suomen Asiakastieto Oy:lle maksuhäiriöseurantaa varten ja Verohallinnon ylläpitämään positiiviseen luottotietorekisteriin
  • tahoille, joille rekisterinpitäjällä on oikeus siirtää tai pantata rahoitussopimuksia tai velkakirjoja
  • tahoille, jotka toimivat takaajina rahoitus- ja/tai vakuusjärjestelyjen yhteydessä
  • Euroopan keskuspankille, Suomen Pankille ja muille eurojärjestelmän keskuspankeille, Euroopan investointipankille, Pohjoismaiden Investointipankille, Finnvera Oyj:lle, Euroopan investointirahastolle tai vastaavalle taholle rahoitus- ja/tai vakuusjärjestelyjen yhteydessä

Rekisterinpitäjä voi luovuttaa pankki- ja maksutilien valvontajärjestelmästä annetun lain mukaisia tietoja lain mukaan toimivaltaisille viranomaisille, kuten poliisille, ulosottoviranomaiselle ja Tullille. Tulli vastaa lain mukaisten tietojen välittämisestä toimivaltaisille viranomaisille. Rekisteröidyn tulee ohjata pankki- ja maksutilien valvontajärjestelmää koskevat kysymykset Tullille.

Rekisterinpitäjän yhteistyökumppaneina toimiville myyjäliikkeille voidaan luovuttaa niiden rekisteröityjen henkilötietoja, jotka myyjäliike on välittänyt OP Yrityspankki Oyj:lle sen asiamiehenä toimiessaan.

8. Henkilötietojen siirtäminen

Rekisterinpitäjä käyttää alihankkijoita tietojen käsittelyssä, ja tietoja voidaan siirtää EU:n / ETA:n ulkopuolelle. EU:n / ETA:n ulkopuolelle siirrettäessä siirto tapahtuu käyttäen EU-komission mallisopimuslausekkeita tai muuta lainsäädännön sallimaa siirtomekanismia. Lisätietoja henkilötietojen kansainvälisistä siirroista sekä mallisopimuslausekkeista saat OP:n verkkosivuilta: op.fi/tietosuoja.

Osa rekisterinpitäjän käyttämistä alihankkijoista on muita OP Ryhmän yhteisöjä. Ne tuottavat rekisterinpitäjälle mm. tietoteknisiä ja muita tukipalveluja.

Rahoitushakemusten vastaanotossa, asiakkaan tunnistamisessa ja rahoitusdokumentaation solmimisessa rekisterinpitäjä käyttää myyjäliikkeitä asiamiehinä.

9. Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit

Henkilötietoja käsitellään asiakas- ja sopimussuhteen voimassaolon ajan. Niitä käsitellään myös asiakas- ja sopimussuhteen päättymisen jälkeen kulloinkin tarpeelliseksi katsottava aika ja mitä jäljempänä on todettu.

Sopimustiedot poistetaan noin kymmenen vuoden kuluttua sopimuksen päättymisestä. Asiakassuhteen tiedot, kuten esimerkiksi asiakkaan tuntemiseen liittyvät tiedot, poistetaan tai anonymisoidaan noin kymmenen vuoden kuluttua viimeisen sopimuksen päättymisestä. Tiedot poistetaan rekisterinpitäjän noudattamien poistoprosessien mukaisesti.

Potentiaalisten asiakkaiden osalta tietoja säilytetään niin kauan kuin säilyttäminen on tarpeellista mahdollisen asiakkuuden perustamiseksi.

Rekisterinpitäjä voi käsitellä sopimussuhteen päätyttyä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti.

Rekisterinpitäjällä voi olla velvollisuus käsitellä joitakin rekisteriin kuuluvia henkilötietoja yllä todettua kauemmin lainsäädännön tai viranomaisvaatimusten, kuten vakavaraisuuslaskentaa koskevan sääntelyn, noudattamiseksi.

10. Henkilötietojen lähteet ja päivittäminen

Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään sekä tapauksen mukaan yhteisöltä, jonka puolesta rekisteröity toimii. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, kuten verkkopalveluja. Henkilötietoja voidaan lain sallimissa puitteissa hankkia myös muilta OP Ryhmän yhteisöiltä esimerkiksi riskienhallinta- ja markkinointitarkoituksia varten.

Henkilötietoja voidaan kerätä ja päivittää lain sallimissa puitteissa kolmansien osapuolten rekistereistä, kuten:

  • Digi- ja väestötietovirastosta
  • muiden viranomaisten pitämistä rekistereistä, kuten Trafi, kaupparekisteri ja säätiörekisteri, Virallinen lehti, lainhuuto- ja kiinnitysrekisteri, Verohallinnon positiivinen luottotietorekisteri
  • luottotietorekisterinpitäjiltä
  • rahoitussektorin asiakashäiriörekisteristä
  • poliittisen vaikutusvallan ja rekisterinpitäjän noudattamien kansainvälisten pakotteiden piiriin kuulumisen selvittämiseksi tarpeelliset tiedot tällaisia tietokantoja ylläpitäviltä tahoilta
  • ulkoisten palveluntarjoajien tarjoamista tietokannoista, mukaan lukien julkisesti saatavilla olevat tiedot

11. Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista.

Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.

Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.

Rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa tietosuoja-asetukseen perustuen.

Kaikki tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle.

Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.

12. Oikeus peruuttaa suostumus

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja suostumuksen perusteella, rekisteröidyllä on oikeus peruuttaa suostumuksensa. Suostumuksen peruuttaminen ei vaikuta ennen sen peruuttamista suoritetun suostumusperusteisen käsittelyn lainmukaisuuteen. Suostumuksen peruuttaminen voi kuitenkin vaikuttaa palvelun käytettävyyteen ja toiminnallisuuksiin.

13. Miten rekisterin suojaus on järjestetty

Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.

Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:

  • laitteistojen ja tiedostojen suojaus
  • kulunvalvonta
  • käyttäjien tunnistus
  • käyttövaltuudet
  • käyttötapahtumien rekisteröinti
  • käsittelyn ohjeistus ja valvonta

Rekisterinpitäjä edellyttää myös alihankkijoiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.