Tietosuojaseloste
1. Yleistä
Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle eli rekisterinpitäjän asiakkaalle tai henkilöstölle ja toisaalta valvovalle viranomaiselle.
2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot
Kukin OP Ryhmän osuuspankki
Rekisterinpitäjän yhteyshenkilö: OP Ryhmän Tietosuojatiimi
Puhelinnumero: 0100 0500
Sähköpostiosoite: tietosuoja@op.fi
3. Tietosuojavastaavan yhteystiedot
OP Ryhmän tietosuojavastaava
OP Ryhmä
Postiosoite: PL 308, 00013 OP
Sähköpostiosoite: tietosuoja@op.fi
4. Rekisterin nimi ja rekisteröidyt
Osuuspankin kampanjarekisteri
Rekisteri kattaa rekisterinpitäjän järjestämään tapahtumaan, tilaisuuteen, kampanjaan, kilpailuun tai arvontaan (jäljempänä viittaus tapahtumaan tarkoittaa tilanteen mukaan jotakin edellä mainituista) osallistuvat sekä muuten rekisterinpitäjän tarjoamia palveluita kohtaan kiinnostuksensa osoittaneet henkilöt ja yhteisöjen, kuten yritysten, puolesta toimivat henkilöt. Em. henkilöryhmät ovat rekisterin rekisteröityjä. Rekisterin rekisteröityjä voivat olla myös tapahtuman yhdessä osuuspankin kanssa järjestävän yhteistyökumppanin edustajat.
Rekisterin tietoja ei ole liitetty OP Ryhmän yhtiöiden asiakasrekistereihin.
5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperusteet
Käsittelyn tarkoitukset
Henkilötietojen käyttötarkoituksiin kuuluvat:
- kampanjoiden järjestäminen ja osallistujalistojen ylläpitäminen tapahtumien yhteydessä, erityisesti näihin liittyvä asiakaspalvelu ja ilmoitukset sekä mahdollinen muu tiedotus ja viestintä
- tapahtumaan osallistujien ikäryhmiin / sarjoihin jakaminen
- voittajien valitseminen ja vahvistaminen sekä julkistaminen järjestäjän omissa kanavissa, kuten verkkosivuilla
- tapahtuman turvallisuuden varmistaminen
- tuote- ja palvelutarjonnan suunnittelu ja kehittäminen, sekä tarjonnan kohdistaminen
- mielipide- ja markkinatutkimukset
- palaute- ja tyytyväisyyskyselyt
- suoramarkkinointi
- markkinoinnin ja mainonnan kohdentaminen sisäisissä ja ulkoisissa medioissa
- koulutustarkoitukset
- Alaikäisen rekisteröidyn tietoja ei kerätä markkinointi-, myynti- eikä asiakassuhteen hoitotarkoituksessa.
Käsittelyn oikeusperusteet
Alla on kuvattu rekisterin käyttämät henkilötietojen käsittelyn oikeusperusteet sekä esimerkkejä kullakin perusteella suoritettavasta käsittelystä.
| Oikeusperuste | Esimerkki |
|---|---|
| Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet | Esimerkki: Toisen tapahtumanjärjestäjän edustajien tietojen käsittely rekisterissä voi perustua sopimukseen. |
| Suostumus | Käsittely voi perustua rekisteröidyn suostumukseen. Rekisteröity voi antaa suostumuksensa esimerkiksi voittajatietojen julkaisuun verkkosivuilla, valokuvaukseen tapahtuman aikana sekä kuvien julkaisuun ja sähköiseen suoramarkkinointiin. Alaikäisten puolesta suostumus pyydetään huoltajilta. |
| Rekisterinpitäjän oikeutetut edut | Tapahtumaan liittyvä henkilötietojen käsittely, kuten voittajien valinta ja myös suoramarkkinointi tietyissä tapauksissa, voi perustua oikeutettuihin etuihin. Esimerkkinä rekisteröity voi ilmaista tapahtuman yhteydessä kiinnostuksensa OP Ryhmää tai sen tuotteita ja palveluita kohtaan. Henkilötietojen luovuttaminen OP Ryhmän sisällä voi perustua oikeutettuun etuun. Rekisterinpitäjä huolehtii siitä, että tällä perusteella suoritettava käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa hänen kohtuullisia odotuksiaan. |
6. Henkilötietoryhmät
| Henkilötietoryhmä | Ryhmän tietosisältö |
|---|---|
| Perustiedot | Rekisteröidyn nimi Rekisteröidyn yhteystiedot, kuten sähköposti, puhelinnumero ja osoitetiedot |
| Asiakkuustiedot | Potentiaalisen asiakkuuden yksilöivät ja luokittelevat tiedot. Yhteystietojen lähde |
| Suostumukset | Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot |
| Asiakastapahtumatiedot | Yhteydenottotiedot |
| Taustatiedot | Asiointikieli |
| Kiinnostuksen kohteet | Tiedot rekisteröidyn kiinnostuksen kohteista |
| Käyttäytymistiedot (ml. evästeillä ja muilla vastaavilla teknologioilla kerätyt tiedot) / tapahtumaan osallistuja tai hänen huoltajansa | Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite- ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä. |
| Tekniset tunnistamistiedot / tapahtumaan osallistuja tai hänen huoltajansa | Laitteen tai sovelluksen määrittämä tunniste, jonka avulla laitteen tai sovelluksen käyttäjä on tunnistettavissa käyttämällä tarvittaessa lisätietoja |
7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät
Tietojen luovutuksensaajat
Kerättyjä henkilötietoja voidaan luovuttaa lainsäädännön sallimissa puitteissa OP Ryhmän sisällä ja viranomaisille.
Kerättyjä henkilötietoja voidaan luovuttaa tapahtuman järjestämiseksi muille sen järjestämisestä vastaaville yhteistyökumppaneille. Lisäksi voittajatietoja ja osallistujien kuvia voidaan luovuttaa medialle rekisteröidyn suostumuksella.
Luovuttaessaan rekisteriin kuuluvia henkilötietoja rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset.
Tietojen siirto alihankkijoille
Rekisterinpitäjä käyttää alihankkijoita, jotka käsittelevät henkilötietoja sen lukuun. Rekisterinpitäjä tekee tällaisten alihankkijoiden kanssa asianmukaiset henkilötietojen käsittelyä koskevat sopimukset.
Alihankkijat tuottavat rekisterinpitäjälle mm. tietoteknisiä palveluja. Osa käytetyistä alihankkijoista on muita OP Ryhmän yhteisöjä.
Kansainväliset tiedonsiirrot
Rekisterinpitäjä käyttää henkilötietojen käsittelyssä alihankkijoita ja tietoja siirretään rajatusti EU:n / ETA:n ulkopuolelle.
Tietojen siirto EU:n / ETA:n ulkopuolelle tapahtuu käyttäen tietosuojalainsäädännön mukaisia mallisopimuslausekkeita tai muuta lainsäädännössä sallittua siirtomekanismia, jolla taataan asianmukainen henkilötietojen suoja. EU-komission hyväksymät mallisopimuslausekkeet löydät
8. Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit
Rekisterinpitäjä käsittelee rekisteröityjen henkilötietoja tapahtuman ajan ja hävittää ne noin 6 kuukauden kuluttua tapahtuman päättymisestä. Tapahtuman voittajaluetteloita voidaan säilyttää jonkin verran tätä pitempään, yleensä korkeintaan muutaman vuoden ajan.
Rekisterinpitäjä ei vastaa kilpailun osallistuja- ja voittajatietojen esilläolosta muissa kuin omissa kanavissaan (muu kanava on esimerkiksi paikallislehden verkkosivuilla julkaistu voittajaluettelo).
9. Henkilötietojen lähteet ja päivittäminen
Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään tai tämän edustamalta yhteisöltä. Henkilötietoja voidaan kerätä myös verkkopalveluja käytettäessä. Lähteenä voidaan käyttää myös OP Ryhmän yhtiöiden asiakasrekistereitä.
10. Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.
Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista.
Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.
Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.
Rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa tietosuoja-asetukseen perustuen.
Kaikki tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle.
Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.
11. Oikeus peruuttaa suostumus
Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja suostumuksen perusteella, rekisteröidyllä on oikeus peruuttaa suostumuksensa. Suostumuksen peruuttaminen ei vaikuta ennen sen peruuttamista suoritetun suostumusperusteisen käsittelyn lainmukaisuuteen. Suostumuksen peruuttaminen voi kuitenkin vaikuttaa palvelun käytettävyyteen ja toiminnallisuuksiin.
12. Miten rekisterin suojaus on järjestetty
Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.
Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:
- laitteistojen ja tiedostojen suojaus
- kulunvalvonta
- käyttäjien tunnistus
- käyttövaltuudet
- käyttötapahtumien rekisteröinti
- käsittelyn ohjeistus ja valvonta
Rekisterinpitäjä edellyttää myös alihankkijoiltaan ja muilta yhteistyökumppaneiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.