Pohjola Vakuutus Oy:n asiakkaiden rekisteri

Tietosuojaseloste

Päivitetty 11.7.2022

1. Yleistä

Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen lainsäädännön edellyttämiä tietoja yhtäältä rekisteröidylle eli rekisterinpitäjän asiakkaalle tai henkilöstölle ja toisaalta valvovalle viranomaiselle.

2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

Pohjola Vakuutus Oy

Postiosoite: PL 308, 00013 OP
Käyntiosoite: Gebhardinaukio 1, 00510 HELSINKI
Rekisterinpitäjän yhteyshenkilö: OP Ryhmän Tietosuojatiimi
Puhelinnumero: 0303 0303
Sähköpostiosoite: tietosuoja@op.fi

3. Tietosuojavastaavan yhteystiedot

OP Ryhmän tietosuojavastaava
OP Ryhmä
Postiosoite: PL 308, 00013 OP
Sähköpostiosoite: tietosuoja@op.fi

4. Rekisterin nimi

Pohjola Vakuutus Oy:n asiakkaiden rekisteri. 

Rekisteröityinä on yksityishenkilöitä ja yhteisöjä, ml. yrittäjät. Yhteisön osalta rekisteröityjä ovat sen puolesta toimivat henkilöt.

Rekisteröityjä ovat myös aikaisemmin asiakkaina olleet ja potentiaalisiksi katsotut yksityishenkilöt ja yhteisöt.

Rekisteröityjä ovat myös mm. vakuutuksenottajan puolesta vakuutusmaksun maksanut, vakuutussopimusten perusteella korvauksia hakeneet tai saaneet henkilöt, muutoin vakuutussopimusten perusteella vakuutussuoritukseen oikeutetut henkilöt (kuten edunsaajat) sekä vakuutuskorvauksen takaisin maksamiseen velvolliset henkilöt (niin sanotut regressivelalliset).

5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperusteet

Vakuutustoiminta edellyttää henkilötietojen käsittelyä. Rekisteröidyn henkilötietoja tarvitaan muun muassa vakuutussopimuksen tekemistä ja korvausten maksamista varten. Alla on tarkempaa tietoa henkilötietojen käsittelyn tarkoituksista ja käsittelyn oikeusperusteista.

Henkilötietojen käyttötarkoitukset

  • asiakaspalvelu sekä asiakassuhteen hoito ja kehittäminen, mukaan lukien asiakasviestintä
  • palvelujen ja tuotteiden tuottaminen (vakuutustoiminta, vakuutussopimusten täytäntöönpano ja ylläpito, vakuutusopimukseen perustuva korvauskäsittely), kehittäminen, automatisointi ja laadunvarmistus sekä asiakas- ja käyttäjämallinnusten tekeminen
  • tuotteiden ja palvelujen käytön seuranta ja analysointi sekä asiakkaiden segmentointi, jotta rekisterinpitäjä pystyy tarjoamaan käyttäjille muun muassa personoitua sisältöä tuotteissa ja palveluissa
  • palvelujen turvallisuuden varmistaminen ja väärinkäytösten selvittäminen
  • riskienhallinta
  • koulutustarkoitukset
  • suoramarkkinointi, mielipide- ja markkinatutkimukset, etämyynti, markkinoinnin ja mainonnan kohdentaminen 
  • lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen
  • muu liiketoiminnan hoito ja kehittäminen

Pohjola Vakuutus Oy:ssä henkilötietojen käyttötarkoitus on edellä lueteltujen lisäksi näiden yhtiöiden myöntämien lakisääteisten vakuutusten (työtapaturma- ja ammattitautivakuutus sekä liikennevakuutus) toimeenpano.

Automaattinen päätöksenteko ja profilointi

Automaattinen päätöksenteko tarkoittaa, että rekisteröityä koskeva päätös tehdään täysin automaattiseen tietojenkäsittelyyn perustuen. Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää automaattista päätöksentekoa, kuten automaattisia vakuuttamis- ja korvauspäätöksiä. Automaattisella päätöksenteolla pyritään nopeuttamaan käsittelyaikoja ja turvaamaan esimerkiksi korvauspäätösten tasapuolisuus.

Automaattisen päätöksenteon seuraus rekisteröidylle voi olla esimerkiksi päätös vakuutuksen myöntämisestä tai vahingon korvattavuudesta. Rekisteröity voi pyytää asian uudelleen arviointia manuaalisessa käsittelyssä, mikäli päätös on perustunut automaattiseen päätöksentekoon.

Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää myös profilointia. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa näitä tietoja käyttämällä arvioidaan tiettyjä henkilökohtaisia ominaisuuksia. Profilointia käytetään hyödyksi esimerkiksi vakuutuksen hinnan riskivastaavuuden määrittämisessä, markkinoinnin kohdentamisessa sekä käsittelyn jono-ohjauksessa, jotta palvelu olisi nopeampaa.

Yleistä tietoa automaattisesta päätöksenteosta ja profiloinnista on saatavilla tietosuojalausekkeessa osoitteessa op.fi/tietosuoja.

Asiakkaan tunteminen sekä rahanpesun ja terrorismin rahoittamisen estäminen

Asiakkaan tuntemistietoja ja rekisteröidyn muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä rahanpesun ja terrorismin rahoittamisen ja sen rikoksen, jolla rahanpesun tai terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu, tutkintaan saattamista varten.

Rekisteröidyn henkilötietoja voidaan käyttää sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena. Saat lisätietoa pakotteiden noudattamisesta OP Ryhmässä pääsääntöisesti hankkimasi tuotteen tai palvelun ehdoista.

Käsittelyn oikeusperusteet

Käsittelemme rekisteröidyn henkilötietoja pääasiassa sopimussuhteeseen ja sen tekemistä edeltäviin toimenpiteisiin perustuen.

Henkilötietojen käsittely voi perustua myös 

  • rekisteröidyn suostumukseen, kuten suostumus hoitotietotietojen hankkimiseksi hoitolaitokselta,
  • rekisterinpitäjän lakisääteisiin velvoitteisiin, kuten verolainsäädännön ja vakuutusyhtiölain vaatimukset tai 
  • rekisterinpitäjän tai kolmannen osapuolen oikeutettuihin etuihin, kuten tietojen käyttö suoramarkkinointiin edellyttäen, että rekisteröity siitä tietää eikä ole sitä kieltänyt, liiketoiminnan kehittämiseen sekä väärinkäytösten ja petosten ehkäisemiseen. Myös tietojen luovuttaminen OP Ryhmän yhteisöjen välillä perustuu usein oikeutettuun etuun.

Useimmiten rekisterinpitäjän oikeutettu etu perustuu rekisterinpitäjän ja rekisteröidyn väliseen asiakas- tai vastaavaan suhteeseen. Rekisterinpitäjä huolehtii siitä, että tällainen käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa hänen kohtuullisia odotuksiaan.

Rekisteröidyn terveydentilatietojen käsittely rekisterissä perustuu lakiin tai rekisteröidyn suostumukseen.

Rekisterinpitäjällä on oikeus käsitellä sellaisia tietoja vakuutetun, korvauksenhakijan tai vahingon aiheuttajan rikollisesta teosta, rangaistuksesta tai muusta rikoksen seuraamuksesta, jotka ovat tarpeen vakuutusyhtiön vastuun selvittämiseksi.

6. Henkilötietoryhmät

Rekisteröidyistä käsitellään tyypillisesti alla kuvattuja henkilötietoryhmiä ja -tietoja. Käsiteltävä tietosisältö riippuu mm. siitä, onko kysymys yksityishenkilön vai yrityksen puolesta toimivan henkilön tiedoista.

Henkilötietoryhmä Ryhmän tietosisältö
Perustiedot Yksityishenkilö: Rekisteröidyn nimi ja henkilötunnus
Yhteisö, ml. yrittäjät: Yhteisön puolesta toimivien henkilöiden yksilöintitiedot sekä tieto yhteydestä yhteisöön
Tuntemistiedot Lainsäädännön edellyttämät tuntemistiedot, kuten asiakkaan tunnistamiseksi sekä taloudellisen aseman ja poliittisen vaikutusvallan selvittämiseksi tarpeelliset tiedot
Asiakkuustiedot Asiakkuuden yksilöivät ja luokittelevat tiedot, kuten asiakastunnus ja vakuutustunnus
Suostumukset Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot
Sopimus- ja tuotetiedot Rekisterinpitäjän ja rekisteröidyn välisten sopimusten tiedot
Rekisteröidyn hankkimien tuotteiden ja palvelujen tiedot
Asiakastapahtumatiedot Asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat, kuten muutokset vakuutuksiin ja korvauskäsittelyä koskevat tiedot
Taustatiedot Tiedot rekisteröidyn elämäntilanteesta ja taloudellisesta asemasta
Esim. verohallinnolta saadut maksettuja palkkoja ja etuuksia koskevat tiedot työtapaturma- ja ammattitautivakuutuksen toimeenpanoon liittyen
Kiinnostuksen kohteet Tiedot rekisteröidyn kiinnostuksen kohteista, kuten kiinnostus OP Ryhmän yhteisöjen palveluja ja tuotteita kohtaan
Käyttäytymistiedot (ml. evästeillä ja muilla vastaavilla teknologioilla kerätyt tiedot) Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite- ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä.
Tallenteet ja viestien sisältö Erimuotoiset tallenteet ja viestit, joissa rekisteröity on osapuolena, esimerkiksi puhelutallenteet
Erityiset henkilötietoryhmät Tietosuoja-asetuksen 9 artiklassa määritellyt henkilötietojen erityisryhmät, joita ovat esim. terveydentila, tunnistamistarkoituksessa käsiteltävät biometriset tiedot sekä ammattiliiton jäsenyys
Sijainti- ja sensoridata Rekisteröidyn sijainnin seuranta ja sensoreilla kerätty tieto rekisteröidystä
Tekniset tunnistamistiedot Laitteen tai sovelluksen määrittämä tunniste, jonka avulla laitteen tai sovelluksen käyttäjä on tunnistettavissa käyttämällä tarvittaessa lisätietoja

 

7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät

Kerättyjä henkilötietoja voidaan luovuttaa OP Ryhmän sisällä sekä samaan taloudelliseen yhteenliittymään kuuluvalle yritykselle lainsäädännön sallimissa puitteissa. Lisäksi henkilötietoja voidaan luovuttaa muun muassa:

  • hoitolaitoksille rekisteröidyn antamaan suostumukseen perustuen
  • palvelujen tuottamisessa tai tarjoamisessa käytettäville yhteistyökumppaneille. Nämä kumppanit voivat siis toimia sekä henkilötietojen käsittelijöinä rekisterinpitäjän lukuun että itsenäisinä rekisterinpitäjinä
  • vakuutusyhtiöiden yhteiseen vahinkorekisteriin ja väärinkäytösrekisteriin tämän selosteen kohdassa 10 kuvatun mukaisesti.

Henkilötietoja voidaan luovuttaa lain sallimissa puitteissa viranomaisille, kuten ulosotto- ja sosiaaliviranomaisille, Finanssivalvonnalle ja Suomen verohallinnolle. Verohallinnolle toimitetaan vuosi-ilmoituksia rekisterinpitäjän asiakkaista.

8. Henkilötietojen siirtäminen

Rekisterinpitäjä käyttää alihankkijoita tietojen käsittelyssä, ja tietoja voidaan siirtää EU:n / ETA:n ulkopuolelle. EU:n / ETA:n ulkopuolelle siirrettäessä siirto tapahtuu käyttäen EU-komission mallisopimuslausekkeita tai muuta lainsäädännön sallimaa siirtomekanismia. Lisätietoja henkilötietojen kansainvälisistä siirroista sekä mallisopimuslausekkeista saat OP:n verkkosivuilta: op.fi/tietosuoja.

Osa rekisterinpitäjän käyttämistä alihankkijoista on muita OP Ryhmän yhteisöjä. Ne tuottavat rekisterinpitäjälle mm. tietoteknisiä ja muita tukipalveluja.

9. Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit

Rekisterinpitäjä määrittelee henkilötietojen säilytysajat ottaen huomioon soveltuvan lainsäädännön sekä liiketoiminnan, kuten korvauskäsittely ja vakuutusasioiden hoito, toimivuuden ja sujuvuuden.

Esimerkiksi useissa vapaaehtoisissa vakuutuslajeissa vakuutussopimuksia koskevat tiedot säilytetään vähintään 15 vuotta sopimuksen päättymispäivästä. Sen sijaan lakisääteisissä henkilö- ja liikennevahingoissa lain edellyttämä säilytysaika on 100 vuotta vahingon viimeisestä käsittelypäivästä.

Rekisterinpitäjä voi käsitellä sopimussuhteen päätyttyä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti.

10. Henkilötietojen lähteet ja päivittäminen

Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, kuten verkkopalveluita.

Kaikki rekisterinpitäjälle soitetut sekä rekisterinpitäjältä soitetut puhelut voidaan tallentaa. Puheluiden tallenteita voidaan käyttää asiakastapahtumien varmentamiseen, asiakaspalvelun laadunvarmistukseen, palveluiden kehitykseen sekä koulutustarkoituksiin.

Henkilötietoja voidaan lain sallimissa puitteissa kerätä ja päivittää kolmansien osapuolten rekistereistä, kuten:

  • Digi- ja väestötietovirastosta ja Postin muuttoilmoituspalvelusta
  • muiden viranomaisten pitämistä rekistereistä, kuten Suomen verohallinnon tulorekisteristä ja Kelalta
  • luottotietorekisterinpitäjiltä
  • vakuutusyhtiöiden yhteisestä vahinkorekisteristä ja väärinkäytösrekisteristä
  • hoitolaitoksilta rekisteröidyn antaman suostumuksen tai lain perusteella
  • vakuutusten ja vahinkojen hoitoon liittyviltä yhteistyökumppaneilta
  • julkisista tietolähteistä, jonka perusteella rekisteröity voidaan luotettavasti tunnistaa
  • pankeilta tunnistautumista varten
  • poliittisen vaikutusvallan ja rekisterinpitäjän noudattamien kansainvälisten pakotteiden piiriin kuulumisen selvittämiseksi tarpeelliset tiedot tällaisia tietokantoja ylläpitäviltä tahoilta
  • muiden OP Ryhmän yhteisöjen asiakasrekistereistä

Pohjola Vakuutus Oy kerää verotusta koskevia tietoja Suomen verohallinnolta työtapaturma- ja ammattitautilain mukaisia käyttötarkoituksia varten (kuten vakuutusasian ratkaiseminen ja vakuutusyhtiön valvontavelvollisuuden toteuttaminen).

Vahinko- ja väärinkäytösrekisteri

Rekisterinpitäjällä on käytössä vakuutusyhtiöiden yhteinen vahinkorekisteri ja väärinkäytösrekisteri, joihin vakuutusyhtiöt luovuttavat tietoa vahingoista sekä vakuutusyhtiöihin kohdistuneista rikoksista ja rikosepäilyistä, ja joihin luovutettua tietoa vakuutusyhtiöt voivat käyttää vakuutus- ja vahinkokäsittelyssään. Rekistereihin merkitään tietoja mm. vahinkotapahtumasta ja rekisteröidystä, kuten rekisterinpitäjän asiakkaasta. Rekisterien tarkoituksena on ehkäistä ja paljastaa vakuutusyhtiöihin kohdistuvaa rikollisuutta jakamalla tietoa vakuutusyhtiöiden kesken. 

Vahinkorekisteriin luovutetaan perustiedot vakuutusyhtiöille ilmoitetuista vahingoista. Kun vakuutusyhtiö rekisteröi vahingon perustiedot vahinkorekisteriin, vakuutusyhtiö saa tietoonsa mahdolliset korvauksenhakijan muille vakuutusyhtiöille ilmoittamat vahinkotiedot. Vahinkorekisterin tarkoituksena on estää korvauksen hakeminen väärin perustein useasta vakuutusyhtiöstä samanaikaisesti.

Väärinkäytösrekisteriin luovutetaan tiedot vakuutusyhtiön harjoittamaan vakuutustoimintaan kohdistuneista rikoksista ja niiden epäilyistä. Merkinnän tekeminen rekisteriin edellyttää, että epäillystä rikollisesta teosta on ilmoitettu poliisille tai syyttäjälle. Rikosepäilyn johdosta tehty merkintä poistetaan rekisteristä, jos rekisteröity henkilö todetaan tuomioistuimessa syyttömäksi tekoon tai jos oikeusprosessista luovutaan. Väärinkäytösrekisterin tietoja käytetään vakuutusyhtiöihin kohdistuvan rikollisuuden ehkäisemiseen ja paljastamiseen. 

11. Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista. 

Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.

Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin. Rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa tietosuoja-asetukseen perustuen.

Kaikki tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle.

Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.

12. Oikeus peruuttaa suostumus

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja suostumuksen perusteella, kuten pääsääntöisesti suoramarkkinoinnissa sähköisiä kanavia pitkin, rekisteröidyllä on oikeus peruuttaa suostumuksensa. Suostumuksen peruuttaminen ei vaikuta suostumuksen perusteella ennen sen peruuttamista suoritetun käsittelyn lainmukaisuuteen. Suostumuksen peruuttaminen voi kuitenkin vaikuttaa palvelun käytettävyyteen ja toiminnallisuuksiin.

13. Miten rekisterin suojaus on järjestetty

Käsittelemme henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Olemme huolellisesti arvioineet käsittelytoimiimme liittyvät mahdolliset riskit ja ryhtyneet tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.

Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:

  • laitteistojen ja tiedostojen suojaus
  • kulunvalvonta
  • käyttäjien tunnistus
  • käyttövaltuudet
  • käyttötapahtumien rekisteröinti
  • käsittelyn ohjeistus ja valvonta

Rekisterinpitäjä edellyttää myös alihankkijoiltaan käsiteltävien henkilötietojen asianmu-kaista suojaamista