Whistle Blowing -rekisteri

Tietosuojaseloste

1. Yleistä

Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle, kuten rekisterinpitäjän asiakkaalle tai henkilöstölle, ja toisaalta valvovalle viranomaiselle.

2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

Kukin OP Ryhmän yhteisö, joka on velvollinen pitämään väärinkäytösepäilyistä ilmoittamisen kanavaa koskevaa henkilörekisteriä (jäljempänä Whistle Blowing -rekisteriä)

Postiosoite: PL 308, 00013 OP
Käyntiosoite: Gebhardinaukio 1, 00510 HELSINKI
Rekisterinpitäjän yhteyshenkilö: Rami Kinnala
Sähköpostiosoite: rami.kinnala@op.fi

Kukin ryhmän yhteisö, jolla on velvollisuus pitää Whistle Blowing -rekisteriä, on itsenäinen rekisterinpitäjä vastuullaan olevan tällaisen rekisterin osalta. Tämä on yhteinen tietosuojaseloste, jossa kuvataan henkilötietojen käsittelyä kunkin rekisterinpitäjänä toimivan yhteisön erillisessä rekisterissä.

3. Tietosuojavastaavan yhteystiedot

OP Ryhmän tietosuojavastaava
OP Ryhmä
Postiosoite: PL 308, 00013 OP
Sähköpostiosoite: tietosuoja@op.fi

4. Rekisterin nimi ja rekisteröidyt

Whistle Blowing -rekisteri

Rekisteröityjä ovat henkilöt, joilla on / on ollut rekisterinpitäjään työsuhde tai työsuhteeseen rinnastettava muuhun sopimukseen, toimeksiantoon tai yhteistyöhön perustuva suhde, tai jotka toimivat rekisterinpitäjän asiamiehenä, ja jotka tekevät / ovat tehneet lainsäädännön tarkoittaman ilmoituksen rikkomuksesta tai ovat / ovat olleet tällaisen ilmoituksen kohteena. Rekisteröityjä voivat myös olla rekisterinterinpitäjän asiakkaat, potentiaaliset asiakkaat tai muut henkilöt, jotka tekevät / ovat tehneet lainsäädännön tarkoittaman ilmoituksen rikkomuksesta tai ovat / ovat olleet tällaisen ilmoituksen kohteena.  

Ilmoituksen voi tehdä myös anonyymisti.

5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperusteet

5.1 Käsittelyn tarkoitukset

Finanssialan sääntely edellyttää menettelytapoja, joita noudattamalla sen palveluksessa olevat henkilöt voivat ilmoittaa yhteisön sisällä riippumattoman kanavan kautta finanssimarkkinoita sekä sijoituspalvelu-, sijoitusrahasto- ja vakuutusyhtiötoimintaa koskevien säännösten ja määrysten rikkomisesta.  

Henkilötietojen käyttötarkoituksiin kuuluvat:

  • luottolaitostoiminnasta annetun lain (610/2014) 7 luvun 6 §, sijoitusrahastolain (48/1999) 150 §, sijoituspalvelulain (747/2012) 6 b luvun 13 §, arvopaperimarkkinalain (746/2012) 12 luvun 3 §, vakuutusyhtiölain (521/2008) 6 luvun 17a §, lain vakuutusten tarjoamisesta (234/2018) 9 luvun 72 § mukaisten rikkomuksista ilmoittamista koskevien velvoitteiden noudattaminen sekä rahanpesun ja terrorismin rahoituksen estämisestä annetun lain 7 luvun 8 § mukaisten velvoitteiden noudattaminen sekä lain Euroopan unionin ja kansallisen oikeuden rikkomisesta ilmoittavien henkilöiden suojelusta (1171/2022) noudattaminen
  • finanssimarkkinoita sekä sijoituspalvelu-, sijoitusrahasto- ja vakuutusyhtiötoimintaa koskevien säännösten ja määräysten epäiltyjen rikkomusten selvittäminen
  • OP Ryhmän arvojen vastaista toimintaa koskevien epäilyjen selvittäminen
  • lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten säilytys-, raportointi- ja ilmoitusvelvoitteiden hoitaminen
  • riskienhallinta.

5.2 Käsittelyn oikeusperusteet

Alla on kuvattu rekisterin käyttämät henkilötietojen käsittelyn oikeusperusteet sekä esimerkkejä kullakin perusteella suoritettavasta käsittelystä.

Oikeusperuste Esimerkki
Lakisääteinen velvoite Rekisterissä käsitellään henkilötietoja luottolaitoslain, sijoitusrahastolain, sijoituspalvelulain, arvopaperimarkkinalain, rahanpesun estämislain, vakuutusyhtiölain ja vakuutusten tarjoamislain sekä ilmoittajansuojelusta annetun lain perusteella.
Rekisterinpitäjän oikeutettu etu Rekisterissä käsitellään henkilötietoja OP Ryhmän arvojen vastaista toimintaa koskevien epäilyjen selvittämiseen tarkoituksena edistää yleistä luottamusta markkinoihin ja niillä toimiviin. Ilmoituskanavaan voi esimerkiksi ohjautua vääriä pyyntöjä, jolloin ne poistetaan ja ohjataan oikeaan kanavaan.

6. Henkilötietoryhmät

Henkilötietoryhmä Ryhmän tietosisältö
Perustiedot Tapauskohtaisesti: 
Rekisteröidyn nimi
Rekisteröidyn yhteystiedot
Sen organisaation nimi ja osoite, jota ilmoitus koskee

Ilmoittajasta ei kerätä tietoja, ja turhat henkilötiedot poistetaan ilmoituksesta.
Tapahtuma, jota ilmoitus koskee Otsikkotason kuvaus tapahtumasta sekä laajempi vapaamuotoinen kuvaus ilmoitetusta epäillyistä rikkomuksesta tai väärinkäytöksestä.
Viestit ja kanavatiedot Kanava, mistä ilmoitus on otettu vastaan.

Viestien sisältö, mitä ilmoituskanavassa on käyty keskustelua.

7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät

7.1 Tietojen luovutuksensaajat

Kerättyjä henkilötietoja voidaan luovuttaa viranomaisille sekä OP Ryhmän sisällä lainsäädännön sallimissa puitteissa.

Luovuttaessaan rekisteriin kuuluvia henkilötietoja rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset, ml. rekisterinpitäjään kohdistuvat salassapitovelvoitteet.

7.2 Henkilötietojen siirtöminen alihankkijoille

Rekisterinpitäjä käyttää alihankkijoita, jotka käsittelevät henkilötietoja sen lukuun. Rekisterinpitäjä tekee tällaisten alihankkijoiden kanssa asianmukaiset henkilötietojen käsittelyä koskevat sopimukset.

Alihankkijat tuottavat rekisterinpitäjälle mm. tietoteknisiä palveluja. Osa käytetyistä alihankkijoista on muita OP Ryhmän yhteisöjä.

7.3 Kansainväliset tiedonsiirrot

Henkilötietoja ei siirretä EU:n tai ETA:n ulkopuolelle.

8. Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit

Rekisterinpitäjä poistaa tiedot viiden vuoden kuluttua ilmoituksen tekemisestä, jollei tietojen edelleen säilyttäminen ole tarpeen rikostutkinnan, vireillä olevan oikeudenkäynnin, viranomaistutkinnan taikka ilmoituksen tekijän tai ilmoituksen kohteena olevan henkilön oikeuksien turvaamiseksi. Tietojen edelleen säilyttämisen tarpeellisuus tutkitaan viimeistään yhden vuoden kuluttua edellisestä tarkistamisesta.

9. Henkilötietojen lähteet ja päivittäminen

Henkilötietoja kerätään Whistle Blowing -järjestelmän kautta pääasiassa.

Ilmoituksen johdosta jatkotoimenpiteenä tietoja voidaan kerätä rekisterinpitäjän työntekijöiltä tai muilta, joiden suhde rekisterinpitäjään perustuu sopimukseen, toimeksiantoon tai muuhun yhteistyöhön, sekä rekisterinpitäjän järjestelmistä.

Ilmoituksentekijä antaa ilmoituksensa anonyymisti.

10. Rekisteröidyn oikeudet

Ilmoituksen kohteena olevalla rekisteröidyllä ei ole oikeutta saada pääsyä sellaisiin tietoihin, joiden antaminen voisi haitata epäiltyjen rikkomusten selvittämistä. Jäljempänä tässä kohdassa mainittujen rekisteröidyn oikeuksien toteutettavuus arvioidaan tapauskohtaisesti rekisterin tietojen käsittelyä koskeva erityissääntely huomioon ottaen.

Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista.

Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.

Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.

Tietosuoja-asetuksen soveltamisen alettua rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa tietosuoja-asetukseen perustuen.

Kaikki tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle.

Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.

11. Miten rekisterin suojaus on järjestetty

Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.

Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:

  • laitteistojen ja tiedostojen suojaus
  • kulunvalvonta
  • käyttäjien tunnistus
  • käyttövaltuudet
  • käyttötapahtumien rekisteröinti
  • käsittelyn ohjeistus ja valvonta

Rekisterinpitäjä edellyttää myös alihankkijoiltaan ja muilta yhteistyökumppaneiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.