Säästöpankin asiakasrekisterin tietosuojaseloste

Tällä tietosuojaselosteella annetaan sekä henkilötietolain että EU:n yleisen tietosuoja-asetuksen edellyttämiä tietoja henkilötietojen käsittelystä Säästöpankin asiakasrekisterissä rekisteröidyille, Säästöpankin henkilöstölle ja valvovalle viranomaiselle. Tällä tietosuojaselosteella päivitetään ja korvataan aikaisempi henkilötietolain 10 §:n mukainen rekisteriseloste (19.5.2014).

1. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

Kukin Säästöpankki ylläpitää ja käsittelee omaa asiakasrekisteriään. Rekisterinpitäjä määräytyy asiakassuhteen perusteella.

2. Tietosuojavastaavan yhteystiedot

Säästöpankkiryhmässä on nimetty ryhmän yhteinen tietosuojavastaava, johon voit ottaa yhteyttä henkilötietojen käsittelyä ja tietosuojalainsäädäntöä koskevissa kysymyksissä.

Säästöpankkiryhmän tietosuojavastaava
Säästöpankkiliitto osk
Postiosoite: Teollisuuskatu 33, 00510 Helsinki
Sähköposti: tietosuoja@saastopankki.fi

3. Rekisterin nimi

Asiakasrekisteri

4. Rekisteröityjen ryhmät

Rekisterinpitäjä käsittelee sellaisten henkilöiden tietoja, joilla on tai on ollut

  • asiakassuhde rekisterinpitäjään
  • asiakassuhteen solmimiseksi tehty tarjous tai hakemus, joka koskee esimerkiksi tiliä, luottoa, palvelu- tai muuta sopimusta, toimeksiantoa  tai yhteydenottopyyntöä
  • rekisterinpitäjälle annettu toimeksianto.

Rekisterinpitäjä käsittelee lisäksi sellaisten henkilöiden tietoja, joilla on tai on ollut hakemukseen tai asiakassuhteeseen liittyvä osallisuus tai velvoite tai muu oikeus sopimukseen, palveluun tai toimeksiantoon. Tällaisia henkilöitä ovat esimerkiksi tilinomistajat, tilinkäyttöoikeutetut, luoton velalliset, asiakkaan edustajat ja yhteyshenkilöt, takaajat ja vakuudenantajat.

5. Henkilötietojen käsittelyn tarkoitukset

Pankkitoiminta edellyttää henkilötietojen käsittelyä. Henkilötietojen käsittelyn käyttötarkoituksia ovat

  • asiakassuhteen hoitaminen ja asiakaspalvelu
  • asiakassuhteen kehittäminen
  • asiakasviestintä, yhteydenottopyyntöjen käsittely
  • asiakkaiden segmentointi
  • palvelujen tarjoaminen ja tuottaminen
  • palveluiden ja liiketoiminnan kehittäminen
  • tuotteiden ja palveluiden käytön seuranta ja analysointi
  • suoramarkkinointi ja suoramainonta
  • markkinoinnin ja mainonnan kohdentaminen
  • mielipide- ja markkinatutkimukset
  • palveluiden turvallisuuden varmistaminen
  • palveluiden laadun varmistaminen
  • väärinkäytösten estäminen ja selvittäminen
  • riskienhallinta
  • lakiin ja viranomaismääräyksiin perustuvien käsittely-, säilytys-, raportointi- ja kyselyvelvoitteiden täyttäminen
  • asiakaspalvelun laadun varmistaminen mukaan lukien henkilöstön koulutus.

6. Henkilötietojen käsittelyn oikeusperusteet

Säästöpankki käsittelee henkilötietoja, jotta se voi täyttää lakisääteiset ja sopimuksista johtuvat velvoitteensa. Henkilötietojen käsittely voi perustua samanaikaisesti myös useampaan käsittelyperusteeseen, kuten sopimussuhteeseen ja rekisterinpitäjän lakisääteiseen velvoitteeseen.

Oikeusperuste: Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet

Esimerkkejä

  • Tiliä, luottoa tai muuta palvelua koskeva hakemus ja hakemuksen käsittely
  • Luottopäätösprosessi
  • Tili-, luotto- tai verkkopankkisopimuksen tekeminen
  • Asiakaspalvelu ja asiakassuhteen hoito

Rekisterinpitäjän lakisääteinen velvoite

  • Asiakkaan tunteminen
  • Luottolaitoslainsäädäntö
  • Rahanpesulainsäädäntö
  • Finanssipakotteiden edellyttämät tarkistukset
  • Raportointi viranomaisille ja viranomaisten tekemät tietopyynnöt
  • Riskienhallintaa koskevat velvoitteet (esimerkiksi luottoriskit)
  • Vakavaraisuutta koskevat velvoitteet
  • Palvelua tai tuotetta, kuten maksupalveluja, vahvaa sähköistä tunnistamista ja luottamuspalveluja, asuntolainoja, luottoja ja sijoituspalveluja koskevat velvoitteet
  • Sijoitusneuvontaa koskevat velvoitteet
  • Kirjanpitosäädökset
  • Verolainsäädäntö
  • Tietosuojalaki.

Oikeusperuste: Rekisterinpitäjän oikeutettu etu

Esimerkkejä

  • Markkinointi-, tuote- ja asiakasanalyysit
  • Mielipide- ja markkinatutkimukset
  • Markkinointi, suoramarkkinointi
  • Prosessien, palveluiden ja liiketoiminnan kehittäminen
  • Tuotteiden ja palveluiden käytön seuranta ja analysointi
  • Asiakaspalvelun laadun varmistaminen

Oikeusperuste: Rekisteröidyn suostumus

Esimerkkejä

  • Sähköinen suoramarkkinointi (tekstiviestit, sähköposti)
  • Rekisterinpitäjän oikeutettu etu liittyy muun muassa sellaisiin markkinointitoimiin ja prosessien, liiketoiminnan ja järjestelmien kehittämiseen, joihin liittyy henkilötietojen käsittelyä. Esimerkiksi seuraamalla ja analysoimalla tuotteiden ja palvelujen käyttöä rekisterinpitäjä saa tietoa, jonka perusteella se voi muun muassa parantaa tuote- ja palveluvalikoimaansa, optimoida asiakkailleen tarjottavia palveluja ja parantaa asiakaskokemusta.
  • Rekisteröidyn suostumus liittyy esimerkiksi sähköiseen suoramarkkinointiin. Rekisterinpitäjä pyytää rekisteröidyltä suostumusta tilanteissa, joissa käsittely edellyttää rekisteröidyn suostumusta. Rekisterinpitäjä antaa pyytäessään rekisteröidyn suostumusta myös tietoja kyseisten tietojen käsittelystä. Jos henkilötietojen käsittely edellyttää rekisteröidyn suostumusta, rekisteröidyllä on aina myös oikeus peruuttaa antamansa suostumus.

7. Automatisoitu päätöksenteko

Henkilötietojen käsittely voi sisältää automaattista päätöksentekoa lainsäädännön puitteissa, rekisteröidyn suostumuksella tai jos se on tarpeen sopimuksen täytäntöön panemiseksi. Automaattisesta päätöksenteosta kerrotaan aina asianomaisen tuotteen tai palvelun yhteydessä. Rekisterinpitäjä varmistaa tällöin, että rekisteröity voi aina vaatia asian manuaalista käsittelyä ja ilmaista mielipiteensä. Rekisteröity voi myös riitauttaa pelkästään automatisoituun käsittelyyn, kuten profilointiin perustuvan päätöksen, jos päätöksellä on rekisteröidylle oikeusvaikutuksia tai muutoin vastaavia merkittäviä vaikutuksia.

Henkilötietojen käsittelyyn voi sisältyä myös profilointia. Profilointi tarkoittaa automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan henkilökohtaisia ominaisuuksia, kuten luotonhakijan luottokelpoisuutta tai sijoitusneuvonta-asiakkaan riskinsietokykyä. Luoton myöntävällä tai sijoitusneuvontaa tarjoavalla rekisterinpitäjällä on lakisääteinen velvoite arvion tekemiseen. Profilointi voi liittyä myös rekisterinpitäjän oikeutettuun esimerkiksi markkinointitarkoituksissa tehtäviin asiakasanalyyseihin.

8. Rikollisuuden ehkäiseminen

Rekisteröidyn tuntemistietoja ja rekisteröidyn muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä muihin rahanpesulainsäädännön edellyttämiin tarkoituksiin.

Rekisteröidyn henkilötietoja voidaan käyttää myös sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena.

Rekisterinpitäjä voi käsitellä henkilötietoja liittyen harjoittamaansa luottolaitostoimintaan välittömästi kohdistuneisiin rikoksiin tai epäilyihin rikoksiin, jos se on välttämätöntä tällaisten rikosten estämiseksi tai selvittämiseksi.

9. Henkilötietojen ryhmät

Alla on lueteltu esimerkkejä rekisterinpitäjän tyypillisesti käsittelemistä henkilötietoryhmistä ja henkilötiedoista.

A. Henkilöön liittyvät perustiedot

  • asiakastunnus (henkilötunnus)
  • nimitiedot
  • kieli
  • yhteystiedot, kuten osoitetiedot, puhelinnumerot ja sähköpostiosoite
  • kansalaisuus, asuinkunta
  • siviilisääty
  • työsuhdetiedot (työnantajan nimi, työsuhteen luonne, työsuhteen alkamisaika)
  • koulutus, sosioekonominen asema, ammatti
  • tulotiedot
  • asiakasyhteydet, kuten asema yhteisössä
  • sidosryhmät
  • suostumustiedot (suoramarkkinointi, sähköinen suoramarkkinointi)
  • asiakkuuden alkamisajankohta
  • verotusta koskevat tiedot Suomessa ja ulkomailla.

B. Kooditiedot

  • poikkeava tilakoodi (esimerkiksi edunvalvonnassa oleva, konkurssi, velkajärjestely)
  • poliittisesti vaikutusvaltainen henkilö
  • ammattimainen sijoittaja / ei-ammattimainen sijoittaja
  • tieto maksuhäiriöistä
  • sektori- ja toimialakoodi (virallinen)
  • asiakasohjelmiin liittyvät tiedot.

C. Tuntemistiedot

  • Todentamistiedot
  • Palvelujen käytön perusteita koskevat tiedot (esimerkiksi rekisteröidyn oma arvio maksuliikevolyymeista).

D. Asiointitiedot

  • Rekisteröidyn hakemuksia, sopimuksia, palveluja ja tuotteita koskevat tiedot.

E. Taustatiedot

  • Tiedot rekisteröidyn elämäntilanteesta, sijoituskokemuksesta ja –tietämyksestä, taloudellisesta asemasta ja tavoitteista.

F. Kiinnostuksen kohteet

  • Tiedot rekisteröidyn kiinnostuksen kohteista, kuten tietystä Säästöpankin tuotteesta tai
    palvelusta.

G. Tallenteet

  • Puhelu-, chat - ja muut tallenteet, joissa rekisteröity on osapuolena.

H. Erityiset henkilötietoryhmät

  • EU:n yleisen tietosuoja-asetuksen 9 artiklassa määritellyt henkilötietoryhmät, kuten terveydentila esimerkiksi lainaturvavakuutukseen  liittyen rekisterinpitäjän toimiessa asiamiehenä.

I. Seurantatiedot

  • Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta evästeiden tms. avulla
  • Kerättyjä tietoja voivat olla esimerkiksi tiedot käyttäjän selailemista sivuista, laitteesta ja laitteen mallista, yksilöllinen laite- ja/tai evästetunniste ja tiedot kanavasta, kuten sovelluksesta, mobiiliselaimesta tai internetselaimesta.

10. Henkilötietojen lähteet ja henkilötietojen päivittäminen

Rekisterinpitäjä kerää tietoja ensisijaisesti rekisteröidyltä itseltään tai hänen edustajiltaan. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää rekisterinpitäjän tarjoamia palveluita, kuten verkkopalveluja.

Rekisterinpitäjä voi hankkia henkilötietoja myös sen kanssa samaan konsolidointi- tai taloudelliseen yhteenliittymään kuuluvalta yhteisöltä lain puitteissa esimerkiksi asiakassuhteen hoitamista, asiakaspalvelua ja markkinointia varten.

Rekisterinpitäjä voi kerätä ja päivittää lain sallimissa puitteissa henkilötietoja kolmansien ylläpitämistä rekistereistä, kuten

  • viranomaisten ylläpitämistä rekistereistä, kuten väestötietojärjestelmästä, kaupparekisteristä, ajoneuvorekisteristä ja kiinteistötietojärjestelmästä
  • Suomen Asiakastieto Oy:n tai vastaavan luottotietorekisterinpitäjän ylläpitämästä luottotietorekisteristä
  • rahoitussektorin yhteisestä asiakashäiriörekisteristä
  • toisilta maksupalveluntarjoajilta ja luottolaitoksilta
  • poliittisen vaikutusvallan tai kansainvälisten finanssipakotteiden selvittämiseksi tarpeellisia tietoja tällaisia tietokantoja ylläpitäviltä tahoilta

Rekisterinpitäjä voi lisäksi kerätä palvelun tarjoamiseen ja käyttöön liittyviä tarpeellisia henkilötietoja yhteistyö- tai liikekumppaneiltaan.

Rekisterinpitäjä voi nauhoittaa ja tallentaa puheluita, chat-keskusteluja ja viestejä niiden sisällön ja asiakaspalvelun laadun varmistamiseksi. Rekisterinpitäjällä voi olla turvallisuussyistä valvontakameroita konttoreissaan ja asiakaspalvelupisteissään.

11. Henkilötietojen luovuttaminen

Rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset, kuten luottolaitokseen kohdistuvat salassapitovelvoitteet luovuttaessaan henkilötietoja.

Rekisterinpitäjä voi luovuttaa henkilötietoja lain puitteissa esimerkiksi

  • rekisterinpitäjän kanssa samaan konsolidointiryhmään tai taloudelliseen yhteenliittymään kuuluvalle yhteisölle muun muassa asiakaspalvelua, muuta asiakassuhteen hoitamista ja markkinointia varten
  • maksujenvälityksessä maksajaa tai vastaavasti saajaa koskevat henkilötiedot
  • Suomen Asiakastieto Oy:lle tai muille vastaaville luottotietorekisterinpitäjille
  • alan yhteiseen asiakashäiriörekisteriin
  • toiselle maksupalveluntarjoajalle tai luottolaitokselle
  • viranomaisille, kuten vero-, poliisi-, ulosotto-, täytäntöönpano- ja valvontaviranomaiselle
  • yhteistyö- ja liikekumppaneilleen palvelun tarjoamisen, palvelun käytön tai henkilöllisyyden todentamisen kannalta tarpeellisia tietoja.

12. Henkilötietojen siirtäminen

Rekisterinpitäjä voi siirtää asiakasrekisterin käsittelyyn liittyviä tehtäviä alihankkijalle. Rekisterinpitäjä voi käyttää alihankkijoita ja yhteistyökumppaneita myös palveluiden tuottamisessa ja tarjoamisessa. Kyseiset tahot voivat käsitellä henkilötietoja vain rekisterinpitäjän antamien ohjeiden mukaisesti. Heillä ei ole oikeutta käyttää henkilötietoja omiin tarkoituksiinsa, kuten suoramarkkinointiin.

Rekisterinpitäjä varmistaa sopimus- ja muilla järjestelyillä, että sen käyttämät alihankkijat ja kumppanit käsittelevät henkilötietoja huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen. Rekisterinpitäjän käyttämä alihankkija voi olla myös Säästöpankkien yhteenliittymään tai Säästöpankkiryhmään kuuluva yhteisö.

Rekisterinpitäjä käsittelee henkilötietoja pääasiassa Suomessa ja ETA-alueella. ETA-alueeseen kuuluvat EU:n jäsenvaltioiden lisäksi Islanti, Liechtenstein ja Norja. Jos rekisterinpitäjä siirtää tai luovuttaa henkilötietoja ETA-alueen ulkopuolelle kuten Yhdysvaltoihin, se huolehtii henkilötietojen suojan riittävästä tasosta lainsäädännön edellyttämällä tavalla ja käyttää Euroopan komission hyväksymiä tietojen siirtomekanismeja, joista ensisijaisesti käytetään EU:n komission mallilausekkeita.

13. Rekisteröidyn oikeudet

Oikeus saada pääsy henkilötietoihin (tarkastusoikeus)

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitteleekö rekisterinpitäjä rekisteröidyn henkilötietoja vai ei. Useimmissa tapauksissa tiedot ovat jo rekisteröidyn nähtävissä esimerkiksi verkko- tai mobiilipankissa.

Jos rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada jäljennös rekisteröityä koskevista henkilötiedoista. Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöksistä.

Oikeutta voidaan rajoittaa esimerkiksi muiden henkilöiden yksityisyydensuojan ja lainsäädännön nojalla. Rekisteröidyllä ei ole tarkastusoikeutta esimerkiksi toista rekisteröityä koskeviin tietoihin tai rekisterinpitäjän liike- ja ammattisalaisuuden alaisiin tietoihin.

Oikeus pyytää virheellisten tai puutteellisten tietojen korjaamista.

Rekisteröidyllä on oikeus pyytää häntä koskevan virheellisen tai puutteellisen tiedon korjaamista, jollei lainsäädännöstä muuta johdu.

Oikeus peruuttaa suostumus

Jos rekisterinpitäjä käsittelee henkilötietoja rekisteröidyn suostumuksella, rekisteröidyllä on oikeus peruuttaa antamansa suostumus. Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista tehdyn käsittelyn lainmukaisuuteen.

Oikeus vastustaa henkilötietojen käsittelyä

Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä henkilötietojaan suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta varten. Rekisteröidyllä on oikeus vastustaa myös suoramarkkinointiin liittyvää profilointia.

Oikeus pyytää tietojen poistamista

Rekisteröidyllä on oikeus pyytää henkilötietojensa poistamista, jos hän peruuttaa antamansa suostumuksen tietojen käsittelyyn.

Rekisteröidyllä on oikeus pyytää tietojen poistamista myös, jos hän vastustaa henkilötietojensa käsittelyä. Käsittelyä voidaan jatkaa, jos käsittelylle on perusteltu tai hyväksyttävä syy. Rekisteröity voi pyytää tietojen poistamista, jos hän vastustaa tietojensa käsittelyä suoramarkkinointitarkoituksiin.

Rekisteröidyllä on oikeus pyytää tietojensa poistamista myös, jos käsittely on lainvastaista tai jos kyse on tietoyhteiskunnan palvelujen hankkimisen yhteydessä kerätyistä alaikäisen tiedoista. Rekisterinpitäjä ei ole kuitenkaan velvollinen poistamaan henkilötietoja, jos tietojen käsittely on edelleen tarpeen esimerkiksi rekisterinpitäjän lakisääteisten velvoitteiden täyttämiseksi tai oikeusvaateiden käsittelemiseksi.

Oikeus rajoittaa henkilötietojen käsittelyä

Jos rekisteröity kiistää tietojen oikeellisuuden tai käsittelyn lainmukaisuuden tai vastustaa tietojen käsittelyä oikeuksiensa mukaisesti, hän voi vaatia rekisterinpitäjää rajoittamaan käsittelyn ainoastaan tietojen säilyttämiseen.

Rekisterinpitäjä voi jatkaa käsittelyä sen jälkeen, kun tietojen oikeellisuus tai rekisterinpitäjän oikeus käsitellä tietoja on varmistettu.

Oikeus saada henkilötiedot siirtotiedostona

Rekisteröidyllä on oikeus saada antamansa henkilötiedot koneellisesti luettavassa muodossa (siirtotiedosto). Oikeus koskee henkilötietoja, joita käsitellään automaattisesti suostumuksen tai sopimuksen täytäntöönpanon perusteella.

14. Rekisteröidyn oikeuksien käyttäminen

Pyynnöt on tehtävä rekisterinpitäjäkohtaisesti. Rekisterinpitäjä on velvollinen tarkistamaan pyynnön tekijän henkilöllisyyden luotettavalla tavalla.

Rekisteröidyn tulee esittää pyyntö rekisterinpitäjälle verkko- tai mobiilipankin viestitoiminnolla tai Säästöpankin konttorissa. Rekisterinpitäjä ei käsittele muulla tavoin, kuten sähköpostitse, tehtyjä pyyntöjä.

Verkko- tai mobiilipankin viestitoiminnolla tehdyssä pyynnössä tulee yksilöidä, koskeeko pyyntö tarkastusoikeutta, siirtotiedostoa vai molempia. Rekisterinpitäjä voi pyytää rekisteröidyltä tarpeellisia lisätietoja pyynnön käsittelemiseksi.

Rekisteröidyn oikeudet ovat henkilökohtaisia. Esimerkiksi yritysasiakas ei voi käyttää tarkastusoikeutta rekisteröitynä olevan työntekijänsä tai yhteyshenkilönsä puolesta, vaan tämän on itse tehtävä pyyntö rekisterinpitäjälle. Rekisteröidyn oikeudet koskevat vain rekisteröityä itseään koskevia henkilötietoja.

Pyynnöt arvioidaan tilanne- ja tapauskohtaisesti. Rekisteröidyn pyytäessä esimerkiksi henkilötietojensa poistoa tai käsittelyn rajoittamista rekisterinpitäjä voi edelleenkin käsitellä henkilötietoja, jos käsittely on tarpeen esimerkiksi lain mukaisten velvoitteiden noudattamiseksi, riita-asioiden ratkaisemiseksi tai sopimusten täytäntöönpanemiseksi.

Rekisterinpitäjä toimittaa jäljennöksen henkilötiedoista rekisteröidyn saataville verkkopankkiin tai kirjallisesti postitse. Siirtotiedosto toimitetaan rekisteröidylle yleisesti käytössä olevassa ja koneellisesti luettavissa olevassa sähköisessä muodossa. Edellytyksenä on lisäksi, että tiedot voidaan toimittaa tietoturvallisella tavalla.

Rekisteröity voi lisäksi tehdä tarkastus- ja/tai siirtotiedostoa koskevan pyynnön verkko- tai mobiilipankin viestitoiminnolla tai rekisterinpitäjän asiamiehenä toimivan Säästöpankin konttorissa, kun rekisterinpitäjä on Säästöpankkien Keskuspankki Suomi Oyj, Sp-Rahastoyhtiö Oy, Sp-Kiinnitysluottopankki Oyj tai Sp-Henkivakuutusyhtiö Oy. Säästöpankki välittää pyynnön asianomaiselle rekisterinpitäjälle. Rekisteröidyn käyttäessä verkko- tai mobiilipankin viestitoimintoa viestissä tulee yksilöidä, mitä rekisterinpitäjää pyyntö koskee.

15. Tietojen suojaaminen

Henkilötiedot ovat pankkisalaisuuden, vakuutussalaisuuden tai muun vastaavan salassapitovelvoitteen alaisia tietoja. Tietoja käsittelevät ne rekisterinpitäjän työntekijät, joiden työtehtäviin se kuuluu tai muut henkilöt, joilla on sopimuksen, toimeksiannon tai lain nojalla oikeus käsitellä tietoja.

Rekisterinpitäjällä on asianmukaiset tekniset, organisatoriset ja hallinnolliset turvallisuusmenettelyt, joilla se suojaa kaikkia hallussaan olevia tietoja katoamisen, väärinkäytön, luvattoman käytön, luovuttamisen, muutosten ja tuhoamisen varalta.

Rekisterinpitäjä valvoo henkilötietoihin pääsyä ja niiden käsittelyä muun muassa teknisillä tietoturvatoimenpiteillä, rekisterin käyttäjien käyttöoikeuksien hallinnalla ja pääsynvalvonnalla, kulunvalvonnalla ja seuraamalla järjestelmien käyttöä. Rekisterinpitäjä puuttuu väärinkäytöksiin välittömästi. Rekisterinpitäjä varmistaa lisäksi henkilöstönsä osaamisen muun muassa tietosuoja- ja tietoturvakoulutuksilla.

Rekisterinpitäjä varmistaa sopimus- ja muilla järjestelyillä, että sen alihankkijat suojaavat käsiteltävät henkilötiedot asianmukaisesti sekä käsittelevät rekisterissä olevia tietoja huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen.

16. Tietojen säilytysaika tai säilytysajan määräytymisperusteet

Rekisterinpitäjä käsittelee henkilötietoja asiakas- ja sopimussuhteen voimassaoloajan. Asiakassuhde syntyy, kun rekisterinpitäjä kerää rekisteröidystä tarpeelliset perus- ja muut tiedot asiakkuuden perustamista varten. Sopimussuhde syntyy, kun rekisteröity sopii palvelusta tai tuotteesta rekisterinpitäjän kanssa.

Rekisterinpitäjä säilyttää asiakas- ja sopimussuhdetta koskevia tarpeellisia tietoja käsittelyn käyttötarkoitusten, oikeusperusteiden ja rekisterinpitäjää velvoittavan lainsäädännön edellyttämän ajan.

Säilytysaika voi määräytyä esimerkiksi rahanpesulainsäädännön, palvelua tai tuotetta koskevan erityislainsäädännön, vakavaraisuusvaatimusten, verolainsäädännön, kirjanpitosäädösten ja yleistä vanhentumisaikaa koskevien säännösten mukaisesti. Vaatimuksia joudutaan soveltamaan usein myös samanaikaisesti.

Sopimustietoja säilytetään noin kymmenen (10) vuotta sopimuksen päättymisen jälkeen. Asiakassuhdetta koskevia tietoja säilytetään noin kymmenen (10) vuotta viimeisen sopimuksen päättymisestä. Säilytysajan päättymisen jälkeen tiedot poistetaan tai anonymisoidaan. Jos rekisteröidyn tietoja käytetään osana vakavaraisuuslaskentaa, tietoja on säilytettävä kaksikymmentä (20) vuotta.

Tietosuojaseloste, toukokuu 2018