Säästöpankin potentiaalisten asiakkaiden rekisterin tietosuojaseloste

1. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

Kukin Säästöpankki ylläpitää ja käsittelee omaa potentiaalisten asiakkaiden rekisteriään. Rekisterinpitäjä määräytyy asiakassuhteen perusteella.

2. Tietosuojavastaavan yhteystiedot

Säästöpankkiryhmässä on nimetty ryhmän yhteinen tietosuojavastaava, johon voit ottaa yhteyttä henkilötietojen käsittelyä ja tietosuojalainsäädäntöä koskevissa kysymyksissä.

Säästöpankkiryhmän tietosuojavastaava
Säästöpankkiliitto osk
Postiosoite: Teollisuuskatu 33, 00510 Helsinki
Sähköposti: tietosuoja@saastopankki.fi

3. Rekisterin nimi

Potentiaalisten asiakkaiden rekisteri

4. Rekisteröityjen ryhmät

Rekisteröity on rekisterinpitäjän potentiaalinen asiakas. Potentiaalinen asiakkuus syntyy tyypillisesti silloin, kun henkilö ilmaisee kiinnostuksensa rekisterinpitäjää tai rekisterinpitäjän palveluita kohtaan esimerkiksi

• Säästöpankkiryhmän verkkopalvelussa (saastopankki.fi)
• konttorikäynnin yhteydessä
• messuilla
• rekisterinpitäjän järjestämissä asiakas- ja muissa tilaisuuksissa
• rekisterinpitäjän järjestämän kampanjan, kilpailun tai muun vastaavan toiminnan yhteydessä
• kolmansien verkkopalveluissa, joissa henkilö voi tehdä rekisterinpitäjälle kohdistetun yhteydenottopyynnön. 

5. Henkilötietojen käsittelyn tarkoitukset

Henkilötietojen käsittelyn käyttötarkoituksia ovat:

• yhteydenottopyyntöjen käsittely
• ajanvarausten käsittely
• tarjouspyyntöjen ja tarjousten käsittely
• tuotteiden ja palvelujen tarjoaminen, mukaan lukien sijoitusneuvonta
• suoramarkkinointi ja suoramainonta
• markkinoinnin ja mainonnan kohdentaminen
• mielipide- ja markkinatutkimukset
• verkkopalveluiden käytön seuranta ja analysointi
• palveluiden ja liiketoiminnan kehittäminen
• asiakaspalvelun laadun varmistaminen mukaan lukien koulutus.

6. Henkilötietojen käsittelyn oikeusperusteet

Henkilötietojen käsittely voi perustua samanaikaisesti myös useampaan käsittelyperusteeseen,
kuten sopimuksen tai hakemuksen tekemistä edeltäviin toimenpiteisiin ja rekisterinpitäjän lakisääteiseen velvoitteeseen.

Oikeusperuste: Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet

Esimerkkejä

Tiliä, luottoa tai muuta palvelua koskevan yhteydenoton, ajanvarauksen, yhteydenottopyynnön, tarjouspyynnön, tarjouksen tms. käsittely.

Oikeusperuste: Rekisterinpitäjän lakisääteinen velvoite

Esimerkkejä

• Palvelua tai tuotetta, kuten maksupalveluja, asuntolainoja, luottoja, sijoituspalveluja koskevat velvoitteet
• Sijoitusneuvontaa koskevat velvoitteet
• Tietosuojalaki.

Oikeusperuste: Rekisterinpitäjän oikeutettu etu

Esimerkkejä

• Markkinointi-, tuote- ja asiakasanalyysit
• Mielipide- ja markkinatutkimukset
• Markkinointi, suoramarkkinointi
• Prosessien, palveluiden ja liiketoiminnan kehittäminen
• Tuotteiden ja palveluiden käytön seuranta ja analysointi
• Asiakaspalvelun laadun varmistaminen

Oikeusperuste: Rekisteröidyn suostumus

Esimerkkejä

• Markkinointilupa, kun sitä edellytetään lain mukaan
• Sähköinen suoramarkkinointi (tekstiviestit, sähköposti)
• Rekisterinpitäjän oikeutettu etu liittyy muun muassa sellaisiin markkinointitoimiin ja prosessien, liiketoiminnan ja järjestelmien kehittämiseen, joihin liittyy henkilötietojen käsittelyä. Esimerkiksi seuraamalla ja analysoimalla tuotteiden ja palvelujen käyttöä rekisterinpitäjä saa tietoa, jonka perusteella se voi muun muassa parantaa tuote- ja palveluvalikoimaansa, optimoida asiakkailleen tarjottavia palveluja ja parantaa asiakaskokemusta.
• Rekisteröidyn suostumus liittyy esimerkiksi sähköiseen suoramarkkinointiin. Rekisterinpitäjä pyytää rekisteröidyltä suostumusta tilanteissa, joissa käsittely edellyttää rekisteröidyn suostumusta. Rekisterinpitäjä antaa pyytäessään rekisteröidyn suostumusta myös tietoja kyseisten tietojen käsittelystä. Jos henkilötietojen käsittely edellyttää rekisteröidyn suostumusta, rekisteröidyllä on aina myös oikeus peruuttaa antamansa suostumus.

7. Automatisoitu päätöksenteko

Henkilötietojen käsittely voi sisältää automaattista päätöksentekoa lainsäädännön puitteissa, rekisteröidyn suostumuksella tai jos se on tarpeen sopimuksen täytäntöön panemiseksi. Automaattisesta päätöksenteosta kerrotaan aina asianomaisen tuotteen tai palvelun yhteydessä. Rekisterinpitäjä varmistaa tällöin, että rekisteröity voi aina vaatia asian manuaalista käsittelyä ja ilmaista mielipiteensä. Rekisteröity voi myös riitauttaa pelkästään automatisoituun käsittelyyn, kuten profilointiin perustuvan päätöksen, jos päätöksellä on rekisteröidylle oikeusvaikutuksia tai muutoin vastaavia merkittäviä vaikutuksia.

Henkilötietojen käsittelyyn voi sisältyä myös profilointia. Profilointi tarkoittaa automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan henkilökohtaisia ominaisuuksia, kuten luotonhakijan luottokelpoisuutta tai sijoitusneuvonta-asiakkaan riskinsietokykyä. Luoton myöntävällä tai sijoitusneuvontaa tarjoavalla rekisterinpitäjällä on lakisääteinen velvoite arvion tekemiseen. Profilointi voi liittyä myös rekisterinpitäjän oikeutettuun esimerkiksi markkinointitarkoituksissa tehtäviin asiakasanalyyseihin. 

8. Henkilötietojen ryhmät

Alla on lueteltu esimerkkejä rekisterinpitäjän tyypillisesti käsittelemistä henkilötietoryhmistä ja henkilötiedoista.

A. Henkilöön liittyvät perustiedot

• .asiakastunnus (henkilötunnus, syntymäaika)
• nimitiedot
• kieli
• yhteystiedot, kuten osoitetiedot, puhelinnumerot ja sähköpostiosoite
• rekisteröinnin alkamisajankohta
• suostumustiedot (suoramarkkinointi, sähköinen suoramarkkinointi)
• asiakkuuden alkamisajankohta.

B. Kooditiedot

• poikkeava tilakoodi (esimerkiksi edunvalvonnassa oleva, velkajärjestely)
• ammattimainen sijoittaja / ei-ammattimainen sijoittaja 

C. Taustatiedot

• Tiedot rekisteröidyn elämäntilanteesta, sijoituskokemuksesta ja –tietämyksestä, taloudellisesta asemasta ja tavoitteista.

D. Kiinnostuksen kohteet

• Tiedot rekisteröidyn kiinnostuksen kohteista, kuten tietystä Säästöpankin tuotteesta tai
  palvelusta.

E. Tallenteet

• Puhelu-, chat - ja muut tallenteet, joissa rekisteröity on osapuolena. 

F. Seurantatiedot

• Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta evästeiden tms. avulla
• Kerättyjä tietoja voivat olla esimerkiksi tiedot käyttäjän selailemista sivuista, laitteesta ja laitteen mallista, yksilöllinen laite- ja/tai evästetunniste ja tiedot kanavasta, kuten sovelluksesta, mobiiliselaimesta tai internetselaimesta.

9. Henkilötietojen lähteet ja henkilötietojen päivittäminen

Rekisterinpitäjä kerää tietoja ensisijaisesti rekisteröidyltä itseltään tai hänen edustajiltaan. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää rekisterinpitäjän tarjoamia palveluita, kuten verkkopalveluja.

Rekisterinpitäjä voi hankkia henkilötietoja myös sen kanssa samaan konsolidointi- tai taloudelliseen yhteenliittymään kuuluvalta yhteisöltä lain puitteissa markkinointia varten.

Rekisterinpitäjä voi kerätä ja päivittää lain sallimissa puitteissa henkilötietoja viranomaisten ylläpitämistä rekistereistä, kuten väestötietojärjestelmästä, kaupparekisteristä, ajoneuvorekisteristä ja kiinteistötietojärjestelmästä. 

Rekisterinpitäjä voi lisäksi kerätä palvelun tarjoamiseen ja käyttöön liittyviä tarpeellisia henkilötietoja yhteistyö- tai liikekumppaneiltaan.

Rekisterinpitäjä voi nauhoittaa ja tallentaa puheluita, chat-keskusteluja ja viestejä niiden sisällön ja asiakaspalvelun laadun varmistamiseksi. Rekisterinpitäjällä voi olla turvallisuussyistä valvontakameroita konttoreissaan ja asiakaspalvelupisteissään. 

10. Henkilötietojen siirtäminen

Rekisterinpitäjä voi siirtää asiakasrekisterin käsittelyyn liittyviä tehtäviä alihankkijalle. Rekisterinpitäjä voi käyttää alihankkijoita ja yhteistyökumppaneita myös palveluiden tuottamisessa ja tarjoamisessa. Kyseiset tahot voivat käsitellä henkilötietoja vain rekisterinpitäjän antamien ohjeiden mukaisesti. Heillä ei ole oikeutta käyttää henkilötietoja omiin tarkoituksiinsa, kuten suoramarkkinointiin.

Rekisterinpitäjä varmistaa sopimus- ja muilla järjestelyillä, että sen käyttämät alihankkijat ja kumppanit käsittelevät henkilötietoja huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen. Rekisterinpitäjän käyttämä alihankkija voi olla myös Säästöpankkien yhteenliittymään tai Säästöpankkiryhmään kuuluva yhteisö.

Rekisterinpitäjä käsittelee henkilötietoja pääasiassa Suomessa ja ETA-alueella. ETA-alueeseen kuuluvat EU:n jäsenvaltioiden lisäksi Islanti, Liechtenstein ja Norja. Jos rekisterinpitäjä siirtää tai luovuttaa henkilötietoja ETA-alueen ulkopuolelle kuten Yhdysvaltoihin, se huolehtii henkilötietojen suojan riittävästä tasosta lainsäädännön edellyttämällä tavalla ja käyttää Euroopan komission hyväksymiä tietojen siirtomekanismeja, joista ensisijaisesti käytetään EU:n komission mallilausekkeita.

11. Rekisteröidyn oikeudet

Oikeus saada pääsy henkilötietoihin (tarkastusoikeus)

Rekisteröidyllä on oikeus saada rekisterinpitäjältä vahvistus siitä, käsitteleekö rekisterinpitäjä rekisteröidyn henkilötietoja vai ei.

Jos rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada jäljennös rekisteröityä koskevista henkilötiedoista. Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöksistä.

Oikeutta voidaan rajoittaa esimerkiksi muiden henkilöiden yksityisyydensuojan ja lainsäädännön nojalla. Rekisteröidyllä ei ole tarkastusoikeutta esimerkiksi toista rekisteröityä koskeviin tietoihin tai rekisterinpitäjän liike- ja ammattisalaisuuden alaisiin tietoihin.

Oikeus pyytää virheellisten tai puutteellisten tietojen korjaamista.

Rekisteröidyllä on oikeus pyytää häntä koskevan virheellisen tai puutteellisen tiedon korjaamista, jollei lainsäädännöstä muuta johdu.

Oikeus peruuttaa suostumus

Jos rekisterinpitäjä käsittelee henkilötietoja rekisteröidyn suostumuksella, rekisteröidyllä on oikeus peruuttaa antamansa suostumus. Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista tehdyn käsittelyn lainmukaisuuteen.

Oikeus vastustaa henkilötietojen käsittelyä

Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä henkilötietojaan suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta varten. Rekisteröidyllä on oikeus vastustaa myös suoramarkkinointiin liittyvää profilointia.

Oikeus pyytää tietojen poistamista

Rekisteröidyllä on oikeus pyytää henkilötietojensa poistamista, jos hän peruuttaa antamansa suostumuksen tietojen käsittelyyn.

Rekisteröity voi pyytää tietojen poistamista, jos hän vastustaa tietojensa käsittelyä suoramarkkinointitarkoituksiin.

Rekisteröidyllä on oikeus pyytää tietojensa poistamista myös, jos käsittely on lainvastaista tai jos kyse on tietoyhteiskunnan palvelujen hankkimisen yhteydessä kerätyistä alaikäisen tiedoista. Rekisterinpitäjä ei ole kuitenkaan velvollinen poistamaan henkilötietoja, jos tietojen käsittely on edelleen tarpeen esimerkiksi rekisterinpitäjän lakisääteisten velvoitteiden täyttämiseksi tai oikeusvaateiden käsittelemiseksi.

Oikeus rajoittaa henkilötietojen käsittelyä

Jos rekisteröity kiistää tietojen oikeellisuuden tai käsittelyn lainmukaisuuden tai vastustaa tietojen käsittelyä oikeuksiensa mukaisesti, hän voi vaatia rekisterinpitäjää rajoittamaan käsittelyn ainoastaan tietojen säilyttämiseen.

Rekisterinpitäjä voi jatkaa käsittelyä sen jälkeen, kun tietojen oikeellisuus tai rekisterinpitäjän oikeus käsitellä tietoja on varmistettu.

Oikeus saada henkilötiedot siirtotiedostona

Rekisteröidyllä on oikeus saada antamansa henkilötiedot koneellisesti luettavassa muodossa (siirtotiedosto). Oikeus koskee henkilötietoja, joita käsitellään automaattisesti suostumuksen tai sopimuksen täytäntöönpanon perusteella.

12. Rekisteröidyn oikeuksien käyttäminen

Pyynnöt on tehtävä rekisterinpitäjäkohtaisesti. Rekisterinpitäjä on velvollinen tarkistamaan pyynnön tekijän henkilöllisyyden luotettavalla tavalla.

Rekisteröidyn tulee esittää pyyntö rekisterinpitäjälle Säästöpankin konttorissa. Rekisterinpitäjä ei
käsittele muulla tavoin, kuten sähköpostitse, tehtyjä pyyntöjä. Rekisterinpitäjä voi pyytää rekisteröidyltä tarpeellisia lisätietoja pyynnön käsittelemiseksi.

Rekisteröidyn oikeudet ovat henkilökohtaisia. Esimerkiksi yritysasiakas ei voi käyttää tarkastusoikeutta rekisteröitynä olevan työntekijänsä tai yhteyshenkilönsä puolesta, vaan tämän on itse tehtävä pyyntö rekisterinpitäjälle. Rekisteröidyn oikeudet koskevat vain rekisteröityä itseään koskevia henkilötietoja.

Pyynnöt arvioidaan tilanne- ja tapauskohtaisesti. Rekisteröidyn pyytäessä esimerkiksi henkilötietojensa poistoa tai käsittelyn rajoittamista rekisterinpitäjä voi edelleenkin käsitellä henkilötietoja, jos käsittely on tarpeen esimerkiksi lain mukaisten velvoitteiden noudattamiseksi, riita-asioiden ratkaisemiseksi tai sopimusten täytäntöönpanemiseksi.

Rekisterinpitäjä toimittaa jäljennöksen henkilötiedoista kirjallisesti postitse. Siirtotiedosto toimitetaan rekisteröidylle yleisesti käytössä olevassa ja koneellisesti luettavissa olevassa sähköisessä muodossa. Edellytyksenä on lisäksi, että tiedot voidaan toimittaa tietoturvallisella tavalla.

Rekisteröity voi lisäksi tehdä tarkastus- ja/tai siirtotiedostoa koskevan pyynnön rekisterinpitäjän asiamiehenä toimivan Säästöpankin konttorissa, kun rekisterinpitäjä on Säästöpankkien Keskuspankki Suomi Oyj, Sp-Rahastoyhtiö Oy, Sp-Kiinnitysluottopankki Oyj tai Sp-Henkivakuutusyhtiö Oy. Säästöpankki välittää pyynnön asianomaiselle rekisterinpitäjälle.

13. Tietojen suojaaminen

Henkilötiedot ovat pankkisalaisuuden, vakuutussalaisuuden tai muun vastaavan salassapitovelvoitteen alaisia tietoja. Tietoja käsittelevät ne rekisterinpitäjän työntekijät, joiden työtehtäviin se kuuluu tai muut henkilöt, joilla on sopimuksen, toimeksiannon tai lain nojalla oikeus käsitellä tietoja.

Rekisterinpitäjällä on asianmukaiset tekniset, organisatoriset ja hallinnolliset turvallisuusmenettelyt, joilla se suojaa kaikkia hallussaan olevia tietoja katoamisen, väärinkäytön, luvattoman käytön, luovuttamisen, muutosten ja tuhoamisen varalta.

Rekisterinpitäjä valvoo henkilötietoihin pääsyä ja niiden käsittelyä muun muassa teknisillä tietoturvatoimenpiteillä, rekisterin käyttäjien käyttöoikeuksien hallinnalla ja pääsynvalvonnalla, kulunvalvonnalla ja seuraamalla järjestelmien käyttöä. Rekisterinpitäjä puuttuu väärinkäytöksiin välittömästi. Rekisterinpitäjä varmistaa lisäksi henkilöstönsä osaamisen muun muassa tietosuoja- ja tietoturvakoulutuksilla.

Rekisterinpitäjä varmistaa sopimus- ja muilla järjestelyillä, että sen alihankkijat suojaavat käsiteltävät henkilötiedot asianmukaisesti sekä käsittelevät rekisterissä olevia tietoja huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen.

15. Tietojen säilytysaika tai säilytysajan määräytymisperusteet

Rekisterinpitäjä käsittelee potentiaalisen asiakkaan henkilötietoja pääsääntöisesti enintään yhden (1) vuoden ajan siitä lukien, kun rekisteröity viimeksi aktiivisilla toimenpiteillään on osoittanut kiinnostusta rekisterinpitäjän tuotteita tai palveluja kohtaan tai kun henkilötietoja on viimeksi käsitelty. Rekisterinpitäjä voi olla myös velvollinen säilyttämään tietoja lain edellyttämän ajan.

Jos rekisterinpitäjä kerää henkilötietoja tiettyyn käyttötarkoitukseen, kuten kilpailua, arvontaa tai tiettyä markkinointikampanjaa varten, tiedot poistetaan, kun niiden käsittely ei ole enää tarpeen kyseisen käyttötarkoituksen kannalta.

Jos potentiaalinen asiakkuus perustuu rekisterinpitäjän toiselta Säästöpankkiryhmän yhteisöltä markkinointitarkoituksiin saamiin asiakastietoihin, potentiaalinen asiakkuus säilyy, kunnes rekisteröidyn asiakkuus tiedot luovuttaneessa yhteisössä päättyy.

Rekisterinpitäjä voi käsitellä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti myös sopimus- tai asiakassuhteen päätyttyä.

Tietosuojaseloste, toukokuu 2018