Dataskyddsbeskrivning för Sparbankens kameraövervakning

Med denna dataskyddsbeskrivning ges uppgifter som förutsätts i både dataskyddslagen och EU:s allmänna dataskyddsförordning avseende behandlingen av personuppgifter för de registrerade och tillsynsmyndigheten.

Denna beskrivning tar också hänsyn till Europeiska dataskyddsstyrelsens anvisning om behandling av personuppgifter genom videoenheter (3/2019).

1. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktuppgifter

Varje Sparbank upprätthåller och behandlar sitt eget register över inspelande kameraövervakningssystem. Den personuppgiftsansvarige bestäms enligt vilket av Sparbankens verksamhetsställen den registrerades ärenden eller transaktioner har ägt rum vid. Varje sammanslutning inom Sparbanksgruppen som utför kameraövervakning fungerar som personuppgiftsansvarig för sin del.

 

2. Dataskyddsombudets kontaktuppgifter

Sparbanksgruppens gemensamma dataskyddsombud ansvarar för frågor som gäller behandlingen av personuppgifter och dataskyddslagstiftningen. Kontaktuppgifter till dataskyddsombudet i Sparbanksgruppen:

Sparbanksgruppens dataskyddsombud
Sparbanksförbundet anl
Postadress: Industrigatan 33, 00510 Helsingfors
E-post: tietosuoja@saastopankki.fi

3. Grupper av registrerade

De registrerade är personer som rör sig inom kameraövervakningssystemet på den personuppgiftsansvariges ordinarie och tillfälliga platser, särskilt den personuppgiftsansvariges kunder, anställda och samarbetspartner.

4. Ändamål med behandlingen av personuppgifter och berättigat intresse

Syftet med kameraövervakningen är att säkerställa säkerheten vid den personuppgiftsansvariges verksamhetsställen och att förebygga missbruk. I den personuppgiftsansvariges verksamhet behandlas konfidentiella uppgifter samt värdetillgångar som kräver tillsyn för att skyddas.

Kameraövervakningen stöder också fullgörandet av skyldigheterna enligt lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017) och förordningen (EU) 2022/2554. Kameraövervakningen uppfyller förordningen om digital operativ motståndskraft för finanssektorn, kraven på övervakning av fysiskt tillträde och kontinuerlig övervakning.

Behandling av personuppgifter i samband med kameraövervakning sker på grundval av ett berättigat intresse.

Behandlingen av personuppgifter bygger på den personuppgiftsansvariges berättigade intresse. Den personuppgiftsansvarige använder information från kameraövervakningen för att bland annat:

• säkerställa de registrerades personliga säkerhet
• förebyggande och utredning av missbruk
• övervakning av vederbörlig verksamhet inom serviceprocesserna
• skydd av egendom
• upprätthållande av den fysiska säkerheten och hantering av de operativa riskerna

5. De rättsliga grunderna för behandlingen av personuppgifter

Behandling av personuppgifter i samband med kameraövervakning sker på grundval av ett berättigat intresse.

Kameraövervakning är nödvändig för de användningsområden som anges i avsnitt 4 och de specifika kraven på kameraövervakning baserat på lagstiftningen har beaktats.

6. Personuppgifternas grupper och källor

Kameraövervakningens personuppgifter består av inspelningstidpunkt, bildupptagningar, eventuella ljudupptagningar samt tekniska identifierare som hänför sig till upptagningarna. Uppgifterna genereras inom kameraövervakningsområdet.

7. Utlämnande av personuppgifter

Den personuppgiftsansvarige lämnar ut personuppgifter endast inom de gränser som lagstiftningen tillåter. Uppgifter kan lämnas ut till sammanslutningar som hör till samma bankgrupp, myndigheter samt till tjänsteleverantörer som den personuppgiftsansvarige anlitar, såsom säkerhetstjänster och aktörer som är specialiserade på underhåll av säkerhetsteknik.

8. Den registrerades rättigheter och utövande av dem

Den registrerades begäran ska vara så exakt som möjligt och innehålla uppgifter om vilka upptagningar begäran gäller, för vilken tid uppgifterna begärs samt den registrerades kontaktuppgifter.

En registrerad har rätt att ta del av sina personuppgifter och få en kopia av dem. Den personuppgiftsansvarige är skyldig att verifiera den registrerades eller den begärandes identitet på ett tillförlitligt sätt. Att göra en begäran är kostnadsfritt. Den personuppgiftsansvarige kan dock ta ut en rimlig avgift på basis av administrativa utgifter, till exempel om den registrerade ber att få flera kopior samtidigt eller om en begäran görs upprepade gånger under en kort tid. Rätten att ta del av sina egna uppgifter kan begränsas på laglig grund, exempelvis på grundval av den personuppgiftsansvariges affärs- eller yrkeshemligheter eller andra personers integritetsskydd.

Den registrerade har rätt att förbjuda den personuppgiftsansvarige att behandla personuppgifterna för direktmarknadsföring, distansförsäljning och annan direktreklam samt för marknads- och opinionsundersökningar.

Den registrerade har rätt att begära att uppgifterna raderas.

Den personuppgiftsansvarige är dock inte skyldig att radera personuppgifter om det är tekniskt omöjligt eller
behandlingen av uppgifterna fortfarande är nödvändig till exempel för att uppfylla den personuppgiftsansvariges lagstadgade skyldigheter eller för att behandla rättsliga anspråk.

Förfrågningar ska göras enligt personuppgiftsansvarig. Den personuppgiftsansvarige är skyldig att verifiera den begärandes identitet på ett tillförlitligt sätt. Den personuppgiftsansvarige kan begära nödvändiga tilläggsuppgifter av den registrerade för att behandla begäran. Den registrerades rättigheter är personliga. Den registrerades rättigheter gäller endast personuppgifter som rör den registrerade själv. 

9. Skydd av uppgifter

Tillgången till personuppgifter är begränsad endast till de arbetstagare och partner som på grund av sina arbetsuppgifter har rätt att behandla uppgifterna. Den personuppgiftsansvarige använder tekniska och administrativa säkerhetsförfaranden för att skydda uppgifter.

Den personuppgiftsansvarige har tillgång till tillbörliga förfaranden för att skydda alla uppgifter som den innehar i fall av försvinnande, missbruk, olovlig användning, överlåtelse, ändring och förstörelse.

Den personuppgiftsansvarige övervakar tillgången till och behandlingen av personuppgifter genom bland annat tekniska informationssäkerhetsåtgärder, hantering av behörigheter och åtkomstkontroll för dem som använder registret samt genom uppföljning av systemanvändningen. Den personuppgiftsansvarige ingriper omedelbart i missbruk som upptäcks. Den Personuppgiftsansvarige säkerställer dessutom personalens kompetens bland annat med dataskydds- och informationssäkerhetsutbildningar.

Den personuppgiftsansvarige säkerställer genom avtals- och andra arrangemang att dess underleverantörer skyddar personuppgifterna på tillbörligt sätt samt behandlar uppgifter som finns i registret omsorgsfullt och i enlighet med god informationshanteringssed.

10. Lagringstid för uppgifter och hur lagringstiden bestäms

Upptagningar förvaras i regel i högst tre månader. Upptagningar kan förvaras längre, om de hänför sig till utredning av brott, myndighetsprocess eller rättegångsförhandling.

11. Mer information om behandlingen av personuppgifter i Sparbanksgruppen

Mer information om hur personuppgifter behandlas i Sparbanksgruppen finns på Sparbanksgruppens webbplats www.saastopankki.fi/tietosuoja.

En registrerad kan också kontakta Sparbanksgruppens dataskyddsombud i frågor som rör dataskyddslagstiftningen, behandlingen av personuppgifter och den registrerades rättigheter, genom att skicka e-post till adressen tietosuoja@saastopankki.fi.