Dataskyddsbeskrivning av Sparbankens kundregister
Med denna dataskyddsbeskrivning ges uppgifter som förutsätts i EU:s allmänna dataskyddsförordning avseende behandlingen av personuppgifter för de registrerade i Sparbankens kundregister, Sparbankernas Centralbanks personal och tillsynsmyndigheten.
Varje Sparbank för och behandlar sitt eget kundregister. Den personuppgiftsansvarige bestäms utifrån kundrelationen.
Aito Sparbank Ab
Hämeenkatu 5 A, 33100 Tammerfors, tfn 010 311 6400
Person som sköter registerärenden: Johanna Palander-Niemi, tfn 040 075 7054
Avain Sparbank
Jääkärintie 60, 62420 Kortesjärvi, tfn 020 758 2310
Person som sköter registerärenden: Elina Joki-Erkkilä, tfn 050 472 3511
Helmi Säästöpankki Oy
Torikatu 3, 15110 Lahtis, tfn 010 441 7400
Person som sköter registerärenden: Jari Kekkonen, tfn 010 441 7495
Kvevlax Sparbank
PB 11, Kvevlaxvägen 1, 66530 Kvevlax, tfn 06 346 2111
Person som sköter registerärenden: Mia Hannula, tfn 050 556 3316
Lammi Sparbank
Hämeenkatu 14, 05800 Hyvinge, tfn 010 441 7000
Person som sköter registerärenden: Mico Pihlajinen, tfn 040 620 1863
Västra Nylands Sparbank Ab
Larsgatan 48, 08100 Lojo, tfn 029 041 2000
Person som sköter registerärenden: Seija Nyman, tfn 050 047 0954
Mörskom Sparbank
Ämbetsvägen 1, 07600 Mörskom, tfn 010 441 7210
Person som sköter registerärenden: Hanna Junkkari, tfn 044 493 5757
Nooa Sparbank Ab
Alexandersgatan 48 B 8:e våningen, 00100 Helsingfors, tfn 010 436 6410
Person som sköter registerärenden: Ari Savolainen tfn 040 1879314
Närpes Sparbank
Närpesvägen 13, Box 42, 64201 Närpes, tfn 010 423 9000
Person som sköter registerärenden: Linda Häggblom, tfn 010 423 9000
Somero Sparbank
Joensuuntie 27, 31400 Somero, tfn 029 041 2300
Person som sköter registerärenden: Tommi Piilola tfn 050 472 2781
Kalanti-Pyhäranta Sparbank
Alinenkatu 26, 23500 Nystad, tfn 010 841 5900
Person som sköter registerärenden: Jaana Aavasmäki, tfn 050 430 1833
Sparbank Optia
Savonkatu 15, 74100 Iisalmi, tfn 029 041 2500
Person som sköter registerärenden: Jenna Hyvönen, tfn 044 7321 056
Sparbank Sinetti
Keskustie 35, 35300 Orivesi, tfn 010 391 2000
Person som sköter registerärenden: Mia Haapala, tfn 050 587 6808
Ekenäs Sparbank Ab
Stationsvägen 6, 10600 Ekenäs, tfn 019 222 50
Person som sköter registerärenden: Christer Eklund, tfn 019 222 500
I sitt kundregister behandlar den personuppgiftsansvarige uppgifter om sådana personer som har eller har haft
- en kundrelation med den personuppgiftsansvarige
- erbjudande eller ansökan om upprättande av en kundrelation, som gäller till exempel konto, kredit, service- eller annat avtal, uppdrag eller kontaktförfrågan
- uppdrag som ges till den personuppgiftsansvarige
Dessutom behandlar den personuppgiftsansvariga uppgifter om sådana personer som har eller har haft delaktighet eller skyldighet i samband med ansökan eller kundförhållandet eller annan rätt till avtal, tjänst eller uppdrag. Sådana personer är till exempel kontoinnehavare, personer med dispositionsrätt till konto, kreditgäldenärer, kundens representanter och kontaktpersoner, borgensmän och säkerhetsställare.
Bankverksamhet kräver behandling av personuppgifter. Syften med behandlingen av personuppgifter är
- skötsel av kundrelationen samt kundtjänst
- utveckling av kundrelation
- kundkommunikation och hantering av kontaktförfrågningar
- kundsegmentering
- att säkerställa kvaliteten på kundservicen och uppdragens riktighet
- tillhandahållande och produktion av tjänster
- utveckling av tjänster och affärsverksamheten samt utbildning
- uppföljning och analys av användningen av produkter och tjänster
- säkerställande av säkerheten i tjänsterna
- säkerställande av tjänsternas kvalitet
- direktmarknadsföring och direktreklam
- inriktning av marknadsföring och reklam
- opinions- och marknadsundersökningar
- riskhantering
- förebyggande och utredning av missbruk
- uppfyllande av behandlings-, förvarings-, rapporterings- och förfrågningsskyldigheter baserat på lag och myndighetsbestämmelser
- kundkännedom och förebyggande av brott (mer information nedan)
Kundkännedom och förebyggande av brott
Kundkännedomsuppgifterna samlas in på grund av skyldigheter enligt den lagstiftning som gäller banker, såsom kreditinstitutslagen, lagen om förhindrande av penningtvätt och finansiering av terrorism, lagstiftningen om utbyte av skatteinformation och dataskyddsregleringen. Den registrerades kundkännedomsuppgifter och andra personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism samt för andra ändamål som krävs enligt penningtvättslagstiftningen. Syftet är att förhindra penningtvätt och finansiering av terrorism, ekonomisk brottslighet och missbruk.
Den registrerades personuppgifter kan också användas för att utreda om personen är föremål för internationella sanktioner som den personuppgiftsansvarige iakttar.
Den personuppgiftsansvarige kan behandla personuppgifter i anslutning till brott eller misstankar om brott som riktas direkt mot den kreditinstitutsverksamhet som den personuppgiftsansvarige bedriver, om det är nödvändigt för att förhindra eller utreda sådana brott.
Sparbanken behandlar personuppgifter för att den ska kunna uppfylla sina lagstadgade och avtalsbaserade skyldigheter. Behandlingen av personuppgifter kan baseras på flera grunder för behandling samtidigt, som avtalsförhållande och den personuppgiftsansvariges rättsliga skyldighet.
Rättslig grund
Avtalsförhållande eller åtgärder före avtal ingås
- Ansökan om en tjänst eller produkt och behandling av ansökan
- Tillhandahållande av tjänster i enlighet med avtalet
Den personuppgiftsansvariges lagstadgade skyldighet
- Kundkännedom
- Justeringar som krävs av ekonomiska sanktioner
- Rapportering till myndigheter och begäran om information från myndigheter
- Skyldigheter gällande riskhanteringr (t.ex. kreditriskbedömning)
- Skyldigheter gällande soliditet
- Skyldigheter gällande tjänster eller produkter, såsom betaltjänster, stark elektronisk identifiering och förtroendetjänster, bostadslån, krediter och placeringstjänster
- Skyldigheter gällande placeringsrådgivning
- Övriga skyldigheter som följer av kreditinstitutslagstiftningen, penningtvättslagstiftningen, bokföringsbestämmelserna, skattelagstiftningen eller dataskyddsregleringen
Den personuppgiftsansvariges berättigade intresse
- Marknadsförings-, produkt- och kundanalyser
- Opinions- och marknadsundersökningar
- Marknadsföring, direktmarknadsföring
- Utveckling av processer, tjänster och affärsverksamhet samt utbildning
- Uppföljning och analys av användningen av produkter och tjänster
- Optimering av produkt- och tjänsteutbudet på kundspecifik basis
- Kundservice och hantering av kundrelationer, vilket säkerställer kvaliteten på kundservicen och uppdragens korrekthet
- Utlämnande av information mellan Sparbanksgruppens aktörer
Den registrerades samtycke
- Elektronisk direktmarknadsföring (sms, e-post)
- Information som samlas in via kakor
- Kundtester i service- och produktutvecklingsprojekt
- Kundtips om potentiella kunder
Behandlingen av personuppgifter kan innebära ett automatiserat beslutsfattande inom ramen för lagstiftningen, med den registrerades samtycke och/eller om det är nödvändigt för att fullgöra avtalet.
Automatiserat beslutsfattande anges alltid i samband med den berörda partens produkt eller tjänst. I detta fall säkerställer den personuppgiftsansvarige att den registrerade alltid kan begära manuell behandling av ärendet.
Vi använder oss av automatiskt beslutsfattande i följande situationer
- kreditkortsbeslut
- konsumtionskreditbeslut utan säkerhet
- handläggning av låneförsäkringsansökan och beslut
- studielånsbeslut
Behandlingen av personuppgifter kan även omfatta profilering. Med profilering avses automatisk behandling som använder personuppgifter för att utvärdera personliga egenskaper. Vi använder profilering i följande situationer
- för att bedöma kreditsökandens kreditvärdighet eller risktoleransen hos placeringsrådgivningskunden. Den personuppgiftsansvarige som beviljar krediten eller tillhandahåller placeringsrådgivning har en lagstadgad skyldighet att utföra bedömningen.
- kundanalyser i marknadsföringssyfte. I detta fall utförs profilering på grundval av den personuppgiftsansvariges berättigade intresse.
Nedan ges exempel på de kategorier av personuppgifter och personuppgifter som vanligtvis behandlas av den personuppgiftsansvarige.
A. Grundläggande uppgifter om personen
- kund-ID
- kundrelationens begynnelsetidpunkt
- namnuppgifter och personbeteckning
- kontaktuppgifter, såsom adressuppgifter, telefonnummer och e-postadress
- medborgarskap, hemkommun
- uppgifter om beskattning i Finland och utomlands
- kundkännedom (verifieringsuppgifter, om personen är en person i politiskt utsatt ställning, kunduppskattning av betalningsvolymer)
- språk
- civilstånd
- utbildning, socioekonomisk status, yrke
- anställningsuppgifter (arbetsgivarens namn, anställningsförhållandets art, anställningsförhållandets startdatum)
- inkomstuppgifter
- kundkontakter och intressenter
- samtyckesuppgifter (direktmarknadsföring, elektronisk direktmarknadsföring)
B. Ytterligare information om personen
- information om intressebevakning, konkurs, skuldsanering eller andra betalningsstörningar
- professionell placerare / icke-professionell placerare
- uppgift om betalningsstörning
- sektor- och branschkod (officiell)
- uppgifter om kundprogram
C. Särskilda kategorier av personuppgifter
- Personuppgiftsgrupper som definieras i artikel 9 i EU:s allmänna dataskyddsförordning, såsom hälsotillstånd, till exempel i samband med låneförsäkring, när den personuppgiftsansvarige agerar som ombud
D. Ärendehanteringsuppgifter ja upptagningar
- Uppgifter om den registrerades ansökningar, avtal, produkter och tjänster
- Uppgifter om kundkännedom (till exempel meddelanden i nät- och mobilbank)
- Samtals-, chatt- och andra upptagningar där den registrerade är part
E. Bakgrundsinformation
- Information om den registrerades livssituation, placeringserfarenhet och -kunskap, ekonomiska ställning och mål
F. Intresseområden
- Information om den registrerades intressen, såsom en viss av Sparbankens produkter eller tjänster
G. Uppföljningsuppgifter
- Uppföljning av den registrerades nätbeteende och användning av tjänster med hjälp av kakor mm.
- Insamlade uppgifter kan vara till exempel uppgifter om sidor som användaren besökt, enhet och enhetsmodell, individuell enhets- och/eller cookiekos och uppgifter om kanal, till exempel applikation, mobil webbläsare eller webbläsare
Den personuppgiftsansvarige samlar i första hand in uppgifter från den registrerade själv eller dennes företrädare. Personuppgifter kan också insamlas när den registrerade använder tjänster som den personuppgiftsansvarige tillhandahåller, till exempel nättjänster.
Den personuppgiftsansvarige kan också skaffa personuppgifter från en enhet som tillhör samma konsolidering eller ekonomiska sammanslutning som den registeransvarige inom ramen för lagen, till exempel för kundrelationshantering, kundservice och marknadsföring.
Den personuppgiftsansvarige kan inom de ramar som lagen tillåter samla in och uppdatera personuppgifter från register som förs av tredje parter, såsom:
- register som förs av myndigheter, såsom befolkningsdatasystemet, handelsregistret, fordonsregistret och fastighetsdatasystemet
- kreditupplysningsregistret som upprätthålls av Suomen Asiakastieto Oy eller en liknande kreditupplysningsregistrator
- finanssektorns gemensamma register över kundstörningar
- andra betaltjänstleverantörer och kreditinstitut
- uppgifter som är nödvändiga för utredning av politiskt inflytande eller internationella finanssanktioner från parter som administrerar sådana databaser
Dessutom kan den personuppgiftsansvarige samla in nödvändiga personuppgifter relaterade till tillhandahållandet och användningen av tjänsten från sina samarbets- eller affärspartner.
Den personuppgiftsansvarige kan spela in och spara samtal, chattdiskussioner och meddelanden för att säkerställa deras innehåll och kundtjänstens kvalitet.
Av säkerhetsskäl kan den personuppgiftsansvarige ha övervakningskameror i sina kontor och kundtjänstställen. Mer information finns i dataskyddsbeskrivningen för kameraövervakningen.
Den personuppgiftsansvarige beaktar kraven i tvingande lagstiftning, till exempel sekretessbestämmelserna för kreditinstitut, vid utlämnande av personuppgifter.
Sparbanksgruppens aktörer
Dina uppgifter kan lämnas ut inom Sparbanksgruppen inom ramen för lagstiftningen för ändamål som kundservice, kundrelationshantering och marknadsföring.
I Sparbanksgruppen ingår flera aktörer som är oberoende personuppgiftsansvariga för den egna verksamheten.
- Sparbankerna
- Sparbankernas Centralbank Finland Abp
- Sp-Fondbolag Ab
- Sp-Hypoteksbank Abp
- Sb-Livförsäkring Ab
- Sb-Hem Ab
- Sparbanksförbundet anl, som beroende på uppgift även kan fungera som personuppgiftsbiträde
I Sparbanksgruppen ingår dessutom Sparbankstjänster Ab, som fungerar som personuppgiftsbiträde vid till exempel kundrådgivning till Sparbanksgruppens kunder och kontor.
Övriga personuppgiftsansvariga
Dina uppgifter kan lämnas ut till andra personuppgiftsansvariga i den utsträckning som lagen tillåter, till exempel till
- myndigheter, som skatte-, polis-, utsöknings-, verkställighets- och tillsynsmyndigheter
- Suomen Asiakastieto Oy,
- ansvarig personuppgiftsansvarig för kreditupplysningsregister
- branschens gemensamma register över kundstörningar
- en annan personuppgiftsansvarig när det är en del av en tjänst eller produkt som ska tillhandahållas
Underleverantörer och tjänsteleverantörer
Vi använder underleverantörer och partner för att producera och tillhandahålla tjänster. Dina personuppgifter kan överföras till dessa för behandling för vår räkning.
Vi säkerställer genom avtal och andra arrangemang att underleverantörerna och tjänsteleverantörerna skyddar de personuppgifter som behandlas på lämpligt sätt och i enlighet med de krav som ställs av oss i enlighet med god databehandlingssed. Underleverantörerna och leverantörerna har inte rätt att använda dina uppgifter för egna ändamål, såsom direktmarknadsföring.
Underleverantörers och tjänsteleverantörers behandling av personuppgifter
Den personuppgiftsansvarige kan överföra uppgifter relaterade till behandlingen av kundregistret till en underleverantör och kan också använda underleverantörer och samarbetspartner vid produktion och tillhandahållande av tjänster. De berörda parterna får behandla personuppgifter endast i enlighet med anvisningar som den personuppgiftsansvarige gett. De har inte rätt att använda personuppgifterna för egna ändamål, såsom direktmarknadsföring.
Den personuppgiftsansvarige säkerställer genom avtals- och andra arrangemang att de underleverantörer och partner som anlitas behandlar personuppgifterna omsorgsfullt och i enlighet med god informationshanteringssed.
Överföring av personuppgifter utanför EU/EES
Den personuppgiftsansvarige behandlar personuppgifter i huvudsak i Finland och inom EES-området. Till EES-området hör utöver EU-medlemsstaterna även Island, Liechtenstein och Norge.
Om den personuppgiftsansvarige överför eller lämnar ut personuppgifter utanför EES-området, till exempel till Förenta staterna, ser den Personuppgiftsansvarige till att nivån på skyddet av personuppgifterna är tillräckligt på det sätt som lagstiftningen förutsätter och använder mekanismer för överföring av uppgifter som Europeiska kommissionen godkänt.
Alla rättigheter för den registrerade anges nedan. Observera att det finns vissa begränsningar för utövandet av dessa rättigheter, eftersom de är kopplade till den grund på vilken vi behandlar dina personuppgifter.
För mer information om utövandet av den registrerades rättigheter, se avsnitt 10.
Rätt att få tillgång till personuppgifter (rätt till insyn)
Den registrerade har rätt att få bekräftelse på huruvida den personuppgiftsansvarige behandlar personuppgifter som rör honom eller henne eller inte. I de flesta fallen finns uppgifterna till påseende för den registrerade till exempel i nät- eller mobilbanken.
Om den personuppgiftsansvarige behandlar personuppgifter som rör den registrerade, har den registrerade rätt att få en kopia av personuppgifterna som rör honom eller henne. Den personuppgiftsansvarige kan ta ut en rimlig administrativ avgift för ytterligare kopior som begärs av den registrerade.
Rätten kan begränsas till exempel med stöd av andra personers integritetsskydd och lagstiftningen. Den registrerade har inte rätt till insyn i till exempel uppgifter som rör en annan registrerad eller den personuppgiftsansvariges uppgifter som omfattas av affärs- och yrkeshemlighet.
Rätt till rättelse av felaktiga eller bristfälliga uppgifter
Den registrerade har rätt att begära rättelse av en felaktig eller bristfällig uppgift som rör honom eller henne, om inte annat föranleds av lagstiftningen.
Rätt att återkalla samtycke
Om den personuppgiftsansvarige behandlar personuppgifter med den registrerades samtycke har den registrerade rätt att återkalla sitt samtycke. Återkallandet av samtycket påverkar inte lagenligheten i behandlingen som utförts före återkallandet.
Rätt att invända mot behandlingen av personuppgifter
Den registrerade har rätt att förbjuda den personuppgiftsansvarige att behandla personuppgifterna för direktmarknadsföring, distansförsäljning och annan direktreklam samt för marknads- och opinionsundersökningar. Den registrerade har också rätt att invända mot profilering för direktmarknadsföring.
Rätt att begära radering av uppgifter
Den registrerade har rätt att begära att uppgifterna raderas om
- uppgifterna inte längre behövs för de ändamål för vilka de samlades in eller behandlades
- den registrerade återkallar sitt samtycke och behandlingen har baserats på det samtycke som givits
- den registrerade motsätter sig behandlingen av sina uppgifter för direktmarknadsföring
- om behandlingen strider mot lagen eller om det rör sig om uppgifter om minderårig som insamlats i samband med anskaffning av informationssamhällets tjänster
- han/hon invänder mot behandlingen av hans/hennes personuppgifter. Behandlingen kan fortsätta om det finns en grundad eller godtagbar anledning till behandlingen.
Den personuppgiftsansvarige är dock inte skyldig att radera personuppgifter om behandlingen av uppgifterna fortfarande är nödvändig till exempel för att uppfylla den personuppgiftsansvariges lagstadgade skyldigheter eller rättsliga anspråk.
Rätt att begränsa behandlingen av personuppgifter
Om den registrerade bestrider personuppgifternas korrekthet eller lagliga behandling eller invänder mot behandling av uppgifterna i enlighet med sina rättigheter, kan den registrerade kräva att den personuppgiftsansvarige begränsar behandlingen endast till förvaring av uppgifterna.
Den personuppgiftsansvarige kan fortsätta behandlingen efter att uppgifternas korrekthet eller den personuppgiftsansvariges rätt att behandla uppgifterna har säkerställts.
Rätt att få personuppgifter som överföringsfil
Den registrerade har rätt att få de givna personuppgifterna i maskinläsbar form (överföringsfil). Rättigheten gäller personuppgifter som behandlas automatiskt på grund av samtycke eller verkställande av avtal.
Förfrågningar ska göras enligt personuppgiftsansvarig. Den personuppgiftsansvarige är skyldig att verifiera den begärandes identitet på ett tillförlitligt sätt.
Den registrerade måste lämna in en personuppgiftsansvarigspecifik begäran till den personuppgiftsansvarige
- via meddelandefunktionen i nät- eller mobilbanken
- genom att besöka Sparbankens verksamhetsställe (kontaktuppgifter till filialerna)
- genom att uträtta ärenden som en identifierad kund i en telefon- eller chattjänst
Ange i din begäran vilken personuppgiftsansvarig din begäran gäller. Den personuppgiftsansvarige kan begära nödvändiga tilläggsuppgifter av den registrerade för att behandla begäran.
I princip kommer begäran att besvaras inom en månad efter mottagandet. Om svaret på begäran kräver en längre tidsperiod får du ett meddelande som motiverar behovet av en förlängd svarstid. I detta fall kan svarstiden förlängas med högst två månader.
Den registrerades rättigheter är personliga. Till exempel kan en företagskund inte utöva sin rätt till insyn för en registrerad anställds eller kontaktpersons räkning, utan denne ska själv framställa begäran till den personuppgiftsansvarige. Den registrerades rättigheter gäller endast personuppgifter som rör den registrerade själv.
Begärandena bedöms från fall till fall.
Personuppgifter är uppgifter som omfattas av banksekretess, försäkringssekretess eller andra motsvarande sekretesskyldigheter. Uppgifterna behandlas av de anställda hos den personuppgiftsansvarige till vars arbetsuppgifter det hör eller av andra personer som med stöd av avtal, uppdrag eller lag har rätt att behandla uppgifterna.
Den personuppgiftsansvarige har tillbörliga tekniska, organisatoriska och administrativa säkerhetsförfaranden för att skydda alla uppgifter som den innehar i fall av försvinnande, missbruk, olovlig användning, överlåtelse, ändring och förstörelse.
Den personuppgiftsansvarige övervakar tillgången till och behandlingen av personuppgifter genom bland annat tekniska informationssäkerhetsåtgärder, hantering av behörigheter och åtkomstkontroll för dem som använder registret samt genom uppföljning av systemanvändningen. Den Personuppgiftsansvarige ingriper omedelbart i missbruk. Den Personuppgiftsansvarige säkerställer dessutom personalens kompetens bland annat med dataskydds- och informationssäkerhetsutbildningar.
Den personuppgiftsansvarige säkerställer genom avtals- och andra arrangemang att dess underleverantörer skyddar personuppgifterna på tillbörligt sätt samt behandlar uppgifter som finns i registret omsorgsfullt och i enlighet med god informationshanteringssed.
Den personuppgiftsansvarige behandlar personuppgifterna under kundrelationens och avtalsförhållandets giltighetstid.
Den personuppgiftsansvarige förvarar nödvändiga uppgifter om kundrelationen eller avtalsförhållandet under den tid som användningsändamålen och de rättsliga grunderna för behandlingen av uppgifterna samt den lagstiftning som förpliktar den personuppgiftsansvarige förutsätter. Lagringstiden kan fastställas i enlighet med till exempel penningtvättslagstiftning, särskild lagstiftning om tjänsten eller produkten, soliditetskrav, skattelagstiftning, bokföringsförordningar och bestämmelser om den allmänna preskriptionstiden. Observera att kraven ofta också kan gälla samtidigt.
Avtalsinformation lagras i tio (10) år efter att avtalet har gått ut. Uppgifter om kundrelationen förvaras i tio (10) år efter att det sista avtalet gått ut. Efter att lagringsperioden har gått ut raderas eller anonymiseras uppgifterna.
Banken/bolaget behåller samtals- och chattinspelningarna i 7 år från inspelningstillfället.
Sparbanksgruppen har utsett ett gemensamt dataskyddsombud för gruppen. Du kan kontakta dataskyddsombudet med allmänna frågor som gäller behandling av personuppgifter och dataskyddslagstiftning.
Sparbanksgruppens dataskyddsombud
Sparbanksförbundet anl
Postadress: Industrigatan 33, 00510 Helsingfors
E-post: tietosuoja@saastopankki.fi
Du kan också lämna in ett klagomål eller kontakta dataskyddsmyndigheten.