Dataskyddsbeskrivning av Sparbankens kundregister

1. Personuppgiftsansvarig och den personuppgiftsansvarigas kontaktuppgifter

Varje Sparbank har och behandlar sitt eget kundregister. Den personuppgiftsansvariga bestäms enligt kundförhållandet.

2. Dataskyddsombudets kontaktuppgifter

Sparbanksgruppen har för gruppen utnämnt ett gemensamt dataskyddsombud som du kan kontakta i frågor som gäller behandlingen av personuppgifter och dataskyddslagstiftningen.

Sparbanksgruppens dataskyddsombud
Sparbanksförbundet anl
Adress: Industrigatan 33, 00510 Helsingfors
E-post: tietosuoja@saastopankki.fi

3. Registrets namn

Kundregister

4. Kategorier av registrerade

Den personuppgiftsansvariga behandlar personuppgifter som gäller personer som har eller har haft

• ett kundförhållande med den personuppgiftsansvariga
• en offert eller ansökan som gäller till exempel konto, kredit, tjänsteavtal eller annat avtal, uppdrag eller kontaktbegäran om att ingå ett kundförhållande
• ett uppdrag till den personuppgiftsansvariga

Dessutom behandlar den personuppgiftsansvariga personuppgifter som gäller personer som har eller har haft delaktighet, förpliktelse eller annan rätt till avtal, tjänst eller uppdrag i anslutning till ansökan eller kundförhållandet. Sådana personer är t.ex. kontohavare, personer med dispositionsrätt till konto, gäldenärer, kundens företrädare och kontaktpersoner, borgensmän och pantgivare.

5. Syftet med behandlingen av personuppgifter

Bankverksamhet förutsätter behandling av personuppgifter. Ändamålen med behandlingen av personuppgifter är

• skötsel av kundförhållandet och kundservicen
• utveckling av kundförhållandet
• kundkommunikation, behandling av kontaktbegäranden
• kundsegmentering
• erbjudande och producerande av tjänster
• utveckling av tjänster och affärsverksamheten
• uppföljning och analys av användningen av produkter och tjänster
• direktmarknadsföring och direktreklam
• riktande av marknadsföring och reklam
• opinions- och marknadsundersökningar
• säkerställande av tjänsternas säkerhet
• säkerställande av tjänsternas kvalitet
• förhindrande och utredning av missbruk
• riskhantering
• fullgörande av de behandlings-, förvarings-, rapporterings- och förfrågningsskyldigheter som baserar sig på lag och myndighetsföreskrifter
• kvalitetssäkring av kundservicen inklusive personalutbildning

6. Rättsliga grunder för behandling av personuppgifter

Sparbanken behandlar personuppgifter så att den kan fullgöra sina lagstadgade och avtalsenliga förpliktelser. Behandlingen av personuppgifter kan samtidigt basera sig också på flera syften, såsom avtalsförhållande och den personuppgiftsansvarigas lagstadgade skyldighet.

Rättslig grund: Ett avtalsförhållande eller åtgärder innan ett avtal ingås

Exempel

• Ansökan som gäller konto, kredit eller annan tjänst och behandlingen av ansökan
• Kreditbeslutsprocessen
• Ingående av ett konto-, kredit- eller nätbanksavtal
• Kundservice och skötsel av kundförhållande

Den personuppgiftsansvarigas lagstadgade förpliktelser

• Uppgifter om kundkontroll
• Kreditinstitutslagstiftningen
• Penningtvättslagstiftningen
• Kontroller som de finansiella sanktionerna förutsätter
• Rapportering till myndigheter och myndigheternas informationsbegäranden
• Förpliktelser gällande riskhantering (till exempel kreditrisker)
• Förpliktelser gällande kapitaltäckningen
• Förpliktelser gällande tjänst eller produkt, såsom betalningstjänster, stark elektronisk autentisering och betrodda elektroniska tjänster, bolån, krediter och placeringstjänster
• Förpliktelser gällande placeringsrådgivning
• Bokföringsförordningar
• Skattelagstiftningen
• Dataskyddslagen

Rättslig grund: Den personuppgiftsansvarigas berättigade intresse

Exempel

• Marknadsförings-, produkt- och kundanalyser
• Opinions- och marknadsundersökningar
• Marknadsföring, direktmarknadsföring
• Utveckling av processer, tjänster och affärsverksamhet
• Uppföljning och analys av användningen av produkter och tjänster
• Kvalitetssäkring av kundtjänsten

Rättslig grund: Den registrerades samtycke

• Elektronisk direktmarknadsföring (sms, e-post)
• Den personuppgiftsansvarigas berättigade intresse gäller bland annat sådana marknadsföringsåtgärder och utvecklingen av processer, affärsverksamhet och system som gäller behandlingen av personuppgifter. Till exempel genom att följa och analysera användningen av produkter och tjänster får den personuppgiftsansvariga information utgående från vilken den personuppgiftsansvariga bland annat kan förbättra sitt produkt- och tjänsteurval, optimera de tjänster som erbjuds kunderna och förbättra kundupplevelsen.
• Den registrerades samtycke gäller till exempel elektronisk direktmarknadsföring. Den personuppgiftsansvariga får be om den registrerades samtycke i situationer där behandlingen kräver den registrerades samtycke. När den personuppgiftsansvariga ber om den registrerades samtycke ger den personuppgiftsansvariga också information om behandlingen av uppgifterna i fråga. Om behandlingen av personuppgifter kräver den registrerades samtycke har den registrerade alltid också rätt att återta sitt samtycke.

7. Automatiskt beslutsfattande

Behandlingen av personuppgifter kan innehålla automatiskt beslutsfattande inom ramen för lagstiftningen, med samtycke av den registrerade eller om det är nödvändigt för att verkställa ett avtal. Den registerade informeras alltid om automatiskt beslutsfattande i anslutning till den ifrågavarande produkten eller tjänsten. Den personuppgiftsansvariga ser då till att den registerade alltid kan kräva en manuell behandling av saken och kan uttrycka sin åsikt. Den registrerade kan också bestrida enbart den automatiska behandlingen, såsom ett beslut som baserar sig på profilering om beslutet har rättsverkan eller i övrigt motsvarande betydande konsekvenser för den registrerade.

I behandlingen av personuppgifter kan ingå också profilering. Profilering innebär en automatisk behandling där man genom att använda personuppgifter bedömer personliga egenskaper, såsom en kreditsökandes kreditvärdighet eller en placeringsrådgivningskunds risktålighet. En personuppgiftsansvarig som beviljar kredit eller erbjuder placeringsrådgivning har en lagstadgad förpliktelse att göra en bedömning. Profilering kan gälla också den personuppgiftsansvarigas berättigade kundanalyser som görs i marknadsföringssyfte.

8. Förhindrande av brottslighet

Den registrerades uppgifter om kundkontroll och andra personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism samt i andra syften som penningtvättslagstiftningen förutsätter.

Den registrerades personuppgifter kan också användas till att reda ut om personen är föremål för internationella sanktioner som den personuppgiftsansvariga följer.

Den personuppgiftsansvariga kan behandla personuppgifter i anslutning till brott eller misstänkta brott som direkt riktar sig till den personuppgiftsansvarigas kreditinstitutsverksamhet om det är nödvändigt för att förhindra eller utreda sådana brott.

9. Kategorier av personuppgifter

Listan nedan innehåller exempel på de kategorier av personuppgifter och personuppgifter som den
personuppgiftsansvariga typiskt behandlar.

A. Basuppgifter om person

• kundnummer (personbeteckning)
• namnuppgifter
• språk
• kontaktuppgifter såsom adress, telefonnummer och e-postadress
• nationalitet, kommun där man är bosatt
• civilstånd
• anställningsuppgifter (arbetsgivarens namn, anställningens natur, när anställningen började)
• utbildning, socioekonomisk ställning, yrke
• inkomstuppgifter
• kundförbindelser såsom ställning i organisationen
• intressegrupper
• samtycke/förbud (direktmarknadsföring, elektronisk direktmarknadsföring)
• när kundförhållandet inletts
• uppgifter om beskattning i Finland och utomlands

B. Koduppgifter

• avvikande statuskod (till exempel intressebevakad, konkurs, skuldsanering)
• person i politiskt utsatt ställning
• professionell investerare/icke-professionell investerare
• betalningsanmärkningar
• sektor- och näringsgrenskod (officiell)
• uppgifter i anslutning till kundprogram

C. Kundkontroll

• Verifieringsuppgifter
• Uppgifter om grunder för användningen av tjänster (till exempel den registrerades egen uppskattning av betalningsvolymer)

D. Uppgifter om den registrerades ärenden i banken

• Uppgifter om den registrerades ansökningar, avtal, tjänster och produkter

E. Bakgrundsuppgifter

• Uppgifter om den registrerades livssituation, erfarenhet av och kunskaper om investering, ekonomisk ställning och mål

F. Intresse

• Uppgifter om vad den registrerade är intresserad av, såsom en viss produkt eller tjänst som Sparbanken erbjuder

G. Inspelningar

• Telefonsamtal, chattar och andra inspelningar där den registrerade är part

H. Särskilda kategorier av personuppgifter

• Kategorier av personuppgifter som fastställs i artikel 9 i EU:s allmänna dataskyddsförordning, såsom hälsotillstånd till exempel gällande en låneskyddsförsäkring när den personuppgiftsansvariga är ombud.

I. Övervakningsuppgifter

• Övervakning av den registrerades nätbeteende och användning av tjänster med hjälp av cookies etc. De uppgifter som samlas in kan vara till exempel sidor kunden besökt, utrustning och modell, individuell apparat- och/eller cookieidentifierare och uppgifter om kanal såsom applikation, mobilwebbläsare eller internetwebbläsare

10. Källor för och uppdatering av personuppgifter

Den personuppgiftsansvariga samlar uppgifterna i första hand av den registrerade själv eller av hans eller hennes företrädare. Personuppgifter kan samlas också när en registrerad använder de tjänster, såsom nättjänster, som den personuppgiftsansvariga tillhandahåller.

Den personuppgiftsansvariga kan samla personuppgifter också från bolag i samma konsolideringsgrupp eller ekonomiska sammanslutning inom i lagen tillåtna gränser till exempel för att sköta kundförhållandet, för kundbetjäning och marknadsföring.

Den personuppgiftsansvariga kan samla och uppdatera inom i lagen tillåtna gränser personuppgifter från register som förs av tredje man, såsom

• myndighetsregister, såsom befolkningsdatasystemet, handelsregistret, fordonsregistret och fastighetsdatasystemet
• Suomen Asiakastieto Oy:s eller motsvarande kreditupplysningsregisterförares kreditupplysningsregister
• finanssektorns gemensamma kundstörningsregister
• andra betaltjänstleverantörer och kreditinstitut
• instanser som upprätthåller databaser med nödvändiga uppgifter för att reda ut om den registrerade är en person i politiskt utsatt ställning eller föremål för internationella sanktioner

Den personuppgiftsansvariga kan dessutom av sina samarbets- eller affärspartner samla personuppgifter som är nödvändiga för att erbjuda och använda tjänsten.

Den personuppgiftsansvariga kan spela in och lagra telefonsamtal, chattar och meddelanden för att säkerställa deras innehåll och kundtjänstens kvalitet. Den personuppgiftsansvariga kan av säkerhetsskäl ha övervakningskameror på sina kontor och kundbetjäningsställen.

11. Överlåtelse av personuppgifter

Vid överlåtelse av personuppgifter beaktar den personuppgiftsansvariga den bindande lagstiftningens krav, såsom de sekretessförpliktelser som gäller kreditinstitut.

Den personuppgiftsansvariga kan överlåta personuppgifter inom ramen för lagen till exempel

• till bolag i samma konsolideringsgrupp eller ekonomiska sammanslutning som den personuppgiftsansvariga bland annat för kundbetjäning, annan skötsel av kundförhållandet och marknadsföring.
• i betalningsförmedling betalarens eller betalningsmottagarens personuppgifter
• till Suomen Asiakastieto Oy eller andra motsvarande kreditupplysningsregisterförare
• till branschens gemensamma kundstörningsregister
• till en annan betaltjänstleverantör eller ett annat kreditinstitut
• till myndigheter, såsom skatte-, polis-, utsöknings-, tillsynsmyndigheter och verkställande myndigheter
• till samarbets- och affärspartner sådana uppgifter som är nödvändiga för att producera eller använda en tjänst eller för att verifiera identiteten

12. Överföring av personuppgifter

Den personuppgiftsansvariga kan överföra uppgifter som hänför sig till behandlingen av kundregistret till en underleverantör. Den personuppgiftsansvariga kan använda underleverantörer och samarbetsparter också i producerandet och erbjudandet av tjänster. Dessa kan behandla personuppgifterna endast i enlighet med de anvisningar som den personuppgiftsansvariga har gett. De har inte rätt att använda personuppgifterna för sina egna syften, såsom direktmarknadsföring. Den personuppgiftsansvariga försäkrar sig med avtal och andra arrangemang om att underleverantörerna och partnerna behandlar personuppgifter med iakttagande av aktsamhet och god informationshantering.

En underleverantör som den personuppgiftsansvariga använder kan också vara ett företag som hör till Sparbankernas sammanslutning eller Sparbanksgruppen.

Den personuppgiftsansvariga behandlar personuppgifter i huvudsak i Finland och EES-området. Till EES-området hör utöver EU:s medlemsländer Island, Liechtenstein och Norge. Om den personuppgiftsansvariga överlåter personuppgifter till länder utanför EES såsom USA, ser den till att uppgifterna skyddas på tillräcklig nivå så som förutsätts i lagstiftningen och tillämpar de överföringsmekanismer som Europeiska kommissionen har godkänt, av vilka primärt används Europeiska kommissionens modellavtalsklausuler.

13. Den registrerades rättigheter

Rätt att få tillgång till personuppgifter (rätten till insyn)

Den registrerade har rätt att av den personuppgiftsansvariga få en bekräftelse på om den personuppgiftsansvariga behandlar den registrerades personuppgifter eller inte. I de flesta fall kan den registrerade redan se uppgifterna till exempel i nät- eller mobilbanken.

Om den personuppgiftsansvariga behandlar en registrerads personuppgifter har den registrerade rätt att få en kopia på personuppgifterna. Den personuppgiftsansvariga kan ta ut en rimlig administrativ avgift för ytterligare kopior som den registrerade ber om.

Rättigheten kan begränsas till exempel med stöd av andra personers integritetsskydd och lagstiftning. Den registrerade har inte rätt till insyn till exempel i uppgifter om en annan registrerad eller uppgifter som omfattas av den personuppgiftsansvarigas affärs- och yrkeshemlighet.

Rätt att be om rättelse av felaktiga eller bristfälliga uppgifter

Den registrerade har rätt att be att felaktiga eller bristfälliga uppgifter om honom eller henne rättas, såvida inget annat föreskrivs i lag.

Rätt att återta samtycke

Om den personuppgiftsansvariga behandlar personuppgifter med den registrerades samtycke har den registrerade rätt att återta sitt samtycke. Om samtycket återtas påverkar det inte lagligheten för den behandling av personuppgifterna som skett före återkallandet.

Rätt att motsätta sig behandling av personuppgifter

Den registrerade har rätt att förbjuda den personuppgiftsansvariga att behandla den registrerades personuppgifter för direktreklam, distansförsäljning och annan direktmarknadsföring samt för marknads- och opinionsundersökningar. Den registrerade har rätt att motsätta sig också profilering för direktmarknadsföring.

Rätt att be att uppgifter raderas

Den registrerade har rätt att be att den personuppgiftsansvariga raderar den registrerades uppgifter om han eller hon återtar sitt samtycke till behandling av uppgifterna.

Den registrerade har rätt att be att uppgifter raderas också om han eller hon motsätter sig behandlingen av uppgifterna. Behandlingen kan fortsättas om det för behandlingen finns en skälig eller godtagbar orsak.

Den registrerade kan be att uppgifter raderas om han eller hon motsätter sig användningen av uppgifterna för direktmarknadsföring.

Den registrerade har rätt att be att uppgifterna raderas också om behandlingen strider mot lagen eller om det är fråga en minderårigs uppgifter som samlats i anslutning till anskaffning av informationssamhällets tjänster.

Den personuppgiftsansvariga är ändå inte skyldig att radera personuppgifter om behandlingen av uppgifterna fortfarande är nödvändig till exempel för att uppfylla de lagstadgade förpliktelserna eller för att behandla rättsliga anspråk.

Rätt att begränsa behandling av personuppgifter

Om den registrerade bestrider att personuppgifterna är korrekta eller att behandlingen är laglig eller motsätter sig att uppgifter behandlas i  enlighet med den registrerades rättigheter kan han eller hon kräva att den personuppgiftsansvariga begränsar behandlingen till att bara förvara uppgifterna. Den personuppgiftsansvariga kan fortsätta behandlingen efter att uppgifternas korrekthet eller den personuppgiftsansvarigas rätt att behandla uppgifterna har säkerställts.

Rätt att få personuppgifterna som överföringsfil

Den registrerade har rätt att få sina personuppgifter i maskinläsbart format (överföringsfil). Rätten gäller personuppgifter som behandlas automatiskt utifrån samtycke eller inom ramen för genomförandet av ett avtal.

14. Utövande av den registrerades rättigheter

Begäran ska göras separat för varje personuppgiftsansvarig. Den personuppgiftsansvariga är skyldig att kontrollera identiteten på den som lämnat begäran på ett tillförlitligt sätt.

Den registrerade ska lämna in begäran till den personuppgiftsansvariga med nät- eller mobilbankens meddelandefunktion eller på Sparbankens kontor. Den personuppgiftsansvariga behandlar inte begäranden som lämnats på annat sätt, såsom per e-post.

I en begäran som lämnas med nät- eller mobilbankens meddelandefunktion ska anges om begäran gäller rätten till insyn, överföringsfilen eller båda. Den personuppgiftsansvariga kan be den registrerade om nödvändig ytterligare information för att behandla begäran.

Den registrerades rättigheter är personliga. Till exempel kan en företagskund inte använda rätten till insyn för sin registrerade anställda eller kontaktperson utan denna ska själv lämna begäran till den personuppgiftsansvariga. Den registrerades rättigheter gäller bara uppgifter om den registrerade själv.

Begärandena bedöms enligt situation och från fall till fall. Om en registrerad till exempel ber om att hans eller hennes personuppgifter raderas eller att behandlingen begränsas kan den personuppgiftsansvariga fortfarande behandla personuppgifter om behandlingen är nödvändig till exempel för att iaktta lagenliga förpliktelser, lösa konflikter eller för att verkställa avtal.

Den personuppgiftsansvariga sänder en kopia av personuppgifterna till den registrerade i nätbanken eller skriftligt per post. Överföringsfilen sänds till de registrerade i ett allmänt använt och maskinläsbart elektroniskt format. En förutsättning är dessutom att uppgifterna kan sändas på ett datasäkert sätt.

Den registrerade kan dessutom lämna en begäran gällande rätten till insyn och/eller överföringsfil med meddelandefunktionen i nät- eller mobilbanken eller på Sparbankens kontor som är ombud för den personuppgiftsansvariga, när den personuppgiftsansvariga är Sparbankernas Centralbank Finland Abp, Sp-Fondbolag Ab, Sp-Hypoteksbank Abp eller Sb-Livförsäkringsbolag Ab. Sparbanken förmedlar begäran till den rätta personuppgiftsansvariga. Vid användning av nät- eller mobilbankens meddelandefunktion ska den registrerade i meddelandet specificera vilken personuppgifsansvarig som begäran gäller.

15. Skydd av uppgifterna

Personuppgifter omfattas av banksekretess, försäkringssekretess eller annan motsvarande sekretess. Uppgifterna behandlas av de anställda hos den personuppgiftsansvariga till vilkas arbetsuppgifter saken hör eller andra personer som enligt avtal, uppdrag eller lagen har rätt att behandla uppgifter.

Den personuppgiftsansvariga har tillbörliga tekniska, organisatoriska och administrativa säkerhetsförfaranden med vilka den skyddar alla sina uppgifter mot försvinnande, missbruk, olovlig användning, överlåtelse, ändringar och förstörelse.

Den personuppgiftsansvariga övervakar tillgången till personuppgifterna och behandlingen av dem bland annat med tekniska datasäkerhetsåtgärder, hantering av registeranvändarnas behörigheter. passerkontroll och genomn att följa användningen av systemet. Den personuppgiftsansvariga ingriper omedelbart i missbruk. Den personuppgiftsansvariga ser också bl.a. med dataskydds- och datasäkerhetsutbildning till att personalen har de kunskaper som behövs.

Den personuppgiftsansvariga säkerställer med avtals- och andra arrangemang att dess underleverantörer skyddar personuppgifter som sig bör samt behandlar uppgifterna i registret omsorgsfullt och med iakttagande av god informationshantering.

16. Lagringstid för personuppgifter eller kriterier för att fastställa lagringstiden

Den personuppgiftsansvariga behandlar personuppgifter under kund- och avtalsförhållandets giltighetstid. Ett kundförhållande uppstår när den personuppgiftsansvariga samlar de nödvändiga basuppgifterna och andra uppgifter om den registrerade för att inleda en kundrelation. Ett avtalsförhållande uppstår när den registrerade avtalar om en tjänst eller produkt med den personuppgiftsansvariga.

Den personuppgiftsansvariga sparar nödvändiga uppgifter om kund- och avtalsförhållandet under den tid som behandlingens användningsändamål, rättsgrunderna och den lagstiftning som förpliktar den personuppgiftsansvariga kräver.

Avtalsuppgifter sparas i ca tio (10) år efter att avtalet löpt ut. Uppgifter om kundförhållandet sparas i ca tio (10) år från det att det sista avtalet löpt ut. Efter att lagringstiden löpt ut raderas eller anonymiseras uppgifterna. Om den registrerades uppgifter används som en del av kapitaltäckningsberäkningen ska uppgifterna sparas i tjugo (20) år.

Dataskyddsbeskrivning, Maj 2018