Dataskyddsbeskrivning av Sparbankens register över potentiella kunder

1. Personuppgiftsansvarig och den personuppgiftsansvarigas kontaktuppgifter

Varje Sparbank har och behandlar sitt eget register över potentiella kunder.

2. Dataskyddsombudets kontaktuppgifter

Sparbanksgruppen har för gruppen utnämnt ett gemensamt dataskyddsombud som du kan kontakta i frågor som gäller behandlingen av personuppgifter och dataskyddslagstiftningen.

Sparbanksgruppens dataskyddsombud
Sparbanksförbundet anl
Adress: Industrigatan 33, 00510 Helsingfors
E-post: tietosuoja@saastopankki.fi

3. Registrets namn

Register över potentiella kunder

4. Kategorier av registrerade

Den registrerade är potentiell kund hos den personuppgiftsansvariga. En potentiell kundrelation uppstår typiskt när en person uttrycker sitt intresse för den personuppgiftsansvariga eller den per-sonuppgiftsansvarigas tjänster till exempel

• i Sparbanksgruppens nättjänst (sparbanken.fi)
• i samband med ett kontorsbesök
• på mässor
• vid kundevenemang och andra evenemang som den personuppgiftsansvariga ordnar
• i samband med någon kampanj, tävling eller annan motsvarande verksamhet som den personuppgiftsansvariga ordnar
• tredje mans nättjänster, där en person kan lämna en kontaktbegäran till den personuppgiftsansvariga.

5. Syftet med behandlingen av personuppgifter

Ändamålen med behandlingen av person

• behandling av kontaktbegäranden
• behandling av tidsbokningar
• behandling av offertbegäranden och offerter
• tillhandahållande av produkter och tjänster, inklusive investeringsrådgivning
• direktmarknadsföring och direktreklam
• riktande av marknadsföring och reklam
• opinions- och marknadsföringsundersökningar
• uppföljning och analys av användningen av nättjänster
• utveckling av tjänster och affärsverksamhet
• kvalitetssäkring av kundservicen inklusive utbildning.

6. Rättsliga grunder för behandling av personuppgifter

Behandlingen av personuppgifter kan basera sig samtidigt också på flera syften, såsom åtgärder innan ett avtal ingås eller en ansökan görs och den personuppgiftsansvarigas lagstadgade skyldighet. 

Rättslig grund: Ett avtalsförhållande eller åtgärder innan ett avtal ingås

Exempel

• Behandling av kontakt, tidsbokning, kontaktbegäran, offertbegäran, offert etc. som gäller konto, kredit eller annan tjänst.

Rättslig grund: Den personuppgiftsansvarigas lagstadgade förpliktelser

Exempel

• Förpliktelser gällande tjänst eller produkt, såsom betalningstjänster, bolån, krediter och placeringstjänster
• Förpliktelser gällande placeringsrådgivning
• Dataskyddslagen.

Rättslig grund: Den personuppgiftsansvarigas berättigade intresse

Exempel

• Marknadsförings-, produkt- och kundanalyser
• Opinions- och marknadsundersökningar
• Marknadsföring, direktmarknadsföring
• Utveckling av processer, tjänster och affärsverksamhet
• Uppföljning och analys av användningen av produkter och tjänster
• Kvalitetssäkring av kundtjänsten.

Rättslig grund: Den registrerades samtycke

• Marknadsföringstillstånd, när det krävs enligt lagen
• Elektronisk direktmarknadsföring (sms, e-post)
• Den personuppgiftsansvarigas berättigade intresse gäller bland annat sådana marknadsföringsåtgärder och utvecklingen av processer, affärsverksamhet och system som gäller behandlingen av personuppgifter. Till exempel genom att följa och analysera användningen av produkter och tjänster får den personuppgiftsansvariga information utgående från vilken den personuppgiftsansvariga bland annat kan förbättra sitt produkt- och tjänsteurval, optimera de tjänster som erbjuds kunderna och förbättra kundupplevelsen.
• Den registrerades samtycke gäller till exempel elektronisk direktmarknadsföring. Den personuppgiftsansvariga får be om den registrerades samtycke i situationer där behandlingen kräver den registrerades samtycke. När den personuppgiftsansvariga ber om den registrerades samtycke ger den personuppgiftsansvariga också information om behandlingen av uppgifterna i fråga. Om behandlingen av personuppgifter kräver den registrerades samtycke har den registrerade alltid också rätt att återta sitt samtycke.

7. Automatiskt beslutsfattande

Behandlingen av personuppgifter kan innehålla automatiskt beslutsfattande inom ramen för lagstiftningen, med samtycke av den registrerade eller om det är nödvändigt för att verkställa ett avtal. Den registerade informeras alltid om automatiskt beslutsfattande i anslutning till den ifrågavarande produkten eller tjänsten. Den personuppgiftsansvariga ser då till att den registerade alltid kan kräva en manuell behandling av saken och kan uttrycka sin åsikt. Den registrerade kan också bestrida enbart den automatiska behandlingen, såsom ett beslut som baserar sig på profilering om beslutet har rättsverkan eller i övrigt motsvarande betydande konsekvenser för den registrerade.

I behandlingen av personuppgifter kan ingå också profilering. Profilering innebär en automatisk behandling där man genom att använda personuppgifter bedömer personliga egenskaper, såsom en kreditsökandes kreditvärdighet eller en placeringsrådgivningskunds risktålighet. En personuppgiftsansvarig som beviljar kredit eller erbjuder placeringsrådgivning har en lagstadgad förpliktelse att göra en bedömning. Profilering kan gälla också den personuppgiftsansvarigas berättigade kundanalyser som görs i marknadsföringssyfte.

8. Kategorier av personuppgifter

Listan nedan innehåller exempel på de kategorier av personuppgifter och personuppgifter som den personuppgiftsansvariga typiskt behandlar.

A. Basuppgifter om person

• kundnummer (personbeteckning, födelsetid)
• namnuppgifter
• språk
• kontaktuppgifter, såsom adress, telefonnummer och e-postadress
• när registreringen inletts
• samtycke/förbud (direktmarknadsföring, elektronisk direktmarknadsföring)
• när kundförhållandet inletts.

B. Koduppgifter

• avvikande statuskod (till exempel intressebevakad, skuldsanering)
• professionell investerare/icke-professionell investerare.

C. Bakgrundsuppgifter

• Uppgifter om den registrerades livssituation, erfarenhet av och kunskaper om investering, ekonomisk ställning och mål.

D. Intresse

• Uppgifter om vad den registrerade är intresserad av, såsom en viss produkt eller tjänst som Sparbanken erbjuder.

E. Inspelningar

• Telefonsamtal, chattar och andra inspelningar där den registrerade är part. 

F. Övervakningsuppgifter

• Övervakning av den registrerades nätbeteende och användning av tjänster med hjälp av cookies etc.
• De uppgifter som samlas in kan vara till exempel sidor kunden besökt, utrustning och modell, individuell apparat- och/eller cookieidentifierare och uppgifter om kanal såsom applikation, mobilwebbläsare eller internetwebbläsare.

9. Källor för och uppdatering av personuppgifter

Den personuppgiftsansvariga samlar uppgifterna i första hand av den registrerade själv eller av hans eller hennes företrädare. Personuppgifter kan samlas också när en registrerad använder de tjänster, såsom nättjänster, som den personuppgiftsansvariga tillhandahåller.

Den personuppgiftsansvariga kan samla personuppgifter också från bolag i samma konsolideringsgrupp eller ekonomiska sammanslutning inom i lagen tillåtna gränser till exempel för marknadsföring.

Den personuppgiftsansvariga kan samla och uppdatera inom i lagen tillåtna gränser personuppgifter från register som förs av myndigheter, såsom befolkningsdatasystemet, handelsregistret, fordonsregistret och fastighetsdatasystemet. 

Den personuppgiftsansvariga kan dessutom av sina samarbets- eller affärspartner samla personuppgifter som är nödvändiga för att erbjuda och använda tjänsten.

Den personuppgiftsansvariga kan spela in och lagra telefonsamtal, chattar och meddelanden för att säkerställa deras innehåll och kundtjänstens kvalitet. Den personuppgiftsansvariga kan av säkerhetsskäl ha övervakningskameror på sina kontor och kundbetjäningsställen.

10. Överföring av personuppgifter

Den personuppgiftsansvariga kan överföra uppgifter som hänför sig till behandlingen av kundregistret till en underleverantör. Den personuppgiftsansvariga kan använda underleverantörer och samarbetsparter också i producerandet och erbjudandet av tjänster. Dessa kan behandla personuppgifterna endast i enlighet med de anvisningar som den personuppgiftsansvariga har gett. De har inte rätt att använda personuppgifterna för sina egna syften, såsom direktmarknadsföring. Den personuppgiftsansvariga försäkrar sig med avtal och andra arrangemang om att underleverantörerna och partnerna behandlar personuppgifter med iakttagande av aktsamhet och god informationshantering.

En underleverantör som den personuppgiftsansvariga använder kan också vara ett företag som hör till Sparbankernas sammanslutning eller Sparbanksgruppen.

Den personuppgiftsansvariga behandlar personuppgifter i huvudsak i Finland och EES-området. Till EES-området hör utöver EU:s medlemsländer Island, Liechtenstein och Norge. Om den personuppgiftsansvariga överlåter personuppgifter till länder utanför EES såsom USA, ser den till att uppgifterna skyddas på tillräcklig nivå så som förutsätts i lagstiftningen och tillämpar de överföringsmekanismer som Europeiska kommissionen har godkänt, av vilka primärt används Europeiska kommissionens modellavtalsklausuler.

11. Den registrerades rättigheter

Rätt att få tillgång till personuppgifter (rätten till insyn)

Den registrerade har rätt att av den personuppgiftsansvariga få en bekräftelse på om den personuppgiftsansvariga behandlar den registrerades personuppgifter eller inte.

Om den personuppgiftsansvariga behandlar en registrerads personuppgifter har den registrerade rätt att få en kopia på personuppgifterna. Den personuppgiftsansvariga kan ta ut en rimlig administrativ avgift för ytterligare kopior som den registrerade ber om.

Rättigheten kan begränsas till exempel med stöd av andra personers integritetsskydd och lagstiftning. Den registrerade har inte rätt till insyn till exempel i uppgifter om en annan registrerad eller uppgifter som omfattas av den personuppgiftsansvarigas affärs- och yrkeshemlighet.

Rätt att be om rättelse av felaktiga eller bristfälliga uppgifter

Den registrerade har rätt att be att felaktiga eller bristfälliga uppgifter om honom eller henne rättas, såvida inget annat föreskrivs i lag.

Rätt att återta samtycke

Om den personuppgiftsansvariga behandlar personuppgifter med den registrerades samtycke har den registrerade rätt att återta sitt samtycke. Om samtycket återtas påverkar det inte lagligheten för den behandling av personuppgifterna som skett före återkallandet.

Rätt att motsätta sig behandling av personuppgifter

Den registrerade har rätt att förbjuda den personuppgiftsansvariga att behandla den registrerades personuppgifter för direktreklam, distansförsäljning och annan direktmarknadsföring samt för marknads- och opinionsundersökningar. Den registrerade har rätt att motsätta sig också profilering för direktmarknadsföring.

Rätt att be att uppgifter raderas

Den registrerade har rätt att be att den personuppgiftsansvariga raderar den registrerades uppgifter om han eller hon återtar sitt samtycke till behandling av uppgifterna.

Den registrerade kan be att uppgifter raderas om han eller hon motsätter sig användningen av uppgifterna för direktmarknadsföring.

Den registrerade har rätt att be att uppgifterna raderas också om behandlingen strider mot lagen eller om det är fråga en minderårigs uppgifter som samlats i anslutning till anskaffning av informationssamhällets tjänster.

Den personuppgiftsansvariga är ändå inte skyldig att radera personuppgifter om behandlingen av uppgifterna fortfarande är nödvändig till exempel för att uppfylla de lagstadgade förpliktelserna eller för att behandla rättsliga anspråk.

Rätt att begränsa behandling av personuppgifter

Om den registrerade bestrider att personuppgifterna är korrekta eller att behandlingen är laglig eller motsätter sig att uppgifter behandlas i  enlighet med den registrerades rättigheter kan han eller hon kräva att den personuppgiftsansvariga begränsar behandlingen till att bara förvara uppgifterna. Den personuppgiftsansvariga kan fortsätta behandlingen efter att uppgifternas korrekthet eller den personuppgiftsansvarigas rätt att behandla uppgifterna har säkerställts.

Rätt att få personuppgifterna som överföringsfil

Den registrerade har rätt att få sina personuppgifter i maskinläsbart format (överföringsfil). Rätten gäller personuppgifter som behandlas automatiskt utifrån samtycke eller inom ramen för genomförandet av ett avtal.

12. Utövande av den registrerades rättigheter

Begäran ska göras separat för varje personuppgiftsansvarig. Den personuppgiftsansvariga är skyldig att kontrollera identiteten på den som lämnat begäran på ett tillförlitligt sätt.

Den registrerade ska lämna in begäran till den personuppgiftsansvariga på Sparbankens kontor. Den personuppgiftsansvariga behandlar inte begäranden som lämnats på annat sätt, såsom per e-post.

Den personuppgiftsansvariga kan be den registrerade om nödvändig ytterligare information för att behandla begäran. 

Den registrerades rättigheter är personliga. Till exempel kan en företagskund inte använda rätten till insyn för sin registrerade anställda eller kontaktperson utan denna ska själv lämna begäran till den personuppgiftsansvariga. Den registrerades rättigheter gäller bara uppgifter om den registrerade själv.

Begärandena bedöms enligt situation och från fall till fall. Om en registrerad till exempel ber om att hans eller hennes personuppgifter raderas eller att behandlingen begränsas kan den personuppgiftsansvariga fortfarande behandla personuppgifter om behandlingen är nödvändig till exempel för att iaktta lagenliga förpliktelser, lösa konflikter eller för att verkställa avtal.

Den personuppgiftsansvariga sänder en kopia av personuppgifterna till den registrerade skriftligt per post. Överföringsfilen sänds till de registrerade i ett allmänt använt och maskinläsbart elektroniskt format. En förutsättning är dessutom att uppgifterna kan sändas på ett datasäkert sätt.

Den registrerade kan dessutom lämna en begäran gällande rätten till insyn och/eller överföringsfil på Sparbankens kontor som är ombud för den personuppgiftsansvariga, när den personuppgiftsansvariga är Sparbankernas Centralbank Finland Abp, Sp-Fondbolag Ab, Sp-Hypoteksbank Abp eller Sb-Livförsäkringsbolag Ab. Sparbanken förmedlar begäran till den rätta personuppgiftsansvariga.

13. Skydd av uppgifterna

Personuppgifter omfattas av banksekretess, försäkringssekretess eller annan motsvarande sekretess. Uppgifterna behandlas av de anställda hos den personuppgiftsansvariga till vilkas arbetsuppgifter saken hör eller andra personer som enligt avtal, uppdrag eller lagen har rätt att behandla uppgifter.

Den personuppgiftsansvariga har tillbörliga tekniska, organisatoriska och administrativa säkerhetsförfaranden med vilka den skyddar alla sina uppgifter mot försvinnande, missbruk, olovlig användning, överlåtelse, ändringar och förstörelse.

Den personuppgiftsansvariga övervakar tillgången till personuppgifterna och behandlingen av dem bland annat med tekniska datasäkerhetsåtgärder, hantering av registeranvändarnas behörigheter. passerkontroll och genomn att följa användningen av systemet. Den personuppgiftsansvariga ingriper omedelbart i missbruk. Den personuppgiftsansvariga ser också bl.a. med dataskydds- och datasäkerhetsutbildning till att personalen har de kunskaper som behövs.

Den personuppgiftsansvariga säkerställer med avtals- och andra arrangemang att dess underleverantörer skyddar personuppgifter som sig bör samt behandlar uppgifterna i registret omsorgsfullt och med iakttagande av god informationshantering.

14. Lagringstid för personuppgifter eller kriterier för att fastställa lagringstiden

Den personuppgiftsansvariga behandlar en potentiell kunds personuppgifter i regel i högst ett (1) år från det att den registrerade senast med aktiva åtgärder visat intresse för den personuppgiftsansvarigas produkter eller tjänster eller när personuppgifter senast har behandlats. Den personuppgiftsansvariga kan också vara skyldig att spara uppgifterna en tid som lagen förutsätter.

Om den personuppgiftsansvariga samlar personuppgifter för något särskilt användningsändamål såsom en tävling, utlottning eller en viss marknadsföringskampanj raderas uppgifterna när behandlingen av dem inte längre är nödvändig för ändamålet i fråga.

Om en potentiell kundrelation baserar sig på kunduppgifter som den personuppgiftsansvariga fått för marknadsföring av något annat företag i Sparbanksgruppen, består den potentiella kundrelationen till dess att den registrerades kundrelation i det företag som överlåtit uppgifterna upphör.

Den personuppgiftsansvariga kan behandla personuppgifter för direktmarknadsföring i enlighet med tillämplig lagstiftning också efter att avtals- eller kundförhållandet har upphört.

Dataskyddsbeskrivning, Maj 2018