<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=354610555754748&amp;ev=PageView&amp;noscript=1">
Hoppa till innehåll

Dataskyddsbeskrivning

1. Allmänt

I denna dataskyddsbeskrivning finns information om behandling av registrerades personuppgifter för bland annat kunder, personal och tillsynsmyndigheter i enlighet med EU:s allmänna dataskyddsförordning och den nationella dataskyddslagen. Denna dataskyddsbeskrivning beskriver behandlingen av personuppgifter i Sydbottens Andelsbankens kundregister.

2. Registrets namn

Sydbottens Andelsbankens kundregister

3. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktuppgifter

Personuppgiftsansvarig: Sydbottens Andelsbanken
Topeeka 31, 61800 Kauhajoki
Tel: 020 166 6200

Ansvarig person för bankens register: Mikael Zilliacus
Tel: 020 166 6200

4. Den dataskyddsansvariges kontaktuppgifter

POP Bankernas sammanslutning har ett gemensamt dataskyddsombud, som svarar på frågor om behandlingen av personuppgifter.

Dataskyddsombud för POP Bankernas sammanslutning: Riikka Vaajamo-Rezaji
POP Bankcentralen anl.
Hästskon 3, 02600 Esbo
tietosuoja@poppankki.fi

5. Grupper av registrerade

Vi behandlar personuppgifter relaterade till potentiella kunder, kunder och personer med anknytning till vissa kunders banktjänster.

Den personuppgiftsansvarige behandlar personuppgifter på basis av:

  • offerter eller ansökningar för att ingå avtal med kunder till exempel om konton, krediter, tjänster, order eller kontaktförfrågningar
  • kundrelationer mellan kunder och den personuppgiftsansvarige
  • order till den personuppgiftsansvarige
  • delaktighet, skyldighet, rättighet, service, avtal eller order baserad på kundrelation.

6. Syfte med behandling av personuppgifter

Bankverksamhet förutsätter behandling av personuppgifter av flera orsaker. Vi behandlar personuppgifter endast för syften som fastställts på förhand. Vi behandlar personuppgifter för följande syften:

  • upprätthållande och utveckling av kundrelationer samt kundservice
  • utveckling av kundrelationer
  • kundkommunikation, behandling av kontaktförfrågningar
  • segmentering av kunder
  • tillhandahållande av tjänster
  • utveckling av tjänster och kvalitetskontroll
  • utveckling av affärsverksamheten
  • uppföljning och analys av användning av produkter
  • direktmarknadsföring och direktreklam
  • marknadsföring och inriktning av den
  • opinions- och marknadsundersökningar
  • tryggande av tjänsternas säkerhet
  • tryggande av tjänsternas kvalitet
  • förebyggande och utredning av missbruk
  • riskhantering
  • fullgörande av skyldigheter relaterade till handläggning, förvaring, rapportering och enkäter baserade på lag och myndighetsföreskrifter
  • tryggande av kundtjänstens kvalitet
  • personalutbildning

7. Rättsliga grunder för behandlingen av personuppgifter

POP Bankens behandling av personuppgifter baserar sig på fullgörande av avtalsskyldigheter och föregående åtgärder, bankens lagstadgade skyldigheter, registrerades samtycke och den personuppgiftsansvariges berättigade intresse. Behandlingen av personuppgifter kan basera sig på flera samtidiga behandlingsgrunder.

Avtal och föregående åtgärder

Avtal och lämnande av uppgifter för avtal är ett avtalsbaserat krav. Exempel på dem är åtgärder relaterade till avtal om konton, krediter och investeringstjänster.

Lagstadgad skyldighet

Vi behandlar kundernas personuppgifter i olika situationer utifrån lagstiftning som är bindande för banken, till exempel penningtvättslagstiftningen.

Den personuppgiftsansvariges berättigade intresse

Banken måste ofta behandla personuppgifter för att utföra sina affärsrelaterade uppgifter. Till exempel kan olika kundservicesituationer, direktmarknadsföring och utveckling av processer, affärsverksamhet och system basera sig på ett berättigat intresse. Genom att följa upp användningen av produkter och tjänster kan banken bland annat förbättra sitt produkt- och tjänsteutbud, optimera de tjänster som erbjuds kunder och förbättra kundupplevelsen.

Registrerades samtycke

Registrerade kan ge sitt samtycke för ett eller flera ändamål, då samtycke är nödvändigt för tillhandahållandet av tjänsten. Registrerades samtycke avser till exempel digital direktmarknadsföring. Om behandlingen av personuppgifter kräver samtycke av den registrerade har den registrerade alltid rätt att återkalla sitt samtycke.

Avtalsförhållande eller åtgärder före ingående av avtal

  • Ansökan om konto, kredit eller annan tjänst och handläggning av ansökan
  • Kreditbeslutsprocess
  • Konto-, kredit- eller nätbanksavtal
  • Kundservice och administration av kundförhållande

Lagstadgad skyldighet

  • Kreditinstitutslagstiftning
  • Penningtvättslagstiftning
  • Kontroller som föranleds av finansiella sanktioner
  • Rapportering till myndigheter och begäran om information från myndigheter
  • Riskhanteringsskyldigheter
  • Kapitaltäckningsskyldigheter
  • Skyldigheter relaterade till tjänster eller produkter, såsom betaltjänster, stark autentisering och betrodda tjänster, bostadslån samt kredit- och investeringstjänster
  • Skyldigheter relaterade till investeringsrådgivning
  • Bokföringsbestämmelser
  • Skattelagstiftning
  • Dataskyddslagen

Den personuppgiftsansvariges berättigade intresse

  • Marknadsförings-, produkt- och kundanalyser
  • Opinions- och marknadsundersökningar
  • Marknadsföring, direktmarknadsföring
  • Utveckling av processer, tjänster och affärsverksamheten
  • Uppföljning och analys av användning av produkter
  • Tryggande av kundtjänstens kvalitet
  • Penningtvättslagstiftning
  • Riskhantering

Registrerades samtycke

  • Digital direktmarknadsföring

8. Automatiserat beslutsfattande och profilering

Behandlingen av personuppgifter kan innebära automatiskt beslutsfattande inom ramen för lagen med samtycke av den registrerade eller om det är nödvändigt för fullgörandet av avtalet. Kunder informeras om automatiskt beslutsfattande i samband med den aktuella produkten eller tjänsten.

Behandlingen av personuppgifter kan även involvera profilering. Med profilering avses automatisk behandling där personuppgifter, till exempel en kreditsökandes kreditvärdighet, bedöms med hjälp av personuppgifter. Den personuppgiftsansvarige har en lagstadgad skyldighet att göra bedömningen. Profilering kan också anknyta till den personuppgiftsansvariges berättigade intresse, till exempel i kundanalyser i marknadsföringssyfte.

Den registrerade kan alltid begära manuell handläggning och uttrycka sin åsikt. Den registrerade kan också överklaga ett beslut som enbart baserar sig på automatiserad behandling, såsom profilering, om beslutet medför rättsverkningar eller andra liknande betydande konsekvenser för den registrerade.

9. Kategorier av personuppgifter

Kategorier av personuppgifter och personuppgifter som vanligtvis behandlas av den personuppgiftsansvarige

Grundläggande uppgifter

  • kundbeteckning (personbeteckning)
  • namn
  • språk
  • kontaktuppgifter såsom adress, telefonnummer och e-postadress
  • medborgarskap, hemkommun, boendeform
  • civilstånd
  • anställningsuppgifter (arbetsgivarens namn, anställningens art, anställningens begynnelsetid)
  • utbildning, socioekonomisk ställning, yrke
  • inkomst
  • kundens relationer, såsom ställning i samhället
  • intressenter
  • samtycke (direktmarknadsföring, digital direktmarknadsföring) och förbud
  • kundrelationens begynnelsetidpunkt
  • beskattningsuppgifter i Finland och utomlands

Koder

  • kod för avvikande status (till exempel intressebevakning, konkurs, skuldsanering)
  • politiskt exponerad person
  • professionell investerare/icke-professionell investerare
  • uppgifter om betalningsstörningar
  • sektor- och branschkod (officiell)
  • uppgifter relaterade till kundprogram

Uppgifter om kundkännedom

  • Verifieringsuppgifter
  • Information om kriterierna för användning av tjänsterna (till exempel den registrerades egen uppskattning av betalningsvolymer)
  • Uppgifter som kundkännedom kräver, såsom politisk exponering och ekonomisk ställning

Uppgifter om bankärenden

Kunduppgifter
  • Uppgifter om den registrerades ansökningar, avtal, tjänster och produkter

Bakgrundsuppgifter

  • Uppgifter om den registrerades livssituation, investeringserfarenhet och -kunskap, ekonomiska ställning och mål

Intressen

  • Uppgifter om den registrerades intresseobjekt, till exempel vissa produkter eller tjänster som POP Banken tillhandahåller

Inspelningar

  • Telefonsamtal, chattkonversationer och andra inspelningar i vilka den registrerade är part

Särskilda kategorier av personuppgifter

  • Kategorier av personuppgifter enligt definitionen i artikel 9 i EU:s allmänna dataskyddsförordning, såsom hälsotillstånd i samband med låneskyddsförsäkring, när den personuppgiftsansvarige agerar som ombud

Uppföljningsuppgifter

  • Uppföljning av den registrerades beteende i nättjänster med hjälp av kakor etc.
  • Uppgifter som samlas in kan till exempel inkludera information om de sidor som användaren surfar på, enheten och enhetens modell, en personlig enhet och/eller cookie-ID och information om en kanal som en applikation, mobil webbläsare eller webbläsare, och IP-adress.

Kakor

En kaka (cookie) är en liten textfil på en webbplats som skickas till en användares dator och lagras där.

Vi använder kakor i våra tjänster för att förbättra användarvänligheten, effektiviteten och säkerheten. Med hjälp av kakor följer vi med användningen av tjänsterna, förbättrar innehållet och användbarheten på webbplatsen samt tillhandahåller information och tjänster som möter våra kunders behov

Du kan läsa mer om användningen av kakor i vårt meddelande om kakor.

https://www.poppankki.fi/evasteet

10. Personuppgiftskällor och uppdatering av personuppgifter

Den personuppgiftsansvarige samlar i första hand in uppgifterna av den registrerade själv eller dennes företrädare. Personuppgifter kan också samlas in när den registrerade använder tjänster som tillhandahålls av den personuppgiftsansvarige, såsom onlinetjänster.

Den personuppgiftsansvarige kan även erhålla personuppgifter från en enhet som tillhör samma konsolideringsgrupp eller ekonomiska sammanslutning inom de ramar som lagen tillåter, till exempel för hantering av kundrelationer, riskhantering, kundservice och marknadsföring.

I den utsträckning som lagen tillåter kan den personuppgiftsansvarige samla in och uppdatera personuppgifter från register som upprätthålls av tredje parter, såsom

  • myndighetsregister, såsom befolkningsdatasystemet, utsökningsregistret, handelsregistret, fordonsregistret och fastighetsdatatjänsten
  • kreditupplysningsregister som förs av kredituppgiftsansvariga
  • Finansieringssektorns gemensamma kundanmärkningsregister
  • andra tillhandahållare av betaltjänster och kreditinstitut
  • nödvändiga uppgifter om politisk exponering och internationella finansiella sanktioner från parter som administrerar sådana databaser

Dessutom kan den personuppgiftsansvarige samla in nödvändiga personuppgifter relaterade till tillhandahållandet av tjänster av personuppgifts-, samarbets- eller affärspartner.

Den personuppgiftsansvarige kan spela in och spara samtal, chattar, meddelanden och webbkonferenser för att säkerställa innehållet i uppdrag och kvaliteten på kundservicen. Av säkerhetsskäl kan den personuppgiftsansvarige ha övervakningskameror på sina kontor och kundtjänstställen.

11. Utlämnande av personuppgifter

Den personuppgiftsansvarige kan inom ramen för lagen lämna ut personuppgifter till exempelvis

  • en enhet som tillhör samma konsolideringsgrupp eller ekonomiska sammanslutning som den personuppgiftsansvarige för bland annat kundservice, annan hantering av kundrelationer och marknadsföring och av riskhanteringsskäl
  • betalaren eller betalningsmottagaren vid betalningsförmedling
  • Suomen Asiakastieto Oy eller andra motsvarande aktörer med kreditupplysningsregister
  • sektorns gemensamma kundanmärkningsregister
  • andra betaltjänstleverantörer eller kreditinstitut
  • myndigheter, såsom skatte-, polis-, utsöknings-, verkställighets- och tillsynsmyndigheter
  • samarbets- och affärspartner för att vidarebefordra nödvändiga uppgifter för tillhandahållande av tjänster eller kontroll av identitet

12. Överföring av personuppgifter

Den personuppgiftsansvarige kan delegera uppgifter relaterade till administrationen av kundregistret till en underleverantör. Den personuppgiftsansvarige kan också anlita underleverantörer och partner för att tillhandahålla tjänster. Dessa parter får behandla personuppgifter endast i enlighet med de instruktioner som den personuppgiftsansvarige ger och endast i den utsträckning som är nödvändig för tillhandahållande av tjänsten.

Den personuppgiftsansvarige ska genom lämpliga avtalsenliga och andra arrangemang för behandlingen av sekretess och personuppgifter säkerställa att de underleverantörer och samarbetspartner som den anlitar behandlar personuppgifter noggrant och i enlighet med god databehandlingssed.

Den underleverantör som den personuppgiftsansvarige anlitar kan också vara ett samfund som hör till POP Bankernas sammanslutning eller POP Bankgruppen.

Den personuppgiftsansvarige behandlar personuppgifter främst i Finland och EES. Om den personuppgiftsansvarige överför eller lämnar ut personuppgifter utanför EES kommer den att säkerställa skyddet av personuppgifter genom lämpliga skyddsåtgärder, såsom standardklausuler för dataskydd och andra ytterligare dataskyddsåtgärder som antagits av EU-kommissionen.

13. Registrerades rättigheter

Rätt att få information om behandlingen av personuppgifter

Den registrerade har rätt att få information om insamling och behandling av dennes personuppgifter. Behandlingen av personuppgifter ska vara transparent.

Rätt att få tillgång till personuppgifter

En registrerad har rätt att kontrollera sina uppgifter och av den personuppgiftsansvarige få en bekräftelse på att denne behandlar personuppgifter som gäller honom eller henne och omfattningen av behandlingen för att bedöma och säkerställa behandlingens lagenlighet. I de flesta fallen är informationen redan tillgänglig för den registrerade, till exempel i nät- eller mobilbanken.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter har den registrerade rätt att få en kopia av den registrerades personuppgifter. Den personuppgiftsansvarige kan ta ut en rimlig administrativ avgift för ytterligare kopior som den registrerade begär. Om den registrerade gör begäran digitalt och inte har begärt någon annan leveransform ska informationen lämnas i ett allmänt använt digitalt format, förutsatt att informationen kan lämnas på ett informationssäkert sätt.

Rätten kan begränsas till exempel på grund av andra personers integritetsskydd och lagstiftningen. Den registrerade har inte rätt att ta del av till exempel uppgifter som rör en annan registrerad eller uppgifter som omfattas av den personuppgiftsansvariges affärs- och yrkeshemligheter.

Rätt att begära rättelse av felaktiga eller ofullständiga uppgifter

Den registrerade har rätt att begära rättelse av felaktiga eller ofullständiga uppgifter om honom eller henne, såvida annat inte följer av lagstiftningen.

Om den registrerade anser att hans eller hennes personuppgifter är felaktiga, ofullständiga eller felaktiga har han eller hon rätt att få sina uppgifter rättade eller kompletterade utan onödigt dröjsmål.

Rätt att återkalla samtycke

Om den personuppgiftsansvarige behandlar personuppgifter med den registrerades samtycke har den registrerade rätt att återkalla sitt samtycke. Återkallandet av samtycket påverkar inte behandlingens lagenlighet före återkallelsen.

Rätt att invända mot behandling av personuppgifter

Den registrerade har rätt att invända mot behandlingen av hans eller hennes personuppgifter i vissa situationer. Den registrerade har rätt att förbjuda den personuppgiftsansvarige att behandla hans eller hennes personuppgifter för direktreklam, distansförsäljning och annan direktmarknadsföring samt marknads- och opinionsundersökningar. Den registrerade har även rätt att invända mot profilering relaterad till direktmarknadsföring. Den registrerade har rätt att invända mot behandling av hans eller hennes personuppgifter som inte grundar sig på speciallagstiftning, avtal eller samtycke.

Rätt att begära radering av uppgifter

Den registrerade har rätt att i vissa situationer begära radering av alla eller vissa personuppgifter och om han eller hon återkallar sitt samtycke till behandlingen av uppgifterna. Den registrerade har rätt att begära radering av sina personuppgifter om uppgifterna inte längre behövs för det ändamål för vilket de ursprungligen samlades in, om den registrerade återkallar sitt samtycke och det inte finns några lagliga skäl för behandlingen.

Den registrerade har också rätt att begära radering av uppgifter om han eller hon invänder mot behandlingen av personuppgifter. Behandlingen får dock fortsätta om det finns ett befogat eller godtagbart skäl för den.

Den registrerade kan begära radering av uppgifterna om han eller hon motsätter sig behandlingen av hans eller hennes uppgifter för direktmarknadsföringsändamål.

Den registrerade har också rätt att begära radering av sina uppgifter om behandlingen är olaglig eller om det är fråga om uppgifter om en minderårig som samlats in i samband med förvärv av informationssamhällstjänster.

Den personuppgiftsansvarige är dock inte skyldig att radera personuppgifter om behandlingen fortfarande är nödvändig, till exempel för att fullgöra den registeransvariges rättsliga skyldigheter eller för att behandla rättsliga anspråk.

Rätt att begränsa behandling av personuppgifter

Om den registrerade ifrågasätter uppgifternas riktighet eller behandlingens lagenlighet eller motsätter sig behandlingen av uppgifterna i enlighet med sina rättigheter, kan han eller hon begära att den personuppgiftsansvarige tillfälligt begränsar behandlingen endast till datalagring.

Den personuppgiftsansvarige kan fortsätta behandlingen efter att uppgifternas riktighet eller den personuppgiftsansvariges rätt att behandla uppgifterna har verifierats.

Rätten att få personuppgifter i en överföringsfil

Den registrerade har rätt att få de personuppgifter som lämnas i maskinläsbar form (överföringsfil). Rätten gäller personuppgifter som behandlas automatiskt på grundval av samtycke eller fullgörande av ett avtal.

Rätt att inte bli föremål för beslut om automatiskt beslutsfattande som medför betydande konsekvenser

Den registrerade har rätt att inte bli föremål för ett beslut som enbart baserar sig på automatisk behandling såsom profilering.

Rätt att överklaga till tillsynsmyndigheten

Om den registrerade anser att hans eller hennes rättigheter till personuppgifter har kränkts har han eller hon rätt att lämna in ett klagomål till tillsynsmyndigheten.

14. Utövande av den registrerades rättigheter

Begäran ska riktas till den personuppgiftsansvariges ovan nämnda kontaktperson. Den personuppgiftsansvarige är skyldig att verifiera den sökandes identitet.

Den registrerade ska lämna in en begäran till den personuppgiftsansvarige via meddelandefunktionen i nät- eller mobilbanken eller på POP Bankens kontor

I en begäran som görs via meddelandefunktionen i nät- eller mobilbanken ska man ange om begäran avser rätten till insyn, en överföringsfil eller båda. Den personuppgiftsansvarige kan begära ytterligare information som behövs för att behandla begäran av den registrerade.

Den registrerades rättigheter är personliga. Till exempel en företagskund kan inte utöva rätten till insyn för en registrerad medarbetares eller kontaktpersons räkning, utan han eller hon ska själv göra en begäran till den personuppgiftsansvarige. Den registrerades rättigheter gäller endast den registrerades personuppgifter.

Förfrågningar bedöms från fall till fall. Om den registrerade till exempel begär radering av sina personuppgifter eller begränsning av behandlingen kan den personuppgiftsansvarige fortsätta att behandla personuppgifterna om behandlingen är nödvändig, till exempel för att fullgöra rättsliga skyldigheter, lösa tvister eller verkställa avtal.

Den personuppgiftsansvarige ska lämna en kopia av personuppgifterna till den registrerade i nätbanken eller skriftligen per post. En överföringsfil lämnas till den registrerade i ett allmänt använt och maskinläsbart digitalt format. En annan förutsättning är att uppgifterna kan överföras på ett säkert sätt.

15. Dataskydd

Personuppgifter omfattas av banksekretess, försäkringssekretess eller annan motsvarande sekretess. Uppgifterna behandlas av den personuppgiftsansvariges anställda, tjänsteleverantörer som är bundna av sekretessavtal eller underordnade som har rätt att behandla personuppgifter i sitt arbete och som är bundna av ett separat dataskyddskrav för säker behandling av personuppgifter eller andra personer som med stöd av avtal, order eller lag har rätt att behandla uppgifterna.

Den personuppgiftsansvarige ska ha lämpliga tekniska, organisatoriska och administrativa säkerhetsrutiner för att skydda alla uppgifter som denne har mot förlust, missbruk, obehörig användning, avslöjande, ändring och förstörelse.

De databaser till vilka personuppgifter samlas in är skyddade med lösenord, brandväggar och andra tekniska metoder. Dessutom beviljas åtkomsträttigheter på ett kontrollerat sätt och deras användning övervakas fortlöpande.

Personalen utbildas och instrueras regelbundet i behandlingen av personuppgifter. Vi förutsätter att underleverantörer följer dataskyddsbestämmelserna på EU-nivå och att personuppgifterna är tillräckligt skyddade med både avtalsenliga och tekniska säkerhetsåtgärder.

16. Lagringstid för uppgifter eller kriterier för fastställande av lagringstiden

Den personuppgiftsansvarige behandlar personuppgifter under kund- och avtalsförhållandets giltighetstid. En kundrelation uppstår när den personuppgiftsansvarige samlar in grundläggande och andra uppgifter om den registrerade som behövs för upprättandet av en kundrelation. Ett avtalsförhållande uppstår när den registrerade kommer överens om en tjänst eller produkt med den personuppgiftsansvarige. Efter utgången av avtalsförhållandet raderas uppgifterna efter 10 år i enlighet med den personuppgiftsansvariges raderingsprocess.

Senast uppdaterad 11.2.2022