Tietosuojaseloste

1 Yleistä

Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle, kuten rekisterinpitäjän asiakkaalle tai henkilöstölle, ja toisaalta valvovalle viranomaiselle.

2 Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

OP Asiakaspalvelut Oy

Postiosoite: PL 909, 00013 OP

Käyntiosoite: Gebhardinaukio 1, 00510 HELSINKI

Rekisterinpitäjän yhteyshenkilö: Kimmo Lapinkari

Puhelinnumero: +358 50 4867745

Sähköpostiosoite: kimmo.lapinkari@op.fi

3 Tietosuojavastaavan yhteystiedot

OP Ryhmän tietosuojavastaava

OP Ryhmä

Postiosoite: PL 308, 00013 OP

Sähköpostiosoite: tietosuoja@op.fi

4 Rekisterin nimi ja rekisteröidyt

Rekisterin nimi on OP Asiakaspalvelut Oy:n maksamisen palvelujen asiakasrekisteri.

Rekisteröityjä ovat ne henkilöasiakkaat, jotka käyttävät sekä yhteisöjen puolesta toimivat henkilöt, joiden edustama yhteisö käyttää jotakin / joitakin OP Asiakaspalvelut Oy:n tarjoamia maksamisen palveluja. Rekisterinpitäjän tarjoamia maksamisen palveluja ovat Pivo-maksu (kuluttajapalvelu), Pivo Maksunappi (kauppiaspalvelu), Pivon maksuaika (kuluttajapalvelu), OP Yrityssiirto (kauppiaspalvelu) ja OP Mobiilin Siirto -maksu (kuluttajapalvelu). Rekisteröityjä ovat lisäksi ne henkilöasiakkaat, jotka käyttävät OP Asiakaspalvelut Oy:n tarjoamaa Pivo Tilitietopalvelua (kuluttajapalvelu).

5 Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperusteet

5.1 Käsittelyn tarkoitukset

Maksamisen palvelujen ja Pivo Tilitietopalvelun tarjoaminen edellyttää henkilötietojen käsittelyä. Rekisterinpitäjä käsittelee rekisteriin kuuluvia tietoja pääasiassa maksamisen palvelujen ja Pivo Tilitietopalvelun tuottamiseksi, tarjoamiseksi ja toimittamiseksi. Alla on tarkempaa tietoa henkilötietojen käytöstä rekisterissä.

Henkilötietojen käyttötarkoitukset ovat kuvattu alla. Mikäli jokin henkilötietojen käyttötarkoitus koskee vain jotakin / joitakin tiettyjä palveluita, asia on mainittu erikseen alla.

  • maksupalveluiden toteuttaminen henkilö- ja yritysasiakkaille
  • Pivo Tilitietopalvelun tarjoaminen ja toimittaminen henkilöasiakkaille
  • asiakaspalvelu sekä asiakassuhteen hoito ja kehittäminen, mukaan lukien asiakasviestintä
  • palvelujen tuottaminen, kehittäminen ja laadunvarmistus
  • kuluttajapalveluiden osalta palvelujen käytön seuranta ja analysointi sekä asiakkaiden segmentointi, jotta rekisterinpitäjä pystyy tarjoamaan käyttäjille muun muassa personoitua sisältöä palveluissa
  • liiketoiminnan kehittäminen
  • kuluttajapalveluiden osalta mielipide- ja markkinatutkimukset
  • Pivo-maksun, Pivo-maksunapin, Pivon maksuajan ja Pivo Tilitietopalvelun osalta suoramarkkinointi
  • Pivo-maksun, Pivo-maksunapin, Pivon maksuajan ja Pivo Tilitietopalvelun osalta markkinoinnin ja mainonnan kohdentaminen
  • lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen
  • riskienhallinta
  • palvelujen turvallisuuden varmistaminen ja väärinkäytösten selvittäminen

Automaattinen päätöksenteko ja profilointi

Automaattisesta päätöksenteosta on kyse silloin, kun päätös tehdään pelkästään automaattisesti siten, ettei ihminen osallistu yksittäisen päätöksen tekemiseen, ja kun tällaisella päätöksellä on rekisteröityä koskevia oikeusvaikutuksia tai se vaikuttaa rekisteröityyn vastaavalla tavalla merkittävästi.

Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää automaattista päätöksentekoa, jota suoritetaan asiakkaan hankkiessa maksamisen palveluja. Pakotelistatarkastuksen avulla rekisterinpitäjä saa selvitettyä esimerkiksi, käytetäänkö rekisterinpitäjän tarjoamia maksupalveluita terrorismin rahoittamiseen tai rahanpesuun.

Jos tällaista päätöksentekoa sisältyy hankkimaasi palveluun, siitä kerrotaan tarkemmin palvelun oston yhteydessä. Päätösprosessin ollessa täysin automaattinen rekisterinpitäjä varmistaa, että rekisteröity voi saattaa asian manuaalisessa prosessissa tarkastettavaksi ja päätettäväksi.

Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää profilointia. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa näitä tietoja käyttämällä arvioidaan tiettyjä henkilökohtaisia ominaisuuksia.

Profilointia tehdään pakotelistatarkastuksen yhteydessä, jotta rekisterinpitäjä saa tunnistettua, käytetäänkö maksupalveluita terrorismin rahoittamiseen tai rahanpesuun. Profilointia tehdään lisäksi asiakkaiden segmentoinnissa Pivo-sovelluksessa tarjottavia maksupalveluita käyttävien henkilöasiakkaiden osalta, jotta rekisterinpitäjä pystyy tarjoamaan asiakkaille muun muassa personoitua sisältöä palveluissa. Henkilöasiakkaita profiloidaan myös heidän käyttämiensä palveluiden perusteella kohdennetun markkinoinnin toteuttamiseksi.

Yleistä tietoa automaattisesta päätöksenteosta ja profiloinnista OP Ryhmässä saat tietosuojalausekkeesta osoitteesta op.fi/tietosuoja.

Rahanpesun ja terrorismin rahoittamisen estäminen sekä pakoteseuranta

Asiakkaan tuntemistietoja ja rekisteröidyn muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä muihin laissa rahanpesun ja terrorismin rahoittamisen estämisestä edellytettyihin tarkoituksiin.

Rekisteröidyn henkilötietoja voidaan käyttää sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena. Saat lisätietoa pakotteiden noudattamisesta OP Ryhmässä pääsääntöisesti hankkimasi tuotteen tai palvelun ehdoista.

Rekisterinpitäjä voi käsitellä henkilötietoja harjoittamaansa luottolaitostoimintaan välittömästi kohdistuneista rikoksista tai epäillyistä rikoksista, jos se on välttämätöntä tällaisten rikosten estämiseksi ja selvittämiseksi

5.2 Käsittelyn oikeusperusteet

Alla on kuvattu rekisterin käyttämät henkilötietojen käsittelyn oikeusperusteet. Mikäli jokin oikeusperuste koskee vain jotakin / joitakin tiettyjä palveluita, asia on mainittu erikseen alla.

  • Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet
    • Rekisterissä käsitellään henkilötietoja pääasiassa sopimukseen perustuen rekisteröidyn tai rekisteröidyn edustaman yhteisön hankkimien maksupalvelujen sekä Pivo Tilitietopalvelun tarjoamiseksi ja toimittamiseksi.
    • Koskee seuraavia rekisteröityjä: henkilöasiakkaat ja yhteisöjen puolesta toimivat henkilöt
  • Suostumus
    • Maksupalvelujen tarjoamiseen liittyvä henkilötietojen käsittely perustuu maksupalvelulain mukaiseen suostumukseen.
    • Suoramarkkinointi sähköistä kanavaa käyttäen perustuu rekisteröidyn suostumukseen, joka kerätään Pivo-sovelluksen maksupalveluihin liittyen
    • Koskee seuraavia rekisteröityjä: henkilöasiakkaat
  • Lakisääteinen velvoite
    • Maksupalvelujen tarjoaminen edellyttää maksupalvelulain mukaista henkilötietojen käsittelyperustetta.
    • Rekisterissä käsitellään henkilötietoja maksupalveluiden osalta lain rahanpesun ja terrorismin rahoittamisen estämiseksi sekä pakotelainsäädännön perusteella.
    • Maksamisen palveluissa edellytetään vahvaa sähköistä tunnistamista, jolloin tunnistamiseen sovelletaan lakia vahvasta sähköisestä tunnistamisesta ja sähköisistä luottamuspalveluista.
    • Rekisterissä käsitellään henkilötietoa turvallisuuden varmentamiseen ja väärinkäytösten selvittämiseen.
    • Koskee seuraavia rekisteröityjä: henkilöasiakkaat ja yhteisöjen puolesta toimivat henkilöt
  • Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut
    • Suoramarkkinointi ja liiketoiminnan kehittäminen perustuvat rekisterinpitäjän oikeutettuun etuun. Rekisterinpitäjän suorittama kansainvälisten pakotteiden seuranta perustuu osin oikeutettuun etuun.
    • Rekisterinpitäjän oikeutettu etu perustuu rekisterinpitäjän ja rekisteröidyn väliseen asiakas- tai vastaavaan suhteeseen. Rekisterinpitäjä huolehtii siitä, että tällä perusteella suoritettava käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa hänen kohtuullisia odotuksiaan.
    • Koskee seuraavia rekisteröityjä: henkilöasiakkaat ja yhteisöjen puolesta toimivat henkilöt

6 Henkilötietoryhmät

Alla on kuvattu rekisterissä käsiteltävät henkilötietoryhmät. Mikäli jotakin tietosisältöä käsitellään vain jossakin / joissakin tietyissä palveluissa, asia on mainittu erikseen alla.

  • Perustiedot
    • Rekisteröidyn nimi ja henkilötunnus, rekisteröidyn yhteystiedot: osoite, puhelinnumero, matkapuhelinnumero, sähköposti ja asiointikieli
      • Koskee seuraavia rekisteröityjä: henkilöasiakkaat
      • Koskee kaikkia kuluttajapalveluita
    • Rekisteröidyn nimi ja henkilötunnus, rekisteröidyn yhteystiedot: tehtävänimike, työosoite, työpuhelinnumero, matkapuhelinnumero, sähköposti
      • Koskee seuraavia rekisteröityjä: yhteisöjen puolesta toimivat henkilöt
      • Koskee kaikkia kauppiaspalveluita
  • Tuntemistiedot
    • Maksamisen palvelujen osalta lainsäädännön edellyttämät tuntemistiedot, kuten asiakkaan tunnistamiseksi sekä taloudellisen aseman ja poliittisen vaikutusvallan selvittämiseksi tarpeelliset tiedot
  • Asiakkuustiedot
    • Asiakkuuden yksilöivät ja luokittelevat tiedot
    • Koskee seuraavia rekisteröityjä: henkilöasiakkaat ja yhteisöjen puolesta toimivat henkilöt
  • Suostumukset
    • Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot
    • Koskee seuraavia rekisteröityjä: henkilöasiakkaat
  • Sopimus- ja tuotetiedot
    • Rekisterinpitäjän ja rekisteröidyn / rekisteröidyn edustaman yhteisön välisten sopimusten tiedot
    • Rekisteröidyn hankkimien palvelujen ja/tai tuotteiden tiedot
    • Koskee seuraavia rekisteröityjä: henkilöasiakkaat ja yhteisöjen puolesta toimivat henkilöt
  • Asiakastapahtumatiedot
    • Asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat, mukaan lukien maksutapahtumien tiedot
    • Palvelussa käytetyt pankkitilit ja maksuvälineet
    • Koskee seuraavia rekisteröityjä: henkilöasiakkaat ja yhteisöjen puolesta toimivat henkilöt
  • Käyttäytymistiedot (ml. evästeillä ja muilla vastaavilla teknologioilla kerätyt tiedot)
    • Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite- ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä.
    • Koskee seuraavia rekisteröityjä: henkilöasiakkaat ja yhteisöjen puolesta toimivat henkilöt
  • Tallenteet ja viestien sisältö
    • Erimuotoiset tallenteet ja viestit, joissa rekisteröity on osapuolena, esimerkiksi valokuvat ja puhelutallenteet
    • Koskee seuraavia rekisteröityjä: henkilöasiakkaat ja yhteisöjen puolesta toimivat henkilöt
  • Tekniset tunnistamistiedot
    • Laitteen tai sovelluksen määrittämä tunniste, jonka avulla laitteen tai sovelluksen käyttäjä on tunnistettavissa käyttämällä tarvittaessa lisätietoja
    • Koskee seuraavia rekisteröityjä: henkilöasiakkaat ja yhteisöjen puolesta toimivat henkilöt

7 Henkilötietojen vastaanottajat ja vastaanottajaryhmät

7.1 Tietojen luovutuksensaajat

Henkilötietoja voidaan luovuttaa lain sallimissa puitteissa viranomaisille, esimerkiksi poliisille väärinkäytöksen yhteydessä.

Luovuttaessaan rekisteriin kuuluvia henkilötietoja rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset, ml. rekisterinpitäjään kohdistuvat salassapitovelvoitteet.

7.2 Tietojen siirto alihankkijoille

Rekisterinpitäjä käyttää alihankkijoita, jotka käsittelevät henkilötietoja sen lukuun. Rekisterinpitäjä tekee tällaisten alihankkijoiden kanssa asianmukaiset henkilötietojen käsittelyä koskevat sopimukset.

Rekisterinpitäjä käyttää alihankkijoita mm. maksupalveluiden toteuttamisen yhteydessä. Osa käytetyistä alihankkijoista on muita OP Ryhmän yhteisöjä, esimerkiksi OP-Palvelut Oy toteuttaa järjestelmätasolla maksupalveluissa tehdyt maksut Automatia Pankkiautomaatti Oy:n Siirto-järjestelmään.

7.3 Kansainväliset tiedonsiirrot

Rekisterinpitäjä käyttää henkilötietojen käsittelyssä alihankkijoita ja tietoja siirretään rajatusti EU:n / ETA:n ulkopuolelle.

Tietojen siirto EU:n / ETA:n ulkopuolelle tapahtuu käyttäen tietosuojalainsäädännön mukaisia mallisopimuslausekkeita tai muuta lainsäädännössä sallittua siirtomekanismia, jolla taataan asianmukainen henkilötietojen suoja. Rekisterinpitäjä käyttää eräänä siirtomekanismina EU-komission hyväksymiä mallisopimuslausekkeita, jotka löydät osoitteesta: https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

8 Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit

Rekisterinpitäjä käsittelee henkilötietoja sopimussuhteen voimassaolon ajan. Sopimussuhteen päätyttyä rekisterinpitäjä poistaa henkilötiedot 10 vuoden kuluttua noudattamiensa poistoprosessien mukaisesti.

Rekisterinpitäjä säilyttää maksutapahtuman toteuttamiseen tarvittavia henkilötietoja 6 vuotta maksutapahtuman toteutumisesta, minkä jälkeen rekisterinpitäjä poistaa tiedot noudattamiensa poistoprosessien mukaisesti. Muita maksutapahtumassa käsiteltäviä henkilötietoja, kuten rekisteröidyn itse ottamia valokuvia, rekisterinpitäjä säilyttää 2 vuotta maksutapahtuman toteutumisesta.

Rekisterinpitäjä voi käsitellä sopimussuhteen päätyttyä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti.

Rekisterinpitäjällä voi olla velvollisuus käsitellä joitakin rekisteriin kuuluvia henkilötietoja yllä todettua pitempään lainsäädännön tai viranomaisvaatimusten, kuten vakavaraisuuslaskentaa koskevan sääntelyn, noudattamiseksi.

9 Henkilötietojen lähteet ja päivittäminen

Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, kuten verkkopalveluja.

Henkilötietoja voidaan kerätä ja päivittää lain sallimissa puitteissa myös kolmansien osapuolten rekistereistä, kuten:

  • Väestörekisterikeskuksesta
  • muiden viranomaisten pitämistä rekistereistä
  • luottotietorekisterinpitäjiltä
  • muista OP Ryhmän yhteisöjen asiakasrekistereistä, esimerkiksi Pivo Tilitietopalvelussa haetaan tilitietoa asiakkaan pankista, jotta OP Asiakaspalvelut Oy pystyy näyttämään Pivo Tilitietopalvelun käyttäjän saldon ja tilitapahtumat.

10 Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty.

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista.

Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.

Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.

Tietosuoja-asetuksen soveltamisen alettua rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa tietosuoja-asetukseen perustuen.

Kaikki tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle.

Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.

11 Oikeus peruuttaa suostumus

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja suostumuksen perusteella, rekisteröidyllä on oikeus peruuttaa suostumuksensa. Suostumuksen peruuttaminen ei vaikuta ennen sen peruuttamista suoritetun suostumusperusteisen käsittelyn lainmukaisuuteen. Suostumuksen peruuttaminen voi kuitenkin vaikuttaa palvelun käytettävyyteen ja toiminnallisuuksiin.

12 Miten rekisterin suojaus on järjestetty

Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.

Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:

  • laitteistojen ja tiedostojen suojaus
  • kulunvalvonta
  • käyttäjien tunnistus
  • käyttövaltuudet
  • käyttötapahtumien rekisteröinti
  • käsittelyn ohjeistus ja valvonta

Rekisterinpitäjä edellyttää myös alihankkijoiltaan ja muilta yhteistyökumppaneiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.