Lammin Osuuspankin asiakasrekisterin tietosuojaseloste
1. Yleistä
Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen sekä kansallisen lainsäädännön edellyttämiä tietoja henkilötietojen käsittelystä rekisteröidylle kuten asiakkaalle, henkilöstölle ja valvovalle viranomaiselle. Tämä tietosuojaseloste kuvaa henkilötietojen käsittelyä Lammin Osuuspankin asiakasrekisterissä.
2. Rekisterin nimi
Lammin Osuuspankin asiakasrekisteri
3. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot
Rekisterinpitäjä: POP Pankki Lammi
Raatihuoneenkatu 20
13100 Hämeenlinna
Puh: 010 548 6010
Pankin rekisterivastuuhenkilö: Veera Vesterinen
4. Tietosuojavastaavan yhteystiedot
POP Pankkien yhteenliittymässä on yhteinen tietosuojavastaava, joka vastaa henkilötietojen käsittelyyn liittyvistä kysymyksistä.
POP Pankkien yhteenliittymän tietosuojavastaava
Sähköpostiosoite: tietosuoja@poppankki.fi
Postiosoite:
POP Pankkikeskus osk
Tietosuojavastaava
Hevosenkenkä 3, 02600 Espoo
5. Rekisteröityjen ryhmät
Rekisteröityjä ovat POP Pankin asiakkaat ja potentiaaliset asiakkaat, jotka voivat olla niin yksityishenkilöitä kuin oikeushenkilöitä. Voimme käsitellä myös rekisteröidyn tosiasiallisten edunsaajien, valtuutettujen, edustajien ja muiden vastuuhenkilöiden henkilötietoja.
Rekisterinpitäjä käsittelee henkilötietoja perustuen:
- asiakassuhteen solmimiseksi tehtyyn tarjoukseen tai hakemukseen, joka koskee esimerkiksi tiliä, luottoa, palvelu- tai muuta sopimusta, toimeksiantoa tai yhteydenottopyyntöä
- asiakassuhteeseen perustuvaan osallisuuteen, velvoitteeseen, oikeuteen, palveluun, sopimukseen tai toimeksiantoon
- asiakkaan ja rekisterinpitäjän väliseen asiakassuhteeseen
- rekisterinpitäjälle annettuun toimeksiantoon.
6. Henkilötietojen käsittelyn tarkoitukset
Pankkitoiminta edellyttää henkilötietojen käsittelyä useamman eri syyn vuoksi. Käsittelemme henkilötietoja ainoastaan ennalta määriteltyihin tarkoituksiin. Henkilötietoja käsitellään seuraaviin tarkoituksiin:
- asiakassuhteen hoitaminen ja kehittäminen sekä asiakaspalvelu
- asiakasviestintä, yhteydenottopyyntöjen käsittely
- asiakkaiden segmentointi
- henkilöstön kouluttaminen
- lakiin ja viranomaismääräyksiin perustuvien käsittely-, säilytys-, raportointi- ja kyselyvelvoitteiden täyttäminen
- liiketoiminnan kehittäminen
- markkinoinnin ja mainonnan kohdentaminen
- mielipide- ja markkinatutkimukset
- myynnin seuranta
- notariaattitoimeksiantojen hoitaminen
- palveluiden kehittäminen ja laadunvarmistus
- palveluiden tarjoaminen ja tuottaminen
- palveluiden turvallisuuden varmistaminen
- rahanpesun ja terrorismin rahoittamisen estäminen
- riskienhallinta
- suoramarkkinointi
- tuotteiden ja palveluiden käytön seuranta ja analysointi
- väärinkäytösten estäminen ja selvittäminen
7. Henkilötietojen käsittelyn oikeusperusteet
POP Pankin suorittama henkilötietojen käsittely perustuu sopimusten ja niitä edeltävien toimenpiteiden täyttämiseen, pankin lakisääteisiin velvoitteisiin, rekisterinpitäjän oikeutettuun etuun ja rekisteröidyn antamaan suostumukseen. Henkilötietojen käsittely voi perustua samanaikaisesti myös useampaan käsittelyperusteeseen.
Sopimus ja sitä edeltävät toimenpiteet
Sopimus tai sitä edeltävien tietojen antaminen on sopimukseen perustuva vaatimus. Näistä esimerkkeinä:
- asiakaspalvelu ja asiakassuhteen hoito
- luottopäätösprosessi
- tili-, luotto- tai verkkopankkisopimus
- tiliä, luottoa tai muuta palvelua koskeva hakemus ja hakemuksen käsittely
Lakisääteinen velvoite
Käsittelemme asiakkaan henkilötietoja useissa eri tilanteissa perustuen pankkia velvoittavaan lainsäädäntöön kuten:
- finanssipakotteiden edellyttämät tarkistukset
- kirjanpitosäädökset
- luottolaitoslainsäädäntö
- palvelua tai tuotetta, kuten maksupalveluja, vahvaa sähköistä tunnistamista ja luottamuspalveluja, asuntolainoja, luottoja ja sijoituspalveluja koskevat velvoitteet
- positiivinen luottotietorekisteri
- rahanpesulainsäädäntö
- raportointi viranomaisille ja viranomaisten tekemät tietopyynnöt
- riskienhallintaa koskevat velvoitteet
- sijoitusneuvontaa koskevat velvoitteet
- tietosuojalaki
- vakavaraisuutta koskevat velvoitteet
- verolainsäädäntö
Rekisterinpitäjän oikeutettu etu
Pankin on usein käsiteltävä henkilötietoja, jotta se voi suorittaa liiketoimintaan liittyviä tehtäviään. Oikeutetun edun perusteella rekisterinpitäjä voi käsitellä esimerkiksi seuraavia tietoja:
- asiakaspalvelun laadun varmistaminen
- markkinointi, suoramarkkinointi
- markkinointi-, tuote- ja asiakasanalyysit
- mielipide- ja markkinatutkimukset
- prosessien, palveluiden ja liiketoiminnan kehittäminen
- rahanpesulainsäädäntö
- riskienhallinta
- tuotteiden ja palveluiden käytön seuranta ja analysointi
Seuraamalla tuotteiden ja palveluiden käyttöä, pankki voi muun muassa parantaa tuote- ja palveluvalikoimaansa, optimoida asiakkailleen tarjottavia palveluja ja parantaa asiakaskokemusta.
Rekisteröidyn suostumus
Rekisteröity voi antaa suostumuksensa yhtä tai useampaa tarkoitusta varten ja suostumus on tällöin tarpeellinen palvelun tarjoamisen kannalta. Jos henkilötietojen käsittely edellyttää rekisteröidyn suostumusta, rekisteröidyllä on aina myös oikeus peruuttaa antamansa suostumus.
- mielipide- ja markkinatutkimukset
- sähköinen suoramarkkinointi
8. Automatisoitu päätöksenteko ja profilointi
Henkilötietojen käsittely voi sisältää automaattista päätöksentekoa lainsäädännön puitteissa, rekisteröidyn suostumuksella tai, jos se on tarpeen sopimuksen täytäntöön panemiseksi. Automaattisesta päätöksenteosta kerrotaan kyseisen tuotteen tai palvelun yhteydessä.
Henkilötietojen käsittelyyn voi sisältyä myös profilointia. Profilointi tarkoittaa automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan asiakkaan henkilökohtaisia ominaisuuksia, kuten luotonhakijan luottokelpoisuutta. Rekisterinpitäjällä on lakisääteinen velvoite arvion tekemiseen. Profilointi voi liittyä myös rekisterinpitäjän oikeutettuun etuun esimerkiksi markkinointitarkoituksissa tehtäviin asiakasanalyyseihin.
Rekisteröity voi aina vaatia asian manuaalista käsittelyä ja ilmaista mielipiteensä. Rekisteröity voi myös riitauttaa pelkästään automatisoituun käsittelyyn, kuten profilointiin perustuvan päätöksen, jos päätöksellä on rekisteröidylle oikeusvaikutuksia tai muutoin vastaavia merkittäviä vaikutuksia.
9. Henkilötietojen ryhmät
Rekisterinpitäjän tyypillisesti käsittelemät henkilötietoryhmät ja henkilötiedot:
Perustiedot
- henkilöasiakas: rekisteröidyn nimi, henkilötunnus ja yhteystiedot, kuten osoite, puhelinnumero ja sähköpostiosoite
- yhteisöasiakas: yhteisön puolesta toimivien henkilöiden yksilöinti- ja yhteystiedot sekä tieto yhteydestä yhteisöön
Tuntemistiedot
- asiakkaan tuntemista vaativat tiedot kuten poliittinen vaikutusvalta sekä taloudellinen asema
- palvelujen käytön perusteita koskevat tiedot (esimerkiksi rekisteröidyn oma arvio maksuliikevolyymeista)
- todentamistiedot
- verotusta koskevat tiedot Suomessa ja ulkomailla
Kooditiedot
- ammattimainen sijoittaja / ei-ammattimainen sijoittaja
- asiakasohjelmiin liittyvät tiedot
- poikkeava tilakoodi (esimerkiksi edunvalvonnassa oleva, konkurssi, velkajärjestely)
- poliittisesti vaikutusvaltainen henkilö
- sektori- ja toimialakoodi (virallinen)
- tieto maksuhäiriöistä
Asiakkuuteen liittyvät tiedot
- asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat
- asiakkuuden yksilöivät ja luokittelevat tiedot, kuten asiakkuuden kesto ja luonne tai luottoluokka
- rekisteröidyn hakemuksia, sopimuksia, palveluja ja tuotteita koskevat tiedot
Suostumukset
- rekisteröidyn antamat henkilötietojen käsittelyä koskevat suostumukset ja kiellot
Taustatiedot
- kansalaisuus, asuinkunta, asumismuoto
- kieli
- siviilisääty
- tiedot rekisteröidyn elämäntilanteesta, sijoituskokemuksesta ja -tietämyksestä, taloudellisesta asemasta, ammatista, tiedot mahdollisista maksuhäiriöistä tai omaehtoisista luottokielloista sekä tavoitteista
- työsuhdetiedot ja tulotiedot
Kiinnostuksen kohteet
- tiedot rekisteröidyn kiinnostuksen kohteista, kuten tietystä POP Pankin tuotteesta tai palvelusta
Tallenteet
- puhelu-, chat- ja muut tallenteet, joissa rekisteröity on osapuolena
Seurantatiedot
- rekisteröidyn verkkokäyttäytymisen ja palveluiden käytön seuranta evästeiden tms. avulla
- kerättyjä tietoja voivat olla esimerkiksi tiedot käyttäjän selailemista sivuista, laitteesta ja laitteen mallista, yksilöllinen laite- ja/tai evästetunniste ja tiedot kanavasta, kuten sovelluksesta, mobiiliselaimesta tai internetselaimesta ja IP-osoite
Erityiset henkilötietoryhmät
- EU:n yleisen tietosuoja-asetuksen 9 artiklassa määritellyt henkilötietoryhmät, kuten terveydentila
10. Henkilötietojen lähteet ja henkilötietojen päivittäminen
Rekisterinpitäjä kerää tietoja ensisijaisesti rekisteröidyltä itseltään tai hänen edustajiltaan. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää rekisterinpitäjän tarjoamia palveluita, kuten verkkopalveluja.
Rekisterinpitäjä voi hankkia henkilötietoja myös sen kanssa samaan konsolidointi- tai taloudelliseen yhteenliittymään kuuluvalta yhteisöltä lain sallimissa puitteissa esimerkiksi asiakassuhteen hoitamista, riskienhallintaa, asiakaspalvelua ja markkinointia varten.
Rekisterinpitäjä voi kerätä ja päivittää lain sallimissa puitteissa henkilötietoja kolmansien ylläpitämistä rekistereistä, kuten
- luottotietorekisterinpitäjän ylläpitämästä luottotietorekisteristä
- poliittisen vaikutusvallan ja kansainvälisten finanssipakotteiden kuulumisen selvittämiseksi tarpeelliset tiedot tällaisia tietokantoja ylläpitäviltä tahoilta
- rahoitussektorin yhteisestä asiakashäiriörekisteristä
- toisilta maksupalveluntarjoajilta ja luottolaitoksilta
- Tulorekisterikeskuksen ylläpitämästä positiivisesta luottotietorekisteristä
- viranomaisten ylläpitämistä rekistereistä, mm. väestötietojärjestelmästä, ulosottorekisteristä, kaupparekisteristä, ajoneuvorekisteristä ja kiinteistötietojärjestelmästä.
Rekisterinpitäjä voi lisäksi kerätä palvelun tarjoamiseen ja käyttöön liittyviä tarpeellisia henkilötietoja yhteistyö- tai liikekumppaneiltaan.
Rekisterinpitäjä voi nauhoittaa ja tallentaa puheluita, chat-keskusteluja, viestejä ja verkkoneuvotteluita toimeksiannon sisällön ja asiakaspalvelun laadun varmistamiseksi.
11. Henkilötietojen luovuttaminen
Rekisterinpitäjä voi luovuttaa henkilötietoja lain puitteissa esimerkiksi
- alan yhteiseen asiakashäiriörekisteriin
- maksujenvälityksessä maksajaa tai vastaavasti saajaa koskevat henkilötiedot
- positiivista luottotietorekisteriä ylläpitävälle Tulorekisterikeskukselle
- rekisterinpitäjän kanssa samaan konsolidointiryhmään tai taloudelliseen yhteenliittymään kuuluvalle yhteisölle muun muassa asiakaspalvelua, muuta asiakassuhteen hoitamista ja markkinointia varten ja riskienhallinnallisiin syihin
- Suomen Asiakastieto Oy:lle tai muille vastaaville luottotietorekisterinpitäjille
- toiselle maksupalveluntarjoajalle tai luottolaitokselle
- viranomaisille, kuten vero-, poliisi-, ulosotto-, täytäntöönpano- ja valvontaviranomaiselle
- yhteistyö- ja liikekumppaneilleen palvelun tarjoamisen, palvelun käytön tai henkilöllisyyden todentamisen kannalta tarpeellisia tietoja
12. Henkilötietojen siirtäminen
Rekisterinpitäjä voi siirtää asiakasrekisterin käsittelyyn liittyviä tehtäviä alihankkijalle. Rekisterinpitäjä voi käyttää alihankkijoita ja yhteistyökumppaneita myös palveluiden tuottamisessa ja tarjoamisessa. Kyseiset tahot voivat käsitellä henkilötietoja vain rekisterinpitäjän antamien ohjeiden mukaisesti ja vain siinä laajuudessa, kun on tarpeen palvelun tuottamiseksi ja tarjoamiseksi.
Rekisterinpitäjä varmistaa soveltuvin salassapito- sekä henkilötietojen käsittelyä koskevin sopimus- ja muilla järjestelyillä, että sen käyttämät alihankkijat ja kumppanit käsittelevät henkilötietoja huolellisesti ja hyvää tietojenkäsittelytapaa noudattaen.
Rekisterinpitäjän käyttämä alihankkija voi olla myös POP Pankkien yhteenliittymään tai POP Pankki -ryhmään kuuluva yhteisö.
Rekisterinpitäjä käsittelee henkilötietoja pääasiassa Suomessa ja ETA-alueella. Jos rekisterinpitäjä siirtää tai luovuttaa henkilötietoja ETA-alueen ulkopuolelle, se huolehtii henkilötietojen suojasta asianmukaisilla suojakeinoilla kuten EU:n komission hyväksymillä tietosuojaa koskevilla vakiolausekkeilla sekä muilla tietosuojan lisäsuojatoimenpiteillä.
13. Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus saada tietoa hänen henkilötietojensa keräämisestä sekä käsittelystä.
Rekisteröidyllä on oikeus tarkastaa tietonsa ja saada rekisterinpitäjältä vahvistus siitä, käsitteleekö rekisterinpitäjä rekisteröidyn henkilötietoja ja missä laajuudessa.
Jos rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada jäljennös rekisteröityä koskevista henkilötiedoista. Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöksistä. Mikäli rekisteröity tekee pyynnön sähköisesti eikä ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.
Oikeutta voidaan rajoittaa esimerkiksi muiden henkilöiden yksityisyydensuojan ja lainsäädännön nojalla. Rekisteröidyllä ei ole tarkastusoikeutta esimerkiksi toista rekisteröityä koskeviin tietoihin tai rekisterinpitäjän liike- ja ammattisalaisuuden alaisiin tietoihin.
Rekisteröidyllä on oikeus pyytää häntä koskevan virheellisen tai puutteellisen tiedon korjaamista, jollei lainsäädännöstä muuta johdu.
Jos rekisteröity uskoo, että hänen henkilötietonsa ovat virheelliset, puutteelliset tai epätarkat, hänellä on oikeus saada tietonsa oikaistuiksi tai täydennetyiksi ilman aiheetonta viivytystä.
Jos rekisterinpitäjä käsittelee henkilötietoja rekisteröidyn suostumuksella, rekisteröidyllä on oikeus peruuttaa antamansa suostumus. Suostumuksen peruuttaminen ei vaikuta ennen peruuttamista suoritetun suostumukseen perustuvan käsittelyn lainmukaisuuteen.
Rekisteröidyllä on oikeus vastustaa tietyissä tilanteissa henkilötietojensa käsittelyä. Rekisteröidyllä on oikeus kieltää rekisterinpitäjää käsittelemästä henkilötietojaan suoramainontaa, etämyyntiä ja muuta suoramarkkinointia sekä markkina- ja mielipidetutkimusta varten. Rekisteröidyllä on oikeus vastustaa myös suoramarkkinointiin liittyvää profilointia. Rekisteröidyllä on oikeus vastustaa henkilötietojensa käsittelyä, joka ei perustu erityislainsäädäntöön, sopimukseen tai suostumukseen.
Rekisteröidyllä on oikeus tietyissä tilanteissa pyytää henkilötietojensa poistamista osittain tai kokonaan, jos tietoja ei enää tarvita sitä tarkoitusta varten, johon ne on alun perin kerätty. Rekisterinpitäjä ei ole kuitenkaan velvollinen poistamaan henkilötietoja, jos tietojen käsittely on edelleen tarpeen esimerkiksi rekisterinpitäjän lakisääteisten velvoitteiden täyttämiseksi tai oikeusvaateiden käsittelemiseksi.
Jos rekisteröity kiistää tietojen oikeellisuuden tai käsittelyn lainmukaisuuden tai vastustaa tietojen käsittelyä oikeuksiensa mukaisesti, hän voi pyytää rekisterinpitäjää tilapäisesti rajoittamaan käsittelyn ainoastaan tietojen säilyttämiseen. Rekisterinpitäjä voi jatkaa käsittelyä sen jälkeen, kun tietojen oikeellisuus tai rekisterinpitäjän oikeus käsitellä tietoja on varmistettu.
Rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn kuten profilointiin.
Jos rekisteröity kokee, että hänen henkilötietojaan koskevia oikeuksiaan on loukattu, on hänellä oikeus tehdä valitus siitä valvovalle viranomaiselle.
14. Rekisteröidyn oikeuksien käyttäminen
Pyynnöt on tehtävä rekisterinpitäjäkohtaisesti yllä mainitulle rekisterinpitäjän yhteyshenkilölle. Rekisterinpitäjä on velvollinen tarkistamaan pyynnöntekijän henkilöllisyyden.
Rekisteröidyn tulee esittää pyyntö rekisterinpitäjälle verkko- tai mobiilipankin viestitoiminnolla tai POP Pankin konttorissa. Tarvittaessa rekisterinpitäjä voi pyytää rekisteröidyltä lisätietoja pyynnön käsittelemiseksi.
Rekisteröidyn oikeudet ovat henkilökohtaisia. Esimerkiksi yritysasiakas ei voi käyttää tarkastusoikeutta rekisteröitynä olevan työntekijänsä tai yhteyshenkilönsä puolesta, vaan tämän on itse tehtävä pyyntö rekisterinpitäjälle. Rekisteröidyn oikeudet koskevat vain rekisteröityä itseään koskevia henkilötietoja.
Pyynnöt arvioidaan tilanne- ja tapauskohtaisesti. Rekisteröidyn pyytäessä esimerkiksi henkilötietojensa poistoa tai käsittelyn rajoittamista rekisterinpitäjä voi edelleenkin käsitellä henkilötietoja, jos käsittely on tarpeen esimerkiksi lain mukaisten velvoitteiden noudattamiseksi, riita-asioiden ratkaisemiseksi tai sopimusten täytäntöönpanemiseksi.
Rekisterinpitäjä toimittaa jäljennöksen henkilötiedoista rekisteröidyn saataville verkkopankkiin tai kirjallisesti postitse. Siirtotiedosto toimitetaan rekisteröidylle yleisesti käytössä olevassa ja koneellisesti luettavissa olevassa sähköisessä muodossa. Edellytyksenä on lisäksi, että tiedot voidaan toimittaa tietoturvallisella tavalla.
15. Tietojen suojaaminen
Henkilötiedot ovat pankkisalaisuuden, vakuutussalaisuuden tai muun vastaavan salassapitovelvoitteen alaisia tietoja. Tietoja käsittelevät ne rekisterinpitäjän työntekijät, salassapitosopimuksella sidotut palveluntarjoajat tai yhteistyökumppanin alaiset, joilla on työnsä puolesta oikeus käsitellä henkilötietoja, ja joita sitoo erillinen tietosuojavaatimus henkilötietojen turvallisesta käsittelystä tai muut henkilöt, joilla on sopimuksen, toimeksiannon tai lain nojalla oikeus käsitellä tietoja.
Rekisterinpitäjällä on asianmukaiset tekniset, organisatoriset ja hallinnolliset turvallisuusmenettelyt, joilla se suojaa kaikkia hallussaan olevia tietoja katoamisen, väärinkäytön, luvattoman käytön, luovuttamisen, muutosten ja tuhoamisen varalta.
Tietokannat joihin henkilötiedot kerätään ovat salasanoin, palomuurein sekä muilla teknisillä keinoilla suojattuja. Lisäksi käyttöoikeuksia myönnetään hallitusti ja niiden käyttöä valvotaan jatkuvasti.
Henkilöstöä koulutetaan ja ohjeistetaan säännöllisesti henkilötietojen käsittelyä koskien. Edellytämme, että alihankkijat noudattavat EU- tasoista tietosuojan sääntelyä ja henkilötiedot ovat asianmukaisesti suojattu sekä tietojenkäsittelysopimuksilla että teknisillä turvatoimilla.
16. Tietojen säilytysaika tai säilytysajan määräytymisperusteet
Rekisterinpitäjä käsittelee henkilötietoja asiakas- ja sopimussuhteen voimassaoloajan. Asiakassuhde syntyy, kun rekisterinpitäjä kerää rekisteröidystä tarpeelliset perus- ja muut tiedot asiakkuuden perustamista varten. Sopimussuhde syntyy, kun rekisteröity sopii palvelusta tai tuotteesta rekisterinpitäjän kanssa. Sopimussuhteen päätyttyä tiedot poistetaan 10 vuoden kuluttua rekisterinpitäjän poistoprosessin mukaisesti.
Potentiaalisen asiakkaan tietoja säilytetään pääasiallisesti 12 kuukauden ajan.
Viimeksi päivitetty 1.4.2024.