Bonum Banks dataskyddsbeskrivning
1.4.2024 från och med
1. Allmänt
I denna dataskyddsbeskrivning finns information om behandling av registrerades personuppgifter för bland annat kunder, personal och tillsynsmyndigheter i enlighet med EU:s allmänna dataskyddsförordning och den nationella lagstiftningen. Denna dataskyddsbeskrivning beskriver behandlingen av personuppgifter i Bonum Bank Abps kundregister.
2. Registrets namn
Bonum Bank Abps kundregister
3. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktuppgifter
Personuppgiftsansvarig: Bonum Bank Abp
Hästskon 3
02600 Esbo
Tel: +358(0)10 667 3000
Ansvarig person för bankens register: Jenni Tolonen
E-post: jenni.tolonen@poppankki.fi
4. Den dataskyddsansvariges kontaktuppgifter
POP Bankernas sammanslutning har ett gemensamt dataskyddsombud, som svarar på frågor om behandlingen av personuppgifter.
Dataskyddsombud för POP Bankernas sammanslutning
E-post: tietosuoja@poppankki.fi
Postadress:
POP Bankcentralen anl.
Dataskyddsombud
Hästskon 3, 02600 Esbo
5. Grupper av registrerade
Registrerade utgörs av POP Bankens kunder och potentiella kunder som kan vara fysiska eller juridiska personer. Vi kan också behandla personuppgifter om registrerades verkliga förmånstagare, befullmäktigade, företrädare och andra ansvariga personer.
Den personuppgiftsansvarige behandlar personuppgifter på basis av:
- offerter eller ansökningar för att ingå avtal med kunder till exempel om konton, krediter, tjänster, order eller kontaktförfrågningar
- delaktighet, skyldighet, rättighet, service, avtal eller order baserad på kundrelation
- kundrelationer mellan kunder och den personuppgiftsansvarige
- order till den personuppgiftsansvarige.
6. Syfte med behandling av personuppgifter
Bankverksamhet förutsätter behandling av personuppgifter av flera orsaker. Vi behandlar personuppgifter endast för syften som fastställts på förhand. Vi behandlar personuppgifter för följande syften:
- upprätthållande och utveckling av kundrelationer samt kundservice
- kundkommunikation, behandling av kontaktförfrågningar
- segmentering av kunder
- personalutbildning
- fullgörande av skyldigheter relaterade till handläggning, förvaring, rapportering och enkäter baserade på lag och myndighetsföreskrifter
- utveckling av affärsverksamheten
- marknadsföring och inriktning av den
- opinions- och marknadsundersökningar
- utveckling av tjänster och kvalitetskontroll
- tillhandahållande och producerande av tjänster
- tryggande av tjänsternas säkerhet
- förhindrande av penningtvätt och finansiering av terrorism
- riskhantering
- direktmarknadsföring
- uppföljning och analys av användning av produkter
- förebyggande och utredning av missbruk
7. Rättsliga grunder för behandlingen av personuppgifter
Bonum Bankens behandling av personuppgifter baserar sig på fullgörande av avtalsskyldigheter och föregående åtgärder, bankens lagstadgade skyldigheter, den personuppgiftsansvariges berättigade intresse och registrerades samtycke. Behandlingen av personuppgifter kan basera sig på flera samtidiga behandlingsgrunder.
Avtal och föregående åtgärder
Avtal och lämnande av uppgifter för avtal är ett avtalsbaserat krav. Exempel:
- Kundservice och administration av kundförhållande
- Kreditbeslutsprocess
- Konto-, kredit- eller nätbanksavtal
- Ansökan om konto, kredit eller annan tjänst och handläggning av ansökan
Lagstadgad skyldighet
Vi behandlar kundernas personuppgifter i olika situationer utifrån lagstiftning som är bindande för banken, till exempel:
- Kontroller som föranleds av finansiella sanktioner
- Bokföringsbestämmelser
- Skyldigheter relaterade till lagen om det positiva kreditupplysningsregistret
- Kreditinstitutslagstiftning
- Skyldigheter relaterade till tjänster eller produkter, såsom betaltjänster, stark autentisering och betrodda tjänster, bostadslån samt kredit- och investeringstjänster
- Penningtvättslagstiftning
- Rapportering till myndigheter och begäran om information från myndigheter
- Riskhanteringsskyldigheter
- Skyldigheter relaterade till investeringsrådgivning
- Dataskyddslagen
- Kapitaltäckningsskyldigheter
- Skattelagstiftning
Den personuppgiftsansvariges berättigade intresse
Med stöd av berättigat intresse kan den personuppgiftsansvarige bland annat behandla följande uppgifter:
- tryggande av kundtjänstens kvalitet
- marknadsföring, direktmarknadsföring
- marknadsförings-, produkt- och kundanalyser
- opinions- och marknadsundersökningar
- utveckling av processer, tjänster och affärsverksamheten
- penningtvättslagstiftning
- riskhantering
- uppföljning och analys av användning av produkter
Genom att följa upp användningen av produkter och tjänster kan banken bland annat förbättra sitt produkt- och tjänsteutbud, optimera de tjänster som erbjuds kunder och förbättra kundupplevelsen.
Registrerades samtycke
Registrerade kan ge sitt samtycke för ett eller flera ändamål, då samtycke är nödvändigt för tillhandahållandet av tjänsten. Om behandlingen av personuppgifter kräver samtycke av den registrerade har den registrerade alltid rätt att återkalla sitt samtycke.
- Opinions- och marknadsundersökningar
- Digital direktmarknadsföring
8. Automatiserat beslutsfattande och profilering
Behandlingen av personuppgifter kan innebära automatiskt beslutsfattande inom ramen för lagen med samtycke av den registrerade eller om det är nödvändigt för fullgörandet av avtalet. Kunder informeras om automatiskt beslutsfattande i samband med den aktuella produkten eller tjänsten.
Behandlingen av personuppgifter kan även involvera profilering. Med profilering avses automatisk behandling där personuppgifter, till exempel en kreditsökandes kreditvärdighet, bedöms med hjälp av personuppgifter. Den personuppgiftsansvarige har en lagstadgad skyldighet att göra bedömningen. Profilering kan också anknyta till den personuppgiftsansvariges berättigade intresse, till exempel i kundanalyser i marknadsföringssyfte.
Den registrerade kan alltid begära manuell handläggning och uttrycka sin åsikt. Den registrerade kan också överklaga ett beslut som enbart baserar sig på automatiserad behandling, såsom profilering, om beslutet medför rättsverkningar eller andra liknande betydande konsekvenser för den registrerade.
9. Kategorier av personuppgifter
Kategorier av personuppgifter och personuppgifter som vanligtvis behandlas av den personuppgiftsansvarige:
Grundläggande uppgifter
- privatkunder: registrerades namn, personbeteckning och kontaktuppgifter såsom adress, telefonnummer och e-postadress
- organisationskunder: uppgifter om personer som agerar för organisationens räkning och deras kontaktuppgifter samt information om kopplingen till organisationen
Uppgifter om kundkännedom
- uppgifter som kundkännedom kräver, såsom politisk exponering och ekonomisk ställning
- information om kriterierna för användning av tjänsterna (till exempel den registrerades egen uppskattning av betalningsvolymer)
- verifieringsuppgifter
- beskattningsuppgifter i Finland och utomlands
Koder
- professionell investerare/icke-professionell investerare
- uppgifter relaterade till kundprogram
- kod för avvikande status (till exempel intressebevakning, konkurs, skuldsanering)
- politiskt exponerad person
- sektor- och branschkod (officiell)
- uppgifter om betalningsstörningar
Uppgifter relaterade till kundrelationer
- uppgifter och transaktioner relaterade till kundrelationer
- uppgifter som specificerar och klassificerar kundrelationen, såsom kundrelationens längd och kreditkategori
- uppgifter om den registrerades ansökningar, avtal, tjänster och produkter
Samtycken
- den registrerades samtycke till och förbud mot behandling av personuppgifter
Bakgrundsuppgifter
- medborgarskap, hemkommun, boendeform
- språk
- civilstånd
- uppgifter om den registrerades livssituation, investeringserfarenhet, ekonomiska ställning, yrke, eventuella betalningsstörningar eller kreditförbud på eget initiativ samt mål
- anställnings- och inkomstuppgifter
Intressen
- uppgifter om den registrerades intresseobjekt, till exempel vissa produkter eller tjänster som POP Banken tillhandahåller
Inspelningar
- telefonsamtal, chattkonversationer och andra inspelningar i vilka den registrerade är part
Uppföljningsuppgifter
- uppföljning av den registrerades beteende i nättjänster med hjälp av kakor etc.
- uppgifter som samlas in kan till exempel inkludera information om de sidor som användaren surfar på, enheten och enhetens modell, en personlig enhet och/eller cookie-ID och information om en kanal som en applikation, mobil webbläsare eller webbläsare, och ip-adress.
Särskilda kategorier av personuppgifter
- Kategorier av personuppgifter enligt definitionen i artikel 9 i EU:s allmänna dataskyddsförordning, såsom hälsotillstånd
10. Personuppgiftskällor och uppdatering av personuppgifter
Den personuppgiftsansvarige samlar i första hand in uppgifterna av den registrerade själv eller dennes företrädare. Personuppgifter kan också samlas in när den registrerade använder tjänster som tillhandahålls av den personuppgiftsansvarige, såsom onlinetjänster.
Den personuppgiftsansvarige kan även erhålla personuppgifter från en enhet som tillhör samma konsolideringsgrupp eller ekonomiska sammanslutning inom de ramar som lagen tillåter, till exempel för hantering av kundrelationer, riskhantering, kundservice och marknadsföring.
I den utsträckning som lagen tillåter kan den personuppgiftsansvarige samla in och uppdatera personuppgifter från register som upprätthålls av tredje parter, såsom
- kreditupplysningsregister som förs av kredituppgiftsansvariga
- nödvändiga uppgifter om politisk exponering och internationella finansiella sanktioner från parter som administrerar sådana databaser
- tinansieringssektorns gemensamma kundanmärkningsregister
- andra tillhandahållare av betaltjänster och kreditinstitut
- inkomstregistercentralens positiva kreditupplysningsregister
- myndighetsregister, såsom befolkningsdatasystemet, utsökningsregistret, handelsregistret, fordonsregistret och fastighetsdatatjänsten
Dessutom kan den personuppgiftsansvarige samla in nödvändiga personuppgifter relaterade till tillhandahållandet av tjänster av personuppgifts-, samarbets- eller affärspartner.
Den personuppgiftsansvarige kan spela in och spara samtal, chattar, meddelanden och webbkonferenser för att säkerställa innehållet i uppdrag och kvaliteten på kundservicen. Den personuppgiftsansvariga kan av säkerhetsskäl ha övervakningskameror på sina kontor och kundbetjäningsställen.
11. Utlämnande av personuppgifter
Den personuppgiftsansvarige kan inom ramen för lagen lämna ut personuppgifter till exempelvis
- sektorns gemensamma kundanmärkningsregister
- betalaren eller betalningsmottagaren vid betalningsförmedling
- till inkomstregistercentralens positiva kreditupplysningsregister
- en enhet som tillhör samma konsolideringsgrupp eller ekonomiska sammanslutning som den personuppgiftsansvarige för bland annat kundservice, annan hantering av kundrelationer och marknadsföring och av riskhanteringsskäl
- Suomen Asiakastieto Oy eller andra motsvarande aktörer med kreditupplysningsregister
- andra betaltjänstleverantörer eller kreditinstitut
- myndigheter, såsom skatte-, polis-, utsöknings-, verkställighets- och tillsynsmyndigheter
- samarbets- och affärspartner för att vidarebefordra nödvändiga uppgifter för tillhandahållande av tjänster eller kontroll av identitet
12. Överföring av personuppgifter
Den personuppgiftsansvarige kan delegera uppgifter relaterade till administrationen av kundregistret till en underleverantör. Den personuppgiftsansvarige kan också anlita underleverantörer och partner för att tillhandahålla tjänster. Dessa parter får behandla personuppgifter endast i enlighet med de instruktioner som den personuppgiftsansvarige ger och endast i den utsträckning som är nödvändig för tillhandahållande av tjänsten.
Den personuppgiftsansvarige ska genom lämpliga avtalsenliga och andra arrangemang för behandlingen av sekretess och personuppgifter säkerställa att de underleverantörer och samarbetspartner som den anlitar behandlar personuppgifter noggrant och i enlighet med god databehandlingssed.
Den underleverantör som den personuppgiftsansvarige anlitar kan också vara ett samfund som hör till POP Bankernas sammanslutning eller POP Bankgruppen.
Den personuppgiftsansvarige behandlar personuppgifter främst i Finland och EES. Om den personuppgiftsansvarige överför eller lämnar ut personuppgifter utanför EES kommer den att säkerställa skyddet av personuppgifter genom lämpliga skyddsåtgärder, såsom standardklausuler för dataskydd och andra ytterligare dataskyddsåtgärder som antagits av EU-kommissionen.
13. Registrerades rättigheter
Den registrerade har rätt att få information om insamling och behandling av dennes personuppgifter.
En registrerad har rätt att kontrollera sina uppgifter och av den personuppgiftsansvarige få en bekräftelse på att denne behandlar personuppgifter som gäller honom eller henne och omfattningen av behandlingen.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter har den registrerade rätt att få en kopia av den registrerades personuppgifter. Den personuppgiftsansvarige kan ta ut en rimlig administrativ avgift för ytterligare kopior som den registrerade begär. Om den registrerade gör begäran digitalt och inte har begärt någon annan leveransform ska informationen lämnas i ett allmänt använt digitalt format, förutsatt att informationen kan lämnas på ett informationssäkert sätt.
Rätten kan begränsas till exempel på grund av andra personers integritetsskydd och lagstiftningen. Den registrerade har inte rätt att ta del av till exempel uppgifter som rör en annan registrerad eller uppgifter som omfattas av den personuppgiftsansvariges affärs- och yrkeshemligheter.
Den registrerade har rätt att begära rättelse av felaktiga eller ofullständiga uppgifter om honom eller henne, såvida annat inte följer av lagstiftningen.
Om den registrerade anser att hans eller hennes personuppgifter är felaktiga, ofullständiga eller felaktiga har han eller hon rätt att få sina uppgifter rättade eller kompletterade utan onödigt dröjsmål.
Om den personuppgiftsansvarige behandlar personuppgifter med den registrerades samtycke har den registrerade rätt att återkalla sitt samtycke. Återkallandet av samtycket påverkar inte behandlingens lagenlighet före återkallelsen.
Den registrerade har rätt att invända mot behandlingen av hans eller hennes personuppgifter i vissa situationer. Den registrerade har rätt att förbjuda den personuppgiftsansvarige att behandla hans eller hennes personuppgifter för direktreklam, distansförsäljning och annan direktmarknadsföring samt marknads- och opinionsundersökningar. Den registrerade har även rätt att invända mot profilering relaterad till direktmarknadsföring. Den registrerade har rätt att invända mot behandling av hans eller hennes personuppgifter som inte grundar sig på speciallagstiftning, avtal eller samtycke.
Den registrerade har rätt att i vissa situationer begära radering av alla eller vissa personuppgifter, om uppgifterna inte längre behövs för det ändamål för vilket de ursprungligen samlades in. Den personuppgiftsansvarige är dock inte skyldig att radera personuppgifter om behandlingen fortfarande är nödvändig, till exempel för att fullgöra den registeransvariges rättsliga skyldigheter eller för att behandla rättsliga anspråk.
Om den registrerade ifrågasätter uppgifternas riktighet eller behandlingens lagenlighet eller motsätter sig behandlingen av uppgifterna i enlighet med sina rättigheter, kan han eller hon begära att den personuppgiftsansvarige tillfälligt begränsar behandlingen endast till datalagring. Den personuppgiftsansvarige kan fortsätta behandlingen efter att uppgifternas riktighet eller den personuppgiftsansvariges rätt att behandla uppgifterna har verifierats.
Den registrerade har rätt att inte bli föremål för ett beslut som enbart baserar sig på automatisk behandling såsom profilering.
Om den registrerade anser att hans eller hennes rättigheter till personuppgifter har kränkts har han eller hon rätt att lämna in ett klagomål till tillsynsmyndigheten.
14. Utövande av den registrerades rättigheter
Begäran ska riktas till den personuppgiftsansvariges ovan nämnda kontaktperson. Den personuppgiftsansvarige är skyldig att verifiera den sökandes identitet.
Den registrerade ska lämna in en begäran till den personuppgiftsansvarige. Den personuppgiftsansvarige kan vid behov begära ytterligare information som behövs för att behandla begäran av den registrerade.
Den registrerades rättigheter är personliga. Den registrerades rättigheter gäller endast den registrerades personuppgifter.
Förfrågningar bedöms från fall till fall. Om den registrerade till exempel begär radering av sina personuppgifter eller begränsning av behandlingen kan den personuppgiftsansvarige fortsätta att behandla personuppgifterna om behandlingen är nödvändig, till exempel för att fullgöra rättsliga skyldigheter, lösa tvister eller verkställa avtal.
Den personuppgiftsansvarige ska lämna en kopia av personuppgifterna till den registrerade i nätbanken eller skriftligen per post. En överföringsfil lämnas till den registrerade i ett allmänt använt och maskinläsbart digitalt format. En annan förutsättning är att uppgifterna kan överföras på ett säkert sätt.
15. Dataskydd
Personuppgifter omfattas av banksekretess, försäkringssekretess eller annan motsvarande sekretess. Uppgifterna behandlas av den personuppgiftsansvariges anställda, tjänsteleverantörer som är bundna av sekretessavtal eller underordnade som har rätt att behandla personuppgifter i sitt arbete och som är bundna av ett separat dataskyddskrav för säker behandling av personuppgifter eller andra personer som med stöd av avtal, order eller lag har rätt att behandla uppgifterna.
Den personuppgiftsansvarige ska ha lämpliga tekniska, organisatoriska och administrativa säkerhetsrutiner för att skydda alla uppgifter som denne har mot förlust, missbruk, obehörig användning, avslöjande, ändring och förstörelse.
De databaser till vilka personuppgifter samlas in är skyddade med lösenord, brandväggar och andra tekniska metoder. Dessutom beviljas åtkomsträttigheter på ett kontrollerat sätt och deras användning övervakas fortlöpande.
Personalen utbildas och instrueras regelbundet i behandlingen av personuppgifter. Vi förutsätter att underleverantörer följer dataskyddsbestämmelserna på EU-nivå och att personuppgifterna är tillräckligt skyddade med både avtalsenliga och tekniska säkerhetsåtgärder.
16. Lagringstid för uppgifter eller kriterier för fastställande av lagringstiden
Den personuppgiftsansvarige behandlar personuppgifter under kund- och avtalsförhållandets giltighetstid. En kundrelation uppstår när den personuppgiftsansvarige samlar in grundläggande och andra uppgifter om den registrerade som behövs för upprättandet av en kundrelation. Ett avtalsförhållande uppstår när den registrerade kommer överens om en tjänst eller produkt med den personuppgiftsansvarige. Efter utgången av avtalsförhållandet raderas uppgifterna efter 10 år i enlighet med den personuppgiftsansvariges raderingsprocess.
Senast uppdaterad 1.4.2024.