© OP
Laatimis-tai muutosajankohta: 22.5.2018
TIETOSUOJASELOSTE
1 Yleistä
Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle eli rekisterinpitäjän asiakkaalle tai henkilöstölle ja toisaalta valvovalle viranomaiselle.
2 Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot
Checkout Finland Oy Postiosoite: PL 308, 00013 OP Käyntiosoite: Eteläpuisto 2 C, 33200 TAMPERE Rekisterinpitäjän yhteyshenkilö: Merja Lehtinen Sähköpostiosoite: tietosuoja@checkout.fi
3 Tietosuojavastaavan yhteystiedot
OP Ryhmän tietosuojavastaava OP Ryhmä Postiosoite: PL 308, 00013 OP Sähköpostiosoite: tietosuoja@op.fi
4 Rekisterin nimi
Checkout Finland Oy:n maksunvälityspalvelun asiakasrekisteri
Rekisterin rekisteröityjä ovat Checkout Finland Oy:n asiakkaat ja potentiaaliset asiakkaat. Asiakkaita voivat olla yhteisöjen, kuten kauppiaiden, puolesta toimivat henkilöt ja yksityishenkilöt, kuten maksunvälityspalvelun kuluttaja-asiakkaat. Potentiaalisia asiakkaita ovat esimerkiksi uutiskirjeiden tilaajat sekä erilaisiin tapahtumiin osallistujat.
5 Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste.
5.1 Käsittelyn tarkoitukset
Maksunvälitystoiminta edellyttää henkilötietojen käsittelyä. Rekisterinpitäjä käsittelee rekisteriin kuuluvia tietoja pääasiassa maksunvälityspalvelujen tuottamiseksi, tarjoamiseksi ja toimittamiseksi. Alla on tarkempaa tietoa henkilötietojen käytöstä rekisterissä.
Henkilötietojen käyttötarkoituksiin kuuluvat:
-asiakaspalvelu sekä asiakassuhteen hoito ja kehittäminen, mukaan lukien asiakasviestintä -palvelujen tuottaminen, tarjoaminen ja toimittaminen sekä kehittäminen ja laadunvarmistus -liiketoiminnan kehittäminen -palvelujen käytön seuranta ja analysointi sekä asiakkaiden segmentointi, jotta rekisterinpitäjä pystyy tarjoamaan käyttäjille muun muassa personoitua sisältöä palveluissa -mielipide-ja markkinatutkimukset -suoramarkkinointi -markkinoinnin ja mainonnan kohdentaminen -lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen -riskienhallinta
© OP
Laatimis-tai muutosajankohta: 22.5.2018
-palvelujen turvallisuuden varmistaminen ja väärinkäytösten selvittäminen -koulutustarkoitukset
Profilointi
Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää profilointia. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa näitä tietoja käyttämällä arvioidaan tiettyjä henkilökohtaisia ominaisuuksia. Profiloinnilla voidaan tarkoittaa esimerkiksi markkinointikohderyhmien muodostamista. Profiloinnissa käytettäviä tietoryhmiä ovat esimerkiksi yhteisöasiakkaan puolesta toimivan henkilön nimi, sähköpostiosoite, IP-osoite.
Rahanpesun ja terrorismin rahoittamisen estäminen sekä pakoteseuranta
Asiakkaan tuntemistietoja ja rekisteröidyn muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä muihin laissa rahanpesun ja terrorismin rahoittamisen estämisestä edellytettyihin tarkoituksiin. Rekisteröidyn henkilötietoja voidaan käyttää sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena. Saat lisätietoa pakotteiden noudattamisesta OP Ryhmässä pääsääntöisesti hankkimasi tuotteen tai palvelun ehdoista.
Käsittelyn oikeusperusteet
Alla on kuvattu rekisterin käyttämät henkilötietojen käsittelyn oikeusperusteet sekä esimerkkejä kullakin perusteella suoritettavasta käsittelystä.
| Oikeusperuste | Esimerkki |
| Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet | Sopimukseen tai sen tekemiseen perustuvat toimenpiteet Yhteisöasiakkaiden puolesta toimivien henkilöiden henkilötietojen käsittely rekisterissä perustuu pääasiassa sopimukseen. Kauppiaskirjeen toimittaminen |
| Suostumus | Suoramarkkinointi sähköistä kanavaa käyttäen perustuu yleensä rekisteröidyn suostumukseen. Uutiskirjeen (myös markkinoinnillista sisältöä) toimittaminen |
| Lakisääteinen velvoite | Rahanpesun ja terrorismin rahoittamisen estämistä koskeva lainsäädäntö, pakotelainsäädäntö Maksujenvälitystoiminnassa rekisterinpitäjä toimittaa maksutapahtumaan liittyen maksajan tai maksunsaajan henkilötietoja maksun toiselle osapuolelle tai tämän maksupalveluntarjoajalle lainsäädännön edellyttämällä tavalla. |
© OP
Laatimis-tai muutosajankohta: 22.5.2018
| Yksityishenkilöiden (kuluttaja-asiakkaat) tietojen käsittely rekisterissä perustuu pääasiassa lakisääteisiin velvoitteisiin. | |
| Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut | Oikeutettuun etuun voivat perustua seuraavat toiminnot: • suoramarkkinointi ja liiketoiminnan kehittäminen • kansainvälisten pakotteiden seuranta osin • tietojen luovuttaminen muihin OP Ryhmän yhteisöjen henkilörekistereihin |
| Rekisterinpitäjä huolehtii siitä, että tällä perusteella suoritettava käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa hänen kohtuullisia odotuksiaan. |
Henkilötietoryhmät
| Henkilötietoryhmä | Ryhmän tietosisältö |
| Perustiedot | Yhteisöasiakkaiden puolesta toimivat henkilöt: Rekisteröidyn nimi, sähköpostiosoite, puhelinnumero, osoite, postinumero ja postitoimipaikka, henkilötunnus, kansalaisuus, tieto henkilön yhteydestä yhteisöön tai asemasta yhteisössä. Yksityishenkilöt (kuluttaja-asiakkaat): Rekisteröidyn nimi, IP-osoite, tilinumero, sähköpostiosoite, osoite, postinumero ja postitoimipaikka, henkilötunnus. Tapauksen mukaan osa tai kaikki näistä tiedoista. Potentiaaliset asiakkaat: Rekisteröidyn nimi-ja yhteystiedot |
| Tuntemistiedot | Asiakkaat: Lainsäädännön määrittelemät tuntemistiedot, kuten asiakkaan tunnistamiseksi sekä taloudellisen aseman ja poliittisen vaikutusvallan selvittämiseksi tarpeelliset tiedot. |
| Asiakkuustiedot | Asiakkaat ja potentiaaliset asiakkaat: Asiakkuuden ja potentiaalisen asiakkuuden yksilöivät ja luokittelevat tiedot. |
© OP
Laatimis-tai muutosajankohta: 22.5.2018
| Suostumukset | Asiakkaat ja potentiaaliset asiakkaat: Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot |
|---|---|
| Sopimus-ja tuotetiedot | Asiakkaat: Rekisterinpitäjän ja yhteisön välisen sopimuksen tiedot |
| Asiakastapahtumatiedot | Asiakkaat ja potentiaaliset asiakkaat: Asiakassuhteen ja potentiaalisen asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat |
| Käyttäytymistiedot (ml. evästeillä ja muilla | Asiakkaat ja potentiaaliset asiakkaat: Rekis |
| vastaavilla teknologioilla kerätyt tiedot) | teröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite-ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä. |
| Tallenteet ja viestien sisältö | Asiakkaat ja potentiaaliset asiakkaat: Erimuotoiset tallenteet ja viestit, joissa rekisteröity on osapuolena, esimerkiksi puhelutallenteet |
7 Henkilötietojen vastaanottajat ja vastaanottajaryhmät
7.1 Tietojen luovutuksensaajat
Kerättyjä henkilötietoja voidaan luovuttaa OP Ryhmän sisällä lainsäädännön sallimissa puitteissa. Lisäksi henkilötietoja voidaan luovuttaa muun muassa:
-viranomaisille, kuten ulosottovirasto, poliisi ja tulli, lakisääteisissä tapauksissa -maksutapakumppaneille sopimukseen perustuen tai kun se katsotaan riskienhallintatarkoituksissa tarpeelliseksi
Luovuttaessaan rekisteriin kuuluvia henkilötietoja rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset, ml. rekisterinpitäjään kohdistuvat salassapitovelvoitteet.
7.2 Tietojen siirto alihankkijoille
Rekisterinpitäjä käyttää alihankkijoita, jotka käsittelevät henkilötietoja sen lukuun. Alihankkijat tuottavat rekisterinpitäjälle mm. tietoteknisiä palveluja. Osa käytetyistä alihankkijoista on muita OP Ryhmän yhteisöjä.
7.3 Kansainväliset tiedonsiirrot
Rekisterinpitäjä käyttää alihankkijoita tietojen käsittelyssä, ja tietoja siirretään rajatusti EU:n / ETA:n ulkopuolelle. Rekisterinpitäjä myös luovuttaa tietoja EU-/ETA -alueen ulkopuolella toimiville rekisterinpitäjille.
© OP
Laatimis-tai muutosajankohta: 22.5.2018
EU:n / ETA:n ulkopuolelle siirrettäessä siirto tapahtuu käyttäen Privacy Shieldia tai muuta EU-komission hyväksymää siirtomekanismia.
8 Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit
Yhteisöjen puolesta toimivien henkilötietoja käsitellään sopimussuhteen voimassaolon ajan. Sopimussuhteen päätyttyä tiedot poistetaan tai anonymisoidaan noin seitsemän vuoden kuluttua rekisterinpitäjän noudattamien poistoprosessien mukaisesti. Potentiaalisten asiakkaiden tiedot poistetaan noin kuuden kuukauden kuluttua tapahtuman tai yhteydenoton jälkeen tai heti, kun potentiaalinen asiakas haluaa. Uutiskirjetilauksissa henkilötiedot poistetaan uutiskirjeen perumisen jälkeen.
Maksupalvelua käyttävien kuluttajien tiedot poistetaan tai anonymisoidaan noin seitsemän vuoden kuluttua maksutapahtuman kirjautumisesta järjestelmään. Rekisterinpitäjä voi käsitellä sopimussuhteen päätyttyä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti.
9 Henkilötietojen lähteet ja päivittäminen
Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, kuten verkkopalvelut. Henkilötietoja voidaan kerätä ja päivittää lain sallimissa puitteissa myös kolmansien osapuolten rekistereistä, kuten:
-kaupparekisteristä -muiden viranomaisten (esim. ulosotto) pitämistä rekistereistä -Muista OP Ryhmän yhteisöjen asiakasrekistereistä -poliittisen vaikutusvallan ja rekisterinpitäjän noudattamien kansainvälisten pakotteiden piiriin kuulumisen selvittämiseksi tarpeelliset tiedot tällaisia tietokantoja ylläpitäviltä tahoilta
10 Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei tai onko niitä käsitelty. Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista. Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.
Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.
Tietosuoja-asetuksen soveltamisen alettua rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa tietosuoja-asetukseen perustuen.
© OP
Laatimis-tai muutosajankohta: 22.5.2018
Kaikki tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle. Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.
11 Oikeus peruuttaa suostumus
Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja suostumuksen perusteella, rekisteröidyllä on oikeus peruuttaa suostumuksensa. Suostumuksen peruuttaminen ei vaikuta ennen sen peruuttamista suoritetun suostumusperusteisen käsittelyn lainmukaisuuteen.
12 Miten rekisterin suojaus on järjestetty
Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi. Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:
-laitteistojen ja tiedostojen suojaus -kulunvalvonta -käyttäjien tunnistus -käyttövaltuudet -käyttäjien lokitiedot -käsittelyn ohjeistus ja valvonta
Rekisterinpitäjä edellyttää myös alihankkijoiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.