Dataskyddsbeskrivning

Kombinerad dataskyddsbeskrivning och informationshandling enligt dataskyddslagen och Europeiska unionens allmänna dataskyddsförordning (2016/679/EU).

Registeransvarig

Oun Oy

FO-nummer: 3179402-6

Kontakt i dataskyddsfrågor

+358 (0)20 7436 150
info@oun.fi

Registrets namn och datainnehåll

Oun Oy:s kundregister (”Kundregistret”).

Syfte med insamling av personuppgifter och rättslig grund för behandlingen
Allmänt om behandling av personuppgifter

I den mån Kundregistret innehåller personuppgifter följs dataskyddslagen och andra vid var tid gällande lagar, förordningar, bestämmelser och myndighetsdirektiv som rör behandling av personuppgifter. Med personuppgift avses information som kan kopplas till en viss person. I detta dokument beskrivs närmare förfarandena för insamling, behandling och utlämnande av personuppgifter samt kundens, det vill säga den registrerades, rättigheter.

Syfte med insamling av personuppgifter
  • Avtals-, kund- eller annan jämförbar relation
  • Kundregistret används för registeransvarigs avtals- eller kundrelation med uppdragsgivaren
  • Relation till uppdragsgivarens eventuella motpart i samband med utförande av uppdraget
  • Avtalsrelation med användare av konsultuppdrag eller annan experttjänst
  • För potentiell kunds bostadssökning och annan service
I denna punkt
  1. Dessa personer benämns i denna beskrivning som Kund.
  2. Lagstadgad övervakning av penningtvätt
    • I enlighet med 3 kap. 3 § i lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017, nedan ”Penningtvättslagen”) registreras och lagras kundkännedomsuppgifter och andra personuppgifter enligt lagen och de kan användas för att förebygga, avslöja och utreda penningtvätt och finansiering av terrorism samt för att inleda förundersökning av penningtvätt och finansiering av terrorism och det brott genom vilket den egendom eller brottsvinst som är föremål för penningtvätt eller finansiering av terrorism har erhållits. Kundkännedomsuppgifter eller andra personuppgifter som har inhämtats enbart för att förebygga och avslöja penningtvätt och finansiering av terrorism används inte för ett ändamål som är oförenligt med dessa ändamål.
  3. Lagring av uppgifter baserad på samtycke:
    • I den mån den registreringsrätt som grundar sig på ovan nämnda lagar eller omständigheter överskrids, eller nämnda annan rättslig grund inte föreligger, begärs separat samtycke från Kunden för lagring, behandling och förvaring av personuppgifter. Uppdragsuppgifter används även för avtalsrelationer kopplade till konsult- och andra experttjänster och förvaras på motsvarande sätt som Uppdragsdagboken.
Användningsändamål för uppgifterna

Uppgifter i Kundregistret kan användas för följande huvudsakliga ändamål:

  • hantering och utveckling av kundrelationen
  • produktion, erbjudande, utveckling, förbättring och skydd av tjänster
  • fakturering, inkasso och verifiering av kundtransaktioner
  • rikta reklam
  • analys och statistik av tjänster
  • kundkommunikation, marknadsföring och reklam
  • skydd och säkerställande av registeransvarigs och andra personers och parters rättigheter och/eller egendom i samband med uppdrag
  • fullgörande av registeransvarigs lagstadgade skyldigheter, samt
  • andra motsvarande användningsändamål.

Konsekvenser av att uppgifter inte erhålls:
Om registeransvarig inte får de uppgifter som avses i punkterna Syfte med insamling av personuppgifter 1, 2 och 3, kan kundrelationen inte inledas eller fortsätta, eller annan överenskommelse ingås eller deltagande i rättshandling med Kunden ske.

Kundregistrets datainnehåll, det vill säga vilka uppgifter vi samlar in

I samband med hantering av kundrelationen samlas in eller kan följande uppgifter samlas in:

  • Kundens grunduppgifter, såsom fullständigt namn, adress
  • Personbeteckning för person som agerar för egen eller företagets räkning och eventuellt företagsbeteckning för tillförlitlig identifiering
  • Uppgifter relaterade till fakturering och inkasso
  • Uppgifter relaterade till kundförhållande och avtalsrelation, såsom tjänster som erbjuds Kunden, användningsdatum, arvode, säljarinformation samt andra motsvarande uppgifter
  • Tillståndsuppgifter och förbud, såsom tillstånd och förbud för direktmarknadsföring
  • Intresseområden och andra uppgifter som Kunden själv lämnat
  • Andra händelseuppgifter för tjänster
  • Reklamationer och uppgifter om deras hantering
  • Kundens kredituppgifter och andra ekonomiska uppgifter för bedömning av fullgörande av avtalsförpliktelser

I registeruppgifter som rör övervakning enligt Penningtvättslagen behandlas eller kan följande uppgifter relaterade till Kunden behandlas:

  • namn, födelsedatum och personbeteckning
  • företrädarens namn, födelsedatum och personbeteckning
  • juridisk persons fullständiga namn, registernummer, registreringsdatum och registermyndighet
  • fullständiga namn, födelsedatum och nationaliteter för medlemmar i juridisk persons styrelse eller motsvarande beslutande organ
  • juridisk persons bransch
  • verkliga förmånstagares namn, födelsedatum och personbeteckning
  • namn på handlingen som använts för verifiering av identitet, handlingens nummer eller annan identifieringsuppgift och utfärdare eller kopia av handlingen eller om kunden har fjärridentifierats, uppgifter om det förfarande eller de källor som använts vid verifieringen
  • uppgifter om Kundens verksamhet, affärsverksamhetens art och omfattning, ekonomiska ställning, grunder för användning av affärstransaktion eller tjänst och uppgifter om medlens ursprung samt andra nödvändiga uppgifter som inhämtats för kundkännedom enligt Penningtvättslagen 4 § 1 mom.
  • uppgifter relaterade till utredning av medlens ursprung enligt Penningtvättslagen 4 § 3 mom. och nödvändiga uppgifter som inhämtats för att uppfylla den förstärkta kundkännedomsskyldigheten enligt 13 § gällande politiskt utsatt person
  • för utländsk Kund som inte har finsk personbeteckning, uppgift om Kundens nationalitet och resedokumentuppgifter
Lagringstid för uppgifter

Uppgifter som samlats in i registret förvaras endast så länge och i den omfattning som är nödvändigt i förhållande till de ursprungliga eller förenliga ändamål för vilka personuppgifterna samlats in.

Behovet av att förvara personuppgifter utvärderas regelbundet; och i vilket fall som helst raderas uppgifter om en registrerad person från registret två år efter att den registrerades kundrelation till registeransvarig har upphört och skyldigheter och åtgärder relaterade till kundrelationen har slutförts. Bokföringsverifikat förvaras i fem år från räkenskapsperiodens utgång.

Registeransvarig utvärderar behovet av att förvara uppgifter regelbundet enligt sina interna uppförandekoder. Dessutom vidtar registeransvarig alla möjliga rimliga åtgärder för att säkerställa att personuppgifter som är felaktiga, inkorrekta eller föråldrade i förhållande till behandlingens ändamål raderas eller rättas utan dröjsmål.

Uppgifter enligt Penningtvättslagen förvaras i fem (5) år, såvida inte fortsatt förvaring av dessa uppgifter är nödvändig för brottsutredning, pågående rättegång eller för att trygga registeransvarigs eller dess anställdas rättigheter. Behovet av fortsatt förvaring av uppgifter och handlingar granskas då senast tre (3) år efter föregående kontroll av förvaringsbehovet (Lagen om förhindrande av penningtvätt och finansiering av terrorism, 444/2017, 4 §).

För potentiella kunder av alla olika tjänster som bolaget erbjuder förvaras uppgifter i cirka 12 månader från senaste kontakten.

Besöks- och analysuppgifter för vår webbplats förvarar vi i 38 månader.

Andra personuppgifter raderas efter att det inte längre finns behov av att förvara personuppgiften. Om insamling och förvaring av personuppgifter endast har grundat sig på Kundens samtycke, till exempel prenumeration på nyhetsbrev eller motsvarande, raderas personuppgifterna på dennes begäran.

Regelbundna informationskällor och varifrån uppgifter samlas in

Personuppgifter samlas in från Kunden själv i samband med upprättande av uppdragsavtal och handlingar, vid användning av registeransvarigs tjänster eller på annat sätt direkt från Kunden. Personuppgifter kan även samlas in och uppdateras till exempel från befolkningsregistret och andra myndighetsregister samt kreditupplysningsregister.

Uppgifter baserade på samtycke samlas in direkt från Kunden eller med dennes samtycke från register eller källor som upprätthålls av myndighet eller tredje part.

Personuppgifter samlas in via webbformulär, e-post eller på något annat lämpligt sätt. Personuppgifter kan även samlas in från enheter med hjälp av cookies eller andra motsvarande tekniker.

Utlämnande av uppgifter, det vill säga till vem uppgifter kan lämnas

Personuppgifter lämnas inte ut till tredje part.

Uppgifter överförs inte regelbundet utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet. Uppgifter kan dock överföras eller lämnas ut utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet på sätt som lagen tillåter, om uppgifterna överförs till ett land där Europeiska kommissionen har konstaterat att dataskyddsnivån är tillräcklig, eller om en tillräcklig dataskyddsnivå kan garanteras genom avtalsarrangemang. Överföring utanför EU kan även ske i samband med användning av olika molntjänster, såsom till exempel OneDrive, Google Drive, iCloud, Dropbox eller motsvarande.

Till myndigheter lämnas uppgifter ut i de fall som lagen kräver.

I samband med outsourcing av registeransvarigs IT-administration kan behandling av personuppgifter även ske av registeransvarigs underleverantörer, men då endast för registeransvarigs räkning.

Principer för skydd av registret, det vill säga hur vi skyddar era personuppgifter

Åtkomst till registret kräver användaridentifikation som beviljats av Kundregistrets huvudanvändare. Huvudanvändaren bestämmer även åtkomstnivån som beviljas andra användare. Endast de anställda hos registeransvarig och underleverantörers anställda har tillgång till uppgifterna för vilka det är nödvändigt för att utföra arbetsrelaterade uppgifter. Uppgifterna samlas in i tjänstens databaser som är skyddade med brandväggar, lösenord och andra tekniska medel.

I den mån personuppgifter behandlas för registeransvarigs räkning av dennes underleverantör, har lämpliga skyddsåtgärder ordnats genom avtal mellan registeransvarig och underleverantör och säkerställts att behandlingen av personuppgifter uppfyller dataskyddslagstiftningens krav.

Det kan tidvis finnas tillfälliga lokala kopior av registerdelar (såsom till exempel Excel, CSV och utskrift) hos behöriga anställda, till exempel för kundutskick och regelbunden kontakt. Tillfälliga kopior raderas efter att användningsändamålet upphört.

Kundens rättigheter och hur jag kan agera för att säkerställa behandlingens laglighet

Kontroll, erhållande och överföring av uppgifter:

Kunden har rätt att kontrollera vilka uppgifter om denne som har lagrats i Kundregistret. Kunden ska framställa kontrollbegäran till registeransvarig skriftligen i egenhändigt undertecknad form eller i handling som verifierats på motsvarande sätt, eller via e-post.

Med avvikelse från det ovan sagda har Kunden inte rätt att kontrollera uppgifter som inhämtats för att uppfylla anmälnings- eller utredningsskyldighet enligt penningtvättslagen (Penningtvättslagen 4:3 §). Dataskyddsombudsmannen kan dock på Kundens begäran kontrollera lagligheten av behandlingen av dessa uppgifter.

Registeransvarig tillhandahåller ovan nämnda uppgifter till Kunden inom 30 dagar från framställande av kontrollbegäran.

Kunden har rätt att få de kunduppgifter som denne själv tillhandahållit överförda till tredje part i strukturerad och allmänt använd maskinläsbar form. Registeransvarig förvarar dock de överförda uppgifterna enligt denna dataskyddsbeskrivning.

Rättelse av felaktig uppgift:

Kunden har rätt att rätta uppgifter om sig själv som lagrats i personregistret i den mån de är felaktiga.

Invändning mot eller begränsning av behandling av uppgift och radering av uppgift:

Kunden har rätt att invända mot behandling av uppgifter om sig själv för direktreklam, distansförsäljning och annan direktmarknadsföring samt marknads- och opinionsundersökningar och utveckling av registeransvarigs affärsverksamhet samt begränsa behandlingen av uppgifter om denne, samt rätt att få personuppgifter om denne som redan registrerats för nämnda ändamål raderade, även om det i övrigt skulle finnas grund för behandling av uppgiften.

Återkallande av samtycke:

Om uppgift i registret grundar sig på samtycke som Kunden lämnat, kan samtycket när som helst återkallas genom att meddela registeransvarigs företrädare som nämns i denna beskrivning. På begäran raderas alla de uppgifter som inte ska förvaras, eller kan förvaras, med stöd av lag eller annan grund som nämns i denna dataskyddsbeskrivning.

Förfarande vid utövande av rättigheter:

Kontroll-, rättelse- eller annan begäran kan framställas genom att kontakta registeransvarigs kundservice med de kontaktuppgifter som anges i denna beskrivning.

Meningsskiljaktigheter:

Kunden har rätt att hänskjuta ärendet till Dataskyddsombudsmannen om registeransvarig inte följer Kundens rättelse- eller annan begäran.

Profilering och automatiserat beslutsfattande:

Registeransvarig gör inte profilering riktad mot Kunden baserad på personuppgifter eller använder automatiserat beslutsfattande.

Rulla till toppen