Dataskydd
Med avseende på Ropos marknadsföring och uppdragsgivarkunder
MED AVSEENDE PÅ ROPOS MARKNADSFÖRING OCH UPPDRAGSGIVARKUNDER
Syftet med denna dataskyddsbeskrivning är att ge personer anknutna till Ropo-koncernens, till vilken hör RopoHold Oy, Ropo Oy, Ropo Finance Oy och Ropo Invest Oy, (nedan kallad: ”Ropo”) nuvarande och potentiella uppdragsgivarkunder en täckande bild av vilka personuppgifter Ropo samlar in om dem, i vilka syften uppgifterna används och till vem uppgifterna kan överlämnas. Denna dataskyddsbeskrivning ger även information om de skyldigheter och den lagstiftning som Ropo följer i behandlingen av personuppgifter.
Dataskyddsbeskrivningen tillämpas på alla fysiska personer, som är potentiella eller nuvarande uppdragsgivarkunder eller representanter, kontaktpersoner eller förmånstagare till en sådan, och vars personuppgifter Ropo behandlar i egenskap av personuppgiftsansvarig (nedan kallad: ”den registrerade”).
1 Definition av personuppgift
”Personuppgifter” kallas alla uppgifter om den registrerade, som gör att denne kan identifieras direkt eller indirekt, alltså enligt definitionen i EU:s allmänna dataskyddsförordning (2016/679), (” dataskyddsförordningen ”). Uppgifter med vilka den registrerade inte kan identifieras direkt eller indirekt är inte personuppgifter.
Vid behandlingen av personuppgifter följer Ropo dataskyddsförordningen samt annan tillämplig dataskyddslagstiftning och uppgiftsbehandling.
2 Personuppgiftsgrupper som lagras i registren och uppgiftsinnehåll
Ropo samlar in och behandlar de uppgifter som behövs om de registrerade för att tillhandahålla sina tjänster. Detta gäller uppgifter som erhållits av uppdragsgivaren, uppgifter som getts av de registrerade själva och uppgifter som samlats in från andra källor.
Följande uppgifter behandlas om de registrerade:
- Identifierings-, kontakt- och befattningsuppgifter, exempelvis namn, personbeteckning eller födelsedatum, adress, telefonnummer, e-postadress, bankuppgifter och den registrerades ställning hos den nuvarande eller potentiella uppdragsgivarkunden
- Uppgifter om kundhändelser, exempelvis kontakter mellan den registrerade och Ropo och uppgifter om deltagande i evenemang ordnade av Ropo
- Uppgifter anknutna till avtalsförhållandet, exempelvis fakturerings- och/eller inkassokunder, fakturerings- eller kundreskontrauppgifter, fordringar, fordringarnas belopp och grund samt uppgifter om deras betalning, uppdragets ärendenummer och uppgifter om dess behandlingsfas, uppgifter som erhålls av myndigheter och offentliga register och som är nödvändiga för att utföra uppdraget, uppgifter givna av uppdragsgivaren som är nödvändiga för att utföra fakturerings- och/eller inkassouppdrag, och andra uppgifter om uppdragsgivaren som är nödvändiga för utförande av uppdraget
- Uppgifter om tredje parter anknutna till ärendet, exempelvis kontaktpersonernas eller intressebevakarnas namn och kontaktuppgifter
- Användaruppgifter till elektroniska tjänster, exempelvis i Ropo 24 användarnamn och krypterat lösenord
- Beteendeuppgifter och tekniska identifieringsuppgifter, uppföljning av den registrerades internetanvändning och Ropos tjänster exempelvis med hjälp av kakor eller liknande tekniska identitetsuppgifter och uppgifter som samlas in kan vara exempelvis användarens IP-adress, besökta webbplatser, webbläsartyp, webbadress, sessionens tidpunkt och tidslängd.
Beträffande potentiella kunder behandlas nödvändiga personuppgiftsgrupper, exempelvis identifierings-, kontakt- och befattningsuppgifter samt beteendeuppgifter och tekniska identifieringsuppgifter.
För att följa lagstiftningen om penningtvätt, till exempel lagen om förhindrande av penningtvätt och av finansiering av terrorism (2017/444), kan Ropo samla in om sina uppdragsgivare, deras representanter och faktiska förmånstagare även följande personuppgifter:
- Fullständigt namn
- Födelsedatum och personbeteckning
- Nationalitet
- Telefonnummer och e-postadress
- Adress
- Ställning hos den juridiska personen och personens andra företagskontakter samt uppgifter om ägandeandelar
- Benämning på det pass, resedokument eller annat dokument som används för att bestyrka identiteten, dokumentets nummer eller annan identifieringsuppgift och utfärdaren eller kopia av dokumentet
- Om kunden identifieras på avstånd, uppgifter om metoden eller källor som använts för identifieringen; vid autentisering med TUPAS de identifieringsuppgifter som använts i TUPAS
- Insamlade nödvändiga uppgifter för att uppfylla den intensifierade skyldigheten att identifiera en politiskt inflytelserik person.
3 Syften med behandlingen av personuppgifter och behandlingens rättsgrund
Personuppgifter behandlas i följande syften:
- Marknadsföring.
- Tillhandahållande av tjänster, kontakter, kundstöd.
- Bokföring och betalningar.
- Rapportering, uppföljning, utbildning, testning och utveckling av affärsverksamhet och tjänster samt kontroll av tjänstehändelser. Exempelvis telefoninspelningar används för att utveckla kundservicen och säkra kundhändelserna.
- För riskhantering och för att förhindra missbruk.
- För att uppfylla skyldigheter i lagen, till exempel ha kännedom om kunden enligt vad lagstiftningen om penningtvätt föreskriver.
Om den registrerade behandlas endast personuppgifter som är nödvändiga med tanke på syftet och ärendet.
Laglig grund för behandlingen av de registerades personuppgifter är:
- Ropos berättigade intresse eller samtycke med avseende på den egna marknadsföringen
- För att verkställa ett avtal som ingåtts med en registrerad eller genomföra åtgärder före avtalet på begäran av den registrerade
- Uppdragsgivarkundens och Ropos berättigade intresse med avseende på uppdragsgivarens kontaktpersoner
- Ropos berättigade intresse för att utveckla affärsverksamheten
- Ropos lagstadgade skyldigheter
Vad gäller uppdragen ska personuppgifterna ges delvis på grund av ett avtalsbaserat krav och delvis på grund av lagstadgade bestämmelser. Utan vissa personuppgifter kan uppdragsförhållandet inte upprättas exempelvis på grund av skyldigheten att känna kunden som föreskrivs i lagen om indrivning och penningtvätt och utan vissa personuppgifter kan ett möjligt uppdrag inte utföras, så avtal om uppdraget kan inte ingås om den registrerade som är uppdragsgivare inte ger nödvändiga personuppgifter.
Om behandlingen grundar sig på samtycke, har den registrerade rätt att återkalla sitt samtycke.
4 Uppgiftskällor
Regelmässiga uppgiftskällor är:
- Uppdragsgivarna (uppgifter om uppdraget och kontaktpersonen)
- Genom den personuppgiftsansvariges egen verksamhet (uppgifter anknutna till fakturering och/eller indrivning)
- Myndigheten för Digitalisering och Befolkininsdata (adress- och personuppgifter samt uppgifter om intressebevakning)
- Rättsregistercentralen (uppgifter om konkurs, företagssanering och skuldsanering)
- Dun & Bradstreet Finland Oy:s och Suomen Asiakastieto Oy:s kredituppgiftsregister (offentliga uppgifter om betalningsstörningar)
- Företags- och organisationsdatasystemet (företags- och organisationsuppgifter)
- Skattemyndigheten (offentliga skatteuppgifter)
- Patent- och registerstyrelsen (uppdragsgivarens identifieringsuppgifter)
- Leverantörer av nummer-, adress- och kontaktuppgifter (telefonnummer och adressuppgifter)
- Dessutom kan information begäras av domstolar, polismyndighet, utsökningsmyndighet samt arbetskraftsmyndighet
5 Förvaring av personuppgifter
Ropo förvarar personuppgifter så länge det behövs för att förverkliga de syften som fastställts i denna dataskyddsbeskrivning, såvida lagstiftningen inte förpliktigar till en längre förvaring av personuppgifter (exempelvis ansvar och skyldigheter anknutna till speciallagar, bokförings- eller rapporteringsskyldigheter), eller såvida Ropo inte behöver uppgifterna för att upprätta eller framställa ett rättsanspråk, eller försvara sig mot ett rättsanspråk.
Ropo förvarar personuppgifter för registrerade som är anknutna till uppdragsgivarkunder under uppdragstiden och den tid lagen föreskriver efter uppdraget.
För marknadsföring sparas grundläggande uppgifter om uppdragsgivarens kontaktpersoner så länge marknadsföringen riktas till dem.
Uppgifter anknutna till kännedom om uppdragsgivaren sparas enligt den lagstiftning som tillämpas, för närvarande är det enligt lagstiftningen om penningtvätt fem år efter att en stadigvarande kundrelation upphört eller i fråga om en sporadisk transaktion fem år efter att transaktionen ägde rum.
När personuppgifternas förvaringstid har gått ut, raderas uppgifterna inom en rimlig tid.
6 Personuppgifternas mottagare och mottagargrupper
De registrerades personuppgifter kan överlämnas till en tredje part i situationer som tillåts eller förpliktigas i uppdragsgivaravtal eller i den gällande lagstiftningen bland annat till:
- Fakturerings- och/eller inkassokunder
- Domstolar
- Utsökningsmyndigheter
- Polismyndigheter
- Kredituppgiftsbolag
- Leverantörer av nummer-, adress- och kontaktuppgifter, för att kontrollera uppgifterna
Därtill kan Ropo överföra de registrerades personuppgifter till serviceföretag som tillhandahåller IT-system och andra IT-tjänster och till andra underleverantörer.
Ropo kan även bli tvunget att i nödsituationer eller andra oväntade situationer överlämna de registrerades personuppgifter för att skydda människors liv och hälsa samt egendom. Därtill kan Ropo även bli tvunget att överlämna de registrerades personuppgifter, om Ropo berörs av förfaranden som äger rum i rättegångar eller andra tvistlösande organ.
Om Ropo berörs av en sammanslagning, köp av affärsverksamhet eller annan omorganisation, kan Ropo bli tvunget att överlämna de registrerades personuppgifter till tredje parter.
Överlämnandet av uppgifter till tredje part sker i regel med hjälp av elektroniska dataöverföringsförbindelser, men uppgifterna kan överlämnas också på annat sätt, till exempel per telefon eller brev.
7 Överföring av personuppgifter utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet
Uppgifterna överförs inte utanför Europeiska unionen eller Europeiska ekonomiska samarbetsområdet.
8 Principer för skydd av personuppgifterna och behandlingens säkerhet
Ropo behandlar personuppgifter på ett sätt som syftar till att garantera en tillbörlig säkerhet för personuppgifterna, inklusive skydd mot olovlig behandling samt mot förlust, utplåning eller skada som sker av misstag.
Ropo använder lämpliga tekniska och organisatoriska skyddsfunktioner för att trygga detta, inklusive följande skyddsåtgärder:
Ropos nätverk och servrar skyddas med en brandvägg och andra tekniska åtgärder. Rättigheterna att läsa, sända och radera personuppgifter har begränsats med åtkomsträttigheter och lösenord. Åtkomsträttighet får instruerade personer som sköter inkasso- och andra uppdrag och besitter en personlig och befattningsspecifikt avgränsad användningsrättighet. Registeranvändarna identifieras, användningen övervakas och användarbehörigheterna kontrolleras med regelbundna intervaller. Personalen har instruerats att använda lösenord på ett säkert sätt.
Materialet förvaras i ett låst utrymme i företaget, som är utrustat med moderna säkerhetssystem, och till vilket endast bestämda personer har tillträde på grund av sina arbetsuppgifter. I lokalerna finns tillträdeskontroll.
Uppgifterna skrivs ut endast vid behov, och pappersutskrifterna förstörs på ett säkert sätt omedelbart efter behandlingen. Personalen har fått instruktion om att de registrerades personbeteckning inte i onödan ska antecknas i dokumenten.
Alla aktörer som behandlar personuppgifter har enligt dataskyddslagen och sekretessvillkoren i avtalen tystnadsplikt i fråga om ärenden anknutna till behandling av de registrerades personuppgifter.
De registrerades personuppgifter behandlas av Ropos personal som deltar i tillhandahållandet av tjänsterna och de ansvariga personerna hos de parter som nämns i punkt 6 i denna dataskyddsbeskrivning.
Enligt denna dataskyddsbeskrivning kan Ropo lägga ut behandlingen av personuppgifter på serviceföretag eller underleverantörer, men Ropo säkerställer med tillräckliga avtalsförpliktelser att personuppgifterna behandlas vederbörligt och lagenligt.
9 De registrerades rättigheter och genomförande av rättigheterna
De registrerade har de rättigheter som garanteras i den gällande dataskyddslagstiftningen.
Rätten att granska och få tillgång till uppgifter
Den registrerade har rätt att kontrollera de uppgifter som rör hen och att på begäran få en kopia av uppgifterna.
Det enklaste sättet att ansöka om inspektionsrätt är via vår onlinetjänst MyRopo, där du kan göra din ansökan via chatt under vår kundtjänsts öppettider (mån-fre 8-20, lör 10-15). Stark verifiering används när du loggar in på MyRopo, så att den registrerade inte behöver ge Ropo separat identifieringsinformation.
Du kan också skicka en begäran om tillgång per post till: Ropo Oy, PB 25, 70101 Kuopio.
Rätt att begära rättelse av uppgifter och radering av uppgifter
Om den registrerade upptäcker fel i sina egna uppgifter kan detta meddelas till den personuppgiftsansvariges kontakt-e-post som nämns i punkt 12 i denna dataskyddsbeskrivning. Efter att den registrerades identitet bekräftats korrigeras de felaktiga uppgifterna. Om rättelse av uppgiften nekas, meddelas detta skriftligen till den registrerade.
Ropo raderar på eget initiativ eller på begäran av den registrerade och kompletterar en personuppgift i registret som med tanke på behandlingens syfte är felaktig, onödig, ofullständig eller föråldrad.
Rätt att överföra uppgifter samt begränsa behandlingen och invända mot behandling
Enligt gällande dataskyddslagstiftning har den registrerade rätt att i vissa situationer begära överföring av sina uppgifter till en annan personuppgiftsansvarig.
I en situation där en personuppgift som misstänks vara felaktig inte kan rättas eller raderas eller vid oklar begäran om radering, begränsar bolaget tillgången till uppgifterna.
Den registrerade har rätt att förbjuda användning av uppgifterna till en viss typ av behandling, som till exempel direktmarknadsföring.
Den registrerade har rätt att undvika att beröras av ett beslut som grundar sig på enbart automatisk behandling och som skulle ha betydande rättsliga följder för denne eller skulle påverka den registrerade på ett motsvarande betydande sätt. Ropo fattar inte med automatisk behandling sådana beslut om en registrerad, som skulle ha betydande rättsliga följder för denne eller som skulle påverka den registrerade på ett motsvarande betydande sätt.
Rätt att återkalla samtycke
Om behandlingens rättsgrund är den registrerades samtycke, har den registrerade rätt att återkalla sitt samtycke.
10 Rätt att lämna in klagomål till en tillsynsmyndighet
Den registrerade har rätt att lämna in klagomål till en tillsynsmyndighet, om den registrerade anser att hans eller hennes personuppgifter har behandlats på ett sätt som strider mot gällande lagstiftning. I Europeiska unionen kan klagomål lämnas in till en tillsynsmyndighet, särskilt i den medlemsstat där man har sin hemvist eller arbetsplats, eller till tillsynsmyndigheten i den stat där det påstådda intrånget begicks. I Finland är denna tillsynsmyndighet dataombudsmannen: tietosuoja.fi.
11 Dataskyddsombudets kontaktuppgifter
Email: tietosuoja@ropo.com
12 Den personsuppgiftsansvariges kontaktuppgifter
Personuppgiftsansvarig: Ropo Oy (FO-nummer: 2495037-7)
Kontaktuppgifter: tietosuoja@ropo.com
Ropo Oy, PL 25, 70101 Kuopio
13 Ändringar i dataskyddsbeskrivningen
Ropo kan vid behov ändra och uppdatera denna dataskyddsbeskrivning. Ändringarna kan även grunda sig på ändring i dataskyddslagstiftningen. Vi meddelar om ändringar på vår webbplats. Viktiga ändringar meddelas till de registrerade.
Denna dataskyddsbeskrivning publicerades 23.5.2018 och uppdaterad 26.5.2024.