Tietosuojaseloste

1. Yleistä

Tällä tietosuojaselosteella annetaan EU:n yleisen tietosuoja-asetuksen (jäljempänä tietosuoja-asetus) sekä kansallisen tietosuojalain edellyttämiä tietoja yhtäältä rekisteröidylle eli rekisterinpitäjän asiakkaalle ja toisaalta valvovalle viranomaiselle.

2. Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

Pivo Wallet Oy
Postiosoite: PL 308, 00013 OP
Käyntiosoite: Gebhardinaukio 1, 00510 HELSINKI
Rekisterinpitäjän yhteyshenkilö: Lauri Tolvas
Sähköpostiosoite: liikkuminen.tietosuoja@op.fi

3. Tietosuojavastaavan yhteystiedot

OP Ryhmän tietosuojavastaava
OP Ryhmä
Postiosoite: PL 308, 00013 OP
Sähköpostiosoite: tietosuoja@op.fi

4. Rekisterin nimi

OPn liikkumisen palveluiden asiakasrekisteri

Rekisteröityjä ovat OPn liikkumisen palveluiden asiakkaat. Rekisteröityihin kuuluu sekä yksityishenkilöitä että yhteisöjen puolesta toimivia henkilöitä.

5. Henkilötietojen käsittelyn tarkoitukset ja käsittelyn oikeusperuste

5.1.Käsittelyn tarkoitukset

OPn liikkumisen palveluiden toteuttaminen edellyttää henkilötietojen käsittelyä. Rekisterinpitäjä käsittelee rekisteriin kuuluvia tietoja pääasiassa liikkumisen palveluiden tuottamiseksi, tarjoamiseksi, toimittamiseksi ja kehittämiseksi. Alla on tarkempaa tietoa henkilötietojen käytöstä rekisterissä.

Henkilötietojen käyttötarkoituksiin kuuluvat:

  • OPn liikkumisen palveluiden toteuttaminen, kuten leasing- ja autonvuokraustoiminta, MaaS-palvelut, autoilijan sovellus sekä yhteiskäyttöpalvelut
  • asiakassuhteen hoito ja kehittäminen, mukaan lukien asiakasviestintä
  • palvelujen tuottaminen, toimittaminen, kehittäminen ja laadunvarmistus
  • liiketoiminnan kehittäminen
  • palvelujen käytön seuranta ja analysointi sekä asiakkaiden segmentointi, jotta rekisterinpitäjä pystyy tarjoamaan käyttäjille muun muassa personoitua sisältöä palveluissa
  • mielipide- ja markkinatutkimukset
  • suoramarkkinointi
  • markkinoinnin ja mainonnan kohdentaminen
  • riskienhallinta
  • palvelujen turvallisuuden varmistaminen ja väärinkäytösten selvittäminen
  • koulutustarkoitukset
  • lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen

Automaattinen päätöksenteko ja profilointi

Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää automaattista päätöksentekoa. Automaattisesta päätöksenteosta on kyse silloin, kun päätös tehdään pelkästään automaattisesti siten, ettei ihminen osallistu yksittäisen päätöksen tekemiseen, ja kun tällaisella päätöksellä on rekisteröityä koskevia oikeusvaikutuksia tai se vaikuttaa rekisteröityyn vastaavalla tavalla merkittävästi.

Jos tällaista päätöksentekoa sisältyy rekisteröidyn hankkimaan tuotteeseen tai palveluun, siitä kerrotaan tuotteen tai palvelun oston yhteydessä. Päätösprosessin ollessa täysin automaattinen rekisterinpitäjä varmistaa, että rekisteröity voi saattaa asian manuaalisessa prosessissa tarkastettavaksi ja päätettäväksi.

Rekisterin piiriin kuuluva henkilötietojen käsittely sisältää profilointia. Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa näitä tietoja käyttämällä arvioidaan tiettyjä henkilökohtaisia ominaisuuksia.

Liikkumisen palveluissa automaattista päätöksentekoa ja profilointia käytetään mm. eri palveluiden hinnoittelumalleissa sekä kampanjaluonteisissa tarjouksissa. Lisäksi uuden asiakkaan maksukyvyn arviointia vaativissa palveluissa tämä arviointi voidaan tehdä automaattisesti. Mikäli palvelussa tehtävä päätös perustuu automaattiseen päätöksentekoon, kerrotaan se sitä hankittaessa selkeästi.

5.2. Käsittelyn oikeusperusteet

Alla on kuvattu rekisterin käyttämät henkilötietojen käsittelyn oikeusperusteet sekä esimerkkejä kullakin perusteella suoritettavasta käsittelystä.

OIKEUSPERUSTE ESIMERKKI
Sopimussuhde tai sopimuksen tekemistä edeltävät toimenpiteet Rekisterissä käsitellään henkilötietoja pääasiassa sopimukseen perustuen rekisteröidyn hankkimien liikkumisen palveluiden tarjoamiseksi ja toimittamiseksi.
Suostumus Suoramarkkinointi sähköistä kanavaa käyttäen perustuu yleensä rekisteröidyn suostumukseen.

Sijaintitiedon käyttäminen palveluissa perustuu lain sähköisen viestinnän palveluista mukaisesti suostumukseen.

Lakisääteinen velvoite Yhteiskäyttöautopalvelun käyttäjätietoja voidaan toimittaa epäiltyjen liikennerikkomusten selvittämiseksi asiaa käsitteleville viranomaisille lain edellyttämissä puitteissa.
Rekisterinpitäjän tai kolmannen osapuolen oikeutetut edut Suoramarkkinointi ja liiketoiminnan kehittäminen perustuvat usein rekisterinpitäjän oikeutettuun etuun. Rekisterinpitäjä voi myös luovuttaa tietoja muihin OP Ryhmän yhteisöjen henkilörekistereihin oikeutetun edun perusteella.

Useimmiten rekisterinpitäjän oikeutettu etu perustuu rekisterinpitäjän ja rekisteröidyn väliseen asiakas- tai vastaavaan suhteeseen. Rekisterinpitäjä huolehtii siitä, että tällä perusteella suoritettava käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa hänen kohtuullisia odotuksiaan.

6. Henkilötietoryhmät

HENKILÖTIETORYHMÄ RYHMÄN TIETOSISÄLTÖ
Perustiedot Rekisteröidyn nimi, henkilötunnus tai muu vastaava tunnus, mahdollisesti myös henkilön edustaman yhteisön tunniste (nimi + Y-tunnus, tai vastaava tunnus)

Rekisteröidyn yhteystiedot (osoite, puhelinnumero, kotipaikka)

Asiakkuustiedot Asiakkuuden yksilöivät ja luokittelevat tiedot, kansalaisuus ja asiointikieli sekä muut asiakassuhteen hoidon kannalta merkittävät tiedot
Suostumukset Rekisteröidyn antamat, henkilötietojen käsittelyä koskevat suostumukset ja kiellot
Sopimus- ja tuotetiedot Rekisterinpitäjän ja rekisteröidyn välisten sopimusten tiedot

Rekisteröidyn hankkimien tuotteiden ja palvelujen tiedot

Asiakastapahtumatiedot Asiakassuhteen hoitamiseen liittyvät tehtävät ja tapahtumat, kuten osto-, vuokraus- ja laskutustiedot
Käyttäytymistiedot (ml. evästeillä ja muilla vastaavilla teknologioilla kerätyt tiedot) Rekisteröidyn verkkokäyttäytymisen ja palvelujen käytön seuranta esimerkiksi evästeiden avulla. Kerättyjä tietoja voivat olla esimerkiksi käyttäjän selailema sivu, laitteen malli, yksilöllinen laite- ja/tai evästetunniste, kanava, kuten sovellus, mobiiliselain tai internetselain, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto sekä näytön tarkkuus ja käyttöjärjestelmä.
Tallenteet ja viestien sisältö Erimuotoiset tallenteet ja viestit, joissa rekisteröity on osapuolena, esimerkiksi puhelutallenteet
Sijainti- ja sensoridata Ajoneuvon tai mobiililaitteen sijaintiedot, jos palvelun käyttö edellyttää sijantitiedon keräämistä
Tekniset tunnistamistiedot Laitteen tai sovelluksen määrittämä tunniste, jonka avulla laitteen tai sovelluksen käyttäjä on tunnistettavissa käyttämällä tarvittaessa lisätietoja

7. Henkilötietojen vastaanottajat ja vastaanottajaryhmät

Kerättyjä henkilötietoja voidaan luovuttaa OP Ryhmän sisällä lainsäädännön sallimissa puitteissa. Lisäksi henkilötietoja voidaan luovuttaa muun muassa:

  • OP Kulku -palvelun asiakkaiden tietoja luovutetaan autoliikkeille ajoneuvon rekisteröintiä varten (nimi, yhteystiedot ja henkilötunnus).
  • OP Kausiauto -palvelun asiakkaiden tietoja luovutetaan yhteistyökumppanille ajoneuvon toimittamista ja käyttöönottoa varten (nimi, yhteystiedot ja ajokortin numero).
  • viranomaisille lakisääteisissä tapauksissa
  • kolmansille yhteistyökumppaneille sopimuksen täytäntöönpanon edellyttämässä laajuudessa

Luovuttaessaan rekisteriin kuuluvia henkilötietoja rekisterinpitäjä ottaa huomioon velvoittavan lainsäädännön vaatimukset, ml. rekisterinpitäjään kohdistuvat salassapitovelvoitteet.

7.1. Tietojen siirto alihankkijoille

Rekisterinpitäjä käyttää alihankkijoita, jotka käsittelevät henkilötietoja sen lukuun. Rekisterinpitäjä tekee tällaisten alihankkijoiden kanssa asianmukaiset henkilötietojen käsittelyä koskevat sopimukset.

Alihankkijat tuottavat rekisterinpitäjälle mm. tietoteknisiä palveluja. Osa käytetyistä alihankkijoista on muita OP Ryhmän yhteisöjä.

7.2. Kansainväliset tiedonsiirrot

Rekisterinpitäjä ei säännönmukaisesti siirrä tämän rekisterin tietoja EU:n / ETA:n ulkopuolelle. Mikäli tietoja kuitenkin yksittäistapauksessa siirrettäisiin tai luovutettaisiin EU:n / ETA:n ulkopuolelle, soveltaa rekisterinpitäjä aina lainsäädännössä sallittuja siirtomekanismeja, kuten tietosuojalainsäädännön mukaisia mallisopimuslausekkeita, joilla taataan asianmukainen henkilötietojen suoja.

Tietojen siirto EU:n / ETA:n ulkopuolelle tapahtuu käyttäen tietosuojalainsäädännön mukaisia mallisopimuslausekkeita tai muuta lainsäädännössä sallittua siirtomekanismia, jolla taataan asianmukainen henkilötietojen suoja. Rekisterinpitäjä käyttää eräänä siirtomekanismina EU-komission hyväksymiä mallisopimuslausekkeita, jotka löydät osoitteesta: https://ec.europa.eu/info/strategy/justice-and-fundamental-rights/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_en

8. Henkilötietojen säilytysaika tai säilytysajan määrittämiskriteerit

Henkilötietoja käsitellään sopimus- tai asiakassuhteen voimassaolon ajan. Sopimus- tai asiasiakassuhteen päätyttyä tiedot poistetaan tai anonymisoidaan 10 vuoden kuluttua rekisterinpitäjän noudattamien poistoprosessien mukaisesti.

Rekisterinpitäjä voi käsitellä sopimussuhteen päätyttyä henkilötietoja suoramarkkinointitarkoituksiin soveltuvan lainsäädännön mukaisesti.

9. Henkilötietojen lähteet ja päivittäminen

Henkilötietoja kerätään pääasiassa rekisteröidyltä itseltään. Henkilötietoja voidaan kerätä myös, kun rekisteröity käyttää tiettyjä rekisterinpitäjän palveluja, kuten verkkopalvelut.

Henkilötietoja voidaan kerätä ja päivittää lain sallimissa puitteissa myös kolmansien osapuolten rekistereistä, kuten:

  • Väestörekisterikeskuksesta
  • muiden viranomaisten pitämistä rekistereistä, esimerkiksi Trafilta
  • luottotietorekisterinpitäjiltä

10. Rekisteröidyn oikeudet

Rekisteröidyllä on oikeus saada rekisterinpitäjän vahvistus siitä, käsitelläänkö rekisteröidyn henkilötietoja vai ei, tai onko niitä käsitelty.

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja, rekisteröidyllä on oikeus saada tämän asiakirjan tiedot sekä jäljennös käsiteltävistä ja käsitellyistä henkilötiedoista.

Rekisterinpitäjä voi periä kohtuullisen hallinnollisen maksun rekisteröidyn pyytämistä lisäjäljennöskappaleista. Mikäli rekisteröity tekee pyynnön sähköisesti, eikä hän ole pyytänyt muuta toimitusmuotoa, tiedot toimitetaan yleisesti käytössä olevassa sähköisessä muodossa edellyttäen, että tiedot voidaan toimittaa tietoturvallisella tavalla.

Rekisteröidyllä on myös oikeus pyytää rekisterinpitäjää oikaisemaan tai poistamaan henkilötietojaan ja hän voi kieltää henkilötietojensa käsittelyn suoramarkkinointitarkoituksiin.

Tietosuoja-asetuksen soveltamisen alettua rekisteröidyllä on myös tietyissä tilanteissa oikeus pyytää henkilötietojensa käsittelyn rajoittamista tai muuten vastustaa käsittelyä. Lisäksi rekisteröity voi pyytää itse toimittamiensa tietojen siirtoa koneluettavassa muodossa tietosuoja-asetukseen perustuen.

Kaikki tässä mainitut pyynnöt tulee toimittaa yllämainitulle rekisterinpitäjän yhteyshenkilölle.

Mikäli rekisteröity katsoo, ettei hänen henkilötietojensa käsittely ole lainmukaista, hänellä on oikeus tehdä asiassa valitus valvontaviranomaiselle.

11. Oikeus peruuttaa suostumus

Mikäli rekisterinpitäjä käsittelee rekisteröidyn henkilötietoja suostumuksen perusteella, rekisteröidyllä on oikeus peruuttaa suostumuksensa. Suostumuksen peruuttaminen ei vaikuta ennen sen peruuttamista suoritetun suostumusperusteisen käsittelyn lainmukaisuuteen. Suostumuksen peruuttaminen voi kuitenkin vaikuttaa palvelun käytettävyyteen ja toiminnallisuuksiin.

12. Miten rekisterin suojaus on järjestetty

Rekisterinpitäjä käsittelee henkilötietoja turvallisella ja lainsäädännön vaatimukset täyttävällä tavalla. Se on huolellisesti arvioinut käsittelytoimiin liittyvät mahdolliset riskit ja ryhtynyt tarvittaviin toimenpiteisiin näiden riskien hallitsemiseksi.

Rekisterinpitäjä on suojannut tiedot asianmukaisesti teknisesti ja organisatorisesti. Rekisterin suojauksessa käytetään mm. seuraavia keinoja:

  • laitteistojen ja tiedostojen suojaus
  • kulunvalvonta
  • käyttäjien tunnistus
  • käyttövaltuudet
  • käyttötapahtumien rekisteröinti
  • käsittelyn ohjeistus ja valvonta

Rekisterinpitäjä edellyttää myös alihankkijoiltaan ja muilta yhteistyökumppaneiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.