Tietosuoja

Asiakasrekisteriä koskeva tietosuojaseloste

Tässä tietosuojaselosteessa kerromme, miten Hypo-konsernissa käsittelemme EU:n yleisen tietosuoja-asetuksen 2016/679 ja muiden tietosuojavaatimusten mukaisesti luonnollisten henkilöiden (rekisteröity) henkilötietoja.

Rekisterin rekisteröityjä ovat Suomen Hypoteekkiyhdistyksen (Hypo) ja Suomen Asuntohypopankki Oy:n  (AHP) asiakkaat. Rekisteröity voi olla yksityishenkilö tai sellainen yhteisön puolesta toimiva henkilö, jonka edustama yhteisö käyttää joitakin Hypon tai AHP palveluita.

Rekisterinpitäjä ja rekisterinpitäjän yhteystiedot

Asiakasrekisterin (henkilörekisteri) osalta rekisterinpitäjinä toimivat Hypo ja AHP.

Hypo ja AHP kuuluvat Hypo-konserniin ja toimivat yhteisrekisterinpitäjinä:

  • Hypo on rekisterinpitäjä lainaamiseen, lainahoitoon ja laina-asiakkaiden notariaattitoimeksiantoihin sekä Hypon, AHP:n ja/tai Suomen Hypoteekkiyhdistyksen Eläkesäätiö s.r.:n (Eläkesäätiö) asuntojen ostamiseen, myymiseen ja vuokraamiseen liittyvien henkilötietojen osalta ja
  • AHP on rekisterinpitäjä tileihin, talletuksiin ja niiden käyttöön, verkkopankkitunnuksiin, tonttinotariaattitoimintaan, notariaattitoimeksiantoihin ja muihin AHP:lle sallittuihin liiketoimiin liittyvien henkilötietojen osalta.

Hyposta ja AHP:stä yhdessä käytetään tässä tietosuojaselosteessa nimitystä ”rekisterinpitäjä” ja rekistereistä nimitystä ”rekisteri”.

Rekisterinpitäjän yhteystiedot:

  •  Postiosoite: Yrjönkatu 9 A, 00120 Helsinki
  •  Yhteyshenkilö: Tietosuojavastaava
  •  Puhelinnumero: 09 – 228 361

Tietosuojavastaava

Hypo-konsernilla on yhteinen tietosuojavastaava. Tietosuojavastaavana toimii Ulla-Maija Niemi

  •  Postiosoite: Yrjönkatu 9 A, 00120 Helsinki
  •  Puhelinnumero: 09 – 228 361
  •  Sähköpostiosoite: ulla-maija.niemi(at)hypo.fi.

Millä oikeusperusteilla käsittelemme henkilötietoja?

Käytämme henkilötietoja, jotta voimme tehdä tarjouksia, tarjota palvelua ja neuvontaa sekä täyttää sopimusten ja lakisääteisten velvoitteiden vaatimukset.

Alla käyttämämme oikeusperusteet ja esimerkkejä kullakin perusteella suoritettavasta käsittelystä:

Sopimus

Esimerkki:

Rekisterinpitäjän ja rekisteröidyn välinen sopimus tai sopimuksen tekemistä edeltävät toimet kuten tili-tai luottosopimus tai sen tekemiseen perustuvat toimenpiteet.

Suostumus

Esimerkki:

Rekisteröidyn sopimuksen, hakemuksen tai muun palvelupyynnön yhteydessä antama nimenomainen suostumus kuten suoramarkkinointia koskevat suostumukset.

Laissa säädetyt vaatimukset ja velvoitteet

Esimerkki:

Rekisterinpitäjän lakisääteinen vaatimus kerätä ja säilyttää rekisteröidyn tunnistamis-, todentamis- ja tuntemistiedot sekä riskienhallinnallinen vaatimus kerätä ja säilyttää sopimuksen ja asiakaspalvelun edellyttämät muut tarpeelliset tiedot.

Väärinkäytösrekisterin osalta henkilötietojen käsittely perustuu rekisteröidyn rekisterinpitäjää tai muuta luottolaitosta kohtaan tekemään rikokseen tai sellaiseen rikosepäilyyn, josta on ilmoitettu esitutkintaviranomaiselle taikka syyttäjälle.

Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu

Esimerkki: Tuotteiden ja palvelujen kehittäminen ja markkinointi sekä tuote- ja asiakasanalyysit

Oikeusperusteen ollessa oikeutettu etu, rekisterinpitäjä huolehtii siitä, että käsittely on oikeasuhteista rekisteröidyn etuihin nähden ja vastaa rekisteröidyn kohtuullisia odotuksia. Oikeutettu etu perustuu useimmiten rekisteröidyn ja rekisterinpitäjän väliseen asiakassuhteeseen.

Ketkä käsittelevät henkilötietoja?

Henkilötietoja käsittelee Hypo sekä omasta että AHP:n puolesta näiden yhtiöiden välisen kirjallisen palvelusopimuksen nojalla.

Lisäksi henkilötietoja käsittelevät kirjallisten palvelusopimusten nojalla

itsenäisinä rekisterinpitäjinä toimivat: tilintarkastusyhteisö lakisääteisten tilintarkastuspalveluiden, korttipalveluyhtiö luottokorttien, yhteistyölainakumppanit erityisehtoisten lainatuotteiden, yhteistyökumppanina toimiva vakuutusyhtiö lainaturvatuotteiden ja vakuutuspalvelukumppani rekisterinpitäjään kohdistuvien rikosten osalta

  •  käsittelijänä väärinkäytösrekisterin osalta toimiva luottotietoyhtiö ja
  •  käsittelijöinä rekisterinpitäjän käyttämät järjestelmätoimittajat, alihankkijat ja palveluntuottajat.

Mihin tarkoitukseen henkilötietoja käsitellään?

Finanssialan toiminta edellyttää henkilötietojen käsittelyä. Rekisterinpitäjän asiakasrekisteriin kuuluu esimerkiksi luottolaitos- ja kiinnitysluottopankkitoiminnan edellyttämä henkilötietojen käsittely.

Henkilötietojen käsittelyn tarkoituksena on

  •  rekisteröityjen yksilöiminen ja yhteystietojen hallinta
  •  tuotteiden ja palveluiden myynti ja markkinointi
  • rekisterinpitäjän yhteistyökumppanina toimivan korttipalveluyhtiön luottokorttien myynti ja markkinointi sekä luottokorttihakemusten välittäminen korttipalveluyhtiölle
  • rekisterinpitäjän yhteistyökumppanina toimivan vakuutusyhtiön asuntolainaan liittyvien lainaturvaan ja vakavan sairauden turvaan liittyvien vakuutusten myynti ja markkinointi
  •  asiakaspalvelu ja asiakassuhteen hoito ja kehittäminen
  •  asuntojen ja tonttien ostamiseen, myyntiin ja vuokraamiseen liittyvien tehtävien ja palveluiden hoito
  • asiakastyytyväisyys-, käytettävyys- ja muiden vastaavien tutkimusten tekeminen mm. toimihenkilöiden suoriutumisen arviointia varten
  •  liiketoiminnan, tuotteiden ja palveluiden kehittäminen sekä niihin liittyvä laadunvarmistus ja testaus
  •  sisäinen valvonta ja riskienhallinta
  •  lakiin perustuvien sekä viranomaisten määräysten ja ohjeiden mukaisten velvoitteiden hoitaminen.
  •  palveluiden turvallisuuden varmistaminen
  •  väärinkäytösten estäminen ja selvittäminen

Asiakasrekisterin mukaisia henkilötietoja voidaan lisäksi käsitellä ja käyttää

  •  asiakaspalvelun kehittämiseen ja laadunvalvontaan sekä henkilöstön kouluttamiseen ja
  • markkinointiin ja sähköiseen suoramarkkinointiin kampanjarekisteriä koskevan tietosuojaselosteen mukaisella tavalla.
  • asiakkaan tuntemistietoja ja rekisteröidyn muita henkilötietoja voidaan käyttää rahanpesun ja terrorismin rahoittamisen estämiseen, paljastamiseen ja selvittämiseen sekä rahanpesun ja terrorismin rahoittamisen ja sen rikoksen, jolla rahanpesun ja terrorismin rahoittamisen kohteena oleva omaisuus tai rikoshyöty on saatu, tutkintaan saattamista varten sekä sen selvittämiseen, onko henkilö rekisterinpitäjän noudattamien kansainvälisten pakotteiden kohteena.

Mitä henkilötietoja tallennamme ja käsittelemme?

Asiakasrekisteriin tallennetaan ja siellä käsitellään henkilötietoja rekisteröidyistä, joilla on tai on ollut rekisterinpitäjään

  • joko sopimukseen perustuva asiakassuhde, joka koskee esim. tiliä, luottoa, palvelu- tai muuta sopimusta, vuokrasopimusta, toimeksiantoa
  • tai asiakassuhteeseen liittyvä osallisuus, velvoite tai muu oikeus sopimukseen, palveluun tai toimeksiantoon.

Asiakasrekisterissä on rekisteröidyistä seuraavat tiedot:

  1. Perustiedot, kuten

Henkilöasiakas:

  •  henkilötunnus, syntymäaika, nimitiedot
  •  äidinkieli
  •  lähiosoite, postinumero ja postitoimipaikka
  •  sopimus- tai palvelukohtainen osoite
  •  puhelinnumerot, telefaxnumerot, sähköpostiosoitteet

Yhteisöasiakas:

  •  Yhteisön puolesta toimivien henkilöiden yksilöintitiedot sekä tieto yhteydestä yhteisöön

B Tuntemistiedot ja muut lainsäädäntövelvoitteiden täyttämisen edellyttämät tiedot kuten

  • rahanpesun ja terrorismin selvittämisessä ja estämisestä annetun lain velvoitteiden täyttämisen edellyttämät tiedot
  •  verosopimuksiin perustuvan automaattisen tietojen vaihdon edellyttämät tiedot ja
  •  luottolaitostoiminnasta annetun lain mukaisen väärinkäytösrekisterin edellyttämät tiedot

C Asiakkuuteen liittyvät tiedot

asiakkuuden yksilöintiin liittyvät tiedot, kuten asiakkuuden alkamisajankohta, asiakkuuden luonne ja asiakashistoria

  1. Sopimustiedot

Rekisteröidyn tekemään tuote- ja palvelukohtaiseen sopimukseen liittyvät tiedot, kuten luottosopimusten osalta:

  • luottosopimuksen tehneen asiakkaan luottokelpoisuuden arviointiin liittyvät tiedot kuten tulo- ja vastuutiedot
  • luottosopimuksen tiedot kuten luoton numero, saldo ja korkotiedot ja
  • luottosopimukseen liittyvän vakuuden tiedot kuten vakuutta koskevan sopimuksen numero ja vakuutena olevan asunnon osoite
  1. Rekisteröidyn tuotteen tai palvelun käyttötiedot sekä asiointitiedot
  •  tilin, luoton tai muun sovitun palvelun käytöstä syntyneet henkilötiedot ja
  •  erimuotoiset tallenteet ja viesti, joissa rekisteröity on osapuolena, esimerkiksi puhelutallenteet
  •  asiakassuhteen hoitamiseen liittyvät tapahtumat ja tehtävät
  1. Rekisteröityjen asiakastyytyväisyyteen tai muuhun palveluiden käyttöön liittyvät palautteet ml. asiakasvalitukset ja reklamaatiot
  1. Tekniset tunnistamistiedot kuten laitteen tai sovelluksen määrittämä tunniste
  1. Evästeet ja muut käyttäytymistiedot
  • verkkokäyttäytymisen ja palveluiden käytön seuraus esimerkiksi evästeiden kautta. Kerättyjä tietoja voivat olla esim. selaillut sivut, käytetyn laitteen malli ja sijainti, yksilöllinen laite- ja/tai evästetunniste, käytetty kanava, selaimen versio, IP-osoite, istuntotunniste, istunnon aika ja kesto
  1. Erityiset henkilötietoryhmät
  • Tietosuoja-asetuksen 9 artiklassa määritellyt henkilötietojen erityisryhmät. kuten ammattiliiton jäsenyys tai toimintakelpoisuuden rajoittamista koskeva tieto.

Mistä henkilötietoja hankitaan?

Henkilötietoja hankitaan ensi sijassa rekisteröidyltä itseltään. Lisäksi henkilötietoja hankitaan kolmansien osapuolten pitämistä rekistereistä, kuten

  •  Digi- ja väestötietovirastolta
  •  Luottotietoyhtiöltä
  •  Maanmittauslaitokselta
  •  Patentti- ja rekisterihallitukselta ja
  •  muista viranomaisten pitämistä rekistereistä lain sallimissa rajoissa.

Kenelle henkilötietoja luovutetaan?

Palveluiden tarjoaminen, sopimuksien noudattaminen ja sääntely edellyttävät henkilötietojen luovuttamista. Varmistamme aina ennen henkilötietojen luovuttamista, että noudatamme kulloinkin soveltuvia finanssialan salassapitovelvoitteitaan. Henkilötietoja voidaan luovuttaa

  • samaan konsolidointiryhmään kuuluville yhteisöille
  • osakkuusyhteisöille, jos se on riskienhallinnan kannalta tarpeen, ja
  • rekisterinpitäjän lukuun toimiville henkilötietojen käsittelijöille kirjallisten sopimusten nojalla
  • yhteistyökumppaneille, joiden kanssa rekisterinpitäjä tekee yhteistyötä voidakseen tarjota tiettyjä tuotteita ja palveluita.

Hypo luovuttaa useiden eri lakien ja viranomaismääräysten nojalla henkilötietoja useille eri viranomaisille erilaisten raporttien ja viranomaisten tekemien tiedustelujen sekä tarkastusten muodossa, johdosta tai yhteydessä, kun tietojen luovuttamiseen on lakisääteinen peruste.

Muilta osin henkilötiedot ovat luottamuksellisia eikä niitä luovuteta kolmannelle osapuolelle ilman rekisteröidyn nimenomaista pyyntöä ja suostumusta.

Henkilötietojen siirtäminen Euroopan Unionin tai Euroopan Talousalueen ulkopuolelle

Rekisterinpitäjä käyttää alihankkijoita henkilötietojen käsittelyssä tarjotessaan palveluja ja tuotteita. Rajatusti henkilötietoja siirretään myös Euroopan talousalueen ulkopuolisissa eli niin kutsutuissa kolmansissa maissa toimiville organisaatioille. Tällaisia tiedonsiirtoja voidaan toteuttaa käyttäen EU-komission mallisopimuslausekkeita tai muuta lainsäädännön sallimaa siirtomekanismia.

Kuinka kauan henkilötietoja säilytetään?

Henkilötietoja säilytetään niin kauan kuin se on tarpeen, kuitenkin enintään laissa säädetty enimmäisaika.

Rekisteröidyn kanssa tehdyn sopimuksen tiedot poistetaan noin kymmenen vuoden kuluttua sopimuksen päättymisestä. Asiakassuhteen tiedot, kuten esimerkiksi asiakkaan tuntemiseen liittyvät tiedot, poistetaan tai anonymisoidaan noin kymmenen vuoden kuluttua viimeisen sopimuksen päättymisestä.

Riskienhallinnallisista syistä säilytysaika voi olla erityisestä syystä pidempi kuin 10 vuotta.

Automatisoitu päätöksentekojärjestelmä

Rekisterinpitäjällä ei ole käytössään automaattista päätöksentekojärjestelmää.

Profilointi

Profiloinnilla tarkoitetaan henkilötietojen automaattista käsittelyä, jossa henkilötietoja käyttämällä arvioidaan, analysoidaan ja ennakoidaan luonnollisen henkilön henkilökohtaisia ominaisuuksia kuten taloudellista tilannetta ja kykyä vastata velkasitoumuksista.

Rekisterinpitäjä voi profiloida rekisteröityjä muodostaessaan rekisteröidyistä kohderyhmiä asiakastyytyväisyystutkimuksia, markkinointia ja suoramarkkinointia varten kampanjarekisteriä koskevan tietosuojaselosteen mukaisella tavalla.

Henkilörekisterin tekniset ja organisatoriset turvatoimet

Henkilörekisteri on suojattu asianmukaisilla teknisillä ja organisatorisilla turvatoimilla. Rekisterin suojauksessa käytetään muun muassa seuraavia keinoja:

  • laitteistojen sijainti ja suojaus
  •  kulunvalvonta
  •  henkilörekisterin muodostavat tiedostot on suojattu asianmukaisesti
  •  henkilörekisteriin pääsy on rajoitettu käyttäjätunnuksilla ja käyttövaltuuksilla
  • henkilötietojen käsittelijät tunnistetaan, heidän tekemät tapahtumat lokitetaan ja heidän käsittelytoimia valvotaan ja
  • henkilörekisterin henkilötietoja voivat käsitellä vain nimetyt henkilötietojen käsittelijät työtehtäviensä mukaisessa laajuudessa ja rekisterinpitäjän antamien ohjeiden mukaisella tavalla.

 

Rekisterinpitäjä edellyttää myös alihankkijoiltaan käsiteltävien henkilötietojen asianmukaista suojaamista.

Henkilötietoja koskevat tiedustelut ja pyynnöt

Rekisteröity voi tehdä tässä tietosuojaselosteessa jäljempänä kuvattuja tiedusteluja tai pyyntöjä maksutta.

Rekisteröidyn tiedusteluun tai pyyntöön voidaan vastata vain, jos rekisteröity voidaan luotettavasti tunnistaa tiedustelun tai pyynnön esittämishetkellä. Tiedustelun tai pyynnön voi tehdä

  • asioimalla Hypon konttorissa, jolloin tiedustelun esittäjä voidaan konttorissa tunnistaa hyväksytyistä henkilöllisyyden osoittavista asiakirjoista tai
  • lähettämällä tiedustelun www-sivulla turvatulla asiakasviestillä osoitteessa hypo.fi tai Hypon verkkopankissa asiakasviestillä, jolloin pyynnön esittäjä tunnistetaan verkkopankkitunnuksilla.

Jos rekisteröidyn tiedustelut tai pyynnöt ovat toistuvia, ilmeisen perusteettomia tai kohtuuttomia, rekisterinpitäjä voi periä tiedusteluun vastaamisesta kohtuullisen maksun tai kieltäytyä vastaamasta pyyntöön.

Tietosuojatiedustelut

  • rekisteröity voi tiedustella, mitä henkilötietoja hänestä on rekisteröity. Oikeutta saada tieto voidaan kuitenkin rajoittaa lainsäädännön, muiden henkilöiden suojan tai liiketoiminnan käytäntöjen nojalla.

Oikaisut, poistot ja täydentäminen

  • rekisteröity voi vaatia rekisterissä olevan, häntä koskevan virheellisen tiedon oikaisemista, poistamista tai täydentämistä.

Käsittelyn rajoittaminen tai kieltäminen

  • rekisteröity voi kieltää rekisterinpitäjää käsittelemästä rekisteröityä itseään koskevia tietoja esim. perinteiseen markkinointiin.

rekisteröity voi milloin tahansa peruuttaa rekisterinpitäjälle verkkopalveluiden lomakkeiden käytön yhteydessä tai muulla tavalla antamansa suostumuksen esim. sähköpostin käyttöön tai sähköiseen suoramarkkinointiin.

Henkilötietojen siirto

  • rekisteröity voi pyytää henkilötietojensa siirtämistä järjestelmästä toiseen. Siirtopyyntö voi koskea vain sellaisia rekisteröidyn sähköisessä muodossa rekisterinpitäjälle itsestään toimittamia tietoja, joiden käsittely suoritetaan automaattisesti tai tietoja, jotka ovat syntyneet rekisteröidyn käyttäessä rekisterinpitäjän palveluita. Lisäedellytyksenä siirtopyynnön toteuttamiselle on, että tiedot voidaan toimittaa rekisteröidylle sähköisessä muodossa.

Oikeussuojakeinot

Henkilötietoihin liittyvissä asioissa tulee ensisijaisesti olla yhteydessä rekisterinpitäjään.

Rekisteröity voi halutessaan olla yhteydessä Tietosuojavaltuutetun toimistoon, jos rekisteröity katsoo, että rekisterinpitäjä ei noudata tietosuoja-asetusta tai muita tietosuojaan liittyviä lakeja tai viranomaismääräyksiä. Tietosuojavaltuutetun toimisto ohjaa, valvoo ja antaa neuvoja henkilötietojen käsittelystä.

 

Tietosuojavaltuutetun toimiston yhteystiedot ovat:

  •  Käyntiosoite: Ratapihantie 9, 6. krs, 00520 Helsinki
  •  Postiosoite: PL 800, 00521 Helsinki
  •  Vaihde: 029 56 66700
  •  Faksi: 029 56 66735
  •  Sähköposti: tietosuoja(at)om.fi