S-gruppens ägarkunds- och kundregister

S-gruppens ägarkunds- och kundregister DATASKYDDSBESKRIVNING (träder i kraft 1.9.2020) Europeiska Unionens dataskyddsförordning (EU) 2016/679, artiklarna 12, 13, 14 och 19

1. Personuppgiftsansvarig

Centrallaget för Handelslagen i Finland SOK Postadress: PB 1, 00088 S-GRUPPEN S-gruppens ägarkundstjänst: 010 76 5859 Besöksadress: Flemingsgatan 34, 00510 Helsingfors FO-nummer 0116323-1

2. Dataskyddsombudets kontaktuppgifter

tietosuojavastaava@sok.fi

3. Person som handlägger registerärenden

Leena Tikkanen, tietosuoja.asiakkuus@sok.fi

4. Registrets namn

S-gruppens ägarkunds- och kundregister

5. Användningssyften för personuppgifter

Personuppgifter behandlas för att producera S-gruppens ägarkundssystem och därtill hörande tjänster och förmåner, hantera ägarkundsrelationer och övriga privatkundsrelationer, direktmarknadsföring, producera inriktat och personligt innehåll samt planera och utveckla S-gruppens affärsverksamhet och för analyser, profilering och opinions- och marknadsundersökningar som görs för detta.

I registret upprätthålls handelslagens medlemsförteckningar enligt lagen om andelslag.

Personuppgifter kan behandlas i S-gruppens sammanslutningar och användas för marknadsföringsändamål av S-gruppens sammanslutningar och samarbetspartner i enlighet med dataskyddsförordningen.

S-gruppen avser handelslagen och SOK-koncernen med dotter- och andelsbolag.

6. Grund för behandlingen av personuppgifter

Personuppgifter behandlas på följande grunder:


Art. 6.1 b) Avtal


Handelslagets medlemsadministration

Produktion av S-gruppens ägarkundssystem och därtill hörande tjänster och förmåner samt hanterande av ägarkundsrelationer

Kundkommunikation och inriktning av marknadsföring och reklam som anknyter till ägarkundssystemet

Användaradministration i webb- och mobiltjänster

Genomförande av rätt till personalrabatt


Art 6.1 a) Samtycke


Elektronisk direktmarknadsföring (inklusive sms)

Inriktning och skickande av meddelanden från mobiltjänster utifrån produktidentifiering i mobila enheter

Hantering av övriga privatkundsrelationer och inriktning av marknadsföring och reklam


Art 6.1 c) Rättslig förpliktelse

Upprätthållande av handelslagets offentliga medlemsförteckning enligt lagen om andelslag

Utlämnande av uppgifter till skattemyndigheterna enligt skattelagstiftningen

Utlämnande av uppgifter till myndigheter som svar på lagstadgade begäran om information


Art. 6.1 f) Berättigat intresse

Planering och utveckling av S-gruppens affärsverksamhet, till exempel analys, kundsegmentering och profilering samt opinions- och marknadsundersökningar

Utlämnande av uppgifter till sammanslutningar inom S-gruppen.

Direktmarknadsföring (traditionell direktmarknadsföring och profilering samt inriktning av reklam i kanaler utanför S-gruppen).

7. Beskrivning av den personuppgiftsansvariges berättigade intresse

Det berättigade intresset har bedömts utifrån att S-gruppen är ett kooperativ som ägs av ägarkunderna. Det är frivilligt och öppet att ansluta sig till ägarkundssystemet som omfattar hela S-gruppen. Syftet med verksamheten är att genom affärsverksamhet producera kundorienterade, betydelsefulla och kostnadseffektiva tjänster och förmåner för ägarkunderna, och på så sätt främja ägarkundernas ekonomiska välfärd. Analys av köpbeteende, beräkning av kundprofiler samt därtill hörande direktmarknadsföring och inriktning av innehåll samt opinions- och marknadsundersökningar är centrala metoder för att uppnå detta mål. Vi ser till att behandlingen på grund av berättigat intresse är proportionell mot den registrerades förmåner och motsvarar den registrerades berättigade förväntningar.

Kunden har rätt att motsätta sig behandling av personuppgifter utifrån berättigat intresse genom att förbjuda insamling av mer detaljerade köpuppgifter än kvittots slutsumma, kundkategorisering och profilering, opinions- och marknadsundersökningar, direktmarknadsföring samt inriktning av reklam i kanaler utanför S-gruppen. Man kan meddela om förbuden via Oma S-kanava eller genom att kontakta personuppgiftsansvarig.

8. Personuppgifter som behandlas

Vi behandlar uppgifter om följande kunder:

  • ägarkunder: personer som är eller har varit medlemmar i ett handelslag
  • personer som ingår i ett ägarkundshushåll: personer som ingår eller har ingått i ett ägarkundshushåll, men som inte själv är medlemmar i ett handelslag
  • övriga kunder: personer som inte ingår i ett ägarkundshushåll, men som har beställt någon tjänst som produceras utifrån S-gruppens ägarkunds- och kundregister, till exempel en S-kod eller elektroniska nyhetsbrev.

Vi behandlar följande giltiga och/eller inte längre giltiga uppgifter enligt tabellen nedan. Uppgifterna har specificerats nedanför tabellen.



Ägarkund

Person som ingår i ägarkundshushåll

Övrig kund

Grundläggande uppgifter om en person

X

X

X

Kontaktuppgifter

X

X

X

Personaluppgifter

X

X


Uppgifter om medlemskap i handelslag

X



Faktureringspartner som ger Bonus

X

X


Uppgifter om ägarkundshushåll

X

X


Utbetalningskonto för förmåner

X



S-Förmånskort

X

X


Koder

X

X

X

Kundgrupper

X

X

X

Beställningar, aktiverade tjänster och uppgifter om användningen av tjänsterna

X

X

X

Uppgifter om tillstånd och förbud

X

X

X

Köpuppgifter, uppgifter om utbetalade förmåner och rabatter

X

X


Kundens digitala fotspår

X

X

X

Uppgifter om handel i webbutiker

X

X

X

9. Kategorier av personuppgifter som behandlas

II registret kan man behandla till kunden anknutna, i nedanstående tabell angivna uppgifter som antingen är aktuella eller har upphört att gälla och som specificeras närmare efter tabellen:

ÄgarkundI ägarkundshushållet ingående personÖvrig kund
Personuppgifterxxx
Kontaktuppgifterxxx
Personaluppgifterxx
Handelslagens medlemsuppgifterx
Faktureringspartner som beviljar Bonusxx
Uppgifter om ägarkundshushålletxx
Inbetalningskonto för förmånerx
S-Förmånskortetxx
Identifikationerxxx
Kundgrupperxxx
Beställningar, i bruk tagna tjänster och data rörande användning av tjänsterxxx
Spärrade tjänsterxx
Uppgifter om inköp, information om utbetald Bonus, Tankningsbonus och betalningssättsförmånxx
Kundens digitala fotavtryckxxx
Uppgifter anknutna till handlande på webbutikerxxx

Grundläggande uppgifter om en person:

  • för- och efternamn, personbeteckning, födelsedatum, kön, språk, spärrmarkering
  • kundrelationens startdatum och giltighetstid
  • uppgifter om förbud och uppdateringar som erhållits från befolkningsdatasystemet och tjänsteleverantörer

Kontaktuppgifter:

  • fast postadress, tillfällig postadress, hemkommun, mobiltelefon, annan telefon, e-postadress

Personaluppgifter:

  • information om rätt till rabatt för anställda inom S-gruppen

Uppgifter om medlemskap i handelslag:

  • handelslaget som medlemskapet gäller, medlemsnummer, medlemskapets status, medlemskapets start- och slutdatum, handelslaget där anslutningen genomfördes
  • insatsens status, betalad insats, dagen då insatsen betalades till fullo och betalningar
  • information om räntor som betalats på insatsen, information om återbäring av överskott

Faktureringspartner som ger Bonus:

  • registreringar hos samarbetsföretag som ger Bonus, giltighetstid

Uppgifter om ägarkundshushåll:

  • ägarkundshushållets huvudmedlem, personer som ingår i samma ägarkundshushåll som huvudmedlemmen

Utbetalningskonto för förmåner:

  • utbetalningskontots kontonummer och kontotyp

S-Förmånskort:

  • kortets nummer, korttyp, kortets giltighetstid, orsak till spärrning av kortet
  • uppgifter om vart bonusinköp som gjorts med ett kort i ett ägarkundshushåll kopplas
  • uppgifter om utifrån vilket medlemskap i ett handelslag kortet har beställts

Koder:

  • S-kod, Kundnummer

Kundgrupper:

  • kundens kundgrupperingar (t.ex. grupperingar i anslutning till användningen av digitala tjänster, huvudsakligt Sokos-inköpsställe och kundklass, dagligvaru- och ABC-segment)
  • uppgifter om kundens deltagande som föreningars eller andra sammanslutningars supportrar

Beställningar, aktiverade tjänster och uppgifter om användningen av tjänsterna:

  • uppgifter om beställda/aktiverade tjänster (bl.a. nyhetsbrev, Ässäraati, S-mobil, elektroniska kassakvitton)
  • uppgifter som kunden angett i tjänsten, uppgifter som uppkommit genom användning av tjänsten
  • uppgifter om den personuppgiftsansvariges kontakter till kunden i samband med hantering av kundrelationen

Uppgifter om tillstånd och förbud:

  • marknadsföringstillstånd till e-post, marknadsföringstillstånd till en mobil enhet
  • förbud mot direktmarknadsföring, förbud mot telefonförsäljning, Puhelin-Robinson, Posti-Robinson, förbud mot enkäter, förbud mot mer detaljerade köpuppgifter än slutsumman på kvittot, förbud mot analys och profilering, förbud mot inriktat innehåll i kanaler utanför S-gruppen, förbud mot elektroniska nyhetsbrev
  • förbud mot skickande av Samarbete, förbud mot annan direkt post

Köpuppgifter, uppgifter om utbetalade förmåner och rabatter:

  • numret på S-Förmånskortet som berättigar till ägarkundsförmåner eller medlems-/kundnummer, köpdatum, klockslag, köpställe, kortets användningssätt, uppgifter om inköp enligt slutsumman på kvittot och/eller på produktnivå
  • utbetalad Bonus, Tankningsbonus och betalningssättsförmån
  • erhållen personalrabatt
  • elektroniska garantikvitton, elektroniska kvitton

Kundens digitala fotspår

  • uppgifter om webbplatser och mobiltjänster som den inloggade kunden använder
  • uppgifter om användningen av aktiverade digitala tjänster (t.ex. webb- och mobiltjänster) som identifierad
  • uppgifter som insamlats från cookies om webbplatser och mobiltjänster som kunden använder

Uppgifter om handel i webbutiker

  • uppgifter om sparad varukorg, uppgifter om beställningar och leveranser
  • historik för kontakter med webbutikens kundtjänst och inspelningar av samtal

9. Uppgiftskälla, beskrivning av uppgiftskällorna, om uppgifterna har samlats in från offentliga källor

Uppgifter insamlas från ägarkundsavtalet som kunden själv ingår och från kunden själv per telefon, från internet, per e-post eller på motsvarande sätt samt genom användningen av tjänster. Uppdateringar av uppgifter om namn, adresser, mobiltelefonnummer och dödsfall kan även fås av myndigheter och företag som tillhandahåller uppdateringstjänster. Uppgifter om förbud i Puhelin-Robinson och Posti-Robinson fås av Suomen Asiakkuusmarkkinointiliitto r.y. Personaluppgifter och uppgifter om rätt till rabatt hämtas från S-gruppens register över anställda. Grundläggande uppgifter om kunden, som namn- och adressuppgifter, elektroniska kontaktuppgifter samt uppgifter om tillstånd och förbud uppdateras i registret när kunden uppdaterar dem antingen till företag som ingår i S-gruppen eller på S-Banken.

Uppgifter om användningen av S-Förmånskortet fås från kassasystem hos sammanslutningar som hör till S-gruppens ägarkundssystem och samarbetspartner som ger S-gruppens Bonus. Dessutom kan uppgifter fås från samfund som ingår i S-gruppen samt samarbetspartner som ingår i ägarkundssystemet och vars tjänster kunden identifierar sig i med S-förmånskortet eller andra koder som getts till kunden.

10. Mottagare av personuppgifter

Till skattemyndigheterna utlämnar SOK uppgifter om ränta på insatsen som betalts till en medlem i handelslaget och uppgifter om kapitalåterbäringar till medlemmar som utträtt. SOK kan utlämna uppgifter inom ramen för vad den gällande lagstiftningen tillåter och förutsätter t.ex. som svar på myndigheternas begäran om uppgifter. SOK utlämnar kundernas uppdaterade grunduppgifter till S-Banken om kunden även är S-Bankens kund. På uppdrag av kunden utlämnar SOK uppgifter om kundens ägarkundsrelation till de samarbetsparter som beviljar S-gruppens Bonus.

11. Överföring av personuppgift till tredjeland eller till internationell organisation

Vi använder underleverantörer vid behandlingen av personuppgifter, och uppgifter överförs i begränsad utsträckning till länder utanför Europeiska unionen (EU) eller Europeiska ekonomiska samarbetsområdet (EES). Tekniskt underhåll av kunddatasystem kan med beaktande av förutsättningarna i dataskyddslagstiftningen utföras även utanför EU eller EES med hjälp av fjärranslutning.

Personuppgifter överförs utanför EU och EES, om det är nödvändigt för att genomföra teknisk behandling av personuppgifterna. Vår servicepartner inom underhåll eller teknisk support har genom adekvata avtal förbundit sig till EU:s modellavtal.

Personuppgifter överförs inte till internationella organisationer.

12. Lagringstid för personuppgifter

Personuppgifterna lagras endast så länge det är nödvändigt. Personuppgifterna i registret lagras åtminstone så länge kundens kundrelation eller avtalsförhållande består. Föråldrade uppgifter raderas regelbundet från registret. Köpuppgifter och uppgifter om utbetald Bonus och betalningssättsförmåner raderas efter 5 år. Uppgifter om tidigare grundläggande kunduppgifter, tillstånd, förbud, beställningar och ägarkundshushåll raderas efter 2 år. Uppgifter om medlemskap i handelslaget och insatsbetalningar raderas när det har gått 6 år sedan utgången av räkenskapsåret för den sista penningtransaktionen. Uppgifter om kundgrupper och profilering raderas efter 8 år.

13 Den registrerades rättigheter

Kunden har följande rättigheter:

  • Rätt till tillgång
  • Rätt till rättelse
  • Rätt till radering (när samtycke är grund för behandlingen eller det inte finns en rättslig motivering för lagringen)
  • Rätt till begränsning av behandling (bestrida att uppgifterna är korrekta eller olaglig behandling)
  • Rätt till motsättning av behandling (direktmarknadsföring eller behandling utifrån annat berättigat intresse)
  • Rätt till återkallande av samtycke
  • Rätt till överföring av uppgifterna från ett system till ett annat (gällande automatisk behandling)
  • Rätt att få information om en personuppgiftsincident

Om en person vill utöva sina rättigheter eller få mer information om behandlingen av sina personuppgifter kan han eller hon kontakta den personuppgiftsansvarige som anges i denna dataskyddsbeskrivning. Personen har också rätt att lämna in ett klagomål till tillsynsmyndigheten, om han eller hon anser att vi bryter mot de tillämpliga bestämmelserna om dataskydd vid behandlingen av personuppgifterna.

14. Följder av att personuppgift inte lämnas vid avtal

En förutsättning för att bli ägarkund och ansluta sig S-gruppens ägarkundssystem är att de uppgifter som krävs för ingående av avtal (namn, adress, en av Finlands folkbokföring given personbeteckning eller födelsedatum) lämnas. Om personuppgifter inte lämnas kan ett avtal inte ingås.

En förutsättning för anslutning till ett ägarkundshushåll och S-gruppens ägarkundssystem är att de uppgifter som krävs för ingående av avtal (namn, adress, en av Finlands folkbokföring given personbeteckning eller födelsedatum) lämnas.

En förutsättning för de tjänster som produceras utifrån uppgifterna i registret är att de uppgifter som är nödvändiga för ingående av varje serviceavtal lämnas. Uppgifterna som krävs för ingående av ett serviceavtal varierar enligt tjänst.

15. Uppgifter som är betydelsefulla för automatiserat beslutsfattande eller profilering

Uppgifterna i registret används inte som grund för sådant automatiskt beslutsfattande eller sådan profilering, som skulle ha rättsliga effekter för den registrerade. Om en kund aktiverat tjänsten Samla och skanna genomförs automatiskt beslutsfattande i tjänsten utgående från uppgifter om användningen av tjänsten och skannern. Kunden kan hänvisas till en kontrollräkning till kassan utgående från analysen.

16. Följder av behandling av personuppgifter och allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder

Vi skyddar personuppgifterna omsorgsfullt under hela den tid de finns hos oss genom adekvata dataskydds- och datasäkerhetsmetoder. Systemleverantörerna behandlar personuppgifterna i datasäkra serverutrymmen. Åtkomsten till personuppgifterna är begränsad och personalen har tystnadsplikt.

I S-gruppen skyddar vi personuppgifterna bland annat genom säkerhetsplanering och riskhantering på förhand, metoder för att skydda datakommunikationen och genom att använda säkra utrymmen för utrustningen, åtkomstkontroll och säkerhetssystem. Fysiska dokument som innehåller personuppgifter förvaras efter den initiala behandlingen i låsta och brandsäkra förvaringsutrymmen. Beviljande och uppföljning av användarbehörigheter sker kontrollerat. Vi utbildar regelbundet vår personal som deltar i behandlingen av personuppgifter och ser till att även personalen hos våra samarbetspartner förstår att personuppgifter är konfidentiella och att det är viktigt att de behandlas på ett säkert sätt. Vi väljer våra underleverantörer med omsorg. Vi uppdaterar kontinuerligt vår interna praxis och våra anvisningar.

Om personuppgifter trots alla våra skyddsåtgärder hamnar i fel händer, är det möjligt att identitetsstöld eller annat missbruk av personuppgifter sker. Om vi upptäcker en sådan händelse, börjar vi omedelbart utreda händelsen och strävar efter att förhindra skador. Vi informerar behöriga myndigheter och de registrerade om personuppgiftsincidenter i enlighet med kraven i lagstiftningen.


AOA Dataskyddsbeskrivning 1.9.2020

AOA Dataskyddsbeskrivning ändå 31.8.2020