Dataskyddsbeskrivning för Sparbankens kameraövervakning

Med denna dataskyddsbeskrivning ges uppgifter som förutsätts i både dataskyddslagen och EU:s allmänna dataskyddsförordning avseende behandlingen av personuppgifter för de registrerade och tillsynsmyndigheten.

Denna beskrivning tar också hänsyn till Europeiska dataskyddsstyrelsens anvisning om behandling av personuppgifter genom videoenheter (3/2019).

1. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktuppgifter

Varje Sparbank upprätthåller och behandlar sitt eget register över inspelande kameraövervakningssystem. Den personuppgiftsansvarige bestäms utifrån kundrelationen. 

Varje sammanslutning inom Sparbanksgruppen som utför kameraövervakning fungerar som personuppgiftsansvarig för sin del .

 

2. Dataskyddsombudets kontaktuppgifter

Sparbanksgruppen har utsett ett gemensamt dataskyddsombud som du kan kontakta i frågor som gäller behandlingen av personuppgifter och dataskyddslagstiftningen.

Sparbanksgruppens dataskyddsombud
Sparbanksförbundet anl
Postadress: Industrigatan 33, 00510 Helsingfors
E-post: tietosuoja@saastopankki.fi

3. Grupper av registrerade

De registrerade är personer som rör sig inom kameraövervakningssystemet på den personuppgiftsansvariges ordinarie och tillfälliga platser, särskilt den personuppgiftsansvariges kunder, anställda och samarbetspartner.

4. Syften med behandlingen av personuppgifter

Kameraövervakning tjänar säkerhetsrelaterade syften. I den personuppgiftsansvariges verksamhet behandlas konfidentiell information samt arbetsgivarens och dennes kunders värdetillgångar, för vilka den personuppgiftsansvarige är ansvarig. Dessutom ska den personuppgiftsansvarige följa lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017).

Den personuppgiftsansvarige använder information från kameraövervakningen för att

  • säkerställa de registrerades personliga säkerhet
  • övervaka vederbörlig och säker verksamhet inom serviceprocesserna
  • skydda den personuppgiftsansvariges och de registrerades uppgifter och egendom
  • förebygga och utreda situationer som äventyrar säkerhet, egendom eller serviceprocessen
  • hantera risker för fysisk säkerhet

Dessutom kan den personuppgiftsansvarige använda information från kameraövervakningen för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism samt för att genomföra brottsutredningar.

5. De rättsliga grunderna för behandlingen av personuppgifter

Behandling av personuppgifter i samband med kameraövervakning sker på grundval av ett berättigat intresse.

Kameraövervakning är nödvändig för de användningsområden som anges i avsnitt 4 och de specifika kraven på kameraövervakning baserat på lagstiftningen har beaktats.

6. Personuppgifternas grupper och källor

De personuppgifter som ingår i kameraövervakningen består av tidpunkten för inspelning samt videoinspelningar av den registrerade som har uppkommit i kameraövervakningsområdet.

7. Utlämnande av personuppgifter

Den personuppgiftsansvarige beaktar kraven i tvingande lagstiftning, till exempel dataskyddsregleringen och sekretessbestämmelserna för kreditinstitut, vid utlämnande av personuppgifter.

Den personuppgiftsansvarige kan lämna ut personuppgifter i den omfattning lagen tillåter, till exempel

  • till en sammanslutning som tillhör samma konsolideringsgrupp eller ekonomiska sammanslutning som den registeransvarige för de ändamål som anges i punkt 4
  • till myndigheter, såsom skatte-, polis-, utsöknings-, verkställighets- och tillsynsmyndigheter

Den personuppgiftsansvarige behandlar personuppgifter i Finland och EES. Förutom EU:s medlemsstater omfattar EES Island, Liechtenstein och Norge.

Underleverantörers och tjänsteleverantörers behandling av personuppgifter

Den registeransvarige kan delegera uppgifter relaterade till produktion av kameraövervakning och behandling av personuppgifter som ingår i den till underleverantörer. De berörda parterna får behandla personuppgifter endast i enlighet med anvisningar som den personuppgiftsansvarige gett. De har inte rätt att använda personuppgifterna för egna ändamål, såsom direktmarknadsföring.

Den personuppgiftsansvarige säkerställer genom avtals- och andra arrangemang att de underleverantörer och partner som anlitas behandlar personuppgifterna omsorgsfullt och i enlighet med god informationshanteringssed.

En underleverantör som den personuppgiftsansvarige anlitar kan också vara en sammanslutning i Sparbankernas sammanslutning eller Sparbanksgruppen.

8. Den registrerades rättigheter

Rätt att få tillgång till personuppgifter (rätt till insyn)

Den registrerade har rätt att få bekräftelse på huruvida den personuppgiftsansvarige behandlar personuppgifter som rör den registrerade eller inte.

Om den personuppgiftsansvarige behandlar den registrerades personuppgifter har den registrerade rätt att få tillgång till inspelningen. Den personuppgiftsansvarige kan ta ut en rimlig administrativ avgift för ytterligare kopior som begärs av den registrerade.

Rätten kan begränsas till exempel med stöd av andra personers integritetspolicy och lagstiftning eller i händelse av att den registrerade inte kan identifieras. Den registrerade har inte rätt till insyn i till exempel uppgifter som rör en annan registrerad eller den personuppgiftsansvariges uppgifter som omfattas av affärs- och yrkeshemlighet.

Rätt att invända mot behandlingen av personuppgifter

Den registrerade har rätt att förbjuda den personuppgiftsansvarige att behandla personuppgifterna för direktmarknadsföring, distansförsäljning och annan direktreklam samt för marknads- och opinionsundersökningar.

Rätt att begära radering av uppgifter

Den registrerade har rätt att begära att uppgifterna raderas.

Den personuppgiftsansvarige är dock inte skyldig att radera personuppgifter om

  • det är tekniskt omöjligt eller
  • behandlingen av uppgifterna fortfarande är nödvändig till exempel för att uppfylla den personuppgiftsansvariges lagstadgade skyldigheter eller för att behandla rättsliga anspråk.

9. Utövande av den registrerades rättigheter

Förfrågningar ska göras enligt personuppgiftsansvarig. Den personuppgiftsansvarige är skyldig att verifiera den begärandes identitet på ett tillförlitligt sätt. Den personuppgiftsansvarige kan begära nödvändiga tilläggsuppgifter av den registrerade för att behandla begäran.

Den registrerades rättigheter är personliga. Den registrerades rättigheter gäller endast personuppgifter som rör den registrerade själv.

10. Skydd av uppgifter

Uppgifterna behandlas av de anställda hos den personuppgiftsansvarige till vars arbetsuppgifter det hör eller av andra personer som med stöd av avtal, uppdrag eller lag har rätt att behandla uppgifterna.

Den personuppgiftsansvarige har tillbörliga tekniska, organisatoriska och administrativa säkerhetsförfaranden för att skydda alla uppgifter som den innehar i fall av försvinnande, missbruk, olovlig användning, överlåtelse, ändring och förstörelse.

Den personuppgiftsansvarige övervakar tillgången till och behandlingen av personuppgifter genom bland annat tekniska informationssäkerhetsåtgärder, hantering av behörigheter och åtkomstkontroll för dem som använder registret samt genom uppföljning av systemanvändningen. Den personuppgiftsansvarige ingriper omedelbart i missbruk. Den Personuppgiftsansvarige säkerställer dessutom personalens kompetens bland annat med dataskydds- och informationssäkerhetsutbildningar.

Den personuppgiftsansvarige säkerställer genom avtals- och andra arrangemang att dess underleverantörer skyddar personuppgifterna på tillbörligt sätt samt behandlar uppgifter som finns i registret omsorgsfullt och i enlighet med god informationshanteringssed.

11. Lagringstid för uppgifter och hur lagringstiden bestäms

Personuppgifter lagras under den tid som är nödvändig för genomförandet av ändamålen. Den registrerades uppgifter raderas automatiskt inom ungefär en månad efter registreringen.

Om personuppgifterna behövs för utredning av brott kan uppgifterna behöva förvaras under en längre period på grund av myndighetens förundersökning / domstolsförfarande.