DATASKYDDSBESKRIVNING FÖR KUNDREGISTRET FÖR UNITED BANKERS-KONCERNENS BOLAG

DATASKYDDSBESKRIVNING FÖR KUNDREGISTRET FÖR UNITED BANKERS-KONCERNENS BOLAG

1 Personuppgiftsansvarig

Personuppgiftsansvarig är det bolag inom United Bankers-koncernen till vilket personen (nedan ”den registrerade”) har eller har haft ett kundförhållande, och till vilket den registrerade har gett sitt samtycke till insamling och behandling av sina personuppgifter, eller det bolag som med stöd av gällande lagstiftning ska behandla dina personuppgifter, eller då behandlingen av den registrerades personuppgifter är nödvändig för ändamål som rör bolagets berättigade intressen, exempelvis på grund av att den registrerade har ett kundförhållande till det personuppgiftsansvariga bolaget.

United Bankers-koncernens bolag som behandlar dina personuppgifter i syften som anknyter till kundregistret är:

• UB Kapitalförvaltning Ab

• UB Securities Ab

• UB Fondbolag Ab

• UB Företagsfinansiering Ab

• UB Nordic Forest Management Ltd

• UB Bankirfirma Ab

• UB Life Oy

• UB Finansiering Ab

• UB Meklarit Oy

Vart och ett av dessa är separat personuppgiftsansvarig.

2 Den personuppgiftsansvariges kontaktperson

United Bankers-koncernens moderbolag United Bankers Abp sköter dataskyddsärenden på den personuppgiftsansvariges vägnar.

Kontaktperson i registerärenden är: Xxxxx Xxxxxxx-Xxxxx, Head of Compliance United Bankers Abp

Xxxxxxxxxxxxxxx 00 A,

00100 Helsingfors xxxxxxxxxx@xxxxxxxxxxxxx.xx Tfn 09 2538 0357

3 Kontaktuppgifter för dataskyddsombudet

Xxxxx Xxxxxxx-Xxxxx Head of Compliance

xxxxxxxxxx@xxxxxxxxxxxxx.xx Tfn 09 2538 0357

4 Registrets namn

Kundregistret för United Bankers-koncernens bolag

5 Ändamålet med behandlingen av personuppgifter

Personuppgifter behandlas för ändamål som hänför sig till skötsel, administrering och utveckling av kundrelationen, försäljning och leverans av tjänster samt utveckling av tjänster, fakturering och indrivning. Personuppgifter behandlas också för ändamål i samband med utredning av eventuella avvikelser, reklamationer och andra krav samt för testning av systemet. Personuppgifter behandlas vid kommunikation som riktar sig till kunder, såsom i informations- och nyhetssyfte, vid marknadsföring samt kommunikation vid avvikelser. Personuppgifter behandlas också i samband med kundnöjdhetsenkäter. Personuppgifter behandlas dessutom för att upptäcka, förhindra och utreda bedrägerier och annan brottslig verksamhet, krav och ansvar samt för ändamål i anslutning till kvalitetsrevision samt myndighets- och kundrapportering. Därtill behandlas personuppgifter för att uppfylla övriga lagstadgade skyldigheter som rör koncernbolagen.

Profilering innebär automatiserad behandling av personuppgifter. Vi använder profilering t.ex. vid riktade erbjudanden av produkter och tjänster.

UB Finansiering Ab använder i sina tjänster även automatiserat beslutsfattande. Automatiserat beslutsfattande innebär att system utnyttjas och att beslut görs på basis av de uppgifter som kunden gett. UB Finansiering Ab använder automatiserat beslutsfattande t.ex. vid långivning och för att förhindra missbruk. Med hjälp av automatiserat beslutsfattande strävar UB Finansiering Ab efter att säkerställa att besluten är snabba, rättvisa, effektiva och korrekta.

6 Rättslig grund för behandlingen av personuppgifter

Personuppgifter behandlas på följande rättsliga grunder:

(a) Behandlingen är nödvändig för att verkställa ett sådant avtal där den registrerade är part, eller för att vidta åtgärder som föregår avtalet på den registrerades begäran.

(b) Behandlingen baserar sig på den registrerades entydiga samtycke, som den registrerade kan återkalla när som helst.

(c) Behandlingen är nödvändig för att fullgöra den personuppgiftsansvariges lagstadgade skyldighet (t.ex. i enlighet med lagen om förhindrande av penningtvätt och av finansiering av terrorism, lagen om beskattningsförfarande, betaltjänstlagen och dataskyddslagen).

(d) Behandlingen är nödvändig för ändamål som rör den personuppgiftsansvariges eller en tredje parts berättigade intressen, inbegripet behandling för allmän administration och utveckling av kundrelationen samt i anslutning till marknadsföring av våra tjänster. Sådana behandlingssyften kan vara t.ex. åtgärder i anslutning till marknadsföring eller när det av administrativa skäl är nödvändigt att överföra personuppgifter inom koncernen.

(e) Personbeteckningen behandlas för att utföra en lagstadgad uppgift (t.ex. för att identifiera kunden i enlighet med lagen om förhindrande av penningtvätt och av finansiering av terrorism (444/2017)).

7 Registrets datainnehåll (kategorier av kunduppgifter som behandlas)

Registret innehåller bl.a. följande personuppgifter om de registrerade:

Uppgifter som samlats in från den registrerade själv för skötseln av kundrelationen, såsom

• uppgifter för kundkännedom: t.ex. namn, födelsedatum, personbeteckning, civilstånd, utbildning, yrke, beskattningsland, skattenummer, uppgifter om den handling som använts för identifiering, hemort, medborgarskap

• kontaktinformation, t.ex. adress, e-postadress, telefonnummer

• finansiella uppgifter, t.ex. uppgifter om kundens ekonomiska ställning och förmögenhet

• uppgifter i anslutning till skötseln av kundrelationen, t.ex. uppgifter om kundens representant, serviceavtal och servicevillkor, förbud mot och tillstånd till direktmarknadsföring, rapporter, kundkontakt, inspelade telefonsamtal, uppgifter om bankförbindelse

• uppgifter som förutsätts enligt lag, t.ex. lagen om förhindrande av penningtvätt och av finansiering av terrorism och lagen om investeringstjänster.

Dessutom kan vi samla in annan information för skötseln av kundrelationen, t.ex. uppgifter om kundens intressen.

Om kunden tagit i bruk nättjänsten MittUB, behandlas i tjänsten följande uppgifter som är kopplade till den registrerades personbeteckning:

• teckningar, inlösen, byten, fullmakter

• nätbetalningstransaktioner

• kommunikation via MittUB

• senaste inloggning (tidpunkt/IP-adress).

Lämnandet av vissa personuppgifter är ett krav som förutsätts vid ingående av avtal och utan vilka den personuppgiftsansvarige inte kan erbjuda tjänster till den registrerade.

8 Personuppgifter som vi samlar in från tredje part

Personuppgifter samlas i regel in från den registrerade själv eller dennes intressebevakare, och i praktiken samlas personuppgifter in i samband med att kundrelationen etableras, vid registrering i tjänsten, användning av tjänsten och kundbetjäning. Utöver dessa uppgifter kan vi också få uppgifter från offentliga och privata datakällor, såsom myndighetsregister (t.ex. befolknings- och handelsregistret) och från nationella och internationella sanktionslistor (FATF, CKP, EU, FN och OFAC), tillhandahållare av kreditupplysningstjänster och utsökningsmyndigheter.

Uppgifter som samlats in från offentliga datakällor kan vara uppgifter för kundkännedom eller kontaktuppgifter eller uppgifter som förutsätts enligt lagstadgade skyldigheter.

9 Lagringsperioder för personuppgifter

Vi lagrar de registrerades personuppgifter som samlats in för skötseln av kundrelationen under den tid som kundrelationen varar. Efter att kundrelationen upphört lagrar vi med anledning av lagstiftningen vissa uppgifter i enlighet med de lagringstider som förutsätts eller tillåts enligt lag.

Exempelvis lagras handlingar i anslutning till skötseln av kundrelationen i tio (10) år efter att kundrelationen upphört. Kundkorrespondens (telefonsamtal med kunden och elektroniska meddelanden mellan UB och kunden) lagras i minst fem (5) år, men kan på tillsynsmyndighetens begäran lagras i sju (7) år efter att de registrerats. Uppgifter om bokföring lagras i sex (6) eller tio

(10) år samt innevarande år i enlighet med bokföringslagen (1336/1997).

10 Mottagare av personuppgifter (kategorier av mottagare) samt regelmässigt utlämnande av uppgifter Den personuppgiftsansvarige överför eller utlämnar personuppgifter till andra parter, när efterlevnaden av avtal eller tillhandahållande av en tjänst förutsätter överföring av uppgifter. De parter till vilka uppgifter kan lämnas ut är t.ex. UB-koncernens bolag och externa affärs- och samarbetspartner. Dessutom lämnas uppgifter ut till myndigheterna i enlighet med förpliktelserna i lag.

När en samarbetspartner eller tjänsteleverantör utför ett sådant avtalat uppdrag som förutsätter behandling av uppgifter för den personuppgiftsansvariges räkning, definieras i avtalet skriftligen personuppgiftsbiträdets ansvar och ändamålet med behandlingen av uppgifterna. Sådana avtal kan t.ex. ingås för att lägga ut IT-tjänster.

11 Överföring av personuppgifter utanför EU- eller EES-området

Den personuppgiftsansvarige överför i regel inte uppgifter utanför EU- eller EES-området (”tredjeland"). Om personuppgifter undantagsvis överförs till tredjeland, görs detta endast om vi kan säkerställa att den registrerades uppgifter är skyddade på det sätt som krävs i EU:s dataskyddsförordning, eller om den registrerade ger sitt uttryckliga samtycke till detta.

12 Principer för skyddet av personuppgifter

Uppgifter som rör kunder har skyddats på följande sätt:

Den personuppgiftsansvarige och systemleverantörerna har avtalat om skydd av kundregistret.

Endast de anställda hos den personuppgiftsansvarige, eller hos de underleverantörer som handlar på dennes vägnar och för dennes räkning, som för sitt uppdrag har rätt att behandla uppgifter i registret, är behöriga att ha tillgång till databaser och system samt använda registret. Behöriga att använda system som innehåller kunduppgifter har endast de anställda som på uppdragets vägnar har rätt att behandla kunduppgifter.

Endast namngivna och med anledning av sina uppdrag befullmäktigade personer har tillgång till uppgifterna i registret. Konfidentialiteten, integriteten och användbarheten avseende de uppgifter som ingår i registret skyddas med lämpliga tekniska och administrativa metoder. Dessa är bl.a. lösenord och annan hantering av behörigheter, passerkontroll, fysiskt skydd och brandväggar.

13 Den registrerades rättigheter

Den registrerade har följande rättigheter som fastställs i EU:s allmänna dataskyddsförordning:

a) Rätt att av den personuppgiftsansvarige få bekräftelse på huruvida personuppgifter som rör honom eller henne håller på att behandlas och i så fall få tillgång till personuppgifterna samt övrig information som fastställs i EU:s allmänna dataskyddsförordning.

b) Rätt att göra invändningar mot behandlingen av uppgifter för vissa i EU:s allmänna dataskyddsförordning fastställda ändamål, såsom direktmarknadsföring.

c) Rätt att när som helst återkalla sitt samtycke, utan att detta påverkar lagligheten av behandling som grundar sig på samtycke, innan detta återkallas.

d) Rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få inexakta och felaktiga personuppgifter som rör honom eller henne rättade samt rätt att komplettera ofullständiga personuppgifter.

e) Rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade i de situationer som fastställs i EU:s allmänna dataskyddsförordning.

f) Rätt att av den personuppgiftsansvarige kräva att behandlingen begränsas i de situationer som fastställs i EU:s allmänna dataskyddsförordning.

g) Rätt att i vissa situationer som fastställs i EU:s allmänna dataskyddsförordning få ut de personuppgifter som rör honom eller henne och som han eller hon har tillhandahållit den personuppgiftsansvarige i ett strukturerat, allmänt använt och maskinläsbart format och

rätt att överföra dessa uppgifter till en annan personuppgiftsansvarig utan att den personuppgiftsansvarige som ursprungligen tillhandahållits personuppgifterna hindrar det.

h) Rätt att lämna in klagomål till en tillsynsmyndighet, om den registrerade anser att behandlingen av personuppgifter avseende honom eller henne strider mot EU:s allmänna dataskyddsförordning. Den registrerade kan lämna in ett klagomål särskilt i den medlemsstat där han eller hon har sin hemvist eller sin arbetsplats eller där det påstådda intrånget begicks.

Begäranden som gäller utövandet av den registrerades rättigheter adresseras till den personuppgiftsansvariges kontaktperson som anges i punkt 2.

14 Cookies

United Bankers-koncernen använder på sin webbplats cookies. En cookie är en liten textfil som skickas till och lagras på användarens dator och som hjälper webbplatsens administratör att känna igen besökare som ofta besöker webbplatsen, underlättar inloggningen på webbplatsen för besökare och gör det möjligt att sammanställa sammansatt information om besökarna. Användningen av cookies skadar inte användarnas datorer eller filer. Läs mer om cookies på webbplatsen xxxxxxxxxxxxx.xx.

Om en användare som besöker United Bankers-koncernens webbplats inte vill att United Bankers- koncernen ska få ovan nämnda uppgifter med hjälp av cookies, ger de flesta webbläsare möjlighet att stänga av cookiefunktionen. Notera emellertid att cookies kan vara nödvändiga för att United Bankers-koncernens webbplats och de tjänster som tillhandahålls på sidorna ska fungera korrekt.

15 Ändringar

Den personuppgiftsansvarige kan göra ändringar i denna dataskyddsbeskrivning genom att underrätta om ändringarna på webbplatsen.