All in One
1 Yhteystiedot ja neuvonta
Santander Consumer Finance Oy
Risto Rytin tie 33 00570 Helsinki
+358 (0)9-8564 5100
2 Tietosuojavastaavan yhteystiedot
dpo@santanderconsumer.fi
3 Henkilötietojen käsittelyn tarkoitus ja peruste
Henkilötietoja käytetään AIO sovelluksen (sovelluksen) ja muiden rekisterinpitäjän (Santander Consumer Finance Oy, SCF) yhteistyökumppaneiden palvelujen tarjoamiseksi, toteuttamiseksi ja ylläpitämiseksi, SCF:n palvelujen ja liiketoiminnan kehittämiseksi, analysointi- ja tilastointitarkoituksiin sekä palvelun ylläpitäjän ja käyttäjän väliseen viestien vaihtoon.
Henkilötietoja käsitellään lainsäädännön sallimissa rajoissa sovelluksen ja palveluiden tarjoamiseen, hallintaan ja kehittämiseen. Henkilötietoja käsitellään myös analysointiin, tilastointiin ja tilaajaluettelotuotteiden sekä tietopalveluiden tuottamiseen, tarjoamiseen ja kehittämiseen sekä markkinointiin.
Käsittelyn oikeusperuste on EU:n yleisen tietosuoja-asetuksen artikla 6(1)b (sopimuksen täytäntöön paneminen) sekä 6(1)f (oikeutettu etu).
4 Kuvaus rekisteröidyistä tietoryhmistä
Rekisteröidystä kerätyt henkilötiedot voivat sisältää yhden tai useamman seuraavan ryhmittelyn mukaisen tiedon. Rekisteröidyllä on oikeus tarkastaa erikseen kuvatulla tavalla itseään koskeva tietosisältö. SCF kerää käyttäjästä ainoastaan rekisteröintiin käytettyjä tietoja, jotta täytetyt tiedot pysyvät vain käyttäjän omalla tilillä. Evästetietoja kerätään käyttökokemuksen parantamiseksi.
Rekisteröidyn rekisteröitymisen tai kirjautumisen yhteydessä kerättävät tiedot ovat:
- Käyttäjän etu- ja sukunimi
- Henkilötunnus
- Yhteystiedot, kuten sähköpostiosoite
- Muut mahdolliset rekisteröidyn suostumuksella käsiteltävät kirjautumiseen ja rekisteröitymiseen tarvittavat tarpeelliset tiedot
- Kirjautumis- ja rekisteröitymisajankohta / -ajankohdat
Lisäksi käyttäjä voi itse tuottaa All-in-One appia käyttäessään sisältöä itsellään olevaan sovellukseen, kuten käyttäjän ajoneuvoa ja palveluiden käyttöä koskevia tietoja. Edellä mainittu itse tuotettu sisältö ei näy SCF:lle.
Käyttäjä voi luoda millä tahansa sähköpostilla käyttäjätilin sovellukseen ja syöttää siihen manuaalisesti tietoja, kuten tankkaustapahtumia. Edellä kuvatut tiedot tallentuvat erillisen palveluntarjoajan pilvipalveluun ja SCF ei ole näistä rekisterinpitäjä.
Käyttäjä voi valita sovellukseen biometrisen tunnistautumisen, joka on käyttäjän puhelimen tai puhelimen käyttöjärjestelmän ominaisuus. Biometrinen tieto on käyttäjän puhelimessa ja SCF ei käsittele biometrista dataa.
Käyttäjä voi tunnistautua halutessaan sovellukseen. Tunnistautumisen yhteydessä SCF saa käyttäjän henkilötunnuksen, joka tallentuu SCF:n omaan tietokantaan ja henkilötunnukselle generoidaan keinotekoisesti satunnainen tunnistemerkkijono ("token"). Token tallentuu myös sovelluksen tietoihin erilliseen pilvipalveluun ja tarvittaessa sen avulla haetaan käyttäjän henkilötunnus, joka on Santanderin tietokannassa.
Käyttäjä voi tehdä Nesteen kanssa mobiilitankkaussopimuksen. Tämä edellyttää käyttäjältä tunnistautumista, mutta varsinainen sopimus ja laskutus järjestyy Nesteen kautta, ja SCF ei käsittele mobiilitankkaukseen liittyviä tietoja. SCF:llä on vain "true/false" -tyyppinen merkintä tietokannassa, joka kertoo, onko käyttäjä aktivoinut tankkauksen.
SCF kerää myös esimerkiksi selaimeen yhdistettävissä olevia verkkosivujen käytöstä kerättäviä tietoja. Lisäksi SCF kerää tunnistamis- ja varmentamisvälineiden ja -palveluiden käyttöön liittyviä tarpeellisia tietoja.
5 Oikeus käyttää tietoja oikeutetun edun perusteella
Henkilötietoja saa lainsäädännön mukaan käsitellä silloin, kun käsittelylle on nk. rekisterinpitäjän oikeutettu etu. EU:n yleisen tietosuoja-asetuksen mukaisesti oikeutettu etu voi perustua rekisteröidyn ja rekisterinpitäjän väliseen merkitykselliseen ja asianmukaiseen suhteeseen, kuten potentiaaliseen asiakassuhteeseen.
6 Säännönmukaiset tietolähteet
Rekisteröityä koskevat tiedot saadaan rekisteröidyltä itseltään, ja tietoja voi kertyä rekisterinpitäjän omassa toiminnassa. Tietoja saadaan myös Liikenteen turvallisuusvirastolta (Trafi) sekä, milloin rekisteröity on muutoin SCF:n asiakas, SCF:n asiakasrekisteristä.
7 Henkilötietojen luovuttaminen
Henkilötietoja ei luovuteta kolmansille osapuolille. Henkilötietoja voidaan luovuttaa viranomaisille silloin, kun tietojen luovutukseen on lainmukainen velvoite.
8 Tietojen säilyttäminen
SCF toteuttaa oletusarvoisen ja sisäänrakennetun tietosuojan periaatteen mukaisesti asianmukaisia teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, että SCF käsittelee vain kunkin määritellyn ja erityisen tarkoituksen kannalta tarpeellisia henkilötietoja. Tämä koskee kerättyjen henkilötietojen määriä, käsittelyn laajuutta, säilytysaikaa ja saatavilla oloa. SCF vastaa kaikista rekisteröityjen henkilöiden oikeuksien toteutumisesta koko tiedon elinkaaren ajan.
Henkilötietoja säilytetään niin kauan kuin se on sovelluksen tarjoamista varten tarpeellista. Käyttäjän itse tuottama sisältö poistuu samassa yhteydessä, kun All-in-One -käyttäjätili poistetaan käytöstä. Käyttäjän on mahdollista poistaa käyttäjätilinsä sovelluksesta ja tällöin myös sovellukseen tallennetut tiedot poistuvat. SCF:n tietokantaan tallennettu henkilötunnus-token yhdistelmä poistetaan erikseen kohtuullisessa ajassa kun tieto käyttäjätilin poistamisesta on käsitelty.
Sopimusta tai henkilötietojen käsittelyä koskevan erimielisyyden synnyttyä todentamista koskevat tiedot on kuitenkin säilytettävä siihen saakka, kunnes asia on sovittu tai ratkaistu.
Tietojen käsittely ja säilytys on valvottua sekä kontrolloitua.
9 Tietojen siirtäminen ja suojatoimet
Henkilötietoja saatetaan siirtää rekisterinpitäjän kanssa samaan taloudelliseen yhteenliittymään kuuluville yhtiöille.
Henkilötiedot saattavat tietojen käsittelyn teknisen toteuttamisen johdosta fyysisesti sijaita ulkopuolisten alihankkijoiden palvelimilla tai laitteistoilla, joista niitä käsitellään teknisen käyttöyhteyden avulla. Rekisterinpitäjän lukuun tietoja käsittelevien luotettaviksi todettujen osapuolten kanssa on erilliset sopimukset, joilla rekisteröidyn oikeuksia suojataan.
All-in-One-sovelluksen palvelimet sijaitsevat EU:n alueella. Tietoja voidaan siirtää EU:n tai ETA:n ulkopuolelle EU:n yleisen tietosuoja-asetuksen ja luottolaitoslain sallimissa rajoissa. Siirrettäessä tietoja EU:n tai ETA:n ulkopuolelle maahan, joka ei tarjoa riittävää tietosuojan tasoa, huolehditaan henkilötietojen suojan riittävästä tasosta EU:n yleisen tietosuoja-asetuksen mukaisin suojatoimenpitein, kuten käyttäen Euroopan komission antamia tietosuojaa koskevia mallisopimuslausekkeita.
Koko SCF:n henkilöstöllä ja sen lukuun toimivilla ulkopuolisilla henkilöillä on vaitiolovelvollisuus liittyen kaikkiin henkilötietoihin.
Henkilötietojen käsittely on rekisterinpitäjän organisaatiossa ohjeistettu ja henkilötietoihin pääsy on rajattu siten, että sekä manuaalisesti tallennettuihin että tietojärjestelmään tallennettuihin henkilötietoihin pääsevät ja niitä käsittelevät vain ne rekisterinpitäjän työntekijät, joilla työnsä puolesta on siihen tarve.
Rekisterinpitäjä on järjestänyt toimitiloihinsa kulunvalvonnan. Käyttäjät tunnistetaan käyttäjätunnuksen ja salasanan avulla. Tiedot on suojattu ulkoa päin palomuurilla.
Toimeksiantosopimuksilla velvoitetaan rekisterinpitäjän toimeksiannosta henkilötietoja käsitteleviä tahoja suojaamaan henkilötietoja vastaavalla tavalla.
Kaikki sovellusten välinen liikenne suojataan SSL-suojatulla yhteydellä.
10 Rekisteröidyn velvollisuuksista antaa henkilötietonsa SCF:n käyttöön potentiaalisena asiakkaana
All-in-One sovelluksen lataaminen ja käyttöönotto on vapaaehtoista eikä edellytä että rekisteröidyllä on aikaisempaa tai voimassa olevaa asiakassuhdetta SCF:n kanssa. All-in-One sovelluksen käyttöönottaminen edellyttää kuitenkin, että rekisteröity antaa henkilötietojaan SCF:n käyttöön, jotta SCF voi käsitellä tietoja tässä tietosuojaselosteessa määriteltyä käsittelytarkoitusta varten sovelluksen tarjoamiseksi. Henkilötietojen antaminen on sopimukseen perustuva vaatimus.
11 Rekisteröidyn oikeudet
Rekisteröidyllä on oikeus pyytää rekisterinpitäjältä:
- pääsy häntä itseään koskeviin henkilötietoihin
- kyseisten tietojen oikaisemista tai poistamista
- käsittelyn rajoittamista tai vastustaa käsittelyä
- tietojen siirtoa järjestelmästä toiseen.
Rekisterinpitäjä oikaisee, poistaa tai täydentää rekisterissä olevan, käsittelyn tarkoituksen kannalta virheellisen, tarpeettoman, puutteellisen tai vanhentuneen henkilötiedon oma-aloitteisesti tai rekisteröidyn vaatimuksesta.
Rekisteröity voi käyttää yllämainittuja oikeuksiaan lähettämällä sähköpostia edellä mainittuun osoitteeseen, ottamalla yhteyttä asiakaspalveluun tai kirjautumalla verkkopalveluun, mikäli palvelu on rekisteröidyn käytössä.
12 ​Oikeus tehdä valitus valvontaviranomaiselle
Rekisteröidyllä on oikeus tehdä valitus valvontaviranomaiselle. Valvontaviranomaisena Suomessa toimii tietosuojavaltuutetun toimisto (tietosuojavirasto).