Personopplysninger

1.1 Informasjon som sames inn fra deg

Personopplysninger samles hovedsakelig inn direkte fra deg, eksempelvis i sammenheng med at du har inngått en avtale med oss, benytter våre tjenester og produkter eller kontakter oss i ett annet ærende i noen av våre kanaler. Som ny kunde ber vi deg for eksempel om identifiserings- og kontaktopplysninger som navn, fødselsnummer, e-postadresse og telefonnummer. Om du søker om et lån eller kredittkort ber vi deg om ytterligere informasjon om dine økonomiske og personlige forhold, sånn som gjeldsopplysninger, inntekts- og utgiftsopplysninger, og opplysninger om familieforhold. Opplysningene innhentes for at vi skal kunne vurdere om vi kan tilby deg produkter eller tjenester som du er interessert i. Ved boliglån innhentes også opplysninger om fasteiendom og informasjon fra sameie eller borettslag, samt verdivurderinger.

Ved innlogging på vår hjemmeside og ved signering av avtale behandles informasjon om BankID eller annet elektronisk ID. Vi behandler IP-adresser for besøkende av på vår hjemmesider, se mer informasjon i vår cookie policy.

For Nordax Bank gjør vi opptak av alle innkomne kommende og utgående samtaler, for din og vår sikkerhet. For Bank Norwegian gjør vi opptak av samtlige innkomne samtaler, om du ikke har reservert deg mot opptak. Se lagringstidene i avsnitt 5.

1.2 Informasjon som innhentes fra andre kilder

Vi innhenter opplysninger fra andre kilder enn deg (den registrerte). Om du søker om et lån eller kredittkort via en låneformidler innhenter vi opplysninger som du har oppgitt til låneformidleren for å kunne behandle din søknad. Vi innhenter i tillegg opplysninger fra kredittvurderingsbyrå og andre eksterne kilder som f.eks. Experian, Gjeldsregister, Skatteetaten og Ambita for å forsikre oss om at dine opplysninger er korrekte samt for å innhente opplysninger om eksisterende og tidligere gjeld. Om du har samtykket til det, innhentes også kontoinformasjon og transaksjonshistorikk fra din bank via en av dine godkjente leverandører av kontoinformasjonstjenester.

Navn og adresseopplysninger oppdateres løpende via Folkeregisteret.

I forbindelse med utføring av betalingstransaksjoner innhenter vi opplysninger fra avsendere, betalingsleverandør og butikk. Som et ledd i vårt arbeid med å bekjempe hvitvasking og terrorfinansiering kan vi innhente personopplysninger fra andre banker, myndigheter, sanksjonslister (som administreres av internasjonale organisasjoner som EU og FN, samt nasjonale organisasjoner som OFAC - Office of Foreign Asset Control) og andre kommersielle informasjonstjenester som eksempelvis gir informasjon om personer i politisk utsatte stillinger.

Her kan du se hvilke formål vi behandler dine personopplysninger og hvilket rettslig grunnlag vi behandler dine personopplysninger etter.

2.1 Mer informasjon om det rettslige grunnlaget som vi benytter seg av

Vi baserer hovedsakelig vår behandling av personopplysninger på følgende rettslig grunnlag:

• Oppfylle avtale – når behandlingen er nødvendig for å inngå eller fullføre en avtale med deg, i tråd med GDPR artikkel 6.1.b.
• Rettslig forpliktelse – når behandlingen er nødvendig for at NOBA skal kunne oppfylle en rettslig forpliktelse, i tråd GDPR artikkel 6.1.c.
• Interesseavveining – når behandlingen er nødvendig for å tilfredsstille en legitim interesse og NOBA har vurdert at vår interesse i å behandle dataene veier tyngre enn din interesse i at dataene ikke blir behandlet, ifølge GDPR artikkel 6.1.f. Du har alltid rett til å protestere mot behandling basert på en interesseavveining og du kan kontakte oss for å få mer informasjon om den vurderingen vi har gjort, se kontaktopplysning i avsnitt 8.

I noen tilfeller er i stedet ditt samtykke det rettslige grunnlaget for behandlingen av personopplysninger, i henhold til GDPR artikkel 6.1.a. Eksempler på når vi innhenter samtykke for behandling av personopplysninger er for bruk av enkelte cookies (informasjonskapsler) og for adferdsbasert markedsføring som ikke kan baseres på en interesseavveining.

Du har rett til å trekke tilbake samtykket ditt når som helst. Vi har da ingen videre rett til å behandle dataene basert på samtykket. For cookies endrer du selv innstillingene i nettleseren din, og for noen av våre tjenester kan du endre valgene dine for markedsføring ved å logge inn via nettsiden vår. Hvis du ellers ønsker å trekke tilbake samtykket ditt, finner du kontaktinformasjonen vår i punkt 8.

2.2 Formål og rettslige grunnlag

Her beskrives det formål vi har for å behandle personopplysninger. Under hvert formål fremgår en samlet beskrivelse av behandlingen og det rettslige grunnlaget vi bruker. For en mer detaljert beskrivelse av de ulike kategoriene av personopplysninger, se punkt 1.3.

Behandling av dine personopplysninger kan, innenfor rammen av regler om bankens taushetsplikt, utføres av selskaper innenfor vårt konsern for de formål som er angitt ovenfor og av selskaper som konsernet samarbeider med for å utføre våre tjenester, eksempelvis Experian, Gjeldsregisteret, andre banker, finansforetak, kredittformidlere, inkassoselskaper, verdivurderingsselskaper, markeds- og analyseselskaper, trykkerier og forsikringsinstitutter. Utlevering kan også skje til andre som er involvert i en betalingstransaksjon i den grad det er nødvendig for å gjennomføre transaksjonen på en sikker måte eller eksterne kjøpere av misligholdt gjeld.

Personopplysninger kan også utleveres til relevante myndigheter i henhold til de rettslige forpliktelsene banken har, som f.eks Skatteetaten, Politi, Namsmyndighetene, Finansinspektionen og andra tilsynsmyndigheter eller myndigheter i annet EU/EØS-land.

Dine personopplysninger lagres kun så lenge det er nødvendig for formålene som banken behandler opplysningene for (se punkt 2.2 ovenfor). Dette betyr bl.a. at personopplysningene som er viktige for avtaleforholdet mellom deg og banken vil bli lagret så lenge det foreligger et avtaleforhold, for eksempel depositumskonto, utbetalt kreditt eller leverandøravtale, og deretter i maksimalt 10 år, hensyn til foreldelse.

Personopplysninger som behandles for å oppfylle kravene i hvitvaskingslovgivningen lagres normalt i 5 år etter at kundeforholdet er avsluttet, men fristen kan i enkelte tilfeller forlenges inntil 10 år. Dersom det ikke har oppstått et forretningsforhold mellom deg og banken, regnes tiden i stedet fra tidspunktet da handlingen eller transaksjonen, som utløste kravene i hvitvaskingslovgivningen, ble gjennomført.

Personopplysninger som behandles for å oppfylle kravene i regnskapslovgivningen lagres i 7 år i henhold til svensk lovgivning og i noen tilfeller i 10 år i henhold til norsk lovgivning, som gjelder for vår filial.

Dersom du ikke inngår avtale med oss, for eksempel hvis du ikke mottar et lån du har søkt om, lagres personopplysningene som vi har samlet inn i forbindelse med søknaden normalt i 3 til 6 måneder avhengig av kreditten produkt (i identifiserbar tilstand i søknadssystemet) regnet fra dagen du mottok en melding fra oss. I noen tilfeller kan dataene lagres lenger på grunn av for eksempel hvitvaskingslovgivningen eller, som nevnt ovenfor under 2.2.i, som analysedata (i pseudonymisert format) for utvikling av kredittrisikomodeller. Slike analysedata lagres i maksimalt 6 år med mindre det foreligger et kontraktsforhold. For kunder som vi har et kontraktsforhold med, lagres analysedataene under avtaleforholdet og deretter i maksimalt 10 år.

For Nordax Bank slettes innspilte telefonsamtaler normalt etter 7 dager, men i noen tilfeller kan samtaler lagres lenger ved behov for å dokumentere avtale (5 år) eller for opplæring og kvalitetssikring samt håndtering av klager eller andre etterforskningsbehov (3 måneder). For Bank Norwegian slettes innspilte telefonsamtaler etter 30 dager.

Profilering innebærer automatisk behandling av eksisterende eller mulige kunders personopplysninger som brukes til å vurdere visse personlige egenskaper ved dem, for å analysere eller forutsi for eksempel deres økonomiske situasjon, personlige preferanser, interesser og bosted. Profilering brukes av oss til for eksempel markeds- og kundeanalyser, systemutvikling, markedsføring, for automatiserte beslutninger (se nedenfor) og til transaksjonsovervåking for å forhindre svindel.

Ved søknad om privatlån, boliglån, kredittkort eller utvide rammen av eksisterende kreditt benytter vi automatisert beslutningstaking, som også inkluderer profilering, som kan ha innvirkning på kunden i form av avslag på en kredittsøknad. De automatiserte beslutningene er basert på den økonomiske informasjonen kunden oppgir i søknaden sin, informasjon vi samler inn fra kredittvurderingsbyråer og andre eksterne registre (se ovenfor under 1.2) samt eventuell intern informasjon om kunden (f.eks. betalingshistorikk eller tidligere avslag). Informasjonen vi samler inn blir automatisk evaluert opp mot våre interne modeller og minimumskrav til likviditet og soliditet. Dette avgjør om søknaden innvilges og eventuelt størrelsen på kreditten. Vi er forpliktet til å vurdere kredittverdigheten til personer som søker om kreditt hos oss, og den automatiserte beslutningstakingen er nødvendig for at avtaler skal kunne inngås på en objektiv og effektiv måte.

I tilfeller hvor en kredittbeslutning har vært basert utelukkende på automatisert behandling, har kunden alltid rett til å få beslutningen revurdert av en av våre kundebehandlere. Hvis du har spørsmål om vår automatiserte beslutningstaking, kan du kontakte oss, se kontaktinformasjon i avsnitt 8.

Trygg og sikker håndtering av dine personopplysninger er sentralt i vår virksomhet. Vi bruker egnet tekniske, organisatoriske og administrative sikkerhetstiltak for å beskytte dine personopplysninger mot f.eks. tap og uautorisert tilgang. Kun personer hos oss som trenger å behandle personopplysninger har tilgang til dataene. I tilfeller hvor vi har behov for å overføre personopplysninger til samarbeidspartnere eller leverandører, sikrer vi gjennom avtaler og kontroller at motparten også opprettholder et egnet beskyttelsesnivå.

Personopplysninger overføres kun til land utenfor EU eller EØS (såkalte tredjeland) dersom det er nødvendig og først etter å ha sikret at overføringen skjer i samsvar med reglene som gjelder for tredjelandsoverføringer. Dersom en tjenesteleverandør brukes i et tredjeland, f.eks. i forbindelse med teknisk støtte er leverandøren forpliktet, i tillegg til forpliktelsene som fremgår av vår skriftlige instruks, til å overholde den europeiske standarden for databeskyttelse, for eksempel ved å signere EU-kommisjonens standard kontrakts klausuler og om nødvendig ta ekstra beskyttelsestiltak. En overføring til et tredjeland kan også baseres på at EU-kommisjonen har fattet en beslutning om at landet har et tilstrekkelig beskyttelsesnivå for personopplysninger (adekvansbeslutning).

Informasjon om landene som EU-kommisjonen har truffet tilstrekkelighetsvedtak for finner du her: Adequacy decisions | Europeiska kommissionen (europa.eu)

EU-kommisjonens standard kontraktklausuler er tilgjengelige her: Standard Contractual Clauses (SCC) - European Commission (europa.eu)

Du kan kontakta dpo@nordax.se eller dpo@banknorwegian.no for å få mer informasjon om overføringer til tredjeland og våre sikkerhetstiltak for slike overføringer.

Her er det beskrevet hvilke rettigheter du har i henhold til GDPR og hvordan du går frem dersom du ønsker å bruke noen av rettighetene.

• Rett til innsyn – du har rett til å vite hvilke personopplysninger vi behandler om deg og kan be om en kopi av disse (såkalt registerutdrag).
• Rett til retting – du har rett til å få uriktige personopplysninger rettet.
• Rett til sletting – du har rett til å få dine personopplysninger slettet under visse betingelser.
• Rett til begrensning – du har rett til å kreve at vi begrenser vår behandling av dine personopplysninger i visse tilfeller, f.eks. i løpet av tiden vi sjekker om dataene skal rettes eller slettes.
• Rett til innsigelse – i tilfeller hvor vi baserer vår behandling på vår legitime interesse, basert på en interesseavveining, har du rett til å protestere mot behandling av personopplysninger. Vi vil da gjøre en ny interesseavveining.
• Rett til dataportabilitet – du har rett til, under visse betingelser, å få dine personopplysninger i et maskinlesbart format og rett til å overføre dataene til en annen personopplysningsansvarlig.

Det er ikke alltid mulig å slette dataene dine eller begrense behandlingen av dem, for eksempel når vi trenger dataene for å administrere kontraktene dine eller oppfylle rettslige forpliktelser. I noen tilfeller kan vi heller ikke utlevere opplysninger i forbindelse med en innsynsbegjæring, f.eks. opplysninger som inkluderer noen andre, forretningshemmeligheter eller dersom opplysningene ikke kan utleveres ved lov. Vi vil vurdere forespørselen din fra sak til sak.

For å utøve noen av dine rettigheter, kan du alltid kontakte oss via kontaktinformasjonen spesifisert i avsnitt 8. Vi har også spesifikke prosesser for våre forskjellige merker som du kan bruke som nedenfor. Registerutdraget ditt vil inneholde alle data vi behandler, uavhengig av merke, med mindre det kommer frem av forespørselen din at du ønsker informasjonen for et spesifikt merke.

Nordax Bank:

Dersom du ønsker å be om innsyn, dvs. få informasjon om hvilke personopplysninger vi behandler om deg, eller hvis du ønsker å få data slettet eller rettet, bruk følgende skjema.

Vill du ikke motta adresserte reklame, kan du registrere deg her.Hvis du varsler oss om slik sperring, vil vi lagre disse personopplysningene om deg.

Hvis du ønsker å be om sperring av direkte markedsføring for tilleggsprodukter eller hvis du ønsker å utøve noen av dine andre rettigheter under GDPR, vennligst kontakt oss på 21 54 44 00 eller DPOrequest@nordax.se.

Bank Norwegian:

Du kan endre innstillingene dine for annonsering fra Bank Norwegian på nettbanken din, som du får tilgang til ved å logge inn via vår nettside. Hvis du ønsker å bruke noen av dine andre rettigheter, kontakt vår kundeservice på 23 36 16 99 eller dpo@banknorwegian.no.

Hvis du ønsker å utøve noen av dine rettigheter, se de aktuelle fremgangsmåtene for våre ulike merkevarer i avsnitt 7. Du kan også alltid nå oss på kontaktdetaljene nedenfor og er velkommen til å kontakte oss hvis du har spørsmål om vår behandling av dine personopplysninger.

NOBA Bank Group AB (publ)

Adress Nordax Bank: Box 23124, 104 35 Stockholm

Adress Bank Norwegian: Postboks 110, 1325 Lysaker, Norge

Tel Nordax Bank: 21 54 44 00

Tel Bank Norwegian: 23 36 16 99

E-post Nordax Bank: DPOrequest@nordax.se, dpo@nordax.se

E-post Bank Norwegian: dpo@banknorwegian.no

Hvis du har en mening eller klage på hvordan vi behandler dine personopplysninger, er du velkommen til å kontakte vårt personvernombud på dpo@nordax.se eller dpo@banknorwegian.no eller via øvrige kontaktinformasjon ovenfor. Du har også rett til å klage på vår bruk av dine personopplysninger av en annen grunn, du kan klage til Datatilsynet, se www.datatilsynet.no eller til Integritetsskyddsmyndigheten, se www.imy.se. Vi oppfordrer deg imidlertid til å kontakte oss først, slik at vi kan se på saken din og avklare eventuelle misforståelser.