Dataskyddsförordningen träder i kraft

Transkript

1 Maj 2018 Dataskyddsförordningen träder i kraft Dataskyddet har alltid varit en viktig del i vår bankverksamhet. Att skydda kundernas personuppgifter och ha deras förtroende är en grundläggande förutsättning för vår verksamhet. Utifrån de uppgifter du ger oss kan vi erbjuda dig personlig rådgivning och tjänster för din ekonomi. Under de senaste åren har digitaliseringen fått en allt mer framträdande roll i vårt samhälle. Det syns bland annat i hur användningen av nättjänster ändrat och hur företagen sparar och använder personuppgifter. Detta har skapat ett behov av att uppdatera bestämmelserna så att de motsvarar de nuvarande sätten att använda personuppgifter. Den nya dataskyddsförordningen (General Data Protection Regulation, GDPR) tillämpas från på alla företag och organisationer i Europeiska ekonomiska samarbetsområdet som behandlar personuppgifter. Med den nya förordningen vill man allt starkare betona kundens rätt att bestämma över sina egna uppgifter och hur de används. Dataskyddsförordningen gäller också personer som representerar företag eller organisationer. Kundregistret i koncernen Nordea Bank AB (publ), NORDEA NF003X_ Som Nordeakoncerns företags- eller organisationskund ger du oss personuppgifter om dina medarbetare och andra parter. Det är ditt företags eller din organisations ansvar att berätta för dessa personer om Nordeas principer för integritetsskydd. I Nordeas dataskyddsbeskrivning berättar vi närmare om integritetsskyddet och hur vi använder dina personuppgifter. Dataskyddsbeskrivningen finner du på följande sidor. På grund av den nya förordningen har vi också uppdaterat våra villkor och hänvisat till vår dataskyddsbeskrivning vid behov. Följande företag är personuppgiftsansvariga för Nordea-koncernens verksamhet i Finland: Nordea Bank AB (publ), Nordea Funds Ab, Nordea Livförsäkring Finland Ab, Nordea Investment Management AB, Nordea Hypoteksbank Abp, Nordea Finans Finland Ab och Tukirahoitus Oy. Nordea Bank AB (publ), filial i Finland, Hamnbanegatan 5, Helsingfors, NORDEA, FO-nummer Nordea Bank AB (publ), publikt aktiebolag, hemort Stockholm, reg.nr , registreringsmyndighet Bolagsverket, Sverige.

2 Nordeas dataskyddsbeskrivning Nordea värnar skyddet av dina individuella rättigheter och dina personuppgifter. I den här dataskyddsbeskrivningen förklaras hur Nordea samlar in, använder, sparar, förvarar och skyddar personuppgifter. Inom Nordeakoncernen har du en relation med Nordea Bank AB (publ), och/eller det/de övriga Nordeabolag som är den/de personuppgiftsansvariga. Närmare upplysningar om personuppgiftsansvariga finns på våra nätsidor. Nordea behandlar personuppgifter av flera skäl. När vi skriver du menar vi dig som kund, potentiell kund, medarbetare hos kund eller annan relevant person såsom verklig förmånstagare, behörig företrädare, innehavare av företagskort eller närståendeperson. Den här dataskyddsbeskrivningen innehåller följande delar: 1. Vilka personuppgifter Nordea samlar in 2. Hur Nordea kan komma att använda dina personuppgifter och på vilken rättslig grund 3. Automatiserat beslutsfattande 4. Vem Nordea kan komma att lämna ut dina personuppgifter till 5. Hur Nordea skyddar dina personuppgifter 6. Dina rättigheter i fråga om integritetsskydd 7. Cookies (kakor) 8. Hur länge Nordea förvarar dina personuppgifter 9. Hur förändringar görs i Nordeas dataskyddsbeskrivning och beskrivningen om användning av cookies (kakor) 10. Kontakta Nordea eller dataskyddsmyndigheten 1. Vilka personuppgifter Nordea samlar in Vanligtvis samlas personuppgifter in direkt från dig eller genereras i samband med att du använder Nordeas tjänster och produkter. Ibland behöver vi ytterligare information för att hålla uppgifterna aktuella eller kontrollera att uppgifterna vi samlat in är korrekta. De personuppgifter som vi samlar in kan delas in i följande kategorier: Identifieringsuppgifter: personbeteckning och namn. Vi är skyldiga att samla in dokumentation av sådana uppgifter, till exempel i form av kopia av ditt pass, körkort eller liknande. Kontaktuppgifter: telefonnummer och adresser, inklusive postadress för utländska adresser även hemland. Ekonomisk information: avtalets typ, uppgifter om transaktionsinformation, kredithistorik och försäkringar. Uppgifter som krävs enligt lag: uppgift om skatterättslig hemvist eller utländskt skatteregistreringsnummer, uppgifter som krävs för skyldigheten till kundkontroll och bekämpning av penningtvätt. Särskilda kategorier av personuppgifter: Exempelvis hälsouppgifter som behövs för vissa försäkringsprodukter som Nordea Livförsäkringsbolag och pensionsförsäkringsbolag tillhandahåller samt information om fackligt medlemskap som behövs för vissa låneprodukter.

3 Personuppgifter som vi kan komma att samla in från dig: Nordea samlar in personuppgifter du lämnar direkt till oss. Som ny kund ber vi dig till exempel om personuppgifter såsom namn, personbeteckning, e-postadress och telefonnummer samt uppgifter om inkomster och skulder, för att kunna erbjuda kunden den produkt eller tjänst du är intresserad av. Nordea samlar också in information som du meddelar oss, till exempel genom återkoppling eller annan interaktion i våra digitala kanaler. Vidare kan samtal och chattkonversationer med dig spelas in och registreras för verifiering av uppdrag, för dokumentation samt i kvalitets- och utvecklingssyfte. Av säkerhetsskäl kan vi ha övervakningskameror på våra kontor och vid våra automater. Personuppgifter som vi kan komma att samla in från tredje parter: Offentlig information och information från andra externt tillgängliga källor: register som förs av myndigheter (till exempel befolkningsregistercentralen, skatteförvaltningens register, bolagsregister och register hos tillsynsmyndigheter), sanktionslistor (listor hos internationella organisationer såsom EU och FN samt nationella organisationer såsom amerikanska Office of Foreign Assets Control OFAC), register som förs av kreditupplysningsregister och andra kommersiella informationsleverantörer av uppgifter om exempelvis verkliga förmånstagare och personer i politiskt utsatt ställning. I samband med betalningar samlar vi in uppgifter från penningförmedlare, butiker, banker, betaltjänstleverantörer och andra. Hälsouppgifter från hälso- och sjukvårdsinrättningar (för Nordeas livförsäkrings- och pensionsförsäkringsbolag). Från andra juridiska enheter i Nordeakoncernen eller juridiska enheter som vi samarbetar med. 2. Hur Nordea kan komma att använda dina personuppgifter och på vilken rättslig grund Vi använder dina personuppgifter för att uppfylla våra rättsliga skyldigheter och avtalsförpliktelser, samt för att ge dig erbjudanden, rådgivning och annan service. Ikraftträdande och administration av tjänste- och produktavtal (verkställande av avtal) Huvudsyftet med att Nordea behandlar personuppgifter är att samla in, kontrollera och behandla personuppgifter inför och vid tecknandet av avtal med dig, liksom att dokumentera, administrera och utföra det som krävs för att verkställa avtal. Exempel på uppdrag för att verkställa ett avtal: behandling för att öppna konto eller nättjänst eller för att bevilja kort eller kredit kundservice under avtalsperioden eventuellt uppgörande, framställande eller försvarande av rättsliga anspråk samt indrivningsförfarande. Uppfyllande av krav och skyldigheter enligt lagar, andra författningar eller beslut av myndigheter och tillsynsorgan (lagstadgad skyldighet) Förutom vid verkställandet av avtal behandlar vi också personuppgifter för att uppfylla de skyldigheter vi har enligt lag, författningar och myndighetsbeslut.

4 Exempel på lagstadgade skyldigheter som förutsätter behandling av personuppgifter: Kundkontroll (KYC) Åtgärder för att förhindra, upptäcka och utreda penningtvätt, bedrägeri och finansiering av terrorism Sanktionskontroll Bokföringslagstiftning Rapportering till skattemyndigheter, polismyndigheter, verkställande myndigheter och tillsynsmyndigheter Skyldigheter vid hantering av risker i anslutning till exempelvis kreditutveckling och kreditbetyg, kapitaltäckning och försäkringar Krav och skyldigheter gällande betalningstjänster Övriga skyldigheter gällande produkter och tjänster som omfattas av särskild lagstiftning, till exempel i anslutning till värdepapper, fonder, säkerheter, försäkringar och bostadslån. Marknadsföring, produkt- och kundanalys (berättigat intresse) Personuppgifter behandlas också i samband med marknadsföring samt produkt- och kundanalyser. Behandlingen av personuppgifter utgör grunden för marknadsföring samt utvecklingen av processerna, affärsverksamheten och systemen, inklusive testning. Vi gör detta för att förbättra vårt produktutbud och optimera tjänsterna vi erbjuder våra kunder. Detta kan även innefatta profilering (se nedan). Nordea har ett berättigat intresse att använda profilering i samband med exempelvis kundanalyser i marknadsföringssyfte eller bevakning av kontotransaktioner i syfte att upptäcka bedrägerier. Samtycke Det finns tillfällen när vi ber om ditt samtycke till att behandla dina personuppgifter. Till dessa tillfällen hör exempelvis behandling av uppgifter om betalningstransaktioner i marknadsföringssyfte eller vid viss behandling av särskilda kategorier av personuppgifter. Samtycket kommer att innehålla information om behandlingen av uppgifterna i fråga. Om du har gett samtycke till behandling av dina personuppgifter kan du alltid återkalla samtycket. 3. Automatiserat beslutsfattande Vi kan i vissa fall använda oss av automatiserat beslutsfattande om det är tillåtet enligt lag eller annan författning, om du har lämnat ditt uttryckliga samtycke eller om det är nödvändigt för att verkställa ett avtal, till exempel vid kreditbeslutsprocessen i våra digitala kanaler. Du kan alltid begära manuellt beslutsfattande i stället för den automatiserade, yttra din åsikt eller bestrida beslut som enbart grundas på automatiserad behandling, inklusive profileringen, om beslutet skulle få rättsliga följder eller på liknande sätt i betydande grad påverka dig. När vi använder automatiserat beslutsfattande informerar vi dig om hur det automatiska beslutsfattande fungerar, vad detta innebär för dig och vilka konsekvenser det kan få.

5 4. Vem Nordea kan komma att lämna ut dina personuppgifter till Vi kan dela dina personuppgifter med andra, till exempel myndigheter, bolag i Nordeakoncernen, varu- och tjänsteleverantörer, betaltjänstleverantörer och affärspartners. Innan vi delar uppgifterna säkerställer vi alltid att vi följer de sekretessförpliktelser som gäller för finansbranschen. När vi utför tjänster och uppfyller avtal måste vi ibland lämna ut personuppgifter om dig. Om du till exempel har bett oss överföra pengar måste vi lämna ut vissa uppgifter om dig för att kunna utföra överföringen. Tredje parter och Nordeas koncernbolag För att utföra våra tjänster, till exempel en betalning, lämnar vi ut uppgifter om dig som behövs för att identifiera dig och utföra uppdraget eller verkställa avtalet tillsammans med de företag som vi samarbetar med. Det kan till exempel handla om utlämnande vid användning av säkra identifieringslösningar i det berörda landet och vid utbyte av information mellan finansiella motparter såsom centralbanker, betalningsmottagare och clearingorganisationer. Vi lämnar också ut personuppgifter till myndigheter i den omfattning vi har en rättslig skyldighet att göra det. Här avsedda myndigheter kan exempelvis vara skattemyndigheter, polismyndigheter, verkställande myndigheter och tillsynsmyndigheter i berörda länder. Dessutom lämnar vi ut uppgifter, med ditt samtycke eller om det är tillåtet enligt lag eller annan författning, internt i Nordeakoncernen eller till andra företag som vi samarbetar med för vår verksamhet (däribland korrespondentbanker, andra banker, företag som säljer av oss finansierade produkter samt återförsäkringsbolag). För att kunna erbjuda våra tjänster kan vi också lämna ut personuppgifter till andra försäkringsföretag, återförsäkringsbolag och arbetspensionsbolag. Vi har tecknat avtal som innefattar bestämmelser om behandling av personuppgifter för Nordeas räkning med utvalda varu- och tjänsteleverantörer. Avtal av detta slag har exempelvis gjorts med leveranörer inom programutveckling, underhåll, drift och support av IT-system. Överföring av personuppgifter till tredjeland I vissa fall kan Nordea också överföra personuppgifter till organisationer i s.k. tredjeländer, dvs. länder utanför Europeiska ekonomiska samarbetsområdet. Sådana överföringar av uppgifter kan göras om något av följande villkor uppfylls: EU-kommissionen har beslutat att landet i fråga har adekvat dataskyddsnivå. Andra lämpliga skyddsåtgärder har vidtagits, till exempel användning av modellklausuler som EU-kommissionen har godkänt eller säkerställande att det företag som behandlar uppgifter har bindande företagsbestämmelser (Binding Corporate Rules, BCR). Det handlar om ett undantag i en särskild situation, till exempel då verkställande av ett avtal med dig kräver överföring av uppgifter eller om du ger ditt samtycke till överföringen av uppgifterna i fråga. Du kan ta del av en kopia av de relevanta EU:s modellklausuler som Nordea använder för överföringar på adressen då du skriver in sökordet 32010D0087.

6 5. Hur Nordea skyddar dina personuppgifter Att förvara dina personuppgifter på ett tryggt och säkert sätt är en central del av vår affärsverksamhet. Vi har vidtagit lämpliga tekniska, organisatoriska och administrativa säkerhetsåtgärder för att skydda de uppgifter vi har mot förlust, missbruk och obehörig åtkomst, röjande, ändring och förstöring. 6. Dina rättigheter i fråga om integritetsskydd Som registrerad person har du rättigheter i fråga om de personuppgifter Nordea har om dig. Du har följande rättigheter: a) Rätt att begära åtkomst till dina personuppgifter. Du har rätt att få åtkomst till de personuppgifter som vi har om dig. I många fall finns dessa uppgifter redan i de nättjänster Nordea erbjuder dig. Din rätt till åtkomst kan emellertid begränsas av lagstiftning, skydd av annan persons integritet samt med stöd av Nordeakoncernens affärskoncept och affärsrutiner. När det gäller Nordeakoncernens know-how, affärshemligheter samt interna bedömningar och material kan din rätt till åtkomst vara begränsad. b) Rätt att begära rättelse av felaktiga eller ofullständiga personuppgifter. Om personuppgifterna är felaktiga eller ofullständiga har du rätt att begära rättelse av uppgifterna, om lagstiftningen eller annan författning inte begränsar det. c) Rätt att begära radering. Du har rätt att begära att dina personuppgifter raderas om: Du återkallar ditt samtycke till behandlingen och det inte finns någon annan rättslig grund för behandlingen. Du motsätter dig behandlingen och det inte finns något berättigat skäl för fortsatt behandling av uppgifterna. Du motsätter dig behandling av uppgifter för direktmarknadsföring. Behandlingen av uppgifter är lagstridig. Det är fråga om behandling av en minderårigs personuppgifter som samlats in i samband med erbjudande av informationssamhällets tjänster. Till följd av lagstiftningen för finanssektorn är vi i många fall skyldiga att förvara personuppgifter om dig under den tid som du är kund hos oss, och även därefter för att till exempel fullgöra en lagstadgad skyldighet eller hantera rättsliga anspråk. d) Rätt att begränsa behandling av personuppgifter. Om du motsätter dig riktigheten i de uppgifter som vi har registrerat om dig eller den rättsliga grunden för behandling av uppgifterna, eller om du utnyttjat din rätt att motsätta dig behandlingen av uppgifterna, kan du begära att vi begränsar behandlingen av dessa uppgifter till endast förvaring. Behandlingen begränsas då till att endast avse förvaring tills riktigheten av uppgifterna har bekräftats, eller tills det går att fastställa att våra berättigade intressen har företräde framför dina intressen. Om du inte har rätt att begära radering av de uppgifter som vi har registrerat om dig kan du i stället begära att behandlingen av dessa uppgifter begränsas till endast förvaring. Om behandlingen av de uppgifter som vi har registrerat om dig endast behövs för att framställa

7 ett rättsligt anspråk, kan du också kräva att all annan behandling av dessa uppgifter begränsas till förvaring. Vi får behandla dina uppgifter i andra syften om det är nödvändigt för att framställa ett rättsligt anspråk eller om du har lämnat ditt samtycke. e) Rätt att motsätta dig behandling av uppgifter utifrån Nordeas berättigade intresse. Du kan alltid motsätta dig behandlingen av personuppgifter om dig för direkt marknadsföring och för profilering i samband med direktmarknadsföring. f) Rätt till dataportabilitet. Du har rätt att ta del av de personuppgifter som du har lämnat till oss, i ett maskinläsbart format. Detta gäller endast de personuppgifter som behandlas automatiserat med stöd av samtycke eller för att verkställa ett avtal. Om det är säkert och tekniskt möjligt kan vi också föra över personuppgifterna till en annan personuppgiftsansvarig. Din begäran om att utöva dina rättigheter ovan bedöms från fall till fall utifrån rådande omständigheter. Observera att vi också kan förvara och använda dina uppgifter om det behövs för att uppfylla juridiska skyldigheter, lösa tvistemål och verkställa avtal. 7. Cookies (kakor) Nordea samlar in, behandlar och analyserar uppgifter om användningen av våra webbsidor. Nättrafiken genererar uppgifter kopplade till besökare på webbplatsen och uppgifterna som hanteras i datanätverk för att skicka, distribuera eller göra meddelanden tillgängliga. Vi använder cookies och liknande teknik för att leverera produkter och tjänster till dig, erbjuda en säker onlinemiljö, vidta marknadsföringsåtgärder och ge dig en bättre kundupplevelse på nätet, följa upp webbplatsens analytik samt göra innehållet på vår webbplats möjligast intressant för dig. Uppgifterna används inte för att identifiera enskilda personer med undantag för de kunder som använder Nordeas nätbank. Du kan ange i webbläsarens inställningar om du vill eller inte vill tillåta cookies. Om du väljer att inte tillåta cookies kan du ändå använda våra webbsidor och en del tjänster, men användningen av vissa funktioner och delar av våra nätsidor och tjänster kan vara kraftigt begränsad. Mer information om cookies får du på vår lokala webbplats nordea.fi, längst ner på sidorna. 8. Hur länge Nordea förvarar dina personuppgifter Vi sparar dina uppgifter så länge det behövs för de ändamål de samlades in och behandlades för eller så länge som lagar och andra författningar kräver det. Detta innebär att vi sparar dina uppgifter så länge som det är nödvändigt för att verkställa ett avtal och så länge det krävs gällande minimikrav på förvaringstider i lagar och andra författningar. I de fall där vi förvarar dina uppgifter i annat syfte än för att verkställa ett avtal, till exempel för krav gällande bekämpning av penningtvätt, bokföring och krav enligt kapitaltäckningsregler, förvarar vi endast uppgifterna om det är nödvändigt och/eller det krävs för ändamålet i fråga enligt lagar och andra författningar.

8 Kraven på förvaringstider är olika inom Nordeakoncernen beroende på nationell lagstiftning i olika länder. Några exempel på situationer som kräver datalagring: Förhindra, upptäcka och utreda penningtvätt, bedrägeri och finansiering av terrorism: minst fem år efter avslutad affärsförbindelse eller genomförd enskild transaktion. Bokföringslagstiftning: upp till tio år. Krav och skyldigheter gällande betalningstjänster: fem år. Övriga skyldigheter gällande produkter och tjänster som omfattas av särskild lagstiftning, till exempel värdepapper, fonder, säkerheter, försäkringar och bostadslån: upp till sju år. Låneofferter: upp till tre månader efter offertens förfallodag. Uppgifter om verkställande av ett avtal: upp till tio år efter avslutad kundrelation i syfte att utgöra bevis vid eventuella anspråk (regler kring preskription). Exemplen ovan är endast förklaringar och förvaringstiderna kan variera från land till land. 9. Hur förändringar görs i Nordeas dataskyddsbeskrivning och beskrivningen om användning av cookies (kakor) Vi förbättrar och utvecklar våra tjänster, produkter och nätsidor kontinuerligt, därför kan innehållet i dataskyddsbeskrivningen ändras över tid. Nordea kommer inte att inskränka rättigheterna du har enligt denna dataskyddsbeskrivning eller gällande dataskyddslagar i de länder där Nordea har verksamhet. Ifall avsevärda förändringar i behandlingen av personuppgifter görs meddelar vi detta på ett tydligt sätt, när vi är skyldiga att göra det enligt tillämplig lag. Läs gärna dataskyddsbeskrivningen emellanåt för att hålla dig uppdaterad om eventuella ändringar. Kundregistret i koncernen Nordea Bank AB (publ), NORDEA NF003C_ Kontakta Nordea eller dataskyddsmyndigheten Om du har frågor eller synpunkter som gäller vår dataskyddsbeskrivning är du välkommen att vända dig till Nordea Kundtjänst eller till närmaste Nordeakontor. Nordeakoncernen har även utsett ett dataskyddsombud (Data Protection Officer). Du kan skicka e-post till dataprotectionoffice@nordea.com eller skicka ett brev till adressen Nordea, Group Protection Data Office, c/o Kundombudsmannen, Hamnbanegatan 5, 0020 Nordea. Du kan också lämna ett klagomål eller kontakta dataskyddsmyndigheten i något av de länder där Nordea erbjuder dig produkter och tjänster. Nordea Bank AB (publ), filial i Finland, Hamnbanegatan 5, Helsingfors, NORDEA, FO-nummer Nordea Bank AB (publ), publikt aktiebolag, hemort Stockholm, reg.nr , registreringsmyndighet Bolagsverket, Sverige.