Information om behandling av dina personuppgifter
Gäller från 29. november 2024
Vi behandlar dina personuppgifter i enlighet med tillämplig lag, såsom Dataskyddsförordningen (EU/2016/679) (”GDPR”). Personuppgiftsansvarig för behandlingen av dina personuppgifter är NOBA Bank Group AB (publ), org nr 556647-7286, härefter nämnt som ”NOBA”, ”vi” eller ”banken”, verksamt genom varumärkena Nordax Bank och Bank Norwegian. NOBA är en svensk bank som står under tillsyn av den svenska Finansinspektionen och verksamheten för varumärket Bank Norwegian bedrivs genom vår norska filial Bank Norwegian, en filial av NOBA Bank Group AB (publ), org nr 916 573154.
Här beskrivs hur NOBA samlar in, behandlar och delar personuppgifter. Hur just dina personuppgifter behandlas beror på vilken produkt eller tjänst du använder. Om du vill få specifik i nformation om vår behandling av just dina personuppgifter kan du begära ett registerutdrag, se avsnitt 7.
Om du vill gå direkt till ett specifikt avsnitt av informationen, kan du använda följande länkar.
- Personuppgifter som vi samlar in
- Vad personuppgifterna används till och med vilken rättslig grund
- Vem vi delar vi dina personuppgifter med
- Hur länge vi sparar dina personuppgifter
- Profilering och automatiserat beslutsfattande
- Säkerhet och tredjelandsöverföringar
- Dina rättigheter och hur du begär spärr mot direktmarknadsföring
- Kontakt och klagomål
- Behandling relaterad till överlåtelse av lån till dotterbolag inom ramen för s.k. värdepapperiseringar
1. Personuppgifter som vi samlar in
1.1 Information som samlas in från dig
Personuppgifter samlas främst in direkt från dig, exempelvis i samband med att du ingår ett avtal med oss, använder våra tjänster och produkter eller kontaktar oss i ett annat ärende i någon av våra kanaler. Som ny kund ber vi dig till exempel om identifierings- och kontaktuppgifter som namn, personnummer, e-postadress och telefonnummer. Om du ansöker om ett lån eller kreditkort ber vi dig om ytterligare information om dina ekonomiska och personliga förhållanden, såsom skulder, inkomst- och utgiftsuppgifter och familjeförhållanden, för att kunna bedöma om vi kan erbjuda dig produkten eller tjänsten som du är intresserad av.
Vid inloggningar på vår hemsida och vid signering av avtal behandlas information om BankID eller mobilcertifikat. Vid användning av hemsidan behandlas IP-adresser, se vidare i vår informationstext om cookies.
För Nordax Bank spelar vi in alla inkommande och utgående samtal, för din och vår säkerhet. För Bank Norwegian spelar vi in inkommande samtal, om du inte har valt att samtalet inte ska spelas in. Se lagringstider i avsnitt 4.
1.2 Information som samlas in från andra källor
Vi samlar även in uppgifter från andra källor än direkt från dig. Om du ansöker om ett lån eller kreditkort via en låneförmedlare inhämtar vi uppgifter som du har uppgett till förmedlaren för att kunna behandla din ansökan. Vi hämtar även uppgifter från kreditupplysningsföretag och andra externa register, exempelvis Suomen Asiakastieto Oy och det positiva kreditupplysningsregistret, för att försäkra oss om att dina uppgifter är korrekta och för att få information om dina befintliga och tidigare krediter. Om du har samtyckt till det, inhämtas även kontoinformation och transaktionshistorik från din bank via en av dig godkänd leverantör av kontoinformationstjänster.
Namn och adressuppgifter uppdateras löpande via Myndigheten för digitalisering och befolkningsdata.
I samband med utförande av betalningstransaktioner inhämtar vi upplysningar från avsändare, betalningsleverantörer och butiker.
Som ett led i vårt arbete med att bekämpa penningtvätt och finansiering av terrorism kan vi inhämta personuppgifter från andra banker, myndigheter, sanktionslistor (som tillhandahålls av internationella organisationer som EU och FN, liksom nationella organisationer som OFAC - Office of Foreign Asset Control) och andra kommersiella informationstjänster som exempelvis ger information om personer i politiskt utsatt ställning.
1.3 Kategorier av personuppgifter
Personuppgifter vi behandlar kan huvudsakligen delas in i följande kategorier:
Visa kategorier
- Identifieringsinformation: t.ex. namn, personnummer, kundnummer, IP-adress
- Kontaktinformation: t.ex. bostadsadress, telefonnummer, e-postadress
- Autentiseringsinformation: t.ex. autentiseringsmetod, elektronisk signatur, utfärdarbank av elektronisk ID
- Ansökansinformation: t.ex. ålder, civilstånd, barn och andra medlemmar i hushållet, medborgarskap, skatterättslig hemvist, utländskt skatteregistreringsnummer, boendeform, anställningsform, avslag eller godkänd kredit
- Finansiell information: t.ex. skulder, tillgångar, inkomster och utgifter, kreditupplysning, kredithistorik, kreditvärdighet
- Kundkommunikation: t.ex. korrespondens (e-post, brev m.m.), klagomål, telefonsamtal, loggar i vårt kundsystem
- Kundengagemang: information om de produkter och avtal du har, hur mycket och hur ofta de används, om produkterna/tjänsterna är aktiverade, inaktiverade eller spärrade, produktspecifika detaljer för din produkt (konto/lån/kreditkort/försäkring) som transaktioner, kreditbelopp, säkerheter, kontonummer, kortnummer, intjänad bonus
- Betalningsinformation: t.ex. avsändare, mottagare, belopp, kontonummer och annan transaktionsdata
- Kravinformation: t.ex. sena betalningar och återbetalningsplaner
- AML-information (Anti-Money Laundering): information i samband med kundkontroll och utredning om misstänkta transaktioner i syfte att förhindra penningtvätt och finansiering av terrorism, inkl. slagning mot sanktionslistor, PEP (Politically Exposed Person, person i politiskt utsatt ställning) m.m. Informationen kan omfatta uppgifter om lagöverträdelser.
- Digitalt beteende/preferenser: digital aktivitet, t.ex. läs- och beteendehistorik från app, webbplats eller elektronisk kommunikation vi skickar ut.
2. Vad personuppgifterna används till och med vilken rättslig grund
Här kan du se för vilka ändamål vi behandlar dina personuppgifter och vilken rättslig grund vi stödjer behandlingen på.
2.1 Mer information om de rättsliga grunder som vi använder oss av
Vi baserar huvudsakligen vår behandling av personuppgifter på följande rättsliga grunder:
- Fullgörande av avtal – när behandlingen är nödvändig för att ingå eller fullgöra ett avtal med dig, enligt GDPR artikel 6.1.b.
- Rättslig förpliktelse – när behandlingen krävs för att NOBA ska kunna fullgöra en rättslig förpliktelse, enligt GDPR artikel 6.1.c.
- Intresseavvägning – när behandlingen är nödvändig för att tillgodose ett berättigat intresse och NOBA har bedömt att vårt intresse av att behandla uppgifterna väger tyngre än ditt intresse av att uppgifterna inte behandlas, enligt GDPR artikel 6.1.f. Du har alltid rätt att invända mot behandling som grundar sig på en intresseavvägning och du kan även kontakta oss för att få närmare information om den bedömning som har gjorts, se kontaktuppgifter i avsnitt 8.
I vissa fall är istället ditt samtycke den rättsliga grunden för behandling av personuppgifter, enligt GDPR artikel 6.1.a. Exempel på när vi inhämtar samtycke för behandling av personuppgifter är för användning av vissa cookies och för beteendestyrd marknadsföring som inte kan baseras på en intresseavvägning.
Du har rätt att när som helst återkalla ditt samtycke. Vi har då fortsättningsvis ingen rätt att behandla uppgifterna med stöd av samtycket. För cookies ändrar du själv dina inställningar i din webbläsare, och för vissa av våra tjänster kan du ändra dina val för marknadsföring genom att logga in via vår hemsida. Om du i övrigt vill återkalla ditt samtycke, hittar du våra kontaktuppgifter i avsnitt 8.
2.2 Ändamål och rättsliga grunder
Här beskrivs för vilka ändamål vi behandlar personuppgifter. Under varje ändamål framgår en övergripande beskrivning av behandlingen och vilken rättslig grund vi stödjer behandlingen på. För närmare beskrivning av de olika kategorierna av personuppgifter som nämns, se avsnitt 1.3.
a) Förberedelse och administration av avtal
Beskrivning
Vi behöver behandla identifierings- och kontaktinformation, ansökansinformation, finansiell information, betalningsinformation, kundengagemang och kundkommunikation för att kunna ingå och fullgöra vårt avtal med dig, t.ex hantera din ansökan, dokumentera avtalet och händelser avseende produkten/tjänsten under avtalsförhållandet, skicka fakturor och kontoutdrag och ge dig service och support via vår kundtjänst. Vid inloggningar på vår hemsida och vid signering av avtal behandlas autentiseringsinformation.
Rättslig grund
Fullgörande av avtal.
b) Kreditprövning
Beskrivning
Vi behöver behandla identifieringsinformation, ansökansinformation, finansiell information och kravinformation för att genomföra en kreditprövning i enlighet med lagkrav, avseende att inhämta tillräckliga uppgifter för att bedöma kundens betalningsförmåga och för att dokumentera kreditprövningen, och även för att avgöra om krediten ligger inom ramen för den kreditrisk som vi vill ta. Behandlingen omfattar automatiserat beslutsfattande, se avsnitt 5.
Rättslig grund
Delvis rättslig förpliktelse och delvis intresseavvägning baserat på bankens berättigade intresse att hantera sina kreditrisker.
c) Avslagshantering
Beskrivning
Vi behandlar identifierings- och kontaktinformation, ansökansinformation och finansiell information för personer som har fått avslag på en kreditansökan för att kunna informera om avslaget och hantera eventuell omprövning.
Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att ha kvar informationen för att kunna hantera kommunikation med den registrerade och eventuell omprövning.
d) Kontroller och övervakning för att motverka bedrägerier
Beskrivning
Vi behandlar samtliga kategorier av personuppgifter för att förebygga, upptäcka och utreda bedrägerier.
Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att hantera bedrägeririsker samt uppfylla rättsliga förpliktelser gällande riskhantering.
e) Kontroller och övervakning för att motverka penningtvätt och finansiering av terrorism
Beskrivning
Vi behandlar samtliga kategorier av personuppgifter för att uppnå kundkännedom och för att upptäcka, utreda och rapportera misstankar om penningtvätt och finansiering av terrorism i enlighet med de krav som ställs i gällande lagstiftning. Vi genomför även kontroll av personuppgifter mot sanktionslistor som vi enligt lag eller myndighetsbeslut är skyldig att genomföra för att säkerställa att det inte finns hinder mot att genomföra vissa banktjänster.
Rättslig grund
Rättslig förpliktelse och, till den del behandlingen inte är en uttrycklig rättslig förpliktelse, intresseavvägning baserat på bankens berättigade intresse att uppfylla den rättsliga förpliktelsen.
f) Uppfylla andra administrativa skyldigheter och förpliktelser enligt lag eller myndighetsbeslut
Beskrivning
Vi behöver behandla samtliga kategorier av personuppgifter för att uppfylla vissa rättsliga förpliktelser relaterat till bl.a. bokföringsskyldighet, interna kontroller och rapporteringsskyldighet till Skatteverket, Polismyndigheten, Kronofogdemyndigheten, Finansinspektionen och andra svenska myndigheter eller myndigheter i annat EU/EES-land. Vi behöver även behandla personuppgifter för att uppfylla lagstiftning om tillgång till betaltjänster, lagstiftning om riskhantering, bland annat uppgifter om kredittagare och krediter för kvalitetsbedömning av krediter för kapitaltäckningsändamål, samt för att hantera registrerades rättigheter enligt GDPR.
Rättslig grund
Rättslig förpliktelse och, till den del behandlingen inte är en uttrycklig rättslig förpliktelse, intresseavvägning baserat på bankens berättigade intresse att uppfylla den rättsliga förpliktelsen.
g) Rapportering om lån och krediter
Beskrivning
Vi rapporterar status på lån och krediter till Soumen Asiakastieto Oy och till det positiva kreditupplysningsregistret som administreras av Skatteförvaltningen.
Rättslig grund
Rättlig förpliktelse avseende rapportering till det positiva kreditupplysningsregistret. Rapporteringen till Soumen Asiakastieto grundas på intresseavvägning baserat på bankens och andra kreditgivares intresse att kunna dela information och fatta bättre kreditbeslut och därmed också motverka överskuldsättning och kreditförluster.
h) Säkerställa nätverks- och informationssäkerhet
Beskrivning
Vi behöver i vissa fall behandla personuppgifter såsom identifieringsinformation, autentiseringsinformation och kundengagemang för att kontrollera din identitet och vad du gör när du använder våra tjänster, för att skydda våra system från obehörig, olovlig eller olaglig användning eller för att motverka störningar och hantera incidenter. Vi har även viss kamerabevakning och registrerar besökare på bankens kontor.
Rättslig grund
Intresseavvägning baserat på bankens intresse att säkerställa nätverks- och informationssäkerhet samt uppfylla rättsliga förpliktelser gällande säkerhetskrav för banker.
i) Kundanalyser som syftar till att hantera kreditrisk och förbättra vår bedömning av kreditrisk och kreditvärdighet
Beskrivning
Personuppgifter såsom finansiell information och kravinformation används för att löpande bedöma bankens kreditrisker och utveckla bankens kreditmodeller och -processer. Personuppgifter från kreditansökningar används som underlag för analyser för att bedöma kreditrisker och kreditvärdighet. Detta görs i syfte att få ett så träffsäkert underlag som möjligt för framtida krediter.
Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att hantera kreditrisker samt säkerställa bästa möjliga underlag för sina kreditriskmodeller för att fatta bättre kreditbeslut och därmed också motverka överskuldsättning och kreditförluster.
j) Marknads- och kundanalyser för att förbättra våra produkter och tjänster
Beskrivning
Personuppgifter från de flesta kategorier behandlas för utförande av marknads- och kundanalyser som ett led i vår affärsutveckling för att förbättra våra produkter och tjänster och för systemutveckling. För underhålls- och utvecklingsarbete använder vi pseudonymiserade uppgifter (som inte direkt kan kopplas till en specifik individ) där det är möjligt och säkerställer att de personuppgifter som används minimeras.
Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att utveckla sina produkter och tjänster.
k) Marknadsföring, inklusive administration och analys av kampanjer samt hantering av spärrlista
Beskrivning
Vi använder kontaktinformation för utskick av nyhetsbrev och erbjudanden. Vi använder även kundkommunikation, kundengagemang, och i vissa fall kravinformation och finansiell information, för att göra en enkel anpassning av marknadsföringen för att du ska få erbjudanden som är relevanta för just dig. Vi kan även använda sådan information samt digitalt beteende/preferenser för att göra enklare anpassningar av användarupplevelsen så att du bland annat enklare kan hitta det du klickade på senast. Om du begär direktreklamspärr behandlar vi din kontaktinformation för att säkerställa att vi inte skickar någon marknadsföring till dig.
Rättslig grund
Intresseavvägning baserat på bankens berättigade intressen att dels marknadsföra sina produkter till sina kunder, dels säkerställa att direktreklam inte skickas till kunder som begärt spärr.
l) Beteendestyrd marknadsföring och marknadsföring från samarbetsparter
Beskrivning
Om du samtyckt till det, kopplar vi ihop information om digitalt beteende/preferenser med andra uppgifter såsom kundkommunikation, kundengagemang, och i vissa fall kravinformation och finansiell information, så att vi kan anpassa användarupplevelsen och marknadsföringen baserat på en mer ingående analys, exempelvis utifrån på vilka köp du har gjort med ditt kreditkort. Vi kan även, baserat på ditt samtycke, använda dina kontaktuppgifter för att du ska få marknadsföring från någon av våra samarbetsparter, exempelvis försäkringsbolag.
Rättslig grund
Samtycke.
m) Användning av cookies och annan spårningsteknik
n) Upprätthålla en god kundservice
Beskrivning
Vi använder bland annat kundkommunikation som underlag för utbildning, kvalitetssäkring och uppföljning av våra medarbetare. Vi kan även kontakta dig för att genomföra kundnöjdhetsundersökning.
Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att upprätthålla en god kundservice och säkerställa att kunderna får ett bra och korrekt bemötande.
o) Fastställande, utövande eller försvar av rättsliga anspråk (såsom klagomål, inkassoåtgärder, tvister och juridiska processer)
Beskrivning
Vi behandlar personuppgifter utifrån vad som är nödvändigt för att kunna hantera klagomål, tvister, säkerställa att betalning sker av förfallen kredit i form av indrivning av skuld via inkasso m.m.
Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att hantera sina rättsliga anspråk. Den rättsliga grunden kan också vara fullgörande av avtal (vid vissa inkassoåtgärder) eller rättslig förpliktelse (vid viss hantering av klagomål) beroende på vad anspråket avser.
p) Försäljning av nödlidande lån
Beskrivning
Vi säljer i vissa fall s.k. nödlidande lån (lån med sena betalningar) till tredje part, som då inom ramen för bibehållen banksekretess tar del av information om lånen både före (huvudsakligen i avidentifierat/maskerat format) och efter försäljningen. Vid försäljning av ditt lån kommer du informeras särskilt om det.
Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att hantera sina kreditrisker.
q) Överlåtelse av lån till dotterbolag inom ramen för s.k. värdepapperisering
Beskrivning
Vi överlåter regelbundet vissa lån och tillhörande rättigheter till dotterbolag inom ramen för s.k. värdepapperiseringar. Värdepapperiseringar är en del av bankens strategi för att uppbära finansiering. I samband med en värdepapperisering fortsätter vi dock att administrera de överlåtna lånen och vara din kontakt i samtliga ärenden som rör ditt lån. Vid överlåtelse av ditt lån kommer du informeras särskilt om det. Se vidare information i avsnitt 9.
Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att säkra sin finansiering.
3. Vem vi delar vi dina personuppgifter med
Behandling av dina personuppgifter kan, inom ramen för regler om banksekretess, ske av bolag inom vår koncern för ändamål som anges ovan och av företag som koncernen samarbetar med för att utföra sina tjänster, exempelvis Suomen Asiakastieto Oy, Posti Oy, Myndigheten för digitalisering och befolkningsdata, andra banker, kreditmarknadsbolag, kreditförmedlare, inkassobolag, marknadsförings- och analysföretag, tryckerier och försäkringsinstitut. Utlämnande kan även ske till andra parter som är inblandade i en betalningstransaktion i den mån det är nödvändigt för att genomföra transaktionen på ett säkert sätt. Information om dina krediter lämnas ut till det positiva kreditupplysningsregistret som administreras av Skatteförvaltningen. Försummelse av betalningsförpliktelser kan komma att rapporteras till Soumen Asiakastieto Oy:s register över betalningsstörningar. Personuppgifter kan även komma att lämnas till berörda myndigheter i enlighet med de rättsliga förpliktelser som banken har, såsom till Skatteförvaltningen, Polisen, Finansinspektionen och andra myndigheter eller myndigheter i annat EU/EES-land.
Personuppgifter kan även lämnas till externa köpare, finansiärer och dess rådgivare för att hantera verksamhetsförändringar såsom sammanslagning eller försäljning och finansiering av verksamheten. Du kan läsa mer om hur dina personuppgifter behandlas vid överlåtelse av lån till våra dotterbolag (vid s.k. värdepapperisering) under avsnitt 9 nedan.
4. Hur länge vi sparar dina personuppgifter
Dina personuppgifter sparas endast så länge det är nödvändigt för de ändamål för vilka banken behandlar uppgifterna (se ovan avsnitt 2.2). Det innebär bl.a. att de personuppgifter som har betydelse för det avtalsrättsliga förhållandet mellan dig och banken kommer att sparas så länge det finns ett avtalsförhållande, exempelvis ett konto för insättning, utbetald kredit eller leverantörsavtal, och därefter i högst 10 år med hänsyn till regler om preskription.
Personuppgifter som behandlas för att uppfylla kraven i penningtvättslagstiftningen sparas normalt i 5 år efter att kundrelationen har upphört, men fristen kan i vissa fall förlängas upp till 10 år. Om någon affärsförbindelse inte har uppstått mellan dig och banken, räknas tiden istället från tidpunkten då åtgärden eller transaktionen, som utlöste kraven i penningtvättslagstiftningen, genomfördes.
Personuppgifter som behandlas för att uppfylla kraven i bokföringslagstiftning sparas i 7 år i enlighet med svensk lagstiftning och i vissa fall i 10 år i enlighet med norsk lagstiftning, som gäller för vår filial.
Om du inte ingår avtal med oss, exempelvis om du inte får en kredit som du sökt, sparas personuppgifterna som vi samlat in i samband med ansökan normalt i 3 till 12 månader beroende på kreditprodukt (i identifierbart skick i ansökningssystemet) räknat från dagen då du fick ett besked från oss. Uppgifterna kan i vissa fall komma att sparas längre på grund av exempelvis penningtvättlagstiftningen eller som nämnts ovan under 2.2.i, som analysunderlag (i pseudonymiserat format) för bedömning av kreditrisk och framtagande av kreditriskmodeller. Sådant analysunderlag sparas i högst 6 år om det inte finns ett avtalsförhållande. För kunder som vi har avtalsförhållande med sparas analysunderlaget under avtalsförhållandet och därefter i högst 10 år.
För Nordax Bank raderas inspelade telefonsamtal normalt efter 7 dagar men samtal kan i vissa fall sparas längre om det behövs för att dokumentera ett avtal (normalt 5 år, men för vissa försäkringsavtal upp till 10 år) eller för utbildnings- och kvalitetssäkring samt hantering av klagomål eller annat utredningsbehov (3 mån).
För Bank Norwegian raderas inspelade telefonsamtal efter 30 dagar.
5. Profilering och automatiserat beslutsfattande
Profilering innebär en automatisk behandling av befintliga eller potentiella kunders personuppgifter som används för att bedöma vissa personliga egenskaper hos dem, för att analysera eller förutsäga exempelvis dennes ekonomiska situation, personliga preferenser, intressen och vistelseort. Profilering används av oss för exempelvis marknads- och kundanalyser, systemutveckling, marknadsföring, vid automatiserade beslut (se nedan) och vid transaktionsmonitorering för att motverka bedrägerier.
Vid ansökan om privatlån, kreditkort eller vid utökning av befintlig kredit använder vi oss av automatiserat beslutsfattande, som även omfattar profilering, som kan få betydande påverkan på kunden i form av ett avslag på en kreditansökan. De automatiserade besluten baseras på de ekonomiska uppgifter kunden lämnar i sin ansökan, uppgifter som vi inhämtar från kreditupplysningsföretag och andra externa register (se ovan under 1.2) samt eventuell intern information om kunden (t.ex. betalningshistorik eller tidigare avslag). Den information vi samlar in utvärderas automatiskt mot våra interna modeller och minimikrav gällande likviditet och betalningsförmåga. Detta avgör om ansökan kommer att beviljas och om aktuellt, kreditens storlek. Vi är skyldiga att bedöma kreditvärdigheten hos personer som söker kredit hos oss, och det automatiserade beslutsfattandet är nödvändigt för att avtal ska kunna ingås på ett objektivt och effektivt sätt.
I de fall ett kreditbeslut har grundats enbart på automatiserad behandling, har kunden alltid rätt att få beslutet omprövat av en av våra handläggare. Om du har frågor om vårt automatiserade beslutsfattande kan du kontakta oss, se kontaktuppgifter i avsnitt 8.
6. Säkerhet och tredjelandsöverföringar
En trygg och säker hantering av din personliga information är central för vår verksamhet. Vi använder lämpliga tekniska, organisatoriska och administrativa säkerhetsåtgärder för att skydda dina personuppgifter mot bl.a. förlust och obehörig åtkomst. Endast de personer hos oss som behöver behandla personuppgifter har tillgång till uppgifterna. I de fall vi behöver överföra personuppgifter till samarbetspartners eller leverantörer, säkerställer vi genom avtal och kontroller att även motparten upprätthåller lämplig skyddsnivå.
Personuppgifter överförs endast till länder utanför EU respektive EES (så kallat tredjeland) om det är nödvändigt och enbart efter säkerställande att överföring sker i enlighet med de regler som gäller för tredjelandsöverföring. Om en tjänsteleverantör används i ett tredjeland, t.ex. i samband med teknisk support, är leverantören tvungen att, utöver de förpliktelser som framgår av våra skriftliga instruktioner, följa den europeiska standarden för dataskydd exempelvis genom att underteckna EU-kommissionens standardavtalsklausuler och vid behov vidta kompletterande skyddsåtgärder. En överföring till ett tredjeland kan även baseras på att EU-kommissionen har fattat beslut om att landet har en adekvat skyddsnivå för personuppgifter (adekvansbeslut).
Information om vilka länder som EU-kommissionen har fattat adekvansbeslut för finns här: Adequacy decisions | Europeiska kommissionen (europa.eu)
EU-kommissionens standardavtalsklausuler finns tillgängliga här: Standard Contractual Clauses (SCC) - European Commission (europa.eu)
Du kan kontakta dpo@nordax.se eller dpo@banknorwegian.fi för att få mer information om överföringar till tredjeland och våra skyddsåtgärder vid sådana överföringar.
7. Dina rättigheter och hur du begär spärr mot direktmarknadsföring
Här beskrivs vilka rättigheter du har enligt GDPR och hur du gör om du vill utnyttja någon av rättigheterna.
- Rätt till tillgång – du har rätt att få veta vilka personuppgifter som vi behandlar om dig och kan begära en kopia av dessa (s.k. registerutdrag).
- Rätt till rättelse - du har rätt att få felaktiga personuppgifter rättade.
- Rätt till radering – du har rätt att under vissa förutsättningar få dina personuppgifter raderade.
- Rätt till begränsning – du har rätt att kräva att vi i vissa fall begränsar vår behandling av dina personuppgifter, t.ex. under tiden vi kontrollerar om uppgifterna ska rättas eller raderas.
- Rätt till invändning – i de fall vi grundar vår behandling på vårt berättigade intresse, baserat på en intresseavvägning, har du rätt att invända mot personuppgiftsbehandlingen. Vi kommer då att göra en ny intresseavvägning.
- Rätt till dataportabilitet – du har rätt att under vissa förutsättningar få ut dina personuppgifter i ett maskinläsbart format och rätt att överföra uppgifterna till en annan personuppgiftsansvarig.
Det är inte alltid möjligt att radera dina uppgifter eller begränsa behandlingen av dem, exempelvis när vi behöver uppgifterna för att administrera dina avtal eller för att uppfylla lagkrav. I vissa fall kan vi inte heller lämna ut uppgifter i samband med ett registerutdrag, t.ex. uppgifter som omfattar någon annan, affärshemligheter eller om uppgifterna inte får lämnas ut enligt lag. Vi kommer att bedöma din begäran i varje enskilt fall.
För att utnyttja någon av dina rättigheter kan du alltid kontakta oss genom de kontaktuppgifter som anges i avsnitt 8. Vi har även specifika processer för våra olika varumärken som du kan använda enligt nedan. Ditt registerutdrag kommer att omfatta alla uppgifter vi behandlar, oavsett varumärke, om det inte av din begäran framgår att du önskar informationen för ett specifikt varumärke.
Nordax Bank:
Om du vill begära ett registerutdrag, dvs. få information om vilka personuppgifter vi behandlar om dig, eller om du vill avregistrera dig från reklamutskick eller utnyttja någon annan av dina rättigheter enligt GDPR, var vänlig kontakta oss på 030 603 6060 eller via e-post DPOrequest@nordax.se.
Bank Norwegian:
Du kan själv ändra dina inställningar för reklamutskick från Bank Norwegian på din internetbank som du når genom att logga in via vår hemsida. Om du vill utnyttja någon annan av dina rättigheter, kontakta vår kundtjänst på 09 31584500 eller dpo@banknorwegian.fi.
8. Kontakt och klagomål
Om du vill utnyttja någon av dina rättigheter, se specifika processer för våra olika varumärken ovan i avsnitt 7. Du kan också alltid nå oss på kontaktuppgifterna nedan och är välkommen att kontakta oss om du har några frågor kring vår behandling av dina personuppgifter.
NOBA Bank Group AB (publ)
Adress Nordax Bank: Box 23124, 104 35 Stockholm, Sweden
Adress Bank Norwegian: Postboks 110, 1325 Lysaker, Norway
Tel Nordax Bank: 030 603 6060
Tel Bank Norwegian: 09 31584500
E-post Nordax Bank: DPOrequest@nordax.se, dpo@nordax.se
E-post Bank Norwegian: dpo@banknorwegian.fi
Om du har synpunkt eller klagomål på hur vi behandlar dina personuppgifter är du välkommen att kontakta vårt dataskyddsombud på dpo@nordax.se eller dpo@banknorwegian.fi eller via övriga kontaktuppgifter ovan. Du har även rätt att lämna klagomål till dataombudsmannens byrå (www.tietosuoja.fi) eller till svenska Integritetsskyddsmyndigheten (www.imy.se). Vi uppmanar dig dock att kontakta oss först, så att vi kan titta på ditt ärende och klargöra eventuella missförstånd.
9. Behandling relaterad till överlåtelse av lån till dotterbolag inom ramen för s.k. värdepapperiseringar
Vi överlåter regelbundet vissa lån till dotterbolag inom ramen för s.k. värdepapperiseringar, se ovan avsnitt 2.2.q. Värdepapperiseringar är en del av bankens strategi för att uppbära finansiering. Om ditt lån skulle bli föremål för en sådan överlåtelse kommer du att informeras särskilt om det. Här kan du läsa mer om vilken personuppgiftsbehandling en sådan överlåtelse innebär och dotterbolagets och externa parters personuppgiftsansvar i samband med en överlåtelse.
Information om behandling och personuppgiftsansvar
I samband med överlåtelsen utses banken att administrera lånet och vi kommer därför fortsatt att vara personuppgiftsansvariga för den behandling av personuppgifter som administreringen av lånet innebär. Vi kommer även fortsatt vara din kontakt i samtliga ärenden som rör ditt lån (till dess att du får meddelande om annat).
I samband med överlåtelsen kan ditt lån komma att pantsättas av dotterbolaget till förmån för tredje part. Om ditt lån skulle bli föremål för en sådan pantsättning kommer du att informeras särskilt om det.
I samband med överlåtelsen av lånet kommer vi att föra över de uppgifter vi har om lånet, inklusive de personuppgifter som vi har om dig kopplade till lånet, till vårt dotterbolag för att möjliggöra för dotterbolaget att hantera det överlåtna lånet och pantsätta det som säkerhet för dess finansiering.
Med anledning av överlåtelsen av ditt lån och dotterbolagens pantsättning av detsamma kommer vi även regelbundet att rapportera eller ge åtkomst till viss information om lånet till följande externa mottagare: (i) de långivande externa aktörerna, potentiella investerare och Finansinspektionen, samt (ii) leverantörer av tjänster för administrationen av värdepapperiseringen, inklusive men inte begränsat till s.k. säkerhetsagenter, revisionsbolag och andra tredje parter som behöver ta del av informationen för att upprätta och förvalta värdepapperiseringen. Vi säkerställer alltid att de uppgifter som delas minimeras till det som är nödvändigt och att lämpliga säkerhetsåtgärder även i övrigt vidtas. Överföringen till mottagarna under (i) grundar sig på vår rättsliga skyldighet att lämna viss rapportering enligt EU:s förordning om värdepapperisering och överföringen till mottagarna under (ii) grundar sig på att behandlingen är nödvändig för ändamål som rör våra berättigade intressen (intresseavvägning).
I samband med att vi överlåter ditt lån och överför personuppgifter blir dotterbolaget också personuppgiftsansvarig för sin egen behandling av dina personuppgifter för sina egna ändamål. Vi beskriver i de följande avsnitten den behandling av personuppgifter som utförs av våra dotterbolag med anledning av överlåtelse och pantsättning av lån.
Våra dotterbolags behandling av personuppgifter i samband med överlåtelse och pantsättning av lån
9.1 Personuppgiftsansvarig
Våra dotterbolag är vart och ett personuppgiftsansvarig för den behandling som beskrivs nedan. I samband med en överlåtelse av ditt lån till ett dotterbolag har du fått information om detta och om vilket dotterbolag som, utöver banken, är personuppgiftsansvarig för behandlingen av dina personuppgifter. Om du vill veta vilket av dotterbolagen som äger ditt lån är du välkommen att kontakta oss genom kontaktuppgifterna nedan.
9.2 Personuppgifter dotterbolagen behandlar om dig, ändamålet med behandlingen och rättslig grund
Det relevanta dotterbolaget kommer att behandla de personuppgifter som är kopplade till lånet och som har överförts från banken. Personuppgifterna kommer att behandlas för följande ändamål, för att:
(i) pantsätta ditt lån som säkerhet för dotterbolagets finansiering,
(ii) uppfylla dess förpliktelser enligt bokföringslagen och EU:s värdepapperiseringsförordning,
(iii) hantera din betalning av lånet, samt eventuellt
(iv) överlåta lånet till ett annat bolag inom NOBA-koncernen för att det ska kunna uppbära finansiering hos, och i samband med det pantsätta lånet till, en ny extern långivare.
Den rättsliga grunden är för ändamål (i) och (iv) är intresseavvägning baserat på dotterbolagets berättigade intresse att säkra sin finansiering, för ändamål (ii) att uppfylla dotterbolagets rättsliga förpliktelser och för ändamål (iii) att uppfylla dess förpliktelser enligt avtalet med dig.
9.3 Överföring av personuppgifter
Dotterbolaget kommer att överföra dina personuppgifter till den/de externa aktör/er från vilken dotterbolaget uppbär finansiering med ditt lån som säkerhet samt andra externa parter involverade i upprättandet och förvaltningen av värdepapperiseringen. Dotterbolaget kan exempelvis överföra personuppgifter till en tredje part för administrering av säkerheter, en så kallad säkerhetsagent, som är separat personuppgiftsansvarig. I vissa fall använder dotterbolaget också en tredje part för att förvara eventuella fysiska skuldebrev för dotterbolagets räkning. Den behandlingen regleras i så fall av ett personuppgiftsbiträdesavtal.
Därutöver kan personuppgifter, inom ramen för regler om banksekretess, föras över inom NOBA-koncernen.
Personuppgifter kan i vissa fall behandlas utanför EU/EES (i s.k. tredjeland). I den utsträckning tredjelandet inte är föremål för ett beslut om adekvat skyddsnivå tillämpar dotterbolagen EU-kommissionens standardavtalsklausuler för alla tredjelandsöverföringar. Vid behov har kompletterande skyddsåtgärder vidtagits.
Information om vilka länder som EU-kommissionen har fattat adekvansbeslut för finns här: Adequacy decisions | Europeiska kommissionen (europa.eu). EU-kommissionens standardavtalsklausuler finns tillgängliga här: Standard Contractual Clauses (SCC) | Europeiska kommissionen (europa.eu).
Om du vill få mer information om eventuella överföringar till tredjeland från ett visst dotterbolag och skyddsåtgärder vid sådana överföringar, se kontaktuppgifter nedan.
9.4 Så länge sparar dotterbolagen dina personuppgifter
Dotterbolagen sparar inte dina personuppgifter längre än nödvändigt. Det innebär bl.a. att dina personuppgifter kommer att sparas så länge det finns ett avtalsförhållande och därefter i högst 10 år med hänsyn till regler om preskription. Andra tidsfrister kan också gälla när personuppgifter sparas för andra syften än på grund av avtalsförhållandet och är för att banken ska uppfylla gällande lagstiftning avseende exempelvis motverkade av penningtvätt (upp till 10 år) och bokföring (7 år).
9.5 Dina rättigheter
Dina rättigheter beskrivs ovan i avsnitt 7.
9.6 Kontakt
Om du har frågor om hur något visst dotterbolag behandlar dina personuppgifter är du välkommen att kontakta vårt dataskyddsombud, dpo@nordax.se eller via telefon 030 603 6060.