Personoplysninger

1.1 Information som indsamles fra dig
Personoplysninger indsamles primært direkte fra dig, f.eks. i forbindelse med at du indgår en aftale med os, bruger vores tjenester og produkter eller kontakter os i en anden sag i en af vores kommunikationskanaler. Som ny kunde beder vi dig for eksempel om identifikations- og kontaktoplysninger som navn, CPR-nummer, e-mailadresse og telefonnummer. Hvis du ansøger om et lån eller kreditkort, beder vi dig om yderligere information om dine økonomiske og personlige forhold, såsom gæld, indkomst- og udgiftsoplysninger og familieforhold, for at kunne vurdere, om vi kan tilbyde dig det produkt eller den tjeneste, du er interesseret i. Ved logins på vores hjemmeside og ved underskrivelse af aftaler behandles information om MitID. Ved brug af hjemmesiden gemmes IP-adresser, se mere i vores informationstekst om cookies.

For Nordax Bank optager vi alle indgående og udgående opkald for din og vores sikkerhed. For Bank Norwegian optager vi indgående opkald, medmindre du har valgt, at opkaldet ikke skal optages. Se opbevaringstider i afsnit 4.

1.2 Information vi samler ind fra tredjeparter
Vi indsamler også oplysninger fra andre kilder end direkte fra dig. Hvis du ansøger om et lån eller kreditkort via en låneformidler, indhenter vi oplysninger, som du har oplyst til formidleren, for at kunne behandle din ansøgning. Vi indhenter også oplysninger fra kreditoplysningsbureauer og andre eksterne registre, f.eks. Folkeregisteret, Experian, KreditStatus og skattemyndighederne, for at sikre, at dine oplysninger er korrekte, og for at få information om dine eksisterende og tidligere kreditter. Hvis du har givet samtykke til det, indhentes også kontoinformation og transaktionshistorik fra din bank via godkendt leverandør af kontoinformationstjenester.

Navne- og adresseoplysninger opdateres løbende via Folkeregisteret.

I forbindelse med udførelse af transaktioner indhenter vi oplysninger fra afsendere, betalingsleverandører og butikker. Som led i vores arbejde med at bekæmpe hvidvaskning af penge og terrorfinansiering, kan vi indhente personoplysninger fra andre banker, myndigheder, sanktionslister (som leveres af internationale organisationer som EU og FN, samt nationale organisationer som OFAC - Office of Foreign Asset Control) og andre kommercielle informationstjenester, der f.eks. giver information om personer i politisk udsatte positioner.

Her kan du se til hvilke formål vi behandler dine personoplysninger og på hvilket retsgrundlag.

2.1 Mere information om de retsgrundlag, som vi benytter

Vi baserer hovedsageligt vores behandling af personoplysninger på følgende retslige grundlag:

• Opfyldelse af aftale – når behandlingen er nødvendig for at indgå eller opfylde en aftale med dig, jf. GDPR art. 6.1.b.
  
• Retlig forpligtelse – når behandlingen er nødvendig for at NOBA kan opfylde en retlig forpligtelse, jf. GDPR art. 6.1.c.
  
• Legitim interesse – når behandlingen er nødvendig for at varetage en legitim interesse, og NOBA har vurderet, at vores interesse i at behandle oplysningerne vejer tungere end din interesse i, at oplysningerne ikke behandles, jf. GDPR art. 6.1.f. Du har altid ret til at gøre indsigelse mod behandling, der er baseret på en legitim interesse, og du kan også kontakte os for at få nærmere information om den vurdering, der er foretaget, se kontaktoplysninger i afsnit 8.

I visse tilfælde er dit samtykke retsgrundlaget for behandling af personoplysninger, jf. GDPR art. 6.1.a. Eksempler på, hvornår vi indhenter samtykke til behandling af personoplysninger, er ved brug af visse cookies og til adfærdsbaseret markedsføring, som ikke kan baseres på en legitim interesse. Du har ret til når som helst at tilbagekalde dit samtykke. Vi har derefter ikke længere ret til at behandle oplysningerne med grundlag i samtykket. For cookies ændrer du selv dine indstillinger i din webbrowser, og for visse af vores tjenester kan du ændre dine valg for markedsføring ved at logge ind via vores hjemmeside. Hvis du i øvrigt ønsker at tilbagekalde dit samtykke, finder du vores kontaktoplysninger i afsnit 8.

2.2 Formål og retsgrundlag
Her beskrives, til hvilke formål vi behandler personoplysninger. Under hvert formål fremgår en overordnet beskrivelse af behandlingen og hvad retsgrundlaget er. For nærmere beskrivelse af de forskellige kategorier af personoplysninger, der nævnes, se afsnit 1.3

Behandlingen af dine personoplysninger kan, inden for rammerne af regler om bankhemmelighed, ske af selskaber inden for vores koncern til formål som angivet ovenfor og af virksomheder, som koncernen samarbejder med for at udføre sine tjenester, f.eks. Experian, Nets, MitID, andre banker, kreditmarkedsvirksomheder, kreditformidlere, inkassovirksomheder, markedsførings- og analysefirmaer, trykkerier og forsikringsselskaber. Videregivelse kan også ske til andre parter, der formidler betalingstransaktioner, i det omfang det er nødvendigt for at gennemføre transaktioner på en sikker måde. Information om dine kreditter bliver rapporteret til KreditStatus, som administreres af Experian. Personoplysninger kan også videregives til relevante myndigheder i overensstemmelse med de retlige forpligtelser, som banken har, såsom til SKAT, politiet, fogedretten, Finanstilsynet og andre myndigheder eller myndigheder i andre EU/EØS-lande.

Personoplysninger kan også videregives til eksterne købere, finansieringsselskaber og deres rådgivere for at håndtere forretningsændringer såsom fusion eller salg og finansiering af virksomheden.

Dine personoplysninger gemmes kun så længe, det er nødvendigt for de formål, som banken behandler oplysningerne til (se ovenstående afsnit 2.2. i). Det betyder bl.a., at de personoplysninger, der har betydning for det kontraktuelle forhold mellem dig og banken, vil blive gemt, så længe der eksisterer et kontraktforhold, f.eks. en indlånskonto, udbetalt kredit eller leverandøraftale, og derefter i højst 10 år i henhold til regler om forældelse.

Personoplysninger, der behandles for at opfylde kravene i hvidvasklovgivningen, gemmes normalt i 5 år efter, at kundeforholdet er ophørt, men fristen kan i visse tilfælde forlænges op til 10 år. Hvis der ikke er opstået et forretningsforhold mellem dig og banken, regnes tiden i stedet fra tidspunktet, hvor handlingen eller transaktionen, der udløste kravene i hvidvasklovgivningen, blev gennemført.

Personoplysninger, der behandles for at opfylde kravene i bogføringslovgivningen, gemmes i 7 år i overensstemmelse med svensk lovgivning og i visse tilfælde i 10 år i overensstemmelse med norsk lovgivning, som gælder for vores filial.

Hvis du ikke indgår en aftale med os, f.eks. hvis du ikke får en kredit, som du har ansøgt om, gemmes de personoplysninger, vi har indsamlet i forbindelse med ansøgningen, normalt i 3 til 12 måneder afhængigt af kreditproduktet (i identificerbar form i ansøgningssystemet) regnet fra den dag, du modtog en besked fra os. Oplysningerne kan i visse tilfælde gemmes længere på grund af f.eks. hvidvasklovgivningen eller som nævnt ovenfor under 2.2.i, som analysegrundlag (i pseudonymiseret format) til vurdering af kreditrisici og udarbejdelse af kreditrisikomodeller. Sådant analysegrundlag gemmes i højst 6 år, hvis der ikke findes et kontraktforhold. For kunder, som vi har et kontraktforhold med, gemmes analysegrundlaget under kontraktforholdet og derefter i højst 10 år.

For Nordax Bank slettes optagede telefonsamtaler normalt efter 7 dage, men samtaler kan i visse tilfælde gemmes længere, hvis det er nødvendigt for at dokumentere en aftale (5 år) eller til uddannelses- og kvalitetssikringsformål samt håndtering af klager eller andre undersøgelsesbehov (3 måneder).

For Bank Norwegian slettes optagede telefonsamtaler efter 30 dage.

Profilering indebærer en automatisk behandling af eksisterende eller potentielle kunders personoplysninger, som bruges til at vurdere visse personlige egenskaber hos dem, for at analysere eller forudsige f.eks. deres økonomiske situation, kundeadfærd, interesser og opholdssted. Profilering bruges af os til f.eks. markeds- og kundeanalyser, systemudvikling, markedsføring, ved automatiske afgørelser (se nedenfor) og ved transaktionsovervågning for at bekæmpe bedrageri.

Ved ansøgning om privatlån, kreditkort eller ved udvidelse af eksisterende kredit anvender vi automatiske afgørelser, som også omfatter profilering, hvilket kan have betydelig indvirkning på kunden i form af et afslag på en kreditansøgning. De automatiske afgørelser baseres på de økonomiske oplysninger, kunden giver i sin ansøgning, oplysninger som vi indhenter fra kreditoplysningsbureauer og andre eksterne registre (se ovenfor under 1.2) samt eventuelle interne oplysninger om kunden (f.eks. betalingshistorik eller tidligere afslag). De oplysninger, vi indsamler, evalueres automatisk mod vores interne modeller og minimumskrav vedrørende likviditet og betalingsevne. Dette afgør, om ansøgningen vil blive godkendt og i givet fald, kredittens størrelse. Vi er forpligtet til at vurdere kreditværdigheden hos personer, der søger kredit hos os, og den automatiske beslutningstagning er nødvendig for, at aftaler kan indgås på en objektiv og effektiv måde.

I de tilfælde, hvor en kreditbeslutning er baseret udelukkende på automatiske afgørelser, har kunden altid ret til at få beslutningen manuelt revurderet af en af vores sagsbehandlere. Hvis du har spørgsmål om vores automatiske afgørelser, kan du kontakte os, se kontaktoplysninger i afsnit 8.

En tryg og sikker håndtering af dine personlige oplysninger er central for vores virksomhed. Vi anvender passende tekniske, organisatoriske og administrative sikkerhedsforanstaltninger for at beskytte dine personoplysninger mod bl.a. tab og uautoriseret adgang. Kun de personer hos os, der har behov for at behandle personoplysninger, har adgang til oplysningerne. I de tilfælde, hvor vi har behov for at overføre personoplysninger til samarbejdspartnere eller leverandører, sikrer vi gennem aftaler og kontroller, at modparten også opretholder et passende sikkerhedsniveau.

Personoplysninger overføres kun til lande uden for EU og EØS (såkaldte tredjelande), hvis det er nødvendigt, og kun efter at have sikret, at overførslen sker i overensstemmelse med de regler, der gælder for tredjelandsoverførsler. Hvis en tjenesteudbyder anvendes i et tredjeland, f.eks. i forbindelse med teknisk support, er udbyderen forpligtet til, ud over de forpligtelser, der fremgår af vores skriftlige instruktioner, at følge den europæiske standard for databeskyttelse, f.eks. ved at underskrive EU-Kommissionens standardkontraktbestemmelser og om nødvendigt implementere supplerende foranstaltninger. En overførsel til et tredjeland kan også baseres på, at EU-Kommissionen har truffet beslutning om, at landet har et tilstrækkeligt beskyttelsesniveau for personoplysninger (adequacy decision).

Information om hvilke lande, som EU-Kommissionen har truffet afgørelser om tilstrækkelighed for, findes her: Adequacy decisions | Europeiska kommissionen (europa.eu)

EU-Kommissionens standardkontraktbestemmelser findes tilgængelige her:Standard ContractualClauses (SCC) | Europeiska kommissionen (europa.eu)

Du kan kontakte dpo@nordax.se eller dpo@banknorwegian.dk for at få mere information om overførsler til tredjelande og vores foranstaltninger ved sådanne overførsler.

Her beskrives hvilke rettigheder du har i henhold til GDPR, og hvordan du gør, hvis du vil udnytte nogen af rettighederne.

• Ret til indsigt – du har ret til at få at vide, hvilke personoplysninger vi behandler om dig, og kan anmode om en kopi af disse.
• Ret til berigtigelse – du har ret til at få forkerte personoplysninger rettet.
• Ret til sletning – du har ret til under visse forudsætninger at få dine personoplysninger slettet.
• Ret til begrænsning – du har ret til at kræve, at vi i visse tilfælde begrænser vores behandling af dine personoplysninger, f.eks. mens vi kontrollerer, om oplysningerne skal rettes eller slettes.
• Ret til indsigelse – i de tilfælde, hvor vi baserer vores behandling på vores legitime interesse, baseret på en legitim interesse, har du ret til at gøre indsigelse mod behandlingen af personoplysninger. Vi vil da foretage en ny interesseafvejning.
• Ret til dataportabilitet – du har ret til under visse forudsætninger at få dine personoplysninger i et maskinlæsbart format. Du har også ret til at anmode om, at vi overfører oplysningerne til en anden dataansvarlig.

Det er ikke altid muligt at slette dine oplysninger eller begrænse behandlingen af dem, for eksempel når vi har brug for oplysningerne til at administrere dine aftaler eller for at opfylde lovkrav. I visse tilfælde kan vi heller ikke udlevere oplysninger, f.eks. oplysninger, der vedrører en anden person, forretningshemmeligheder eller hvis oplysningerne ikke må udleveres i henhold til loven. Vi vil vurdere din anmodning i hvert enkelt tilfælde.

For at udnytte nogen af dine rettigheder kan du altid kontakte os gennem de kontaktoplysninger, der er angivet i afsnit 8. Vi har også specifikke processer for vores forskellige varemærker, som du kan bruge som beskrevet nedenfor. Dine personoplysninger vil omfatte alle oplysninger, vi behandler, uanset varemærke, medmindre det fremgår af din anmodning, at du ønsker informationen for et specifikt varemærke.

Nordax Bank:
Hvis du vil anmode om indsigt i dine personoplysninger, dvs. få information om hvilke personoplysninger vi behandler om dig, benytte dig afnogle af dineandre rettigheder jvf. GDPR, eller hvis du vil spærres for direkte markedsføring, kontakt os venligst på+46 8-508 808 00 eller DPOrequest@nordax.se.

Bank Norwegian:
Du kan selv ændre dine indstillinger for reklameudsendelser fra Bank Norwegian i netbanken, som du får adgang til ved at logge ind via vores hjemmeside. Hvis du vil anvende nogle andre af dine rettigheder, kontakt venligst vores kundeservice på 70 80 11 00 eller dpo@banknorwegian.dk.

Hvis du vil anvende nogle af dine rettigheder, se specifikke processer for vores forskellige varemærker ovenfor i afsnit 7. Du kan også altid nå os på kontaktoplysningerne nedenfor og er velkommen til at kontakte os, hvis du har spørgsmål omkring vores behandling af dine personoplysninger.

NOBA Bank Group AB (publ)
Adresse Nordax Bank: Box 23124, 104 35 Stockholm, Sverige
Adresse Bank Norwegian: Postboks 110, 1325 Lysaker, Norge
Tlf:Nordax Bank: +46 8-508 808 00
Tlf: Bank Norwegian: 70 80 11 00
E-mail Nordax Bank: DPOrequest@nordax.se, dpo@nordax.se
E-mail Bank Norwegian: dpo@banknorwegian.dk

Hvis du har spørgsmål til eller vil klage over, hvordan vi behandler dine personoplysninger, er du velkommen til at kontakte vores databeskyttelsesrådgiver på dpo@nordax.se eller dpo@banknorwegian.dk eller via de øvrige kontaktoplysninger ovenfor. Du har også ret til at indgive en klage til Datatilsynet på www.datatilsynet.dk eller til Integritetsskyddsmyndigheten, se  www.imy.se. Vi opfordrer dig dog til at kontakte os først, så vi kan se på din sag og afklare eventuelle misforståelser.