Integritet och sekretess - GDPR

Den korta versionen om dataskyddsförordningen (GDPR):

Dataskyddsförordningen eller GDPR har som syfte att förstärka din personliga integritet och ge dig full kontroll över de personuppgifter du delat med dig av på nätet. I korthet innebär det att företagen, men även myndigheter, framöver måste ha bättre kontroll på all information de samlar på sig via cookies eller andra applikationer. De måste på din begäran i detalj kunna presentera för dig vilka uppgifter de har om dig och om du så vill bli ”glömd” så måste de bevisa att så gjorts. Det gäller allt om dig som finns i ett kundregister, ett löne- eller personalregister (som namn, personnummer, e-postadresser) men även bilder och alla andra uppgifter som går att hänföra till dig. För att sätta kraft bakom GDPR så kan böter på upp till 20 miljoner Euro eller fyra procent av den globala årsomsättningen utdömas. Så räkna med att alla kommer följa den nya lagen. 


Den långa versionen:
Bankens behandling av personuppgifter enligt dataskyddsförordningen (GDPR)

Personuppgiftsansvarig är Sparbanken Syd. 

Med Kund avses en registrerad person som har eller avser ingå avtalsrelation med Banken, såsom exempelvis kund, borgensman eller pantsättare. Dessutom omfattas även annan sådan registrerad som banken i förekommande fall behandlar personuppgifter om, såsom betalare. gode män, förvaltare, fullmaktshavare, företrädare, kontaktpersoner och verkliga huvudmän.

Insamling av personuppgifter

Banken behandlar de personuppgifter som lämnas i samband med intresseanmälan, ansökan och/eller avtal eller som registreras i övrigt i samband med administrationen av ett avtal. De kategorier av personuppgifter som behandlas kan vara namn och personnummer, kontaktuppgifter (adress, e-post och telefonnummer), ekonomiska förhållanden (uppgift om inkomst mm.). Banken kan även komma att spela in telefonsamtal, spara e-postkommunikation eller på annat sätt dokumentera kundens interaktion och kommunikation med Banken. Namn och adressuppgifter uppdateras löpande via det statliga personadressregistret (SPAR).

Ändamål med personuppgiftsbehandlingen

Banken behandlar personuppgifterna för de ändamål som anges nedan i detta avsnitt. 

Förberedelse och administration av avtal (fullgörande av avtal)
Det huvudsakliga ändamålet med Bankens behandling av personuppgifter är att samla in, kontrollera och registrera de uppgifter som krävs inför ett ingående av ett avtal med kunden samt för att dokumentera, administrera och fullgöra ingångna avtal. Att Kunden tillhandahåller personuppgifter är en förutsättning för att Banken ska kunna ingå avtal med Kunden.

Uppfyllande av förpliktelser enligt lag, annan författning eller myndighetsbeslut (rättslig förpliktelse)
I anslutning till stycket ovan (Förberedelse och administration av avtal) sker också behandling av personuppgifter som krävs för att Banken ska kunna uppfylla sina förpliktelser enligt lag, annan författning eller myndighetsbeslut.

Exempel på sådan behandling är

  1. Bankens behandling av personuppgifter för att uppfylla kraven enligt bokföringslagstiftningen.

  2. Bankens behandling av personuppgifter i samband med åtgärder för att uppfylla kraven enligt penningtvättslagen.

  3. Bankens kontroll av personuppgifterna mot sanktionslistor som banken enligt lag eller myndighetsbeslut är skyldig att tillämpa i syfte att säkerställa att inte bristande förutsättningar föreligger för att genomföra vissa banktjänster.

  4. Bankens behandling av personuppgifter i samband med rapportering till Skatteverket, Polismyndigheten, Kronofogdemyndigheten, Finansinspektionen och andra myndigheter, såväl svenska som utländska.

  5. Bankens behandling av personuppgifter för att uppfylla lagstiftning angående riskhantering. Med riskhantering avses även behandling av uppgifter om kredittagare och krediter för kvalitetsbedömning av krediter för kapitaltäckningsändamål.

  6. Bankens behandling av personuppgifter för att uppfylla lagstiftning angående betaltjänster. Med sådana åtgärder avses bl.a. att ge s.k. tredjepartsbetaltjänst­leverantörer som har tillstånd att tillhandahålla tjänster avseende kontoinformation och/eller betalningsinitiering tillgång till personuppgifter samt bankens åtgärder avseende transaktionsmonitorering och bedrägerikontroll.

  7. Bankens behandling av personuppgifter för att uppfylla lagstiftning angående värdepapperstjänster.

Marknads- och kundanalyser samt systemutveckling och marknadsföring (berättigat intresse)
Personuppgifter behandlas också för utförande av marknads- och kundanalyser samt systemutveckling, som ett led i Bankens affärsutveckling i syfte att förbättra Bankens produkter och tjänster gentemot kunder. Kundanalyser görs även för att motverka bedrägerier. Personuppgifter kan även behandlas som underlag för marknadsföring.

Samtycke till behandling av personuppgifter

När den lagliga grunden för behandling av personuppgifter är samtycke får Kunden lämna ett sådant samtycke till att personuppgifterna får behandlas. Ett exempel när samtycke för behandling av personuppgifter krävs är när de personuppgifter som lämnas till Banken innehåller känsliga personuppgifter*.

Kunden har rätt att när som helst återkalla sitt samtycke. Banken har då fortsättningsvis ingen rätt att behandla uppgifterna med stöd av samtycket, varför de då inte längre kan läggas till grund för en ansökan eller ett avtal.

*Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.

Tider under vilka personuppgifter sparas

Personuppgifterna kommer att sparas så länge avtalsförhållandet består och därefter i högst 10 år med hänsyn till regler om preskription. I vissa fall kan uppgifterna komma att sparas längre tid på grund av lagstiftning om kapitaltäckning som banken måste uppfylla. Andra tidsfrister kan också gälla när personuppgifter sparas för andra syften än på grund av avtalsförhållandet och är för att banken ska uppfylla gällande lagstiftning avseende exempelvis motverkade av penningtvätt (5 år) och bokföring (7 år).

Om Kunden inte ingår avtal med Banken, sparas normalt personuppgifterna som längst 3 månader, men uppgifterna kan i vissa fall komma att sparas längre på grund av exempelvis penningtvättlagstiftningen.

Behandling av personuppgifter av annan än Banken 

Behandling av personuppgifterna kan, inom ramen för gällande regler om banksekretess,  ske av företag som Banken samarbetar med för att utföra sina tjänster, exempelvis Upplysningscentralen (UC), Bankgirocentralen (BGC), Finansiell ID-teknik (Mobilt bankid). Den rättsliga grunden för behandlingen är Bankens fullgörande av avtal eller på grund av bankens berättigade intresse.

Tredjelandsöverföring 

I vissa fall kan Banken komma att överföra personuppgifter till land utanför EU och EES (sk tredjeland) samt till internationell organisation. Sådan överföring sker endast under förutsättning att övriga regler i förordningen följs och att någon av nedanstående förutsättningar är uppfyllda:

  • EU-kommissionen tagit beslut om att det finns en adekvat skyddsnivå i det aktuella landet,
  • att det har vidtagits andra lämpliga skyddsåtgärder, t ex standardavtalsklausuler eller bindande företagsbestämmelser (sk. Binding Corporate Rules, BCRs),
  • det finns särskilt tillstånd av tillsynsmyndigheten,
  • det i övrigt är tillåtet enligt tillämplig dataskyddslagstiftning.
Kundens rättigheter

Kunden har rätt att få information om vilka personuppgifter om honom eller henne som behandlas av Banken och har därmed rätt att få ett registerutdrag från Banken .

Kunden har också rätt att vända sig till Banken för att 

  1. begära rättelse av felaktig eller ofullständig uppgift,
  2. begära radering eller begränsning av behandlingen av personuppgifter,
  3. invända mot behandlingen,
  4. under vissa förutsättningar, och om Banken behandlar personuppgifter med stöd av avtal eller samtycke, få en kopia av de personuppgifter från Banken som Kunden själv har tillhandahållit till Banken och rätt att få dessa överförda direkt till annan personuppgiftsansvarig om det är tekniskt möjligt (dataportabilitet).

Kundens begäran och/eller invändning enligt ovan prövas av Banken i det enskilda fallet. I vissa fall kan Banken inte radera uppgifter, eller begränsa behandlingen av dessa, antingen för att uppgifterna behöver sparas p.g.a. avtalsförhållande eller på grund av lagstiftning.

Profilering och automatiserade beslut

Profilering
Med profilering avses automatisk behandling av personuppgifter som används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga exempelvis dennes ekonomiska situation, personliga preferenser, intressen och vistelseort.

Profilering används av Banken för exempelvis marknads- och kundanalyser, systemutveckling, marknadsföring, vid automatiserade beslut (se nedan) och vid transaktionsmonitorering för att motverka bedrägerier. Den rättsliga grunden för profilering är Bankens berättigade intresse, rättslig förpliktelse, fullgörande av avtal eller samtycke. I fall samtycke är den rättsliga grunden kommer Kunden att få lämna ett samtycke till behandlingen.

Automatiserade beslut
Banken använder sig i vissa fall av automatiserat beslutsfattande. Det kan exempelvis vara ett automatiserat godkännande/avslag på en kreditansökan via internet.

Kunden har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för Kunden eller i betydande grad påverkar Kunden på annat sätt. Banken har dock rätt att använda sig av automatiserat beslutsfattande om det är nödvändigt för ingående eller fullgörande av ett avtal mellan Kunden och Banken eller om kunden har gett sitt samtycke.

Spärr mot direktmarknadsföring

Kunden kan vända sig till Banken för att begära spärr mot direktmarknadsföring (s.k. direktreklamspärr).

Dataskyddsombud

Vid frågor rörande Bankens personuppgiftsbehandling, vänligen kontakta Banken.
Som kund kan du även vända sig till Datainspektionen avseende frågor som rör personuppgiftsbehandling.

Kontakt

Vid frågor var vänlig och maila dataskydd@remove-this.sparbankensyd.remove-this.se