Personuppgifter

Vi behöver behandla dina personuppgifter för att kunna ingå avtal med dig som kund, eventuella samarbetspartners och leverantörer och för att därefter administrera avtalen. Dessutom behandlar vi uppgifterna för att uppfylla de krav som ställs på oss som bank, och för att vidareutveckla vår verksamhet. Vi behandlar personuppgifter för de ändamål och med stöd av de rättsliga grunder som anges nedan.

Förberedelse och administration av avtal

Det huvudsakliga ändamålet med vår behandling av personuppgifter är att samla in, kontrollera och registrera de uppgifter som krävs inför ett ingående av avtal för att dokumentera, administrera och fullgöra ingångna avtal med dig. Det gäller framför allt ansökan och avtal om kredit samt insättningskonto. Vi baserar vår behandling i denna del på att det är nödvändigt för att fullgöra ett avtal med dig eller för åtgärder som du begärt innan avtalet ingås.

Inför kreditavtalets ingående sker en kreditprövning baserad på de ekonomiska uppgifter du lämnar i din kreditansökan. I samband med behandlingen av din kreditansökan behandlas och registreras också den information som vi inhämtar från UC AB och Bisnode Kredit AB gällande dina befintliga och tidigare krediter. Vår behandling för kreditprövning grundar sig på den rättsliga grunden fullgörande av rättslig förpliktelse och/eller för att banken har ett berättigat intresse att behandla uppgifterna för att kunna fullgöra den rättsliga förpliktelsen.

Om du har lämnat ditt samtycke, kan vi också inhämta kontoinformation och transaktionshistorik från din bank, via en av dig godkänd leverantör av kontoinformationstjänster.

De insamlade uppgifterna används även för kundkännedomsåtgärder och andra åtgärder som krävs för att vi ska kunna uppfylla kraven enligt penningtvättslagstiftningen (se nedan). Den rättsliga grunden för sådan behandling är att den är nödvändig för fullgörande av en rättslig förpliktelse och/eller för att banken har ett berättigat intresse att behandla uppgifterna för att kunna fullgöra den rättsliga förpliktelsen.

Uppfyllande av förpliktelser enligt lag, annan författning eller myndighetsbeslut

I samband med förberedelse och administration av avtal sker också behandling av personuppgifter som krävs för att vi ska kunna uppfylla våra förpliktelser enligt lag, annan författning eller myndighetsbeslut.
Exempel på sådan behandling är:

• Vår behandling av personuppgifter för att uppfylla kraven i konsumentkreditlagstiftningen om insamling av tillräckliga uppgifter för att bedöma kundens betalningsförmåga och för att dokumentera kreditprövningen.
• Vår behandling av personuppgifter för att uppfylla kraven enligt bokföringslagstiftningen.
• Vår behandling av personuppgifter för kundkännedomsåtgärder och i samband med andra åtgärder för att uppfylla kraven enligt penningtvättslagstiftningen.
• Vår kontroll av personuppgifterna mot sanktionslistor som vi enligt lag eller myndighetsbeslut är skyldig att genomföra för att säkerställa att det inte finns hinder mot att genomföra vissa banktjänster.
• Vår behandling av personuppgifter i samband med rapportering till Skatteverket, Polismyndigheten, Kronofogdemyndigheten, Finansinspektionen och andra svenska myndigheter eller myndigheter i annat EU/EES-land.
• Vår behandling av personuppgifter för att uppfylla lagstiftning angående riskhantering. Med riskhantering avses även behandling av uppgifter om kredittagare och krediter för kvalitetsbedömning av krediter för kapitaltäckningsändamål.

Den rättsliga grunden för sådan behandling är att den är nödvändig för fullgörande av en rättslig förpliktelse och/eller för att banken har ett berättigat intresse att behandla uppgifterna för att kunna fullgöra den rättsliga förpliktelsen.

Marknads- och kundanalyser, säkerhet, systemutveckling, marknadsföring m.m.

Personuppgifter behandlas för utförande av marknads- och kundanalyser som ett led i vår affärsutveckling för att förbättra våra produkter och tjänster samt för att bedöma kreditrisker och kreditvärdighet. Detta innebär att samtliga kreditansökningar kan utgöra analysunderlag i syfte att få ett så träffsäkert underlag som möjligt för framtida krediter, något som gynnar dig som kund och oss som företag. Kundanalyser görs även för systemutveckling och för att motverka bedrägerier. Personuppgifter kan även behandlas för marknadsföring, utskick av nyhetsbrev och erbjudanden m.m.

Vi behandlar även dina personuppgifter för att kontrollera din identitet och vad du gör när du använder våra tjänster, för att skydda våra system från obehörig, olovlig eller olaglig användning eller för att motverka störningar.

Vidare behandlar vi dina personuppgifter för att kunna ge dig service och support vid användning av våra tjänster.

Vi kan även behöva behandla dina personuppgifter för att göra gällande eller försvara rättsliga anspråk bl.a. för att säkerställa att betalning sker av förfallen kredit i form av indrivning av skuld via inkasso.
Om du besöker våra webbplatser kan vi komma att samla in dina personuppgifter för att förbättra tjänsterna, se vidare i vår cookiepolicy .

För de ovan angivna ändamålen behandlar vi dina personuppgifter med stöd av ett s.k. berättigat intresse om vi inte meddelar dig annat. Du har rätt att invända mot sådan behandling. Om du vill veta mer om hur vi har gjort dessa bedömningar av vårt berättigade intresse genom en s.k. intresseavvägning, kan du kontakta oss, se kontaktuppgifter längre ned.

Särskilt om profilering

Profilering innebär en automatisk behandling av befintliga eller potentiella kunders personuppgifter som används för att bedöma vissa personliga egenskaper hos dem, för att analysera eller förutsäga exempelvis dennes ekonomiska situation, personliga preferenser, intressen och vistelseort.
Profilering används av oss för exempelvis marknads- och kundanalyser, system-utveckling, marknadsföring, vid automatiserade beslut (se nedan) och vid transaktionsmonitorering för att motverka bedrägerier. Den rättsliga grunden för profilering, beroende av situation, bygger på vårt berättigade intresse, rättslig förpliktelse, fullgörande av avtal eller samtycke.

Särskilt om automatiserade beslut

Vi använder oss i vissa fall av automatiserat beslutsfattande. Vid ansökan om privatlån omfattar vår personuppgiftsbehandling viss typ av automatiserat beslutsfattande som baseras på de ekonomiska uppgifter kunden lämnar, uppgifter som vi inhämtar från UC AB Sverige och Bisnode Kredit AB samt eventuell intern information om kunden (t.ex. betalningshistorik).

Ett sådant automatiserat beslut kan t.ex. innebära att ansökan om kredit nekas, exempelvis om kundens inkomster understiger våra minimikrav. I de fall ett kreditbeslut har grundats enbart på automatiserad behandling, har kunden alltid rätt att få beslutet omprövat av en av våra handläggare. Om du har frågor om vårt automatiska beslutsfattande kan du kontakta oss, se kontaktuppgifter nedan.

Särskilt om samtycke till behandling av personuppgifter

När den rättsliga grunden för behandling av personuppgifter är samtycke får du uttryckligen lämna ett sådant samtycke till att personuppgifterna får behandlas. Exempel på när samtycke för behandling av personuppgifter krävs är när vi inhämtar och överför hälsouppgifter till försäkringsgivare i samband med vår förmedling av låneskyddsförsäkring.
Du har rätt att när som helst återkalla ditt samtycke. Vi har då fortsättningsvis ingen rätt att behandla uppgifterna med stöd av samtycket. Kontaktuppgifter hittar du nedan.

Vi eller någon av våra dotterbolag eller samarbetspartners samlar in de personuppgifter som lämnas av dig i samband med ansökan och/eller avtal eller som registreras i övrigt i samband med administrationen av ett avtal eller fullgörandet av en rättslig förpliktelse. I samband med våra tjänster behandlar vi personuppgifter av följande kategorier: namn, personnummer och kontaktuppgifter (adress, e-post och telefonnummer). Kunders och potentiella kunders namn och adressuppgifter uppdateras löpande via det statliga personadressregistret (SPAR). Vi hämtar även uppgifter från externa register, t.ex. Upplysningscentralen (UC AB Sverige), Lantmäteriet och Infotorg (Bisnode Sverige AB) och, om du har samtyckt till det, kontoinformation och transaktionshistorik från din bank via en av dig godkänd leverantör av kontoinformationstjänster. De kategorier av personuppgifter som behandlas kan vara ekonomiska förhållanden (uppgift om inkomst/skulder m.m.).

I samband med att vi beviljar en kredit behandlas även uppgifter om ekonomiska förhållanden (t.ex. om antalet barn under 18 år i hushållet, boendekostnad, lånenummer, civilstånd, inkomstuppgifter, uppgifter om andra skulder, arbetsgivare, medsökanden och syftet med krediten). Vid bolån behandlas även uppgifter om fastighet alternativt uppgifter om bostadsrättsförening samt värdering av erlagd säkerhet.

Vid kontakter med vår kundtjänst behandlas röstinspelningar (vid telefonsamtal) och vid användning av hemsidan behandlas IP-adresser (se vidare i vår cookiepolicy). Vid inloggningar på vår hemsida och vid signering av avtal behandlas information om BankID eller annat elektroniskt ID. Vi kan även komma att, spara e-post kommunikation eller på annat sätt dokumentera din interaktion och kommunikation med oss via digitala kanaler.

För information om profilering och automatiskt beslutsfattande, se ovan under rubriken ”Därför behandlar vi personuppgifter om dig”.

Dina personuppgifter sparas så länge det är nödvändigt för något av de ändamål för vilka banken behandlar uppgifterna (se ovan). Det innebär bl.a. att dina personuppgifter kommer att sparas så länge det finns ett avtalsförhållande, exempelvis ett konto för insättning, utbetald kredit eller leverantörsavtal, och därefter i högst 10 år med hänsyn till regler om preskription. Andra tidsfrister kan också gälla när personuppgifter sparas för andra syften än på grund av avtalsförhållandet och är för att banken ska uppfylla gällande lagstiftning avseende exempelvis motverkade av penningtvätt (upp till 10 år) och bokföring (7 år).

Om du inte ingår avtal med oss, exempelvis om du inte får en kredit som du sökt, sparas personuppgifterna normalt i 3 till 6 månader beroende på kreditprodukt (i identifierbart skick i ansökningssystemet) räknat från dagen då du fick ett besked från oss, men uppgifterna kan i vissa fall komma att sparas längre på grund av exempelvis penningtvättlagstiftningen. Personuppgifter som avser åtgärder som vidtagits för kundkännedom sparas i 5 år räknat från att åtgärderna genomfördes men fristen kan i vissa fall förlängas upp till 10 år.

Behandling av dina personuppgifter kan, inom ramen för regler om banksekretess, ske av bolag inom Nordax-koncernen för ändamål som anges ovan och av företag som koncernen samarbetar med för att utföra sina tjänster, exempelvis UC AB Sverige, Bisnode Kredit AB, Bankgirocentralen (BGC), Finansiell ID-teknik (BankID), andra banker, kreditmarknadsbolag, kreditförmedlare, inkassobolag, säkerhetsvärderingsföretag, tryckerier och försäkringsinstitut. Information om dina krediter lämnas ut till kreditregistret som administreras av UC AB Sverige. Försummelse av betalningsförpliktelser kan komma att rapporteras till missbruksregistret som administreras av UC AB Sverige. Information om dina krediter lämnas även ut till engagemangsregister som administreras av Bisnode Kredit AB. Personuppgifter kan även komma att lämnas till berörda myndigheter i enlighet med de rättsliga förpliktelser som Nordax har.

Vi har vidtagit säkerhetsåtgärder för att skydda dina personuppgifter mot bl.a. förlust och obehörig åtkomst. Endast de personer hos oss som behöver behandla personuppgifter har tillgång till uppgifterna.

Du har rätt att få veta vilka personuppgifter som vi behandlar om dig och kan begära en kopia av dessa (registerutdrag). Du har även rätt att få felaktiga personuppgifter rättade. I de fall vi grundar vår behandling (t.ex. profilering) på vårt berättigade intresse, baserat på en intresseavvägning, har du rätt att invända mot personuppgiftsbehandlingen. Du har även rätt att begära att vi ska radera personuppgifter eller begränsa behandlingen av personuppgifter. Notera att en begränsning eller radering av personuppgifter inte alltid är möjlig då det kan innebära att vi inte har möjlighet att fullfölja våra åtaganden i samband med avtalsingående med dig eller fullfölja en spärr mot direktmarknadsföring (se nedan).

Du har under vissa förutsättningar även rätt att få ut dina personuppgifter i ett maskinläsbart format och rätt att överföra uppgifterna till en annan personuppgiftsansvarig.

När det gäller automatiserade beslutsfattande som beskrivits ovan har du också rätt till personlig kontakt med oss för att kunna utrycka din åsikt och bestrida beslut som gått dig emot.

Om du vill få information om vilka personuppgifter Nordax behandlar om dig, eller om du vill få uppgifter raderade eller rättade, var vänlig använd nedanstående blankett:

Begäran om tillgång, rättning eller radering av personuppgifter.pdf

Om du vill utnyttja någon annan av dina rättigheter enligt GDPR, var vänlig kontakta oss.

POSTADRESS
Nordax Bank AB (publ)
Box 23124
104 35 Stockholm

BESÖKSADRESS
Gävlegatan 22
113 30 Stockholm

TELEFON
08-508 808 00

ORGANISATIONSNUMMER
556647-7286

VAT/MOMSREGISTRERINGSNUMMER
SE 663000220901
STYRELSENS SÄTE

Du kan kontakta oss för att spärras mot direktmarknadsföring på: 08-508 808 00 eller fylla i formuläret här.

Om du meddelar oss om sådan spärr kommer vi att lagra denna personuppgift om dig.

Om du har synpunkter på hur vi behandlar dina personuppgifter är du välkommen att kontakta vårt dataskyddsombud. Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten. Kontaktuppgifter nedan.

Dataskyddsombudet för Nordax Bank AB (publ) kontaktas på:
E-post: dpo@nordax.se
Telefon: 08-508 808 00
Adress: Nordax Bank AB (publ), Box 23124, 104 35 Stockholm

Tillsynsmyndighet är:
Integritetsskyddsmyndigheten (tidigare Datainspektionen)
Telefon: 08-657 61 00
Adress: Box 8114, 104 20 Stockholm

Personuppgifter överförs endast till länder utanför EU respektive EES (så kallat tredjeland) om det är nödvändigt och i detta fall enbart efter säkerställande att överföring sker i enlighet med de regler som gäller för tredjelandsöverföring. Om en tjänsteleverantör används i ett tredjeland är leverantören tvungen att, utöver de förpliktelser som framgår av våra skriftliga instruktioner, följa den europeiska standarden för dataskydd exempelvis genom att underteckna EU-kommissionens standardavtalsklausuler och vid behov vidta kompletterande skyddsåtgärder. En överföring till ett tredjeland kan även baseras på att EU-kommissionen har fattat beslut om att landet har en adekvat skyddsnivå för personuppgifter (adekvansbeslut).

Information om vilka länder som EU-kommissionen har fattat adekvansbeslut för finns här: Adequacy decisions | Europeiska kommissionen (europa.eu)

EU-kommissionens standardavtalsklausuler finns tillgängliga här: Standard Contractual Clauses (SCC) | Europeiska kommissionen (europa.eu)

Du kan kontakta dpo@nordax.se för att få mer information om överföringar till tredjeland.

Nordax är personuppgiftsansvarig för den behandling som omfattas av denna information om behandling av dina personuppgifter, vilket bl.a. innefattar behandling som sker för hantering av insättningskonton och krediter där Nordax är kreditgivare. Utöver de krediter där Nordax är kreditgivare administrerar Nordax även krediter på uppdrag av några av sina dotterbolag. Så länge Nordax administrerar krediten är Nordax (ensam eller gemensamt med annan) personuppgiftsansvarig för sin behandling av krediter i dessa fall.

Nordax överlåter med viss regelbundenhet vissa av våra kundfordringar och rättigheter enligt aktuella skuldebrev till dotterbolag för att dessa ska kunna pantsätta fordringarna.

I samband med överlåtelsen utses Nordax att administrera krediterna och vi kommer därför fortsatt att vara personuppgiftsansvariga för den behandling av personuppgifter som administreringen av fordringarna innebär, i enlighet med vad vi beskrivit ovan. Vi kommer även fortsatt vara din kontakt i samtliga ärenden som rör ditt lån (till dess att du får meddelande om annat).

I samband med överlåtelsen av kundfordringen kommer vi att föra över följande personuppgifter om dig till vårt dotterbolag för att möjliggöra för dotterbolaget att hantera de överlåtna respektive pantsatta fordringarna:

• Kontaktuppgifter: namn, adress, personnummer, telefonnummer och e-postadress.
• Finansiell information: betalningshistorik, inkomstuppgifter, låntagar-ID och information inkluderad i skuldebrevet, så som skuldebrevs-ID, lånebelopp, förfallodatum, tillämplig räntesats och bankkontonummer för utbetalningar.
• Kommunikationsinformation: förteckning över händelser kopplade till lånet och korrespondens mellan dig och Nordax.
• Annan information: civilstånd, belåningshistorik, antal anhöriga, information om boendeform, bosättningskommun, anställningsform, arbetsgivare, anställningsperiod, riskprofil, information om kundkännedom och andra lån.

Nordax grundar sin rätt att överföra dina personuppgifter på sitt berättigade intresse av att överföra och använda fordringar som säkerhet.

Med anledning av överlåtelsen av kundfordringarna och dotterbolagens pantsättning av desamma kommer vi även regelbundet att rapportera viss information om kundfordringarna till följande mottagare: (i) de långivande externa bankerna, potentiella investerare, och Finansinspektionen, samt (ii) leverantörer av tjänster för administrationen av värdepapperiseringen. Rapporteringen innebär en överföring av personuppgifter, bl.a. sysselsättning, om fordringen tillhör en ny eller gammal kund och vad syftet med lånet är. Personuppgifterna är dock psedonymiserade och de mottagande aktörerna har inga möjligheter att identifiera dig. Överföringen till mottagarna under (i) grundar sig på vår rättsliga skyldighet att lämna månatliga rapporteringar enligt EU:s förordning om värdepapperisering och överföringen till mottagarna under (ii) grundar sig på att behandlingen är nödvändig för ändamål som rör våra berättigade intressen (intresseavvägning).

I samband med att vi överlåter fordringarna och överför personuppgifter blir dotterbolaget också personuppgiftsansvariga för sina egna behandlingar av dina personuppgifter för sina egna ändamål. Vi beskriver i det följande den behandling av personuppgifter som utförs av våra dotterbolag med anledning av överlåtelse och pantsättning av lån.

Nordax:s dotterbolags behandling av personuppgifter i samband med överlåtelse och pantsättning av kundfordringar

Personuppgiftsansvarig

Nordax:s dotterbolag, är vart och ett personuppgiftsansvarig för den behandling som beskrivs nedan. I samband med en överlåtelse av kundfordringar till ett dotterbolag har du fått information om detta och om vilket dotterbolag som, utöver Nordax är personuppgiftsansvarig för behandlingen av dina personuppgifter. Om du vill veta vilket av dotterbolagen som äger ditt lån är du välkommen att kontakta oss genom kontaktuppgifterna nedan.

Personuppgifter dotterbolagen behandlar om dig, ändamålet med behandlingen och rättslig grund

Dotterbolaget kommer att behandla dina personuppgifter för att (i) pantsätta fordran gentemot dig, (ii) uppfylla dess förpliktelser enligt bokföringslagen och EU:s värdepapperiseringsförordning samt (iii) för att hantera din betalning av lånet. Dotterbolaget kan även (iv) komma att överlåta kundfordringarna till ett annat bolag inom Nordax-koncernen för att det ska kunna uppbära finansiering hos, och i samband med det pantsätta kundfordringarna till, en ny extern långivare.

Den rättsliga grunden för ändamål (i) och (iv) ovan är intresseavvägning, för ändamål (ii) att uppfylla dotterbolagets rättsliga förpliktelser och för ändamål (iii) att uppfylla dess förpliktelser enligt avtalet med dig.

Överföring av personuppgifter

Dotterbolaget kommer att överföra dina personuppgifter till den/de externa bank/er från vilken dotterbolaget uppbär lån med din kredit som säkerhet eller där dotterbolagen har sina bankkonton. Dotterbolaget använder också en tredje part för att förvara skuldebreven för dotterbolagets räkning. Den behandlingen regleras av ett personuppgiftsbiträdesavtal.

Därutöver kan personuppgifter, inom ramen för regler om banksekretess, föras över inom Nordax-koncernen.

Både de banker från vilka dotterbolagen uppbär lån samt de aktörer som förvarar skuldebreven för dotterbolagets räkning kan befinna sig eller lagra personuppgifter utanför EU/EES. I den utsträckningen tredjelandet inte är föremål för ett beslut om adekvat skyddsnivå tillämpar dotterbolagen EU-kommissionens standardavtalsklausuler för alla tredjelandsöverföringar. Vid behov har kompletterande skyddsåtgärder vidtagits.

Så länge sparar dotterbolagen dina personuppgifter

Dotterbolagen sparar inte dina personuppgifter längre än nödvändigt. Det innebär bl.a. att dina personuppgifter kommer att sparas så länge det finns ett avtalsförhållande och därefter i högst 10 år med hänsyn till regler om preskription. Andra tidsfrister kan också gälla när personuppgifter sparas för andra syften än på grund av avtalsförhållandet och är för att banken ska uppfylla gällande lagstiftning avseende exempelvis motverkade av penningtvätt (upp till 10 år) och bokföring (7 år).

Dina rättigheter

Dina rättigheter beskrivs i avsnittet ovan, ”Dina rättigheter och våra kontaktuppgifter”.

Kontakt

Om du har frågor om hur något visst dotterbolag behandlar dina personuppgifter är du välkommen att kontakta Nordax:s dataskyddsombud, dpo@nordax.se eller via telefon 08-508 808 00.