Personuppgifter

1.1 Information som samlas in från dig

Personuppgifter samlas främst in direkt från dig, exempelvis i samband med att du ingår ett avtal med oss, använder våra tjänster och produkter eller kontaktar oss i ett annat ärende i någon av våra kanaler. Som ny kund ber vi dig till exempel om identifierings- och kontaktuppgifter som namn, personnummer, e-postadress och telefonnummer. Om du ansöker om ett lån eller kreditkort ber vi dig om ytterligare information om dina ekonomiska och personliga förhållanden, såsom skulder, inkomst- och utgiftsuppgifter och familjeförhållanden, för att kunna bedöma om vi kan erbjuda dig produkten eller tjänsten som du är intresserad av. Vid bolån inhämtas även uppgifter om fastighet eller bostadsrättsförening samt värderingsinformation.

Vid inloggningar på vår hemsida och vid signering av avtal behandlas information om BankID eller annat elektroniskt ID. Vid användning av hemsidan behandlas IP-adresser, se vidare i vår informationstext om cookies.

För Nordax Bank spelar vi in alla inkommande och utgående samtal, för din och vår säkerhet.

För Bank Norwegian spelar vi in inkommande samtal, om du inte har valt att samtalet inte ska spelas in. Se lagringstider i avsnitt 4.

1.2 Information som samlas in från andra källor

Vi samlar även in uppgifter från andra källor än direkt från dig. Om du ansöker om ett lån eller kreditkort via en låneförmedlare inhämtar vi uppgifter som du har uppgett till förmedlaren för att kunna behandla din ansökan.Vi hämtar även uppgifter från kreditupplysningsföretag och andra externa register, exempelvis UC, Lantmäteriet och Dun & Bradstreet, för att försäkra oss om att dina uppgifter är korrekta och för att få informationom dina befintliga och tidigare krediter. Om du har samtyckt till det, inhämtas även kontoinformation och transaktionshistorik från din bank via en av dig godkänd leverantör av kontoinformationstjänster. 

Namn och adressuppgifter uppdateras löpande via det statliga personadressregistret (SPAR).

I samband med utförande av betalningstransaktioner inhämtar vi upplysningar från avsändare, betalningsleverantörer och butiker.

Som ett led i vårt arbete med att bekämpa penningtvätt och finansiering av terrorism kan vi inhämta personuppgifter från andra banker, myndigheter, sanktionslistor (som tillhandahålls av internationella organisationer som EU och FN, liksom nationella organisationer som OFAC - Office ofForeign Asset Control)och andra kommersiella informationstjänster som exempelvis ger information om personer i politiskt utsatt ställning.

Här kan du se för vilka ändamål vi behandlar dina personuppgifter och vilken rättslig grund vi stödjer behandlingen på.

2.1 Mer information om de rättsliga grunder som vi använder oss av

Vi baserar huvudsakligen vår behandling av personuppgifter på följande rättsliga grunder:

• Fullgörande av avtal – när behandlingen är nödvändig för att ingå eller fullgöra ett avtal med dig, enligt GDPR artikel 6.1.b.
• Rättslig förpliktelse – när behandlingen krävs för att NOBA ska kunna fullgöra en rättslig förpliktelse, enligt GDPR artikel 6.1.c.
• Intresseavvägning – när behandlingen är nödvändig för att tillgodose ett berättigat intresse och NOBA har bedömt att vårt intresse av att behandla uppgifterna väger tyngre än ditt intresse av att uppgifterna inte behandlas, enligt GDPR artikel 6.1.f. Du har alltid rätt att invända mot behandling som grundar sig på en intresseavvägning och du kan även kontakta oss för att få närmare information om den bedömning som har gjorts, se kontaktuppgifter i avsnitt 8.

I vissa fall är istället ditt samtycke den rättsliga grunden för behandling av personuppgifter, enligt GDPR artikel 6.1.a. Exempel på när vi inhämtar samtycke för behandling av personuppgifter är för användning av vissa cookies och för beteendestyrd marknadsföring som inte kan baseras på en intresseavvägning.

Du har rätt att när som helst återkalla ditt samtycke. Vi har då fortsättningsvis ingen rätt att behandla uppgifterna med stöd av samtycket. För cookies ändrar du själv dina inställningar i din webbläsare, och för vissa av våra tjänster kan du ändra dina val för marknadsföring genom att logga in via vår hemsida. Om du i övrigt vill återkalla ditt samtycke, hittar du våra kontaktuppgifter i avsnitt 8.

2.2 Ändamål och rättsliga grunder

Här beskrivs för vilka ändamål vi behandlar personuppgifter. Under varje ändamål framgår en övergripande beskrivning av behandlingen och vilken rättslig grund vi stödjer behandlingen på. För närmare beskrivning av de olika kategorierna av personuppgifter som nämns, se avsnitt 1.3.

Behandling av dina personuppgifter kan, inom ramen för regler om banksekretess, ske av bolag inom vår koncern för ändamål som anges ovan och av företag som koncernen samarbetar med för att utföra sina tjänster, exempelvis UC, Bankgirot, Finansiell ID-teknik (BankID), andra banker, kreditmarknadsbolag, kreditförmedlare, inkassobolag, säkerhetsvärderingsföretag, marknadsförings- och analysföretag, tryckerier och försäkringsinstitut. Utlämnande kan även ske till andra parter som är inblandade i en betalningstransaktion i den mån det är nödvändigt för att genomföra transaktionen på ett säkert sätt. Information om dina krediter lämnas ut till kreditregistret som administreras av UC. Försummelse av betalningsförpliktelser kan komma att rapporteras till missbruksregistret som administreras av UC. Personuppgifter kan även komma att lämnas till berörda myndigheter i enlighet med de rättsliga förpliktelser som banken har, såsom till Skatteverket, Polismyndigheten, Kronofogdemyndigheten, Finansinspektionen och andra svenska myndigheter eller myndigheter i annat EU/EES-land.

Personuppgifter kan även lämnas till externa köpare, finansiärer och dess rådgivare för att hantera verksamhetsförändringar såsom sammanslagning eller försäljning och finansiering av verksamheten. Du kan läsa mer om hur dina personuppgifter behandlas vid överlåtelse av lån till våra dotterbolag(vid s.k. värdepapperisering) under avsnitt 9 nedan.

Vid användning av AI Chatbot delar vi uppgifterna endast med våra personuppgiftsbiträden.

Dina personuppgifter sparas endast så länge det är nödvändigt för de ändamål för vilka banken behandlar uppgifterna (se ovan avsnitt 2.2). Det innebär bl.a. att de personuppgifter som har betydelse för det avtalsrättsliga förhållandet mellan dig och bankenkommer att sparas så länge det finns ett avtalsförhållande, exempelvis ett konto för insättning, utbetald kredit eller leverantörsavtal, och därefter i högst 10 år med hänsyn till regler om preskription.

Personuppgifter som behandlas för att uppfylla kraven i penningtvättslagstiftningen sparas normalt i 5 år efter att kundrelationen har upphört, men fristen kan i vissa fall förlängas upp till 10 år. Om någon affärsförbindelse inte har uppstått mellan dig och banken, räknas tiden istället från tidpunkten då åtgärden eller transaktionen, som utlöste kraven i penningtvättslagstiftningen, genomfördes.

Personuppgifter som behandlas för att uppfylla kraven i bokföringslagstiftning sparas i 7 år i enlighet med svensk lagstiftning och i vissa fall i 10 år i enlighet med norsk lagstiftning, som gäller för vår filial.

Om du inte ingår avtal med oss, exempelvis om du inte får en kredit som du sökt, sparas personuppgifterna som vi samlat in i samband med ansökan normalt i 3 till 12 månader beroende på kreditprodukt (i identifierbart skick i ansökningssystemet) räknat från dagen då du fick ett besked från oss. Uppgifterna kan i vissa fall komma att sparas längre på grund av exempelvis penningtvättlagstiftningen eller som nämnts ovan under 2.2.i, som analysunderlag (i pseudonymiserat format) för bedömning av kreditrisk och framtagande av kreditriskmodeller. Sådant analysunderlag sparas i högst 6 år om det inte finns ett avtalsförhållande. För kunder som vi har avtalsförhållande med sparas analysunderlaget under avtalsförhållandet och därefter i högst 10 år.

För Nordax Bank raderas inspelade telefonsamtal normalt efter 7 dagar men samtal kan i vissa fall sparas längre om det behövs för att dokumentera ett avtal (normalt 5 år, men för vissa försäkringsavtal upp till 10 år) eller för utbildnings- och kvalitetssäkring samt hantering av klagomål eller annat utredningsbehov (3 mån).

För Bank Norwegian raderas inspelade telefonsamtal efter 30 dagar.

Vi lagrar chatloggarna för analys och förbättringsändamål i 1 år, och 5 år som dokumentation för genomförd kundservice.

Personuppgifter som behandlas i AI chatbot är:

• Chatloggar
• IP-adress
• Identifikationsinformation
• Finansiella uppgifter
• Kontaktuppgifter
  

Profilering innebär en automatisk behandling av befintliga eller potentiella kunders personuppgifter som används för att bedöma vissa personliga egenskaper hos dem, för att analysera eller förutsäga exempelvis dennes ekonomiska situation, personliga preferenser, intressen och vistelseort. Profilering används av oss för exempelvis marknads- och kundanalyser, systemutveckling, marknadsföring, vid automatiserade beslut (se nedan) och vid transaktionsmonitorering för att motverka bedrägerier.

Vid ansökan om privatlån, bolån, kreditkort eller vid utökning av befintlig kredit använder vi oss av automatiserat beslutsfattande, som även omfattar profilering, som kan få betydande påverkan på kunden i form av ett avslag på en kreditansökan. De automatiserade besluten baseras på de ekonomiska uppgifter kunden lämnar i sin ansökan, uppgifter som vi inhämtar från kreditupplysningsföretag och andra externa register (se ovan under 1.2) samt eventuell intern information om kunden (t.ex. betalningshistorik eller tidigare avslag).Den information vi samlar in utvärderas automatiskt mot våra interna modeller och minimikrav gällande likviditet och betalningsförmåga. Detta avgör om ansökan kommer att beviljas och om aktuellt, kreditens storlek. Vi är skyldiga att bedöma kreditvärdigheten hos personer som söker kredit hos oss, och det automatiserade beslutsfattandet är nödvändigt för att avtal ska kunna ingås på ett objektivt och effektivt sätt. 

I de fall ett kreditbeslut har grundats enbart på automatiserad behandling, har kunden alltid rätt att få beslutet omprövat av en av våra handläggare. Om du har frågor om vårt automatiserade beslutsfattande kan du kontakta oss, se kontaktuppgifter i avsnitt 8.

En trygg och säker hantering av din personliga information är central för vår verksamhet. Vi använder lämpliga tekniska, organisatoriska och administrativa säkerhetsåtgärder för att skydda dina personuppgifter mot bl.a. förlust och obehörig åtkomst. Endast de personer hos oss som behöver behandla personuppgifter har tillgång till uppgifterna.I de fall vi behöver överföra personuppgifter till samarbetspartners eller leverantörer, säkerställer vi genom avtal och kontroller att även motparten upprätthåller lämplig skyddsnivå.

Personuppgifter överförs endast till länder utanför EU respektive EES (så kallat tredjeland) om det är nödvändigt och enbart efter säkerställande att överföring sker i enlighet med de regler som gäller för tredjelandsöverföring. Om en tjänsteleverantör används i ett tredjeland, t.ex. i samband med teknisk support, är leverantören tvungen att, utöver de förpliktelser som framgår av våra skriftliga instruktioner, följa den europeiska standarden för dataskydd exempelvis genom att underteckna EU-kommissionens standardavtalsklausuler och vid behov vidta kompletterande skyddsåtgärder. En överföring till ett tredjeland kan även baseras på att EU-kommissionen har fattat beslut om att landet har en adekvat skyddsnivå för personuppgifter (adekvansbeslut).

Information om vilka länder som EU-kommissionen har fattat adekvansbeslut för finns här: Adequacydecisions | Europeiska kommissionen (europa.eu)

EU-kommissionens standardavtalsklausuler finns tillgängliga här: Standard ContractualClauses (SCC) | Europeiska kommissionen (europa.eu)

Du kan kontakta dpo@nordax.se eller dpo@banknorwegian.se för att få mer information om överföringar till tredjelandoch våra skyddsåtgärder vid sådana överföringar.

Här beskrivs vilka rättigheter du har enligt GDPR och hur du gör om du vill utnyttja någon av rättigheterna.

• Rätt till tillgång – du har rätt att få veta vilka personuppgifter som vi behandlar om dig och kan begära en kopia av dessa (s.k. registerutdrag).
• Rätt till rättelse - du har rätt att få felaktiga personuppgifter rättade.
• Rätt till radering – du har rätt att under vissa förutsättningar få dina personuppgifter raderade.
• Rätt till begränsning – du har rätt att kräva att vi i vissa fall begränsar vår behandling av dina personuppgifter, t.ex. under tiden vi kontrollerar om uppgifterna ska rättas eller raderas. 
• Rätt till invändning – ide fall vi grundar vår behandling på vårt berättigade intresse, baserat på en intresseavvägning, har du rätt att invända mot personuppgiftsbehandlingen. Vi kommer då att göra en ny intresseavvägning.
• Rätt till dataportabilitet – du har rätt att under vissa förutsättningar få ut dina personuppgifter i ett maskinläsbart format och rätt att överföra uppgifterna till en annan personuppgiftsansvarig.

Det är inte alltid möjligt att radera dina uppgifter eller begränsa behandlingen av dem, exempelvis när vi behöver uppgifterna för att administrera dina avtal eller för att uppfylla lagkrav. I vissa fall kan vi inte heller lämna ut uppgifter i samband med ett registerutdrag, t.ex.uppgifter som omfattar någon annan, affärshemligheter eller om uppgifterna inte får lämnas ut enligt lag. Vi kommer att bedöma din begäran i varje enskilt fall. 

För att utnyttja någon av dina rättigheter kan du alltid kontakta oss genom de kontaktuppgifter som anges i avsnitt 8. Vi har även specifika processer för våra olika varumärken som du kan använda enligt nedan. Ditt registerutdrag kommer att omfatta alla uppgifter vi behandlar, oavsett varumärke, om det inte av din begäran framgår att du önskar informationen för ett specifikt varumärke.

Nordax Bank: 

Om du vill begära ett registerutdrag, dvs. få information om vilka personuppgifter vi behandlar om dig, eller om du vill få uppgifter raderade eller rättade, använd följande blankett Begäran om tillgång, rättning eller radering av personuppgifter.pdf

Här kan du avregistrera/spärra dig från reklamutskick från Nordax Bank. Om du meddelar oss om sådan spärr kommer vi att lagra denna personuppgift om dig. Om du inte vill att vi behandlar dina personuppgifter för detta ändamål kan du istället spärra dig för direktreklam via NIX adresserat som du hittar här.

Om du vill begära spärr mot direktmarknadsföring för tilläggsprodukter eller om du vill utnyttja någon annan av dina rättigheter enligt GDPR, var vänlig kontakta oss på 08-508 808 00 eller DPOrequest@nordax.se.

Bank Norwegian:

Du kan själv ändra dina inställningar för reklamutskick från Bank Norwegian på din internetbank som du når genom att logga in via vår hemsida. Om du vill utnyttja någon annan av dina rättigheter, kontaktavår kundservice på 0770-45 77 66 eller dpo@banknorwegian.se.

Om du vill utnyttja någon av dina rättigheter, se specifika processer för våra olika varumärken ovan i avsnitt 7. Du kan också alltid nå oss på kontaktuppgifterna nedan och är välkommen att kontakta oss om du har några frågor kring vår behandling av dina personuppgifter.

NOBA Bank Group AB (publ)

AdressNordax Bank: Box 23124, 104 35 Stockholm

Adress Bank Norwegian: Postboks 110, 1325 Lysaker, Norge

Tel Nordax Bank: 08-508 808 00

Tel Bank Norwegian: 0770-45 77 66

E-post Nordax Bank: DPOrequest@nordax.se, dpo@nordax.se 

E-post Bank Norwegian: dpo@banknorwegian.se 

Om du har synpunkt eller klagomål på hur vi behandlar dina personuppgifter är du välkommen att kontakta vårt dataskyddsombud på dpo@nordax.se eller dpo@banknorwegian.seeller via övriga kontaktuppgifter ovan.Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten, se www.imy.se. Vi uppmanar dig dock att kontakta oss först, så att vi kan titta på ditt ärende och klargöra eventuella missförstånd.

Vi överlåter regelbundet vissa lån till dotterbolag inom ramen för s.k. värdepapperiseringar, se ovan avsnitt 2.2.q. Värdepapperiseringar är en del av bankens strategi för att uppbära finansiering. Om ditt lån skulle bli föremål för en sådan överlåtelse kommer du att informeras särskilt om det. Här kan du läsa mer om vilken personuppgiftsbehandling en sådan överlåtelse innebär och dotterbolagets och externa parters personuppgiftsansvar i samband med en överlåtelse.