Resurs Bank og Personvernforordningen
Nye regler om vern ved behandling av personopplysninger
Den 25. mai 2018 trer de nye EU-reglene om vern ved behandling av personopplysninger i kraft – Personvernforordningen (2016/679), på engelsk kalt General Data Protection Regulation (GDPR). Forordningen gjelder som lov innen EU og EØS og har blant annet til hensikt å styrke borgernes grunnleggende rettigheter gjennom å gi de personer hvis personopplysninger behandles, det vil si de registrerte, kontroll over hvordan deres personopplysninger anvendes. En registrert kan for eksempel være en som har inngått eller vurderer å inngå en avtale med Resurs Bank, eksempelvis og i de fleste tilfeller en kunde, men det kan også være for eksempel en kausjonist, pantsetter, betaler, verge, forvalter, fullmaktshaver, stedfortreder eller kontaktperson. Personvernforordningen og en ny norsk personopplysningslov erstatter dagens personopplysningslov, vanligvis forkortet popl.
Personvernforordningen gir oss alle større rett til å bestemme over våre personopplysninger og inneholder blant annet regler om hvordan behandlingen av personopplysninger skal skje. Den inneholder også regler om for eksempel retten til informasjon og tilgang til personopplysninger, regler om retting av uriktige opplysninger samt muligheter til i visse tilfeller å begrense behandlingen av personopplysninger.
Mye i Personvernforordningen ligner på de reglene som finnes i dagens personopplysningslov. Et viktig ledd i den økte beskyttelsen for enkelte er at det stilles høyere krav til behandlingsansvarlige, det vil si alle foretak og organisasjoner som behandler personopplysninger, hva gjelder informasjon til den registrerte. Resurs Bank har utpekt en personvernrådgiver som har som særskilt oppgave å overvåke personvernspørsmål og sørge for at Personvernforordningen følges i banken.
Innsamling av personopplysninger
Den personlige informasjonen som Resurs Bank samler inn om deg håndteres på en ansvarsfull måte med hensyn til din integritet. Resurs Bank behandler de personopplysningene som gis i forbindelse med at du melder din interesse for våre produkter, søker og/eller inngår avtaler eller som forøvrig registreres i forbindelse med administrasjon av avtalen. Resurs Bank kan også for eksempel spille inn telefonsamtaler og lagre e-postkommunikasjon. Navn og adresseopplysninger oppdateres løpende via Folkeregisteret.
Formål med personopplysningsbehandlingen
Resurs Bank behandler personopplysningene for de formål som angis i avsnittene nedenfor.
Forberedelse og administrasjon av avtalen (gjennomføring av avtalen)
Det hovedsaklige formålet med Resurs Banks behandling av personopplysninger er å samle inn, kontrollere og registrere de personopplysninger som kreves før en avtale inngås med deg og for å dokumentere, administrere og gjennomføre inngåtte avtaler. At du gir personopplysninger er en forutsetning for at Resurs Bank skal kunne inngå avtale med deg.
Oppfyllelse av forpliktelser i henhold til gjeldende lovgivning eller myndighetsvedtak (rettslig forpliktelse)
I forbindelse med avsnittet ovenfor (Forberedelse og administrasjon av avtalen) skjer også behandling av personopplysninger for at Resurs Bank skal kunne oppfylle sine forpliktelser etter lovgivning eller myndighetsvedtak. Eksempel på slik behandling er behandling av personopplysninger for å oppfylle de krav som finnes i for eksempel bokføringsloven og hvitvaskingsloven. Det kan også være kontroll av personopplysningene mot sanksjonslister som Resurs Bank etter lov eller myndighetsvedtak er pålagt å gjøre eller gjør for å sikkerhetsstille at det ikke foreligger bristende forutsetninger for å gjennomføre visse banktjenester.
Markeds- og kundeanalyser samt systemutvikling og markedsføring (berettiget interesse)
Personopplysninger behandles også for utførelse av markeds- og kundeanalyser samt systemutvikling, som et ledd i resurs Banks forretningsutvikling med formål å forbedre bankens produkter og tjenester mot kundene. Kundeanalyser foretas også for å motvirke bedragerier.
Personopplysninger kan også behandles som underlag for markedsføring. Når behandling skjer med markedsføringsformål kan også profilering forekomme for å rette passende tilbud til deg som kunde. Med profilering menes automatisk behandling av personopplysninger som benyttes for å bedømme visse personlige egenskaper hos en fysisk person, særlig for å analysere eller forutsi eksempelvis dennes økonomiske situasjon, personlige preferanser, interesser og besøkelsessted.
Samtykke til behandling av personopplysninger
Når det rettslige grunnlaget for behandling av personopplysninger er samtykke, kan du eller annen som er registrert, hver for dere, i forbindelse med undertegnelse av det aktuelle dokumentet, gi et uttrykkelig samtykke til at personopplysningene kan behandles for de formål som er angitt ovenfor. Et eksempel på når samtykke til behandling av personopplysninger kreves er når de personopplysningene som gis til Resurs Bank inneholder sensitive personopplysninger. Med sensitive personopplysninger menes opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, genetiske opplysninger eller biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Du har rett til når som helst å tilbakekalle ditt samtykke. Resurs Bank har da etter dette ingen rett til å behandle opplysningene med grunnlag i samtykket, hvorpå opplysningene da ikke lengre kan legges til grunn for en søknad eller en avtale.
Hvor lenge lagres personopplysningene
Resurs Bank lagrer kun personopplysningene så lenge det er nødvendig. Personopplysningene vil lagres så lenge det er et avtaleforhold mellom deg og banken. Det finnes i visse tilfeller lovgivning som gjør at Resurs Bank må lagre opplysningene lenger, for eksempel for at banken skal oppfylle gjeldende lovgivning vedrørende foreldelse (10 år), motvirke hvitvasking (5 år) og bokføring (10 år). I visse tilfeller kan opplysningene lagres lenger på grunn av lovgivning om kapitaldekning.
Behandling av personopplysninger av andre enn Resurs Bank
Behandling av personopplysningene kan, innenfor rammen for gjeldende om taushetsplikt, skje av foretak i konsernet og av enheter som konsernet samarbeider med for å utføre sine tjenester, for eksempel Folkeregisteret. Det rettslige grunnlaget for behandlingen er Resurs Banks gjennomføring av avtalen, eller bankens berettigede interesse.
Tredjelandsoverføring
I visse tilfeller kan Resurs Bank overføre personopplysninger til land utenfor EU og EØS (såkalt tredjeland) samt til internasjonale organisasjoner. Slik overføring kan kun skje dersom visse vilkår i Personvernforordningen er oppfylt for eksempel at EU-kommisjonen har besluttet at det er et adekvat beskyttelsesnivå i det aktuelle landet, og under forutsetning av at også øvrige regler i Personvernforordningen følges.
Profilering
Med profilering mener vi automatisk behandling av personopplysninger som brukes til å bedømme visse personlige egenskaper hos en fysisk person, spesielt med tanke på å analysere eller forutse for eksempel personens økonomiske situasjon, personlige preferanser, interesser og bosted. Profilering brukes av Resurs Bank for eksempel til markeds- og kundeanalyser, systemutvikling, markedsføring, ved automatiserte beslutninger (se nedenfor) og ved transaksjonsovervåking for å motvirke bedrageri. Det rettslige vilkåret for profilering er Resurs Banks berettigede interesse, rettslige forpliktelse, anvendelse av avtalen og/eller samtykke. Hvis samtykke er den rettslige grunnen til behandlingen, må kunden gi sitt samtykke til en slik behandling for at Resurs BAnk skal kunne utføre profileringen.
Automatiserte beslutninger
Resurs Bank benytter seg i noen tilfeller av automatiserte beslutninger. Det kan for eksempel være automatisert godkjenning/avslag på en kredittsøknad via Internett. Kunden har rett til å ikke bli utsatt for en beslutning som kun er basert på en form for automatisert beslutningsfatning, inkludert profilering, hvis beslutningen skal kunne få rettslige følger for kunden eller i betydelig grad påvirke kunden på annen måte. Resurs Bank har imidlertid rett til å benytte seg av automatisert beslutningsfatning hvis det er nødvendig for inngåelse eller anvendelse av en avtale mellom kunden og Resurs Bank, eller hvis kunden har gitt sitt samtykke.
Kundens rettigheter
Nedenfor beskriver vi de viktigste nyhetene som Personvernforordningen innebærer for deg som er kunde hos Resurs Bank, eller av en annen grunn er registrert hos oss.
Innsyn i egne personopplysninger
Du som er kunde hos Resurs Bank har på samme måte som tidligere rett til å få informasjon om hvilke personopplysninger som banken behandler om deg. En slik begjæring om innsyn kan ikke bare gjøres skriftlig med vanlig brev men også gjøres på annen måte, eksempelvis elektronisk. En forutsetning for at du skal få innsyn i egne personopplysninger er som tidligere at banken kan identifisere deg på en sikker måte slik at uvedkommende ikke gis mulighet til å se dine opplysninger.
Dataportabilitet
En nyhet er at du også kan begjære å få ut en elektronisk kopi av informasjonen som viser hvilke personopplysninger du selv har gitt Resurs Bank og som banken behandler elektronisk. Du har mulighet til å begjære at opplysningene overføres til en annen behandlingsansvarlig når det er teknisk mulig. En slik begjæring om dataportabilitet gjøres på samme måte som en begjæring om innsyn og også i dette tilfellet er det nødvendig at Resurs Bank kan identifisere deg på en sikker måte slik at uvedkommende ikke gis mulighet til å se dine opplysninger.
Rett til å rette
Du har rett til å få feilaktige personopplysninger om deg selv rettet og også supplere personopplysningene der de er ufullstendige.
Rett til sletting (”retten til å bli glemt”)
Personvernforordningen inneholder en rett for deg under visse forutsetninger til å få dine personopplysninger slettet når de ikke lenger er nødvendige for å oppnå formålet de er samlet inn for. For Resurs Bank finnes likevel i visse tilfeller annen lovgivning som gjør at banken ikke alltid umiddelbart kan slette data på denne måten. Resurs Bank er pliktig til å lagre en del av dine personopplysninger i en viss tid for å kunne oppfylle krav i lovgivningen for eksempel i lovgivningen om bokføring, motvirke hvitvasking, bedragerier eller på grunn av regler om foreldelse.
Sperre mot direkte reklame
Du har rett til å reservere deg mot slik direkte markedsføring fra Resurs Bank.
Dersom du har spørsmål, er du velkommen til å kontakte oss på kontaktskjema.
Du kan også lese om Personvernforordningen på Datatilsynets hjemmeside:
https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/