NYE REGLER OM VERN VED BEHANDLING AV PERSONOPPLYSNINGER

Den 25. mai 2018 trer de nye EU-reglene om vern ved behandling av personopplysninger i kraft – Personvernforordningen (2016/679), på engelsk kalt General Data Protection Regulation (GDPR). Forordningen gjelder som lov innen EU og EØS og har blant annet til hensikt å styrke borgernes grunnleggende rettigheter gjennom å gi de personer hvis personopplysninger behandles, det vil si de registrerte, kontroll over hvordan deres personopplysninger anvendes. En registrert kan for eksempel være en som har inngått eller vurderer å inngå en avtale med Resurs, eksempelvis og i de fleste tilfeller en kunde, men det kan også være for eksempel en kausjonist, pantsetter, betaler, verge, forvalter, fullmaktshaver, stedfortreder eller kontaktperson. Personvernforordningen og en ny norsk personopplysningslov erstatter dagens personopplysningslov, vanligvis forkortet popl.

Personvernforordningen gir oss alle større rett til å bestemme over våre personopplysninger og inneholder blant annet regler om hvordan behandlingen av personopplysninger skal skje. Den inneholder også regler om for eksempel retten til informasjon og tilgang til personopplysninger, regler om retting av uriktige opplysninger samt muligheter til i visse tilfeller å begrense behandlingen av personopplysninger.

Mye i Personvernforordningen ligner på de reglene som finnes i dagens personopplysningslov. Et viktig ledd i den økte beskyttelsen for enkelte er at det stilles høyere krav til behandlingsansvarlige, det vil si alle foretak og organisasjoner som behandler personopplysninger, hva gjelder informasjon til den registrerte. Resurs har utpekt en personvernrådgiver som har som særskilt oppgave å overvåke personvernspørsmål og sørge for at Personvernforordningen følges i banken.

INNSAMLING AV PERSONOPPLYSNINGER

Den personlige informasjonen som Resurs samler inn om deg håndteres på en ansvarsfull måte med hensyn til din integritet. Resurs behandler de personopplysningene som gis i forbindelse med at du melder din interesse for våre produkter, søker og/eller inngår avtaler eller som forøvrig registreres i forbindelse med administrasjon av avtalen. Resurs kan også for eksempel spille inn telefonsamtaler og lagre e-postkommunikasjon. Navn og adresseopplysninger oppdateres løpende via Folkeregisteret.

FORMÅL MED PERSONOPPLYSNINGSBEHANDLINGEN

Resurs behandler personopplysningene for de formål som angis i avsnittene nedenfor.

FORBEREDELSE OG ADMINISTRASJON AV AVTALEN (GJENNOMFØRING AV AVTALEN)

Det hovedsaklige formålet med Resurss behandling av personopplysninger er å samle inn, kontrollere og registrere de personopplysninger som kreves før en avtale inngås med deg og for å dokumentere, administrere og gjennomføre inngåtte avtaler. At du gir personopplysninger er en forutsetning for at Resurs skal kunne inngå avtale med deg.

OPPFYLLELSE AV FORPLIKTELSER I HENHOLD TIL GJELDENDE LOVGIVNING ELLER MYNDIGHETSVEDTAK (RETTSLIG FORPLIKTELSE)

I forbindelse med avsnittet ovenfor (Forberedelse og administrasjon av avtalen) skjer også behandling av personopplysninger for at Resurs skal kunne oppfylle sine forpliktelser etter lovgivning eller myndighetsvedtak. Eksempel på slik behandling er behandling av personopplysninger for å oppfylle de krav som finnes i for eksempel bokføringsloven og hvitvaskingsloven. Det kan også være kontroll av personopplysningene mot sanksjonslister som Resurs etter lov eller myndighetsvedtak er pålagt å gjøre eller gjør for å sikkerhetsstille at det ikke foreligger bristende forutsetninger for å gjennomføre visse banktjenester.

MARKEDS- OG KUNDEANALYSER SAMT SYSTEMUTVIKLING OG MARKEDSFØRING (BERETTIGET INTERESSE)

Personopplysninger behandles også for utførelse av markeds- og kundeanalyser samt systemutvikling, som et ledd i Resurss forretningsutvikling med formål å forbedre bankens produkter og tjenester mot kundene. Kundeanalyser foretas også for å motvirke bedragerier.

Personopplysninger kan også behandles som underlag for markedsføring. Når behandling skjer med markedsføringsformål kan også profilering forekomme for å rette passende tilbud til deg som kunde. Med profilering menes automatisk behandling av personopplysninger som benyttes for å bedømme visse personlige egenskaper hos en fysisk person, særlig for å analysere eller forutsi eksempelvis dennes økonomiske situasjon, personlige preferanser, interesser og besøkelsessted.

SAMTYKKE TIL BEHANDLING AV PERSONOPPLYSNINGER

Når det rettslige grunnlaget for behandling av personopplysninger er samtykke, kan du eller annen som er registrert, hver for dere, i forbindelse med undertegnelse av det aktuelle dokumentet, gi et uttrykkelig samtykke til at personopplysningene kan behandles for de formål som er angitt ovenfor. Et eksempel på når samtykke til behandling av personopplysninger kreves er når de personopplysningene som gis til Resurs inneholder sensitive personopplysninger. Med sensitive personopplysninger menes opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, genetiske opplysninger eller biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering. Du har rett til når som helst å tilbakekalle ditt samtykke. Resurs har da etter dette ingen rett til å behandle opplysningene med grunnlag i samtykket, hvorpå opplysningene da ikke lengre kan legges til grunn for en søknad eller en avtale.

HVOR LENGE LAGRES PERSONOPPLYSNINGENE

Resurs lagrer kun personopplysningene så lenge det er nødvendig. Personopplysningene vil lagres så lenge det er et avtaleforhold mellom deg og banken. Det finnes i visse tilfeller lovgivning som gjør at Resurs må lagre opplysningene lenger, for eksempel for at banken skal oppfylle gjeldende lovgivning vedrørende foreldelse (10 år), motvirke hvitvasking (5 år) og bokføring (5 år). I visse tilfeller kan opplysningene lagres lenger på grunn av lovgivning om kapitaldekning.

BEHANDLING AV PERSONOPPLYSNINGER AV ANDRE ENN Resurs

Behandling av personopplysningene kan, innenfor rammen for gjeldende om taushetsplikt, skje av foretak i konsernet og av enheter som konsernet samarbeider med for å utføre sine tjenester, for eksempel Folkeregisteret. Det rettslige grunnlaget for behandlingen er Resurss gjennomføring av avtalen, eller bankens berettigede interesse.

TREDJELANDSOVERFØRING

I visse tilfeller kan Resurs overføre personopplysninger til land utenfor EU og EØS (såkalt tredjeland) samt til internasjonale organisasjoner. Slik overføring kan kun skje dersom visse vilkår i Personvernforordningen er oppfylt for eksempel at EU-kommisjonen har besluttet at det er et adekvat beskyttelsesnivå i det aktuelle landet, og under forutsetning av at også øvrige regler i Personvernforordningen følges.

KUNDENS RETTIGHETER

Nedenfor beskriver vi de viktigste nyhetene som Personvernforordningen innebærer for deg som er kunde hos Resurs, eller av en annen grunn er registrert hos oss.

INNSYN I EGNE PERSONOPPLYSNINGER

Du som er kunde hos Resurs har på samme måte som tidligere rett til å få informasjon om hvilke personopplysninger som banken behandler om deg. En slik begjæring om innsyn kan ikke bare gjøres skriftlig med vanlig brev men også gjøres på annen måte, eksempelvis elektronisk. En forutsetning for at du skal få innsyn i egne personopplysninger er som tidligere at banken kan identifisere deg på en sikker måte slik at uvedkommende ikke gis mulighet til å se dine opplysninger.

DATAPORTABILITET

En nyhet er at du også kan begjære å få ut en elektronisk kopi av informasjonen som viser hvilke personopplysninger du selv har gitt Resurs og som banken behandler elektronisk. Du har mulighet til å begjære at opplysningene overføres til en annen behandlingsansvarlig når det er teknisk mulig. En slik begjæring om dataportabilitet gjøres på samme måte som en begjæring om innsyn og også i dette tilfellet er det nødvendig at Resurs kan identifisere deg på en sikker måte slik at uvedkommende ikke gis mulighet til å se dine opplysninger.

RETT TIL Å RETTE

Du har rett til å få feilaktige personopplysninger om deg selv rettet og også supplere personopplysningene der de er ufullstendige.

RETT TIL SLETTING (”RETTEN TIL Å BLI GLEMT”)

Personvernforordningen inneholder en rett for deg under visse forutsetninger til å få dine personopplysninger slettet når de ikke lenger er nødvendige for å oppnå formålet de er samlet inn for. For Resurs finnes likevel i visse tilfeller annen lovgivning som gjør at banken ikke alltid umiddelbart kan slette data på denne måten. Resurs er pliktig til å lagre en del av dine personopplysninger i en viss tid for å kunne oppfylle krav i lovgivningen for eksempel i lovgivningen om bokføring, motvirke hvitvasking, bedragerier eller på grunn av regler om foreldelse.

SPERRE MOT DIREKTE REKLAME

Du har rett til å reservere deg mot slik direkte markedsføring fra Resurs.

Dersom du har spørsmål, er du velkommen til å kontakte oss på GDPR@resurs.se.
Du kan også lese om Personvernforordningen på Datatilsynets hjemmeside:

https://www.datatilsynet.no/regelverk-og-skjema/nye-personvernregler/