Personvern og behandling av personopplysninger

Personvern og behandling av personopplysninger

Selskapet vil nedenfor gi generell informasjon om sin behandling av personopplysninger.

1. Regler om selskapets behandling av personopplysninger

Personopplysningsloven med forskrifter og Datatilsynets konsesjonsvilkår regulerer selskapets adgang til å behandle personopplysninger. På denne bakgrunn har selskapet utarbeidet personvernregler. Disse reglene supplerer de øvrige avtalevilkår som selskapet har inngått med kunden og gjelder for alle tjenesteforhold, både nåværende og fremtidige.

Med personopplysninger forstås kundeopplysninger og vurderinger som kan knyttes til deg som personkunde.

Dersom ikke annet hjemmelsgrunnlag foreligger, vil selskapets behandling basere seg på frivillig, uttrykkelig og informert samtykke fra kunden. Samtykke er for eksempel ikke nødvendig for personopplysninger som registreres og brukes for å gjennomføre en avtale eller utføre et oppdrag fra kunden.

2. Behandlingens formål

Formålet med selskapets behandling av personopplysninger er i første rekke:

• Kundeadministrasjon, fakturering og for å oppfylle de forpliktelser som selskapet har påtatt seg for gjennomføring av avtaler med kunden.

• Kundeoppfølging og markedsføring (se pkt. 8)

• Risikoklassifisering av kunder og kredittporteføljer (se pkt 9)

• Forebygging og avdekking av straffbare handlinger (se pkt 10)

3. Informasjon om behandlingen og innsynsrett

Informasjon om kundens avtaler med selskapet vil i hovedsak bli gjort tilgjengelig i våre avtaledokumenter. Kunden kan ved skriftlig og undertegnet henvendelse til selskapet kreve innsyn i registrerte personopplysninger, beskrivelse av hvilke typer opplysninger som behandles og nærmere informasjon om selskapets behandling av opplysningene.

4. Personopplysninger som innhentes av selskapet

Personopplysninger som registreres vil selskapet i hovedsak motta direkte fra kunden. Ved innsamling av opplysninger fra tredjepersoner (for eksempel kredittopplysningsforetak) vil kunden bli varslet, med mindre innsamlingen er lovbestemt.

Dersom selskapet ønsker å innhente opplysninger fra kunden som ikke er nødvendige for ivaretakelse av avtaleforholdet, skal selskapet først informere kunden om at det er frivillig å gi fra seg opplysningene og hva opplysningene vil bli brukt til (det vil si formålet med behandlingen).

5. Personopplysninger som registreres av selskapet

Selskapet vil ved avtaleinngåelsen og under det løpende avtaleforholdet registrere opplysninger om kunden og andre personer som har tilknytning til avtaleforholdet, for eksempel medlånetaker og kausjonister. Selskapet vil også registrere opplysninger om personer som selskapet har avslått å inngå avtale med i den hensikt å kunne underrette vedkommende om avslaget og eventuelt i ettertid å kunne dokumentere forholdet, herunder at et avslag var saklig begrunnet.

6. Utlevering

Registrerte personopplysninger vil bli utlevert til offentlige myndigheter og andre utenforstående når dette følger av lovbestemt opplysningsplikt eller opplysningsrett. Dersom lovgivningen tillater det og selskapets taushetsplikt ikke er til hinder, vil personopplysninger også kunne bli utlevert til andre banker og finansforetak samt samarbeidspartnere for bruk innenfor de formål som er angitt for behandlingen. Overføring av personopplysninger til selskapets databehandlere anses ikke som utlevering.

Selskapet vil også utlevere personopplysninger til annet foretak i konsernet eller konserngruppen, så fremt utlevering er nødvendig for å tilfredsstille konsernbaserte styrings-, kontroll- og/eller rapporteringskrav fastsatt i lov, eller i medhold av lov. Det forutsettes at behandlingen av personopplysningene er underlagt taushetsplikt i det foretaket opplysningene utleveres til.

Ved utføring av betalingsoppdrag til eller fra utlandet vil tilhørende personopplysninger bli utlevert utenlandsk bank og/eller dennes medhjelper. Det vil være mottakerlandets lovgivning som regulerer i hvilken grad slike

personopplysninger vil bli utlevert til offentlige myndigheter eller kontrollorganer, for eksempel for å ivareta mottakerlandets skatte- og avgiftslovgivning og tiltak mot hvitvasking av penger og terrorfinansiering.

7. Konsernkunderegister

Bank som samarbeider med andre selskaper innenfor samme finanskonsern eller konserngruppe kan ha et felles kunderegister. Dette gjelder bl.a. for forsikringsselskap, finansieringsforetak og forvaltningsselskap for verdipapirfond. Formålet med konsernkunderegisteret er å administrere kundeforholdet og samordne tilbudet av tjenester og rådgivning fra de forskjellige selskapene i konsernet/gruppen.

Konsernkunderegisteret vil inneholde nøytrale opplysninger om kunden som navn, fødselsdato, adresse og kontaktopplysninger, opplysninger om hvilket konsernselskap vedkommende er kunde i og hvilke tjenester og produkter kunden har avtale om. Fødselsnummer kan utleveres til og registreres i felles konsernkunderegister når formålet er administrasjon av kundeforhold.

8. Kundeoppfølging og markedsføring

Selskapet vil informere kunden om produkter innen de produktkategoriene hvor det allerede foreligger et avtaleforhold mellom kunden og selskapet. Selskapets produkter deles i følgende kategorier:

• Xxx, leasing og andre kreditter

Uten samtykke fra kunden vil selskapet kunne benytte følgende nøytrale opplysninger til kundeoppfølging og markedsføring: Kundens navn, kontaktopplysninger, fødselsdato og hvilke tjenester eller produkter kunden har inngått avtale om.

Markedsføres det produkter og tjenester innen en annen produktkategori enn den som selskapet og kunden har inngått avtale om (se første avsnitt), kreves det samtykke fra kunden for å benytte andre kundeopplysninger enn de nøytrale.

Kunden kan ved henvendelse til selskapet kreve sitt navn sperret for bruk i markedsføringsøyemed.

9. Risikoklassifisering av kunder og kredittporteføljer

Selskapet vil etter regler i finansieringsvirksomhetsloven behandle kredittopplysninger og andre personopplysninger i forbindelse med etablering og bruk av systemer for beregning av kapitalkrav for kredittrisiko. Med systemer for interne målemetoder menes her selskapets modeller, arbeids- og beslutningsprosesser for kredittgivning og kredittstyring, kontrollmekanismer, IT-systemer og interne retningslinjer som er knyttet til klassifisering og kvantifisering av institusjonens kredittrisiko og annen relevant risiko.

Personopplysninger til dette formålet vil kunne innhentes fra kredittopplysningsforetak.

10. Forebygging og avdekking av straffbare handlinger - hvitvaskingsmeldinger

Selskapet vil behandle personopplysninger med formål å forebygge, avdekke, oppklare og håndtere bedragerier og andre straffbare handlinger. Opplysningene vil bli innhentet fra og utlevert til andre banker og finansinstitusjoner, politiet og andre offentlige myndigheter. Oppbevaringstiden vil være inntil ti år etter registreringen.

Selskapet vil behandle personopplysninger for å oppfylle undersøkelses- og rapporteringsplikten for mistenkelige transaksjoner etter hvitvaskingsloven. Selskapet er pålagt å rapportere mistenkelige opplysninger og transaksjoner til ØKOKRIM v/ Enheten for finansiell etterretning (EFE).

Kunden har etter personopplysningsloven § 23 første ledd bokstav b) og bokstav f) ikke innsyn i de opplysninger selskapet har registrert for disse formålene.

11. Retting og sletting

Selskapet vil slette eller anonymisere registrerte personopplysninger når formålet med den enkelte behandling av oppfylt, med mindre opplysningene skal eller kan oppbeveres utover dette som følge av lovgivningen. Innenfor de begrensninger som er fastsatt i personopplysningsloven kan kunden kreve å få rettet eller slettet mangelfulle og unødvendige personopplysninger.