CEP, CEP UK & SCHWEIZ: SEKRETESSPOLICY FÖR TTS FÖRETAGSKORT

CEP, CEP UK & SCHWEIZ: SEKRETESSPOLICY FÖR TTS FÖRETAGSKORT

Citi’s Treasury and Trade Solutions (TTS) företagskortverksamhet tillhandahåller företagskortprogram till företag, finansinstitut och organisationer inom den offentliga sektorn (var och en av dessa kallas “Företag” i denna sekretesspolicy). Denna sekretesspolicy förklarar hur denna verksamhet behandlar personuppgifter om personer som vi kommer i kontakt med (hänvisade till som ”du” i denna sekretesspolicy) i samband med våra förbindelser med företaget och andra relevanta personer. Detta omfattar personer till vilka Företaget har begärt att Xxxx ska utfärda ett kort (”Kortinnehavare”) samt anställda, tjänstemän, chefer, nyttjanderättsägare och annan personal i Företaget, tjänsteleverantörer och affärsmotparter (hänvisade till som ”Din organisation” i denna sekretesspolicy).

Citis TTS-kontant- och handelstjänster styrs av separata sekretesspolicyer som finns här: xxxxx://xxx.xxxxxxxx.xxx/xxx/xx/xxx- privacy-statements/.

1. Vem ansvarar för dina personuppgifter och hur kan du kontakta dem?

De Citi-enheter som anges här (hänvisade till som ”vi” i denna sekretesspolicy) är de registeransvariga för dina personuppgifter:

• CEP: Citibank Europe plc, 0 Xxxxx Xxxx Xxxx, Xxxxxx 0, X00 X0X0, Xxxxxx;

• CEP UK: Citibank Europe plc., UK Branch, Xxxxxxxxx Xxxxxx, Xxxxxx Xxxxxx, Xxxxxx Xxxxx, Xxxxxx, X00 0XX, Storbritannien.

• Schweiz: Citis kontor, filialer och representanter i Schweiz är tjänsteleverantörer som samlar in och bearbetar data på uppdrag av Citi-enheter på andra platser, inklusive Storbritannien, där konton och produkter öppnas.

För mer information kan du kontakta vårt dataskyddsombud på:

• EU / EES: Citibank Europe plc, 0 Xxxxx Xxxx Xxxx, Xxxxxx 0, X00 X0X0, Xxxxxx; e-mail: xxxxxxxxxxxxxxxxxxxxx@xxxx.xxx

• Storbritannien: Citibank Europe plc., UK Branch, Xxxxxxxxx Xxxxxx, Xxxxxx Xxxxxx, Xxxxxx Xxxxx, Xxxxxx, X00 0XX, Storbritannien; e-mail: xxxxxxxxxxxxxxxxxxxxx@xxxx.xxx

2. Varför behandlar vi dina personuppgifter?

Vi behandlar dina personuppgifter, enligt vad som krävs för att uppfylla våra legitima affärsintressen och andra intressen, av följande skäl:

• för att tillhandahålla företaget och kortinnehavare ett företagskortprogram och för att kommunicera med företaget och kortinnehavare om programmet.

• för att hantera, administrera och förbättra vår verksamhet och engagemang och relationer med företaget och tjänsteleverantörer för marknadsföring, affärsutveckling och analys.

• för att övervaka och analysera användningen av våra företagskortprogram för systemadministration, drift, tester och support.

• för att driva och hantera vår informationsteknik och våra system och för att garantera säkerheten för vår informationsteknik och våra system;

• för att fastställa, göra gällande och/eller försvara rättsliga anspråk eller rättigheter och för att skydda, utöva och genomdriva våra rättigheter, egendom eller säkerhet eller för att hjälpa Företaget eller andra att göra detta.

• för att undersöka, svara på och ta itu med klagomål eller incidenter som rör oss eller vår verksamhet, för att upprätthålla servicekvaliteten och för att utbilda personal.

Vi behandlar även dina personuppgifter för att följa lagar och bestämmelser. Ibland gör vi mer än det minsta som krävs för att följa dessa lagar och förordningar, men endast enligt vad som krävs för att uppfylla våra legitima intressen i samarbete med våra tillsynsmyndigheter och andra myndigheter, för att följa utländska lagar, förhindra eller upptäcka ekonomiska och andra brott och regleringsöverträdelser och skydda vår verksamhet och de finansiella marknadernas integritet. Det innebär behandling av dina personuppgifter av följande skäl:

• för att samarbeta med, svara på förfrågningar från och rapportera transaktioner och/eller annan aktivitet till statliga organ, skattemyndigheter eller tillsynsorgan eller andra mellanhänder eller motparter, domstolar eller andra tredje parter.

• för att övervaka och analysera användningen av våra produkter och tjänster för riskbedömning och kontrollsyften (inklusive upptäckt, förebyggande och utredning av bedrägeri).

• för att vidta efterlevnadsåtgärder som granskning och rapportering, bedömning och hantering av risk, underhåll av bokförings- och skatteuppgifter, förebyggande av bedrägeri och bekämpning av penningtvätt och åtgärder som rör sanktioner och antiterrorlagar och bestämmelser och bekämpning av brott. Detta inkluderar kundkännedomsgranskning (KYC) (som innebär identitetskontroller och verifiering av adress- och kontaktuppgifter), granskning av personer i politiskt utsatt ställning (som innebär granskning av kundregister mot interna och externa databaser för att fastställa förbindelser till ”personer i politiskt utsatt ställning” (PEP) som en del av kundkontroll och onboarding) och sanktionsgranskning (som innebär granskning av kunder och deras representanter mot publicerade sanktionsförteckningar).

• för att spela in och/eller övervaka telefonsamtal för att upprätthålla servicekvalitet och säkerhet, för personalutbildning och övervakning av bedrägeri och för att hantera klagomål, tvister och potentiell och/eller faktisk brottslig verksamhet. I den utsträckning det är tillåtet enligt lag är dessa inspelningar uteslutande vår egendom.

I de flesta fall är vi inte beroende av samtycke som rättslig grund för att behandla dina personuppgifter. Om vi behöver ditt samtycke kommer vi att klargöra detta för dig när vi ber om ditt samtycke.

I vissa fall kan vår rättsliga grund vara att behandlingen är nödvändig för att utföra en uppgift som utförs av allmänt intresse på grundval av lag (t.ex. förebyggande och upptäckt av brott).

Om du inte tillhandahåller information som vi begär kan vi eventuellt inte tillhandahålla (eller fortsätta att tillhandahålla) relevanta produkter eller tjänster till eller på annat sätt göra affärer med dig eller din organisation.

Vi behandlar inte dina personuppgifter för direkta marknadsföringsändamål.

3. Tjänsteaviseringar

Kortinnehavaren kommer automatiskt att få aviseringar om tjänsteuppdateringar från oss via post eller e-post där kontaktuppgifter har tillhandahållits oss av företaget. Du kommer att ha möjlighet att välja att få sådana aviseringar via SMS och att få andra aviseringar via e-post genom att registrera dig på CitiManager, som är en tjänst som du kan använda för att komma åt och se dina kontoutdrag online. Observera att om du registrerar dig för sådana SMS-aviseringar, kan din telekomoperatör debitera dig för att få sådana aviseringar vid utlandsresor. Vi ansvarar inte för sådana avgifter. Om du vill ändra de aviseringar som du får gör du det via CitiManager eller ringer kundtjänst på numret på baksidan av ditt kort.

4. Var hämtar Citi dina personuppgifter?

Vi behandlar personuppgifter som du lämnar till oss direkt eller som vi får veta om dig från din användning av våra system och appar och från vår kommunikation och andra kontakter med dig och/eller din organisation. Din organisation och andra organisationer kan även ge oss vissa personuppgifter om dig, inklusive enligt nedan:

• från din organisation: ditt födelsedatum, nationalitet, titel och anställnings-ID, arbetsbeskrivning, kontaktuppgifter som din företags-e-postadress, hem- och/eller företagsadress och telefonnummer och annan information som krävs för kundkännedom, bekämpning av penningtvätt och/eller sanktionskontroll (t.ex. en kopia av ditt pass eller ett exemplar av din signatur).

• från offentliga källor: information som samlats in från internationella sanktionsförteckningar, offentligt tillgängliga webbplatser, databaser och andra offentliga datakällor;

• från företaget och dess programadministratörer: när det rör sig om en kortinnehavaren kan de personer som administrerar företagskortprogrammet på uppdrag av företaget och/eller själva företaget tillhandahålla personuppgifter avseende dig och lämna in begäranden om ändringar av personuppgifter som du gjort för din räkning till oss, genom användning av ett elektroniskt korthanterings- och rapporteringssystem eller på annat sätt. En sådan begäran kan vara att uppdatera information om dig eller ditt konto som anges i ditt ansökningsformulär, t.ex. ditt namn, adress och e-postadress. Vi kan kontakta din chef eller din programadministratör om dig och ditt konto.

• från handlare: när det rör sig om en kortinnehavare kommer handlare som accepterar våra företagskort och konton att överföra information till relevant bankkortsföretag och till oss om transaktioner som du gör med dem med ditt kort eller konto.

I allmänhet bearbetar vi inte biometriska data. Från tid till annan kan vi dock behandla biometriska uppgifter om dig som vi får veta genom din interaktion med våra system och applikationer. För att till exempel förhindra och upptäcka bedrägerier kan vi samla in och bearbeta data om din mushastighet och rörelser, din tangenttryckningsrytm eller ditt tangentbords användningsegenskaper, för att verifiera din identitet i varje enskilt fall. Vi kommer alltid att ge dig ytterligare förklarande information och ytterligare information som krävs om vi samlar in och på annat sätt behandlar dina biometriska uppgifter.

Du kanske kan logga in på eller på annat sätt interagera med våra system och appar genom att använda biometrisk teknik på din personliga mobila enhet. Sådan biometrisk autentisering är en digital autentiseringsmetod som använder dina unika biometriska data (t.ex. fingeravtryck eller ansiktsegenskaper) och den inbyggda biometriska tekniken på din personliga mobila enhet. Dina biometriska data finns kvar på din personliga mobila enhet och överförs inte till oss när denna autentiseringsmetod används.

5. Till vem lämnar vi ut dina personuppgifter?

Vi lämnar ut dina personuppgifter av de skäl som anges i avsnitt 2 ovan, enligt följande:

• till din organisation och, om det är en annan, din arbetsgivare, eller andra företag i samma koncern och i samband med det kommersiella kortprogram som vi tillhandahåller dem, eller på annat sätt i samband med vårt samarbete med dem, och behöriga tredje parter, inklusive, om du är kortinnehavare, utlämnande till programadministratörer och andra personer som har auktoriserats av ditt företag om debiteringar och avgifter på ditt kort eller konto, statusen på ditt konto och andra uppgifter som rör ditt kort och konto, genom användning av ett elektroniskt korthanterings- och rapporteringssystem eller på annat sätt, för hantering och administration av utlägg och resor.

• till andra Citi-enheter (detta inkluderar de enheter som anges på xxxxx://xxx.xxxxxxxxx.xxx/xxxxxx/xxxxx-xx/xxxxxx- presence) i syfte att hantera Citis relationer med företaget, tjänsteleverantörer och andra affärsmotparter.

• till tredje part som ingår i ett betalningssystems infrastruktur eller som på annat sätt underlättar betalningar, inklusive: kommunikation, clearing och andra betalningssystem eller liknande tjänsteleverantörer; mellanhand, agent och motsvarande banker; digitala eller eWallets; liknande enheter och andra personer som vi tar emot eller till vilka vi gör betalningar för dig eller företagets räkning;

• till tjänsteleverantörer som tillhandahåller tjänster som kompletterar ett företagskortprogram, inklusive behandling av ansökningar, övervakning av bedrägeri, callcenter och/eller annan kundtjänst, kortproduktion, värdfunktion och andra outsourcingtjänster för teknik och affärsprocesser.

• till våra professionella tjänsteleverantörer (t.ex. juridiska rådgivare, redovisningsansvariga, revisorer, försäkringsgivare och skatterådgivare).

• till juridiska rådgivare, statliga och brottsbekämpande myndigheter och andra personer som är inblandade i eller överväger rättsliga förfaranden.

• till behöriga tillsynsmyndigheter, åklagarmyndigheter, skattemyndigheter eller statliga myndigheter eller domstolar i alla jurisdiktioner.

• till andra personer, inklusive handlare som accepterar våra kort, där utlämnande krävs enligt lag eller regelverk för att möjliggöra att du eller företaget får tillgång till ett företagskortprogram.

• till potentiella köpare som en del av en försäljning, sammanslagning eller annan avyttring av någon av våra verksamheter eller tillgångar.

6. Vart överför vi dina personuppgifter?

Vi kan överföra dina personuppgifter till Citi-enheter, tillsynsmyndigheter, åklagarmyndigheter, skattemyndigheter eller statliga myndigheter, domstolar, tjänsteleverantörer och andra affärsmotparter som finns i länder utanför Europeiska ekonomiska samarbetsområdet (EES), och Storbritannien inklusive länder som har andra dataskyddsstandarder än de som gäller i EES och Storbritannien. Detta innefattar överföring av personuppgifter till Singapore, Indien och USA. När vi överför dina personuppgifter till Citi-enheter, tjänsteleverantörer eller andra affärsmotparter i länder utanför EES och Storbritannien vars dataskyddslagar inte anses ge en adekvat skyddsnivå, kommer vi att se till att de skyddar dina personuppgifter i enlighet med godkända standardavtalsklausuler eller andra lämpliga skyddsåtgärder i enlighet med EU:s och Storbritanniens dataskyddslagar.

7. Hur länge behåller vi dina personuppgifter?

Vi behåller dina personuppgifter så länge det är nödvändigt för det syftet personuppgifterna samlades in, inklusive i samband med att upprätthålla vår relation med dig eller din organisation eller i samband med att ett avtal ska utföras med företaget eller din organisation (om din organisation inte är ”företaget”). Vi behåller också dina personuppgifter där det är nödvändigt för att göra det möjligt för oss att följa en rättslig eller lagstadgad skyldighet i enlighet med våra policyer och rutiner för lagring av register. När lagring av dina personuppgifter inte längre är nödvändigt kommer vi att förstöra dem på ett säkert sätt eller anonymisera dem irreversibelt så att det inte längre är personuppgifter.

8. Vilka rättigheter har du gällande personuppgifter?

Du kan be oss att: (i) ge dig en kopia av dina personuppgifter, (ii) korrigera dina personuppgifter, (iii) radera dina personuppgifter eller (iv) begränsa vår behandling av dina personuppgifter. Du kan också invända mot vår behandling av dina personuppgifter. Dessa rättigheter kommer att vara begränsade i vissa situationer, till exempel om vi är skyldiga att behandla dina personuppgifter för att följa en rättslig eller lagstadgad skyldighet.

Observera att anledningarna till att vi behandlar dina personuppgifter beskrivs i avsnitt 2 ovan. Följaktligen – om du till exempel ber oss att radera dina personuppgifter eller om du ber oss att begränsa vår behandling av dina personuppgifter, betyder det att vi tyvärr inte kan tillåta att du fortsätter att delta i vårt kommersiella kortprogram. Observera också att även om du ber oss radera dina personuppgifter eller begränsa behandlingen av dina personuppgifter kommer vi fortfarande att behålla en kopia av dina personuppgifter i enlighet med avsnitt 7 ovan.

För att utöva dessa rättigheter eller om du har frågor om hur vi behandlar dina personuppgifter kontaktar du oss med kontaktuppgifterna i avsnitt 1 ovan. Vi kan i synnerhet ge kopior av skyddsåtgärderna för uppgiftsöverföringen som avses i avsnitt 6 ovan. Du kan även klaga till relevanta dataskyddsmyndigheter, i den EES-medlemsstat eller Storbritannien där du bor eller arbetar eller där det påstådda brottet mot dataskyddslagen skedde. Du hittar kontaktinformation för EES:s dataskyddsmyndigheter här: xxxxx://xxxx.xxxxxx.xx/xxxxxxxxx/xxxxx/xxxxxxx_xx, och dataskyddsmyndigheten i Storbritannien här: xxxxx://xxx.xxx.xx/.

9. Ändringar av denna sekretesspolicy

Denna sekretesspolicy träder i kraft den 25 maj 2018; den uppdaterades senast den 1 september 2023. Om vi ändrar den kommer vi att lägga ut den nya versionen på denna webbplats för att du ska vara fullständigt medveten om vår behandling av dina personuppgifter och relaterade frågor.