Om BlueStep Bank

Hvordan behandler BlueStep personopplysninger?

Denne personvernerklæringen forklarer hvordan vi (Bluestep Bank AB (publ), Filial Oslo, org.nr. 995 268 841) samler inn og bruker dine personopplysninger. Gjelder fra og med: 20.07.2018.

1. Behandlingsansvarlig.

Det er BlueStep Bank AB (publ), Filial Oslo som er behandlingsansvarlig for virksomhetens behandling av personopplysninger.

 

2.    Hvordan vi kan bruke dine personopplysninger og det rettslige grunnlaget for å gjøre det

Personopplysninger er opplysninger og vurderinger som kan kobles til en enkeltperson. Opplysninger om atferdsmønstre er også regnet som personopplysninger.

Vi bruker dine personopplysninger til å oppfylle rettslige forpliktelser og avtaleforpliktelser, samt å gi deg tilbud.

Behandlingen av personopplysninger skjer i medhold av personopplysningsloven, som gjennomfører EUs personvernforordning (GDPR), samt relevant særlovgivning.

 

Inngå og administrere produktavtaler (oppfyllelse av kontrakt)

Hovedformålet med vår behandling av personopplysninger er kundeadministrasjon, fakturering, og for å oppfylle de forpliktelser som vi har påtatt oss for gjennomføring av avtale med deg. Det er frivillig å gi fra seg opplysninger, men det at du gir personopplysninger er en forutsetning for at vi skal inngå avtale med deg.

Det rettslige grunnlaget for å gjøre det, er at behandling er nødvendig for å inngå/oppfylle en avtale med deg, jf. GDPR artikkel 6 nr. 1 bokstav b. Når vi behandler fødselsnumre i forbindelse med vår inngåelse og administrasjon av avtaler, skjer dette i medhold av personopplysningsloven § 12. Vi anser slik behandling for å være saklig og nødvendig.

Utover dette behandles personopplysninger til følgende formål:

Oppfyllelse av krav og forpliktelser i medhold av lover, forskrifter eller vedtak fra myndigheter og tilsynsorganer (rettslig forpliktelse), jf. også GDPR artikkel 6 nr. 1 bokstav c.

I tillegg til å oppfylle kontrakt, behandler vi også personopplysninger for å oppfylle våre forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger. 

Eksempler på behandling basert på rettslige forpliktelser:

  • Kunnskap om deg som kunde (person som har inngått eller har hensikt å inngå avtale), herunder for å få lovpålagte opplysninger om deg i forbindelse med finansiell rådgivning.
  • Forebygging og avdekking av straffbare handlinger, slik som hvitvasking av penger, finansiering av terrorisme og bedrageri, se hvitvaskingsloven kapitlene 3 og 4. Vi er pålagt å rapportere mistenkelige opplysninger og transaksjoner til ØKOKRIM v/ Enheten for finansiell etterretning (EFE).
  • Sanksjonsovervåkning
  • Bokføringskrav
  • Rapportering til skattemyndigheter, politimyndigheter, namsmyndighet tilsynsmyndigheter 
  • Risikoklassifisering knyttet til risikohåndtering som kredittutvikling og -kvalitet, kapitaldekning og forsikringsrisiko
  • Krav og forpliktelser knyttet til betalingstjenester
  • Andre forpliktelser knyttet til tjeneste- eller produktspesifikk lovgivning, for eksempel, pantesikkerhet eller boliglån.

I det fall vi kommer i befatning med opplysninger om straffbare forhold m.v., jf. opplysninger som omfattes av GDPR artikkel 10, vil behandling av disse være tillatt i henhold til særlig rettslig grunnlag som nevnt ovenfor.

 

Markeds- og kundeanalyser, systemutvikling og markedsføring (berettiget interesse)

Personopplysninger behandles også i sammenheng med markedsførings-, produkt- og kundeanalyser. Denne prosessen danner grunnlaget for markedsførings-, prosess-, forretnings- og systemutvikling, inkludert testing. Hensikten med dette er å forbedre vårt produktsortiment og optimalisere tilbudet til kundene. Dette kan også innebære profilering (se punkt 8). Behandlingen skjer med grunnlag i berettigete interesser, jf. GDPR art. 6 nr. 1 bokstav f. Berettigede interesser i denne sammenheng, er utvikling og forbedring av våre produkter, samt tilbudsoptimalisering.

Samtykke

I noen tilfeller ber vi om ditt samtykke til å behandle personopplysningene dine, jf. GDPR art. 6 nr. 1 bokstav a. Eksempler er behandling av spesielle kategorier av personopplysninger. Samtykket skal inneholde informasjon om den spesifikke behandlingsaktiviteten. Hvis du har gitt samtykke til behandling av dine personopplysninger, kan du når som helst trekke det tilbake. 

 

3. Hvilke personopplysninger vi behandler 

Vi behandler følgende kategorier av personopplysninger:

  • Opplysninger om din identitet: navn, personnummer og legitimasjonsdokument (inklusiv bilde),
  • kontaktinformasjon: adresse, telefonnumre og e-postadresser
  • opplysninger om økonomiske forhold (inntekt, arbeidsforhold, forsørgeransvar, gjeld),
  • kredittopplysninger mottatt fra kredittbyrå om tidligere skatt, inntekt og eventuelle betalingsanmerkninger
  • opplysninger som kreves for å få grunnleggende kunnskap om kunder og i forbindelse med arbeid mot hvitvasking
  • andre opplysninger som kan være nødvendig for kundeforholdet (f. eks. om vergestatus).

Navn og adresseinformasjon oppdateres jevnlig gjennom Folkeregisteret.

 

 4. Hvor hentes opplysningene fra? 

Personopplysninger som registreres vil vi i hovedsak motta direkte fra deg.

Vi registrerer også telefonsamtaler, kan lagre e-postkommunikasjon eller på annen måte dokumentere din kommunikasjon med oss.

Vi samler også personopplysninger inn fra tredjepart: offentlig tilgjengelige kilder og andre eksterne kilder; registre som føres av offentlige myndigheter (for eksempel Folkeregisteret), sanksjonslister, registre som føres av kredittopplysningsbyråer og andre kommersielle informasjonstjenester som leverer informasjon om f.eks. politisk eksponerte personer.  

Vi lagrer i tillegg informasjonskapsler (cookies) fra din bruk av våre nettsider, dersom du ikke aktivt blokkerer slik lagring. Dette er akseptabelt samtykke etter ekomloven § 2-7b. Vi samler inn og analyserer data om bruk av våre nettsider for å håndtere vår markedsføring, gi deg en bedre online-opplevelse, følge opp ytelsen på våre nettsider og gjøre nettstedet vårt mer relevant for deg.

Du kan angi eller endre innstillinger i nettleseren for å godta eller avvise informasjonskapsler.

For mer informasjon om informasjonskapsler, se her: https://www.bluestep.no/cookies

 

 5. Hvem vi kan utlevere dine opplysninger til 

Registrerte personopplysninger vil bli utlevert til offentlige myndigheter (for eksempel, Skatteetaten) når dette følger av lovbestemt opplysningsplikt.

Vi deler også personopplysninger med databehandlere som vi samarbeider med så lenge dette er nødvendig for å kunne oppfylle de forpliktelser som vi har påtatt oss for gjennomføring av avtale med deg, for eksempel betalingstjenesteleverandør, IT-leverandører, inkassoselskap, finansagenter osv.

Dersom lovgivningen tillater det og bankens taushetsplikt ikke er til hinder, vil personopplysninger også kunne bli utlevert til andre banker og finansforetak for bruk innenfor de formål som er angitt for behandlingen.

Innenfor vår taushetsplikt vil vi også dele personopplysninger innenfor konsernet, så fremt dette er nødvendig for å tilfredsstille konsernbaserte styrings-, kontroll-, og/eller rapporteringskrav fastsatt i lov, eller i medhold av lov, avtale eller samtykke.

Overføring av personopplysninger til våre databehandlere anses ikke som utlevering. Slik overføring forutsetter imidlertid at det foreligger databehandleravtale som sikrer tilfredsstillende sikring av personopplysninger hos databehandler.

 

Overføring av opplysninger til tredjeland

I noen tilfeller overfører vi også personopplysninger til land utenfor EU/EØS-område (såkalte tredjeland). For eksempel, for å kunne oppfylle krav i henhold til hvitvaskingsloven og sanksjonsloven overfører vi personopplysninger til USA for screening av opplysninger mot sanksjonslister og PEP-lister (lister over politisk eksponerte personer).

En overføring til tredjeland kan bare skje i fullt samsvar med personvernforordning og kun hvis noen av følgende vilkår er oppfylt:

  • EU-kommisjonen har fastslått at det foreligger et tilstrekkelig beskyttelsesnivå i det aktuelle landet, eller
  • det er truffet andre hensiktsmessige sikkerhetstiltak, for eksempel bruk av standardkontrakter (EUs standardklausuler) som er godkjent av EU-kommisjonen, eller dersom databehandleren har gyldige bindende konsernregler (BCR), eller
  • det er gitt en særlig tillatelse fra tilsynsmyndigheten, eller
  • ellers tillatt ved gjeldende lovgivning om databeskyttelse.

 

 6. Hvor lenge vi behandler dine personopplysninger

Vi beholder opplysningene dine så lenge de trengs for de formålene som opplysningene dine ble samlet inn og behandlet for, eller så lenge det kreves i henhold til lover og forskrifter. 

Noen konkrete eksempler på dette er:

  • Bokføringslover: opptil ti år
  • Forebygge, avdekke og granske hvitvasking av penger, finansiering av terrorisme og svindel: minst fem år etter at kundeforholdet ble avsluttet eller transaksjonen er gjennomført
  • Lånetilbud: opptil tre måneder etter utløpet av tilbudet

Hvis du ikke inngår en avtale med oss, blir dine personopplysninger slettet eller anonymisert etter tre måneder, med mindre opplysningene skal oppbevares utover dette som følge av lovgivningen, for eksempel, hvitvaskingsloven, eller du har gitt oss ditt samtykke om det.

 

7.    Dine personvernrettigheter

Som registrert har du følgende rettigheter knyttet til personopplysningene vi har om deg:

Retten til innsyn i dine personopplysninger

Du har rett til å få innsyn i personopplysninger vi har om deg. Du har også krav på å få utlevert kopi av opplysningene som er registrert.

Retten til innsyn kan imidlertid være begrenset av lovgivning eller beskyttelse av andre personers personvern.

Retten til korrigering av mangelfulle personopplysninger

Du har rett til å få korrigert personopplysninger som er feil, ufullstendige eller unøyaktige.

Retten til sletting av personopplysninger

Du har rett til å be om at dine personopplysninger blir slettet dersom:

  • du trekker tilbake samtykket til behandlingen og det ikke er noen annen berettiget grunn til behandlingen, 
  • du fremmer innsigelse mot behandlingen og det ikke er noen berettiget grunn til å fortsette behandlingen,
  • du retter innsigelse mot behandling for direkte markedsføring, 
  • behandlingen er ulovlig.

Som følge av lovgivningen i finanssektoren er vi i mange tilfeller forpliktet til å beholde personopplysninger om deg så lenge du er kunde hos oss, og også etter det, f.eks. for å oppfylle en lovbestemt forpliktelse eller for å behandle rettslige krav.

Retten til innsigelse mot behandling av personopplysninger

Du kan alltid fremme innsigelse mot behandling av personopplysninger om deg for direkte markedsføring og profilering i forbindelse med slik markedsføring.

Retten til dataportabilitet

Du har rett til å motta personlige opplysninger som du har gitt oss, i maskinlesbart format. Denne retten gjelder personopplysninger som kun behandles automatisert og på grunnlag av samtykke eller oppfyllelse av kontrakt. Dersom det kan skje sikkert og er teknisk gjennomførbart, kan vi også overføre opplysningene til en annen behandlingsansvarlig. 

Din forespørsel om å utøve dine rettigheter ovenfor vil bli vurdert ut fra omstendighetene i hvert enkelt tilfelle. Vær oppmerksom på at vi også kan beholde og bruke dine opplysninger slik det er nødvendig for å oppfylle juridiske forpliktelser, løse tvister og håndheve avtalene våre. 

 

8.    Profilering og automatiserte avgjørelser

Profilering

Profilering er enhver form for automatisert behandling av personopplysninger som innebærer å bruke personopplysninger for å vurdere visse personlige aspekter knyttet til en fysisk person, særlig for å analysere eller forutsi aspekter som gjelder, for eksempel, nevnte fysiske persons økonomiske situasjon, personlige preferanser, interesser, pålitelighet, atferd eller plassering.

Vi kan bruke profilering til, for eksempel, markeds- og kundeanalyser, systemutvikling, markedsføring, ved automatiserte avgjørelser og ved overvåking av transaksjoner for å avdekke bedrageri eller hvitvasking av penger.

Den rettslige grunnen til profilering er vår berettigede interesse, rettslig forpliktelse, oppfyllelse av kontrakt eller samtykke.     

 

Automatiserte avgjørelser

I noen tilfeller kan vi bruke automatiserte avgjørelser, som f.eks., automatisk avslag på kredittsøknad.

Den registrerte har rett til å ikke være gjenstand for en automatisk avgjørelse som utelukkende er basert på automatisk behandling (herunder profilering), som har rettsvirkning for, eller på tilsvarende måte i betydelig grad påvirker vedkommende.

Vi kan allikevel bruke en automatisk avgjørelse dersom det er nødvendig for å inngå/oppfylle en avtale eller er basert på kundens uttrykkelige samtykke.

 

9.    Hvordan vi beskytter dine personopplysninger

Vi bruker egnede tekniske, organisatoriske og administrative sikkerhetstiltak for å beskytte informasjonen mot tap, misbruk, utilsiktet tilgang, utlevering, endring eller ødeleggelse.

 

10. Kontaktinformasjon

Vi har oppnevnt personvernombud. Du kan kontakte personvernombudet per:

telefon: 0046 08-501 00 400

e-post: dpo@bluestep.no

brev: Sveavägen 163, 111 46 Stockholm

 

Hvis du har spørsmål til, synspunkter på vår personvernerklæring eller ønsker å utøve dine rettigheter knyttet til dine personopplysninger, kan du alltid ta kontakt på mail: personvern@bluestep.no eller sende en skriftlig begjæring til:

 

BlueStep Bank AB (publ), Filial Oslo att: personvernteamet

Postboks 641 Sentrum

0106 Oslo

 

Vi vil besvare henvendelsen snarest mulig, og senest innen 30 dager fra vi mottok henvendelsen. 

Dersom du har opplevd noe du mener er et brudd på personvernregelverket, kan du klage ved å sende en skriftlig henvendelse til Datatilsynets postadresse: Datatilsynet, Postboks 458, 0105 Oslo. 

 

 

Personvernerklæringen ble siste oppdatert 17.07.2018.