Nordeas politik om databehandling

I de fleste tilfælde indsamles personoplysninger direkte hos dig eller genereres, når du bruger vores serviceydelser, produkter og kanaler. Nogle gange er yderligere oplysninger nødvendige, så vi kan holde dine oplysninger opdaterede og kontrollere de oplysninger, vi indsamler. 

I nogle tilfælde indsamler og behandler vi også personoplysninger om personer med tilknytning til dig, f.eks. medarbejdere, reelle ejere, fuldmægtige, kautionister, pantsættere, betalere, personer, der er i kontakt med Nordea i forbindelse med en enkeltstående transaktion, samt andre personer, som vi er i dialog og samarbejder med. 

1a. Vi indsamler forskellige typer personoplysninger

Kategorierne af personoplysninger, vi indsamler og bruger, er vist nedenfor. Vi har givet eksempler på typen af personoplysninger, der falder ind under de enkelte kategorier. Bemærk, at listen med eksempler ikke er udtømmende. Typen af personoplysninger, vi indsamler om dig, afhænger af den serviceydelse eller det produkt, vi leverer til dig som kunde. 

• Identifikationsoplysninger: f.eks. dit CPR-nummer, fulde navn, kopi af dit pas eller kørekort, identifikation til Netbank og mobilbanken og IP-adresse. 
• Kontaktoplysninger: f.eks. fysisk adresse, telefonnummer og e-mailadresse. 
• Økonomiske oplysninger: f.eks. oplysninger om indkomst, konti, formue og gæld samt transaktioner, kredithistorik, forsikringshistorik, kredit-/betalingskortoplysninger samt den aftaletype, du har med os.
• Oplysninger i henhold til lovkrav og skatteoplysninger: f.eks. oplysninger om formue og gæld, beskatningsland eller udenlandsk skatteydernummer, oplysninger om energiattester samt påkrævede oplysninger i forbindelse med kundekendskab og forebyggelse af hvidvask og terrorfinansiering.
• Profiloplysninger: f.eks. statsborgerskab, demografiske oplysninger, civilstatus, husstandens sammensætning og beskæftigelse. 
• Oplysninger om kundeforhold med Nordea: f.eks. historiske oplysninger om kundeforholdet mellem dig og Nordea.
• Særlige kategorier af personoplysninger: f.eks. helbredsoplysninger i forbindelse med visse forsikringsprodukter, der udbydes af Nordeas livs- og pensionsselskaber, samt oplysninger om fagforeningsmæssigt tilhørsforhold i forbindelse med visse låneprodukter eller livs- og pensionsprodukter. 

1b. Vi indsamler personoplysninger fra forskellige kilder

Fra dig
Vi indsamler oplysninger, du giver os direkte. Når du er ny kunde, indsamler vi personoplysninger som f.eks. navn, CPR-nummer, e-mailadresse og telefonnummer. Vi indsamler desuden oplysninger om indkomst og gæld, så vi kan levere de relevante produkter eller serviceydelser til dig. Nordea indsamler også information som f.eks. meddelelser, du har sendt som feedback, anmodninger i vores digitale kanaler, når du abonnerer på vores nyhedsbreve, eller når du begynder at følge os eller skriver kommentarer på vores  profiler på de sociale medier.

Fra tredjeparter
Vi kan indsamle dine personoplysninger fra tredjeparter, f.eks. offentligt tilgængelige og andre eksterne kilder, for at kunne tilbyde dig vores produkter og serviceydelser, opfylde lovkrav samt til andre formål som eksempelvis profilering og produktoptimering. 

Ansøger du eksempelvis om et lån hos os, kan vi indsamle oplysninger i forbindelse med dit lån fra andre kilder, f.eks. centrale udbydere af kreditoplysninger, der indsamler låneoplysninger fra andre kreditorer. For at sikre at dine personoplysninger er korrekte og opdaterede, modtager vi løbende opdateringer af visse kategorier af personoplysninger fra tredjeparter (f.eks. offentlige myndigheder). 

Tredjepartskilder kan f.eks. være: 

• Statslige registre (f.eks. folkeregistre, skatteregistre, virksomhedsregistre og andre retshåndhævende myndigheders registre).
• Økonomiske sanktionslister (f.eks. hos internationale organisationer som EU og FN samt nationale organisationer som Office of Foreign Assets Control (OFAC)). 
• Registre hos kreditvurderingsbureauer og andre kommercielle udbydere af oplysninger om f.eks. reelle ejere og politisk eksponerede personer. 
• Pengeoverførselstjenester, forretninger, banker, betalingstjenester og andre i forbindelse med betalinger.
• Helbredsoplysninger fra hospitaler og andre sundhedsinstitutioner (til vores livs- og pensionsselskaber). 
• Andre selskaber i Nordea koncernen eller andre samarbejdspartnere. 
• Offentligt tilgængelige data, f.eks. fra sociale medier eller via søgemaskiner. Sociale medier kan også dele oplysninger med os, hvis du har givet tilladelse til det under dine personlige indstillinger for disse kanaler/medier. 
• Udbydere af tjenester til screening af forretningsrisici.
• Profileringsoplysninger fra eksterne samarbejdspartnere.

1c. Optagelse af telefonsamtaler, onlinemøder og opbevaring af chatsamtaler

Vi optager telefon- og chatsamtaler med henblik på dokumentation af kundeforespørgsler, bekræftelse af ordrer, sikkerhed og håndtering af svindel samt for at leve op til lovkrav. Onlinemøder samt telefon- og chatsamtaler opbevares eksempelvis, så vi kan dokumentere, hvad der er sket og sagt under samtalen, herunder eventuelt indgåede aftaler. Vi optager desuden samtaler, der kan føre eller fører til transaktioner om værdipapirer. I nogle lande anvender vi en optagelse til kvalitetskontrol af leverede serviceydelser, træning af medarbejdere, uddannelsesmæssige formål og til forbedring af vores processer, hvis det er tilladt i henhold til lovgivningen. Du kan læse mere om optagelse af telefonsamtaler på dette link. 

1d. Videoovervågning

Af sikkerhedshensyn, herunder forebyggelse af kriminelle handlinger, er der videoovervågning af vores filialer og pengeautomater. Der bruges videoovervågning i Nordeas bygninger som led i vores arbejde med sikkerhed. Områder med videoovervågning er markeret med skilte. Formålet med videoovervågning er at forhindre og efterforske kriminelle handlinger samt øge sikkerheden. Vi har vurderet, at det er nødvendigt for vores legitime interesse i forhold til at forhindre og efterforske kriminelle handlinger. I tilfælde af mistanke om en kriminel handling behandler vi personoplysninger, for at retskrav kan fastlægges, gøres gældende eller forsvares. Optagelser kan deles med myndigheder, hvis det er nødvendigt for efterforskningen af kriminelle handlinger.

Vi behandler dine personoplysninger ud fra det retsgrundlag og de formål, der er beskrevet nedenfor. 

2a. Nødvendigt for at opfylde en aftale med dig 

En af årsagerne til, at vi behandler personoplysninger, er at indsamle og verificere oplysningerne, før vi giver dig et tilbud eller indgår en aftale med dig. Vi behandler også personoplysninger for at dokumentere og udføre opgaver, så vi kan leve op til vores kontraktlige forpligtelser overfor dig, f.eks. levering og administration af vores produkter og serviceydelser. 

Eksempler på aktiviteter, der er nødvendige for at kunne opfylde en aftale med dig: 

• Indsamling af dine økonomiske oplysninger for at kunne åbne en konto eller udstede et kort eller yde kredit eller et lån.
• Indsamling af oplysninger, der er nødvendige for at verificere din identitet med henblik på at give dig adgang til vores digitale bankløsninger. 
• Indsamling af dine kontaktoplysninger for at kunne yde dig service i aftaleperioden, herunder kundepleje, kundeadministration samt kommunikation med dig.
• Indsamling af dine identifikationsoplysninger og dine økonomiske oplysninger for at kunne levere forsikrings- og pensionsydelser (behandling af særlige kategorier af personoplysninger i forbindelse med disse ydelser er baseret på behovet for at kunne fastlægge retskrav, gøre retskrav gældende eller forsvare sig mod retskrav).
• Indsamling af oplysninger for at vedligeholde og opdatere vores oplysninger om din aktiebeholdning hos os eller andre selskaber.

2b. Retlige forpligtelser

Udover opfyldelse af kontrakter behandler vi også personoplysninger for at opfylde vores forpligtelser i henhold til love, regler eller myndighedsafgørelser. 

Eksempler på behandling af personoplysninger som følge af retlige forpligtelser:

• Forebyggelse og bekæmpelse af hvidvask og terrorfinansiering.
• Sanktionsscreening.
• Bogføringsregler.
• Indberetning til skattemyndigheder, politimyndigheder, retshåndhævende myndigheder og tilsynsmyndigheder. 
• Forpligtelser i relation til risikostyring, f.eks. kreditudvikling og -kvalitet, solvens samt forsikringsrisici.
• Krav og forpligtelser i forbindelse med betalingstjenester, f.eks. overvågning og indberetning af svindel.
• Vedligeholdelse og forbedring af sikkerheden i vores IT systemer. Dette omfatter beskyttelse mod trusler og sikring af integriteten af vores digitale infrastruktur.
• Øvrige forpligtelser relateret til specifik lovgivning indenfor serviceydelser og produkter, f.eks. værdipapirer, fonde, sikkerhedsstillelse, forsikring eller realkredit.

2c. Legitime interesser 

Vi bruger dine personoplysninger, hvis det er nødvendigt, til at fremme vores legitime interesser, så længe disse legitime interesser ikke går forud for dine interesser eller grundlæggende rettigheder og frihedsrettigheder. 

Behandling som følge af legitime interesser kan f.eks. være:

• Markedsførings-, produkt- og kundeanalyser. Behandlingen danner grundlag for markedsføring samt proces-, forretnings- og systemudvikling, herunder testning. Målet er at forbedre vores produktudbud og optimere vores tilbud til kunderne, herunder kundeloyalitetsprogrammer. I visse situationer indhenter vi dit samtykke til markedsføringsrelaterede aktiviteter som beskrevet nedenfor.

• Profilering, f.eks. når vi gennemfører kundeanalyser til markedsføringsformål eller overvåger transaktioner for at afsløre svindel eller afgøre, om en person falder udenfor bankens risikoappetit i forbindelse med sanktioner.

• Afsløring af usædvanlige mønstre i brugers adfærd eller enhed for at forhindre svindel. 

• Vedligeholdelse og forbedring af sikkerheden i vores IT systemer. Dette omfatter beskyttelse mod trusler og sikring af integriteten af vores digitale infrastruktur. 

• Anonymisering af økonomiske og demografiske data for at indsamle statistik i forbindelse med test og udvikling af nye produkter og serviceydelser. Anonymiseret og aggregeret statistik kan ikke sættes i forbindelse med en fysisk person. 

• Analyser af brug af sociale medier med henblik på bedre og mere målrettet markedsføring og kommunikation, service og rådgivning, herunder at svare på dine kommentarer og at give dig support. 

• For at retskrav kan fastlægges, gøres gældende eller forsvares og for at kunne foretage inkasso.

• Risikomodellering, når vi udvikler og vedligeholder risikomodeller, f.eks. i forhold til kreditrisiko og kapitalkrav.

2d. Samtykke

Som nævnt under 2c vil der være situationer, hvor vi beder om dit samtykke til at behandle dine personoplysninger. Det kan f.eks. være behandling af oplysninger vedrørende betalingstransaktioner til markedsføringsformål i eksterne mediekanaler og på sociale medier, optagelser af opkald til uddannelsesmæssige formål eller særlige kategorier af personoplysninger. Du modtager information om formålet, behandlingsaktiviteten, typen af personoplysninger og din ret til at tilbagekalde dit samtykke, når vi beder om dit samtykke. Har du givet samtykke til, at vi behandler dine personoplysninger, kan du til enhver tid tilbagekalde dit samtykke. 

I visse tilfælde kan vi bruge automatiske afgørelser, hvis det er i overensstemmelse med lovgivningen, hvis du udtrykkeligt har givet dit samtykke, eller hvis det er nødvendigt for at kunne opfylde en kontrakt. Et eksempel er den automatiske kreditbevillingsproces i vores onlinekanaler.

Når vi bruger automatiske afgørelser, får du yderligere information om beslutningsgrundlaget samt betydningen og de forventede konsekvenser for dig.

Du kan altid give din mening til kende om en afgørelse, der udelukkende er baseret på automatisk behandling, herunder profilering, hvis afgørelsen har retsvirkning for dig (f.eks. annullering af en kontrakt) eller på lignende vis har større konsekvenser for dig (f.eks. afslag på en onlineansøgning), og du har ret til menneskelig indgriben i afgørelsen (f.eks. en medarbejder i Nordea gennemgår en kreditansøgning, der udelukkende er baseret på algoritmer).

Dine personoplysninger kan blive delt med andre, i det omfang lovgivningen forpligter os til det, og for at vi kan levere serviceydelser og opfylde de aftaler, vi har indgået med dig eller vores leverandører. Vi kan dele dine personoplysninger med andre, f.eks. myndigheder, selskaber i Nordea koncernen, leverandører, udbydere af betalingstjenester og samarbejdspartnere. 

Hvor det er relevant, har Nordea indgået databehandleraftaler, som fastlægger, hvad personoplysninger skal behandles til og hvordan, og som sikrer, at behandlingen overholder lovgivningen og vores egne krav til databehandling. Inden vi deler dine oplysninger, sikrer vi os altid, at vi overholder den relevante tavshedspligt, der gælder for den finansielle sektor.

For at kunne levere vores serviceydelser til dig videregiver vi de oplysninger om dig, der er nødvendige for at identificere dig og udføre en opgave eller opfylde en aftale sammen med de selskaber, vi samarbejder med. Serviceydelserne omfatter, men er ikke begrænset til, sikre identifikationsløsninger i det relevante land og mellem finansielle parter, f.eks. centralbanker, korrespondentbanker, betalingsmodtagere og clearingcentraler. Har du f.eks. bedt os om at overføre penge, er vi nødt til at videregive visse oplysninger for at kunne gennemføre overførslen. 

Vi kan desuden dele anonymiserede oplysninger med henblik på social eller økonomisk analyse eller til statistiske formål, hvor det efter vores mening er i offentlighedens interesse. 

Vi videregiver dine personoplysninger til:

• Myndigheder: Vi videregiver personoplysninger til myndigheder, i det omfang lovgivningen forpligter os til det. Sådanne myndigheder omfatter skattemyndigheder, politimyndigheder, retshåndhævende myndigheder og tilsynsmyndigheder i de relevante lande.
• Selskaber i Nordea koncernen: Vi videregiver personoplysninger indenfor Nordea koncernen med dit samtykke, eller hvis det er tilladt i henhold til gældende lovgivning.
• Eksterne samarbejdspartnere: Vi videregiver personoplysninger til eksterne samarbejdspartnere med dit samtykke, eller hvis det er tilladt i henhold til gældende lovgivning. Eksterne samarbejdspartnere omfatter f.eks. korrespondentbanker, andre banker, finansieringsselskaber og genforsikringsselskaber. For at kunne levere vores serviceydelser kan vi også videregive personoplysninger til udbydere af betalingstjenester, andre serviceudbydere, andre forsikringsselskaber, genforsikringsselskaber og serviceleverandører i forbindelse med overenskomstmæssige arbejdsmarkedspensioner.
• Leverandører: Vi har indgået aftaler med udvalgte leverandører, der bl.a. behandler personoplysninger på vores vegne. Det kan f.eks. være leverandører af IT-udvikling, vedligeholdelse, hosting og support.

Overførsel af personoplysninger til tredjelande

I visse tilfælde kan vi også overføre personoplysninger til organisationer i tredjelande (lande udenfor Det Europæiske Økonomiske Samarbejdsområde (EØS)). Sådanne tilfælde kunne eksempelvis være, når vi bruger IT-udbydere eller aftalepartnere. Sådanne overførsler kan gennemføres, hvis en af følgende betingelser er opfyldt:

• EU-Kommissionen har fastslået, at det pågældende land har et tilstrækkeligt beskyttelsesniveau eller
• Andre fornødne garantier er etableret, f.eks. brugen af standardkontraktbestemmelser vedtaget af EU-Kommissionen eller databehandlerens brug af bindende virksomhedsregler (Binding Corporate Rules (BCR)) eller
• Der er undtagelser i særlige situationer, f.eks. i forbindelse med opfyldelse af kontrakter eller ved samtykke til specifikke overførsler.

Du kan se de relevante standardkontraktbestemmelser, som Nordea bruger til overførsler, ved at gå til www.eur-lex.europa.eu og søge på 32021D0914.

Som virksomhed er det afgørende for os at opbevare dine personoplysninger trygt og sikkert. Vi bruger de nødvendige tekniske, organisatoriske og administrative sikkerhedsforanstaltninger for at beskytte dine personoplysninger mod tab, misbrug, uautoriseret adgang, videregivelse, ændring og tilintetgørelse.

Du har følgende rettigheder i forbindelse med dine personoplysninger:

a) Ret til at anmode om indsigt i dine personoplysninger 

Du har ret til at få indsigt i de personoplysninger, vi har registreret om dig. I mange tilfælde kan du allerede se oplysningerne i vores onlineløsninger. Din ret til indsigt kan dog være begrænset af lovgivningen, beskyttelse af andre personers privatliv samt hensynet til vores forretningskoncept og forretningspraksis. Hensynet til vores knowhow, forretningshemmeligheder samt interne vurderinger og materiale kan begrænse din ret til indsigt. 

b) Ret til at anmode om berigtigelse af forkerte eller ufuldstændige personoplysninger

Er dine personoplysninger forkerte eller ufuldstændige, har du ret til at få oplysningerne rettet med de begrænsninger, der følger af lovgivningen.

c) Ret til at anmode om sletning

Du har ret til at anmode om sletning af dine personoplysninger i følgende tilfælde:

• Du tilbagekalder dit samtykke til behandling, og der er ikke nogen berettiget grund til behandlingen. 
• Du gør indsigelse mod behandling, og der er ikke nogen berettiget grund til at fortsætte behandlingen.
• Du gør indsigelse mod behandling til direkte markedsføring. 
• Behandlingen er ulovlig.
• Når behandlingen af personoplysninger gælder mindreårige, og oplysningerne er indsamlet i forbindelse med udbud af informationssamfundstjenester.

Ifølge lovgivning rettet mod den finansielle sektor er vi i mange tilfælde forpligtet til at opbevare dine personoplysninger, mens du er kunde i Nordea og også bagefter, f.eks. for at overholde retlige forpligtelser, eller hvor behandlingen er led i håndteringen af retskrav.

d) Ret til begrænsning af behandling af personoplysninger

Anfægter du rigtigheden af de personoplysninger, vi har registreret om dig, eller lovligheden af behandlingen, eller har du gjort indsigelser mod behandling af dine personoplysninger i henhold til din ret til indsigelse, kan du anmode os om at begrænse behandlingen af disse personoplysninger. Behandlingen begrænses til kun at omfatte opbevaring, indtil rigtigheden af personoplysningerne kan fastslås, eller det kan påvises, om vores legitime interesser går forud for dine interesser. 

Har du ret til sletning af personoplysninger, vi har registreret om dig, men som er nødvendige for, at du kan forsvare et retskrav, kan du anmode om, at Nordea begrænser behandlingen af disse oplysninger til kun at omfatte opbevaring, hvis du ønsker at bevare oplysningerne. 

Uanset om behandlingen af dine personoplysninger er begrænset som beskrevet ovenfor, har Nordea mulighed for at foretage anden behandling af dine personoplysninger, hvis det er nødvendigt for at håndhæve et retskrav, eller du har givet dit samtykke hertil. 

e) Ret til indsigelse mod behandling baseret på vores legitime interesse 

Du kan altid gøre indsigelse mod behandling af dine personoplysninger, hvis behandlingen sker på baggrund af Nordeas legitime interesse, herunder direkte markedsføring og profilering i forbindelse med denne form for markedsføring. 

f) Ret til at tilbagekalde samtykke

Hvis dit samtykke udgør retsgrundlaget for en specifik behandlingsaktivitet, kan du til enhver tid tilbagekalde dit samtykke. Du modtager information om din ret til at tilbagekalde dit samtykke, når du bliver bedt om at give Nordea dit samtykke. 

g) Ret til dataportabilitet

Du har ret til at modtage personoplysninger, du har givet os, i et maskinlæsbart format. Retten gælder personoplysninger, der alene er behandlet automatisk, og hvor der er givet gyldigt samtykke, eller med henblik på at opfylde en kontrakt. Hvor det er sikkert og teknisk muligt, kan vi også overføre oplysningerne til en anden dataansvarlig. 

Din anmodning om at udøve disse rettigheder vurderes fra sag til sag på baggrund af omstændighederne. Bemærk, at vi også kan opbevare og bruge dine oplysninger, hvis det er nødvendigt for at kunne overholde retlige forpligtelser, afgøre tvister og håndhæve aftaler. 

Ønsker du at gøre brug af dine rettigheder, kan du besøge vores websites, logge på Netbank, ringe til kundeservice eller besøge din lokale filial. Da vi behandler dine personoplysninger med allerstørste omhu, kan vi ikke handle ud fra en anmodning sendt pr. e-mail. Vi kan heller ikke dele, ændre eller slette dine personoplysninger uden at bekræfte din identitet via en af ovenfor nævnte kanaler. 

Vi opbevarer dine personoplysninger, så længe der er brug for oplysningerne til de formål, de blev indsamlet og behandlet til, eller så længe love og regler kræver det. 

Det betyder, at vi opbevarer dine personoplysninger, så længe det er nødvendigt for at kunne opfylde en kontrakt, og så længe det er påkrævet ifølge love og regler. I de tilfælde hvor vi opbevarer dine personoplysninger til andre formål end opfyldelse af en kontrakt, f.eks. i forbindelse med forebyggelse af hvidvask, bogføring og lovpligtige kapitalkrav, opbevarer vi alene oplysningerne, hvis det er nødvendigt og/eller påkrævet ifølge love og regler i forbindelse med de respektive formål.

Kravene til opbevaringsperioder varierer på tværs af Nordea koncernen afhængigt af de enkelte landes lovgivning. 

Generelt opbevarer Nordea kundeoplysninger i 10 år efter kundeforholdets ophør for at fastlægge retskrav, gøre retskrav gældende og forsvare sig mod retskrav, foretage gældsinddrivelse/håndtere krav og overholde retlige og lovgivningsmæssige forpligtelser efter anmodning fra myndigheder. Dog afhænger opbevaringsperioden for personoplysninger i et specifikt tilfælde af formålet med behandlingen. Nedenfor kan du se eksempler på forskellige formål.

Eksempler på opbevaringsperioder: 

• Lånetilbud: opbevaring af lånerelateret dokumentation i op til 3 måneder efter tilbuddets udløb. 
• Ikke-indgåede kundeforhold: op til 18 måneder, hvis kredittjek er foretaget, og op til 12 måneder, hvis kredittjek ikke er foretaget.
• Krav og forpligtelser i forbindelse med betalingstjenester: transaktionsrelaterede oplysninger i 11 år.
• Forebyggelse og afsløring af hvidvask og terrorfinansiering og svindel: opbevaring af kundekendskabsoplysninger i mindst 5 år efter kundeforholdets ophør eller gennemførelse af den enkelte transaktion.
• Andre specifikke regler relateret til serviceydelser eller produkter, f.eks. i forbindelse med værdipapirer, sikkerhedsstillelse eller realkredit: opbevaring af økonomiske oplysninger i op til 7 år.
• Bogføringsregler: opbevaring af lovpligtige oplysninger i op til 10 år.
• Oplysninger om opfyldelse af en aftale: opbevaring af oplysninger relateret til en aftale indgået med os i op til 10 år efter kundeforholdets ophør.
• Forsikringsregler: opbevaring af lovpligtige oplysninger i op til 21 år.
• Kapitalkrav til kreditrisiko: opbevaring af oplysninger relateret til beregning af kapitalkrav i op til 20 år.

Har du spørgsmål til vores politik om databehandling, eller er du utilfreds med, hvordan vi behandler dine personoplysninger, kan du altid kontakte Nordeas kundeservice eller din lokale filial. 

8a. Kontakt data protection officer

Nordea koncernen har udpeget en data protection officer, som du kan kontakte ved at sende en e-mail til: dataprotectionoffice [at] nordea.com. Du kan også sende et brev til: Nordea, Group Data Protection Office, Grønjordsvej 10, 2300 København S. 

8b. Klage til datatilsynsmyndighederne

Du kan også indgive en klage til eller kontakte Datatilsynet. Du finder kontaktoplysningerne på Datatilsynets hjemmeside.