Nordeas personvernpolicy

Personopplysninger samles i de fleste tilfeller inn direkte fra deg eller genereres i forbindelse med at du bruker tjenestene, produktene og kanalene våre. Noen ganger kreves det tilleggsinformasjon for å holde opplysningene oppdatert eller for å kontrollere at opplysningene vi samler inn, er korrekte. 

I noen tilfeller samler vi også inn og behandler personopplysninger om personer som er tilknyttet deg, for eksempel medarbeidere, reelle rettighetshavere, representanter, garantister, pantgivere, betalere, personer som har kontakt med Nordea i forbindelse med en enkelt banktransaksjon, og andre enkeltpersoner som vi samhandler og samarbeider med. 

1a. Typene personopplysninger vi samler inn

Nedenfor har vi ført opp hvilke kategorier av personopplysninger vi samler inn og bruker. Vi har gitt eksempler på typer personopplysninger innenfor hver kategori. Vær oppmerksom på at listen med eksempler ikke er en fullstendig oversikt. Typen personopplysninger vi samler inn om deg, avhenger av hvilke produkter og tjenester du bruker hos oss. 

• Identifikasjonsinformasjon: fødselsnummer, fullt navn, kopi av pass eller førerkort, BankID og IP-adresse. 
• Kontaktinformasjon: fysisk adresse, telefonnummer og e-postadresse. 
• Finansiell informasjon: inntekt, kontoopplysninger, informasjon om eiendeler og gjeld, transaksjonsdata, kreditthistorikk, forsikringshistorikk, kreditt-/betalingskortopplysninger og typen avtale du har med oss.
• Opplysninger knyttet til lovpålagte krav og beskatning: informasjon om eiendeler og gjeld, skattemessig bosted eller utenlandsk skatteregistreringsnummer, opplysninger om energisertifikat og opplysninger som kreves i forbindelse med kundekontroll og bekjempelse av hvitvasking og terrorfinansiering.
• Profilopplysninger: statsborgerskap, demografisk informasjon, sivilstand, husstandens sammensetning og yrke. 
• Informasjon om kundeforholdet med Nordea: historikken i kundeforholdet mellom deg og Nordea.
• Spesielle kategorier av personopplysninger: helseopplysninger for enkelte forsikringsprodukter fra Nordeas livsforsikrings- og pensjonsselskaper og informasjon om fagforeningsmedlemskap i forbindelse med enkelte låneprodukter eller livsforsikrings- og pensjonsprodukter. 

1b. Kildene vi samler inn personopplysninger fra

Fra deg
Vi samler inn opplysninger du gir direkte til oss. Som ny kunde ber vi deg for eksempel om personopplysninger som navn, fødselsnummer, e-postadresse og telefonnummer. Vi samler også inn inntekts- og gjeldsinformasjon for å kunne tilby deg produktet eller tjenesten du er interessert i. Vi samler også inn informasjon som f.eks. meldinger du har sendt som tilbakemelding, forespørsler i de digitale kanalene våre, når du abonnerer på nyhetsbrevene våre, begynner å følge oss eller skriver kommentarer i kanalene våre på sosiale medier.

Fra tredjeparter
For å kunne tilby deg produktene og tjenestene våre, etterleve juridiske krav og for andre formål som profilering og produktoptimalisering, samler vi også inn personopplysninger fra tredjeparter, for eksempel offentlig tilgjengelige kilder og andre eksterne kilder. 

Hvis du for eksempel søker om et lån hos oss, kan vi samle inn opplysninger i forbindelse med lånet ditt fra andre kilder, f.eks. leverandører av sentralisert kredittinformasjon som samler inn låneopplysninger fra andre kreditorer. For å sikre at personopplysningene er nøyaktige og oppdaterte, mottar vi regelmessige oppdateringer fra tredjeparter for noen av kategoriene med personopplysninger (f.eks. offentlige myndigheter). 

Eksempler på datakilder hos tredjeparter:

• Registre som føres av offentlige myndigheter (for eksempel Folkeregisteret og registre hos skattemyndigheter, firmaregistre, kriminalitetsbekjempende myndigheter osv.).
• Lister over økonomiske sanksjoner (for eksempel lister som føres av internasjonale organisasjoner som EU og FN samt nasjonale organisasjoner som Office of Foreign Assets Control (OFAC)). 
• Registre som føres av kredittopplysningsbyråer og andre kommersielle informasjonstjenester som leverer informasjon om f.eks. reelle rettighetshavere og politisk eksponerte personer. 
• I forbindelse med utbetalinger samler vi inn opplysninger fra avsendere, butikker, banker, betalingstjenesteleverandører og andre. 
• Helseopplysninger fra helseinstitusjoner (for våre livsforsikrings- og pensjonsselskaper). 
• Fra andre selskaper i Nordea-konsernet eller andre selskaper som vi samarbeider med. 
• Offentlig tilgjengelige opplysninger, for eksempel fra sosiale medier eller via søkemotorer. Sosiale medier kan også dele opplysninger med oss i samsvar med personverninnstillingene dine i de aktuelle kanalene/mediene. 
• Tilbydere av tjenester for screening av forretningsrisiko.
• Profileringsopplysninger fra eksterne forretningspartnere.

1c. Opptak av telefonsamtaler og nettmøter og lagring av chatsamtaler

Vi tar opp telefon- og chatsamtaler for å dokumentere kundeforespørsler, verifisere ordrer, i forbindelse med håndtering av sikkerhet og svindel og for å overholde lovpålagte krav. For eksempel lagres nettmøter, telefon- og chatsamtaler for å dokumentere hva som skjedde og ble sagt i samtalen, inkludert eventuelle avtaler som ble inngått. I tillegg tar vi opp samtaler som resulterer i eller kan resultere i verdipapirtransaksjoner. I noen land bruker vi opptak for å kvalitetskontrollere tjenester, til opplæring av medarbeidere og for å forbedre prosesser, hvis loven tillater det. Du kan lese mer om opptak av samtaler på denne siden. 

1d. Kameraovervåking

Av sikkerhetsmessige grunner, inkludert forebygging av kriminalitet, har vi kameraer i bankkontorene og ved minibankene våre. Ved Nordeas kontorer brukes kameraovervåkning som en del av sikkerhetsarbeidet. Områder som overvåkes, er merket med skilt. Hensikten med kameraovervåkning er å forhindre og etterforske kriminell aktivitet og øke sikkerheten. Nordea har vurdert det som nødvendig i lys av bankens berettigede interesse i å forhindre og etterforske kriminell aktivitet. Hvis det foreligger mistanke om en kriminell handling, behandler vi personopplysninger på en måte som gjør at rettslige krav kan fastslås, gjøres gjeldende eller forsvares. Opptak kan deles med myndigheter hvis det er nødvendig for etterforskningen av en kriminell handling.

Vi behandler personopplysninger med utgangspunkt i de rettslige forpliktelsene og formålene beskrevet nedenfor. 

2a. Nødvendig for å inngå en avtale med deg 

En av grunnene til at vi behandler personopplysninger, er for å samle inn og kontrollere opplysningene før vi tilbyr og inngår en avtale med deg. Vi behandler også personopplysninger for å dokumentere og gjennomføre oppgaver som gjør at vi kan oppfylle avtaleforpliktelser overfor deg, f.eks. tilby og administrere produkter og tjenester. 

Eksempler på handlinger som kreves for å inngå en avtale med deg: 

• innsamling av økonomiske opplysninger for å åpne en konto eller innvilge et kort, kreditt eller et lån
• innsamling av opplysninger som er nødvendige for å kontrollere identiteten din, slik at vi kan tilby deg digitale bankløsninger 
• innsamling av kontaktinformasjonfor å tilby kundeservice i avtaleperioden, inkludert kundepleie, kundeadministrasjon og kommunikasjon med deg
• innsamling av identifikasjonsopplysninger og økonomiske opplysninger for å tilby forsikrings- og pensjonstjenester (behandling av spesielle kategorier av personopplysninger i forbindelse med disse tjenestene er basert på behovet for å kunne fastslå, gjøre gjeldende eller forsvare rettslige krav)
• innsamling av opplysninger for å vedlikeholde og oppdatere registrene våre knyttet til aksjepostene du har hos oss eller andre selskaper

2b. Rettslige forpliktelser

I tillegg til oppfyllelse av avtale behandler vi også personopplysninger for å oppfylle våre forpliktelser i henhold til lov, forskrifter eller andre vedtak fra myndighetene. 

Eksempler på behandling basert på rettslige forpliktelser:

• Forebygging og avdekking av hvitvasking og terrorfinansiering.
• Sanksjonsscreening.
• Bokføringskrav.
• Rapportering til skattemyndigheter, politimyndigheter, namsmyndighet og tilsynsmyndigheter. 
• Risikoklassifisering knyttet til risikohåndtering som kredittutvikling og -kvalitet, kapitaldekning og forsikringsrisiko.
• Krav og forpliktelser knyttet til betalingstjenester, for eksempel overvåking og rapportering av svindel.
• Opprettholdelse og forbedring av IT sikkerhet. Dette omfatter blant annet beskyttelse mot trusler og sikring av integriteten til den digitale infrastrukten.
• Andre forpliktelser knyttet til tjeneste- eller produktspesifikk lovgivning, for eksempel verdipapirer, fond, pantesikkerhet, forsikring eller boliglån

2c. Berettiget interesse 

Vi bruker personopplysninger når det er nødvendig for å støtte opp under våre berettigede interesser, med mindre dine interesser eller grunnleggende rettigheter og friheter går foran. 

Eksempler på behandling basert på berettiget interesse:

• Markedsføring, produkt- og kundeanalyser. Denne prosessen danner grunnlaget for markedsføring, prosess-, forretnings- og systemutvikling, inkludert testing. Hensikten med dette er å forbedre produktutvalget vårt og optimalisere tilbudet til kundene, inkludert våre lojalitetsprogram. I noen situasjoner henter vi inn samtykket ditt til markedsføringsaktiviteter, slik det beskrives nedenfor.
• Profilering, for eksempel når vi gjennomfører kundeanalyse til markedsføringsformål eller overvåker transaksjoner for å avdekke svindel eller avgjøre om en person faller utenfor bankens risikovilje i forbindelse med sanksjoner.
• Avdekking av uvanlige mønstre i en brukers atferd eller enhet for å forhindre svindel. 
• Opprettholdelse og forbedring av IT sikkerhet. Dette omfatter blant annet beskyttelse mot trusler og sikring av integriteten til den digitale infrastrukten. 
• Anonymisering av finansiell og demografisk informasjon for å lage statistikk i forbindelse med testing og utvikling av nye produkter og tjenester. Anonym og samlet statistikk kan ikke knyttes til en enkeltperson. 
• Analyser av bruken av sosiale medier for å tilby bedre og mer målrettet markedsføring og kommunikasjon, tjenester og rådgivning, inkludert å svare på dine kommentarer og gi brukerstøtte. 
• Fastslå, gjøre gjeldende eller forsvare rettslige krav og inndrive krav.
• Risikomodellering, når vi utvikler og vedlikeholder risikomodeller, f.eks. for kredittrisiko og kapitalkrav.

2d. Samtykke

Som nevnt i kapittel 2c vil vi i noen tilfeller be om ditt samtykke til å behandle personopplysningene dine. Eksempler er behandling av betalingstransaksjoner til markedsføringsformål i eksterne mediekanaler og sosiale medier, opptak av telefonsamtaler til opplæringsformål eller behandling av spesielle kategorier av personopplysninger. Informasjon om formål, behandlingsaktivitet, typer personopplysninger og din rett til å trekke tilbake samtykket må oppgis når du blir bedt om å gi samtykke til Nordea. Hvis du har gitt samtykke til behandling av personopplysningene dine, kan du når som helst trekke det tilbake. 

I noen tilfeller kan vi bruke automatiserte avgjørelser hvis dette er tillatt ved lov, hvis du har gitt et uttrykkelig samtykke til det, eller hvis det er nødvendig for å oppfylle en avtale. Et eksempel er automatisert kredittgodkjenning i Nordeas kanaler på nettet. 

Når vi bruker automatiserte avgjørelser, vil vi gi deg ytterligere informasjon om den underliggende logikken som er brukt, samt betydningen og hvilke konsekvenser dette kan få for deg.

Du kan når som helst si din mening om en avgjørelse som utelukkende er basert på automatisert behandling, inkludert profilering, dersom en slik avgjørelse vil ha rettslige følger (f.eks. oppsigelse av kontrakt) eller på annen måte påvirke deg i betydelig grad (f.eks. avslag på søknad via nett). Du har rett til å be om at mennesker er involvert i avgjørelser (f.eks. at en kredittsøknad som utelukkende er behandlet basert på algoritme, behandles på nytt av en Nordea-medarbeider).

Personopplysningene dine kan deles med andre i den grad vi er lovpålagt å gjøre det, og for å levere tjenester og oppfylle avtaler vi har med deg eller leverandørene våre. Vi kan dele personopplysningene dine med andre, for eksempel myndigheter, selskaper i Nordea-konsernet, leverandører, betalingstjenesteleverandører og forretningspartnere.  

Nordea har inngått databehandleravtaler når det har vært relevant. Avtalene regulerer til hvilke formål og hvordan personopplysninger skal behandles, og sikrer at behandlingen er i samsvar med lovgivningen og våre egne krav til databehandling. Før vi deler slike opplysninger, sørger vi alltid for at vi følger de aktuelle bestemmelsene om taushetsplikt som gjelder i finanssektoren.

For å kunne levere tjenestene våre deler vi opplysninger om deg i den grad det er nødvendig for å identifisere deg og utføre et oppdrag eller oppfylle en avtale med selskaper vi samarbeider med. Disse tjenestene omfatter, men er ikke begrenset til, sikre identifikasjonsløsninger i det aktuelle landet og mellom parter i det finansielle systemet, for eksempel sentralbanker, korrespondentbanker, transaksjonsmottakere og avregningssentraler. Hvis du for eksempel har bedt oss om å overføre penger, må vi dele visse opplysninger for å kunne utføre denne overføringen. 

Vi kan også dele anonyme opplysninger i forbindelse med samfunnsmessig og økonomisk forskning eller statistikk, der vi mener det er av offentlig interesse.
 

Vi deler personopplysningene dine med:

• Myndigheter: Vi deler personopplysninger med myndighetene i den grad vi er lovpålagt å gjøre det. Det kan dreie seg om skattemyndigheter, politimyndigheter, skatteoppkrevingsmyndigheter og tilsynsmyndigheter i relevante land.
• Selskaper i Nordea-konsernet: Vi deler personopplysninger internt i Nordea-konsernet med ditt samtykke eller dersom det er tillatt i henhold til lov. 
• Eksterne forretningspartnere: Vi deler personopplysninger med eksterne forretningspartnere med ditt samtykke eller dersom det er tillatt i henhold til gjeldende lov. Eksterne forretningspartnere inkluderer for eksempel korrespondentbanker, andre banker, foretak som selger finansierte produkter, og reassurandører. For å kunne levere tjenester kan vi også dele personopplysninger med betalingstjenesteleverandører, andre tjenesteleverandører, andre forsikringsselskaper, reassuranseselskaper og servicevirksomheter innenfor kollektiv tjenestepensjon.
• Leverandører: Vi har inngått avtaler med utvalgte leverandører, og dette inkluderer behandling av personopplysninger på vegne av oss. Slike leverandører kan være leverandører av IT-utvikling, vedlikehold, drift og kundestøtte.

 Overføringer til tredjeland
I noen tilfeller kan vi også overføre personopplysninger til organisasjoner i såkalte tredjeland (land utenfor EØS-området). Det vil for eksempel være når vi bruker IT-leverandører eller avtalepartnere. Slike overføringer kan gjøres hvis noen av følgende vilkår er oppfylt: 

• EU-kommisjonen har besluttet at det foreligger et tilstrekkelig beskyttelsesnivå i det aktuelle landet, eller
• det er truffet andre hensiktsmessige sikkerhetstiltak, for eksempel bruk av standardkontrakter som er godkjent av EU-kommisjonen, eller dersom databehandleren har gyldige bindende konsernregler (BCR), eller
• det dreier seg om unntak i spesielle tilfeller, for eksempel for å oppfylle en avtale med deg eller dersom du gir ditt samtykke til den bestemte overføringen.

Du finner en kopi av de aktuelle standardkontraktene Nordea benytter for overføring, på www.eur-lex.europa.eu. Søk etter 32021D0914. 

Du finner en kopi av de aktuelle bindene konsernreglene Nordea benytter for overføring, på Approved Binding Corporate Rules | European Data Protection Board (europa.eu).

Det står helt sentralt i vår virksomhet å sørge for at dine personopplysninger er sikre. Vi bruker egnede tekniske, organisatoriske og administrative sikkerhetstiltak for å beskytte all informasjon mot tap, misbruk, uvedkommendes tilgang, deling, endring og ødeleggelse.

Du har følgende rettigheter knyttet til personopplysningene vi behandler om deg:

a) Rett til innsyn i dine personopplysninger

Du har rett til å få innsyn i personopplysningene vi har om deg. I mange tilfeller finnes disse opplysningene allerede i nettjenestene vi tilbyr deg. Retten til innsyn kan imidlertid være begrenset av lovgivning, beskyttelse av andre personers personvern og hensynet til vårt forretningskonsept og -praksis. Vår know-how, forretningshemmeligheter samt interne vurderinger og materiale kan også begrense din rett til innsyn. 

b) Rett til korrigering av feilaktige eller ufullstendig data 

Hvis opplysningene vi har lagret om deg, er uriktige eller ufullstendige, har du rett til å få opplysningene rettet, med de begrensninger som følger av lovgivningen.

c) Rett til sletting

Du har rett til å be om at personopplysningene dine blir slettet i følgende tilfeller: 

• du trekker tilbake samtykket til behandlingen og det ikke er noen annen berettiget grunn til behandlingen 
• du fremmer innsigelse mot behandlingen og det ikke er noen berettiget grunn til å fortsette behandlingen
• du retter innsigelse mot behandling for direkte markedsføring 
• behandlingen er ulovlig
• behandlingen av personopplysninger gjelder mindreårige, dersom opplysningene ble innsamlet i forbindelse med tilbud om informasjonssamfunnstjenester

Som følge av regelverket som gjelder for finansnæringen er vi i mange tilfeller forpliktet til å beholde personopplysninger om deg så lenge du er kunde hos oss, og også etter det, f.eks. for å oppfylle en lovbestemt forpliktelse eller for å behandle rettslige krav.

d) Rett til begrensning av behandling av personopplysninger 

Hvis du mener at personopplysningene vi har registrert om deg, er feilaktige, eller du bestrider at behandlingen er lovlig, eller hvis du har fremmet innsigelse mot behandlingen av personopplysningene i samsvar med retten til innsigelse, kan du be oss om å begrense behandlingen av disse personopplysningene. Behandlingen vil bli begrenset til kun oppbevaring inntil personopplysningene er rettet eller det kan fastslås at våre berettigede interesser går foran dine interesser.

Hvis du har rett til å få slettet personopplysninger vi har registrert om deg, men du trenger personopplysningene for å forsvare et rettslig krav, kan du be om at Nordea begrenser behandlingen til kun oppbevaring hvis du vil beholde opplysningene. 

Selv om behandlingen av personopplysningene dine er begrenset i henhold til beskrivelsen over, kan Nordea behandle personopplysningene dine på andre måter hvis det er nødvendig for å fremme et rettslig krav, eller hvis du har gitt ditt samtykke. 

e) Rett til å protestere mot behandling basert på berettiget interesse 

Du kan alltid protestere mot behandling av personopplysninger om deg hvis behandlingen er basert på Nordeas berettigede interesse, inkludert direkte markedsføring og profilering i forbindelse med slik markedsføring. 

f) Rett til å trekke tilbake samtykke

Når det rettslige grunnlaget for en bestemt behandlingsaktivitet er ditt samtykke, har du til enhver tid rett til å trekke tilbake samtykket. Du får informasjon om retten til å trekke tilbake et samtykke når du blir bedt om å gi ditt samtykke til Nordea. 

g) Retten til dataportabilitet

Du har rett til å motta personopplysninger som du har gitt oss, i maskinlesbart format. Denne retten gjelder personopplysninger som kun behandles automatisert og på grunnlag av samtykke eller oppfyllelse av avtale. Dersom det kan skje sikkert og er teknisk gjennomførbart, kan vi også overføre opplysningene til en annen behandlingsansvarlig. 

Din forespørsel om å utøve rettighetene som beskrives ovenfor, vil bli vurdert ut fra omstendighetene i hvert enkelt tilfelle. Vær oppmerksom på at vi også kan beholde og bruke dine opplysninger slik det er nødvendig for å oppfylle juridiske forpliktelser, løse tvister og håndheve avtalene våre. 

Hvis du vil bruke rettighetene dine, kan du gjøre det ved å gå til nettsidene våre, gjennom nettbanken din, ved å ringe kundeservice eller ved å besøke ditt lokale bankkontor. For å ivareta sikkerheten ved behandlingen av dine personopplysninger, kan vi ikke håndtere slike forespørsler hvis de sendes på e-post, og vi kan heller ikke dele, endre eller slette personopplysninger uten at du bekrefter identititeten din gjennom en av kanalene som nevnes ovenfor. 

Vi oppbevarer personopplysningene dine så lenge vi trenger dem til formålene som personopplysningene dine ble samlet inn og behandlet for, eller så lenge det kreves i henhold til lover og forskrifter. 

Dette betyr at vi beholder personopplysningene så lenge det er nødvendig for å oppfylle en avtale, og i henhold til krav til oppbevaringstid i lover og forskrifter. Når vi oppbevarer personopplysningene dine til andre formål enn de som gjelder for oppfyllelse av en avtale, for eksempel ut fra krav knyttet til arbeid mot hvitvasking av penger eller bokførings- og kapitaldekningskrav, beholder vi kun personopplysningene hvis det er nødvendig og/eller pålagt i lover og forskrifter for det respektive formålet.

Oppbevaringsforpliktelsene vil variere innenfor Nordea-konsernet i henhold til lokal lovgivning. 

Generelt lagrer Nordea kundeopplysninger i ti år etter at kundeforholdet er avsluttet, for å kunne fastslå, gjøre gjeldende og forsvare rettslige krav, til innkreving av gjeld og behandling av krav, og for å kunne vise etterlevelse av juridiske og regulatoriske forpliktelse på forespørsel fra myndigheter. Lagringsperioden for personopplysninger i enkelttilfeller er avhengig av formålet med behandlingen. Du finner eksempler på ulike formål nedenfor.

Eksempler på oppbevaringstid: 

• Lånetilbud: oppbevaring av lånerelatert dokumentasjon i opptil 3 måneder etter at et tilbud har utløpt. 
• Ikke-etablerte kundeforhold: opptil 18 måneder hvis det ble utført kredittsjekk, og opptil 12 måneder hvis det ikke ble utført kredittsjekk.
• Krav og forpliktelser knyttet til betalingstjenester: 11 år for transaksjonsrelaterte opplysninger.
• Forebygging og avdekking av hvitvasking og terrorfinansiering og svindel: oppbevaring av Kjenn din kunde-informasjon (KYC) i minst 5 år etter opphør av forretningsforbindelsen eller utførelsen av en enkelt transaksjon.
• Andre tjeneste- eller produktspesifikke bestemmelser om verdipapirer, sikkerhet eller boliglån: oppbevaring av økonomiske opplysninger i opptil 7 år.
• Bokføringslover: oppbevaring av opplysninger som kreves i henhold til loven, i opptil 10 år.
• Nærmere informasjon om oppfyllelse av en avtale: oppbevaring av informasjon knyttet til avtalen med oss i opptil 10 år etter at et kundeforhold er avsluttet.
• Forsikringslover: oppbevaring av opplysninger som kreves i henhold til loven, i opptil 21 år.
• Kapitalkrav for kredittrisiko: oppbevaring av informasjon knyttet til beregning av kapitalkrav i opptil 20 år.

Hvis du har spørsmål til personvernpolicyen eller er misfornøyd med måten vi behandler personopplysningene dine på, kan du ta kontakt med Nordeas kundeservice eller ditt lokale bankkontor. 

8a. Kontakt personvernombudet

Nordea-konsernet har utnevnt et personvernombud som du kan ta kontakt med ved å sende en melding til dataprotectionoffice [at] nordea.com eller sende et brev til oss: Nordea, Group Data Protection Office, c/o Kundeombudsmannen, Postboks 1166, Sentrum, 0107 Oslo.

8b. Klage til datatilsynsmyndighetene

Du kan også sende en klage til eller kontakte datatilsynsmyndighetene i et hvilket som helst land der vi tilbyr tjenester eller produkter til deg.