Nordeas personvernpolicy

Utover denne personvernpolicyen kan du lese mer om innstillinger for og bruk av informasjonskapsler (cookies) i retningslinjene våre for informasjonskapsler i bunnteksten på nettsidene våre.

Behandlingsansvarlig for personopplysningene dine er Nordea Bank Abp og/eller Nordea-selskapet eller -selskapene du har et kundeforhold til. Du finner en liste over behandlingsansvarlige i Nordea-konsernet på nettsidene våre.

Det er flere grunner til at vi behandler personopplysninger fra enkeltpersoner. Når vi skriver «du» i denne personvernpolicyen, mener vi deg som kunde, potensiell kunde eller som medarbeider hos en av våre kunder. Det kan også bety andre relevante parter, som reelle rettighetshavere, autoriserte representanter og ledere, kortinnehavere, begunstigede parter, aksjonærer og tilknyttede parter. Når vi skriver «vi» i denne personvernpolicyen, mener vi Nordea Bank Abp, inkludert filialer og alle selskaper som på noe tidspunkt eies og/eller kontrolleres direkte eller indirekte av Nordea Bank Abp.  

Nedenfor har vi ført opp hvilke kategorier av personopplysninger vi samler inn og bruker. Vi har gitt eksempler på typer personopplysninger innenfor hver kategori. Vær oppmerksom på at listen med eksempler ikke er en fullstendig oversikt. Typen personopplysninger vi samler inn fra deg, avhenger av hvilke produkter og tjenester du bruker hos oss. 

• Identifikasjonsinformasjon: fødselsnummer, fullt navn, kopi av pass eller førerkort, BankID og IP-adresse.

• Kontaktinformasjon: fysisk adresse, telefonnummer og e-postadresse.

• Finansiell informasjon: inntekt, kontoopplysninger, informasjon om eiendeler og gjeld, transaksjonsdata, kreditthistorikk, forsikringshistorikk, kreditt-/betalingskortopplysninger og typen avtale du har inngått.

• Opplysninger knyttet til lovpålagte krav og beskatning: informasjon om eiendeler og gjeld, skattemessig bosted eller utenlandsk skatteregistreringsnummer og opplysninger som kreves i forbindelse med kundekontroll og bekjempelse av hvitvasking.

• Profilopplysninger: statsborgerskap, demografisk informasjon, sivilstand og yrke.

• Informasjon om kundeforholdet med Nordea: historikken i kundeforholdet mellom deg og Nordea.

• Særlige kategorier av personopplysninger: helseopplysninger for enkelte forsikringsprodukter fra Nordeas livsforsikrings- og pensjonsselskaper og informasjon om fagforeningsmedlemskap i forbindelse med enkelte låneprodukter.

Fra deg

Vi samler inn opplysninger du gir direkte til oss. Som ny kunde ber vi deg for eksempel om personopplysninger som navn, fødselsnummer, e-postadresse og telefonnummer. Vi samler også inn inntekts- og gjeldsinformasjon for å kunne tilby deg produktet eller tjenesten du er interessert i. Nordea samler også inn annen informasjon som du gir oss, for eksempel i form av tilbakemeldinger eller forespørsler i våre digitale kanaler.

Fra tredjeparter

For å kunne tilby deg produktene og tjenestene våre og etterleve juridiske krav samler vi også inn personopplysninger fra tredjeparter, for eksempel offentlig tilgjengelige kilder og andre eksterne kilder. Når du for eksempel søker om lån hos oss, kan vi samle inn opplysninger knyttet til lån fra andre leverandører, slik som leverandører av sentralisert kredittinformasjon som samler inn låneopplysninger fra andre kreditorer. For å sikre at personopplysningene er nøyaktige og oppdaterte, mottar vi regelmessige oppdateringer fra tredjeparter for noen av kategoriene med personopplysninger (f.eks. offentlige myndigheter).

Eksempler på datakilder hos tredjeparter:

• Registre som føres av offentlige myndigheter (for eksempel Folkeregisteret og registre hos skattemyndigheter, firmaregistre, kriminalitetsbekjempende myndigheter osv.).
• Lister over økonomiske sanksjoner (for eksempel lister som føres av internasjonale organisasjoner som EU og FN samt nasjonale organisasjoner som Office of Foreign Assets Control (OFAC)).
• Registre som føres av kredittopplysningsbyråer og andre kommersielle informasjonstjenester som leverer informasjon om f.eks. reelle rettighetshavere og politisk eksponerte personer. 
• I forbindelse med utbetalinger samler vi inn opplysninger fra avsendere, butikker, banker, betalingstjenesteleverandører og andre.
• Helseopplysninger fra helseinstitusjoner (for våre livsforsikrings- og pensjonsselskaper).
• Fra andre enheter i Nordea-konsernet eller andre selskaper som vi samarbeider med.
• Offentlig tilgjengelige opplysninger, for eksempel fra sosiale medier eller via søkemotorer. Sosiale medier kan også dele opplysninger med oss i samsvar med personverninnstillingene dine i de aktuelle kanalene/mediene.

Vi tar opp telefon- og chatsamtaler for å dokumentere kundeforespørsler, verifisere ordrer, i forbindelse med håndtering av sikkerhet og svindel og for å overholde lovpålagte krav. For eksempel kan det være nødvendig å lagre nettmøter, telefon- og chatsamtaler for å dokumentere hva som skjedde og ble sagt i samtalen, inkludert eventuelle avtaler som ble inngått. I tillegg tar vi opp samtaler som resulterer i eller kan resultere i verdipapirtransaksjoner. I noen land kan vi bruke opptak for å kvalitetskontrollere tjenester og forbedre prosesser, hvis loven tillater det.

Av sikkerhetsmessige grunner, inkludert forebygging av kriminalitet, kan vi ha kameraer i bankkontorene og ved minibankene våre.

En av grunnene til at vi behandler personopplysninger, er for å samle inn og kontrollere opplysningene før vi tilbyr og inngår en avtale med deg. Vi behandler også personopplysninger for å dokumentere og gjennomføre oppgaver som gjør at vi kan oppfylle avtaleforpliktelser overfor deg, f.eks. for å tilby og administrere produkter og tjenester.

Eksempler på handlinger som kreves for å inngå en avtale med deg: 

• innsamling av økonomiske opplysninger for å åpne en konto eller innvilge et kort eller kreditt
• innsamling av opplysninger som er nødvendige for å kontrollere identiteten din, slik at vi kan tilby deg digitale bankløsninger
• innsamling av kontaktinformasjon for å tilby kundeservice i avtaleperioden, inkludert kundepleie, kundeadministrasjon og kommunikasjon med deg
• innsamling av identifikasjonsopplysninger og økonomiske opplysninger for å tilby forsikrings- og pensjonstjenester (behandling av særlige kategorier av personopplysninger i forbindelse med disse tjenestene er basert på behovet for å kunne opprette, utøve eller forsvare oss mot rettslige krav)
• innsamling av opplysninger for å vedlikeholde og oppdatere registrene våre knyttet til aksjepostene du har hos oss eller andre selskaper

I tillegg til å oppfylle kontrakt behandler vi også personopplysninger for å oppfylle våre forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger.

Eksempler på behandling basert på rettslige forpliktelser:

• Kunnskap om deg som kunde
• Bekjempelse av hvitvasking og terrorfinansiering
• Sanksjonsscreening
• Bokføringskrav
• Rapportering til skattemyndigheter, politimyndigheter, namsmyndighet og tilsynsmyndigheter
• Risikoklassifisering knyttet til risikohåndtering som kredittutvikling og -kvalitet, kapitaldekning og forsikringsrisiko
• Krav og forpliktelser knyttet til betalingstjenester, for eksempel overvåking og rapportering av svindel
• Andre forpliktelser knyttet til tjeneste- eller produktspesifikk lovgivning, for eksempel verdipapirer, fond, pantesikkerhet, forsikring eller boliglån

Vi bruker personopplysninger når det er nødvendig for å støtte opp under våre berettigede interesser, så lenge den berettigede interessen ikke overstyres av dine interesser eller grunnleggende rettigheter og friheter.

Eksempler på behandling basert på berettiget interesse:

• Markedsføring, produkt- og kundeanalyser. Denne prosessen danner grunnlaget for markedsføring, prosess-, forretnings- og systemutvikling, inkludert testing. Hensikten med dette er å forbedre produktutvalget vårt og optimalisere tilbudet til kundene.
• Profilering, for eksempel når vi gjør kundeanalyse til markedsføringsformål eller transaksjonsovervåkning for å avdekke svindel.
• Anonymisering av finansiell og demografisk informasjon for å lage statistikk i forbindelse med testing og utvikling av nye produkter og tjenester. Anonym og samlet statistikk kan ikke knyttes til en enkeltperson.
• Analyser av bruken av sosiale medier for å tilby bedre og mer målrettet markedsføring og kommunikasjon, tjenester og rådgivning, inkludert å svare på dine kommentarer og gi brukerstøtte. 
• Fastslå, gjøre gjeldende eller forsvare rettslige krav og inndrive krav.

I noen tilfeller ber vi om ditt samtykke til å behandle personopplysningene dine. Eksempler er behandling av betalingstransaksjoner til markedsføringsformål eller behandling av særlige kategorier av personopplysninger. Informasjon om formål, behandlingsaktivitet, typer personopplysninger og din rett til å trekke tilbake samtykket må oppgis når du blir bedt om å gi samtykke til Nordea. Hvis du har gitt samtykke til behandling av personopplysningene dine, kan du når som helst trekke det tilbake. 

Når vi bruker automatiserte avgjørelser, vil vi gi deg ytterligere informasjon om den underliggende logikken som er brukt, samt betydningen og hvilke konsekvenser dette kan få for deg.

Du kan når som helst si din mening om en avgjørelse som utelukkende er basert på automatisert behandling, inkludert profilering, dersom en slik avgjørelse vil ha rettslige følger (f.eks. oppsigelse av kontrakt) eller på annen måte påvirke deg i betydelig grad (f.eks. avslag på søknad via nett).

For å kunne levere tjenestene våre deler vi opplysninger om deg i den grad det er nødvendig for å identifisere deg og utføre et oppdrag eller oppfylle en avtale med selskaper vi samarbeider med. Disse tjenestene omfatter, men er ikke begrenset til, sikre identifikasjonsløsninger i det aktuelle landet og mellom parter i det finansielle systemet, for eksempel sentralbanker, korrespondentbanker, transaksjonsmottakere og avregningssentraler.

Hvis du for eksempel har bedt oss om å overføre penger, må vi dele visse opplysninger for å kunne utføre denne overføringen. Vi kan dele opplysningene dine med andre kreditorer gjennom leverandører av sentralisert kredittinformasjon når du søker om lån hos en annen kreditor. Vi kan også dele anonyme opplysninger i forbindelse med samfunnsmessig og økonomisk forskning eller statistikk, der vi mener det er av offentlig interesse. 

• Myndigheter: Vi deler personopplysninger til myndighetene i den grad vi er lovpålagt å gjøre det. Det kan dreie seg om skattemyndigheter, politimyndigheter, skatteoppkrevingsmyndigheter og tilsynsmyndigheter i relevante land.

• Selskaper i Nordea-konsernet: Vi deler personopplysninger internt i Nordea-konsernet med ditt samtykke eller dersom det er tillatt i henhold til lov.  

• Eksterne forretningspartnere: Vi deler personopplysninger til eksterne forretningspartnere med ditt samtykke eller dersom det er tillatt i henhold til lov. Eksterne forretningspartnere inkluderer for eksempel korrespondentbanker, andre banker, foretak som selger finansierte produkter, og reassurandører. For å kunne levere tjenester kan vi også dele opplysninger med andre forsikringsselskaper, reassuranseselskaper og servicevirksomheter innenfor kollektiv tjenestepensjon.

• Leverandører: Vi har inngått avtaler med utvalgte leverandører, og dette inkluderer behandling av personopplysninger på vegne av oss. Slike leverandører kan være leverandører av IT-utvikling, vedlikehold, drift og kundestøtte.

I noen tilfeller kan vi også overføre personopplysninger til organisasjoner i såkalte tredjeland (land utenfor EØS-området). Slike overføringer kan gjøres hvis noen av følgende vilkår er oppfylt:

• EU-kommisjonen har besluttet at det foreligger et tilstrekkelig beskyttelsesnivå i det aktuelle landet, eller
• det er truffet andre hensiktsmessige sikkerhetstiltak, for eksempel bruk av standardkontrakter (EUs standardklausuler) som er godkjent av EU-kommisjonen, eller dersom databehandleren har gyldige bindende konsernregler (BCR), eller
• det dreier seg om unntak i spesielle tilfeller, for eksempel for å oppfylle en avtale med deg eller dersom du gir ditt samtykke til den bestemte overføringen.

Du finner en kopi av de aktuelle EU-standardbestemmelser Nordea benytter for overføring på www.eur-lex.europa.eu. Søk etter 32021D0914.

Vi bruker egnede tekniske, organisatoriske og administrative sikkerhetstiltak for å beskytte all informasjon mot tap, misbruk, uvedkommendes tilgang, deling, endring og ødeleggelse.

Du har rett til å få innsyn i personopplysningene vi har om deg. I mange tilfeller finnes disse opplysningene allerede i de nettbaserte tjenestene vi tilbyr deg. Retten til innsyn kan imidlertid være begrenset av lovgivning, beskyttelse av andre personers personvern og hensynet til vår forretningsidé og -praksis. Vår fagkunnskap, våre forretningshemmeligheter samt interne vurderinger og materiale kan begrense din rett til innsyn.

Hvis opplysningene vi har lagret om deg, er uriktige eller ufullstendige, har du rett til å få opplysningene rettet, med de begrensninger som følger av lovgivningen.

Du har rett til å be om at dine personopplysninger blir slettet i følgende tilfeller:

• du trekker tilbake samtykket til behandlingen og det ikke er noen annen berettiget grunn til behandlingen
• du protesterer mot behandlingen og det ikke er noen berettiget grunn til å fortsette behandlingen
• du protesterer  mot behandling for direkte markedsføring
• behandlingen er ulovlig
• behandlingen av personopplysninger gjelder mindreårige, dersom opplysningene ble innsamlet i forbindelse med tilbud om informasjonssamfunnstjenester

Som følge av lovgivningen i finanssektoren er vi i mange tilfeller forpliktet til å beholde personopplysninger om deg så lenge du er kunde hos oss, og også etter det, f.eks. for å oppfylle en lovbestemt forpliktelse eller for å behandle rettslige krav.

Hvis du mener at opplysningene vi har registrert om deg, er feilaktige, eller du bestrider at behandlingen er lovlig, eller hvis du har protestert mot behandlingen av opplysningene i samsvar med retten til å protestere, kan du be oss om å begrense behandlingen av disse opplysningene. Behandlingen vil bli begrenset til kun oppbevaring inntil opplysningene er rettet eller det kan fastslås at våre berettigede interesser går foran dine interesser.

Hvis du har rett til å få slettet opplysninger vi har registrert om deg, men du trenger opplysningene for å forsvare et rettslig krav, kan du be om at Nordea begrenser behandlingen til kun oppbevaring hvis du vil beholde opplysningene.

Selv om behandlingen av opplysningene dine er begrenset i henhold til beskrivelsen over, kan Nordea behandle opplysningene dine på andre måter hvis det er nødvendig for å fremme et rettslig krav, eller hvis du har gitt ditt samtykke.

Du kan alltid protestere mot behandling av personopplysninger om deg hvis behandlingen er basert på Nordeas berettigede interesse, inkludert direkte markedsføring og profilering i forbindelse med slik markedsføring.

Når det rettslige grunnlaget for en bestemt behandlingsaktivitet er ditt samtykke, har du til enhver tid rett til å trekke tilbake samtykket. Du får informasjon om retten til å trekke tilbake et samtykke når du blir bedt om å gi ditt samtykke til Nordea.

Du har rett til å motta personlige opplysninger som du har gitt oss, i maskinlesbart format. Denne retten gjelder personopplysninger som kun behandles automatisert og på rettslig grunnlag av samtykke eller oppfyllelse av kontrakt. Dersom det kan skje sikkert og er teknisk gjennomførbart, kan vi også overføre opplysningene til en annen behandlingsansvarlig.

Dette betyr at vi beholder opplysningene så lenge det er nødvendig for å oppfylle en avtale og i henhold til krav til oppbevaringstid i lover og forskrifter. Når vi oppbevarer opplysningene dine til andre formål enn de som gjelder for oppfyllelse av en avtale, for eksempel ut fra krav vedrørende arbeid mot hvitvasking av penger eller bokførings- og kapitaldekningskrav, beholder vi kun opplysningene hvis det er nødvendig og/eller pålagt i lover og forskrifter for det respektive formålet.

Oppbevaringsforpliktelsene vil variere innenfor Nordea-konsernet i henhold til lokal lovgivning.

• Lånetilbud: oppbevaring av lånerelatert dokumentasjon i opptil tre måneder etter at et tilbud har utløpt.

• Ikke-etablerte kundeforhold: opptil 18 måneder hvis det ble utført kredittsjekk, og opptil 12 måneder hvis det ikke ble utført kredittsjekk.

• Krav og forpliktelser knyttet til betalingstjenester: fem år for transaksjonsrelaterte opplysninger.

• Forebygging og avdekking av hvitvasking og terrorfinansiering og svindel: oppbevaring av Kjenn din kunde-informasjon («Know your customer» – «KYC») i minst fem år etter opphør av forretningsforbindelsen eller utførelsen av en enkelt transaksjon.

• Andre tjeneste- eller produktspesifikke bestemmelser om verdipapirer, sikkerhet eller boliglån: oppbevaring av økonomiske opplysninger i opptil sju år.

• Bokføringslover: oppbevaring av opplysninger som kreves i henhold til loven, i opptil ti år.

• Nærmere informasjon om oppfyllelse av en avtale: oppbevaring av informasjon knyttet til avtalen med oss i opptil ti år etter at et kundeforhold er avsluttet.

• Forsikringslover: oppbevaring av opplysninger som kreves i henhold til loven, i opptil elleve år.

• Kapitalkrav for kredittrisiko: oppbevaring av informasjon knyttet til beregning av kapitalkrav i opptil tjue år.

Nordea-konsernet har utnevnt et personvernombud som du kan ta kontakt med ved å sende en melding til dataprotectionoffice [at] nordea.com eller sende et brev til oss: Nordea, Group Data Protection Office, c/o Kundeombudsmannen, POB 1166 Sentrum, 0107 Oslo.

Hvis du vil bruke rettighetene dine (som beskrevet i del 6), kan du gjøre det ved å gå til nettsidene våre, gjennom nettbanken, ved å ringe kundeservice eller ved å besøke ditt lokale bankkontor. Vi kan ikke håndtere slike forespørsler via e-post. Vi behandler personopplysningene til kundene våre med største varsomhet, og vi kan ikke dele eller endre opplysninger om deg uten at du bekrefter identiteten din.

Du kan også sende inn en klage til eller kontakte Datatilsynet. Du finner kontaktinformasjonen til Datatilsynet på nettsidene deres.