Nordeas dataskyddspolicy

Personuppgifter samlas normalt in direkt från dig eller genereras i samband med att du använder våra tjänster, produkter och kanaler. Ibland krävs ytterligare information för att hålla uppgifterna aktuella eller kontrollera att uppgifterna vi samlat in är korrekta. 

I vissa fall samlar vi också in och behandlar personuppgifter om personer som har anknytning till dig, eller ditt företag/din organisation, såsom anställda, verkliga huvudmän, ombud, garantigivare, pantsättare, betalare, personer som har kontakt med Nordea i samband med enskilda banktransaktioner, samt andra personer som vi kommer i kontakt och samarbetar med. 

1a. Typer av personuppgifter som vi samlar in

Nedan beskrivs de olika kategorier av personuppgifter som vi samlar in och använder. Vi har gett exempel på typer av personuppgifter som ingår i respektive kategori, men observera att listan inte är uttömmande. Vilka typer av personuppgifter som vi samlar in om dig beror på vilka tjänster eller produkter du har hos oss. 

• Identifieringsuppgifter: till exempel personnummer, fullständigt namn, kopia av ditt pass eller körkort, inloggnings-ID för nätbanken, Mobilt BankID och IP-adress. 
• Kontaktuppgifter: till exempel postadress, telefonnummer och e-postadress. 
• Ekonomisk information: till exempel inkomst, kontouppgifter, information om tillgångar och skulder, transaktionsinformation, kredithistorik, försäkringshistorik, kredit-/betalkortsuppgifter och vilken typ av avtal du har med oss.
• Uppgifter som krävs enligt lag och för beskattning: till exempel uppgifter om tillgångar och skulder, skattehemvist eller utländskt skatteregistreringsnummer, energideklaration samt uppgifter som krävs för grundläggande kundkännedom och bekämpning av penningtvätt och terrorismfinansiering.
• Profiluppgifter: till exempel nationalitet, demografiska uppgifter, civilstånd, hushållets sammansättning och yrke. 
• Information om relationen med Nordea: till exempel historik om din kundrelation med Nordea.
• Särskilda kategorier av personuppgifter: till exempel hälsouppgifter för vissa försäkringsprodukter som erbjuds av Nordea Life & Pension samt information om fackligt medlemskap som behövs för vissa låneprodukter eller liv- och pensionsprodukter. 

1b. Varifrån samlar vi in personuppgifter?

Från dig
Vi samlar in uppgifter du lämnar direkt till oss. Som ny kund ber vi dig till exempel om personuppgifter som namn, personnummer, mejladress och telefonnummer samt uppgifter om inkomst och skulder, för att kunna erbjuda dig den produkt eller tjänst du är intresserad av. Nordea samlar också in uppgifter som du lämnar till oss, till exempel genom återkoppling, förfrågningar i våra digitala kanaler, som prenumerant på våra nyhetsbrev och när du börjar följa eller skriver kommentarer i våra sociala mediekanaler.

Från tredje part
För att kunna erbjuda dig produkter och tjänster, uppfylla gällande lagkrav samt för andra ändamål såsom profilering och produktoptimering, kan vi komma att samla in dina personuppgifter från tredje parter, bland annat från offentliga eller andra externa källor.

När du ansöker om ett lån hos oss kan vi exempelvis inhämta uppgifter om dina lån från andra källor, till exempel kreditupplysningsföretag som i sin tur samlar in kredituppgifter från andra långivare. För att säkerställa att de personuppgifter vi har om dig är korrekta och aktuella får vi regelbundet uppdateringar av vissa informationskategorier från tredje part (t.ex. från myndigheter). 

Exempel på tredjepartskällor:

• Register som förs av myndigheter (till exempel folkbokföringsregister, skattemyndighetens register, bolagsregister och register hos brottsbekämpande myndigheter)
• Sanktionslistor (till exempel listor från internationella organisationer som EU och FN liksom nationella organisationer som amerikanska Office of Foreign Assets Control (OFAC)) 
• Register som förs av kreditupplysningsföretag och andra kommersiella leverantörer av uppgifter om exempelvis verkliga huvudmän och personer i politiskt utsatt ställning
• I samband med betalningar samlar vi in uppgifter från avsändare, butiker, banker, leverantörer av betaltjänster och andra 
• Hälsouppgifter från hälso- och sjukvårdsinrättningar (för Nordea Life & Pension) 
• Andra företag i Nordeakoncernen eller andra företag som vi samarbetar med 
• Offentliga uppgifter, exempelvis från sociala medier eller sökmotorer – sociala medier kan också dela uppgifter med oss, i enlighet med dina egna sekretessinställningar för dessa kanaler/medier 
• Leverantörer av affärsriskbedömningar
• Profileringsuppgifter från externa affärspartners.

1c. Inspelning av telefonsamtal, onlinemöten och lagring av chattkonversationer

Vi spelar in telefonsamtal och sparar chattkonversationer för att dokumentera kundärenden, verifiera ordrar, i säkerhetssyfte samt för att bekämpa bedrägerier och uppfylla gällande lagkrav. Till exempel sparas inspelningar av onlinemöten, telefon- och chattsamtal för att dokumentera vad som sagts och gjorts under mötet eller samtalet, inklusive eventuella överenskommelser. Dessutom spelar vi in samtal som leder eller kan komma att leda till värdepappershandel. I vissa länder används inspelningarna för att kontrollera kvaliteten på våra tjänster och utbilda våra medarbetare, i syfte att förbättra våra rutiner, om detta är tillåtet enligt lag. Läs mer om inspelningar av samtal via länken. 

1d. Kameraövervakning

Av säkerhetsskäl och för att förebygga brott, har vi kameror på våra kontor och vid våra uttags-/insättningsautomater. I Nordeas lokaler används kameraövervakning som en del av säkerhetsarbetet. I områden som omfattas av kameraövervakning framgår detta av skyltar. Syftet med kameraövervakningen är att förebygga och utreda brott samt öka säkerheten. Nordeas bedömning är att detta behövs för att tillgodose vårt berättigade intresse att förebygga och utreda brott. Vid misstänkt brott behandlar vi personuppgifter i syfte att fastställa, göra gällande eller försvara rättsliga anspråk. Inspelat material kan vid behov komma att delas med myndigheter i samband med brottsutredningar.

Vi behandlar dina personuppgifter utifrån den lagliga grund och de syften som beskrivs nedan. 

2a. För att fullgöra ett avtal med dig 

Ett syfte med vår behandling av personuppgifter är att samla in och kontrollera personuppgifter för att kunna ge dig erbjudanden och teckna avtal med dig. Vi behandlar också personuppgifter för att dokumentera och utföra det som krävs för att uppfylla våra åtaganden gentemot dig, t.ex. att erbjuda dig våra produkter och tjänster, och administrera dessa. 

Exempel på vad vi behöver göra för att fullgöra ett avtal med dig:

• samla in ekonomiska uppgifter när du öppnar ett konto, eller ansöker om ett kort eller en kredit
• samla in uppgifter för att säkerställa din identitet, så att vi kan erbjuda dig våra digitala banktjänster 
• samla in kontaktuppgifter för att kunna erbjuda dig kundservice under avtalsperioden, inklusive kundvård, kundadministration och kommunikation med dig
• samla in identifieringsuppgifter och ekonomisk information för att kunna erbjuda dig försäkrings- och pensionstjänster (behandling av särskilda kategorier av personuppgifter för dessa tjänster grundar sig på behovet att fastställa, hävda eller bestrida rättsliga anspråk)
• samla in information för att upprätthålla och uppdatera uppgifter om dina eventuella aktieinnehav i Nordea eller andra företag.

2b. Rättsliga förpliktelser

Förutom för fullgörande av avtal behandlar vi också personuppgifter för att uppfylla de förpliktelser vi har enligt lag, andra författningar eller myndighetsbeslut. 

Exempel på behandling till följd av rättsliga förpliktelser:

• Åtgärder för att förhindra och upptäcka penningtvätt och terrorismfinansiering
• Sanktionsbevakning
• Redovisningslagstiftning
• Rapportering till skattemyndigheter, polismyndigheter, kronofogdemyndigheter och tillsynsmyndigheter 
• Hantering av risker avseende exempelvis kreditutveckling/-kvalitet, kapitaltäckning och försäkringar
• Krav och skyldigheter gällande betaltjänster, såsom bedrägeriövervakning och -rapportering
• Underhåll och förbättringar av säkerheten i våra IT-system Detta innefattar bland annat att skydda mot olika hot och säkerställa integriteten i vår digitala infrastruktur.
• Övriga förpliktelser gällande tjänster och produkter som omfattas av särskild lagstiftning, till exempel värdepapper, fonder, säkerheter, försäkringar och hypotekslån.

2c. Berättigat intresse 

Vi använder även dina personuppgifter när det behövs för att främja våra berättigade intressen, så länge inte dina intressen eller grundläggande fri- och rättigheter har företräde framför våra berättigade intressen. 

Exempel på behandling som grundar sig på vårt berättigade intresse:

• Marknadsföring samt produkt- och kundanalys, där syftet med behandlingen är dels marknadsföring, dels process-, affärs- och systemutveckling, inklusive testning. Vi gör detta för att förbättra vårt produktutbud och optimera våra kunderbjudanden, inklusive våra lojalitetsprogram. I vissa fall ber vi om ditt samtycke till behandling av personuppgifter i marknadsföringssyfte enligt beskrivningen nedan.
• Profilering, till exempel i samband med kundanalyser i marknadsföringssyfte, transaktionsövervakning i syfte att upptäcka bedrägerier eller för att avgöra om en person överskrider bankens risktolerans avseende sanktioner.
• Upptäckt av ovanliga mönster i en användares beteende eller utrustning för att förhindra bedrägeri 
• Underhåll och förbättringar av säkerheten i våra IT-system Detta innefattar bland annat att skydda mot olika hot och säkerställa integriteten i vår digitala infrastruktur. 
• Anonymisering av ekonomiska och demografiska uppgifter, i syfte att ta fram statistik som används för att testa och utveckla nya produkter och tjänster. Anonymiserad och sammanställd statistik kan inte kopplas till en enskild person. 
• Analyser av aktiviteter på sociala medier för att kunna ge dig bättre och mer relevant marknadsföring, kommunikation, tjänster och rådgivning, och för att kunna svara på dina frågor och kommentarer samt ge dig teknisk support.
• Behandling för att fastställa, göra gällande eller försvara eventuella rättsliga anspråk samt inkasso.
• Riskmodellering, när vi utvecklar och underhåller våra riskmodeller, till exempel för kreditrisk och kapitalkrav.

2d. Samtycke

Som nämnts i avsnitt 2c. finns det tillfällen när vi ber om ditt samtycke till att behandla dina personuppgifter. Det kan till exempel vara vid behandling av uppgifter om betaltransaktioner i marknadsföringssyfte i externa mediekanaler och sociala medier, inspelning av samtal i utbildningssyfte eller vid viss behandling av särskilda kategorier av personuppgifter. I samband med att vi ber om ditt samtycke får du också information om syftet, hur uppgifterna behandlas, vilka personuppgifter som berörs och din rätt att återkalla samtycket. Om du har lämnat samtycke till behandling av dina personuppgifter kan du när som helst återkalla det.

Vi kan i vissa fall, om det är tillåtet enligt lag eller annan författning, använda oss av automatiserat beslutsfattande om du har lämnat ditt uttryckliga samtycke eller om det är nödvändigt för att fullgöra ett avtal. Ett exempel är automatiserade kreditbeslut i Nordeas onlinekanaler. 

När vi använder automatiserat beslutsfattande informerar vi dig om de beslutsfaktorer som används, vad detta betyder för dig och vilka konsekvenser det kan få.

Du kan alltid ge oss din åsikt om ett beslut som enbart grundats på automatiserad behandling, inbegripet profilering, om beslutet skulle få rättsliga följder (t.ex. om vi säger upp ett avtal) eller på liknande sätt avsevärt skulle påverka dig (t.ex. om vi avslår en ansökan som du gjort online). Du har då rätt att få beslutet granskat manuellt (t.ex. få en kreditansökan som uteslutande behandlats med hjälp av algoritmer att behandlas på nytt av en Nordeamedarbetare).

Vi kan dela dina personuppgifter med andra i den mån vi har en laglig skyldighet att göra det och för att utföra tjänster och uppfylla avtal vi har med dig eller våra leverantörer. Det kan till exempel gälla myndigheter, företag i Nordeakoncernen, leverantörer, betaltjänstföretag och affärspartners. 

Nordea har, där så är tillämpligt, ingått personuppgiftsbiträdesavtal som reglerar för vilka ändamål och på vilket sätt personuppgifter ska behandlas, och säkerställer att sådan behandling uppfyller lagkrav och Nordeas egna bestämmelser för personuppgiftsbehandling. Innan vi delar dina uppgifter med andra säkerställer vi alltid att vi följer de sekretessförpliktelser som gäller för finanssektorn.                                                                                                             

När vi utför våra tjänster på uppdrag av dig lämnar vi ut uppgifter om dig som behövs för att identifiera dig och utföra uppdraget eller uppfylla avtalet tillsammans med de företag som vi samarbetar med. Det kan till exempel ske vid användning av säkra identifieringslösningar i det berörda landet och vid utbyte av information mellan finansiella motparter såsom centralbanker, korrespondentbanker, betalningsmottagare och clearinginstitut. Om du exempelvis har bett oss att göra en överföring måste vi lämna ut vissa uppgifter om dig för att kunna överföra pengarna. 

Vi kan också komma att lämna ut anonymiserade uppgifter för samhälls- och ekonomiforskning eller för statistiska ändamål, om vi anser att det är av allmänt intresse.

Vi lämnar vi ut dina personuppgifter till:

• Myndigheter: vi lämnar ut personuppgifter till myndigheter i den mån vi har en laglig skyldighet att göra det. Det kan exempelvis gälla skattemyndigheter, brottsbekämpande myndigheter och tillsynsmyndigheter i berörda länder.
• Nordeas koncernföretag: vi delar personuppgifter inom Nordeakoncernen, med ditt medgivande eller om det är tillåtet enligt gällande lag eller annan författning.
• Externa affärspartners: vi delar personuppgifter med externa affärspartners, med ditt medgivande eller om det är tillåtet enligt gällande lag eller annan författning. Det kan till exempel gälla korrespondentbanker, andra banker, företag som säljer produkter som är finansierade av oss och återförsäkringsföretag. För att kunna erbjuda våra tjänster kan vi också lämna ut personuppgifter till betaltjänstföretag, andra tjänsteleverantörer, andra försäkringsföretag, återförsäkringsföretag och tjänsteleverantörer inom kollektivavtalade tjänstepensioner.
• Leverantörer: vi har tecknat avtal med utvalda leverantörer, och dessa avtal innefattar bestämmelser om behandling av personuppgifter för vår räkning. Leverantörerna finns till exempel inom utveckling, underhåll, drift och support av IT-system.

Överföring av personuppgifter till tredje land
I vissa fall kan vi också överföra personuppgifter till organisationer i så kallade tredjeländer (länder utanför Europeiska ekonomiska samarbetsområdet, EES). Detta gäller om vi anlitar IT-leverantörer eller avtalspartners. Sådana överföringar kan göras om något av följande villkor uppfylls:

• EU-kommissionen har beslutat att det finns en tillräcklig skyddsnivå i det aktuella landet, eller
• andra lämpliga skyddsåtgärder har vidtagits, till exempel att standardavtalsklausuler som godkänts av EU-kommissionen används eller att mottagaren har bindande företagsbestämmelser (s.k. Binding Corporate Rules), eller
• det rör sig om ett undantag i en särskild situation, till exempel för att fullgöra ett avtal med dig eller om du ger ditt samtyckte till den specifika överföringen.

Du kan ta del av en kopia av de standardavtalsklausuler som Nordea använder för överföringar genom att gå in på www.eur-lex.europa.eu och söka på 32021D0914. 

Att förvara dina personuppgifter på ett tryggt och säkert sätt är en central del i hur vi gör affärer. Vi har vidtagit lämpliga tekniska, organisatoriska och administrativa säkerhetsåtgärder för att skydda de uppgifter vi har mot förlust, missbruk, obehörig åtkomst, röjande, ändring och förstöring.

Du har följande rättigheter när det gäller de personuppgifter om dig som vi behandlar:

a) Rätt att begära tillgång till dina personuppgifter 

Du har rätt att få tillgång till de personuppgifter som vi har om dig. I många fall finns dessa uppgifter redan i de onlinetjänster vi erbjuder dig. Din rätt till tillgång kan emellertid begränsas av lag eller annan författning, skydd av annan persons privatliv samt hänsyn till skydd av våra affärskoncept och affärsrutiner. När det gäller våra sakkunskaper och affärshemligheter, liksom interna bedömningar och underlag, kan din rätt till tillgång vara begränsad. 

b) Rätt att begära rättelse av felaktiga eller ofullständiga personuppgifter 

Om de personuppgifter vi har om dig är felaktiga eller ofullständiga har du rätt att begära rättelse av uppgifterna, med de begränsningar som stipuleras i lag eller annan författning.

c) Rätt att begära radering

Du har rätt att begära att dina personuppgifter raderas om:

• du återkallar ditt samtycke till behandlingen och det inte finns något annat berättigat skäl för behandlingen 
• du invänder mot behandlingen och det inte finns något berättigat skäl för fortsatt behandling
• du invänder mot behandling för direkt marknadsföring 
• behandlingen är olaglig eller
• behandlingen av personuppgifter avser underårig, om uppgifterna samlades in i samband med erbjudande av informationssamhällets tjänster.

Till följd av lagstiftningen för finanssektorn är vi i många fall skyldiga att behålla personuppgifter om dig under den tid som du är kund hos oss, och även därefter för att till exempel fullgöra en laglig skyldighet eller hantera rättsliga anspråk.

d) Rätt till begränsning av behandling av personuppgifter 

Om du motsätter dig riktigheten i de personuppgifter som vi har registrerade om dig eller lagligheten i behandlingen av dessa uppgifter, eller om du utnyttjat din rätt till invändningar mot behandlingen av personuppgifterna, kan du begära att vi begränsar behandlingen av dessa uppgifter. Behandlingen begränsas då till att endast avse lagring tills rättelse av personuppgifterna har genomförts, eller tills det går att fastställa att våra berättigade intressen har företräde framför dina intressen.

Om du har rätt till radering av de personuppgifter som vi har registrerade om dig, men samtidigt behöver uppgifterna för att hävda ett rättsligt anspråk, kan du begära att Nordea begränsar behandlingen till enbart lagring, så att uppgifterna finns kvar. 

Även i fall där behandlingen av dina personuppgifter har begränsats enligt ovan, får Nordea behandla dina personuppgifter på annat sätt om så krävs för att hävda ett rättsligt anspråk eller om du har lämnat ditt samtycke till det. 

e) Rätt att invända mot behandling utifrån Nordeas berättigade intresse 

Du kan alltid invända mot behandling av dina personuppgifter om behandlingen utgår ifrån Nordeas berättigade intresse, och det gäller även när behandlingen avser direkt marknadsföring och profilering i samband med sådan marknadsföring. 

f) Rätt att återkalla samtycke

Om ditt samtycke utgör den lagliga grunden för en viss typ av behandling, har du rätt att återkalla ditt samtycke när du vill. Du får information om din rätt att återkalla samtycket i samband med att vi ber om det. 

g) Rätt till dataportabilitet

Du har rätt att få ut personuppgifter som du har lämnat till oss, i ett maskinläsbart format. Detta gäller endast personuppgifter som behandlas automatiserat och där den lagliga grunden är samtycke eller fullgörande av avtal. Om det är säkert och tekniskt möjligt kan vi också föra över personuppgifterna till en annan personuppgiftsansvarig. 

Din begäran om att utöva dina rättigheter enligt ovan bedöms från fall till fall utifrån rådande omständigheter. Observera att vi också kan behålla och använda dina uppgifter om det behövs för att uppfylla rättsliga förpliktelser, hävda ett rättsligt anspråk eller genomdriva våra avtal. 

Om du vill utöva dina enskilda rättigheter kan du göra det genom att besöka vår webbplats, logga in i nätbanken, ringa till vår kundservice eller besöka ditt närmaste Nordeakontor. Eftersom vi hanterar dina personuppgifter med största omsorg kan vi inte vidta åtgärder utifrån en begäran via mejl och vi kan inte dela, ändra eller radera dina personuppgifter utan att först bekräfta din identitet via någon av ovannämnda kanaler. 

Vi lagrar dina personuppgifter så länge de behövs för de ändamål de samlades in och behandlades, eller så länge som krävs enligt gällande lagar och andra författningar. 

Detta innebär att vi lagrar dina personuppgifter så länge som det är nödvändigt för att fullgöra ett avtal och så länge det krävs enligt gällande minimikrav på lagringstider i gällande lagar och andra författningar. I de fall där vi lagrar dina personuppgifter i annat syfte än för att fullgöra ett avtal, till exempel för bekämpning av penningtvätt, redovisning och krav enligt kapitaltäckningsregler, behåller vi endast personuppgifterna om det är nödvändigt och/eller krävs enligt lag eller annan författning för ändamålet i fråga.

Kraven på lagringstider ser olika ut i Nordeakoncernen beroende på nationell lagstiftning. 

Vanligen lagrar Nordea kunduppgifter i 10 år efter kundrelationens slut i syfte att fastställa, hävda och bestrida rättsliga anspråk, för att hantera skuldindrivning/krav och för att på begäran av myndigheter kunna fullgöra sina lagliga skyldigheter. Lagringstiden för personuppgifter i ett specifikt fall beror emellertid på syftet med behandlingen. Nedan hittar du exempel på olika syften.

Exempel på lagringstider: 

• Låneerbjudanden: vi sparar lånerelaterad dokumentation i upp till tre månader efter erbjudandets förfallodag
• Kundrelation har inte inletts: vi sparar uppgifter i upp till 18 månader om vi utfört en kreditupplysning och upp till 12 månader om vi inte utfört en kreditupplysning
• Krav och skyldigheter gällande betaltjänster: vi sparar information om betalningar i 11 år
• Förhindra och upptäcka penningtvätt, terrorismfinansiering och bedrägerier: vi sparar känn din kund (KDK)-information i minst fem år efter avslutad affärsförbindelse eller genomförd enskild transaktion
• Specifika bestämmelser för andra tjänster eller produkter, exempelvis värdepapper, säkerheter eller bostadslån: vi sparar dina ekonomiska uppgifter i upp till sju år
• Redovisningslagstiftning: vi sparar information som krävs enligt lag i upp till tio år
• Uppgifter om fullgörande av ett avtal: vi sparar information om ditt avtal i upp till tio år efter avslutad kundrelation
• Försäkringslagstiftning: vi sparar information som krävs enligt lag i upp till 21 år
• Kapitalkrav för kreditrisk: vi sparar information relaterad till beräkningen av kapitalkrav i upp till 20 år.

Om du har frågor som gäller vår dataskyddspolicy, eller om du inte är nöjd med hur vi behandlar dina personuppgifter, är du välkommen att vända dig till Nordeas kundservice, eller till närmaste Nordeakontor. 

8a. Kontakta Nordeas dataskyddsombud

Nordeakoncernen har utsett ett dataskyddsombud som du kan kontakta genom att skicka ett mejl till dataprotectionoffice [at] nordea.com eller genom att skriva ett brev till: Nordea, Dataskyddsombud, Group Data Protection Officer, M200, 105 71, Stockholm, Sverige. 

8b. Klagomål till Integritetsskyddsmyndigheten (Sverige)

Du kan också lämna ett klagomål till eller kontakta Integritetsskyddsmyndigheten (IMY). Du hittar kontaktuppgifter till IMY på myndighetens webbsida.