Integritet och sekretess - GDPR
Som ett led i Sparbanken Syds (”Banken”) verksamhet behandlar vi personuppgifter om dig. Din integritet är viktig för oss och vi är måna om att vara transparenta med vilka personuppgifter vi behandlar och varför. Banken har därför tagit fram denna integritetspolicy som närmare beskriver Bankens behandling av dina personuppgifter, dina rättigheter och hur du kan göra dem gällande.Definitioner
Personuppgifter är all information som rör en levande fysisk person som kan identifieras, direkt eller indirekt, till exempel genom namn, personnummer, adress men även krypterade uppgifter och olika slags elektroniska identiteter (exempelvis IP-nummer). Att viss information utgör en personuppgift förutsätter alltså att den kan kopplas samman till en fysisk person som är i livet. Behandling av personuppgifter innefattar all tänkbar hantering av personuppgifter, såsom insamling, registrering, bearbetning och lagring.Personuppgiftsansvar
Banken är personuppgiftsansvarig för de behandlingar av personuppgifter som vi bestämmer ändamål och medel för. All behandling av personuppgifter inom Banken genomsyras av de grundläggande principerna för personuppgiftsbehandling som anges i dataskyddsförordningen (GDPR). Principerna innebär bland annat att Banken:
- ska ha laglig grund för att få behandla personuppgifter,
- bara samlar in personuppgifter för specifika, särskilt angivna och berättigade ändamål,
- inte behandlar fler personuppgifter än vad som krävs för ändamålen,
- ser till att personuppgifterna är riktiga och, om nödvändigt, uppdaterade,
- raderar personuppgifter när de inte längre krävs för ändamålen,
- skyddar personuppgifterna från att obehöriga får tillgång till dem och säkerställer att de inte förloras eller förstörs, och
- ska kunna visa att och hur Banken lever upp till dataskyddslagstiftningen.
Behandling av dina personuppgifter
Banken behandlar endast dina personuppgifter så länge det finns en laglig grund för det. Att du tillhandahåller personuppgifter är en förutsättning för att Banken ska kunna ingå avtal med dig som kund. För att vi ska kunna fullgöra våra åtaganden enligt avtalet och gällande lagstiftning är det också nödvändigt att dina personuppgifter behandlas på olika sätt.
De kategorier av personuppgifter som behandlas kan vara ditt namn och personnummer, kontaktuppgifter till dig (såsom adress, e-post och telefonnummer) och dina ekonomiska förhållanden (till exempel uppgifter om inkomst). Banken kan även komma att spela in telefonsamtal, bevara e-postmeddelanden eller på annat sätt dokumentera din interaktion och kommunikation med Banken.
Banken behandlar personuppgifterna för de ändamål och med den lagliga grund som anges nedan.
1. Förberedelse och administration av avtal
Det huvudsakliga ändamålet med Bankens behandling av personuppgifter är att samla in, kontrollera och registrera de uppgifter som krävs för att förbereda och ingå avtal med våra kunder. Behandling av personuppgifter kan också vara nödvändig för att administrera eller fullgöra redan ingångna avtal. Inom ramen för en kundsituation behandlar Banken framförallt de personuppgifter som kunden lämnar i samband med sin intresseanmälan/ansökan eller som i övrigt registreras i samband med administrationen av avtalet med Banken.
Laglig grund: Fullgörande av avtal.
2. Efterleva Bankens skyldigheter enligt lag, annan författning eller myndighetsbeslut
Behandling av personuppgifter kan i vissa fall vara nödvändigt för att Banken ska kunna uppfylla skyldigheter enligt lag, annan författning eller myndighetsbeslut. Det kan handla om att Banken ska efterleva kraven enligt bokföringslagstiftningen eller vidta åtgärder i syfte att förhindra penningtvätt och finansiering av terrorism. Banken är också skyldig att rapportera till Finansinspektionen, Polismyndigheten, Skatteverket, Kronofogdemyndigheten och andra behöriga myndigheter, såväl svenska som utländska. Dessa rättsliga förpliktelser ställer i sin tur krav på att Banken inhämtar, bearbetar och dokumenterar relevanta personuppgifter.
Laglig grund: Fullgörande av rättslig förpliktelse.
3. Marknads- och kundanalyser samt systemutveckling och marknadsföring
Dina personuppgifter kan komma att behandlas för utförande av marknads- och kundanalyser samt systemutveckling, som ett led i Bankens affärsutveckling i syfte att förbättra produkter och tjänster gentemot kunder. Personuppgifter kan även komma att behandlas som underlag för marknadsföring eller kundanalyser i syfte att motverka bedrägerier. I dessa fall gör Banken en avvägning mellan det egna intresset av att behandla personuppgifter och den enskildes intresse av personlig integritet. All behandling med stöd av berättigat intresse kräver därför en noggrann bedömning av huruvida den registrerade rimligen kan förvänta sig att en personuppgiftsbehandling kan komma att ske.
Som framgår ovan kan Banken eller någon av Bankens samarbetspartners använda dina uppgifter för marknadsföring. Detta innebär att du kan få reklamutskick baserat på de uppgifter du lämnat. Om du inte vill ha direktmarknadsföring kan du kontakta Banken via dataskydd@sparbankensyd.se och begära spärr mot direktmarknadsföring (s.k. direktreklamspärr).
Laglig grund: Bankens berättigade intresse (intresseavvägning).
Banken har också möjlighet att behandla dina personuppgifter med stöd av samtycke. När den lagliga grunden för behandlingen är samtycke har du möjlighet att lämna ditt frivilliga godkännande till att Banken får behandla dina personuppgifter. I dessa fall kommer vi på ett klart och tydligt sätt beskriva vilken information som samlas in och till vilket syfte. Du har också rätt att när som helst återkalla ditt samtycke, vilket innebär att Banken fortsättningsvis inte har rätt att behandla uppgifterna med stöd av samtycket.
Tillgång till dina personuppgifter
De medarbetare på Banken som tar del av dina personuppgifter behöver det för att utföra sina arbetsuppgifter. Behandling av personuppgifter kan också, inom ramen för gällande regler om banksekretess, ske av företag som Banken samarbetar med för att utföra våra tjänster, till exempel Upplysningscentralen (UC), Bankgirocentralen (BGC) och Finansiell ID-teknik (Mobilt BankID). När samarbetspartners behandlar personuppgifter för Bankens räkning görs detta inom ramen för ett personuppgiftbiträdesavtal, vilket bland annat innebär att de är skyldiga att behandla informationen på ett säkert sätt och med hänsyn till sekretess.
Tider under vilka personuppgifter sparas
Dina personuppgifter kan komma att sparas så länge avtalsförhållandet med Banken består och som huvudregel i högst tio år därefter. Vissa personuppgifter kan dock komma att sparas längre tid, till exempel när uppgifterna sparas för andra syften än på grund av avtalsförhållandet. Andra tidsfrister kan också gälla på grund av lagstiftning som Banken måste följa, till exempel för att uppfylla kraven enligt bokföringslagstiftningen (sju år) eller i syfte att förhindra penningtvätt och finansiering av terrorism (fem till tio år). Om du inte ingår något avtal med Banken, sparas normalt personuppgifterna som längst i tre månader.
Registrerades rättigheter
Som registrerad har du flera rättigheter gentemot Banken. Nedan beskriver vi dina rättigheter och hur du kan göra dem gällande gentemot oss.
- Du har rätt att begära ut information om vilka personuppgifter vi behandlar som avser dig (rätt till tillgång). Informationen ska lämnas i form av ett registerutdrag från Banken som bland annat innehåller den lagliga grunden och ändamålet med behandlingen. För att ingen annan ska ges tillgång till dina uppgifter måste du identifiera dig när du begär ett registerutdrag.
- Banken är skyldig att ha korrekta och aktuella personuppgifter om dig. Om dina uppgifter är felaktiga kan du begära att de rättas eller kompletteras (rätt till rättelse). Du har även rätt att invända mot den behandling av personuppgifter som grundas på berättigat intresse eller samtycke (rätt till invändning).
- Under vissa förutsättningar kan du begära att uppgifter om dig raderas när de inte längre är nödvändiga för det ändamål för vilka de samlades in (rätt till radering). Banken tar då bort personuppgifter om dig, men kan på grund av annan lagstiftning vara skyldiga att spara viss information under längre tid.
- I vissa fall, och om Banken behandlar personuppgifter med stöd av avtal eller samtycke, har du rätt att erhålla en kopia av de personuppgifter som du själv har lämnat till Banken. Du har även rätt att få dessa överförda direkt till annan personuppgiftsansvarig, om det är tekniskt möjligt (dataportabilitet).
Din begäran och/eller invändning enligt ovan prövas av Banken i det enskilda fallet. I vissa fall har Banken inte möjlighet att radera uppgifter, eller begränsa behandlingen av dessa, vanligtvis för att uppgifterna behöver sparas på grund av skyldigheter i ett avtalsförhållande eller enligt lagstiftning.
För att göra någon av dina rättigheter gällande, vänligen kontakta Bankens dataskyddsombud på dataskydd@sparbankensyd.se eller besök ditt lokala bankkontor. Du har alltid rätt att lämna in ett klagomål eller en anmälan om överträdelser av GDPR till tillsynsmyndigheten för dataskyddsfrågor, Integritetsskyddsmyndigheten.
Behandling av barns personuppgifter
I förekommande fall kan Banken komma att behandla barns personuppgifter. Barn har samma rättigheter till skydd för sina personuppgifter som vuxna, vilket innebär att även barn har rätt att till exempel få information om personuppgiftsbehandling, att få tillgång till sina uppgifter och att få uppgifter rättade eller borttagna. När Banken behandlar barns personuppgifter vidtas alltid extra försiktighet och särskild information lämnas.
Kameraövervakning
Banken kameraövervakar samtliga entréer till våra fysiska kontor. Våra kameror filmar de som kommer in och lämnar respektive kontor, vilket innebär att du kan komma att filmas när du besöker oss. Syftet med kameraövervakningen är att förebygga eller avslöja brott och vi kommer inte att hantera materialet från kameraövervakningen för något annat ändamål. Inspelat material sparas i 60 dagar från inspelningstillfället och kommer inte lämnas ut till någon annan än de som enligt gällande regelverk har rätt att ta del av uppgifterna.
Banken utför kameraövervakning med stöd av den lagliga grunden berättigat intresse. Det innebär att banken bedömer att intresset av att skydda dig och andra som vistas i våra lokaler väger tyngre än eventuella intrång i den personliga integriteten. Vill du veta mer om hur vi gjort denna intresseavvägning är du välkommen att kontakta oss. Du kan också begära ett registerutdrag för att se vilka uppgifter vi hanterar om dig.
Särskilt angående BankID
Dina uppgifter kan också användas för att vidta säkerhetsåtgärder i syfte att förhindra missbruk eller annan olovlig användning av de tjänster som Banken tillhandahåller, såsom BankID. Banken har, tillsammans med andra banker, ett register som bankerna tillsammans kontrollerar för att hindra utfärdande av BankID:n i de fall Banken självt eller annan bank beslutat att utfärdande inte längre ska kunna ske för kunder. I samband med detta kan även de BankID:n som utfärdats för kund spärras från fortsatt användning. Bankernas register får endast användas av bankerna för kontroll i samband med utfärdande och innehåller endast de personnummer som bankerna vid var tid ska neka vid utfärdande av nya BankID:n, tillsammans med den tidpunkt då personnumret automatiskt gallras från registret. Ett personnummer kan registreras i registret om ett BankID använts i strid med användarvillkoren för tjänsten, såsom vid misstanke om bedrägeri, försök till olovligt användande av annans BankID, olovlig identitetsanvändning eller annan brottslig handling. Ett personnummer finns också registrerat om frivillig blockering sker. Registret hanteras av bankerna med stöd av särskilt tillstånd av Integritetsskyddsmyndigheten. Användningen av bankernas register är nödvändig för Bankens berättigade intressen av att förhindra oegentligt utnyttjande av tjänsten BankID och för att på så sätt upprätthålla säkerheten och tillförlitligheten i tjänsten. Bankerna är gemensamt personuppgiftsansvariga för hanteringen av registret och har samordnade rutiner för att så sker på korrekt sätt enligt gällande dataskyddslagstiftning.
Vidare behandlas och analyseras uppgifter om kunders användarbeteende för de syften som beskrivs ovan, det vill säga för att förhindra att BankID missbrukas eller annars används på olovligt sätt, t.ex. för att skydda dig mot olovlig identitetsanvändning eller ID-stöld. Vid indikation på obehörig användning eller annan otillåten användning av tjänsten kan den fortsatta användningen hindras genom att utgivning av BankID nekas baserat på automatiserat beslutsfattande i det centrala system som används för utgivning av BankID:n. Denna behandling sker som ett nödvändigt led i att upprätthålla säkerheten och tillförlitligheten i tjänsten BankID.
Dina personuppgifter kan även behandlas baserat på din användning av tjänsten BankID för att förhindra, förebygga eller utreda brott. Detta sker när sådan behandling är nödvändig för Bankens eller annans berättigade intresse av att undvika och förhindra att du blir utsatt för ID-stöld eller att tjänsten BankID annars missbrukas samt för att tillvarata rättsliga anspråk eller fullgöra Bankens rättsliga skyldigheter.
Profilering och automatiserade beslut
Profilering
Med profilering avses automatisk behandling av personuppgifter som används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga exempelvis dennes ekonomiska situation, personliga preferenser, intressen och vistelseort. Profilering används av Banken för bland annat marknads- och kundanalyser, systemutveckling, marknadsföring, i samband med automatiserade beslut (se nedan) och transaktionsmonitorering för att motverka bedrägerier. Den lagliga grunden för profilering kan vara fullgörande av avtal eller rättslig förpliktelse alternativt Bankens berättigade intresse eller den registrerades samtycke.
Automatiserade beslut
Banken använder sig i vissa fall av ett automatiserat beslutsfattande, till exempel i samband med ett automatiserat godkännande/avslag på en kreditansökan via internet. Du som kund har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för dig eller i betydande grad påverkar dig på annat sätt. Banken har dock rätt att använda sig av automatiserat beslutsfattande om det är nödvändigt för ingående eller fullgörande av ett avtal mellan dig och Banken eller om du har lämnat ditt samtycke.
Tredjelandsöverföring
I vissa fall kan Banken komma att överföra personuppgifter till land utanför EU och EES (s.k. tredjeland) eller till internationella organisationer. Sådan överföring sker endast under förutsättning att övriga regler i dataskyddsförordningen följs och att någon av nedanstående förutsättningar är uppfyllda:
- EU-kommissionen har tagit beslut om att det finns en adekvat skyddsnivå i det aktuella landet,
- det har vidtagits andra lämpliga skyddsåtgärder, t ex standardavtalsklausuler eller bindande företagsbestämmelser (s.k. Binding Corporate Rules, BCRs),
- det finns särskilt tillstånd av tillsynsmyndigheten,
- det i övrigt är tillåtet enligt tillämplig dataskyddslagstiftning.
Våra kontaktuppgifter
Då vi tar dataskydd på stort allvar kan du givetvis alltid kontakta oss på Banken vid frågor om dataskydd och hur vi behandlar dina personuppgifter. Som kund kan du även vända dig till Banken för att begära spärr mot direktmarknadsföring (s.k. direktreklamspärr).
Du har rätt att begära ut ett registerutdrag med information om vilka personuppgifter vi behandlar. För att begära ett registerutdrag kan du skicka ett meddelande till oss via internetbanken eller kontakta Kundcenter via telefon, 0411-82 20 00.
Vid övriga frågor som rör behandling av personuppgifter, vänligen kontakta Bankens dataskyddsombud,
E-post: dataskydd@sparbankensyd.se
Postadress: Dataskyddsombud, Sparbanken Syd, Box 252, 271 25 Ystad
Du kan också vända sig till tillsynsmyndigheten för dataskyddsfrågor, Integritetsskyddsmyndigheten, www.imy.se, för att ställa frågor eller lämna klagomål på Bankens personuppgiftsbehandling. Om du bor eller arbetar i ett annat land än Sverige kan du även vända dig till tillsynsmyndigheten i det landet.
Vi kan komma att göra ändringar i vår integritetspolicy. Den senaste versionen av integritetspolicyn finns alltid här på webbplatsen.
Senast uppdaterad: 2023-02-14