Henkilötietojesi käsittely
Tietoa henkilötietojesi käsittelystä
Voimassa 29.11.2024 alkaen
Käsittelemme henkilötietojasi sovellettavan lain, kuten yleisen tietosuoja-asetuksen (EU/2016/69) (“GDPR”) mukaisesti. Henkilötietojesi käsittelyssä rekisterinpitäjänä toimii NOBA Bank Group AB (publ), org nro 556647-7286, jäljempänä “NOBA”, “me” tai “pankki” tuotemerkeille Nordax Bank ja Bank Norwegian. NOBA on ruotsalainen pankki, jonka toimintaa valvoo Ruotsin Finanssivalvonta. Tuotemerkin Bank Norwegian, en filial av NOBA Bank Group AB (publ), org nro. 916 573 154 toimintaa harjoitetaan Norjan sivukonttorimme kautta.
Tässä kuvataan, kuinka NOBA kerää, käsittelee ja jakaa henkilötietoja. Henkilötietojen käsittely riippuu käyttämästäsi tuotteesta tai palvelusta. Jos haluat saada tarkempia tietoja henkilötietojesi käsittelystä, voit pyytää rekisteriotteen, katso kohta 7.
Voit käyttää seuraavia linkkejä siirtyäksesi haluamaasi osioon.
1. Mitä henkilötietoja keräämme?
2. Mihin käytämme henkilötietojasi ja millä oikeusperustein?
3. Kenelle luovutamme henkilötietoja?
4. Kuinka kauan säilytämme henkilötietoja?
5. Profiloitu ja automatisoitu päätöksenteko
6. Turvallisuus ja henkilötietojen siirto kolmansiin maihin
7. Yksityisyydensuojaan liittyvät oikeutesi
9. Tytäryhtiöille siirtyvien lainojen käsittely ns. arvopaperistaminen
1. Keräämämme henkilötiedot
1.1 Sinulta keräämämme tiedot
Keräämme henkilötietoja ensisijaisesti suoraan sinulta esimerkiksi seuraavissa tilanteissa; teet sopimuksen kanssamme, käytät palveluitamme ja tuotteitamme tai otat meihin yhteyttä jonkin kanavamme kautta. Uutena asiakkaana pyydämme sinulta esimerkiksi henkilö- ja yhteystiedot kuten nimen, henkilötunnuksen, sähköpostiosoitteen ja puhelinnumeron. Jos haet lainaa tai luottokorttia, pyydämme sinulta lisätietoja taloudellisesta ja henkilökohtaisesta tilanteestasi kuten sinun veloista, tuloista, kuluista ja perhetilanteestasi, jotta voimme arvioida voimmeko tarjota sinulle hakemaasi tuotetta tai palvelua.
Kun kirjaudut verkkosivuillemme tai allekirjoitat sopimuksen, käsittelemme tietoja verkkopankkitunnuksestasi tai mobiilivarmenteestasi. Verkkosivustoa käytettäessä, käsittelemme IP-osoitteita; luelisää evästeiden käytöstä täältä.
Nordax Bank tallentaa kaikki saapuvat ja lähtevät puhelut sinun ja meidän turvallisuutemme vuoksi. Bank Norwegian tallentaa kaikki saapuvat puhelut ellet ole kieltänyt puheluiden tallentamista. Katso puheluiden säilytysajat kohdasta 4.
1.2 Muista lähteistä keräämämme tiedot
Keräämme tietoja myös muista lähteistä kuin vain suoraan sinulta. Jos haet lainaa tai luottokorttia lainanvälittäjän kautta, keräämme tiedot, jotka olet antanut välittäjälle hakemuksesi käsittelyä varten. Keräämme tietoja myös luottotietoyrityksiltä ja muista ulkopuolisista rekistereistä kuten Suomen Asiakastieto Oy:n luottotietopalvelusta ja Verohallinnon Tulorekisteriyksikön ylläpitämästä positiivisesta luottorekisteristä varmistaaksemme tietojesi oikeellisuuden sekä saadaksemme tietoa olemassa olevista luotoistasi. Jos olet antanut suostumuksesi, tilitietoja ja tapahtumahistoriaa kerätään myös pankistasi hyväksytyn tilitietopalveluntarjoajan kautta.
Nimi- ja osoitetiedot pidetään ajan tasalla Digi- ja väestötietovirastosta saatujen tietojen avulla.
Maksutapahtumien yhteydessä keräämme tietoja lähettäjiltä, maksupalveluntarjoajilta ja kaupoilta.
Osana työtämme rahanpesun ja terrorismin rahoituksen torjumiseksi voimme kerätä henkilötietoja muilta pankeilta, viranomaisilta, pakotelistoilta (kansainvälisten järjestöjen kuten EU ja YK sekä kansallisten järjestöjen kuten OFACin - Office of Foreign Asset) ja muilta kaupallisilta tietopalveluilta, jotka tarjoavat esimerkiksi tietoa poliittisesti vaikutusvaltaisessa asemassa olevista henkilöistä.
2. Mitä henkilötietoja käytetään ja millä oikeusperustein?
Täältä näet mihin käyttötarkoituksiin käsittelemme henkilötietojasi ja millä oikeusperustein tuemme käsittelyä.
2.1 Lisätietoja käyttämistämme oikeusperusteista
Perustamme henkilötietojen käsittelyn pääasiassa seuraaviin laillisiin perusteisiin:
- Sopimuksen täyttäminen – kun käsittely on tarpeen sopimuksen täyttämiseksi kanssasi GDPR artiklan 6.1.b mukaisesti.
- Laillinen velvoite – kun käsittelyä edellytetään NOBAn oikeudellisten velvoitteiden täyttämiseksi GDPR artiklan 6.1.c mukaisesti.
- Etujen tasapaino – kun käsittely on tarpeen oikeutetun etumme toteuttamiseksi ja NOBA on arvioinut, että etumme tietojen käsittelyyn on suurempi kuin sinun etusi, ettei tietoja käsitellä GDPR artikla 6.1.f mukaisesti. Sinulla on aina oikeus vastustaa käsittelyä oikeutetun edun perusteella, ja voit myös ottaa meihin yhteyttä saadaksesi lisätietoja tehdystä arviosta. Katso yhteystiedot kohdasta 8
Joissakin tapauksissa suostumuksesi toimii henkilötietojen oikeusperusteena GDPR artiklan 6.1.a mukaisesti. Pyydämme suostumuksesi esimerkiksi silloin, kun käsittelemme henkilötietoja evästeiden käytön tai käyttäytymiseen perustuvan markkinoinnin yhteydessä, koska niitä ei voi perustaa intressien tasapainottamiseen.
Sinulla on oikeus peruuttaa suostumuksesi milloin tahansa. Tämän jälkeen emme voi enää käsitellä tietojasi suostumuksen perusteella. Evästeiden osalta voit muuttaa asetuksiasi suoraan selaimessasi, ja joidenkin palveluidemme osalta voit päivittää markkinointivalintojasi kirjautumalla sisään verkkosivustollamme. Jos haluat peruuttaa suostumuksesi muulla tavoin, löydät yhteystietomme kohdasta 8.
2.2 Tarkoitus ja oikeusperusta
Tässä kuvataan mihin tarkoituksiin käsittelemme henkilötietoja. Jokaisen tarkoituksen alla näkyy yleinen kuvaus käsittelystä ja oikeudellinen peruste, jolla tuemme käsittelyä. Tarkempi kuvaus mainituista henkilötietoluokista löytyy kohdasta 1.3.
3. Kenelle luovutamme henkilötietojasi
Henkilötietojasi käsittelyä voivat pankkisalaisuutta koskevien sääntöjen puitteissa suorittaa konserniimme kuuluvat yritykset edellä mainittuihin tarkoituksiin sekä yritykset, joiden kanssa yhtiö tekee yhteistyötä palvelujensa suorittamiseksi esim. Suomen Asiakastieto Oy, Posti Oy, Digi- ja Väestötietovirasto, muut pankit, luottomarkkinayhtiöt, luotonvälittäjät, perintäyhtiöt, markkinointi- ja analyysiyritykset, painotalot ja vakuutuslaitokset. Tietoja voidaan luovuttaa myös muille maksutapahtumaan osallistuville tahoille siltä osin kuin se on tarpeen tapahtuman toteuttamiseksi turvallisesti. Tiedot luotoistasi luovutetaan Positiiviseen Luottotietorekisteriin, Suomen Verohallinnon ylläpitämään rekisteriin. Maksuvelvoitteiden laiminlyönneistä voidaan myös ilmoittaa Suomen Asiakastieto Oy:n ylläpitämään maksuhäiriörekisteriin. Henkilötietoja voidaan luovuttaa myös viranomaisille pankin lakisääteisten velvoitteiden mukaisesti, kuten verovirastolle, poliisilaitokselle, Finanssivalvonnalle ja muille viranomaisille tai viranomaisille muissa EU/ETA-maissa.
Henkilötietoja voidaan luovuttaa myös ulkopuolisille ostajille, rahoittajille ja sen neuvonantajille liiketoiminnan muutosten, kuten fuusioiden tai myynnin ja liiketoiminnan rahoituksen hallintaa varten. Voit lukea lisää miten käsittelemme henkilötietojasi, kun siirrämme lainoja tytäryhtiöillemme (ns. arvopaperistaminen), lue lisää kohdasta 9.
4. Kuinka pitkään säilytämme henkilötietojasi
Henkilötietojasi säilytetään vain niin kauan kuin se on tarpeen niiden tarkoitusten toteuttamiseksi, joita varten pankki käsittelee tietojasi (ks. kohta 2.2 yllä). Tämä tarkoittaa mm. että sinun ja pankin välisen sopimussuhteen kannalta tärkeitä henkilötietoja säilytetään niin kauan kuin sopimussuhde on voimassa (esim. talletustili, maksettu luotto tai toimittajasopimus) ja sopimuksen päättymisen jälkeen enitään 10 vuotta vanhentumisaika huomioiden.
Rahanpesulainsäädännön vaatimusten mukaisesti käsiteltyjä henkilötietoja säilytetään normaalisti 5 vuotta asiakassuhteen päättymisen jälkeen, mutta määräaikaa voidaan jossain tapauksissa pidentää jopa 10 vuoteen. Jos sinun ja pankin välille ei ole syntynyt liikesuhdetta, aika lasketaan siitä hetkestä, jolloin rahanpesulainsäädännön vaatimukset laukaiseva toimenpide tai liiketoimi on suoritettu.
Henkilötietoja, joita käsitellään kirjanpitolainsäädännön vaatimusten mukaisesti säilytetään 7 vuotta Ruotsin lainsäädännön mukaisesti ja joissain tapauksissa 10 vuotta sivuliikettämme koskevan Norjan lainsäädännön mukaisesti.
Jos et tee sopimusta kanssamme, esimerkiksi jos hakemaasi lainaa ei myönnetä, säilytämme hakemuksen yhteydessä keräämiämme henkilötietoja 3-12 kuukautta luottotuotteesta riippuen (tunnistettavassa muodossa järjestelmässämme) siitä päivästä alkaen, jolloin sait kieltävän päätöksen. Joissain tapauksissa tiedot voivat säilyä pidempään esimerkiksi rahanpesulainsäädännön vuoksi tai kuten kohdassa 2.2.i mainittiin, eli analyysitietona (pseudonyymimuodossa) luottoriskin arviointia ja luottoriskimallien kehittämistä varten. Analyysitietoja säilytetään enintään 6 vuotta, ellei ole voimassa olevaa sopimussuhdetta. Asiakkailta, joiden kanssa olemme sopimussuhteessa, analyysitietoja säilytetään sopimusten ajan ja sen jälkeen enintään 10 vuoden ajan.
Nordaxin tallentamat puhelut poistetaan 7 päivän kuluttua, mutta joissain tapauksissa puhelut voidaan säilyttää pidempään, jos se on tarpeen sopimuksen dokumentoimiseksi (yleensä 5 vuotta, mutta jotkut vakuutussopimukset jopa 10 vuotta) tai koulutusta ja laadunvarmistusta varten sekä valitusten käsittelyä tai muita tutkintatarpeita varten (3 kuukautta).
Bank Norwegianin tallentamat puhelut poistetaan 30 päivän kuluttua.
5. Profilointi ja automatisoitu päätöksenteko
Profilointi tarkoittaa olemassa olevien tai potentiaalisten asiakkaiden henkilötietojen automatisoitua käsittelyä, jonka avulla arvioidaan heidän tiettyjä henkilökohtaisia ominaisuuksiaan, analysoidaan tai ennakoidaan heidän taloudellista tilannettaan, henkilökohtaisia mieltymyksiään, kiinnostuksen kohteitaan ja asuinpaikkaansa. Käytämme profilointia esimerkiksi markkina- ja asiakasanalyyseihin, järjestelmäkehitykseen, markkinointiin ja automatisoituihin päätöksiin (katso alla) sekä tapahtumaseurantaan petosten estämiseksi.
Kun haet henkilökohtaista lainaa, luottokorttia tai jatkat olemassa olevaa luottoa, käytämme automatisoitua päätöksentekoa, joka sisältää myös profilointia ja voi vaikuttaa merkittävästi luottohakemuksen hylkäämispäätökseen. Automaattiset päätökset perustuvat asiakkaan hakemuksessa antamiinsa taloudellisiin tietoihin, luottotietotoimistoilta ja muista ulkopuolisista rekistereistä keräämiimme tietoihin (katso yllä kohta 1.2) sekä asiakkaan sisäisiin tietoihin (esim. maksuhistoria tai aikaisemmat hylkäämispäätökset). Keräämämme tiedot arvioidaan automatisoidusti sisäisten malliemme, likviditeettiä ja vakavaraisuutta koskevien vähimmäisvaatimusten perusteella. Tämä määrittää myönnetäänkö hakemus ja tarvittaessa luoton suuruuden. Olemme velvollisia arvioimaan meiltä luottoa hakevien henkilöiden luottokelpoisuuden ja automatisoitu päätöksenteko on välttämätöntä, jotta sopimukset solmittaisiin objektiivisesti ja tehokkaasti.
Tapauksissa, joissa luottopäätös on perustunut yksinomaan automaattiseen käsittelyyn, asiakkaalla on aina oikeus saada päätös uudelleen joltain ylläpitäjistämme. Jos sinulla on kysyttävää automatisoidusta päätöksenteosta, voit ottaa meihin yhteyttä. Katso yhteystiedot kohdasta 8.
6. Turvallisuus ja siirrot kolmansiin maihin
Henkilötietojesi turvallinen käsittely on keskeinen osa liiketoimintaamme. Käytämme asianmukaisia teknisiä, organisatorisia ja hallinnollisia turvatoimenpiteitä henkilötietojesi suojaamiseksi mm. tietojen menetys ja luvaton pääsy. Henkilötietoihin pääsy on ainoastaan niillä tahoilla, joilla on tarve käsitellä henkilötietoja työtehtäviensä hoitamiseksi. Mikäli meidän on siirrettävä henkilötietoja yhteistyökumppaneille tai toimittajille, varmistamme sopimuksten ja tarkastusten avulla, että myös vastapuoli ylläpitää asianmukaista suojaustasoa.
Henkilötietoja siirretään EU:n tai ETA:n ulkopuolelle (ns. kolmansiin maihin) vain tarvittaessa ja vasta sen jälkeen, kun on varmistettu, että siirto kolmansiin maihin suoritetaan maiden siirtoihin sovellettavien sääntöjen mukaisesti. Jos kolmannessa maassa käytetään palveluntarjoajaa esim. teknisen tuen yhteydessä, toimittaja on velvollinen kirjallisissa ohjeissamme olevien velvoitteiden lisäksi noudattamaan eurooppalaista tietosuojastandardia esimerkiksi allekirjoittamalla Euroopan komission vakiosopimuslausekkeet ja tarvittaessa suorittamaan lisäsuojatoimenpiteitä. Siirto kolmanteen maahan voi perustua myös Euroopan komission päätökseen, jonka mukaan maassa on riittävä henkilötietojen suojaamisen taso (tietosuojapäätös).
Täältä löydät tietoja maista, joiden osalta Euroopan komissio on laatinut riittävyyspäätökset: Adequacy decisions | Europeiska kommissionen (europa.eu)
Euroopan komission vakiosopimuslausekkeet löytyvät täältä: Standard Contractual Clauses (SCC) | Europeiska kommissionen (europa.eu)
Jos sinulla on kysyttävää henkilötietojen siirroista kolmansiin maihin ja siirtoihin liittyvistä turvatoimista, otathan yhteyttä tietosuojavaltuutettuumme dpo@nordax.se tai dpo@banknorwegian.fi
7. Sinun oikeutesi ja miten voit pyytää suoramarkkinoinnin estoa
Tässä kuvataan millaiset oikeudet sinulla on GDPR:n mukaan ja miten voit käyttää oikeuksiasi.
- Oikeus tietoon – sinulla on oikeus tietää, mitä henkilötietojasi käsittelemme ja voit pyytää niistä kopion (ns. rekisteriote).
- Oikeus oikaisemiseen- sinulla on oikeus pyytää, että henkilötietosi oikaistaan.
- Oikeus tietojen poistamiseen – sinulla on oikeus pyytää henkilötietojesi poistamista tietyin edellytyksin.
- Oikeus tietojen rajoittamiseen – sinulla on oikeus vaatia meitä rajoittaman henkilötietojesi käsittelyä tietyissä tapauksissa esim. sen aikana kun tarkistamme pitäisikö henkilötiedot korjata tai poistaa.
- Oikeus vastustaa tietojen käsittelyä - sinulla on oikeus vastustaa henkilötietojesi käsittelyä jos käsittelemme henkilötietojasi oikeutettujen etujemme perusteella etujen tasapainottamisen kautta. Tällöin teemme uuden arvioinnin etujen tasapainosta.
- Oikeus tietojen siirrettävyyteen – sinulla on oikeus saada meille antamasi henkilötiedot koneellisesti luettavassa muodossa ja oikeus siirtää tiedot toiselle rekisterinpitäjälle.
Tietojesi poistaminen tai käsittelyn rajoittaminen ei ole aina mahdollista esimerkiksi jos tarvitsemme tietoja sopimustesi hallinnointiin tai lakisääteisten vaatimusten täyttämiseen. Emme myöskään voi luovuttaa rekisteriotteen yhteydessä tietoja mm. tapauksissa, joissa tiedot sisältävät jonkun muun liikesalaisuuksia tai jos tietoja ei lain mukaan saa luovuttaa. Arvioimme pyyntösi tapauskohtaisesti.
Voit käyttää henkilötietojen käsittelyyn liittyviä oikeuksia ottamalle meihin yhteyttä kohdassa 8 mainittuihin yhteystietoihin. Erituotemerkeillämme on myös omia prosesseja, joita voit hyödyntää alla kuvatulla tavalla. Rekisteriote sisältää kaikki käsittelemämme tiedot tuotemerkistä riippumatta, ellei pyyntösi selkeästi koske tietoja vain tietyn tuotemerkin osalta.
Nordax Bank:
Jos haluat pyytää rekisteriotteen ja saada tietoja käsittelemistämme henkilötiedoistasi, voit käyttää seuraavaa lomaketta: Pyyntö saada kopio käsittelemistämme henkilötiedoista.
Voit poistaa itsesi suoramarkkinointipostituslistalta täällä. Jos ilmoitat meille tällaisesta kiellosta, tallennamme sinua koskevat tiedot.
Jos haluat käyttää muita GDPR:n mukaisia oikeuksia, ota meihin yhteyttä puhelimitse 030 603 6060 tai sähköpostitse DPOrequest@nordax.se.
Bank Norwegian:
Voit muuttaa Bank Norwegianin mainosasetuksia suoraan verkkopankissasi. Jos haluat käyttää muita oikeuksiasi, ota meihin yhteyttä puhelimitse 09 31584500 tai sähköpostitse dpo@banknorwegian.fi.
8. Yhteydenotto ja valitukset
Jos haluat käyttää oikeuksiasi, katso eri tuotteisiimme liittyvät prosessit kohdasta 7. Jos sinulla on kysyttävää henkilötietojesi käsittelystä, voit ottaa meihin yhteyttä myös alla olevien yhteystietojen kautta.
NOBA Bank Group AB (publ)
Nordax Bank osoite: Box 23124, 104 35 Stockholm, Sweden
Bank Norwegian osoite: Postboks 110, 1325 Lysaker, Norway
Nordax Bank puhelin: 030 603 6060
Bank Norwegian puhelin: 09 31584500
Nordax Bank sähköposti: DPOrequest@nordax.se, dpo@nordax.se
Bank Norwegian sähköposti: dpo@banknorwegian.fi
Jos haluat valittaa henkilötietojesi käsittelystä, voit ottaa yhteyttä tietosuojavastaavaan sähköpostitse dpo@nordax.se tai dpo@banknorwegian.fi, tai muiden yllä olevien yhteystietojen kautta. Sinulla on oikeus tehdä valitus Suomen tietosuojavaltuutetun toimistoon (www.tietosuoja.fi) tai Ruotsin tietosuojaviranomaiselle (www.imy.se). Suosittelemme kuitenkin olemaan ensin yhteydessä meihin, jotta voimme tutkia tapauksesi ja selvittää mahdolliset väärinkäsitykset.
9. Lainojen tytäryhtiöille siirtoon liittyvät käsittelyt ns. arvopaperistaminen
Siirrämme säännöllisesti tiettyjä lainoja tytäryhtiöillemme ns. arvopaperistaminen, katso edellä kohta 2.2.q. Arvopaperistaminen on osa pankin strategiaa rahoituksen hankinnassa. Saat erillisen ilmoituksen jos lainasi siirretään. Voit lukea lisää täältä henkilötietojesi käsittelystä siirtojen yhteydessä ja ulkopuolisten vastuusta henkilötietojen siirron yhteydessä.