Personvernerklæring for OBOS-banken AS

Personvernerklæringen beskriver OBOS-bankens innsamling, bruk, lagring og deling av personopplysninger. Denne gjelder også for vårt datterselskap OBOS Boligkreditt AS.

OBOS-medlemmer vil også være omfattet av OBOS-konsernets personvernerklæring. På enkelte områder kan det være avvik mellom det som beskrives i OBOS’ og OBOS-bankens personvernerklæringer. I slike tilfeller vil OBOS-bankens gå foran.

Det er administrerende direktør i OBOS-banken som er behandlingsansvarlig for personopplysningene vi behandler om deg.

Regulering av OBOS-bankens behandling av personopplysninger

OBOS-banken er underlagt norsk personvernlovgivning ved sin behandling av personopplysninger, som er basert på EU’s personvernforordning (General Data Protection Regulation (GDPR). OBOS-banken har også tilsluttet seg Finans Norges bransjenorm for behandling av personopplysninger i bank og kredittforetak.

Kategorier av personopplysninger OBOS-banken behandler

OBOS-banken behandler følgende kategorier av personopplysninger:

  • Identifikasjonsinformasjon som navn, fødselsnummer og kopi av legitimasjon.
  • Kontaktopplysninger som telefonnummer, adresse og e-postadresse.
  • Finansiell informasjon som kunde- og produktavtaler, transaksjonsdata og kreditthistorikk.
  • Opplysninger for å ivareta lovpålagte plikter som hvitvasking og rapportering til offentlige myndigheter.

Merk at typen personopplysning som samles inn, er avhengig av hvilket produkt eller tjeneste vi tilbyr deg som kunde, og kan sammenstilles alt etter formål og behandlingsgrunnlag.

Hvor vi innhenter innformasjon

Vi vil først og fremst behandle personopplysninger du gir direkte til oss i forbindelse med gjennomføring av en avtale. Eksempler på dette er innsendelse av søknadsskjema, henvendelser til våre ansatte, bruk av betalingstjenester eller andre elektroniske løsninger. Det inkluderer også besøk på vår nettside, kundedialog pr. brev, e-post og i nettbank, og kameraovervåkning av bankens lokaler.

Vi kan også innhente personopplysninger om deg fra andre kilder. Slike typer informasjonskilder kan være:

Offentlig tilgjengelige kilder (for eksempel eiendomsregistre), og andre eksterne kilder/registre som føres av offentlige myndigheter (for eksempel Folkeregisteret og registre hos skattemyndigheter).
Kriminalitetsbekjempende myndigheter osv.
Sanksjonslister (som føres av internasjonale organisasjoner som EU og FN samt nasjonale organisasjoner som Office of Foreign Assets Control (OFAC)).
Registre som føres av kredittopplysningsbyråer og andre kommersielle informasjonstjenester som leverer informasjon om for eksempel reelle rettighetshavere og politisk eksponerte personer.
OBOS’ medlemsregister, for sjekk av din medlemsstatus og -historikk.

Behandlingens formål/derfor behandler vi personopplysninger om deg

Formålet med OBOS-bankens behandling av personopplysninger er i første rekke kundeadministrasjon, finansiell rådgivning, fakturering og gjennomføring av bank- og finansieringstjenester i tråd med de avtalene vi har inngått med deg. Eksempler på oppfyllelse av avtale:

  • Prosesser som er nødvendig for eksempel for å åpne en konto eller utføre en nettbasert tjeneste eller for å behandle søknad om et kort eller en kreditt.
  • Fastslå, gjøre gjeldende eller forsvare rettslige krav og inndrive krav.

I tillegg til oppfyllelse av avtale, behandler OBOS-banken personopplysninger i den grad lovgivningen pålegger eller gir oss adgang til slik behandling, eller kunder har samtykket. Vi kan også foreta behandlingen dersom dette er nødvendig for å oppfylle en berettiget interesse for virksomheten.

OBOS-banken behandler personopplysninger til følgende formål:

  • Kundeadministrasjon, fakturering og gjennomføring av bank- og finansieringstjenester
  • Markedsføring
  • Risikoklassifisering av kunder og kredittporteføljer
  • Forebygging og avdekking av straffbare forhold
  • Sikkerhet
  • Utvikling av nye og eksisterende tjenester
  • Konsernkunderegister
  • Dokumentere meldinger om tap av betalingsinstrument (betalingskort, kodebrikke o.l.)
  • Oppfyllelse av bransjespesifikk regulering

Utlevering av personopplysninger

Personopplysninger om deg vil bli utlevert til offentlige myndigheter, herunder Finanstilsynet, skattemyndigheter og politiet, samt andre utenforstående når dette følger av lovbestemt opplysningsplikt eller opplysningsrett. Dersom lovgivningen tillater det og OBOS-bankens taushetsplikt ikke er til hinder, vil personopplysninger også kunne bli utlevert til andre banker og finansforetak samt samarbeidspartnere for bruk innenfor de formål som er angitt for behandlingen. Utlevering vil også kunne skje til andre parter som er involvert i en betalingstransaksjon så langt dette er nødvendig for å gjennomføre transaksjonen på en sikker måte. Overføring av personopplysninger til OBOS-bankens databehandlere anses ikke som utlevering.

OBOS-banken vil også utlevere personopplysninger til annet foretak i OBOS-konsernet så fremt utlevering er nødvendig for å tilfredsstille styrings-, kontroll- eller rapporteringskrav fastsatt i eller i medhold av lov.

Videre vil OBOS-banken utlevere nøytrale kundeopplysninger og fødselsnummer til et felles konsernkunderegister.

Ved utføring av betalingsoppdrag til eller fra utlandet vil tilhørende personopplysninger bli utlevert utenlandsk bank og/eller dennes medhjelper.

Overføringer av personopplysninger til utlandet

Dersom det blir aktuelt å overføre personopplysninger til selskaper til land utenfor EU/EØS-området (såkalte tredjeland), må følgende vilkår være oppfylt:

  • EU-kommisjonen har besluttet at det foreligger et tilstrekkelig beskyttelsesnivå i det aktuelle landet, eller
  • det er truffet andre hensiktsmessige sikkerhetstiltak, for eksempel bruk av standardkontrakter (EUs standardklausuler) som er godkjent av EU-kommisjonen, eller dersom databehandleren har gyldige bindende konsernregler (BCR), eller
  • det dreier seg om unntak i spesielle tilfeller, for eksempel for å utføre en avtale med deg eller dersom du gir ditt samtykke til den bestemte overføringen. Hvis du foretar en betalingstransaksjon til selskaper eller personer i slike tredjela

Bruk av databehandlere (underleverandører m.m.)

OBOS-banken bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller vil OBOS-banken inngå avtaler med databehandler for å sikre at behandlingen av opplysningene er i samsvar med personvernregelverket og OBOS-bankens krav til behandling av personopplysninger. Bruken av databehandlere er ikke å regne som en utlevering av personopplysninger.

Lagringstid

OBOS-banken vil slette eller anonymisere personopplysninger om deg når vi ikke lenger har et gyldig formål og behandlingsgrunnlag for å behandle opplysningene.

Dette betyr at vi beholder dine opplysninger så lenge det er nødvendig for å oppfylle en avtale og i henhold til krav til oppbevaringstid i lover og forskrifter. Når vi oppbevarer opplysningene dine til andre formål enn de som gjelder for oppfyllelse av en avtale, for eksempel ut fra krav vedrørende arbeid mot hvitvasking av penger eller bokførings- og kapitaldekningskrav, beholder vi kun opplysningene hvis det er nødvendig og/eller pålagt i lover og forskrifter for det respektive formålet.

Noen konkrete eksempler på dette er:

  • Forebygge, avdekke og granske hvitvasking av penger, finansiering av terrorisme og svindel: minst fem år etter opphør av forretningsforbindelsen eller utførelsen av en enkelt transaksjon.
  • Bokføringslover: opptil ti år.
  • Krav og forpliktelser vedrørende betalingstjenester: fem år.
  • Andre tjeneste- eller produktspesifikke bestemmelser om sikkerhet, eller boliglån: inntil sju år.
  • Lånetilbud til potensielle kunder: Opptil tre måneder etter utløpet av tilbudet.
  • Nærmere informasjon om gjennomføring av en avtale: opptil ti år etter avslutningen av et kundeforhold for å yte best mulig kundeservice, og til bruk som dokumentasjon mot eventuelle krav.
  • Personopplysninger som behandles på grunnlag av ditt samtykke: Til du trekker ditt samtykke tilbake. 

Ovennevnte liste er kun forklarende eksempler.

Dine rettigheter når vi behandler personopplysninger om deg

Du kan ved henvendelse til OBOS-banken kreve innsyn i registrerte personopplysninger, beskrivelse av hvilke typer opplysninger som behandles og nærmere informasjon om OBOS-bankens behandling av opplysningene. Opplysningene skal gis skriftlig, og elektronisk dersom forespørselen er elektronisk. I visse tilfeller kan det være unntak fra retten til innsyn. Dette gjelder typisk der vi er lovpålagt taushetsplikt eller hvor det er påkrevd å hemmeligholde informasjonen av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger eller dersom opplysninger kun finnes i dokumenter utarbeidet for den interne saksforberedelse og unntak fra innsynsretten er nødvendig for å sikre en forsvarlig saksbehandling.

Videre har du rett til å få korrigert opplysninger, eksempelvis dersom vi har registrert feilaktige eller ufullstendige opplysninger om deg.

Du har også rett til å be om at opplysningene dine slettes, dersom opplysningene ikke lenger er nødvendige for formålet de ble samlet inn for eller hvor samtykket til behandlingen trekkes tilbake. Dette innebærer ikke plikt til å slette opplysningene dersom det fortsatt er behov for å behandle opplysningen for formålet. Tilsvarende gjelder dersom OBOS-banken fortsatt har behov for opplysningene for å oppfylle en rettslig forpliktelse eller for å fastsette, gjøre gjeldende eller forsvare et rettskrav

Dersom du mener at opplysningene som behandles om deg ikke er riktige eller at behandlingen er ulovlig uten at du ønsker at opplysningene skal slettes, eller du har behov for opplysningene for å fastsette, gjøre gjeldende eller forsvare et rettskrav uten at behøver opplysningene eller du har gjort innsigelser mot behandlingen av opplysningene, kan du også kreve at behandlingen av opplysningene begrenses. 

I de tilfeller hvor en behandling av dine personopplysninger er basert på vår berettigede interesse eller opplysningene benyttes for direkte markedsføring og profilering i forbindelse med slik markedsføring, har du rett til å gjøre innsigelser mot behandlingen.

Til slutt har du, i visse tilfeller, krav på dataportabilitet. Det innebærer at du har krav på å få personopplysninger du har avgitt til oss utlevert i et enkelt, maskinlesbart format. Kravet gjelder hvor behandlingen er basert på samtykke eller avtale og hvor behandlingen av opplysningene er automatisert. Du kan også få disse opplysningene overført direkte til en annen behandlingsansvarlig dersom dette er teknisk mulig. Mye av denne informasjonen er allerede tilgjengelig på en enkel måte via nettbanken, f.eks. kontoutskrifter.

For å benytte deg av dine rettigheter anbefaler vi at du benytter meldingstjenesten i nettbanken, og beskriver ditt behov. Vi vil svare på din henvendelse til oss så fort som mulig, og senest innen 30 dager. Benytter du annen kommunikasjonskanal må vi være sikre på din identitet, og vil be om ytterligere dokumentasjon før vi kan besvare din henvendelse. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg og ikke til andre som utgir seg for å være deg.

Når det gjelder endring av din kontaktinformasjon kan du selv gjøre dette via nettbanken/mobilbanken. Det samme gjelder samtykker relatert til f.eks. markedsføring om produkter og tjenester som ligger utenfor ditt kundeforhold. Nyhetsbrev og annen markedsføring vi sender deg har egne avmeldingsfunksjoner som kan benyttes.

Sikkerhet ved behandling

OBOS-banken har gjennomført tekniske og organisatoriske sikkerhetstiltak for å sikre dine personopplysninger. OBOS-banken jobber kontinuerlig med å sikre at dine personopplysninger er beskyttet mot tap, ødeleggelse, korrupsjon eller uautorisert tilgang. Vi har et rammeverk for sikkerhet som oppdateres jevnlig i tråd med den teknologiske utviklingen. Videre har OBOS-banken en berettiget interesse i å behandle personopplysninger for å sikre konsernets verdier, for eksempel logging på servere, drift av infrastruktur, brannmurer, adgangskontroll og kameraovervåking.

Bruk av automatiserte avgjørelser

OBOS-banken kan i noen tilfeller bruke automatiserte avgjørelser hvis dette er godkjent ved lov, du har gitt et uttrykkelig samtykke eller det er nødvendig for utførelsen av en avtale, for eksempel automatiserte kredittavgjørelser i våre online-kanaler. Når OBOS-banken bruker automatiserte avgjørelser, vil vi gi deg ytterligere informasjon om den underliggende logikken som er brukt, samt hvilke konsekvenser det kan få for deg. F.eks. i vår automatiserte kredittkortsøknad gjør vi en vurdering av din økonomi hvor vi ser på din inntekt opp mot den totale gjelden din og andre kostnader (til mat, klær, strøm osv.). Vi ser også på historikken på kundeforholdet ditt i vår bank, og vi gjør en kredittsjekk for å se at du ikke har noen betalingsanmerkninger fra tidligere.

I automatiserte avgjørelser kan du når som helst be om en manuell behandling i stedet, gi din mening eller bestride en avgjørelse som utelukkende er basert på automatisert behandling, inkludert profilering, dersom en slik avgjørelse vil ha rettslige følger eller på annen måte påvirke deg i betydelig grad.

Profilering brukes i forbindelse med utarbeidelse og gjennomføring av markedsføringskampanjer, til kundeoppfølgingsformål. En personprofil er en samling og sammenstilling av dine personopplysninger, for eksempel adresse, alder og opplysninger om kundeforholdet ditt.

Bruk av informasjonskapsler (cocckies) og lignende teknologier

Når du besøker OBOS’ nettsteder registreres ulike typer informasjon om deg i en "cookie" (informasjonskapsel), se OBOS’ cookie-policy.

Kontaktinformasjon og klagemulighet

Hvis du har spørsmål om vår behandling av personopplysninger eller ønsker å klage på denne, kan du ta kontakt med oss. Kontaktinformasjon finner du på OBOS-bankens nettside. Eventuelle klager på OBOS-bankens behandling av personopplysninger om deg, kan også rettes til Datatilsynet. Du finner informasjon om dette på www.datatilsynet.no.

OBOS-konsernet har felles personvernombud, som skal bidra til at alle selskapene i konsernet følger personvernlovgivningen.

Endringer

Vi jobber kontinuerlig med å forbedre og utvikle våre tjenester, produkter og nettsteder. Denne personvernerklæringen kan derfor bli endret fra tid til annen. Oppdatert informasjon vil alltid finnes lett tilgjengelig på vår nettside. Vesentlige endringer varsles via vår nettbank, eller i henhold til annen avtale.

Endringslogg

Versjon nr.

Beskrivelse

Dato

1

Etablering av ny personvernerklæring basert på nytt personvernregelverk (GDPR)

25. juni 2018

 

 

 
Til toppen