Resurs personvernerklæring
Resurs behandling av personopplysninger etter Personvernforordningen
Resurs Bank AB NUF med organisasjonsnummer 984150865 er ansvarlig for behandling av dine personopplysninger (behandlingsansvarlig). Det innebærer at det er vår plikt å sikrestille at behandlingen skjer på en sikker måte og i tråd med gjeldene lover og regler.
Personvernforordningen (2016/679), på engelsk kalt General Data Protection Regulation (GDPR) gjelder som lov innen EU og EØS og har blant annet til hensikt å styrke borgernes grunnleggende rettigheter gjennom å gi de personer hvis personopplysninger behandles, det vil si de registrerte, kontroll over hvordan deres personopplysninger anvendes. En registrert er en person som har eller vurderer å inngå en avtale med Resurs (en kunde eller en potensiell kunde), men det kan også være en annen person som har noen form for tilknytning til våre produkter og tjenester, for eksempel en kausjonist, reell rettighetshaver, pantsetter, betaler, verge, forvalter, fullmaktshaver, stedfortreder, nærstående eller kontaktperson. Når vi skriver «du» nedenfor mener vi disse ulike kategoriene av registrerte.
Resurs har utpekt et personvernombud som har som særskilt oppgave å behandle spørsmål om personvern og sørge for at Personvernforordningen følges i banken.
Innsamling av personopplysninger
Den personlige informasjonen som Resurs samler inn om deg håndteres på en ansvarsfull måte med hensyn til din integritet. Resurs behandler dels personopplysninger som gis direkte av deg i forbindelse med at du melder din interesse for våre produkter, søker og/eller inngår avtaler eller som for øvrig registreres i forbindelse med administrasjon av en avtale, dels personopplysninger som gis via tredje parter så som butikker, kredittopplysningsbyråer, låneformidlere og kontoforvaltende institutter (for eksempel en annen bank). I det tilfellet at opplysningene kommer fra noen andre enn deg selv, kommer til å informeres om at Resurs kommer til å behandle opplysningene. Du kommer også til å informeres om formålet med behandlingen samt få annen nødvendig informasjon vedrørende behandlingen.
Resurs kan også for eksempel spille inn telefonsamtaler og lagre e-postkommunikasjon med deg. Navn og adresseopplysninger oppdateres løpende via Folkeregisteret.
Typer av personopplysninger
Nedenfor beskriver vi kategoriene av personopplysninger som vi samler inn og bruker. Avhengig av hvilken type produkt eller tjeneste du bruker hos oss, eller er knyttet til, behandles ulike typer kategorier.
- Identifikasjonsopplysninger: f.eks. navn, personnummer, identifikasjonsdokument og statsborgerskap.
- Kontaktopplysninger: f.eks. postadresse, telefonnummer og e-postadresse.
- Produktrelaterte opplysninger: f.eks. hvilken type avtale du har eller har hatt med oss med tilknyttede kontodetaljer, kortdetaljer, transaksjonsinformasjon og applikasjonsdata.
- Økonomiske forhold: f.eks. inntekt, eiendeler og gjeld, yrke og kreditthistorikk.
- Profilopplysninger: Alder, kjønn, sivilstand, poststed, land, statsborgerskap og levekostnader.
- Kommunikasjon: Opptak av telefonsamtaler, kommunikasjon via e-post, eller på annen måte dokumentere din interaksjon og kommunikasjon med oss.
- Lovpålagt informasjon: f.eks. informasjon som kreves for grunnleggende kundegjennomgang og anti-hvitvaskingsformål, for eksempel identifikasjons- og kontakinformasjon, informasjon fra eksterne sanksjonslister, politisk eksponert person og skattemessig bosted.
Informasjonskapsler
Når du besøker våre digitale kanaler, bruker vi informasjonskapsler eller lignende teknologier for å lagre data lokalt på enheten din eller hente lokal informasjon. Du kan lese mer om dette på vår hjemmeside resursbank.no under Vår policy for cookies, som du finner i bunnteksten. Der finner du også informasjon om hvordan du endrer innstillingene dine for hvilke informasjonskapsler du tillater oss å bruke.
Formål med personopplysningsbehandlingen
Resurs behandler personopplysningene for de formål som angis i avsnittene nedenfor.
Forberedelse og administrasjon av avtalen (oppfyllelse av avtalen)
Det hovedsakelige formålet med Resurs Banks behandling av personopplysninger er å samle inn, kontrollere og registrere de personopplysninger som kreves før en avtale inngås med deg og for å dokumentere, administrere og gjennomføre inngåtte avtaler. At du oppgir personopplysninger er en forutsetning for at Resurs Bank skal kunne inngå avtale med deg.
Oppfyllelse av forpliktelser i henhold til gjeldene lovgivning eller myndighetsvedtak (rettslig forpliktelse)
I forbindelse med avsnittet ovenfor (Forberedelse og administrasjon av avtalen) skjer også behandling av personopplysninger for at Resurs skal kunne oppfylle sine forpliktelser etter lovgivning eller myndighetsvedtak. Eksempel på slik behandling er behandling av personopplysninger for å oppfylle de krav som finnes i finansavtaleloven, bokføringsloven og hvitvaskingsloven, samt lover vedrørende risikohåndtering, betalingstjenester og verdipapirtjenester. Det kan også være kontroll av personopplysningene mot sanksjonslister som Resurs etter lov eller myndighetsvedtak er pålagt å gjøre eller gjør for å sikkrestille at det ikke foreligger bristende forutsetninger for å gjennomføre visse banktjenester. Behandling av personopplysninger kan også skje i forbindelse med rapportering til ulike myndigheter, slik som Skatteetaten, Politiet, Namsmannen og Finanstilsynet.
Markeds- og kundeanalyser samt systemutvikling og markedsføring samt andre interesseavveininger (berettiget interesse)
Behandling av personopplysninger kan skje med støtte av en interesseavveining. Det skjer for eksempel ved innspilling av telefonsamtaler, der banken selger kundefordringer til en annen aktør, for å forebygge og etterforske svindel og annen kriminalitet, for å sikre IT-sikkerhet og IT-drift, og for å etablere, utøve eller forsvare rettskrav.
Vi bestreber oss på å anonymisere dine personopplysninger så langt det er mulig for å behandle så få av dine personopplysninger som mulig. I enkelte tilfeller kan imidlertid personopplysninger behandles for utførelse av markeds- og kundeanalyser samt systemutvikling, som et ledd i Resurs Banks forretningsutvikling med formål å forbedre bankens produkter og tjenester mot kundene, hvilket gjøres med støtte av en interesseavveining.
Personopplysninger kan også behandles som underlag for markedsføring, f.eks. for å vise deg relevante annonser på tredjeparts nettsider. Ved annonsering på tredjeparts nettsider, kan vi dele kundeidentifikatorer, for eksempel en hashet e-postadresse med tredjeparten, som matches mot den relevante tredjepartens database. Når behandling skjer med markedsføringsformål, kan også profilering forekomme for å rette passende tilbud til deg. Med profilering menes automatisk behandling av personopplysninger som benyttes for å bedømme visse personlige egenskaper hos en fysisk person, særlig for å analysere eller forutsi eksempelvis dennes økonomiske situasjon, personlige preferanser, interesser og besøkelsessted.
Samtykke til behandling av personopplysninger
Når det rettslige grunnlaget for behandling av personopplysninger er samtykke, kan du eller annen som er registrert gi et samtykke eller et uttrykkelig samtykke til at personopplysningene kan behandles for de formål som er angitt samtykket.
Vi ber for eksempel om ditt samtykke til å tillatte oss å administrere dataene dine når vi samtykker til uttak fra din konto ved AvtaleGiro.
Et annet eksempel på når samtykke til behandling av personopplysninger kan kreves er når de personopplysningene som gis til Resurs inneholder sensitive personopplysninger. Med sensitive personopplysninger menes opplysninger om rasemessig eller etnisk opprinnelse, politisk oppfatning, religion, overbevisning eller fagforeningsmedlemskap, genetiske opplysninger eller biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.
Et tredje eksempel på når samtykke til behandling av personopplysninger kan kreves er når det legges inn en søknad om lån. Vi vil i den forbindelse be om ditt samtykke til å samle inn opplysninger, som inntekt og gjeld, fra offentlige registre som kreves før avtaleinngåelsen.
Du har rett til når som helst å tilbakekalle ditt samtykke. Les mer om dette under avsnittet Rett til å tilbakekalle samtykket.
Hvor lenge lagres personopplysningene
Resurs lagrer kun personopplysningene så lenge det er nødvendig og under forutsetning at vi har et rettslig grunnlag for å lagre opplysningene. For eksempel lagrer vi personopplysningene så lenge som det er et avtaleforhold mellom deg og banken. Også etter at avtalen er avsluttet finnes det i visse tilfeller lovgivning som gjør at Resurs må lagre opplysningene lenger, for eksempel for at vi skal oppfylle gjeldende lovgivning vedrørende motvirkning av hvitvasking (5 år) og bokføring (5 år). I visse tilfeller kan opplysningene lagres lenger på grunn av lovgivning om kapitaldekning. forsikringsdistribusjon og i tråd med reglene om foreldelse. Dersom du søker om et produkt, men ikke inngår en avtale med Resurs, lagres normalt opplysningene i høyst tre måneder, men opplysningene kan i visse tilfeller lagres lenger på grunn av eksempelvis hvitvaskingslovgivningen. Telefonsamtaler som spilles inn i forbindelse med kontakt med Kundeservice lagres i tre måneder. Deretter transkriberes telefonsamtalen og lagres i 396 dager fra innspillingstidspunktet. Også utgående salgssamtaler kan spilles inn. I slike tilfeller lagres lydopptaket i tre måneder.
Behandling av personopplysninger av andre enn Resurs
Behandling av personopplysningene kan, innenfor rammen for gjeldende regler om taushetsplikt og for de formål som er angitt ovenfor, skje av 1) foretak i konsernet 2) av foretak som konsernet samarbeider med blant annet for å utføre sine tjenester, for eksempel Folkeregisteret eller BankAxept (Bank-ID). Det kan også handle om foretak som solgte produkter eller tjenester til deg, som du finansierer gjennom Resurs Bank, eller leverandører som vi har inngått avtale med om spesifikke tjenester som Google, 3) foretak hvis tjenester du velger å bruke i forbindelse med betaling via Resurs Checkout, som Vipps og Trustly, 4) av andre banker, 5) inkassoselskap og 6) av myndigheter slik som politiet. Det rettslige grunnlaget for behandlingen fremgår over under Formål med personopplysningsbehandlingen.
Profilering
Med profilering menes automatisk behandling av personopplysninger som brukes til å bedømme visse personlige egenskaper hos en fysisk person, spesielt med tanke på å analysere eller forutse for eksempel personens økonomiske situasjon, personlige preferanser, interesser og besøkelsessted. Profilering brukes av banken for eksempel til markeds- og kundeanalyser, systemutvikling, markedsføring, ved automatiserte beslutninger (se nedenfor) og ved transaksjonsovervåking for å motvirke bedrageri. Det rettslige grunnlaget for profilering er bankens berettigede interesse, rettslige forpliktelse, oppfyllelse av avtalen og/eller samtykke. Hvis samtykke er den rettslige grunnen til behandlingen, må kunden gi sitt samtykke til en slik behandling.
Automatiserte beslutninger
I noen tilfeller benytter banken automatisert beslutningstaking forutsatt at det er nødvendig for inngåelse eller gjennomføring av kontrakten, tillatt ved lov eller hvis du har gitt ditt uttrykkelige samtykke.
Vi benytter automatisert beslutningstaking (godkjenning / avslag) i vår kredittsøknadsprosess. Vi baserer vår beslutning på informasjon som du har oppgitt selv, informasjon fra eksterne kilder (f.eks. kredittopplysningsforetak), samt på intern informasjon som kan angå deg (for eksempel kreditthistorikk) og generelle statistiske data. Basert på disse ulike opplysningene gjør vi en helhetsvurdering av om du har betalingsevne for den kreditten det søkes om. Vår behandling i dette tilfellet er nødvendig for å inngå og oppfylle en avtale med deg, samt for å oppfylle våre rettslige forpliktelser som kreditor. Avhengig av om kravene for å få en kreditt kan anses oppfylt, vil søknaden din bli innvilget eller avslått.
Vi benytter også automatisert beslutningstaking for å oppdage, motvirke og forhindre hvitvasking av penger og finansiering av terrorisme, samt oppdage, motvirke og forhindre svindel. Disse avgjørelsene kan føre til avvisning av transaksjoner eller at du ikke har tilgang til Resurs sine produkter og tjenester. Vi benytter automatisert beslutningstaking i disse tilfellene fordi det er tillatt ved lov og vi har en juridisk forpliktelse.
Du er velkommen til å kontakte oss for å uttrykke din mening eller bestride avgjørelsen basert utelukkende på automatisert individuell beslutningstaking, hvis avgjørelsen gir en juridisk effekt for deg eller det på lignende måte i betydelig grad påvirker deg.
Overføring til tredjeland
Selskapet har som mål å alltid behandle dine personopplysninger innenfor Den europeiske union ("EU") / Det europeiske økonomiske samarbeidsområdet ("EØS"). I visse begrensede tilfeller kan Resurs overføre eller dele personopplysninger med andre parter, for eksempel leverandører eller underleverandører, der behandlingen av personopplysninger finner sted eller kan finne sted utenfor EU/EØS (såkalte tredjeland). I slike tilfeller har Resurs plikt til å sørge for at passende sikkerhetstiltak tas i samsvar med gjeldende personvernlovgivning før dataene overføres ved å oppfylle noen av følgende betingelser:
- Å forsikre oss om at landet som dataene overføres til, oppfyller kravene om adekvat beskyttelsesnivå i henhold til EU-kommisjonens beslutning, noe som innebærer at landet har et tilstrekkelig beskyttelsesnivå for overføring av personopplysninger. Via følgende lenke finner du informasjon om landene utenfor EU/EØS som EU-kommisjonen har bestemt oppfyller et tilstrekkelig beskyttelsesnivå for tillatt overføring av personopplysninger.
- Å anvende standard personvernbestemmelser (SCC-er) bestemt av EU-kommisjonen, som sikrer at passende tiltak iverksettes for å beskytte dine rettigheter og friheter. Du finner mer informasjon om standard personvernbestemmelser på Datatilsynets nettsider her.
- Ved bruk av bindende selskapsregler (BCR). Resurs selv har ikke tatt i bruk noen bindende selskapsregler, men det har leverandører til oss. Bindende selskapsregler må godkjennes av en databeskyttelsesmyndighet i EU og er gjenstand for en omfattende gjennomgang av databeskyttelsesmyndigheten(e) før det. For ytterligere informasjon, vennligst kontakt oss som angitt nedenfor, under: Hvordan bruke dine rettigheter og våre kontaktdetaljer.
- At det ellers er tillatt i henhold til databeskyttelseslovgivningen, for eksempel i visse spesielle situasjoner og enkelttilfeller. For eksempel kan leverandører ha signert en godkjent adferdskodeks eller sertifiseringsmekanisme, mer informasjon finner du på Datatilsynets nettsider her, eller unntakssituasjoner som ditt uttrykkelige samtykke eller at vi utøver eller forsvarer et rettskrav. For ytterligere informasjon, vennligst kontakt oss som angitt nedenfor, under: Hvordan bruke dine rettigheter og våre kontaktdetaljer.
Oppdatering av erklæringen
I forbindelse med at vi forbedrer og utvikler våre produkter og tjenester kan det medføre endringer i disse, og dermed kan også innholdet i denne erklæringen oppdateres. Vi kommer til å publisere den oppdaterte erklæringen på vår webside. Vi ber deg derfor holde deg oppdatert med vår erklæring ved anvendelse av våre produkter, tjenester og webside.
Dine rettigheter som kunde
Nedenfor beskriver vi dine rettigheter som kunde hos Resurs eller dersom du av annen anledning er registrert hos oss.
Rett til informasjon
Du som er kunde hos Resurs har rett til å bli informert om hvordan vi behandler dine personopplysninger. Informasjonen gis gjennom denne personvernerklæringen.
Innsyn i egne personopplysninger
Du har rett til å få informasjon om hvilke personopplysninger som banken behandler om deg. En forutsetning for at du skal få innsyn i egne personopplysninger er at banken kan identifisere deg på en sikker måte slik at uvedkommende ikke gis mulighet til å se dine opplysninger. Hvordan du går frem kan du se nedenfor under avsnittet Hvordan benytter du deg av dine rettigheter og våre kontaktopplysninger. Vi vil behandle forespørselen din så snart som mulig og normalt innen en måned.
I noen begrensede tilfeller kan din rett til tilgang være begrenset av hensyn til personvern eller av hensyn til lov eller beskyttelse av våre forretningshemmeligheter. Vi foretar derfor alltid en individuell gjennomgang i forbindelse med forespørsler om registeruttrekk.
Dataportabilitet
Du kan også kreve å få ut en elektronisk kopi av informasjonen som viser hvilke personopplysninger du selv har gitt Resurs og som banken behandler elektronisk. Du har mulighet til å kreve at opplysningene overføres til en annen behandlingsansvarlig når det er teknisk mulig. Et slikt krav om dataportabilitet fremsettes på samme måte som et krav om innsyn og også i dette tilfellet er det nødvendig at Resurs kan identifisere deg på en sikker måte slik at uvedkommende ikke gis mulighet til å se dine opplysninger.
Rett til å rette
Du har rett til å få feilaktige personopplysninger om deg selv rettet og også supplere personopplysningene der de er ufullstendige.
Rett til begrensning
Du har rett til å kreve at behandlingen av dine personopplysninger begrenses. Det kan du gjøre dersom du anser at opplysninger om deg er uriktige eller vår behandling er ulovlig. Om du har krevd endring eller sletting av personopplysninger, kan du kreve at vi skal begrense vår behandling mens spørsmålet utredes. Det skulle for eksempel kunne handle om feilaktige kontaktopplysninger og du krever at ingen får ta kontakt inntil spørsmålet er utredet, eller en begjæring om retten til å bli glemt.
Retten til å bli glemt
På samme måte har du i visse tilfeller rett til å kreve at vi sletter dine personopplysninger. Du har rett til sletting hvis du protesterer mot direkte markedsføring, behandlingen er ulovlig, du trekker tilbake samtykket og vi ikke har noe annet juridisk grunnlag for fortsatt behandling, eller du protesterer mot behandlingen og det ikke er noen legitim grunn til fortsatt behandling.
I de fleste tilfeller støttes likevel vår behandling på avtalen med deg om et bankprodukt og vi kan da ikke slette slik opplysninger som vi behøver for å oppfylle eller bevise vår avtale med deg. For resurs finnes også i visse tilfeller annen lovgivning som gjør at vi ikke alltid umiddelbart kan slette dine personopplysninger. Resurs er forpliktet til å lagre dine personopplysninger i en viss tid for å kunne oppfylle krav i lovgivningen for eksempel om bokføring, motvirke hvitvasking, bedragerier eller på grunn av regler om foreldelse.
Rett til å protestere
Du har rett til å protestere mot Resurs behandling av dine personopplysninger når du anser at det finnes omstendigheter som gjør at behandlingen ikke gjøres i tråd med gjeldende regler.
Du har alltid rett til å motsette deg direkte markedsføring og profilering i forbindelse med slik markedsføring, basert på bankens legitime interesse. Les mer om dette under overskriften Sperre mot direkte reklame nedenfor.
Dersom du har et kortprodukt koblet til Mastercard, gjelder fra og med 1. mars 2024 følgende: Om du registrerer kortdetaljer hos andre selskaper eller organisasjoner for løpende fakturering, for eksempel for betaling for en abonnementstjeneste, er det en funksjon som automatisk oppdaterer kortdetaljene når kortet utløper. Mastercard er behandlingsansvarlig for denne behandlingen, men du har rett til å motsette deg den automatiske oppdateringen hos Resurs. Du kan gjøre dette ved å kontakte vår kundeservice ved hjelp av kontaktinformasjonen nederst i denne erklæringen.
Rett til å protestere mot automatisert beslutningstaking
Du har også rett til å protestere mot beslutninger basert utelukkende på automatisert behandling, for eksempel et automatisk avslag på en kredittsøknad, hvis avgjørelsen gir rettslige (juridiske) virkninger for deg eller på liknende måte påvirker situasjonen din betydelig/har innvirkning på livet ditt. Enten kan du be om å få saken vurdert av en fysisk person, eller du kan bestride den, i begge tilfeller ved å kontakt oss muntlig eller skriftlig. Se overskriften over Automatiserte beslutninger.
Rett til å tilbakekalle samtykke
Dersom du har samtykket til behandling av dine personopplysninger kan du alltid tilbakekalle samtykket. Dersom vi ikke har noe annet behandlingsgrunnlag kommer vi til å slette opplysninger som vi behandler basert på ditt samtykke. Til tross for at du tilbakekaller et samtykke kan vi i visse tilfeller likevel ha behov for å spare opplysningene. Dette kan vi kun gjøre dersom vi har et annet rettslig behandlingsgrunnlag. Det vanligste grunnlaget er at det for oss som bank foreligger en rettslig forpliktelse å spare opplysningen, for eksempel etter hvitvaskingsloven. Se mer om dette under avsnittet Oppfyllelse av forpliktelser i henhold til gjeldene lovgivning eller myndighetsvedtak (resslig forplikelse).
Rett til å klage
Dersom du mener banken bryter personvernregelverket, har du rett til å klage bankens behandling av personopplysninger til Datatilsynet. Les mer om klager til Datatilsynet her. https://www.datatilsynet.no/om-datatilsynet/kontakt-oss/klage-til-datatilsynet/datatilsynet/
Hvordan du benytter dine rettigheter og våre kontaktopplysninger
Dersom du vil benytte deg av noen av dine rettigheter eller har andre spørsmål som gjelder vår behandling av personopplysninger, er du velkommen til å kontakte oss, muntlig eller skriftlig.
Telefon: 22 56 37 33 (Kundeservice)
E-post: Kundetjeneste@resursbank.no
Adresse: Resurs Bank AB NUF, Postboks 979 Sentrum 0104 Oslo.
Du kan kontaktevårt personvernombud på DPO@resurs.se, eller per post: Resurs Bank, Data Protection Officer, Box 22209, SE-250 24 Helsingborg.
Du kan også lese om Personvernforordningen på Datatilsynets hjemmeside her.
Denne erklæringen ble sist oppdatert 31. Januar 2024.