Information om behandling av dina personuppgifter

Gäller från 2024-10-02

Vi behandlar dina personuppgifter i enlighet med tillämplig lag, såsom Dataskyddsförordningen (EU/2016/679) (”GDPR”). Personuppgiftsansvarig för behandlingen av dina personuppgifter är NOBA Bank Group AB (publ), org nr 556647-7286, härefter nämnt som ”NOBA”, ”vi” eller ”banken”, verksamt genom varumärkena Nordax Bank och Bank Norwegian. NOBA är en svensk bank som står under tillsyn av den svenska Finansinspektionen och verksamheten för varumärket Bank Norwegian bedrivs genom vår norska filial Bank Norwegian, en filial av NOBA Bank Group AB (publ), org nr 916 573 154.

Här beskrivs hur NOBA samlar in, behandlar och delar personuppgifter. Hur just dina personuppgifter behandlas beror på vilken produkt eller tjänst du använder. Om du vill få specifik information om vår behandling av just dina personuppgifter kan du begära ett registerutdrag, se avsnitt 7.

Om du vill gå direkt till ett specifikt avsnitt av informationen, kan du använda följande länkar:

Personuppgifter som vi samlar in
Vad personuppgifterna används till och med vilken rättslig grund
Vem vi delar vi dina personuppgifter med
Hur länge vi sparar dina personuppgifter
Profilering och automatiserat beslutsfattande
Säkerhet och tredjelandsöverföringar
Dina rättigheter och hur du begär spärr mot direktmarknadsföring
Kontakt och klagomål
Behandling relaterad till överlåtelse av lån till dotterbolag inom ramen för s.k. värdepapperiseringar

1. Personuppgifter som vi samlar in

1.1 Information som samlas in från dig

Personuppgifter samlas främst in direkt från dig, exempelvis i samband med att du ingår ett avtal med oss, använder våra tjänster och produkter eller kontaktar oss i ett annat ärende i någon av våra kanaler. Som ny kund ber vi dig till exempel om identifierings- och kontaktuppgifter som namn, personnummer, e-postadress och telefonnummer. Om du ansöker om ett lån eller kreditkort ber vi dig om ytterligare information om dina ekonomiska och personliga förhållanden, såsom skulder, inkomst- och utgiftsuppgifter och familjeförhållanden, för att kunna bedöma om vi kan erbjuda dig produkten eller tjänsten som du är intresserad av. Vid bolån inhämtas även uppgifter om fastighet eller bostadsrättsförening samt värderingsinformation.

Vid inloggningar på vår hemsida och vid signering av avtal behandlas information om BankID eller annat elektroniskt ID. Vid användning av hemsidan behandlas IP-adresser, se vidare i vår informationstext om cookies.

För Nordax Bank spelar vi in alla inkommande och utgående samtal, för din och vår säkerhet. För Bank Norwegian spelar vi in inkommande samtal, om du inte har valt att samtalet inte ska spelas in. Se lagringstider i avsnitt 5.

1.2 Information som samlas in från andra källor

Vi samlar även in uppgifter från andra källor än direkt från dig. Om du ansöker om ett lån eller kreditkort via en låneförmedlare inhämtar vi uppgifter som du har uppgett till förmedlaren för att kunna behandla din ansökan. Vi hämtar även uppgifter från kreditupplysningsföretag och andra externa register, exempelvis UC, Lantmäteriet och Dun & Bradstreet, för att försäkra oss om att dina uppgifter är korrekta och för att få information om dina befintliga och tidigare krediter. Om du har samtyckt till det, inhämtas även kontoinformation och transaktionshistorik från din bank via en av dig godkänd leverantör av kontoinformationstjänster.

Namn och adressuppgifter uppdateras löpande via det statliga personadressregistret (SPAR).

I samband med utförande av betalningstransaktioner inhämtar vi upplysningar från avsändare, betalningsleverantörer och butiker.

Som ett led i vårt arbete med att bekämpa penningtvätt och finansiering av terrorism kan vi inhämta personuppgifter från andra banker, myndigheter, sanktionslistor (som tillhandahålls av internationella organisationer som EU och FN, liksom nationella organisationer som OFAC - Office of Foreign Asset Control) och andra kommersiella informationstjänster som exempelvis ger information om personer i politiskt utsatt ställning.

1.3 Kategorier av personuppgifter

Personuppgifter vi inhämtar kan huvudsakligen delas in i följande kategorier:

Visa kategorier

Identifieringsinformation: t.ex. namn, personnummer, kundnummer, IP-adress
Kontaktinformation: t.ex. bostadsadress, telefonnummer, e-postadress
Autentiseringsinformation: t.ex. autentiseringsmetod, elektronisk signatur, utfärdarbank av elektronisk ID
Ansökansinformation: t.ex. ålder, civilstånd, barn och andra medlemmar i hushållet, medborgarskap, skatterättslig hemvist, utländskt skatteregistreringsnummer, boendeform, anställningsform, avslag eller godkänd kredit
Finansiell information: t.ex. skulder, tillgångar, inkomster och utgifter, kreditupplysning, kredithistorik, kreditvärdighet
Kundkommunikation: t.ex. korrespondens (e-post, brev m.m.), klagomål, telefonsamtal, loggar i vårt kundsystem
Kundengagemang: information om de produkter och avtal du har, hur mycket och hur ofta de används, om produkterna/tjänsterna är aktiverade, inaktiverade eller spärrade, produktspecifika detaljer för din produkt (konto/lån/kreditkort/försäkring) som transaktioner, kreditbelopp, säkerheter, kontonummer, kortnummer, intjänad bonus
Betalningsinformation: t.ex. avsändare, mottagare, belopp, kontonummer och annan transaktionsdata
Kravinformation: t.ex. sena betalningar och återbetalningsplaner
AML-information (Anti-Money Laundering):information i samband med kundkontroll och utredning om misstänkta transaktioner i syfte att förhindra penningtvätt och finansiering av terrorism, inkl. slagning mot sanktionslistor, PEP (Politically Exposed Person, person i politiskt utsatt ställning) m.m. Informationen kan omfatta uppgifter om lagöverträdelser.
Digitalt beteende/preferenser: digital aktivitet, t.ex. läs- och beteendehistorik från app, webbplats eller elektronisk kommunikation vi skickar ut.

2. Vad personuppgifterna används till och med vilken rättslig grund

Här kan du se för vilka ändamål vi behandlar dina personuppgifter och vilken rättslig grund vi stödjer behandlingen på.

2.1 Mer information om de rättsliga grunder som vi använder oss av

Vi baserar huvudsakligen vår behandling av personuppgifter på följande rättsliga grunder:

Fullgörande av avtal – när behandlingen är nödvändig för att ingå eller fullgöra ett avtal med dig, enligt GDPR artikel 6.1.b.
Rättslig förpliktelse – när behandlingen krävs för att NOBA ska kunna fullgöra en rättslig förpliktelse, enligt GDPR artikel 6.1.c.
Intresseavvägning – när behandlingen är nödvändig för att tillgodose ett berättigat intresse och NOBA har bedömt att vårt intresse av att behandla uppgifterna väger tyngre än ditt intresse av att uppgifterna inte behandlas, enligt GDPR artikel 6.1.f. Du har alltid rätt att invända mot behandling som grundar sig på en intresseavvägning och du kan även kontakta oss för att få närmare information om den bedömning som har gjorts, se kontaktuppgifter i avsnitt 8.

I vissa fall är istället ditt samtycke den rättsliga grunden för behandling av personuppgifter, enligt GDPR artikel 6.1.a. Exempel på när vi inhämtar samtycke för behandling av personuppgifter är för användning av vissa cookies och för beteendestyrd marknadsföring som inte kan baseras på en intresseavvägning.

Du har rätt att när som helst återkalla ditt samtycke. Vi har då fortsättningsvis ingen rätt att behandla uppgifterna med stöd av samtycket. För cookies ändrar du själv dina inställningar i din webbläsare, och för vissa av våra tjänster kan du ändra dina val för marknadsföring genom att logga in via vår hemsida. Om du i övrigt vill återkalla ditt samtycke, hittar du våra kontaktuppgifter i avsnitt 8.

2.2 Ändamål och rättsliga grunder

Här beskrivs för vilka ändamål vi behandlar personuppgifter. Under varje ändamål framgår en övergripande beskrivning av behandlingen och vilken rättslig grund vi stödjer behandlingen på. För närmare beskrivning av de olika kategorierna av personuppgifter som nämns, se avsnitt 1.3.

a) Förberedelse och administration av avtal

Beskrivning
Vi behöver behandla identifierings- och kontaktinformation, ansökansinformation, finansiell information, betalningsinformation, kundengagemang och kundkommunikation för att kunna ingå och fullgöra vårt avtal med dig, t.ex hantera din ansökan, dokumentera avtalet och händelser avseende produkten/tjänsten under avtalsförhållandet, skicka fakturor och kontoutdrag och ge dig service och support via vår kundtjänst. Vid inloggningar på vår hemsida och vid signering av avtal behandlas autentiseringsinformation.

Rättslig grund
Fullgörande av avtal.

b) Kreditprövning

Beskrivning
Vi behöver behandla identifieringsinformation, ansökansinformation, finansiell information och kravinformation för att genomföra en kreditprövning i enlighet med lagkrav, avseende att inhämta tillräckliga uppgifter för att bedöma kundens betalningsförmåga och för att dokumentera kreditprövningen, och även för att avgöra om krediten ligger inom ramen för den kreditrisk som vi vill ta. Behandlingen omfattar automatiserat beslutsfattande, se avsnitt 5.

Rättslig grund
Delvis rättslig förpliktelse och delvis intresseavvägning baserat på bankens berättigade intresse att hantera sina kreditrisker.

c) Avslagshantering

Beskrivning
Vi behandlar identifierings- och kontaktinformation, ansökansinformation och finansiell information för personer som har fått avslag på en kreditansökan för att kunna informera om avslaget och hantera eventuell omprövning.

Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att ha kvar informationen för att kunna hantera kommunikation med den registrerade och eventuell omprövning.

d) Kontroller och övervakning för att motverka bedrägerier

Beskrivning
Vi behandlar samtliga kategorier av personuppgifter för att förebygga, upptäcka och utreda bedrägerier.

Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att hantera bedrägeririsker samt uppfylla rättsliga förpliktelser gällande riskhantering.

e) Kontroller och övervakning för att motverka penningtvätt och finansiering av terrorism

Beskrivning
Vi behandlar samtliga kategorier av personuppgifter för att uppnå kundkännedom och för att upptäcka, utreda och rapportera misstankar om penningtvätt och finansiering av terrorism i enlighet med de krav som ställs i gällande lagstiftning. Vi genomför även kontroll av personuppgifter mot sanktionslistor som vi enligt lag eller myndighetsbeslut är skyldig att genomföra för att säkerställa att det inte finns hinder mot att genomföra vissa banktjänster.

Rättslig grund
Rättslig förpliktelse och, till den del behandlingen inte är en uttrycklig rättslig förpliktelse, intresseavvägning baserat på bankens berättigade intresse att uppfylla den rättsliga förpliktelsen.

f) Uppfylla andra administrativa skyldigheter och förpliktelser enligt lag eller myndighetsbeslut

Beskrivning
Vi behöver behandla samtliga kategorier av personuppgifter för att uppfylla vissa rättsliga förpliktelser relaterat till bl.a. bokföringsskyldighet och rapporteringsskyldighet till Skatteverket, Polismyndigheten, Kronofogdemyndigheten, Finansinspektionen och andra svenska myndigheter eller myndigheter i annat EU/EES-land. Vi behöver även behandla personuppgifter för att uppfylla lagstiftning om tillgång till betaltjänster, lagstiftning om riskhantering, bland annat uppgifter om kredittagare och krediter för kvalitetsbedömning av krediter för kapitaltäckningsändamål, samt för att hantera registrerades rättigheter enligt GDPR.

g) Inrapportering till UC, inbegripet missbruksregistret

Beskrivning
Vi rapporterar status på lån och krediter till UC:s kreditregister och i relevanta fall till missbruksregistret.

Rättslig grund
Intresseavvägning baserat på bankens och andra kreditgivares intresse att kunna dela information och fatta bättre kreditbeslut och därmed också motverka överskuldsättning och kreditförluster.

h) Säkerställa nätverks- och informationssäkerhet

Beskrivning
Vi behöver i vissa fall behandla personuppgifter såsom identifieringsinformation, autentiseringsinformation och kundengagemang för att kontrollera din identitet och vad du gör när du använder våra tjänster, för att skydda våra system från obehörig, olovlig eller olaglig användning eller för att motverka störningar. Vi har även viss kamerabevakning och registrerar besökare på bankens kontor.

Rättslig grund
Intresseavvägning baserat på bankens intresse att säkerställa nätverks- och informationssäkerhet samt uppfylla rättsliga förpliktelser gällande säkerhetskrav för banker.

i) Kundanalyser som syftar till att hantera kreditrisk och förbättra vår bedömning av kreditrisk och kreditvärdighet

Beskrivning
Personuppgifter såsom finansiell information och kravinformation används för att löpande bedöma bankens kreditrisker och utveckla bankens kreditmodeller och -processer. Personuppgifter från kreditansökningar används som underlag för analyser för att bedöma kreditrisker och kreditvärdighet. Detta görs i syfte att få ett så träffsäkert underlag som möjligt för framtida krediter.

Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att hantera kreditrisker samt säkerställa bästa möjliga underlag för sina kreditriskmodeller för att fatta bättre kreditbeslut och därmed också motverka överskuldsättning och kreditförluster.

j) Marknads- och kundanalyser för att förbättra våra produkter och tjänster

Beskrivning
Personuppgifter från de flesta kategorier behandlas för utförande av marknads- och kundanalyser som ett led i vår affärsutveckling för att förbättra våra produkter och tjänster och för systemutveckling. För underhålls- och utvecklingsarbete använder vi pseudonymiserade uppgifter (som inte direkt kan kopplas till en specifik individ) där det är möjligt och säkerställer att de personuppgifter som används minimeras.

Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att utveckla sina produkter och tjänster.

k) Marknadsföring, inklusive administration och analys av kampanjer samt hantering av spärrlista

Beskrivning
Vi använder kontaktinformation för utskick av nyhetsbrev och erbjudanden. Vi använder även kundkommunikation, kundengagemang, och i vissa fall kravinformation och finansiell information, för att göra en enkel anpassning av marknadsföringen för att du ska få erbjudanden som är relevanta för just dig. Vi kan även använda sådan information samt digitalt beteende/preferenser för att göra enklare anpassningar av användarupplevelsen så att du bland annat enklare kan hitta det du klickade på senast. Om du begär direktreklamspärr behandlar vi din kontaktinformation för att säkerställa att vi inte skickar någon marknadsföring till dig.

Rättslig grund
Intresseavvägning baserat på bankens berättigade intressen att dels marknadsföra sina produkter till sina kunder, dels säkerställa att direktreklam inte skickas till kunder som begärt spärr.

l) Beteendestyrd marknadsföring och marknadsföring från samarbetsparter

Beskrivning
Om du samtyckt till det, kopplar vi ihop information om digitalt beteende/preferenser med andra uppgifter såsom kundkommunikation, kundengagemang, och i vissa fall kravinformation och finansiell information, så att vi kan anpassa användarupplevelsen och marknadsföringen baserat på en mer ingående analys, exempelvis utifrån på vilka köp du har gjort med ditt kreditkort. Vi kan även, baserat på ditt samtycke, använda dina kontaktuppgifter för att du ska få marknadsföring från någon av våra samarbetsparter, exempelvis försäkringsbolag.

Rättslig grund
Samtycke.

m) Användning av cookies och annan spårningsteknik

Beskrivning
Om du besöker våra webbplatser kan vi komma att samla in dina personuppgifter såsom identifieringsinformation och kundbeteende/-preferenser för att förbättra tjänsterna, se vidare i vår informationstext om cookies.

Rättslig grund
Samtycke samt, till den del behandlingen avser nödvändiga cookies, intresseavvägning baserat på bankens berättigade intresse att uppfylla de ändamål som beskrivs i vår informationstext om cookies.

n) Upprätthålla en god kundservice

Beskrivning
Vi använder bland annat kundkommunikation som underlag för utbildning, kvalitetssäkring och uppföljning av våra medarbetare. Vi kan även kontakta dig för att genomföra kundnöjdhetsundersökning.

Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att upprätthålla en god kundservice och säkerställa att kunderna får ett bra och korrekt bemötande.

o) Fastställande, utövande eller försvar av rättsliga anspråk (såsom klagomål, inkassoåtgärder, tvister och juridiska processer)

Beskrivning
Vi behandlar personuppgifter utifrån vad som är nödvändigt för att kunna hantera klagomål, tvister, säkerställa att betalning sker av förfallen kredit i form av indrivning av skuld via inkasso m.m.

Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att hantera sina rättsliga anspråk. Den rättsliga grunden kan också vara fullgörande av avtal (vid vissa inkassoåtgärder) eller rättslig förpliktelse (vid viss hantering av klagomål) beroende på vad anspråket avser.

p) Försäljning av nödlidande lån

Beskrivning
Vi säljer i vissa fall s.k. nödlidande lån (lån med sena betalningar) till tredje part, som då inom ramen för bibehållen banksekretess tar del av information om lånen både före (huvudsakligen i avidentifierat/maskerat format) och efter försäljningen. Vid försäljning av ditt lån kommer du informeras särskilt om det.

Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att hantera sina kreditrisker.

q) Överlåtelse av lån till dotterbolag inom ramen för s.k. värdepapperisering

Beskrivning
Vi överlåter regelbundet vissa lån och tillhörande rättigheter till dotterbolag inom ramen för s.k. värdepapperiseringar. Värdepapperiseringar är en del av bankens strategi för att uppbära finansiering. I samband med en värdepapperisering fortsätter vi dock att administrera de överlåtna lånen och vara din kontakt i samtliga ärenden som rör ditt lån. Vid överlåtelse av ditt lån kommer du informeras särskilt om det. Se vidare information i avsnitt 9.

Rättslig grund
Intresseavvägning baserat på bankens berättigade intresse att säkra sin finansiering.

3. Vem vi delar vi dina personuppgifter med

Behandling av dina personuppgifter kan, inom ramen för regler om banksekretess, ske av bolag inom vår koncern för ändamål som anges ovan och av företag som koncernen samarbetar med för att utföra sina tjänster, exempelvis UC, Bankgirot, Finansiell ID-teknik (BankID), andra banker, kreditmarknadsbolag, kreditförmedlare, inkassobolag, säkerhetsvärderingsföretag, marknadsförings- och analysföretag, tryckerier och försäkringsinstitut. Utlämnande kan även ske till andra parter som är inblandade i en betalningstransaktion i den mån det är nödvändigt för att genomföra transaktionen på ett säkert sätt. Information om dina krediter lämnas ut till kreditregistret som administreras av UC. Försummelse av betalningsförpliktelser kan komma att rapporteras till missbruksregistret som administreras av UC. Personuppgifter kan även komma att lämnas till berörda myndigheter i enlighet med de rättsliga förpliktelser som banken har, såsom till Skatteverket, Polismyndigheten, Kronofogdemyndigheten, Finansinspektionen och andra svenska myndigheter eller myndigheter i annat EU/EES-land.

Personuppgifter kan även lämnas till externa köpare, finansiärer och dess rådgivare för att hantera verksamhetsförändringar såsom sammanslagning eller försäljning och finansiering av verksamheten. Du kan läsa mer om hur dina personuppgifter behandlas vid överlåtelse av lån till våra dotterbolag (vid s.k. värdepapperisering) under avsnitt 9 nedan.

4. Hur länge vi sparar dina personuppgifter

Dina personuppgifter sparas endast så länge det är nödvändigt för de ändamål för vilka banken behandlar uppgifterna (se ovan avsnitt 2.2). Det innebär bl.a. att de personuppgifter som har betydelse för det avtalsrättsliga förhållandet mellan dig och banken kommer att sparas så länge det finns ett avtalsförhållande, exempelvis ett konto för insättning, utbetald kredit eller leverantörsavtal, och därefter i högst 10 år med hänsyn till regler om preskription.

Personuppgifter som behandlas för att uppfylla kraven i penningtvättslagstiftningen sparas normalt i 5 år efter att kundrelationen har upphört, men fristen kan i vissa fall förlängas upp till 10 år. Om någon affärsförbindelse inte har uppstått mellan dig och banken, räknas tiden istället från tidpunkten då åtgärden eller transaktionen, som utlöste kraven i penningtvättslagstiftningen, genomfördes.

Personuppgifter som behandlas för att uppfylla kraven i bokföringslagstiftning sparas i 7 år i enlighet med svensk lagstiftning och i vissa fall i 10 år i enlighet med norsk lagstiftning, som gäller för vår filial.

Om du inte ingår avtal med oss, exempelvis om du inte får en kredit som du sökt, sparas personuppgifterna som vi samlat in i samband med ansökan normalt i 3 till 6 månader beroende på kreditprodukt (i identifierbart skick i ansökningssystemet) räknat från dagen då du fick ett besked från oss. Uppgifterna kan i vissa fall komma att sparas längre på grund av exempelvis penningtvättlagstiftningen eller som nämnts ovan under 2.2.i, som analysunderlag (i pseudonymiserat format) för framtagande av kreditriskmodeller. Sådant analysunderlag sparas i högst 6 år om det inte finns ett avtalsförhållande. För kunder som vi har avtalsförhållande med sparas analysunderlaget under avtalsförhållandet och därefter i högst 10 år.

För Nordax Bank raderas inspelade telefonsamtal normalt efter 7 dagar men samtal kan i vissa fall sparas längre om det behövs för att dokumentera ett avtal (5 år) eller för utbildnings- och kvalitetssäkring samt hantering av klagomål eller annat utredningsbehov (3 mån).

För Bank Norwegian raderas inspelade telefonsamtal efter 30 dagar.

5. Profilering och automatiserat beslutsfattande

Profilering innebär en automatisk behandling av befintliga eller potentiella kunders personuppgifter som används för att bedöma vissa personliga egenskaper hos dem, för att analysera eller förutsäga exempelvis dennes ekonomiska situation, personliga preferenser, intressen och vistelseort. Profilering används av oss för exempelvis marknads- och kundanalyser, systemutveckling, marknadsföring, vid automatiserade beslut (se nedan) och vid transaktionsmonitorering för att motverka bedrägerier.

Vid ansökan om privatlån, bolån, kreditkort eller vid utökning av befintlig kredit använder vi oss av automatiserat beslutsfattande, som även omfattar profilering, som kan få betydande påverkan på kunden i form av ett avslag på en kreditansökan. De automatiserade besluten baseras på de ekonomiska uppgifter kunden lämnar i sin ansökan, uppgifter som vi inhämtar från kreditupplysningsföretag och andra externa register (se ovan under 1.2) samt eventuell intern information om kunden (t.ex. betalningshistorik eller tidigare avslag). Den information vi samlar in utvärderas automatiskt mot våra interna modeller och minimikrav gällande likviditet och betalningsförmåga. Detta avgör om ansökan kommer att beviljas och om aktuellt, kreditens storlek. Vi är skyldiga att bedöma kreditvärdigheten hos personer som söker kredit hos oss, och det automatiserade beslutsfattandet är nödvändigt för att avtal ska kunna ingås på ett objektivt och effektivt sätt.

I de fall ett kreditbeslut har grundats enbart på automatiserad behandling, har kunden alltid rätt att få beslutet omprövat av en av våra handläggare. Om du har frågor om vårt automatiserade beslutsfattande kan du kontakta oss, se kontaktuppgifter i avsnitt 8.

6. Säkerhet och tredjelandsöverföringar

En trygg och säker hantering av din personliga information är central för vår verksamhet. Vi använder lämpliga tekniska, organisatoriska och administrativa säkerhetsåtgärder för att skydda dina personuppgifter mot bl.a. förlust och obehörig åtkomst. Endast de personer hos oss som behöver behandla personuppgifter har tillgång till uppgifterna. I de fall vi behöver överföra personuppgifter till samarbetspartners eller leverantörer, säkerställer vi genom avtal och kontroller att även motparten upprätthåller lämplig skyddsnivå.

Personuppgifter överförs endast till länder utanför EU respektive EES (så kallat tredjeland) om det är nödvändigt och enbart efter säkerställande att överföring sker i enlighet med de regler som gäller för tredjelandsöverföring. Om en tjänsteleverantör används i ett tredjeland, t.ex. i samband med teknisk support, är leverantören tvungen att, utöver de förpliktelser som framgår av våra skriftliga instruktioner, följa den europeiska standarden för dataskydd exempelvis genom att underteckna EU-kommissionens standardavtalsklausuler och vid behov vidta kompletterande skyddsåtgärder. En överföring till ett tredjeland kan även baseras på att EU-kommissionen har fattat beslut om att landet har en adekvat skyddsnivå för personuppgifter (adekvansbeslut).

Information om vilka länder som EU-kommissionen har fattat adekvansbeslut för finns här: Adequacy decisions | Europeiska kommissionen (europa.eu)

EU-kommissionens standardavtalsklausuler finns tillgängliga här: Standard Contractual Clauses (SCC) | Europeiska kommissionen (europa.eu)

Du kan kontakta dpo@nordax.se eller dpo@banknorwegian.se för att få mer information om överföringar till tredjeland och våra skyddsåtgärder vid sådana överföringar.

7. Dina rättigheter och hur du begär spärr mot direktmarknadsföring

Här beskrivs vilka rättigheter du har enligt GDPR och hur du gör om du vill utnyttja någon av rättigheterna.

Rätt till tillgång – du har rätt att få veta vilka personuppgifter som vi behandlar om dig och kan begära en kopia av dessa (s.k. registerutdrag).
Rätt till rättelse - du har rätt att få felaktiga personuppgifter rättade.
Rätt till radering – du har rätt att under vissa förutsättningar få dina personuppgifter raderade.
Rätt till begränsning – du har rätt att kräva att vi i vissa fall begränsar vår behandling av dina personuppgifter, t.ex. under tiden vi kontrollerar om uppgifterna ska rättas eller raderas.
Rätt till invändning – i de fall vi grundar vår behandling på vårt berättigade intresse, baserat på en intresseavvägning, har du rätt att invända mot personuppgiftsbehandlingen. Vi kommer då att göra en ny intresseavvägning.
Rätt till dataportabilitet – du har rätt att under vissa förutsättningar få ut dina personuppgifter i ett maskinläsbart format och rätt att överföra uppgifterna till en annan personuppgiftsansvarig.

Det är inte alltid möjligt att radera dina uppgifter eller begränsa behandlingen av dem, exempelvis när vi behöver uppgifterna för att administrera dina avtal eller för att uppfylla lagkrav. I vissa fall kan vi inte heller lämna ut uppgifter i samband med ett registerutdrag, t.ex. uppgifter som omfattar någon annan, affärshemligheter eller om uppgifterna inte får lämnas ut enligt lag. Vi kommer att bedöma din begäran i varje enskilt fall.

För att utnyttja någon av dina rättigheter kan du alltid kontakta oss genom de kontaktuppgifter som anges i avsnitt 8. Vi har även specifika processer för våra olika varumärken som du kan använda enligt nedan. Ditt registerutdrag kommer att omfatta alla uppgifter vi behandlar, oavsett varumärke, om det inte av din begäran framgår att du önskar informationen för ett specifikt varumärke.

Nordax Bank:
Om du vill begära ett registerutdrag, dvs. få information om vilka personuppgifter vi behandlar om dig, eller om du vill få uppgifter raderade eller rättade, använd följande blankett: Begäran om tillgång, rättning eller radering av personuppgifter.pdf

Här kan du avregistrera/spärra dig från reklamutskick från Nordax Bank. Om du meddelar oss om sådan spärr kommer vi att lagra denna personuppgift om dig. Om du inte vill att vi behandlar dina personuppgifter för detta ändamål kan du istället spärra dig för direktreklam via NIX adresserat som du hittar här.

Om du vill begära spärr mot direktmarknadsföring för tilläggsprodukter eller om du vill utnyttja någon annan av dina rättigheter enligt GDPR, var vänlig kontakta oss på 08-508 808 00 eller DPOrequest@nordax.se.

Bank Norwegian:
Du kan själv ändra dina inställningar för reklamutskick från Bank Norwegian på din internetbank som du når genom att logga in via vår hemsida. Om du vill utnyttja någon annan av dina rättigheter, kontakta vår kundtjänst på 0770-45 77 66 eller dpo@banknorwegian.se.

8. Kontakt och klagomål

Om du vill utnyttja någon av dina rättigheter, se specifika processer för våra olika varumärken ovan i avsnitt 7. Du kan också alltid nå oss på kontaktuppgifterna nedan och är välkommen att kontakta oss om du har några frågor kring vår behandling av dina personuppgifter.

NOBA Bank Group AB (publ)
Adress Nordax Bank: Box 23124, 104 35 Stockholm
Adress Bank Norwegian: Postboks 110, 1325 Lysaker, Norge
Tel Nordax Bank: 08-508 808 00
Tel Bank Norwegian: 0770-45 77 66
E-post Nordax Bank: DPOrequest@nordax.se, dpo@nordax.se
E-post Bank Norwegian: dpo@banknorwegian.se

Om du har synpunkt eller klagomål på hur vi behandlar dina personuppgifter är du välkommen att kontakta vårt dataskyddsombud på dpo@nordax.se eller dpo@banknorwegian.se eller via övriga kontaktuppgifter ovan. Du har även rätt att lämna klagomål till Integritetsskyddsmyndigheten, se www.imy.se. Vi uppmanar dig dock att kontakta oss först, så att vi kan titta på ditt ärende och klargöra eventuella missförstånd.

9. Behandling relaterad till överlåtelse av lån till dotterbolag inom ramen för s.k. värdepapperiseringar

Vi överlåter regelbundet vissa lån till dotterbolag inom ramen för s.k. värdepapperiseringar, se ovan avsnitt 2.2.q. Värdepapperiseringar är en del av bankens strategi för att uppbära finansiering. Om ditt lån skulle bli föremål för en sådan överlåtelse kommer du att informeras särskilt om det. Här kan du läsa mer om vilken personuppgiftsbehandling en sådan överlåtelse innebär och dotterbolagets och externa parters personuppgiftsansvar i samband med en överlåtelse.

Information om behandling och personuppgiftsansvar

I samband med överlåtelsen utses banken att administrera lånet och vi kommer därför fortsatt att vara personuppgiftsansvariga för den behandling av personuppgifter som administreringen av lånet innebär. Vi kommer även fortsatt vara din kontakt i samtliga ärenden som rör ditt lån (till dess att du får meddelande om annat). 

I samband med överlåtelsen kan ditt lån komma att pantsättas av dotterbolaget till förmån för tredje part. Om ditt lån skulle bli föremål för en sådan pantsättning kommer du att informeras särskilt om det.

I samband med överlåtelsen av lånet kommer vi att föra över de uppgifter vi har om lånet, inklusive de personuppgifter som vi har om dig kopplade till lånet, till vårt dotterbolag för att möjliggöra för dotterbolaget att hantera det överlåtna lånet och pantsätta det som säkerhet för dess finansiering.

Med anledning av överlåtelsen av ditt lån och dotterbolagens pantsättning av detsamma kommer vi även regelbundet att rapportera eller ge åtkomst till viss information om lånet till följande externa mottagare: (i) de långivande externa aktörerna, potentiella investerare och Finansinspektionen, samt (ii) leverantörer av tjänster för administrationen av värdepapperiseringen, inklusive men inte begränsat till s.k. säkerhetsagenter, revisionsbolag och andra tredje parter som behöver ta del av informationen för att upprätta och förvalta värdepapperiseringen. Vi säkerställer alltid att de uppgifter som delas minimeras till det som är nödvändigt och att lämpliga säkerhetsåtgärder även i övrigt vidtas. Överföringen till mottagarna under (i) grundar sig på vår rättsliga skyldighet att lämna viss rapportering enligt EU:s förordning om värdepapperisering och överföringen till mottagarna under (ii) grundar sig på att behandlingen är nödvändig för ändamål som rör våra berättigade intressen (intresseavvägning). 

I samband med att vi överlåter ditt lån och överför personuppgifter blir dotterbolaget också personuppgiftsansvarig för sin egen behandling av dina personuppgifter för sina egna ändamål. Vi beskriver i de följande avsnitten den behandling av personuppgifter som utförs av våra dotterbolag med anledning av överlåtelse och pantsättning av lån. 

Våra dotterbolags behandling av personuppgifter i samband med överlåtelse och pantsättning av lån 

9.1 Personuppgiftsansvarig 
Våra dotterbolag är vart och ett personuppgiftsansvarig för den behandling som beskrivs nedan. I samband med en överlåtelse av ditt lån till ett dotterbolag har du fått information om detta och om vilket dotterbolag som, utöver banken, är personuppgiftsansvarig för behandlingen av dina personuppgifter. Om du vill veta vilket av dotterbolagen som äger ditt lån är du välkommen att kontakta oss genom kontaktuppgifterna nedan. 

9.2 Personuppgifter dotterbolagen behandlar om dig, ändamålet med behandlingen och rättslig grund 
Det relevanta dotterbolaget kommer att behandla de personuppgifter som är kopplade till lånet och som har överförts från banken. Personuppgifterna kommer att behandlas för följande ändamål, för att:  

(i) pantsätta ditt lån som säkerhet för dotterbolagets finansiering, 
(ii) uppfylla dess förpliktelser enligt bokföringslagen och EU:s värdepapperiseringsförordning, 
(iii) hantera din betalning av lånet, samt eventuellt 
(iv) överlåta lånet till ett annat bolag inom NOBA-koncernen för att det ska kunna uppbära finansiering hos, och i samband med det pantsätta lånet till, en ny extern långivare. 

Den rättsliga grunden är för ändamål (i) och (iv) är intresseavvägning baserat på dotterbolagets berättigade intresse att säkra sin finansiering, för ändamål (ii) att uppfylla dotterbolagets rättsliga förpliktelser och för ändamål (iii) att uppfylla dess förpliktelser enligt avtalet med dig. 

9.3 Överföring av personuppgifter 
Dotterbolaget kommer att överföra dina personuppgifter till den/de externa aktör/er från vilken dotterbolaget uppbär finansiering med ditt lån som säkerhet samt andra externa parter involverade i upprättandet och förvaltningen av värdepapperiseringen. Dotterbolaget kan exempelvis överföra personuppgifter till en tredje part för administrering av säkerheter, en så kallad säkerhetsagent, som är separat personuppgiftsansvarig. I vissa fall använder dotterbolaget också en tredje part för att förvara eventuella fysiska skuldebrev för dotterbolagets räkning. Den behandlingen regleras i så fall av ett personuppgiftsbiträdesavtal. 

Därutöver kan personuppgifter, inom ramen för regler om banksekretess, föras över inom NOBA-koncernen. 

Personuppgifter kan i vissa fall behandlas utanför EU/EES (i s.k. tredjeland). I den utsträckning tredjelandet inte är föremål för ett beslut om adekvat skyddsnivå tillämpar dotterbolagen EU-kommissionens standardavtalsklausuler för alla tredjelandsöverföringar. Vid behov har kompletterande skyddsåtgärder vidtagits. 

Information om vilka länder som EU-kommissionen har fattat adekvansbeslut för finns här: Adequacy decisions | Europeiska kommissionen (europa.eu). EU-kommissionens standardavtalsklausuler finns tillgängliga här: Standard Contractual Clauses (SCC) | Europeiska kommissionen (europa.eu).

Om du vill få mer information om eventuella överföringar till tredjeland från ett visst dotterbolag och skyddsåtgärder vid sådana överföringar, se kontaktuppgifter nedan.

9.3 Så länge sparar dotterbolagen dina personuppgifter 
Dotterbolagen sparar inte dina personuppgifter längre än nödvändigt. Det innebär bl.a. att dina personuppgifter kommer att sparas så länge det finns ett avtalsförhållande och därefter i högst 10 år med hänsyn till regler om preskription. Andra tidsfrister kan också gälla när personuppgifter sparas för andra syften än på grund av avtalsförhållandet och är för att banken ska uppfylla gällande lagstiftning avseende exempelvis motverkade av penningtvätt (upp till 10 år) och bokföring (7 år). 

9.4 Dina rättigheter 
Dina rättigheter beskrivs ovan i avsnitt 7.

9.5 Kontakt 
Om du har frågor om hur något visst dotterbolag behandlar dina personuppgifter är du välkommen att kontakta vårt dataskyddsombud, dpo@nordax.se eller via telefon 08-508 808 00. 