Personvernerklæring
Lillesands Sparebank (heretter Banken) vil nedenfor gi generell informasjon om sin behandling av personopplysninger.
Behandlingsansvarlig
Behandlingsansvarlig for personopplysningene vi behandler om deg er Lillesands Sparebank ved administrerende banksjef. Kontaktinformasjonen til Lillesands Sparebank er:
Adresse: Postboks 24, 4791 Lillesand
E-post: [email protected]
Telefon: 37 26 92 00
Organisasjonsnummer: 937 893 655
Lillesands Sparebanks personvernombud kan nås på [email protected].
Regulering av bankens behandling av personopplysninger
Banken er underlagt personopplysningsloven og personvernforordningen General Data Protection Regulation 2016/679 ved sin behandling av personopplysninger. Banken har også tilsluttet seg Finans Norges bransjenorm for behandling av personopplysninger i bank og kredittforetak.
Banken vil i hovedsak innhente personopplysningene som registreres direkte fra deg som kunde. Ved innsamling av opplysninger fra tredjepersoner (for eksempel fra andre banker/finansforetak og kredittopplysningsforetak) vil du bli varslet, med mindre innsamlingen er lovbestemt, varsling er umulig eller uforholdsmessig vanskelig eller det er på det rene at du allerede kjenner til den informasjon varselet vil inneholde.
Dersom banken ønsker å innhente opplysninger fra deg som ikke er nødvendige for ivaretakelse av avtaleforholdet, skal banken først informere deg om at det er frivillig å gi fra seg opplysningene og hva opplysningene vil bli brukt til. Vi vil i slike tilfeller innhente ditt samtykke til behandlingen av personopplysninger.
Kategorier av personopplysninger Lillesands Sparebank behandler
Banken behandler følgende kategorier av personopplysninger:
- identifikasjonsinformasjon som navn, fødselsnummer og kopi av legitimasjon
- kontaktopplysninger som telefonnummer, adresse og e-postadresse
- finansiell informasjon som kunde- og produktavtaler, transaksjonsdata og kreditthistorikk
- opplysninger for å ivareta lovpålagte plikter som hvitvasking og rapportering til offentlige myndigheter
Hvor vi innhenter informasjonen fra
Vi vil behandle personopplysninger du gir direkte til oss, eksempelvis i et søknadsskjema, ved bruk av våre betalingstjenester eller andre elektroniske løsninger, ved besøk på vår nettside, telefonopptak, ved kameraovervåkning eller henvendelser til vårt kundesenter eller andre deler av virksomheten.
Vi innhenter også personopplysninger om deg fra offentlig tilgjengelige kilder som for eksempel folkeregisteret og andre eksterne kilder som kredittopplysningsbyrå.
Behandlingens formål /hvorfor behandler vi personopplysninger om deg
Formålet med bankens behandling av personopplysninger er i første rekke kundeadministrasjon, finansiell rådgivning, fakturering og gjennomføring av bank- og finansieringstjenester i tråd med de avtalene vi har inngått med deg. Banken vil for øvrig behandle personopplysninger i den grad lovgivningen pålegger eller gir banken adgang til slik behandling, eller kunden har samtykket til slik behandling. Eller dersom behandlingen er nødvendig for å oppfylle en berettiget interesse for Banken.
Utover dette behandles personopplysninger til følgende formål:
- Kundeadministrasjon, fakturering og gjennomføring av bank- og finansieringstjenester
- Markedsføring
- Risikoklassifisering av kunder og kredittporteføljer
- Forebygging og avdekking av straffbare forhold
- Sikkerhet
- Utvikling av nye og eksisterende tjenester
- Deling av kundeopplysninger mellom foretak i samarbeidende gruppe
- Dokumentere meldinger om tap av betalingsinstrument
- Oppfyllelse av bransjespesifikk regulering
Rettslig behandlingsgrunnlag
- Nødvendig for å oppfylle avtale med deg
Formålet med Banken sin behandling av personopplysninger er i første rekke kundeadministrasjon, finansiell rådgivning, fakturering og gjennomføring av bank-, forsikrings- og finansieringstjenester i tråd med de avtalene vi har inngått med deg.
- Rettslige forpliktelser
Banken behandler personopplysninger for å oppfylle sine forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger.
Eksempler på behandling basert på rettslige forpliktelser:
– Forebygging og avdekking av straffbare handlinger, som hvitvasking av penger, finansiering av terrorisme og bedrageri
– Sanksjonsovervåkning
– Bokføringskrav
– Rapportering til skattemyndigheter, politimyndigheter, namsmyndighet og tilsynsmyndigheter
– Krav og forpliktelser knyttet til betalingstjenester
– Andre forpliktelser knyttet til tjeneste- eller produktspesifikk lovgivning, for eksempel verdipapirer, fond, pantesikkerhet, forsikring eller boliglån
- Berettiget interesse
Banken kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen må være lovlig, definert på forhånd, reell og saklig begrunnet i virksomheten.
- Samtykke
Dersom ikke annet behandlingsgrunnlag foreligger, vil Banken sin behandling av personopplysninger basere seg på et frivillig, uttrykkelig og informert samtykke fra deg som kunde. Du vil alltid bli bedt om å avgi samtykke dersom det er nødvendig å behandle sensitive kategorier av personopplysninger (for eksempel helseopplysninger, opplysninger om religiøs overbevisning, legning, etniske opprinnelse, etc.)..
Dersom du har avgitt samtykke til Banken, kan dette på hvilket som helst tidspunkt trekkes tilbake. Trekker du tilbake ditt samtykke, vil behandlingen opphøre, og personopplysningene vil slettes dersom oppbevaring av opplysningene er basert utelukkende på avgitt samtykke. Informasjon om formål, behandlingsaktiviteter og tilbakekalling av det aktuelle samtykket vil gis når du blir bedt om å avgi samtykke i de ulike kanalene til Banken.
Utlevering av personopplysninger
Personopplysninger om deg vil bli utlevert til offentlige myndigheter, herunder Finanstilsynet, skattemyndigheter og politiet, samt andre utenforstående når dette følger av lovbestemt opplysningsplikt eller opplysningsrett. Dersom lovgivningen tillater det og bankens taushetsplikt ikke er til hinder, vil personopplysninger også kunne bli utlevert til andre banker og finansforetak samt samarbeidspartnere for bruk innenfor de formål som er angitt for behandlingen.
Utlevering vil også kunne skje til andre parter som er involvert i en betalingstransaksjon så langt dette er nødvendig for å gjennomføre transaksjonen på en sikker måte. Overføring av personopplysninger til bankens databehandlere anses ikke som utlevering.
Banken vil også utlevere personopplysninger til annet foretak i samarbeidende
gruppe, så fremt utlevering er nødvendig for å tilfredsstille styrings-, kontroll- eller rapporteringskrav fastsatt i eller i medhold av lov.
Banken vil som deltaker i en samarbeidende gruppe kunne utlevere fødselsnummer og nøytral kundeinformasjon til øvrige relevante selskap i den samarbeidende gruppen.
Ved utføring av betalingsoppdrag til eller fra utlandet vil tilhørende personopplysninger bli utlevert utenlandsk bank og/eller dennes medhjelper.
Overføring av personopplysninger til utlandet
Når Banken overfører personopplysninger til en leverandør, er det nødvendig med en databehandleravtale mellom Banken og leverandøren. Dette gjelder uavhengig av om Banken bruker databehandlere i Norge eller i andre land innen EØS-området.
I noen tilfeller overfører Banken personopplysninger til organisasjoner i land utenfor EØS-området, for eksempel til databehandlere. Slike overføringer kan bare gjøres hvis den behandlingsansvarlige eller databehandleren har gitt nødvendige garantier og under forutsetning av at individene sikres håndhevbare og effektive rettigheter.
Det kreves altså et gyldig grunnlag for slik overføring i henhold til GDPR, og noen av følgende vilkår må være oppfylt:
- EU-kommisjonen har besluttet at det foreligger et tilstrekkelig beskyttelsesnivå i det aktuelle landet.
- Det er truffet andre hensiktsmessige sikkerhetstiltak, og/eller en databehandler har gitt nødvendige garantier om at personopplysningene vil bli behandlet på en trygg måte, for eksempel ved bruk av standardkontrakter (EUs standardklausuler) som er godkjent av EU-kommisjonen, eller databehandleren har gyldige bindende konsernregler (BCR).
- Det dreier seg om unntak i spesielle tilfeller, for eksempel for å oppfylle en avtale med deg eller tilfeller der du gir ditt samtykke til den bestemte overføringen.
Bruk av databehandlere
Banken bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på våre vegne. I slike tilfeller vil Banken inngå avtaler med databehandler for å sikre at behandlingen av opplysningene er i samsvar med personvernregelverket og bankens krav til behandling av personopplysninger. Bruken av databehandlere er ikke å regne som en utlevering av personopplysninger.
Vi har inngått avtaler med utvalgte leverandører, og dette inkluderer behandling av personopplysninger på vegne av oss. Eksempler på dette er leverandører av IT-utvikling, vedlikehold, drift og support.
Lagringstid
Banken vil slette eller anonymisere personopplysninger om deg når Banken ikke lenger har et gyldig formål og behandlingsgrunnlag for å behandle opplysningene.
Dette betyr for eksempel at personopplysninger som vi behandler på grunnlag av ditt samtykke slettes, hvis du trekker ditt samtykke og vi ikke har andre lovlige grunner til å oppbevare opplysningene.
Personopplysninger vi behandler for å oppfylle en avtale med deg slettes når avtalen er oppsagt og alle plikter som følger av avtaleforholdet er oppfylt, med mindre vi da har andre lovlige grunner til å oppbevare opplysningene.
Dersom vi behandler personopplysninger for å oppfylle en rettslig forpliktelse, eksempelvis lagringsplikten i bokføringsregelverket eller dokumentasjonsplikten i henhold til hvitvaskingsregelverket, så skal opplysningene slettes når forpliktelsen er oppfylt. Dette med mindre vi har andre lovlige grunner til å oppbevare opplysningene.
Personopplysninger som behandles for å ivareta en berettiget interesse for Banken skal slettes når det ikke lenger er mulig å dokumentere en berettiget interesse som må veie tyngre enn hensynet til den registrerte. Dette kan for eksempel være fordi behovet for opplysningene ikke lenger er like sterkt, eller fordi opplysningene etter en tid blir utdaterte.
Oppbevaringsforpliktelsene vil variere i henhold til lovgivning.
Noen konkrete eksempler på dette er:
- Forebygge, avdekke og granske hvitvasking av penger, finansiering av terrorisme og svindel: minst fem år etter opphør av forretningsforbindelsen eller utførelsen av en enkelt transaksjon
- Bokføringslover: opptil ti år
- Krav og forpliktelser vedrørende betalingstjenester: fem år
- Andre tjeneste- eller produktspesifikke bestemmelser om verdipapirer, sikkerhet, forsikring eller boliglån: inntil sju år
- Lånetilbud: Opptil tre måneder etter utløpet av tilbudet
- Nærmere informasjon om gjennomføring av en avtale: opptil ti år etter avslutningen av et kundeforhold, til bruk som dokumentasjon mot eventuelle krav
Dine rettigheter når vi behandler personopplysninger om deg
Du kan ved henvendelse til banken kreve innsyn i registrerte personopplysninger, beskrivelse av hvilke typer opplysninger som behandles og nærmere informasjon om bankens behandling av opplysningene.
Opplysningene skal gis skriftlig, og elektronisk dersom forespørselen er elektronisk. I visse tilfeller kan det stilles opp unntak fra retten til innsyn, dette er typisk der vi er lovpålagt taushetsplikt eller hvor det er påkrevd å hemmeligholde informasjonen av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger. Unntaket gjelder også dersom opplysninger kun finnes i dokumenter utarbeidet for den interne saksforberedelse og unntak fra innsynsretten er nødvendig for å sikre en forsvarlig saksbehandling.
Videre har du rett til å få korrigert opplysninger, eksempelvis dersom vi har registrert feilaktige eller ufullstendige opplysninger om deg.
Du har også rett til å be om at opplysningene dine slettes, der hvor opplysningene ikke lenger er nødvendige for formålet de ble samlet inn for eller hvor samtykke til behandlingen trekkes tilbake. Dette innebærer ikke plikt til å slette opplysningene dersom det fortsatt er behov for å behandle opplysningen for formålet. Tilsvarende gjelder dersom Banken fortsatt har behov for opplysningene for å oppfylle en rettslig forpliktelse eller for å fastsette, gjøre gjeldende eller forsvare et rettskrav.
Dersom du mener at opplysningene som behandles om deg ikke er riktige eller at behandlingen er ulovlig uten at du ønsker at opplysningene skal slettes, eller du har behov for opplysningene for å fastsette, gjøre gjeldende eller forsvare et rettskrav uten at behøver opplysningene eller du har gjort innsigelser mot behandlingen av opplysningene, kan du også kreve at behandlingen av opplysningene begrenses.
I de tilfeller hvor en behandling av dine personopplysninger er basert på vår berettigede interesse eller opplysningene benyttes for direkte markedsføring og profilering i forbindelse med slik markedsføring, har du rett til å gjøre innsigelser mot behandlingen.
Til slutt har du, i visse tilfeller, krav på dataportabilitet. Det innebærer at du har krav på å få personopplysninger du har avgitt til oss utlevert i et enkelt, maskinlesbart format. Kravet gjelder hvor behandlingen er basert på samtykke eller avtale og hvor behandlingen av opplysningene er automatisert. Du kan også få disse opplysningene overført direkte til en annen behandlingsansvarlig der hvor dette er teknisk mulig
For å be om innsyn i dine personopplysninger må du sende begjæring om innsyn til Banken.
Begjæring om innsyn må sendes til banken via nettbanken, via post eller leveres fysisk i banken. (Personopplysninger skal ikke sendes pr. e-post.)
For å kunne besvare din henvendelse ber vi deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi kan besvare din henvendelse. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg og ikke til andre som utgir seg for å være deg.
Sikkerhet ved behandlingen
Å behandle dine personopplysninger trygt og sikkert er helt sentralt for vår virksomhet. Vi bruker egnede tekniske, organisatoriske og administrative sikkerhetstiltak for å beskytte informasjonen mot tap, misbruk, utilsiktet tilgang, utlevering, endring eller ødeleggelse.
Bruk av automatiserte avgjørelser
Vi kan i noen tilfeller bruke automatiserte avgjørelser hvis dette er godkjent ved lov, dersom du har gitt et uttrykkelig samtykke til det eller dersom det er nødvendig for utførelsen av en avtale, for eksempel automatiserte kredittavgjørelser i våre online-kanaler. Du kan når som helst be om en manuell behandling i stedet, gi din mening eller bestride en avgjørelse som utelukkende er basert på automatisert behandling, inkludert profilering, dersom en slik avgjørelse vil ha rettslige følger eller på annen måte påvirke deg i betydelig grad.
Bruk av informasjonskapsler (cookies) og lignende teknologier
Se eget område på banken sine nettsider om informasjonskapsler.
Klager på vår behandling av personopplysninger
Hvis du har spørsmål om vår behandling av personopplysninger eller ønsker å klage på denne, kan du ta kontakt med vårt personvernombud [email protected].
Eventuelle klager på Bankens behandling av personopplysninger om deg, kan også rettes til Datatilsynet. Du finner informasjon om dette på www.datatilsynet.no
Endringer
Hvis det skulle skje endring av våre tjenester eller endringer i regelverket om behandling av personopplysninger, kan det medføre forandring i informasjonen du er gitt her må oppdateres eller endres. Oppdatert informasjon vil alltid finnes lett tilgjengelig på vår nettside.