Archives

Categories

  • Inga kategorier

Regler för behandling av kunders personuppgifter 

(HOLM BANK AS)

Gäller fr.o.m. 01.06.2020

1. INNEHÅLLSFÖRTECKNING

1.1. Del I – beskrivning över personuppgiftsbehandling

1.2. Del II – den registrerades rättigheter

1.3. Del III – övriga bestämmelser

DEL I

Beskrivning över personuppgiftsbehandling

1. PERSONUPPGIFTSANSVARIG OCH KONTAKTUPPGIFTER

Holm Bank AS, organisationsnummer 14080830 (nedan kallat Banken)

Posti 30, 90504 Haapsalu, Estland

www.holmbank.ee

Dataskyddsombud: Maria Muljarova, dataskydd@holmbank.se

2. TYPER AV PERSONUPPGIFTER

2.1. Allmänna uppgifter (namn, personnummer, rättshandlingsförmåga, kön, födelsedatum, civilstånd, nationalitet, ursprungsland, representationsrätt, skattehemvist och tillämpad risknivå).

2.2. Kontaktuppgifter (telefonnummer, e-postadress, postadress och hemvist).

2.3. Uppgifter om personlegitimation (kopia på legitimationen, typ, giltighet, status, utfärdare, uppgifter om digital identifiering).

2.4. Uppgifter om inkomst och ursprung för egendom (verksamhetsområde och bransch, arbetsgivare, anställningstid, storlek och källor av inkomst).

2.5. Uppgifter om ekonomisk ställning (eventuell skatteskuld och dess storlek, eventuella skulder och deras storlek, finansiellt beteende, uppgifter om betalningsstörningar, relaterade konkursförfaranden, uppgifter om kreditvärdighet, äganderätter).  

2.6. Uppgifter om politiskt utsatt ställning, sanktioner och personer med anknytning till juridiska personer (status som person i politiskt utsatt ställning, tillämpning av sanktioner, anknytningar till juridiska personer).

2.7. Uppgifter relaterade till finansiella tjänster samt till användning av webbplatser och applikationer och kundkommunikation (inlämnade ansökningar och ingångna avtal, avtalsnummer, bankkontouppgifter, IP-adress, uppgifter om användning av webbplatser och sociala medier, uppgifter om beviljade betalningsmedel och transaktioner med dessa, applikationspreferenser, marknadsföringspreferenser, samtalsinspelningar).

3. RÄTTSLIGA GRUNDER OCH SYFTEN FÖR BEHANDLING AV PERSONUPPGIFTER

3.1. Fullgörande av ett avtal tecknat med personen eller utförande av nödvändiga åtgärder för ingående av ett avtal med personen, artikel 6 1 st b) i dataskyddsförordningen:

Syften:

3.1.1. beslutsfattande om v av en tjänst och specificering av avtalsvillkor;

3.1.2. tillhandahållande av en tjänst och fullgörande av avtal;

3.1.3. sändning av meddelanden relaterade till tjänsten eller ansökningen om tjänsten.

3.2. Fullgörande av rättsliga förpliktelser, artikel 6 1 st c) i dataskyddsförordningen:

Syften:

3.2.1. efterlevnad av principen om kundkännedom;

3.2.2. bekämpning av penningtvätt och finansiering av terrorism;

3.2.3. efterlevnad av principen om ansvarsfull kreditgivning;

3.2.4. fullgörande av ett kreditinstituts rapporteringsskyldighet;

3.2.5. efterlevnad av ett kreditinstituts riskhanteringskrav;

3.2.6. fullgörande av lagringsskyldigheten.

3.3. Bankens berättigade intresse, artikel 6 1 st f) i dataskyddsförordningen:

Syften:

3.3.1. företagsförvaltning och produktutveckling;

3.3.2. kundservice och säkerställande av dess kvalitet och kundnöjdhet (bl.a. inspelning av samtal);

3.3.3. kontroll och specificering av uppgifter;

3.3.4. hantering av reklamationen och begäranden;

3.3.5. erbjudanden i marknadsföringssyfte utifrån tidigare kundrelation;

3.3.6. riskhantering samt tillämpning av säkerhetskrav och åtgärder för riskhantering;

3.3.7. fullgörande av allmänna rättsliga förpliktelser och efterlevnad av tillsynsmyndigheters råd och riktlinjer; 

3.3.8. förebyggande av skada för Banken och dess kunder och samarbetspartners;

3.3.9. utveckling och funktionalitet av IT-lösningar samt säkerställande av hanterbarhet, integritet och konfidentialitet av uppgifter;

3.3.10. skydd av Bankens intressen vid rättsliga tvister och skuld- och ersättningskrav.

3.4. Den registrerades eller en tredje parts berättigade intresse, artikel 6 1 st f) i dataskyddsförordningen:

Syften:

3.4.1. att undvika skada för den registrerade eller en tredje part.

3.5. Grunder till den registrerades samtycke, artikel 6 1 st a) i dataskyddsförordningen:

Syften:

3.5.1. syften angivna i samtycket.

4. COOKIEPOLICY

Information om användning av Bankens webbplatser och applikationer finns publicerad på respektive webbplats eller applikation av Banken.

5. PERSONUPPGIFTSKÄLLOR

5.1. Den registrerade (uppgifter inlämnade vid ansökan, kundkommunikation samt användning av tjänster, webbplatser och applikationer).

5.2. Statliga och offentliga register (bl.a. register skapade för att möjliggöra bedömning av personers kreditvärdighet eller i liknande syfte).

5.3. En tredje part eller en myndighet som utför ett offentligt uppdrag.

5.4. Offentligt tillgängliga uppgifter (bl.a. uppgifter på Internet).

6. SKYLDIGHETEN ATT LÄMNA IN UPPGIFTER

6.1. Användning av Bankens tjänster är frivillig. Inlämnande av uppgifter av personen är nödvändig för användning av Bankens tjänster. Vid uteblivet inlämnande av uppgifter kan Banken vägra tillhandahålla en tjänst, begränsa tillgången till Bankens tjänster eller upphöra med tillhandahållande av en tjänst.

7. PROFILANALYS OCH AUTOMATISERADE BESLUT

7.1. Allmän profilanalys

Banken kan på basis av personuppgifter analysera personens ekonomiska ställning, preferenser, pålitlighet och riskbeteende samt fatta beslut utifrån detta som kan påverka personens rättigheter och möjligheter vid användning av Bankens tjänster. 

7.2. Automatiserade beslut

7.2.1. Banken kan fatta ett automatiserat beslut i syften enligt avsnitt 3.1 genom att analysera en persons allmänna uppgifter (t.ex. nationalitet och risknivå) samt uppgifter om ursprunget till personens inkomst och egendom och om personens ekonomiska ställning. Vid automatiskt beslutsfattande beaktas tillåtligheten av ingående av avtalet i enlighet med de av tillsynsmyndigheten godkända kriterierna för tillhandahållande av finansiella tjänster, kundens förmåga att fullgöra avtalet och sannolikheten för fullgörande av avtalet. I beslutet specificerar Banken även närmare avtalsvillkor som utgår från Bankens risk.  

7.2.2. Banken kan använda automatiserade beslut för att uppfylla syften enligt avsnitt 3.2 genom att analysera personuppgifter som hjälper Banken vid bekämpning av penningtvätt och finansiering av terrorism samt vid efterlevnad av principerna om kundkännedom och ansvarsfull kreditgivning.

7.2.3. Banken kan fatta automatiserade beslut i syften enligt avsnitt 3.3 som varken medför några rättsliga konsekvenser för personen eller har någon avsevärd inverkan. 

7.2.4. Om Banken fattar automatiserade beslut i syften enligt avsnitt 3.5 anges automatiskt beslutsfattande i samtycket.

7.2.5. Om ett automatiserat beslut baserat på profilanalys ändå medför några rättsliga konsekvenser för personen (t.ex. vägran att tillhandahålla en tjänst eller upphörande med tillhandahållande av en tjänst) kan man begära att beslutet ska omprövas av en anställd hos Banken.

8. MOTTAGARE AV PERSONUPPGIFTER

8.1. Vid rättslig grund och i lagstadgade syften kan Banken lämna ut personuppgifter till:

8.1.1. företag inom Bankens konsolideringsgrupp (Bankens dotterbolag och andra dotterbolag till Bankens moderbolag);

8.1.2. personer och företag som deltar i tillhandahållande av tjänst och fullgörande av avtalet (t.ex. borgensmän, medsökande, notarius publicus, betalnings- och kreditinstitut);

8.1.3. personuppgiftsbiträden som tillhandahåller tjänster till Banken (t.ex. leverantörer av kommunikations-, IT- och posttjänster osv.) eller vars tjänster Banken använder för skydd av sina rättigheter (t.ex. kronofogdar, inkassobolag, advokatfirmor, leverantörer av informationsskyddstjänster osv.). En översikt över olika kategorier av personuppgiftsbiträden finns tillgänglig på Bankens webbplats;

8.1.4. förvaltare av statliga eller offentliga databaser (bl.a. förvaltare av databaser som samlar in och lämnar ut uppgifter för bedömning av personers kreditvärdighet eller agerar i något annat liknande syfte);

8.1.5. samarbetspartners auktoriserade av Banken för förmedling av ansökningar, avtal och begäranden; 

8.1.6. en ny gäldenär vid överlåtelse av fordran;

8.1.7. tredje parter om detta är nödvändigt för tillvaratagande av Bankens intressen vid avtalsbrott eller vållad skada;

8.1.8. statliga myndigheter och institutioner som har lagstadgad rätt till att begära utlämnande av uppgifter från Banken;

8.2. Personuppgifter kan lämnas ut till ett ombud på basis om en dom om detta eller ett fullmaktsbrev godkänt av Banken eller om ombudet har lagstadgad representationsrätt. Banken kan kräva att ett fullmaktsbrev upprättad utanför Banken ska vara bestyrkt av en notarius publicus eller på ett likvärdigt sätt.

8.3. Utlämnande av personuppgifter i ovannämnda eller lagstadgade fall anses inte som brott mot skyldigheten att iaktta banksekretess.

9. LAGRING AV PERSONUPPGIFTER

9.1. Personuppgifter lagras så länge deras behandling är nödvändig för att uppfylla syften enligt avsnitt 3. Lagringsperioden kan utgå från en lagstadgad förpliktelse eller Bankens berättigade intresse.

DEL II

Den registrerades rättigheter

10. SKYDD AV DEN REGISTRERADES RÄTTIGHETER

10.1. Den registrerade kan lämna in en begäran beträffande behandling av sina personuppgifter till Banken via webbplatsen eller applikationen alternativt direkt till Bankens dataskyddsombud.

10.2. En begäran beträffande behandling av v in i ett format som möjliggör skriftlig återgivning. För hantering av en sådan begäran kan Banken begära ytterligare uppgifter för identifiering av den som har lämnat in begäran och för hantering av begäran samt att begäran ska specificeras. Banken besvarar begäran senast inom 30 dagar från dess mottagande. Om ytterligare kontroller eller förfrågningar krävs för svaret kan Banken förlänga tidsfristen för svaret och underrätta den som har lämnat in begäran om detta. 

10.3. Om begäran är uppenbarligen ogrundad eller alltför långtgående kan Banken kräva ersättning för skäliga kostnader för hantering av begäran eller vägra att hantera begäran.

10.4. Om den registrerade anser att behandling av personuppgifter skadar hens rättigheter har hen vid var tid rätt till att lämna in en begäran om upphörande med överträdelsen till Banken samt till en behörig tillsynsmyndighet eller en behörig domstol.  

11. RÄTTEN TILL TILLGÅNG (ART. 15 I DATASKYDDSFÖRORDNINGEN)

11.1. Banken tillhandahåller information om huruvida Banken behandlar personuppgifter samt hur och vilka personuppgifter som behandlas.

11.2. Banken kan begränsa tillhandahållande av information om utlämnande av information kan skada Bankens eller andra parters rättigheter och friheter eller äventyra fullgörandet av en lagstadgad förpliktelse.

11.3. Banken kan vägra lämna ut information om uppgifter som Banken behandlar i samband med övervakning av affärsförbindelser för bekämpning av penningtvätt och finansiering av terrorism, bekämpning av betalningsbedrägeri och marknadsmissbruk, efterlevnad av säkerhetskrav och tillämpning av riskhanteringsåtgärder.

12. RÄTTEN TILL RÄTTELSE AV UPPGIFTER (ART. 16 I DATASKYDDSFÖRORDNINGEN)

12.1. Vid begäran om rättelse eller komplettering av felaktiga eller ofullständiga personuppgifter kan Banken i förekommande fall begära underlag för sådan rättelse eller komplettering av uppgifter.

13. RÄTTEN TILL RADERING AV UPPGIFTER (ART. 17 I DATASKYDDSFÖRORDNINGEN)

13.1. Radering av personuppgifter kan begäras i enlighet med bestämmelserna i artikel 17 i dataskyddsförordningen om inga förutsättningar för undantag från rätten till radering föreligger. Om Banken vägrar radering bör Banken motivera lagligheten av fortsatt behandling av personuppgifter.

13.2. Rätten till att begäraradering av personuppgifter omfattar inte en situation där det föreligger en rättslig grund för fortsatt behandling av personuppgifter, främst om behandling är nödvändig för fullgörande av en lagstadgad förpliktelse eller skydd av Bankens intressen vid rättsliga tvister och skuld- och ersättningskrav.

14. RÄTTEN TILL BEGRÄNSNING AV BEHANDLING (ART. 18 I DATASKYDDSFÖRORDNINGEN)

14.1. Begränsning av behandling av personuppgifter i de fall som anges i artikel 18 i dataskyddsförordningen påverkar inte Bankens rätt till behandling av personuppgifter för fullgörande av den lagstadgade lagringsskyldigheten eller för fastställande, utövande eller försvar av rättsliga anspråk. 

15. RÄTTEN TILL DATAPORTABILITET (ART. 20 I DATASKYDDSFÖRORDNINGEN)

15.1. Överföring av inlämnade personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format kan ske via respektive funktion av Bankens webbplats eller applikation eller om tillgång till dessa saknas, genom att lämna in en begäran om överföring av uppgifterna till Banken.

15.2. Banken hanterar begäran om överföring av personuppgifter inom en månad eller underrättar om förlängning av tidsfristen för hanteringen med högst två månader om detta är nödvändigt på grund av begärans komplexitet eller antalet begäranden.

15.3. Överföring av uppgifter kan begränsas eller vägras om sådan överföring skulle skada Bankens eller en tredje parts rättigheter.

16. RÄTTEN TILL ATT GÖRA INVÄNDNINGAR (ART. 21 I DATASKYDDSFÖRORDNINGEN)

16.1. Vid en invändning mot databehandling som sker på basis av berättigat intresse fortsätter Banken med behandlingen endast om det berättigade intresse som uppväger den registrerades intressen, rättigheter och friheter motiveras eller om databehandling är nödvändig för fastställande, utövande eller försvar av rättsliga anspråk.

16.2. Vid en invändning mot databehandling som sker på basis av samtycke anser Banken samtycket återkallat i och med inlämnandet av invändningen och upphör med databehandlingen.

16.3. Vid en invändning mot databehandling i direktreklamsyfte upphör Banken med databehandling i detta syfte. 

17. RÄTTEN TILL ATT ÅTERKALLA SAMTYCKET

Om Banken har getts samtycke till behandling av personuppgifter i ett visst syfte kan samtycket återkallas vid var tid. Återkallandet av samtycket påverkar inte lagligheten av den databehandling som har utförts före återkallandet.

DEL III

Övriga v

18. TILLSYNSBEHÖRIGHET

Banken har sitt huvudsakliga verksamhetsställe i Republiken Estland. Tillsyn över Bankens behandling av personuppgifter utförs av Republiken Estlands dataskyddsinspektion (www.aki.ee, Tatari 39, Tallinn 10134, Republiken Estland). 

19. TILLÄMPNING OCH ÄNDRING AV REGLERNA

19.1. Dessa regler tillämpas även på den behandling av personuppgifter som inleddes före offentliggörandet av dessa regler.

19.2. Banken kan införa ändringar i dessa regler för att uppdatera informationen och säkerställa dess överensstämmelse med lagstiftningen. Den gällande versionen och de tidigare versionerna av reglerna finns tillgängliga på Bankens webbplats.

19.3. Översikten över personuppgiftsbiträden på Bankens webbplats uppdateras minst en gång i kvartalet.