Personvernerklæring – informasjon om behandling av personopplysninger

1. INNLEDNING 

 

Jernbanepersonalets sparebank (Js) behandler personopplysninger som tilbyder av bank- og finansieringstjenester. Dette dokumentet inneholder informasjon om hvordan banken behandler opplysninger om deg og hvilke rettigheter du har etter gjeldende personvernregler.

 

Js behandler personopplysninger til følgende formål:

 

  • Kundeadministrasjon, fakturering og gjennomføring av bank- og finansieringstjenester.

  • Markedsføring og finansiell rådgivning.

  • Risikoklassifisering av kunder og kredittporteføljer.

  • Forebygging og avdekking av straffbare handlinger, inkludert bildeopptak

  • Dokumentere kundekommunikasjon i tilknytning til ytelse av investeringstjenester

  • Administrere interne ansettelsesforhold i bankvirksomheten

  • Utarbeidelse av rapporter – internt og eksternt formål

     

    Jernbanepersonalets sparebank v/daglig leder, Postboks 235 Sentrum, 0103 Oslo, er ansvarlig for at opplysninger om deg blir behandlet i samsvar med gjeldene regler om personvern.

     

    Behandling av personopplysninger reguleres av lov om behandling av personopplysninger (Personopplysningsloven) og Europaparlamentets- rådsforordning (EU) 2016/679 av 27.4.2016 (Senere omtalt som forordningen).

     

    2. BEHANDLINGSGRUNN OG Samtykke til behandling av dine

        personopplysninger

     

    Js behandler nødvendige personopplysninger for å kunne oppfylle en avtale om bank- og/eller finansieringstjeneste med deg som kunde, eller for å kunne gi et tilbud om slike tjenester etter din anmodning. Behandlingsgrunnlaget er ovennevnte forordning art. 6-1b. All behandling av personopplysninger skal skje i samsvar med den informasjon som er angitt i dette dokumentet.

     

    I noen tilfeller er det nødvendig å innhente personopplysninger basert på ditt samtykke, jf. art. 6-1a. Et slikt samtykke er frivillig og du bestemmer selv om du vil oppgi de personopplysninger som samles inn og registreres. Med ditt samtykke gir du Js rett til å samle inn, registrere, sammenstille, lagre og utlevere opplysninger slik som angitt i dette dokumentet. Det kreves også samtykke ved markedsføring. Du har rett til å trekke tilbake samtykket til enhver tid, jf. pkt. 6.1 under. Js kan uten hinder av reglene om taushetsplikt og ditt samtykke, utføre behandling i medhold av et annet behandlingsgrunnlag f.eks. slik som angitt i pkt. 3.5 – 3.7 og pkt. 4.3 – 4.6.

     

    3. Innhenting og registrering av personopplysninger

     

    Personopplysninger som registreres, vil i hovedsak være innhentet fra deg som kunde. Ved innsamling av opplysninger fra tredjepersoner (f.eks. fra andre banker/finansforetak, kredittopplysningsforetak og Bankens misbrukerregister) vil du bli varslet, med mindre innsamlingen er lovbestemt, varsling er umulig eller uforholdsmessig vanskelig eller det er klart at du alt kjenner til den informasjonen varselet skal inneholde.

     

    Banken vil ved avtaleinngåelsen og under det løpende avtaleforholdet registrere opplysninger om kunden og andre personer som har tilknytning til avtaleforholdet, f.eks. disponenter. Banken vil også registrere opplysninger om personer som banken har avslått å inngå avtale med i den hensikt å kunne underrette vedkommende om avslaget og eventuelt i ettertid å kunne dokumentere forholdet, herunder at et avslag om innskudd og betalingsoppdrag var saklig begrunnet.

     

    3.1 Ved etablering av nytt kundeforhold

     

    Ved etablering av nytt kundeforhold vil Js innhente og registrere nøytrale personopplysninger om deg, herunder nødvendige kontaktopplysninger og fødselsnummer. Fødselsnummer er nødvendig for å oppnå sikker identifisering av deg som person.

     

    3.2 Ved etablering av avtale om bank- eller finansieringstjenester

     

    Ved etablering av avtaleforhold vil Js registrere fødselsnummer og nødvendige opplysninger for administrasjon av tjenesten/produktet. Opplysningene som innhentes er avhengig av det produkt som avtales. 

     

    Det kan innhentes fagforeningsopplysninger i tilknytning til kollektive kundeforhold uten at det innhentes samtykke fra den registrerte jfr. forordning art. 9 bokstav a).    

     

    3.3 Ved markedsføring og kundeoppfølging

     

    Med markedsføring menes her aktivitet der formålet er å inngå tjenesteavtale med nye kunder eller eksisterende kunder om andre produkter. Bankens produkter deles inn i følgende produktkategorier: Betalingstjenester, Spare- og innskuddsprodukter, Lån og andre kreditter.

     

    Js vil registrere og bruke følgende nøytrale opplysninger i sin markedsføring og kundeoppfølging: kundens navn, kontaktopplysninger, fødselsdato, og hvilke tjenester og produkter kunden har inngått avtale om.

     

    Du kan reservere deg mot slik markedsføring. Du kan også reservere deg mot at Js markedsfører produkter innen en annen produktkategori enn den du har inngått avtale om.

     

    Js bruker ikke personprofiler i sin markedsføring.

     

    3.4 Risikoklassifisering av kunder og kredittporteføljer

     

    Banken vil etter regler i finansforetaksloven behandle kredittopplysninger og andre personopplysninger i forbindelse med etablering og bruk av systemer for beregning av kapitalkrav for kredittrisiko.

    Med systemer for interne beregninger av kapitalkrav for kredittrisiko menes bankens modeller, arbeids- og beslutningsprosesser for kredittgivning og kredittstyring, kontrollmekanismer, IT-systemer og interne retningslinjer som er knyttet til klassifisering og kvantifisering av institusjonens kredittrisiko og annen relevant risiko.

     

    Personopplysninger til dette formålet vil kunne innhentes fra kredittopplysningsforetak.

     

    3.5 Forebygging og avdekking av straffbare handlinger – hvitvaskingsmeldinger

     

    Banken vil behandle personopplysninger med formål å forebygge, avdekke, oppklare og håndtere bedragerier og andre straffbare handlinger. Opplysningene vil bli innhentet fra og utlevert til andre banker og finansinstitusjoner, Bankenes misbruksregister (felles register over misbruk av egne og andre kontoer og betalingsinstrumenter), politiet og andre offentlige myndigheter. Oppbevaringstiden vil være inntil ti år etter registreringen.

     

    Banken vil behandle personopplysninger for å oppfylle undersøkelses- og rapporteringsplikten for mistenkelige transaksjoner etter hvitvaskingsloven. Banken er pålagt å rapportere mistenkelige opplysninger og transaksjoner til ØKOKRIM. Kundene har ikke krav på innsyn i de opplysningene banken har registrert for disse formålene.

     

    3.6 Bildeopptak ved fjernsynsovervåkning

     

    Med formål å forebygge og avdekke straffbare handlinger vil banken foreta bildeopptak ved fjernsynsovervåking av banklokaler, ekspedisjonssteder, minibanker og betalingsterminaler i tilknytning til «bank i butikk». Slike opptak vil bli slettet tre måneder etter opptakstidspunktet, men mindre de er utlevert til politiet eller banken har rett til å behandle bildeopptaket til annet formål.

     

    1. Lydopptak av telefonsamtaler og lagring av annen kundekommunikasjon ved investeringstjenester

       

      I tilknytning til ytelse av investeringstjenester er banken som verdipapirforetak forpliktet til å foreta lydopptak av alle telefonsamtaler samt å dokumentere annen kundekommunikasjon (e-post, chat, MSN mv). Slike lydopptak av samtaler til/fra fasttelefon og mobiltelefon samt dokumentasjon av annen type kommunikasjon med kunden oppbevares i tre år.

       

      3.8 Informasjonskapsler

       

      Banken bruker informasjonskapsler (cookies) på nettstedet.

       

      Informasjonen som samles inn benyttes for å analysere bruken av nettstedet og forbedre brukeropplevelsen. Informasjonen behandles i samsvar med bankens konsesjon for behandling av personopplysninger. Den tekniske innsamlingen krever at informasjonskapsler (cookies) er slått på i nettleseren. Dersom du ønsker å blokkere informasjonskapsler er dette mulig gjennom en innstilling i nettleseren. Merk at nettstedet kan slutte å fungere eller fungere dårligere dersom informasjonskapsler er avslått.

       

      4. Utlevering og overføring av personopplysninger

       

      Alle medarbeidere i Js har taushetsplikt og plikter å hindre at uvedkommende får adgang eller kjennskap til opplysninger om deg.

       

      4.1 Internt i konsernet

       

      Js er en del av finanskonsernet Jernbanepersonalets bank og forsikring. Konsernet har etablert et felles konsernkunderegister som har til formål å administrere kunder, kundepleie og markedsføring av konsernets bank- og forsikringstjenester. Registeret inneholder nøytrale personopplysninger (kontaktopplysninger, fødselsnummer, produkttype, og det selskap kunden har avtale med). De nevnte nøytrale opplysninger om deg vil bli registrert i konsernkunderegisteret dersom du samtykker til dette.

       

      Du kan reservere deg mot å bli registrert i konsernkunderegisteret ved å rette en skriftlig henvendelse til Js. Du kan også reserve deg mot markedsføring fra finanskonsernet på Min side eller ved å sende en skriftlig henvendelse til Js.

       

      4.2 Til Finansklagenemnda

       

      Ved klage til og saksbehandling for Finansklagenemnda kan Js utlevere alle opplysninger som er relevante og nødvendig for at klageinstansen kan behandle klagen.

       

      4.3 Til eksterne underleverandører av Js

       

      Js kan jf. finansforetaksloven §§ 16-2 annet ledd og 9-6 første ledd overføre nødvendige opplysninger til underleverandør slik at denne kan utføre sine arbeidsoppgaver på vegne av Js i samsvar med gjeldende oppdrags- og databehandleravtale.

       

      4.4 Til andre finansforetak

       

      Styret i Js har i medhold av finansforetakslovens § 16-2 (3) bestemt at Js kan gi opplysninger til et annet finansforetak uten samtykke fra den registrerte

       

  1. Ved mistanke om at en transaksjon har tilknytning til utbytte av en straffbar handling eller forhold som rammes av straffeloven §§ 131 til 136 a kan det gis nødvendige kundeopplysninger jf. hvitvaskingslovens § 20 annet ledd.

     

  2. Utveksling av transaksjonsopplysninger og annen betalingsinformasjon når dette er nødvendig for å sikre forebygging, etterforskning eller avsløring av betalingsbedragerier, jf. finansforetaksloven § 13-21.

     

  3. I særlige tilfeller, dersom

 

  • formålet er å avdekke eller motvirke økonomisk kriminalitet eller annen alvorlig kriminalitet. For at det skal foreligge et særlig tilfelle må det foreligge en berettiget mistanke om et kriminelt forhold.

     

  • formålet er å gjennomføre kundeoppdrag og oppgjør av krav fra eller mot kunder, eller annen berettiget ivaretakelse av finansforetakets eller dets kunders interesser. For at det skal foreligge et særlig tilfelle må det foreligge et konkret behov og en berettiget grunn for utlevering, enten for Js eller kunden. 

    4.5 Til skattemyndighetene

     

    Js skal uten hinder av regler om taushetsplikt gi opplysninger til skattemyndighetene i samsvar med skatteforvaltningslovens § 7-3 og skatteforvaltningsforskriften §7-3-4. Js kan også gi kontrollopplysninger som kan ha betydning for noens skatteplikt etter krav fra skattemyndighetene i medhold av skatteforvaltningslovens § 10-2.

     

    4.6 Til Økokrim

     

    Js skal uten hinder av taushetsplikt oversende opplysninger til Økokrim jf. hvitvaskingsloven § 18 i samsvar med gjeldende rutine for etterlevelse av hvitvaskingslovens bestemmelser. Js skal på forespørsel gi Økokrim alle nødvendige opplysninger om transaksjonen og mistanken.

     

    5. Lagring og sletting av personopplysninger

     

    Personopplysninger vil bli lagret så lenge det er nødvendig for det formålet det er samlet inn eller behandlet for. Js har plikt til å lagre opplysninger i samsvar med bestemmelsene i skatteloven, bokføringsloven § 13, bokføringsforskriften kap. 5 og hvitvaskingsloven § 22.

     

    5.1 Betalingstjenester

     

    Opplysninger om betalingstjenester lagres så lenge kundeforholdet løper. Når kundeforholdet opphører lagres opplysningene i fem år etter regnskapsårets slutt i samsvar med bokføringsloven § 13. Opplysningene blir da slettet med mindre banken etter lov er pålagt ytterligere lagringsplikt.

     

    5.2 Spare- og innskuddsprodukter

     

    Opplysninger av betydning for den registrertes spare- og innskuddsprodukter lagers så lenge kunden opprettholder produktene. Når produktet er avsluttet, lagres opplysningene i fem år i samsvar med Bokføringsloven § 13. Opplysningene blir da slettet med mindre banken etter lov er pålagt ytterligere lagringsplikt.

     

    5.3 Lån og andre kreditter

     

    Personopplysninger i tilknytning til vurdering av søknader om lån og kreditt til personer som ikke blir innvilget engasjement skal lagres i tre år etter avslag, for å kunne dokumentere beslutningen herunder at avslaget er saklig begrunnet.

     

    Personopplysninger i tilknytning til lån og andre kreditter lagres så lenge kredittforholdet løper. Når kredittforholdet er avsluttet lagres opplysningene i tre og et halvt år etter regnskapsårets slutt, jf. Bokføringslovens § 13. Opplysningene blir da slettet med mindre banken etter lov er pålagt ytterligere lagringsplikt.

     

    5.4 Andre opplysninger

     

    Opplysninger som ikke omfattes av oppbevaringsplikten etter bokføringsregelverket eller hvitvaskingsreglene lagres i minst tre år etter at avtaleforholdet er avsluttet, med henvisning til at økonomiske krav normalt har en foreldelsesfrist på tre år.

     

    6. Dine rettigheter

     

    Behandling av personopplysninger reguleres av lov om behandling av personopplysninger (Personopplysningsloven) og Europaparlamentets- rådsforordning (EU) 2016/679 av 27.4.2016.

     

    Dine personopplysninger skal behandles i samsvar med gjeldende personvernregler. Js er forpliktet til å informere om dine rettigheter som registrert. Dersom du vil utøve dine rettigheter, må du sende en skriftlig henvendelse til Js og angi ditt rettighetskrav. Js plikter å svare på henvendelsen innen en måned. Behandlingsfristen kan forlenges med ytterligere to måneder ved behov.

     

    I det følgende gis informasjon om hvilke rettigheter du har når Js behandler dine personopplysninger:

     

    6.1 Rett til å trekke tilbake samtykket - jf. artikkel 7 nr. 3

     

    Du kan til enhver tid trekke tilbake samtykket som gir Js rett til å behandle dine personopplysninger. Beslutningen om å trekke tilbake samtykket påvirker ikke lovligheten av den behandling som er utført før samtykket trekkes tilbake. Tilbakekall av et samtykke har heller ikke virkning for opplysninger som kan behandles i medhold av et annet behandlingsgrunnlag, f.eks. behandling som angitt i pkt. 3.5 – 3.7 og pkt. 4.3 – 4.6.

     

    6.2 Rett til innsyn og informasjon om behandlingen – jf. artikkel 15

     

    Du har rett til å kreve innsyn i dine personopplysninger, og kan kreve informasjon om formålet med behandlingen, hvilken kategori personopplysninger som er registrert, hvem som har mottatt eller fått utlevert opplysningene, og hvor lenge det forventes at opplysningene vil bli lagret.

     

    Retten til innsyn og informasjon gjelder ikke for opplysninger som det er påkrevd å hemmeligholde av hensyn til forebygging, etterforskning, avsløring og rettslig forfølgning av straffbare handlinger. Retten omfatter heller ikke opplysninger som det må anses utilrådelig at du får kjennskap til av hensyn til din egen helse eller forholdet til personer som står deg nær, eller for opplysninger som i lov eller i medhold av lov er underlagt taushetsplikt.

     

    6.3 Rett til korrigering og komplettering – jf. artikkel 16

     

    Du har rett til å kreve opplysningene om deg selv korrigert/rettet dersom disse er uriktige. Du har også rett til å få ufullstendige personopplysninger komplettert. Korrigering eller komplettering skal skje uten ugrunnet opphold.

     

    6.4 Rett til sletting – jf. artikkel 17

     

    Personopplysninger skal slettes dersom du trekker tilbake samtykket og det ikke finnes noe annet rettslig grunnlag for behandlingen. Sletting skal skje uten ugrunnet opphold. Opplysningene kan likevel ikke slettes dersom behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som Js er underlagt, eller dersom Js er pålagt behandlingen i allmenhetens interesse eller ved utøvelse av offentlig myndighet. Opplysningene kan heller ikke slettes dersom behandlingen er nødvendig for å gjøre gjeldende eller forsvare et rettskrav.

     

    6.5 Rett til begrenset behandling – jf. artikkel 18

     

    Du kan kreve at behandlingen begrenses i en periode dersom du bestrider riktigheten av opplysningene, behandlingen er ulovlig og du motsetter deg sletting, eller dersom Js ikke trenger opplysningene til sitt formål, og du har behov for disse til behandling av et rettskrav.

    Du kan også kreve begrenset behandling i påvente av kontroll, dersom du har gjort innsigelser mot behandlingen i henhold til artikkel 21 nr. 1.

     

    6.6 Opplysningsplikt ved korrigering og sletting – jf. artikkel 19

     

    Js plikter å underrette enhver mottaker som har fått utlevert personopplysninger, om enhver korrigering eller sletting av personopplysninger eller begrensnings av behandlingen som nevnt i pkt. 6.3 – 6.5, med mindre dette er umulig eller krever en uforholdsmessig stor innsats. Du har rett til å få opplyst hvem som er underrettet dersom du ber om det.

     

    6.7 Retten til dataportabilitet – jf. artikkel 20

     

    Hvis behandlingen baserer seg på kontrakt eller samtykke, har du rett til å motta opplysninger om deg selv, som du selv har gitt Js, og å overføre disse til andre. Opplysningene skal være i et strukturert, alminnelig anvendt og maskinleselig format. Dersom det er teknisk mulig, kan du kreve at Js overfører personopplysningene direkte til en annet finansforetak.

     

    6.8 Retten til å protestere – jf. artikkel 21

     

    Du har rett til å protestere mot behandlingen av personopplysninger. Retten gjelder behandlingen som foretas på grunnlag av samtykke, eller er basert på en interesseavveining jf.  artikkel 6 nr. 1 bokstav f, herunder ved profilering basert på slikt grunnlag.

     

    6.9 Retten til å klage til tilsynsmyndigheten – jf. artikkel 13 nr. 2 bokstav d.

     

    Personvernreglene skal verne enkeltpersoner mot at personopplysninger blir behandlet på en måt som krenker deres personvern. Dersom du mener at Js behandler dine personopplysninger i strid med gjeldende personvernregler eller at dine rettigheter etter personvernreglene blir krenket, kan du sende en skriftlig klage til Datatilsynet, Postboks 8177 Dep., 0152 Oslo. Datatilsynets vedtak kan påklages videre til Personvernnemda.

     

    Js har oppnevnt en personvernrådgiver. Før du eventuelt klager til Datatilsynet oppfordres du først til å sende en skriftlig henvendelse til personvernrådgiveren i Js. Se pkt. 7.

     

    7. Personvernrådgiver

     

    Js har egen personvernrådgiver. Du kan ta kontakt med personvernrådgiveren angående alle spørsmål om behandling av dine personopplysninger hos Js. Personvernrådgiveren kan også svare på spørsmål om dine personvernrettigheter etter gjeldende personvernregler.

     

    Kontaktopplysninger til personvernrådgiveren hos Js: e-post: personvern@js.no og telefon: +47 21 62 26 00.