Behandling av personopplysninger i Cultura Sparebank
Cultura Sparebanks personvernerklæring overfor kunder og andre eksterne parter
Banken vil nedenfor gi generell informasjon om sin behandling av personopplysninger.
Behandlingsansvarlig
Behandlingsansvarlig for personopplysningene vi behandler om deg er Cultura Sparebank ved banksjef/daglig leder. Kontaktinformasjonen til Cultura sparebank.
Cultura Sparebank er selvstendig og alliansefri og inngår ikke i konsern eller konserngruppe.
Regulering av bankens behandling av personopplysninger
Banken er underlagt personopplysningsloven og personvernforordningen General Data Protection Regulation 2016/679 ved sin behandling av personopplysninger. Banken har også tilsluttet seg Finans Norges bransjenorm for behandling av personopplysninger i bank og kredittforetak.
Banken vil i hovedsak innhente personopplysningene som registreres direkte fra den enkelte som personkunde. Ved innsamling av opplysninger fra tredjepersoner (for eksempel fra andre banker/finansforetak og kredittopplysningsforetak) vil vedkommende bli varslet, med mindre innsamlingen er lovbestemt, varsling er umulig eller uforholdsmessig vanskelig, eller det er på det rene at varselets innehold allerede er kjent for vedkommende person.
Dersom banken ønsker å innhente opplysninger som ikke er nødvendige for ivaretakelse av et avtaleforholdet, skal banken først informere vedkommende om at det er frivillig å gi fra seg opplysningene og hva opplysningene vil bli brukt til.
Behandlingens formål
Banken vil ved avtaleinngåelsen og under det løpende avtaleforholdet registrere opplysninger om personkunden og andre som har tilknytning til avtaleforholdet, for eksempel disponenter. Banken vil også registrere opplysninger om personer som banken har avslått å inngå avtale med i den hensikt å kunne underrette vedkommende om avslaget og eventuelt i ettertid å kunne dokumentere forholdet, herunder at et avslag om innskudd og betalingsoppdrag var saklig begrunnet.
Formålet med bankens behandling av personopplysninger er i første rekke kundeadministrasjon, fakturering og for å oppfylle de forpliktelser som banken har påtatt seg for gjennomføring av oppdrag og tjenesteavtaler med kunden, herunder å gjennomføre betalingstransaksjoner til eller fra kundens konti. Banken vil for øvrig behandle personopplysninger i den grad lovgivningen pålegger eller gir banken adgang til slik behandling.
Utover dette behandles personopplysninger til følgende formål:
- Kundeoppfølging og markedsføring
- Personkundens navn, kontaktopplysninger, fødselsdato og hvilke tjenester eller produkter det er inngått avtale om.
- Den enkelte personkunde kan ved henvendelse til banken kreve sitt navn sperret for bruk i markedsføringsøyemed, utover oppfølging av avtaleforholdet.
- Risikoklassifisering av kunder og kredittporteføljer
- Banken vil etter regler i finansforetaksloven behandle kredittopplysninger og andre personopplysninger i forbindelse med etablering og bruk av systemer for beregning av kapitalkrav for kredittrisiko. Med systemer for interne målemetoder menes her bankens modeller, arbeids- og beslutningsprosesser for kredittgivning og kredittstyring, kontrollmekanismer, IT-systemer og interne retningslinjer som er knyttet til klassifisering og kvantifisering av institusjonens kredittrisiko og annen relevant risiko.
- Personopplysninger for dette formålet vil kunne innhentes fra kredittopplysningsforetak
- Kundeautentisering ved bruk av elektroniske tjenester
- Når bankens elektroniske tjenester benyttes, kan banken registrere brukeradferd og brukermiljø samt avvik fra dette, identifisere den datamaskin eller mobile enhet som personkunden anvender ved bruk av banktjenesten, datamaskinens/enhetens tilstand ol. Denne informasjonen vil banken bruke for å kontrollere at det er rett kunde som bruker den aktuelle tjeneste. Banken kan også bruke informasjonen i en risikovurdering for å tilpasse autentiseringsmetoden som kunden skal benytte for tjenesten.
- Forebygging og avdekking av straffbare handlinger
- Banken vil behandle personopplysninger med formål å forebygge, avdekke, oppklare og håndtere bedragerier og andre straffbare handlinger rettet mot kunder eller banken. Opplysninger innhentet med dette formål vil også kunne bli innhentet fra og utlevert til andre banker og finansinstitusjoner, politiet og andre offentlige myndigheter. Opplysningene som registreres vil kunne oppbevares inntil ti år etter registreringen.
- Banken vil behandle personopplysninger for å forebygge og avdekke transaksjoner med tilknytning til utbytte fra straffbare handlinger eller med tilknytning til terrorfinansiering. Banken er pålagt undersøkelses- og rapporteringsplikt for mistenkelige transaksjoner etter hvitvaskingsloven. Banken er videre pålagt å rapportere mistenkelige opplysninger og transaksjoner til Økokrim. Slik informasjon vil banken oppbevare i fem år etter avslutning av kundeforholdet.
- Kameraovervåkning i og utenfor bankens lokaler
- Banken foretar ikke bildeopptak ved kameraovervåking av banklokaler.
- Lydopptak m.v. i forbindelse med investeringstjenester
- Banken yter ikke investeringstjenester.
- Lydopptak ved melding om tap av betalingsinstrument
- For å gi mulighet til å dokumentere melding om tap av betalingsinstrument, vil banken eller den meldingstjeneste banken tilbyr, kunne gjøre lydopptak av slike meldinger. Lydopptaket vil i så fall bli oppbevart i 18 måneder.
- Banken bruker informasjonskapsler/cookies
Utlevering av personopplysninger
Personopplysninger vil bli utlevert til offentlige myndigheter og andre utenforstående når dette følger av lovbestemt opplysningsplikt eller opplysningsrett. Dersom lovgivningen tillater det og bankens taushetsplikt ikke er til hinder, vil personopplysninger også kunne bli utlevert til andre banker og finansforetak samt samarbeidspartnere for bruk innenfor de formål som er angitt for behandlingen. Utlevering vil også kunne skje til andre parter som er involvert i en betalingstransaksjon så langt dette er nødvendig for å gjennomføre transaksjonen på en sikker måte. Overføring av personopplysninger til bankens databehandlere anses ikke som utlevering.
Ved utføring av betalingsoppdrag til eller fra utlandet vil tilhørende personopplysninger bli utlevert utenlandsk bank og/eller dennes medhjelper.
Overføring av personopplysninger til utlandet
Banken utleverer personopplysninger til land utenfor EU/EØS-området i forbindelse med betalingsoppdrag. Grunnlaget for slik overføring er avtale.
Bruk av databehandlere
Cultura Sparebank bruker databehandlere til å samle inn, lagre eller på annen måte behandle personopplysninger på bankens vegne. I slike tilfeller vil banken inngå avtaler med databehandler for å sikre at behandlingen av opplysningene er i samsvar med personvernregelverket og bankens krav til behandling av personopplysninger. Bruken av databehandlere er ikke å regne som en utlevering av personopplysninger.
Cultura Sparebank mottar til enhver tid tjenester fra en rekke eksterne databehandlere. Med disse er det etablert databehandleravtaler som forutsetter at alle personopplysninger behandles i tråd med eksternt regelverk samt bankens policy og erklæringer.
For til enhver oppdatert informasjon kan bankens IT-ansvarlige kontaktes
Lagringstid og sletting
Banken vil slette eller anonymisere personopplysninger når formålet med den enkelte behandling av oppfylt, med mindre opplysningene skal eller kan oppbevares utover dette som følge av lovgivningen.
Dette betyr for eksempel at personopplysninger som banken behandler på grunnlag av samtykke slettes hvis samtykket trekkes tilbake.
Personopplysninger banken behandler for å oppfylle en avtale slettes når bankens forpliktelser uomtvistelig er oppfylt og et hvert grunnlag for avtalebasert ansvar er bortfalt for banken.
Den enkelte personkunde kan kreve at sletting gjennomføres når vilkårene for dette er oppfylt.
Innsyn
Den enkelte personkunde har rett til innsyn i hvilke personopplysninger som banken har samlet inn om vedkommende, hvordan opplysningene behandles og hvordan de sikres mot å komme på avveie.
Innsynsretten angående antall elektroniske oppslag samt tidspunktet for oppslagene omfatter ikke oppslag som er gjort mer enn tre måneder før begjæringen om innsyn fremsettes.
Korrigering
Personopplysninger som banken behandler skal være korrekte og fullstendige, men ikke mer omfattende enn nødvendig for formålet.
Portabilitet
Den enkelte personkunde kan kreve at de personopplysninger banken behandler om vedkommende skal overføres til annen utpekt databehandler.
Henvendelser og eventuelle klager
For å benytte seg av sine rettigheter kan den enkelte personkunde henvende seg til bankens dagligbankavdeling. Kunden kan be om avdelingsleders kvittering for at henvendelse er mottatt. Banken vil behandle og svare på henvendelser så fort som mulig, og senest innen 30 dager.
For å kunne besvare henvendelser vil banken be om at identitet bekreftes på betryggende måte.
Som liten alliansefri sparebank, med kun ett kontorsted, derav følgende begrenset kundeportefølje og begrenset produktspekter, har banken ikke utpekt personvernombud. Oppgaver og ansvar som ellers ville tilligge et personvernombud ivaretas av banksjef, daglig leder, med assisterende banksjef, nestleder, med ansvar for IT og marked, som stedfortreder.
Eventuelle klager på Cultura sparebanks behandling av personopplysninger om, kan rettes til Datatilsynet. Informasjon om dette finnes på Datatilsynets nettsider
Endringer
Hvis det skulle skje endring av bankens tjenester eller endringer i regelverket om behandling av personopplysninger, kan det medføre at informasjonen i denne erklæringen må oppdateres eller endres. Oppdatert informasjon vil alltid finnes lett tilgjengelig på bankens nettside.