Personvern

Skriv ut som PDF  

Innholdsfortegnelse

1. Ansvarlig for personopplysninger
2. Dine rettigheter
3. Personopplysninger vi behandler
4. Behandlingsoversikt: Formål, kategorier av opplysninger, rettslig grunnlag og lagringstid
5. Tilbaketrekning av samtykke
6. Profilering og automatiserte individuelle avgjørelser
7. Mottakere av personopplysninger
8. Overføringer utenfor EU/EØS og beskyttelsestiltak
9. Lagringstider
10. Informasjonskapsler (cookies) og annen sporingsteknologi
11. Endringer i denne personvernerklæringen
12. Kontaktopplysninger til Entercard

1. Ansvarlig for personopplysninger          

Entercard Group AB («Entercard» eller «vi»), (org. nr. 556673-0585) er behandlingsansvarlig for personopplysninger som samles inn og brukes ved levering av våre tjenester i samsvar med EUs personvernforordning («GDPR»)

Du kan kontakte Entercard via vår hjemmeside www.entercard.no, telefon +47 21 31 66 00 eller via post til Entercard Norge, filial av Entercard Group AB, PB 6783, St. Olavs Plass, 0130 Oslo.

Dersom du har spørsmål om hvordan vi behandler dine personopplysninger, er du velkommen til å kontakte vårt personvernombud på e-post dpo@entercard.com eller på telefon (+47) 73 89 77 55.

Tilbake til innholdsfortegnelsen

2. Dine rettigheter 

I henhold til personvernforordningen (GDPR) har du en rekke rettigheter når det gjelder hvordan Entercard behandler dine personopplysninger. Nedenfor beskriver vi hvilke rettigheter du har.

Dersom du ønsker informasjon om hvilke personopplysninger om deg Entercard behandler (innsyn), be om sletting eller på annen måte utøve dine rettigheter, kan du kontakte oss via kontaktopplysningene som er angitt i punkt 12. 
 

Rett til å få dine personopplysninger slettet («retten til å bli glemt»)

Du har i visse tilfeller rett til å få dine personopplysninger slettet. Dette gjelder for eksempel opplysninger som 
(i) ikke lenger er nødvendige å behandle eller oppbevare for det formålet de ble samlet inn for, eller
(ii) dersom du trekker tilbake ditt samtykke til behandling.

I enkelte tilfeller har Entercard imidlertid ikke mulighet til å slette dine personopplysninger. Dette kan skyldes at opplysningene fortsatt er nødvendige for det formålet de ble samlet inn for, at Entercards interesse i å fortsette behandlingen veier tyngre enn din interesse i sletting, eller at vi er lovpålagt å oppbevare opplysningene. Eksempler på slike lovkrav fremgår av avsnitt 4 og 9.

Du har også rett til å protestere mot at vi bruker dine personopplysninger til visse formål, for eksempel direkte markedsføring. 
 

Rett til å bli informert 

Du har rett til å bli informert om hvordan vi behandler dine personopplysninger. Vi gir slik informasjon gjennom denne personvernerklæringen, gjennom produkt- og tjenestespesifikk informasjon samt ved å besvare spørsmål fra deg.
 

Rett til innsyn i dine personopplysninger («den registrertes rett til innsyn»)

Du har rett til innsyn i hvordan Entercard behandler og lagrer personopplysninger om deg, og til å få en kopi av disse opplysningene på forespørsel. Utskriften gir deg informasjon om hvilke personopplysninger vi behandler om deg og hvordan behandlingen utføres.
 

Rett til dataportabilitet  

Du har rett rett til å få utlevert personopplysningene dine i et maskinlesbart filformat som det er vanlig å bruke, under forutsetning om at behandlingen er basert på avtale eller samtykke. Dette for at du skal kunne overføre opplysningene til en annen virksomhet.
 

Rett til retting 

Du har rett til å be om at vi retter feilaktige eller ufullstendige opplysninger om deg, og at vi kompletterer dine opplysninger. 

Rett til begrensning av behandling 

Du har rett til å be om at behandlingen av dine personopplysninger begrenses dersom du mener at opplysningene er feilaktige, at behandlingen er ulovlig, eller at vi ikke lenger trenger opplysningene for et bestemt formål. Du kan også be om at behandlingen begrenses mens vi undersøker din forespørsel eller vurderer din rett til å protestere mot en bestemt behandling.

Rett til å protestere mot behandling 

Du har rett til å protestere mot behandling av dine personopplysninger i enkelte tilfeller (artikkel 6 nr. 1 bokstav f i GDPR). Du har også alltid rett til å protestere mot at dine personopplysninger brukes til direkte markedsføring. Dersom du protesterer mot direkte markedsføring, vil Entercard avslutte behandlingen av dine personopplysninger i slike tilfeller.

Rett til å protestere mot automatiserte beslutninger

Du har rett til å protestere mot en automatisert beslutning som tas av Entercard dersom beslutningen har rettsvirkninger for deg eller på annen måte i betydelig grad påvirker deg. Mer informasjon om hvordan Entercard bruker automatiserte beslutninger og profilering finnes i avsnitt 6. 

Rett til å trekke tilbake ditt samtykke

Du har rett til når som helst å trekke tilbake et samtykke du har gitt for behandling av personopplysninger. Dersom du trekker tilbake ditt samtykke, vil Entercard stoppe behandlingen av dine opplysningene.

Rett til å klage

Dersom du mener at Entercards behandling av dine personopplysninger er i strid med personvernlovgivningen, har du rett til å sende inn en klage til Integritetsskyddsmyndigheten (den svenske databeskyttelsesmyndighet). Du kan også sende inn en klage til datatilsynsmyndigheten i landet du bor i, jobber i eller der det påståtte bruddet har skjedd. Det betyr at dersom du f.eks. har norsk bopel kan du også velge å i stedet klage til det norske Datatilsynet.                                    

Tilbake til innholdsfortegnelsen

3. Personopplysninger vi behandler 

I dette avsnittet beskriver vi hvilke kategorier av personopplysninger Entercard behandler, hva som normalt omfattes av hver kategori, samt hvor opplysningene kommer fra.

For informasjon om hvilke formål personopplysningene brukes til, hvilket rettslig grunnlag som benyttes, og hvor lenge opplysningene lagres, se avsnitt 4. Informasjon om mottakere og deling av personopplysninger finnes i avsnitt 7.

Vær oppmerksom på at kategoriene av personopplysninger og de angitte kildene i dette avsnittet ikke er fullstendige, og at de kan overlappe hverandre. Den samme personopplysningen kan i noen tilfeller inngå i flere kategorier samtidig, og kan stamme fra ulike kilder avhengig av sammenheng, gjeldende regelverk og hvordan våre produkter og tjenester benyttes.

Tilbake til innholdsfortegnelsen

4. Behandlingsoversikt: Formål, kategorier av opplysninger, rettslig grunnlag og lagringstid  

I dette avsnittet gir vi en samlet oversikt over hvordan Entercard behandler personopplysninger. For hvert behandlingsformål beskriver vi formålet med behandlingen, hvilke kategorier av personopplysninger som behandles, hvilket behandlingsgrunnlag behandlingen baseres på, samt når behandlingen for det enkelte formålet opphører. 

Tilbake til innholdsfortegnelsen

5. Tilbaketrekning av samtykke 

Når Entercard behandler dine personopplysninger på grunnlag av ditt samtykke eller uttrykkelige samtykke, har du rett til når som helst å trekke tilbake samtykket.

Av hensyn til taushetsplikt og sikkerhetskrav kan Entercard i enkelte tilfeller måtte sikre at vi kommuniserer med riktig person før vi behandler kundespesifikke henvendelser. Dette innebærer at vi kan måtte identifisere deg før vi behandler en forespørsel som gjelder deg som kunde, for eksempel tilbaketrekking av samtykke knyttet til ditt kundeforhold.

Slik trekker du tilbake samtykket ditt:

Via kundeservice

Du kan kontakte Entercards kundeservice per telefon og identifisere deg med BankID. Deretter kan du trekke tilbake samtykket ditt eller fremme forespørselen din.

Via innloggede tjenester

Du kan logge inn med BankID i nettbanken og sende en melding til Entercard mens du er innlogget. På denne måten kan du trekke tilbake samtykket ditt eller fremme forespørselen din på en sikker måte.

Via app (markedsføring)

I enkelte tilfeller kan samtykker knyttet til markedsføring trekkes tilbake direkte i en produktspesifikk app, forutsatt at slik funksjonalitet er tilgjengelig for den aktuelle tjenesten.

Dersom du trekker tilbake samtykket ditt eller sletter informasjon som behandles på grunnlag av samtykke, kan det medføre at den aktuelle tjenesten eller funksjonen ikke lenger kan benyttes.

Som beskrevet i avsnitt 2 har du også rett til å motsette deg visse typer behandling av dine personopplysninger, for eksempel behandling for direkte markedsføring, samt rett til å be om sletting av enkelte opplysninger.

Tilbake til innholdsfortegnelsen

6. Profilering og automatiserte individuelle avgjørelser

6.1 Entercards profilering av deg som kunde

«Profilering» innebærer automatisert behandling av personopplysninger for å vurdere visse personlige forhold, for eksempel ved å analysere eller forutsi din økonomiske situasjon, brukeratferd eller andre forhold som kan være relevante for våre tjenester.

Formålene med Entercards profilering og hvilke typer personopplysninger som brukes for de ulike formålene, er beskrevet i detalj i avsnitt 4. Du kan koble beskrivelsene nedenfor til formålene i avsnitt 4 ved hjelp av henvisningene i parentes «[x]».

Vi bruker profilering til å:

• Motvirke hvitvasking og finansiering av terrorisme (AML/CFT)
  Dette innebærer at vi analyserer informasjon om kundeforhold og transaksjoner for å identifisere avvikende mønstre som kan indikere forhøyet risiko, og i relevante tilfeller gjennomfører kontroller mot sanksjonslister og andre relevante kontrollister. (formål [17])
   
• Forebygge og håndtere svindel – både ved løpende bruk av våre produkter og i forbindelse med kredittsøknader
  Dette innebærer at vi analyserer opplysninger som for eksempel søknadsdata, kontobruk og transaksjoner for å identifisere avvikende mønstre og forhøyet risiko som kan tyde på svindelforsøk eller uautorisert bruk. (formål [19] og [21])
   
• Håndtere forfalt gjeld og gjennomføre innkrevingsprosesser, inkludert å planlegge og tilpasse kundekontakt
  Dette kan innebære at vi analyserer personopplysninger om deg for å vurdere hvordan vi best kan kontakte deg om utestående gjeld, og hvordan saken bør håndteres i våre innkrevingsprosesser. (formål [26] og [27])
   
• Relevant markedsføring
  Dette kan innebære segmentering og analyser for å vurdere hvilken markedsføring eller hvilke tilbud som kan være relevante for deg. Dette utgjør profilering. (formål [33])

Profilering som beskrevet ovenfor innebærer ikke nødvendigvis at det treffes en avgjørelse som har rettslige konsekvenser for deg eller på annen måte i betydelig grad påvirker deg. Slike automatiserte avgjørelser beskrives nærmere i avsnitt 6.2.

6.2 Entercards automatiserte avgjørelser med betydelig påvirkning

Automatiserte avgjørelser som har rettslige konsekvenser, eller som på tilsvarende måte i betydelig grad påvirker deg, innebærer at avgjørelsen treffes utelukkende på grunnlag av automatisert behandling og kan ha en vesentlig effekt for deg.

Når Entercard treffer en automatisert kredittavgjørelse, skjer dette ved bruk av profilering. Det innebærer at vi, før avgjørelsen treffes, automatisk analyserer og vurderer ulike opplysninger om deg for å beregne din kredittrisiko. Disse opplysningene inngår i våre beslutningsmodeller og danner grunnlaget for avgjørelsen.

Vi treffer slike automatiserte avgjørelser når vi:

• Vurderer og beslutter kreditt (automatisert kredittavgjørelse) (formål [2])
  Som en del av kredittvurderingen gjennomfører vi en samlet risikovurdering, der vi ved hjelp av profilering beregner en risikoscore eller risikonivå som gjenspeiler sannsynligheten for at du vil tilbakebetale. Lavere risiko tilsier normalt høyere sannsynlighet for tilbakebetaling, mens høyere risiko tilsier lavere sannsynlighet.
   
• Opplysninger som typisk inngår i vurderingen:
  
  (i) opplysninger du gir i søknaden
  (ii) opplysninger fra kredittopplysningsforetak
  (iii) dersom du er eksisterende kunde: informasjon om hvordan tidligere kreditter og betalinger er håndtert
   
• Formålet med automatiseringen:
  
  Å sikre en enhetlig, objektiv og effektiv kredittvurdering basert på forhåndsdefinerte kriterier, samtidig som behandlingen av personopplysninger begrenses til det som er nødvendig.
   
• Gjennomfører automatiserte risikovurderinger knyttet til svindel som kan påvirke deg i betydelig grad (formål [19] og [21])
  
  Vi kan treffe automatiserte avgjørelser for å vurdere om du utgjør en svindelrisiko, når opplysninger eller atferd indikerer mulig svindel. Dette kan for eksempel gjelde avvik fra tidligere bruksmønstre, uoverensstemmelser i søknadsopplysninger eller forhold som tyder på uautorisert bruk.
  
  Av sikkerhetshensyn gir vi ikke detaljer om hvordan disse vurderingene er utformet.
   
• Gjennomfører automatiserte risikovurderinger for å motvirke hvitvasking og terrorfinansiering (AML/CFT) (formål [17])
  
  Vi kan treffe automatiserte avgjørelser for å vurdere risiko for hvitvasking eller terrorfinansiering, basert på analyser av kundeforhold, transaksjoner og kontroller mot sanksjonslister og andre relevante kontrollister.
  
  Av sikkerhetshensyn gir vi ikke detaljer om hvordan disse vurderingene er utformet.

6.3 Din rett til å protestere mot automatiserte avgjørelser

Dersom en avgjørelse er truffet utelukkende ved automatisert behandling og har rettslige konsekvenser for deg, eller på annen måte i betydelig grad påvirker deg, har du rett til å protestere.

Dette innebærer at du kan:

• be om at en person foretar en ny vurdering
• fremlegge ditt syn og ytterligere opplysninger
• få avgjørelsen vurdert på nytt av en medarbeider

Når du ber om en ny vurdering, vil en medarbeider gjennomgå avgjørelsen og vurdere om den er korrekt basert på tilgjengelig informasjon.

Har du spørsmål om profilering eller automatiserte avgjørelser, kan du kontakte oss. Kontaktopplysninger finner du i avsnitt 12.

For kundespesifikke henvendelser må vi av sikkerhetsgrunner bekrefte identiteten din. Du må derfor kontakte kundeservice eller logge inn på «Mine sider» for at vi skal kunne behandle forespørselen din.

Du kan når som helst reservere deg mot profilering for markedsføringsformål ved å kontakte oss. Dersom du reserverer deg, vil vi opphøre med slik profilering. Du kan også avslutte profilering knyttet til våre tjenester ved å avslutte det aktuelle produktet eller tjenesten.
 

Tilbake til innholdsfortegnelsen

7. Mottakere av personopplysninger

Når Entercard deler dine personopplysninger, sikrer vi at mottakerne behandler opplysningene i samsvar med denne personvernerklæringen og gjeldende personvernlovgivning. For å kunne tilby, utvikle og markedsføre våre produkter og tjenester, samt drive vår virksomhet, kan Entercard i enkelte tilfeller dele personopplysninger med andre selskaper som leverer tjenester og funksjonalitet som vi ikke selv tilbyr.

Vi skiller nedenfor mellom databehandlere (leverandører som behandler personopplysninger på vegne av Entercard og i henhold til våre instruksjoner) og selvstendige mottakere (tredjeparter som behandler personopplysninger for egne formål og som er behandlingsansvarlige for sin behandling).

Hvilke mottakere som er relevante, avhenger av situasjonen i ditt forhold til Entercard, for eksempel når du søker om eller bruker et produkt, gjennomfører betalinger, kontakter kundeservice, når Entercard inngår kommersielle samarbeid, eller når Entercard må oppfylle rettslige forpliktelser. Formålene med behandlingen og det rettslige grunnlaget for disse situasjonene er beskrevet i avsnitt 4.

7.1 Databehandlere

7.1.1 IT- og skytjenesteleverandører

Beskrivelse av mottakere
Leverandører som tilbyr IT-systemer, applikasjoner og skytjenester som Entercard benytter for å drive, vedlikeholde og videreutvikle sin virksomhet.

Hvordan er databehandleren involvert i behandlingen?
Denne typen leverandører er som regel involvert i de fleste behandlingsaktivitetene som er beskrevet i avsnitt 4, ettersom Entercards IT-miljø og systemstøtte utgjør den tekniske infrastrukturen for blant annet avtaleforvaltning, kredittvurdering, betalinger, kundeservice, sikkerhetstiltak og oppfyllelse av rettslige forpliktelser.

7.1.2 Kundeservice- og callsenterleverandører

Beskrivelse av mottakere
Leverandører som håndterer kundesamtaler og kundeservicesaker gjennom personlig kontakt på vegne av Entercard.

Hvordan er databehandleren involvert i behandlingen?
Opplysninger kan deles når du kontakter Entercard, eller når Entercard kontakter deg i forbindelse med kundeservice, avtaleforvaltning, spørsmål om betalinger, kreditt, forsikringer, klager eller andre kundehenvendelser. Kundeservice- og callsenterleverandører kan også være involvert når Entercard, innenfor rammene av gjeldende regelverk og dine valg, kontakter deg i markedsføringsøyemed, for eksempel for å informere om eller tilby tilleggstjenester som forsikringer.

Denne typen mottakere er dermed knyttet til behandlingssituasjoner som gjelder kundeforholdet, løpende administrasjon samt utvikling av våre produkter og tjenester.

7.1.3 Digitale kommunikasjonsplattformer

Beskrivelse av mottakere
Plattformer og systemer som Entercard benytter for systembasert kommunikasjon, for eksempel e-post, SMS og andre digitale meldinger.

Hvordan er databehandleren involvert i behandlingen?
Opplysninger kan deles når Entercard har behov for å kommunisere med deg i forbindelse med avtaleforvaltning, informasjonsutsendelser, sikkerhetsrelaterte meldinger, varsler om betalinger eller andre hendelser knyttet til kundeforholdet. I enkelte tilfeller kan disse plattformene også benyttes til markedsføringskommunikasjon, i den grad dette er tillatt etter gjeldende regelverk og dine valg.

7.1.4 Kortproduksjon

Beskrivelse av mottakere
Leverandører som produserer og personaliserer fysiske kredittkort, inkludert trykking, koding, pakking og distribusjon.

Hvordan er databehandleren involvert i behandlingen?
Opplysninger kan deles når et nytt kredittkort skal utstedes, erstattes eller fornyes, for eksempel ved etablering av nytt kundeforhold, kortfornyelse, sperring og utstedelse av erstatningskort eller ved endringer i kortopplysninger.

7.1.5 Elektronisk signering og digital onboarding

Beskrivelse av mottakere
Leverandører som tilbyr løsninger for elektronisk signering og digital identifisering i forbindelse med inngåelse av avtaler.

Hvordan er databehandleren involvert i behandlingen?
Opplysninger kan deles når du inngår avtale med Entercard, for eksempel ved søknad om kredittkort eller lån, ved endringer i avtalevilkår eller når Entercard må verifisere identiteten din i forbindelse med onboarding eller avtaleadministrasjon.

7.1.6 Identifisering, KYC og svindelforebyggende tjenester

Beskrivelse av mottakere
Leverandører som verifiserer identitet, gjennomfører kundekontroll (KYC) og bistår Entercard i arbeidet med å forebygge svindel og misbruk.

Hvordan er databehandleren involvert i behandlingen?
Opplysninger kan deles ved kredittvurdering, etablering av nye kundeforhold, løpende kundekontroll, transaksjonsovervåking samt ved utredning og håndtering av mistenkt svindel eller misbruk.

7.1.7 Betalingstjenester og betalingsinfrastruktur (tekniske leverandører)

Beskrivelse av mottakere
Leverandører som teknisk muliggjør betalinger og korttransaksjoner ved å tilby betalingsinfrastruktur.

Hvordan er databehandleren involvert i behandlingen?
Opplysninger kan deles når betalinger eller korttransaksjoner gjennomføres, behandles eller følges opp, for eksempel ved kjøp, tilbakebetalinger, avtalegiro, fakturering eller annen betalingsadministrasjon.

7.1.8 Forsikringsformidling

Beskrivelse av mottakere
Leverandører som støtter forsikringsrelaterte prosesser i rollen som formidler mellom Entercard og forsikringsgiver.

Hvordan er databehandleren involvert i behandlingen?
Opplysninger kan deles når du søker om, er omfattet av eller administrerer en forsikring knyttet til Entercards produkter, for eksempel ved tegning, endring eller opphør av forsikringsdekning.

7.2 Selvstendige mottakere

7.2.1 Banker og andre finansielle institusjoner

Beskrivelse av mottakere
Eksterne banker og andre finansielle institusjoner som behandler personopplysninger for egne formål.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles i forbindelse med betalinger, overføringer, finansiering, rapportering og andre finansielle transaksjoner, samt når Entercard må samarbeide med banker eller finansielle institusjoner for å oppfylle regulatoriske krav.

7.2.2 Kort- og betalingsnettverk

Beskrivelse av mottakere
Kort- og betalingsnettverk som behandler personopplysninger for egne formål og i henhold til egne regelverk, for eksempel Visa og Mastercard.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles når korttransaksjoner gjennomføres eller behandles, for eksempel ved kjøp, tilbakebetalinger, reservasjoner eller andre transaksjonsrelaterte hendelser der kort- og betalingsnettverk benyttes.

7.2.3 Kredittopplysningsforetak

Beskrivelse av mottakere
Foretak som tilbyr kredittopplysningstjenester og behandler personopplysninger for egne formål, for eksempel for å opprettholde kredittopplysningsregistre.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles ved kredittvurdering, vurdering av kredittverdighet, identitetskontroll samt ved løpende risiko- og kredittoppfølging i forbindelse med kundeforholdet.

7.2.4 Inkassoforetak og kjøpere av gjeld

Beskrivelse av mottakere
Inkassoforetak og selskaper som kjøper gjeld og behandler personopplysninger for egne formål i forbindelse med innkreving eller forvaltning av gjeld.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles når betaling uteblir og Entercard må iverksette tiltak for å inndrive eller overdra gjeld, inkludert i forbindelse med salg av gjeldsporteføljer eller due diligence i forkant av slik overdragelse.

7.2.5 Nasjonale adresse- og gjeldsregistre

Beskrivelse av mottakere
Offentlige nasjonale registre som behandler personopplysninger for egne lovpålagte formål, for eksempel adresse- eller gjeldsopplysninger.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles når Entercard må innhente eller utlevere opplysninger til offentlige registre for å oppdatere adresseopplysninger, verifisere identitet eller oppfylle lovpålagte krav knyttet til gjeldsforhold.

7.2.6 Forsikringsselskaper (selvstendige samarbeidspartnere)

Beskrivelse av mottakere
Forsikringsselskaper som behandler personopplysninger for egne formål, for eksempel risikovurdering, administrasjon og skadebehandling.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles når forsikring tilbys i tilknytning til Entercards produkter, for eksempel ved tegning, administrasjon eller behandling av forsikringssaker, der forsikringsselskapet behandler opplysningene for egne formål.

7.2.7 Samarbeidspartnere (felles merkevareprofilering)

Beskrivelse av mottakere
Eksterne produkt- eller merkevarepartnere som sammen med Entercard tilbyr felles produkter eller tjenester, og som behandler personopplysninger for egne formål.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles når Entercard tilbyr kredittkort eller lån sammen med en ekstern produkt- eller merkevarepartner, i den grad det er nødvendig for å administrere det felles tilbudet eller kundeforholdet.

7.2.8 Profesjonelle rådgivere

Beskrivelse av mottakere
Eksterne juridiske rådgivere, revisorer eller andre profesjonelle rådgivere som behandler personopplysninger for egne yrkesmessige formål.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles når Entercard har behov for å benytte eksterne juridiske rådgivere, revisorer eller andre profesjonelle rådgivere i forbindelse med rettslige prosesser, etterlevelse av regelverk, tvister eller andre saker der slik ekspertise er nødvendig.

7.2.9 Potensielle kjøpere eller samarbeidspartnere ved virksomhetsoverdragelse

Beskrivelse av mottakere
Eksterne parter som i forbindelse med virksomhetsoverdragelser, fusjoner eller omorganiseringer får tilgang til personopplysninger for egne formål som del av transaksjonen.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles ved fusjoner, oppkjøp, omorganiseringer eller andre forretningstransaksjoner, i den grad det er nødvendig for å gjennomføre transaksjonen.

7.2.10 Myndigheter og andre offentlige organer

Beskrivelse av mottakere
Myndigheter, domstoler og andre offentlige organer som behandler personopplysninger for egne lovpålagte formål.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles når Entercard er forpliktet til å utlevere opplysninger i henhold til lov, vedtak fra myndigheter eller forskrifter, for eksempel til tilsynsmyndigheter, skattemyndigheter, rettshåndhevende myndigheter eller domstoler.

7.2.11 Tredjeparter basert på ditt samtykke

Beskrivelse av mottakere
Andre eksterne parter som behandler personopplysninger for egne formål, og som kun får tilgang til opplysninger etter at du uttrykkelig har bedt om eller samtykket til dette.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles når du uttrykkelig har bedt om eller samtykket til at Entercard deler dine personopplysninger med en spesifikk ekstern part.

7.2.12 Sosiale medieplattformer

Beskrivelse av mottakere
Sosiale medieplattformer som behandler personopplysninger for egne formål i samsvar med sine egne personvernerklæringer.

I hvilke situasjoner kan personopplysninger deles?
Dersom du kontakter Entercard via sosiale medier, som Facebook, Instagram eller LinkedIn, vil dine personopplysninger bli behandlet både av Entercard og av den aktuelle plattformen i forbindelse med håndteringen av henvendelsen din.

7.2.13 Bedriftskunder (arbeidsgivere ved firmakort)

Beskrivelse av mottakere
Selskaper som tilbyr firmakort til sine ansatte, og som behandler personopplysninger for egne formål, for eksempel for å administrere ansettelsesforhold, kontrollere rett til firmakort og håndtere interne rutiner knyttet til kortbruk.

I hvilke situasjoner kan personopplysninger deles?
Opplysninger kan deles når Entercard tilbyr firmakort gjennom en bedriftskunde, og det er nødvendig å kontrollere hvem som har rett til å inneha firmakort innenfor rammen av avtalen med bedriftskunden, eller for å håndtere betalingsforpliktelser mellom Entercard og bedriftskunden. Opplysninger kan også deles ved avslutning av kortforholdet eller ved uoppgjort gjeld.
 

Tilbake til innholdsfortegnelsen

8. Overføringer utenfor EU/EØS og beskyttelsestiltak

For å kunne tilby våre produkter og tjenester og drive vår virksomhet, kan Entercard i enkelte tilfeller overføre dine personopplysninger til mottakere utenfor EU/EØS. Slike overføringer kan skje når vi deler personopplysninger med leverandører, underleverandører eller samarbeidspartnere som er etablert eller driver virksomhet i land utenfor EU/EØS. Mer informasjon om hvilke kategorier av mottakere vi deler personopplysninger med, finner du i avsnitt 7.

Når personopplysninger overføres utenfor EU/EØS, sørger Entercard alltid for at opplysningene beskyttes i samsvar med personvernforordningen (GDPR). Dine rettigheter etter GDPR, som beskrevet i avsnitt 2, påvirkes ikke av at dine personopplysninger overføres til et land utenfor EU/EØS.

Hvordan beskytter vi dine personopplysninger ved overføring til tredjeland?

Land utenfor EU/EØS kan ha lovgivning som innebærer at offentlige myndigheter i enkelte tilfeller kan ha rett til å be om tilgang til personopplysninger, for eksempel for å bekjempe kriminalitet eller ivareta nasjonal sikkerhet. Uavhengig av om det er Entercard eller en av våre leverandører som behandler personopplysningene, sørger vi for at det iverksettes egnede beskyttelsestiltak for å opprettholde et høyt beskyttelsesnivå i samsvar med GDPR.

Beskyttelsestiltakene Entercard benytter ved overføring av personopplysninger utenfor EU/EØS omfatter blant annet:

• at EU-kommisjonen har besluttet at landet personopplysningene overføres til har et tilstrekkelig beskyttelsesnivå som tilsvarer det som følger av GDPR, eller
   
• at EU-kommisjonens standard kontraktsbestemmelser (Standard Contractual Clauses, SCC) er inngått med mottakeren av personopplysningene utenfor EU/EØS. Disse bestemmelsene innebærer at mottakeren forplikter seg til å sikre et beskyttelsesnivå som tilsvarer kravene i GDPR. I forbindelse med slike overføringer vurderer Entercard også om lovgivningen i mottakerlandet kan påvirke beskyttelsen av personopplysningene, og iverksetter ved behov supplerende tekniske og organisatoriske tiltak, eller
   
• at overføringen skjer innenfor rammen av bindende virksomhetsregler (Binding Corporate Rules, BCR) som er godkjent av en kompetent datatilsynsmyndighet, og som sikrer at personopplysninger som overføres innen en konserngruppe, beskyttes på et nivå som tilsvarer GDPR, eller
   
• at overføringen er omfattet av EU–US Data Privacy Framework, når mottakeren er etablert i USA og sertifisert i henhold til dette rammeverket.

Mer informasjon

Dersom du ønsker mer informasjon om hvilke beskyttelsestiltak Entercard benytter ved overføring av personopplysninger utenfor EU/EØS, eller hvordan du kan få tilgang til relevant dokumentasjon, er du velkommen til å kontakte oss. Kontaktopplysninger finner du i avsnitt 12.

Du kan også lese mer om:

• hvilke land som anses å ha et tilstrekkelig beskyttelsesnivå, og
• EU-kommisjonens standard kontraktsbestemmelser og bindende virksomhetsregler (BCR) på EU-kommisjonens nettsider.
   

Tilbake til innholdsfortegnelsen

9. Lagringstider

Hvor lenge Entercard lagrer dine personopplysninger, avhenger av formålet opplysningene brukes til og hvilke lovkrav som gjelder. Mer informasjon om Entercards formål og når behandlingen opphører, finner du i avsnitt 4.

Avtale og kundeforhold

Personopplysninger som brukes for å administrere ditt avtaleforhold med Entercard, for eksempel for kredittkort, lån, betalinger, kundeservice eller innkreving, lagres normalt så lenge avtalen gjelder. Deretter kan opplysningene lagres i opptil 10 år for å oppfylle regler om foreldelse og for å håndtere eventuelle rettslige krav (foreldelsesloven).

Lovkrav

Enkelte personopplysninger må Entercard lagre i henhold til lov, også etter at kundeforholdet er avsluttet. Dette gjelder for eksempel:

• Hvitvaskingsregelverket – opplysninger om kundekontroll og transaksjoner lagres normalt i 5 år etter at kundeforholdet er avsluttet.
• Bokføringsregelverket – regnskapsmateriale og økonomisk informasjon lagres i 5 år etter utløpet av regnskapsåret.

Disse lagringstidene er lovpålagte og gjelder uavhengig av hva som ellers er angitt for de enkelte formålene i avsnitt 4.

Dersom det ikke inngås avtale

Dersom du søker om et produkt (for eksempel kredittkort eller lån), men det ikke inngås avtale, og det ikke foreligger lovkrav om lagring, behandles personopplysningene som følger:

• Saksbehandling og kredittvurdering: Opplysningene behandles så lenge det er nødvendig for å behandle søknaden og fatte en avgjørelse (se formål [2] i avsnitt 4).
   
• Etter avslag (dokumentasjon og saksbehandling): Ved avslag kan opplysninger om søknaden, kredittbeslutningen og relevant dokumentasjon behandles i opptil ett (1) år fra beslutningsdato for å håndtere innsigelser, tilsynssaker samt for å fastsette, gjøre gjeldende eller forsvare rettslige krav (se formål [2] og [31] i avsnitt 4).
   
• Gjenbruk av kredittopplysninger ved ny søknad: Dersom du søker på nytt innen seks (6) måneder etter et avslag, kan tidligere innhentede kredittopplysninger gjenbrukes dersom vurderingen fortsatt fører til avslag. Dersom vurderingen kan føre til godkjenning, innhentes det alltid en ny kredittopplysning (se formål [2] i avsnitt 4).

Dersom det pågår en klage, innsigelse, tilsynssak eller rettslig prosess ved utløpet av ett (1) år, kan opplysningene lagres lenger i den utstrekning det er nødvendig for å håndtere saken.

Personopplysninger fra kredittsøknader som ikke fører til avtale, kan også behandles i en begrenset periode etter avsluttet søknad dersom det er nødvendig for analyse- og utviklingsformål, for eksempel for å utvikle, teste, validere og forbedre analytiske modeller. Slik bruk skjer i tråd med prinsippene i avsnitt 4 og er begrenset til det som er nødvendig. Når det er mulig, anonymiseres opplysningene, noe som innebærer at videre behandling av personopplysninger ikke finner sted.

Mer informasjon om slike behandlinger og hvordan lagringstider fastsettes, finner du i avsnitt 4.

Særlige regler

I enkelte tilfeller kan opplysninger lagres lenger for å oppfylle krav knyttet til blant annet kapitalkrav og tilsyn som gjelder for Entercards virksomhet. Også i slike tilfeller fremgår relevante lagringstider per formål i avsnitt 4, i den grad det er mulig å angi dem.

Hva innebærer dette for sletting?

I henhold til personvernforordningen har du i visse tilfeller rett til å få dine personopplysninger slettet. Mer informasjon om denne retten finner du i avsnitt 2.

Lovkravene nevnt ovenfor kan imidlertid innebære at Entercard ikke kan slette enkelte opplysninger, selv om du ber om det. Dette gjelder blant annet når vi er forpliktet til å lagre opplysninger etter hvitvaskingsregelverket, bokføringsregelverket eller andre lovpålagte krav.

Når personopplysninger må lagres i henhold til lov, brukes de kun for å oppfylle disse forpliktelsene og ikke til andre formål. Dersom det ikke foreligger lovkrav om lagring, vurderer Entercard om opplysningene fortsatt er nødvendige, for eksempel for å fastsette, gjøre gjeldende eller forsvare rettslige krav, i tråd med prinsippene og lagringstidene beskrevet i avsnitt 4.

Tilbake til innholdsfortegnelsen

10. Informasjonskapsler (cookies) og annen sporingsteknologi

For at våre digitale tjenester skal fungere på en sikker og hensiktsmessig måte, og for å gi deg en best mulig brukeropplevelse, benytter Entercard informasjonskapsler (cookies) og lignende sporingsteknologi i våre grensesnitt, for eksempel på våre nettsider og i våre apper.

Informasjonskapsler og annen sporingsteknologi brukes blant annet til å:

• muliggjøre grunnleggende funksjonalitet på våre nettsider
• forbedre ytelse og brukeropplevelse
• analysere bruk og trafikkmønstre
• tilpasse innhold og funksjoner basert på brukeratferd

Informasjon om hvilke sporingsteknologier som benyttes, formålet med disse og hvordan du kan samtykke til, avvise eller administrere innstillingene, er tilgjengelig i de aktuelle grensesnittene der teknologien brukes.

I tilfeller der lovgivningen krever ditt samtykke for bruk av visse typer informasjonskapsler eller sporingsteknologi, vil du få mulighet til å gi eller trekke tilbake samtykket før teknologien tas i bruk.

Tilbake til innholdsfortegnelsen

11. Endringer i denne personvernerklæringen

Entercard arbeider kontinuerlig med å forbedre våre produkter og tjenester, og tilpasse virksomheten til endrede forretningsbehov, teknologiske forutsetninger og rettslige krav. Dette kan medføre at innholdet i denne personvernerklæringen oppdateres for å gjenspeile endringer i hvordan vi behandler personopplysninger.

Dersom en endring innebærer at du skal informeres eller gis mulighet til å gi samtykke i henhold til gjeldende regelverk, vil vi sørge for at du mottar slik informasjon eller får anledning til å gi ditt samtykke.

Vi anbefaler at du leser gjennom denne personvernerklæringen jevnlig når du benytter våre produkter og tjenester, da oppdateringer kan påvirke hvordan dine personopplysninger behandles.

Tilbake til innholdsfortegnelsen

12. Kontaktopplysninger til Entercard

Entercard har et personvernombud som fører tilsyn med etterlevelsen av personvernlovgivningen og fungerer som kontaktpunkt i spørsmål som gjelder behandling av personopplysninger.

Dersom du har spørsmål om hvordan Entercard behandler personopplysninger, inkludert spørsmål om profilering og/eller automatiserte avgjørelser, kan du kontakte Entercards personvernombud:

• E-post (personvernombud): dpo@entercard.com
• Telefon: +46 (0)8 737 14 00

Identifisering ved kunde- og søknadsspesifikke henvendelser

For henvendelser som gjelder deg personlig, for eksempel når du ønsker å utøve dine rettigheter etter GDPR eller har spørsmål om et konkret kundeforhold eller en søknad, må Entercard av hensyn til taushetsplikt og sikkerhet verifisere identiteten din før vi kan behandle saken.

Avhengig av hva henvendelsen gjelder, kan du bli bedt om å:

• kontakte Entercards kundeservice og identifisere deg, eller
• logge inn på nettbanken og kontakte oss der

Kundeservice håndterer kunde- og søknadsspesifikke henvendelser, og bistår også i personvernsaker som krever identifisering.

Kontaktopplysninger til kundeservice finner du på våre nettsider. Hvilket telefonnummer du skal bruke, avhenger av hvilken tjeneste eller produkt henvendelsen gjelder.

Identifiseringen gjennomføres for å beskytte dine personopplysninger og sikre at informasjon kun gis til riktig person.
 

Tilbake til innholdsfortegnelsen