Resurs NPL:s behandling av personuppgifter enligt Dataskyddsförordningen
För behandlingen av dina personuppgifter är Resurs NPL 1 AB med adress Box 22209, 250 24 Helsingborg och med organisationsnummer 559433-2974 personuppgiftsansvarig (i det följande ” Resurs NPL”). Som personuppgiftsansvarig innebär det att vi har en skyldighet att säkerställa att hantering av personuppgifter sker på ett säkert sätt och enligt gällande lagar och regler.
EU:s Dataskyddsförordningen (2016/679), på engelska kallad General Data Protection Regulation (GDPR) gäller som lag inom EU:s alla medlemsländer och syftar bland annat till att stärka medborgarnas grundläggande rättigheter genom att ge de personer vars personuppgifter behandlas, det vill säga de som är registrerade, kontroll över hur deras personuppgifter används.
Resurs NPL är ett dotterbolag till Resurs Bank Aktiebolag med organisationsnummer 516401-0208 (i det följande ”Resurs Bank”). Resurs NPL bedriver finansiell verksamhet genom att medverka vid finansiering av krediter från Resurs Bank. Mellan Resurs NPL och Resurs Bank finns ett avtal som reglerar hur en sådan finansiering ska ske, i samband med att Resurs Bank överlåter en fordran till Resurs NPL. Resurs Bank är fortsatt att betrakta som personuppgiftsansvarig för sin del av behandlingen och kommer även fortsättningsvis att hantera personuppgifter om dig för att kunna utföra vissa tjänster åt Resurs NPL. Resurs NPL har också anlitat Lowell Sverige AB (”Lowell”) för administration av fordringar. Lowell är personuppgiftsansvarig för sin del av behandlingen och kommer att vara din främsta kontakt vad gäller hantering av och frågor kring fordringen. Respektive bolag beskriver sin del av behandlingen på sin hemsida.
När vi pratar om personuppgiftsbehandling enligt nedan använder vi ibland begreppet ”registrerad”. Med det menar vi en person som har en avtalsrelation med Resurs NPL (en kund) genom att Resurs Bank har överlåtit en kreditfordran till Resurs NPL. Det kan också undantagsvis även vara en annan person som har någon form av anknytning till den överlåtna fordran, till exempel en borgensman, pantsättare, verklig huvudman, betalare, god man, förvaltare, fullmaktshavare, företrädare, närståendeperson eller kontaktperson. När vi skriver ”du” nedan menar vi dessa olika kategorier av registrerade.
Resurs NPL har utsett ett dataskyddsombud som har till särskild uppgift att bevaka dataskyddsfrågor och ska övervaka att Dataskyddsförordningen följs.
Insamling av personuppgifter
Den personliga information som vi samlar in om dig hanteras på ett ansvarsfullt sätt med hänsyn till din integritet. Resurs NPL behandlar framförallt personuppgifter som lämnas av Resurs Bank i samband med överlåtelse av en fordran. Vi behandlar också personuppgifter som lämnas direkt av dig i samband med administration av avtalet, samt personuppgifter som lämnas via tredje parter såsom Lowell, kreditupplysningsbyråer och kontoförvaltande institut (till exempel en annan bank). I det fall att uppgifterna kommer från någon annan än dig själv kommer du att informeras om att vi kommer att behandla uppgifterna. Du kommer likaså att informeras om syftet med behandlingen samt få annan nödvändig information kring behandlingen.
Typer av personuppgifter
Identifikationsuppgifter: t.ex. personnummer, namn, identifikationshandling.
Kontaktaktuppgifter: t.ex. postadress, telefonnummer och e-postadress.
Produktrelaterad information: t.ex. datum för när krediten beviljades, ursprungligt kreditbelopp och nuvarande skuld samt gällande ränta.
Ekonomiska förhållanden: t.ex. inkomst, tillgångar och skulder samt transaktionsinformation.
Profiluppgifter: T.ex. ålder, kön, postort, land.
Uppgifter som krävs enligt lag: t.ex. uppgifter som krävs för grundläggande kundkännedom och bekämpning av penningtvätt, såsom identifikationsuppgifter och information från externa sanktionslistor och PEP-listor.
Ändamål med personuppgiftsbehandlingen
Resurs NPL behandlar personuppgifterna för de ändamål som anges nedan i detta avsnitt.
Förberedelse och administration av avtal (fullgörande av avtal)
Det huvudsakliga ändamålet med Resurs NPL:s behandling av personuppgifter är i syfte att förvärva fordran från Resurs Bank och därigenom bli din avtalspart.
Utifrån detta ändamål kan vi samla in, kontrollera och registrera de personuppgifter om dig som krävs inför ett ingående av ett avtal samt för att dokumentera, administrera och fullgöra ingångna avtal med dig.
Uppfyllande av förpliktelser enligt lag, annan författning eller myndighetsbeslut (rättslig förpliktelse)
I anslutning till stycket ovan (Förberedelse och administration av avtal) sker också behandling av personuppgifter för att Resurs NPL ska kunna uppfylla sina förpliktelser enligt lag, annan författning eller myndighetsbeslut.
Exempel på sådan behandling är behandling av personuppgifter för att uppfylla de krav som finns i konsumentkreditlagen, bokföringslagen och penningtvättslagen. Det kan också vara kontroll av personuppgifterna mot sanktionslistor som Resurs NPL enligt lag eller myndighetsbeslut är skyldig att göra eller tillämpar i syfte att säkerställa att inte bristande förutsättningar föreligger för att genomföra vissa banktjänster. Behandling av personuppgifter kan också ske i samband med rapportering till olika myndigheter, såsom Skatteverket, Polismyndigheten, Kronofogdemyndigheten och Finansinspektionen.
Kundanalyser samt andra intresseavvägningar (berättigat intresse)
En personuppgiftsbehandling kan ske med stöd av en intresseavvägning. Så sker till exempel när vi säljer kundfordringar till en annan aktör, för att motverka och utreda bedrägerier och andra brott, säkerställa IT-säkerhet och IT-drift, samt fastställa, göra gällande eller försvara rättsliga anspråk.
Vi strävar efter att så långt det är möjligt anonymisera dina personuppgifter för att behandla så få av dina personuppgifter som möjligt. Personuppgifter kan dock i vissa fall behandlas för utförande av kundanalyser som ett led i vår affärsutveckling, vilket görs med stöd av en intresseavvägning.
Samtycke till behandling av personuppgifter
När den lagliga grunden för behandling av personuppgifter är samtycke får du eller annan som är registrerad lämna ett samtycke eller uttryckligt samtycke till att personuppgifterna får behandlas för de ändamål som anges i samtycket. Typiskt sett använder vi oss inte av samtycke som rättslig grund. Du har rätt att när som helst återkalla ett eventuellt samtycke. Läs mer om detta under rubriken Rätt att återkalla samtycke.
Tider under vilka personuppgifter sparas
Resurs NPL sparar endast personuppgifter under den tid som det är nödvändigt och under förutsättning att vi har en rättslig grund för att spara uppgifterna. Till exempel sparar vi personuppgifterna så länge som det finns ett avtalsförhållande mellan dig och oss. Även efter att avtalet har avslutats finns det i vissa fall lagstiftning som gör att Resurs NPL måste spara uppgifterna under längre tid, till exempel för att vi ska uppfylla gällande lagstiftning avseende motverkande av penningtvätt(i normalfallet 5 år) och bokföring (7 år).
Behandling av personuppgifter av annan än Resurs NPL
Behandling av personuppgifterna kan, inom ramen för gällande regler om banksekretess och för ändamål som anges ovan, ske av 1) bolag i koncernen, framför allt av Resurs Bank 2) av företag som koncernen samarbetar med bland annat för att utföra sina tjänster, framförallt Lowell i egenskap av administratör av överlåtna fordringar, men även till exempelvis Finansiell ID-teknik (Bank-ID). 3) av andra banker, 4) inkassobolag och 5) av myndigheter såsom Polismyndigheten. Den rättsliga grunden för behandlingen framgår ovan under Ändamål med personuppgiftsbehandling.
Profilering
Med profilering avses automatisk behandling av personuppgifter som används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga exempelvis dennes ekonomiska situation. Profilering används av oss vid till exempel kundanalyser och transaktionsmonitorering utifrån att motverka penningtvätt och terrorismfinansiering. Den rättsliga grunden för profilering är bankens berättigade intresse och rättslig förpliktelse.
Automatiserade beslut
Vi använder oss inte av automatiserat beslutsfattande.
Överföring till tredje land
Bolaget har som mål att alltid behandla dina personuppgifter inom Europeiska unionen (”EU”)/Europeiska ekonomiska samarbetsområdet (”EES”). I vissa begränsade fall kan NPL komma att överföra eller dela personuppgifter med andra parter såsom leverantörer eller underleverantörer där behandling av personuppgifter sker eller kan komma att ske utanför EU/EES (s.k. tredjeland). Resurs NPL har i sådana fall en skyldighet att se till att lämpliga skyddsåtgärder vidtas enligt tillämplig dataskyddslagstiftning innan uppgifterna överförs genom att någon av nedanstående förutsättningar är uppfyllda:
Att försäkra oss om att landet dit uppgifterna överförs uppfyller krav på adekvat skyddsnivå enligt EU-kommissionens beslut, vilket innebär att landet har en tillräckligt hög skyddsnivå för överföring av personuppgifter. Via följande länk¹ hittar du information om de länder utanför EU/EES som EU-kommissionen beslutat uppfyller en adekvat skyddsnivå för tillåten överföring av personuppgifter.
Att använda standardavtalsklausuler(SCC) som EU-kommissionen har beslutat om, vilka tillförsäkrar att lämpliga åtgärder vidtas för att tillvarata dina rättigheter och friheter. Du hittar mer information om standardavtalsklausulerna på Integritetsskyddsmyndighetens (IMY) hemsida här².
Att använda bindande företagsbestämmelser (BCR). Resurs NPL har själv inte antagit några sådana, men underleverantörer till oss har. Bindande företagsbestämmelser måste godkännas av en dataskyddsmyndighet i EU och genomgår dessförinnan en omfattande granskning av dataskyddsmyndighet/er. För ytterligare information kontakta oss enligt rubriken nedan Hur du använder dina rättigheter och våra kontaktuppgifter.
Att det i övrigt är tillåtet enligt dataskyddslagstiftning såsom i vissa särskilda situationer och enstaka fall. Det kan till exempel vara att leverantörer anslutit sig till en godkänd uppförandekod eller certifieringsmekanism, mer information hittar du på IMY:s hemsida här, eller undantagssituationer såsom ditt uttryckliga samtycke eller att vi utövar eller försvarar ett rättsligt anspråk. För ytterligare information kontakta oss enligt rubriken nedan Hur du använder dina rättigheter och våra kontaktuppgifter.
Uppdatering av policyn
I samband med att vi förbättrar och utvecklar våra produkter och tjänster kan det medföra förändringar av dessa och därför kan också innehållet i denna policy komma att uppdateras. Vi kommer att publicera den uppdaterade policyn på vår webbplats. Vi ber dig därför att hålla dig uppdaterad med vår policy vid användning av våra produkter, tjänster och webbplats.
Dina rättigheter
Nedan beskriver vi dina rättigheter som kund hos Resurs NPL eller av annan anledning är registrerad hos oss.
Rätt till information
Du som är kund hos Resurs NPL har rätt att bli informerad om hur vi behandlar dina personuppgifter. Informationen ges genom denna policy för behandling av personuppgifter.
Rätten till tillgång
Du har rätt att få information om vilka personuppgifter som vi behandlar om dig (registerutdrag). En förutsättning för att du ska få registerutdrag är att vi kan identifiera dig på ett säkert sätt så att obehöriga inte ges möjlighet att ta del av dina uppgifter. Hur du går tillväga kan du se nedan under rubriken Hur du använder dina rättigheter och våra kontaktuppgifter. Vi behandlar din förfrågan så snart som möjligt och i normalfallet inom en månad.
I vissa begränsade fall kan din rätt till tillgång vara begränsad av hänsyn till andra personers integritet eller på grund av lag eller skyddet för våra affärshemligheter. Vi gör därför alltid en individuell genomgång vid registerutdragsförfrågningar.
Dataportabilitet
Du kan också kan begära att få ut en elektronisk kopia av informationen som visar vilka personuppgifter du själv har tillhandahållit Resurs Bank och som vi i vår tur behandlar elektroniskt. Du har möjlighet att begära att uppgifterna överförs till en annan personuppgiftsansvarig, när det är tekniskt möjligt. En sådan begäran om dataportabilitet görs på samma sätt som en begäran om registerutdrag och liksom i det fallet är det nödvändigt att Resurs NPL kan identifiera dig på ett säkert sätt så att obehöriga inte ges möjlighet att ta del av personuppgifterna.
Rätt till rättelse
Du har rätt att få felaktiga personuppgifter om dig själv rättade och även komplettera personuppgifterna om dessa är ofullständiga.
Rätt till begränsning
Under vissa förutsättningar har du rätt att begära att behandlingen av dina personuppgifter begränsas. Om du exempelvis anser att uppgifter om dig är felaktiga och du har begärt rättelse av dessa uppgifter, så kan du kräva att vi ska begränsa vår behandling medan frågan utreds. Det skulle t.ex. kunna handla om felaktiga kontaktuppgifter och du begär att ingen kontakt får göras tills frågan utretts.
Rätt att bli bortglömd
Likaså har du rätt att i vissa fall begära att vi raderar dina personuppgifter. Du har rätt till radering om behandlingen är olaglig, du återkallar ett samtycke och vi saknar annan rättslig grund för fortsatt behandling eller du invänder mot behandlingen och det inte finns något berättigat skäl för fortsatt behandling.
I de flesta fall stöds dock vår behandling på avtal med dig om överlåten fordran från Resurs Bank och vi kan då inte radera sådana uppgifter som vi behöver för att uppfylla eller bevisa vårt avtal med dig. För Resurs NPL finns också i vissa fall annan lagstiftning som gör att vi inte alltid omedelbart kan radera dina personuppgifter. Resurs NPL är skyldig att spara dina personuppgifter under viss tid för att kunna uppfylla krav i lagstiftning om exempelvis bokföring, motverkande av penningtvätt.
Rätt att invända
Du har rätt att invända mot Resurs NPL:s behandling av dina personuppgifter när du anser att det finns omständigheter som gör att behandlingen inte utförs i enlighet med gällande regler.
Rätt att invända mot automatiserade beslut
Du har rätt att invända mot beslut som enbart grundas på automatiserad behandling, om beslutet får rättsliga (juridiska) följder för dig eller på liknande sätt i betydande grad påverkar din situation/har inverkan på din tillvaro. Antingen kan du be att få ärendet granskat av en fysisk person alternativt kan du bestrida det, i båda fallen genom att kontakta oss muntligen eller skriftligen. Se rubriken ovan Automatiserade beslut om hur Resurs NPL använder automatiserade beslut.
Rätt att återkalla samtycke
Om du har lämnat samtycke till behandling av dina personuppgifter kan du alltid återkalla samtycket. Om vi inte har någon annan laglig grund för behandlingen kommer vi radera uppgifter som vi behandlar baserat på ditt samtycke. Trots att du återkallar ett samtycke kan vi i vissa fall ändå behöva spara uppgifterna. Detta kan vi enbart göra om vi har en annan rättslig grund för behandlingen. Den vanligast förekommande grunden är att det för oss som finansiellt institut föreligger en rättslig förpliktelse att spara uppgifterna, exempelvis enligt penningtvättslagen. Se mer om detta under rubriken ”Uppfyllande av förpliktelser enligt lag, annan författning eller myndighetsbeslut (rättslig förpliktelse)”.
Rätt att lämna in klagomål
Du har rätt att lämna in klagomål till Integritetsskyddsmyndigheten (IMY) avseende vår personuppgiftsbehandling. Läs mer om klagomål till IMY här.
Hur du använder dina rättigheter och våra kontaktuppgifter
Om du vill använda dig av någon av dina kundrättigheter eller har andra frågor som rör vår personuppgiftsbehandling, är du välkommen att kontakta oss, muntligen eller skriftligen.
Telefon: 0771-11 22 33 (Kundtjänst)
E-post: kundservice@resurs.se
Adress: Resurs NPL 1 AB, Box 22209, SE-250 24 Helsingborg
Vi har också utsett ett dataskyddsombud som du kan kontakta genom att skicka ett mail till DPO@resurs.se eller via adressen: Resurs NPL1, Data Protection Officer, Box 22209, SE-250 24 Helsingborg
Du kan också läsa om Dataskyddsförordningen på Integritetsskyddsmyndighetens (IMY) hemsida.