Personvern

I Europa vil et nytt personvernregelverk, General Data Protection Regulation (GDPR), tre i kraft 25. mai 2018. Dette regelverket vil sammen med ny norsk personopplysningslov tre i kraft i Norge tidligst 1. juli 2018. Det betyr at noen av de nye rettighetene som GDPR gir deg, og som er omtalt her, trer i kraft litt senere i Norge enn ellers i Europa.

De personopplysningene som DNB registrerer, vil i hovedsak innhentes direkte fra deg som kunde, for eksempel i forbindelse med behandling av søknad om lån og andre produkter, eller når du på annen måte benytter deg av våre tjenester.

For å kunne tilby deg tjenester og overholde lovkrav vil DNB også innhente personopplysninger fra tredjeparter. For eksempel kan vi i forbindelse med utbetalinger samle inn opplysninger fra avsendere, butikker, banker, betalingstjenesteleverandører og andre.

Eksempler på slike informasjonskilder kan være:

• offentlig tilgjengelige kilder og andre eksterne kilder/registre som føres av offentlige myndigheter (for eksempel Folkeregisteret og registre hos skattemyndigheter)
• firmaregistre
• kriminalitetsbekjempende myndigheter (for eksempel politiet, økokrim, etc.)
• sanksjonslister (som føres av internasjonale organisasjoner som EU og FN samt nasjonale organisasjoner som Office of Foreign Assets Control (OFAC))
• sosiale medier
• agenter og distributører
• registre som føres av kredittopplysningsbyråer og andre kommersielle informasjonstjenester som leverer informasjon om for eksempel reelle rettighetshavere og politisk eksponerte personer

Dersom DNB har fått fullmakt fra deg, kan vi også i enkelte tilfeller innhente helseopplysninger fra helseinstitusjoner. 

Når du besøker et av DNBs nettsteder (for eksempel www.dnb.no eller m.dnb.no), registrerer vi ulike typer informasjon om deg i en "cookie" (informasjonskapsel). En cookie er en liten fil som lagres lokalt hos deg. Den er ikke skadelig og kan ikke inneholde virus eller programmer. Det den gjør, er å lagre informasjon fra nettstedet vårt, for eksempel når du besøkte oss sist eller data du har tastet inn i et bestillingsskjema. Det er en cookie som gjør at nettstedet vårt for eksempel husker hvilket språk du foretrekker eller hvordan du logget deg på sist og legger dette som standard valg for deg. All datatrafikk mellom din nettleser og våre servere er kryptert og blir lagret ihht våre strenge krav til datasikkerhet.

Hvilken informasjon registreres om deg som bruker?
Når du besøker DNB på nett, registrerer vi ulike typer informasjon om deg som bruker. Du skal få vite om og godkjenne hvilke opplysninger som behandles når det kreves etter lov om elektronisk kommunikasjon § 2-7b, hva formålet med behandlingen er og hvem som behandler opplysningene.

Informasjonen som registreres, kan for eksempel være:

• din posisjon, ved bruk av IP-adresse, posisjonsdata eller lignende
• din web-adferd, som hvilke sider du besøker og hvor ofte eller produkter du bestiller
• teknisk informasjon om din nettleser og ditt operativsystem

Formål og hvordan vi benytter data som er samlet inn på nettstedet
Data om din web-adferd blir brukt til flere ulike formål.

Analytiske formål
For å kunne lære av din og andre brukeres adferd benytter vi et system som heter Webtrends Analytics. Her analyserer vi data slik at vi kan forbedre nettstedets funksjonalitet, brukeropplevelse og innhold. Data fra Webtrends’ informasjonskapsler, som for eksempel IP-adresse, lagres anonymisert på Webtrends’ servere i USA. Disse verdiene er anonyme og inneholder ingen informasjon som kan spores tilbake til deg, og anonymisering gjør at ingen informasjon kan spores tilbake til deg.  Informasjonskapsler som brukes til dette formålet:

• WT_FPC – tilfeldig generert identifikator for ditt besøk og din nettleser
• ACOOKIE – gir informasjon om ditt besøk til WT_FPC
• UTAG_MAIN – tilfeldig generert identifikator for ditt besøk og din nettleser.

Vi bruker et Tag Management System som heter Tealium IQ for å administrere verktøyene vi bruker i forbindelse med analyse og markedsføring. Her lagres det ikke data. 

Tekniske formål
 For at nettstedet vårt skal være så stabilt som mulig fordeler vi trafikk på flere servere med en trafikkfordeler «junction». Informasjonskapsler som brukes til dette formålet:

• IV_JCT

Personlig tilpasninger 
For å sikre at innholdet på nettsiden blir mest mulig relevant for deg bruker vi informasjonskapsler som inneholder data som for eksempel språk, segment og digital enhet. Opplysningene vi innhenter i forbindelse med bruk av nettstedet, kan i visse tilfeller bli kombinert med informasjon fra ditt øvrige kundeforhold.

Informasjonskapsler som brukes til dette formålet:

• Sp
• portal_scriptable
• portal_persistent
• dnbnorsession
• deviceinfo
• NorSegdOpSitesSessionID

Markedsføring 
Vi bruker informasjonskapsler utstedt av tredjepart for å gi deg mer relevante annonser og tilbud i andre kanaler. Dette er data basert på innhold og sider du har besøkt hos oss. Informasjonen i informasjonskapslene vil bli aggregert før den sendes til tredjepart. Det betyr at informasjon blir lagt sammen og anonymisert slik at tredjepartene ikke får personopplysninger eller annen informasjon som kan identifisere deg som bruker av våre internettsider. Personopplysningsloven, personvernforordningen og markedsføringsloven regulerer nærmere bruk av kundeopplysninger til dette formålet. Tredjepartsaktører vi bruker, er Google, YouTube, Facebook, Adform og DoubleClick.net. 
Informasjonskapsler fra tredjepart som brukes til dette formålet:

• Id
• NID
• PREF
• YSC
• VISITOR_INFO1_LIVE

Les mer om hvordan Google bruker de ulike informasjonskapslene nevnt over. 

Innstillinger for bruk av informasjonskapsler i nettlesere
Ved å tillate bruk av informasjonskapsler vil du kunne få en mer relevant brukeropplevelse av nettsteder du besøker. Du kan likevel endre på dette ved å gjøre endringer i innstillinger i din nettleser. På nettvett.no finner du beskrivelser om hvordan du kan du kan slette eller avvise informasjonskapsler.

DNB er lovpålagt (for eksempel i henhold til Verdipapirloven) å gjøre opptak av telefonsamtaler og oppbevare elektronisk kommunikasjon når du som kunde får råd om lån, sparing, investering eller lignende tjenester. DNB gjør opptak av alle samtaler du har med rådgivere eller meglere, for eksempel i Markets, DNB Private Banking eller DNB Asset Management, som yter disse tjenestene.

DNB vil kunne lytte til samtaler og se på annen elektronisk kommunikasjon i kvalitetskontrolløyemed.

Lagringstid:
Opptaket skal kun brukes når du eller vi har behov for å dokumentere vår rådgivning. Opptak lagres i minst fem år og blir slettet når DNB ikke lenger har rettslig grunnlag for videre lagring.

Utlevering til andre:
DNB kan bli pålagt å utlevere informasjon til offentlig myndighet og andre som kan kreve dette i medhold av lov. I tillegg vil informasjon kunne bli utlevert til Finansklagenemnda, blant annet i forbindelse med behandling av klagesaker.

Avspillingsrett:
Anmodning om innsyn i dokumentasjon av investeringstjenester og avspilling av lydopptak rettes skriftlig til Reklamasjon: DNB Bank ASA, Kort- og bankreklamasjoner, Beddingen 16, 7469 Trondheim. En slik anmodning kan du komme med inntil fem år fra da samtalen ble tatt opp. Ved anmodning om avspilling av lydopptak må du oppgi tidspunkt for når samtalen ble gjennomført og fra hvilket telefonnummer.

For å forebygge og avdekke straffbare handlinger foretar DNB bildeopptak ved kameraovervåking av eiendom som DNB forvalter eller leier. 

Bildeopptak ved kameraovervåking kontrollert av DNB oppbevares som et utgangspunkt i 7 dager etter opptakstidspunktet. Kameraovervåking av banklokaler, ekspedisjonssteder, minibanker og betalingsterminaler i tilknytning til «bank i butikk» oppbevares i 90 dager. Disse oppbevaringsperiodene gjelder med mindre bilde opptakene er utlevert til politiet eller DNB har rett til å behandle bildeopptakene til annet formål.

DNB vil bruke dine personopplysninger for å oppfylle de forpliktelser som vi har påtatt oss for gjennomføring av oppdrag og tjenesteavtaler med deg, samt kundeadministrasjon og fakturering.

Uten samtykke fra deg vil finansforetakene i DNB-konsernet kunne dele følgende nøytrale opplysninger seg imellom, og benytte disse til markedsføring: for eksempel navn, kontaktopplysninger, fødselsdato og hvilke tjenester eller produkter du har inngått avtale om. Konsernets verdipapirforetak og forvaltningsselskap, DNB Markets og DNB Asset Management, er underlagt strenge taushetsbestemmelser som medfører begrensninger i utlevering av personopplysninger mellom disse foretakene og banken.

DNB kan behandle personopplysningene i markedsføringsøyemed dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til ditt personvern. Markedsføres produkter og tjenester innen en annen produktkategori enn den som DNB og du har inngått avtale om, kreves det samtykke fra deg for å benytte andre kundeopplysninger enn de nøytrale.

Med «profilering» mener vi enhver form for automatisert behandling av personopplysninger som brukes til å vurdere egenskaper knyttet til deg. For eksempel for å analysere eller forutsi aspekter som gjelder din økonomiske situasjon, dine personlige preferanser eller transaksjonsatferd.

Profilering brukes i DNB i forbindelse med utarbeidelse og gjennomføring av markedsføringskampanjer, til kundeoppfølgingsformål og ved utarbeidelse av produkttilbud. DNB har en berettiget interesse til å bruke profilering, for eksempel når vi foretar kundeanalyse til markedsføringsformål eller transaksjonsovervåkning for å avdekke svindel.

DNB-konsernet har et felles kunderegister. Formålet med konsernkunderegisteret er å administrere kundeforholdet og samordne tilbudet av tjenester og rådgivning fra de forskjellige selskapene i konsernet.

Konsernkunderegisteret vil inneholde nøytrale opplysninger om deg, som navn, fødselsdato, adresse og andre kontaktopplysninger, opplysninger om hvilket konsernselskap du er kunde i, og hvilke tjenester og produkter du har avtale om. Fødselsnummer kan utleveres til og registreres i et felles konsernkunderegister når formålet er administrasjon av kundeforhold.

DNB har gjennomført tekniske og organisatoriske sikkerhetstiltak for å sikre dine personopplysninger. DNB jobber kontinuerlig med å sikre at dine personopplysninger er beskyttet mot tap, ødeleggelse, korrupsjon eller uautorisert tilgang. Vi har et rammeverk for sikkerhet som oppdateres jevnlig i tråd med den teknologiske utviklingen.

DNB vil etter regler i finansieringsvirksomhetsloven og verdipapirloven behandle kredittopplysninger og andre personopplysninger. Dette gjøres i forbindelse med etablering av ditt kundeforhold, vurdering av hvilke tjenester og produkter som er egnet for deg, og bruk av systemer for beregning av kapitalkrav for kredittrisiko.

Systemer for interne målinger omfatter DNBs modeller, arbeids- og beslutningsprosesser for kredittgivning og kredittstyring, kontrollmekanismer, IT-systemer og interne retningslinjer som er knyttet til klassifisering og kvantifisering av institusjonens kredittrisiko og annen relevant risiko. Personopplysninger til dette formålet innhentes fra kredittopplysningsforetak.

DNB kan behandle personopplysninger til det formål å forebygge, avdekke, oppklare og håndtere bedragerier og andre straffbare handlinger. I slike tilfeller vil DNB kunne være forpliktet til å innhente informasjon og utlevere opplysninger til andre banker og finansinstitusjoner, politiet og andre offentlige myndigheter. Oppbevaringstiden vil være inntil ti år etter registreringen. DNB vil behandle personopplysninger for å oppfylle undersøkelses- og rapporteringsplikten for mistenkelige transaksjoner etter hvitvaskingsloven. DNB er pålagt å rapportere mistenkelige opplysninger og transaksjoner til ØKOKRIM v/Enheten for finansiell etterretning (EFE). I følge personopplysningsloven og hvitvaskingsloven har du ikke innsynsrett i enkelte opplysninger DNB har registrert så lenge en etterforsning pågår.

Når du benytter deg av DNBs elektroniske tjenester, kan DNB registrere brukeradferd og brukermiljø samt avvik fra dette, identifisere den datamaskinen eller mobile enheten du bruker til å utføre banktjenesten, datamaskinens/enhetens tilstand o.l. Denne informasjonen vil DNB bruke for å kontrollere at det er rett person som benytter den aktuelle tjenesten. DNB kan også bruke informasjonen i en risikovurdering for å tilpasse autentiseringsmetoden som du skal benytte for tjenesten.

DNB kan samle inn opplysninger som brukes til analyse av hvordan du som kunde bruker DNBs tjenester i forbindelse med forbedring av eksisterende produkter eller utvikling av nye tjenester.

Vi kan i noen tilfeller bruke automatiserte avgjørelser hvis dette er godkjent ved lov, dersom du har gitt et uttrykkelig samtykke til det eller dersom det er nødvendig for utførelsen av en avtale, for eksempel automatiserte kredittavgjørelser i våre online-kanaler. Du kan når som helst be om en manuell behandling i stedet, gi din mening eller bestride en avgjørelse som utelukkende er basert på automatisert behandling, inkludert profilering, dersom en slik avgjørelse vil ha rettslige følger eller på annen måte påvirke deg i betydelig grad. 

Når vi bruker automatiserte avgjørelser, vil vi gi deg ytterligere informasjon om den underliggende logikken som er brukt, samt betydningen og hvilke konsekvenser dette kan få for deg.

I noen tilfeller har vi rettslig grunnlag til å dele opplysninger med tredjeparter. Eksempeler på slike tredjeparter er myndigheter, foretak i DNB-konsernet, leverandører, betalingstjenesteleverandører og forretningspartnere. Før vi deler slike opplysninger, vil vi alltid sørge for at vi følger de aktuelle bestemmelsene om taushetsplikt som gjelder i finans- og verdipapirsektoren.

Når DNB overfører personopplysninger til en leverandør er det nødvendig med en databehandleravtale mellom DNB og leverandøren. Dette gjelder uavhengig av om DNB bruker databehandlere i Norge eller i andre land innen EØS-området.

Formålet med DNBs behandling av personopplysninger er i første rekke kundeadministrasjon, finansiell rådgivning, fakturering og gjennomføring av bank-, forsikrings- og finansieringstjenester i tråd med de avtalene vi har inngått med deg.

DNB behandler personopplysninger for å oppfylle sine forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger.

DNB kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen må være lovlig, definert på forhånd, reell og saklig begrunnet i virksomheten.

Eksempler på behandling basert på berettiget interesse:

• markedsføring i løpende avtaleforhold
• kundeanalyser basert på profilering til markedsføringsformål
• transaksjonsovervåkning for å avdekke straffbare handlinger

Dersom ikke annet behandlingsgrunnlag foreligger, vil DNBs behandling av personopplysninger basere seg på et frivillig, uttrykkelig og informert samtykke fra deg som kunde. Du vil alltid bli bedt om å avgi samtykke dersom det er nødvendig å behandle sensitive kategorier av personopplysninger (for eksempel helseopplysninger, opplysninger om religiøs overbevisning, legning, etniske opprinnelse, etc.).

Innsynsforespørselen gir deg rett til å få innsyn i data vi har lagret om deg. Dette gjelder informasjon du selv har oppgitt, informasjon vi har hentet fra eksterne kilder, og informasjon om behandling av opplysningene.

Du har rett til å protestere på behandling av dine personopplysninger som skjer på grunnlag av berettigede interesser med mindre slike interesser overstyrer dine grunnleggende rettigheter eller friheter.

Så lenge du har en eller flere aktive avtaler med oss vil det være nødvendig for oss å oppbevare dine personopplysninger tilknyttet avtalen. Når en avtale blir avsluttet, vil dine personopplysninger bli oppbevart i en periode for å kunne gi deg best mulig kundeservice. I tillegg oppbevarer vi opplysninger etter at avtalen er avsluttet for å oppfylle lovpålagt oppbevaringsplikt samt forsvare oss mot rettskrav. Deretter blir dine personopplysninger permanent slettet. Som et eksempel vil vi oppbevare dine personopplysninger tilknyttet et boliglån i fem år etter det er innfridd, for deretter å slette dem.

Enkelte opplysninger er DNB lovpålagt å oppbevare, også personopplysninger, for eksempel til bokføring, skatterapportering og myndighetsrapportering. Disse dataene vil også bli slettet automatisk, men normalt etter en lengre periode. Det er viktig å poengtere er at disse personopplysningene kun blir brukt til disse formålene og derfor er strengt tilgangsbegrenset. Når alle dine avtaler er avsluttet, vil vi også slette ditt kundeforhold.

Hvis opplysningene er uriktige eller ufullstendige, har du rett til å få opplysningene rettet med de begrensninger som følger av lovgivningen.

Dersom du bestrider riktigheten i opplysningene vi har registrert om deg eller lovligheten ved behandlingen, eller dersom du har fremmet innsigelse mot behandlingen av opplysningene i samsvar med din rett til innsigelse, kan du be oss om å begrense behandlingen av disse opplysningene til kun lagring. Behandlingen vil bli begrenset til kun lagring inntil opplysningene er rettet, eller det kan fastslås at våre berettigede interesser går foran dine interesser.

Dersom du ikke har rett til å slette opplysningene vi har registrert om deg, kan du i stedet be om at vi begrenser behandlingen av disse opplysningene til kun lagring. Dersom behandlingen av opplysningene som vi har registrert om deg, er nødvendig for å fremme et rettslig krav, kan du også kreve at annen behandling av disse opplysningene begrenses til lagring. Vi kan behandle opplysningene dine til andre formål dersom dette er nødvendig for å fremme et rettslig krav eller hvis du har gitt ditt samtykke til dette.

Dersom du ber om begrensing av behandling av dine personopplysninger kan det føre til at enkelte produkter og tjenester ikke lenger vil være tilgjengelig for deg. Vi oppfordrer deg derfor til å kontakte oss for å få mer informasjon om hvilke konsekvensene en begrensning kan bety for ditt kundeforhold.

For kunder av de norske DNB-selskapene:
Hvis du lurer på noe angående denne personvernerklæringen eller DNBs behandling av dine personopplysninger, kan du kontakte DNBs kundesenter hele døgnet gjennom chat i nettbanken, på telefonnummer +47 915 04800 eller via dnb.no. Ønsker du å klage på til DNBs behandling av dine personopplysninger kan dette sendes inn elektronisk her. Dersom du ønsker det, kan du sende klager til Datatilsynet. Du finner informasjon om dette på Datatilsynets egne nettsider. DNB har også personvernombud som kan kontaktes på personvernombudet@dnb.no eller per post: DNB, c/o Personvernombud, Postboks 1600 Sentrum, 0021 Oslo.

For kunder av de internasjonale DNB-selskapene:
Hvis du lurer på noe angående DNBs behandling av dine personopplysninger eller denne personvernerklæringen, må du kontakte ditt internasjonale DNB-kontor. Ditt internasjonale DNB-kontor vil også kunne gi informasjon om lokalt personvernombud og motta klager på behandlingen. Dersom du ønsker det, kan du sende klager til ditt lokale datatilsyn («local data protection authority»). Informasjon om dette vil du finne på hjemmesiden til ditt lokale datatilsyn.

I DNB jobber vi kontinuerlig med å forbedre og utvikle våre tjenester, produkter og nettsteder. Hvis det skulle skje endringer i regelverket om behandling av personopplysninger, endringer av våre tjenester og produkter eller andre endringer som påvirker personvernerklæringen, kan det medføre at informasjonen her vil endres.