Persónuverndaryfirlýsing
Persónuvernd einstaklinga skiptir bankann miklu máli og er lögð sérstök áhersla á að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti.
1. Um persónuverndaryfirlýsinguna
1. Um persónuverndaryfirlýsinguna
Arion banka hf. (hér eftir vísað til „Arion“ eða „bankans“) er umhugað um persónuvernd. Persónuvernd einstaklinga skiptir bankann miklu máli og er lögð sérstök áhersla á að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti.
Í persónuverndaryfirlýsingu bankans er m.a. að finna útskýringar á því hvaða persónuupplýsingum bankinn safnar um viðskiptavini, hvenær og hvers vegna, á hvaða grundvelli, hve lengi má ætla að upplýsingarnar verði geymdar, hvert upplýsingunum kann að verða miðlað og með hvaða hætti er gætt að öryggi þeirra. Það sama á við um vinnslu bankans á persónuupplýsingum um tengiliði viðskiptavina sem eru lögaðilar, umsækjendur um störf og aðra einstaklinga sem kunna að heimsækja eða hafa samband við bankann í öðrum tilgangi. Í persónuverndaryfirlýsingunni er jafnframt að finna upplýsingar um réttindi einstaklinga vegna þeirrar vinnslu sem bankinn viðhefur.
Persónuverndaryfirlýsing þessi gildir um þá vinnslu sem Arion viðhefur sem ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“). Bankinn kann þó einnig að koma fram sem vinnsluaðili, eða sameiginlegur ábyrgðaraðili með öðrum ábyrgðaraðilum. Bankinn vinnur náið með dóttur- og samstarsfélögum sínum og kann hlutverk bankans að vera ólíkt eftir þeirri þjónustu sem bankinn sinnir fyrir dóttur- og samstarfsfélög s.s. Vörð, Stefni og Frjálsa lífeyrissjóðinn. Þá er vísað til persónuverndaryfirlýsingu Varðar, Stefnis, Frjálsa og annarra lífeyrissjóða í rekstri, eftir því sem við á, hvað varðar upplýsingar um vinnslu þeirra á persónuupplýsingum.
Vakni spurningar um vinnslu bankans á persónuupplýsingum eða persónuverndaryfirlýsingu þessa er tekið við þeim á netfangið personuvernd@arionbanki.is.2. Persónuupplýsingar sem bankinn vinnur
2. Persónuupplýsingar sem bankinn vinnur
2.1 Persónuupplýsingar sem unnar eru um viðskiptavinÍ eftirfarandi töflu má finna yfirlit yfir þær persónuupplýsingar sem bankinn vinnur um viðskiptavin, í hvaða tilgangi vinnslan fer fram og á grundvelli hvaða heimildar. Sé unnið með aðrar upplýsingar en tilgreindar eru í töflunni, eða öðrum tilgangi, mun bankinn leitast við að upplýsa viðskiptavin um það.
Vinnsla sem tengist vörum og þjónustu
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Bankinn vinnur með persónuupplýsingar þegar viðskiptavinur stofnar til viðskiptasambands við bankann. Bankinn gerir það til að veita viðskiptavini þá þjónustu sem hann óskar eftir.
Bankinn fær upplýsingarnar beint frá viðskiptavini, úr kerfum bankans, frá þriðju aðilum eftir því sem við á eða úr opinberum gögnum.Hver er lagalegur grundvöllur vinnslunnar? Vinnsla persónuupplýsinga er forsenda þess að bankinn geti veitt þá þjónustu sem viðskiptavinur óskar eftir og er því nauðsynleg til að efna samning við viðskiptavin.
Þá er bankanum jafnframt skylt á grundvelli laga að vinna með tilgreindar persónuupplýsingar viðskiptavinar, t.d. í samræmi við lög um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og laga um verðbréfaviðskipti.Hvaða persónuupplýsingar vinnur bankinn? Bankinn vinnur með ólíkar persónuupplýsingar eftir því hvaða vöru og þjónustu um ræðir. Flokka má þær persónuupplýsingar sem unnar eru með eftirfarandi hætti: - Auðkennisupplýsingar, þ.e. nafn, kennitala, viðskiptamannanúmer, rafrænt auðkenni og afrit af persónuskilríkjum
- Samskiptaupplýsingar, þ.e. upplýsingar um heimilisfang, símanúmer og netfang
- Upplýsingar um fjölskylduhagi, þ.e. sambúðarstaða, hjúskaparstaða og upplýsingar um maka og börn
- Fjárhagslegar upplýsingar er varða þá vöru eða þjónustu sem viðskiptavinur óskar eftir eða er með hjá bankanum, s.s. upplýsingar um viðskiptasögu, greiðslugetu, veltu, stöðu á reikningum o.s.frv.
- Upplýsingar um eingarstöðu, s.s. fasteignir og bifreiðir.
- Upplýsingar er tengjast tryggingum, í tengslum við sölu og þjónustu á tryggingum vinnur bankinn með upplýsingar er tengjast slíkum tryggingum, þ.m.t. fastanúmer fasteigna, bílnúmer, tjónasögu, upplýsingar um rétthafa og hinn vátryggða o.s.frv.
Sjálfvirk ákvarðanataka Í tilgreindum tilvikum notast bankinn við sjálfvirka ákvarðanatöku í tengslum við vörur og þjónustur bankans. Sjálfvirk ákvarðanataka er þegar ákvörðun er tekin um umsókn og/eða réttindi viðskiptavinar, t.d. tekin er afstaða til greiðslumats og ákvörðun um lánveitingu, án mannlegrar aðkomu.
Við sjálfvirka ákvarðanatöku er unnið með persónuupplýsingar sem byggist á persónusniði sem verður til þegar persónuupplýsingar eru unnar á sjálfvirkan hátt sem meta ákveðna þætti er varða hagi einstaklinga.
Sjálfvirk ákvarðanataka fer aðeins fram á grundvelli samþykkis viðskiptavinar eða þegar hún er talin forsenda þess að unnt sé að gera eða efna samning við viðskiptavin. Viðskiptavinir eiga ávallt rétt á mannlegri íhlutun fari vinnsla fram með sjálfvirkri ákvarðanatöku.Hver ber ábyrgð á vinnslunni? Arion banki er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin sem bankinn vinnur í tengslum við vörur og þjónustur bankans. Í þeim tilvikum er um ræðir vörur og/eða þjónustur dóttur- og samstarfsfélaga sem bankinn þjónustar kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélaga. Í tengslum við þjónustu og sölu á tryggingum kemur bankinn þannig t.a.m. fram sem sameiginlegur ábyrgðaraðili með Verði. Samskipti
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Bankinn þjónustar viðskiptavin í gegnum ýmsar samskiptaleiðir; stafrænt með Arion appinu, í netbanka, gegnum Spjallmenni Arion, í útibúum og þjónustuveri bankans. Bankinn vinnur persónuupplýsingar til að geta veitt viðskiptavini þjónustu sem hann óskar eftir, svarað fyrirspurnum og veitt viðeigandi ráðgjöf.
Í þeim tilgangi að bæta þjónustu sína kann bankinn einnig að óska eftir því að viðskiptavinur taki þátt í þjónustu- og samskiptakönnunum.Hver er lagalegur grundvöllur vinnslunnar? Bankinn vinnur persónuupplýsingarnar til að geta veitt viðskiptavini þjónustu sem hann óskar eftir, svarað fyrirspurnum og veitt viðeigandi ráðgjöf. Vinnslan er nauðsynleg til að efna samning. Vinnsla er tengist þjónustu- og samskiptakönnunum bankans byggir á lögmætum hagsmunum bankans og það sama á við um vinnslu upplýsinga er varða notkun á stafrænum miðlum bankans. Hvaða persónuupplýsingar vinnur bankinn? Bankinn vinnur með auðkennis- og samskiptaupplýsingar viðskiptavinar, efni skilaboða sem viðskiptavinur sendir bankanum og eftir atvikum fjárhagslegar upplýsingar í tengslum við þá ráðgjöf sem viðskiptavinur óskar eftir hverju sinni. Í tengslum við notkun á Arion appinu, netbankanum og Spjallmenni Arion vinnur bankinn auk þess með IP tölu viðskiptavinar, aðgerðarskráningar, innskráningarleið, tegund vafra, tegund og stýrikerfi tækis sem viðskiptavinur notar. Slík vinnsla fer m.a. fram í þeim tilgangi að geta fylgt eftir ráðleggingum og meðmælum.
Í tengslum við þjónustu- og samskiptakannanir vinnur bankinn jafnframt með samskiptaupplýsingar viðskiptavinar og niðurstöður kannanna.Hver ber ábyrgð á vinnslunni? Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin. Í þeim tilvikum er bankinn er í samskiptum við viðskiptavin í tengslum við vörur og/eða þjónustu dóttur- eða samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélaga. Markaðssetning á vörum og þjónustu
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Í því skyni að kynna fyrir viðskiptavini vörur og þjónustur bankans og dóttur- og samstarfsfélaga bankans, sem bankinn þjónustar, áskilur bankinn sér rétt til að senda viðskiptavin markaðsskilaboð.
Slík markaðsskilaboð geta verið send með tölvupósti, í gegnum smáforriti eða netbanka.Hver er lagalegur grundvöllur vinnslunnar? Bankinn hefur lögmæta hagsmuni af því að vinna persónuupplýsingar vegna markaðssetningar á vörum og þjónustu. Viðskiptavinur hefur rétt til að andmæla vinnslu bankans á persónuupplýsingum hans sem fer fram á grundvelli lögmætra hagsmuna, sbr. nánar kafla 7.3 í yfirlýsingu þessari.
Í þeim tilvikum er bankinn vill nýta persónuupplýsingar viðskiptavinar og framkvæma dýpri greiningu á persónuupplýsingum viðskiptavinar í tengslum við markaðssetningu á vörum og þjónustu kann bankinn að óska eftir sérstöku samþykki fyrir þeirri vinnslu.
Veiti viðskiptavinur bankanum samþykki fyrir vinnslu persónuupplýsinga í tengslum við markaðssetningu hefur viðskiptavinur ávallt rétt til að afturkalla samþykki sitt, sbr. nánar kafla 7.5 í yfirlýsingu þessari.Hvaða persónuupplýsingar vinnur bankinn? Bankinn nýtir samskiptaupplýsingar viðskiptavinar til að senda honum markaðsskilaboð.
Í tengslum við almenna markaðssetningu á vörum og þjónustu vinnur bankinn með auðkennisupplýsingar um viðskiptavin, s.s. aldur og/eða upplýsingar um fjölskylduhagi.
Í þeim tilgangi að geta sent viðskiptavin aðsniðnari markaðsskilaboð kann bankinn þó einnig að vinna með persónuupplýsingar viðskiptavinar sem byggja á viðskiptasögu, vörunotkun og samskiptum viðskiptavinar við bankann.
Þá kann bankinn að vinna með upplýsingar um áhugamál viðskiptavinar í þeim tilgangi að geta boðið honum á viðburði sem viðskiptavinur kann að hafa áhuga á og/eða til að veita aðsniðnari þjónustu.Hver ber ábyrgð á vinnslunni? Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin í tengslum við markaðssetningu á eigin vörum og þjónustu. Í þeim tilvikum er bankinn sendir viðskiptavini markaðsskilaboð varðandi vörur og/eða þjónustu dóttur- eða samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélaga. Vöruþróun og rekstur upplýsingatæknikerfa
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Í þeim tilgangi að þróa og bæta vörur og þjónustur bankans og greina þörf fyrir nýjum vörum og þjónustum nýtir bankinn persónuupplýsingar viðskiptavina.
Einnig vinnur bakinn með persónuupplýsingar í ákveðnum tilfellum við þróun og prófun á kerfum bankans. Þróun og prófun er nauðsynleg til að tryggja gæði og öryggi kerfa bankans. Bankinn leitast við að gera persónuupplýsingar viðskiptavinar ópersónugreinanlegar og vinna þannig með þær í framangreindum tilgangi.Hver er lagalegur grundvöllur vinnslunnar? Vinnslan byggir á lögmætum hagsmunum bankans. Hvaða persónuupplýsingar vinnur bankinn? Þær persónuupplýsingar sem bankinn vinnur með í tengslum við vöruþróun og rekstur upplýsingakerfa geta verið allar þær upplýsingar sem bankinn vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu og samskipti viðskiptavinar við bankann. Hver ber ábyrgð á vinnslunni? Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin sem tengist vöruþróun og rekstur upplýsingakerfa. Í þeim tilvikum þegar bankinn vinnur upplýsingar sem tengjast vörum og þjónustu dóttur- og samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili, eða eftir atvikum vinnsluaðili, fyrir hönd viðkomandi dóttur- eða samstarfsfélag. Innra eftirlit bankans og áhættustýring
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Bankinn vinnur með persónuupplýsingar við mat á áhættu, hvort sem um ræðir innri starfsemi bankans eða beint við viðskiptaákvarðanir í tengslum við viðskiptasamband við viðskiptavin.
Vinnslan fer fram við stofnun viðskiptasambands og meðan á viðskiptasambandi stendur.Hver er lagalegur grundvöllur vinnslunnar? Bankanum ber lagaleg skylda til að vinna persónuupplýsingar í samræmi við lög um fjármálafyrirtæki. Þá byggir vinnsla sem tengist innra eftirliti bankans einnig á lögmætum hagsmunum. Hvaða persónuupplýsingar vinnur bankinn? Þær persónuupplýsingar sem bankinn vinnur með í tengslum við innra eftirlit og áhættustýringu geta verið allar þær upplýsingar sem bankinn vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu, samskipti viðskiptavinar við bankann og vinnslu er tengist aðgerðum gegn peningaþvætti og fjármögnun hryðjuverka. Hver ber ábyrgð á vinnslunni? Arion banki er ábyrgðaraðili vinnslu persónuupplýsinga er tengist innra eftirliti og áhættustýringu. Aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Bankanum er skylt að þekkja viðskiptavini sína og framkvæma áhættumat. Við stofnun viðskiptasambands þurfa allir viðskiptavinir að fara í gegnum áreiðanleikakönnun. Í ákveðnum tilfellum þurfa viðskiptavinir að fara í gegnum aukna áreiðanleikakönnun. Bankanum er skylt að viðhafa eftirlit með viðskiptasamböndum.
Sjá nánari umfjöllun um starf bankans til að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka hér.Hver er lagalegur grundvöllur vinnslunnar Bankanum ber skylda skv. lögum um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka að vinna persónuupplýsingar í þeim til gangi að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka. Vinnslan byggir þannig á lagaskyldu. Hvaða persónuupplýsingar vinnur bankinn? Þær persónuupplýsingar sem bankinn vinnur í tengslum við aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka má flokka með eftirfarandi hætti:
- Auðkennisupplýsingar
- Samskiptaupplýsingar
- Upplýsingar um fjölskylduhagi
- Fjárhagsupplýsingar
- Upplýsingar um stjórnmálaleg tengsl
Hver ber ábyrgð á vinnslunni? Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga er tengist aðgerðum gegn peningaþvætti og fjármögnun hryðjuverka. 2.2. Persónuupplýsingar tengiliða og forsvarsmanna
Í þeim tilvikum sem viðskiptavinir bankans eru lögaðilar vinnur bankinn með samskiptaupplýsingar forsvarsmanna þeirra, t.d. er unnið með undirritunarheimildir og stöðu viðkomandi. Er það gert m.a. í þeim tilgangi að vera í samskiptum við viðskiptavininn og tryggja að viðkomandi hafi heimild til að skuldbinda lögaðilann. Þá vinnur bankinn með upplýsingar um eigendur viðkomandi lögaðila, stjórn, framkvæmdastjórn, prókúruumboð, ábyrgðaraðila og eftir atvikum aðra tengiliði. Auk þessi kann bankinn að vinna með upplýsingar um áhugamál tengiliða viðskiptavina í markaðstilgangi, s.s. í tengslum við boð á viðburði.
Þessi vinnsla byggir á lögmætum hagsmunum bankans og eftir atvikum lagaskyldu.
Í þeim tilgangi að geta átt í samskiptum við birgja samstarfsaðila og eftirlitsaðila vinnur bankinn jafnfram með samskiptaupplýsingar tengiliða og forvarsaðila þeirra aðila.2.3 Persónuupplýsingar umsækjenda um störf
Bankinn vinnur með afrit af umsóknum frá umsækjendum um störf og þær upplýsingar sem þar koma fram, s.s. nafn, kennitölu, heimilisfang, símanúmer, netfang, menntun, hæfni og starfsreynslu. Þá kann bankinn að vinna með upplýsingar um meðmælendur og upplýsingar sem aðgengilegar eru opinberlega, s.s. á samfélagsmiðlum.
Ef bankinn býður umsækjanda starf er að jafnaði óskað eftir sakavottorði og upplýsingum um fjárhagslega stöðu viðkomandi ásamt annars konar upplýsingum, s.s. sem staðfesta menntun og reynslu.
Umsókn um starf er varðveitt í 6 mánuði.
Vinnsla bankans á upplýsingum um umsækjendur byggir á beiðni viðkomandi um að gera samning við bankann og eftir atvikum lögmætum hagsmunum bankans.2.4 Vinnsla persónuupplýsinga ólögráða barna
Bankinn vinnur með persónuupplýsingar um börn þegar það er nauðsynlegt í þeim tilgangi að framkvæma umbeðin viðskipti eða þjónustu, t.d. vegna stofnunar greiðslureiknings, útgáfu greiðslukorta, opnun aðgengis að netbanka og smáforriti bankans. Bankinn gerir þá samning eða aflar sérstakt samþykkis forráðamanna fyrir vinnslu áður en barni sem ekki hefur náð 13 ára aldri er boðin þjónusta.
Bankinn sendir markaðsefni er varðar kynningu á vörum og þjónustu sem ætlað er börnum til forráðamanna þeirra. Forráðamenn hafa möguleika á að afþakka markaðsefni, sbr. kafla 7.3 í yfirlýsingu þessari.2.5 Rafræn vöktun
Bankinn viðhefur rafræna vöktun í formi hljóðritunar símtala og eftirlits með notkun eftirlitsmyndavéla. Vöktun með myndavélum fer fram í útibúum bankans og við hraðbanka. Vöktunin fer fram í þeim tilgangi að tryggja öryggi, í eignavörsluskyni og í þeim tilgangi að lágmarka áhættu á svikum. Efni sem til verður við rafræna vöktun er varðveitt í samræmi við lög og reglur hverju sinni.
Vinnsla er tengist rafrænni vöktun byggir á lögmætum hagsmunum bankans og eftir atvikum lagaskyldu í samræmi við lög um verðbréfaviðskipti.2.6 Önnur vinnsla
Í þeim tilvikum er aðrir en viðskiptavinir, eða tengiliðir og forsvarsmenn viðskiptavina og annarra samstarfs- og eftirlitsaðila, setja sig í samband við bankann kann bankanum að vera nauðsynlegt að vinna með persónuupplýsingar viðkomandi. Það á t.a.m. við ef bankanum berst styrktarbeiðni frá viðskiptavin og/eða hvers konar ábending er lýtur að bankanum eða dótturfélögum hans.
3. Hvaðan fær bankinn persónuupplýsingar?
3. Hvaðan fær bankinn persónuupplýsingar?
Í flestum tilvikum fær bankinn persónuupplýsingar sem unnið er með frá einstaklingunum sjálfum. Þá fær bankinn afhentar persónuupplýsingar frá þriðja aðila í tilgreindum tilvikum. Þannig aflar bankinn t.a.m. upplýsinga frá Creditinfo, Þjóðskrá Íslands, ríkisskattstjóra og tollstjóra auk þess sem bankinn aflar upplýsinga úr fasteignaskrá, ökutækjaskrá, hlutafélagaskrá og öðrum opinberum skrám og úr Lögbirtingablaði.
Í þeim tilvikum sem bankinn þjónustar dóttur- og samstarfsfélög fær bankinn persónuupplýsingar viðskiptavina þeirra í þeim tilgangi að geta þjónustað viðskiptavini og byggir vinnslan á samningi. Bankinn kemur í þeim tilvikum fram sem sameiginlegur ábyrgðaraðila og í undantekningartilvikum sem vinnsluaðili.4. Hvert er persónuupplýsingum miðlað?
4. Hvert er persónuupplýsingum miðlað?
Bankanum kann að vera nauðsynlegt að miðla upplýsingum um þá einstaklinga sem hann vinnur með til utanaðkomandi aðila í þeim tilvikum sem getið er um hér fyrir neðan.
4.1 Þriðju aðilar
Með þriðja aðila er átt við sjálfstæðan lögaðila, annan en bankann, eða einstakling sem ekki er starfsmaður bankans.
Miðlun bankans á persónuupplýsingum einstaklinga til þriðju aðila fer fram í ólíkum tilgangi og flokka má tilvikin eftir því á hvaða grundvelli miðlunin fer fram:
- Á grundvelli samningsBankanum kann að vera nauðsynlegt að miðla persónuupplýsingum viðskiptavinar til þriðja aðila til að framfylgja skyldum samkvæmt samningi. Dæmi um slíkt er miðlun til Reiknistofu bankanna og til kortafyrirtækja vegna framkvæmdar viðskipta og til vörsluaðila fjármálagerninga í tengslum við verðbréfaþjónustu.
- Á grundvelli lagaskyldu
Á grundvelli laga, reglugerða, dóms- og stjórnvaldsúrskurða og fyrirmæla stjórnvalda kann bankanum að vera skylt að miðla upplýsingum, einkum um viðskiptavini, til þriðja aðila og þar til bærra stjórnvalda. Á grundvelli skýrrar lagaheimildar geta yfirvöld eins og Fjármálaeftirlitið, Seðlabanki Íslands, Embætti héraðssaksóknara, ríkisskattstjóri og tollgæsluyfirvöld óskað eftir upplýsingum frá bankanum um viðskiptavini og aðra. Bankanum ber skylda til að verða við slíkum beiðnum og eftir atvikum að veita yfirvöldum aðgang að starfsstöðvum og upplýsingakerfum bankans í þeim tilgangi. Sem dæmi má nefna getur bankanum verið skylt að miðlð upplýsingum um tekjur, skuldastöðu, kröfur o.fl. upplýsingum um viðskiptavini til ríkisskattstjóra vegna skattframtala eða staðgreiðsluskila og upplýsingum til skattrannsóknarstjóra og héraðssaksóknara vegna rannsóknar mála.
- Á grundvelli lögmætra hagsmuna
Sumir þjónustuaðilar bankans koma fram sem sjálfstæðir ábyrgðaraðilar, s.s. lögmenn og endurskoðendur. Í þeim tilvikum sem nauðsynlegt er að miðla persónuupplýsingum einstaklinga til slíkra aðila, í tengslum við veitta þjónustu, þ.m.t. í tengslum við hagsmunagæslu og rekstur dómsmála, er um að ræða miðlun persónuupplýsinga til þriðju aðila.
Hvað varðar upplýsingar sem safnast með rafrænni vöktun kann bankanum að vera heimilt að miðla slíkum upplýsingum til lögreglu eða tryggingarfélags, s.s. í tilviki eignartjóns þegar bankanum er nauðsynlegt að gera kröfu.
Í tengslum við mögulegar sameiningar og/eða kaup og sölu kann bankinn jafnframt að miðla afmörkuðum upplýsingum um viðskiptavini til hugsanlegra fjárfesta og ráðgjafa, s.s. við framkvæmd áreiðanleikakönnunar.4.2 Vinnsluaðilar
Bankinn nýtir utanaðkomandi aðila í tengslum við ýmiss konar þjónustu við bankann, s.s. í tengslum við upplýsingatækni. Í tengslum við slíka þjónustu kann bankanum að vera nauðsynlegt að miðla eða veita þjónustuveitendum aðgang að þeim persónuupplýsingum sem bankinn vinnur og koma þjónustuveitendur þá fram sem svokallaðir vinnsluaðilar. Í þeim tilvikum tryggir bankinn að viðkomandi aðilar hafi gripið til fullnægjandi öryggisráðstafana til að vernda persónuupplýsingar og gerir bankinn við þá aðila viðeigandi vinnslusamninga. Vinnsluaðilar vinna einungis með persónuupplýsingar innan þess tilgangs og að því marki sem bankinn ákveður.
4.3 Dóttur- og samstarfsfélög
Bankinn kann að miðla persónuupplýsingum til dóttur- og samstarfsfélaga í þeim tilgangi að framkvæma samning við viðskiptavini, uppfylla lagaskyldur, s.s. kröfur skv. peningaþvættislöggjöf, eða á grundvelli lögmætra hagsmuna. Miðlun kann að eiga sér stað á milli bankans og dóttur- og/eða samstarfsfélaga í markaðslegum tilgangi, ýmist á grundvelli samþykkis eða lögmætra hagsmuna. Það fer eftir vinnslu hverju sinni í hvaða hlutverki bankinn kann að vera s.s. ábyrgðaraðili, sameiginlegur ábyrgðaraðili eða vinnsluaðili.
Bankinn er bundinn þagnarskyldu skv. lögum um fjármálafyrirtæki gagnvart viðskiptavinum sínum og mun bankinn ávallt gæta að þeim syldum við miðlun innan fyrirtækjasamstæðunnar.4.4 Miðlun persónuupplýsinga utan EES
Í vissum tilvikum kann persónuupplýsingum að vera miðlað úr landi og út fyrir Evrópska efnahagssvæðið („EES“), til dæmis í þeim tilgangi að uppfylla samningsskyldur við viðskiptavin eða uppfylla skyldur sem hvíla á bankanum samkvæmt lögum. Bankinn miðlar þó ekki persónuupplýsingum út fyrir EES nema á grundvelli viðeigandi heimilda í persónuverndarlögum og að því gefnu að gripið hafi verið til viðeigandi ráðstafana.
5. Öryggi persónuupplýsinga sem bankinn vinnur
5. Öryggi persónuupplýsinga sem bankinn vinnur
Rík skylda hvílir á bankanum að gæta að öryggi þeirra persónuupplýsinga sem hann vinnur með og er bankinn með vottað stjórnkerfi upplýsingaöryggis samkvæmt upplýsingastaðlinum ÍST ISO/IEC27001. Þær ráðstafanir sem bankinn hefur gripið til í þeim tilgangi að tryggja öryggi eru bæði skipulagslegar og tæknilegar og lúta einkum að aðgangsstýringu, raunlægu öryggi, mannauðsöryggi, rekstraröryggi og samskiptaöryggi. Þá viðhefur bankinn innra eftirlit með ofangreindu og endurskoðar áhættumat sitt og viðbrögð reglulega.
6. Varðveislutími persónuupplýsinga
6. Varðveislutími persónuupplýsinga
Persónuupplýsingar eru varðveittar á meðan viðskiptasamband viðskiptavinar og bankans varir eða eins lengi og nauðsynlegt er með hliðsjón af tilgangi vinnslu, skilmálum samninga, reglna bankans og að því gefnu að málefnalegar ástæður séu til staðar. Bankanum kann að vera nauðsynlegt að varðveita upplýsingar á grundvelli lagaskyldu. Þannig eru bókhaldsgögn varðveitt í sjö ár, upplýsingar er tengjast peningaþvætti og könnun á áreiðanleika í fimm ár frá því að einstökum viðskiptum eða viðskiptasambandi lýkur og afriti af viðskiptafyrirmælum í fimm ár.
Upplýsingar sem safnast með rafrænu eftirlitinu eru almennt varðveittar í 30 daga og upplýsingar um umsækjendur um störf í 6 mánuði.
7. Réttindi einstaklinga á grundvelli persónuverndarlaga
7. Réttindi einstaklinga á grundvelli persónuverndarlaga
Persónuverndarlög tryggja þeim einstaklingum sem bankinn vinnur persónuupplýsingar um ýmis réttindi. Umrædd réttindi eru þó ekki fortakslaus og kunna lagaskyldur eða ríkari hagsmunir bankans eða þriðja aðila að koma í veg fyrir að bankinn geti orðið við beiðni einstaklings sem nýta vill réttindi sín á grundvelli persónuverndarlaga. Bankinn leitast við að svara öllum beiðnum einstaklinga sem nýta vilja réttindi sín á grundvelli persónuverndarlaga innan 30 daga og geti bankinn af einhverjum ástæðum ekki orðið við beiðni, hvort sem er í heild eða hluta, leitast bankinn við að rökstyðja slíka niðurstöðu.
7.1 Aðgangur að eigin persónuupplýsingum – persónuverndarskýrslur
Einstaklingar eiga rétt á að vita hvort bankinn sé að vinna með persónuupplýsingar um þá og að fá upplýsingar um vinnsluna, s.s. um tilgang, hvert þeim er miðlað, uppruna, hvort sjálfvirk ákvarðanataka fari fram og upplýsingar um rétt sinn. Þá geta einstaklingar jafnframt átt rétt til að fá afrit af þeim persónuupplýsingum sem bankinn vinnur um viðkomandi.
Í netbanka bankans er hægt að nálgast svokallaða persónuverndarskýrslu þar sem viðskiptavinur getur óskað eftir afriti af þeim persónuupplýsingum sem bankinn vinnur um viðkomandi. Tekið skal fram að í persónuverndarskýrslunni er leitast við að veita viðskiptavin heildaryfirlit yfir þær persónuupplýsingar sem bankinn vinnur um viðkomandi. Þó er ekki hægt að útiloka að bankinn vinni með umfangsmeiri persónuupplýsingar um viðskiptavin en fram koma í skýrslunni. Viðskiptavinir geta ávallt óskað eftir frekari upplýsingum um vinnslu persónuupplýsinga bankans um sig í samræmi við rétt um aðgang og afrit af gögnum.7.2 Leiðrétting persónuupplýsinga og eyðing
Telji einstaklingur að þær persónuupplýsingar sem bankinn vinnur um hann séu óáreiðanlegar eða rangar á viðkomandi rétt á því að fá þær leiðréttar.
Í ákveðnum tilvikum á einstaklingur rétt á því að fara fram á að bankinn eyði persónuupplýsingum um hann, s.s. ef einstaklingur telur upplýsingarnar ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Hið sama á við ef einstaklingur dregur til baka samþykki um vinnslu persónuupplýsinga og ekki er annar lagagrundvöllur fyrir vinnslunni eða ef vinnsla upplýsinganna reynist ólögmæt.7.3 Andmælaréttur og takmörkun á vinnslu
Einstaklingur sem bankinn vinnur persónuupplýsingar um á rétt á því að andmæla vinnslu persónuupplýsinga um sig sem byggir á lögmætum hagsmunum, s.s. vinnsla persónuupplýsinga til notkunar í beinni markaðssetningu.
Einstaklingur á rétt á að óska eftir því að bankinn takmarki vinnslu persónuupplýsinga um sig ef hann telur að upplýsingarnar séu ekki réttar, vinnsla upplýsinganna sé ólögmæt eða að bankinn þurfi ekki lengur á upplýsingum að halda en einstaklingar þarfnast þeirra til að stofna, hafa uppi eða verja réttarkröfur.7.4 Flutningsréttur
Í tilgreindum tilvikum, er vinnsla byggir á samningi eða samþykki, getur einstaklingur sem afhent hefur bankanum persónuupplýsingar um sig með rafrænum hætti átt rétt á því að fá afrit af slíkum upplýsingum á skipulegu, algengu og tölvulesanlegu sniði. Einstaklingur getur einnig óskað eftir að bankinn sendi viðkomandi upplýsingar beint til þriðja aðila.
7.5 Afturköllun samþykkis
Í þeim tilvikum þar sem vinnsla bankans byggir á samþykki getur einstaklingur sem veitti bankanum samþykki hvenær sem er dregið það til baka. Afturköllun samþykkis hefur þó ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturköllun.
7.6 Kvörtun til Persónuverndar
Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd og vinnslu persónuupplýsinga og úrskurðar í ágreiningsmálum á sviði persónuverndar. Nánari upplýsingar um stofnunina má finna á heimasíðu hennar, personuvernd.is. Ef einstaklingur er ekki sáttur við vinnslu bankans á persónuupplýsingum um sig er hægt að leggja fram kvörtun hjá Persónuvernd með því að senda erindi á Persónuvernd, Rauðarárstígur 10, 105 Reykjavík eða á postur@personuvernd.is.
8. Samskiptaupplýsingar bankans og persónuverndarfulltrúa
8. Samskiptaupplýsingar bankans og persónuverndarfulltrúa
Vilji einstaklingur sem bankinn vinnur persónuupplýsingar um nýta réttindi sín á grundvelli persónuverndarlaga, sbr. kafla 7 í persónuverndaryfirlýsingu þessari, eða hafi viðkomandi spurningar um vinnslu bankans á persónuupplýsingum er viðkomandi hvattur til að setja sig í samband við bankann. Hægt er að hafa samband við bankann í gegnum netfangið arionbanki@arionbanki.is eða hringja í þjónustuver í síma 444-7000.
Bankinn hefur einnig tilnefnt sérstakan persónuverndarfulltrúa í samræmi við persónuverndarlög. Hlutverk slíks fulltrúa er m.a. að fylgjast með að farið sé eftir ákvæðum persónuverndarlaga, vera tengiliður bankans við Persónuvernd og svara fyrirspurnum frá þeim einstaklingum sem bankinn vinnur upplýsingar um. Hægt er að hafa samband við persónuverndarfulltrúa Arion banka með því að senda tölvupóst á netfangið personuvernd@arionbanki.is.
Bankinn hefur aðsetur að Borgartúni 19, 105 Reykjavík og er kennitala bankans 581008-0150.9. Hvernig uppfærir eða breytir bankinn persónuverndaryfirlýsingunni?
9. Hvernig uppfærir eða breytir bankinn persónuverndaryfirlýsingunni?
Bankinn áskilur sér rétt til að breyta þessari persónuverndaryfirlýsingu og bæta við hana hvenær sem er til að endurspegla sem best þá vinnslu sem fer fram hverju sinni hjá bankanum. Slíkar breytingar taka gildi án fyrirvara við birtingu á vef bankans, nema annað sé tilgreint.
1. Um persónuverndaryfirlýsinguna
Í persónuverndaryfirlýsingu bankans er m.a. að finna útskýringar á því hvaða persónuupplýsingum bankinn safnar um viðskiptavini, hvenær og hvers vegna, á hvaða grundvelli, hve lengi má ætla að upplýsingarnar verði geymdar, hvert upplýsingunum kann að verða miðlað og með hvaða hætti er gætt að öryggi þeirra. Það sama á við um vinnslu bankans á persónuupplýsingum um tengiliði viðskiptavina sem eru lögaðilar, umsækjendur um störf og aðra einstaklinga sem kunna að heimsækja eða hafa samband við bankann í öðrum tilgangi. Í persónuverndaryfirlýsingunni er jafnframt að finna upplýsingar um réttindi einstaklinga vegna þeirrar vinnslu sem bankinn viðhefur.
Persónuverndaryfirlýsing þessi gildir um þá vinnslu sem Arion viðhefur sem ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“). Bankinn kann þó einnig að koma fram sem vinnsluaðili, eða sameiginlegur ábyrgðaraðili með öðrum ábyrgðaraðilum. Bankinn vinnur náið með dóttur- og samstarsfélögum sínum og kann hlutverk bankans að vera ólíkt eftir þeirri þjónustu sem bankinn sinnir fyrir dóttur- og samstarfsfélög s.s. Vörð, Stefni og Frjálsa lífeyrissjóðinn. Þá er vísað til persónuverndaryfirlýsingu Varðar, Stefnis, Frjálsa og annarra lífeyrissjóða í rekstri, eftir því sem við á, hvað varðar upplýsingar um vinnslu þeirra á persónuupplýsingum.
Vakni spurningar um vinnslu bankans á persónuupplýsingum eða persónuverndaryfirlýsingu þessa er tekið við þeim á netfangið personuvernd@arionbanki.is.
2. Persónuupplýsingar sem bankinn vinnur
Í eftirfarandi töflu má finna yfirlit yfir þær persónuupplýsingar sem bankinn vinnur um viðskiptavin, í hvaða tilgangi vinnslan fer fram og á grundvelli hvaða heimildar. Sé unnið með aðrar upplýsingar en tilgreindar eru í töflunni, eða öðrum tilgangi, mun bankinn leitast við að upplýsa viðskiptavin um það.
Vinnsla sem tengist vörum og þjónustu
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? | Bankinn vinnur með persónuupplýsingar þegar viðskiptavinur stofnar til viðskiptasambands við bankann. Bankinn gerir það til að veita viðskiptavini þá þjónustu sem hann óskar eftir. Bankinn fær upplýsingarnar beint frá viðskiptavini, úr kerfum bankans, frá þriðju aðilum eftir því sem við á eða úr opinberum gögnum. |
| Hver er lagalegur grundvöllur vinnslunnar? | Vinnsla persónuupplýsinga er forsenda þess að bankinn geti veitt þá þjónustu sem viðskiptavinur óskar eftir og er því nauðsynleg til að efna samning við viðskiptavin. Þá er bankanum jafnframt skylt á grundvelli laga að vinna með tilgreindar persónuupplýsingar viðskiptavinar, t.d. í samræmi við lög um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og laga um verðbréfaviðskipti. |
| Hvaða persónuupplýsingar vinnur bankinn? |
Bankinn vinnur með ólíkar persónuupplýsingar eftir því hvaða vöru og þjónustu um ræðir. Flokka má þær persónuupplýsingar sem unnar eru með eftirfarandi hætti:
|
| Sjálfvirk ákvarðanataka | Í tilgreindum tilvikum notast bankinn við sjálfvirka ákvarðanatöku í tengslum við vörur og þjónustur bankans.
Sjálfvirk ákvarðanataka er þegar ákvörðun er tekin um umsókn og/eða réttindi viðskiptavinar, t.d. tekin er afstaða til greiðslumats og ákvörðun um lánveitingu, án mannlegrar aðkomu. Við sjálfvirka ákvarðanatöku er unnið með persónuupplýsingar sem byggist á persónusniði sem verður til þegar persónuupplýsingar eru unnar á sjálfvirkan hátt sem meta ákveðna þætti er varða hagi einstaklinga. Sjálfvirk ákvarðanataka fer aðeins fram á grundvelli samþykkis viðskiptavinar eða þegar hún er talin forsenda þess að unnt sé að gera eða efna samning við viðskiptavin. Viðskiptavinir eiga ávallt rétt á mannlegri íhlutun fari vinnsla fram með sjálfvirkri ákvarðanatöku. |
| Hver ber ábyrgð á vinnslunni? | Arion banki er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin sem bankinn vinnur í tengslum við vörur og þjónustur bankans. Í þeim tilvikum er um ræðir vörur og/eða þjónustur dóttur- og samstarfsfélaga sem bankinn þjónustar kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélaga. Í tengslum við þjónustu og sölu á tryggingum kemur bankinn þannig t.a.m. fram sem sameiginlegur ábyrgðaraðili með Verði. |
Samskipti
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? | Bankinn þjónustar viðskiptavin í gegnum ýmsar samskiptaleiðir; stafrænt með Arion appinu, í netbanka, gegnum Spjallmenni Arion, í útibúum og þjónustuveri bankans. Bankinn vinnur persónuupplýsingar til að geta veitt viðskiptavini þjónustu sem hann óskar eftir, svarað fyrirspurnum og veitt viðeigandi ráðgjöf. Í þeim tilgangi að bæta þjónustu sína kann bankinn einnig að óska eftir því að viðskiptavinur taki þátt í þjónustu- og samskiptakönnunum. |
| Hver er lagalegur grundvöllur vinnslunnar? | Bankinn vinnur persónuupplýsingarnar til að geta veitt viðskiptavini þjónustu sem hann óskar eftir, svarað fyrirspurnum og veitt viðeigandi ráðgjöf. Vinnslan er nauðsynleg til að efna samning. Vinnsla er tengist þjónustu- og samskiptakönnunum bankans byggir á lögmætum hagsmunum bankans og það sama á við um vinnslu upplýsinga er varða notkun á stafrænum miðlum bankans. |
| Hvaða persónuupplýsingar vinnur bankinn? | Bankinn vinnur með auðkennis- og samskiptaupplýsingar viðskiptavinar, efni skilaboða sem viðskiptavinur sendir bankanum og eftir atvikum fjárhagslegar upplýsingar í tengslum við þá ráðgjöf sem viðskiptavinur óskar eftir hverju sinni.
Í tengslum við notkun á Arion appinu, netbankanum og Spjallmenni Arion vinnur bankinn auk þess með IP tölu viðskiptavinar, aðgerðarskráningar, innskráningarleið, tegund vafra, tegund og stýrikerfi tækis sem viðskiptavinur notar. Slík vinnsla fer m.a. fram í þeim tilgangi að geta fylgt eftir ráðleggingum og meðmælum. Í tengslum við þjónustu- og samskiptakannanir vinnur bankinn jafnframt með samskiptaupplýsingar viðskiptavinar og niðurstöður kannanna. |
| Hver ber ábyrgð á vinnslunni? | Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin. Í þeim tilvikum er bankinn er í samskiptum við viðskiptavin í tengslum við vörur og/eða þjónustu dóttur- eða samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélaga. |
Markaðssetning á vörum og þjónustu
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? | Í því skyni að kynna fyrir viðskiptavini vörur og þjónustur bankans og dóttur- og samstarfsfélaga bankans, sem bankinn þjónustar, áskilur bankinn sér rétt til að senda viðskiptavin markaðsskilaboð. Slík markaðsskilaboð geta verið send með tölvupósti, í gegnum smáforriti eða netbanka. |
| Hver er lagalegur grundvöllur vinnslunnar? |
Bankinn hefur lögmæta hagsmuni af því að vinna persónuupplýsingar vegna markaðssetningar á vörum og þjónustu.
Viðskiptavinur hefur rétt til að andmæla vinnslu bankans á persónuupplýsingum hans sem fer fram á grundvelli lögmætra hagsmuna, sbr. nánar kafla 7.3 í yfirlýsingu þessari. Í þeim tilvikum er bankinn vill nýta persónuupplýsingar viðskiptavinar og framkvæma dýpri greiningu á persónuupplýsingum viðskiptavinar í tengslum við markaðssetningu á vörum og þjónustu kann bankinn að óska eftir sérstöku samþykki fyrir þeirri vinnslu. Veiti viðskiptavinur bankanum samþykki fyrir vinnslu persónuupplýsinga í tengslum við markaðssetningu hefur viðskiptavinur ávallt rétt til að afturkalla samþykki sitt, sbr. nánar kafla 7.5 í yfirlýsingu þessari. |
| Hvaða persónuupplýsingar vinnur bankinn? | Bankinn nýtir samskiptaupplýsingar viðskiptavinar til að senda honum markaðsskilaboð. Í tengslum við almenna markaðssetningu á vörum og þjónustu vinnur bankinn með auðkennisupplýsingar um viðskiptavin, s.s. aldur og/eða upplýsingar um fjölskylduhagi. Í þeim tilgangi að geta sent viðskiptavin aðsniðnari markaðsskilaboð kann bankinn þó einnig að vinna með persónuupplýsingar viðskiptavinar sem byggja á viðskiptasögu, vörunotkun og samskiptum viðskiptavinar við bankann. Þá kann bankinn að vinna með upplýsingar um áhugamál viðskiptavinar í þeim tilgangi að geta boðið honum á viðburði sem viðskiptavinur kann að hafa áhuga á og/eða til að veita aðsniðnari þjónustu. |
| Hver ber ábyrgð á vinnslunni? | Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin í tengslum við markaðssetningu á eigin vörum og þjónustu. Í þeim tilvikum er bankinn sendir viðskiptavini markaðsskilaboð varðandi vörur og/eða þjónustu dóttur- eða samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélaga. |
Vöruþróun og rekstur upplýsingatæknikerfa
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? | Í þeim tilgangi að þróa og bæta vörur og þjónustur bankans og greina þörf fyrir nýjum vörum og þjónustum nýtir bankinn persónuupplýsingar viðskiptavina. Einnig vinnur bakinn með persónuupplýsingar í ákveðnum tilfellum við þróun og prófun á kerfum bankans. Þróun og prófun er nauðsynleg til að tryggja gæði og öryggi kerfa bankans. Bankinn leitast við að gera persónuupplýsingar viðskiptavinar ópersónugreinanlegar og vinna þannig með þær í framangreindum tilgangi. |
| Hver er lagalegur grundvöllur vinnslunnar? | Vinnslan byggir á lögmætum hagsmunum bankans. |
| Hvaða persónuupplýsingar vinnur bankinn? | Þær persónuupplýsingar sem bankinn vinnur með í tengslum við vöruþróun og rekstur upplýsingakerfa geta verið allar þær upplýsingar sem bankinn vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu og samskipti viðskiptavinar við bankann. |
| Hver ber ábyrgð á vinnslunni? | Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin sem tengist vöruþróun og rekstur upplýsingakerfa. Í þeim tilvikum þegar bankinn vinnur upplýsingar sem tengjast vörum og þjónustu dóttur- og samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili, eða eftir atvikum vinnsluaðili, fyrir hönd viðkomandi dóttur- eða samstarfsfélag. |
Innra eftirlit bankans og áhættustýring
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? | Bankinn vinnur með persónuupplýsingar við mat á áhættu, hvort sem um ræðir innri starfsemi bankans eða beint við viðskiptaákvarðanir í tengslum við viðskiptasamband við viðskiptavin. Vinnslan fer fram við stofnun viðskiptasambands og meðan á viðskiptasambandi stendur. |
| Hver er lagalegur grundvöllur vinnslunnar? | Bankanum ber lagaleg skylda til að vinna persónuupplýsingar í samræmi við lög um fjármálafyrirtæki. Þá byggir vinnsla sem tengist innra eftirliti bankans einnig á lögmætum hagsmunum. |
| Hvaða persónuupplýsingar vinnur bankinn? | Þær persónuupplýsingar sem bankinn vinnur með í tengslum við innra eftirlit og áhættustýringu geta verið allar þær upplýsingar sem bankinn vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu, samskipti viðskiptavinar við bankann og vinnslu er tengist aðgerðum gegn peningaþvætti og fjármögnun hryðjuverka. |
| Hver ber ábyrgð á vinnslunni? | Arion banki er ábyrgðaraðili vinnslu persónuupplýsinga er tengist innra eftirliti og áhættustýringu. |
Aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? |
Bankanum er skylt að þekkja viðskiptavini sína og framkvæma áhættumat. Við stofnun viðskiptasambands þurfa allir viðskiptavinir að fara í gegnum áreiðanleikakönnun. Í ákveðnum tilfellum þurfa viðskiptavinir að fara í gegnum aukna áreiðanleikakönnun. Bankanum er skylt að viðhafa eftirlit með viðskiptasamböndum. Sjá nánari umfjöllun um starf bankans til að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka hér. |
| Hver er lagalegur grundvöllur vinnslunnar | Bankanum ber skylda skv. lögum um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka að vinna persónuupplýsingar í þeim til gangi að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka. Vinnslan byggir þannig á lagaskyldu. |
| Hvaða persónuupplýsingar vinnur bankinn? | Þær persónuupplýsingar sem bankinn vinnur í tengslum við aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka má flokka með eftirfarandi hætti:
|
| Hver ber ábyrgð á vinnslunni? | Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga er tengist aðgerðum gegn peningaþvætti og fjármögnun hryðjuverka. |
2.2. Persónuupplýsingar tengiliða og forsvarsmanna
Í þeim tilvikum sem viðskiptavinir bankans eru lögaðilar vinnur bankinn með samskiptaupplýsingar forsvarsmanna þeirra, t.d. er unnið með undirritunarheimildir og stöðu viðkomandi. Er það gert m.a. í þeim tilgangi að vera í samskiptum við viðskiptavininn og tryggja að viðkomandi hafi heimild til að skuldbinda lögaðilann. Þá vinnur bankinn með upplýsingar um eigendur viðkomandi lögaðila, stjórn, framkvæmdastjórn, prókúruumboð, ábyrgðaraðila og eftir atvikum aðra tengiliði. Auk þessi kann bankinn að vinna með upplýsingar um áhugamál tengiliða viðskiptavina í markaðstilgangi, s.s. í tengslum við boð á viðburði.
Þessi vinnsla byggir á lögmætum hagsmunum bankans og eftir atvikum lagaskyldu.
Í þeim tilgangi að geta átt í samskiptum við birgja samstarfsaðila og eftirlitsaðila vinnur bankinn jafnfram með samskiptaupplýsingar tengiliða og forvarsaðila þeirra aðila.
2.3 Persónuupplýsingar umsækjenda um störf
Bankinn vinnur með afrit af umsóknum frá umsækjendum um störf og þær upplýsingar sem þar koma fram, s.s. nafn, kennitölu, heimilisfang, símanúmer, netfang, menntun, hæfni og starfsreynslu. Þá kann bankinn að vinna með upplýsingar um meðmælendur og upplýsingar sem aðgengilegar eru opinberlega, s.s. á samfélagsmiðlum.
Ef bankinn býður umsækjanda starf er að jafnaði óskað eftir sakavottorði og upplýsingum um fjárhagslega stöðu viðkomandi ásamt annars konar upplýsingum, s.s. sem staðfesta menntun og reynslu.
Umsókn um starf er varðveitt í 6 mánuði.
Vinnsla bankans á upplýsingum um umsækjendur byggir á beiðni viðkomandi um að gera samning við bankann og eftir atvikum lögmætum hagsmunum bankans.
2.4 Vinnsla persónuupplýsinga ólögráða barna
Bankinn vinnur með persónuupplýsingar um börn þegar það er nauðsynlegt í þeim tilgangi að framkvæma umbeðin viðskipti eða þjónustu, t.d. vegna stofnunar greiðslureiknings, útgáfu greiðslukorta, opnun aðgengis að netbanka og smáforriti bankans. Bankinn gerir þá samning eða aflar sérstakt samþykkis forráðamanna fyrir vinnslu áður en barni sem ekki hefur náð 13 ára aldri er boðin þjónusta.
Bankinn sendir markaðsefni er varðar kynningu á vörum og þjónustu sem ætlað er börnum til forráðamanna þeirra. Forráðamenn hafa möguleika á að afþakka markaðsefni, sbr. kafla 7.3 í yfirlýsingu þessari.
2.5 Rafræn vöktun
Bankinn viðhefur rafræna vöktun í formi hljóðritunar símtala og eftirlits með notkun eftirlitsmyndavéla. Vöktun með myndavélum fer fram í útibúum bankans og við hraðbanka. Vöktunin fer fram í þeim tilgangi að tryggja öryggi, í eignavörsluskyni og í þeim tilgangi að lágmarka áhættu á svikum. Efni sem til verður við rafræna vöktun er varðveitt í samræmi við lög og reglur hverju sinni.
Vinnsla er tengist rafrænni vöktun byggir á lögmætum hagsmunum bankans og eftir atvikum lagaskyldu í samræmi við lög um verðbréfaviðskipti.
2.6 Önnur vinnsla
Í þeim tilvikum er aðrir en viðskiptavinir, eða tengiliðir og forsvarsmenn viðskiptavina og annarra samstarfs- og eftirlitsaðila, setja sig í samband við bankann kann bankanum að vera nauðsynlegt að vinna með persónuupplýsingar viðkomandi. Það á t.a.m. við ef bankanum berst styrktarbeiðni frá viðskiptavin og/eða hvers konar ábending er lýtur að bankanum eða dótturfélögum hans.
3. Hvaðan fær bankinn persónuupplýsingar?
Í þeim tilvikum sem bankinn þjónustar dóttur- og samstarfsfélög fær bankinn persónuupplýsingar viðskiptavina þeirra í þeim tilgangi að geta þjónustað viðskiptavini og byggir vinnslan á samningi. Bankinn kemur í þeim tilvikum fram sem sameiginlegur ábyrgðaraðila og í undantekningartilvikum sem vinnsluaðili.
4. Hvert er persónuupplýsingum miðlað?
Bankanum kann að vera nauðsynlegt að miðla upplýsingum um þá einstaklinga sem hann vinnur með til utanaðkomandi aðila í þeim tilvikum sem getið er um hér fyrir neðan.
4.1 Þriðju aðilar
Með þriðja aðila er átt við sjálfstæðan lögaðila, annan en bankann, eða einstakling sem ekki er starfsmaður bankans.
Miðlun bankans á persónuupplýsingum einstaklinga til þriðju aðila fer fram í ólíkum tilgangi og flokka má tilvikin eftir því á hvaða grundvelli miðlunin fer fram:
- Á grundvelli samnings
Bankanum kann að vera nauðsynlegt að miðla persónuupplýsingum viðskiptavinar til þriðja aðila til að framfylgja skyldum samkvæmt samningi. Dæmi um slíkt er miðlun til Reiknistofu bankanna og til kortafyrirtækja vegna framkvæmdar viðskipta og til vörsluaðila fjármálagerninga í tengslum við verðbréfaþjónustu.
- Á grundvelli lagaskyldu
Á grundvelli laga, reglugerða, dóms- og stjórnvaldsúrskurða og fyrirmæla stjórnvalda kann bankanum að vera skylt að miðla upplýsingum, einkum um viðskiptavini, til þriðja aðila og þar til bærra stjórnvalda. Á grundvelli skýrrar lagaheimildar geta yfirvöld eins og Fjármálaeftirlitið, Seðlabanki Íslands, Embætti héraðssaksóknara, ríkisskattstjóri og tollgæsluyfirvöld óskað eftir upplýsingum frá bankanum um viðskiptavini og aðra. Bankanum ber skylda til að verða við slíkum beiðnum og eftir atvikum að veita yfirvöldum aðgang að starfsstöðvum og upplýsingakerfum bankans í þeim tilgangi. Sem dæmi má nefna getur bankanum verið skylt að miðlð upplýsingum um tekjur, skuldastöðu, kröfur o.fl. upplýsingum um viðskiptavini til ríkisskattstjóra vegna skattframtala eða staðgreiðsluskila og upplýsingum til skattrannsóknarstjóra og héraðssaksóknara vegna rannsóknar mála.
- Á grundvelli lögmætra hagsmuna
Sumir þjónustuaðilar bankans koma fram sem sjálfstæðir ábyrgðaraðilar, s.s. lögmenn og endurskoðendur. Í þeim tilvikum sem nauðsynlegt er að miðla persónuupplýsingum einstaklinga til slíkra aðila, í tengslum við veitta þjónustu, þ.m.t. í tengslum við hagsmunagæslu og rekstur dómsmála, er um að ræða miðlun persónuupplýsinga til þriðju aðila.
Hvað varðar upplýsingar sem safnast með rafrænni vöktun kann bankanum að vera heimilt að miðla slíkum upplýsingum til lögreglu eða tryggingarfélags, s.s. í tilviki eignartjóns þegar bankanum er nauðsynlegt að gera kröfu.
Í tengslum við mögulegar sameiningar og/eða kaup og sölu kann bankinn jafnframt að miðla afmörkuðum upplýsingum um viðskiptavini til hugsanlegra fjárfesta og ráðgjafa, s.s. við framkvæmd áreiðanleikakönnunar.
4.2 Vinnsluaðilar
Bankinn nýtir utanaðkomandi aðila í tengslum við ýmiss konar þjónustu við bankann, s.s. í tengslum við upplýsingatækni. Í tengslum við slíka þjónustu kann bankanum að vera nauðsynlegt að miðla eða veita þjónustuveitendum aðgang að þeim persónuupplýsingum sem bankinn vinnur og koma þjónustuveitendur þá fram sem svokallaðir vinnsluaðilar. Í þeim tilvikum tryggir bankinn að viðkomandi aðilar hafi gripið til fullnægjandi öryggisráðstafana til að vernda persónuupplýsingar og gerir bankinn við þá aðila viðeigandi vinnslusamninga. Vinnsluaðilar vinna einungis með persónuupplýsingar innan þess tilgangs og að því marki sem bankinn ákveður.
4.3 Dóttur- og samstarfsfélög
Bankinn kann að miðla persónuupplýsingum til dóttur- og samstarfsfélaga í þeim tilgangi að framkvæma samning við viðskiptavini, uppfylla lagaskyldur, s.s. kröfur skv. peningaþvættislöggjöf, eða á grundvelli lögmætra hagsmuna. Miðlun kann að eiga sér stað á milli bankans og dóttur- og/eða samstarfsfélaga í markaðslegum tilgangi, ýmist á grundvelli samþykkis eða lögmætra hagsmuna. Það fer eftir vinnslu hverju sinni í hvaða hlutverki bankinn kann að vera s.s. ábyrgðaraðili, sameiginlegur ábyrgðaraðili eða vinnsluaðili.
Bankinn er bundinn þagnarskyldu skv. lögum um fjármálafyrirtæki gagnvart viðskiptavinum sínum og mun bankinn ávallt gæta að þeim syldum við miðlun innan fyrirtækjasamstæðunnar.
4.4 Miðlun persónuupplýsinga utan EES
Í vissum tilvikum kann persónuupplýsingum að vera miðlað úr landi og út fyrir Evrópska efnahagssvæðið („EES“), til dæmis í þeim tilgangi að uppfylla samningsskyldur við viðskiptavin eða uppfylla skyldur sem hvíla á bankanum samkvæmt lögum. Bankinn miðlar þó ekki persónuupplýsingum út fyrir EES nema á grundvelli viðeigandi heimilda í persónuverndarlögum og að því gefnu að gripið hafi verið til viðeigandi ráðstafana.
5. Öryggi persónuupplýsinga sem bankinn vinnur
Rík skylda hvílir á bankanum að gæta að öryggi þeirra persónuupplýsinga sem hann vinnur með og er bankinn með vottað stjórnkerfi upplýsingaöryggis samkvæmt upplýsingastaðlinum ÍST ISO/IEC27001. Þær ráðstafanir sem bankinn hefur gripið til í þeim tilgangi að tryggja öryggi eru bæði skipulagslegar og tæknilegar og lúta einkum að aðgangsstýringu, raunlægu öryggi, mannauðsöryggi, rekstraröryggi og samskiptaöryggi. Þá viðhefur bankinn innra eftirlit með ofangreindu og endurskoðar áhættumat sitt og viðbrögð reglulega.
6. Varðveislutími persónuupplýsinga
Persónuupplýsingar eru varðveittar á meðan viðskiptasamband viðskiptavinar og bankans varir eða eins lengi og nauðsynlegt er með hliðsjón af tilgangi vinnslu, skilmálum samninga, reglna bankans og að því gefnu að málefnalegar ástæður séu til staðar. Bankanum kann að vera nauðsynlegt að varðveita upplýsingar á grundvelli lagaskyldu. Þannig eru bókhaldsgögn varðveitt í sjö ár, upplýsingar er tengjast peningaþvætti og könnun á áreiðanleika í fimm ár frá því að einstökum viðskiptum eða viðskiptasambandi lýkur og afriti af viðskiptafyrirmælum í fimm ár.
Upplýsingar sem safnast með rafrænu eftirlitinu eru almennt varðveittar í 30 daga og upplýsingar um umsækjendur um störf í 6 mánuði.
7. Réttindi einstaklinga á grundvelli persónuverndarlaga
Persónuverndarlög tryggja þeim einstaklingum sem bankinn vinnur persónuupplýsingar um ýmis réttindi. Umrædd réttindi eru þó ekki fortakslaus og kunna lagaskyldur eða ríkari hagsmunir bankans eða þriðja aðila að koma í veg fyrir að bankinn geti orðið við beiðni einstaklings sem nýta vill réttindi sín á grundvelli persónuverndarlaga. Bankinn leitast við að svara öllum beiðnum einstaklinga sem nýta vilja réttindi sín á grundvelli persónuverndarlaga innan 30 daga og geti bankinn af einhverjum ástæðum ekki orðið við beiðni, hvort sem er í heild eða hluta, leitast bankinn við að rökstyðja slíka niðurstöðu.
7.1 Aðgangur að eigin persónuupplýsingum – persónuverndarskýrslur
Einstaklingar eiga rétt á að vita hvort bankinn sé að vinna með persónuupplýsingar um þá og að fá upplýsingar um vinnsluna, s.s. um tilgang, hvert þeim er miðlað, uppruna, hvort sjálfvirk ákvarðanataka fari fram og upplýsingar um rétt sinn. Þá geta einstaklingar jafnframt átt rétt til að fá afrit af þeim persónuupplýsingum sem bankinn vinnur um viðkomandi.
Í netbanka bankans er hægt að nálgast svokallaða persónuverndarskýrslu þar sem viðskiptavinur getur óskað eftir afriti af þeim persónuupplýsingum sem bankinn vinnur um viðkomandi. Tekið skal fram að í persónuverndarskýrslunni er leitast við að veita viðskiptavin heildaryfirlit yfir þær persónuupplýsingar sem bankinn vinnur um viðkomandi. Þó er ekki hægt að útiloka að bankinn vinni með umfangsmeiri persónuupplýsingar um viðskiptavin en fram koma í skýrslunni. Viðskiptavinir geta ávallt óskað eftir frekari upplýsingum um vinnslu persónuupplýsinga bankans um sig í samræmi við rétt um aðgang og afrit af gögnum.
7.2 Leiðrétting persónuupplýsinga og eyðing
Telji einstaklingur að þær persónuupplýsingar sem bankinn vinnur um hann séu óáreiðanlegar eða rangar á viðkomandi rétt á því að fá þær leiðréttar.
Í ákveðnum tilvikum á einstaklingur rétt á því að fara fram á að bankinn eyði persónuupplýsingum um hann, s.s. ef einstaklingur telur upplýsingarnar ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Hið sama á við ef einstaklingur dregur til baka samþykki um vinnslu persónuupplýsinga og ekki er annar lagagrundvöllur fyrir vinnslunni eða ef vinnsla upplýsinganna reynist ólögmæt.
7.3 Andmælaréttur og takmörkun á vinnslu
Einstaklingur sem bankinn vinnur persónuupplýsingar um á rétt á því að andmæla vinnslu persónuupplýsinga um sig sem byggir á lögmætum hagsmunum, s.s. vinnsla persónuupplýsinga til notkunar í beinni markaðssetningu.
Einstaklingur á rétt á að óska eftir því að bankinn takmarki vinnslu persónuupplýsinga um sig ef hann telur að upplýsingarnar séu ekki réttar, vinnsla upplýsinganna sé ólögmæt eða að bankinn þurfi ekki lengur á upplýsingum að halda en einstaklingar þarfnast þeirra til að stofna, hafa uppi eða verja réttarkröfur.
7.4 Flutningsréttur
Í tilgreindum tilvikum, er vinnsla byggir á samningi eða samþykki, getur einstaklingur sem afhent hefur bankanum persónuupplýsingar um sig með rafrænum hætti átt rétt á því að fá afrit af slíkum upplýsingum á skipulegu, algengu og tölvulesanlegu sniði. Einstaklingur getur einnig óskað eftir að bankinn sendi viðkomandi upplýsingar beint til þriðja aðila.
7.5 Afturköllun samþykkis
Í þeim tilvikum þar sem vinnsla bankans byggir á samþykki getur einstaklingur sem veitti bankanum samþykki hvenær sem er dregið það til baka. Afturköllun samþykkis hefur þó ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturköllun.
7.6 Kvörtun til Persónuverndar
Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd og vinnslu persónuupplýsinga og úrskurðar í ágreiningsmálum á sviði persónuverndar. Nánari upplýsingar um stofnunina má finna á heimasíðu hennar, personuvernd.is. Ef einstaklingur er ekki sáttur við vinnslu bankans á persónuupplýsingum um sig er hægt að leggja fram kvörtun hjá Persónuvernd með því að senda erindi á Persónuvernd, Rauðarárstígur 10, 105 Reykjavík eða á postur@personuvernd.is.
8. Samskiptaupplýsingar bankans og persónuverndarfulltrúa
Vilji einstaklingur sem bankinn vinnur persónuupplýsingar um nýta réttindi sín á grundvelli persónuverndarlaga, sbr. kafla 7 í persónuverndaryfirlýsingu þessari, eða hafi viðkomandi spurningar um vinnslu bankans á persónuupplýsingum er viðkomandi hvattur til að setja sig í samband við bankann. Hægt er að hafa samband við bankann í gegnum netfangið arionbanki@arionbanki.is eða hringja í þjónustuver í síma 444-7000.
Bankinn hefur einnig tilnefnt sérstakan persónuverndarfulltrúa í samræmi við persónuverndarlög. Hlutverk slíks fulltrúa er m.a. að fylgjast með að farið sé eftir ákvæðum persónuverndarlaga, vera tengiliður bankans við Persónuvernd og svara fyrirspurnum frá þeim einstaklingum sem bankinn vinnur upplýsingar um. Hægt er að hafa samband við persónuverndarfulltrúa Arion banka með því að senda tölvupóst á netfangið personuvernd@arionbanki.is.
Bankinn hefur aðsetur að Borgartúni 19, 105 Reykjavík og er kennitala bankans 581008-0150.
9. Hvernig uppfærir eða breytir bankinn persónuverndaryfirlýsingunni?
Bankinn áskilur sér rétt til að breyta þessari persónuverndaryfirlýsingu og bæta við hana hvenær sem er til að endurspegla sem best þá vinnslu sem fer fram hverju sinni hjá bankanum. Slíkar breytingar taka gildi án fyrirvara við birtingu á vef bankans, nema annað sé tilgreint.