Hopp til hovedinnhold

Personvern­erklæring for BankID

Versjon 1.0. Dato: 04.07.2022.

1. Beskrivelse av tjenesten

BankID er en digital legitimasjon og signeringsløsning som utstedes til deg av banken din. Du kan benytte BankID hos norske banker, til å digitalt legitimere deg på offentlige og private nettsteder og signere avtaler digitalt på nettet. Tjenesten er regulert av Avtale om BankID mellom deg og din bank.

2. Behandling av personopplysninger

Denne personvernerklæring inneholder informasjon du har krav på når det samles inn personopplysninger om deg i tjenesten BankID, samt informasjon om hvordan banken behandler opplysningene.

Det er banken som har utstedt din BankID som er behandlingsansvarlig, og som vil behandle dine opplysninger i henhold til lov om behandling av personopplysninger.

3. Typer personopplysninger

Nedenfor finner du informasjon om hvilke typer personopplysninger banken din samler inn:

Identifikasjonsinformasjon: Navn, fødsels- eller D-nummer, nasjonalitet og kopi av legitimasjonsdokumenter. Banken din er pliktig til å innhente slike opplysninger i forbindelse med opprettelse av et kundeforhold. I tillegg kan opplysningene være nødvendig å behandle også når du bruker din BankID.

Finansiell informasjon: Bankkontonummer, transaksjonsdata, tidspunkt for utstedelse, revokering, utløpsdato og endringer av din BankID.

Kontaktinformasjon: Adresse, mobilnummer og mobiloperatør-tilhørighet.

Digital atferdsinformasjon: Enhetsinformasjon (mobil, PC, nettbrett osv.), Lokasjonsdata, IP-adresse, språkpreferanse, brukermiljø og brukeratferd, transaksjonstidspunkt og nettleserinformasjon. Opplysningene vil kun behandles i forbindelse med sikkerhetsovervåkning.

Identifikator: Banken setter deretter gyldighetsperiode for din BankID, og gir deg en unik identifikator som identifiserer deg og et serienummer som identifiserer din BankID.

4. Hvor innhenter banken din opplysningene dine fra?

4.1 Fra deg

De personopplysningene som banken din registrerer, vil i hovedsak innhentes fra deg som kunde, i forbindelse med utstedelse av BankID og fra dine enheter når du bruker BankID.

4.2 Fra tredjeparter

For å kunne tilby deg tjenester og overholde lovkrav vil banken din også innhente personopplysninger fra tredjeparter. For eksempel kan banken i forbindelse med identifisering og signering med BankID samle inn opplysninger fra brukersteder (f.eks nettsteder, nettbutikk eller lignende). Det vil også innhentes opplysninger om deg fra Folkeregisteret.

5. Til hvilke formål brukes personopplysningene

5.1 Kundeadministrasjon

Banken vil bruke dine personopplysninger for å oppfylle de forpliktelser banken har når du benytter din BankID til digital legitimering og/eller signering i ulike kanaler. For å oppnå formålet, må banken din motta, registrere, arkivere og tilgjengeliggjøre personopplysninger om deg for å drifte og forvalte tjenesten.

Ved inngåelse av Avtale om BankID og under avtaleforholdet vil banken din registrere opplysninger om deg. For å ivareta bankenes kontraktsmessige rettigheter og hjelpe kunder til å oppfylle sine forpliktelser i henhold til avtalen, vil det være nødvendig å behandle personopplysninger for å følge opp deg som kunde ved sperring og åpning av BankID.

5.2 Videreutvikling og markedsføring

Banken din vil behandle personopplysninger om deg for å sikre at BankID fungerer som det skal og vil derfor gjøre forbedringer i tjenesten og teste og videreutvikle systemet.

I tillegg vil det behandles personopplysninger til misligholdsstatistikk og til markedsføring.

5.3 Bruk av BankID – legitimering og signering

For å ivareta riktig og sikker bruk av din BankID til digital legitimering og signering i ulike kanaler vil banken din motta, registrere og tilgjengeliggjøre personopplysninger om deg. For sikker drift og forvaltning av BankID vil det også behandles personopplysninger til sikkerhetslogging og feilretting.

5.3.1 Forebygging og avdekking av straffbare handlinger

Banken din vil i forbindelse med din bruk av BankID behandle personopplysninger til det formål å forebygge, avdekke, oppklare og håndtere eventuell uberettiget bruk av din BankID og andre straffbare handlinger. I slike tilfeller kan banken din også være forpliktet til å utlevere informasjon til politiet og andre offentlige myndigheter.

I forbindelse med sikkerhetsovervåkning, forebygging av og motvirkning av straffbare handlinger vil banken samle inn digital atferdsinformasjon for å foreta en risikovurdering av din bruk.

Banken din sin behandling av personopplysninger for å forebygge og avdekke uberettiget bruk og straffbare handlinger gjøres der det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til ditt personvern.

5.3.2 Profilering

Enhver automatisert behandling av personopplysninger som brukes til å vurdere egenskaper om deg, anses som profilering. Bankene har berettiget interesse til å bruke profilering i BankID for å ivareta din sikkerhet og vil gjennomføre overvåkning av dine atferdsmønstre for å avdekke om du blir utsatt for uberettiget bruk i form av svindel eller misbruk.

6. Hvem kan banken din utlevere personopplysninger til

6.1 Til tredjeparter

For at tjenesten BankID skal fungere som avtalt med deg i Avtale om BankID, vil det i forbindelse med digital legitimering og signering deles opplysninger om deg med brukersteder. Av typer personopplysninger gjelder det identifikasjonsinformasjon og kontaktinformasjon dersom du benytter BankID på mobil eller på app, en unik identifikator som identifiserer deg og et serienummer som identifiserer din BankID.

For å beskytte deg og brukersteder der du benytter din BankID, vil det basert på banken sin risikovurdering, resultere i en risikoscore som vil kunne utleveres til brukersteder du benytter. En risikoscore vil ikke inneholde personopplysninger om din atferd, men kun bety at brukerstedet får en score i tallform.

6.2 Databehandlere

Det er flere underleverandører som behandler personopplysninger på bankens vegne (databehandlere). Overføring av personopplysninger til slike databehandlere skjer i medhold av databehandleravtaler som sikrer at behandlingen gjennomføres i samsvar med regelverket, herunder hindrer at databehandleren bruker opplysningene for andre formål. Overføring av personopplysninger til bankens databehandlere anses ikke som utlevering.

I noen tilfeller kan banken overføre personopplysninger til underleverandører i land utenfor EØS-området, for eksempel til leverandører av IT-tjenester eller andre databehandlere. Slike overføringer kan bare gjøres hvis databehandleren har gitt nødvendige garantier og under forutsetning av at du sikres håndhevbare og effektive rettigheter.

7. Behandlingsgrunnlag

Nedenfor finner du de rettslige behandlingsgrunnlagene banken benytter som medfører at banken har lov til å behandle dine personopplysninger:

7.1 Nødvendig for å oppfylle en avtale med deg

Formålet med bankenes behandling av personopplysninger er kundeadministrasjon og kontroller som må gjennomføres ved inngåelse av Avtale om BankID pkt. 5.1.

7.2 Rettslige forpliktelser

Banken behandler også personopplysninger for å oppfylle sine forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger; slik som personopplysningsloven, bokføringsloven, hvitvaskingsloven og annet relevant regelverk, og utleveringspålegg fra myndigheter med hjemmel i lov.

Eksempler på behandling basert på rettslige forpliktelser:

  • forebygging og avdekking av straffbare handlinger, som hvitvasking av penger, finansiering av terrorisme og bedrageri
  • bokføringskrav
  • rapportering til politimyndigheter, tilsynsmyndigheter og andre myndigheter med hjemmel i lov

7.3 Berettiget interesse

Banken kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse for banken som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen må være lovlig, definert på forhånd, reell og saklig begrunnet i virksomheten.

Sikkerhetsovervåkning utføres for å beskytte din BankID mot svindel og uberettiget bruk. Din bank vil i forbindelse med din bruk av BankID samle inn og behandle opplysninger om deg og din adferd for å oppnå dette formålet. En digital legitimering og signering som benyttes på tvers av bruksområder i samfunnet må ha sikkerhetsovervåkning for å opprettholde tilliten til tjenesten.

8. Dine rettigheter

Du har rett til å kreve begrensning i behandlingen og kan på visse vilkår protestere mot videre behandling av personopplysninger eller kreve dine personopplysninger overført til deg selv eller annen behandlingsansvarlig (dataportabilitet). I de tilfellene hvor behandling av dine personopplysninger er basert på profilering, har du alltid rett til å fremme innsigelser mot behandling av personopplysninger til dette formål med mindre bankens berettigede interesse vil overstyre dine grunnleggende rettigheter eller friheter.

Dersom opplysningene banken har om deg er feil, kan du kreve å få opplysningene rettet, supplert eller slettet.

Ønsker du å benytte deg av dine rettigheter for innsyn kan du henvende deg til den banken du har inngått avtale med BankID med eller bankens nettside for bestilling av innsyn i egne personopplysninger. Du kan bestille innsyn i hvilke opplysninger banken behandler om deg.

Spørsmål knyttet til behandling av personopplysninger kan ellers rettes ved at du tar kontakt med banken på telefon til kundeservice eller via kontaktskjema på bankens nettsider.

Du har ikke rett til innsyn i de opplysninger som banken har registrert om deg for å oppfylle sine undersøkelses- og rapporteringsplikter for mistenkelige transaksjoner etter hvitvaskingsloven.

Når innsynsbestilling er mottatt vil banken svare så snart som mulig, og senest 30 dager etter at banken har mottatt bestillingen din. Hvis særlige forhold ikke gjør det mulig for banken å svare innen 30 dager, vil banken sende et foreløpig svar hvor banken begrunner forsinkelsen, inkludert informasjon om sannsynlig tidspunkt for svar.

9. Lagringstid

Personopplysninger vil ikke bli lagret lenger enn det som er nødvendig for å oppfylle formålet med behandlingen. Etter dette vil opplysningene slettes eller anonymiseres, med mindre opplysningene skal eller kan oppbevares utover dette som følge av lov. Opplysninger om dine BankID-transaksjoner vil bli lagret av banken så lenge lovgivningen krever det.

Personopplysninger som banken behandler på grunnlag av ditt samtykke slettes hvis du trekker samtykket tilbake, med mindre det finnes et annet rettslig grunnlag for videre behandling.

10. Klager

Hvis du mener at banken behandler personopplysninger i strid med personvernlovgivningen kan du ta kontakt med banken din eller klage til Datatilsynet. Du finner kontaktinformasjon til Datatilsynet på www.datatilsynet.no.

11. Endringer

Banken kan endre denne personvernerklæringen når det er legitime grunner til slike endringer. Dette vil kunne omfatte nødvendige endringer som følge av lovmessige krav, endringer i eksisterende tjeneste eller for å omfatte nye tjenester i BankID, eller som følge av endringer i hvordan banken samler inn og behandler personopplysninger.