I EU har et nytt personvernregelverk, General Data Protection Regulation (GDPR), trådt i kraft 25. mai 2018. Dette regelverket vil sammen med ny norsk personopplysningslov tre i kraft i Norge i løpet av juli 2018.

Sparebanken Møre har taushetsplikt, og har ansvar for å behandle dine personopplysninger etter gjeldende personvernlovgivning. Dette betyr at vi tar dine personopplysninger på alvor, og at det skal være sikkert for deg å benytte deg av de produktene/tjenestene vi tilbyr.

Denne personvernerklæringen inneholder informasjon du har krav på når det samles inn opplysninger om deg, for eksempel fra nettsiden vår www.sbm.no. I tillegg inneholder den generell informasjon om hvordan vi behandler personopplysninger.

Når vi skriver «du» i denne erklæringen, mener vi deg som kunde, potensiell kunde, medarbeider hos vår kunde eller andre relevante parter, slik som reelle rettighetshavere, autoriserte representanter, bedriftskortinnehavere og tilknyttede parter. 

Sparebanken Møre er behandlingsansvarlig for personopplysningene vi behandler om deg. Kontaktinformasjon til Sparebanken Møre er:

Under finner du eksempler på typer personopplysninger som Sparebanken Møre kan samle inn. Merk at typen personopplysning som samles inn, er avhengig av hvilket produkt eller tjeneste vi tilbyr deg som kunde.

• Identifikasjonsinformasjon: navn, fødselsnummer og kopi av legitimasjon som pass, førerkort eller lignende.
• Kontaktinformasjon: telefonnummer, adresse (inkludert postadresse og hjemland for utenlandske adresser) og e-postadresser.
• Finansiell informasjon: kunde- og produktavtaler, transaksjonsdata og kreditthistorikk.
• Lovpålagte opplysninger: skattemessig hjemsted eller utenlandsk skatteregistreringsnummer, opplysninger som kreves for å få grunnleggende kunnskap om kunder og i forbindelse med bankens arbeid mot hvitvasking.
• Særlige kategorier av data: for eksempel ved behov for helseopplysninger eller knyttet til enkelte produkter.

Fra deg
Vi vil behandle personopplysninger du gir direkte til oss, eksempelvis i et søknadsskjema, ved bruk av våre betalingstjenester eller andre elektroniske løsninger, ved besøk på vår nettside, ved kameraovervåkning eller henvendelser til vårt kundesenter eller andre deler av virksomheten. 

Fra tredjeparter
For å kunne tilby deg tjenester og overholde lovkrav vil Sparebanken Møre også innhente personopplysninger fra tredjeparter. For eksempel kan vi i forbindelse med utbetalinger samle inn opplysninger fra avsendere, butikker, banker, betalingstjenesteleverandører og andre. 

Andre eksempler på slike informasjonskilder kan være: 

• offentlig tilgjengelige kilder og andre eksterne kilder/registre som føres av offentlige myndigheter (for eksempel Folkeregisteret og registre hos skattemyndigheter) 
• firmaregistre 
• kriminalitetsbekjempende myndigheter (for eksempel politiet, økokrim, etc.) 
• sanksjonslister (som føres av internasjonale organisasjoner som EU og FN samt nasjonale organisasjoner som Office of Foreign Assets Control (OFAC)) 
• sosiale medier 
• leverandører og samarbeidspartnere
• registre som føres av kredittopplysningsbyråer og andre kommersielle informasjonstjenester som leverer informasjon om for eksempel reelle rettighetshavere og politisk eksponerte personer

Fra cookies (informasjonskapsler)
Informasjonskapsler eller «cookies» – er en standard teknologi som stort sett alle nettsider bruker i dag. En informasjonskapsel er en liten tekstfil som lagres på pc-en din, vanligvis gjennom bruk av en nettleser. De inneholder blant annet informasjon om hvilke sider du besøker på nettet. Bruk av informasjonskapsler på våre nettsider. 

Fra lydopptak av telefonsamtaler og oppbevaring av elektronisk kommunikasjon
Sparebanken Møre er lovpålagt (for eksempel i henhold til Verdipapirloven) å gjøre opptak av telefonsamtaler og oppbevare elektronisk kommunikasjon når du som kunde får råd om lån, sparing, investering eller lignende tjenester. Sparebanken Møre gjør opptak av alle samtaler du har med rådgivere eller meglere i bankens avdeling for aksjehandel og Aktiv Forvaltning, som yter disse tjenestene.

Sparebanken Mør vil kunne lytte til samtaler og se på annen elektronisk kommunikasjon i forbindelse med intern kvalitetskontroll, og ved eventuelle klagesaker.

• Lagringstid: Opptaket skal kun brukes når du eller vi har behov for å dokumentere vår rådgivning. Opptak lagres i minst fem år og blir slettet når Sparebanken Møre ikke lenger har ett rettslig grunnlag for videre lagring.
• Utlevering til andre: Sparebanken Møre kan bli pålagt å utlevere informasjon til offentlig myndighet og andre som kan kreve dette i medhold av lov. I tillegg vil informasjon kunne bli utlevert til Finansklagenemnda, blant annet i forbindelse med behandling av klagesaker.
• Avspillingsrett: Anmodning om innsyn i dokumentasjon av investeringstjenester og avspilling av lydopptak rettes til kundesenteret på +47 70 11 30 00. En slik anmodning kan du komme med inntil fem år fra da samtalen ble tatt opp. Ved anmodning om avspilling av lydopptak må du oppgi tidspunkt for når samtalen ble gjennomført og fra hvilket telefonnummer.

Ved kameraovervåking
For å forebygge og avdekke straffbare handlinger foretar Sparebanken Møre bildeopptak ved kameraovervåking av banklokaler, ekspedisjonssteder, minibanker, innskuddsautomater og nattsafer. Opptak lagres i 90 dager og blir deretter slettet automatisk. Denne oppbevaringsperioden gjelder med mindre bildeopptakene er utlevert til politiet eller Sparebanken Møre har rett til å behandle bildeopptakene til annet formål. 

Kundeadministrasjon
Sparebanken Møre vil bruke dine personopplysninger for å oppfylle de forpliktelser som vi har påtatt oss for gjennomføring av oppdrag og tjenesteavtaler med deg, samt annen kundeadministrasjon som for eksempel gjennomføring av transaksjoner og kundekommunikasjon.

Sparebanken Møre vil ved avtaleinngåelsen og under avtaleforholdet registrere opplysninger om deg og andre personer som har tilknytning til avtaleforholdet, for eksempel disponenter. Sparebanken Møre vil også registrere opplysninger om personer som Sparebanken Møre har avslått å inngå avtale med. Dette for å kunne underrette om avslaget og eventuelt i ettertid kunne dokumentere forholdet.

Markedsføring
Sparebanken Møre kan behandle personopplysningene i markedsføringsøyemed dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til ditt personvern. Markedsføres det produkter og tjenester innen en annen produktkategori enn den som Sparebanken Møre og du har inngått avtale om, kreves det samtykke fra deg for å benytte andre kundeopplysninger enn de nøytrale.

Uten samtykke fra deg vil finansforetakene i Sparebanken Møre-konsernet kunne dele følgende nøytrale opplysninger seg imellom seg, og benytte disse til markedsføring: for eksempel kontaktinformasjon som ditt navn, kontaktopplysninger, fødselsdato og hvilke tjenester eller produkter du har inngått avtale om. Konsernets finansforetak er underlagt strenge taushetsbestemmelser som medfører begrensninger i utlevering av personopplysninger mellom disse foretakene og til banken.

Profilering
Med profilering mener vi enhver form for automatisert behandling av personopplysninger som brukes til å vurdere egenskaper knyttet til deg. For eksempel for å analysere eller forutsi aspekter som gjelder din økonomiske situasjon, dine personlige preferanser eller transaksjonsatferd.

Profilering brukes i Sparebanken Møre i forbindelse med utarbeidelse og gjennomføring av markedsføringskampanjer, til kundeoppfølgingsformål og ved utarbeidelse av produkttilbud. Sparebanken Møre har en berettiget interesse til å bruke profilering, for eksempel når vi foretar kundeanalyse til markedsføringsformål eller transaksjonsovervåkning for å avdekke svindel.

Konsernkunderegister
Formålet med et konsernkunderegister er å administrere kundeforholdet og samordne tilbudet av tjenester og rådgivning fra de forskjellige selskapene i konsernet.

Konsernkunderegisteret vil inneholde nøytrale opplysninger om deg, som navn, fødselsdato, adresse og andre kontaktopplysninger, opplysninger om hvilket konsernselskap du er kunde i, og hvilke tjenester og produkter du har avtale om. Fødselsnummer kan utleveres til og registreres i et felles konsernkunderegister når formålet er administrasjon av kundeforhold.

Sikkerhet
Sparebanken Møre har gjennomført tekniske og organisatoriske sikkerhetstiltak for å sikre dine personopplysninger. Banken jobber kontinuerlig med å sikre at dine personopplysninger er beskyttet mot tap, ødeleggelse, korrupsjon eller uautorisert tilgang. Vi har et rammeverk for sikkerhet som oppdateres jevnlig i tråd med den teknologiske utviklingen.

Videre har Sparebanken Møre en berettiget interesse i å behandle personopplysninger for å sikre konsernets verdier, for eksempel logging på servere, drift av infrastruktur, brannmurer, adgangskontroll og kameraovervåking.

Risikoklassifisering av kunder og kredittporteføljer
Sparebanken Møre vil etter regler i finansforetaksloven og verdipapirloven behandle kredittopplysninger og andre personopplysninger. Dette gjøres i forbindelse med etablering av ditt kundeforhold, vurdering av hvilke tjenester og produkter som er egnet for deg, og bruk av systemer for beregning av kapitalkrav for kredittrisiko.

Systemer for interne målinger omfatter Sparebanken Møres modeller, arbeids- og beslutningsprosesser for kredittgivning og kredittstyring, kontrollmekanismer, IT-systemer og interne retningslinjer som er knyttet til klassifisering og kvantifisering av institusjonens kredittrisiko og annen relevant risiko. Personopplysninger til dette formålet innhentes fra blant annet kredittopplysningsforetak.

Forebygging og avdekking av straffbare handlinger
Sparebanken Møre kan behandle personopplysninger med det formål å forebygge, avdekke, oppklare og håndtere bedragerier og andre straffbare handlinger. I slike tilfeller vil Sparebanken Møre kunne være forpliktet til å innhente informasjon og utlevere opplysninger til andre banker og finansinstitusjoner, politiet og andre offentlige myndigheter. Oppbevaringstiden vil være inntil ti år etter registreringen. Sparebanken Møre vil behandle personopplysninger for å oppfylle undersøkelses- og rapporteringsplikten for mistenkelige transaksjoner etter hvitvaskingsloven. Sparebanken Møre er pålagt å rapportere mistenkelige opplysninger og transaksjoner til ØKOKRIM v/Enheten for finansiell etterretning (EFE). I følge personopplysningsloven og hvitvaskingsloven har du ikke innsynsrett i enkelte opplysninger Sparebanken Møre har registrert så lenge en etterforskning pågår.

Sparebanken Møre vil for øvrig behandle personopplysninger i den grad lovgivningen påbyr eller gir adgang til det eller når du har samtykket til det. I tillegg kan Sparebanken Møre behandle personopplysningene for å forebygge og avdekke straffbare handlinger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til ditt personvern.

Kundeautentisering ved bruk av elektroniske tjenester
Når du benytter deg av Sparebanken Møres elektroniske tjenester, kan banken registrere brukeradferd og brukermiljø samt avvik fra dette, identifisere den datamaskinen eller mobile enheten du bruker til å utføre banktjenesten, datamaskinens/enhetens tilstand o.l. Denne informasjonen vil Sparebanken Møre bruke for å kontrollere at det er rett person som benytter den aktuelle tjenesten. Banken kan også bruke informasjonen i en risikovurdering for å tilpasse autentiseringsmetoden som du skal benytte for tjenesten.

Analyse og utvikling av nye tjenester
Sparebanken Møre kan samle inn opplysninger som brukes til analyse av hvordan du som kunde bruker bankens tjenester i forbindelse med forbedring av eksisterende produkter eller utvikling av nye tjenester.

Sparebanken Møre har i enkelte tilfeller en berettiget interesse av å analysere bruksmønsteret for å identifisere potensiell etterspørsel etter nye produkter og tjenester, forbedre funksjonalitet i allerede eksisterende produkter og tjenester samt utføre tester i forbindelse med utvikling.

Automatiserte avgjørelser
Vi kan i noen tilfeller bruke automatiserte avgjørelser hvis dette er godkjent ved lov, dersom du har gitt et uttrykkelig samtykke til det eller dersom det er nødvendig for utførelsen av en avtale, for eksempel automatiserte kredittavgjørelser i våre online-kanaler. Du kan når som helst be om en manuell behandling i stedet, gi din mening eller bestride en avgjørelse som utelukkende er basert på automatisert behandling, inkludert profilering, dersom en slik avgjørelse vil ha rettslige følger eller på annen måte påvirke deg i betydelig grad.

Når vi bruker automatiserte avgjørelser, vil vi gi deg ytterligere informasjon om den underliggende logikken som er brukt, samt betydningen og hvilke konsekvenser dette kan få for deg. 

Til tredjeparter
I noen tilfeller har vi rettslig grunnlag til å dele opplysninger med tredjeparter. Eksempler på slike tredjeparter er myndigheter, leverandører, betalingstjenesteleverandører og forretningspartnere. Vi gjør spesielt oppmerksom på plikten til å utlevere skatteopplysninger dersom du er skattepliktig til andre land. Før vi deler slike opplysninger, vil vi alltid sørge for at vi følger de aktuelle bestemmelsene om taushetsplikt som gjelder i finans- og verdipapirsektoren. 

Når vi leverer tjenester og produkter, kan det i enkelte tilfeller bety at vi må utlevere informasjon om deg. Hvis du for eksempel har bedt oss om å overføre penger eller verdipapirer, må vi utlevere visse opplysninger for å kunne utføre overføringen. 

Dersom Sparebanken Møre setter ut oppgaver som innebærer at en leverandør skal behandle personopplysninger på vegne av Sparebanken Møre – og ikke til eget formål – vil leverandøren normalt være en databehandler. I slike tilfeller er det nødvendig med en databehandleravtale mellom Sparebanken Møre og leverandør. Dette gjelder uavhengig av om Sparebanken Møre bruker databehandlere i Norge eller i andre land innen EØS-området. 

Sparebanken Møre-konsernet bruker databehandlere (for eksempel leverandør av IT-tjenester) til å samle inn, lagre eller på annen måte behandle personopplysninger på sine vegne. I slike tilfeller vil Sparebanken Møre inngå avtaler med databehandler for å sikre at behandlingen av opplysningene er i samsvar med personvernregelverket og Sparebanken Møres krav til behandling av personopplysninger. Bruken av databehandlere er ikke å regne som en utlevering av personopplysninger. 

Per i dag benytter Sparebanken Møre for eksempel disse typene databehandlere: 

• software-leverandører 
• skyløsningsleverandører 
• konsulenter
• tjenesteleverandører

Overføring av personopplysninger til land utenfor EØS
Når Sparebanken Møre overfører personopplysninger til en leverandør er det nødvendig med en databehandleravtale mellom Sparebanken Møre og leverandøren. Dette gjelder uavhengig av om banken bruker databehandlere i Norge eller i andre land innen EØS-området. 

I noen tilfeller overfører Sparebanken Møre personopplysninger til organisasjoner i land utenfor EØS-området, for eksempel til leverandører av IT-tjenester eller andre databehandlere. Slike overføringer kan bare gjøres hvis den behandlingsansvarlige eller databehandleren har gitt nødvendige garantier og under forutsetning av at individene sikres håndhevbare og effektive rettigheter. 

Det kreves altså et gyldig grunnlag for slik overføring i henhold til personvern-regelverket, og noen av følgende vilkår må være oppfylt: 

• EU-kommisjonen har besluttet at det foreligger et tilstrekkelig beskyttelsesnivå i det aktuelle landet 
• Det er truffet andre hensiktsmessige sikkerhetstiltak, og/eller en databehandler har gitt nødvendige garantier om at personopplysningene vil bli behandlet på en trygg måte, for eksempel ved bruk av standardkontrakter (EUs standardklausuler) som er godkjent av EU-kommisjonen, eller databehandleren har gyldige bindende konsernregler (BCR). 
• Det dreier seg om unntak i spesielle tilfeller, for eksempel for å oppfylle en avtale med deg eller tilfeller der du gir ditt samtykke til den bestemte overføringen.

Nødvendig for å oppfylle en avtale med deg
Formålet med Sparebanken Møres behandling av personopplysninger er i første rekke kundeadministrasjon, finansiell rådgivning, fakturering og gjennomføring av bank-, forsikrings- og finansieringstjenester i tråd med de avtalene vi har inngått med deg.

Samtykke
Dersom ikke annet behandlingsgrunnlag foreligger, vil Sparebanken Møres behandling av personopplysninger basere seg på et frivillig, uttrykkelig og informert samtykke fra deg som kunde. Du vil alltid bli bedt om å avgi samtykke dersom det er nødvendig å behandle sensitive kategorier av personopplysninger (for eksempel helseopplysninger, opplysninger om religiøs overbevisning, legning, etniske opprinnelse, etc.). 

Dersom du har avgitt samtykke til Sparebanken Møre, kan dette på hvilket som helst tidspunkt trekkes tilbake. Trekker du tilbake ditt samtykke, vil behandlingen opphøre, og personopplysningene vil slettes dersom oppbevaring av opplysningene er basert utelukkende på avgitt samtykke. Informasjon om formål, behandlingsaktiviteter og tilbakekalling av det aktuelle samtykket vil gis når du blir bedt om å avgi samtykke i de ulike kanalene til Sparebanken Møre. Ditt samtykke kan endres her.

Rettslige forpliktelser
Sparebanken Møre behandler personopplysninger for å oppfylle sine forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger. 

Eksempler på behandling basert på rettslige forpliktelser: 

• forebygging og avdekking av straffbare handlinger, som hvitvasking av penger, finansiering av terrorisme og bedrageri 
• sanksjonsovervåkning 
• bokføringskrav 
• rapportering til skattemyndigheter, politimyndigheter, namsmyndighet og tilsynsmyndigheter 
• krav og forpliktelser knyttet til betalingstjenester 
• andre forpliktelser knyttet til tjeneste- eller produktspesifikk lovgivning, for eksempel verdipapirer, fond, pantesikkerhet, forsikring eller boliglån

Berettiget interesse

Sparebanken Møre kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen må være lovlig, definert på forhånd, reell og saklig begrunnet i virksomheten. 

Eksempler på behandling basert på berettiget interesse: 

• markedsføring i løpende avtaleforhold 
• kundeanalyser basert på profilering til markedsføringsformål 

Vern av vitale interesser
Sparebanken Møre kan behandle personopplysninger dersom det er nødvendig for å verne dine eller en annen persons vitale interesser, f.eks. for å avverge svindel som du eller andre kan bli utsatt for.

Almenhetens interesse
Sparebanken Møre kan behandle personopplysninger dersom det er nødvendig for å utføre en oppgave i allmenhetens interesse eller utøve offentlig myndighet som banken er pålagt.

Innsyn i opplysninger og dataportabilitet
Personvernlovgivningen gir deg rett til å få innsyn i data vi har lagret om deg. Dette gjelder informasjon du selv har oppgitt, informasjon vi har hentet fra eksterne kilder, og informasjon om behandling av opplysningene. 

Interne vurderinger og lignende interne data som Sparebanken Møre oppretter på bakgrunn av personopplysningene du har gitt til oss, faller utenfor innsynsretten. Det samme gjelder enkelte personopplysninger som vi har innhentet for å oppfylle lovpålagte forpliktelser, som for eksempel anti-hvitvaskingsforpliktelser. Du finner detaljerte opplysninger og historikk om dine produkter og tjenester i nettbanken. Hvis du ikke er nettbankkunde, har du fått disse opplysningene i våre faste utsendelser per post. 

Dataportabilitet er din rett til å få utlevert personopplysninger du selv har gitt oss, samt opplysninger fra bruk av bankens produkter og tjenester. Opplysningene skal sendes i et maskinlesbart format. Dette gjelder opplysninger du har gitt oss direkte, basert på inngått samtykke eller for å oppfylle en avtale. Du kan også laste ned detaljerte opplysninger og historikk om dine produkter og tjenester i nettbanken. 

Innsigelse mot behandling 
Du har rett til å protestere på behandling av dine personopplysninger som skjer på grunnlag av berettigede interesser med mindre slike interesser overstyrer dine grunnleggende rettigheter eller friheter. 

I tilfeller hvor behandling av dine personopplysninger er basert på vår berettigede interesse og opplysningene benyttes for direkte markedsføring og profilering i forbindelse med slik markedsføring, har du alltid rett til å fremme innsigelser mot behandlingen.

Retten til sletting av personopplysninger
Så lenge du har en eller flere aktive avtaler med oss vil det være nødvendig for oss å oppbevare dine personopplysninger tilknyttet avtalen. Når en avtale blir avsluttet, vil dine personopplysninger bli oppbevart i en periode for å kunne gi deg best mulig kundeservice. I tillegg oppbevarer vi opplysninger etter at avtalen er avsluttet for å oppfylle lovpålagt oppbevaringsplikt samt forsvare oss mot rettskrav. Deretter blir dine personopplysninger permanent slettet. Som et eksempel vil vi oppbevare dine personopplysninger tilknyttet et boliglån i fem år etter det er innfridd, for deretter å slette dem. 

Enkelte opplysninger er Sparebanken Møre lovpålagt å oppbevare, også personopplysninger, for eksempel til bokføring, skatterapportering og myndighetsrapportering. Disse dataene vil også bli slettet automatisk, men normalt etter en lengre periode. Det er viktig å poengtere at disse personopplysningene kun blir brukt til disse formålene og derfor er strengt tilgangsbegrenset. Når alle dine avtaler er avsluttet, vil vi også slette ditt kundeforhold. 

Dersom du opplever at Sparebanken Møre oppbevarer dine personopplysninger urettmessig, har du rett til å be oss om at disse blir slettet («retten til å bli glemt»). 

Retting av feilaktige personopplysninger om deg selv
Hvis opplysningene er uriktige eller ufullstendige, har du rett til å få opplysningene rettet med de begrensninger som følger av lovgivningen.

Begrensning av behandling av personopplysninger
Dersom du bestrider riktigheten i opplysningene vi har registrert om deg eller lovligheten ved behandlingen, eller dersom du har fremmet innsigelse mot behandlingen av opplysningene i samsvar med din rett til innsigelse, kan du be oss om å begrense behandlingen av disse opplysningene til kun lagring. Behandlingen vil bli begrenset til kun lagring inntil opplysningene er rettet, eller det kan fastslås at våre berettigede interesser går foran dine interesser. 

Dersom du ikke har rett til å slette opplysningene vi har registrert om deg, kan du i stedet be om at vi begrenser behandlingen av disse opplysningene til kun lagring. Dersom behandlingen av opplysningene som vi har registrert om deg, er nødvendig for å fremme et rettslig krav, kan du også kreve at annen behandling av disse opplysningene begrenses til lagring. Vi kan behandle opplysningene dine til andre formål dersom dette er nødvendig for å fremme et rettslig krav eller hvis du har gitt ditt samtykke til dette. 

Dersom du ber om begrensing av behandling av dine personopplysninger kan det føre til at enkelte produkter og tjenester ikke lenger vil være tilgjengelig for deg. Vi oppfordrer deg derfor til å kontakte oss for å få mer informasjon om hvilke konsekvensene en begrensning kan bety for ditt kundeforhold. 

Klage
Ønsker du å klage på Sparebanken Møres behandling av dine personopplysninger kan dette sendes inn elektronisk her. Dersom du ønsker det, kan du sende klager til Datatilsynet. Du finner informasjon om dette på Datatilsynets egne nettsider.

Endringer
I Sparebanken Møre jobber vi kontinuerlig med å forbedre og utvikle våre tjenester, produkter og nettsteder. Hvis det skulle skje endringer i regelverket om behandling av personopplysninger, endringer av våre tjenester og produkter eller andre endringer som påvirker personvernerklæringen, kan det medføre at informasjonen her vil endres.