Se juridisk menu

Retningslinjer for databeskyttelse

Retningslinjer for behandling af personoplysninger i Saxo Bank A/S

1 Indledning

1.1 For at kunne betjene vores kunder indsamler Saxo Bank A/S (”Saxo Bank” ”vi” eller ”os”) personoplysninger om vores kunder og/eller potentielle kunder, kontaktpersoner hos leverandører og/eller andre forretningspartnere. Saxo Bank behandler også personoplysninger om medarbejdere med henblik på personaleadministration. 

På den baggrund ønsker Saxo Bank at sikre et højt niveau for beskyttelse af personoplysninger, da beskyttelse af personoplysninger er centralt for at vinde og fastholde tilliden hos vores kunder, kontaktpersoner hos leverandører og/eller andre forretningspartnere og på den måde sikre Saxo Banks fremtidige forretning. Det samme gælder for behandlingen af vores medarbejderes personoplysninger.

Beskyttelse af personoplysninger kræver blandt andet, at der implementeres de rette tekniske og organisatoriske foranstaltninger til at påvise et højt niveau for beskyttelse af personoplysninger. Saxo Bank har indført en række interne og eksterne politikker for beskyttelse af personoplysninger, som skal følges af medarbejderne i Saxo Bank. 

Saxo Bank vil også overvåge, auditere og dokumentere Saxo Banks interne overholdelse af politikkerne for beskyttelse af personoplysninger samt gældende lovkrav om beskyttelse af personoplysninger, herunder EU’s generelle forordning om databeskyttelse (”GDPR”).

Saxo Bank træffer desuden alle nødvendige foranstaltninger for at styrke overholdelsen af politikkerne for beskyttelse af personoplysninger i organisationen. Dette omfatter bl.a. tildeling af ansvarsområder, skærpelse af opmærksomheden samt uddannelse af medarbejdere, der er involveret i behandlingsaktiviteter, i databeskyttelse. Bemærk, at disse retningslinjer for databeskyttelse vil blive gennemgået fra tid til anden for at tage højde for nye krav. Opbevaring af personoplysninger er underlagt den til enhver tid gældende opbevaringspolitik. 

Sammen med retningslinjerne for behandling af personoplysninger udgør disse retningslinjer for databeskyttelse det samlede grundlag for behandling af personoplysninger i Saxo Bank. 

1.2Personoplysninger” er enhver form for information, der kan henføres til en identificeret eller identificerbar fysisk person (”den registrerede”). Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikation som f.eks. et navn, lokaliseringsdata, et telefonnummer, alder, køn osv. Sådanne personoplysninger kan eksempelvis vedrøre en medarbejder, jobansøger, kunde/potentiel kunde, leverandør eller andre forretningspartnere. 

1.3 Personoplysninger kan kategoriseres som almindelige ikke-følsomme personoplysninger eller særlige kategorier af personoplysninger (følsomme personoplysninger). Særlige kategorier af personoplysninger er beskrevet udtømmende i GDPR og omfatter personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger eller fagforeningsmæssigt tilhørsforhold, samt behandling af genetiske og biometriske data med henblik på entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger vedrørende en fysisk persons seksuelle forhold eller seksuelle orientering. Almindelige ikke-følsomme personoplysninger omfatter alle oplysninger, der ikke er kategoriseret som særlige kategorier af personoplysninger (følsomme personoplysninger). Sådanne oplysninger kan være navn, adresse, telefonnummer, medarbejder-id, oplysninger om uddannelse osv. Visse almindelige ikke-følsomme personoplysninger kan betragtes som fortrolige. Disse kan f.eks. omfatte oplysninger om indtægt og formue samt oplysninger om interne familieforhold/-anliggender. Fortrolige, almindelige ikke-følsomme oplysninger er normalvis underlagt yderligere sikkerhedsforanstaltninger. 

Kategorien af personoplysninger vil have betydning for, hvilket retsgrundlag behandlingen af sådanne personoplysninger kan baseres på. Der gælder særlige regler for behandling af oplysninger om strafbare forhold og CPR-numre. De forskellige retsgrundlag er beskrevet nedenfor i punkt 2.

1.4 Bemærk, at selv om oplysninger om virksomheder ikke som sådan er personoplysninger, anses oplysninger om kontaktpersoner i virksomheder som f.eks. navn, stillingsbetegnelse, arbejds-e-mailadresse, arbejdstelefonnummer som personoplysninger. Dog betragtes personoplysninger, der relaterer til en personligt ejet og drevet virksomhed, som personoplysninger, selvom personoplysningerne vedrører virksomheden. Sådanne personoplysninger betragtes som relaterende til en identificeret eller identificerbar fysisk person.

1.5 Saxo Bank indsamler og bruger personoplysninger til en lang række legitime forretningsformål, herunder oprettelse og administration af kunde- og leverandørforhold, indgåelse af indkøbsaftaler, rekruttering og administration af alle aspekter af ansættelsesbetingelser, kommunikation, opfyldelse af retlige forpligtelser eller lovkrav, opfyldelse af kontrakter, levering af ydelser til kunder osv. Ved udførelsen af sådanne behandlingsaktiviteter er første skridt at sikre, at de generelle principper vedrørende behandlingen af personoplysninger overholdes.

1.6 I henhold til de generelle principper skal personoplysninger altid: 

  • behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (princippet om lovlighed, rimelighed og gennemsigtighed) 

  • indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål (princippet om formålsbegrænsning) 

  • være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles (princippet om dataminimering) 

  • være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges (princippet om rigtighed) 

  • opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (princippet om opbevaringsbegrænsning)

  • behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger (princippet om integritet og fortrolighed).

1.7 Saxo Bank er ansvarlig for og skal kunne påvise, at ovenstående overholdes (princippet om ansvarlighed). Dette princip er en af grundene til, at vi har udarbejdet disse retningslinjer for databeskyttelse og, at det er vigtigt, at du læser dem grundigt. 

2. Retsgrundlag for behandling af personoplysninger

2.1 Udover at de generelle principper for behandling af personoplysninger skal overholdes, skal der også være et retsgrundlag for behandlingen af personoplysningerne. Retsgrundlaget afhænger af, hvilken kategori af personoplysninger der behandles. 

Det vigtigste retsgrundlag for behandlingen af almindelige ikke-følsomme personoplysninger, f.eks. navn, adresse, e-mail, telefonnummer, kreditkortoplysninger osv., i Saxo Bank er:

  • opfyldelse af en kontrakt, som den registrerede er part i en retlig forpligtelse eller et juridisk krav, som Saxo Bank er en part i, og legitime interesser, som forfølges af Saxo Bank eller af en tredjepart.

I visse tilfælde, hvor ingen af ovenstående retsgrundlag kan finde anvendelse, vil Saxo Bank indhente den registreredes samtykke til behandlingen.

De vigtigste retsgrundlag for behandlingen af særlige kategorier af personoplysninger (hvis nogen) i Saxo Bank er:

  • udtrykkeligt samtykke fra de(n) registrerede til behandling af personoplysningerne til et eller flere specifikke formål

  • at overholde forpligtelser og udøve Saxo Banks eller den registreredes særlige rettigheder i henhold til lovgivning inden for arbejdsmarkedsret, social sikkerhed og social sikring

  • hvis behandlingen er nødvendig for at etablere, forsvare eller gøre juridiske krav gældende.

Nedenfor følger en mere detaljeret beskrivelse af retsgrundlagene. 

2.2 Opfyldelse af en kontrakt: 

2.2.1 Det er legitimt at indsamle og behandle personoplysninger, der er relevante for opfyldelsen af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelsen af foranstaltninger på den registreredes anmodning forud for indgåelse af en kontrakt. Dette gælder alle kontraktlige forpligtelser og aftaler, der er indgået med Saxo Bank, herunder i perioden forud for indgåelsen af en sådan kontrakt, uanset udfaldet af kontraktforhandlingerne.

2.3 Overholdelse af en retlig forpligtelse 

2.3.1 Saxo Bank skal overholde en række retlige forpligtelser og lovkrav i henhold til EU-retten eller medlemsstaternes nationale ret. De retlige forpligtelser, som Saxo Bank er underlagt, kan være tilstrækkelige som retsgrundlag for behandlingen af personoplysninger.

2.3.2 De retlige forpligtelser omfatter også en forpligtelse til at indsamle, registrere og/eller overlade visse typer oplysninger om medarbejdere, kunder osv. De retlige forpligtelser udgør derefter vores retsgrundlag for at behandle personoplysningerne. Det er dog vigtigt at bemærke, at de bestemmelser, der tillader eller kræver, at Saxo Bank behandler visse personoplysninger, også fastsætter krav med hensyn til opbevaring, videregivelse og sletning. 

2.4 Legitime interesser

2.4.1 Personoplysninger vil kun blive behandlet, i det omfang behandlingen er nødvendig for, at Saxo Bank kan forfølge sine legitime interesser, medmindre den registreredes interesser går forud for disse interesser eller grundlæggende rettigheder. Saxo Bank vil, ved beslutningen om behandling af personoplysninger, sikre, at Saxo Banks legitime interesser ikke går forud for den fysiske persons rettigheder og frihedsrettigheder, og at behandlingen ikke forårsager urimelig skade. Et eksempel på Saxo Banks legitime interesse er behandling af personoplysninger om potentielle kunder med det formål at udvide forretningen og udvikle nye forretningsrelationer. Den registrerede skal oplyses om den specifikke legitime interesse, der forfølges af Saxo Bank, hvis behandling baseres på dette retsgrundlag, jf. punkt 4.1 nedenfor.

2.5 Samtykke

2.5.1 Hvis indsamlingen, registreringen og viderebehandlingen af personoplysninger om kunder, leverandører, andre forretningsforbindelser samt medarbejdere er baseret på den pågældende persons samtykke til behandling af sine personoplysninger til et eller flere specifikke formål, skal Saxo Bank kunne påvise, at den registrerede har givet samtykke til behandlingen af dennes personoplysninger.

2.5.2 Et samtykke skal være en frivillig, specifik, informeret og utvetydig indikation af den registreredes ønsker.
Den registrerede skal ved erklæring eller klar bekræftelse give aktivt samtykke til behandlingen af sine personoplysninger.

2.5.3 En anmodning om samtykke skal forelægges på en måde, som klart kan skelnes fra andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog.

2.5.4 For at behandle særlige kategorier af personoplysninger (følsomme personoplysninger) skal samtykket desuden være udtrykkeligt.

2.5.5 Den registrerede har til enhver tid ret til at trække sit samtykke tilbage. Efter tilbagetrækning af samtykke ophører vi med at indsamle og/eller behandle personoplysninger om den pågældende person, medmindre vi er forpligtet eller berettiget til dette baseret på et andet retsgrundlag.

2.6 Forpligtelser og udøvelse Saxo Banks eller den registreredes særlige rettigheder

2.6.1 Dette retsgrundlag vil i de fleste tilfælde kun være relevant, hvis Saxo Bank behandler helbredsoplysninger om medarbejderne for at overholde reglerne i henhold til arbejdsmarkedsret eller overenskomster, f.eks. sygedagpengegodtgørelse osv.

2.7 Juridiske krav

2.7.1 Dette retsgrundlag vil være relevant, hvis det er nødvendigt for Saxo Bank at behandle personoplysninger for at kunne etablere, forsvare eller gøre juridiske krav gældende over for en tredjepart, for eksempel en kunde eller en medarbejder. 

3. Behandling og overførsel af personoplysninger

3.1 Saxo Bank som dataansvarlig 

3.1.1 Saxo Bank behandler i det fleste tilfælde personoplysninger som dataansvarlig, da Saxo Bank afgør formålet med og metoderne til behandlingen af personoplysninger, f.eks. når behandlingen vedrører Saxo Banks kunder, andre forretningspartnere og medarbejdere. 

3.2 Brug af databehandlere

3.2.1 En ekstern databehandler er en virksomhed, der behandler personoplysninger på vegne af Saxo Bank og i henhold til Saxo Banks dokumenterede anvisninger, herunder til Saxo Banks formål og med metoder fremsat af Saxo Bank, f.eks. i relation til leverandører af HR-systemer og tredjepartsleverandører af IT. Hvis Saxo Bank outsourcer behandlingen af personoplysninger til databehandlere, sikrer Saxo Bank, at den pågældende virksomhed som minimum implementerer det samme niveau af sikkerhedsforanstaltninger til beskyttelse af personoplysninger som Saxo Bank. Hvis dette ikke kan garanteres, vælger Saxo Bank en anden databehandler. Behandlingen af en databehandler er underlagt databehandlingsaftalen.

3.3 Databehandlingsaftaler

3.3.1 Før der overføres personoplysninger til databehandleren, skal Saxo Bank vurdere, hvorvidt databehandleren giver tilstrækkelige garantier til at implementere de rette tekniske og organisatoriske foranstaltninger på en sådan måde, at behandlingen lever op til kravene i GDPR og sikrer beskyttelsen af de registreredes rettigheder. Når vurderingen er udført, og det er konstateret, at databehandleren lever op til de gældende krav, vil Saxo Bank indgå en skriftlig databehandlingsaftale med databehandleren. Databehandleraftalen sikrer, at Saxo Bank forvalter den behandling af personoplysninger, der finder sted uden for Saxo Bank, og den som Saxo Bank er dataansvarlige for. 

3.3.2 Hvis databehandleren/underdatabehandleren er etableret uden for EU/EØF,    
           gælder betingelserne i punkt 3.4.2 nedenfor. 

3.4 Videregivelse af personoplysninger til andre uafhængige dataansvarlige

3.4.1 Før der videregives persondata til andre, f.eks. andre uafhængige dataansvarlige, er det Saxo Banks ansvar at sikre, at de generelle principper for behandling af personoplysninger overholdes. Derudover er det Saxo Banks ansvar at sikre, at der er et retsgrundlag for videregivelsen af personoplysninger.

3.4.2 Hvis tredjepartsmodtageren er etableret uden for EU/EØF i et tredjeland, der ikke sikrer et tilstrækkeligt niveau for beskyttelse af personoplysninger, må overførslen kun finde sted, hvis Saxo Bank sørger for passende sikkerhedsforanstaltninger. Dette gøres ved indgåelsen af en overførselsaftale mellem Saxo Bank og tredjeparten. Overførselsaftalen skal være baseret på EU’s standardkontraktbestemmelser.

4. De registreredes rettigheder

De registrerede har følgende rettigheder, som er underlagt en række forskellige vilkår og betingelser samt undtagelser:

4.1 Underretningspligt når personoplysningerne indhentes fra den registrerede.

4.1.1 Når Saxo Bank behandler, herunder indsamler og registrerer personoplysninger om registrerede, er Saxo Bank forpligtet til at underrette de pågældende personer om følgende: 

  • Formålene med den planlagte behandling samt retsgrundlaget for behandlingen 

  • De berørte kategorier af personoplysninger 

  • De legitime interesser, Saxo Bank forfølger, hvis behandlingen er baseret på interesseafvejning 

  • Modtagerne eller kategorierne af modtagere af personoplysningerne 

  • Hvis det er relevant, det forhold, at Saxo Bank har til hensigt at overføre personoplysninger til et tredjeland, samt retsgrundlaget for denne overførsel  

  • Det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til fastlæggelse af dette tidsrum 

  • Retten til at anmode Saxo Bank om adgang til samt berigtigelse eller sletning af personoplysninger eller begrænsning af behandling af personoplysninger vedrørende den registrerede eller retten til at gøre indsigelse mod denne behandling eller retten til dataportabilitet 

  • Hvis behandlingen er baseret på den registreredes samtykke, retten til at trække samtykket tilbage til enhver tid, dog uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf

  • Retten til at indgive en klage til Saxo Bank ved at følge den korrekte procedure eller til en tilsynsmyndighed 

  • Hvorvidt meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger 

  • Forekomsten af automatiske afgørelser, herunder profilering, og meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

4.1.2 Saxo Bank har udarbejdet en meddelelse om personoplysninger, der indeholder en mere detaljeret beskrivelse af ovennævnte underretningsforpligtelse. 

4.1.3 Hvis personoplysningerne ikke indhentes fra den registrerede, skal han/hun informeres om den kilde, hvor personoplysningerne kommer fra, og hvis det er relevant, om de kom fra offentligt tilgængelige kilder. 

4.2 Ret til indsigt

4.2.1 Enhver person, hvis personoplysninger Saxo Bank behandler, herunder men ikke begrænset til, Saxo Bank-medarbejdere, jobansøgere, eksterne leverandører, kunder, potentielle kunder, kontaktpersoner ansat hos forretningspartnere osv. har ret til at indhente Saxo Banks bekræftelse af, hvorvidt der behandles personoplysninger om vedkommende, og hvis det er tilfældet, anmode om indsigt i de personoplysninger om den pågældende, som Saxo Bank behandler, foruden de oplysninger, der er beskrevet i punkt 4.1.1 ovenfor. 

4.3 Ret til berigtigelse 

4.3.1 Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af Saxo Bank uden unødig forsinkelse.

4.4 Ret til sletning (retten til at blive glemt)

4.4.1 Den registrerede har ret til at få personoplysninger om sig selv slettet af Saxo Bank, og Saxo Bank har pligt til at slette personoplysninger uden unødig forsinkelse, medmindre finansielle tilsynsmyndigheder eller skattemyndigheder kræver, at oplysningerne skal opbevares i et fastsat tidsrum.  

4.5 Ret til begrænsning af behandling

4.5.1 Den registrerede har ret til fra Saxo Bank at opnå begrænsning af behandling, hvis det er relevant. 

4.6 Ret til dataportabilitet 

4.6.1 Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage de registrerede personoplysninger.

4.7 Ret til indsigelse

4.7.1 Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på interesseafvejning, herunder profilering.

4.8 Enhver anmodning fra en registreret om udøvelse af rettighederne i dette punkt vil blive besvaret så hurtigt som muligt og senest 30 dage efter modtagelsen. Anmodninger fremsendes omgående til Saxo Banks servicecenter. Servicecentret understøttes af Saxo Banks databeskyttelsesrådgiver med henblik på at behandle anmodningen inden for svarfristen.

5. Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

5.1 Nye produkter, tjenester, tekniske løsninger osv. skal designes på en måde, så de lever op til principperne for databeskyttelse gennem design og databeskyttelse gennem standardindstillinger. 

5.1.1 Databeskyttelse gennem design betyder, at der i forbindelse med design af nye produkter eller tjenester skal tages behørigt hensyn til principperne om databeskyttelse.

  • Saxo Bank tager hensyn til følgende faktorer ved erhvervelse eller udvikling af nye produkter, tjenester, tekniske løsninger osv.: Det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen af personoplysninger indebærer.
  • Saxo Bank gennemfører, både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen, passende tekniske og organisatoriske foranstaltninger, herunder blandt andet, hvis det er relevant, pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde databeskyttelseskravene og beskytte de registreredes rettigheder og frihedsrettigheder. Dette er beskrevet yderligere i punkt 8 nedenfor.

5.1.2 Databeskyttelse gennem standardindstillinger kræver, at der implementeres relevante dataminimeringsteknikker.

  • Saxo Bank implementerer passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at der kun behandles personoplysninger, som er nødvendige til hvert specifikt formål med behandlingen.
  • Denne minimeringsforpligtelse gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed.

  • Sådanne foranstaltninger skal sikre, at personoplysninger som standard ikke gøres tilgængelige, uden at der ligger nøje overvejelser til grund.

6. Fortegnelser over behandlingsaktiviteter 

6.1 Saxo Bank skal som dataansvarlig føre fortegnelser over behandlingsaktiviteter under Saxo Banks ansvar. Disse fortegnelser skal omfatte følgende oplysninger:

  • Navn og kontaktoplysninger 
  • Formålene med behandlingen

  • En beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger

  • De modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer

  • Hvor det er relevant, overførsler af personoplysninger til et tredjeland, herunder angivelse af dette tredjeland, og hvor det er relevant, dokumentation for passende garantier

  • Hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger og

  • Hvis det er muligt, en generel beskrivelse af de anvendte tekniske og organisatoriske sikkerhedsforanstaltninger.

6.1.1 Saxo Bank stiller efter anmodning fortegnelserne over behandlingsaktiviteter til rådighed for relevante tilsynsmyndigheder. Saxo Bank har udarbejdet adskillige af sådanne fortegnelser.

7. Sletning af personoplysninger

7.1 Personoplysninger vil blive slettet, når Saxo Bank ikke længere har et legitimt formål med fortsat at opbevare eller på anden vis behandle personoplysningerne, eller når der ikke længere er en gældende retlig forpligtelse til at opbevare dem.

7.2 Nærmere oplysninger om opbevaringsperioder for forskellige kategorier af personoplysninger findes i Saxo Banks politik for opbevaring af personoplysninger og udveksling af oplysninger. 

8. Behandlingssikkerhed (risikovurderinger)

8.1 Saxo Bank implementerer passende tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau i forhold til risikoen, herunder bl.a., hvis det er relevant,:

  • Pseudonymisering og kryptering af personoplysninger

  • Muligheden for at sikre den vedvarende fortrolighed, integritet, tilgængelighed og robusthed af behandlingssystemerne og -tjenesterne

  • Muligheden for rettidigt at genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse

  • En proces til regelmæssigt at teste, vurdere og evaluere virkningsfuldheden af tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerheden.

8.2 Ved vurdering af det passende sikkerhedsniveau skal der især tages højde for de risici, der udgøres af behandlingen, særligt ved hændelig eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der sendes, opbevares eller på anden vis behandles. Saxo Bank har udarbejdet skriftlige risikovurderinger med hensyn til behandlingsaktiviteterne.

9. Konsekvensanalyse vedrørende databeskyttelse

9.1 Hvis Saxo Bank behandler personoplysninger, der sandsynligvis medfører en høj risiko for de personer, hvis personoplysninger behandles, foretages en konsekvensanalyse vedrørende databeskyttelse. 

9.1.1 En konsekvensanalyse vedrørende databeskyttelse indebærer, at Saxo Bank, under hensyntagen til behandlingsaktiviteters karakter, omfang, sammenhæng og formål samt risiciene for fysiske personers rettigheder og frihedsrettigheder, af varierende sandsynlighed og alvor, implementerer passende tekniske og organisatoriske foranstaltninger for at sikre og for at kunne påvise, at behandlingsaktiviteterne overholder databeskyttelseskravene. 

9.2 De tekniske og organisatoriske foranstaltninger skal revideres og ajourføres efter behov og mindst hvert halve år.

9.2.1 Overholdelse af godkendte adfærdskodekser eller godkendte certificeringsmekanismer kan bruges som et element til at påvise overholdelse af forpligtelserne med hensyn til relevante tekniske og organisatoriske foranstaltninger i henhold til dette punkt.

10. Profilering

10.1 I henhold til GDPR defineres profilering som "enhver form for automatisk behandling af personoplysninger, der evaluerer de personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den registreredes arbejdsindsats, økonomisk situation, helbred, personlige præferencer eller interesser, pålidelighed eller adfærd eller geografiske position eller bevægelser".

10.2 ”Profilering” i forbindelse med disse retningslinjer for databeskyttelse er brugen af en automatiseret proces til at analysere personoplysninger for at vurdere eller forudsige forhold vedrørende en registreret adfærd. Saxo Bank kan anvende profilering i følgende tilfælde:

  • Som hjælp til at opspore potentielle tilfælde af økonomisk kriminalitet

  • For at give kunder og kundeemner oplysning om Saxo Banks produkter og tjenester, der ser ud til at kunne være af interesse for dem, og til at vurdere kreditværdighed.

11. Nationale krav

11.1 Saxo Bank overholder både GDPR og national lovgivning om beskyttelse af personoplysninger. 

11.2 Hvis national lovgivning stiller krav om et højere niveau for beskyttelse af personoplysninger end GDPR, skal sådanne strengere krav overholdes. Hvis Saxo Banks politikker/retningslinjer er strengere end den lokale lovgivning, skal vores politikker/retningslinjer overholdes. 

12. Kontakt 

12.1 Hvis du har nogen spørgsmål vedrørende indholdet af disse retningslinjer for databeskyttelse, eller hvis du ønsker at indsende en klage vedrørende Saxo Banks behandlingsaktiviteter, skal du kontakte Saxo Bank på support@accountservices.saxo.

Handel og investering indebærer risici
Alle handler indebærer en risiko. Læs mere. For at hjælpe dig med at forstå risiciene har vi samlet nogle dokumenter med central investorinformation (KID'er), der viser risici og afkast for hvert enkelt produkt. Yderligere KID'er er tilgængelige på vores handelsplatform. Læs mere

Dette website er tilgængeligt fra ethvert sted i verden, men indholdet på websitet er relateret til Saxo Bank A/S og er ikke specifik for nogen enhed i Saxo Bank gruppen. Alle kunder vil indgå i et kundeforhold med Saxo Bank A/S underlagt dansk lovgivning.