PRIVATLIVSPOLITIK

1. Indledning

1.1 For at være i stand til at servicere vores kunder, er Saxo Bank A/S (herefter ”Saxo Bank”, ”vi” eller ”os”) nødt til at indsamle personoplysninger fra vores kunder og/eller potentielle kunder samt medarbejdere.

I betragtning af ovenstående, ønsker Saxo Bank at sikre en høj grad af databeskyttelse, da privatliv er en hjørnesten i at opnå og bibeholde vores kunders, medarbejderes og leverandørers tillid og dermed sikre Saxo Banks fremtidige forretning.

Beskyttelse af personoplysninger kræver, at de rette tekniske og organisatoriske tiltag bliver taget for at kunne påvise en høj databeskyttelse. Saxo Bank har vedtaget en række interne og eksterne databeskyttelsespolitikker, som Saxo Banks medarbejdere skal overholde.

Saxo Bank vil derudover føre tilsyn med, kontrollere og dokumentere intern overholdelse af databeskyttelsespolitikkerne og gældende lovpligtige databeskyttelseskrav, herunder persondataforordningen (”GDPR”).

Saxo Bank tager også de nødvendige skridt for at kunne øge overholdelse af databeskyttelse i organisationen. Dette inkluderer tildeling af ansvar, øget forståelse og uddannelse af personale, der er involveret i driftsopgaver. Bemærk at denne privatlivspolitik vil blive revideret fra tid til anden for at tage højde for eventuelle nye forpligtelser. Opbevaring og behandling af personoplysninger, er styret af vores privatlivspolitik.

Denne privatlivspolitik udgør sammen med retningslinjerne for behandling af personoplysninger den overordnede ramme for behandling af personoplysninger i Saxo Bank.

1.2 “Personoplysninger” er enhver form for information der kan relateres til en identificeret eller identificerbar fysisk person (”registrerede”). En identificerbar fysisk person er en, der kan identificeres direkte eller indirekte, især med en identifikator såsom navn, lokaliseringsdata, telefonnummer, alder, køn, en medarbejder, en jobansøger, kunder, leverandører og andre samarbejdspartnere. Dette inkluderer også særlige kategorier af personoplysninger (følsomme personoplysninger) og fortrolige oplysninger såsom sundhedsoplysninger, kontonummer, ID nummer, lokaliseringsdata, onlineidentifikator eller et eller flere faktorer , der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

1.3 Selvom information om firmaer/virksomheder ikke som sådan er personoplysninger, skal det bemærkes, at information relateret til kontaktpersoner i firmaer/virksomheder såsom navn, titel, arbejdse-mail, arbejdstelefonnummer osv. betragtes som personoplysninger.

1.4 Saxo Bank indsamler og anvender personoplysninger til forskellige legitime forretningsformål, herunder oprettelse og håndtering af kunde- og leverandørforhold, gennemførelse af (indkøbs-)aftaler, rekruttering og administrering af alle aspekter af betingelser og vilkår for ansættelse, kommunikation, opfyldelse af juridiske forpligtelser eller krav, opfyldelse af kontrakter, yde kundeservice osv.

1.5 Personoplysninger skal altid:

  • behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede;
  • indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål;
  • være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles;
  • være korrekte og om nødvendigt ajourførte; der skal tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges;
  • opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles;
  • behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

1.6 Som en del af Saxo Banks ansvar, er Saxo Bank ansvarlig for og skal kunne påvise, at ovenstående overholdes.

2. Retsgrundlag for behandling af personoplysninger

2.1 Behandling af personoplysninger kræver retsgrundlag. Saxo Banks væsentligste retsgrundlag for behandling af personoplysninger er:

  • Samtykke fra den/de registrerede til en eller flere specifikke formål;
  • Opfyldelsen af en kontrakt som den registrerede er part i;
  • Enhver juridisk forpligtelse eller krav;
  • Saxo Banks legitime interesser;

2.2 Samtykke

2.2.1 Hvis indsamlingen, registreringen og den yderligere behandling af kunders, leverandørers eller andre forretningsforbindelser og medarbejderes personoplysninger er baseret på denne persons samtykke til behandling af personoplysninger til en eller flere specifikke formål, skal Saxo Bank kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger.

2.2.2 Samtykket skal være: frivilligt, specifikt, informeret og entydigt. Den registrerede skal give aktivt samtykke til behandling af sine personoplysninger ved erklæring eller klar bekræftelse.

2.2.3 En anmodning om samtykke skal forelægges på en måde, som klart kan skelnes fra de andre forhold, i en letforståelig og lettilgængelig form og i et klart og enkelt sprog.

2.2.4 For behandling af særlige kategorier af personoplysninger (følsomme peronoplysninger) skal samtykket også være specifikt.

2.2.5 Den registrerede har ret til at trække sit samtykke tilbage til enhver tid og ved en sådan tilbagetrækning, stopper vi med at indsamle og/eller behandle personoplysninger fra den person, medmindre vi er forpligtet eller berettiget til det baseret på et andet retsgrundlag.

2.3 Opfyldelse af en kontrakt:

2.3.1 Det er legitimt at indsamle og behandle personoplysninger, der er relevant for opfyldelse af en kontrakt som den registrerede er part i, eller af hensyn til foranstaltninger, der træffes på dennes anmodning forud for indgåelse af en sådan kontrakt. Dette gælder alle kontraktlige forpligtelser og aftaler, der er underskrevet med Saxo Bank, herunder perioden forud for indgåelsen af en kontrakt uanset om kontraktforhandlingen bliver en succes eller ej.

2.4 Overholdelse af retslig forpligtelse:

2.4.1 Saxo Bank skal overholde forskellige retlige forpligtelser og krav, der har retsgrundlag i EU-retten eller medlemsstaternes nationale ret. Sådanne retlige forpligtelser, som påhviler Saxo Bank, kan udgøre et tilstrækkeligt legitimt grundlag for behandling af personoplysninger.

2.4.2 Sådanne retlige forpligtelser inkluderer en forpligtelse til at indsamle, registrere og/eller gøre visse typer information vedrørende medarbejdere, kunder osv. tilgængelig. Sådanne retlige forpligtelser danner dermed retsgrundlag for, at vi kan behandle personoplysninger. Det er dog vigtigt at bemærke om bestemmelserne, der tillader eller kræver, at Saxo Bank behandler bestemte personoplysninger også fastsætter krav om opbevaring, videregivelse og sletning.

2.5 Legitime interesser

2.5.1 Personoplysninger bliver kun behandlet, hvor dette er nødvendigt for Saxo Banks legitime interesser og disse interesser eller grundlæggende rettigheder ikke tilsidesættes af den registreredes interesser. Når Saxo Bank beslutter at behandle personoplysninger, sørger vi for at sikre, at Saxo Banks legitime interesser ikke tilsidesætter den pågældende fysiske persons rettigheder og frihed og at behandlingen af personoplysningerne ikke forvolder unødig skade. For eksempel er det Saxo Banks legitime interesse at behandle personoplysninger på potentielle kunder for at kunne udvide forretningen og udvikle nye forretningsforbindelser. Den registrerede skal informeres om den specifikke legitime interesse, hvis behandlingen er baseret på denne bestemmelse, jf. afsnit 4.1 nedenfor.

3. Behandling og overførsel af personoplysninger

3.1 Saxo Bank som dataansvarlig

3.1.1 Saxo Bank anses for at være dataansvarlig for så vidt angår, at vi beslutter på hvilken måde, den registreredes personoplysninger bliver behandlet, for eksempel når en registreret underskriver en aftale med Saxo Bank.

3.2 Brug af databehandlere

3.2.1 En ekstern databehandler er en virksomhed, der behandler personoplysninger på vegne af Saxo Bank og i henhold til Saxo Banks instrukser, for eksempel i forbindelse med HR systemer, tredjepartleverandører osv. Når Saxo Bank udliciterer behandling af personoplysninger til databehandlere, sikrer Saxo Bank at virksomheden som minimum anvender samme grad af databeskyttelse som Saxo Bank. Hvis dette ikke kan garanteres, vælger Saxo Bank en anden databehandler.

3.3 Databehandleraftaler

3.3.1 Før overførsel af personoplysninger til personbehandleren finder sted, skal Saxo Bank indgå en skriftlig databehandleraftale med databehandleren. Datebehandleraftalen sikrer, at Saxo Bank kontrollerer behandlingen af de personoplysninger, der foregår uden for Saxo Bank og som Saxo Bank er ansvarlig for.

3.3.2 Hvis databehandler/underdatabehandler er placeret uden for EU/EØS, finder betingelserne i afsnit 3.4.4 nedenfor anvendelse.

3.4 Videregivelse af personoplysninger

3.4.1 Før videregivelse af personoplysninger til andre, er det Saxo Banks ansvar at vide om modtageren er ansat hos os eller ej. Derudover må vi kun dele personoplysninger internt i Saxo Bank, hvis videregivelsen tjener et legitimt forretningsformål.

3.4.2 Det er Saxo Banks ansvar at sikre, at modtageren har et legitimt formål med at modtage personoplysninger og sikre, at delingen af personoplysninger til tjenestebrug holdes til et minimum.

3.4.3 Saxo Bank skal udvise forsigtighed før deling af personoplysninger med personer, registrerede eller enheder uden for Saxo Bank. Personoplysninger må kun deles med tredjeparter, der fungerer som individuelle dataansvarlige, såfremt der er et legitimt formål med dette. Hvis modtageren fungerer som databehandler, henvises til afsnit 3.2 ovenfor.

3.4.4 Hvis modtageren er en tredjepart, der er lokaliseret uden for EU/EØS i et land, der ikke har et tilstrækkeligt databeskyttelsesniveau, kan deling kun gennemføres, hvis der forefindes en overførselsaftale mellem Saxo Bank og tredjepart. Overførselsaftalen skal være baseret på standardkontraktbestemmelserne, der er vedtaget af EU.

4. De registreredes rettigheder

4.1 Informationspligt

4.1.1 Når Saxo Bank indsamler og registrerer personoplysninger på registrerede, er Saxo Bank forpligtet til at informere disse personer om:

  • Formålene med behandlingen som personoplysningerne skal bruges til og retsgrundlaget for behandlingen;
  • de berørte kategorier af personoplysninger;
  • de legitime interesser, som forfølges af Saxo Bank, hvis behandlingen er baseret på interesseafvejning;
  • eventuelle modtagere eller kategorier af modtagere af personoplysningerne;
  • hvor det er relevant, at Saxo Bank agter at overføre personoplysninger til et tredjeland og retsgrundlaget herfor;
  • det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum;
  • retten til at anmode Saxo Bank om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling samt retten til dataportabilitet;
  • når behandling er baseret på den registreredes samtykke, retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf;
  • retten til at indgive en klage til en tilsynsmyndighed;
  • om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger;
  • forekomsten af automatiske afgørelser, herunder profilering, og meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

4.2 Ret til adgang

4.2.1 Enhver, hvis personoplysninger behandles af Saxo Bank, herunder for eksempel medarbejdere, jobansøgere, eksterne leverandører, kunder, potentielle kunder, forretningspartnere osv., har ret til at anmode om adgang til de personoplysninger, Saxo Bank behandler eller opbevarer om ham/hende.

4.2.2 Hvis Saxo bank behandler eller opbevarer personoplysninger om den registrerede, har den registrerede ret til adgang til personoplysningerne og til få information om formålet med at behandle personoplysningerne i henhold til de kriterier angivet i afsnit 4.1.1.

4.3 Den registrerede har ret til at få urigtige personoplysninger om sig selv berigtiget af Saxo Bank uden unødig forsinkelse

4.4 Den registrerede har ret til at få personoplysninger om sig selv slettet af Saxo Bank, og Saxo Bank har pligt til at slette personoplysninger uden unødig forsinkelse medmindre det er lovpligtigt at opbevare information i en fastsat periode, for eksempel fastsat af finanstilsyn eller skattemyndigheder.

4.5 Den registrerede har ret til at opnå begrænsning af databehandling fra Saxo Bank, hvis det findes relevant.

4.6 Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage sine personoplysninger.

4.7 Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på interesseafvejning, herunder profilering.
Anmodninger modtaget fra registrerede om at udøve de i dette afsnit anførte rettigheder, skal besvares hurtigst muligt og ikke senere end 30 dage fra modtagelse. Anmodninger skal videresendes til Saxo Banks Service Center med det samme. Service Center støttes af Saxo Banks databeskyttelsesrådgiver i håndtering af anmodningen og overholdelse af svarfristen.

5. Databeskyttelse gennem design og databeskyttelse gennem standardindstillinger

5.1 Nye produkter, services, tekniske løsninger mm. skal udvikles for at overholde principperne om databeskyttelse gennem design og datebeskyttelse gennem standardindstillinger.

5.1.1 Databeskyttelse gennem design betyder, at der skal tages hensyn til databeskyttelse, når der udvikles nye produkter eller services.

  • Saxo Bank tager hensyn til den pågældende behandlings tekniske niveau, omkostninger ved implementering og karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder.
  • Saxo Bank gennemfører både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

5.1.2 Databeskyttelse gennem standardindstillinger kræver, at der implementeres relevante fremgangsmåder for dataminimering.

  • Saxo Bank gennemfører passende tekniske og organisatoriske foranstaltninger med henblik på gennem standardindstillinger at sikre, at kun personoplysninger, der er nødvendige til hvert specifikt formål med behandlingen, behandles.
  • Dette minimeringskrav gælder den mængde personoplysninger, der indsamles, og omfanget af deres behandling samt deres opbevaringsperiode og tilgængelighed.
  • Sådanne foranstaltninger skal gennem standardindstillinger sikre, at personoplysninger ikke uden grundig overvejelse stilles til rådighed

6. Fortegnelser over behandlingsaktiviteter

6.1 Saxo Bank skal som den dataansvarlige føre fortegnelser over behandlingsaktiviteter under sit ansvar. Disse fortegnelser skal omfatte følgende oplysninger:

  • Navn og kontaktoplysninger;
  • formålene med behandlingen;
  • en beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger;
  • de modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer;
  • hvor det er relevant, overførsler af personoplysninger til et tredjeland, herunder angivelse af dette tredjeland og eventuel dokumentation for passende garantier;
  • hvis det er muligt, de forventede tidsfrister for sletning af de forskellige kategorier af oplysninger;
  • hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.

6.1.1 Saxo Bank skal efter anmodning stille det registrerede materiale til rådighed for de relevante databeskyttelsestilsyn.

7. Sletning af personoplysninger

7.1 Personoplysninger skal slettes, når Saxo Bank ikke længere har et legitimt formål med fortsat behandling eller opbevaring af personoplysninger eller når det ikke længere er påkrævet at opbevare personoplysninger i henhold til gældende lovkrav.

7.2 Detaljerede opbevaringsperioder for diverse kategorier af personoplysninger er specificeret i Saxo Banks politik for opbevaring og deling af data (Data Retention and Information Sharing policy).

8. Vurdering af risiciene

8.1 Hvis Saxo Bank behandler personoplysninger, der sandsynligvis vil indebære en høj risiko for de personer, hvis personlige oplysninger der behandles, skal der udføres en konsekvensanalyse vedrørende databeskyttelse (”KVD”).

8.1.1 En KVD indebærer, at Saxo Bank tager hensyn til karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, gennemfører passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandling er i overensstemmelse med databeskyttelseskravene.

8.2 De tekniske og organisatoriske foranstaltninger skal gennemgås og opdateres, når efter behov, dog mindsthver 6. måned.

8.2.1 Overholdelse af godkendte adfærdskodekser eller godkendte certificeringsmekanismer kan bruges som dokumentation til at påvise overholdelse af de tekniske og organisatoriske foranstaltninger omhandlet i dette afsnit.

9. Profilering

9.1. Profilering i forbindelse med denne privatlivspolitik er anvendelsen af en automatiseret behandling af personoplysninger for at vurdere eller forudsige forhold vedrørende den fysiske persons adfærd. Saxo Bank må bruge profilering under følgende omstændigheder:

  • Til at identificere potentielle sager vedr. økonomisk kriminalitet;
  • Til at give kunder og potentielle kunder information om Saxo Banks produkter og services, der kunne have deres interesse;
  • Til at vurdere kreditværdighed.

10. Nationale krav

10.1 Saxo Bank skal overholde bade GDPR og lokal lovgivning om personoplysninger.

10.2 Hvis gældende national lovgivning kræver et højere beskyttelsesniveau for personoplysninger end GDPR, skal sådanne strengere krav overholdes. Hvis Saxo Banks politikker/retningslinjer stiller strengere krav end national lovgivning, skal vores politikker/retningslinjer følges.

11. Kontakt og klager

11.1 Hvis du har spørgsmål til indholdet af denne politik, bedes du kontakte Saxo Bank på support@accountservices.saxo.

11.2 Hvis du ønsker at klage over Saxo Banks håndtering af personoplysninger, bedes du kontakte Datatilsynet.