Personvernerklæring

1. Introduksjon

1.1 For å betjene våre kunder trenger Saxo Bank A/S (heretter Saxo Bank, «vi» eller «oss») å samle inn personopplysninger fra våre kunder og/eller potensielle kunder og ansatte.

På bakgrunn av det ovenstående ønsker Saxo Bank å sikre et høyt personvernnivå, siden personvern er en hjørnestein for å oppnå og opprettholde tilliten til våre kunder, ansatte og leverandører og dermed sikre Saxo Banks virksomhet i fremtiden.

Beskyttelsen av personopplysninger krever at det treffes hensiktsmessige tekniske og organisatoriske tiltak for å demonstrere et høyt personvernnivå. Saxo Bank har vedtatt en rekke interne og eksterne personvernregler som skal overholdes av ansatte i Saxo Bank.

I tillegg vil Saxo Bank overvåke, revidere og dokumentere intern overholdelse av personvernreglene og gjeldende lovbestemte personvernkrav, inkludert personvernforordningen (GDPR).

Saxo Bank vil også ta nødvendige skritt for å øke overholdelse av personvernregler i organisasjonen. Disse trinnene omfatter tildeling av ansvarsområder, økt bevissthet og opplæring av ansatte som er involvert i behandlingen. Vær oppmerksom på at disse personvernreglene med jevne mellomrom vil bli gjennomgått for å ta hensyn til eventuelle nye forpliktelser og at alle personopplysninger vi har, vil bli styrt av våre nyeste personvernregler.

Disse personvernreglene, sammen med retningslinjene for behandling av personopplysninger, utgjør det overordnede rammeverket for behandling av personopplysninger i Saxo Bank.

1.2 "Personopplysninger" er alle opplysninger som kan være knyttet til en identifisert eller identifiserbar fysisk person (registrert). En identifiserbar fysisk person er en som kan identifiseres direkte eller indirekte, særlig ved henvisning til en identifikator som navn, stedsdata, telefonnummer, alder, kjønn, en ansatt, en jobbsøker, kunder, leverandører og andre forretningspartnere. Dette omfatter også spesielle kategorier av personopplysninger (sensitive personopplysninger) og konfidensielle opplysninger som helseopplysninger, kontonummer, identifikasjonsnummer, stedsdata, en online-identifikator eller en eller flere faktorer som er spesifikke for fysisk, fysiologisk, genetisk, mental og økonomisk, kulturell eller sosial identitet til den fysiske personen.

1.3 Selv om opplysninger om firmaer/virksomheter som sådan ikke er personopplysninger, må man være oppmerksom på at opplysninger knyttet til kontakter i slike selskaper/bedrifter, f.eks. navn, tittel, jobb e-post, telefonnummer på jobb osv. betraktes som personopplysninger.

1.4 Saxo Bank samler inn og bruker personopplysninger til en rekke berettigede forretningsmessige formål, deriblant etablering og styring av kunde- og leverandørforhold, gjennomføring av innkjøpsordrer, rekruttering og styring av alle aspekter av ansettelsesvilkår, kommunikasjon, oppfyllelse av rettslige forpliktelser eller krav, oppfyllelse av kontrakter, levering av tjenester til kunder osv.

1.5 Personopplysninger skal alltid:

  • Behandles lovlig, rettmessig og på en gjennomsiktig måte i forhold til den registrerte
  • samles for spesifiserte, eksplisitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene;
  • være tilstrekkelige, relevante og begrenset til det som er nødvendig i forhold til formålene de behandles for;
  • være nøyaktige og, når det er nødvendig, holdt oppdatert. Alle fornuftige skritt må tas for å sikre at personopplysninger som er unøyaktige med hensyn til formålene de behandles, blir slettet eller rettet uten forsinkelse.
  • oppbevares i en form som tillater identifisering av registrerte i et tidsrom som ikke overskrider det som er nødvendig for det formålet som personopplysningene behandles for;
  • behandles på en måte som sikrer passende sikkerhet for personopplysningene, deriblant beskyttelse mot uautorisert eller ulovlig behandling og mot utilsiktet tap, ødeleggelse eller skade ved hjelp av hensiktsmessige tekniske eller organisatoriske tiltak.

1.6 Saxo Bank skal være ansvarlig for og kunne vise overholdelse av det ovenstående som en del av Saxo Banks ansvar.

2. Rettslig grunnlag for behandling av personopplysninger

2.1 Behandling av personopplysninger krever en hjemmel. Den mest overordnede hjemmelen for behandling av personopplysninger i Saxo Bank er:

  • Samtykke fra den registrerte for et eller flere spesifikke formål;
  • Oppfyllelse av en kontrakt som den registrerte er part i;
  • En juridisk forpliktelse eller krav;
  • Berettigede interesser som ivaretas av Saxo Bank;

2.2 Samtykke

2.2.1 Dersom innsamling, registrering og videre behandling av personopplysninger om kunder, leverandører, andre forretningsforbindelser og ansatte er basert på en slik persons samtykke til behandling av personopplysninger for et eller flere spesifikke formål, skal Saxo Bank kunne dokumentere at den registrerte har samtykket til behandling av slike personopplysninger.

2.2.2 Samtykket skal være: frivillig gitt, spesifikt, informert og entydig.
Den registrerte må aktivt samtykke til behandling av personopplysninger ved en erklæring eller ved en tydelig bekreftende handling fra ham/henne.

2.2.3 En forespørsel om samtykke skal presenteres på en måte som klart skiller seg fra andre forhold, på en forståelig og lett tilgjengelig måte, ved bruk av klart og enkelt språk.

2.2.4 For å behandle spesielle kategorier av personopplysninger (sensitive personopplysninger) skal samtykket også være eksplisitt.

2.2.5 Den registrerte har rett til å trekke tilbake sitt samtykke til enhver tid, og ved en slik tilbaketrekking vil vi slutte å samle inn eller behandle personopplysninger om denne personen, med mindre vi er forpliktet eller berettiget til å gjøre det på grunnlag av et annet rettslig grunnlag.

2.3 Nødvendig for oppfyllelsen av en kontrakt:

2.3.1 Det vil være berettiget å samle inn og behandle personopplysninger som er relevante for utførelsen av en kontrakt som den registrerte er part i eller for å Ta/iverksette tiltak på anmodning fra den registrerte før inngåelse av en kontrakt. Dette gjelder alle kontraktsforpliktelser og avtaler som er inngått med Saxo Bank, inkludert i fasen før kontraktsinngåelse, uavhengig av om kontraktforhandlingene lykkes eller ikke.

2.4 Overholdelse av en rettslig forpliktelse

2.4.1 Saxo Bank må overholde ulike rettslige forpliktelser og krav som har grunnlag i EUs eller medlemsstatenes lov. Slike rettslige forpliktelser som Saxo Bank er underlagt, kan være tilstrekkelige som et berettiget grunnlag for behandlingen av personopplysninger.

2.4.2 Slike rettslige forpliktelser omfatter forpliktelser til innsamling, registrering og/eller tilgjengeliggjøring av visse typer opplysninger knyttet til ansatte, kunder osv. Slike rettslige krav vil da danne hjemmel for oss til å behandle personopplysningene. Det er imidlertid viktig å merke seg at bestemmelsene som tillater eller krever at Saxo Bank behandler bestemte personopplysninger, stiller krav til lagring, utlevering og sletting.

2.5 Berettigede interesser

2.5.1 Data vil kun bli behandlet når det er nødvendig med hensyn til de berettigede interessene Saxo Bank ivaretar, og disse interessene eller grunnleggende rettighetene ikke oppveies av den registrertes interesser. Saxo Bank vil, når den beslutter å behandle opplysninger, sikre at de berettigede interessene oppveier individets rettigheter og friheter, og at behandlingen ikke vil forårsake uberettiget skade. For eksempel er det en berettiget interesse for Saxo Bank å behandle personopplysninger om potensiell kunde for å utvide virksomheten og utvikle nye forretningsforbindelser. Den registrerte må gis opplysninger om den spesifikke berettigede interessen dersom en behandling er basert på denne bestemmelsen, jfr. avsnitt 4.1 nedenfor.

3. Behandling og overføring av personopplysninger

3.1 Saxo Bank som behandlingsansvarlig

3.1.1 Saxo Bank vil bli ansett som en behandlingsansvarlig i den utstrekning vi bestemmer hvordan den registrertes personopplysninger skal behandles f.eks. når en registrert signerer en avtale med Saxo Bank.

3.2 Bruk av databehandlere

3.2.1 En ekstern databehandler er et selskap som behandler personopplysninger på vegne av Saxo Bank og i samsvar med Saxo Banks instrukser, f.eks. i forhold til HR-systemer, tredjeparts IT-leverandører osv. Når Saxo Bank outsourcer behandling av personopplysninger til databehandlere, sikrer Saxo Bank at selskapet som et minimum bruker samme grad av personvern som Saxo Bank. Hvis dette ikke kan garanteres, velger Saxo Bank en annen databehandler.

3.3 Databehandlingsavtaler

3.3.1 Før overføring av personopplysninger til databehandleren skal Saxo Bank inngå en skriftlig databehandlingsavtale med databehandleren. Databehandlingsavtalen sikrer at Saxo Bank kontrollerer behandlingen av personopplysninger som foregår utenfor Saxo Bank og som Saxo Bank er ansvarlig for.

3.3.2 Dersom databehandleren/underdatabehandleren er lokalisert utenfor EU/EØS, gjelder betingelsene i punkt 3.4.4 nedenfor.

3.4 Videreformidling av personopplysninger

3.4.1 Før du overlater personopplysninger til andre, er det Saxo Banks ansvar å vurdere om mottakeren er ansatt hos oss eller ikke. Videre kan vi bare dele personopplysninger i Saxo Bank, hvis vi har et berettiget forretningsmessig formål i utleveringen.

3.4.2 Det er Saxo Banks ansvar å sikre at mottakeren har et berettiget formål for å motta personopplysningene og for å sikre at deling av personopplysninger er begrenset og holdes til et minimum.

3.4.3 Saxo Bank skal vise aktsomhet før de deler personopplysninger med personer, registrerte eller foretak utenfor Saxo Bank. Personopplysninger skal kun utleveres til tredjeparter som opptrer som individuelle behandlingsansvarlige dersom det foreligger et berettiget formål for slik overføring. Hvis mottakeren opptrer som databehandler, henvises det til punkt 3.2 ovenfor.

3.4.4 Hvis tredjepartsmottakeren er lokalisert utenfor EU/EØS i et land som ikke sikrer et tilstrekkelig personvernnivå, kan overføringen bare gjennomføres dersom det er inngått en overføringsavtale mellom Saxo Bank og tredjepart. Overføringsavtalen skal være basert på EUs standardkontraktregler.

4. De registrertes rettigheter

4.1 Opplysningsplikt

4.1.1 Når Saxo Bank samler inn og registrerer personopplysninger om registrerte, er Saxo Bank forpliktet til å informere disse personene om:

  • Formålet med behandlingen som personopplysningene er ment for, samt hjemmelen for behandlingen
  • Kategoriene av personopplysninger;
  • De berettigede interessene som Saxo Bank ivaretar, hvis behandlingen er basert på en interessebalanse;
  • Mottakere eller kategorier av ev.mottakere av personopplysningene;
  • Hvis aktuelt, det faktum at Saxo Bank har til hensikt å overføre personopplysninger til et tredjeland og hjemmelen for en slik overføring.
  • Tidsrommet personopplysningene skal oppbevares, eller hvis det ikke er mulig, kriteriene som brukes for å bestemme tidsrommet.
  • Retten til å be Saxo Bank om innsyn i og korrigering eller sletting av personopplysninger eller begrensning av behandling for den registrerte eller å motsette seg behandling samt retten til dataportabilitet;
  • Når behandlingen er basert på den registrertes samtykke, retten til å trekke tilbake samtykket til enhver tid, uten å påvirke lovligheten ved behandling basert på samtykket før tilbaketrekningen;
  • Retten til å klage til Saxo Bank via korrekt prosedyre eller til en tilsynsmyndighet;
  • Hvorvidt innsamlingen av personopplysninger er et lovbestemt eller kontraktsmessig krav eller et krav som er nødvendig for å inngå en kontrakt, samt om den registrerte er forpliktet til å oppgi personopplysninger og om mulige konsekvenser ved manglende tilveiebringelse av slike opplysninger.
  • Hvorvidt det foreligger en automatisert beslutningsprosess, inkludert profilering og meningsfull informasjon om logikken som er lagt til grunn, samt betydningen og forventede konsekvenser av slik behandling for den registrerte.

Denne informasjonen vil i de fleste tilfeller bli gitt via en personvernmelding på Saxo Banks hjemmeside.

4.2 Rett til innsyn

4.2.1 Alle personer hvis personopplysninger Saxo Bank behandler, deriblant ansatte i Saxo Bank, jobbsøkere, eksterne leverandører, kunder, potensielle kunder, forretningspartnere osv. har rett til å be om innsyn i personopplysningene som Saxo Bank behandler eller oppbevarer om ham/henne.

4.2.2 Hvis Saxo Bank behandler eller oppbevarer personopplysninger om den registrerte, skal den registrerte ha rett til å få tilgang til personopplysningene og årsakene til dataene som skal behandles i forhold til kriteriene i 4.1.1.

4.3 Den registrerte uten unødig forsinkelse har rett til å få Saxo Banks rettelse av unøyaktige personopplysninger om ham eller henne.

4.4 Den registrerte har rett til å få Saxo Bank til å slette personopplysninger om ham eller henne, og Saxo Bank skal ha plikt til å slette personopplysninger uten unødig forsinkelse, med mindre loven krever at det oppbevares opplysninger i et foreskrevet tidsrom, for eksempel av finanstilsynsmyndigheter eller skattemyndigheter.

4.5 Den registrerte har rett til å få Saxo Bank til å begrense behandlingen, hvis aktuelt.

4.6 Den registrerte har rett til å motta personopplysningene som er registrert i et strukturert og vanlig og maskinlesbart format, hvis aktuelt.

4.7 Den registrerte har til enhver tid rett til å fremme innsigelse, av grunner knyttet til hans eller hennes spesielle situasjon, mot å behandle personopplysninger om ham eller henne som er basert på en interessebalanse, deriblant profilering.

4.8 Forespørsler som er mottatt fra en registrert som utøver rettighetene i denne klausulen, skal besvares snarest mulig, og senest 30 dager etter mottak. Forespørsler skal sendes omgående til Saxo Banks servicesenter. Serviceesenteret får støtte av Saxo Banks personvernombud for å behandle forespørselen for å møte svarfristen.

5. Personvern ved design og personvern som standard

5.1 Nye produkter, tjenester, tekniske løsninger osv. må utvikles slik at de ivaretar prinsippene for personvern ved design og personvern som standard.

5.1.1 Personvern ved design betyr at det ved utforming av nye produkter eller tjenester skal tas hensyn til personvernet.

  • Saxo Bank vil ta hensyn til nyeste teknikk, kostnader for implementering og arten, omfanget, konteksten og formålene med behandlingen, samt risikoen for varierende sannsynlighet og alvorlighetsgrad ved rettigheter og friheter for fysiske personer som fremkommer av behandlingen.
  • Saxo Bank skal både på tidspunktet for fastsettelsen av virkemidlene for bearbeiding og ved behandlingstidspunktet selv gjennomføre hensiktsmessige tekniske og organisatoriske tiltak, som pseudonymisering, som er utformet for å implementere personvernprinsipper, som minimering av data, på en effektiv måte og å integrere de nødvendige garantiene i behandlingen for å innfri personvernkravene og beskytte rettighetene til de registrerte.

5.1.2 Personvern krever som standard at relevante dataminimeringsteknikker implementeres.

  • Saxo Bank skal gjennomføre hensiktsmessige tekniske og organisatoriske tiltak for å sikre at det kun behandles personopplysninger som er nødvendige for hvert bestemte formål med behandlingen.
  • Dette minimeringskravet gjelder mengden av personopplysninger som samles inn, omfanget av behandlingen, oppvevaringsperioden og tilgjengeligheten.
  • Slike tiltak skal sikre at personopplysninger som standard ikke blir gjort tilgjengelig uten en grundig vurdering.

6. Registre over behandlingsaktiviteter

6.1 Saxo Bank skal som behandlingsansvarlig føre oversikt over behandlingsaktiviteter som hører inn under Saxo Banks ansvar. Oversiktene skal inneholde følgende opplysninger:

  • navnet og kontaktopplysninger;
  • formålene med behandlingen;
  • en beskrivelse av kategorier av registrerte personer og kategorier av personopplysninger;
  • mottakerne som personopplysningene har blitt eller vil bli utlevert til, deriblant mottakere i tredjeland eller internasjonale organisasjoner
  • hvis aktuelt, overføring av personopplysninger til tredjeland, deriblant identifikasjon av tredjelandet og, hvis det er relevant, dokumentasjon av passende sikkerhetstiltak;
  • hvis det er mulig, planlagte tidsrammer for sletting av de ulike kategoriene av opplysningre;
  • hvis det er mulig, en generell beskrivelse av de anvendte tekniske og organisatoriske sikkerhetsforanstaltningene.

6.1.1 Saxo Bank skal gjøre opplysningene tilgjengelige for relevante personvernmyndigheter på forespørsel.

7. Sletting av personopplysninger

7.1 Personopplysninger skal slettes når Saxo Bank ikke lenger har et berettiget formål for vedvarende behandling eller lagring av personopplysningene, eller når det ikke lenger er nødvendig å oppbevare personopplysningene i samsvar med gjeldende lovkrav.

7.2 Detaljerte oppbevaringsperioder for ulike kategorier av personopplysninger er spesifisert i Saxo Banks retningslinjer for datalagring og informasjonsdeling.

8. Risikovurdering

8.1 Hvis Saxo Bank behandler personopplysninger som sannsynligvis vil føre til høy risiko for personene som personopplysningene behandles for, skal det gjennomføres en vurdering av personvernkonsekvenser (DPIA).

8.1.1 En DPIA innebærer at Saxo Bank vil ta hensyn til arten, omfanget, konteksten og formålene med behandlingen samt risikoen med varierende sannsynlighet og alvorlighetsgrad for fysiske personers rettigheter og friheter, gjennomføre hensiktsmessige tekniske og organisatoriske tiltak for å sikre og kunne demonstrere at behandlingen utføres i samsvar med personvernkravene.

8.2 De tekniske og organisatoriske tiltakene skal vurderes og oppdateres om nødvendig og senest hver 6. måned.

8.2.1 Overholdelse av godkjente adferdskodekser eller godkjente sertifiseringsmekanismer kan brukes som et element for å dokumentere samsvar med de relevante tekniske og organisatoriske tiltakene i henhold til dette punktet.

9. Profilering

9.1 “Profilering” i kontekst av personvernsregler omfatter bruken av en automatisert prosess for å analysere personverndata, med formål om å vurdere eller forutsi elementer av en persons atferd. Saxo Bank vil kunne benytte seg av profilering i følgende omstendigheter: 

  • Til hjelp med å identifisere potensielle finansielle forbrytelser
  • Til å kunne gi kunder og leads informasjon om Saxo Bank-produkter og tjenester som er relevante for dem
  • Til å vurderer credit score

10. Nasjonale krav

10.1 Saxo Bank skal overholde både GDPR og nasjonal personvernlovgivning.

10.2 Hvis gjeldende nasjonal lovgivning krever et høyere beskyttelsesnivå for personopplysninger enn slike retningslinjer/forordninger, skal de strengere kravene overholdes. Hvis Saxo Banks retningslinjer/regler er strengere enn lokal lovgivning, må våre retningslinjer/regler overholdes.

11. Kontakt og klager

11.1 Hvis du har spørsmål angående innholdet i disse personvernreglene, ber vi deg kontakte Saxo Banks personvernombud på support@accountservices.saxo.

11.2 Hvis du vil sende inn en klage om Saxo Banks behandling av personopplysninger, vennligst kontakt Danish Data Protection Agency.