Hur behandlar BlueStep personuppgifter?

På BlueStep värnar vi om din personliga integritet och är mån om att du ska känna dig trygg som kund hos oss. Vi behandlar därför personuppgifter i enlighet med dataskyddsförordningen (General Data Protection Regulation, GDPR).

BlueStep Bank AB (publ) Integritetspolicy


Giltigt från och med 2018-05-25

Definitioner

Personuppgiftsansvarig: BlueStep Bank AB (publ).
Kund: Avser en registrerad som har ingått eller avser att ingå avtal med BlueStep. Dessutom omfattas även annan sådan registrerad som BlueStep i förekommande fall behandlar personuppgifter om, såsom betalare, gode män, förvaltare, fullmaktshavare, företrädare, kontaktpersoner och verkliga huvudmän.

BlueStep: Avser BlueStep Bank AB (publ) och dotterbolag.


Vilken information samlar vi in?

BlueStep behandlar de personuppgifter som lämnas i samband med intresseanmälan, ansökan och/eller avtal eller som registreras i övrigt i samband med administrationen av ett avtal. De kategorier av personuppgifter som behandlas kan vara namn och personnummer, kontaktuppgifter (adress, e-post och telefonnummer), ekonomiska förhållanden så som kredithistoriken och hushållsekonomin (uppgift om inkomst m.m.). BlueStep kan även komma att spela in telefonsamtal, spara e-postkommunikation eller på annat sätt dokumentera Kundens interaktion och kommunikation med BlueStep. Adressuppgifter uppdateras månatligen via det statliga personadressregistret (SPAR).


Ändamål med personuppgiftsbehandlingen

BlueStep behandlar personuppgifterna för de ändamål som anges nedan i detta avsnitt.

Förberedelse och administration av avtal (fullgörande av avtal)

Det huvudsakliga ändamålet med BlueSteps behandling av personuppgifter är att samla in, kontrollera och registrera de uppgifter som krävs inför ett ingående av ett avtal med Kunden samt för att dokumentera, administrera och fullgöra ingångna avtal. Att Kunden tillhandahåller personuppgifter är en förutsättning för att BlueStep ska kunna ingå avtal med Kunden.

Uppfyllande av förpliktelser enligt lag, annan författning eller myndighetsbeslut (rättslig förpliktelse)

I samband med förberedelse och administration av avtal sker också behandling av personuppgifter som krävs för att BlueStep ska kunna uppfylla sina förpliktelser enligt lag, annan författning eller myndighetsbeslut.

Exempel på sådan behandling är

(i) BlueSteps behandling av personuppgifter för att uppfylla kraven enligt bokföringslagstiftningen.

(ii) BlueSteps behandling av personuppgifter i samband med åtgärder för att uppfylla kraven enligt vid var tid gällande penningtvättslagstiftning.

(iii) BlueSteps kontroll av personuppgifterna mot sanktionslistor som BlueStep enligt lag eller myndighetsbeslut är skyldig att tillämpa i syfte att säkerställa att inte bristande förutsättningar föreligger för att genomföra vissa banktjänster.

(iv) BlueSteps behandling av personuppgifter i samband med rapportering till Skatteverket, Polismyndigheten, Kronofogdemyndigheten, Finansinspektionen och andra myndigheter, såväl svenska som utländska.

(v) BlueSteps behandling av personuppgifter för att uppfylla lagstiftning angående riskhantering. Med riskhantering avses även behandling av uppgifter om kredittagare och krediter för kvalitetsbedömning av krediter för kapitaltäckningsändamål.

Marknads- och kundanalyser samt systemutveckling och marknadsföring (berättigat intresse)

Personuppgifter behandlas också för utförande av marknads- och kundanalyser samt systemutveckling, som ett led i BlueSteps affärsutveckling i syfte att förbättra BlueSteps produkter och tjänster gentemot Kunder. Kundanalyser görs även för att motverka bedrägerier. Personuppgifter kan även behandlas som underlag för marknadsföring.


Samtycke till behandling av personuppgifter

När den lagliga grunden för behandling av personuppgifter är samtycke får Kunden lämna ett sådant samtycke till att personuppgifterna får behandlas. Ett exempel när samtycke för behandling av personuppgifter krävs är när de personuppgifter som lämnas till BlueStep innehåller känsliga personuppgifter*.

Kunden har rätt att när som helst återkalla sitt samtycke. BlueStep har då fortsättningsvis ingen rätt att behandla uppgifterna med stöd av samtycket.

*Med känsliga personuppgifter avses uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och behandling av genetiska uppgifter, biometriska uppgifter för att entydigt identifiera en fysisk person eller uppgifter om hälsa eller uppgifter om en fysisk persons sexualliv eller sexuella läggning.


Tider under vilka personuppgifter sparas

Personuppgifterna kommer att sparas så länge avtalsförhållandet består och därefter i högst 10 år med hänsyn till regler om preskription.I vissa fall kan uppgifterna komma att sparas längre tid på grund av lagstiftning om kapitaltäckning som BlueStep måste uppfylla.Andra tidsfrister kan också gälla när personuppgifter sparas för andra syften än på grund av avtalsförhållandet och är för att Banken ska uppfylla gällande lagstiftning avseende exempelvis motverkade av penningtvätt (5 år) och bokföring (7 år).

Om Kunden inte ingår avtal med BlueStep, sparas normalt personuppgifterna som längst 3 månader, men uppgifterna kan i vissa fall komma att sparas längre på grund av exempelvis penningtvättlagstiftningen.


Behandling av personuppgifter av annan än BlueStep

Behandling av personuppgifterna kan, inom ramen för gällande regler om banksekretess, ske av BlueStep och av företag som BlueStep samarbetar med för att utföra sina tjänster, exempelvis Upplysningscentralen (UC), Bankgirocentralen (BGC) och Finansiell ID-teknik (BankID). Den rättsliga grunden för behandlingen är BlueSteps fullgörande av avtal eller på grund av BlueSteps berättigade intresse.

Tredjelandsöverföring

I vissa fall kan BlueStep komma att överföra personuppgifter till land utanför EU och EES (sk tredjeland) samt till internationell organisation. Sådan överföring sker endast under förutsättning att övriga regler i dataskyddsförordningen följs och att någon av nedanstående förutsättningar är uppfyllda:

  • EU-kommissionen tagit beslut om att det finns en adekvat skyddsnivå i det aktuella landet,
  • att det har vidtagits andra lämpliga skyddsåtgärder, t ex standardavtalsklausuler eller bindande företagsbestämmelser (sk. Binding Corporate Rules, BCRs),

  • det finns särskilt tillstånd av tillsynsmyndigheten,

  • det i övrigt är tillåtet enligt tillämplig dataskyddslagstiftning.


Kundens rättigheter

Kunden har rätt att få information om vilka personuppgifter om honom eller henne som behandlas av BlueStep och har därmed rätt att få ett registerutdrag från BlueStep.

Kunden har också rätt att vända sig till BlueStep för att:

a) begära rättelse av felaktig eller ofullständig uppgift,

b) begära radering eller begränsning av behandlingen av personuppgifter,

c) invända mot behandlingen, 

d) under vissa förutsättningar, och om BlueStep behandlar personuppgifter med stöd av avtal eller samtycke, få en kopia av de personuppgifter från BlueStep som Kunden själv har tillhandahållit till BlueStep och rätt att få dessa överförda direkt till annan personuppgiftsansvarig om det är tekniskt möjligt (dataportabilitet).

Kundens begäran och/eller invändning enligt ovan prövas av BlueStep i det enskilda fallet. I vissa fall kan BlueStep inte radera uppgifter, eller begränsa behandlingen av dessa, antingen för att uppgifterna behöver sparas p.g.a. avtalsförhållande eller på grund av lagstiftning.


Profilering och automatiserade beslut

Profilering

Med profilering avses automatisk behandling av personuppgifter som används för att bedöma vissa personliga egenskaper hos en fysisk person, i synnerhet för att analysera eller förutsäga exempelvis dennes ekonomiska situation, personliga preferenser, intressen ochvistelseort.

Profilering används av BlueStep för exempelvis marknads- och kundanalyser, systemutveckling, marknadsföring, vid automatiserade beslut (se nedan) och vid transaktionsmonitorering för att motverka bedrägerier. Den rättsliga grunden för profilering är BlueSteps berättigade intresse, rättslig förpliktelse, fullgörande av avtal eller samtycke. I fall samtycke är den rättsliga grunden kommer Kunden att få lämna ett samtycke till behandlingen.

Automatiserade beslut

BlueStep använder sig i vissa fall av automatiserat beslutsfattande. Det kan exempelvis vara ett automatiserat godkännande/avslag på en kreditansökan via internet.

Kunden har rätt att inte bli föremål för ett beslut som enbart grundas på någon form av automatiserat beslutsfattande, inbegripet profilering, om beslutet kan ha rättsliga följder för Kunden eller i betydande grad påverkar Kunden på annat sätt. BlueStep har dock rätt att använda sig av automatiserat beslutsfattande om det är nödvändigt för ingående eller fullgörande av ett avtal mellan Kunden och BlueStep eller om Kunden har gett sitt samtycke


Spärr mot direktmarknadsföring

Kunden kan vända sig till BlueStep för att begära spärr mot direktmarknadsföring (s.k. direktreklamspärr.) Du kan maila din begäran till dataskydd@bluestep.se. Uppge förnamn, efternamn och personnummer i din förfrågan om att få bli spärrad mot direktmarknadsföring.


Dataskyddsombud

BlueStep har utsett ett dataskyddsombud som ska övervaka att BlueStep följer reglerna om skydd av personuppgifter hos BlueStep.  

Dataskyddombudet ska fullgöra sitt uppdrag på ett oberoende sätt i förhållande till BlueStep.

BlueSteps dataskyddsombud nås via:
Telefon: 08-501 00 400
E-post: dpo@bluestep.se
Adress: Sveavägen 163, 113 46 Stockholm

Vid frågor eller klagomål rörande BlueSteps personuppgiftsbehandling, vänligen kontakta BlueStep på följande sätt: dataskydd@bluestep.se.  

Kunden kan även vända sig till Datainspektionen avseende frågor eller klagomål som rör personuppgiftsbehandling.

Integritetspolicyn uppdaterades senast 2018-04-25