Persónuverndaryfirlýsing
Persónuvernd einstaklinga skiptir bankann miklu máli og er lögð sérstök áhersla á að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti.
1. Um persónuverndaryfirlýsinguna
1. Um persónuverndaryfirlýsinguna
Arion banka hf. (hér eftir vísað til „Arion“ eða „bankans“) er umhugað um persónuvernd. Persónuvernd einstaklinga skiptir bankann miklu máli og er lögð sérstök áhersla á að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti.
Í persónuverndaryfirlýsingu bankans er m.a. að finna útskýringar á því hvaða persónuupplýsingum bankinn safnar um viðskiptavini, hvenær og hvers vegna, á hvaða grundvelli, hve lengi má ætla að upplýsingarnar verði geymdar, hvert upplýsingunum kann að verða miðlað og með hvaða hætti er gætt að öryggi þeirra. Það sama á við um vinnslu bankans á persónuupplýsingum um tengiliði viðskiptavina sem eru lögaðilar, umsækjendur um störf og aðra einstaklinga sem kunna að heimsækja eða hafa samband við bankann í öðrum tilgangi. Í persónuverndaryfirlýsingunni er jafnframt að finna upplýsingar um réttindi einstaklinga vegna þeirrar vinnslu sem bankinn viðhefur.
Persónuverndaryfirlýsing þessi gildir um þá vinnslu sem Arion viðhefur sem ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“). Bankinn kann þó einnig að koma fram sem vinnsluaðili, eða sameiginlegur ábyrgðaraðili með öðrum ábyrgðaraðilum. Bankinn vinnur náið með dóttur- og samstarfsfélögum sínum og kann hlutverk bankans í slíku samstarfi að vera ólíkt eftir þeirri þjónustu sem bankinn sinnir fyrir dóttur- og samstarfsfélög, þ.e. Vörð tryggingar hf. („Vörður“), Stefni hf. („Stefnir“) og lífeyrissjóði í rekstri bankans, þ.e. Frjálsa lífeyrissjóðinn, Lífeyrissjóð Rangæinga, Eftirlaunasjóð FÍA og Lífeyrissjóð starfsmanna Búnaðarbanka Íslands hf. („lífeyrissjóðirnir”). Bankinn vinnur persónuupplýsingar um viðskiptavini þessara dóttur- og samstarfsfélaga þegar hann er sameiginlegur ábyrgðaraðili vinnslu með þeim og sinnir meðal annars þjónustu við viðskiptavini fyrir þeirra hönd.
Persónuverndaryfirlýsing þessi gildir um þá vinnslu sem bankinn hefur með höndum sem sameiginlegur ábyrgðaraðili þessara aðila, eins og henni er lýst í yfirlýsingunni.Vakni spurningar um vinnslu bankans á persónuupplýsingum eða persónuverndaryfirlýsingu þessa er tekið við þeim á netfangið personuvernd@arionbanki.is.
2. Persónuupplýsingar sem bankinn vinnur
2. Persónuupplýsingar sem bankinn vinnur
2.1 Persónuupplýsingar sem unnar eru um viðskiptavin
Í eftirfarandi töflu má finna yfirlit yfir þær persónuupplýsingar sem bankinn vinnur um viðskiptavin, í hvaða tilgangi vinnslan fer fram og á grundvelli hvaða heimildar. Sé unnið með aðrar upplýsingar en tilgreindar eru í töflunni, eða öðrum tilgangi, mun bankinn leitast við að upplýsa viðskiptavin um það.
Vinnsla sem tengist vörum og þjónustu
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Bankinn vinnur með persónuupplýsingar þegar viðskiptavinur stofnar til viðskiptasambands við bankann. Bankinn vinnur einnig persónuupplýsingar sem sameiginlegur ábyrgðaraðili þegar einstaklingur stofnar til viðskiptasambands við lífeyrissjóði í rekstri bankans og til að þjónusta þá viðskiptavini. Þá vinnur bankinn einnig upplýsingar sem sameiginlegur ábyrgðaraðili þegar bankinn þjónustar dótturfélög sín Vörð og Stefni varðandi tiltekin verkefni. Bankinn vinnur persónuupplýsingar með framangreindum hætti til að veita viðskiptavini þá þjónustu sem hann óskar eftir.
Bankinn fær upplýsingarnar beint frá viðskiptavini, úr kerfum bankans, frá þriðju aðilum eftir því sem við á eða úr opinberum gögnum.
Hver er lagalegur grundvöllur vinnslunnar? Vinnsla persónuupplýsinga er forsenda þess að bankinn geti veitt þá þjónustu sem viðskiptavinur óskar eftir og er því nauðsynleg til að efna samning við viðskiptavin eða gera ráðstafanir fyrir samningsgerð.
Þá er bankanum jafnframt skylt á grundvelli laga að vinna með tilgreindar persónuupplýsingar viðskiptavinar, t.d. í samræmi við lög um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, laga um markaði fyrir fjármálagerninga, laga um vátryggingarsamninga og laga um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða.
Hvaða persónuupplýsingar vinnur bankinn? Bankinn vinnur með ólíkar persónuupplýsingar eftir því hvaða vöru og þjónustu um ræðir. Flokka má þær persónuupplýsingar sem unnar eru með eftirfarandi hætti:
- Auðkennisupplýsingar, þ.e. nafn, kennitala, viðskiptamannanúmer, rafrænt auðkenni og afrit af persónuskilríkjum
- Samskiptaupplýsingar, þ.e. upplýsingar um heimilisfang, búsetuland, símanúmer og netfang
- Upplýsingar um fjölskylduhagi, þ.e. sambúðarstaða, hjúskaparstaða og upplýsingar um maka og börn
- Fjárhagslegar upplýsingar er varða þá vöru eða þjónustu sem viðskiptavinur óskar eftir eða er með hjá bankanum og/eða lífeyrissjóðum og dótturfélögum, s.s. upplýsingar um viðskiptasögu, greiðslugetu, veltu, stöðu á reikningum o.s.frv.
- Upplýsingar um eignastöðu, s.s. fasteignir og bifreiðir.
- Upplýsingar er tengjast tryggingum. Í tengslum við sölu og þjónustu á tryggingum vinnur bankinn með upplýsingar er tengjast slíkum tryggingum, þ.m.t. fastanúmer fasteigna, bílnúmer, tjónasögu, upplýsingar um rétthafa og hinn vátryggða o.s.frv.
- Upplýsingar er tengjast skráningum viðskiptavina í lífeyrissjóði í rekstri bankans, þjónustu við þá eða í tengslum við útgreiðslu inneignar/réttinda sjóðfélaga, þ.m.t. upplýsingar frá launagreiðanda, trúnaðarlækni, öðrum lífeyrissjóðum og Virk endurhæfingu.
Sjálfvirk ákvarðanataka Í tilgreindum tilvikum notast bankinn við sjálfvirka ákvarðanatöku í tengslum við vörur og þjónustur bankans. Sjálfvirk ákvarðanataka er þegar ákvörðun er tekin um umsókn og/eða réttindi viðskiptavinar, t.d. tekin er afstaða til greiðslumats og ákvörðun um lánveitingu, án mannlegrar aðkomu.
Sjálfvirk ákvarðanataka er þegar ákvörðun er tekin um umsókn og/eða réttindi viðskiptavinar, t.d. þegar tekin er afstaða til greiðslumats og ákvörðun um lánveitingu og aðrar ótryggðar fyrirgreiðslur, án mannlegrar aðkomu.
Sjálfvirk ákvarðanataka fer aðeins fram á grundvelli samþykkis viðskiptavinar eða þegar hún er talin forsenda þess að unnt sé að gera eða efna samning við viðskiptavin. Viðskiptavinir eiga ávallt rétt á mannlegri íhlutun fari vinnsla fram með sjálfvirkri ákvarðanatöku.
Hver ber ábyrgð á vinnslunni? Arion banki er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin sem bankinn vinnur í tengslum við vörur og þjónustur bankans.
Í þeim tilvikum er um ræðir vörur og/eða þjónustur dóttur- og samstarfsfélaga sem bankinn þjónustar kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélagi (lífeyrissjóð).
Í tengslum við þjónustu og sölu á tryggingum kemur bankinn fram sem sameiginlegur ábyrgðaraðili með Verði. Í tengslum við þjónustu varðandi sjóði Stefnis, ss. reglubundinn sparnað í sjóðum, kaup og sölu hlutadeildarskírteina og sjálfsafgreiðslu í netbanka, kemur bankinn fram sem sameiginlegur ábyrgðaraðili með Stefni.
Lífeyrissjóðir í rekstri bankans hafa útvistað öllum rekstri sjóðanna til bankans. Í tengslum við þá vinnslu sem nauðsynleg er vegna þjónustu við sjóðfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi lífeyrissjóði.
Samskipti
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Bankinn þjónustar viðskiptavini sína, lífeyrissjóða og dótturfélaga í gegnum ýmsar samskiptaleiðir; stafrænt með Arion appinu (smáforrit), í netbanka, í gegnum Spjallmenni Arion, í útibúum og í þjónustuveri bankans. Bankinn vinnur persónuupplýsingar til að geta veitt viðskiptavini þjónustu sem hann óskar eftir, svarað fyrirspurnum, veitt viðeigandi ráðgjöf og uppfyllt óskir viðskiptavinar hvað varðar notendaviðmót í netbanka og smáforriti.
Í þeim tilgangi að bæta þjónustu sína kann bankinn einnig að óska eftir því að viðskiptavinur taki þátt í þjónustu- og samskiptakönnunum.
Hver er lagalegur grundvöllur vinnslunnar? Bankinn vinnur persónuupplýsingarnar til að geta veitt viðskiptavini þjónustu sem hann óskar eftir, svarað fyrirspurnum, veitt viðeigandi ráðgjöf eða komið til móts við val í notendaviðmóti í netbanka og smáforriti. Vinnslan er nauðsynleg til að efna samning eða vegna ráðstafana fyrir samningsgerð. Vinnsla er tengist þjónustu- og samskiptakönnunum bankans byggir á lögmætum hagsmunum bankans og það sama á við um vinnslu upplýsinga er varða notkun á stafrænum miðlum bankans.
Hvaða persónuupplýsingar vinnur bankinn? Bankinn vinnur með auðkennis- og samskiptaupplýsingar viðskiptavinar, efni skilaboða sem viðskiptavinur sendir bankanum og eftir atvikum fjárhagslegar upplýsingar í tengslum við þá ráðgjöf sem viðskiptavinur óskar eftir hverju sinni.
Í tengslum við notkun á Arion appinu, netbankanum og Spjallmenni Arion vinnur bankinn auk þess með IP tölu viðskiptavinar, aðgerðarskráningar, innskráningarleið, tegund vafra, tegund og stýrikerfi tækis sem viðskiptavinur notar. Slík vinnsla fer m.a. fram í þeim tilgangi að geta fylgt eftir ráðleggingum og meðmælum. Einnig kann að vera unnið með ljósmynd af viðskiptavini í smáforriti og netbanka ef hann kýs sjálfur að nota slíkt viðmót, en slík mynd er þá aðgengileg öðrum notendum netbanka og smáforritsins. Ef um er að ræða mynd af barni (ólögráða einstaklingi) sem forráðamaður hefur valið að nota vegna bankareikninga þess er ljósmynd þó aðeins aðgengileg barninu, forráðamönnum og þeim sem hafa skoðunaraðgang að reikningum barnsins til 18 ára aldurs. Bankinn styðst við greiningartól til að tryggja réttmæti mynda.
Í tengslum við þjónustu- og samskiptakannanir vinnur bankinn jafnframt með samskiptaupplýsingar viðskiptavinar og niðurstöður kannanna.
Hver ber ábyrgð á vinnslunni? Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavini sína. Í þeim tilvikum er bankinn er í samskiptum við viðskiptavin í tengslum við vörur og/eða þjónustu dóttur- eða samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélagi (lífeyrissjóði).
Markaðssetning á vörum og þjónustu
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Í því skyni að kynna fyrir viðskiptavini vörur og þjónustur bankans og dóttur- og samstarfsfélaga bankans, sem bankinn þjónustar, áskilur bankinn sér rétt til að senda viðskiptavini markaðsskilaboð.
Slík markaðsskilaboð geta verið send með tölvupósti, í gegnum smáforrit eða netbanka.
Markaðssetning á vörum bankans gagnvart sjóðfélögum lífeyrissjóða í rekstri bankans á sér ekki stað nema samið hafi verið sérstaklega um slíkt, t.d. í formi vildarþjónustu eða vildarkjara, eða sérstaks samþykkis hefur verið aflað.
Hver er lagalegur grundvöllur vinnslunnar? Bankinn hefur lögmæta hagsmuni af því að vinna persónuupplýsingar vegna markaðssetningar á vörum og þjónustu.
Viðskiptavinur hefur rétt til að andmæla vinnslu bankans á persónuupplýsingum hans sem fer fram á grundvelli lögmætra hagsmuna, sbr. nánar kafla 7.3 í yfirlýsingu þessari.
Í þeim tilvikum er bankinn vill nýta persónuupplýsingar viðskiptavinar og framkvæma dýpri greiningu á persónuupplýsingum viðskiptavinar í tengslum við markaðssetningu á vörum og þjónustu kann bankinn að óska eftir sérstöku samþykki fyrir þeirri vinnslu.
Veiti viðskiptavinur bankanum samþykki fyrir vinnslu persónuupplýsinga í tengslum við markaðssetningu hefur viðskiptavinur ávallt rétt til að afturkalla samþykki sitt, sbr. nánar kafla 7.5 í yfirlýsingu þessari.
Markaðssetning á vörum bankans gagnvart sjóðfélögum lífeyrissjóða í rekstri bankans byggir á sérstökum samningi, t.d. um vildarþjónustu eða vildarkjör, eða sérstöku samþykki.
Hvaða persónuupplýsingar vinnur bankinn? Bankinn nýtir samskiptaupplýsingar viðskiptavinar til að senda honum markaðsskilaboð.
Í tengslum við almenna markaðssetningu á vörum og þjónustu vinnur bankinn með auðkennisupplýsingar um viðskiptavin, s.s. aldur og/eða upplýsingar um fjölskylduhagi.
Í þeim tilgangi að geta sent viðskiptavin aðsniðnari markaðsskilaboð kann bankinn þó einnig að vinna með persónuupplýsingar viðskiptavinar sem byggja á viðskiptasögu, vörunotkun og samskiptum viðskiptavinar við bankann.
Í tengslum við vildarþjónustu eða vildarkjör til sjóðfélaga lífeyrissjóða vinnur bankinn með þær upplýsingar sem nauðsynlegar eru vegna samnings um slíka þjónustu í hvert sinn eða þess samþykkis sem er veitt.
Þá kann bankinn að vinna með upplýsingar um áhugamál viðskiptavinar í þeim tilgangi að geta boðið honum á viðburði sem viðskiptavinur kann að hafa áhuga á og/eða til að veita aðsniðnari þjónustu. Upplýsingar um sjóðfélaga lífeyrissjóða í rekstri bankans sem unnar eru vegna viðburða eða kynninga eru eingöngu unnar vegna viðburða eða kynninga á vegum lífeyrissjóðanna sjálfra.
Hver ber ábyrgð á vinnslunni? Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin í tengslum við markaðssetningu á eigin vörum og þjónustu. Í þeim tilvikum er bankinn sendir viðskiptavini markaðsskilaboð varðandi vörur og/eða þjónustu dóttur- eða samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélagi.
Bankinn er sameiginlegur ábyrgðaraðili með viðkomandi lífeyrissjóði í rekstri bankans ef markaðssetning er gerð á grundvelli sérstaks samnings við viðskiptavin eða á grundvelli sérstaks samþykkis.
Tölfræðileg greining, vöruþróun og rekstur upplýsingatæknikerfa
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Í þeim tilgangi að framkvæma tölfræðilega greiningu, að þróa og bæta vörur og þjónustur bankans og greina þörf fyrir nýjum vörum og þjónustum kann bankinn að nýta persónuupplýsingar viðskiptavina.
Einnig vinnur bankinn með persónuupplýsingar í ákveðnum tilfellum við þróun og prófun á kerfum bankans. Þróun og prófun er nauðsynleg til að tryggja gæði og öryggi kerfa bankans.
Vinnsla upplýsinga um sjóðfélaga lífeyrissjóða í rekstri bankans í framangreindum tilgangi fer aðeins fram til að bæta kerfi og viðmót, svo sem í smáforriti, netbanka eða á vefsíðu, eða ef verið er að framkvæma greiningar að beiðni þessara lífeyrissjóða eða að höfðu samráði við þá og afmarkast þá við sjóðfélaga þeirra.
Bankinn leitast við að gera persónuupplýsingar viðskiptavinar ópersónugreinanlegar og vinna þannig með þær í framangreindum tilgangi.
Hver er lagalegur grundvöllur vinnslunnar? Vinnslan byggir á lögmætum hagsmunum bankans.
Hvaða persónuupplýsingar vinnur bankinn? Þær persónuupplýsingar sem bankinn vinnur með í tengslum við tölfræðilega greiningu, vöruþróun og rekstur upplýsingakerfa geta verið allar þær upplýsingar sem bankinn vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu og samskipti viðskiptavinar við bankann.
Hver ber ábyrgð á vinnslunni? Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin sem tengist tölfræðilegri greiningu, vöruþróun og rekstur upplýsingakerfa. Í þeim tilvikum þegar bankinn vinnur upplýsingar sem tengjast vörum og þjónustu dóttur- og samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili, eða eftir atvikum vinnsluaðili, fyrir hönd viðkomandi dóttur- eða samstarfsfélags.
Innra eftirlit bankans og áhættustýring
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Bankinn vinnur með persónuupplýsingar viðskiptavina sinna og dóttur- og samstarfsfélaga við mat á áhættu, hvort sem um ræðir innri starfsemi bankans eða dóttur- og samstarfsfélaga í ákveðnum tilvikum eða beint við viðskiptaákvarðanir í tengslum við viðskiptasamband við viðskiptavin.
Vinnslan fer fram við stofnun viðskiptasambands og meðan á viðskiptasambandi stendur.
Hver er lagalegur grundvöllur vinnslunnar? Bankanum ber lagaleg skylda til að vinna persónuupplýsingar í samræmi við ýmis lög, svosem lög um fjármálafyrirtæki. Þá byggir vinnsla sem tengist innra eftirliti bankans einnig á lögmætum hagsmunum.
Hvaða persónuupplýsingar vinnur bankinn? Þær persónuupplýsingar sem bankinn vinnur með í tengslum við innra eftirlit og áhættustýringu geta verið allar þær upplýsingar sem bankinn vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu, samskipti viðskiptavinar við bankann og vinnslu er tengist aðgerðum gegn peningaþvætti og fjármögnun hryðjuverka og eftirliti með skráningum á listum yfir alþjóðlegar þvingunaraðgerðir.
Hver ber ábyrgð á vinnslunni? Arion banki er ábyrgðaraðili vinnslu persónuupplýsinga er tengist innra eftirliti og áhættustýringu. Í þeim tilvikum er áhættustýring og innra eftirlit tengist hlutverki bankans við að þjónusta dóttur- eða samstarfsfélög kemur bankinn fram sem sameiginlegur ábyrgðaraðili með þeim.
Aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka
Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? Bankanum er skylt að þekkja viðskiptavini sína og framkvæma áhættumat. Við stofnun viðskiptasambands þurfa allir viðskiptavinir að fara í gegnum áreiðanleikakönnun. Það sama á við um viðskiptavini Stefnis og viðskiptavini Varðar þegar um er að ræða tilteknar tryggingar og bankinn kemur fram sem sameiginlegur ábyrgðaraðili vinnslu með þeim félögum. Viðskiptavinir lífeyrissjóða fara einnig í gegnum áreiðanleikakönnun. Bankinn kemur þá fram sem sameiginlegur ábyrgðaraðili með viðkomandi lífeyrissjóð. Í ákveðnum tilfellum þurfa viðskiptavinir að fara í gegnum aukna áreiðanleikakönnun. Bankanum er einnig skylt að viðhafa eftirlit með viðskiptasamböndum, þ.m.t. með skráningum viðskiptavina og raunverulegra eigenda á listum yfir alþjóðlegar þvingunaraðgerðir.
Sjá nánari umfjöllun um starf bankans til að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka hér.
Hver er lagalegur grundvöllur vinnslunnar Bankanum ber skylda skv. lögum um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka að vinna persónuupplýsingar í þeim til gangi að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka. Þá ber bankanum skylda skv. lögum um framkvæmd alþjóðlegra þvingunaraðgerða og frystingu fjármuna að hafa eftirlit með skráningum á listum yfir alþjóðlegar þvingunaraðgerðir. Vinnslan byggir þannig á lagaskyldu.
Hvaða persónuupplýsingar vinnur bankinn? Þær persónuupplýsingar sem bankinn vinnur í tengslum við aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og eftirlit með listum yfir alþjóðlegar þvingunaraðgerðir má flokka með eftirfarandi hætti en umfang vinnslu fer eftir atvikum:
- Auðkennisupplýsingar
- Samskiptaupplýsingar og búsetuland
- Upplýsingar um fjölskylduhagi
- Fjárhagsupplýsingar
- Upplýsingar um stjórnmálaleg tengsl
- Upplýsingar um starfsemi og orðspor
Hver ber ábyrgð á vinnslunni? Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga er tengist aðgerðum gegn peningaþvætti og fjármögnun hryðjuverka og eftirliti með listum yfir alþjóðlegar þvingunaraðgerðir. Í þeim tilvikum þegar bankinn vinnur persónuupplýsingar viðskiptavina sem tengjast vörum og þjónustu dóttur- og samstarfsfélaga (lífeyrissjóða) kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- eða samstarfsfélagi.
2.2. Persónuupplýsingar tengiliða og forsvarsmanna
Í þeim tilvikum sem viðskiptavinir bankans eru lögaðilar vinnur bankinn með samskiptaupplýsingar forsvarsmanna þeirra, t.d. er unnið með undirritunarheimildir og stöðu viðkomandi. Er það gert m.a. í þeim tilgangi að vera í samskiptum við viðskiptavininn og tryggja að viðkomandi hafi heimild til að skuldbinda lögaðilann. Þá vinnur bankinn með upplýsingar um eigendur viðkomandi lögaðila, stjórn, framkvæmdastjórn, prókúruumboð, ábyrgðaraðila og eftir atvikum aðra tengiliði. Auk þessi kann bankinn að vinna með upplýsingar um áhugamál tengiliða viðskiptavina í markaðstilgangi, s.s. í tengslum við boð á viðburði.
Þessi vinnsla byggir á lögmætum hagsmunum bankans og eftir atvikum lagaskyldu.
Í þeim tilgangi að geta átt í samskiptum við birgja samstarfsaðila og eftirlitsaðila vinnur bankinn jafnfram með samskiptaupplýsingar tengiliða og forvarsaðila þeirra aðila.
2.3 Persónuupplýsingar umsækjenda um störf
Bankinn vinnur með afrit af umsóknum frá umsækjendum um störf hjá bankanum eða dótturfélögum og þær upplýsingar sem þar koma fram, s.s. nafn, kennitölu, heimilisfang, símanúmer, netfang, menntun, hæfni og starfsreynslu. Þá kann bankinn að vinna með upplýsingar um meðmælendur og upplýsingar sem aðgengilegar eru opinberlega, s.s. á samfélagsmiðlum.
Ef bankinn býður umsækjanda starf er að jafnaði óskað eftir sakavottorði og upplýsingum um fjárhagslega stöðu viðkomandi ásamt annars konar upplýsingum, s.s. sem staðfesta menntun og reynslu. Hið sama kann að eiga við um starf hjá dótturfélögum bankans eftir tegund starfs.
Umsókn um starf er varðveitt í 6 mánuði.
Í þeim tilgangi að geta átt í samskiptum við birgja, samstarfsaðila og eftirlitsaðila vinnur bankinn jafnframt með samskiptaupplýsingar tengiliða og forsvarsaðila þeirra aðila.
2.4 Vinnsla persónuupplýsinga ólögráða barna
Bankinn vinnur með persónuupplýsingar um börn þegar það er nauðsynlegt í þeim tilgangi að framkvæma umbeðin viðskipti eða þjónustu, t.d. vegna stofnunar greiðslureiknings, útgáfu greiðslukorta, stofnun séreignar og opnun aðgengis að netbanka og smáforriti bankans. Bankinn gerir þá samning eða aflar sérstakt samþykkis forráðamanna fyrir vinnslu áður en barni sem ekki hefur náð 13 ára aldri er boðin þjónusta. Bankinn kann einnig að vinna með ljósmynd af barni ef barn og/eða forráðamaður þess kýs að setja inn ljósmynd í notendaviðmót í netbanka og smáforriti. Slík ljósmynd er aðeins birt barninu, forráðamönnum og þeim sem hafa skoðunaraðgang að reikningum barnsins.
Bankinn sendir markaðsefni er varðar kynningu á vörum og þjónustu sem ætlað er börnum til forráðamanna þeirra. Forráðamenn hafa möguleika á að afþakka markaðsefni, sbr. kafla 7.3 í yfirlýsingu þessari.
2.5 Rafræn vöktun
Bankinn viðhefur rafræna vöktun í formi hljóðritunar símtala og eftirlits með notkun eftirlitsmyndavéla. Vöktun með myndavélum fer fram í útibúum bankans og við hraðbanka. Vöktunin fer fram í þeim tilgangi að tryggja öryggi, í eignavörsluskyni og í þeim tilgangi að lágmarka áhættu á svikum. Efni sem til verður við rafræna vöktun er varðveitt í samræmi við lög og reglur hverju sinni.
Vinnsla er tengist rafrænni vöktun byggir á lögmætum hagsmunum bankans og dótturfélaga og eftir atvikum lagaskyldu í samræmi við gildandi lög um markaði fyrir fjármálagerninga. Bankinn er sameiginlegur ábyrgðaraðili með dótturfélögum sínum að því leyti sem reynir á hljóðritun símtala og bankinn er að þjónusta viðskiptavini dótturfélaga samkvæmt samningum þar um.
2.6 Önnur vinnsla
Í þeim tilvikum er aðrir en viðskiptavinir, eða tengiliðir og forsvarsmenn viðskiptavina og annarra samstarfs- og eftirlitsaðila, setja sig í samband við bankann kann bankanum að vera nauðsynlegt að vinna með persónuupplýsingar viðkomandi. Það á t.a.m. við ef bankanum berst styrktarbeiðni frá einstaklingi og/eða hvers konar ábending er lýtur að bankanum og/eða samstarfs- eða dótturfélögum hans.
3. Hvaðan fær bankinn persónuupplýsingar?
3. Hvaðan fær bankinn persónuupplýsingar?
Í flestum tilvikum fær bankinn persónuupplýsingar sem unnið er með frá einstaklingunum sjálfum. Þá fær bankinn afhentar persónuupplýsingar frá þriðja aðila í tilgreindum tilvikum. Þannig aflar bankinn t.a.m. upplýsinga frá Creditinfo, Þjóðskrá Íslands, Skattinum og tollstjóra auk þess sem bankinn aflar upplýsinga úr fasteignaskrá, ökutækjaskrá, hlutafélagaskrá, öðrum opinberum skrám og úr Lögbirtingablaði.
Í þeim tilvikum sem bankinn þjónustar dóttur- og samstarfsfélög fær bankinn persónuupplýsingar viðskiptavina þeirra í þeim tilgangi að geta þjónustað viðskiptavini og byggir vinnslan á samningi. Bankinn kemur í þeim tilvikum fram sem sameiginlegur ábyrgðaraðila og í undantekningartilvikum sem vinnsluaðili. Bankinn kann þar m.a. að afla upplýsinga frá Skattinum, Tryggingastofnun, læknum, tryggingastærðfræðingum, öðrum lífeyrissjóðum og erlendum opinberum aðilum.
4. Hvert er persónuupplýsingum miðlað?
4. Hvert er persónuupplýsingum miðlað?
Bankanum kann að vera nauðsynlegt að miðla upplýsingum um þá einstaklinga sem hann vinnur með til utanaðkomandi aðila í þeim tilvikum sem getið er um hér fyrir neðan.
4.1 Þriðju aðilar
Með þriðja aðila er átt við sjálfstæðan lögaðila, annan en bankann, eða einstakling sem ekki er starfsmaður bankans.
Miðlun bankans á persónuupplýsingum einstaklinga til þriðju aðila fer fram í ólíkum tilgangi og flokka má tilvikin eftir því á hvaða grundvelli miðlunin fer fram:
- Á grundvelli samnings
Bankanum kann að vera nauðsynlegt að miðla persónuupplýsingum viðskiptavinar til þriðja aðila til að framfylgja skyldum samkvæmt samningi. Dæmi um slíkt er miðlun til Reiknistofu bankanna, til kortafyrirtækja vegna framkvæmdar viðskipta og til vörsluaðila fjármálagerninga í tengslum við verðbréfaþjónustu. Í tilviki lífeyrissjóða í rekstri bankans þá kann bankanum einnig að vera nauðsynlegt að miðla tilteknum upplýsingum um sjóðfélaga til tryggingastærðfræðinga og trúnaðarlækna.
- Á grundvelli lagaskyldu
Á grundvelli laga, reglugerða, dóms- og stjórnvaldsúrskurða og fyrirmæla stjórnvalda kann bankanum að vera skylt að miðla upplýsingum, einkum um viðskiptavini, til þriðja aðila og þar til bærra stjórnvalda. Á grundvelli skýrrar lagaheimildar geta yfirvöld eins og Fjármálaeftirlitið, Seðlabanki Íslands, Embætti héraðssaksóknara, Skatturinn og tollgæsluyfirvöld óskað eftir upplýsingum frá bankanum um viðskiptavini og aðra. Bankanum ber skylda til að verða við slíkum beiðnum og eftir atvikum að veita yfirvöldum aðgang að starfsstöðvum og upplýsingakerfum bankans í þeim tilgangi. Sem dæmi má nefna miðlun upplýsinga um tekjur, skuldastöðu, kröfur o.fl. upplýsingar um viðskiptavini til ríkisskattstjóra vegna skattframtala eða staðgreiðsluskila og upplýsingar til skattrannsóknarstjóra og héraðssaksóknara vegna rannsóknar mála. Í tilviki lífeyrissjóða í rekstri bankans þá ber bankanum einnig skylda til að miðla tilteknum upplýsingum um sjóðfélaga til Tryggingastofnunar, m.a. vegna greiðslu lífeyris frá stofnuninni.
- Á grundvelli lögmætra hagsmuna
Sumir þjónustuaðilar bankans og lífeyrissjóða í rekstri bankans koma fram sem sjálfstæðir ábyrgðaraðilar, s.s. lögmenn og endurskoðendur. Í þeim tilvikum sem nauðsynlegt er að miðla persónuupplýsingum einstaklinga til slíkra aðila, í tengslum við veitta þjónustu, þ.m.t. í tengslum við hagsmunagæslu og rekstur dómsmála, er um að ræða miðlun persónuupplýsinga til þriðju aðila.
Hvað varðar upplýsingar sem safnast með rafrænni vöktun kann bankanum að vera heimilt að miðla slíkum upplýsingum til lögreglu eða tryggingarfélags, s.s. í tilviki eignartjóns þegar bankanum er nauðsynlegt að gera kröfu.
Í tengslum við mögulegar sameiningar og/eða kaup og sölu kann bankinn jafnframt að miðla afmörkuðum upplýsingum um viðskiptavini til hugsanlegra fjárfesta og ráðgjafa, s.s. við framkvæmd áreiðanleikakönnunar.
4.2 Vinnsluaðilar
Bankinn nýtir utanaðkomandi aðila í tengslum við ýmiss konar þjónustu við bankann, s.s. í tengslum við upplýsingatækni. Í tengslum við slíka þjónustu kann bankanum að vera nauðsynlegt að miðla eða veita þjónustuveitendum aðgang að þeim persónuupplýsingum sem bankinn vinnur og koma þjónustuveitendur þá fram sem svokallaðir vinnsluaðilar. Í þeim tilvikum tryggir bankinn að viðkomandi aðilar hafi gripið til fullnægjandi öryggisráðstafana til að vernda persónuupplýsingar og gerir bankinn við þá aðila viðeigandi vinnslusamninga. Vinnsluaðilar vinna einungis með persónuupplýsingar innan þess tilgangs og að því marki sem bankinn ákveður.
4.3 Dóttur- og samstarfsfélög
Bankinn kann að miðla persónuupplýsingum til dóttur- og samstarfsfélaga í þeim tilgangi að framkvæma samning við viðskiptavini, uppfylla lagaskyldur, s.s. kröfur skv. peningaþvættislöggjöf, eða á grundvelli lögmætra hagsmuna. Miðlun kann að eiga sér stað á milli bankans og dóttur- og/eða samstarfsfélaga í markaðslegum tilgangi, ýmist á grundvelli samþykkis, sérstaks samningseða lögmætra hagsmuna. Í tilviki lífeyrissjóða í rekstri bankans myndi slík miðlun þó eingöngu eiga sér stað á grundvelli sérstaks samnings, sérstaks samþykkis sjóðfélaga eða að beiðni þessara lífeyrissjóða eða að höfðu samráði við þá og afmarkast þá við sjóðfélaga þeirra.
Það fer eftir vinnslu hverju sinni í hvaða hlutverki bankinn kann að vera, s.s. ábyrgðaraðili, sameiginlegur ábyrgðaraðili eða vinnsluaðili.
Bankinn er bundinn þagnarskyldu, meðal annars skv. lögum um fjármálafyrirtæki, gagnvart viðskiptavinum sínum og þeim viðskiptavinum sem hann þjónustar af hálfu dóttur- og samstarfsfélaga og mun bankinn ávallt gæta að þeim skyldum við miðlun innan fyrirtækjasamstæðunnar.
4.4 Miðlun persónuupplýsinga utan EES
Í vissum tilvikum kann persónuupplýsingum að vera miðlað úr landi og út fyrir Evrópska efnahagssvæðið („EES“), til dæmis í þeim tilgangi að uppfylla samningsskyldur við viðskiptavin eða uppfylla skyldur sem hvíla á bankanum samkvæmt lögum. Bankinn miðlar þó ekki persónuupplýsingum út fyrir EES nema á grundvelli viðeigandi heimilda í persónuverndarlögum og að því gefnu að gripið hafi verið til viðeigandi ráðstafana.
5. Öryggi persónuupplýsinga sem bankinn vinnur
5. Öryggi persónuupplýsinga sem bankinn vinnur
Rík skylda hvílir á bankanum að gæta að öryggi þeirra persónuupplýsinga sem hann vinnur með og er bankinn með vottað stjórnkerfi upplýsingaöryggis samkvæmt upplýsingastaðlinum ÍST ISO/IEC27001. Þær ráðstafanir sem bankinn hefur gripið til í þeim tilgangi að tryggja öryggi eru bæði skipulagslegar og tæknilegar og lúta einkum að aðgangsstýringu, raunlægu öryggi, mannauðsöryggi, rekstraröryggi og samskiptaöryggi. Þá viðhefur bankinn innra eftirlit með ofangreindu og endurskoðar áhættumat sitt og viðbrögð reglulega.
6. Varðveislutími persónuupplýsinga
6. Varðveislutími persónuupplýsinga
Persónuupplýsingar eru varðveittar á meðan viðskiptasamband viðskiptavinar og bankans, dótturfélags eða lífeyrissjóðsvarir eða eins lengi og nauðsynlegt er með hliðsjón af tilgangi vinnslu, skilmálum samninga, reglna bankans og að því gefnu að málefnalegar ástæður séu til staðar. Bankanum kann að vera nauðsynlegt að varðveita upplýsingar á grundvelli lagaskyldu. Þannig eru bókhaldsgögn varðveitt í sjö ár, upplýsingar er tengjast peningaþvætti og könnun á áreiðanleika viðskiptavina í fimm ár frá því að einstökum viðskiptum eða viðskiptasambandi lýkur og afriti af viðskiptafyrirmælum í fimm ár.
7. Réttindi einstaklinga á grundvelli persónuverndarlaga
7. Réttindi einstaklinga á grundvelli persónuverndarlaga
Persónuverndarlög tryggja þeim einstaklingum sem bankinn vinnur persónuupplýsingar um ýmis réttindi. Umrædd réttindi eru þó ekki fortakslaus og kunna lagaskyldur eða ríkari hagsmunir bankans eða þriðja aðila að koma í veg fyrir að bankinn geti orðið við beiðni einstaklings sem nýta vill réttindi sín á grundvelli persónuverndarlaga. Bankinn leitast við að svara öllum beiðnum einstaklinga sem nýta vilja réttindi sín á grundvelli persónuverndarlaga innan 30 daga og geti bankinn af einhverjum ástæðum ekki orðið við beiðni, hvort sem er í heild eða hluta, leitast bankinn við að rökstyðja slíka niðurstöðu. Bankinn, sem sameiginlegur ábyrgðaraðili, tekur við og afgreiðir beiðnir viðskiptavina lífeyrissjóða í rekstri bankans sem vilja nýta réttindi sín á grundvelli persónuverndarlaga. Tilvísun í vinnslu bankans í kafla þessum tekur þannig einnig yfir þá vinnslu sem bankinn viðhefur gagnvart viðskiptavinum lífeyrissjóðanna.
7.1 Aðgangur að eigin persónuupplýsingum – persónuverndarskýrslur
Einstaklingar eiga rétt á að vita hvort bankinn sé að vinna með persónuupplýsingar um þá og að fá upplýsingar um vinnsluna, s.s. um tilgang, hvert þeim er miðlað, uppruna, hvort sjálfvirk ákvarðanataka fari fram og upplýsingar um rétt sinn. Þá geta einstaklingar jafnframt átt rétt til að fá afrit af þeim persónuupplýsingum sem bankinn vinnur um viðkomandi.
Í netbanka bankans er hægt að nálgast persónuverndarskýrslu þar sem viðskiptavinur getur óskað eftir afriti af þeim persónuupplýsingum sem bankinn vinnur um viðkomandi. Tekið skal fram að í persónuverndarskýrslunni er leitast við að veita viðskiptavin heildaryfirlit yfir þær persónuupplýsingar sem bankinn vinnur um viðkomandi. Þó er ekki hægt að útiloka að bankinn vinni með umfangsmeiri persónuupplýsingar um viðskiptavin en fram koma í skýrslunni. Viðskiptavinir geta ávallt óskað eftir frekari upplýsingum um vinnslu persónuupplýsinga bankans um sig í samræmi við rétt um aðgang og afrit af gögnum.
7.2 Leiðrétting persónuupplýsinga og eyðing
Telji einstaklingur að þær persónuupplýsingar sem bankinn vinnur um hann séu óáreiðanlegar eða rangar á viðkomandi rétt á því að fá þær leiðréttar.
Í ákveðnum tilvikum á einstaklingur rétt á því að fara fram á að bankinn eyði persónuupplýsingum um hann, s.s. ef einstaklingur telur upplýsingarnar ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Hið sama á við ef einstaklingur dregur til baka samþykki um vinnslu persónuupplýsinga og ekki er annar lagagrundvöllur fyrir vinnslunni eða ef vinnsla upplýsinganna reynist ólögmæt.
7.3 Andmælaréttur og takmörkun á vinnslu
Einstaklingur sem bankinn vinnur persónuupplýsingar um á rétt á því að andmæla vinnslu persónuupplýsinga um sig sem byggir á lögmætum hagsmunum, s.s. vinnsla persónuupplýsinga til notkunar í beinni markaðssetningu.
Einstaklingur á rétt á að óska eftir því að bankinn takmarki vinnslu persónuupplýsinga um sig ef hann telur að upplýsingarnar séu ekki réttar, vinnsla upplýsinganna sé ólögmæt eða að bankinn þurfi ekki lengur á upplýsingum að halda en einstaklingar þarfnast þeirra til að stofna, hafa uppi eða verja réttarkröfur.
7.4 Flutningsréttur
Í tilgreindum tilvikum, er vinnsla byggir á samningi eða samþykki, getur einstaklingur sem afhent hefur bankanum persónuupplýsingar um sig með rafrænum hætti átt rétt á því að fá afrit af slíkum upplýsingum á skipulegu, algengu og tölvulesanlegu sniði. Einstaklingur getur einnig óskað eftir að bankinn sendi viðkomandi upplýsingar beint til þriðja aðila.
7.5 Afturköllun samþykkis
Í þeim tilvikum þar sem vinnsla bankans byggir á samþykki getur einstaklingur sem veitti bankanum samþykki hvenær sem er dregið það til baka. Afturköllun samþykkis hefur þó ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturköllun.
7.6 Kvörtun til Persónuverndar
Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd og vinnslu persónuupplýsinga og úrskurðar í ágreiningsmálum á sviði persónuverndar. Nánari upplýsingar um stofnunina má finna á heimasíðu hennar, personuvernd.is. Ef einstaklingur er ekki sáttur við vinnslu bankans á persónuupplýsingum um sig er hægt að leggja fram kvörtun hjá Persónuvernd með því að senda erindi á Persónuvernd, Rauðarárstígur 10, 105 Reykjavík eða á postur@personuvernd.is.
8. Samskiptaupplýsingar bankans, sameiginlegra ábyrgðaraðila og persónuverndarfulltrúa
8. Samskiptaupplýsingar bankans, sameiginlegra ábyrgðaraðila og persónuverndarfulltrúa
Vilji einstaklingur sem bankinn vinnur persónuupplýsingar um nýta réttindi sín á grundvelli persónuverndarlaga, sbr. kafla 7 í persónuverndaryfirlýsingu þessari, eða hafi viðkomandi spurningar um vinnslu bankans á persónuupplýsingum er viðkomandi hvattur til að setja sig í samband við bankann. Hægt er að hafa samband við bankann í gegnum netfangið arionbanki@arionbanki.is eða hringja í þjónustuver í síma 444-7000.
Bankinn, lífeyrissjóðir í rekstri hans og Stefnir hafa einnig tilnefnt sérstakan persónuverndarfulltrúa í samræmi við persónuverndarlög. Hlutverk slíks fulltrúa er m.a. að fylgjast með að farið sé eftir ákvæðum persónuverndarlaga, vera tengiliður aðila við Persónuvernd og svara fyrirspurnum frá þeim einstaklingum sem bankinn vinnur upplýsingar um. Hægt er að hafa samband við persónuverndarfulltrúa Arion banka með því að senda tölvupóst á netfangið personuvernd@arionbanki.is.
Dóttur- og samstarfsfélög bankans, sem koma fram sem sameiginlegir ábyrgðaraðilar með bankanum eins og nánar er tilgreint í yfirlýsingu þessari, hafa aðsetur í Borgartúni 19, 105 Reykjavík að undanskildum Lífeyrissjóði Rangæinga.
Arion banki hf.
Kt. 581008-0150Vörður tryggingar hf.
Kt. 441099-3399Stefnir hf.
Kt. 700996-2479Frjálsi lífeyrissjóðurinn
Kt. 600978-0129Lífeyrissjóður starfsmanna Búnaðarbanka Íslands hf.
Kt. 510169-4339Eftirlaunasjóður FÍA
Kt. 650376-0809Lífeyrissjóður Rangæinga
Kt. 660472-0299
Suðurlandsvegi 3
850 Hellu9. Hvernig uppfærir eða breytir bankinn persónuverndaryfirlýsingunni?
9. Hvernig uppfærir eða breytir bankinn persónuverndaryfirlýsingunni?
Bankinn áskilur sér rétt til að breyta þessari persónuverndaryfirlýsingu og bæta við hana hvenær sem er til að endurspegla sem best þá vinnslu sem fer fram hverju sinni hjá bankanum. Slíkar breytingar taka gildi án fyrirvara við birtingu á vef bankans, nema annað sé tilgreint.
Uppfærð 19. janúar 2024
Síðast uppfærð 16. maí 2024
1. Um persónuverndaryfirlýsinguna
Arion banka hf. (hér eftir vísað til „Arion“ eða „bankans“) er umhugað um persónuvernd. Persónuvernd einstaklinga skiptir bankann miklu máli og er lögð sérstök áhersla á að persónuupplýsingar séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti.
Í persónuverndaryfirlýsingu bankans er m.a. að finna útskýringar á því hvaða persónuupplýsingum bankinn safnar um viðskiptavini, hvenær og hvers vegna, á hvaða grundvelli, hve lengi má ætla að upplýsingarnar verði geymdar, hvert upplýsingunum kann að verða miðlað og með hvaða hætti er gætt að öryggi þeirra. Það sama á við um vinnslu bankans á persónuupplýsingum um tengiliði viðskiptavina sem eru lögaðilar, umsækjendur um störf og aðra einstaklinga sem kunna að heimsækja eða hafa samband við bankann í öðrum tilgangi. Í persónuverndaryfirlýsingunni er jafnframt að finna upplýsingar um réttindi einstaklinga vegna þeirrar vinnslu sem bankinn viðhefur.
Persónuverndaryfirlýsing þessi gildir um þá vinnslu sem Arion viðhefur sem ábyrgðaraðili í skilningi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga („persónuverndarlög“). Bankinn kann þó einnig að koma fram sem vinnsluaðili, eða sameiginlegur ábyrgðaraðili með öðrum ábyrgðaraðilum. Bankinn vinnur náið með dóttur- og samstarfsfélögum sínum og kann hlutverk bankans í slíku samstarfi að vera ólíkt eftir þeirri þjónustu sem bankinn sinnir fyrir dóttur- og samstarfsfélög, þ.e. Vörð tryggingar hf. („Vörður“), Stefni hf. („Stefnir“) og lífeyrissjóði í rekstri bankans, þ.e. Frjálsa lífeyrissjóðinn, Lífeyrissjóð Rangæinga, Eftirlaunasjóð FÍA og Lífeyrissjóð starfsmanna Búnaðarbanka Íslands hf. („lífeyrissjóðirnir”). Bankinn vinnur persónuupplýsingar um viðskiptavini þessara dóttur- og samstarfsfélaga þegar hann er sameiginlegur ábyrgðaraðili vinnslu með þeim og sinnir meðal annars þjónustu við viðskiptavini fyrir þeirra hönd.
Persónuverndaryfirlýsing þessi gildir um þá vinnslu sem bankinn hefur með höndum sem sameiginlegur ábyrgðaraðili þessara aðila, eins og henni er lýst í yfirlýsingunni.
Vakni spurningar um vinnslu bankans á persónuupplýsingum eða persónuverndaryfirlýsingu þessa er tekið við þeim á netfangið personuvernd@arionbanki.is.
2. Persónuupplýsingar sem bankinn vinnur
2.1 Persónuupplýsingar sem unnar eru um viðskiptavin
Í eftirfarandi töflu má finna yfirlit yfir þær persónuupplýsingar sem bankinn vinnur um viðskiptavin, í hvaða tilgangi vinnslan fer fram og á grundvelli hvaða heimildar. Sé unnið með aðrar upplýsingar en tilgreindar eru í töflunni, eða öðrum tilgangi, mun bankinn leitast við að upplýsa viðskiptavin um það.
Vinnsla sem tengist vörum og þjónustu
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? |
Bankinn vinnur með persónuupplýsingar þegar viðskiptavinur stofnar til viðskiptasambands við bankann. Bankinn vinnur einnig persónuupplýsingar sem sameiginlegur ábyrgðaraðili þegar einstaklingur stofnar til viðskiptasambands við lífeyrissjóði í rekstri bankans og til að þjónusta þá viðskiptavini. Þá vinnur bankinn einnig upplýsingar sem sameiginlegur ábyrgðaraðili þegar bankinn þjónustar dótturfélög sín Vörð og Stefni varðandi tiltekin verkefni. Bankinn vinnur persónuupplýsingar með framangreindum hætti til að veita viðskiptavini þá þjónustu sem hann óskar eftir. Bankinn fær upplýsingarnar beint frá viðskiptavini, úr kerfum bankans, frá þriðju aðilum eftir því sem við á eða úr opinberum gögnum. |
| Hver er lagalegur grundvöllur vinnslunnar? |
Vinnsla persónuupplýsinga er forsenda þess að bankinn geti veitt þá þjónustu sem viðskiptavinur óskar eftir og er því nauðsynleg til að efna samning við viðskiptavin eða gera ráðstafanir fyrir samningsgerð. Þá er bankanum jafnframt skylt á grundvelli laga að vinna með tilgreindar persónuupplýsingar viðskiptavinar, t.d. í samræmi við lög um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka, laga um markaði fyrir fjármálagerninga, laga um vátryggingarsamninga og laga um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða. |
| Hvaða persónuupplýsingar vinnur bankinn? |
Bankinn vinnur með ólíkar persónuupplýsingar eftir því hvaða vöru og þjónustu um ræðir. Flokka má þær persónuupplýsingar sem unnar eru með eftirfarandi hætti:
|
| Sjálfvirk ákvarðanataka |
Í tilgreindum tilvikum notast bankinn við sjálfvirka ákvarðanatöku í tengslum við vörur og þjónustur bankans. Sjálfvirk ákvarðanataka er þegar ákvörðun er tekin um umsókn og/eða réttindi viðskiptavinar, t.d. tekin er afstaða til greiðslumats og ákvörðun um lánveitingu, án mannlegrar aðkomu. Sjálfvirk ákvarðanataka er þegar ákvörðun er tekin um umsókn og/eða réttindi viðskiptavinar, t.d. þegar tekin er afstaða til greiðslumats og ákvörðun um lánveitingu og aðrar ótryggðar fyrirgreiðslur, án mannlegrar aðkomu. Sjálfvirk ákvarðanataka fer aðeins fram á grundvelli samþykkis viðskiptavinar eða þegar hún er talin forsenda þess að unnt sé að gera eða efna samning við viðskiptavin. Viðskiptavinir eiga ávallt rétt á mannlegri íhlutun fari vinnsla fram með sjálfvirkri ákvarðanatöku. |
| Hver ber ábyrgð á vinnslunni? |
Arion banki er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin sem bankinn vinnur í tengslum við vörur og þjónustur bankans. Í þeim tilvikum er um ræðir vörur og/eða þjónustur dóttur- og samstarfsfélaga sem bankinn þjónustar kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélagi (lífeyrissjóð). Í tengslum við þjónustu og sölu á tryggingum kemur bankinn fram sem sameiginlegur ábyrgðaraðili með Verði. Í tengslum við þjónustu varðandi sjóði Stefnis, ss. reglubundinn sparnað í sjóðum, kaup og sölu hlutadeildarskírteina og sjálfsafgreiðslu í netbanka, kemur bankinn fram sem sameiginlegur ábyrgðaraðili með Stefni. Lífeyrissjóðir í rekstri bankans hafa útvistað öllum rekstri sjóðanna til bankans. Í tengslum við þá vinnslu sem nauðsynleg er vegna þjónustu við sjóðfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi lífeyrissjóði. |
Samskipti
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? |
Bankinn þjónustar viðskiptavini sína, lífeyrissjóða og dótturfélaga í gegnum ýmsar samskiptaleiðir; stafrænt með Arion appinu (smáforrit), í netbanka, í gegnum Spjallmenni Arion, í útibúum og í þjónustuveri bankans. Bankinn vinnur persónuupplýsingar til að geta veitt viðskiptavini þjónustu sem hann óskar eftir, svarað fyrirspurnum, veitt viðeigandi ráðgjöf og uppfyllt óskir viðskiptavinar hvað varðar notendaviðmót í netbanka og smáforriti. Í þeim tilgangi að bæta þjónustu sína kann bankinn einnig að óska eftir því að viðskiptavinur taki þátt í þjónustu- og samskiptakönnunum. |
| Hver er lagalegur grundvöllur vinnslunnar? |
Bankinn vinnur persónuupplýsingarnar til að geta veitt viðskiptavini þjónustu sem hann óskar eftir, svarað fyrirspurnum, veitt viðeigandi ráðgjöf eða komið til móts við val í notendaviðmóti í netbanka og smáforriti. Vinnslan er nauðsynleg til að efna samning eða vegna ráðstafana fyrir samningsgerð. Vinnsla er tengist þjónustu- og samskiptakönnunum bankans byggir á lögmætum hagsmunum bankans og það sama á við um vinnslu upplýsinga er varða notkun á stafrænum miðlum bankans. |
| Hvaða persónuupplýsingar vinnur bankinn? |
Bankinn vinnur með auðkennis- og samskiptaupplýsingar viðskiptavinar, efni skilaboða sem viðskiptavinur sendir bankanum og eftir atvikum fjárhagslegar upplýsingar í tengslum við þá ráðgjöf sem viðskiptavinur óskar eftir hverju sinni. Í tengslum við notkun á Arion appinu, netbankanum og Spjallmenni Arion vinnur bankinn auk þess með IP tölu viðskiptavinar, aðgerðarskráningar, innskráningarleið, tegund vafra, tegund og stýrikerfi tækis sem viðskiptavinur notar. Slík vinnsla fer m.a. fram í þeim tilgangi að geta fylgt eftir ráðleggingum og meðmælum. Einnig kann að vera unnið með ljósmynd af viðskiptavini í smáforriti og netbanka ef hann kýs sjálfur að nota slíkt viðmót, en slík mynd er þá aðgengileg öðrum notendum netbanka og smáforritsins. Ef um er að ræða mynd af barni (ólögráða einstaklingi) sem forráðamaður hefur valið að nota vegna bankareikninga þess er ljósmynd þó aðeins aðgengileg barninu, forráðamönnum og þeim sem hafa skoðunaraðgang að reikningum barnsins til 18 ára aldurs. Bankinn styðst við greiningartól til að tryggja réttmæti mynda. Í tengslum við þjónustu- og samskiptakannanir vinnur bankinn jafnframt með samskiptaupplýsingar viðskiptavinar og niðurstöður kannanna. |
| Hver ber ábyrgð á vinnslunni? |
Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavini sína. Í þeim tilvikum er bankinn er í samskiptum við viðskiptavin í tengslum við vörur og/eða þjónustu dóttur- eða samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélagi (lífeyrissjóði). |
Markaðssetning á vörum og þjónustu
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? |
Í því skyni að kynna fyrir viðskiptavini vörur og þjónustur bankans og dóttur- og samstarfsfélaga bankans, sem bankinn þjónustar, áskilur bankinn sér rétt til að senda viðskiptavini markaðsskilaboð. Slík markaðsskilaboð geta verið send með tölvupósti, í gegnum smáforrit eða netbanka. Markaðssetning á vörum bankans gagnvart sjóðfélögum lífeyrissjóða í rekstri bankans á sér ekki stað nema samið hafi verið sérstaklega um slíkt, t.d. í formi vildarþjónustu eða vildarkjara, eða sérstaks samþykkis hefur verið aflað. |
| Hver er lagalegur grundvöllur vinnslunnar? |
Bankinn hefur lögmæta hagsmuni af því að vinna persónuupplýsingar vegna markaðssetningar á vörum og þjónustu. Viðskiptavinur hefur rétt til að andmæla vinnslu bankans á persónuupplýsingum hans sem fer fram á grundvelli lögmætra hagsmuna, sbr. nánar kafla 7.3 í yfirlýsingu þessari. Í þeim tilvikum er bankinn vill nýta persónuupplýsingar viðskiptavinar og framkvæma dýpri greiningu á persónuupplýsingum viðskiptavinar í tengslum við markaðssetningu á vörum og þjónustu kann bankinn að óska eftir sérstöku samþykki fyrir þeirri vinnslu. Veiti viðskiptavinur bankanum samþykki fyrir vinnslu persónuupplýsinga í tengslum við markaðssetningu hefur viðskiptavinur ávallt rétt til að afturkalla samþykki sitt, sbr. nánar kafla 7.5 í yfirlýsingu þessari. Markaðssetning á vörum bankans gagnvart sjóðfélögum lífeyrissjóða í rekstri bankans byggir á sérstökum samningi, t.d. um vildarþjónustu eða vildarkjör, eða sérstöku samþykki. |
| Hvaða persónuupplýsingar vinnur bankinn? |
Bankinn nýtir samskiptaupplýsingar viðskiptavinar til að senda honum markaðsskilaboð. Í tengslum við almenna markaðssetningu á vörum og þjónustu vinnur bankinn með auðkennisupplýsingar um viðskiptavin, s.s. aldur og/eða upplýsingar um fjölskylduhagi. Í þeim tilgangi að geta sent viðskiptavin aðsniðnari markaðsskilaboð kann bankinn þó einnig að vinna með persónuupplýsingar viðskiptavinar sem byggja á viðskiptasögu, vörunotkun og samskiptum viðskiptavinar við bankann. Í tengslum við vildarþjónustu eða vildarkjör til sjóðfélaga lífeyrissjóða vinnur bankinn með þær upplýsingar sem nauðsynlegar eru vegna samnings um slíka þjónustu í hvert sinn eða þess samþykkis sem er veitt. Þá kann bankinn að vinna með upplýsingar um áhugamál viðskiptavinar í þeim tilgangi að geta boðið honum á viðburði sem viðskiptavinur kann að hafa áhuga á og/eða til að veita aðsniðnari þjónustu. Upplýsingar um sjóðfélaga lífeyrissjóða í rekstri bankans sem unnar eru vegna viðburða eða kynninga eru eingöngu unnar vegna viðburða eða kynninga á vegum lífeyrissjóðanna sjálfra. |
| Hver ber ábyrgð á vinnslunni? |
Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin í tengslum við markaðssetningu á eigin vörum og þjónustu. Í þeim tilvikum er bankinn sendir viðskiptavini markaðsskilaboð varðandi vörur og/eða þjónustu dóttur- eða samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- og/eða samstarfsfélagi. Bankinn er sameiginlegur ábyrgðaraðili með viðkomandi lífeyrissjóði í rekstri bankans ef markaðssetning er gerð á grundvelli sérstaks samnings við viðskiptavin eða á grundvelli sérstaks samþykkis. |
Tölfræðileg greining, vöruþróun og rekstur upplýsingatæknikerfa
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? |
Í þeim tilgangi að framkvæma tölfræðilega greiningu, að þróa og bæta vörur og þjónustur bankans og greina þörf fyrir nýjum vörum og þjónustum kann bankinn að nýta persónuupplýsingar viðskiptavina. Einnig vinnur bankinn með persónuupplýsingar í ákveðnum tilfellum við þróun og prófun á kerfum bankans. Þróun og prófun er nauðsynleg til að tryggja gæði og öryggi kerfa bankans. Vinnsla upplýsinga um sjóðfélaga lífeyrissjóða í rekstri bankans í framangreindum tilgangi fer aðeins fram til að bæta kerfi og viðmót, svo sem í smáforriti, netbanka eða á vefsíðu, eða ef verið er að framkvæma greiningar að beiðni þessara lífeyrissjóða eða að höfðu samráði við þá og afmarkast þá við sjóðfélaga þeirra. Bankinn leitast við að gera persónuupplýsingar viðskiptavinar ópersónugreinanlegar og vinna þannig með þær í framangreindum tilgangi. |
| Hver er lagalegur grundvöllur vinnslunnar? |
Vinnslan byggir á lögmætum hagsmunum bankans. |
| Hvaða persónuupplýsingar vinnur bankinn? |
Þær persónuupplýsingar sem bankinn vinnur með í tengslum við tölfræðilega greiningu, vöruþróun og rekstur upplýsingakerfa geta verið allar þær upplýsingar sem bankinn vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu og samskipti viðskiptavinar við bankann. |
| Hver ber ábyrgð á vinnslunni? |
Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga um viðskiptavin sem tengist tölfræðilegri greiningu, vöruþróun og rekstur upplýsingakerfa. Í þeim tilvikum þegar bankinn vinnur upplýsingar sem tengjast vörum og þjónustu dóttur- og samstarfsfélaga kemur bankinn fram sem sameiginlegur ábyrgðaraðili, eða eftir atvikum vinnsluaðili, fyrir hönd viðkomandi dóttur- eða samstarfsfélags. |
Innra eftirlit bankans og áhættustýring
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? |
Bankinn vinnur með persónuupplýsingar viðskiptavina sinna og dóttur- og samstarfsfélaga við mat á áhættu, hvort sem um ræðir innri starfsemi bankans eða dóttur- og samstarfsfélaga í ákveðnum tilvikum eða beint við viðskiptaákvarðanir í tengslum við viðskiptasamband við viðskiptavin. Vinnslan fer fram við stofnun viðskiptasambands og meðan á viðskiptasambandi stendur. |
| Hver er lagalegur grundvöllur vinnslunnar? |
Bankanum ber lagaleg skylda til að vinna persónuupplýsingar í samræmi við ýmis lög, svosem lög um fjármálafyrirtæki. Þá byggir vinnsla sem tengist innra eftirliti bankans einnig á lögmætum hagsmunum. |
| Hvaða persónuupplýsingar vinnur bankinn? |
Þær persónuupplýsingar sem bankinn vinnur með í tengslum við innra eftirlit og áhættustýringu geta verið allar þær upplýsingar sem bankinn vinnur um viðskiptavin í tengslum við veitingu vöru og þjónustu, samskipti viðskiptavinar við bankann og vinnslu er tengist aðgerðum gegn peningaþvætti og fjármögnun hryðjuverka og eftirliti með skráningum á listum yfir alþjóðlegar þvingunaraðgerðir. |
| Hver ber ábyrgð á vinnslunni? |
Arion banki er ábyrgðaraðili vinnslu persónuupplýsinga er tengist innra eftirliti og áhættustýringu. Í þeim tilvikum er áhættustýring og innra eftirlit tengist hlutverki bankans við að þjónusta dóttur- eða samstarfsfélög kemur bankinn fram sem sameiginlegur ábyrgðaraðili með þeim. |
Aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka
| Hvernig vinnur bankinn með persónuupplýsingar og í hvaða tilgangi? |
Bankanum er skylt að þekkja viðskiptavini sína og framkvæma áhættumat. Við stofnun viðskiptasambands þurfa allir viðskiptavinir að fara í gegnum áreiðanleikakönnun. Það sama á við um viðskiptavini Stefnis og viðskiptavini Varðar þegar um er að ræða tilteknar tryggingar og bankinn kemur fram sem sameiginlegur ábyrgðaraðili vinnslu með þeim félögum. Viðskiptavinir lífeyrissjóða fara einnig í gegnum áreiðanleikakönnun. Bankinn kemur þá fram sem sameiginlegur ábyrgðaraðili með viðkomandi lífeyrissjóð. Í ákveðnum tilfellum þurfa viðskiptavinir að fara í gegnum aukna áreiðanleikakönnun. Bankanum er einnig skylt að viðhafa eftirlit með viðskiptasamböndum, þ.m.t. með skráningum viðskiptavina og raunverulegra eigenda á listum yfir alþjóðlegar þvingunaraðgerðir. Sjá nánari umfjöllun um starf bankans til að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka hér. |
| Hver er lagalegur grundvöllur vinnslunnar |
Bankanum ber skylda skv. lögum um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka að vinna persónuupplýsingar í þeim til gangi að koma í veg fyrir peningaþvætti og fjármögnun hryðjuverka. Þá ber bankanum skylda skv. lögum um framkvæmd alþjóðlegra þvingunaraðgerða og frystingu fjármuna að hafa eftirlit með skráningum á listum yfir alþjóðlegar þvingunaraðgerðir. Vinnslan byggir þannig á lagaskyldu. |
| Hvaða persónuupplýsingar vinnur bankinn? |
Þær persónuupplýsingar sem bankinn vinnur í tengslum við aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og eftirlit með listum yfir alþjóðlegar þvingunaraðgerðir má flokka með eftirfarandi hætti en umfang vinnslu fer eftir atvikum:
|
| Hver ber ábyrgð á vinnslunni? |
Bankinn er ábyrgðaraðili vinnslu persónuupplýsinga er tengist aðgerðum gegn peningaþvætti og fjármögnun hryðjuverka og eftirliti með listum yfir alþjóðlegar þvingunaraðgerðir. Í þeim tilvikum þegar bankinn vinnur persónuupplýsingar viðskiptavina sem tengjast vörum og þjónustu dóttur- og samstarfsfélaga (lífeyrissjóða) kemur bankinn fram sem sameiginlegur ábyrgðaraðili með viðkomandi dóttur- eða samstarfsfélagi. |
2.2. Persónuupplýsingar tengiliða og forsvarsmanna
Í þeim tilvikum sem viðskiptavinir bankans eru lögaðilar vinnur bankinn með samskiptaupplýsingar forsvarsmanna þeirra, t.d. er unnið með undirritunarheimildir og stöðu viðkomandi. Er það gert m.a. í þeim tilgangi að vera í samskiptum við viðskiptavininn og tryggja að viðkomandi hafi heimild til að skuldbinda lögaðilann. Þá vinnur bankinn með upplýsingar um eigendur viðkomandi lögaðila, stjórn, framkvæmdastjórn, prókúruumboð, ábyrgðaraðila og eftir atvikum aðra tengiliði. Auk þessi kann bankinn að vinna með upplýsingar um áhugamál tengiliða viðskiptavina í markaðstilgangi, s.s. í tengslum við boð á viðburði.
Þessi vinnsla byggir á lögmætum hagsmunum bankans og eftir atvikum lagaskyldu.
Í þeim tilgangi að geta átt í samskiptum við birgja samstarfsaðila og eftirlitsaðila vinnur bankinn jafnfram með samskiptaupplýsingar tengiliða og forvarsaðila þeirra aðila.
2.3 Persónuupplýsingar umsækjenda um störf
Bankinn vinnur með afrit af umsóknum frá umsækjendum um störf hjá bankanum eða dótturfélögum og þær upplýsingar sem þar koma fram, s.s. nafn, kennitölu, heimilisfang, símanúmer, netfang, menntun, hæfni og starfsreynslu. Þá kann bankinn að vinna með upplýsingar um meðmælendur og upplýsingar sem aðgengilegar eru opinberlega, s.s. á samfélagsmiðlum.
Ef bankinn býður umsækjanda starf er að jafnaði óskað eftir sakavottorði og upplýsingum um fjárhagslega stöðu viðkomandi ásamt annars konar upplýsingum, s.s. sem staðfesta menntun og reynslu. Hið sama kann að eiga við um starf hjá dótturfélögum bankans eftir tegund starfs.
Umsókn um starf er varðveitt í 6 mánuði.
Í þeim tilgangi að geta átt í samskiptum við birgja, samstarfsaðila og eftirlitsaðila vinnur bankinn jafnframt með samskiptaupplýsingar tengiliða og forsvarsaðila þeirra aðila.
2.4 Vinnsla persónuupplýsinga ólögráða barna
Bankinn vinnur með persónuupplýsingar um börn þegar það er nauðsynlegt í þeim tilgangi að framkvæma umbeðin viðskipti eða þjónustu, t.d. vegna stofnunar greiðslureiknings, útgáfu greiðslukorta, stofnun séreignar og opnun aðgengis að netbanka og smáforriti bankans. Bankinn gerir þá samning eða aflar sérstakt samþykkis forráðamanna fyrir vinnslu áður en barni sem ekki hefur náð 13 ára aldri er boðin þjónusta. Bankinn kann einnig að vinna með ljósmynd af barni ef barn og/eða forráðamaður þess kýs að setja inn ljósmynd í notendaviðmót í netbanka og smáforriti. Slík ljósmynd er aðeins birt barninu, forráðamönnum og þeim sem hafa skoðunaraðgang að reikningum barnsins.
Bankinn sendir markaðsefni er varðar kynningu á vörum og þjónustu sem ætlað er börnum til forráðamanna þeirra. Forráðamenn hafa möguleika á að afþakka markaðsefni, sbr. kafla 7.3 í yfirlýsingu þessari.
2.5 Rafræn vöktun
Bankinn viðhefur rafræna vöktun í formi hljóðritunar símtala og eftirlits með notkun eftirlitsmyndavéla. Vöktun með myndavélum fer fram í útibúum bankans og við hraðbanka. Vöktunin fer fram í þeim tilgangi að tryggja öryggi, í eignavörsluskyni og í þeim tilgangi að lágmarka áhættu á svikum. Efni sem til verður við rafræna vöktun er varðveitt í samræmi við lög og reglur hverju sinni.
Vinnsla er tengist rafrænni vöktun byggir á lögmætum hagsmunum bankans og dótturfélaga og eftir atvikum lagaskyldu í samræmi við gildandi lög um markaði fyrir fjármálagerninga. Bankinn er sameiginlegur ábyrgðaraðili með dótturfélögum sínum að því leyti sem reynir á hljóðritun símtala og bankinn er að þjónusta viðskiptavini dótturfélaga samkvæmt samningum þar um.
2.6 Önnur vinnsla
Í þeim tilvikum er aðrir en viðskiptavinir, eða tengiliðir og forsvarsmenn viðskiptavina og annarra samstarfs- og eftirlitsaðila, setja sig í samband við bankann kann bankanum að vera nauðsynlegt að vinna með persónuupplýsingar viðkomandi. Það á t.a.m. við ef bankanum berst styrktarbeiðni frá einstaklingi og/eða hvers konar ábending er lýtur að bankanum og/eða samstarfs- eða dótturfélögum hans.
3. Hvaðan fær bankinn persónuupplýsingar?
Í flestum tilvikum fær bankinn persónuupplýsingar sem unnið er með frá einstaklingunum sjálfum. Þá fær bankinn afhentar persónuupplýsingar frá þriðja aðila í tilgreindum tilvikum. Þannig aflar bankinn t.a.m. upplýsinga frá Creditinfo, Þjóðskrá Íslands, Skattinum og tollstjóra auk þess sem bankinn aflar upplýsinga úr fasteignaskrá, ökutækjaskrá, hlutafélagaskrá, öðrum opinberum skrám og úr Lögbirtingablaði.
Í þeim tilvikum sem bankinn þjónustar dóttur- og samstarfsfélög fær bankinn persónuupplýsingar viðskiptavina þeirra í þeim tilgangi að geta þjónustað viðskiptavini og byggir vinnslan á samningi. Bankinn kemur í þeim tilvikum fram sem sameiginlegur ábyrgðaraðila og í undantekningartilvikum sem vinnsluaðili. Bankinn kann þar m.a. að afla upplýsinga frá Skattinum, Tryggingastofnun, læknum, tryggingastærðfræðingum, öðrum lífeyrissjóðum og erlendum opinberum aðilum.
4. Hvert er persónuupplýsingum miðlað?
Bankanum kann að vera nauðsynlegt að miðla upplýsingum um þá einstaklinga sem hann vinnur með til utanaðkomandi aðila í þeim tilvikum sem getið er um hér fyrir neðan.
4.1 Þriðju aðilar
Með þriðja aðila er átt við sjálfstæðan lögaðila, annan en bankann, eða einstakling sem ekki er starfsmaður bankans.
Miðlun bankans á persónuupplýsingum einstaklinga til þriðju aðila fer fram í ólíkum tilgangi og flokka má tilvikin eftir því á hvaða grundvelli miðlunin fer fram:
- Á grundvelli samnings
Bankanum kann að vera nauðsynlegt að miðla persónuupplýsingum viðskiptavinar til þriðja aðila til að framfylgja skyldum samkvæmt samningi. Dæmi um slíkt er miðlun til Reiknistofu bankanna, til kortafyrirtækja vegna framkvæmdar viðskipta og til vörsluaðila fjármálagerninga í tengslum við verðbréfaþjónustu. Í tilviki lífeyrissjóða í rekstri bankans þá kann bankanum einnig að vera nauðsynlegt að miðla tilteknum upplýsingum um sjóðfélaga til tryggingastærðfræðinga og trúnaðarlækna.
- Á grundvelli lagaskyldu
Á grundvelli laga, reglugerða, dóms- og stjórnvaldsúrskurða og fyrirmæla stjórnvalda kann bankanum að vera skylt að miðla upplýsingum, einkum um viðskiptavini, til þriðja aðila og þar til bærra stjórnvalda. Á grundvelli skýrrar lagaheimildar geta yfirvöld eins og Fjármálaeftirlitið, Seðlabanki Íslands, Embætti héraðssaksóknara, Skatturinn og tollgæsluyfirvöld óskað eftir upplýsingum frá bankanum um viðskiptavini og aðra. Bankanum ber skylda til að verða við slíkum beiðnum og eftir atvikum að veita yfirvöldum aðgang að starfsstöðvum og upplýsingakerfum bankans í þeim tilgangi. Sem dæmi má nefna miðlun upplýsinga um tekjur, skuldastöðu, kröfur o.fl. upplýsingar um viðskiptavini til ríkisskattstjóra vegna skattframtala eða staðgreiðsluskila og upplýsingar til skattrannsóknarstjóra og héraðssaksóknara vegna rannsóknar mála. Í tilviki lífeyrissjóða í rekstri bankans þá ber bankanum einnig skylda til að miðla tilteknum upplýsingum um sjóðfélaga til Tryggingastofnunar, m.a. vegna greiðslu lífeyris frá stofnuninni.
- Á grundvelli lögmætra hagsmuna
Sumir þjónustuaðilar bankans og lífeyrissjóða í rekstri bankans koma fram sem sjálfstæðir ábyrgðaraðilar, s.s. lögmenn og endurskoðendur. Í þeim tilvikum sem nauðsynlegt er að miðla persónuupplýsingum einstaklinga til slíkra aðila, í tengslum við veitta þjónustu, þ.m.t. í tengslum við hagsmunagæslu og rekstur dómsmála, er um að ræða miðlun persónuupplýsinga til þriðju aðila.
Hvað varðar upplýsingar sem safnast með rafrænni vöktun kann bankanum að vera heimilt að miðla slíkum upplýsingum til lögreglu eða tryggingarfélags, s.s. í tilviki eignartjóns þegar bankanum er nauðsynlegt að gera kröfu.
Í tengslum við mögulegar sameiningar og/eða kaup og sölu kann bankinn jafnframt að miðla afmörkuðum upplýsingum um viðskiptavini til hugsanlegra fjárfesta og ráðgjafa, s.s. við framkvæmd áreiðanleikakönnunar.
4.2 Vinnsluaðilar
Bankinn nýtir utanaðkomandi aðila í tengslum við ýmiss konar þjónustu við bankann, s.s. í tengslum við upplýsingatækni. Í tengslum við slíka þjónustu kann bankanum að vera nauðsynlegt að miðla eða veita þjónustuveitendum aðgang að þeim persónuupplýsingum sem bankinn vinnur og koma þjónustuveitendur þá fram sem svokallaðir vinnsluaðilar. Í þeim tilvikum tryggir bankinn að viðkomandi aðilar hafi gripið til fullnægjandi öryggisráðstafana til að vernda persónuupplýsingar og gerir bankinn við þá aðila viðeigandi vinnslusamninga. Vinnsluaðilar vinna einungis með persónuupplýsingar innan þess tilgangs og að því marki sem bankinn ákveður.
4.3 Dóttur- og samstarfsfélög
Bankinn kann að miðla persónuupplýsingum til dóttur- og samstarfsfélaga í þeim tilgangi að framkvæma samning við viðskiptavini, uppfylla lagaskyldur, s.s. kröfur skv. peningaþvættislöggjöf, eða á grundvelli lögmætra hagsmuna. Miðlun kann að eiga sér stað á milli bankans og dóttur- og/eða samstarfsfélaga í markaðslegum tilgangi, ýmist á grundvelli samþykkis, sérstaks samningseða lögmætra hagsmuna. Í tilviki lífeyrissjóða í rekstri bankans myndi slík miðlun þó eingöngu eiga sér stað á grundvelli sérstaks samnings, sérstaks samþykkis sjóðfélaga eða að beiðni þessara lífeyrissjóða eða að höfðu samráði við þá og afmarkast þá við sjóðfélaga þeirra.
Það fer eftir vinnslu hverju sinni í hvaða hlutverki bankinn kann að vera, s.s. ábyrgðaraðili, sameiginlegur ábyrgðaraðili eða vinnsluaðili.
Bankinn er bundinn þagnarskyldu, meðal annars skv. lögum um fjármálafyrirtæki, gagnvart viðskiptavinum sínum og þeim viðskiptavinum sem hann þjónustar af hálfu dóttur- og samstarfsfélaga og mun bankinn ávallt gæta að þeim skyldum við miðlun innan fyrirtækjasamstæðunnar.
4.4 Miðlun persónuupplýsinga utan EES
Í vissum tilvikum kann persónuupplýsingum að vera miðlað úr landi og út fyrir Evrópska efnahagssvæðið („EES“), til dæmis í þeim tilgangi að uppfylla samningsskyldur við viðskiptavin eða uppfylla skyldur sem hvíla á bankanum samkvæmt lögum. Bankinn miðlar þó ekki persónuupplýsingum út fyrir EES nema á grundvelli viðeigandi heimilda í persónuverndarlögum og að því gefnu að gripið hafi verið til viðeigandi ráðstafana.
5. Öryggi persónuupplýsinga sem bankinn vinnur
Rík skylda hvílir á bankanum að gæta að öryggi þeirra persónuupplýsinga sem hann vinnur með og er bankinn með vottað stjórnkerfi upplýsingaöryggis samkvæmt upplýsingastaðlinum ÍST ISO/IEC27001. Þær ráðstafanir sem bankinn hefur gripið til í þeim tilgangi að tryggja öryggi eru bæði skipulagslegar og tæknilegar og lúta einkum að aðgangsstýringu, raunlægu öryggi, mannauðsöryggi, rekstraröryggi og samskiptaöryggi. Þá viðhefur bankinn innra eftirlit með ofangreindu og endurskoðar áhættumat sitt og viðbrögð reglulega.
6. Varðveislutími persónuupplýsinga
Persónuupplýsingar eru varðveittar á meðan viðskiptasamband viðskiptavinar og bankans, dótturfélags eða lífeyrissjóðsvarir eða eins lengi og nauðsynlegt er með hliðsjón af tilgangi vinnslu, skilmálum samninga, reglna bankans og að því gefnu að málefnalegar ástæður séu til staðar. Bankanum kann að vera nauðsynlegt að varðveita upplýsingar á grundvelli lagaskyldu. Þannig eru bókhaldsgögn varðveitt í sjö ár, upplýsingar er tengjast peningaþvætti og könnun á áreiðanleika viðskiptavina í fimm ár frá því að einstökum viðskiptum eða viðskiptasambandi lýkur og afriti af viðskiptafyrirmælum í fimm ár.
7. Réttindi einstaklinga á grundvelli persónuverndarlaga
Persónuverndarlög tryggja þeim einstaklingum sem bankinn vinnur persónuupplýsingar um ýmis réttindi. Umrædd réttindi eru þó ekki fortakslaus og kunna lagaskyldur eða ríkari hagsmunir bankans eða þriðja aðila að koma í veg fyrir að bankinn geti orðið við beiðni einstaklings sem nýta vill réttindi sín á grundvelli persónuverndarlaga. Bankinn leitast við að svara öllum beiðnum einstaklinga sem nýta vilja réttindi sín á grundvelli persónuverndarlaga innan 30 daga og geti bankinn af einhverjum ástæðum ekki orðið við beiðni, hvort sem er í heild eða hluta, leitast bankinn við að rökstyðja slíka niðurstöðu. Bankinn, sem sameiginlegur ábyrgðaraðili, tekur við og afgreiðir beiðnir viðskiptavina lífeyrissjóða í rekstri bankans sem vilja nýta réttindi sín á grundvelli persónuverndarlaga. Tilvísun í vinnslu bankans í kafla þessum tekur þannig einnig yfir þá vinnslu sem bankinn viðhefur gagnvart viðskiptavinum lífeyrissjóðanna.
7.1 Aðgangur að eigin persónuupplýsingum – persónuverndarskýrslur
Einstaklingar eiga rétt á að vita hvort bankinn sé að vinna með persónuupplýsingar um þá og að fá upplýsingar um vinnsluna, s.s. um tilgang, hvert þeim er miðlað, uppruna, hvort sjálfvirk ákvarðanataka fari fram og upplýsingar um rétt sinn. Þá geta einstaklingar jafnframt átt rétt til að fá afrit af þeim persónuupplýsingum sem bankinn vinnur um viðkomandi.
Í netbanka bankans er hægt að nálgast persónuverndarskýrslu þar sem viðskiptavinur getur óskað eftir afriti af þeim persónuupplýsingum sem bankinn vinnur um viðkomandi. Tekið skal fram að í persónuverndarskýrslunni er leitast við að veita viðskiptavin heildaryfirlit yfir þær persónuupplýsingar sem bankinn vinnur um viðkomandi. Þó er ekki hægt að útiloka að bankinn vinni með umfangsmeiri persónuupplýsingar um viðskiptavin en fram koma í skýrslunni. Viðskiptavinir geta ávallt óskað eftir frekari upplýsingum um vinnslu persónuupplýsinga bankans um sig í samræmi við rétt um aðgang og afrit af gögnum.
7.2 Leiðrétting persónuupplýsinga og eyðing
Telji einstaklingur að þær persónuupplýsingar sem bankinn vinnur um hann séu óáreiðanlegar eða rangar á viðkomandi rétt á því að fá þær leiðréttar.
Í ákveðnum tilvikum á einstaklingur rétt á því að fara fram á að bankinn eyði persónuupplýsingum um hann, s.s. ef einstaklingur telur upplýsingarnar ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Hið sama á við ef einstaklingur dregur til baka samþykki um vinnslu persónuupplýsinga og ekki er annar lagagrundvöllur fyrir vinnslunni eða ef vinnsla upplýsinganna reynist ólögmæt.
7.3 Andmælaréttur og takmörkun á vinnslu
Einstaklingur sem bankinn vinnur persónuupplýsingar um á rétt á því að andmæla vinnslu persónuupplýsinga um sig sem byggir á lögmætum hagsmunum, s.s. vinnsla persónuupplýsinga til notkunar í beinni markaðssetningu.
Einstaklingur á rétt á að óska eftir því að bankinn takmarki vinnslu persónuupplýsinga um sig ef hann telur að upplýsingarnar séu ekki réttar, vinnsla upplýsinganna sé ólögmæt eða að bankinn þurfi ekki lengur á upplýsingum að halda en einstaklingar þarfnast þeirra til að stofna, hafa uppi eða verja réttarkröfur.
7.4 Flutningsréttur
Í tilgreindum tilvikum, er vinnsla byggir á samningi eða samþykki, getur einstaklingur sem afhent hefur bankanum persónuupplýsingar um sig með rafrænum hætti átt rétt á því að fá afrit af slíkum upplýsingum á skipulegu, algengu og tölvulesanlegu sniði. Einstaklingur getur einnig óskað eftir að bankinn sendi viðkomandi upplýsingar beint til þriðja aðila.
7.5 Afturköllun samþykkis
Í þeim tilvikum þar sem vinnsla bankans byggir á samþykki getur einstaklingur sem veitti bankanum samþykki hvenær sem er dregið það til baka. Afturköllun samþykkis hefur þó ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturköllun.
7.6 Kvörtun til Persónuverndar
Persónuvernd annast eftirlit með framkvæmd laga um persónuvernd og vinnslu persónuupplýsinga og úrskurðar í ágreiningsmálum á sviði persónuverndar. Nánari upplýsingar um stofnunina má finna á heimasíðu hennar, personuvernd.is. Ef einstaklingur er ekki sáttur við vinnslu bankans á persónuupplýsingum um sig er hægt að leggja fram kvörtun hjá Persónuvernd með því að senda erindi á Persónuvernd, Rauðarárstígur 10, 105 Reykjavík eða á postur@personuvernd.is.
8. Samskiptaupplýsingar bankans, sameiginlegra ábyrgðaraðila og persónuverndarfulltrúa
Vilji einstaklingur sem bankinn vinnur persónuupplýsingar um nýta réttindi sín á grundvelli persónuverndarlaga, sbr. kafla 7 í persónuverndaryfirlýsingu þessari, eða hafi viðkomandi spurningar um vinnslu bankans á persónuupplýsingum er viðkomandi hvattur til að setja sig í samband við bankann. Hægt er að hafa samband við bankann í gegnum netfangið arionbanki@arionbanki.is eða hringja í þjónustuver í síma 444-7000.
Bankinn, lífeyrissjóðir í rekstri hans og Stefnir hafa einnig tilnefnt sérstakan persónuverndarfulltrúa í samræmi við persónuverndarlög. Hlutverk slíks fulltrúa er m.a. að fylgjast með að farið sé eftir ákvæðum persónuverndarlaga, vera tengiliður aðila við Persónuvernd og svara fyrirspurnum frá þeim einstaklingum sem bankinn vinnur upplýsingar um. Hægt er að hafa samband við persónuverndarfulltrúa Arion banka með því að senda tölvupóst á netfangið personuvernd@arionbanki.is.
Dóttur- og samstarfsfélög bankans, sem koma fram sem sameiginlegir ábyrgðaraðilar með bankanum eins og nánar er tilgreint í yfirlýsingu þessari, hafa aðsetur í Borgartúni 19, 105 Reykjavík að undanskildum Lífeyrissjóði Rangæinga.
Arion banki hf.
Kt. 581008-0150
Vörður tryggingar hf.
Kt. 441099-3399
Stefnir hf.
Kt. 700996-2479
Frjálsi lífeyrissjóðurinn
Kt. 600978-0129
Lífeyrissjóður starfsmanna Búnaðarbanka Íslands hf.
Kt. 510169-4339
Eftirlaunasjóður FÍA
Kt. 650376-0809
Lífeyrissjóður Rangæinga
Kt. 660472-0299
Suðurlandsvegi 3
850 Hellu
9. Hvernig uppfærir eða breytir bankinn persónuverndaryfirlýsingunni?
Bankinn áskilur sér rétt til að breyta þessari persónuverndaryfirlýsingu og bæta við hana hvenær sem er til að endurspegla sem best þá vinnslu sem fer fram hverju sinni hjá bankanum. Slíkar breytingar taka gildi án fyrirvara við birtingu á vef bankans, nema annað sé tilgreint.
Uppfærð 19. janúar 2024
Síðast uppfærð 16. maí 2024