Skriva ut som PDF  

Innehållsförteckning

1. Personuppgiftsansvarig
2. Dina rättigheter
3. Personuppgifter vi behandlar
4. Behandlingsöversikt: syften, uppgiftstyper, rättslig grund och lagringstid
5. Återkallelse av samtycke
6. Profilering och automatiserade beslut med betydande påverkan
7. Mottagare av personuppgifter
8. Överföringar utanför EU/EES och skyddsåtgärder
9. Lagringstider
10. Cookies och annan spårningsteknik
11. Ändringar i denna dataskyddsinformation
12. Kontaktuppgifter till Entercard

1. Personuppgiftsansvar          

Entercard Group AB, registrerat hos svenska Bolagsverket med organisationsnummer 556673-0585 och med huvudkontor på Klarabergsgatan 60, 111 21 Stockholm (”Entercard”, ”vi”, ”våra” eller ”oss”), är personuppgiftsansvarig i enlighet med EU:s dataskyddsförordning (”GDPR”).

Om du har frågor om hur vi behandlar dina personuppgifter är du välkommen att kontakta vårt dataskyddsombud via e-post dpo@entercard.com eller per telefon +46 8 737 14 00.

Tillbaka till innehållsförteckningen

2. Dina rättigheter 

Enligt dataskyddsförordningen (GDPR) har du ett antal rättigheter i förhållande till hur Entercard behandlar dina personuppgifter. Nedan beskriver vi vilka rättigheter du har.

Om du vill få information om vilka personuppgifter Entercard behandlar om dig (registerutdrag), begära radering eller på annat sätt utöva dina rättigheter kan du kontakta oss via de kontaktuppgifter som anges i avsnitt 12.
 

Rätt att få dina personuppgifter raderade (”rätt att bli bortglömd”)

Du har i vissa fall rätt att få dina personuppgifter raderade. Detta gäller till exempel uppgifter som (i) inte längre är nödvändiga att behandla eller behålla för det syfte för vilket de samlades in, eller (ii) om du återkallar ditt samtycke till en behandling.  

I vissa fall har Entercard dock ingen möjlighet att radera dina personuppgifter. Det kan bero på att uppgifterna fortfarande är nödvändiga för det syfte för vilket de samlades in, att Entercards intresse av att fortsätta behandla uppgifterna väger tyngre än ditt intresse av radering, eller att vi enligt lag är skyldiga att bevara uppgifterna. Exempel på sådana lagkrav framgår av avsnitt 4 och 9.  

Du har även rätt att invända mot att vi använder dina personuppgifter för vissa ändamål, till exempel direktmarknadsföring. 

Rätt att bli informerad 

Du har rätt att bli informerad om hur vi behandlar dina personuppgifter. Vi tillhandahåller sådan information genom denna integritetsskyddsinformation, genom produkt- och tjänstespecifik information samt genom att besvara frågor från dig.                                                                               

Rätt att få tillgång till dina personuppgifter (”den registrerades rätt till tillgång”)

Du har rätt att få veta om Entercard behandlar personuppgifter om dig och att få en kopia av dessa uppgifter genom ett registerutdrag. Registerutdraget ger dig information om vilka personuppgifter vi behandlar om dig och hur behandlingen utförs. 

Rätt till dataportabilitet 

Du har rätt att få ut de personuppgifter som rör dig och som du har lämnat till Entercard, i ett strukturerat, allmänt använt och maskinläsbart format, under förutsättning att behandlingen grundar sig på avtal eller samtycke. Detta för att du ska kunna överföra uppgifterna till en annan personuppgiftsansvarig. 

Rätt till rättelse 

Du har rätt att begära att vi rättar felaktig eller ofullständig information om dig, och att vi kompletterar din information.

Rätt till begränsning av behandling

Du har rätt att begära att behandlingen av dina personuppgifter begränsas om du anser att uppgifterna är felaktiga, att behandlingen är olaglig eller att vi inte längre behöver uppgifterna för ett visst ändamål. Du kan även begära att behandlingen begränsas under tiden vi utreder din begäran eller prövar din rätt att invända mot viss behandling.  

Rätt att invända mot behandling 

Du har rätt att invända mot behandling av dina personuppgifter som grundar sig på berättigat intresse (artikel 6.1 f GDPR), med hänvisning till dina personliga omständigheter. Du har också alltid rätt att invända mot att dina personuppgifter används för direktmarknadsföring. Om du invänder mot direktmarknadsföring kommer Entercard att upphöra med sådan behandling.  

Rätt att invända mot automatiserade beslut 

Du har rätt att invända mot ett automatiserat beslut som fattas av Entercard om beslutet har rättsliga följder för dig eller på annat sätt i betydande grad påverkar dig. Mer information om hur Entercard använder automatiserat beslutsfattande och profilering finns i avsnitt 6.

Rätt att återkalla ditt samtycke

Om behandlingen av dina personuppgifter grundar sig på ditt samtycke eller uttryckliga samtycke har du rätt att när som helst återkalla detta samtycke. Om du återkallar ditt samtycke kommer Entercard att upphöra med den behandling som grundar sig på samtycket.

Rätt att lämna in klagomål 

Om du anser att Entercards behandling av dina personuppgifter strider mot dataskyddslagstiftningen har du rätt att lämna in ett klagomål till Integritetsskyddsmyndigheten, som är svensk tillsynsmyndighet för personuppgiftsbehandling. Du kan även lämna in klagomål till den dataskyddsmyndighet som är behörig i det land där du har din hemvist, arbetsplats eller där den påstådda överträdelsen har skett. 

Tillbaka till innehållsförteckningen

3. Personuppgifter vi behandlar 

I detta avsnitt beskriver vi vilka kategorier av personuppgifter Entercard behandlar, vad respektive kategori normalt omfattar samt varifrån uppgifterna kommer. 

För information om i vilka syften personuppgifterna används, vilken rättslig grund som tillämpas och hur länge uppgifterna sparas, se avsnitt 4. Information om mottagare och delning av personuppgifter finns i avsnitt 7.  

Observera att kategorierna av personuppgifter och angivna källor i detta avsnitt inte är uttömmande eller ömsesidigt uteslutande. Samma personuppgift kan i vissa fall omfattas av flera kategorier samtidigt och kan komma från olika källor beroende på sammanhang, tillämpligt regelverk samt hur våra produkter och tjänster används.

Tillbaka till innehållsförteckningen

4. Behandlingsöversikt: syften, uppgiftstyper, rättslig grund och lagringstid  

I detta avsnitt ger vi en samlad översikt över hur Entercard behandlar personuppgifter. För varje behandlingsändamål beskriver vi syftet med behandlingen, vilka kategorier av personuppgifter som behandlas, vilken rättslig grund behandlingen baseras på samt när behandlingen för respektive ändamål upphör. 

Tillbaka till innehållsförteckningen

5. Återkallelse av samtycke 

När Entercard behandlar dina personuppgifter med stöd av ditt samtycke eller uttryckliga samtycke har du rätt att när som helst återkalla detta samtycke.  

På grund av sekretesslagstiftning och säkerhetskrav behöver Entercard i vissa fall säkerställa att vi kommunicerar med rätt person innan vi hanterar kundspecifika frågor. Det innebär att vi kan behöva identifiera dig innan vi behandlar en begäran som rör dig som kund, exempelvis återkallelse av samtycke som är kopplat till ditt kundförhållande. 
 

Så återkallar du ditt samtycke  

Via kundtjänst 

Du kan kontakta Entercards kundtjänst per telefon och identifiera dig med BankID. Därefter kan du återkalla ditt samtycke eller framföra din begäran.  

Via inloggade tjänster 

Du kan logga in med BankID på Mina sidor och skicka ett meddelande till Entercard i inloggat läge. På så sätt kan du återkalla ditt samtycke eller framföra din begäran på ett säkert sätt.  

Via app (marknadsföring) 

I vissa fall kan samtycken som rör marknadsföring återkallas direkt i en produktspecifik app, förutsatt att sådan funktionalitet finns tillgänglig för den aktuella tjänsten.

Om du återkallar ditt samtycke eller tar bort information som behandlas med stöd av samtycke kan det innebära att den aktuella tjänsten eller funktionen inte längre kan användas.  

Som framgår av avsnitt 2 har du även rätt att invända mot viss behandling av dina personuppgifter, till exempel behandling för direktmarknadsföring, samt rätt att begära radering av vissa uppgifter.

Tillbaka till innehållsförteckningen

6. Profilering och automatiserade beslut med betydande påverkan

6.1 Entercards profilering av dig som kund

”Profilering” innebär en automatiserad behandling av personuppgifter för att utvärdera vissa personliga aspekter, till exempel genom att analysera eller förutsäga din ekonomiska situation, ditt användarbeteende eller andra förhållanden som kan vara relevanta för våra tjänster.

Syftena för Entercards profilering och vilka typer av personuppgifter som används per respektive profilering beskrivs i detalj i avsnitt 4. Du kan matcha beskrivningarna nedan med syften i avsnitt 4 med hjälp av siffrorna i parentes ”[x]”.

Vi använder profilering för att:

• Motverka penningtvätt och finansiering av terrorism (AML/CFT).
  Detta innebär att vi analyserar information om kundrelationer och transaktioner för att identifiera avvikande mönster som kan tyda på förhöjd risk samt, i relevanta fall, genomföra kontroller mot sanktionslistor och andra relevanta granskningslistor. (syfte [17])
   
• Förebygga och hantera bedrägerier – både i löpande användning av våra produkter och i samband med kreditansökningsprocessen.
  Detta innebär att vi analyserar information om exempelvis ansökningsuppgifter, kontoanvändning och transaktioner för att identifiera avvikande mönster och förhöjd risk som kan tyda på bedrägeriförsök eller obehörig användning. (syften [19] och [21])
   
• Hantera förfallna fordringar och genomföra skuldindrivningsrelaterade processer, inklusive att planera och anpassa vår kundkontakt.
  Detta kan innebära att vi analyserar personuppgifter om dig för att avgöra vilket som är det mest effektiva sättet för att kontakta dig om din utestående skuld och hur ärenden ska hanteras inom ramen för våra indrivningsprocesser. (syften [26] och [27])
   
• Tillhandahålla och anpassa marknadsföring och kundinteraktion.
  Detta kan innebära segmentering och analys för att avgöra vilken marknadsföring eller vilka erbjudanden som kan vara relevanta för dig. Denna behandling utgör profilering. (syfte [33])

Profilering enligt ovan innebär inte alltid att ett beslut fattas som får rättsliga följder eller som på liknande sätt i betydande grad påverkar dig. Automatiserade beslut som kan få sådan påverkan beskriver vi närmare i avsnitt 6.2"

6.2 Entercards automatiserade beslut som i betydande grad påverkar dig

Automatiserade beslut med rättsliga följder, eller automatiserade beslut som på liknande sätt i betydande grad påverkar dig, innebär att ett beslut fattas uteslutande på automatiserat sätt och kan ha en väsentlig effekt för dig.

När Entercard fattar ett automatiserat kreditbeslut görs detta med stöd av profilering. Det innebär att vi, innan beslutet fattas, automatiserat analyserar och utvärderar olika omständigheter och uppgifter som rör dig i syfte att bedöma din kreditrisk. Dessa uppgifter och omständigheter vägs samman i våra automatiserade beslutsmodeller och ligger till grund för beslutet.

Vi fattar denna typ av automatiserade beslut när vi:

• Prövar och beslutar om kredit (automatiserat kreditbeslut). (syfte [2])
  
  Så fungerar bedömningen i stora drag: Som en del av kreditprövningen genomför vi en samlad riskbedömning, vilket innebär att vi genom profilering beräknar en riskpoäng (risk score) eller risknivå som speglar vår sannolikhetsbedömning av din återbetalningsförmåga. En lägre riskpoäng eller risknivå innebär typiskt en högre sannolikhet till full återbetalning, medan en högre riskpoäng eller risknivå innebär en lägre sannolikhet.
  
  Vilka uppgifter som typiskt påverkar bedömningen: Bedömningen baseras typiskt på (i) uppgifter du lämnar i ansökan, (ii) uppgifter från kreditupplysningsbyråer, och (iii) om du är befintlig kund: även uppgifter om hur befintliga krediter och betalningar har hanterats hos oss historiskt.
  
  Syftet med automatiseringen: Automatiseringen är utformad för att bidra till att kreditbedömningen görs på ett enhetligt sätt, baserat på objektiva och förutbestämda kriterier så att bedömningen inte påverkas av vem som handlägger ärendet. Automatiseringen bidrar också till att kreditbeslut kan fattas snabbt och effektivt, samtidigt som behandlingen av personuppgifter begränsas till vad som är nödvändigt.
   
• Genomför automatiserade bedrägerirelaterade riskbedömningar som kan påverka dig i betydande grad (syften [19] och [21])
  
  Vi fattar automatiserade beslut för att bedöma om du utgör en bedrägeririsk, när vår behandling visar att uppgifter eller beteenden kan indikera möjligt bedrägligt agerande. Detta kan till exempel avse situationer där uppgifter inte överensstämmer med tidigare användning av våra tjänster, där det finns avvikelser i ansökningsuppgifter eller där omständigheter tyder på obehörig användning.
  
  Av säkerhetsskäl beskriver vi inte i detalj hur dessa bedömningar är utformade.
   
• Genomför automatiserade riskbedömningar för att motverka penningtvätt och finansiering av terrorism (AML/CFT) som kan påverka dig i betydande grad (syfte [17])
  
  Vi fattar automatiserade beslut för att bedöma om det föreligger en risk för penningtvätt eller finansiering av terrorism, när vår behandling visar att uppgifter eller beteenden kan indikera sådan risk. Bedömningen kan baseras på en analys av uppgifter från kundrelationen, transaktioner samt kontroller mot sanktionslistor och andra relevanta granskningslistor.
  
  Av säkerhetsskäl beskriver vi inte i detalj hur dessa bedömningar är utformade.

6.3 Din rätt att invända mot automatiserade beslut

Om ett beslut har fattats uteslutande med automatiserad behandling och detta beslut har rättsliga följder för dig eller på liknande sätt i betydande grad påverkar dig, har du rätt att invända mot beslutet. Detta innebär att du kan: begära mänsklig inblandning i den fortsatta bedömningen, framföra din ståndpunkt och ytterligare information som du vill att vi tar i beaktande, samt få beslutet omprövat av en medarbetare på Entercard. När du begär omprövning kommer en medarbetare att granska om beslutet har fattats korrekt med hänsyn till den kompletterande information och de omständigheter du lämnat.

Har du frågor om profilering och/eller automatiserade beslut kan du kontakta oss. Kontaktuppgifter hittar du i avsnitt 12.
För kund- eller ansökningsspecifika ärenden behöver vi säkerställa din identitet med anledning av sekretesskrav. Det innebär att du behöver kontakta vår kundtjänst eller logga in via Mina sidor för att vi ska kunna behandla din begäran.

Du kan när som helst invända mot vår profilering för marknadsföringsändamål genom att kontakta oss. Om du invänder kommer vi att upphöra med sådan profilering för marknadsföring. Du kan även avsluta vår profilering för våra tjänster genom att säga upp den aktuella produkten/tjänsten.

Tillbaka till innehållsförteckningen

7. Mottagare av personuppgifter

När Entercard delar dina personuppgifter säkerställer vi att mottagarna behandlar uppgifterna i enlighet med denna dataskyddsinformation och tillämplig dataskyddslagstiftning. För att kunna tillhandahålla, utveckla och marknadsföra våra produkter och tjänster samt bedriva vår verksamhet behöver Entercard i vissa fall dela personuppgifter med andra företag som tillhandahåller tjänster och funktionalitet som Entercard inte själv kan erbjuda.

Vi skiljer nedan mellan personuppgiftsbiträden (leverantörer som behandlar personuppgifter för Entercards räkning och enligt våra instruktioner) och självständiga mottagare (tredje parter som behandlar personuppgifter för egna ändamål och som är personuppgiftsansvariga för sin behandling).

Vilka mottagarkategorier som är aktuella beror på vilken situation som uppstår i relationen mellan dig och Entercard, till exempel när du ansöker om eller använder en produkt, genomför betalningar, kontaktar kundservice, Entercard ingår kommersiella samarbeten eller när Entercard behöver uppfylla rättsliga skyldigheter. De behandlingsändamål och lagliga grunder som ligger till grund för dessa situationer beskrivs i avsnitt 4.

7.1 Personuppgiftsbiträden

7.1.1 IT- och molntjänstleverantörer

Beskrivning av mottagare 
Leverantörer som tillhandahåller IT-system, applikationer samt molntjänster som Entercard använder för att driva, underhålla och vidareutveckla sin verksamhet.

Hur är personuppgiftsbiträdet involverat i behandlingen?
Denna typ av leverantörer är normalt involverade i merparten av de behandlingssituationer som beskrivs i avsnitt 4, eftersom Entercards IT‑miljö och systemstöd utgör den tekniska grunden för exempelvis avtalshantering, kreditprövning, betalningar, kundservice, säkerhetsåtgärder och uppfyllande av rättsliga skyldigheter.

7.1.2 Kundservice- och callcenterleverantörer

Beskrivning av mottagare
Leverantörer som hanterar kundsamtal och kundserviceärenden via mänsklig interaktion på Entercards uppdrag.

Hur är personuppgiftsbiträdet involverat i behandlingen?
Delning kan ske när du kontaktar Entercard eller när Entercard behöver kontakta dig i samband med kundservice, hantering av avtal, frågor om betalningar, kredit, försäkringar, klagomål eller andra kundärenden. Kundservice- och callcenterleverantörer kan även vara involverade när Entercard, inom ramen för gällande regler och dina val, kontaktar dig i marknadsföringssyfte, exempelvis för att informera om eller erbjuda tilläggstjänster såsom försäkringar. Denna kategori av mottagare är således kopplad till behandlingssituationer som rör kundrelationen och löpande administration samt utveckling av våra produkter och tjänster.

7.1.3 Digitala kommunikationsplattformar

Beskrivning av mottagare
Plattformar och system som Entercard använder för systembaserad kommunikation, exempelvis e‑post, SMS och andra digitala meddelanden.

Hur är personuppgiftsbiträdet involverat i behandlingen?
Delning kan ske när Entercard behöver kommunicera med dig i samband med avtalshantering, informationsutskick, säkerhetsrelaterade meddelanden, notifieringar om betalningar eller andra händelser kopplade till kundrelationen. I förekommande fall kan dessa plattformar även användas för marknadsföringskommunikation, i den utsträckning detta är tillåtet enligt gällande regler och dina val.

7.1.4 Kortproduktion

Beskrivning av mottagare
Leverantörer som producerar och personaliserar fysiska kreditkort, inklusive tryck, kodning, paketering och distribution.

Hur är personuppgiftsbiträdet involverat i behandlingen?
Delning kan ske när ett nytt kreditkort ska utfärdas, ersättas eller förnyas, exempelvis vid nykundsetablering, kortförnyelse, spärr och ersättningskort eller ändringar i kortuppgifter.

7.1.5 Elektronisk signering och digital onboarding

Beskrivning av mottagare
Leverantörer som tillhandahåller lösningar för elektronisk signering och digital identifiering i samband med att avtal ingås.

Hur är personuppgiftsbiträdet involverat i behandlingen?
Delning kan ske när du ingår avtal med Entercard, exempelvis vid ansökan om kreditkort eller lån, vid ändringar av avtalsvillkor eller när Entercard behöver verifiera din identitet i samband med onboarding eller avtalsadministration.

7.1.6 Identifiering, KYC och bedrägeriförebyggande tjänster

Beskrivning av mottagare
Leverantörer som verifierar identitet, utför kundkännedom och bistår Entercard i arbetet med att förebygga bedrägerier och missbruk.

Hur är personuppgiftsbiträdet involverat i behandlingen?
Delning kan ske vid kreditprövning, onboarding av nya kunder, löpande kundkännedom, transaktionsövervakning samt vid utredning och hantering av misstänkta bedrägerier eller missbruk.

7.1.7 Betalnings- och betalningsinfrastruktur (tekniska leverantörer)

Beskrivning av mottagare
Leverantörer som tekniskt möjliggör betalningar och korttransaktioner genom att tillhandahålla betalningsinfrastruktur.

Hur är personuppgiftsbiträdet involverat i behandlingen?
Delning kan ske när betalningar eller korttransaktioner genomförs, hanteras eller följs upp, exempelvis vid köp, återbetalningar, autogiro, fakturering eller annan betalningsadministration.

7.1.8 Försäkringsförmedling

Beskrivning av mottagare
Leverantörer som stödjer försäkringsrelaterade processer i rollen som förmedlare mellan Entercard och försäkringsgivare.

Hur är personuppgiftsbiträdet involverat i behandlingen?
Delning kan ske när du ansöker om, omfattas av eller administrerar en försäkring som är kopplad till Entercards produkter, exempelvis vid tecknande, ändring eller avslut av försäkringsskydd.

7.2 Självständiga mottagare

7.2.1 Banker och andra finansiella institut

Beskrivning av mottagare
Externa banker och andra finansiella institut som behandlar personuppgifter för egna ändamål.

I vilka situationer kan personuppgifter delas?
Delning kan ske i samband med betalningar, överföringar, finansiering, rapportering och andra finansiella transaktioner samt när Entercard behöver samverka med banker eller finansiella institut för att uppfylla regulatoriska krav.

7.2.2 Kort- och betalnätverk

Beskrivning av mottagare
Kort- och betalnätverk som behandlar personuppgifter för egna ändamål och enligt egna regelverk, exempelvis Visa och Mastercard.

I vilka situationer kan personuppgifter delas?
Delning kan ske när korttransaktioner genomförs eller behandlas, exempelvis vid köp, återbetalningar, reservationer eller andra transaktionsrelaterade händelser där kort- och betalnätverk används.

7.2.3 Kreditupplysningsföretag

Beskrivning av mottagare
Företag som tillhandahåller kreditupplysningstjänster och behandlar personuppgifter för egna ändamål, såsom att upprätthålla kreditupplysningsregister.

I vilka situationer kan personuppgifter delas?
Delning kan ske vid kreditprövning, bedömning av kreditvärdighet, identitetskontroll samt vid löpande risk- och kreditövervakning i samband med kundrelationen.

7.2.4 Inkassoföretag och fordringsköpare

Beskrivning av mottagare
Inkassoföretag och företag som förvärvar fordringar och behandlar personuppgifter för egna ändamål inom ramen för indrivning eller förvaltning av fordringar.

I vilka situationer kan personuppgifter delas?
Delning kan ske när betalningar uteblir och Entercard behöver vidta åtgärder för att driva in eller överlåta fordringar, inklusive i samband med försäljning av fordringsportföljer eller due diligence inför sådan överlåtelse.

7.2.5 Nationella adress- och skuldregister

Beskrivning av mottagare
Officiella nationella register som behandlar personuppgifter för egna lagstadgade ändamål, exempelvis adress- eller skulduppgifter.

I vilka situationer kan personuppgifter delas?
Delning kan ske när Entercard behöver inhämta eller lämna uppgifter till officiella register för att uppdatera adressuppgifter, verifiera identitet eller uppfylla lagstadgade krav avseende skuldförhållanden.

7.2.6 Försäkringsbolag (självständiga partners)

Beskrivning av mottagare
Försäkringsbolag som behandlar personuppgifter för egna ändamål, exempelvis för riskbedömning, administration och skadehantering.

I vilka situationer kan personuppgifter delas?
Delning kan ske när försäkring tillhandahålls i anslutning till Entercards produkter, exempelvis vid tecknande, administration eller hantering av försäkringsärenden, där försäkringsbolaget behandlar uppgifterna för egna ändamål.

7.2.7 Produktpartners och samarbetsparter (co-brand/partner-branding)

Beskrivning av mottagare
Externa produkt- eller varumärkespartners som tillsammans med Entercard erbjuder gemensamma produkter eller tjänster och som behandlar personuppgifter för egna ändamål.

I vilka situationer kan personuppgifter delas?
Delning kan ske när Entercard tillhandahåller kreditkort eller lån tillsammans med en extern produkt- eller varumärkespartner, i den utsträckning som krävs för att administrera det gemensamma erbjudandet eller kundrelationen.

7.2.8 Professionella rådgivare

Beskrivning av mottagare
Externa juridiska rådgivare, revisorer eller andra professionella rådgivare som behandlar personuppgifter för egna yrkesmässiga ändamål.

I vilka situationer kan personuppgifter delas?
Delning kan ske när Entercard behöver anlita externa juridiska rådgivare, revisorer eller andra professionella rådgivare i samband med rättsliga processer, regelefterlevnad, tvister eller andra ärenden där sådan expertis krävs.

7.2.9 Potentiella köpare eller samarbetspartners vid verksamhetsöverlåtelse

Beskrivning av mottagare
Externa parter som i samband med företagsöverlåtelser, fusioner eller omstruktureringar får tillgång till personuppgifter för egna ändamål inom ramen för transaktionen.

I vilka situationer kan personuppgifter delas?
Delning kan ske vid fusioner, förvärv, omstruktureringar eller andra affärstransaktioner, i den utsträckning som är nödvändig för att genomföra transaktionen.

7.2.10 Myndigheter och andra offentliga organ

Beskrivning av mottagare
Myndigheter, domstolar och andra offentliga organ som behandlar personuppgifter för egna lagstadgade ändamål.

I vilka situationer kan personuppgifter delas?
Delning kan ske när Entercard är skyldigt att lämna ut uppgifter enligt lag, myndighetsbeslut eller föreskrift, exempelvis till tillsynsmyndigheter, skattemyndigheter, brottsbekämpande myndigheter eller domstolar.

7.2.11 Tredje parter med ditt samtycke

Beskrivning av mottagare
Andra externa parter som behandlar personuppgifter för egna ändamål och som endast får ta del av uppgifter efter att du uttryckligen har begärt eller samtyckt till detta.

I vilka situationer kan personuppgifter delas?
Delning kan ske när du uttryckligen har begärt eller samtyckt till att Entercard delar dina personuppgifter med en specifik extern part.

7.2.12 Sociala medieföretag

Beskrivning av mottagare
Sociala medieplattformar som behandlar personuppgifter för egna ändamål i enlighet med sina egna dataskyddsvillkor.

I vilka situationer kan personuppgifter delas?
Om du kontaktar Entercard via sociala medier, såsom Facebook, Instagram eller LinkedIn, behandlas dina personuppgifter både av Entercard och av den aktuella plattformen i samband med hantering av din förfrågan.

7.2.13 Företagskunder (arbetsgivare vid företagskort)

Beskrivning av mottagare
Företag som erbjuder företagskort till sina anställda och som behandlar personuppgifter för egna ändamål, exempelvis för att administrera anställningsförhållanden, kontrollera behörighet till företagskort och hantera interna rutiner kopplade till kortanvändning.

I vilka situationer kan personuppgifter delas?
Delning kan ske när Entercard tillhandahåller företagskort genom en företagskund och det är nödvändigt att kontrollera behörighet att inneha företagskort inom ramen för avtalsrelationen med företagskunden eller hantera betalningsåtaganden mellan Entercard och företagskunden. Delning kan även ske i samband med avslut av kortförhållande eller vid oreglerad skuld.

Tillbaka till innehållsförteckningen

8. Överföringar utanför EU/EES och skyddsåtgärder

För att kunna tillhandahålla våra produkter och tjänster och bedriva vår verksamhet kan Entercard i vissa fall komma att överföra dina personuppgifter till mottagare utanför EU/EES. Sådana överföringar kan ske när vi delar personuppgifter med leverantörer, underleverantörer eller samarbetspartners som är etablerade eller bedriver verksamhet i länder utanför EU/EES. Mer information om vilka mottagarkategorier vi delar personuppgifter med finns i avsnitt 7.

När personuppgifter överförs utanför EU/EES säkerställer Entercard alltid att uppgifterna skyddas i enlighet med dataskyddsförordningen (GDPR). Dina rättigheter enligt GDPR, som beskrivs i avsnitt 2, påverkas inte av att dina personuppgifter överförs till ett land utanför EU/EES.

Hur skyddar vi dina personuppgifter vid tredjelandsöverföringar?

Länder utanför EU/EES kan ha lagstiftning som innebär att offentliga myndigheter i vissa situationer kan ha rätt att begära tillgång till personuppgifter, exempelvis i syfte att bekämpa brottslighet eller skydda nationell säkerhet. Oavsett om det är Entercard eller någon av våra leverantörer som behandlar personuppgifterna säkerställer vi att lämpliga skyddsåtgärder vidtas för att upprätthålla en hög skyddsnivå enligt GDPR.

De skyddsåtgärder som Entercard använder vid överföring av personuppgifter utanför EU/EES omfattar bland annat att:

• EU-kommissionen har beslutat att det land till vilket personuppgifterna överförs har en adekvat skyddsnivå som motsvarar den skyddsnivå som följer av GDPR, eller
   
• EU-kommissionens standardavtalsklausuler (Standard Contractual Clauses, SCC) har ingåtts med mottagaren av personuppgifterna utanför EU/EES. Dessa klausuler innebär att mottagaren åtar sig att säkerställa ett skydd för personuppgifterna som motsvarar kraven i GDPR. I samband med sådana överföringar bedömer Entercard även om lagstiftningen i mottagarlandet kan påverka skyddet för personuppgifterna och vidtar vid behov kompletterande tekniska och organisatoriska skyddsåtgärder, eller
   
• att överföringen sker inom ramen för bindande företagsbestämmelser (Binding Corporate Rules, BCR) som har godkänts av en behörig dataskyddsmyndighet och som säkerställer att personuppgifter som överförs inom en företagsgrupp skyddas på en nivå som motsvarar GDPR, eller
   
• att överföringen omfattas av EU–US Data Privacy Framework, när mottagaren är etablerad i USA och certifierad enligt detta ramverk.

Mer information

Om du vill ha mer information om vilka skyddsåtgärder Entercard använder vid överföring av personuppgifter utanför EU/EES, eller om hur du kan ta del av relevant dokumentation, är du välkommen att kontakta oss. Kontaktuppgifter finns i avsnitt 12.

Du kan även läsa mer om:

• vilka länder som anses ha en adekvat skyddsnivå, och
• EU-kommissionens standardavtalsklausuler och bindande företagsbestämmelser (BCR)
  på EU-kommissionens webbplats.

Tillbaka till innehållsförteckningen

9. Lagringstider

Hur länge Entercard sparar dina personuppgifter beror på vilket syfte uppgifterna används för och vilka lagkrav som gäller, mer om Entercards syften och när behandlingen upphör hittar du i avsnitt 4.
 

Avtal och kundrelation

Personuppgifter som används för att hantera ditt avtalsförhållande med Entercard, till exempel för kreditkort, lån, betalningar, kundservice eller indrivning, sparas normalt så länge avtalet gäller. Därefter kan uppgifterna behöva sparas i upp till 10 år för att uppfylla regler om preskription och för att hantera eventuella rättsliga anspråk (preskriptionslagen).

Lagkrav

Vissa personuppgifter måste Entercard spara enligt lag, även efter att kundrelationen har avslutats. Det gäller till exempel:

• Penningtvättslagstiftning – uppgifter om kundkännedom och transaktioner sparas normalt i 5 år efter att kundrelationen upphört.
• Bokföringslagstiftning – bokföringsunderlag och ekonomisk information sparas i 7 år efter räkenskapsårets slut.

Dessa lagringstider är tvingande och gäller oavsett vad som i övrigt anges för respektive syfte i avsnitt 4.

Om inget avtal ingås

Om du ansöker om en produkt (t.ex. kreditkort eller lån) men inget avtal ingås, och vi inte har något lagkrav på att spara uppgifterna, behandlar vi personuppgifterna enligt följande.

• Handläggning och kreditprövning: Vi behandlar dina personuppgifter så länge det behövs för att handlägga ansökan och fatta beslut kring din ansökan (se syfte [2] i avsnitt 4).
• Efter avslag (dokumentation och ärendehantering): Om ansökan avslås behandlar vi uppgifter om ansökan, kreditbeslutet och relevant underlag i upp till ett (1) år från beslutsdatum för att hantera bestridanden, tillsynsärenden samt för att fastställa, utöva eller försvara rättsliga anspråk (se syfte [2] respektive [31] i avsnitt 4).
• Återanvändning av kreditupplysningsuppgifter vid ny ansökan: Om du ansöker på nytt inom sex (6) månader efter ett avslag kan tidigare inhämtade kreditupplysningsuppgifter återanvändas när prövningen även fortsättningsvis leder till avslag. Om prövningen kan komma att leda till godkännande inhämtas alltid en ny kreditupplysning (se syfte [2] i avsnitt 4).

Om ett klagomål, bestridande, tillsynsärende eller rättsligt förfarande pågår vid utgången av ett (1) år kan uppgifterna sparas längre i den utsträckning som krävs för att ärendet ska kunna hanteras.

Personuppgifter från kreditansökningar som inte leder till avtal kan behandlas under en begränsad tid även efter att ansökan har avslutats, om det är nödvändigt för analys- och utvecklingsändamål, såsom att utveckla, testa, validera och förbättra analytiska modeller som används i vår verksamhet. Sådan behandling sker i enlighet med de principer som beskrivs i avsnitt 4 och är begränsad till vad som är nödvändigt för detta ändamål. När det är möjligt anonymiseras uppgifterna, vilket innebär att ingen fortsatt personuppgiftsbehandling sker därefter.

Mer information om sådana behandlingar och hur lagringstiderna fastställs finns i avsnitt 4.

Särskilda regler

I vissa begränsade fall kan uppgifter behöva sparas längre för att uppfylla regler om exempelvis kapitaltäckning och tillsyn som gäller för Entercards verksamhet. Även i dessa fall framgår tillämpliga lagringstider per syfte i avsnitt 4, i den mån det är möjligt att ange dem.

Vad innebär detta för radering?

Enligt dataskyddsförordningen har du i vissa fall rätt att få dina personuppgifter raderade. Mer information om denna rätt hittar du i avsnitt 2. De lagkrav som beskrivs ovan kan dock innebära att Entercard inte kan radera vissa personuppgifter, även om du begär det. Detta gäller till exempel när vi är skyldiga att spara uppgifter enligt penningtvättslagstiftning, bokföringslagstiftning eller andra tvingande regler.

När personuppgifter måste sparas enligt lag används de endast för att uppfylla dessa rättsliga skyldigheter och inte för andra syften. Om det inte finns något lagkrav att behålla uppgifterna gör Entercard i stället en bedömning av om uppgifterna fortfarande behöver sparas, till exempel för att fastställa, göra gällande eller försvara rättsliga anspråk, i enlighet med de principer och lagringstider som beskrivs i avsnitt 4.

Tillbaka till innehållsförteckningen

10. Cookies och annan spårningsteknik

För att våra digitala tjänster ska fungera på ett säkert och ändamålsenligt sätt samt för att ge dig bästa möjliga användarupplevelse använder Entercard kakor (cookies) och annan liknande spårningsteknik i våra gränssnitt, såsom på vår webbplats och i våra appar.

Kakor och annan spårningsteknik används bland annat för att:

• möjliggöra grundläggande funktionalitet på våra webbplatser,
• förbättra prestanda och användarupplevelse,
• analysera användning och trafikmönster, och
• anpassa innehåll och funktioner efter användarbeteenden.

Information om vilken spårningsteknik som används, syftet med tekniken samt hur du kan godkänna, avböja eller hantera dessa inställningar finns tillgänglig i respektive gränssnitt där tekniken används. I de fall lagstiftning kräver ditt samtycke för användning av vissa typer av kakor eller spårningsteknik kommer du att få möjlighet att lämna eller återkalla sådant samtycke innan tekniken aktiveras.

Tillbaka till innehållsförteckningen

11. Ändringar i denna dataskyddsinformation

Entercard strävar kontinuerligt efter att förbättra våra produkter och tjänster och anpassa vår verksamhet efter förändrade affärsbehov, tekniska förutsättningar och rättsliga krav. Det kan medföra att innehållet i denna dataskyddsinformation behöver uppdateras för att spegla förändringar i våra behandlingar av personuppgifter.

Om en ändring kräver att du informeras eller ges möjlighet att lämna samtycke enligt tillämplig lagstiftning kommer vi att säkerställa att du får sådan information eller ges möjlighet att lämna ditt samtycke.

Vi rekommenderar att du läser igenom denna dataskyddsinformation när du använder våra produkter och tjänster, eftersom uppdateringar kan påverka hur dina personuppgifter behandlas.

Tillbaka till innehållsförteckningen

12. Kontaktuppgifter till Entercard

Entercard har ett dataskyddsombud som övervakar efterlevnaden av dataskyddslagstiftningen och som fungerar som kontaktpunkt i frågor som rör behandling av personuppgifter.

Om du har frågor om hur Entercard behandlar personuppgifter, inklusive frågor om profilering och/eller automatiserade beslut, kan du kontakta Entercards dataskyddsombud via:

• E-post (dataskyddsombud): dpo@entercard.com
• Telefon: +46 (0)8 737 14 00

Identifiering vid kund- och ansökningsspecifika ärenden

För ärenden som rör dig personligen, exempelvis när du vill utöva dina rättigheter enligt dataskyddsförordningen eller har frågor som avser ett specifikt kund- eller ansökningsärende, måste Entercard av sekretess- och säkerhetsskäl säkerställa din identitet innan ärendet kan hanteras.

Detta innebär att du, beroende på ärendets karaktär, kan behöva:

• kontakta Entercards kundtjänst och identifiera dig, eller
• kommunicera med Entercard i inloggat läge via Mina sidor.

Kundtjänsten hanterar kund- och ansökningsspecifika frågor och bistår även vid dataskyddsärenden som kräver identifiering.

Kontaktuppgifter till Entercards kundtjänst finns på vår webbplats. Det finns olika telefonnummer beroende på vilken produkt eller tjänst ditt ärende avser.

Identifieringen sker för att skydda dina personuppgifter och säkerställa att information endast lämnas till rätt person.

Tillbaka till innehållsförteckningen