UPPLÝSINGAR UM AUR

Aur er vörumerki Kviku banka hf., kt. 540502-2930, Katrínartúni 2, Reykjavík. Kvika banki hf. er með starfsleyfi sem viðskiptabanki frá Fjármálaeftirlitinu.

Kvika banki er ábyrgðaraðili sérhverra persónuupplýsinga sem við vinnum um þig í tengslum við þá þjónustu sem við veitum viðskiptavinum okkar í gegnum greiðslulausn Aur. Um vinnslu á persónuupplýsingum um notendur Aur gildir persónuverndarstefna Kviku banka hf.

Hafir þú spurningar við persónuverndarstefnuna eða viljir þú koma á framfæri kvörtun eða beiðni til Aur vegna vinnslu persónuupplýsinga í tengslum við Aur app, biðjum við þig um að hafa samband við persónuverndarfulltrúa Kviku í gegnum netfangið personuvernd@kvika.is eða aur@aur.is

Aur

Katrínartún 2

105 Reykjavík

Netfang: aur@aur.is

INNGANGUR OG GILDISSVIÐ

Persónuverndarstefna þessi (hér eftir „stefnan“) tekur til viðskiptamanna allra vörumerkja Kviku þ.m.t. viðskiptavina bankans, Auðar, AUR, Framtíðarinnar lánasjóðs, Lykils og Netgíró. Í stefnunni eru veittar upplýsingar um það hvaða persónuupplýsingum Kvika banki hf., Katrínartúni 2, 105 Reykjavík, (hér eftir „Kvika“ eða „bankinn)“ safnar um viðskiptamann, hvernig bankinn vinnur persónuupplýsingar og í hvaða tilgangi, hversu lengi má ætla að upplýsingarnar séu geymdar, hvert þeim kann að vera miðlað og hvernig öryggi þeirra er gætt í starfsemi bankans. Þegar talað er um Kviku eða bankann er einnig átt við öll vörumerki bankans þ.e. Auði, Aur, Framtíðina lánafélag, Lykil og Netgíró. Einnig er að finna upplýsingar um réttindi viðskiptamanns vegna vinnslu persónuupplýsinga hjá bankanum. Stefnan er sett með það fyrir augum að tryggja sanngjarna og gagnsæja vinnslu á persónuupplýsingum í samræmi við lög um persónuvernd og meðferð persónuupplýsinga.

Þessi persónuverndarstefna er sett með vísan til 17. gr. laga nr. 90/2018 um persónuvernd og meðferð persónuupplýsinga. Stefnan tekur aðeins til einstaklinga en ekki lögaðila. Hugtakið „persónuupplýsingar“ nær til allra upplýsinga sem mögulegt er að tengja tilteknum einstaklingi beint eða óbeint, t.d. með tilvísun í auðkenni hans s.s. nafn, kennitölu, notendanafn, netfang, lánsnúmer, o.fl. Stefna þessi nær til fyrrverandi, núverandi og verðandi viðskiptamanna bankans, aðila sem eru tengdir viðskiptamanni (t.d. fjölskyldumeðlima), ábyrgðarmanna og annarra viðeigandi aðila, s.s. raunverulegs eiganda fjármuna, umboðsmanns viðskiptamanns, prókúruhafa og aðila tengdum viðskiptamanni ef um lögaðila er að ræða. Stefnan nær einnig eftir atvikum til annarra einstaklinga en viðskiptamanns, t.d. starfsmanna hjá verktökum bankans og þeirra sem heimsækja starfsstöðvar eða vefsíðu bankans, www.kvika.is, eins og nánar er lýst í stefnu þessari. Þegar vísað er til viðskiptamanns í stefnu þessari er átt við alla framangreinda aðila. Kvika er ábyrgðaraðili sérhverra persónuupplýsinga sem bankinn safnar og vinnur um viðskiptamann og ber því ábyrgð á því að vinnsla persónuupplýsinga sé í samræmi við gildandi persónuverndarlög.

TEGUNDIR OG UPPRUNI PERSÓNUUPPLÝSINGA

Kvika safnar upplýsingum um viðskiptamann, ýmist frá honum sjálfum eða frá öðrum aðilum til að geta boðið viðskiptamanni vörur og þjónustu. Söfnun slíkra upplýsinga kann að vera nauðsynleg til að uppfylla skyldur sem hvíla á bankanum samkvæmt lögum, þá sérstaklega lögum sem gilda um aðgerðir gegn peningaþvætti o.fl., lögum um neytendalán, lögum um fjármálafyrirtæki og lögum um markaði fyrir fjármálagerninga. Einnig er söfnun persónuupplýsinga nauðsynleg til að hægt sé að veita viðskiptamanni þjónustu eða bjóða upp á vörur eða þjónustu.

Hér á eftir er lýsing á flestum þeim flokkum persónuupplýsinga sem bankinn vinnur með og lýsing á tilgangi vinnslu þessara upplýsinga:

a) Samskiptaupplýsingar: nafn, heimilisfang og aðrar samskiptaupplýsingar s.s. eins og netfang, símanúmer og starfstitill svo bankinn geti haft samband við viðskiptamann.

b) Kennitala, skilríki og auðkenni: Kennitölur, skilríki, upplýsingar um þjóðerni, t.d. eins og vegabréf, ökuskírteini og rafræn auðkenni svo að bankinn geti borið kennsl á viðskiptamann.

c) Fjárhagsupplýsingar: Viðskiptasaga, velta, hreyfingar á reikningum og staða reikninga, reikningsnúmer, greiðslukortaupplýsingar, vaxtakjör, tekjur, fjárhagsskuldbindingar, vanskil, lánshæfismat, greiðslumat o.fl. svo hægt sé m.a. að taka ákvarðanir um láns- og greiðsluhæfi og koma í veg fyrir að viðskiptamaður verði skuldsettur um of.

d) Samningsupplýsingar: Atriði er varða þá samninga sem viðskiptamaður hefur gert við félagið og upplýsingar um þær vörur og þá þjónustu sem bankinn veitir viðskiptamanni svo hægt sé að framfylgja ákvæðum samninga.

e) Upplýsingar um samskipti: Upplýsingar sem bankinn fær frá viðskiptamanni með bréfum og tölvupóstum sem viðskiptamaður sendir bankanum svo bankinn geti veitt viðskiptamanni þjónustu, bætt hana og brugðist við erindum hans og ábendingum.

f) Opinberar upplýsingar: T.d. upplýsingar úr þjóðskrá, fasteignaskrá, hlutafélagaskrá og öðrum opinberum skrám ásamt upplýsingum sem hægt er að fá aðgang að hjá fjárhagsupplýsingastofu eða upplýsingar sem hafa verið gerðar opinberar á internetinu. Þessar upplýsingar eru notaðar í ýmsum tilgangi í tengslum við starfsemi bankans.

g) Upplýsingar vegna áreiðanleikakönnunar: Upplýsingar sem gera bankanum kleift að framkvæma áreiðanleikakönnun á grundvelli laga nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka og að tryggja framfylgni við alþjóðlegar refsiaðgerðir (e. international sanctions) þ.m.t. ganga úr skugga um að tilgangur og eðli viðskiptasambands sé í samræmi við lög og hvort viðskiptamaður sé í áhættuhópi vegna stjórnmálatengsla.

h) Rafræn vöktun: Haft er eftirlit með starfsstöð bankans með eftirlitsmyndavélum í öryggis- og eignavörsluskyni.

i) Hljóðritun símtala: Símtöl viðskiptamanns við bankann kunna að vera hljóðrituð. Þessi vinnsla fer t.d. fram til þess að hægt sé að færa sönnur á því hvort viðskipti hafi farið fram og í öryggisskyni.

j) Samþykki: Hvers konar samþykki eða leyfi sem viðskiptamaður veitir bankanum. Í þessu felast m.a. upplýsingar um hvernig viðskiptamaður vill að haft sé samband við hann, t.d. hvort hann afþakki bréfasendingar frá bankanum eða samskipti vegna vefköku.

k) Kökur: Kökur (e. cookies) eru litlar tölvuskrár sem eru sendar í tölvu viðskiptamanns eða snjalltæki þegar viðskiptamaður heimsækir vefsíðu. Þær vistast í tæki viðskiptamanns og eru sendar til baka þegar hann heimsækir vefsíðuna aftur. Kökurnar geyma upplýsingar um heimsóknir viðskiptamanns á vefsíður t.d. svo hann þurfi ekki að slá inn notendanafn eða lykilorð í hvert sinn sem hann heimsækir vefsíðuna eða til að greina umferð á vefsíðu, sjá nánar skilmála Kviku um notkun á vefkökum á heimsíðu bankans.

l) Upplýsingar um hæfi: Bankinn metur hæfi viðskiptamanns til að eiga viðskipti og vinnur í þeim tilgangi upplýsingar um menntun og reynslu viðskiptamanns, fjárhagslega stöðu og áhættusækni í því skyni að flokka viðskiptamann semalmennan fjárfesti eða fagfjárfesti.

m) Upplýsingar um hegðun og notkun: Upplýsingar um hvernig viðskiptamaður notar vörur bankans og þjónustu svo bankinn geti bætt þessa þætti en einnig til þess að fylgjast með því hvort ekki sé allt með felldu bæði hvað varðar öryggi og notkun.

n) Tæknilegar upplýsingar: T.d. upplýsingar um þann búnað sem viðskiptamaður tengist bankanum með og afleidd gögn af þeirri tengingu t.a.m. IP-tölur, vafra, útgáfu af stýrikerfi og framkvæmdar aðgerðir. Tilgangurinn er að bæta þjónustu og framkvæma villuleit.

o) Umsækjendaupplýsingar: Upplýsingar sem umsækjandi um starf hjá bankanum veitir og koma fram á ferilskrá umsækjanda s.s. nafn, kennitala, heimilisfang, símanúmer, netfang, menntun og hæfni, starfsreynsla, o.s.frv.

p) Viðkvæmar persónuupplýsingar: Sumar persónuupplýsingar eru flokkaðar sem viðkvæmar í lögum um persónuvernd. Þetta eru t.d. upplýsingar er varða kynþátt eða þjóðernislegan uppruna, stjórnmálaskoðanir, trúarbrögð eða heimspekilega sannfæringu, aðild að verkalýðsfélagi, erfðafræðilegar upplýsingar, lífkennaupplýsingar og heilsufarsupplýsingar. Kvika hvorki safnar þessum persónuupplýsingum né vinnur þær án samþykkis viðskiptamanns nema með sérstakri lagaheimild. Í einhverjum tilvikum kann vinnsla að reynast bankanum nauðsynleg með vísan til almannahagsmuna eða til að unnt sé að stofna, hafa uppi eða verja réttarkröfur.

Framangreind upptalning er ekki tæmandi og bankinn getur unnið aðrar upplýsingar um viðskiptamann sem eru nauðsynlegar hverju sinni eftir eðli viðskiptasambandsins eða samskipta viðskiptamanns við bankann. Rétt er að benda á að viðskiptamanni er ávallt valkvætt að veita persónuupplýsingar. Séu upplýsingar ekki veittar kann það þó að hafa áhrif á möguleika Kviku til að veita viðskiptamanni þjónustu.

NOTKUN PERSÓNUUPPLÝSINGA & VINNSLUGRUNDVÖLLUR

Það fer eftir eðli samningssambands viðskiptamanns og Kviku hvaða heimild liggur til grundvallar vinnslu persónuupplýsinga og í hvaða tilgangi upplýsingarnar eru unnar.

Kvika notar einkum persónuupplýsingar viðskiptamanns til að hafa samband við viðskiptamann, auðkenna hann og tryggja öryggi og áreiðanleika í viðskiptum, til að framkvæma umbeðin viðskipti og veita fjármálaþjónustu, til að þróa vöru- og þjónustuframboð bankans, bregðast við lögfræðilegum beiðnum og tryggja net- og upplýsingaöryggi. Heimildir Kviku til vinnslu persónuupplýsinga byggja í flestum tilvikum á eftirfarandi:

a) Uppfylla samningsskyldur bankans
Persónuupplýsingar eru unnar til að veita banka- og fjármálaþjónustu í samræmi við samning sem gerður er við viðskiptamann bankans. Tilgangur vinnslunnar er mismunandi eftir þeirri þjónustu sem veitt er, s.s. reiknings- og greiðsluþjónusta, lánafyrirgreiðslur, eignastýring, ráðgjöf og varsla, séreignarsparnaður, fyrirtækjaráðgjöf o.s.frv. Frekari upplýsingar um tilgang vinnslu á grundvelli samninga bankans við viðskiptamann má finna í viðkomandi samningum og skilmálum þeirra.

b) Uppfylla lagaskyldu
Vinnsla Kviku á persónuupplýsingum byggir að miklu leyti á nauðsyn bankans til að uppfylla ýmsar lagalegar skyldur um vinnslu ákveðninna persónuupplýsingaí tilteknum tilgangi. Þar má í dæmaskyni nefna eftirfarandi lög:
1. Lög nr. 161/2001 um fjármálafyrirtæki
2. Lög nr. 120/2011 um greiðsluþjónustu
3. Lög nr. 140/2018 um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka -.
4. Lög nr. 33/2013 um neytendalán
5. Lög nr. 115/2021 um markaði fyrir fjármálagerninga
6. Lög nr. 87/1998 um opinbert eftirlit með fjármálastarfsemi
7. Lög nr. 129/1997 um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða
8. Lög nr. 90/2003 um tekjuskatt
9. Lög nr. 145/1994 um bókhald
10. Lög nr. 118/2016 um fasteignalán til neytenda
11. Lög nr. 32/2009 um ábyrgðarmenn

Öflun upplýsinga í þeim tilgangi að auðkenna viðskiptamann, meta áreiðanleika hans, lánshæfi og hæfi til að stunda verðbréfaviðskipti, uppfylla lögbundna tilkynningarskyldu og stýra áhættu bankans byggir m.a. á framangreindum lögum. Þá ber bankanum skylda til að verða við beiðnum yfirvalda eins og Fjármálaeftirlits Seðlabanka Íslands, embættis héraðssaksóknara, Skattsins, tollgæsluyfirvalda eða annarra þar til bærra yfirvalda um upplýsingar frá bankanum um viðskiptamann, að því gefnu að skýr lagaheimild liggi slíkum beiðnum til grundvallar.

Eftirfarandi dæmi eru um vinnslu persónuupplýsinga á grundvelli lagaskyldu:
1. framkvæmd lánshæfis- og greiðslumats, við mat á eiginfjárhlutfalli bankans og vegna tryggingaáhættu
2. áreiðanleikakönnun einstaklinga á grundvelli laga um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka
3. greining og rannsókn á málum er varða peningaþvætti, fjármögnun hryðjuverka, fjársvik og annars konar refsiverða háttsemi
4. lögboðið innra eftirlit
5. varðveisla tiltekinna persónuupplýsinga á grundvelli laga um ársreikninga, laga um bókhald og laga um verðbréfaviðskipti

c) Gæta lögmætra hagsmuna bankans eða þriðja aðila
Í tilvikum þar sem vinnsla er nauðsynleg vegna lögmætra hagsmuna Kviku, þriðja aðila eða viðskiptamanns kann bankinn að vinna persónuupplýsingar um viðskiptamann umfram það sem þarf til að uppfylla og framfylgja samningsskyldum bankans, nema hagsmunir viðskiptamanns vegi þyngra. Kvika vinnur persónuupplýsingar á þessum grundvelli einkum í tengslum við áhættustýringu og eignaog öryggisvörslu bankans, t.d. í tengslum við:
1. að framfylgja kröfum bankans eða þriðja aðila;
2. áhættustýringu;
3. forvarnir gegn svikum og skipulagðri glæpastarfsemi;
4. upplýsingaöryggi í bankanum;
5. eftirlit á starfstöð bankans og aðgangsstýringar;
6. almennt viðskiptamannahald og samskipti;
7. markaðssetningu, nema viðskiptamaður hafir andmælt því;
8. sjálfvirka ákvarðanatöku við mat á lánveitingum og áhættustýringu tengda þeim;
9. miðlun vanskila viðskiptamanns milli vörumerkja innan Kviku vegna áhættustýringar; og
10. endurskoðun og hagræðingu á þjónustu.

Þá hefur bankinn lögmæta hagsmuni af því að vinna með persónuupplýsingar viðskiptamanna til að þróa vörur og þjónustu bankans svo mæta megi sem best þörfum og væntingum viðskiptamanna og til að þróa vörur og þjónustu bankans. Slík vinnsla fer ekki fram ef grundvallarréttindi og frelsi einstaklings um persónuvernd vega þyngra en hagsmunir af vinnslunni. Bankinn vinnur með ýmsar persónuupplýsingar og greinir viðskiptamenn m.a. út frá viðskiptasögu og vörunotkun. Bankinn hefur lögmæta hagsmuni af því að flokka viðskiptamenn (vildarflokkun) með ákveðnum hætti til þess að geta boðið þeim ýmsa sérsniðna þjónustu sem hentar þeim og verðlagt vörur og þjónustu á sem nákvæmastan hátt. Kvika hefur jafnframt lögmæta hagsmuni af því að vinna með persónuupplýsingar til beinnar markaðssetningar svo hægt sé að kynna fyrir viðskiptamanni þær sérsniðnu vörur og þjónustu sem bankinn hefur að bjóða þeim. Bankinn notar ýmsar leiðir til að þess, s.s. með skilaboðum í gegnum netbanka, gegnum öpp bankans (aðallega Aur og Auður), samfélagsmiðla og vefsíður bankans en einnig með því að senda tölvupóst á netfang sem viðskiptamaður hefur gefið upp. Viðskiptavinur getur afþakkað slík skilaboð í hvert sinn sem þau berast eða með því að hafa samband við bankann á netfangið kvika@kvika.is eða hringja í þjónustuver í s. 540-3200.

Eftirfarandi eru dæmi um vinnslu á þessum grundvelli:
1. að bæta vöru- og þjónustuframboð;
2. persónuupplýsingar eru greindar í flokka, s.s. lánshæfismat, sparnaður og innlán, til þess að koma auga á tækifæri til að bæta vörur og þjónustu bankans almennt og að greina tækifæri til að bjóða núverandi viðskiptavin sérsniðnar vörur og þjónustu;
3. bankinn nýtir upplýsingar um viðskiptamann við ákveðin vörumerki bankans í þeim tilgangi að senda viðskiptamanni upplýsingar um vöruframboð, fríðindi og þjónustu annarra vörumerkja bankans sem henta honum;
4. að veita viðskiptavin sérsniðna og faglega fjármála- og tryggingaráðgjöf;
5. að greina og rannsaka mál er varða net- og upplýsingaöryggi, m.a. til að koma í veg fyrir fjársvik; og
5. að vinna með upplýsingar um lögaðila, eigendur, stjórn lögaðila, framkvæmdastjórn, prókúruhafa svo bankinn geti tekið upplýsta ákvörðun um fyrirgreiðslu, tryggingar og ábyrgðir.

d) Á grundvelli samþykkis
Ef viðskiptamaður hefur veitt bankanum samþykki fyrir vinnslu persónuupplýsinga í ákveðnum tilgangi er samþykki grundvöllur slíkrar vinnslu, t.d. í tengslum við öflun lánshæfis- og greiðslumats hjá CreditInfo hf. Kvika aflar að auki samþykkis viðskiptamanns ef fyrirséð er að persónuupplýsingar verði notaðar í öðrum tilgangi en þegar þeirra var upphaflega aflað. Dæmi um slíkt er að bjóða viðskiptamanni þjónustu annarra aðila, s.s. tryggingafélaga. Í slíkum tilvikum veitir bankinn viðskiptamanni nánari upplýsingar um þá tilteknu vinnslu persónuupplýsinga sem samþykkið nær til.

Viðskiptamaður á ávallt rétt á því að draga samþykki sitt til baka. Afturköllun samþykkis hefur þó ekki áhrif á lögmæti vinnslu persónuupplýsinga sem átti sér stað fyrir afturköllun.

e) Vinnsla persónuupplýsinga um börn
Vinnsla Kviku á persónuupplýsingum um barn getur farið fram ef það er nauðsynlegt í þeim tilgangi að framkvæma umbeðin viðskipti eða þjónustu, t.d. vegna stofnunar greiðslureiknings, útgáfu debetkorts, opnun aðgengis að netbanka. Bankinn aflar samþykkis forráðamanns fyrir vinnslu persónuupplýsinga um barn áður en barni sem ekki hefur náð 13 ára aldri er boðin rafræn þjónusta, í samræmi við lög um persónuvernd. Bankinn sendir markaðsefni er varðar kynningu á vörum og þjónustu sem ætlað er börnum til forráðamanna þeirra. Forráðamenn hafa möguleika á að afþakka markaðsefni með því að hafa samband við bankann á netfangið kvika@kvika.is eða símanúmer 540-3200.

MIÐLUN PERSÓNUUPPLÝSINGA

Að því marki sem nauðsynlegt er til að framfylgja samningsskyldum bankans við viðskiptamann hafa starfsmenn Kviku aðgang að persónuupplýsingum. Auk þess hafa þjónustuaðilar Kviku, sem vinna persónuupplýsingar í þágu bankans, aðgang að persónuupplýsingum. Þetta eru fyrirtæki sem veita greiðsluþjónustu, fjármálaþjónustu, hýsingar- og upplýsingatækniþjónustu, póstþjónustu, prentþjónustu, fjarskiptaþjónustu, innheimtuþjónustu, ráðgjöf, endurskoðun og sölu- og markaðsþjónustu. Kvika leitar aðeins til þjónustuaðila sem veita persónuupplýsingum fullnægjandi vernd samkvæmt persónuverndarlöggjöfinni.

Þá miðlar Kvika upplýsingum til fyrirtækja innan samstæðu bankans í tengslum við lögbundna áhættustýringu. Kvika varðveitir upplýsingar um vanskil í þeim tilgangi að áhættumeta viðskiptamann og nýtir þær upplýsingar m.a. í tengslum við sjálfvirka ákvarðanatöku við áhættustýringu og við mat á lánveitingum. Upplýsingum um vanskil viðskiptamanna er miðlað á milli vörumerkja, þannig að vanskil viðskiptamanns hjá einu vörumerki innan Kviku getur haft áhrif á lánafyrirgreiðslur viðskiptamanns og aðra þjónustu í tengslum við viðskipti við annað vörumerki.

Loks er Kviku skylt samkvæmt lögum að veita opinberum aðilum aðgang að persónuupplýsingum, s.s. Seðlabankanum, skattyfirvöldum, eftirlitsaðilum, lögregluyfirvöldum, skiptastjórum og dómstólum. Þá getur Kvika, á grundvelli samþykkis, miðlað upplýsingum til utanaðkomandi aðila. Í tengslum við miðlun persónuupplýsinga út fyrir bankann er rétt að taka fram að starfsmenn Kviku eru bundnir þagnarskyldu um allt það er varðar hagi viðskiptamanna bankans og um önnur atriði sem þeir fá vitneskju um í starfi sínu og leynt skulu fara samkvæmt 58. gr. laga um fjármálafyrirtæki nr. 161/2002, nema skylt sé að veita upplýsingar samkvæmt lögum eða viðskiptamaður hefur veitt samþykki fyrir slíkri miðlun.

Dæmi um miðlun persónuupplýsinga er t.d. þegar skylda er til að aðstoða við endurheimt fjármuna sem borist hafa inn á reikninga viðskiptamanns fyrir mistök; þegar nauðsynlegt er að rekja fjármagn vegna gruns um svik eða fjárglæpi; vegna innheimtu vanskilakrafna; vegna meðferðar máls fyrir úrskurðarnefndum eða dómstólum; þegar lög kveða á um afhendingu upplýsinga; og þegar viðskiptamaður samþykkir sjálfur miðlun upplýsinga til annarra t.d. vegna markaðsetningar.

MIÐLUN UTAN EVRÓPSKA EFNAHAGSSVÆÐISINS

Í vissum tilvikum kunna gögn að vera flutt úr landi og út fyrir Evrópska efnahagssvæðið (EES), til dæmis í þeim tilgangi að uppfylla samningsskyldur við viðskiptamann eða skyldur sem hvíla á bankanum samkvæmt lögum. Kvika miðlar aðeins persónuupplýsingum til landa utan EES-svæðisins ef það er nauðsynlegt í því skyni að framkvæma beiðnir viðskiptamanns, s.s. greiðslubeiðnir eða viðskiptabeiðnir, þess er krafist samkvæmt lögum. S.s. tilkynningarskylda samkvæmt skattalöggjöf (CRS og FATCA) eða viðskiptamaður hefur veitt samþykki fyrir slíkri miðlun. Þegar miðlun á sér stað þá ber Kvika ábyrgð á því að viðeigandi verndarráðstafanir séu til staðar hjá viðtakanda svo fullnægjandi vernd persónuupplýsinga þinna sé tryggð.

VARÐVEISLUTÍMI

Persónuupplýsingar eru varðveittar á meðan viðskiptasamband varir og lög mæla fyrir um eða viðskiptahagsmunir Kviku krefjast og málefnaleg ástæða þykir til. Málefnaleg ástæða er til staðar ef enn er unnið með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra eða vegna viðskiptalegra hagsmuna bankans, t.d. til þess að afmarka, setja fram og verja kröfur bankans.

Kvika leitast við að varðveita ekki upplýsingar á persónugreinanlegu formi lengur en nauðsynlegt er. Kvika byggir varðveislutíma einkum á lögum um bókhald, lögum um tekjuskatt, lögum um virðisaukaskatt, lögum um peningaþvætti o.fl., lögum um verðbréfaviðskipti, lögum um opinbert eftirlit með fjármálastarfsemi, leiðbeinandi tilmælum FME um upplýsingakerfi eftirlitsskyldra aðila, lögum um fyrningu kröfuréttinda o.s.frv. Ef upplýsingar eru taldar hafa sögulegt gildi þá eru upplýsingarnar gerðar ópersónugreinanlegar með afmáningu persónuauðkennis.

Hljóðritanir eru varðveittar í samræmi við innri reglur bankans um rafræna vöktun og skilgreina þær reglur hvaða borðsímar og farsímar eru hljóðritaðir og hversu lengi skuli geyma símtölin. Geymslutíminn er 5 ár ef um er að ræða fyrirmæli vegna verðbréfaviðskipta en annars 90 dagar.

RÉTTINDI VIÐSKIPTAMANNS

Viðskiptamaður hefur, í tengslum við vinnslu persónuupplýsinga um hann, rétt til að:
1. óska eftir upplýsingum um hvernig Kvika vinnur persónuupplýsingarnar og fá afrit þeim upplýsingum;
2. óska eftir leiðréttingu á röngum persónuupplýsingum sem Kvika vinnur eða óska eftir að láta fullgera ófullkomnar persónuupplýsingar;
3. óska eftir því að persónuupplýsingum viðskiptamanns sé eytt telji viðskiptamaður að upplýsingarnar séu ekki lengur nauðsynlegar í þeim tilgangi sem lá að baki söfnun þeirra. Hið sama á við þegar viðskiptamaður dregur til baka samþykki sem vinnsla persónuupplýsinga byggist á og ekki er annar lagagrundvöllur fyrir vinnslunni eða ef vinnsla upplýsinganna er ólögmæt;
4. óska eftir að Kvika takmarki vinnslu persónuupplýsinga í ákveðnum tilvikum, s.s. þegar vinnslu hefur verið andmælt;
5. óska eftir því að fá persónuupplýsingarnar á skipulegu, algengu og tölvulesanlegu sniði og fá þær sendar annarri stofnun;
6. afturkalla áður veitt samþykki fyrir vinnslu persónuupplýsinga. Afturköllun samþykkis hefur ekki áhrif á lögmæti vinnslu á grundvelli samþykkisins fram að afturköllun;
7. andmæla vinnslu í þágu beinnar markaðssetningar;
8. andmæla vinnslu persónuupplýsinga sem Kvika vinnur á grundvelli lögmætra hagsmuna, s.s. vinnslu sem felur í sér gerð persónusniðs (persónugreining); og
9. leggja fram kvörtun hjá Persónuvernd ef viðskiptamaður álítur að vinnsla Kviku á persónuupplýsingunum hans brjóti í bága við gildandi lög.

Andmæli viðskiptamaður vinnslu persónuupplýsinga mun Kvika hætta vinnslu persónuupplýsinganna nema bankinn geti sýnt fram á lagaskyldu eða lögmæta hagsmuni sem ganga framar hagsmunum viðskiptamanns. Óskir þú eftir frekari upplýsingum um réttindi þín eða hvernig þú getur nýtt þau er þér bent á að hafa samband við persónuverndarfulltrúa Kviku

SJÁLFVIRK ÁKVARÐANATAKA OG PERSÓNUGREINING

Sjálfvirk ákvarðanataka felur í sér að ákvörðun er tekin á grundvelli sjálfvirkar gagnavinnslu, án aðkomu starfsmanna Kviku eða annarra einstaklinga, og slík ákvörðun hefur réttaráhrif gagnvart viðskiptamanni, s.s. sjálfvirk höfnun lánsumsóknar á netinu.

Kvika vinnur persónuupplýsingar með það að markmiði að meta ákveðna persónulega þætti er varða viðskiptamann (persónugreining). Bankinn notar persónusnið í eftirfarandi tilvikum:
1. á grundvelli laga um peningaþvætti o.fl. er bankanum skylt að hafa reglubundið eftirlit með viðskiptum viðskiptamanns, þ.á m. með millifærslum og kortafærslum, í því skyni að kanna hvort þau samrýmist þeim upplýsingum sem veittar voru um viðskiptamann og starfsemi hans er viðskiptasambandið hófst.
2. í tengslum við lögbundna áhættustýringu bankans er viðskiptamaður flokkaður eftir lánshæfi. Þessi útreikningur byggir m.a. á tekjum, gjöldum, skuldbindingum, atvinnu, starfstíma, viðskiptasögu og upplýsingum frá Creditinfo lánstraust hf.
3. í tengslum við mat á lánshæfi, í þágu markaðssetningar og net- og upplýsingaöryggis t.d. þegar ákveðið er hvaða þjónusta hentar viðskiptamanni og með mynsturgreiningu í netbanka til að hámarka öryggi fjárhagsupplýsinga þinna.
4. sem liður í sjálfvirkri ákvörðunartöku sem viðskiptamann varðar en hún fer þannig fram að hugbúnaður vinnur persónuupplýsingar um viðskiptamann á sjálfvirkan hátt og tekur ákvörðun, sem hefur áhrif á hagsmuni viðskiptamanns, án þess að mannshönd eða -hugur komi að henni.

Dæmi um sjálfvirka ákvarðanatöku er ákvörðun um greiðslumat og lánshæfismat.

Sjálfvirk ákvarðanataka sem hefur bein áhrif á hagsmuni viðskiptamanns fer einungis fram, að því gefnu að samþykki hans liggi fyrir, ef hún er forsenda þess að unnt sé að gera eða framkvæma samning milli viðskiptamanns og bankans eða ef lög heimila sérstaklega.

Sjálfvirkar ákvarðanir sem hafa engin réttaráhrif t.d. vinnsla vegna beinnar markaðssetningar sem byggir á lögmætum hagsmunum kann að vera framkvæmd án samþykkis. Slíkri vinnslu má mótmæla hvenær sem er.

ÖRYGGI OG VERND PERSÓNUUPPLÝSINGA

Kvika gerir viðeigandi ráðstafanir til þess að vernda persónuupplýsingar viðskiptamanns gagnvart misnotkun, röskun og tjóni, óheimilum aðgangi, breytingum eða birtingu. Þær ráðstafanir sem bankinn styðst við eru einkum:
1. innleiðum tæknilegar og skipulagslegar ráðstafanir sem ætlað er að tryggja viðvarandi trúnað, samfellu, tiltækileika og álagsþol vinnslukerfa og þjónustu;
2. stýrum aðgengi einstaklinga að starfstöð Kviku og viðhöfum öryggisvörslu;
3. stýrum aðgengi starfsmanna og annarra að kerfum sem hafa að geyma persónuupplýsingar;
4. tryggjum að þeir sem hafa aðgang að persónuupplýsingunum viðskiptamanns, hafi gert viðeigandi verndarráðstafanir til að tryggja öryggi persónuupplýsinga; og
5. þegar lög áskilja, eyðir bankinn, gerviauðkennir eða dulkóðar persónuupplýsingar viðskiptamanns.

Við alla vinnu í tengslum við upplýsingaöryggi tekur Kvika mið af staðli um upplýsingaöryggi, ISO 27001, og leiðbeinandi tilmælum Fjármálaeftirlitsins nr. 1/2019 vegna áhættu við rekstur upplýsingarkerfa eftirlitsskyldra aðila. Kvika hefur sett sér skriflega stefnu um stjórnun upplýsingaöryggis.

Komi upp öryggisbrestur við meðferð persónuupplýsinga þar sem staðfest er eða grunur leikur á um að persónuupplýsingar hafi komist í hendur óviðkomandi aðila er Persónuvernd, og eftir atvikum viðskiptamanni, tilkynnt um öryggisbrestinn nema hann hafi ekki í för með sér mikla áhættu fyrir réttindi og frelsi viðskiptamanns.

BREYTINGAR Á PERSÓNUVERNDARSTEFNUNNI

Kviku er heimilt að breyta stefnu þessari reglulega til samræmis við breytta viðskiptahætti og lagaskyldu til að stefnan endurspegli sem best þá vinnslu sem fram fer hverju sinni hjá bankanum. Breytingar á stefnu þessari taka gildi án fyrirvara við birtingu á vef bankans, nema annað sé tilgreint. Kvika hvetur viðskiptamann til að skoða stefnu þessa reglulega til að vera upplýstur um hvernig bankinn notar og verndar persónuupplýsingar.

SAMSKIPTAUPPLÝSINGAR

Viðskiptamaður getur haft samband við persónuverndarfulltrúa Kviku með öll mál sem tengjast vinnslu á persónuupplýsingum hans og hvernig hann geti neytt réttar síns samkvæmt lögum um persónuvernd.

Ef viðskiptamaður hefur spurningar vegna vinnslu persónuupplýsinga eða athugasemdir við stefnu þessa skal beina erindum vegna þess til persónuverndarfulltrúa Kviku, með bréfpósti eða tölvupósti.

Kvika banki hf.

Katrínartún 2

105 Reykjavík

B.t. persónuverndarfulltrúa

Netfang: personuvernd@kvika.is

Persónuverndarstefna þessi var síðast endurskoðuð í janúar 2024.