Personuppgiftspolicy
Ordna AB, 556962-9404
Ordna Bolån är ett varumärke under firma Ordna AB. Ordna AB benämns i personuppgiftspolicyn som Ordna Bolån.
Information om vår behandling av personuppgifter
Ordna Bolån värnar om att upprätthålla ett högt integritetsskydd för kunder, leverantörer, samarbetspartners och anställda samt andra personer vars uppgifter behandlas inom ramen för vår verksamhet. Vi kan erhålla personuppgifter från våra kunder, leverantörer/samarbetspartners, anställda samt allmänt tillgängliga källor, såsom offentliga register. Behandling av personuppgifter sker alltid i enlighet med gällande dataskyddsregelverk.
Den 25 maj 2018 började EU:s dataskyddsförordning samt dataskyddslagen att tillämpas. De nya regelverken har medfört ett förstärkt skydd för den vars personuppgifter behandlas och ställer fler och hårdare krav på de företag, organisationer och myndigheter som behandlar personuppgifter.
Ändamål med behandling av personuppgifter och uppgiftsminimering
Vår behandling av personuppgifter sker med följande samt andra därmed förenliga ändamål:
a) Tillhandahålla kreditförmedling samt relaterade tjänster till våra kunder.
b) Tillhandahålla kundtjänst och, i förekommande fall, hantera klagomål.
c) Informera om och marknadsföra våra tjänster till befintliga och potentiella kunder, inkl. direktmarknadsföring.
d) Kund- och marknadsanalyser avseende vara tjänster samt kvalitetsuppföljning.
e) Hantera kontakter med befintliga och potentiella framtida leverantörer, samarbetspartners och myndigheter.
f) Vidta åtgärder enligt lagen om åtgärder mot penningtvätt och finansiering av terrorism.
g) Ekonomi- och personaladministration samt rekrytering av personal.
h) Kontinuitets- och beredskapsplanering.
i) Hantering av frågor och andra kontakter som tagits med oss.
Vi samlar endast in information som är nödvändig för de angivna ändamålen.
Laglig grund för behandlingen
Behandling av personuppgifter får endast ske om det finns en laglig grund enligt dataskyddsförordningen eller, i förekommande fall, annan författning (t.ex. lagen om åtgärder mot penningtvätt och finansiering av terrorism).
Behandling av uppgifter om kund som gjort kreditansökan sker generellt med den rättsliga grunden att behandlingen är nödvändig för att vi ska kunna fullgöra våra förpliktelser enligt vårt avtal med kunden samt att vi är skyldiga att dokumentera utförandet av tjänsten och uppgifter om kunden enligt lagen om viss verksamhet med konsumentkrediter samt lagen om åtgärder mot penningtvätt och finansiering av terrorism. Vid ansökan om försäkring kan kund, utöver vad som angivits ovan, behöva lämna uppgifter om sin hälsa. Uppgifter om hälsa behandlas med stöd av samtycke från kunden.
Uppgifter om såväl befintliga som potentiella kunder behandlas också med grund i att vi har ett berättigade intressen av att utveckla, marknadsföra och administrera våra tjänster och verksamheter.
Vi behandlar även personuppgifter för att administrera våra kontakter med företrädare för befintliga och potentiella leverantörer, personer som söker anställning samt myndigheter och andra personer som tar kontakt med oss. Behandlingen grundas i dessa fall i regel på att vi har ett berättigat intresse av att behandla uppgifterna.
Om vår personuppgiftsbehandling grundas på våra berättigade intressen genomför vi alltid en intresseavvägning mellan våra intressen och den registrerades intressen av integritet och grundläggande friheter och rättigheter. Om den registrerade har invänt mot behandlingen tar vi hänsyn till dennes inställning i bedömningen. Behandlingen är i dessa fall endast tillåten om våra intressen av behandlingen väger särskilt tungt.
Behandlingens varaktighet
Personuppgifter om kunder behandlas under minst den tid som vi är skyldiga att bevara uppgifterna enligt lagen om viss verksamhet med konsumentkrediter och andra författningar som reglerar vår verksamhet. Behandlingen kan emellertid pågå under längre tid om vi bedömer att vi har ett eller flera berättigade intressen av att fortsätta behandlingen som väger tyngre än den registrerades intressen (t.ex. om uppgifterna är nödvändiga för att vi ska kunna tillvarata eller försvara rättsliga anspråk). Normalt innebär detta att personuppgifter avseende våra kunder gallras mellan tre-tio år efter det att vårt förmedlingsuppdrag avslutats.
Andra typer av personuppgifter gallras regelbundet enligt vår gallringspolicy utifrån huruvida behandlingen fortsatt är nödvändig utifrån ändamålen med behandlingen.
Personuppgifter som behandlas för marknadsföring av våra tjänster gallras inom tre år. För att kunna erbjuda kundanpassad marknadsföring och dela information som har kundnytta på individuell nivå så behövs i enskilda fall t.ex. uppföljning på upp till tre år genom mejl. Ett exempel på detta är när kund har haft en betalningsanmärkning som omöjliggjort att få det önskade lånet beviljat – betalningsanmärkningen går bort efter tre år och vi behöver därför anpassa mejlpåminnelser för det.
Särskilt om direktmarknadsföring
Registrerade personer har alltid rätt att anmäla till oss om de motsätter sig att deras personuppgifter används för direktmarknadsföring. Vi har inte för avsikt att göra marknadsföring som stör eller är opersonlig och därmed inte har nytta för den enskilda kunden. Vi är dessutom restriktiva med antalet kontakter för annars urvattnas vår möjlighet att nå ut med viktiga budskap till kunderna.
Mottagare av personuppgifter och personuppgiftsbiträden
För att fullfölja vårt uppdrag mot dig som kund lämnar du samtycke till Ordna Bolån att vidarebefordra till långivarna den information vi inhämtar så att långivarna ska kunna behandla personuppgifterna för avsett ändamål (kreditgivning). Du lämnar också samtycke att i det fall du väljer att gå vidare med ett specifikt låneerbjudande har långivaren rätt att ta kontakt med dig. Vardera part – bank / Ordna Bolån – bestämmer ändamålen för sin behandling av personuppgifter utan inflytande av den andre parten. Ordna Bolån är personuppgiftsansvarig för sin behandling av personuppgifter rörande förmedling av låneansökningar och långivaren är personuppgiftsansvarig för sin behandling av personuppgifter som rör kreditgivning. Vardera Part är ansvarig för sin respektive behandling av personuppgifter och ingen part ska således anses utgöra biträde åt den andre partens vägnar.
Personuppgifter lämnas i samband med att en kund gör en kredit- eller försäkringsansökan ut till banker, och i förekommande fall, försäkringsbolag eller försäkringsförmedlare, som vi samarbetar med och vars grundkrav överensstämmer med kundens ansökan. Vi kan, under förutsättningar som följer av lag, även komma att lämna ut personuppgifter till myndigheter och andra externa parter.
Vi anlitar inom ramen för vår verksamhet uppdragstagare som behandlar personuppgifter för vår räkning. Uppdragstagare anlitas bl.a. för att tillhandahålla tjänster avseende hosting och datalagring (t.ex. molntjänster i USA genom Microsoft Azure), kommunikationslösningar för telefon (Leaddesk – gallras inom 6 månader), sms (Twilio – 7 dagar) och e-post (MailChimp – 3 år) samt personal- och ekonomiadministration. Alla uppdragstagare som behandlar personuppgifter för vår räkning omfattas av personuppgiftsbiträdesavtal som säkerställer att personuppgifter behandlas i enlighet med gällande regelverk. Vi anlitar inom ramen för vår verksamhet en uppdragstagare som hanterar systemkritiska IT-miljöer – uppdragstagaren tillhandahåller tjänster som systemunderhåll och systemutveckling.
För att fullfölja vårt uppdrag mot dig som kund – bland annat genom påminnelser och marknadsföring – delas begränsade delar av dina uppgifter (t.ex. mejladress och förnamn) med MailChimp, Facebook, Microsoft Ads och Google Inc. Denna behandling av dina personuppgifter gör vi med stöd av en så kallad intresseavvägning där vi har bedömt att behandlingen inte kränker din integritet på väsentligt sätt. Du har – enligt nedan – närsomhelst rättigheten att avsäga dig denna marknadsföring varvid dessa uppgifter gallras.
Behandling av personuppgifter i tredje land
Vi strävar efter att vår behandling av personuppgifter så långt som möjligt ska ske inom EU/EES. I viss omfattning sker dock behandlingen i tredje land (bl.a. i USA pga molntjänsten Microsoft Azure). Oavsett i vilket land behandling av personuppgifter sker vidtar vi alla rimliga legala, tekniska och organisatoriska åtgärder för att säkerställa att skyddsnivån är densamma som inom EU/EES. I de fall personuppgifter behandlas utanför EU/EES garanteras skyddsnivån antingen genom ett beslut från EU-kommissionen om att landet ifråga säkerställer en adekvat skyddsnivå eller genom användandet av s.k. lämpliga skyddsåtgärder. Exempel på lämpliga skyddsåtgärder är godkänd uppförandekod i mottagarlandet, standardavtalsklausuler eller bindande företagsinterna regler.
De registrerades rättigheter
Dataskyddsförordningen innehåller regler som innebär att en fysisk person (den registrerade) alltid har rätt att kostnadsfritt få tillgång till de personuppgifter som vi behandlar om denne i ett strukturerat, allmänt använt och maskinläsbart format. I vissa fall finns också rätt för den registrerade att få personuppgifter överförda till sig samt att, när det är tekniskt möjligt, begära att sådan överföring sker direkt från oss till en ny personuppgiftsansvarig. Vidare har den registrerade rätt att få del av uppgifter om bl.a. för vilka ändamål behandlingen sker, varifrån uppgifterna har hämtats, vilka kategorier av uppgifter som behandlas, de mottagare eller kategorier av mottagare till vilka uppgifterna lämnats eller ska lämnas ut, den förutsedda period som behandlingen kommer att pågå samt dennes rättigheter enligt dataskyddsförordningen. Den registrerade har också rätt att begära rättelse av felaktiga personuppgifter och att komplettera ofullständiga uppgifter.
Om vi behandlar personuppgifter trots att behandlingen inte längre är nödvändig utifrån de angivna ändamålen med behandlingen, har den registrerade i regel rätt att begära att vi utan onödigt dröjsmål ska radera uppgifterna. Detsamma gäller när behandlingen grundas på att den registrerade samtyckt till behandlingen. I vissa fall har den registrerade också rätt att begära att vi ska begränsa vår behandling av dennes personuppgifter. Om personuppgifterna lämnats ut av oss till en extern mottagare (t.ex. ett personuppgiftsbiträde, en leverantör/samarbetspartner eller en myndighet) är vi skyldiga att underrätta mottagaren om den registrerades begäran, om detta är möjligt och inte medför en oproportionerlig arbetsinsats.
Vill du ansöka om att få dina uppgifter raderade kan du följa denna länk.
Vill du ansöka om att få en export av de uppgifter vi har sparat kan du följa denna länk.
Om du anser att ett fel begåtts i vår hantering av personuppgifter har du också möjlighet att inge klagomål till Integritetsskyddsmyndigheten (“IMY”, tidigare Datainspektionen).
Kontaktuppgifter
Om du har frågor kring vår behandling av personuppgifter kan du kontakta oss på adressen Ordna AB, Vasagatan 28, 112 20 Stockholm och telefonnumret 020-25 26 26. Du kan även skicka e-post till info@ordnabolan.se.