Personvernerklæring
1. Personvern i FP
Her følger generell informasjon om FPs behandling av personopplysninger.
Informasjonen skal gi svar på spørsmål både medlemmer og andre måtte ha til hvordan personvern håndteres i FP.
FP er avhengig av å behandle personopplysninger for å kunne betjene medlemmene. FPs behandling av personopplysninger skjer innenfor rammen av de generelle reglene i personopplysningsloven, konsesjoner fastsatt av Datatilsynet og særskilte lovregler om behandling av personopplysninger.
En personopplysning er enhver opplysning eller vurdering som kan knyttes til en person. FP utfører i hovedsak sin behandling av personopplysninger fordi det er nødvendig for å oppfylle avtaler inngått med våre medlemmer. Dersom ikke annet hjemmelsgrunnlag foreligger, vil FPs behandling basere seg på frivillig, uttrykkelig og informert samtykke fra medlemmet. Samtykke er ikke nødvendig for personopplysninger som registreres og brukes for å gjennomføre en avtale eller utføre et oppdrag fra medlemmet. I en del tilfeller kan personopplysninger også behandles på grunnlag av hjemmel i andre lover, eller fordi det er nødvendig av andre grunner som angitt i personopplysningsloven.
2. Behandlingsansvarlig
FP er ansvarlig for behandlingen av personopplysningene dersom ikke annet er opplyst. Ansvaret tilligger FPs administrerende direktør, som bestemmer formålet med behandlingen og hvilke hjelpemidler og sikringstiltak som skal benyttes.
For FPs forsikringsagenturer er det forsikringsselskapene som FP er agent for, som bestemmer formålet med behandlingen av personopplysningene og som er behandlingsansvarlig. FP vil være databehandler. For eksempel vil forsikringsselskapet If og Sparebank 1 være behandlingsansvarlig for de opplysningene som samles inn i forbindelse med å forberede et tilbud om forsikring fra FPs forsikringsagenturer.
3. Formålet med FPs behandling av personopplysninger
FP behandler personopplysninger for følgende formål:
- 3.1. Administrasjon av medlemskap, fakturering og gjennomføring av oppdrag og tjenester for medlemmer.
FP må behandle personopplysninger for å kunne drive medlemsadministrasjon, fakturering og for å oppfylle de forpliktelser FP har påtatt seg for gjennomføring av oppdrag og tjenesteavtaler med våre medlemmer. Et eksempel på slike oppdrag er å gjennomføre betalingstransaksjoner til medlemmets bankkonto. - 3.2. Medlemsoppfølging og informasjon
FP vil gi medlemmer generell informasjon om hvilke tjenester FP kan yte. I tillegg vil FP benytte nøytrale personopplysninger som navn, kontaktopplysninger, fødselsdato og hvilke tjenester medlemmet allerede har inngått avtale om, til å informere spesifikt om nye eller eksisterende tilbud.
Medlemmer kan ved henvendelse til FP, reservere seg fra å bli tilsendt slik informasjon. - 3.3. Lånesøknader og kredittinformasjon
Når et medlem søker om lån i FP, innhenter og behandler FP kredittopplysninger og andre personopplysninger i forbindelse med beregning av medlemmets betjeningsevne og sikkerhetsstillelse. FP vil innhente slik informasjon fra medlemmet selv (for eksempel kopi av selvangivelse og utskrift fra gjeldsregister) og fra kredittopplysningsforetak. Dette gjøres for å gi FP et mest mulig presist og dekkende bilde av risikoen knyttet til låneopptaket. - 3.4. Forebygging og avdekking av straffbare handlinger
FP har plikt til å bidra til å forebygge, avdekke, oppklare og håndtere bedragerier og andre straffbare handlinger, som for eksempel terrorfinansiering eller hvitvasking. Hvitvasking skjer når utbytte fra straffbare handlinger forvandles til midler som fremstår som lovlig ervervet gjennom transaksjoner eller på annen måte. Et av formålene med FPs behandling av personopplysninger er dermed å se til at FPs tjenester ikke kan bli misbrukt til slike formål.
FP behandler personopplysninger for å oppfylle undersøkelses- og rapporteringsplikten for mistenkelige transaksjoner etter hvitvaskingsloven. FP er pålagt å rapportere mistenkelige opplysninger og transaksjoner til Enhet for finansiell etterretning (EFE) hos Økokrim.
Opplysninger til dette arbeidet kan oppbevares i inntil ti år etter at de er registrert, og kan innhentes fra eller utleveres til banker og finansinstitusjoner, politiet og andre offentlige myndigheter. - 3.5. Administrasjon og oppfølging av ansattforhold
FP behandler også personopplysninger om nåværende og tidligere ansatte i den hensikt å drive administrasjon av ansattes arbeidsforhold og å oppfylle FPs forpliktelser.
4. Hvilke personopplysninger FP behandler
FP vil behandle opplysninger som er relevante for de formål som er nevnt under punktet «Formålet med FPs behandling av personopplysninger».
FP behandler ikke sensitive personopplysninger om medlemmene uten at det foreligger en klar hjemmel for det, slik det for eksempel kan gjøre i forbindelse med forebygging og avdekking av straffbare handlinger eller ved inngåelse av avtale om for eksempel livsforsikring.
5. Informasjon og innsynsrett
Informasjon om medlemmets avtaler med FP vil i hovedsak bli gjort tilgjengelig i medlemmets nettbank. Dersom medlemmet ikke har nettbank eller ikke på annen måte kan lese elektroniske dokumenter, vil informasjonen gis på papir.
Medlemmer kan ved skriftlig og undertegnet henvendelse til FP kreve innsyn i øvrige personopplysninger FP har registrert om medlemmet. FP vil ikke gi ut opplysninger om hvordan FPs systemer sikres, dersom deling av slike opplysninger vil svekke sikkerheten.
6. FPs innhenting av personopplysninger
FP vil som regel innhente opplysninger direkte fra medlemmet. Informasjon om medlemskap i foreninger og lag innhentes fra respektive foreninger og lag. Dersom det innhentes opplysninger fra en annen tredjepart vil medlemmet bli varslet så lenge det ikke er snakk om informasjon FP er lovpålagt å innhente. Varsel vil heller ikke gis dersom dette er umulig, uforholdsmessig vanskelig, eller medlemmet allerede kjenner til informasjonen varselet skulle inneholdt. Som eksempel på slike tredjeparter kan nevnes offentlige institusjoner og registre, kredittopplysningsforetak eller banker, der det er nødvendig.
7. Personopplysninger som registreres av FP
Når FP har innvilget medlemskap vil det registreres opplysninger om medlemmet og andre personer med tilknytning til medlemsforholdet, for eksempel disponenter, medlåntakere etc. Opplysningene vil forekomme i FPs elektroniske systemer, men kan også finnes i fysiske dokumenter.
FP vil registrere personopplysninger om personer FP har avslått medlemskap i inntil 12 mnd., slik at vedkommende kan få beskjed om avslaget, og FP kan dokumentere forholdet i ettertid.
8. FPs utlevering av personopplysninger
FP har i noen tilfeller en plikt til å utlevere personopplysninger til offentlige myndigheter eller andre utenforstående. Slik utlevering vil kun finne sted der det eksisterer en lovbestemt opplysningsplikt eller opplysningsrett. Så lenge lovgivningen tillater det og FPs taushetsplikt ikke er til hinder for det, kan personopplysninger også bli utlevert til banker og finansforetak eller andre samarbeidspartnere til bruk innenfor de formål som er angitt for vår behandling av personopplysninger. Alle ansatte i FP er underlagt taushetsplikt, og signerer taushetserklæring før det gis tilgang til personopplysninger. Firmaer som driver vedlikehold på FPs systemer er også underlagt taushetsplikt.
FPs overføring av opplysninger til databehandlere, for eksempel inkassotjenester, er ikke å anse som utlevering. Slik overføring skjer på grunnlag av en gjensidig forpliktende avtale mellom FP og leverandøren, en såkalt databehandleravtale.
I tilfeller der FP på vegne av medlemmet utfører betalingsoppdrag til eller fra utlandet vil visse personopplysninger nødvendigvis måtte utleveres til den eller de utenlandske banker som er del av transaksjonskjeden.
Lovgivningen i landet hvor den aktuelle banken holder til vil i slike tilfeller regulere hvilke personopplysninger som kan utleveres til offentlige myndigheter eller kontrollorganer der, for eksempel for å ivareta landets skattelovgivning eller å forebygge straffbare handlinger
9. Sletting av personopplysninger
Personopplysninger skal slettes eller anonymiseres når formålet med den enkelte behandling er oppfylt.
Det kan likevel forekomme at opplysningene vil bli oppbevart i en lengre periode, for eksempel på bakgrunn av pålegg i andre lover enn personopplysningsloven. Oppbevaringsplikten etter regnskapsloven er et av mange eksempler på dette.
Når et medlemskap avsluttes, vil registrerte personopplysninger med hjemmel i blant annet regnskapsloven, lagres av FP i 10 år. Deretter vil personopplysningene slettes og transaksjonsopplysninger anonymiseres slik at de ikke lenger kan knyttes til det tidligere medlemmet.
FP vil lagre informasjon om medlemmer som blir ekskludert også etter 10 år. Slik informasjon vil være begrenset til beskrivelser av grunnlaget for eksklusjonen og styrets beslutning om eksklusjon slik at FP kan dokumentere forholdet i ettertid.
10. Retting av personopplysninger
Hvis FP oppdager at det behandles personopplysninger som er uriktige, ufullstendige eller som det mangler hjemmel for å behandle, skal opplysningene rettes eller om nødvendig slettes. Dersom medlemmet har mistanke om at det behandles personopplysninger som er uriktige, ufullstendige eller som mangler hjemmel, kan FP kontaktes angående dette. FP vil i så tilfelle ta stilling til hvorvidt det hefter noen feil ved opplysningene, og eventuelt rette eller slette disse. Dersom opplysningene har betydning som dokumentasjon, skal FP sørge for at det suppleres med korrekte opplysninger.
11. Sikring av personopplysninger
Av hensyn til ikke å svekke sikkerheten for personopplysninger om våre medlemmer eller ansatte kan FP ikke gå i detalj om hvordan opplysningene sikres. Det er likevel et klart mål for FP å sørge for en betryggende og tilstrekkelig sikker behandling av personopplysninger, enten det foregår gjennom sikring av elektroniske systemer, fysisk sikring av lokaler eller ved hjelp av andre virkemidler.
12. Kommunikasjon av opplysninger hvor konfidensialitet er påkrevd
Av sikkerhetshensyn ønsker vi å opplyse om at sending og mottak av e-post fra ordinære e-postkontoer uten kryptering ikke innebærer en tilstrekkelig sikker formidling av e-postens innhold.
Det må ikke sendes e-post som inneholder personnummer eller andre personopplysninger som krever beskyttelse. For formidling av slik informasjon henvises det til postkassen i nettbank, eller bruk av Digipost.