GDPR og personvern ved kredittkortbruk i Norge

Introduksjon til GDPR og ditt kredittkort

GDPR trådte i kraft i mai 2018 og representerer en fundamental endring i hvordan persondata er beskyttet i Europa. Reguleringen gjelder for alle selskaper som behandler data fra europeiske borgere, uavhengig av hvor selskapet selv er lokalisert.

For deg som kredittkortbruker betyr GDPR at:

• Bankene din må være transparent om hvilke data de samler og hvordan de brukes
• Du har retten til å få innsyn i data de har om deg
• Du kan be om at data blir slettet under visse omstendigheter
• Du har retten til å protestere mot visse bruksmål av data
• Selskaper må beskytte dine data med forsvarlig sikkerhet

Forståelse av disse rettighetene er viktig for å beskytte seg selv og holde bankene ansvarlige.

Hva er GDPR? En grundig forklaring

GDPR står for General Data Protection Regulation – en EU-regulering som gjelder for alle EU-medlemsstater pluss Norge, Island, og Liechtenstein. Det er den strengeste personvernlovgivning i verden, og det har blitt en modell for lignende reguleringer globalt.

Hovedprinsippene i GDPR

GDPR bygger på flere grunnleggende prinsipper:

1. Lovlighet, rettferdighet og transparens

Selskaper må kun samle og behandle data på en lovlig måte, for legitime formål, og de må være åpen og transparent om det. De kan ikke bruke data på måter som overrasker eller skader folk.

2. Formålsbegrensing

Data samlet for ett formål kan ikke brukes for annet formål uten eksplisitt samtykke. For eksempel, hvis en bank samler data for kreditttsikring, kan de ikke bruke det til markedsføring uten å spørre deg først.

3. Dataminimalisering

Selskaper skal bare samle data som er nødvendig for sitt formål – ikke mer. En bank trenger ikke vet ditt fullstendige personnavn, adresse, og inntekt for å godkjenne et kredittkort; de trenger bare informasjonen som er relevant for å vurdere kredittrisikoen.

4. Nøyaktighet

Data som samles skal være nøyaktig og oppdatert. Hvis data er feil, har du retten til å korrigere det.

5. Lagringsbegrensning

Data skal ikke lagres lenger enn nødvendig. Når formålet er oppnådd, skal data slettes eller anonymiseres.

6. Integritet og konfidensialitet

Data skal beskyttes mot uautorisert tilgang, modifisering, eller sletting. Selskaper må implementere tilpastet sikkerhet.

Personvern når du bruker kredittkort

Når du søker om et kredittkort og bruker det, oppstår det flere personvernspørsmål. La oss gå gjennom dem punkt for punkt.

Under søknaden

Når du søker om et kredittkort, må du gi bank følgende informasjon:

• Fullt navn
• Personnummer
• Adresse
• Telefonnummer
• E-postadresse
• Arbeidsgiver og yrkestitel
• Årlig inntekt
• Eksisterende gjeld
• Bankkonto informasjon

Det er mye informasjon, og det er naturlig å være bekymret for hvor det går og hvordan det blir brukt. Under GDPR, må banken:

• Få ditt eksplisitte samtykke til å samle og behandle data
• Være transparent om hvordan data skal brukes
• Beskytte data med sikkerhet som er rimelig gitt risikonivået
• Bare dele data med tredjepart hvis det er nødvendig for å behandle søknaden

Under bruk av kortet

Hver gang du bruker kortet ditt, genereres data:

• Handleested (hvilken butikk eller nettsteder du handler hos)
• Transaksjonsbeløp
• Dato og klokkeslett
• I noen tilfeller, produktet eller tjenesten kjøpt

Banken bruker denne dataen til å:

• Behandle transaksjonene din
• Oppdage svindel
• Overholde lovkrav (anti-hvitvasking, terrorfinansiering prevention)
• Forbedre sine tjenester
• Markedsføre produkter (hvis du har samtykket)

Etterbehandling

Selv etter at transaksjonene er fullført, lagrer banken data for flere år – vanligvis minst 5-6 år. Dette skyldes lovkrav om journalføring og mulig søksmål.

Hvilke spesifikke data samler bankene inn?

Dine rettigheter under GDPR

GDPR gir deg flere rettigheter angående dine data. La oss gå gjennom hver en.

Rett til innsyn

Du har retten til å vite hva data banken har om deg. Du kan be banken om en kopi av alle persondata de lagrer. Banken må gi denne informasjonen innen 30 dager, vanligvis gratis.

Hvordan: Kontakt banken sin kundeservice, eller se etter en «Data subject request» eller «Rett til innsyn» knapp på deres nettsted. Fyll ut skjemaet med ID-bevis.

Rett til retting

Hvis data om deg er feil eller ufullstendig, har du retten til å få det korrigert. For eksempel, hvis banken har en feil adresse for deg, kan du kreve at det blir fikset.

Hvordan: Kontakt banken og spesifiser hvilken data som er feil. Be om retting. Banken må respondere innen 30 dager.

Rett til sletting («Retten til å bli glemt»)

Under visse omstendigheter kan du be banken om å slette alle data om deg – det som kalles «retten til å bli glemt».

Omstendigheter der sletting kan kreves:

• Data er ikke lenger nødvendig for formålet det ble samlet for
• Du trekker tilbake samtykke du hadde gitt
• Du protesterer mot behandlingen og banken har ingen legitim grunn til å fortsette
• Data er behandlet ulovlig
• Sletting er påkrevd av lov

Viktig unntak: Banken kan nekte sletting hvis de har en juridisk forpliktelse til å beholde dataene. For eksempel, for forbrytelsesforebygging eller etterlevelse av anti-hvitvasking regler, kan banken være påkrevd å beholde data i 5-6 år uavhengig av din forespørsel.

Rett til begrenset behandling

Du kan be banken om å begrense hvordan de behandler dine data – for eksempel, bare bruke dem for det opprinnelige formålet, ikke markedsføring eller profiling.

Rett til portabilitet

Du har retten til å motta dine data i et maskinlesbar format, eller be banken om å overføre det direkte til en annen enhet. Dette er spesielt nyttig hvis du vil bytte banker.

Rett til å protestere

Du kan protestere mot visse bruksmål av data – spesielt markedsføring og profiling for automatisert beslutningstaking. For eksempel, hvis banken bruker algoritmer til å bestemme hvem som skal få tilbud, kan du protestere og be om human review.

Sikkerhet og databeskyttelse – Hva bankene må gjøre

Under GDPR, må bankene implementere «passende tekniske og organisatoriske tiltak» for å beskytte dine data. Her er hva det betyr i praksis:

Kryptering

Data må krypteres – både når det ligger lagret og når det overføres. Når du logger inn på banken sin nettsted, ser du «HTTPS» i URLen – det «S» betyr datakommunikasjonen er kryptert.

Tilgangskontroll

Ikke alle ansatte i banken skal ha tilgang til dine data. Banken skal implementere «rolle-basert tilgangskontroll» – hver ansatt får tilgang til bare de data som er nødvendig for deres jobb.

Fysisk sikkerhet

Serverne der data lagres må være i sikrede rom med bare-autorisert tilgang, videokamera, og adgangskort.

Sikkerhetskopi

Hvis det oppstår et datasenterskadet eller angrep, må banken ha sikkerhetskopier av dine data slik at de kan gjenopprettes.

Personvernvurdering ved databehandling

Før banken implementerer nye behandlinger av data, må de foreta en «Data Protection Impact Assessment» (DPIA) – en analyse av risikene og hvordan de skal minimaliseres.

Meldeplikt ved datalekkasje

Hvis en datalekkasje oppstår og dine data blir eksponert, må banken rapportere det til personvernmyndighetene innen 72 timer. De må også rapportere det til deg hvis det er høy risiko for skade.

Deling av data med tredjeparter

Bankene deler dine data med tredjeparter i flere tilfeller. Forståelse av dette er viktig for ditt personvern.

Betalingsleverandører

Banken din bruker eksterne betalingsleverandører for å behandle transaksjoner. Disse leverandørene har tilgang til transaksjonsinformasjonen din.

Kredittkortnettverk

Hvis kortet ditt er Visa eller Mastercard, deler banken transaksjonsinformasjonen din med Visa/Mastercard.

Kredittopplysningsbyråer

Banken rapporterer din betalingshistorie til kredittopplysningsbyråer som Gjeldsregisteret. Dette brukes av andre bankene når du søker om kreditter.

Eiere av virksomheter der du handler

Når du handler, mottar forhandleren din navn, beløp, og dato. De kan bruke dette til å tilpasse tilbud til deg.

Politiet og myndigheter

Under visse omstendigheter – mistanke om krimen, skatteetterforskning – kan politiet eller myndigheter dine data.

Datatransferer ut av EØS

En kontroversielt område er deling av data med selskaper utenfor EU/EØS. GDPR tillater det bare hvis der området har «tilstrekkelig databeskyttelse» eller hvis det er implementert «Standardkontraktklausuler».

Praktisk guide til å beskytte personvernet ditt

1. Les personvernerklæringen

Før du søker om ett kredittkort, les banken sin personvernerklæring. Det er teknisk, men det forteller deg eksakt hvordan de behandler data din og dine rettigheter.

2. Velg sterke passord

Bruk et unikt, sterkt passord for nettsiden din bank. Ikke gjenbruk passord fra andre steder. En passordhåndterer som Bitwarden eller 1Password kan hjelpe.

3. Slå på to-faktor godkjennelse

De fleste banker tilbyr to-faktor godkjennelse (2FA) – vanligvis SMS eller en app-basert kode som du må veri når du logger inn. Slå det på – det gjør kontoen din langt sikrere.

4. Vær forsiktig med offentlig WiFi

Unngå å logger inn på banken din over offentlig WiFi. Hvis du må, bruk en VPN for å kryptere datakommunikasjonen din.

5. Overvåk kontoutskrifter

Sjekk dine kredittkortkontoutskrifter minst månedlig. Se etter transaksjoner du ikke gjenkjenner. Jo tidligere du oppdager svindel, desto lettere er det å hanskes med det.

6. Vær forsiktig med phishing

Bankene dine vil aldri be deg om å verifisere personnummer, passord, eller kortdetaljene via e-post eller SMS. Hvis du mottar en e-post som ser ut til å være fra banken, som ber om dette, er det phishing. Slett det og rapporter det til banken.

7. Bruk kryptert kommunikasjon

Når du kommuniserer med banken om sensitiv informasjon, bruk deres sikre meldingssystem, ikke e-post.

8. Fritak deg fra markedsføring

Du kan gi samtykke til at banken bruker data din til markedsføring. Hvis du ikke vil det, fritak deg. De fleste banker tillater deg å gjøre det gjennom deres nettsted eller ved å ta kontakt.

9. Be om data innsyn årlig

En gang per år, be banken om en kopi av alle data de har om deg. Sjekk for feil eller data du ikke forventet at de hadde.

10. Kjenn dine rettigheter

Vær kjent med dine rettigheter under GDPR – innsyn, retting, sletting, begrenset behandling, og protestrettighetene. Hvis du tror banken bryter disse rettighetene, kontakt personvernmyndighetene (Datatilsynet i Norge).

Spørsmål og svar om GDPR og personvern