Personvernerklæring BankID-app

BankID-tjenester i BankID-app

Med BankID-app kan du utføre BankID-tjenester for å identifisere deg, signere noe, logge på eller bekrefte en betaling med BankID.

Du kan også bruke tjenesten «Identitetssjekk» (ID-sjekk) for å legitimere deg ved hjelp av pass eller nasjonalt ID-kort dersom du har blitt bedt om å gjøre dette.

En forutsetning for å bruke BankID-tjenestene er at du allerede har fått utstedt en BankID av din bank. Du kan se hvilken bank som har utstedt din BankID ved å logge inn på «Min BankID» via www.bankid.no/privat/.

Banken din er ansvarlig for behandlingen

Det er banken som har utstedt din BankID som er behandlingsansvarlig når du bruker BankID-app for BankID-tjenester.

Formål med behandlingen

Vi behandler personopplysningene for at du skal kunne bruke appen til BankID-tjenester. Vi bruker også personopplysningene dine i forbindelse med feilretting, for rapportering av svindel, for utarbeidelse av statistikk og til forbedring av applikasjonen.

Disse personopplysningene behandles for BankID-tjenester:

Personalia i form av:

· navn

· fødselsnummer eller D-nummer

· nasjonalitet

Informasjon om din BankID:

· navn på Banken som har utstedt din BankID

· unik identifikator og serienummer for identifisering av deg og din BankID

· tidspunkt for utstedelse, revokering og andre endringer i din BankID

· din BankIDs gyldighetsperiode

· brukermiljø og bruksadferd (BankID svindelmonitorering)

Informasjon fra din BankID-app:

· dato og tidspunkt for når BankID-app ble opprettet og endret

· brukerstatus: i bruk eller blokkert

Informasjon om din (mobile) enhet:

· mobilnummer og mobiloperatør-tilhørighet

· mobile enhets produsent og modell

· enhets ID for varsler/push notifications

· versjon av operativsystem

· nettverkstype

· IP-adresse

· tidssone

· installerte apper med kjente sikkerhetssvakheter

· foretrukket språk

· enhetstilstand

BankID-transaksjoner du har brukt appen til i form av:

· PID (entydig identifikasjon på sertifikatinnehaver)

· navn på brukersted

· handling (identifisering, signering, pålogging eller bekreftelse av en betaling)

· transaksjonsdato og tidspunkt

· dokument som potensielt kan inneholde personlig data (ved BankID signering)

Aggregert statistikk relatert til:

· dato og tidspunkt

· interaksjon

Ved bruk av tjenesten “Identitetssjekk” behandles også:

· dokumenttype – pass eller nasjonalt ID-kort

· utløpsdato/gyldighetstid for pass/ID-kort

· utstederland

· dokumentnummer

Biometriske data (bilder) av bruker:

· ansiktsbilde lest fra chip i pass/ID-kort ved bruk av BankID-app

· ansiktsbilde som er tatt når bruker tar bilde av “bildesiden” i pass/ID-kort

· ansiktsbilde som er tatt med brukerens smarttelefon (under visuell identifisering)

Behandlingsgrunnlag

Behandlingen av personopplysningene dine i BankID-app skjer med grunnlag i din “Avtale om BankID” mellom deg og din bank.

I noen tilfeller bruker vi samtykke som behandlingsgrunnlag. Som for eksempel hvis du bruker tjenesten “Identitetsjekk” der du må samtykke før du gjennomfører legitimering med pass eller nasjonalt ID-kort.

Bruk av leverandører og utlevering til andre

Banken kan bruke databehandlere (for eksempel leverandør av IT-tjenester) til å samle inn, lagre eller på annen måte behandle personopplysninger på sine vegne. I slike tilfeller vil banken inngå avtaler med databehandler for å sikre at behandlingen av opplysningene er i samsvar med personvernregelverket og bankens krav til behandling av personopplysninger. Dette gjelder uavhengig av om banken bruker databehandlere i Norge eller i andre land innen EØS-området. Bruken av databehandlere er ikke å regne som en utlevering av personopplysninger.

Utover dette kan personopplysninger utleveres til politimyndighet eller andre myndigheter hvis det er hjemmelsgrunnlag for det.

Overføring til tredjeland

I noen særtilfeller kan dine opplysninger bli behandlet av en databehandler utenfor EØS-området. Det kreves et gyldig grunnlag for slik overføring i henhold til GDPR, og noen av følgende vilkår må være oppfylt:

· EU-kommisjonen har besluttet at det foreligger et tilstrekkelig beskyttelsesnivå i det aktuelle landet

· Det er truffet andre hensiktsmessige sikkerhetstiltak, og/eller en databehandler har gitt nødvendige garantier om at personopplysningene vil bli behandlet på en trygg måte, for eksempel ved bruk av standardkontrakter (EUs standardklausuler) som er godkjent av EU-kommisjonen, eller databehandleren har gyldige bindende konsernregler (BCR).

· Det dreier seg om unntak i spesielle tilfeller, for eksempel for å oppfylle en avtale med deg eller tilfeller der du gir ditt samtykke til den bestemte overføringen.

Lagring

Personopplysninger vil ikke bli lagret lenger enn det som er nødvendig for å oppfylle formålet med behandlingen. Etter dette vil opplysningene slettes eller anonymiseres, med mindre opplysningene skal eller kan oppbevares utover dette som følge av lov. Opplysninger om dine BankID-transaksjoner vil bli lagret av banken så lenge lovgivningen krever det. Personopplysninger som behandles på grunnlag av ditt samtykke slettes hvis du trekker samtykket tilbake, med mindre det finnes et annet rettslig grunnlag for videre behandling.

Bruk av informasjonskapsler (cookies)

En informasjonskapsel, ofte kalt cookie, er en liten tekstfil som lastes ned og lagres på din telefon når du åpner applikasjonen.

For BankID-app benyttes kun nødvendige informasjonskapsler for grunnleggende funksjonalitet og sikkerhetsformål, og kan ikke velges bort.

Dine rettigheter

Du har rett til å kreve begrensning i behandlingen og kan på visse vilkår protestere mot videre behandling av personopplysninger eller kreve dine personopplysninger overført til deg selv eller annen behandlingsansvarlig (dataportabilitet).

Dersom opplysningene banken har om deg er feil, kan du kreve å få opplysningene rettet, supplert eller slettet. Ved andre spørsmål knyttet til behandling av personopplysninger, ta kontakt med banken på telefon til kundeservice eller via kontaktskjema på bankens nettsider.

Enkelte opplysninger kan du selv korrigere ved å logge inn på” Min BankID” via www.bankid.no/privat/

Personopplysninger som banken behandler på grunnlag av ditt samtykke slettes når du trekker samtykket tilbake, med mindre det er rettslig grunnlag for videre oppbevaring.

Ønsker du å benytte deg av dine rettigheter for innsyn kan du henvende deg til banken du har inngått avtale om BankID med, eller se bankens nettsider for bestilling av innsyn i egne personopplysninger. Du har ikke rett til innsyn i de opplysninger som banken har registrert om deg for å oppfylle sine undersøkelses- og rapporteringsplikter for mistenkelige transaksjoner etter hvitvaskingsloven, og for sikkerhetsarbeid i løsningen.

Når innsynsbestilling er mottatt vil banken svare så snart som mulig, og senest 30 dager etter at banken har mottatt bestillingen din. Hvis særlige forhold ikke gjør det mulig for banken å svare innen 30 dager, vil banken sende et foreløpig svar hvor banken begrunner forsinkelsen, inkludert informasjon om sannsynlig tidspunkt for svar.

Personvernombud

Banken har et personvernombud. Du kan alltid henvende deg til personvernombudet hvis du har spørsmål om behandling av dine personopplysninger.

Informasjon om bankens personvernombud finner du på bankens nettside om personvern.

Klager

Hvis du mener at banken behandler personopplysninger i strid med personvernlovgivningen kan du ta kontakt med banken eller klage til Datatilsynet. Du finner kontaktinformasjon til Datatilsynet på www.datatilsynet.no

Annet

Denne teksten kan bli oppdatert. Siste versjon er alltid tilgjengelig via BankID-app.

 

Privacy Policy – Version 1.4 31.08.2022

BankID services in the BankID app

With the BankID app, you can perform BankID services to identify yourself, sign something, log in or confirm a payment with BankID.

You can also use the "Identity check" service (ID-Check) to identify yourself using a passport or national ID card if you have been asked to do so.

A prerequisite for using the BankID services is that you have already been issued a BankID by your bank. You can see which bank has issued your BankID by logging in to "My BankID" via www.bankid.no/privat/.

 

Your bank is responsible for the processing

It is the bank that has issued your BankID that is the data controller when you use the BankID app for BankID services.

Purpose of processing

We process your personal data so that you can use the app for BankID services. We also use your personal data in connection with error correction, for fraud reporting, for the preparation of statistics and for the improvement of the application.

The following personal data is processed for BankID services:

Personal data in the form of

• name
• national identity number or D-number
• nationality

 

Information about your BankID:

• name of the Bank that issued your BankID
• unique identifier and serial number for identifying you and your BankID
• time of issuance, revocation and other changes in your BankID
• your BankID's validity period
• user environment and usage behavior (BankID fraud monitoring)

 

Information from your BankID app

• date and time when the BankID app was created and changed
• user status: in use or blocked

 

Information about your (mobile) device

• mobile number and mobile operator affiliation
• mobile device manufacturer and model
• device ID for notifications/push notifications
• operating system version
• network type
• IP address
• time zone
• installed apps with known security weaknesses
• preferred Language
• device health

 

BankID transactions you have used the app for in the form of

• PID (unique identification of certificate holder)
• merchant name
• action (identifying, signing, log in, or confirming a payment) 
• transaction date and time
• document that could potentially contain personal data (by BankID signing)

 

Aggregated statistics related to

• date and time
• interaction 
  
  

When using the service "Identity check", the following data are process in addition

• document type – passport or national ID card
• expiry date/period of validity of passport/ID card
• issuing country
• document number

 

Biometric data (images) of user:

• face image read from chip in passport/ID card using BankID app
• facial photo taken when user takes photo of the "photo page" in passport/ID card
• facial image taken with the user's smartphone (during visual identification)

 

Legal basis for processing

The processing of your personal data in the BankID app takes place based on your "BankID Agreement" between you and your bank.

In some cases, we use consent as a legal basis for processing. For example, if you use the "Identity Check" service, you must consent before carrying out legitimation with a passport or national ID card.

 

Use of suppliers and disclosure to others

The bank may use data processors (such as IT service providers) to collect, store or otherwise process personal data on its behalf. In such cases, the bank will enter into agreement with the data processor to ensure that the processing of the information complies with the privacy regulations and the bank's requirements for processing personal data. This applies regardless of whether the bank uses data processors in Norway or in other countries within the EEA. The use of data processors is not to be regarded as a disclosure of personal data.

In addition, personal data may be disclosed to law enforcement or other authorities if there is a legal basis for it.
 

Transfer to third countries

In some special cases, your data may be processed by a data processor outside the EEA. A valid basis for such transfer under the GDPR is required and one of the following conditions must be met:

• The European Commission has decided that there is an adequate level of protection in the country in question
• Other appropriate security measures have been taken, and/or a data processor has provided the necessary guarantees that the personal data will be processed in a secure manner, for example using EU Standard Contractual Clauses approved by the European Commission, or the data processor has valid Binding Corporate Rules (BCR).
• Exceptions apply in special cases, for example to fulfil an agreement with you or cases where you give your consent to the specific transfer.

 

Storage

Personal data will not be stored longer than is necessary to fulfil the purpose of the processing. After this, the information will be deleted or anonymized, unless the information must or can be stored beyond this as a required by law. Information about your BankID transactions will be stored by the bank for as long as required by law.

Personal data processed based on your consent will be deleted if you withdraw your consent, unless there is another legal basis for further processing.

Use of cookies

A cookie is a small text file that is downloaded and stored on your phone when you open the application.

For the BankID app, only necessary cookies are used for basic functionality and security purposes and cannot be opted out.

 

Your rights

You have the right to request restriction of processing and may, under certain conditions, object to further processing of personal data or have your personal data transferred to yourself or another data controller (data portability).

If the information the bank has about you is incorrect, you can request to have the information corrected, supplemented or deleted. For other questions related to the processing of personal data, contact the banks customer service by phone or via the contact form on the bank's website.

You can correct some information yourself by logging in to "My BankID" via www.bankid.no/privat/

Personal data that the bank processes based on your consent is deleted when you withdraw your consent, unless there is a legal basis for further storing.
If you wish to make use of your rights of access, you can contact the bank you have entered into an agreement on BankID with or see the bank's website for ordering access to your own personal information.

You do not have the right to access the information that the bank has registered about you in order to fulfil its investigation and reporting obligations for suspicious transactions under the Anti-Money Laundering Act, and for security work in the solution.

Once the access request has been received, the bank will respond as soon as possible, and no later than 30 days after the bank has received your order. If special circumstances do not enable the bank to respond within 30 days, the bank will send a preliminary response in which the bank justifies the delay, including information about the probable time of response.

Data Protection Officer

The bank has a data protection officer. You can always contact the data protection officer if you have questions about the processing of your personal data.

Information about the bank's data protection officer can be found on the bank's website, in the data protection section.

 

Complaints 

If you believe that the bank processes personal data in violation of privacy legislation, you can contact the bank or complain to the Data Protection Agency. You can find contact information for the Agency on www.datatilsynet.no

 

Other

This text may be updated. The latest version is always available via the BankID app.