Integritetspolicy BankID

Version 1.1 2018-05-17

For English click here.

  1. Allmänt
    1. BankID är en e-legitimerings- och underskriftstjänst (”BankID” eller ”Tjänsterna”) som gör det möjligt för företag, banker, organisationer och myndigheter att både identifiera och ingå avtal med privatpersoner på Internet. BankID är en elektronisk ID-handling som är jämförbar med pass, körkort och andra fysiska legitimationshandlingar.
    2. BankID utfärdas av någon av de banker som ingår i BankID-samarbetet och det är i huvudregel din bank som utfärdat ditt BankID (”Banken”) som är personuppgiftsansvarig för dina personuppgifter. Finansiell ID-Teknik BID AB (”vi” eller ”vår”) är personuppgiftsbiträde till Banken avseende behandlingen av dina personuppgifter inom ramen för Tjänsterna. Vi äger, förvaltar och vidareutvecklar Tjänsterna och är leverantör av Tjänsterna till Banken. Vi behandlar uteslutande dina personuppgifter på uppdrag av Banken och i enlighet med Bankens instruktioner, med undantag för den behandling som beskrivs i punkt 1.5.
    3. Vi värnar om din personliga integritet och strävar efter att alltid skydda dina personuppgifter på bästa sätt. Denna integritetspolicy (”Integritetspolicyn”) beskriver vilken slags information om dig som behandlas inom ramen för Tjänsterna, hur vi får den, hur den används, hur den delas och vilka åtgärder som har vidtagits för att skydda dina personuppgifter. Vi beskriver också vilka rättigheter du har beträffande dina personuppgifter.
    4. När du använder Tjänsterna kan ett flertal aktörer involveras såsom Banken eller den aktör som tillhandahåller den e-tjänst du väljer att använda ditt BankID hos. Integritetspolicyn gäller enbart den behandling som vi kan komma att utföra i egenskap av personuppgiftsbiträde (eller personuppgiftsansvarig enligt punkt 1.5) och beskriver själva användningen av BankID-tjänsten. Vi rekommenderar dig därför att även läsa andra aktörers integritetspolicyer som du kan komma att beröras av i samband med att du använder BankID, exempelvis Banken och den aktör som tillhandahåller den e-tjänst som du väljer att använda ditt BankID hos.
    5. Vi utför vård av det register som består av utfärdade BankID som vi hanterar på uppdrag av Banken. Vi är personuppgiftsansvarig endast för denna behandling. Behandlingen görs i säkerhetssyften och består av att vi blockerar och upprättar en spärrlista över avlidna användare som inte längre kan utnyttja Tjänsterna, samt för att undvika att annan utnyttjar Tjänsterna i sådan användares namn. Denna behandling beskrivs ytterligare i punkt 4.4.
  2. Vilka vi är
    1. Finansiell ID-Teknik BID AB startades 2002 och är ett teknikbolag som äger, förvaltar och vidareutvecklar BankID. Vi ägs av Danske Bank, Handelsbanken, Ikano Bank, Länsförsäkringar Bank, SEB, Skandiabanken och Swedbank. Våra kunder är de flesta av de stora svenska bankerna, som i sin tur säljer och förmedlar BankID till myndigheter, företag, organisationer och privatpersoner. Alla banker som utfärdar BankID framgår av https://www.bankid.com/kontakt/utfaerdare.
    2. Finansiell ID-Teknik BID AB har följande organisationsnummer och kontaktuppgifter:
      org. nr 556630-4928
      +46 8 441 81 50
      produktinfo@bankid.com
      Kungsgatan 33, 111 56 Stockholm.
    3. Om du har frågor om hur dina personuppgifter samlas in, används, skyddas och delas eller om du vill utöva dina rättigheter enligt punkt 8 är du välkommen att höra av dig till Banken eller vårt dataskyddsombud. Du kan nå dataskyddsombudet på:
      +46 8 441 81 50
      dpo@bankid.com
  3. Insamling av personuppgifter
    1. Vilka personuppgifter som behandlas
      På uppdrag av Banken behandlar vi följande personuppgifter som du lämnat till Banken eller som vi samlar in när du använder Tjänsterna. Dina personuppgifter som behandlas utgörs av
      1. Förnamn, efternamn och personnummer;
      2. Vilken bank som utfärdat ditt BankID;
      3. Vilken tillhandahållare av e-tjänst du har legitimerat dig eller skrivit under dokument hos;
      4. Teknisk information vid utgivning eller användning som tidpunkt, IP-adress, typ av BankID samt typ och version av mobiltelefon eller dator;
      5. Information om att vi kan sända notifieringsmeddelanden till dig till via din mobiltelefons notifieringsfunktion.
      6. Geografisk platsinformation vid tillfället du skaffar ditt BankID och vid tillfälle du använder ditt BankID.
    2. Hur dina uppgifter samlas in
      1. Banken genomför noggrann fysisk identifiering av dig och registrerar dina uppgifter när du blir kund i banken och kontrollerar dessa uppgifter mot folkbokföringen. Vid utgivning av ditt BankID är det din bank som för över dina personuppgifter till oss så att ditt BankID kan skapas.
      2. Vi får också uppdateringar från Statens personadressregister (SPAR) med information om förändringar i folkbokföringen för att kunna utföra den registervård som beskrivs i kap 4.4.
  4. Ändamålen för behandlingen
    På uppdrag av Banken behandlar vi dina uppgifter för de ändamål som beskrivs nedan i denna punkt 4. Dina uppgifter kommer inte att användas på ett sätt som är oförenligt med det ändamål som uppgiften samlades in för. Notera att vissa uppgifter kan användas även om du inte lämnat ditt samtycke, om uppgifterna behövs för att kunna tillhandahålla Tjänsterna eller om Bankens berättigade intresse av att behandla dina uppgifter väger tyngre än dina.
    1. Tillhandahålla Tjänsterna
      1. Du kan välja att använda BankID för elektronisk legitimering eller underskrift hos flertalet tillhandahållare av e-tjänster såsom företag, banker, organisationer och myndigheter. Dina personuppgifter används för att kunna säkerställa att rätt person använt e-legitimationen BankID gentemot sådana tillhandahållare av e-tjänster och tillhandahållaren får ta del av dina personuppgifter i form av namn, personnummer och namnet på din bank. Denna behandling görs för att fullgöra avtalet om tillhandahållandet av Tjänsterna mellan Banken och dig.
      2. När du använder BankID behandlas även namnet på den tillhandahållare av e-tjänst du legitimerar dig hos eller utför en elektronisk underskrift mot. Det namn på tillhandahållaren av e-tjänst som sparas är det namn som visas för dig i BankID-appen. Inga uppgifter om varför du har gjort en legitimering eller underskrift sparas. Beroende på var du väljer att använda ditt BankID kan därför namnet avslöja så kallade känsliga uppgifter om dig, såsom exempelvis etniskt ursprung, politiska, religiösa eller filosofiska engagemang eller medlemskap i fackförening eller uppgifter om din hälsa eller sexualitet. Det är helt upp till dig var du väljer att legitimera dig eller underteckna dokument. Denna behandling baseras på ditt samtycke.
    2. Förbättra Tjänsterna
      På uppdrag av Banken kommer vi behandla dina uppgifter för att ta fram exempelvis aggregerad/anonym information för att förbättra Tjänsterna, göra Tjänsterna mer användarvänliga genom att exempelvis åtgärda buggar, ta fram faktureringsunderlag mot Banken, ändra gränssnitt osv, samt övriga förbättringsåtgärder. Denna behandling är nödvändig för Bankens och vårt berättigade intresse av att löpande förbättra Tjänsterna. Statistik över BankID-användningen publiceras regelbundet på vår hemsida www.bankid.com/om-oss/statistik.
    3. Förhindra missbruk
      1. Dina uppgifter kan också användas för att förhindra missbruk av Tjänsterna eller för att förhindra, förebygga eller utreda brott. Med missbruk avses bland annat bedrägeri eller försök till olovligt användande av annans BankID, olovlig identitetshantering eller andra åtgärder som är förbjudna enligt lag. Denna behandling är nödvändig för Bankens berättigade intresse av att undvika och förhindra att du blir utsatt för ID-stöld eller att Tjänsterna missbrukas samt för att fullgöra Bankens rättsliga skyldigheter.
      2. Vidare behandlas och analyseras uppgifter om ditt användarbeteende i de syften som beskrivs ovan, det vill säga att förhindra att Tjänsterna missbrukas och för att skydda dig mot olovlig identitetshantering eller ID-stöld. Denna behandling kan leda till ett automatiserat beslut som innebär att Tjänsterna inte kan användas. Denna behandling baseras på avtalet mellan dig och Banken.
    4. Registervård
      1. Dina uppgifter kommer också användas för sådan behandling som beskrivs i punkt 1.5. Syftet med denna behandling är att spärra BankID för personer som avskrivs från folkbokföringen i huvudsak på grund av att personen har avlidit, samt förhindra att ett BankID ställs ut för en sådan användare. De personuppgifter som vi behandlar för detta ändamål är de personuppgifter som lämnas från Statens personadressregister (SPAR) vilket i första hand består av ditt namn, personnummer och adress. Denna hantering sker varje gång dina uppgifter i folkbokföringen ändras. Så snart vi har utfört den beskrivna registervården raderas samtliga personuppgifter vilket i praktiken innebär att dina personuppgifter behandlas i detta syfte under en mycket begränsad period.
  5. Hur dina uppgifter delas
    Dina uppgifter delas inte med någon tredje part förutom på det sätt som beskrivs nedan.
    1. Tjänsteleverantörer. Banken kan använda tredje parter för att hantera en eller flera aspekter av sin verksamhet, inklusive behandling eller hantering av personuppgifter. Banken har i detta syfte anlitat oss för att tillhandahålla Tjänsten till dig och Bankens övriga kunder. Vi kan också komma att använda tredje parter för samma syften. Dina personuppgifter kan därför komma att delas med dessa tredje parter när de hanterar teknisk drift eller applikationsdrift av Tjänsterna. När Banken eller vi använder oss av tjänsteleverantörer inom ramen för Tjänsterna, upprättar Banken och/eller vi personuppgiftsbiträdesavtal och utför andra lämpliga åtgärder för att säkerställa att dina personuppgifter behandlas på ett sätt som överensstämmer med denna Integritetspolicy.
    2. Till annan bank i BankID-samarbetet. Banken kan lämna över uppgifter till andra banker i BankID-samarbetet. Uppgifterna lämnas för att lämnandet är nödvändigt för uppfyllandet av det berättigade intresset hos bankerna i BankID-samarbetet av att undvika att ditt BankID missbrukas och för att bankerna ska kunna försvara rättsliga anspråk eller bevaka sin rätt.
    3. Tillhandahållare av e-tjänst. När du använder ditt BankID i en e-tjänst delas dina personuppgifter med denna tillhandahållare av e-tjänst som du använder Tjänsterna hos, det vill säga den part du legitimerar dig mot eller signerar dokument med. Dina uppgifter delas för att det är nödvändigt för att Banken ska kunna fullgöra sitt avtal med dig.
    4. Banken och vi kan även dela dina personuppgifter i de fall då Banken eller vi är skyldiga att göra det enligt lag.
  6. Hur dina uppgifter skyddas
    1. Dina personuppgifter lagras på system som endast är tillgängliga för Banken, våra anställda och de tjänsteleverantörer som behöver uppgifterna för sin tjänsteutövning. För att skydda dina personuppgifter mot obehörig åtkomst, obehörigt utlämnande och missbruk vidtas lämpliga skyddsåtgärder och säkerhetsnormer upprätthålls. System där personuppgifter behandlas är säkra servrar med begränsad åtkomst och all kommunikation sker med säker kryptering. Vidare används tekniska verktyg som exempelvis brandväggar och övervakningsverktyg och all personal som kan komma i kontakt med dina personuppgifter är utbildade i vikten av att upprätthålla säkerhet och sekretess i förhållande till de personuppgifter som behandlas.
    2. Varje gång personuppgifter lämnas över till den tillhandahållare av e-tjänst, där du väljer att använda ditt BankID mot, så sker alltid överföringen av personuppgifterna krypterat med en teknik som kallas SSL och enbart till en säkert identifierad tillhandahållare av e-tjänst med giltigt avtal att använda Tjänsterna i sin verksamhet.
    3. Via inloggning till din internetbank så kan du själv komma åt och se information om det eller de BankID som har ställts ut till dig och dessa uppgifter presenteras via en krypterad förbindelse med din webbläsare, så kallad https-teknik, så att ingen obehörig kan komma åt uppgifterna.
  7. Lagringsperiod
    1. Generellt sett sparas dina uppgifter för den tid som dessa är nödvändiga för de ändamål som uppgifterna ursprungligen samlades in för eller som annars krävs enligt tillämplig lag.
    2. Banken lagrar uppgifter kring utgivning eller spärr av ett BankID i 10 år efter att giltighetsdatum för BankID har passerats i syfte att uppfylla sina rättsliga förpliktelser enligt regelverket för Svensk e-legitimation. Det som sparas är ditt namn, personnummer, vilken bank du har skaffat BankID hos och viss teknisk information kring utgivningen som exempelvis IP-adress.
    3. Banken lagrar uppgifter kring användning av BankID i 5 år efter transaktionen i syfte att uppfylla sina rättsliga förpliktelser enligt lag. Det som sparas är uppgift om vems BankID som användes, om det var en legitimering eller en underskrift som utfördes samt namnet på tillhandahållaren av e-tjänsten samt viss teknisk information kring användningstillfället som exempelvis IP-adress.
  8. Dina rättigheter
    1. Du har ett antal rättigheter beträffande behandlingen av dina personuppgifter som du kan göra gällande mot Banken. Dessa rättigheter beskrivs i detta avsnitt. För att göra gällande dessa rättigheter måste du vända dig till Banken. Notera att Finansiell ID-Teknik BID AB är personuppgiftsbiträde i förhållande till Banken och att du alltid ska vända dig till Banken avseende behandlingen av dina personuppgifter.
    2. Du har rätt att få besked och information om vilka personuppgifter som behandlas om dig, oavsett hur dessa samlats in. Du kan göra detta genom att vända dig till Banken t.ex. genom att logga in på din internetbank där det finns information om vilka BankID som har blivit utställda med ditt personnummer.
    3. Du har alltid möjlighet att rätta dina personuppgifter om de är felaktiga genom att vända dig till Banken. Enklast gör du detta genom att kontakta Banken eller genom att via din internetbank spärra ditt BankID och sedan skaffa ett nytt BankID med rätt personuppgifter.
    4. Du har rätt att begära att dina personuppgifter raderas eller att behandlingen av dina personuppgifter begränsas. Om du vill utnyttja dessa rättigheter ska du vända dig till Banken. Notera dock att dina uppgifter kan komma att fortsätta att behandlas i den mån Banken har en laglig grund att behandla dina personuppgifter, t.ex. om det är nödvändigt för att fullgöra avtal med dig.
    5. Du har rätt att när som helst invända mot Bankens behandling av dina personuppgifter om Bankens behandling grundar sig på en intresseavvägning, det vill säga att Banken haft ett berättigat intresse av att behandla dina personuppgifter. Om du invänder får dina personuppgifter inte behandlas om inte Banken kan visa tvingande berättigade skäl som väger tyngre än ditt intresse.
    6. Du har rätt att få dina uppgifter överförda till en annan tjänsteleverantör (s.k. dataportabilitet) enligt de förutsättningar som anges i gällande personuppgiftslagstifning.
    7. Du har rätt att när som helst återkalla ett lämnat samtycke om behandling av personuppgifter genom att spärra ditt BankID hos Banken eller genom inställningsfunktionen i din BankID-klient. Via din internetbank kan du själv spärra ditt BankID så att det inte längre kan användas. Spärrar du ditt BankID är detta liktydigt med ett återkallande av ditt samtycke.
    8. Om du anser att Banken eller vi inte behandlar dina uppgifter i enlighet med gällande personuppgiftslagstiftning har du möjlighet att klaga till Datainspektionen, vars kontaktuppgifter finns på www.datainspektionen.se.
  9. Överföring av uppgifter
    Banken lagrar och behandlar dina uppgifter enbart inom EU/EES och överför inte dessa till något land utanför EU/EES. Däremot kan den tillhandahållare av e-tjänst som du använder ditt BankID mot, bedriva sin verksamhet utanför EU/EES. Vi uppmuntrar dig därför att alltid läsa integritetspolicy från den tillhandahållare av den e-tjänst du avser nyttja.
  10. Ändringar
    1. Vi kan komma att ändra denna Integritetspolicy från tid till annan. Om vi ändrar Integritetspolicyn gäller den nya versionen från den tidpunkt då vi publicerar denna på vår hemsida, www.bankid.com. Du kan se när vi senast gjorde uppdateringar högst upp i denna Integritetspolicy.
    2. Om någon ändring innebär ett minskat skydd för dina personuppgifter, kommer denna ändring inte att tillämpas för de uppgifter vi fått av dig innan ändringen gjordes. Detta gäller dock inte om du lämnar ditt samtycke till den nya versionen av Integritetspolicyn, eller om du använder eller skaffar ett nytt BankID efter det att ändringen börjar gälla.