Integritetspolicy BankID

Version 1.3 2020-12-01

For English click here.

  1. Allmänt
    1. BankID är en e-identifierings- och underskriftstjänst (”BankID” eller ”Tjänsterna”) som gör det möjligt för företag, banker, organisationer och myndigheter att både identifiera och ingå avtal med privatpersoner på Internet. BankID är en elektronisk ID-handling som är jämförbar med pass, körkort och andra fysiska ID-handlingar.
    2. BankID utfärdas av någon av de banker som ingår i BankID-samarbetet och det är i huvudregel den bank som utfärdat ditt BankID (”Banken”) som är ensamt eller, tillsammans med de andra bankerna i BankID-samarbetet, gemensamt personuppgiftsansvarig för dina personuppgifter. Finansiell ID-Teknik BID AB (”vi” eller ”vår”) är personuppgiftsbiträde till Banken avseende behandlingen av dina personuppgifter inom ramen för Tjänsterna. Vi äger, förvaltar och vidareutvecklar Tjänsterna och är leverantör av Tjänsterna till Banken. Vi behandlar uteslutande dina personuppgifter på uppdrag av Banken och i enlighet med Bankens instruktioner, med undantag för den behandling som beskrivs i punkt 1.5.
    3. Vi värnar om din personliga integritet och strävar efter att alltid skydda dina personuppgifter på bästa sätt. Denna integritetspolicy (”Integritetspolicyn”) beskriver vilken slags information om dig som behandlas inom ramen för Tjänsterna, hur vi får den, hur den används, hur den delas och vilka åtgärder som har vidtagits för att skydda dina personuppgifter. Vi beskriver också vilka rättigheter du har beträffande dina personuppgifter.
    4. När du använder Tjänsterna kan ett flertal aktörer involveras såsom Banken eller den aktör som tillhandahåller den e-tjänst du väljer att använda ditt BankID hos. Integritetspolicyn gäller enbart den behandling som vi kan komma att utföra i egenskap av personuppgiftsbiträde (eller personuppgiftsansvarig enligt punkt 1.5) och beskriver själva användningen av Tjänsterna. Vi rekommenderar dig därför att även läsa andra aktörers integritetspolicyer som du kan komma att beröras av i samband med att du använder BankID, exempelvis Banken och den aktör som tillhandahåller den e-tjänst som du väljer att använda ditt BankID hos.
    5. Vi utför vård av det register som består av utfärdade BankID. Vi är personuppgiftsansvarig endast för denna behandling. Behandlingen görs i säkerhetssyften och innebär att vi genomför regelbundna kontroller mot Statens personadressregister (SPAR) i syfte att spärra utfärdade BankID för avlidna användare eller andra användare som avskrivits från folkbokföringen, för att förhindra att Tjänsterna utnyttjas i sådan användares namn. Denna behandling beskrivs ytterligare i punkt 4.4.
  2. Vilka vi är
    1. Finansiell ID-Teknik BID AB startades 2002 och är ett teknikbolag som äger, förvaltar och vidareutvecklar BankID. Vi ägs av Danske Bank, Handelsbanken, Ikano Bank, Länsförsäkringar Bank, SEB, Skandiabanken och Swedbank. Våra kunder är de flesta av de stora svenska bankerna, som i sin tur säljer och förmedlar BankID till myndigheter, företag, organisationer och privatpersoner. Vilka banker som utfärdar BankID framgår av https://www.bankid.com/kontakt/utfaerdare.
    2. Finansiell ID-Teknik BID AB har följande organisationsnummer och kontaktuppgifter:
      org. nr 556630-4928
      +46 8 411 81 50
      produktinfo@bankid.com
      Kungsgatan 33, 111 56 Stockholm.
    3. Om du har frågor om hur dina personuppgifter samlas in, används, skyddas och delas eller om du vill utöva dina rättigheter enligt punkt 8 är du välkommen att höra av dig till Banken eller vårt dataskyddsombud. Du kan nå dataskyddsombudet på:
      +46 8 411 81 50
      dpo@bankid.com
  3. Insamling av personuppgifter
    1. Vilka personuppgifter som behandlas
      På uppdrag av Banken behandlar vi följande personuppgifter som du lämnat till Banken eller som vi samlar in när du använder Tjänsterna. Dina personuppgifter som behandlas utgörs av:
      1. Förnamn, efternamn och personnummer.
      2. Vilken bank som utfärdat ditt BankID.
      3. (c) Vilken tillhandahållare av e-tjänst du har identifierat dig eller skrivit under hos.
      4. Teknisk information vid utgivning eller användning som tidpunkt, IP-adress, typ av BankID samt typ och version av mobiltelefon eller dator.
      5. Information om att vi kan sända notifieringsmeddelanden till dig till via din mobiltelefons notifieringsfunktion.
      6. Geografisk platsinformation vid tillfället du skaffar eller använder ditt BankID.
      7. I förekommande fall, notering om hinder för utfärdande av nya BankID baserat på ditt personnummer.
    2. Hur dina uppgifter samlas in
      1. Banken genomför en noggrann fysisk identifiering av dig och registrerar dina uppgifter när du blir kund i Banken och kontrollerar dessa uppgifter mot folkbokföringen. Vid utgivning av ditt BankID är det Banken som för över dina personuppgifter till oss så att ditt BankID kan skapas.
      2. Vi får också uppdateringar från Statens personadressregister (SPAR) med information om förändringar i folkbokföringen för att kunna utföra den registervård som beskrivs i avsnitt 4.4.
  4. Ändamålen för behandlingen
    På uppdrag av Banken behandlar vi dina uppgifter för de ändamål som beskrivs nedan i denna punkt 4. Dina uppgifter kommer inte att användas på ett sätt som är oförenligt med det ändamål som uppgiften samlades in för.
    1. Tillhandahålla Tjänsterna
      1. Du kan välja att använda BankID för elektronisk identifiering eller underskrift hos flertalet tillhandahållare av e-tjänster såsom företag, banker, organisationer och myndigheter. Dina personuppgifter används för att kunna säkerställa att rätt person använt e-legitimationen BankID gentemot sådana tillhandahållare av e-tjänster och tillhandahållaren får ta del av dina personuppgifter i form av namn, personnummer och namnet på din bank. Denna behandling görs för att fullgöra avtalet om tillhandahållandet av Tjänsterna mellan Banken och dig.
      2. När du använder BankID behandlas även namnet på den tillhandahållare av e-tjänst du identifierar dig eller utför en elektronisk underskrift hos. Det namn på tillhandahållaren av e-tjänst som sparas är det namn som visas för dig i BankID-appen/-programmet. Inga uppgifter om varför du har gjort en identifiering eller underskrift sparas. Beroende på var du väljer att använda ditt BankID kan därför namnet avslöja så kallade känsliga uppgifter om dig, såsom exempelvis etniskt ursprung, politiska, religiösa eller filosofiska engagemang eller medlemskap i fackförening eller uppgifter om din hälsa eller sexualitet. Det är helt upp till dig var du väljer att identifiera dig och/eller skriva under. Denna behandling görs för att den bank i BankID-samarbetet som har ingått avtal om anslutning till BankID-tjänsten med den part du väljer att identifiera dig eller skriva under hos ska kunna fastställa, göra gällande eller försvara rättsliga anspråk avseende avtalet.
    2. Förbättra Tjänsterna
      På uppdrag av Banken kommer vi att behandla dina uppgifter för att ta fram exempelvis aggregerad/anonym information för att förbättra Tjänsterna, göra Tjänsterna mer användarvänliga genom att exempelvis åtgärda buggar, ta fram faktureringsunderlag mot Banken, ändra gränssnitt osv, samt övriga förbättringsåtgärder. Denna behandling är nödvändig för Bankens och vårt berättigade intresse av att löpande förbättra Tjänsterna. Statistik över BankID-användningen publiceras regelbundet på vår webbsida www.bankid.com/om-oss/statistik.
    3. Förhindra missbruk och vidta säkerhetsåtgärder
      1. Dina uppgifter kan också användas för att vidta säkerhetsåtgärder i syfte att förhindra missbruk eller annan olovlig användning av Tjänsterna. På uppdrag av Bankerna lagrar och tillgängliggör vi det register som Bankerna kontrollerar för att hindra utfärdande av BankID i de fall Banken självt eller annan Bank beslutat att utfärdande inte längre ska kunna ske för viss användare. I samband med detta kan även de BankID som utfärdats för användaren spärras från fortsatt användning. Bankernas register får endast användas av Bankerna för kontroll i samband med utfärdande och innehåller endast de personnummer som Bankerna vid var tid ska neka vid utfärdande av nya BankID, tillsammans med den tidpunkt då personnumret automatiskt gallras från registret. Det är Bankerna som tillsammans beslutat om vilka situationer som kan ligga till grund för att registrera ett personnummer i registret (du kan läsa mer i avtalet mellan dig och din Bank där villkoren för användning av Tjänsterna framgår). Detta kan exempelvis ske om ett BankID använts i strid med användarvillkoren för Tjänsterna, såsom vid misstanke om bedrägeri, försök till olovligt användande av annans BankID, olovlig identitetshantering eller annan brottslig handling. Registret hanteras av Bankerna med stöd av särskilt tillstånd av Datainspektionen. Användningen av Bankernas register är nödvändig för Bankernas berättigade intressen av att förhindra oegentligt utnyttjande av Tjänsterna och för att på så sätt upprätthålla säkerheten och tillförlitligheten i Tjänsterna. Bankerna är gemensamt personuppgiftsansvariga för hanteringen av registret och har samordnade rutiner för att så sker på korrekt sätt enligt gällande personuppgiftslagstiftning oavsett vilken Bank du är kund i. Har du frågor om en Banks beslut att hindra dig från att använda Tjänsterna ska du vända dig till din Bank.
      2. Vidare behandlas och analyseras uppgifter om ditt användarbeteende för de syften som beskrivs ovan, det vill säga för att förhindra att Tjänsterna missbrukas eller annars används på olovligt sätt, t.ex. för att skydda dig mot olovlig identitetshantering eller ID-stöld. Vid indikation på obehörig användning eller annan otillåten användning av Tjänsterna kan den fortsatta användningen av Tjänsterna hindras genom att utgivning av BankID nekas baserat på automatiserat beslutsfattande i det centrala system som används för utgivning av BankID och som vi tillhandahåller på uppdrag och instruktion av Banken. Denna behandling sker som ett nödvändigt led i att upprätthålla säkerheten och tillförlitligheten i Tjänsterna enligt avtalet mellan dig och Banken.
      3. Vi kan även behandla uppgifter baserat på din användning av Tjänsterna för att förhindra, förebygga eller utreda brott. Detta sker på uppdrag av respektive Bank när sådan behandling är nödvändig för Bankens eller annans berättigade intresse av att undvika och förhindra att du blir utsatt för ID-stöld eller att Tjänsterna annars missbrukas samt för att tillvarata rättsliga anspråk eller fullgöra Bankens rättsliga skyldigheter.
    4. Registervård
      1. Dina uppgifter kommer också användas för sådan registervård som beskrivs i punkt 1.5. Syftet med denna behandling är att spärra och förhindra att BankID används i de fall BankID ställts ut för personer som avskrivs från folkbokföringen, i huvudsak på grund av att personen har avlidit. De personuppgifter som vi behandlar för detta ändamål är de personuppgifter som lämnas från Statens personadressregister (SPAR) vilket i första hand består av ditt namn, personnummer och adress. Denna hantering sker varje gång dina uppgifter i folkbokföringen ändras. Så snart vi har utfört den beskrivna registervården raderas samtliga personuppgifter vilket i praktiken innebär att dina personuppgifter behandlas i detta syfte under en mycket begränsad period.
  5. Hur dina uppgifter delas
    Dina uppgifter delas inte med någon tredje part förutom på det sätt som beskrivs nedan.
    1. Tjänsteleverantörer. Banken kan använda tredje parter för att hantera en eller flera aspekter av sin verksamhet, inklusive behandling eller hantering av personuppgifter. Banken har i detta syfte anlitat oss för att tillhandahålla Tjänsten till dig och Bankens övriga kunder. Vi kan också komma att använda tredje parter för samma syften. Dina personuppgifter kan därför komma att delas med dessa tredje parter när de hanterar teknisk drift eller applikationsdrift av Tjänsterna. När Banken eller vi använder oss av tjänsteleverantörer inom ramen för Tjänsterna, upprättar Banken och/eller vi personuppgiftsbiträdesavtal och utför andra lämpliga åtgärder för att säkerställa att dina personuppgifter behandlas på ett sätt som överensstämmer med denna Integritetspolicy.
    2. Till annan bank i BankID-samarbetet. Banken kan dela uppgifter med andra banker i BankID-samarbetet. Uppgifterna delas för att det är nödvändigt för uppfyllandet av det berättigade intresset hos bankerna i BankID-samarbetet av att undvika att ditt BankID missbrukas och för att Bankerna ska kunna vidta säkerhetsåtgärder i förhållande till Tjänsterna, försvara rättsliga anspråk eller bevaka sin rätt. När Banken delar dina uppgifter för detta syfte är dessutom de andra bankerna i BankID-samarbetet gemensamt personuppgiftsansvariga för uppgifterna med Banken. Även om du har rätt att utöva dina rättigheter enligt tillämplig lag emot var och en av de personuppgiftsansvariga, har Banken dock fortsatt det primära ansvaret att fullgöra de skyldigheter som rör dig och ditt utövande av dina rättigheter enligt tillämplig personuppgiftslagstiftning.
    3. Tillhandahållare av e-tjänst. När du använder ditt BankID i en e-tjänst delas dina personuppgifter med denna tillhandahållare av e-tjänst som du använder Tjänsterna hos, det vill säga den part du identifierar dig och/eller skriver under hos. Dina uppgifter delas för att det är nödvändigt för att Banken ska kunna fullgöra sitt avtal med dig.
    4. Banken och vi kan även dela dina personuppgifter i de fall då Banken eller vi är skyldiga att göra det enligt t.ex. lag eller annan författning eller domstols- eller myndighetsbeslut.
  6. Hur dina uppgifter skyddas
    1. Dina personuppgifter lagras på system som endast är tillgängliga för Banken, våra anställda och de tjänsteleverantörer som behöver uppgifterna för sin tjänsteutövning. För att skydda dina personuppgifter mot obehörig åtkomst, obehörigt utlämnande och missbruk vidtas lämpliga skyddsåtgärder och säkerhetsnormer upprätthålls. System där personuppgifter behandlas ligger på säkra servrar med begränsad åtkomst och all kommunikation sker med säker kryptering. Vidare används tekniska verktyg som exempelvis brandväggar och övervakningsverktyg och all personal som kan komma i kontakt med dina personuppgifter är utbildade i vikten av att upprätthålla säkerhet och sekretess i förhållande till de personuppgifter som behandlas.
    2. Varje gång personuppgifter lämnas över till den tillhandahållare av e-tjänst där du väljer att använda ditt BankID så sker överföringen av personuppgifterna krypterat med en teknik som kallas SSL och enbart till en säkert identifierad tillhandahållare av e-tjänst med giltigt avtal att använda Tjänsterna i sin verksamhet.
    3. Via inloggning till din internetbank kan du själv komma åt och se information om det eller de BankID som har ställts ut till dig och dessa uppgifter presenteras via en krypterad förbindelse med din webbläsare, så kallad https-teknik, så att ingen obehörig kan komma åt uppgifterna.
  7. Lagringsperiod
    1. Generellt sett sparas dina uppgifter för den tid som dessa är nödvändiga för de ändamål som uppgifterna ursprungligen samlades in för eller som annars krävs enligt tillämplig lag.
    2. Banken lagrar uppgifter kring utgivning eller spärr av ett BankID i 10 år efter att giltighetsdatum för BankID har passerats i syfte att uppfylla sina rättsliga förpliktelser enligt regelverket för Svensk e-legitimation. Det som sparas är ditt namn, personnummer, vilken bank du har skaffat BankID hos och viss teknisk information kring utgivningen som exempelvis IP-adress.
    3. Banken lagrar uppgifter kring utgivning eller spärr av ett BankID i 10 år efter att giltighetsdatum för BankID har passerats i syfte att uppfylla sina rättsliga förpliktelser enligt regelverket för Svensk e-legitimation. Det som sparas är ditt namn, personnummer, vilken bank du har skaffat BankID hos och viss teknisk information kring utgivningen som exempelvis IP-adress.
  8. Dina rättigheter
    1. Du har ett antal rättigheter beträffande behandlingen av dina personuppgifter som du kan göra gällande mot Banken. Dessa rättigheter beskrivs i detta avsnitt. För att göra gällande dessa rättigheter måste du vända dig till Banken. Notera att Finansiell ID-Teknik BID AB är personuppgiftsbiträde i förhållande till Banken och att du alltid ska vända dig till Banken avseende behandlingen av dina personuppgifter.
    2. Du har rätt att få besked och information om vilka av dina personuppgifter som behandlas, oavsett hur dessa samlats in. Du kan göra detta genom att vända dig till Banken. Du kan även nyttja Bankens självbetjäningstjänst, dels genom att logga in på din internetbank för att se vilka BankID som har blivit utställda med ditt personnummer, dels genom att i din BankID-app/-program besöka fliken ”Inställningar” och där välja ditt BankID och därefter välja ”Visa historik” för att se din användningshistorik.
    3. Du har alltid möjlighet att rätta dina personuppgifter om de är felaktiga genom att vända dig till Banken. Enklast gör du detta genom att kontakta Banken eller genom att via din internetbank spärra ditt BankID och sedan skaffa ett nytt BankID med rätt personuppgifter.
    4. Du har i vissa fall rätt att begära att dina personuppgifter raderas eller att behandlingen av dina personuppgifter begränsas. Om du vill utnyttja dessa rättigheter ska du vända dig till Banken. Notera dock att dina uppgifter kan komma att fortsätta att behandlas i den mån Banken har en laglig grund att behandla dina personuppgifter, t.ex. om det är nödvändigt för att fullgöra ett avtal med dig.
    5. Du har rätt att när som helst invända mot Bankens behandling av dina personuppgifter om Bankens behandling grundar sig på en intresseavvägning, det vill säga att Banken haft ett berättigat intresse av att behandla dina personuppgifter. Om du invänder får dina personuppgifter inte behandlas om inte Banken kan visa tvingande berättigade skäl som väger tyngre än ditt intresse.
    6. Du har rätt att få dina uppgifter överförda till en annan tjänsteleverantör (s.k. dataportabilitet) enligt de förutsättningar som anges i gällande personuppgiftslagstiftning.
    7. Du har rätt att när som helst spärra ditt BankID hos Banken eller genom inställningsfunktionen i BankID-appen/-programmet. Via din internetbank kan du själv spärra ditt BankID så att det inte längre kan användas.
    8. Om du anser att Banken eller vi inte behandlar dina uppgifter i enlighet med gällande personuppgiftslagstiftning har du möjlighet att klaga till Datainspektionen, vars kontaktuppgifter finns på www.datainspektionen.se.
  9. Överföring av uppgifter
    Banken lagrar och behandlar dina uppgifter enbart inom EU/EES och överför inte dessa till något land utanför EU/EES. Däremot kan den tillhandahållare av e-tjänst som du använder ditt BankID mot, bedriva sin verksamhet utanför EU/EES. Vi uppmuntrar dig därför att alltid läsa integritetspolicyn från den som är tillhandahållare av den e-tjänst du avser nyttja.
  10. Ändringar
    1. Vi kan komma att ändra denna Integritetspolicy från tid till annan. Om vi ändrar Integritetspolicyn gäller den nya versionen från den tidpunkt då vi publicerar denna på vår webbplats, www.bankid.com. Du kan se när vi senast gjorde uppdateringar högst upp i denna Integritetspolicy.