På Skärtorsdag har kundtjänst endast öppet på förmiddagen, Långfredag och Annandag Påsk har kundtjänst stängt. Glad Påsk!

Personuppgiftspolicy

Den här personuppgiftspolicyn beskriver vilka personuppgifter HoistSpar behandlar, hur vi behandlar dessa samt vilka rättigheter du som registrerad kan göra gällande gentemot oss.


1. Vilka vi är och vad vi gör

HoistSpar är en del av Hoist Finance AB (publ) (org.nr 556012-8489) som är personuppgiftsansvarig för de personuppgiftsbehandlingar som beskrivs i denna policy. Vi värnar om skyddet av dina enskilda rättigheter och dina personuppgifter. Vid frågor om integritets- och dataskydd kan du alltid kontakta vårt dataskyddsombud på dpo@hoistfinance.com.

2. Dina lagstadgade rättigheter enligt GDPR


Du har möjlighet att utöva följande rättigheter rörande dina personuppgifter:

Tillgång till dina personuppgifter:
Du har rätt att begära att få en bekräftelse från oss om vi behandlar personuppgifter som rör dig, samt i sådant fall begära en kopia på de personuppgifter som vi behandlar om dig, ett s.k. registerutdrag.

Begära rättelse:
Vidare har du, om du anser att en uppgift om dig är felaktig eller ofullständig, rätt att begära att uppgiften rättas.

Återkalla samtycke:
I den utsträckning som vi behandlar dina personuppgifter med stöd av ditt samtycke har du rätt att, när som helst, återkalla ditt samtycke till behandlingen.

Radering:
Under vissa omständigheter har du rätt att få dina personuppgifter raderade. Detta gäller dock inte om vi exempelvis är skyldiga enligt lag att bevara uppgifterna.

Begränsning av behandling:
Du har även rätt att begära att behandlingen av dina personuppgifter begränsas. Om du begär att behandlingen av dina uppgifter ska begränsas kan det dock medföra att vi inte kan uppfylla våra eventuella skyldigheter gentemot dig under den tid behandlingen begränsats.

Dataportabilitet:
Slutligen har du rätt att få en kopia på de personuppgifter som rör dig i ett strukturerat format (dataportabilitet). Rätten till dataportabilitet, till skillnad från rätten till registerutdrag, omfattar endast uppgifter som du själv har tillhandahållit oss och som vi behandlar med stöd av vissa lagliga grunder, t.ex. ett avtal med dig.

3. Vilka typer av personuppgifter samlar vi in?


För att kunna erbjuda dig våra finansiella tjänster, attraktiva inlåningstjänster på olika löptider eller vår kundportal, behöver vi behandla dina personuppgifter. Information som vi efterfrågar och som du lämnar till oss kan exempelvis vara:

  • Person- och kontaktinformation: namn, personnummer, adress, telefonnummer, e-postadress.
  • Identifieringsinformation: personnummer, namn på bank kopplad till BankID.
  • Uppgifter om din skattemässiga hemvist: uppgifter om skattehemvist och utländskt skatteregistreringsnummer.
  • Ekonomisk information: typ av avtal, dina lämnade inkomstuppgifter, finansiell status, transaktionsinformation, bankkontonummer för uttagskonto.
  • Kundkännedominformation: medborgarskap, skatterättslig hemvist, inkomst, sysselsättning, bosättningsland, uppgift om politiskt exponerad person (PEP)
  • Kommunikationsuppgifter: IP-adress.

Syftet med behandlingen av personuppgifter och de lagliga grunderna för behandlingen är i huvudsak uteslutande att uppfylla rättsliga förpliktelser (exempelvis kundkännedom, åtgärder för att förhindra penningtvätt, terroristfinansiering och bedrägeri, bokföring, rapportering till myndigheter) samt avtalsförpliktelser (fullgörande av avtal).

4. Varför personuppgifter behandlas hur det sker och med vilken laglig grund behandlas personuppgifterna?

Syfte med behandlingen Typer av personuppgifter som används  Laglig grund för behandlingen enligt GDPR Lagringstid

För att tillhandahålla och administrera ditt sparkonto hos oss på ett tryggt och säkert sätt.  

Person- och kontaktinform-ation,  Identifierings-information, Ekonomisk information  Behandlingen är nödvändig för att Hoist Finance ska kunna fullgöra avtalet med dig (Artikel 6(1)(b) GDPR).  När avtalet mellan dig och Hoist Finance upphör 

För att bekräfta din identitet och verifiera dina person- och kontaktuppgifter. 

Person- och kontaktinform-ation och Identifierings-information  Behandlingen är nödvändig för att Hoist Finance ska kunna fullgöra avtalet med dig (Artikel 6(1)(b) GDPR) och för att följa lag (Artikel 6(1)(c) GDPR).  När avtalet mellan dig och Hoist Finance upphör 

För att hantera och utreda klagomål

Person- och kontaktinformation, Information rörande klagomålet  Behandlingen är nödvändig för att Hoist Finance ska kunna fullgöra avtalet med dig (Artikel 6(1)(b) GDPR)   Upp till tio år på grund av regler om preskription. 

Att kunna utföra kundnöjdhetsundersök-ningar via e-post.  

Person- och kontaktinformation, svar på frågor i kundundersökning  Behandlingen är baserad på en intresseavvägning (Artikel 6(1)(f) GDPR). Vid den intresseavvägningen har Hoist Finance bedömt att vi har ett berättigat intresse att kunna utföra dessa typer av undersökningar, att den aktuella personuppgiftsbehandlingen är nödvändig för att uppnå syftet et samt att vårt intresse väger tyngre än din rätt att inte få dina uppgifter behandlade för det här syftet. Efter avslutad kundundersökning 

Förhindra att Hoist Spars verksamhet utnyttjas för penningtvätt eller finansiering av terrorism, genom att övervaka och granska transaktioner, och genomföra riskbedömningar samt för att skapa riskmodeller.

Person- och kontaktinformation, Identifieringsinformation, Kundkännedominformation, Information från externa sanktionslistor och PEP-listor Följa lag (Artikel 6(1)(c) GDPR). (Lag (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism)

För känsliga personuppgifter är grunden att behandlingen är nödvändig av hänsyn till ett allmänt intresse (Artikel 9(2)(g) GDPR).
Upp till fem år från avtalets upphörande eller efter avslutad kundrelation (i fall då brottsbekämpande myndigheter begär det upp till tio år).

Bokföring och redovisning i enlighet med bokföringslagar.   

Person- och kontaktinformation samt ekonomisk information Följa lag (Artikel 6(1)(c) GDPR). (Bokföringslag (1999:1078)) 7 år efter utgången av det år då uppgiften först registrerades

Delning av dina personuppgifter med andra kreditinstitut vid transaktioner (inbetalningar från andra banker och utbetalningar till andra banker)

Person- och kontaktinformation, Identifierings-information, transaktionsinform-ation Behandlingen är nödvändig för att Hoist Finance ska kunna fullgöra avtalet med dig (Artikel 6(1)(b) GDPR) När avtalet mellan dig och Hoist Finance upphör 


5. Vilka vi delar dina personuppgifter med


Hoist Finance är skyldigt att iaktta banksekretessen enligt lagen om bank- och finansieringsrörelse. Sekretessen innebär att Hoist Finance inte obehörigen får lämna ut några uppgifter om kunder till utomstående. Hoist Finance lämnar inte ut dina personuppgifter utom i ett begränsat antal situationer är det tillåts enligt lag. Vi kan komma att överföra till, eller dela information med, utvalda tredje parter för utförandet av våra kontraktuella åtaganden gentemot dig. Vi vidtar rimliga tekniska, legala och organisatoriska åtgärder för att säkerställa att din data hanteras säkert vid överföring till eller delning med utvalda tredje parter. 

5.1 Leverantörer och underleverantörer

Beskrivning av mottagare: Leverantörer och underleverantörer är bolag som endast har rätt att behandla de personuppgifter de mottar från Hoist Spar för vår räkning, även kallade personuppgiftsbiträden. Exempel på sådana leverantörer och underleverantörer är leverantören av vår bankplattform, arkiveringsleverantörer eller leverantören av vår tjänst för tillhandahållande av digitala kundenkäter. Dessa utför tjänster för vår räkning som vi inte själva kan utföra.  

Syfte och laglig grund: Hoist Spar behöver få tillgång till vissa tjänster från externa leverantörer, tjänster vi inte själva kan tillhandahålla. I vissa fall har Hoist Spar ett berättigat intresse att kunna få tillgång till dessa tjänster och funktionalitet (Artikel 6(1)(f) GDPR) och i andra fall är tjänsterna direkt nödvändiga för att vi ska kunna tillhandahålla dig ett sparkonto (Artikel 6.1 (b) GDPR).  

5.2 Fullmaktshavare

Beskrivning av mottagare: Vi kan komma att dela dina personuppgifter med en person som har rätt enligt fullmakt att ta del av dessa. Det kan till exempel handla om vårdnadshavare, förvaltare eller goda män.  

Syfte och laglig grund: Detta görs för att förenkla din kontakt med oss (genom ombud), och görs baserat på ditt samtycke (Artikel 6.1 (a) GDPR). 

5.3 Myndigheter

Beskrivning av mottagare: Vi lämnar också ut personuppgifter till myndigheter i den mån vi har en rättslig skyldighet att göra det, till exempel till Polismyndigheten, Skatteverket, Kronofogdemyndigheten, Försäkringskassan och tillsynsmyndigheter (Finansinspektionen eller Integritetsskyddsmyndigheten). 

Syfte och laglig grund: Vi delar bara personuppgifter med myndigheter om vi har en rättsliga skyldighet att göra så, eller i vissa fall om du har uppmanat oss att göra det. Ett exempel på rättslig skyldighet att lämna information är för åtgärder mot penningtvätt och terroristfinansiering.Vi delar också information om konton och räntor som mottagits eller betalats med Skatteverket för att beräkna din skatt. Beroende på myndighet och syfte så är de lagliga grunderna skyldighet att följa lag (Artikel 6.1 (c) GDPR) eller fullgöra avtalet med dig (Artikel 6.1 (b) GDPR),  

5.4 Banker och kreditinstitut

Beskrivning av mottagare: Vi delar dina uppgifter med kreditinstitut och andra finansiella institut (såsom andra banker) när du utför transaktioner från eller betalningar till andra konton.  

Syfte och laglig grund: Om du har gjort betalningar till ett ditt Hoist Spar-konto kommer vi att behandla den information vi tagit emot från den bank du använde för transaktionen, såsom kontakt- och identifikationsuppgifter samt betalningsinformation. Om du utför transaktioner eller betalningar till konton i andra banker kommer vi också att vidarebefordra vissa av dina kontakt- och identifikationsuppgifter samt betalningsinformation till mottagaren och mottagarens kreditinstitut eller finansiella institut. Delningen sker för att fullgöra avtalet med dig (Artikel 6.1 (b) GDPR). 

6. Var behandlas dina personuppgifter


Dina personuppgifter kommer i huvudsak att behandlas i Sverige och inom EU/EES. Personuppgifter kan dock i vissa situationer komma att överföras till, och behandlas i, ett land utanför EU/EES av en leverantör eller en underleverantör. Länder utanför EU/EES kan ha lagar som innebär att offentliga myndigheter kan ha rätt att begära ut personuppgifter som lagras i landet i syfte att bekämpa brottslighet eller försvara nationell säkerhet.

Vi gör bara sådana överföringar om någon av följande förutsättningar är uppfyllda:

  • EU-kommissionen har tagit ett beslut om att det finns en tillräcklig skyddsnivå i det aktuella landet,
  • Vi har vidtagit andra skyddsåtgärder, till exempel standardavtalsklausuler eller,
  • Det i särkilda fall är tillåtet enligt GDPR.

För teknisk support av IT-stöd och för att underhålla våra IT-system kommer vi att överföra personuppgifter till Indien. För dessa överföringar har vi vidtagit standardavtalsklausuler som extra skyddsåtgärd och som laglig grund för överföringen.

Vill du ha mer information om våra skyddsåtgärder kan du alltid kontakta oss. Kontaktuppgifter hittar du längs ned i denna policy. Du hittar mer information om vilka länder som anses ha en “adekvat skyddsnivå” på EU-kommissionens hemsida, och du kan läsa mer om standardklausuler på svenska Integritetsskyddsmyndighetens hemsida här

7. Hur länge sparar vi dina personuppgifter?


Vi sparar dina uppgifter så länge det behövs för de ändamål de samlades in och behandlades för eller så länge som krävs enligt lagar och andra författningar. Dina personuppgifter kommer att sparas så länge ditt avtalsförhållande består och som längst i 10 år efter det. Andra tidsfrister kan gälla beroende på syftet med personuppgiftsbehandlingen. Dessa tidsfrister varierar beroende på olika krav i lagstiftning till exempel preskription (10 år), motverkande av penningtvätt (5 år), och bokföringsregler (7 år).

8. Säkerhetsåtgärder


Hoist Finance strävar alltid efter säkra tekniska lösningar som skyddar kunduppgifter från åtkomst av obehöriga. Skyddsåtgärderna omfattar t ex följande:

  • Brandväggar och andra säkerhetssystem som blockerar intrång från obehöriga.
  • Skydd mot datavirus.
  • Meddelanden till dig skickas krypterade enligt Secure Socket Layer (SSL)-protokollet.

Även du som kund hos Hoist Finance har ett ansvar för säkerheten. Hoist Finance har ingen kontroll över den utrustning och de säkerhetssystem som du väljer att använda. Du bör säkerställa att den dator du använder vid uppkoppling mot Hoist Finance har ett fungerande virusskydd. Du bör också kontrollera att meddelanden med personuppgifter eller annan viktig information som du skickar på nätet är krypterade. Vidare bör du installera brandväggar som skyddar din dator från obehörig åtkomst.

I kommunikation med Hoist Finance via e-post bör du undvika att ange konfidentiell information som kontonummer, användar-ID och lösenord. Vänligen observera att Hoist Finance aldrig kommer att skicka e-post till dig som innehåller konfidentiell information såsom kontonummer, användarinstruktioner, m.m. Hoist Finance kommer heller aldrig att be dig skicka sådan information. Om du får sådan e-post som påstås komma från Hoist Finance ska du omgående radera meddelandet utan att öppna eventuella bilagda filer.

9. Uppdatering


Denna policy uppdateras regelbundet av oss. Senaste uppdatering skedde den 2 maj 2022.

10. Vem kontaktar jag vid frågor?


Om du har frågor, synpunkter eller vill utöva någon av dina rättigheter kontakta gärna oss på info@hoistspar.se, vårt dataskyddsombud via dpo@hoistfinance.com eller Hoist Finance AB (publ), Dataskyddsombud, Box 7848, 103 99 Stockholm. Du har också möjlighet att lämna ett klagomål till Integritetsskyddsmyndigheten via deras e-post adress, imy@imy.se, eller via Integritetsskyddsmyndigheten, Box 8114, 104 20 Stockholm.