Compary AS («Compary»), organisasjonsnummer 936 868 924, er behandlingsansvarlig for behandlingen av personopplysninger som samles inn og brukes i tråd med denne personvernerklæringen.
Med personopplysninger menes all informasjon som direkte eller indirekte kan knyttes til deg som enkeltperson, for eksempel navn, kontaktinformasjon, IP-adresse eller andre identifiserende opplysninger.
I denne erklæringen gjør vi rede for hvilke personopplysninger vi behandler, hvorfor vi behandler dem og hvordan vi bruker dem. Dersom du ønsker mer informasjon om vår behandling av dine personopplysninger, kan du ta kontakt med oss. Kontaktinformasjonen finner du nederst i dokumentet.
Personvernerklæringen gjelder all informasjon du deler med oss, opplysninger som registreres når du benytter tjenestene våre, samt data vi mottar fra samarbeidspartnere som bistår oss i tjenesteleveransen. Den gjelder også når du besøker våre nettsider.
1. Formål med behandlingen av personopplysninger
Levere kredittformidlingstjenester
Det primære formålet med vår behandling av personopplysninger er å kunne oppfylle avtalen vi inngår med deg som bruker, og å bistå deg gjennom hele søknadsprosessen («kredittsøknadsperioden»). Behandlingen omfatter registrering og administrasjon av kredittsøknaden, utlevering av lånesøknad til og presentasjon av tilbud fra våre samarbeidspartnere, nødvendig innhenting av kredittrelatert informasjon, og analyse av opplysninger i lånesøknaden og kredittvurderinger for å avgjøre om du er berettiget kreditt.
I kredittsøknadsperioden behandler vi også dine personopplysninger for å vurdere om vi kan formidle bedre eller rimeligere finansielle tilbud.
Markedsføring
Vi behandler personopplysninger til markedsføringsformål for å kunne sende deg informasjon om våre eller tredjeparters produkter og tjenester, herunder nyheter, tilbud og annet innhold vi mener kan være relevant for deg. Dette er for å sikre at du får en best mulig opplevelse hos oss.
Lovpålagte forpliktelser
Vi behandler personopplysninger for å overholde lovpålagte forpliktelser, f.eks. krav etter regnskapslovgivningen og bokføringsregelverket, eller ved myndighetsforespørsler om utlevering av informasjon.
Utvikling og forbedring av våre produkter og tjenester
Vi behandler visse tekniske opplysninger for å utvikle og forbedre produktene og tjenestene våre. Dette kan omfatte behandling av bruksstatistikk og analyse av brukermønstre, slik at vi bedre kan forstå brukerbehov, forbedre funksjonalitet og gjøre tjenestene stabile og mer brukervennlige. Der det er mulig, benytter vi anonymiserte opplysninger og begrenser bruken til det som er nødvendig for formålet.
Avdekke, forhindre og redusere misbruk og svindel og ivaretakelse av sikkerheten til våre systemer og nettsider
Vi behandler personopplysninger for å avdekke, forhindre og redusere risiko for misbruk og svindel, samt for å ivareta sikkerheten i våre systemer. Dette kan omfatte oppfølging av uvanlige aktiviteter, feilsøking, logging og analyse av hendelser, samt tiltak for å hindre uautorisert tilgang eller bruk. Vi behandler bare opplysninger i den utstrekning det er nødvendig for å beskytte deg, våre tjenester og våre samarbeidspartnere.
Selskapsmessige endringer
I forbindelse med fusjon, oppkjøp, salg av virksomhet eller eiendeler, restrukturering, refinansiering eller andre selskapsrettslige transaksjoner kan vi dele eller overføre personopplysninger til potensielle eller faktiske kjøpere, investorer, långivere eller deres rådgivere. Dersom en slik transaksjon gjennomføres, kan personopplysninger bli overført til den nye eieren eller den aktuelle virksomheten som en del av transaksjonen.
Eventuelle mottakere av personopplysningene vil være underlagt krav om konfidensialitet og plikt til å behandle opplysningene i samsvar med gjeldende personvernlovgivning
2. Hvilke kategorier av personopplysninger samler vi inn?
Opplysninger du selv gir oss i søknaden
Dette kan blant annet være:
● kontaktinformasjon (e-post, mobilnummer)
● fødselsnummer
● ønsket kredittgrense
● informasjon om arbeid, inntekt, utdanning og statsborgerskap
● bostedsforhold, botid, sivilstatus, forsørgeransvar og økonomiske forpliktelser
● gjeld, inntekter i husholdningen og kontonummer
Søknadsskjemaet er dynamisk, så ikke alle søkere får identiske spørsmål.
Opplysninger Compary innhenter selv
● Tekniske data som enhetsidentifikatorer, informasjonskapselidentifikatorer, og informasjon om hvordan brukere interagerer med våre tjenester og nettsider.
● IP-adresse
Opplysninger vi får fra andre kilder
● Navn, adresse
● Gjeldsinformasjon (herunder opplysninger om eksisterende kreditt, betalingsanmerkninger, inkassosaker og registreringer knyttet til personlig insolvens)
● Opplysninger om inntekt og formuesgoder du eier
● Informasjon relatert til eventuelle forsikringssøknader
Kilder inkluderer blant annet:
● Experian
● Gjeldsregisteret
● Skatteetaten
● Leverandører av informasjon fra eiendomsregistre,
Forsikringsselskap informerer oss om status på søknader og endringer i kundeforhold.
3. Rettslig grunnlag
Levere kredittformidlingstjenester
Behandlingen av personopplysninger er nødvendig for at vi skal kunne behandle kredittsøknaden din og levere tjenestene våre i kredittsøknadsperioden, jf. GDPR art. 6 nr. 1 bokstav b.
Markedsføring
I lånesøknadsperioden kan kontakte deg med informasjon om våre produkter og tjenester, herunder tilbud som kan være rimeligere eller bedre tilpasset din situasjon. Slik kontakt skjer med grunnlag i vår berettigede interesse i å kunne gi kundene en best mulig og helhetlig tjeneste i kredittsøknadsperioden, jf. GDPR artikkel 6 nr. 1 bokstav f. Du vil få anledning til å reservere deg mot slike henvendelser.
Når kredittsøknadsperioden er avsluttet, sletter eller anonymiserer vi personopplysningene som inngår i lånesøknaden. Dette skjer normalt når lånet er innvilget og oppdraget er gjennomført. Etter dette vil vi bare oppbevare og bruke dine kontaktopplysninger til markedsføringsformål dersom du har samtykket til dette. Slik etterfølgende markedsføring og kontakt er da basert på samtykke, jf. GDPR artikkel 6 nr. 1 bokstav a.
Du kan når som helst trekke samtykket tilbake, og vi vil da stanse videre markedsføring. Dersom du trekker tilbake samtykket påvirker ikke dette lovligheten av behandlingen som allerede har skjedd før samtykket ble trukket tilbake.
Overholdelse av lovpålagte forpliktelser
Når vi behandler personopplysninger for å oppfylle våre lovpålagte forpliktelser, har behandlingen grunnlag i GDPR artikkel 6 nr. 1 bokstav c. Dette gjelder i de tilfellene vi er rettslig forpliktet til å lagre, dokumentere eller utlevere opplysninger, for eksempel for å oppfylle krav etter regnskaps- og bokføringsregelverket eller etterkomme pålegg og forespørsler fra offentlige myndigheter.
Utvikling og forbedring av våre produkter og tjenester
Det rettslige grunnlaget for denne behandlingen er vår berettigede interesse i å utvikle og forbedre våre produkter og tjenester, jf. GDPR artikkel 6 nr. 1 bokstav f. Behandlingen er nødvendig for å kunne analysere hvordan tjenestene fungerer og brukes, slik at vi kan rette feil, forbedre ytelse og stabilitet, videreutvikle funksjonalitet og gjøre tjenestene mer brukervennlige.
Avdekke, forhindre og redusere misbruk og svindel og ivaretakelse av sikkerheten
Det rettslige grunnlaget for denne behandlingen er vår berettigede interesse i å avdekke, forebygge og redusere misbruk og svindel, samt å ivareta sikkerheten i våre systemer og på våre nettsider, jf. GDPR artikkel 6 nr. 1 bokstav f.
Selskapsmessige endringer
Det rettslige grunnlaget for slik behandling er vår berettigede interesse i å kunne gjennomføre selskapsmessige transaksjoner og omorganiseringer, jf. GDPR artikkel 6 nr. 1 bokstav f.
4. Hvem får tilgang til opplysningene?
Vi deler kun persondata når det er nødvendig for å oppfylle formålet. Mottakerne faller i to hovedgrupper:
Samarbeidende banker og finansieringspartnere
Etter innsending av søknad sender vi søknaden til våre bank- og finansieringspartnere, som gjør egne vurderinger og eventuelt gir tilbud. Når søknaden er oversendt, vil de aktuelle bankene og finansieringspartnerne være selvstendige behandlingsansvarlige for personopplysningene i søknaden og for eventuelle personopplysninger de selv innhenter og behandler i tilknytning til søknaden.
Vi oppfordrer deg til å lese bankens vilkår og personvernerklæring nøye. Dersom du ønsker å utøve dine rettigheter etter personvernregelverket, må du ta kontakt med den aktuelle banken.
Øvrige samarbeidspartnere, eksempelvis:
● tekniske driftsleverandører (Microsoft Azure)
● leverandører av e-post, SMS og kundedialog
● kredittopplysningsbyråer
● markedsføringsleverandører
Alle disse er bundet av databehandleravtaler og kan kun behandle personopplysninger i tråd med våre instruksjoner.
5. Særlig om automatisert behandling
Når du inngår avtale om kredittformidling og blir kunde hos oss, kan det bli foretatt en automatisert vurdering basert på opplysninger du gir i søknaden og opplysninger fra en kredittsjekk. Resultatet av vurderingen brukes til å vurdere om, og eventuelt hvilke, samarbeidspartnere vi sender søknaden din til.
Du har som hovedregel rett til å ikke bli underlagt en avgjørelse som kun bygger på automatisert behandling, inkludert profilering, dersom avgjørelsen har rettsvirkning for deg eller på tilsvarende måte påvirker deg betydelig, jf. GDPR art. 22. Dette gjelder imidlertid ikke dersom avgjørelsen er nødvendig for å oppfylle avtalen, jf. art. 22 nr. 2 bokstav a. Vi er avhengig av å gjennomføre kredittsjekk for å kunne oppfylle avtalen med deg om kredittformidling.
Dersom du er uenig i, eller har spørsmål om, en automatisert vurdering som er gjort i forbindelse med søknaden din, kan du kontakte oss for å få mer informasjon og en forklaring på vurderingen. Du kan også be om at saken vurderes på nytt av en av våre medarbeidere, og du har anledning til å gi uttrykk for ditt syn og bestride resultatet. Ta kontakt med oss via kontaktinformasjon nederst i denne erklæringen.
6. Overføring av personopplysninger til tredjeland
Vi bruker Microsoft Azure som teknisk driftsleverandør. Bruk av skytjenester kan i enkelte tilfeller innebære overføring av personopplysninger utenfor EU/EØS, for eksempel dersom personell hos Microsoft eller deres underleverandører utenfor EU/EØS får fjerntilgang i forbindelse med teknisk drift, feilsøking eller support.
I den grad bruk av Microsoft Azure, eller deres underleverandører, medfører overføring til et tredjeland, baserer vi overføringen på EU-kommisjonens adekvansbeslutning for USA, der Microsoft er sertifisert under EU-US Data Privacy Framework. Dersom det ikke foreligger en adekvansbeslutning, vil vi benytte et annet gyldig overføringsgrunnlag, slik dette er avtalt med Microsoft i vår databehandleravtale.
7. Lagring og sletting
Opplysningene lagres så lenge det er nødvendig for formålene beskrevet i denne erklæringen, eller så lenge lovgivning krever det. Når data ikke lenger er relevante, slettes de eller anonymiseres så langt det lar seg gjøre.
Som hovedregel sletter eller anonymiserer vi personopplysningene som inngår i lånesøknaden når kredittsøknadsperioden er avsluttet, normalt når lånet er innvilget og oppdraget er gjennomført.
Kreditt- og gjeldsinformasjon, herunder opplysninger fra Gjeldsregisteret, beholdes gjennom hele kredittsøknadsperioden.
Compary forbeholder seg retten til å anonymisere opplysninger for statistiske formål.
8. Sikkerhet
Compary behandler personopplysninger i tråd med gjeldende regelverk og sørger for sikre lagringsløsninger med nødvendig beskyttelse av integritet, konfidensialitet og tilgjengelighet. Våre ansatte og samarbeidspartnere er forpliktet til å følge interne og eksterne krav til behandling av persondata.
9. Dine rettigheter
Som registrert har du blant annet rett til:
● å be om informasjon om hvilke personopplysninger vi behandler om deg, i samsvar med GDPR art. 15.
● å be oss rette eller supplere opplysninger som er uriktige eller ufullstendige i samsvar med GDPR art. 16.
● å be om at personopplysningene vi behandler om deg slettes i tilfellene angitt i GDPR art. 17, f.eks. når personopplysninger ikke lenger er nødvendige for formålet, eller hvis du trekker tilbake samtykke når behandlingen er basert på samtykke. Retten til sletting gjelder ikke dersom vi fortsatt har et lovlig grunnlag for å behandle opplysningene, for eksempel dersom vi er rettslig forpliktet til å lagre dem eller dersom de er nødvendige for å fastsette, gjøre gjeldende eller forsvare rettskrav.
● å be om at behandlingen av personopplysninger begrenses i tilfellene angitt i GDPR art. 18. Dette kan for eksempel gjelde dersom du bestrider riktigheten av opplysningene, eller hvor du har protestert mot behandlingen mens vi vurderer om våre interesser veier tyngre enn dine.
● å be om å motta personopplysninger du har gitt til oss i et strukturert, alminnelig brukt og maskinlesbart format, og til å få disse overført til en annen tjenesteleverandør der dette er teknisk mulig i tilfellene angitt i GDPR art. 20. Retten til dataportabilitet gjelder når behandlingen er basert på samtykke eller en avtale, og skjer ved automatiserte metoder.
● å protestere mot behandling som er basert på en berettiget interesse, i samsvar med GDPR art. 21
Du kan også klage til Datatilsynet dersom du mener vi behandler personopplysninger i strid med personvernregelverket.
10. Endringer
Compary kan oppdatere denne personvernerklæringen. Dersom endringer påvirker dine rettigheter i vesentlig grad, vil du få beskjed via e-post eller våre nettsider før endringene trer i kraft.
11. Kontaktinformasjon
Dersom du har spørsmål om hvordan vi behandler dine personopplysninger eller ønsker å utøve dine rettigheter, kan du ta kontakt med oss på hello@kortio.no.
Dine rettigheter som registrert
Rett til begrensningDu har rett til å be om at vår behandling av dine personopplysninger begrenses. Om du bestrider at personopplysningene vi behandler er korrekte, kan du be om en begrenset behandling i den tid vi trenger for å kontrollere om personopplysningene er korrekte. Om vi ikke lenger trenger personopplysningene for de fastsatte formålene, men du derimot trenger dem for å kunne fastslå, gjøre gjeldende eller forsvare juridiske krav, kan du be om begrenset behandling av opplysningene hos oss. Det innebærer at du kan be om at vi ikke sletter dine opplysninger.
Rett til å motsette seg visse typer behandlingDu har alltid rett til å unngå markedsføring og å motsette deg all behandling av personopplysninger som bygger på en interesseavveining. Se mer om de spesifikke juridiske grunnlagene under de respektive formålene. Om du motsetter deg direkte markedsføring, vil vi avslutte behandlingen av dine personopplysninger for dette formålet og også avslutte alle typer direkte markedsføringstiltak.
Rett til dataportabilitetOm vår rett til å behandle dine personopplysninger er basert på enten ditt samtykke eller oppfyllelse av en avtale med deg, har du rett til å be om å få de opplysningene som gjelder deg og som du har gitt til oss, overført til en annen behandlingsansvarlig (såkalt dataportabilitet). En forutsetning for dataportabilitet er at overføringen er teknisk mulig og kan skje automatisk.
Rett til slettingDu har i noen tilfeller rett til å få dine personopplysninger slettet, for eksempel hvis personopplysningene ikke lenger er nødvendige for de formålene de ble samlet inn for. Merk at Kortio i noen tilfeller trenger å lagre viss informasjon i henhold til loven og dermed ikke kan slette informasjonen. Se mer informasjon under de respektive formålene.
Rett til rettingDu har rett til å få uriktige personopplysninger om deg rettet uten unødvendig opphold. Avhengig av formålet med behandlingen har du også rett til å supplere ufullstendige personopplysninger.
Utøve dine rettigheterDu utøver dine rettigheter ved å kontakte oss. Send en melding til oss på hello@kortio.no og angi hvilke formål eller hvilke behandlinger du ønsker at vi skal slutte med.
Hva er informasjonskapsler og hvordan bruker vi dem?
Vi bruker lokal lagring av data, noe som betyr at forskjellige typer data lagres lokalt på din enhet (f.eks. datamaskin, mobiltelefon eller nettbrett) via din nettleser. En type lokal lagring av data er informasjonskapsler. En informasjonskapsel er en liten tekstfil som lagres på din enhet (f.eks. datamaskin, mobiltelefon eller nettbrett) som gjør det mulig for oss å gjenkjenne din nettleser. Informasjonskapsler inneholder ikke identifiserbar informasjon om deg (som navn, adresse, telefonnummer osv.), men kun informasjon om din nettleser og den aktivitet som har skjedd gjennom nettleseren. Vi bruker også andre, lignende teknologier som pixeltagger. Dette er teknologier som kan gjenkjenne informasjonskapsler og andre identifikatorer og som gjør det mulig for tredjeparter å plassere informasjonskapsler på din enhet. I dette dokumentet brukes begrepet "lokal lagring av data" som et samlebegrep for informasjonskapsler, pixeltagger og annen lignende teknologi.
En viss lokal lagring av data er nødvendig for at du skal kunne bruke Kortios tjeneste. Dette gjelder for eksempel informasjon om dine innstillinger, som viser oss hvordan spørsmålene skal presenteres i din nettleser. Lokal lagring av data brukes også for at vi skal kunne tilpasse våre tjenester så godt som mulig etter din bruk, for eksempel for å lagre hvilke innstillinger du ønsker ved avspilling av lyd, for å lagre informasjon om hvilken videokvalitet som passer din nettleser og internetthastighet, og for spesialfunksjoner som muligheten til å lagre utfylte opplysninger. Videre bruker vi forskjellige måleverktøy som gir oss statistikk og analyser av atferd på Kortios nettsted. Vi bruker også informasjon vi har samlet inn og analysert for å utvikle og forbedre Kortios nettsted og for å kontrollere at det fungerer som det skal.