Version 1
Vi er dedikerede til at beskytte sikkerheden af dine personoplysninger. Derfor prioriterer vi, at vores primære datahosting foregår inden for EØS og benytter datacentre med robuste sikkerhedsforanstaltninger. I det omfang vi overfører dine personoplysninger til en samarbejdspartner uden for EØS, sikrer vi, at overførslen af dine personoplysninger sker i overensstemmelse med GDPR-kapitel V.
Vi har leverandører i lande, der er opført på Europa-Kommissionens liste over sikre tredjelande (lande, der har modtaget en tilstrækkelighedsafgørelse).
Som en del af vores drift kan vi i enkelte tilfælde overføre dine data til modtagere i et usikkert tredjeland (et land, der ikke er omfattet af en tilstrækkelighedsafgørelse fra Europa-Kommissionen). I disse tilfælde anvender vi som udgangspunkt standardkontraktbestemmelser med passende supplerende foranstaltninger, når det er nødvendigt, for at sikre, at overførslerne er underlagt passende garantier i henhold til GDPR.
Hvor det er relevant i forbindelse med vores samarbejde med dig og behandlingen af dine personoplysninger, overføres dine oplysninger til vores IT-partner Infosys i Indien, som leverer aftalte tjenester til Realkredit Danmark og Danske Bank-koncernen. Vi har dokumenteret, at vi ikke har nogen grund til at tro, at den gældende lovgivning vil blive fortolket eller anvendt i praksis på en måde, der vil påvirke de overførte personoplysninger eller kompromittere den beskyttelse, der kræves i henhold til GDPR.
Dine personoplysninger kan også overføres til et usikkert tredjeland i supportsager, hvor en nødsituation gør det nødvendigt for os at anvende support uden for EØS, for at opnå det, der kaldes 'follow the sun support' fra vores leverandørers specialiserede medarbejdere i forskellige lande. Sådanne overførsler, f.eks. fjernvisning/skærmdeling, finder kun sted, når det er absolut nødvendigt. Supportanmodninger og fjernadgang omfatter typisk ikke dine personoplysninger. Hvis uløste problemer kræver involvering af leverandørsupport, kan vores medarbejdere dog i særlige tilfælde vurdere, at det er nødvendigt at dele et skærmbillede, der indeholder dine personoplysninger, eller at deltage i videomøder, hvor leverandører kan se dine personoplysninger under supportprocessen, selvom dine personoplysninger ikke er hovedfokus i supportproceduren.
Når vi overfører dine personoplysninger til parter i lande, hvor Europa-Kommissionen har besluttet, at landet sikrer et tilstrækkeligt beskyttelsesniveau, baserer vi overførslen på den gældende tilstrækkelighedsafgørelse.
Du kan finde listen over sikre tredjelande og tilstrækkelighedsafgørelser på Europa-Kommissionens hjemmeside.
I det omfang vi overfører dine personoplysninger til parter i USA, baserer vi overførslen på EU-US Data Privacy Framework (DPF) til certificerede parter.
Du kan finde detaljer om EU-US Data Privacy Framework her.
Hvis vi overfører dine personoplysninger til modtagere i et tredjeland, der ikke er omfattet af en tilstrækkelighedsafgørelse fra Europa-Kommissionen, baserer vi overførslen på Europa-Kommissionens standardkontraktbestemmelser (også kendt som SCC’er) eller vores samarbejdspartners bindende virksomhedsregler (også kendt som BCR’er), sammen med implementering af passende supplerende foranstaltninger for at sikre, at dine personoplysninger opnår et væsentligt tilsvarende beskyttelsesniveau som det, der garanteres i EØS.
Du kan finde SCC’er her og BCR’er her.
Vi kan også i enkelte tilfælde overføre dine personoplysninger til parter uden for EØS baseret på de specifikke scenarier, der er fastsat i GDPR artikel 49, for eksempel hvis du ønsker at overføre penge til et land uden for EØS, og der ikke findes en gældende tilstrækkelighedsafgørelse eller SCC’er/BCR’er.
Her kan du se en oversigt over de tredjelande uden for EØS, hvor vi og vores underleverandører behandler dine personoplysninger:
Sikre tredjelande (lande, der har modtaget en tilstrækkelighedsafgørelse): Argentina, Canada, Israel, Japan, New Zealand, Schweiz, Storbritannien og USA1.
Andre tredjelande: Australien, Bahrain, Brasilien, Canada (modtagere uden for PIPEDA-dækning), Chile, Colombia, Costa Rica, Egypten, Hongkong, Indien, Indonesien, Japan (modtagere uden for APPI-dækning), Kenya, Malaysia, Mexico, Nigeria, Panama, Peru, Filippinerne, Serbien, Singapore, Sydafrika, Sydkorea, Taiwan, Thailand, Ukraine, De Forenede Arabiske Emirater, USA (modtagere uden for DPF-certificering) og Vietnam.
Listen over de nævnte lande er ikke udtømmende på grund af den globale servicemodel, som nogle af vores leverandører tilbyder. Vi opdaterer listen løbende. Hvis du ønsker at se den aktuelle liste over specifikke involverede lande, kan du besøge vores IT-leverandørers hjemmesider for yderligere information:
Microsoft
AWS
Du kan læse mere om, hvordan vi behandler dine personoplysninger i vores persondatapolitik, som du finder nederst på siden.
1Canada (PIPEDA-dækkede modtagere), Japan (APPI-dækkede modtagere) og USA (EU-U.S. Data Privacy Framework-certificerede modtagere) anses for at være tilstrækkelige til databeskyttelse inden for deres respektive specificerede sektorer. Afgørelserne om tilstrækkelighed kan findes på Europa-Kommissionens hjemmeside.