Vores forpligtelse over for dig og beskyttelsen af dine data
Fra den 25. maj 2018 vedtages den 'generelle databeskyttelsesforordning' eller GDPR på tværs af alle EU-medlemsstater og Det Europæiske Økonomiske Samarbejdsområde. GDPR sigter mod at harmonisere de forskellige databeskyttelseslove i medlemsstaterne, hvilket fører til en mere standardiseret beskyttelse for alle europæiske borgere. Hos myPOS, glæder vi os over denne lovændring, fordi vi altid har bestræbt os på at give vores kunder den højeste beskyttelse af deres personlige data.
Organisatorisk beredskab hos myPOS
Beskyttelsen af vores kunders personlige oplysninger er af allerstørste betydning for os. I det sidste år, har vi arbejdet utrætteligt for at sikre, at alle krav til GDPR-overholdelse blev opfyldt i god tid. Vi følger også al praksis på dette område og alle udstedte retningslinjer fra tilsynsorganerne for at tilpasse vores beskyttelsesforanstaltninger konstant og tilstrækkeligt.
Databeskyttelsesansvarlig, Fortrolighed-Team og GDPR-træning
Alle vores medarbejdere har gennemgået en GDPR-uddannelse, overvåget af vores fortroligheds-team på stedet, afdeling for overholdelse og vores eksterne fortrolighedskonsulenter. Hver ny medarbejder skal deltage i en obligatorisk træningssession, der er knyttet til privatlivets regler og bedste praksis. Der gennemføres årligt nye træningssessioner for alle medarbejdere. Vi har udnævnt vores databeskyttelsesansvarlig (DPO), der også fungerer som personaleholdsleder i overensstemmelse med kravene i GDPR.
Interne politikker
Virksomhedens interne politikker opdateres i overensstemmelse med de nye GDPR-krav.
De data, vi indsamler
De personlige data, vi indsamler og behandler, er beskrevet detaljeret i vores Fortrolighedspolitik. Vi behandler personoplysninger på grundlag af forskellige grunde, defineret af GDPR - juridiske forpligtelser, med henblik på at indgå og/eller udføre et juridisk forhold, legitim interesse og baseret på klientens samtykke.
Hvordan vi bruger de indsamlede data
Vi bruger, opbevarer og behandler de personlige oplysninger til at levere, forstå, forbedre og udvikle vores tjenester, skabe og opretholde et sikkert miljø, forfølge vores legitime interesser og at overholde vores juridiske forpligtelser på. For detaljerede oplysninger, se venligst vores Fortrolighedspolitik.
myPOS klienter og deres relaterede personoplysninger
Alle myPOS klienter er juridiske enheder (virksomheder/selskaber). Dataene om de enkeltmandsvirksomheder er personoplysninger i henhold til GDPR. Resten af selskaberne/virksomhederne er ikke registrerede under loven. Vi er dog forpligtet til at bekræfte identiteten af den forretningsejer/autoriserede bruger, der åbner kontoen (i tilfælde af virksomhed eller anden enhed, benævnt som "bruger, der åbner kontoen"). Vi behandler de personlige data om denne virksomhedsejer/autoriseret bruger. Oplysningerne om virksomheden (med undtagelse af eneforhandlere), inklusive dens risikoprofil og kontrol med due diligence, reguleres ikke af GDPR.
Hvorfor tager vi billeder af enheds autoriserede personer og deres ID-dokumenter, og er de GDPR-kompatible?
myPOS Service er designet til forretningsformål og kan bruges af enkeltpersoner eller enheder. I tilfælde af at du tilmelder dig og/eller bruger myPOS Services på vegne af en enhed, behandler vi dig som en autoriseret person, og du kan være forpligtet til at videregive os personlige oplysninger om de juridiske repræsentanter, de ansatte, agenterne, de gavnlige ejere eller andre tredjepart relaterede til virksomheden.
I overensstemmelse med vores juridiske forpligtelser i henhold til de relevante regler for finansiering af hvidvaskning af penge og finansiering mod terrorisme (eller AML/CFT-love), er vi forpligtet til at verificere vores kunders identitet eller identiteten af den autoriserede bruger, der åbner kontoen.
Vi er bundet af loven til at identificere og bekræfte ejeren af kontoen (en autoriseret person fra virksomheden), og da enkeltpersoner ikke altid er i stand til at uploade de krævede oplysninger alene, gør vi det i stedet for. I et online miljø har vi implementeret en video-identifikationschat efter bedste praksis. Vi gør dette for vores kunders bekvemmelighed.
AML/CFT-lovgivningen kræver i vid udstrækning finansielle institutioner og andre enheder, der risikerer at blive brugt som et værktøj til hvidvaskning af penge eller finansiering af terrorisme, til:
- at identificere deres klienter, hvilket betyder, at den forpligtede enhed skal bede klienten om at angive sine personlige oplysninger.
- at verificere deres identitet, hvilket betyder, at den forpligtede enhed skal "kontrollere", at de personlige oplysninger ikke er forfalskede, tilpasset, stjålne eller lignende.
Når processen ovenfor udføres på et ikke-ansigt-til-ansigt-princip, f.eks. gennem en app, skal vi sikre, at verificeringen af klientens identitet skal udføres med mindst to tekniske foranstaltninger.
Video-chat-funktionaliteten og kravet om at tage billeder af vores klienter og deres ID er på dette tidspunkt den hurtigste, lovlige og kundevenlige måde at yde vores tjenester på.
Konsekvensanalyser vedrørende databeskyttelse
Vi har gennemført en detaljeret gennemgang af alle vores databehandlingsaktiviteter, efter produkt og efter afdeling. Vi har analyseret grundene til behandling, opbevaringsperioder, tekniske og juridiske garantier for vores klients rettigheder og friheder, samt med at vi har sikret, at enhver udførende databehandlingsaktivitet, også er 100% i overensstemmelse med loven.
Vores opbevaringsperioder
Vær venligst opmærksom på, at vi som finansinstitution er forpligtet i henhold til betalingstjenestedirektivet og hvidvaskning af penge til at opbevare kundens data i en periode på 5 år efter afslutningen af vores kundes kontrakt/konto.
Korrektion (rettelse) af klientens personlige data
Vores kunder kan sende os en anmodning om at rette unøjagtige eller ufuldstændige personlige oplysninger via e-mail til [email protected].
Dataadgang
Vores klienter har til enhver tid ret til at modtage en kopi af de data, vi holder for dem. Anmodningen kan sendes via e-mail til [email protected].
Sletning af data
Vi opbevarer generelt kunders personlige oplysninger, så længe det er nødvendigt for udførelsen af kontrakten mellem dem og os, og for at overholde vores lovpligtige forpligtelser. Vores kunder kan til enhver tid anmode om lukning af deres myPOS konto og opsigelse af kontrakten. Vi vil dog opbevare deres data i 5 år efter opsigelsen og i overensstemmelse med loven.
Hvis de lovgivningsmæssige opbevaringsperioder er udløbet, sletter vi omhyggeligt klienters personlige oplysninger fra vores systemer. Anmodningen om sletning kan sendes via e-mail til [email protected].
For yderligere information, se venligst vores Fortrolighedspolitik.
Dataoverførsel som vores klienters ret
Vores klienter har ret til at modtage en kopi af deres personlige data i et struktureret, ofte brugt, maskinlæsbart format, der understøtter et genbrug. De kan overføre deres personlige data fra en controller til en anden og/eller få de personlige data sendt direkte mellem controllere uden hindring.
Samtykke-tilbagetrækning og begrænsning af behandling af personoplysninger
Hvor vores kunder har givet deres samtykke til behandling af personlige oplysninger ved os, kan de også til enhver tid tilbagetrække samtykket ved at ændre kontoindstillingerne eller ved at sende en meddelelse til os med angivelse af hvilket samtykke de ønsker at trække tilbage. Bemærk venligst, at tilbagetrækning af samtykke ikke påvirker lovligheden af nogen behandlingsaktiviteter, der er baseret på et sådant samtykke, før dens tilbagetrækning.
Den registreredes rettigheder og juridiske enheder
Vær venligst opmærksom på, at virksomheder ikke er registrerede under GDPR. Virksomhedsejere, der bruger myPOS service og har forretningskonti, kan udøve deres rettigheder, men kun vedrørende deres personlige data (eller den autoriserede persons personlige data). Oplysningerne om deres virksomhed, herunder dets risikoprofil og kontrol med due diligence, reguleres ikke af GDPR.
Hvem vi deler personlige data med
Vi deler muligvis personlige data med medlemmer af myPOS gruppen af virksomheder, da vi sigter mod at levere de tjenester, vores kunder har anmodet om, og for at hjælpe med at opdage og forhindre potentielt ulovlige og svigagtige handlinger samt andre overtrædelser af vores politikker. Vi kan også dele personlige oplysninger med tredjepartsudbydere, der understøtter os med at levere myPOS service, produkter og/eller platform med funktioner på vores beslutning og på vores vegne. For yderligere detaljer, se afsnit 3 i vores Fortrolighedspolitik.
Børn og vores tjenester
Vores tjenester er ikke designet til personer under 18 år, medmindre vi udtrykkeligt har angivet dette i vores Fortrolighedspolitik eller andet juridisk dokument. Hvis vi indhenter faktisk viden om, at vi har indsamlet personlige data fra en person under 18 år, vil vi straks slette dem, medmindre vi er juridisk forpligtet til at bevare sådanne data.
Revidering af leverandører og partnere
Alle vores nuværende leverandører er blevet revideret, at de opfylder krav om sikkerhed og fortrolighed, der er defineret af GDPR. For at opretholde sikkerheden, vil disse revideringer blive gennemført for alle indgående leverandører. Hvor vi overfører, opbevarer og behandler personlige oplysninger uden for Det Europæiske Økonomiske Samarbejdsområde garanterer vi, at der findes passende sikkerhedsforanstaltninger for at sikre et tilstrækkeligt databeskyttelsesniveau.
Når vi handler med enheder uden for EØS, kræver vi altid, at vores leverandører enten er registreret under Privacy Shield -mekanismer (eller lignende) eller at give os en gennemgang af deres passende beskyttelse af de personlige oplysninger.
Kryptering og opbevaring af personlige data
Vi tager ansvaret for at sikre, at dine personlige oplysninger er sikre, holdes i en krypteret server, sammenstillede i specielle klasse A-datacentre i jurisdiktioner indenfor Europa. For at forhindre uautoriseret adgang eller videregivelse af information, opretholder vi fysiske, elektroniske og proceduremæssige sikkerhedsforanstaltninger, der overholder gældende regler for at beskytte ikke-offentlige og personlige oplysninger.
Når det kommer til myPOS kontoen, beskrives sikkerhedspraksis i vores Fortrolighedspolitik.
Hændelsesrespons
Vores hændelsesrespons-procedurer er designet og testet for at sikre, at potentielle sikkerhedsbegivenheder identificeres og rapporteres til den passende personale til opløsning, hvor personalet følger definerede protokoller til løsning af sikkerhedsbegivenheder, og trin for opløsningen er dokumenteret og gennemgået regelmæssigt af vores sikkerhedsteam. Derudover arbejder vi med at opdatere disse politikker og procedurer for at inkludere anmeldelse om brud, hvis og når en sikkerhedshændelse involverer tab eller uautoriseret brug af personlige identificerbare oplysninger (PII).
Overholdelse af cookies
Vi bruger “cookies” og andre teknologier, når brugere besøger eller bruger vores websteder eller mobile apps. Denne brug er baseret på samtykke. Hvis vores brugere ønsker at tilbagetrække deres aftale om at acceptere cookies og lignende teknologier, kan de slette cookies via browserindstillingerne (hvordan man gør det, er beskrevet i vores Cookiepolitik). Find yderligere oplysninger om slettelse og blokering af cookies på http://www.allaboutcookies.org/manage-cookies/clear-cookies-installed.html
Vores licenser og registreringer
Vi leverer finansielle tjenester i hele EU og EØS. myPOS Payments Ltd. er licenseret af FCA som en e-pengeinstitution og som en del af gruppen, der tilbyder de handlende konti og finansielle tjenester. Du kan finde vores registreringsnummer i den relevante tilsynsmyndighed for betalingsinfrastruktur, dvs. i Storbritannien kan du finde os i Financial Services Register, på:
https://register.fca.org.uk/ShPo_FirmDetailsPage?id=001b000003tahppAAA