Vår forpliktelse overfor deg og beskyttelsen av dataene dine
Fra og med 25. mai 2018, har "General Data Protection Regulation" eller GDPR blitt vedtatt i alle EU-medlemsstater og Det europeiske økonomiske samarbeidsområdet (EØS). GDPR har som målsetting å samkjøre alle de forskjellige databeskyttelses lovgivningene på tvers av alle medlemslandene, noe som igjen vil føre til mer standardisert databeskyttelse for alle de europeiske borgerne. Hos myPOS, ønsket vi denne reguleringsendringen hjertelig velkommen, fordi vi alltid har gjort vårt beste for å beskyttelse av personopplysningene deres.
Organisatorisk beredskap hos myPOS
Beskyttelsen av personopplysningene til kundene våre er noe av det som er aller viktigst for oss. Det siste året har vi jobbet ustanselig for å forsikre oss om at alle GDPR-samsvarskrav ble oppfylt i god tid. Vi følger også all praksis på dette området og alle de utstedte retningslinjene fra reguleringsorganene, for å kunne kontinuerlig og tilstrekkelig tilpasse beskyttelsestiltakene våre.
Personvernombud, Personvernteam og GDPR-opplæring
Alle våre ansatte har gjennomgått GDPR-opplæring, overvåket av Personvernteamet og Samsvarsavdelingen vår på stedet, og våre eksterne personvernkonsulenter. Alle nyansatte må delta på en obligatorisk opplæring knyttet til personvernretningslinjer og beste praksis. Påfølgende opplæringsøkter gjennomføres deretter årlig av alle de ansatte. Vi har utnevnt et Personvernombud (DPO), som også er leder for Personvernteamet vårt, i samsvar med de gjeldende GDPR-kravene.
Interne retningslinjer
Selskapets interne retningslinjer har blitt oppdatert i samsvar med de nye GDPR-kravene.
Opplysningene vi samler inn
Personopplysningene vi samler inn og behandler står beskrevet i detalj i vår Personvernerklæring. Vi behandler personopplysningene basert på flere ulike grunnlag, definert av GDPR - juridiske forpliktelser, med det formål å inngå og/eller utføre et rettsforhold, legitime interesser og basert på klientenes samtykke.
Hvordan vi bruker opplysningene vi samler inn
Vi bruker, lagrer og behandler personopplysninger for å tilby, forstå, forbedre og utvikle våre tjenester, skape og opprettholde et sikkert miljø, forfølge våre legitime interesser og overholde våre juridiske forpliktelser. For mer informasjon, vennligst se vår Personvernerklæring.
myPOS-klienter og deres tilknyttede personopplysninger
Alle myPOS-klienter anses å være juridiske entiteter (firmaer/selskaper). Opplysningene til enkeltmannsforetak blir ansett som personopplysninger iht. GDPR. Resten av selskapene/firmaene beskyttes ikke av denne lovgivningen. Imidlertid er vi forpliktet til å bekrefte identiteten til bedriftseieren/den autoriserte brukeren som åpner Kontoen (i tilfelle selskapet eller annen instans, referert til som "brukeren som åpner Kontoen"). Vi behandler personopplysningene til denne bedriftseieren/autoriserte brukeren. Opplysningene om selskapet deres (med unntak av enkeltpersonforetak), inkludert risikoprofiler og “due diligence” (aktsomhets)-vurderinger, faller ikke inn under GDPR.
Hvorfor vi tar bilder av instansens autoriserte personer og deres ID-dokumenter, og er det i samsvar med GDPR?
myPOS Service har blitt utformet for forretningsformål, og kan brukes av enkeltpersoner eller forretningsenheter. I tilfelle du registrerer deg for og/eller allerede bruker myPOS Services på vegne av en instans, vil vi behandle deg som en autorisert person, og du kan være forpliktet til å avsløre personopplysninger til oss om de juridiske representantene, de ansatte, agentene, de reelle eierne eller enhver annen tredjepart knyttet til denne forretningsenheten.
I samsvar med våre juridiske forpliktelser i henhold til de relevante forskriftene gjeldende hvitvasking av penger og antiterror-finansiering (eller AML/CFT-lovgivningen), er vi forpliktet til å bekrefte alle kundene våres identitet eller identiteten til den autoriserte brukeren som åpner Kontoen.
Vi er pålagt av lovgivningen å identifisere og bekrefte eieren av Kontoen (den autoriserte personen fra selskapet), og siden enkeltpersoner ikke alltid er i stand til å laste opp den nødvendige informasjonen på egenhånd, gjør vi det i stedet. I et nettbasert miljø, har vi implementert en videoidentifikasjonchat etter beste forretningspraksis. Vi gjør dette for bekvemmeligheten til kundene våre.
AML/CFT-lovgivningen krever generelt at finansinstitusjoner og andre enheter som står i fare for å kunne bli brukt som et verktøy for hvitvasking av penger eller til å finansiere terrorisme, må:
- identifisere klientene deres, noe som betyr at den forpliktede instansen må be klienten om å oppgi hans/hennes personopplysninger.
- bekrefte identiteten deres, noe som betyr at den forpliktede instansen må "sjekke" at personopplysningene til personen ikke har blitt forfalsket, stjålet eller lignende.
Når prosessen ovenfor gjennomføres på et ikke-ansikt-til-ansikt-prinsipp, for eksempel via en app, må vi sørge for at bekreftelsen av klientens identitet må gjennomføres med minst to tekniske tiltak.
Videochatfunksjonen og kravet om å ta bilder av klientene våre og deres ID-er for øyeblikket den raskeste, juridiske og mest kundevennlige måten å tilby tjenestene våre til deg på.
Konsekvensvurdering for databeskyttelse
Vi har utført en detaljert gjennomgang av alle våre databehandlingsaktiviteter, etter produkt og avdeling. Vi har analysert grunnlaget for behandlingen, oppbevaringsperiodene, de tekniske og juridiske garantiene for våre klienters rettigheter og friheter, og vi har forsikret oss om at all databehandlingsaktivitetene vi utfører er 100 % i samsvar med den gjeldende lovgivningen.
Oppbevaringsperiodene våre
Vennligst vær oppmerksom på at, som en finansinstitusjon er vi pålagt av Payment Services-direktivet og lovgivningen gjeldende hvitvasking av penger, om å oppbevare klientens data i en periode på 5 år etter oppsigelsen av kontrakten/kontoen til kundene våre.r.
Korrigering (retting) av klientens personopplysninger
Kundene våre kan send oss en forespørsel om å korrigere (rett på) unøyaktig eller ufullstendig personopplysninger på e-post til [email protected].
Datatilgang
Klientene våre har når som helst be om å få en kopi av opplysningene vi har om dem. Forespørselen kan sendes på e-post til [email protected].
Sletting av data
Vi beholder vanligvis klientene våres personopplysninger så lenge det er nødvendig for å oppfylle den inngåtte kontrakten mellom dem og oss, og for å kunne overholde alle våre regulatoriske forpliktelser. Kundene våre kan når som helst be om at myPOS-kontoen deres stenges og kontrakten avsluttes. Vi kommer imidlertid, i samsvar med gjeldende lovgivning, til å beholde dataene deres i opptil 5 år etter stengningen.
Når de regulatoriske oppbevaringsperiodene har utløpt, sletter vi umiddelbart og omhyggelig klientenes personopplysninger fra alle systemene våre. Forespørselen om sletting kan sendes på e-post til [email protected].
For mer informasjon, vennligst se vår Personvernerklæring.
Kundene våre har retten til å få overført dataene sine
Kundene våre har rett til å motta en kopi av personopplysningene sine i et strukturert, vanlig brukt, maskinlesbart format som støtter gjenbruk. De kan overføre personopplysningene sine fra en behandlingsansvarlig til en annen, og/eller få personopplysningene sine overført direkte mellom to behandlingsansvarlige uten hindring.
Tilbaketrekking av samtykke og begrensning av behandling av personopplysninger
Der klientene våre har gitt ditt samtykke til behandlingen av personopplysningene sine av oss, kan de når som helst trekke tilbake samtykket sitt, ved å endre på kontoinnstillingene eller ved å sende oss en melding som spesifiserer hvilket samtykke de trekker tilbake. Vennligst vær oppmerksom på at tilbaketrekking av samtykket ditt ikke vil påvirke lovligheten av eventuelle behandlingsaktiviteter basert på et slikt samtykke før tilbaketrekkingen fant sted.
Registrerte rettigheter og juridiske enheter
Vennligst vær oppmerksom på at GDPR ikke gjelder for selskaper. Bedriftseiere som brukermyPOS-tjenester og har forretnings kontoer kan utøve rettigheten deres, kun når det gjelder personopplysningene deres (eller personopplysningene til den autoriserte personen). Opplysningene om selskapet deres, inkludert risikoprofiler og “due diligence” (aktsomhets)-vurderinger, faller ikke inn under GDPR.
Hvem vi deler personopplysninger med
Vi kan komme til å dele personopplysninger med medlemmer av myPOS-gruppen av selskaper, ettersom vi tar sikte på å tilby tjenestene våre kunder har bedt om, og for å hjelpe til med å oppdage og forhindre potensielt ulovlige og bedragerske aktiviteter og andre brudd på retningslinjene våre. Vi kan komme til å dele personopplysningene dine med tredjeparts tjenesteleverandører som støtter oss i å tilby myPOS-tjenester, produkter og/eller Plattformen, på vår beslutning og på våre vegne. For mer informasjon, vennligst se avsnitt 3 i vår Personvernerklæring.
Barn og tjenestene våre
Tjenestene våre har ikke blitt utviklet for personer under 18 år, med mindre vi ettertrykkelig har spesifisert det i Personvernerklæring våre, eller andre gjeldende juridiske dokumenter. Hvis vi blir oppmerksomme på at vi har samlet inn Personopplysninger fra en person under 18 år, vil vi umiddelbart slette dem, med mindre vi er juridisk forpliktet til å beholde slike data.
Gjennomganger av Leverandører og Samarbeidspartnere
Alle våre nåværende leverandører har blitt gjennomgått for å sikre at de oppfyller alle sikkerhets- og personvernkraven som defineres av GDPR. For å opprettholde sikkerheten, vil disse gjennomgangene bli utført for alle nye for oss leverandører. Der vi overfører, lagre og behandler personopplysningene dine utenfor EØS, har vi sørget for at passende sikkerhetstiltak har blitt satt på plass for å sikre et tilstrekkelig høyt nivå av databeskyttelse.
Der hvor vi må forholde oss til enheter utenfor EØS, krever vi alltid at leverandørene våre enten har registrert seg under Privacy Shield mekanismene (eller lignende), eller gi oss en oversikt over de egnede personverntiltakene de har satt på plass.
Kryptering og lagring av personopplysninger
Påtar vi oss ansvaret for å sikre at personopplysningene dine er trygt oppbevart og kryptert på servere, samlokalisert i spesielle datasentre i klasse A jurisdiksjoner i Europa. For å forhindre uautorisert tilgang eller avsløring av informasjon opprettholder vi fysiske, elektroniske og prosedyremessige sikkerhetstiltak som er i samsvar med gjeldende regelverk for beskyttelsen av ikke-offentlig personopplysninger.
Når det gjelder myPOS-kontoen, er sikkerhetspraksisen beskrevet i våre Personvernretningslinjer.
Hendelsesrespons
Våre Hendelsesrespons-prosedyrer har blitt utformet og testet for å sikre at alle potensielle sikkerhetshendelser blir identifisert og rapportert til egnet personell for tilsyn, dette personellet vil følge definerte protokoller for å løse sikkerhetshendelsene, og løsningstrinnene dokumenteres og gjennomgås av sikkerhetsteamet vårt med jevne mellomrom. I tillegg jobber vi kontinuerlig med å oppdatere disse retningslinjene og prosedyrene for å inkludere varsler om brudd, om og når en sikkerhetshendelse som involverer tapet av eller uautorisert bruk av personlig identifiserbar informasjon (PII).
Informasjonskapsel samsvar
Vi bruker "informasjonskapsler" og andre teknologier, når du besøker eller bruker nettsidene mobilappen våre. Denne bruken er basert på ditt samtykke. Hvis noen av brukerne våre ønsker å trekke tilbake samtykket sitt for bruken av informasjonskapsler og lignende teknologier, de kan slette informasjonskapslene ved hjelp av innstillingene til nettleseren sin (instruksjoner om hvordan man gjør det finnes i våre Retningslinjer for informasjonskapsler). Det finnes mer informasjon om sletting og blokkering av informasjonskapsler her http://www.allaboutcookies.org/manage-cookies/clear-cookies-installed.html
Våre lisenser og registreringer
Vi tilbyr finansielle tjenester i hele EU og EØS. myPOS Payments Ltd. har blitt lisensiert av FCA, som en E-Pengeinstitusjon, som en del av gruppen, og tilbyr forhandlerkontoer og finansielle tjenester. Du kan finne registreringsnummeret vårt hos den relevante tilsynsmyndigheten for betalingsinfrastruktur, dvs. i Storbritannia finner du oss i Financial Services-registeret, på:
https://register.fca.org.uk/ShPo_FirmDetailsPage?id=001b000003tahppAAA