1. Hem
  2. GDPR

myPOS och GDPR-efterlevnad

  • Vårt åtagande gentemot dig och skyddet av dina uppgifter

    Från och med den 25 maj 2018 antas ”Allmänna dataskyddsförordningen” eller GDPR i alla medlemsstater i Europeiska unionen och Europeiska ekonomiska samarbetsområdet. GDPR syftar till att harmonisera de olika dataskyddslagarna i medlemsstaterna, vilket leder till mer standardiserade skydd för alla europeiska medborgare. På myPOS välkomnar vi denna ändring av lagstiftningen eftersom vi alltid har strävat efter att ge våra kunder det högsta skyddet av deras personuppgifter.

    Organisatorisk beredskap på myPOS

    Skyddet av vår kunds personuppgifter är av yttersta vikt för oss. Under det senaste året har vi arbetat outtröttligt för att säkerställa att alla krav på GDPR-efterlevnad uppfylldes i god tid. Vi följer också all praxis inom detta område och alla utfärdade riktlinjer från tillsynsorganen för att ständigt och tillräckligt kunna anpassa våra skyddsåtgärder.

    Dataskyddsombud, integritetsteam och GDPR-utbildning

    Alla våra anställda har genomgått GDPR-utbildning, övervakad av vårt integritetsteam, vår avdelning för regelefterlevnad och våra externa privata konsulter. Varje ny anställd måste delta i en obligatorisk utbildningssession gällande sekretessregler och bästa praxis. Nya utbildningssessioner genomförs årligen därefter för alla anställda. Vi har utsett vårt dataskyddsombud (DPO), som också fungerar som ledare för integritetsteamet, i enlighet med kraven i GDPR.

    Interna policyer

    Företagets interna policyer har uppdaterats i enlighet med de nya GDPR-kraven.

    Uppgifterna vi samlar in

    Personuppgifterna vi samlar in och behandlar beskrivs i detalj i vår integritetspolicy. Vi behandlar personuppgifterna baserat på olika grunder, som definieras av GDPR – rättsliga skyldigheter, i syfte att ingå och/eller genomföra ett rättsförhållande, berättigat intresse och baserat på kundens samtycke.

    Hur vi använder insamlade uppgifter

    Vi använder, lagrar och behandlar personuppgifter för att tillhandahålla, förstå, förbättra och utveckla våra tjänster, skapa och upprätthålla en säker miljö, uppnå våra legitima intressen och uppfylla våra rättsliga skyldigheter. Mer detaljerad information finns i vår integritetspolicy.

    myPOS-kunder och deras relaterade personuppgifter

    Alla myPOS-kunder är juridiska personer (företag/bolag). Uppgifterna om de enskilda firmorna är personuppgifter enligt GDPR. Övriga bolag/företag är inte registrerade personer enligt lagen. Vi är emellertid skyldiga att verifiera identiteten av företagets ägare/auktoriserade användare, som öppnar kontot (om denne är ett företag eller en annan enhet, kallad ”användaren som öppnar kontot”). Vi behandlar personuppgifterna om den här företagsägaren/auktoriserade användaren. Informationen om företaget (med undantag för enskilda firmor), inklusive dess riskprofil och företagsbesiktningar regleras inte av GDPR.

    Varför tar vi bilder av företagets auktoriserade personer och deras ID-dokument och är det GDPR-kompatibelt?

    myPOS Tjänsten är avsedd för affärsändamål och kan användas av individer eller enheter. Om du registrerar dig för och/eller använder myPOS-tjänster på uppdrag av en enhet behandlar vi dig som auktoriserad person och du kan vara skyldig att lämna ut till oss personuppgifter från de juridiska företrädarna, anställda, ombuden, indirekta ägarna eller någon annan tredje part som är relaterad till enheten.

    I enlighet med våra rättsliga skyldigheter enligt gällande bestämmelser för bekämpning av penningtvätt och finansiering av terrorism (eller AML/CFT-lagar) är vi skyldiga att verifiera vår kunds identitet eller identiteten hos den auktoriserade användaren som öppnar kontot.

    Vi är bundna av lagen att identifiera och verifiera ägaren till kontot (en auktoriserad person från företaget) och eftersom individerna inte alltid kan ladda upp den nödvändiga informationen gör vi det istället. I en onlinemiljö har vi implementerat en chatt för videoidentifiering enligt bästa praxis. Vi gör det för våra kunders bekvämlighet.

    AML/CFT-lagarna kräver i stort sett av finansiella institut och andra enheter som riskerar att användas som ett verktyg för att tvätta pengar eller finansiera terrorism att:

    1. identifiera sina kunder, vilket innebär att den förpliktade enheten måste be kunden att tillhandahålla sina personuppgifter.
    2. verifiera deras identitet, vilket innebär att den förpliktade enheten måste ”kontrollera” att personuppgifterna inte är förfalskade, påhittade, stulna eller liknande.

    När processen ovan utförs med en annan metod än ansikte mot ansikte, till exempel genom en app, måste vi se till att verifieringen av kundens identitet sker med minst två tekniska åtgärder.

    Videochattfunktionen och kravet på att ta bilder av våra kunder och deras ID är för närvarande det snabbaste, lagliga kundvänliga sättet att tillhandahålla våra tjänster.

    Konsekvensbedömning av dataskydd

    Vi har utfört en detaljerad granskning av all vår databehandling, per produkt och avdelning. Vi har analyserat grunderna för behandling, lagringsperioder, tekniska och rättsliga garantier för våra kunders rättigheter och friheter och vi har säkerställt att all databehandling som vi utför är 100 % i enlighet med lagen.

    Våra lagringsperioder

    Observera att vi som finansinstitut är skyldiga enligt direktivet om betaltjänster och penningtvätt att behålla kundens uppgifter under en period på 5 år efter uppsägning av kundens kontrakt/konto.

    Korrigering (rättelse) av kundens personuppgifter

    Våra kunder kan skicka oss en begäran om att korrigera felaktiga eller ofullständiga personuppgifter via e-post till [email protected].

    Tillgång till uppgifter

    Våra kunder har rätt att när som helst få en kopia av de uppgifter vi innehar om dem. Begäran kan skickas via e-post till [email protected].

    Radering av data

    Vi behåller vanligtvis kundens personuppgifter så länge som krävs för att kontraktet mellan dem och oss ska kunna uppfyllas och för att följa våra lagstadgade skyldigheter. Våra kunder kan när som helst begära stängning av deras myPOS-konto och uppsägning av kontraktet. Vi kommer emellertid att behålla deras uppgifter i 5 år efter uppsägningen i enlighet med lagen.

    Om de lagstadgade lagringsperioderna har löpt ut raderar vi noggrant kundens personuppgifter från våra system. Begäran om radering kan skickas via e-post till [email protected].

    Mer information finns i vår integritetspolicy.

    Dataöverföring som våra kunders rättighet

    Våra kunder har rätt att få en kopia av sina personuppgifter i ett strukturerat, vanligt, maskinläsbart format som stöder återanvändning. De kan överföra sina personuppgifter från en personuppgiftsansvarig till en annan och/eller få sina personuppgifter överförda direkt mellan personuppgiftsansvariga utan hinder.

    Återkallande av samtycke och begränsning av behandling av personuppgifter

    Om våra kunder har gett sitt samtycke till behandling av personuppgifter från oss kan de när som helst återkalla samtycket genom att ändra kontoinställningarna eller genom att skicka ett meddelande till oss som anger vilket samtycke de återkallar. Observera att återkallandet av samtycke inte påverkar lagenligheten i någon behandling baserad på sådant samtycke före dess återkallande.

    Registrerade personers rättigheter och juridiska personer

    Var informerad om att bolag inte är registrerade personer enligt GDPR. Företagare som använder myPOS-tjänster och har företagskonton kan utöva sina rättigheter, men endast angående deras personuppgifter (eller den auktoriserade personens personuppgifter). Informationen om deras företag, inklusive riskprofilen och företagsbesiktningen regleras inte av GDPR.

    Med vem delar vi personuppgifter

    Vi kan dela personuppgifter med medlemmar i myPOS-koncernen när vi strävar efter att tillhandahålla de tjänster våra kunder har begärt och för att hjälpa till att upptäcka och förhindra potentiellt olagliga och bedrägliga handlingar och andra brott mot våra policyer. Vi kan också dela personuppgifter med tredjepartstjänsteleverantörer som stöder oss vid tillhandahållande av myPOS-tjänster, produkter och/eller plattform med funktioner när vi så beslutar och på våra vägnar. För mer information, se avsnitt 3 i vår integritetspolicy.

    Barn och våra tjänster

    Våra tjänster är inte utformade för individer under 18 år, om vi inte uttryckligen har angivit det i vår integritetspolicy eller annat juridiskt dokument. Om vi får faktisk kunskap om att vi har samlat in personuppgifter från en individ under 18 år kommer vi omedelbart att radera dem, om vi inte är rättsligt skyldiga att behålla sådan information.

    Granskningar av leverantörer och partner

    Alla våra nuvarande leverantörer har granskats för att de ska uppfylla säkerhets- och integritetskrav som definieras av GDPR. För att upprätthålla säkerheten kommer dessa granskningar att utföras för alla inkommande leverantörer. När vi överför, lagrar och behandlar personuppgifter utanför Europeiska ekonomiska samarbetsområdet garanterar vi att lämpliga skyddsåtgärder finns för att säkerställa en adekvat nivå av uppgiftsskydd.

    När vi handlar med enheter utanför EES kräver vi alltid att våra leverantörer antingen är registrerade under Privacy Shield-mekanismer (eller liknande) eller att de ger oss en översyn av deras lämpliga skyddsåtgärder.

    Kryptering och lagring av personuppgifter

    Vi ansvarar för att säkerställa att dina personuppgifter är säkra, lagrade i krypterad form på servrar placerade i särskilda datacenter i klass A-jurisdiktioner i Europa. För att förhindra obehörig åtkomst eller utlämnande av information upprätthåller vi fysiska, elektroniska och processuella skyddsåtgärder som överensstämmer med gällande bestämmelser för att skydda icke-offentliga personuppgifter.

    När det gäller myPOS-kontot beskrivs säkerhetspraxis i vår integritetspolicy.

    Incidenthantering

    Våra rutiner för incidenthantering har utformats och testats för att säkerställa att potentiella säkerhetshändelser identifieras och rapporteras till lämplig personal för åtgärdande. Personalen följer definierade protokoll för att åtgärda säkerhetshändelser och stegen för åtgärdande dokumenteras och granskas regelbundet av vårt säkerhetsteam. Dessutom arbetar vi med att uppdatera dessa policyer och rutiner för att inkludera anmälan om överträdelse om och när en säkerhetsincident inbegriper förlust eller obehörig användning av personligt identifierbar information (PII).

    Efterlevnad gällande cookies

    Vi använder ”cookies” och annan teknik när användare besöker eller använder våra webbplatser eller mobilappar. Denna användning är baserad på samtycke. Om våra användare vill återkalla sitt samtycke om att acceptera cookies och liknande teknik kan de radera cookies via webbläsarens inställningar (hur detta görs beskrivs i vår cookiepolicy). Du hittar ytterligare information om hur man raderar och blockerar cookies på http://www.allaboutcookies.org/manage-cookies/clear-cookies-installed.html

    Våra licenser och registreringar

    Vi tillhandahåller finansiella tjänster i hela EU och EES. myPOS Payments Ltd. är licensierad av FCA som en institution för e-pengar, som en del av koncernen, och erbjuder handlarna konton och finansiella tjänster. Du hittar vårt registreringsnummer hos den relevanta tillsynsmyndigheten för betalningsinfrastruktur, dvs. i Storbritannien kan du hitta oss i Financial Services Register på:

    https://register.fca.org.uk/ShPo_FirmDetailsPage?id=001b000003tahppAAA

    Kontakta oss

    Var denna artikel hjälpsam?

    Tack för din feedback!

    Tack för din feedback!

    Skicka feedback till oss