Integritetspolicy
1. Syfte
1.1 Denna integritetspolicy gäller när Paynova* (“Paynova”, “vi”, “vår”), organisationsnummer 556584-5889, Box 4169, 102 64 Stockholm, Sverige, utför behandling av personuppgifter avseende konsumenter som använder Paynovas tjänster eller som gör ett köp hos en handlare som använder Paynovas tjänster (“du”, “din”). Paynovas behandling av personuppgifter följer tillämplig dataskyddslagstiftning, inklusive men inte begränsat till den allmänna dataskyddsförordningen (EU) 2016/679 (“den allmänna dataskyddsförordningen” (”GDPR”)).
2. Ändamålen med behandlingen
2.1 Handlaren arbetar tillsammans med Paynova och låter dig använda en eller flera Paynova-betalningsmetoder för din beställning. Fordran som härrör från avtalet mellan dig och företaget överförs sedan till Paynova om Paynovas betalningsmetod används.
2.2 Paynova behandlar därför dina personuppgifter när detta är nödvändigt för köp och överlåtelse av det krav som uppstår till följd av avtalsförhållandet mellan dig och handlaren. Paynova behandlar även personuppgifter i syfte att behandla den efterföljande betalningstransaktionen från Paynova, i samband med kontakter i avtalssammanhang och för att förhindra bedrägeri och liknande brott. Paynovas behandling av personuppgifter baseras på den rättsliga grunden fullgörande av avtal. Vid behov överför vi även personuppgifter i detta sammanhang och för detta ändamål till våra samarbetspartners. Paynova kan inte tillhandahålla sina tjänster utan att behandla personuppgifter.
2.3 Dina personuppgifter används av Paynova för betalning av handlarens produkter och tjänster, leverans av produkter, fakturering, information samt för kontakt med dig som kund.
2.4 Behandling av personuppgifter utförs även av Paynova för att uppfylla de rättsliga skyldigheter som åläggs Paynova, t.ex. enligt konsumentkreditlagen (SFS 2010:1846) och lagen om åtgärder mot penningtvätt och finansiering av terrorism (SFS 2017:630) och för att lämna ut nödvändiga uppgifter till myndigheter som Polis, skattemyndigheter eller andra organ, i den utsträckning vi är juridiskt skyldiga att göra det eller om vi har ett legitimt intresse av avslöjandet. Ett exempel på sådana juridiskt nödvändiga upplysningar är utlämnande i syfte att bekämpa penningtvätt och terrorism.
2.5 Vi behandlar även dina personuppgifter för vårt berättigade intresse av att kunna vidta åtgärder för att förhindra bedrägerier, utveckla våra tjänster samt tillhandahålla information och marknadsföring som vi tror att du kan vara intresserad av.
3. Personuppgifter som behandlas
3.1 Personuppgifter är all information som kan kopplas till en levande person. Paynova samlar in och behandlar olika typer av personuppgifter inom ramen för sin verksamhet, beroende på vilken typ av tjänst den registrerade använder (såsom köp mot faktura, kortköp, kreditköp etc.). Informationen tillhandahålls antingen direkt av dig eller samlas in av Paynova för att komplettera den information du lämnat, så att köpet blir så smidigt som möjligt.
3.2 Följande personuppgifter kan samlas in av Paynova från dig. Vad som samlas in beror på vilken av Paynovas tjänster du använder:
a) Information om din identitet – förnamn, efternamn och personnummer.
b) Dina kontaktuppgifter – adress för faktura och leverans, e-postadress, telefonnummer.
c) Betalningsinformation – kredit- eller betalkortsdata (kortnummer, giltighetsdatum, CVV-kod, kortägare).
d) Reseinformation – om köpet avser en resa behandlar Paynova information om resan och identiteten på resenären eller resenärerna.
3.3 Paynova kan också behöva behandla andra typer av personuppgifter beroende på typ av tjänst, antingen på grund av krav från handlare (personen du köper tjänsten eller varorna från) eller på grund av lag eller förordning. Sådana personuppgifter samlas in från kreditupplysningsföretag eller handlaren. Paynova kan behöva samla in och behandla:
a) Information om köpet – information om den produkt, tjänst eller resa som betalningen avser.
b) Kreditinformation – information om dig som behövs för att bedöma din kredit, såsom din inkomst, eventuella krediter och negativ betalningshistorik.
c) Historik – För att utföra en kreditkontroll kan Paynova behandla data om dina tidigare köp och din betalnings- och kredithistorik med de handlare som använder Paynovas tjänster.
d) Sanktioner och PEP-listor – jämförelse av dina personuppgifter med listor över sanktionerade och politiskt utsatta personer. Dessa listor innehåller information som namn, födelsedatum, födelseort, yrke eller position samt skäl för att tas med i listan.
e) Kommunikationsdata – för att veta hur du har behandlats och kunna hantera supportärenden behandlar Paynova information om hur du använt Paynovas tjänst, sidor och infrastruktur. Dessa loggar tas bort automatiskt med jämna mellanrum.
f) IT-data – för att du ska kunna kommunicera med Paynovas system behöver vi behandla data om den enhet du använder, till exempel enhetens IP-adress och operativsystem.
3.4 Om du kontaktar Paynovas kundtjänst för att få hjälp med ett ärende eller för återbetalning, kommer ärendet att kräva att Paynova behandlar dina personuppgifter. Personuppgifter som behandlas inom ramen för kundservice kan till exempel vara:
a) Information om din identitet – såsom förnamn, efternamn och personnummer. Om du också tillhandahåller information om andras identitet kommer Paynova inte att spara den informationen om det inte krävs för ärendet eller för att undersöka bedrägeri eller annat ärende.
b) Kontaktuppgifter – såsom fakturaadress, leveransadress, e-postadress, mobilnummer och telefonnummer, folkbokföringsadress (kan hämtas från Skatteverket för att säkerställa att adressen är korrekt).
c) Ärendebeskrivning – vid din kontakt och beskrivning av supportärendet kan inte Paynova styra vilken information du lämnar. Din ärendebeskrivning kan därför innehålla personuppgifter som Paynova inte har någon anledning att behandla. Exempel på sådana uppgifter är förvaltare, familjemedlemmar etc. Vi behandlar dina personuppgifter så länge supportärendet pågår, dock i högst tolv (12) månader från det att ärendet avslutats. Alla juridiska frågor kommer att lagras i enlighet med lagkrav.
d) Röstinspelning – Paynova kan behandla inspelning av ditt samtal för utbildningsändamål och för att säkerställa bästa möjliga kundupplevelse. Denna inspelning kommer att lagras i sex (6) månader.
e) Slutfaktura – när du kontaktar kundsupport kan ditt kreditavtal ägas upp. Kundsupporten kommer då att behandla de personuppgifter som krävs för att skapa en slutfaktura.
f) Återbetalningsbehandling – om kundtjänstärendet gäller eller leder till återbetalning måste Paynova behandla bankkontouppgifterna för utbetalningen, samt priset och andra detaljer för köpet som återbetalningen avser.
4. Automatiskt beslutsfattande
4.1 I samband med köp mot faktura utför Paynova en kreditprövning. Personuppgifter samlas sedan in från kreditupplysningsföretag som Paynova samarbetar med för att göra en övergripande kreditbedömning. Uppgifterna samlas också in för att bekräfta din identitet och adress.
4.2 Kreditkontrollen bedömer faktorer som din betalningshistorik, din inkomst, dina krediter och dina kreditkostnader. Baserat på dessa faktorer kommer kreditkontrollen antingen att tillåta eller neka dig ett köp mot faktura eller den kredit du ansökte om. Information om nekad eller beviljad kredit kommer inte att behandlas av Paynova annat än för att undvika att Paynova i onödan upprepar kreditbedömningsprocessen.
5. Mottagare av personuppgifter
5.1 Paynovas tjänster kräver att Paynova samarbetar med och interagerar med andra system och aktörer. För att kunna göra betalningar och administrera kundrelationer kommer Paynova att överföra dina personuppgifter till andra organisationer när det är nödvändigt för att fullgöra avtal eller i enlighet med lagar, förordningar eller beslut som Paynova måste följa. Följande typer av mottagare kan gälla:
a) Handlare – för det mesta är handlare som använder Paynovas tjänster själva ansvariga för att samla in de uppgifter de behöver för att svara dig. I vissa fall kommer Paynova att komplettera handlarens information för att Paynova eller handlaren ska kunna uppfylla sina skyldigheter enligt avtal med dig.
b) Kreditupplysningsföretag – enligt beskrivningen ovan kommer Paynova att lämna ut information om dig till kreditupplysningsföretag när Paynova är skyldig att bedöma din kreditvärdighet. Paynova gör detta för att bekräfta din identitet, bedöma din kreditvärdighet och avgöra om Paynova kan erbjuda dig den betalningsmetod du har valt.
c) Myndigheter – Paynova kan behöva lämna ut uppgifter till myndigheter, såsom Polisen eller Skatteverket, om vi är skyldiga att göra det enligt lag eller om du har begärt att vi ska göra det. I vissa fall kan Paynova hindras enligt lag från att berätta att din personliga information har begärts av myndigheter.
d) Meddelandetjänster – Paynova använder tjänster för att kommunicera automatiskt till dig, t.ex. med bekräftelser eller påminnelser via post eller e-post. Dessa företag har endast tillgång till ditt namn, adress eller e-postadress och har åtagit sig att inte dela dina personuppgifter med någon annan än när det är nödvändigt för att utföra tjänsten.
Vi delar också personuppgifter med våra partners (i syfte att utföra kreditkontroller och göra betalningar), tjänsteleverantörer och med kreditupplysningsföretag som en del av att tillhandahålla våra tjänster.
5.2 Paynova behandlar så mycket av sina uppgifter som möjligt inom EU/EES. Om uppgifter överförs för att behandlas av en leverantör eller underleverantör utanför EU/EES sker överföringen i enlighet med gällande dataskyddslagstiftning. Paynova säkerställer till exempel att mottagaren alltid ingår avtalsvillkor och lämpliga skyddsåtgärder (om tillämpligt) med Paynova som säkerställer att mottagaren upprätthåller en skyddsnivå som är jämförbar med EU/EES.
6. Lagring av personuppgifter
6.1 Personuppgifter bevaras endast så länge som det är nödvändigt för att uppfylla de syften som beskrivs ovan och om Paynova är skyldigt att lagra personuppgifter under en viss tid enligt lag, t.ex. enligt regler om bokföring och penningtvätt. Detta innebär att de flesta av de personuppgifter som samlas in om dig automatiskt raderas efter att en betalning har gjorts eller en kredit har betalats av. Det finns vissa undantag som resulterar i att Paynova behåller personuppgifter även efter att ett skuldförhållande har upphört, dessa beskrivs nedan.
6.2 Kontaktuppgifter och identitetsuppgifter kommer att behållas av Paynovas system efter varje genomfört köp under en kortare period för att möjliggöra felsökning och testning.
6.3 De uppgifter av ekonomisk karaktär som Paynova samlar in från kreditupplysningsföretag sparas alltid i tre månader från det att de senast användes. På detta sätt kan man undvika att kreditbedömningsprocessen måste upprepas mer än nödvändigt.
7. Radering av personuppgifter
7.1 Personuppgifter raderas eller avpersonifieras när uppgifterna inte längre behöver behållas. Avpersonifierad innebär att uppgifterna inte längre kan användas för att identifiera en person.
7.2 Innan data används som underlag för statistik och produktutveckling avpersonifieras och aggregeras de, vilket innebär att de inte längre kan kopplas till dig, varken av Paynova eller någon annan. Informationen innehåller därför inte längre personuppgifter.
7.3 När Paynova utför en radering av personuppgifter kan de inte återkallas/återskapas och när raderingen har utförts kan ingen person längre associeras med den information som finns kvar.
8. Informationssäkerhet
8.1 Som personuppgiftsansvarig vidtar Paynova lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas i enlighet med avsnitt 2 i den allmänna dataskyddsförordningen. Paynova har specifika interna policyer och processer för att hantera informationssäkerhetsfrågor och för att förebygga och upptäcka läckor.
8.2 Paynova vidtar lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som behandlas. Säkerhetsåtgärderna ska skydda personuppgifter mot säkerhetstillbud.
8.3 Vidare ska säkerhetsåtgärderna uppnå den skyddsnivå som föreskrivs i lag eller förordning och IMY:s riktlinjer och tillämpliga säkerhetsbestämmelser, samt vad som i övrigt är lämpligt med hänsyn till bland annat de behandlade personuppgifternas känslighet.
8.4 Tillgången till personuppgifter ska begränsas till de personer som behöver tillgång till personuppgifterna för att kunna fullgöra sina skyldigheter.
8.5 Paynovas produktionsmiljö är PCI-DSS-certifierad. All kort- och betalningsinformation som Paynova bearbetar i produktionsmiljön krypteras via CBC.
9. Personuppgiftsincidenter
9.1 Paynova har fastställt specifika riktlinjer för hantering av säkerhetsincidenter som resulterar i oavsiktlig eller olaglig förstörelse, förlust, ändring eller åtkomst av obehöriga personer till personuppgifter som behandlas av Paynova (“Personuppgiftsincident”). I händelse av en personuppgiftsincident måste dokumentet Behandla personuppgiftsincident följas.
9.2 Paynovas interna Compliance Manager ansvarar för att DSO kontaktas och konsulteras i händelse av personuppgiftsincidenter. Enligt dataskyddsförordningen ska DSO fungera som kontaktperson för tillsynsmyndigheten. Systemansvariga för distributionssystem måste därför i god tid informeras om vad som upptäcks vid en personuppgiftsincident. Om ett beslut fattas om att anmäla eller inte anmäla en personuppgiftsincident till tillsynsmyndigheten ska den systemansvarige för distributionssystemet informeras om beslutet och skälet till detta om den systemansvarige för distributionssystemet inte redan rådfrågas vid hanteringen av incidenten.
10. Överföring och utlämnande av personuppgifter
10.1 Överföring och utlämnande av personuppgifter till tredje part, såsom tjänsteleverantörer, får endast ske i enlighet med personuppgiftslagen och andra tillämpliga lagar och förordningar.
10.2 Överföring av personuppgifter utanför EU/EES-området får endast ske till länder som anses ha en adekvat skyddsnivå eller om den registrerade har gett sitt samtycke till överföringen eller om det annars finns ett undantag från förbudet mot överföring av personuppgifter till tredje land. Överföring kan göras till en mottagare i ett tredje land om mottagaren har ingått EU-kommissionens standardavtalsklausuler med företaget. Vid användning av standardavtalsklausuler ska företaget bedöma om ytterligare skyddsåtgärder av teknisk eller organisatorisk karaktär är nödvändiga i det enskilda fallet.
10.3 Vid överföring av personuppgifter till mottagare som behandlar personuppgifter för Paynovas räkning i egenskap av personuppgiftsbiträde ska det finnas ett personuppgiftsbiträdesavtal mellan parterna i enlighet med bestämmelserna i personuppgiftslagen och IMY:s riktlinjer. Personuppgiftsbiträdet ska enligt Personuppgiftsbiträdesavtalet vara skyldigt att följa denna Policy.
11. Dina rättigheter
11.1 Paynova har ett registrerat dataskyddsombud som kan kontaktas enligt kontaktuppgifterna nedan. Dataskyddsombudet är kontaktperson för utövandet av rättigheter gentemot Paynova.
11.2 Du har rätt att återkalla ditt samtycke till en viss behandling utan kostnad utan att detta påverkar lagligheten av behandlingen före återkallandet. Du kan till exempel ha valt att samtycka till att Paynova sparar dina kortuppgifter för att göra det enklare för dig att göra inköp i framtiden. Du kan själv återkalla samtycket och radera dina sparade kortuppgifter.
11.3 Du har rätt att begära att behandlingen begränsas till lagring och att invända mot behandlingen.
11.4 Du har också rätt att begära ett registerutdrag, i elektroniskt format när Paynova är personuppgiftsbiträde. Paynova kommer att sammanställa information om hur dina personuppgifter har behandlats och skicka dem till dig, normalt inom en månad. Paynova ska också hjälpa handlare att svara registrerade när Paynova är personuppgiftsbiträde, vilket innebär att Paynova ska kommunicera med sina egna personuppgiftsbiträden i dessa fall för att sammanställa relevant information. Vid begäran från en registrerad om information om vilka personuppgifter som behandlas av oss, så kallade registerutdrag, ska Paynova lämna information om huruvida personuppgifter behandlas och i så fall lämna skriftlig information om:
a) vilka personuppgifter/kategorier av personuppgifter om den registrerade som behandlas,
b) varifrån dessa personuppgifter har hämtats,
c) ändamålen med behandlingen av den registrerades personuppgifter,
d) till vilka mottagare eller kategorier av mottagare personuppgifterna har lämnats ut, särskilt om någon mottagare befinner sig i ett land utanför EU/EES eller en internationell organisation,
e) de kriterier som används för att avgöra hur länge personuppgifterna kommer att lagras,
f) den registrerades rätt att begära rättelse eller radering av personuppgifter eller begränsning av behandlingen av dessa och att invända mot behandling,
g) den registrerades rätt att lämna in ett klagomål till en tillsynsmyndighet,
h) och slutligen, om Paynova använder automatiserat beslutsfattande för att genomföra kreditprövningar samt meningsfull information om logiken och betydelsen av behandlingen och de förväntade konsekvenserna av sådan behandling för den registrerade.
11.5 Du har rätt att begära att Paynova rättar personuppgifter som du anser är felaktiga och att lämna kompletterande personuppgifter (i särskilda fall) om du anser att de personuppgifter Paynova har behandlat har gett en felaktig bild av dig.
11.6 Du har rätt att begära att Paynova raderar dina personuppgifter. Paynova kommer då att radera personuppgifter som Paynova inte är skyldig att behålla för att uppfylla lagliga skyldigheter. Paynova kommer också att fortsätta att behandla personuppgifter i vissa andra fall, inklusive när personuppgifter måste behandlas enligt den rättsliga grunden för fullgörande av avtal. Paynova kommer alltid att svara dig och förklara sin syn på vilka personuppgifter Paynova har rätt att fortsätta behandlingen.
11.7 Du har rätt till dataportabilitet, vilket innebär att Paynova , i egenskap av personuppgiftsansvarig, ska överföra dina personuppgifter till en annan när detta är tekniskt möjligt.
11.8 Du har rätt att, av skäl som rör din specifika situation, när som helst invända mot behandlingen av personuppgifter som rör dig baserat på en intresseavvägning inklusive profilering baserad på dessa bestämmelser. I så fall får Paynova inte längre behandla personuppgifterna om de inte kan visa tvingande legitima skäl för behandlingen som uppväger dina intressen, rättigheter och friheter eller om det är för att upprätta, utöva eller försvara rättsliga anspråk.
11.9 Du har alltid rätt att lämna in ett klagomål till tillsynsmyndigheten, Integritetsskyddsmyndigheten (IMY).
11.10 Om du vill begära ett registerutdrag, återkalla ett samtycke eller korrigera/radera en uppgift, vänligen kontakta Paynovas dataskyddsombud som kan nås på: dso@paynova.com
Paynovas kontaktuppgifter
Box 4169
102 64 Stockholm
E-post: dso@paynova.com
Denna policy upprättades under december månad 2015 och reviderades senast under november 2022.