Bamboras retningslinjer mht. GDPR
Til rette vedkommende
Formålet med denne information er at meddele Bamboras nuværende kunder eller virksomheder, der overvejer at blive kunde hos Bambora (uanset om Bambora fungerer som betalingsserviceudbyder, betalingsindløser eller anden funktion eller kombination af funktioner) generelle oplysninger om Bamboras retningslinjer i forhold til den generelle forordning om databeskyttelse (“GDPR”), og om hvad Bambora gør for at opfylde kravene i GDPR.
Bamboras generelle retningslinjer for datasikkerhed
Hos Bambora har datasikkerhed altid været et kerneprincip, og som aktør i branchen for digitale betalinger skal vi overholde meget strenge krav til branchen som helhed samt til vores interne regler om informationssikkerhed. På baggrund heraf har Bambora allerede før vedtagelsen af den generelle forordning om databeskyttelse i vid udstrækning levet op til kravene. Det gælder ikke kun sikkerhedsforanstaltninger i forbindelse med vores systemer til behandling af betalingstransaktioner men også de tjenester, som vi tilbyder vores kunder, som f.eks. portalen MyBambora. Uanset ovenstående og på grund af GDPR har vi yderligere forbedret vores datasikkerhed, herunder interne politikker og regler for datasikkerhed for at sikre, at personoplysninger altid er beskyttet.
Løbende forbedring
Bambora arbejder hele tiden på at forbedre vores beskyttelse og leve op til kravene i databeskyttelseslovgivningen. Derfor vedtages nye foranstaltninger og/eller funktioner i takt med den teknologiske udvikling for yderligere at styrke beskyttelsen af person- og betalingsoplysninger.
Dataansvarlig eller databehandler
GDPR omfatter henholdsvis begreberne “dataansvarlig” og “databehandler”. Ved dataansvarlig forstås en part (organisation), der fastsætter formålene og midlerne til en bestemt behandling af personoplysninger, hvorimod der ved databehandler forstås en part (organisation), der behandler personoplysninger på vegne af den dataansvarlige. Bambora leverer flere forskellige typer tjenester og har forskellige roller i branchen for digital betalinger. Bambora kan f.eks. fungere som betalingstjenesteudbyder og/eller betalingsindløser. Afhængigt af Bamboras rolle og tjenesteydelser kan Bambora enten fungere som dataansvarlig eller databehandler. Når Bambora fungerer som betalingsindløser, er Bambora dataansvarlig for betalingstransaktionsoplysningerne, som f.eks. kortoplysninger. Det skyldes eksempelvis, at det er Bambora, der bestemmer, hvilken type oplysninger der skal indsamles, og at Bambora er underlagt lovkrav og/eller krav fra branchen for digital betalinger, som Bambora skal opfylde.
Uanset til hvilket formål du indgår aftale med Bambora, behandler du som handlende ikke personoplysninger på vegne af Bambora, og Bambora behandler ikke personoplysninger på vegne af dig. Derfor er det normalt ikke nødvendigt for handlende at indgå en såkaldt “databehandlingsaftale” med Bambora.[1]
Andre krav i medfør af GDPR
Bambora er selvfølgelig godt klar over, at den generelle forordning om databeskyttelse indeholder mange flere krav end kravene til tekniske og organisatoriske sikkerhedsforanstaltninger, henholdsvis begrebet dataansvarlig og databehandler. Bambora arbejder derfor hele tiden på GDPR for at tilpasse virksomheden som helhed til alle de krav, der udspringer af den generelle forordning om databeskyttelse og foretage forbedringer alle steder i virksomheden ud fra et GDPR perspektiv. Bambora har gennemført en række foranstaltninger som led i dette arbejde og vil fortsætte arbejdet i takt med, at lovgivningen om privatlivets fred ændres. Bambora har desuden udpeget en databeskyttelsesrådgiver for at sikre, at beskyttelse af kortindehavernes personoplysninger fremadrettet også har høj prioritet. Du kan kontakte databeskyttelsesrådgiveren via e-mail på dpo@bambora.com.
_________________
[1] Der er enkelte undtagelser fra denne regel. Den gælder ikke for DevCode Payment AB, der fungerer som databehandler ved ydelse af sine tjenester. Den gælder heller ikke for PayByWay Oy, som har indbygget funktionalitet i deres tjeneste, hvilket betyder, at PayByWay Oy behandler personoplysninger på vegne af sine kunder. Endelig gælder reglen ikke, når en virksomhed indgår aftale med Bambora som betalingsserviceudbyder og anvender fakturafunktionen. I sådanne tilfælde skal Bambora behandle personoplysninger på vegne af sin kunde for at sende den til Bamboras faktureringspartner. Derfor er databehandlingsaftaler nødvendige i disse tilfælde.