Behandling av personopplysninger
Når du inngår en avtale med Bambora, behandler Bambora personopplysninger (opplysninger som kan identifisere deg som person) om deg. Behandlingen skjer for at det skal være mulig å levere Bamboras løsninger til deg eller ditt selskap ("Formålet"). Bambora AB, org. nr. 556233-9423 ("Bambora") vil behandle personopplysninger om deg eller representantene for selskapet du representerer ("Opplysningene") i egenskap av behandlingsansvarlig. Bambora er en betalingsinstitusjon med lisens til å levere betalingsløsninger og står under tilsyn av Finansinspektionen i Sverige. Behandlingen av opplysningene er nødvendig for at du eller ditt selskap skal kunne bruke Bamboras betalingsløsninger.
Hvilken type opplysninger Bambora samler inn, avhenger av hvilken organisasjonsform selskapet har. Dersom virksomheten skjer i en separat juridisk enhet, f.eks. et aksjeselskap, et handelsselskap eller en annen uavhengig juridisk enhet, samler vi kun inn personopplysninger som gjelder selskapets styremedlemmer og/eller eiere samt representantenes kontaktopplysninger. Opplysningene omfatter hovedsakelig navn, personnummer, adresse, eierandel, ID-kort og om personen selv eller noen i personens nære krets er en politisk eksponert person. Dersom du oppgir personopplysninger på vegne av andre, oppfordrer vi deg til og har vi tillit til at du informerer de aktuelle personene om dette. Dersom du imidlertid er selvstendig næringsdrivende, kan selskapets organisasjonsnummer være det samme som ditt personnummer, avhengig av hvilket land du er basert i. I slike tilfeller vil alle opplysninger vi mottar i forbindelse med virksomheten din bli regnet som personopplysninger. Uavhengig av virksomhetens juridiske struktur kan vi også samle inn personopplysninger fra tredjeparter i betalingsbransjen samt offentlig tilgjengelige kilder.
Bamboras rettslige grunnlag for å behandle opplysningene varierer. Dersom du ikke er selvstendig næringsdrivende, behandler vi opplysningene i hovedsak for å oppfylle rettslige forpliktelser. Enkelte behandlingsaktiviteter er imidlertid basert på krav i betalingsbransjen uten at det er nedfelt i lov, mens visse behandlingsaktiviteter er nødvendige for at vi skal kunne oppfylle våre forpliktelser overfor selskapet ditt. I dette tilfellet behandler Bambora opplysningene ut fra sin berettigede interesse, for å være i stand til å gjennomføre sin virksomhet og levere betalingstjenestene. Dersom du er selvstendig næringsdrivende, er Bamboras rettslige grunnlag for å behandle opplysningene det samme som over, men også at vi skal kunne inngå og oppfylle vår avtale med deg.
Bambora kan dele opplysningene med andre selskaper i Bambora-gruppen for å oppnå formålet. Opplysningene kan også bli delt med offentlige myndigheter og Bamboras berodde partnere for å oppnå formålet. Disse partnerne kan for eksempel være andre aktører i betalingsbransjen som trenger informasjon fra oss, eller databehandlerne som Bambora har avtale med. Disse selskapene kan befinne seg i land utenfor EU/EØS. Dersom EU ikke regner landet som et land med tilfredsstillende beskyttelsesnivå for personopplysningene, vil denne overføringen vanligvis skje på grunnlag av standard personvernklausuler som er vedtatt av EU for overføring av personopplysninger til land utenfor EU/EØS, se artikkel 45–46 i GDPR. En kopi av disse standard personvernklausulene kan finnes på http://ec.europa.eu/justice/data-protection/international-transfers/transfer/.
Bambora vil behandle personopplysningene så lenge du eller selskapet ditt har en avtale med Bambora, med mindre lover eller forskrifter som Bambora er underlagt gjør at Bambora har plikt eller rett til å fortsette behandlingen. I noen tilfeller, når opplysningene ikke lenger er nødvendige for å oppfylle formålet, kan behandlingen opphøre tidligere. Opplysningene fjernes i dette tilfellet fra alle databaser i Bambora-gruppen.
Dersom du har spørsmål om Bamboras behandling av opplysningene, kan du ta kontakt med oss på e-post på support@bambora.com eller telefon på +46(0) 10 10 66 000. Du kan også henvende deg til Bamboras Data Protection Officer, som kan kontaktes på e-post på dpo@bambora.com. Du kan også bruke disse kontaktopplysningene hvis du vil påberope deg noen av rettighetene du ifølge GDPR har som registrert. Legg merke til at rettighetene ifølge GDPR ikke er betingelsesløse. Et forsøk på å gjøre noen av rettighetene gjeldende, vil derfor ikke nødvendigvis gi resultater. I noen tilfeller kan dessuten det at du gjør gjeldende en rettighet føre til at vi ikke kan inngå eller levere tjenester i henhold til en avtale. Dine rettigheter ifølge GDPR omfatter følgende:
- Rett til innsyn – Ifølge artikkel 15 i GDPR har du rett til å få innsyn i opplysningene og motta særskilt informasjon om behandlingen. Denne informasjonen er gitt i dette dokumentet.
- Rett til korrigering – Ifølge artikkel 16 i GDPR har du rett til å få korrigert unøyaktige opplysninger som gjelder deg, og til å få komplettert ufullstendige personopplysninger.
- Rett til sletting – Under visse omstendigheter har du ifølge artikkel 17 i GDPR rett til å få slettet opplysningene (såkalt "rett til å bli glemt").
- Rett til begrensing av behandling – Under visse omstendigheter har du ifølge artikkel 18 i GDPR rett til å kreve at Bamboras behandling av opplysningene begrenses.
- Rett til dataportabilitet – Ifølge artikkel 20 i GDPR har du rett til å motta opplysninger (eller få opplysningene overført direkte til en annen behandlingsansvarlig) fra Bambora i et strukturert, alminnelig anvendt og maskinleselig format.
- Innsigelsesrett – Ifølge artikkel 21 i GDPR har du rett til å protestere mot visse behandlingsaktiviteter som Bambora gjennomfører for opplysningene, f.eks. all behandling Bambora gjennomfører basert på Bamboras berettigede interesse. I forbindelse med behandling basert på Bamboras berettigede interesse gjør vi oppmerksom på at vi fremdeles kan ha en forpliktende berettiget interesse av å fortsette å behandle opplysningene.
Til slutt har du også rett til å sende en klage til tilsynsmyndigheten, som i Sverige (der Bambora har sitt hovedkontor) er Datainspektionen/Integritetsskyddsmyndigheten (i Norge er det Datatilsynet).