1. Introduktion
Denne fortrolighedspolitik (denne “Politik”) forklarer, hvordan Lepta Payment Solutions Limited (“Lepta,” “vi,” “os,” eller “vores”) indsamler, bruger, lagrer og deler personlige oplysninger i forbindelse med mobilappen Event Donations (appen “App”). Appen gør det muligt for autoriserede frivillige at indsamle donationer på vegne af udpegede juridiske enheder ved hjælp af Tap-to-Pay-teknologi.
Denne Politik gælder for to kategorier af personer:
- Frivillige: personer, der er autoriseret af en juridisk enhed til at bruge App’en til at indsamle donationer; og
- Donorer: personer, der giver donationer gennem App’en.
Betalingsbehandling leveres af Stripe, Inc. (“Stripe”). Stripes behandling af dine personlige oplysninger styres af Stripes fortrolighedspolitik, tilgængelig på stripe.com/privacy. Den juridiske enhed, der modtager din donation, kan også have sin egen fortrolighedspolitik, som vil blive stillet til rådighed for dig på donationstidspunktet.
2. Hvem er ansvarlig for dine oplysninger?
Afhængigt af aktiviteten er forskellige parter ansvarlige for dine personlige oplysninger:
- Den juridiske enhed (dataansvarlig): Den organisation, der modtager donationen, er dataansvarlig for donationstransaktionsflowet, herunder indsamling og behandling af donatorers personlige oplysninger til formål med at modtage donationer og udstede skattekvitteringer. Den juridiske enhed instruerer Lepta til at indsamle og videresende disse oplysninger på dens vegne.
- Lepta som databehandler: For det centrale donationstransaktionsflow – herunder indsamling og transmission af donatorers personlige oplysninger via App’en, og overførsel af transaktionsregistreringer til den juridiske enheds systemer – handler Lepta som databehandler på vegne af den juridiske enhed. Lepta behandler kun disse data baseret på den juridiske enheds dokumenterede instruktioner.
- Lepta som dataansvarlig: Lepta bestemmer formål og midler for behandling af et begrænset sæt interne aktiviteter: drift, sikkerhed og vedligeholdelse af Lepta-platformen (herunder serverlogge og hændelseshåndtering), administration af administratorbrugerkonti, valg og styring af Leptas egne tjenesteudbyders og overholdelse af Leptas egne juridiske forpligtelser. Lepta handler ikke som dataansvarlig for svindelovervågning, anti-hvidvaskning-screening eller analyse på tværs af data fra flere juridiske enheder.
- Stripe: Stripe behandler betalingskortdata og donatorers personlige oplysninger i sin egenskab som uafhængig betalingstjenesteudbyder. Stripe er ikke en underbehandler for Lepta. Stripes rolle og forpligtelser styres af Stripes fortrolighedspolitik og dets aftaler med Lepta. Stripe er selvcertificeret under EU-USA Data Privacy Framework.
- Google: Når App’en bruger Google Places API til adressefuldførelse, sender App’en donatorens delvise adressespørgsmål og enhedslokationsdata til Leptas server, som videresender anmodningen til Google. Google fungerer som underbehandler for Lepta til dette formål. Google, LLC er selvcertificeret under EU-USA Data Privacy Framework. Googles behandling styres af Googles fortrolighedspolitik.
3. Hvilke personlige oplysninger indsamler vi
3.1 Frivillige data
Når du logger ind i App’en med en autorisationskode, indsamler vi:
- Dit navn (for- og efternavn)
- Din e-mailadresse
Disse oplysninger lagres i krypteret sikker lagring på din enhed og slettes, når du logger ud. De transmitteres også til Stripe i forbindelse med betalingsbehandling.
Hvis du downloader App’en, men ikke angiver en autorisationskode, indsamles, lagres eller transmitteres der ingen personlige oplysninger om dig af App’en eller af Lepta.
3.2 Donatordata
Når en donator foretager en donation gennem App’en, kan følgende data indsamles afhængigt af sessionsindstillingen:
- E-mailadresse (bruges til levering af donationskvitteringer)
- Navn (for- og efternavn)
- Postadresse (vej, by, stat/provins, postnummer/zip, land) – indsamlet kun i jurisdiktioner, hvor det kræves ved lov til udstedelse af en skattekvittering
Disse donatordata transmitteres direkte til Stripes servere via Stripe API. De skrives ikke til eller lagres i Leptas egen database eller App’ens portal.
3.3 Betalingskortdata
Betalingskortdata (kortnummer, udløbsdato, CVC) håndteres helt af Stripe SDK’en, der er integreret i App’en. Lepta har på intet tidspunkt adgang til, behandler eller lagrer betalingskortdata.
3.4 Enhedslokationsdata
Efter at du har angivet en autorisationskode og påbegyndt Tap-to-Pay-onboarding-processen, anmoder App’en om tilladelse til at få adgang til din enheds præcise placering. Dette kræves til to formål:
- Stripe Terminal SDK-krav: Stripe kræver bekræftelse af enhedens præcise placering for at verificere, at Tap-to-Pay bliver brugt i et godkendt land. Dette er et obligatorisk krav fra Stripe Terminal SDK, uden hvilket App’en ikke kan initialiseres eller acceptere betalinger.
- Adressefuldførelse: App’en bruger Google Places API til at give resultater af høj kvalitet til adressefuldførelse, når en donator indtaster deres postadresse. Enhedslokationsdata bruges til at forbedre relevansen af disse forslag.
Lokationsdata lagres ikke af Lepta i App’ens portal eller database.
3.5 Data, der ikke indsamles
App’en indsamler, bruger eller transmitterer ikke:
- Reklame-id’er (IDFA eller GAID)
- Krakdata, præstationsdata eller diagnostisk telemetri (ingen nedstyrtningsrapporterings- eller præstationsovervågnings-SDK’er er inkluderet i App’en)
- Sporing på tværs af apps eller på tværs af websteder
- Biometriske data (herunder ansigtsgenkendelesesdata)
App’en bruger et lokalt-kun loggingsbibliotek til udviklinggsdiagnostik. I produktionsbuild’er logges kun informationelle meddelelser, og disse logge forbliver på enheden og transmitteres aldrig til nogen server.
4. Hvordan vi bruger dine personlige oplysninger
| Formål | Data brugt | Juridisk grundlag (GDPR) | Opbevaring |
|---|---|---|---|
| Frivillig onboarding og autentificering | Frivilligt navn, e-mail, autorisationskode | Legitimt interesse (art. 6(1)(f)) – nødvendigt for drift af donationsindsamlingstjenesten | På enhed: indtil logout. |
| Hos Stripe: efter Stripes opbevaringspolitik | |||
| Behandling af donationer | Donator navn, e-mail, betalingskortdata (via Stripe SDK), donationsbeløb | Kontraktopfyldelse (art. 6(1)(b)) – nødvendigt for at behandle donationstransaktionen | Stripe: efter Stripes opbevaringspolitik. |
| Juridisk enhed: efter dens regnskabsforpligtelser | |||
| Udstedelse af skattekvitteringer | Donator navn, e-mail, postadresse | Juridisk pligt (art. 6(1)(c)) – krævet af indenlandsk skattelov i specificerede jurisdiktioner | Juridisk enhed: efter gældende skattekart-opbevaringskrav |
| Udstedelse af skattekvitteringer | Donator navn, e-mail, postadresse | Juridisk pligt (art. 6(1)(c)) – krævet af indenlandsk skattelov i specificerede jurisdiktioner | Juridisk enhed: efter gældende skattekart-opbevaringskrav |
| Tap-to-Pay-landbekræftelse | Enhed præcis placering | Legitimt interesse (art. 6(1)(c),(f)) – nødvendigt for at overholde Stripe Terminal SDK-krav og betalingsnetkreglementer; og for at bestemme, hvis det blive brugt i et godkendt land | Ikke lagret |
| Adressefuldførelse | Enhedslokation | Legitimt interesse (art. 6(1)(f)) – forbedring af nøjagtighed af adresseindtastning for donorer | Ikke lagret |
| Serveroperation | IP-adresser, user-agent-strenge, URL-parametre (standard serverlogge) | Legitimt interesse (art. 6(1)(f)) – sikkerhed og systemintegritet | Forbigående; 60 dage |
| Religiøs sammenhæng | Hvor den juridiske enhed er en religiøs association, kan donationsdata i sammenhæng afsløre donatorens religiøse eller filosofiske overbevisninger (art. 9(1) GDPR) | Art. 9(2)(d) – behandling gennemført i forbindelse med legitime aktiviteter i en religiøs association, med passende sikkerhedsforanstaltninger. Den juridiske enhed garanterer tillidelen denne betingelse. | Efter opbevaringsperioderne ovenfor |
5. Samtykke til kvittering og tak-skrivelse
Når App’en tilbyder donorer muligheden for at modtage en donationskvittering eller tak-skrivelse, er dette baseret på donatorens frit givet samtykke. Samtykkemekanismen fungerer som følger:
- Tilmeldingen præsenteres som en separat, klart mærket toggle eller afkrydsningsboks, der som standard er deaktiveret.
- Donationen i sig selv er ikke betinget af tilmelding – en donator kan gennemføre donationen uden at give samtykke til at modtage en kvittering eller skrivelse.
- Donatoren bliver informeret på tilmeldingstidspunktet om, at deres kontaktoplysninger (navn, e-mail og eventuelt postadresse) vil blive delt med den juridiske enhed, der modtager donationen, med henblik på udstedelse af kvitteringen eller skrivelsen.
- Samtykke kan trækkes tilbage på ethvert tidspunkt ved at kontakte Lepta eller den juridiske enhed (se afsnit 9 nedenfor).
6. Hvor dine data lagres og hvem de deles med
Lepta vedligeholder ikke sin egen database med donatorers personlige oplysninger. Dataflowene er som følger:
- På enheden: Frivilligt navn og e-mail lagres i krypteret sikker lagring på enheden og slettes ved logout.
- Stripe: Donator navn, e-mail, postadresse (hvor indsamlet) og betalingsdata opbevares på Stripes servere. Stripe er en PCI DSS Level 1-certificeret betalingstjenesteudbyder. Stripes dataopreservation, sikkerhedsforanstaltninger og privatlivspraksis styres af Stripes fortrolighedspolitik (stripe.com/privacy). Stripe er selvcertificeret under EU-USA Data Privacy Framework.
- Den juridiske enhed: Transaktionsdata, der kræves til den juridiske enheds finansielle journaler, overføres fra Stripe til den juridiske enheds IT-system. Dette afspejler det eksisterende dataflow, der bruges til donate.jw.org.
- Watchtower Bible and Tract Society of New York, Inc. (“WTNY”): WTNY leverer Leptas bredere IT-miljø under en IT-serviceaftale, herunder HuB-systemet til virksomhedsressourceplanlægning, Microsoft 365/SharePoint Online (Leptas Client Resources-platform), Microsoft Azure-cloudtjenester, Microsoft Power BI, Microsoft Exchange (e-mail), backup-tjenester og domænehostingdrift, alt fra USA. WTNY handler som Leptas processor og underbehandler og behandler personlige oplysninger kun baseret på Leptas dokumenterede instruktioner. WTNYs videre underbehandler for Microsoft 365/SharePoint Online/Azure/Power BI/Exchange-laget er Microsoft Ireland Operations Limited, som til gengæld er afhængig af Microsoft Corporation (USA, DPF-certificeret) til servicelevering. WTNY selv er ikke certificeret under EU-USA Data Privacy Framework; passende sikkerhedsforanstaltninger for Lepta-til-WTNY-overførslen er beskrevet i afsnit 7 nedenfor. Personlige oplysninger om donorer og frivillige indsendt gennem App’en transmitteres ikke til WTNY af Lepta: efter App’ens dataflow sendes donator- og frivilliges data fra App’en til Lepta-portalen (hostet på Amazon Web Services, Inc i USA) og derfra til Stripe, som er registersystemet.
- Amazon Web Services, Inc. (serverlogge, USA – underbehandler): App’ens backend hostes på Amazon Web Services, Inc. (“AWS”) i USA (us-east-1-region). AWS er selvcertificeret under EU-USA Data Privacy Framework. Standard serveranmodningslogge kan forbigående indeholde data såsom IP-adresser, user-agent-strenge og URL-parametre. Disse logge opbevares i 60 dage og slettes derefter.
- Google (adressefuldførelse): Når en donator angiver en postadresse, bruger App’en Google Places API til at give adressefuldførelsesforslag. Googles behandling af disse data styres af Googles fortrolighedspolitik. Google, LLC er selvcertificeret under EU-USA Data Privacy Framework.
Leptas portal (administratordashboard) lagrer ikke donator-PII i sin egen database. Administratordashboardet gengiver betalings- og donationsdata via Stripes Embedded Payments-interface, der trækker data direkte fra Stripe i realtid.
De eneste personlige oplysninger, der lagres i portalens egen database, består af administratorbrugerkonti (navn, e-mail, hashet adgangskode) til repræsentanter for juridiske enheder, der administrerer systemet. Disse er ikke donatorregistreringer.
En fuldstændig liste over Leptas underbehandlere er tilgængelig på lepta.io/resources.
7. Internationale dataoverførsler
Dine personlige oplysninger kan overføres til og behandles i lande uden for dit bopælland, herunder USA. Hvor sådanne overførsler involverer personlige oplysninger, der stammer fra Det Europæiske Økonomiske Samarbejdsområde (EØS), Storbritannien eller Schweiz, er der implementeret passende sikkerhedsforanstaltninger. De fulde detaljer om overførselsmekanismerne er angivet i Leptas Data Transfers-tillæg, tilgængelig på leptapay.com/legal/dta. En oversigt over sikkerhedsforanstaltningerne for hver overførsel er angivet nedenfor.
- Stripe (USA – uafhængig dataansvarlig): Stripe er selvcertificeret under EU-USA Data Privacy Framework (DPF) og UK-udvidelsen til DPF. Den Europæiske Kommissions tilstrækkelighhedsbeslutning (Gennemførelsesafgørelse (EU) 2023/1795 af 10. juli 2023) gælder for overførsler af personlige oplysninger til Stripe. Lepta overvåger Stripes DPF-certificeringsstatus.
- WTNY (USA – underbehandler): WTNY er ikke certificeret under Data Privacy Framework. Overførsler af personlige oplysninger fra Lepta til WTNY er beskyttet af EU’s standardkontraktuelle klausuler (Modul 2: Dataansvarlig til Databehandler, hvor Lepta handler som dataansvarlig; Modul 3: Databehandler til Databehandler, hvor Lepta handler som databehandler) godkendt af Den Europæiske Kommission og inkorporeret i IT-serviceaftalen mellem Lepta og WTNY. Standardkontraktuelle klausuler ledsages af tillæg om yderligere sikkerhedsforanstaltninger, der giver supplerende foranstaltninger, herunder kryptering af personlige oplysninger under transit og i hvile, kontraktlige forpligtelser til at omdirigere anmodninger, til at modstå og udfordre regeringsadgangsanmodninger under amerikansk overvågningslovgivning, til at underrette Lepta om bindende juridiske krav til personlige oplysninger (underlagt gældende juridiske begrænsninger) og til at videregive kun det mindste beløb af personlige oplysninger, der kræves for at opfylde enhver uundgåelig ordre. WTNYs videre underbehandler for Microsoft 365/SharePoint Online/Azure/Power BI/Exchange-tjenester er Microsoft Ireland Operations Limited (Irland), kontraheret under Microsoft-kundeaftalen; Microsoft Ireland Operations Limited er til gengæld afhængig af Microsoft Corporation (USA, selvcertificeret under EU-USA Data Privacy Framework), som leverer den underliggende service fra Microsoft-datacentre i USA.
- Google (USA – underbehandler): Google, LLC er selvcertificeret under EU-USA Data Privacy Framework. Tilstrækkelighhedsbeslutningen gælder for overførsler til Google som DPF-certificeret underbehandler for Google Places API.
- AWS (USA – underbehandler): Leptas backend hostes på AWS i USA (us-east-1-region). AWS er selvcertificeret under EU-USA Data Privacy Framework. Tilstrækkelighhedsbeslutningen gælder for overførsler til AWS som DPF-certificeret underbehandler.
- Overførsler til den juridiske enheds HuB-instans: Transaktionsdata overføres fra Stripe til den juridiske enheds instans af HuB-systemet. Overførselsmekanismen for denne del afhænger af hver juridiske enheds placering og er dækket af den juridiske enheds egne datahåndterings arrangementer.
Lepta er etableret i Irland (EØS) og er ikke i sig selv berettiget til certificering under Data Privacy Framework, som kun er tilgængelig for amerikanske organisationer. Lepta er afhængig af EU’s standard kontraktuelle klausuler og supplerende foranstaltninger (for ikke-DPF-certificerede amerikanske modtagere) og DPF tilstrækkeligheds beslutningen (for DPF-certificerede amerikanske modtagere) som den lovlige mekanisme for begrænsede overførsler.
8. Dataopbevaring
Lepta opbevarer personlige oplysninger kun så længe, det er nødvendigt til de formål, der er beskrevet i denne fortrolighedspolitik:
| Datakategori | Opbevaringssted | Opbevaringsperiode |
|---|---|---|
| Frivilligt navn og e-mail | Enhed (krypteret) | Indtil logout |
| Frivilligt navn og e-mail | Stripe | Efter Stripes opbevaringspolitik |
| Donator navn, e-mail, adresse | Stripe | Efter Stripes opbevaringspolitik (opbevaret så længe tjenester fortsætter, plus enhver periode krævet af gældende lov) |
| Donator transaktionsdata | Juridisk enhed (HuB) | Efter den juridiske enheds regnskabsforpligtelser i henhold til gældende lov |
| Betalingskortdata | Stripe (udelukkende) | Efter Stripes opbevaringspolitik og PCI DSS-krav |
| Enhedslokation | Ikke lagret | Ikke relevant – bruges kun i realtid |
| Serverlogge (IP, user-agent) | AWS | 60 dage |
| Leptas IT-miljødata (HuB ERP, Microsoft 365/SharePoint Client Resources, fil/print/e-mail/backup) | WTNY (processor/underbehandler) | Efter Leptas opbevaringsinstruktioner og sektion 9.3 af HuB Vilkår og betingelser, som foreskriver returnering af klientdata i et struktureret, almindeligt brugt, maskinlæsbart format og post-terminering assistance i minimum 90 dage. |
9. Dine rettigheder
Afhængigt af din placering kan du have følgende rettigheder vedrørende dine personlige oplysninger:
- Ret til adgang: Du har ret til at anmode om en kopi af de personlige oplysninger, vi har om dig.
- Ret til berigtigelse: Du har ret til at anmode om korrektion af unøjagtige eller ufuldstændige personlige oplysninger.
- Ret til sletning: Du har ret til at anmode om sletning af dine personlige oplysninger, underlagt eventuelle juridiske forpligtelser, der kræver opbevaring af dem.
- Ret til begrænsning: Du har ret til at anmode om, at vi begrænser behandlingen af dine personlige oplysninger under visse omstændigheder.
- Ret til dataportabilitet: Hvor behandlingen er baseret på dit samtykke eller opfyldelsen af en kontrakt, har du ret til at modtage dine personlige oplysninger i et struktureret, almindeligt brugt, maskinlæsbart format.
- Ret til at protestere: Hvor behandlingen er baseret på legitime interesser, har du ret til at protestere mod sådan behandling. Vi ophører med behandlingen, medmindre vi kan demonstrere overbevisende legitime grunde.
- Ret til at trække samtykke tilbage: Hvor behandlingen er baseret på samtykke (såsom tilmelding til kvittering), kan du trække dit samtykke tilbage på ethvert tidspunkt. Tilbagetrækning påvirker ikke lovligheden af behandling, der fandt sted før tilbagetrækningen.
Fordi donatorers personlige oplysninger behandles og lagres af Stripe og eventuelt af den juridiske enhed, der modtog donationen, kan anmodninger om at udøve rettigheder såsom adgang, berigtigelse, sletning eller portabilitet af donatoroplysninger kræve koordinering med Stripe og/eller den relevante juridiske enhed. Vi vil bistå med at lette sådanne anmodninger.
For frivillige data, der er gemt lokalt på din enhed, kan du slette disse data på ethvert tidspunkt ved at logge ud af App’en.
10. Børns data
App’en er ikke rettet mod børn under 16 år. Vi indsamler ikke bevidst personlige oplysninger fra børn under 16 år uden forældrenes godkendelse, som krævet af artikel 8 i Almindelig forordning om databeskyttelse. Donationer foretaget af mindreårige (personer under 18 eller myndighedsalderen i deres jurisdiktion) kan refunderes på anmodning fra en forælder eller værge ved at kontakte den juridiske enhed, der modtog donationen. En forælder eller værge kan udøve datasubjekts rettigheder på vegne af et barn ved at kontakte Lepta ved hjælp af detaljerne i sektion 12. Hvis du tror, at et barn har leveret personlige oplysninger gennem App’en uden passende godkendelse, kontakt os venligst og vi vil tage skridt til at slette sådanne data.
11. Ændringer til denne fortrolighedspolitik
Vi kan opdatere denne fortrolighedspolitik fra tid til anden. Hvis vi foretager væsentlige ændringer, underretter vi dig gennem App’en eller ved andre passende midler, før ændringerne træder i kraft. Datoen “Sidste opdatering” øverst i denne politik angiver, hvornår den senest blev revideret.
12. Kontakt os
Hvis du har spørgsmål til denne fortrolighedspolitik, ønsker at udøve dine datasubjekts rettigheder eller har en klage, kontakt venligst:
Lepta Payment Solutions Limited
Watch Tower House, Blackditch, Newcastle, Co. Wicklow, A63 RF61 Irland
[email protected]
Databeskyttelsesansvarlig / Privatlivskontakt: Daniel Melinder
Leptas ledende tilsynsmyndighed er Datatilsynet i Irland.
Du har også ret til at indgive en klage til en tilsynsmyndighed i det EU-medlemsstat, hvor du er bosat, arbejder, eller hvor den påståede overtrædelse fandt sted.