1. Inleiding
Dit privacybeleid (dit “Beleid”) beschrijft hoe Lepta Payment Solutions Limited (“Lepta,” “wij,” “ons,” of “onze”) persoonlijke gegevens verzamelt, gebruikt, opslaat en deelt in verband met de mobiele app Event Donations (de “App”). Met de App kunnen gemachtigde vrijwilligers donaties inzamelen namens aangewezen juridische entiteiten met behulp van Tap-to-Pay-technologie.
Dit Beleid is van toepassing op twee categorieën personen:
- Vrijwilligers: personen die door een juridische entiteit gemachtigd zijn om de App te gebruiken voor het inzamelen van donaties; en
- Donateurs: personen die donaties doen via de App.
Betalingsverwerking wordt verzorgd door Stripe, Inc. (“Stripe”). De gegevensverwerking door Stripe wordt geregeld door het privacybeleid van Stripe, beschikbaar op stripe.com/privacy. De juridische entiteit die uw donatie ontvangt, kan ook een eigen privacybeleid hebben, dat op het moment van donatie ter beschikking wordt gesteld.
2. Wie is verantwoordelijk voor uw gegevens?
Afhankelijk van de activiteit zijn verschillende partijen verantwoordelijk voor uw persoonlijke gegevens:
- De juridische entiteit (gegevensbeheerder): De organisatie die de donatie ontvangt, is de gegevensbeheerder voor de donatietransactiestroom, inclusief het verzamelen en verwerken van persoonlijke gegevens van donateurs voor het ontvangen van donaties en het afgeven van belastingkwitanties. De juridische entiteit draagt Lepta op om deze gegevens in haar naam te verzamelen en door te geven.
- Lepta als gegevensverwerker: Voor de kerndonatietransactiestroom – inclusief het verzamelen en doorgeven van persoonlijke gegevens van donateurs via de App en het overdragen van transactieverslagens aan de systemen van de juridische entiteit – treedt Lepta op als gegevensverwerker namens de juridische entiteit. Lepta verwerkt deze gegevens alleen op basis van schriftelijke instructies van de juridische entiteit.
- Lepta als gegevensbeheerder: Lepta bepaalt de doeleinden en middelen van verwerking voor een beperkt aantal interne activiteiten: de werking, veiligheid en onderhoud van het Lepta-platform (inclusief serverlogboeken en incidentbestrijding), administratie van beheerdersaccounts, selectie en beheer van Lepta’s eigen dienstverleners en naleving van Lepta’s eigen wettelijke verplichtingen. Lepta treedt niet op als gegevensbeheerder voor fraudebewaking, anti-geldwittransferscreening of analyses voor meerdere juridische entiteiten.
- Stripe: Stripe verwerkt betalingskaartgegevens en persoonlijke gegevens van donateurs in zijn hoedanigheid als onafhankelijke betalingsdienstverlener. Stripe is geen sub-verwerker van Lepta. Stripe’s rol en verplichtingen worden geregeld door het privacybeleid van Stripe en zijn overeenkomsten met Lepta. Stripe is zelfcertificeerd onder het Privacy Framework van de EU en VS.
- Google: Wanneer de App de Google Places API gebruikt voor adresaanvulling, stuurt de App de gedeeltelijke adresquery en locatiegegevens van het apparaat van de donateur naar Lepta’s server, die het verzoek doorstuur naar Google. Google treedt voor dit doel op als sub-verwerker van Lepta. Google, LLC is zelfcertificeerd onder het Privacy Framework van de EU en VS. De verwerking door Google wordt geregeld door het privacybeleid van Google.
3. Welke persoonlijke gegevens verzamelen we
3.1 Gegevens van vrijwilligers
Wanneer u zich in de App aanmeldt met een autorisatiecode, verzamelen we:
- Uw naam (voornaam en achternaam)
- Uw e-mailadres
Deze gegevens worden opgeslagen in versleutelde veilige opslag op uw apparaat en worden verwijderd wanneer u zich afmeldt. Ze worden ook aan Stripe doorgegeven in verband met betalingsverwerking.
Als u de App downloadt maar geen autorisatiecode invoert, worden geen persoonlijke gegevens over u verzameld, opgeslagen of doorgegeven door de App of door Lepta.
3.2 Gegevens van donateurs
Wanneer een donateur een donatie doet via de App, kunnen de volgende gegevens worden verzameld, afhankelijk van de sessieinstellingen:
- E-mailadres (gebruikt voor afgifte van donatiebewijzen)
- Naam (voornaam en achternaam)
- Postadres (straatnaam, plaats, staat/provincie, postcode/zip, land) – alleen verzameld in rechtsgebieden waar dit wettelijk vereist is voor de afgifte van een belastingkwitantie
Deze gegevens van donateurs worden rechtstreeks naar de servers van Stripe verzonden via de Stripe API. Ze worden niet geschreven naar of opgeslagen in Lepta’s eigen database of de portal van de App.
3.3 Gegevens van betalingskaarten
Betalingskaartgegevens (kaartnummer, vervaldatum, CVC) worden volledig verwerkt door de Stripe SDK die in de App is geïntegreerd. Lepta heeft op geen enig moment toegang tot, verwerkt of slaat betalingskaartgegevens op.
3.4 Locatiegegevens van apparaat
Nadat u een autorisatiecode hebt ingevoerd en het onboarding-proces voor Tap-to-Pay bent begonnen, vraagt de App om toestemming voor toegang tot de nauwkeurige locatie van uw apparaat. Dit is nodig voor twee doeleinden:
- Vereiste van Stripe Terminal SDK: Stripe vereist bevestiging van de nauwkeurige locatie van het apparaat om te verifiëren dat Tap-to-Pay in een goedgekeurd land wordt gebruikt. Dit is een verplichte vereiste van de Stripe Terminal SDK, zonder welke de App niet kan worden geïnitialiseerd of betalingen kan accepteren.
- Adresaanvulling: De App gebruikt de Google Places API om van hoge kwaliteit adresaanvullingssuggesties te bieden wanneer een donateur zijn postadres invoert. Locatiegegevens van het apparaat worden gebruikt om de relevantie van deze suggesties te verbeteren.
Locatiegegevens worden niet opgeslagen door Lepta in de portal of database van de App.
3.5 Gegevens die niet worden verzameld
De App verzamelt, gebruikt of verstuurt niet:
- Advertentie-identificatoren (IDFA of GAID)
- Crashgegevens, prestatiegegevens of diagnostische telemetrie (geen crash-rapportage of prestatiecontrole-SDK’s zijn opgenomen in de App)
- Cross-app of cross-site trackinggegevens
- Biometrische gegevens (inclusief gezichtsherkenningsgegevens)
De App gebruikt een lokale logboekbibliotheek alleen voor ontwikkelinggsdiagnostiek. In productieversies worden alleen informatieve berichten vastgelegd en blijven deze logboeken op het apparaat en worden nooit naar een server verzonden.
4. Hoe we uw persoonlijke gegevens gebruiken
| Doel | Gebruikte gegevens | Juridische grondslag (GDPR) | Behoudperiode |
|---|---|---|---|
| Onboarding en authenticatie van vrijwilligers | Naam vrijwilliger, e-mail, autorisatiecode | Gerechtvaardigd belang (art. 6(1)(f)) – nodig voor de werking van de donatieinkeldienst | Op apparaat: tot afmelding. |
| Bij Stripe: per Stripe’s retentiebeleid | |||
| Verwerken van donaties | Naam donateur, e-mail, betalingskaartgegevens (via Stripe SDK), donatiebedragt | Uitvoering van contract (art. 6(1)(b)) – nodig voor de verwerking van de donatietransactie | Stripe: per Stripe’s retentiebeleid. |
| Juridische entiteit: per haar financiële archiveringsplicht | |||
| Afgifte van belastingkwitanties | Naam donateur, e-mail, postadres | Wettelijke verplichting (art. 6(1)(c)) – vereist door binnenlandse belastingwet in bepaalde rechtsgebieden | Juridische entiteit: per van toepassing zijnde bewaarplicht voor belastingdossiers |
| Afgifte van belastingkwitanties | Naam donateur, e-mail, postadres | Wettelijke verplichting (art. 6(1)(c)) – vereist door binnenlandse belastingwet in bepaalde rechtsgebieden | Juridische entiteit: per van toepassing zijnde bewaarplicht voor belastingdossiers |
| Verificatie van Tap-to-Pay-land | Nauwkeurige locatie van apparaat | Gerechtvaardigd belang (art. 6(1)(c),(f)) – nodig voor naleving van Stripe Terminal SDK-vereisten en betalingsnetwerkregels; en om te bepalen of dit in een goedgekeurd land wordt gebruikt | Niet opgeslagen |
| Adresaanvulling | Apparaatlocatie | Gerechtvaardigd belang (art. 6(1)(f)) – verbetering van nauwkeurigheid van adresinvoer voor donateurs | Niet opgeslagen |
| Serverwerking | IP-adressen, user-agent-strings, URL-parameters (standaard serverlogboeken) | Gerechtvaardigd belang (art. 6(1)(f)) – veiligheid en systeemintegriteit | Voorbijgaand; 60 dagen |
| Religieuze context | Wanneer de juridische entiteit een religieuze associatie is, kunnen donatiegegevens in context de religieuze of filosofische overtuigingen van de donateur onthullen (art. 9(1) GDPR) | Art. 9(2)(d) – verwerking uitgevoerd in de loop van legitieme activiteiten van een religieuze associatie, met passende waarborgen. De juridische entiteit verklaart vertrouwen op deze voorwaarde. | Per de bewaartermijnen hierboven |
5. Toestemming voor ontvangstbewijs en waarderingingsbrief
Wanneer de App donateurs de optie biedt om een donatiebewijf of waarderingingsbrief te ontvangen, is dit gebaseerd op de vrijelijk gegeven toestemming van de donateur. Het toestemmingsmechanisme werkt als volgt:
- De opt-in wordt gepresenteerd als een afzonderlijke, duidelijk gelabeld toggleschakelaar of selectievakje dat standaard uit staat.
- De donatie zelf is niet voorwaardelijk voor het aanmelden – een donateur kan de donatie voltooien zonder toestemming te geven voor ontvangst van een bewijs of brief.
- De donateur wordt op het moment van opt-in geïnformeerd dat hun contactgegevens (naam, e-mail en eventueel postadres) zullen worden gedeeld met de juridische entiteit die de donatie ontvangt voor het doel van afgifte van het bewijs of de brief.
- Toestemming kan op elk moment worden ingetrokken door contact op te nemen met Lepta of de juridische entiteit (zie sectie 9 hieronder).
6. Waar uw gegevens worden opgeslagen en met wie ze worden gedeeld
Lepta onderhoudt geen eigen database met persoonlijke gegevens van donateurs. De gegevensstromen verlopen als volgt:
- Op het apparaat: Naam en e-mailadres van vrijwilligers worden opgeslagen in versleutelde veilige opslag op het apparaat en gewist bij afmelding.
- Stripe: Naam, e-mailadres en postadres van donateurs (indien verzameld) en betalingsgegevens worden opgeslagen op Stripe’s servers. Stripe is een PCI DSS Level 1 gecertificeerde betalingsdienstverlener. Stripe’s gegevensbehoud, beveiligingsmaatregelen en privacypraktijken worden geregeld door het privacybeleid van Stripe (stripe.com/privacy). Stripe is zelfcertificeerd onder het Privacy Framework van de EU en VS.
- De juridische entiteit: Transactiegegevens die nodig zijn voor de financiële registratie van de juridische entiteit worden overgedragen van Stripe naar het IT-systeem van de juridische entiteit. Dit weerspiegelt de bestaande gegevensstroom die wordt gebruikt voor donate.jw.org.
- Watchtower Bible and Tract Society of New York, Inc. (“WTNY”): WTNY verschaft Lepta’s bredere IT-omgeving onder een IT-serviceovereenkomst, inclusief het HuB-systeem voor ondernemingsbronnen, Microsoft 365/SharePoint Online (Lepta’s Client Resources-platform), Microsoft Azure-cloudservices, Microsoft Power BI, Microsoft Exchange (e-mail), back-upservices en domeinhosting, allemaal vanuit de Verenigde Staten. WTNY treedt op als Lepta’s verwerker en sub-verwerker en verwerkt persoonlijke gegevens alleen op basis van schriftelijke instructies van Lepta. Lepta’s verdere sub-verwerker voor de Microsoft 365/SharePoint Online/Azure/Power BI/Exchange-laag is Microsoft Ireland Operations Limited, die op zijn beurt vertrouwt op Microsoft Corporation (VS, DPF-gecertificeerd) voor dienstverlening. WTNY zelf is niet gecertificeerd onder het Privacy Framework van de EU en VS; passende waarborgen voor de Lepta-naar-WTNY-overdracht worden beschreven in sectie 7 hieronder. Persoonlijke gegevens van donateurs en vrijwilligers die via de App zijn ingediend, worden niet door Lepta naar WTNY verzonden: volgens de App-gegevensstroom worden gegevens van donateurs en vrijwilligers verzonden van de App naar de Lepta-portal (gehost op Amazon Web Services, Inc in de Verenigde Staten) en van daar naar Stripe, het systeem van waarheid.
- Amazon Web Services, Inc. (serverlogboeken, Verenigde Staten – sub-verwerker): De backend van de App wordt gehost op Amazon Web Services, Inc. (“AWS”) in de Verenigde Staten (us-east-1-regio). AWS is zelfcertificeerd onder het Privacy Framework van de EU en VS. Standaard serververzoeken logboeken kunnen voorbijgaand gegevens bevatten, zoals IP-adressen, user-agent-strings en URL-parameters. Deze logboeken worden 60 dagen bewaard en vervolgens verwijderd.
- Google (adresaanvulling): Wanneer een donateur een postadres invoert, gebruikt de App de Google Places API om aanvullingsuggesties te bieden. Google’s verwerking van deze gegevens wordt geregeld door Google’s privacybeleid. Google, LLC is zelfcertificeerd onder het Privacy Framework van de EU en VS.
Lepta’s portal (beheersdashboard) slaat geen PII van donateurs in zijn eigen database op. Het beheerdashboard geeft betalings- en donatiegegevens weer via Stripe’s Embedded Payments-interface, waarbij gegevens in real-time rechtstreeks van Stripe worden opgehaald.
De enige persoonlijke gegevens die in de database van de portal worden opgeslagen, zijn beheerdersaccounts (naam, e-mail, gehashed wachtwoord) voor de vertegenwoordigers van juridische entiteiten die het systeem beheren. Dit zijn geen donateurregistraties.
Een volledige lijst met Lepta’s sub-verwerkers is beschikbaar op lepta.io/resources.
7. Internationale gegevensoverdrachten
Uw persoonlijke gegevens kunnen worden overgedragen naar en verwerkt in landen buiten uw land van ingezetenenschap, inclusief de Verenigde Staten. Waar dergelijke overdrachten persoonlijke gegevens betreffen die afkomstig zijn uit de Europese Economische Ruimte (EER), het Verenigd Koninkrijk of Zwitserland, zijn passende waarborgen van kracht. De volledige details van de overdrachtsmechanismen zijn opgesteld in de Lepta Data Transfers Addendum, beschikbaar op leptapay.com/legal/dta. Een samenvatting van de waarborgen voor elke overdracht wordt hieronder gegeven.
- Stripe (Verenigde Staten – onafhankelijke beheerder): Stripe is zelfcertificeerd onder het Privacy Framework van de EU en VS en de UK Extension to the DPF. De adequaatsbeslissing van de Europese Commissie (Uitvoeringsbesluit (EU) 2023/1795 van 10 juli 2023) is van toepassing op overdrachten van persoonlijke gegevens naar Stripe. Lepta controleert Lepta’s DPF-certificeringsstatus van Stripe.
- WTNY (Verenigde Staten – sub-verwerker): WTNY is niet gecertificeerd onder het Privacy Framework. Overdrachten van persoonlijke gegevens van Lepta naar WTNY worden beschermd door de EU Standaard Contractuele Bepalingen (Module 2: Beheerder naar Verwerker, waar Lepta als beheerder optreedt; Module 3: Verwerker naar Verwerker, waar Lepta als verwerker optreedt) goedgekeurd door de Europese Commissie en opgenomen in de IT-serviceovereenkomst tussen Lepta en WTNY. De Standaard Contractuele Bepalingen gaan vergezeld van Aanvullende Waarborgen Addenda’s die aanvullende maatregelen bieden, inclusief versleuteling van persoonlijke gegevens in transit en in rust, contractuele verplichtingen om verzoeken om te leiden, zich te verzetten tegen en uit te dagen voor overheidstoegangsmogelijkheden onder Amerikaanse toezichtwetgeving, om Lepta in kennis te stellen van bindende wettelijke vorderingen voor persoonlijke gegevens (onder voorbehoud van van toepassing zijnde wettelijke beperkingen) en om alleen de minimale hoeveelheid persoonlijke gegevens offenbaring nodig voor het voldoen aan een onvermijdelijke verordening. Lepta’s verdere sub-verwerker van WTNY voor de Microsoft 365/SharePoint Online/Azure/Power BI/Exchange-services is Microsoft Ireland Operations Limited (Ierland), gecontracteerd onder de Microsoft Customer Agreement; Microsoft Ireland Operations Limited vertrouwt op zijn beurt op Microsoft Corporation (Verenigde Staten, zelfcertificeerd onder het Privacy Framework van de EU en VS), die de onderliggende service van Microsoft-datacenters in de Verenigde Staten verzorgt.
- Google (Verenigde Staten – sub-verwerker): Google, LLC is zelfcertificeerd onder het Privacy Framework van de EU en VS. De adequaatsbeslissing is van toepassing op overdrachten naar Google als DPF-gecertificeerde sub-verwerker voor de Google Places API.
- AWS (Verenigde Staten – sub-verwerker): Lepta’s backend wordt gehost op AWS in de Verenigde Staten (us-east-1-regio). AWS is zelfcertificeerd onder het Privacy Framework van de EU en VS. De adequaatsbeslissing is van toepassing op overdrachten naar AWS als DPF-gecertificeerde sub-verwerker.
- Overdrachten naar de HuB-instantie van de juridische entiteit: Transactiegegevens worden overgedragen van Stripe naar de instantie van de juridische entiteit van het HuB-systeem. Het overdrachtsmechanisme voor dit deel hangt af van de locatie van elke juridische entiteit en wordt gedekt door de eigen regelingen voor gegevensverwerking van de juridische entiteit.
Lepta is gevestigd in Ierland (EER) en is niet zelf geschikt voor certificering onder het Privacy Framework, dat alleen beschikbaar is voor organisaties gevestigd in VS. Lepta vertrouwt op de EU SCCs en aanvullende maatregelen (voor niet-DPF-gecertificeerde VS-ontvangers) en de adequaatsbeslissing van het Privacy Framework (voor DPF-gecertificeerde VS-ontvangers) als het rechtmatige mechanisme voor Restricted Transfers.
8. Gegevensbehoud
Lepta behoudt persoonlijke gegevens alleen zolang als nodig voor de doeleinden die in dit privacybeleid zijn beschreven:
| Gegevenscategorie | Opslaglocatie | Bewaartermijn |
|---|---|---|
| Naam en e-mailadres van vrijwilliger | Apparaat (versleuteld) | Tot afmelding |
| Naam en e-mailadres van vrijwilliger | Stripe | Per Stripe’s retentiebeleid |
| Naam, e-mail en adres van donateur | Stripe | Per Stripe’s retentiebeleid (bewaard zolang diensten voortduren, plus elke periode die wettelijk vereist is) |
| Transactiegegevens van donateur | Juridische entiteit (HuB) | Per de financiële archiveringsplicht van de juridische entiteit onder van toepassing zijnde wetgeving |
| Betalingskaartgegevens | Stripe (uitsluitend) | Per Stripe’s retentiebeleid en PCI DSS-vereisten |
| Apparaatlocatie | Niet opgeslagen | Niet van toepassing – gebruikt alleen in real-time |
| Serverlogboeken (IP, user-agent) | AWS | 60 dagen |
| Lepta IT-omgevingsgegevens (HuB ERP, Microsoft 365/SharePoint Client Resources, bestand/print/e-mail/back-up) | WTNY (verwerker/sub-verwerker) | Per Lepta’s bewaarverfiguratie en sectie 9.3 van de HuB Terms en Conditions, die voorziet in terugkeer van Client Data in een gestructureerd, veel gebruikte, machinewezig leesbaar formaat en ondersteuning na beëindiging voor minstens 90 dagen. |
9. Uw rechten
Afhankelijk van uw locatie kunnen u de volgende rechten hebben met betrekking tot uw persoonlijke gegevens:
- Recht van toegang: U hebt het recht om een kopie aan te vragen van de persoonlijke gegevens die wij over u hebben.
- Recht op rectificatie: U hebt het recht om correctie aan te vragen van onnauwkeurige of onvolledige persoonlijke gegevens.
- Recht op verwijdering: U hebt het recht om verwijdering aan te vragen van uw persoonlijke gegevens, met inachtneming van alle wettelijke verplichtingen die behoud ervan vereisen.
- Recht op beperking: U hebt het recht om aan te vragen dat we de verwerking van uw persoonlijke gegevens in bepaalde omstandigheden beperken.
- Recht op gegevensportabiliteit: Waar verwerking is gebaseerd op uw toestemming of de uitvoering van een contract, hebt u het recht om uw persoonlijke gegevens in een gestructureerd, veel gebruikte, machinewezig leesbaar formaat te ontvangen.
- Recht op bezwaar: Waar verwerking is gebaseerd op gerechtvaardigd belang, hebt u het recht om tegen dergelijke verwerking bezwaar in te dienen. Wij zullen de verwerking staken tenzij wij overtuigende gegronde redenen kunnen aantoond.
- Recht om toestemming in te trekken: Waar verwerking is gebaseerd op toestemming (zoals de opt-in voor ontvangstbewijzen), kunt u uw toestemming op elk moment intrekken. Intrekking is niet van invloed op de rechtmatigheid van verwerking vóór intrekking.
Omdat persoonlijke gegevens van donateurs worden verwerkt en opgeslagen door Stripe en, waar van toepassing, door de juridische entiteit die de donatie heeft ontvangen, kan het vervullen van rechten, zoals toegang, rectificatie, verwijdering of draagbaarheid van donateurgegevens, coördinatie met Stripe en/of de relevante juridische entiteit nodig zijn. We zullen helpen bij het vergemakkelijken van dergelijke verzoeken.
Voor vrijwilligersgegevens die lokaal op uw apparaat worden opgeslagen, kunt u deze gegevens op elk moment verwijderen door u af te melden bij de App.
10. Gegevens van kinderen
De App is niet gericht op kinderen onder de 16 jaar. We verzamelen niet opzettelijk persoonlijke gegevens van kinderen onder 16 zonder ouderlijke toestemming, zoals vereist door artikel 8 van de Algemene Verordening Gegevensbescherming. Donaties van minderjarigen (personen onder 18 of de meerderjarigheidsleeftijd in hun rechtsgebied) kunnen op verzoek van een ouder of voogd worden terugbetaald door contact op te nemen met de juridische entiteit die de donatie heeft ontvangen. Een ouder of voogd kan gegevenonderwerpsrechten namens een kind uitoefenen door contact op te nemen met Lepta via de gegevens in sectie 12. Als u ervan uitgaat dat een kind persoonlijke gegevens via de App zonder passende toestemming heeft verstrekt, neem dan contact met ons op en zullen we stappen ondernemen om dergelijke gegevens te verwijderen.
11. Wijzigingen in dit privacybeleid
We kunnen dit privacybeleid van tijd tot tijd bijwerken. Als we materiële wijzigingen aanbrengen, zullen we u vooraf via de App of op andere passende wijze in kennis stellen. De “Laatst bijgewerkt”-datum aan de bovenkant van dit beleid geeft aan wanneer het voor het laatst is herzien.
12. Contact
Neem contact met ons op als u vragen hebt over dit privacybeleid, wilt uw gegevenonderwerpsrechten uitoefenen, of een klacht hebt:
Lepta Payment Solutions Limited
Watch Tower House, Blackditch, Newcastle, Co. Wicklow, A63 RF61 Ierland
[email protected]
Functionaris Gegevensbescherming / Privacy Contact: Daniel Melinder
Lepta’s leidende toezichthouder is de Irish Data Protection Commission.
U hebt ook het recht om een klacht in te dienen bij een toezichthouder in het EU-lidstaat van uw gewone verblijfplaats, werkplek of plaats van de vermeende inbreuk.