1. Introduksjon
Denne personvernpolicyen (“Policyen”) forklarer hvordan Lepta Payment Solutions Limited (“Lepta,” “vi,” “oss,” eller “vår”) samler inn, bruker, lagrer og deler personopplysninger i forbindelse med mobilappen Event Donations (“Appen”). Appen gjør det mulig for autoriserte frivillige å samle inn donasjoner på vegne av utpekte juridiske enheter ved hjelp av Tap-to-Pay-teknologi.
Denne policyen gjelder for to kategorier av personer:
- Frivillige: personer autorisert av en juridisk enhet til å bruke Appen for å samle inn donasjoner; og
- Givere: personer som gir donasjoner gjennom Appen.
Betalingsbehandling leveres av Stripe, Inc. (“Stripe”). Stripes behandling av dine personopplysninger styres av Stripes personvernpolicy, tilgjengelig på stripe.com/privacy. Den juridiske enheten som mottar donasjonen din kan også ha sin egen personvernpolicy, som vil bli gjort tilgjengelig for deg på donasjonspunktet.
2. Hvem er ansvarlig for dine data?
Avhengig av aktiviteten, er ulike parter ansvarlige for dine personopplysninger:
- Den juridiske enheten (dataansvarlig): Organisasjonen som mottar donasjonen er datakontrollant for donasjonsprosessen, inkludert innsamling og behandling av giverens personopplysninger for å motta donasjoner og utstede skattekvitteringer. Den juridiske enheten instruerer Lepta om å samle inn og overføre disse dataene på dens vegne.
- Lepta som databehandler: For kjernedelen av donasjonsprosessen – inkludert innsamling og overføring av giverens personopplysninger via Appen, og overføring av transaksjonsopplysninger til den juridiske enhetens systemer – fungerer Lepta som databehandler på vegne av den juridiske enheten. Lepta behandler disse dataene bare i henhold til den juridiske enhetens dokumenterte instruksjoner.
- Lepta som datakontrollant: Lepta bestemmer formål og midler for behandling for et begrenset sett med interne aktiviteter: drift, sikkerhet og vedlikehold av Lepta-plattformen (inkludert serverloggger og hendelsesrespons), administrasjon av administratorbrukerkontoer, valg og ledelse av Leptas egne tjenesteleverandører, og overholdelse av Leptas egne juridiske forpliktelser. Lepta fungerer ikke som datakontrollant for bedrageriovervåking, anti-pengeprosesseringskjermkontroll eller analyser på tvers av data fra flere juridiske enheter.
- Stripe: Stripe behandler betalingskortdata og giverens personopplysninger i sin kapasitet som en uavhengig betalingstjenesteleverandør. Stripe er ikke en underkontrahent av Lepta. Stripes rolle og forpliktelser styres av Stripes personvernpolicy og dets avtaler med Lepta. Stripe er selvbevisst under EU–US Data Privacy Framework.
- Google: Der Appen bruker Google Places API for adresseautofullføring, sender Appen giverens delvis adressespørring og enhetslokasjonsdata til Leptas server, som videresender forespørselen til Google. Google fungerer som en underkontrahent av Lepta for dette formål. Google, LLC er selvbevisst under EU–US Data Privacy Framework. Googles behandling styres av Googles personvernpolicy.
3. Hvilke personopplysninger vi samler inn
3.1 Data om frivillige
Når du logger på Appen med en autentiseringskode, samler vi inn:
- Ditt navn (fornavn og etternavn)
- Din e-postadresse
Disse dataene lagres i kryptert sikker lagring på enheten din og slettes når du logger av. Det blir også overført til Stripe i forbindelse med betalingsbehandling.
Hvis du laster ned Appen men ikke angir en autentiseringskode, samles ingen personopplysninger om deg inn, lagres eller overføres av Appen eller av Lepta.
3.2 Data om givere
Når en giver gir en donasjon gjennom Appen, kan følgende data samles inn, avhengig av sesjonkonfigurasjonen:
- E-postadresse (brukt for levering av donasjonsmottakelser)
- Navn (fornavn og etternavn)
- Postadresse (gateadresse, by, stat/fylke, postnummer/postalakode, land) – samles bare i jurisdiksjoner hvor det er påkrevd av lov for utstedelse av skattekvittering
Disse giverdata overføres direkte til Stripes servere via Stripe API. De skrives ikke til eller lagres i Leptas egen database eller Appens portal.
3.3 Betalingskortdata
Betalingskortdata (kortnummer, utløp, CVC) håndteres fullstendig av Stripe SDK integrert i Appen. Lepta har ikke tilgang til, behandler eller lagrer betalingskortdata på noe tidspunkt.
3.4 Enhetens posisjonsdata
Etter at du angir en autentiseringskode og begynner Tap-to-Pay-onboarding-prosessen, ber Appen om tillatelse til å få tilgang til din enhets nøyaktige plassering. Dette er påkrevd for to formål:
- Stripe Terminal SDK-krav: Stripe krever bekreftelse av enhetens nøyaktige lokasjon for å verifisere at Tap-to-Pay brukes i et godkjent land. Dette er et obligatorisk forutsetning for Stripe Terminal SDK, uten hvilken Appen ikke kan initialiseres eller akseptere betalinger.
- Adresseautofullføring: Appen bruker Google Places API for å gi høykvalitets adresseautofullføringsresultater når en giver angir sin postadresse. Enhetens lokasjonsdata brukes til å forbedre relevansen av disse forslagene.
Lokasjonsdata lagres ikke av Lepta i Appens portal eller database.
3.5 Data som ikke samles inn
Appen samler ikke inn, bruker eller overfører:
- Annonseringsidentifikatorer (IDFA eller GAID)
- Krasjdata, ytelses- eller diagnostiske telemetri-data (ingen krashrapporterings- eller ytelsesovervåkings-SDK-er er inkludert i Appen)
- Cross-app eller cross-site sporingsdata
- Biometriske data (inkludert ansiktsgjenkjenningsdata)
Appen bruker et lokalt-bare loggingsbibliotek for utviklingsdiagnostikk. I produksjonsbygninger blir bare meldinger på informasjonsnivå loggert, og disse loggene blir bare på enheten og overføres aldri til noen server.
4. Hvordan vi bruker dine personopplysninger
| Formål | Data brukt | Juridisk grunnlag (GDPR) | Oppbevaring |
|---|---|---|---|
| Frivilliges onboarding og autentisering | Frivilliges navn, e-post, autentiseringskode | Legitim interesse (Art. 6(1)(f))—nødvendig for å drive donasjonsamlingstjenesten | På enhet: inntil avlogging. |
| I Stripe: per Stripes oppbevaringspolicy | |||
| Behandling av donasjoner | Giverens navn, e-post, betalingskortdata (via Stripe SDK), donasjonbeløp | Oppfyllelse av kontrakt (Art. 6(1)(b))—nødvendig for å behandle donasjonstransaksjonen | Stripe: per Stripes oppbevaringspolicy. |
| Juridisk enhet: per dens økonomiske journalføringsforpliktelser | |||
| Utstedelse av skattekvitteringer | Giverens navn, e-post, postadresse | Juridisk forpliktelse (Art. 6(1)(c))—påkrevd av innenlandsk skattelovgiving i spesifiserte jurisdiksjoner | Juridisk enhet: per gjeldende skattejournal oppbevaringskrav |
| Utstedelse av skattekvitteringer | Giverens navn, e-post, postadresse | Juridisk forpliktelse (Art. 6(1)(c))—påkrevd av innenlandsk skattelovgiving i spesifiserte jurisdiksjoner | Juridisk enhet: per gjeldende skattejournal oppbevaringskrav |
| Tap-to-Pay landsbekreftelse | Enhetens nøyaktige lokasjon | Legitim interesse (Art. 6(1)(c),(f))—nødvendig for å overholde Stripe Terminal SDK-krav og betalingsnettkrets regler; og for å bestemme om det brukes i et godkjent land | Ikke lagret |
| Adresseautofullføring | Enhetens lokasjon | Legitim interesse (Art. 6(1)(f))—forbedre nøyaktigheten av adresseinntasting for givere | Ikke lagret |
| Serveroperation | IP-adresser, user-agent strenger, URL-parametre (standard serverlogger) | Legitim interesse (Art. 6(1)(f))—sikkerhet og systemintegritet | Transient; 60 dager |
| Religiøs kontekst | Der den juridiske enheten er en religiøs forening, kan donasjondata i sammenheng avsløre giverens religiøse eller filosofiske oppfatninger (Art. 9(1) GDPR) | Art. 9(2)(d)—behandling utført i forbindelse med legitime aktiviteter i en religiøs forening, med passende sikkerhetstiltak. Den juridiske enheten garanterer innslag i denne betingelsen. | Per oppbevaringsperiodene ovenfor |
5. Samtykke til mottakelse og takkeskriv
Der Appen tilbyr givere muligheten til å motta en donasjonsmottakelse eller takkeskriv, er dette basert på giverens fritt gitte samtykke. Samtykkemekanismen fungerer som følger:
- Valg-inn presenteres som en separat, klart merket toggle eller avmerkingsboks som er av som standard.
- Donasjonen selv er ikke betinget av å velge inn – en giver kan fullføre donasjonen uten å samtykke til å motta en mottakelse eller brev.
- Giveren informeres, på tidspunktet for valg-inn, om at deres kontaktdetaljer (navn, e-post og etter behov postadresse) vil bli delt med den juridiske enheten som mottar donasjonen for formål med utstedelse av mottakelsen eller brevet.
- Samtykke kan trekkes tilbake når som helst ved å kontakte Lepta eller den juridiske enheten (se del 9 nedenfor).
6. Hvor dine data lagres og hvem de deles med
Lepta vedlikeholder ikke sin egen database med giverens personopplysninger. Dataene flyter som følger:
- På enheten: Frivilliges navn og e-post lagres i kryptert sikker lagring på enheten og slettes ved avlogging.
- Stripe: Giverens navn, e-post, postadresse (der samlet) og betalingsdata holdes på Stripes servere. Stripe er en PCI DSS Level 1-sertifisert betalingstjenesteleverandør. Stripes dataoppbevaring, sikkerhetstiltak og personvernpraksis styres av Stripes personvernpolicy (stripe.com/privacy). Stripe er selvbevisst under EU–US Data Privacy Framework.
- Den juridiske enheten: Transaksjonsdata som kreves for den juridiske enhetens økonomiske poster overføres fra Stripe til den juridiske enhetens IT-system. Dette speiler den eksisterende dataflytningen som ble brukt for donate.jw.org.
- Watchtower Bible and Tract Society of New York, Inc. (“WTNY”): WTNY tilbyr Leptas bredere IT-miljø under en IT-serviceavtale, inkludert HuB-systemet for bedriftsressursplanlegging, Microsoft 365/SharePoint Online (Leptas klientressursplattform), Microsoft Azure-skytjenester, Microsoft Power BI, Microsoft Exchange (e-post), sikkerhetskopieringstjenester og domenevertstøtte, alt fra USA. WTNY fungerer som Leptas behandler og underbehandler og behandler personopplysninger bare i henhold til Leptas dokumenterte instruksjoner. WTNY sin onward underbehandler for Microsoft 365/SharePoint Online/Azure/Power BI/Exchange-laget er Microsoft Ireland Operations Limited, som igjen er avhengig av Microsoft Corporation (USA, DPF-sertifisert) for tjenesteleveranse. WTNY selv er ikke sertifisert under EU–US Data Privacy Framework; passende sikkerhetstiltak for Lepta-til-WTNY-overføringen er beskrevet i del 7 nedenfor. Giver- og frivilliges personopplysninger sendt gjennom Appen blir ikke overført til WTNY av Lepta: per Appen dataflyt, giver- og frivilliges data sendes fra Appen til Lepta-portalen (vert på Amazon Web Services, Inc i USA) og derfra til Stripe, som er systemet for journalføring.
- Amazon Web Services, Inc. (serverlogger, USA–underbehandler): Appens backend er vert på Amazon Web Services, Inc. (“AWS”) i USA (us-east-1-region). AWS er selvbevisst under EU–US Data Privacy Framework. Standard serverforespørselslogger kan forbigående inneholde data som IP-adresser, user-agent strenger og URL-parametre. Disse loggene beholdes i 60 dager og slettes deretter.
- Google (adresseautofullføring): Når en giver angir en postadresse, bruker Appen Google Places API for å gi autofullføringsforslag. Googles behandling av disse dataene styres av Googles personvernpolicy. Google, LLC er selvbevisst under EU–US Data Privacy Framework.
Leptas portal (administratordashbord) lagrer ikke giver-PII i sin egen database. Administratordashbordet gjengir betalings- og donasjondata via Stripes innebyggede betalingsgrensesnitt, som henter data direkte fra Stripe i sanntid.
De eneste personopplysningene som lagres i portalens egen database, består av administratorbrukerkontoer (navn, e-post, hashet passord) for representantene for juridiske enheter som administrerer systemet. Disse er ikke giverposter.
En komplett liste over Leptas underbehandlere er tilgjengelig på lepta.io/resources.
7. Internasjonale dataoverføringer
Dine personopplysninger kan overføres til og behandles i land utenfor ditt hjemland, inkludert USA. Der slike overføringer involverer personopplysninger som stammer fra Europeisk økonomisk område (EøS), Storbritannia eller Sveits, er passende sikkerhetstiltak på plass. De fulle detaljene om overføringsmekanismene er angitt i Lepta Data Transfers Addendum, tilgjengelig på leptapay.com/legal/dta. En sammendrag av sikkerhetstiltakene for hver overføring er gitt nedenfor.
- Stripe (USA–uavhengig kontroller): Stripe er selvbevisst under EU–US Data Privacy Framework (DPF) og UK Extension til DPF. Europakommisjons tilstrekkelighetsavgjørelse (Gjennomføringsbeslutning (EU) 2023/1795 av 10. juli 2023) gjelder for overføringer av personopplysninger til Stripe. Lepta overvåker Stripes DPF-sertifiseringsstatus.
- WTNY (USA–underbehandler): WTNY er ikke sertifisert under Data Privacy Framework. Overføringer av personopplysninger fra Lepta til WTNY er beskyttet av EU Standard Contractual Clauses (Modul 2: Kontroller til Behandler, der Lepta fungerer som kontroller; Modul 3: Behandler til Behandler, der Lepta fungerer som behandler) godkjent av Europakommisjonen og inkorporert i IT-serviceavtalen mellom Lepta og WTNY. Standard Contractual Clauses er ledsaget av Additional Safeguards Addenda som gir supplerende tiltak, inkludert kryptering av personopplysninger under overføring og i hvile, kontraktsmessige forpliktelser til å omdirigere forespørsler, til å motstå og utfordre myndigheters tilgangsforespørsler under US-overvåkingslovgivning, til å underrette Lepta om eventuelle bindende juridiske krav om personopplysninger (underlagt gjeldende juridiske begrensninger), og til å avsløre bare minimumsbeløpet av personopplysninger som kreves for å tilfredsstille eventuelle uunngåelige ordrer. WTNY sin onward underbehandler for Microsoft 365/SharePoint Online/Azure/Power BI/Exchange-tjenestene er Microsoft Ireland Operations Limited (Irland), kontrahert under Microsoft Customer Agreement; Microsoft Ireland Operations Limited er igjen avhengig av Microsoft Corporation (USA, selvbevisst under EU–US Data Privacy Framework), som gir den underliggende tjenesten fra Microsoft datasentre i USA.
- Google (USA–underbehandler): Google, LLC er selvbevisst under EU–US Data Privacy Framework. Tilstrekkelighetsavgjørelsen gjelder for overføringer til Google som en DPF-sertifisert underbehandler for Google Places API.
- AWS (USA–underbehandler): Leptas backend er vert på AWS i USA (us-east-1-region). AWS er selvbevisst under EU–US Data Privacy Framework. Tilstrekkelighetsavgjørelsen gjelder for overføringer til AWS som en DPF-sertifisert underbehandler.
- Overføringer til den juridiske enhetens HuB-instans: Transaksjonsdata overføres fra Stripe til den juridiske enhetens instans av HuB-systemet. Overføringsmekanismen for denne delen avhenger av plasseringen av hver juridisk enhet og dekkes av den juridiske enhetens egen dataprosesserings arrangementer.
Lepta er etablert i Irland (EøS) og er ikke selv kvalifisert for sertifisering under Data Privacy Framework, som bare er tilgjengelig for organisasjoner basert i USA. Lepta er avhengig av EU SCCs og supplerende tiltak (for ikke-DPF-sertifiserte mottakere i USA) og DPF-tilstrekkelighetsavgjørelsen (for DPF-sertifiserte mottakere i USA) som de juridisk tillatte mekanismene for begrenset overføringer.
8. Dataoppbevaring
Lepta beholder personopplysninger bare så lenge det er nødvendig for formålene beskrevet i denne personvernpolicyen:
| Datakategori | Lagringssted | Oppbevaringsperiode |
|---|---|---|
| Frivilliges navn og e-post | Enhet (kryptert) | Inntil avlogging |
| Frivilliges navn og e-post | Stripe | Per Stripes oppbevaringspolicy |
| Giverens navn, e-post, adresse | Stripe | Per Stripes oppbevaringspolicy (beholdt så lenge tjenestene fortsetter, pluss eventuelle perioder som kreves av gjeldende lovgivning) |
| Giverens transaksjonsdata | Juridisk enhet (HuB) | Per den juridiske enhetens økonomiske journalføringsforpliktelser under gjeldende lovgivning |
| Betalingskortdata | Stripe (utelukkende) | Per Stripes oppbevaringspolicy og PCI DSS-krav |
| Enhetens lokasjon | Ikke lagret | Ikke relevant – brukt bare i sanntid |
| Serverlogger (IP, user-agent) | AWS | 60 dager |
| Lepta IT-miljø data (HuB ERP, Microsoft 365/SharePoint Client Resources, fil/utskrift/e-post/sikkerhetskopi) | WTNY (behandler/underbehandler) | Per Leptas oppbevarings instruksjoner og del 9.3 av HuB vilkår og betingelser, som gir mulighet for retur av klientdata i et strukturert, vanlig brukt, maskinlesbart format, og post terminasjon assistanse i minimum 90 dager. |
9. Dine rettigheter
Avhengig av din lokasjon, kan du ha følgende rettigheter vedrørende dine personopplysninger:
- Rett til tilgang: Du har rett til å be om en kopi av personopplysningene vi holder om deg.
- Rett til retting: Du har rett til å be om korreksjon av unøyaktige eller ufullstendige personopplysninger.
- Rett til sletting: Du har rett til å be om sletting av dine personopplysninger, underlagt eventuelle juridiske forpliktelser som krever oppbevaring.
- Rett til begrensning: Du har rett til å be om at vi begrenser behandlingen av dine personopplysninger under visse omstendigheter.
- Rett til dataportabilitet: Der behandling er basert på ditt samtykke eller oppfyllelse av kontrakt, har du rett til å motta dine personopplysninger i et strukturert, vanlig brukt, maskinlesbart format.
- Rett til innsigelse: Der behandling er basert på legitim interesse, har du rett til å protestere mot slik behandling. Vi vil slutte å behandle med mindre vi kan demonstrere tungtveiende legitime grunner.
- Rett til å trekke tilbake samtykke: Der behandling er basert på samtykke (for eksempel mottakelse-valg-inn), kan du trekke tilbake ditt samtykke når som helst. Tilbaketrekking påvirker ikke lovligheten av behandling utført før tilbaketrekking.
Fordi giver personopplysninger behandles og lagres av Stripe og, når det er aktuelt, av den juridiske enheten som mottok donasjonen, kan forespørsler om å utøve rettigheter som tilgang, retting, sletting eller portabilitet av giverdata må koordineres med Stripe og/eller den relevante juridiske enheten. Vi vil hjelpe til med å lette slike forespørsler.
For frivilliges data som lagres lokalt på enheten din, kan du slette disse dataene når som helst ved å logge av Appen.
10. Barns data
Appen er ikke rettet mot barn under 16 år. Vi samler ikke bevisst personopplysninger fra barn under 16 år uten foreldres tillatelse, som påkrevd av artikkel 8 General Data Protection Regulation. Donasjoner gjort av mindreårige (personer under 18 eller majoritetsalderen i deres jurisdiksjon) kan refunderes på forespørsel fra en forelder eller verge ved å kontakte den juridiske enheten som mottok donasjonen. En forelder eller verge kan utøve rettigheter for datasubjekt på vegne av et barn ved å kontakte Lepta ved hjelp av detaljene i del 12. Hvis du tror at et barn har gitt personopplysninger gjennom Appen uten passende tillatelse, vennligst kontakt oss og vi vil ta steg for å slette slike data.
11. Endringer i denne personvernpolicyen
Vi kan oppdatere denne personvernpolicyen fra tid til annen. Hvis vi gjør materielle endringer, vil vi underrette deg gjennom Appen eller på annen passende måte før endringene trer i kraft. Datoen “Sist oppdatert” på toppen av denne policyen angir når det ble sist revidert.
12. Kontakt oss
Hvis du har spørsmål om denne personvernpolicyen, ønsker å utøve dine rettigheter for datasubjekt, eller har en klage, vennligst kontakt:
Lepta Payment Solutions Limited
Watch Tower House, Blackditch, Newcastle, Co. Wicklow, A63 RF61 Ireland
[email protected]
Data Protection Officer / Privacy Contact: Daniel Melinder
Leptas ledende tilsynsmyndighet er Datatilsynet i Irland.
Du har også rett til å sende inn en klage til en tilsynsmyndighet i en EU-medlemsstat i ditt vanlige oppholdssted, arbeidsplass eller stedet for det påstått brudd.