1. Introduktion
Denna integritetspolicy (denna “policy”) förklarar hur Lepta Payment Solutions Limited (“Lepta,” “vi,” “oss,” eller “vår”) samlar in, använder, lagrar och delar personuppgifter i samband med donationsappen för evenemang (appen). Appen gör det möjligt för auktoriserade volontärer att samla in donationer på vegna av utsedda juridiska personer med hjälp av Tap-to-Pay-teknik.
Denna policy gäller för två kategorier av individer:
- Volontärer: individer som är auktoriserade av en juridisk person för att använda appen för att samla in donationer; och
- Givare: individer som gör donationer genom appen.
Betalningsbehandling tillhandahålls av Stripe, Inc. (“Stripe”). Stripes hantering av dina personuppgifter styrs av Stripes integritetspolicy, tillgänglig på stripe.com/privacy. Den juridiska person som mottar din donation kan också ha sin egen integritetspolicy, som kommer att tillhandahållas till dig vid tidpunkten för donationen.
2. Vem är ansvarig för dina data?
Beroende på aktiviteten är olika parter ansvariga för dina personuppgifter:
- Den juridiska personen (datakontrollant): Den organisation som mottar donationen är datakontrollanten för transaktionsflödet för donationen, inklusive insamling och behandling av givarens personuppgifter för ändamålet att motta donationer och utfärda skattekvitton. Den juridiska personen instruerar Lepta att samla in och överföra denna data på dess vägnar.
- Lepta som databehandlare: För det centrala donationstransaktionsflödet—inklusive insamling och överföring av givarens personuppgifter via appen och överföring av transaktionsposter till den juridiska personens system—fungerar Lepta som en databehandlare på uppdrag av den juridiska personen. Lepta behandlar denna data endast enligt den juridiska personens dokumenterade instruktioner.
- Lepta som datakontrollant: Lepta bestämmer ändamålen och medlen för behandling för en begränsad uppsättning interna aktiviteter: drift, säkerhet och underhåll av Lepta-plattformen (inklusive serverloggar och incidenthantering), administration av administratörsanvändarkonton, val och hantering av Leptas egna tjänsteleverantörer och efterlevnad av Leptas egna rättsliga förpliktelser. Lepta fungerar inte som datakontrollant för bedrägeriovervakningsanalys, screening mot penningtvätt eller analys över data från flera juridiska personer.
- Stripe: Stripe behandlar betalningskortdata och givarens personuppgifter i sin egenskap av oberoende betalningsleverantör. Stripe är inte en underbehandlare för Lepta. Stripes roll och förpliktelser styrs av Stripes integritetspolicy och dess avtal med Lepta. Stripe är självcertifierad enligt EU–USA Data Privacy Framework.
- Google: Där appen använder Google Places API för adressautokompleting skickar appen givarens partiella adressfråga och enhetens platssdata till Leptas server, som vidarebefordrar begäran till Google. Google fungerar som en underbehandlare för Lepta för detta ändamål. Google, LLC är självcertifierad enligt EU–USA Data Privacy Framework. Googles behandling styrs av Googles integritetspolicy.
3. Vilka personuppgifter vi samlar in
3.1 Volontärdata
När du loggar in i appen med en auktoriseringskod samlar vi in:
- Ditt namn (förnamn och efternamn)
- Din e-postadress
Denna data lagras i krypterad säker lagring på din enhet och rensas när du loggar ut. Det överförs också till Stripe i samband med betalningsbehandling.
Om du laddar ned appen men inte anger en auktoriseringskod samlas ingen personuppgift om dig in, lagras eller överförs av appen eller av Lepta.
3.2 Givardata
När en givare gör en donation genom appen kan följande data samlas in, beroende på sessionskonfigurationen:
- E-postadress (används för leverans av donationskvitton)
- Namn (förnamn och efternamn)
- Postadress (gatuadress, stad, län/provins, postnummer, land)—insamlas endast i jurisdiktioner där det krävs enligt lag för utfärdande av skattekvitto
Denna givardata överförs direkt till Stripes servrar via Stripe API. Den skrivs inte till eller lagras i Leptas egen databas eller appens portal.
3.3 Betalningskortdata
Betalningskortdata (kortnummer, utgångsdatum, CVC) hanteras helt av Stripe SDK som är integrerad i appen. Lepta har ingen åtkomst till, bearbetar eller lagrar betalningskortdata vid någon tidpunkt.
3.4 Enhetens platssdata
Efter att du har angett en auktoriseringskod och påbörjat Tap-to-Pay-introduktionsprocessen begär appen behörighet för att få åtkomst till enhetens exakta plats. Detta krävs för två ändamål:
- Stripe Terminal SDK-krav: Stripe kräver bekräftelse av enhetens exakta plats för att verifiera att Tap-to-Pay används i ett godkänt land. Detta är en obligatorisk förutsättning för Stripe Terminal SDK, utan vilken appen inte kan initieras eller acceptera betalningar.
- Adressautokompleting: Appen använder Google Places API för att tillhandahålla högkvalitativa adressautokompleteringsresultat när en givare anger sin postadress. Enhetens platssdata används för att förbättra relevansen för dessa förslag.
Platssdata lagras inte av Lepta i appens portal eller databas.
3.5 Data som inte samlas in
Appen samlar inte in, använder eller överför:
- Reklamidentifierare (IDFA eller GAID)
- Kraschdata, prestandadata eller diagnostik telemetri (inga kraschrappor eller prestandaövervakning SDKs ingår i appen)
- Spårningsdata mellan appar eller mellan webbplatser
- Biometrisk data (inklusive ansiktsigenkänningsdata)
Appen använder ett lokalt loggningsbibliotek för utvecklingsdiagnostik. I produktionsversioner loggas endast informationsnivåmeddelanden och dessa loggar förblir på enheten och överförs aldrig till någon server.
4. Hur vi använder dina personuppgifter
| Ändamål | Data som används | Rättslig grund (GDPR) | Lagring |
|---|---|---|---|
| Volontärregistrering och autentisering | Volontärens namn, e-postadress, auktoriseringskod | Befintligt intresse (art. 6(1)(f))—nödvändigt för att driva donationsinsamlingstjänsten | På enhet: tills utloggning. |
| I Stripe: enligt Stripes bevarandepolicy | |||
| Behandling av donationer | Givarens namn, e-postadress, betalningskortdata (via Stripe SDK), donationsbelopp | Prestanda i kontraktet (art. 6(1)(b))—nödvändigt för att behandla donationstransaktionen | Stripe: enligt Stripes bevarandepolicy. |
| Juridisk person: enligt dess bokföringsskyldigheter | |||
| Utfärdande av skattekvitton | Givarens namn, e-postadress, postadress | Rättslig skyldighet (art. 6(1)(c))—krävs enligt inhemsk skattelag i specifika jurisdiktioner | Juridisk person: enligt tillämpliga skattebevarandekrav |
| Utfärdande av skattekvitton | Givarens namn, e-postadress, postadress | Rättslig skyldighet (art. 6(1)(c))—krävs enligt inhemsk skattelag i specifika jurisdiktioner | Juridisk person: enligt tillämpliga skattebevarandekrav |
| Verifiering av Tap-to-Pay-land | Enhetens exakta plats | Befintligt intresse (art. 6(1)(c),(f))—nödvändigt för att följa Stripe Terminal SDK-krav och betalningsnätverksregler; och för att fastställa om det används i ett godkänt land | Lagras inte |
| Adressautokompleting | Enhetens plats | Befintligt intresse (art. 6(1)(f))—förbättring av noggrannheten för adressregistrering för givare | Lagras inte |
| Serverdrift | IP-adresser, användar-agent-strängar, URL-parametrar (standardserverloggar) | Befintligt intresse (art. 6(1)(f))—säkerhet och systemintegritet | Övergående; 60 dagar |
| Religiös kontext | Där den juridiska personen är en religiös förening kan donationsdata i sitt sammanhang avslöja givarens religiösa eller filosofiska övertygelse (art. 9(1) GDPR) | Art. 9(2)(d)—behandling genomförd i samband med en religiös förenings legitima aktiviteter med lämpliga skyddsåtgärder. Den juridiska personen garanterar förlitande på detta villkor. | Per bevarandeperioderna ovan |
5. Samtycke för kvitto och uppsättning av uppskatning
Där appen erbjuder givare möjligheten att få ett donationskvitto eller uppsättning av uppskatting, baseras detta på givarens fritt givna samtycke. Samtyckesmekanismen fungerar på följande sätt:
- Opt-in presenteras som en separat, tydligt märkt växel eller kryssruta som är inaktiverad som standard.
- Donationen själv är inte villkorad av opt-in—en givare kan slutföra donationen utan att samtycka till mottagandet av ett kvitto eller uppsättning av uppskatting.
- Givaren informeras vid tidpunkten för opt-in om att deras kontaktuppgifter (namn, e-postadress och där tillämpligt postadress) kommer att delas med den juridiska personen som mottar donationen för ändamålet att utfärda kvittot eller uppsättningen av uppskatting.
- Samtycke kan när som helst dras tillbaka genom att kontakta Lepta eller den juridiska personen (se avsnitt 9 nedan).
6. Där dina data lagras och vem det delas med
Lepta underhåller inte sin egen databas över givarnas personuppgifter. Dataflödet är följande:
- På enheten: Volontärens namn och e-postadress lagras i krypterad säker lagring på enheten och rensas vid utloggning.
- Stripe: Givarens namn, e-postadress, postadress (där insamlad) och betalningsdata lagras på Stripes servrar. Stripe är en PCI DSS-certifierad betalningsleverantör på nivå 1. Stripes databehållning, säkerhetsmått och integritetsmetoder styrs av Stripes integritetspolicy (stripe.com/privacy). Stripe är självcertifierad enligt EU–USA Data Privacy Framework.
- Den juridiska personen: Transaktionsdata som krävs för den juridiska personens finansiella poster överförs från Stripe till den juridiska personens IT-system. Detta speglar det befintliga dataflödet som används för donate.jw.org.
- Watchtower Bible and Tract Society of New York, Inc. (“WTNY”): WTNY tillhandahåller Leptas bredare IT-miljö enligt ett IT-tjänsteavtal, inklusive HuB enterprise resource planning-systemet, Microsoft 365/SharePoint Online (Leptas klientresursplatform), Microsoft Azure-molntjänster, Microsoft Power BI, Microsoft Exchange (e-post), säkerhetskopieringstjänster och domänvärdskap, alla från USA. WTNY fungerar som Leptas processor och underbehandlare och behandlar personuppgifter endast enligt Leptas dokumenterade instruktioner. WTNYs vidare underbehandlare för Microsoft 365/SharePoint Online/Azure/Power BI/Exchange-lagret är Microsoft Ireland Operations Limited, som i sin tur förlitar sig på Microsoft Corporation (USA, DPF-certifierad) för tjänsteleverans. WTNY själv är inte certifierad enligt EU–USA Data Privacy Framework; lämpliga skyddsåtgärder för Lepta-till-WTNY-överföringen beskrivs i avsnitt 7 nedan. Givare och volontärs personuppgifter som lämnats genom appen överförs inte till WTNY av Lepta: enligt appens dataflöde skickas givare och volontärsdata från appen till Lepta Portal (värdad på Amazon Web Services, Inc i USA) och därifrån till Stripe, vilket är systemet för record.
- Amazon Web Services, Inc. (serverloggar, USA—underbehandlare): Appens backend värdas på Amazon Web Services, Inc. (“AWS”) i USA (us-east-1-region). AWS är självcertifierad enligt EU–USA Data Privacy Framework. Standardserverbegärandeloggar kan övergående innehålla data såsom IP-adresser, användar-agent-strängar och URL-parametrar. Dessa loggar lagras i 60 dagar och tas sedan bort.
- Google (adressautokompleting): När en givare anger en postadress använder appen Google Places API för att ge autokompleteringsförslag. Googles behandling av denna data styrs av Googles integritetspolicy. Google, LLC är självcertifierad enligt EU–USA Data Privacy Framework.
Leptas portal (administratörsövervakning) lagrar inte givare PII i sin egen databas. Administratörsövervakningen visar betalning och donationsdata via Stripes inbäddade betalningsgränssnitt, som hämtar data direkt från Stripe i realtid.
De enda personuppgifter som lagras i portalens egen databas består av administratörsanvändarkonton (namn, e-postadress, hashad lösenord) för representanterna för juridiska personer som hanterar systemet. Dessa är inte givaruppgifter.
En komplett lista över Leptas underbehandlare finns tillgänglig på lepta.io/resources.
7. Internationell dataöverföring
Dina personuppgifter kan överföras till och behandlas i länder utanför ditt bosättningsland, inklusive USA. Där sådana överföringar involverar personuppgifter från Europeiska ekonomiska området (EES), Förenta kungariket eller Schweiz, är lämpliga skyddsåtgärder på plats. Den fullständiga informationen om överföringsmekanismerna finns i Leptas datautföringsadendum, tillgänglig på leptapay.com/legal/dta. En sammanfattning av skyddsåtgärderna för varje överföring tillhandahålls nedan.
- Stripe (USA—oberoende kontrollant): Stripe är självcertifierad enligt EU–USA Data Privacy Framework (DPF) och UK-tillägget till DPF. Europakommissionens adequacybeslut (omarbetad beslut (EU) 2023/1795 från 10 juli 2023) gäller överföringar av personuppgifter till Stripe. Lepta övervakar Stripes DPF-certifieringsstatus.
- WTNY (USA—underbehandlare): WTNY är inte certifierad enligt dataskyddsramverket. Överföringar av personuppgifter från Lepta till WTNY skyddas av EU:s standardavtalsklausuler (modul 2: Kontrollant till behandlare, där Lepta fungerar som kontrollant; modul 3: Behandlare till behandlare, där Lepta fungerar som behandlare) godkänd av Europakommissionen och införlivad i IT-tjänsteavtalet mellan Lepta och WTNY. Standardavtalsklausulerna åtföljs av ytterligare skyddsaddendam som tillhandahåller kompletterande åtgärder, inklusive kryptering av personuppgifter under överföring och i vila, avtalsåtaganden att omdirigera begäranden, att motstå och ifrågasätta regeringsåtkomstbegäranden enligt amerikansk övervakningslagstiftning, att meddela Lepta om någon bindande rättslig begäran om personuppgifter (med reservation för tillämplig rättslig begränsning) och att endast avslöja det minsta belopp av personuppgifter som krävs för att uppfylla någon oundviklig order. WTNYs vidare underbehandlare för Microsoft 365/SharePoint Online/Azure/Power BI/ Exchange-tjänsterna är Microsoft Ireland Operations Limited (Irland), kontrakterad enligt Microsoft-kundavtalet; Microsoft Ireland Operations Limited förlitar sig i sin tur på Microsoft Corporation (USA, självcertifierad enligt EU–USA Data Privacy Framework), som tillhandahåller den underliggande tjänsten från Microsofts datakcentra i USA.
- Google (USA—underbehandlare): Google, LLC är självcertifierad enligt EU–USA Data Privacy Framework. Adequacybeslutet gäller överföringar till Google som en DPF-certifierad underbehandlare för Google Places API.
- AWS (USA—underbehandlare): Leptas backend värdas på AWS i USA (us-east-1-region). AWS är självcertifierad enligt EU–USA Data Privacy Framework. Adequacybeslutet gäller överföringar till AWS som en DPF-certifierad underbehandlare.
- Överföringar till den juridiska personens HuB-instans: Transaktionsdata överförs från Stripe till den juridiska personens instans av HuB-systemet. Överföringsmekanismen för detta ben beror på platsen för varje juridisk person och omfattas av den juridiska personens egna databelandelingsarrangemang.
Lepta är etablerat i Irland (EES) och är inte själv berättigat för certifiering enligt dataskyddsramverket, vilket endast är tillgängligt för organisationer med huvudsaklig verksamhet i USA. Lepta förlitar sig på EU SCCs och kompletterande åtgärder (för icke-DPF-certifierade mottagare i USA) och adequacybeslutet för DPF (för DPF-certifierade mottagare i USA) som de rättsliga mekanismerna för begränsade överföringar.
8. Datalagring
Lepta sparar personuppgifter endast så länge som nödvändigt för de ändamål som beskrivs i denna integritetspolicy:
| Datakategori | Lagringsplats | Bevarandeperiod |
|---|---|---|
| Volontärens namn och e-postadress | Enhet (krypterad) | Tills utloggning |
| Volontärens namn och e-postadress | Stripe | Enligt Stripes bevarandepolicy |
| Givarens namn, e-postadress, adress | Stripe | Enligt Stripes bevarandepolicy (bevarad så länge tjänsterna fortsätter, plus eventuell period som krävs enligt tillämplig lagstiftning) |
| Givarens transaktionsdata | Juridisk person (HuB) | Enligt den juridiska personens bokföringsskyldigheter enligt tillämplig lagstiftning |
| Betalningskortdata | Stripe (uteslutande) | Enligt Stripes bevarandepolicy och PCI DSS-krav |
| Enhetens plats | Lagras inte | Inte tillämpligt—används endast i realtid |
| Serverloggar (IP, användar-agent) | AWS | 60 dagar |
| Lepta IT-miljödata (HuB ERP, Microsoft 365/ SharePoint klientresurser, fil/skrivare/e-post/backup) | WTNY (processor/underbehandlare) | Enligt Leptas bevarandeinstruktioner och avsnitt 9.3 i HuB villkoren, som föreskriver retur av klientdata i ett strukturerat, allmänt använt, maskinläsligt format, och stöd efter uppsägning i minst 90 dagar. |
9. Dina rättigheter
Beroende på din plats kan du ha följande rättigheter angående dina personuppgifter:
- Rätt till tillgång: Du har rätt att begära en kopia av de personuppgifter vi innehar om dig.
- Rätt till rättelse: Du har rätt att begära rättelse av felaktiga eller ofullständiga personuppgifter.
- Rätt till radering: Du har rätt att begära radering av dina personuppgifter, med förbehåll för eventuella rättsliga förpliktelser som kräver dess bevarande.
- Rätt till begränsning: Du har rätt att begära att vi begränsar behandlingen av dina personuppgifter under vissa omständigheter.
- Rätt till dataportabilitet: Där behandlingen baseras på ditt samtycke eller prestationen av ett kontrakt har du rätt att få dina personuppgifter i ett strukturerat, allmänt använt, maskinläsligt format.
- Rätt att invända: Där behandlingen baseras på befintliga intressen har du rätt att invända mot sådan behandling. Vi kommer att upphöra med behandlingen om vi inte kan visa tvingande legitima skäl.
- Rätt att dra tillbaka samtycke: Där behandlingen baseras på samtycke (såsom opt-in för kvitto) kan du dra tillbaka ditt samtycke när som helst. Återkallelse påverkar inte lagligheten för behandling som genomfördes före återkallelsen.
Eftersom givarens personuppgifter behandlas och lagras av Stripe och, där tillämpligt, av den juridiska personen som mottog donationen, kan begäranden om att utöva rättigheter såsom åtkomst, rättelse, radering eller portabilitet av givardata behöva samordnas med Stripe och/eller den relevanta juridiska personen. Vi kommer att hjälpa till att underlätta sådana begäranden.
För volontärdata som lagras lokalt på din enhet kan du ta bort denna data när som helst genom att logga ut från appen.
10. Barns data
Appen är inte riktad mot barn under 16 års ålder. Vi samlar inte medvetet in personuppgifter från barn under 16 år utan föräldrars auktorisering, enligt vad som krävs av artikel 8 i Allmän dataskyddsförordning. Donationer gjorda av minderåriga (personer under 18 eller myndighetsäldern i deras jurisdiktion) kan återbetalas på begäran av en förälder eller målsman genom att kontakta den juridiska person som mottog donationen. En förälder eller målsman kan utöva data subject-rättigheter på uppdrag av ett barn genom att kontakta Lepta med använd av uppgifterna i avsnitt 12. Om du tror att ett barn har tillhandahållit personuppgifter genom appen utan lämplig auktorisering, vänligen kontakta oss och vi kommer att vidta åtgärder för att radera sådan data.
11. Ändringar av denna integritetspolicy
Vi kan uppdatera denna integritetspolicy från tid till annan. Om vi gör väsentliga ändringar kommer vi att meddela dig via appen eller via andra lämpliga medel innan ändringarna träder i kraft. Datumet “Senast uppdaterad” längst upp i denna policy anger när den senast revideradedes.
12. Kontakta oss
Om du har frågor om denna integritetspolicy, vill utöva dina data subject-rättigheter eller har ett klagomål, vänligen kontakta:
Lepta Payment Solutions Limited
Watch Tower House, Blackditch, Newcastle, Co. Wicklow, A63 RF61 Ireland
[email protected]
Dataskyddsombud / sekretesskontakt: Daniel Melinder
Leptas ledande tillsynsmyndighet är Irlands dataskyddsmyndighet.
Du har också rätt att lämna in ett klagomål till en tillsynsmyndighet i en EU-medlemsstat i din vanliga bosättningsort, arbetsplats eller platsen för den påstådda kränkningen.