Visa integritetsmeddelande för slutanvändare av öppen bankverksamhet

Visa värdesätter ditt förtroende och respekterar din integritet. Detta integritetsmeddelande för slutanvändare av öppen bankverksamhet (”integritetsmeddelande”) förklarar hur Visa och/eller dess dotterbolag¹, inklusive Tink A.B. och Tink Financial Services Limited (”Visa”, ”vi” och/eller ”oss”), samlar in, använder och delar dina personuppgifter när du använder vår öppna bankverksamhet (enligt definitionen nedan) och relaterade tjänster som länkar till detta integritetsmeddelande. Den relevanta personuppgiftsansvarige för detta integritetsmeddelande är den enhet med vilken du har avtalat tjänstevillkor för öppen bankverksamhet.

Om du vill veta mer om hur Visa samlar in, använder och delar personuppgifter kan du besöka Visas webbplats för att få tillgång till Visa globalt integritetsmeddelande och Visa integritetscenter.

¹ Dotterbolag är företag som är relaterade till gemensamt ägande eller gemensam kontroll, inklusive Tink A.B. och Tink Financial Services Limited.

Plattformen för öppen bankverksamhet gör det möjligt för våra företagskunder (”partners”) att bygga tjänster som utnyttjar enskildas personers (”slutanvändare” eller ”du”) finansiella uppgifter.

Vi tillhandahåller kontoinformationstjänster, betalningsinitieringstjänster och andra relaterade öppna banklösningar (”öppna banktjänster”) till slutanvändare och partners, vilket gör det möjligt för slutanvändare att dela sin finansiella information med partners eller att göra betalningar.

När du begär tjänster från en partner omdirigerar partnern dig till plattformen för öppen bankverksamhet där vi kan samla in din finansiella information eller initiera en betalning för din räkning. När processen är klar kommer du att omdirigeras tillbaka till partnern.

Vi fyller många roller när vi tillhandahåller våra öppna banktjänster.

När vi tillhandahåller öppna banktjänster direkt till slutanvändare måste slutanvändarna underteckna våra användarvillkor för slutanvändare. I detta scenario gäller detta integritetsmeddelande för insamling, användning och delning av slutanvändarnas personuppgifter som vi behandlar i samband med tillhandahållandet av öppna banktjänster.

Vi kan utse partners som ombud enligt beskrivningen i tillämpliga tjänstevillkor. Vänligen hänvisa till relevant partners integritetsmeddelande om du har frågor om deras praxis. Under vissa omständigheter agerar vi som gemensam personuppgiftsansvarig tillsammans med partnern. Detta innebär att vi båda har vissa skyldigheter enligt dataskyddslagstiftningen. Om så är fallet har vi kommit överens med partnern om att partnern är ansvarig för att ge dig information om hur dina personuppgifter är behandlade och för att du ska kunna utöva dina rättigheter enligt tillämplig dataskyddslagstiftning.

När vi agerar på uppdrag av partners samlar vi endast in, använder och delar personuppgifter enligt vad som är tillåtet enligt avtal med partners. I detta scenario kommer integritetsmeddelandet från den partner som du har en relation med att gälla och inte detta. Detta integritetsmeddelande täcker inte vad andra, såsom partners, webbplatser eller andra applikationer, gör med dina personuppgifter. Detta integritetsmeddelande omfattar inte heller personuppgifter som vi samlar in via vår webbplats eller när du interagerar med våra webbplatser. Vänligen läs de integritetsmeddelanden som publiceras på våra webbplatser eller som på annat sätt tillhandahålls dig när du interagerar direkt med oss.

I detta integritetsmeddelande avser ”personuppgifter” information som (ensam eller när den används i kombination med annan information) kan associeras med eller rimligen kan associeras med en individ. Personuppgifter, som ibland kallas ”personlig information”, kan även ha specifika betydelser enligt olika integritetslagar. De personuppgifter vi samlar in varierar beroende på vår relation och interaktioner med dig.

Beroende på vår relation och våra interaktioner med dig kan de kategorier av personuppgifter vi samlar in omfatta:

• Kontaktinformation – detta inkluderar ditt namn, titel, födelsedatum, användarnamn, postadress, e-postadress, telefonnummer och mobilnummer.
• Identitetsinformation – detta inkluderar statligt utfärdade identitetshandlingar, såsom personnummer, körkort, pass och andra statligt utfärdade identifikatorer.
• Transaktionsinformation - detta inkluderar:
  
  • information om dina transaktioner, inklusive inköp, beskrivning, valuta, datum, tid, plats, transaktionsbelopp, källa, destination, betalningsinformation och information om inlösenstället. Detta kan också omfatta data på artikelnivå i vissa fall samt fakturerings- och leveransinformation; och
  • information om initierade betalningar, inklusive betalningsbeskrivning, belopp, valuta, datum, källa, destination och registrerade betalningsmottagare.
• Kontoinformation - detta inkluderar bankkontonummer, bankkontots namn och typ (t.ex. lån, inteckningar, sparande, investeringar, pensioner, kreditkort, girokonton), kontos saldo, kreditgräns, kontokontoomsättning, stående order, schemalagda överföringar, bankens namn och filialens plats.
• Slutanvändares autentiseringsuppgifter – detta inkluderar den information du använder för att logga in på din bank, till exempel ditt bankanvändarnamn, lösenord, PIN-kod, personnummer, e-postadress, telefonnummer, födelsedatum och den unika autentiseringstoken som används för att identifiera dig som ägare av ditt konto.
• Slutledd och härledd information - vi slutleder och härleder dataelement genom att analysera vår relation och transaktionsinformation. Vi kan till exempel generera benägenheter, attribut och/eller poäng i marknadsförings- (där detta är tillåtet), säkerhets- eller bedrägeribekämpningssyfte.
• Online och teknisk information – detta inkluderar information om hur du använder våra öppna banktjänster och dina interaktioner med webbplatser eller applikationer som du använder för att få tillgång till öppna banktjänster, inklusive IP-adress, användar-ID, bankens namn, marknad/region, plats, enhetsidentifierare, inställningar, egenskaper, aktivitetsloggposter och annan information som samlas in med hjälp av cookies och liknande tekniker.
• Supportdata – data från kundsupportdialog.
• Regelefterlevnadsuppgifter – detta inkluderar register som vi behåller för att visa regelefterlevnad av tillämpliga lagar, såsom de penningtvättskontroller vi genomför, register som rör konsumentpreferenser och register som rör begäranden om registrerades rättigheter.

Vi kan samla in personuppgifter om dig från olika källor, beroende på vår relation och interaktion med dig.

Vi kan samla in personuppgifter:

• från dig – (vi får också personuppgifter från tredje parter från dig när vi behandlar uppgifter om individer som förekommer i dina transaktioner, t.ex. dina betalare och/eller betalningsmottagare och deras personuppgifter kommer inte till oss direkt utan genom deras interaktioner med dig);
• från partners – beroende på vilken öppen banktjänst du använder kan vi samla in dina personuppgifter från partners;
• från din bank – öppna banktjänster kan kräva att vi samlar in personuppgifter från din bank. Vi kommer att samla in denna typ av information med ditt samtycke där vi är skyldiga enligt tillämplig lag;
• från din dator eller enheter – vi kan samla in personuppgifter när du använder våra öppna banktjänster på din enhet;
• från våra dotterbolag; och
• från andra källor – när du använder våra öppna banktjänster kan vi få identifierare och kommersiell information om dig från andra tredje parter, inklusive våra tjänsteleverantörer, identitetsverifieringstjänster och offentligt tillgängliga källor.

Vi behåller dina personuppgifter så länge som informationen behövs för de ändamål som anges nedan och under en ytterligare period som kan krävas eller tillåts enligt lag. Hur länge dina personuppgifter behålls beror på det eller de ändamål för vilka de samlades in, hur de används och kraven på att följa tillämpliga lagar. När de inte längre behövs raderas personuppgifterna på ett säkert sätt eller (där det är tillåtet enligt lag) anonymiseras. Du kan begära att vi raderar dina personuppgifter genom att besöka vår webbplats och använda vår Portal för integritetsrättigheter. Om vi inte har en rättslig grund för att behålla dina personuppgifter kommer vi att radera dem i enlighet med tillämplig lag.

Notering : Varför vi samlar in personuppgifter och hur vi använder dem (där du är skyldig att tillhandahålla personuppgifter för att vi ska kunna leverera våra öppna banktjänster har vi markerat detta med en *)

Notering: Varför vi samlar in personuppgifter och hur vi använder dem (där du är skyldig att tillhandahålla personuppgifter för att vi ska kunna leverera våra öppna banktjänster har vi markerat detta med en *)

Dina personuppgifter delas primärt med den partner vars partnertjänst(er) du använder och som du har instruerat oss att göra uppgifterna tillgängliga för.

Dina uppgifter kan också delas med:

• Våra dotterbolag;
• Din bank när du begär att vi ska tillhandahålla våra öppna banktjänster. De inloggningsuppgifter du har delat med oss lämnas endast ut till din bank och endast när respektive tjänst har utförts.
• Partners, banker (eller deras auktoriserade bearbetare), dataaggregatorer, betalningsbehandlare och andra tredje parter som är föremål för lämplig sekretess och användningsbegränsningar, i syfte att tillhandahålla öppna banktjänster till dig, hantera bedrägerier och risker, tillhandahålla och utveckla våra öppna banktjänster och stödja de syften som anges i tabellen ovan;
• Tillsynsmyndigheter och andra brottsbekämpande myndigheter (såsom polisen eller HMRC) för att följa våra rättsliga skyldigheter eller utredningar;
• Domstolar, andra parter i en tvist och våra professionella rådgivare; och
• Våra tjänsteleverantörer, såsom mjukvaru- och datalagringsleverantörer som behandlar dina personuppgifter för vår räkning och strikt i enlighet med våra instruktioner.

Vi kan lämna ut personuppgifter till andra tredje parter med ditt samtycke, eller enligt lagens krav, till exempel när vi säljer eller överför företagstillgångar, genomdriver våra avtal, skyddar vår egendom eller andras rättigheter, egendom eller säkerhet, eller efter behov för revisioner, regelefterlevnad och företagsstyrning.

”Profilering” är när personuppgifter behandlas automatiskt i syfte att utvärdera vissa personliga aspekter som rör individen, såsom en individs ekonomiska situation eller personliga preferenser.

”Automatiserat beslutsfattande” är när automatiserade medel utan mänsklig inblandning används för att fatta ett beslut om en individ, till exempel att neka en individ att använda en tjänst.

Vi kan använda automatiserat beslutsfattande, inklusive profilering, när vi behandlar dina personuppgifter i samband med att vi tillhandahåller öppna banktjänster i syfte att förebygga bedrägerier. Denna behandling baseras på vårt legitima intresse och de automatiserade besluten, som inkluderar profilering, kan leda till att vi beslutar att inte förse dig med de begärda öppna banktjänsterna, antingen i samband med din specifika begäran om att använda öppna banktjänster, eller i samband med dina förfrågningar om att använda öppna banktjänster under en bestämd tidsperiod, beroende på resultatet av vår bedrägeriförebyggande bedömning. Vi kan till exempel granska beloppen och volymerna av dina transaktioner baserat på ditt valda konto i förhållande till en partner och huruvida dina initierade betalningar i förhållande till en partner genomfördes framgångsrikt. Vi kommer inte att fatta automatiserade beslut om dig som kan påverka dig i betydande grad såvida inte (1) beslutet är nödvändigt som en del av ett avtal som vi har med dig, (2) vi har ditt uttryckliga samtycke eller (3) vi är skyldiga att göra det enligt lag. I Storbritannien kan vi fatta sådana automatiserade beslut där det är tillåtet enligt lag (till exempel där inga särskilda kategorier av uppgifter har behandlats och där andra skyddsåtgärder inom brittisk integritetslagstiftning gäller).

Enligt lag kan du ha ett antal rättigheter. Du kan lämna in förfrågningar enligt relevanta lagar till oss via de uppgifter som finns i avsnittet ”Hur du kontaktar oss” nedan.

Dessa rättigheter kan omfatta att:

• Begära tillgång till dina personuppgifter (vanligtvis känd som en begäran om åtkomst till personuppgifter)
  Detta gör det möjligt för dig att få en kopia av de personuppgifter vi har om dig och att kontrollera att vi har behandlat dem lagligt.
• Kräva att vi ändrar felaktiga eller ofullständiga personuppgifter
• Kräva att vi raderar eller slutar behandla dina personuppgifter
  Detta gör det möjligt för dig att be oss att radera eller ta bort personuppgifter där det inte finns någon bra anledning för oss att fortsätta behandla dem, du har dragit tillbaka ditt samtycke, du har utövat din rätt att invända mot behandling och det finns inga tvingande legitima skäl för oss att fortsätta göra det, personuppgifterna har behandlats olagligt eller vi är juridiskt skyldiga att radera dem. Detta gäller inte t.ex. där vi behöver behandla uppgifterna för att etablera, utöva eller försvara ett anspråk.
• Kräva begränsning av behandlingen
  I fall där riktigheten i dina personuppgifter är bestridd (för en period som gör det möjligt för oss att verifiera personuppgifternas riktighet), behandlingen är olaglig och du motsätter dig vår användning av uppgifterna och ber att den ska begränsas, där du har invänt mot behandlingen av dina personuppgifter och har väntat på vår bedömning av huruvida vi har tvingande legitima skäl för att fortsätta behandla dem, eller att vi inte längre behöver personuppgifterna men du behöver dem för rättsliga anspråk, kan du be om begränsning av behandlingen av sådana personuppgifter. Detta innebär att personuppgifter, med undantag för lagring, endast kommer att behandlas med ditt samtycke, för att etablera, utöva eller försvara rättsliga anspråk, för att skydda en annan fysisk eller juridisk persons rättigheter, eller av skäl av viktigt allmänintresse. Där behandlingen är begränsad kommer du att informeras innan begränsningen av behandlingen lyfts.
• Återkalla ditt samtycke (under de begränsade omständigheter där du kan ha gett samtycke)
  Du har rätt att återkalla ditt samtycke när som helst, utan att det påverkar lagligheten av behandling som baserades på samtycke innan det återkallades. Återkallandet påverkar endast framtida behandling;
• Invända mot behandlingen av dina personuppgifter
  Du kan invända, av skäl som rör din speciella situation, mot behandling som är baserad på legitima intressen som eftersträvas av oss eller av en tredje part. I ett sådant fall kommer vi inte längre att behandla dina personuppgifter om vi inte har tvingande legitima skäl för behandlingen som åsidosätter dina intressen, rättigheter och friheter eller för att etablera, utöva eller försvara rättsliga anspråk.
• Kräva dataportabilitet
  Där automatiserad behandling av dina personuppgifter baseras på samtycke eller fullgörandet av ett avtal med dig har du också rätt till dataportabilitet för information som du har tillhandahållit oss – detta innebär att du kan få en kopia av dina personuppgifter i ett vanligt elektroniskt format så att du kan hantera och överföra den till en annan personuppgiftsansvarig.
• Lämna in ett klagomål
  Om du har några funderingar kring hur vi behandlar dina personuppgifter har du rätt att lämna in ett klagomål. Vi uppmuntrar dig att kontakta oss först så att vi kan ta itu med dina problem direkt. Kontakta oss med hjälp av kontaktuppgifterna nedan. Du kan också ha rätt att lämna in ett klagomål till din lokala dataskyddsmyndighet. Vi tar alla klagomål på allvar och kommer att svara så snabbt som möjligt.

I allmänhet kommer du inte att behöva betala en avgift för att få tillgång till dina personuppgifter (eller för att utöva någon av de andra rättigheterna). Där det är tillåtet enligt lag kan vi dock ta ut en rimlig avgift om din begäran om åtkomst är uppenbart ogrundad eller överdriven. Du kan bli ombedd att verifiera din identitet innan vi kan svara på din förfrågan.

Vi kan överföra dina personuppgifter mellan länder, inklusive till länder som kanske inte har liknande integritets- eller dataskyddslagar som ditt ursprungsland. Vi kommer dock alltid att skydda dina uppgifter och överföra dem i enlighet med alla tillämpliga rättsliga krav för gränsöverskridande överföringar av personuppgifter. När personuppgifter överförs till USA från Europa kommer vi att verifiera om mottagaren säkerställer en adekvat skyddsnivå genom att delta i EU–USA Ramverk för dataskydd, Schweiz-USA Ramverk för dataskyd och/eller Storbritannien–USA Data Bridge. Om detta inte är fallet, eller om personuppgifter på annat sätt överförs utanför EES, Storbritannien och/eller Schweiz kommer vi att se till att de skyddas av andra lämpliga skyddsåtgärder, såsom bindande företagsregler, EU:s standardavtalsklausuler som godkänts av Europeiska kommissionen, det brittiska eller schweiziska addendumet till EU:s standardavtalsklausuler, Storbritanniens internationella dataöverföringsavtal eller andra rättsligt tillåtna mekanismer för att säkerställa att den dataskyddsnivå som tillhandahålls i EES, Storbritannien och/eller Schweiz inte undergrävs. Du kan få en kopia av sådana skyddsåtgärder genom att använda kontaktuppgifterna nedan.

Vi tar säkerheten för dina personuppgifter på allvar. Vi använder fysiska, tekniska, organisatoriska och administrativa skyddsåtgärder för att skydda dina personuppgifter från obehörig åtkomst eller förlust. Vi använder till exempel kryptering och andra verktyg för att skydda känslig information. Där vi anlitar tredje parter för att behandla personuppgifter för vår räkning gör de det på grundval av skriftliga instruktioner och har en rättslig skyldighet att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten för personuppgifter i enlighet med tillämpliga dataskyddslagstiftningar.

Vi kommer att göra ändringar av detta integritetsmeddelande från tid till annan. Vi kan till exempel göra ändringar av detta integritetsmeddelande för att hålla den uppdaterad eller för att uppfylla rättsliga krav eller på grund av förändringar i hur vi driver vår verksamhet. Alla ändringar eller uppdateringar som vi gör kommer att publiceras på vår webbplats så att du är medveten om inverkan på våra databehandlingsaktiviteter innan du fortsätter att engagera dig med oss. Om vi har dina kontaktuppgifter registrerade kommer vi att meddela dig i förväg om eventuella betydande förändringar. Kom tillbaka regelbundet för att se den senaste versionen på vår webbplats.

Om du vill utöva dina integritetsrättigheter enligt relevanta lagar kan du besöka Portal för integritetsrättigheter.

Om du vill kontakta dataskyddsombudet, skicka e-post till [email protected].

För all annan hjälp, eller för att utöva dina rättigheter som slutanvändare, kan du kontakta oss på informationen nedan (Inkludera inte känslig information, såsom ditt kontonummer, i e-postmeddelanden):

Om du är i Europa:

• Skicka e-post till: [email protected]
  Skriv till oss:
  Tink AB
  Vasagatan 11
  111 20 Stockholm, Sweden
  
  Om du är i Storbritannien:
• Skicka e-post till: [email protected]
  Skriv till oss:
  Tink Financial Services Limited
  1 Sheldon Square
  London, Storbritannien