Integritet och säkerhet

Här har vi sammanställt viktig information för dig att veta angående integritet, säkerhet och GDPR vid användning av Paysons tjänster. Vi värnar om din integritet och säkerhet. GDPR, den nya lagen för behandling av personuppgifter, ställer högre krav på öppenhet och därför finns denna sammanställning för att du ska veta hur dina personuppgifter behandlas.

I samband med den nya lagen har vi också 2018-05-15 uppdaterat Paysons Allmänna villkor. Genom att använda våra tjänster bekräftar du att du accepterar dessa Allmänna villkor med tillhörande Policys.
 

Gå direkt till:

  • Allmänt om GDPR
  • Säkerhet och teknik
  • Incidenthantering
  • Integritetspolicy
  • Policy för Cookies
  • Råd och tips
  • Allmänt om GDPR

    Här har vi valt att sammanställa information om lagen och vad den innebär, samt vart du kan hitta mer information för att få bättre koll på hur detta påverkar dig. Det finns ett antal begrepp som kan vara bra att ha koll på och även vad de grundläggande principerna i GDPR innebär.

    GDPR står för General Data Protection Regulation och är en ny dataskyddsförordning från EU som kommer bli en lag i alla EU:s medlemsländer från 25 maj 2018. GDPR kommer ersätta den nuvarande lagen Personuppgiftslagen (PUL). Lagen är till för att skydda individers integritet och avser att modernisera, harmonisera och förstärka skyddet inom EU.

    Inom varje EU-medlemsland finns en tillsynsmyndighet som kommer kontrollera detta. I Sverige heter denna myndighet Integritetskyddsmyndigheten, tidigare Datainspektionen. På deras hemsida finns mer information och hjälp som du kan ta del av för att ta reda på vad du behöver göra.
     

    Behandling av personuppgifter

    Lagen handlar om hur företag ska behandla personuppgifter, vilket är två viktiga begrepp att förstå. Personuppgifter kan förklaras som varje upplysning som avser en identifierad eller identifierbar enskild person (även kallad registrerad), varvid en identifierbar fysisk person är en person som direkt eller indirekt kan identifieras, särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer, eller till en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet. Behandling av dessa uppgifter innebär att det genomförs en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter, oberoende av om de utförs automatiserat eller ej. Exempel på sådan behandling är insamling, strukturering, lagring, bearbetning, spridning eller radering.
     

    Personuppgiftsansvarig och personuppgiftsbiträde

    I behandlingen av personuppgifter finns det framförallt två roller som du bör känna till och deras olika ansvarsområden.
     

    Payson är Personuppgiftsansvarig

    Den personuppgiftsansvariga (PuA) är den som enligt lagen har det yttersta ansvaret för behandlingen och bestämmer ändamål och medlen. Den personuppgiftsansvarige ska se till att lagen följs, ska informera de personer vars personuppgifter behandlas och ska säkerhetsställa personuppgiftsbiträdens regelefterlevnad. All behandling av personuppgifter om dig som kund eller användare är vi personuppgiftsansvariga över när du använder Paysons tjänster eller till exempel kontaktar oss. Vad vi gör, eller inte gör, med dina personuppgifter har vi beskrivit i vår Integritetspolicy.
     

    Personuppgiftsbiträden till Payson

    I vissa fall behandlas personuppgifter av extern part som då agerar Personuppgiftsbiträde till Payson. Personuppgiftsbiträdet (PuB) behandlar personuppgifterna för Paysons räkning och har ansvar för de tekniska och organisatoriska säkerhetsåtgärderna.
     

    Grundläggande principer i GDPR

    Lagen bygger på dessa grundläggande principer, som Payson efterlever när personuppgifter behandlas:

    Ändamålsbegränsning
    Personuppgifter får endast behandlas för specifika, explicita och legitima ändamål.

    Lagringsminimering
    Personuppgifter ska inte sparas längre än nödvändigt med hänsyn till ändamålet.

    Uppgiftsminimering
    Personuppgifter ska vara adekvata, relevanta och begränsade till vad som är nödvändigt med hänsyn till ändamålet.

    Laglighet, korrekthet och öppenhet
    Behandling måste vara laglig, rättvis och öppen i relation till de enskilda och innefattar en skyldighet att säkerställa att uppgifterna är korrekta.

    Integritet och konfidentialitet
    Krav på lämpliga åtgärder i alla relevanta avseenden för att personuppgifter ska behandlas på ett säkert sätt.

    Ansvarsskyldighet
    Ansvaret innefattar en skyldighet att kunna demonstrera överensstämmelse med principerna.

    Mer om dessa grundläggande principer kan du läsa om på Integritetsskyddsmyndighetens hemsida.

    Säkerhet och teknik

    Eftersom Payson varje dag hanterar stora summor pengar ställs extrema krav på vårt säkerhetsarbete. Därför använder vi ett säkert system för betalningar och tillsammans med våra partners bevakar vi kontinuerligt alla transaktioner.
     

    Om Paysons säkerhetshantering

    Payson har som personuppgiftsansvarig ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen (GDPR). Payson är certifierade av säkerhetsbolagen Trustwave och GlobalSign.

    Trustwave
    SSL

     

    Autentisering och kryptering

    All datakommunikation sker med Transport Layer Security (TLS). För att få tillgång till Tjänsterna krävs inloggning med BankID alternativt användarnamn och lösenord.

  • Payson använder krypterad kommunikation i form av TLS. All datakommunikation till och från Användarens datorer krypteras med TLS, den senaste godkända Internetstandarden för krypterad kommunikation.
  • Payson tillämpar lösenordsskydd i form av att inloggningsförfarandet är helt krypterat, vilket innebär att ingen information skickas som okrypterad text. Användarens lösenord lagras i envägskrypterat format, med ett standardiserat envägschiffer.
  • För att undvika att obehöriga får tillgång till information, om en dator lämnas obevakad, loggar systemet automatiskt ut Användarens vid inaktivitet. Användaren står alltid för risken vid obehörig användning av Tjänsterna som följd av att ha lämnat en inloggad dator obevakad.
  • Det sker kontinuerlig verifiering av användare. Varje anrop till Paysons servrar innebär en kontroll av den inloggades behörighet.
  • Alla korttransaktioner bygger på bankernas 3D-Secure teknik.
  •  

    Lagring och backuper

    Paysons tjänster driftas helt inom Sverige på servrar hostade i Sverige.

  • Endast godkänd personal har tillgång till plattformen.
  • Paysons tjänster bygger på en modern plattform med redundans och skalbarhet i flera nivåer.
  • Backuper görs automatiskt på förutbestämda intervaller.
  •  

    Kunskaps- och informationsskydd

  • Endast ett fåtal nyckelpersoner känner till hur säkerhetssystemet är uppbyggt.
  • All personal är bunden av ett sekretessavtal som förhindrar spridning av data, information, samt kundens eller användarens personuppgifter. Endast behörig personal har tillgång till uppgifterna och behörigheten styrs av Paysons ledning.
  •  

    Få notiser om tjänsternas status

    Payson verkar för att våra system skall vara tillgängliga alla timmar om dygnet och alla dagar i veckan. På hemsidan www.payson.se och på Paysons Facebooksida kan du läsa notiser om problem med våra tjänster i händelse av störningar.
     

    Säkerhet vid e-handel

    PaysonGaranti är ett exempel på hur vi skapar säker näthandel mellan våra medlemmar. Läs mer om hur det fungerar här.
     

    Fyra tips för säkrare e-handel mellan privatpersoner

    1. Använd sunt förnuft. Om ett erbjudande verkar vara för bra för att vara sant så är det antagligen det. Visst går det att göra bra affärer på Internet, men även här finns en gräns. Kontrollera varans normalpris på sajter som t.ex. www.pricerunner.se eller www.prisjakt.se för att bilda dig en uppfattning om erbjudandet verkar troligt eller inte.
    2. Fråga efter säljarens namn och telefonnummer och kontrollera så att personen finns. Sök t.ex. på www.eniro.se eller www.hitta.se.
    3. De flesta seriösa köp- och säljsajterna har någon form av betygsystem på sina användare så att du kan se vilka som är seriösa. Kontakta gärna deras kundtjänst om du känner dig det minsta osäker kring ditt köp.
    4. Betala inte i förskott till ett okänt bankkonto – använd istället en säker betaltjänst som överför pengarna till säljaren efter att du har tagit emot varan, exempelvis med tjänsten PaysonGaranti.

    Incidenthantering

    För att uppfylla nya krav avseende incidenthantering i enlighet med GDPR, presenteras här vår incidenthanteringsprocess. Att ha rutiner för att upptäcka, rapportera och utreda incidenter är viktigt också med tanke på att personuppgiftsincidenter behöver rapporteras till Integritetsskyddsmyndigheten inom 72 timmar.
     

    Incident

    Om en allvarlig incident inträffar kan det innebära att det blir en personuppgiftsincident. Ett exempel kan vara om data innehållandes personuppgifter via en säkerhetsincident hamnar i orätta händer, vilket skulle anses vara en personuppgiftsincident.
     

    Incidentprocess

    Payson har rutiner för att hantera nödvändig samordning, kommunikation och ansvar för att bedöma, reagera på och lära sig av incidenter för att minska risken att det sker igen. Personuppgiftsincidenter och åtgärder kommuniceras ut till berörda som drabbats. Efter att vidtagande åtgärder har utförts och berörda informerats genomförs en orsaksanalys i syfte att förhindra att problemet uppstår igen.

    Integritetspolicy

    I Integritetspolicyn beskrivs hur Payson behandlar personuppgifter i rollen som personuppgiftsansvarig och hur dina rättigheter och integritet skyddas.

    Payson värnar om din personliga integritet, och vår Integritetspolicy syftar till att förklara på vilket sätt Payson samlar in dina personuppgifter och hur de sedan används. Ur Policyn går att utläsa vilka rättigheter du har gentemot oss och hur du kan göra dessa gällande. Frågor kring integritet och dataskydd kan alltid skickas till oss via kontaktformuläret på hemsidan.

    Du accepterar Integritetspolicyn och vår behandling av dina personuppgifter genom att använda Paysons tjänster. Du accepterar även att Payson använder elektroniska kommunikationskanaler för informationsutskick till dig. Att läsa och förstå vår Integritetspolicy innan du använder våra tjänster är viktigt för oss.

    Payson behöver behandla dina personuppgifter för att kunna erbjuda dig att använda vår hemsida eller våra betalningsalternativ, och vi tar största möjliga hänsyn till din integritet.
     

    Vilken information används av oss?

    Information du ger till oss
    Information som vi ber om i samband med exempelvis; ett köp med Paysons betalningsalternativ på en e-butiks hemsida, i en kontakt med oss, vid användande av vår hemsida eller vid bruk av annan tjänst hos Payson kan vara enligt följande. Observera att all information inte kommer att efterfrågas vid alla tillfällen.

  • Personinformation: För- och Efternamn, Personnummer, Adressuppgifter, E-postadress och Telefonnummer.
  • Information om betalningen: Kortuppgifter, Bank, Bankkontonummer och köpets detaljer.
  •  
     
    Insamlad information från dig
    När våra tjänster används av dig, kan vi komma att samla in följande information för att kunna hantera transaktionen eller hantera ditt ärende på vår hemsida:

  • Personinformation: För- och Efternamn, Personnummer, Adress, E-postadress, och Telefonnummer.
  • Information om köp: Information och detaljer om vilken e-butik som produkten eller tjänsten är köpt i och i förekommande fall vilken produkt eller tjänst som köpts.
  • Ekonomisk information: Dina inkomstuppgifter, din Kredithistorik och din Betalningshistorik.
  • Teknisk information: IP-adress, Språk, Webbläsare, Operativsystem, Plattform, Svarstider, Felmeddelanden, Information för Bank ID-verifiering.
  • All information som du förser oss med, och insamlad information, som ekonomisk information och information om betalningen är nödvändig för att ingå en affärsrelation med oss. Övrig information samlas in av andra syften. Dessa syften beskrivs nedan.
     

    Vad använder vi din information till?

    Utföra våra tjänster och plikter gentemot dig. Information insamlas och hämtas för att Payson ska kunna erbjuda de tjänster som du önskar använda. Denna information används till följande och med nedan angivna lagstöd:

    Syfte Varför behandlas informationen
    (Laglig grund)
    Automatiskt beslut (Ja/Nej)
    Identifiera och verifiera dig som person, information och leverans av produkter Avtalsgrund för ett etablerat affärsförhållande Ja
    Administration av betalningsförmedlingen inklusive kreditbedömningar e.t.c. Avtalsgrund för ett etablerat affärsförhållande och följa tillämplig lagstiftning Ja
    Underlag för statistik och produktutveckling Avtalsgrund och andra berättigade intressen Ja
    Genomföra riskanalyser och andra riskbedömningar Avtalsgrund för ett etablerat affärsförhållande och följa tillämplig lagstiftning Ja
    Minimera bedrägeririsken Avtalsgrund och andra berättigade intressen Nej
    Produktutveckling och skapande av lösningar och information anpassade till kund Avtalsgrund och andra berättigade intressen Nej
    För att uppnå lagkrav såsom lag om åtgärder mot penningtvätt och bokföringslagar och kapitaltäckningskrav Rättslig skyldighet – Lagkrav Nej

     
    Uppgifterna används av Payson för fakturering, information och leverans av produkter, samt marknadsföring och som underlag för statistik och produktutveckling. Uppgifterna kan ligga till grund för att Payson, och i förekommande fall våra samarbetspartners, ska kunna anpassa innehåll, annonser och erbjudanden.

    Uppgifterna analyseras och grupperas inför urval, prioritering och planering av kontakter med Medlem. Till uppgifterna kopplas en eller flera markörer om vilken typ av anpassning av webbtjänster och marknadskommunikation som riktas mot användaren, så kallad profilering.

    Paysons Medlemmar samtycker till att marknadsföring kan ske via post, telefon, eller e-post och SMS samt andra digitala kanaler. Marknadsföring via e-post och SMS regleras i marknadsföringslagen.

    Personuppgifter kan lämnas ut till Paysons samarbetspartners. Personuppgifter lämnas ut till myndighet endast där så krävs med stöd av lag eller myndighetsbeslut.

    I kommunikationen med dig
    För att kunna erbjuda relevanta erbjudanden och delge viktig information till dig används den data som insamlas om dig. Skulle du inte vilja vara mottagare av dylik information och kommunikation kan detta besked enklast lämnas via inställningarna på din kontoprofil efter inloggning, alternativt meddelas via kontaktformuläret på Paysons hemsida.
     

    Kommer Payson att dela din information med någon?

    Under säkra former och tekniska lösningar kommer din information delas med i förväg utvald tredje part. Denna tredje part är granskad och kommer att hantera din information på ett säkert sätt. Underleverantörer och leverantörer i Svea Ekonomi koncernen, i vilken Payson ingår, kommer vid behov få del av din information för att vi ska kunna uppnå vårt avtalade åtagande gentemot dig. Vi kommer under inga omständigheter att sälja dina personuppgifter till tredje part om du uttryckligen inte godkänt detta.

    E-butiker
    För att du ska kunna köpa varor och tjänster av till Payson anslutna e-butiker kommer delar av dina personuppgifter delas till e-butiken för att e-butiken ska ha möjlighet att administrera ditt köp. E-butikens hantering av personuppgifter regleras i e-butikens Villkor och Integritetspolicy.

    Kreditupplysningsföretag
    I händelse av att du väljer att betala ditt köp med faktura kommer dina personuppgifter delas till kreditupplysningsföretag i syfte att utvärdera din kreditvärdighet, verifiering av dina adressuppgifter och för att följa tillämplig lagstiftning. De kreditupplysningsföretag som används är Bisnode AB och UC AB.

    Myndigheter
    I händelse av att myndigheter efterfrågar information och aktivitet relaterat till dina personuppgifter måste Payson delge den information som efterfrågas. Exempel på sådan myndighet är Skatteverket och Polisen. Lagkrav stödjer också delning av uppgifter om eventuell penningtvätt och finansiering av terrorism.

    Köp eller försäljning av verksamheten
    I händelse av försäljning av Payson eller Paysons köp av annan verksamhet kan dina personuppgifter delas med tredje part.

    I vilka länder sker vår behandling av dina personuppgifter?
    Dina personuppgifter kommer vid varje tillfälle att behandlas inom EU/EES.
     

    Hur länge sparas dina personuppgifter?

    Dina personuppgifter kommer att sparas så länge lagen (till exempel Bokföringslagen, Lagen om betaltjänster och Lagen om åtgärder mot penningtvätt och finansiering av terrorism) kräver att det sparas och så länge det är nödvändigt för att vi ska kunna utföra de åtaganden vi har gentemot dig som kund. När personuppgifterna inte längre behövs i enlighet med ovan beskrivning avpersonifieras ”gallras” alla dina personuppgifter och går ej att återställa eller på annat sätt härledas.

    Ett aktivt användarkonto som är i bruk kommer således inte gallras/avpersonifieras. Ett användarkonto med innestående medel kommer inte att gallras/avpersonifieras utan samtycke. Samtycke efterfrågas via e-post med regelbundet intervall efter sju år av inaktivitet på Paysons tjänst, med inaktivitet avses att inte ha utfört transaktioner, inte loggat in på ditt användarkonto och inte kommunicerat med bolaget. Vid uteblivet svar gällande samtycke kommer användarkontot att gallras/avpersonifieras efter ytterligare ett (1) år och efter minst fyra skickade påminnelser. Eventuella innestående medel tillgodoräknas då Payson.
     

    Dina rättigheter till tillgång, rättelse och radering

    • Rätt att få tillgång till din data
      Du kan begära att få ett utdrag av de uppgifter vi har om dig. Utdraget skickas kostnadsfritt i ett exemplar vid ett tillfälle per år.
    • Rätt till rättelse
      Du har rätt att korrigera felaktig eller icke-komplett information om dig själv.
    • Rätt att bli glömd
      Du har rätt att begära borttagning av dina personuppgifter när syftet med behandlingen inte längre är aktuellt. Borttagningen kan inte återkallas/återskapas och när borttagningen utförts kan inte någon person längre associeras med användarkontot. Det kan dock finnas legala skyldigheter för Payson som Betalningsinstitut, som hindrar omedelbar borttagning av dina personuppgifter eller delar av dem. Dessa skyldigheter kommer från bokförings- och skattelagstiftning, bank- och penningtvättslagstiftning, men också från konsumenträttslagstiftning. I så fall sparas enbart de personuppgifter som vi är skyldiga att spara för att uppfylla sådana legala skyldigheter.

    Hur kommer du i kontakt med Payson i integritetsfrågor?
    Vi nås enklast genom kontaktformuläret på vår hemsida. Payson AB är personuppgiftsansvarig för behandlingen av dina personuppgifter enligt ovan och följer svensk dataskyddslagstiftning.

    Policy för Cookies

    När du använder Paysons tjänster godkänner du att ta emot Paysons ”cookies”. Om du har valt att acceptera cookies i din webbläsare sparas en liten textfil i din dator. Med hjälp av denna cookie kan vi se information kring dina besök hos oss och anpassa innehållet för att du ska uppleva sajten på bästa sätt. Vi sparar inga känsliga personuppgifter i våra cookies. En cookie har ett utgångsdatum och när det uppnås raderas den automatiskt. Du kan själv påverka hanteringen av cookies under Hjälp-menyn i din webbläsare.

    Nödvändiga cookies behövs för att vi ska kunna tillhandahålla Paysons tjänster som att till exempel kunna logga in på kontot och hantera köp.

    Analyscookies samlar in anonym information om hur våra tjänster används, t ex vilka sidor som är populära, om man får felmeddelanden någonstans eller vilken slags enhet som används. Exempelvis tredjeparts-cookies för Google Analytics och Google Tag Manager.

    Funktionscookies förbättrar din upplevelse av våra tjänster när du återkommer till vår hemsida eller checkout. Vi sparar till exempel det språk du föredrar och vilka uppgifter du använt vid tidigare köptillfällen.

    Marknadscookies används för att samla information om dina surfvanor för att kunna erbjuda reklam som är relevant för dig. Vi använder den här typen av cookies för att påminna dig om att vi gärna vill att du kommer tillbaka om du besökt vår site tidigare.

    Olika slags cookies sparas olika länge. Vi har vissa cookies som bara sparas medan du aktivt använder våra tjänster, medan t ex språkinställningar sparas under en längre tid. Vi försöker aktivt minimera mängden tredjeparts-cookies vi använder i våra tjänster men vissa tjänster ser vi som nödvändiga för analys- och marknadsarbete.

    Hur kan du kontrollera vårt användande av Cookies
    Gå till inställningarna för din webbläsare eller enhet för att lära dig mer om hur du justerar inställningarna för cookies. Du kan till exempel välja att blockera alla cookies, endast acceptera förstapartscookies, eller radera cookies när du stänger ner din webbläsare.

    Observera att vissa av våra tjänster kanske inte fungerar om du blockerar eller raderar cookies.

    Råd och tips för e-butiker

    Allmänt

    Payson agerar Personuppgiftsansvarig i sin relation till både privat och företagskunder och ansvarar därmed för allt skydd för de personuppgifter som inhämtas eller i övrigt samlas in från dig som kund. Du som e-butik agerar också Personuppgiftsansvarig för de uppgifter som du inhämtar eller i övrigt samlar in. I egenskap av Personuppgiftsansvarig måste du ha kontroll över de uppgifter som du inhämtar, samlar in och lagrar. Du behöver veta hur länge och varför du sparar personuppgifterna. Du behöver också veta vilken typ av personuppgifter som finns i dina register.
     

    Om Personuppgifter

    För dig som är e-handlare gäller det att ha kontroll över den information du lagrar om dina kunder. Du måste ta ställning till vad du samlar in för information och vilken anledning det finns för att samla in just den. Tre enkla frågor som du bör kunna besvara är:

    – Varför behöver vi just de här uppgifterna?
    – Hur samlas uppgifterna in?
    – Vem har tillgång till uppgifterna?

    Dataskyddsförordningen kräver att alla företag ska kunna visa att förordningen följs, därför kan du behöva göra en riskbedömning. Vad behöver förbättras? Är informationen du inhämtat sedan tidigare, insamlad och lagrad på ett korrekt sätt? Om inte, kan du behöva radera denna information. Personen måste gett sig ditt samtycke för att du ska få lagra informationen. Det är alltså kundens val om du får använda den personens uppgifter eller inte, vilket sker genom ett aktivt godkännande. Vill en person att dennes personuppgifter ska raderas från ditt system, skall du också kunna göra det.
     

    Om Känsliga personuppgifter

    Om du på grund av den verksamhet du eller dina leverantörer bedriver kommer att behandla känsliga personuppgifter är du skyldig att innan sådan behandling påbörjas ta reda på vilka säkerhetsåtgärder som kan komma att behöva vidtas vid sådan behandling.

    Exempel på känsliga personuppgifter är:
    Ras eller etniskt ursprung
    Politiska åsikter
    Religiös eller filosofisk övertygelse
    Medlemskap i fackförening
    Hälsa
    Sexualliv eller sexuell läggning
    Genetiska uppgifter
    Biometriska uppgifter (till exempel fingeravtryck och mönster på iris) som entydigt identifierar en person

    Integritetsskyddsmyndigheten skriver mer om behandling av känsliga personuppgifter här.
     

    Vad du bör tänka på vid e-postmarknadsföring

    Ur ett marknadsföringsperspektiv finns det också en del du behöver tänka på när det kommer till dataskyddsförordningen. För att en person ska ta emot marknadsföring från dig krävs det att denne gett dig samtycke. Skickar du till exempel nyhetsbrev till dina kunder måste du se över hur du idag samlar in e-postadresserna. Att endast använda en funktion där personer kan avregistrera sig från ett nyhetsbrev är inte tillräckligt, du måste även ha en funktion där prenumeranten aktivt väljer att ta emot nyhetsbrevutskick till sin e-postadress. Detta
    gör du bäst genom ett formulär på din hemsida, eller en checkbox att kryssa i vid varje köp, som tydligt beskriver vad för information de kommer att ta del av när de ger sitt samtycke. Se till att vara transparent gentemot dina kunder. Berätta hur och varför deras uppgifter används!

    Frågor kring integritet och dataskydd kan alltid skickas till oss via kontaktformuläret på hemsidan.