Informatie over gegevensverwerking door BS PAYONE GmbH voor eindklanten (kaarthouders/gebruikers) volgens art. 14 AVG

Informatie over gegevensverwerking door BS PAYONE GmbH voor eindklanten (kaarthouders/gebruikers) volgens art. 14 AVG

We benoemen BS PAYONE GmbH (hierna genoemd: BS PAYONE) tot dienstverlener voor afhandeling van elektronisch betalingsverkeer. Onderstaand vindt u de volgens art. 14 AVG wettelijk voorgeschreven informatie inzake gegevensverwerking door BS PAY- ONE.

1. Naam en contactgegevens van de voor gege- vensverwerking verantwoordelijke personen en contactgegevens van de bij de onderneming met gegevensverwerking belaste functionaris.

BS PAYONE GmbH, Xxxxxx Xxxxxx 0, 00000 Xxxxx- xxxx/Xxxx, Xxxxxxxxx, xxx.xxxxxxxx.xxx; directie: Niklaus Xxxxxxxx, Xxx Xxxxxx, Dr. Xxxx Xxxxxx, Xxxx Xxxxxxxx Xxxxxxxx, voorzitter raad van bestuur: Xxx- xxx Xxxxxxxx.

De bij BS PAYONE met gegevensbescherming belas- te functionaris is bereikbaar via het bovengenoemde adres, met toevoeging van “functionaris gegevens- bescherming”, of via e-mail aan privacy@bspayone. com.

BS PAYONE is een door de Duitse Bundesanstalt für Finanzdienstleistungsaufsicht, Xxxxxxxxxxxxxxx Xxxxxx 000 xx 00000 Xxxx, Xxxxxxxxx, erkende en gecontroleerde betalingsinstelling.

2. Doelen van de gegevensverwerking door BS PAYONE

Het hoofddoel van de gegevensverwerking is het afhandelen van elektronisch betalingsverkeer (transactieafwikkeling) in de fysieke retail en e-com- mercesector.

Daarnaast is er sprake van de volgende doelen/ne- vendoelen voor gegevensverwerking:

• Fraudepreventie, risicomanagement: dit houdt verschillende maatregelen in voor preventie van en bescherming tegen fraude ter voorkoming van wanbetaling (bijv. op regels gebaseerde herken- ning/beoordeling van fraudepatronen aan de hand van voor kaartgebruik vastgestelde parameters);

• Invorderingsmanagement, incasso: innen van openstaande vorderingen via daartoe aangewe- zen incassodienstverleners;

• Kredietwaardigheidsonderzoek voor dynamische aansturing van betaalmethoden: dit gebeurt in het bijzonder door controle en validatie van rekening-, kaart- en adresgegevens, zoals IP-adressen, met het oog op hun aannemelijkheid;

• Facturering: aanmaken en verzenden van facturen en creditnota‘s;

• Bescherming van de eigen IT-infrastructuur en herkenning en tracering van cyberaanvallen: dit gebeurt bijvoorbeeld door tijdelijke opslag van IP-adressen, voor identificatie van storingen en fouten en de oplossing daarvan;

• Afhandeling abonnementen: afhandeling van te- rugkerende betalingen;

• Geaggregeerd micromanagement: aggregatie/ samenvoeging van invorderingen over bepaalde rekeningscyclussen, ter vereenvoudiging van be- talingsprocessen en kostenoptimalisatie.

3. Wettelijke basis voor gegevensverwerking door BS PAYONE

Gegevensverwerking voor betalingsafhandeling ter nakoming van het koopcontract of andere hoofd- contracten (bijv. dienstverlenings- en/of arbeids- contracten) tussen contractpartners/handelaars en kaarthouders/gebruikers, volgens art. 6, lid 1, pag. 1, punt b) AVG. Gegevensverwerking vindt verder plaats op basis van gerechtvaardigde belangen van BS PAYONE of diens contractpartners, art. 6, lid 1, pag. 1, punt f) AVG. Onder gerechtvaardig- de belangen worden in het bijzonder verstaan het voorkomen van wanbetaling (bescherming tegen economisch risico), vereenvoudiging van betalings- processen en kostenoptimalisatie in het belang van beide partijen (kaarthouders/gebruiker en contract- partner/handelaar).

4. Categorieën van de door BS PAYONE verwerkte persoonsgegevens

BS PAYONE bewaart en verwerkt altijd uitsluitend die persoonsgegevens die nodig zijn voor uitvoe- ring van de desbetreffende dienstverlening. Voor betalingsafhandeling worden - afhankelijk van de betaalmethode - vooral het IBAN, het kaartnummer, de controlecijfers en de overige transactiegege- vens (bijv. datum/tijdstip van de transactie en het totaalbedrag) verwerkt. Bij fraudepreventie wordt eveneens in de eerste plaats uitgegaan van de verwerkte transactiegegevens. Voor invorderings- management/incasso worden bijv. gegevens over het factuur- en totaalbedrag, de vervaldatum en de geadresseerde van de factuur verwerkt. Voor het kredietwaardigheidsonderzoek kan gebruik worden gemaakt van adres-, rekening- en kaartgegevens die voor dat doel zijn doorgegeven aan de daartoe aan- gewezen instellingen voor kredietrapportage. Voor het opmaken van de factuur zijn bijv. de gegevens nodig van de geadresseerde van de factuur, de bank- gegevens en het totaalbedrag. Voor afhandeling van het abonnement zijn naast de gegevens van de geadresseerde van de factuur en het totaalbedrag ook gegevens nodig over de looptijd van het con- tract en de afgesproken rekeningscyclussen. Voor geaggregeerd micromanagement zijn voor gege- vensverwerking bijv. de betalingstermijn, het aantal transacties, de geadresseerde van de factuur, de bankgegevens en het kaartnummer nodig.

5. Herkomst van de door BS PAYONE verwerkte per- soonsgegevens

De persoonsgegevens van de kaarthouder/gebru- iker worden door de contractpartner/handelaar - afhankelijk van regeling via de POS-terminal in de fysieke winkel of via zijn onlineshop/website - ver- zameld en door hem aan BS PAYONE doorgegeven voor afhandeling van de genoemde dienstverlening.

6. Categorieën ontvangers van de persoonsgege- vens

BS PAYONE geeft aan de volgende instellingen per- soonsgegevens door voor het vervullen van hun contractuele en wettelijke verplichtingen, afhankeli- jk van de geleverde diensten:

• banken, kaartsystemen (o.a. VISA, MasterCard, American Express);

• In de onlinesector: dienstverleners op het gebied van webcrawling, hosting en tracking en exploitan- ten van datacenters;

• Dienstverleners op het gebied van e-commerce (aanbieders van betalingsoplossingen voor on- lineshops);

• Afwikkelingsbureaus, dienstverleners op het ge- bied van clearing en settlement;

• Overige dienstverleners, zoals instellingen voor kredietrapportage bij kredietwaardigheidsonder- zoek, incassodienstverleners en dienstverleners op het gebied van printservice voor het opmaken van de factuur;

• Overheidsinstanties (vooral opsporingsinstanties zoals de politie en het Openbaar Ministerie) in ge- val van rechtmatige verzoeken om informatie;

• Dienstverlener voor het beveiligen van de domici- liëringsprocedure.

7. Doorgeven van persoonsgegevens aan derde lan- den (buiten de EU of EER)

De ontvangers van de gegevens bevinden zich de- els in zogenaamde derde landen buiten de Europe- se Unie (EU) of de Europese Economische Ruimte (EER), waar sprake kan zijn van een lager niveau van gegevensbescherming dan binnen de EU/EER. BS PAYONE geeft alleen dan persoonsgegevens aan derde landen door wanneer dat nodig is voor nakoming van contractuele verplichtingen of inacht- neming van gewettigde belangen of wanneer dat anderszins wettelijk voorgeschreven is.

Persoonsgegevens worden - afhankelijk van de gele- verde diensten - o.a. doorgegeven aan de volgende derde landen:

• China, Japan (zetel van kaartsystemen)

• VS (zetel van kaartsystemen, dienstverleners op het gebied van clearing en settlement en afwik- keling)

Ter waarborging van een passend niveau van gege- vensbescherming in derde landen bestaat ofwel een toereikendheidsbesluit van de Europese Commissie of toereikende en passende garantie in de vorm van modelcontractbepalingen van de EU of Privacy Shield-certificeringen, ofwel een wettelijke uitzon- dering (art. 49, AVG) die gegevensoverdracht ook bij het ontbreken van een toereikendheidsbesluit of passende garanties rechtvaardigt.

8. Duur van de gegevensopslag

BS PAYONE slaat persoonsgegevens op en verwerkt deze zo lang als dat nodig is voor uitvoering van de overeenkomst en nakoming van de contractuele en wettelijke verplichtingen. Mocht opslag van de ge- gevens voor het nakomen van contractuele of bij- zondere wettelijke verplichtingen niet langer nodig zijn en de reden voor het opslaan komen te verval- len, dan worden de persoonsgegevens gewist - ten- zij verdere verwerking nodig is voor het volgende:

• Nakoming van commerciële en fiscale verplich- tingen en andere bewaringsplichten (bijv. 10 jaar bewaren van voor de boekhouding relevante ge- gevens);

• Instandhouding van bewijs in het kader van de wettelijke verjaringsbepalingen.

9. Opstelling profiel/profiling/scoring

BS XXXXXX voert zelf geen opstelling van een profiel/ profiling/scoring uit voor kredietwaardigheidsonder- zoek en controle op betaalmethoden, maar maakt voor dat doeleinde gebruik van de volgende dienst- verleners (instellingen voor kredietrapportage):

• infoscore Consumer Data GmbH, Xxxxxxxxxxx 00, 00000 Xxxxx-Xxxxx, Xxxxxxxxx, en

• Creditreform Boniversum GmbH, Xxxxxxxxxxxxxxx- xx 00, 00000 Xxxxx, Xxxxxxxxx.

• SCHUFA Holding AG, Xxxxxxxxxxx 0, 00000 Xxxx- baden

BS PAYONE zal in de voorkomende gevallen van de instellingen voor kredietrapportage waarschijnlijk- heidswaardes (scores) ontvangen en op basis daar- van een aanbeveling doen voor de aan te bieden betaalmethoden.

De volgens art. 14 AVG noodzakelijke informatie over de activiteiten van infoscore Consumer Data GmbH vindt u onder: xxxxx://xxxxxxx.xxxxxx.xxx/xxxxxxxx- latt. De volgens art. 14 AVG noodzakelijke informatie over de activiteiten van Creditreform Boniversum GmbH vindt u onder: xxxxx://xxx.xxxxxxxxxx.xx/ wp-content/uploads/2018/04/Boniversum_Informa- tionsblatt-zur-Herausgabe_an-Kunden_BankenKre- ditinstitute.pdf.

10. Rechten van de betrokkenen bij gegevensverwer- king

Elke betrokkene heeft onder inachtneming van de wettelijke voorwaarden recht op inzage volgens art. 15 AVG, recht op rectificatie volgens art. 16 AVG, recht op wissing volgens art. 17 AVG, recht op beperking van de verwerking volgens art. 18 AVG, recht van bezwaar volgens art. 21 AVG en het recht op overdraagbaarheid van gegevens volgens art. 20 AVG. Bij het recht op inzage en wissing gelden aanvullend de beperkingen volgens de §§ 34 en 35 van de Duitse Federale Wet op de Gegevensbescher- ming (BDSG - nieuw).

Bovendien bestaat het recht om een klacht in te dienen bij een op gegevensbescherming toezich- thoudende autoriteit (art. 77 AVG in samenhang met § 19 Duitse Federale Wet op de Gegevensbe- scherming (BDSG). Dit recht kan bijvoorbeeld wor- den uitgeoefend bij de voor BS PAYONE bevoeg- de toezichthoudende autoriteit: Der Hessische Datenschutzbeauftragte, Xxxxxx-Xxxxxxxxxx-Xxxx 0, 00000 Xxxxxxxxx, Xxxxxxxxx, xxxxx://xxxxxxxxxxx. xxxxxx.xx/.

BS PAYONE GmbH Informatie voor gegevensverwerking volgens art. 14 AVG 09/2018-NL

Seite 1 von 1