Dahab Dataskyddspolicys
Dahab Dataskyddspolicys
Allmänt
Från den 25 maj 2018 gäller EU:s dataskyddsförordning (General Data Protection Regulation, ”GDPR”) som reglerar hur personuppgifter ska behandlas. Förordningen gäller för både myndigheter och företag. Det innebär att Dahab, som förteg mer, specifikt betalningstjänstleverantör, måste ha ordentlig ordning på de personuppgifter som Dahab samlar in och hanterar från kunderna. Dahab värna starkt om kundernas rättigheter i fråga om personuppgifter. Det innebär bland annat att se till att kunderna får tillgång till sina personuppgifter, rätt att begära rättelse av felaktiga och ofullständiga uppgifter, begära radering av personuppgifter och dataportabilitet.
Därmed har Dahab som personuppgiftsansvarig tagit fram denna en policy med lämpliga strategier för dataskydd och ser till att genomföra den i organisationen. Denna policy beskriver hur Dahab behandlar sina kunders personuppgifter.
Personuppgiftsansvarig
Sthlm Dahabsh, kommanditbolag, xxx.xx. 9697156041 (Xxxxx Xxxxx) är ansvarig för behandlingen av sina kunders personuppgifter. Med kund avses en fysisk eller juridisk person som ingått, har ingått, eller har avsikt att ingå ett avtal med Dahab.
Dahab som personuppgiftsansvarige kommer att se till att behandlingen sker i enlighet med dataskyddsförordningens samtliga bestämmelser. Dahabs verksamhet får enbart behandla personuppgifter enligt de instruktioner som getts av den personuppgiftsansvarige.
Den personuppgiftsansvarige har ett generellt ansvar att, utifrån de integritetsrisker som finns med behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med dataskyddsförordningen.
Kontaktuppgift till personuppgiftsansvarig finns på slutet av denna policy.
Personuppgiftsbiträde
Personuppgiftsbiträde är den som behandlar personuppgifter för den personuppgiftsansvariges räkning. Företag som tillhandhåller ett system (server) som Dahab använder sig utav behandlar personuppgifter för Dahabs räkning. Dessa är att betrakta som personuppgiftsbiträde. Personuppgiftsbiträde har skyldigheter att exempel säkerställa en lämplig säkerhetsnivå och föra register över behandling av personuppgifter. Med personuppgiftsbiträde har Dahab avtal som säkerställer att personuppgiftsbiträde uppfyller sina skyldigheter.
Vilka delar vi information med:
• Samarbetspartner.
• Privata företag: konsultfirma, kreditbolag, bank.
• Myndigheter: Skatteverket, Finansinspektionen m.m.
Terminologi
GDPR stärker medborgares integritet i den digitala världen genom att kontrollera hur personuppgifter behandlas. Det är viktigt för Dahab att definiera vissa centrala återkommande begrepp i denna policy.
Personuppgifter: All information som direkt eller indirekt kan relateras till en fysisk person.
Behandling: All form av hantering av personuppgifter såsom insamling, registrering, överföring m.m.
Insamling av av personuppgifter
Vilka personuppgifter som Dahab samlar in kan kategoriseras i olika grupper. Dessa personuppgifter samlar Dahab in i samband med avtalsrelation med kunden dvs. när kund vill remittera till utlandet. Vilka personuppgifter som samlas in beror på vilka typ av kundrelation som Dahab har med kund.
• Identifieringsuppgifter: Personnummer och namn (För- och efternamn). Detta följer av en godtagbara Id – handling som kund uppvisar.
• Kontaktuppgifter: Adress, postnummer, mobilnummer, hemtelefonnummer och e- post kommunikation.
• Ekonomisk information: Vid större överföringar kan Dahab behöva samla in lönespecifikation och kontoutdrag.
• Yrkesuppgifter
• Uppgifter om trovärdighet och due dilligence: Betalningsbeteende hos kunder.
• Skatteinformation: Exempel bosättningsinformation.
Dessa uppgifter hämtas först från kund men sedan även från offentliga register för att intyga personuppgifterna. Dessa personuppgifter som inhämtas är nödvändiga vid avtals ingående dels för identifikation men även för att Dahab ska kunna utföra tjänsten åt kund. Om dessa uppgifter inte lämnas finns det risk för att Dahab inte kan erbjuda tjänsten till kund.
Ändamål och laglig grund för personuppgiftsbehandlingen
Enligt dataskyddsförordningen får behandling av personuppgifter enbart ske för särskilda, uttryckligt angivna och berättigade ändamål. För att ändamålet ska vara berättigad krävs att det finns en laglig grund. Utan en laglig grund är personuppgifts behandling inte laglig. Alla beslut inom Dahabs verksamhet sker manuellt (som nedan belyses). Med profilering innebär att Dahab bedömer vissa personliga egenskaper hos en kund. Inom Dahabs verksamhet är det enbart det ekonomiska egenskaperna hos kund som profileras.
Ändamål Dahab behandlar personuppgifter i första hand vid administration av ny kund som ska använda sig xxxx Xxxxxx tjänster. Vid den tidpunkten är ändamålet med att behandla personuppgifter att samla in, kontrollera och registrera de personuppgifter som behövs för att ingå ett avtal med kunden. Det rör sig främst om identifieringsuppgifter och kontaktuppgifter som belystes ovan. Personuppgifter behandlas alltså inom ramen för förberedande åtgärder inför avtals ingående. Detta behövs göras för att Dahab ska kunna erbjuda sina tjänster till kunder. | Laglig grund Vid detta ändamål är den rättsliga grunden att den registrerade dvs. kund ska ingå ett avtal med den personuppgiftsansvarig dvs. Dahab. | Automatiserat Nej | Profilering Xx |
Förutom att uppfylla avtalsförpliktelser med kund behandlar även Dahab personuppgifter till syfte att uppfylla våra förpliktelser enlig lag och andra författningar. Exempel på sådan behandling är: • Dahab måste behandla personuppgifter för att kunna uppfylla kraven som ställs i enlighet med lag (2917:620) om åtgärder mot penningtvätt och finansiering av terrorism. Där ställs krav på bland annat kundkännedom (exempel om kund är politisk utsatt ställning). • Dahab måste behandla personuppgifter för att uppfylla kraven enligt bokföringslagen. • Dahab är skyldig att enligt lag kontrollera kunds | Att behandla personuppgifter för detta ändamål är nödvändig för att uppfylla rättsliga förpliktelser. Dessa rättsliga förpliktelser följer av lagar och regler som gör att Dahab måste behandla vissa personuppgifter i sin verksamhet. | Nej/Ja | Ja |
uppgifter mot sanktionslistor enligt lag vid genomförda av tjänster. • Dahab behandlar personuppgifter i samband med rapportering till Skatteverket, Polismyndigheten, Finansinspektionen och andra myndigheter. | |||
Dahab behandlar personuppgifter inom ramen för sin interna verksamhet. Det handlar främst om IT-säkerhet, statistiska analyser och rapporteringar. | Detta gör Dahab om intresset för datasäkerhet väger tungt och är nödvändig för ändamålet. | Nej | Nej |
Dahab behandlar även personuppgifter i syfte att förhindra missbruk, bedrägeri, och brott av Xxxxxx tjänster. | Denna form av behandling grundar sig i en intresseavvägning där Xxxxxx intresse för att motverka brott ska beaktas. | Nej | Ja |
Personuppgifter kan behandlas för marknadsförings ändamål exempelvis via e-post, telefonsamtal, sms eller sociala medier plattformar. | Detta görs med beaktande av en intresseavvägning där Dahabs intressen av att marknadsföra ligger till grund för avvägningen. | Nej | Ja |
Automatiserat beslutfattande:
De flesta beslut sker manuellt. Men det finns enstaka fall då processen är automatiserad. Detta görs när kund ska kontrollera i förhållande till en sanktionslista över personer med koppling till terrorism. Detta sker alltså automatiskt.
Lagringstider och avskiljning
Personuppgifter ska enbart lagras så länge det behövs för dess ändamål. I annat fall ska dessa personuppgifter raderas eller avidentifieras. Så länge Dahab har ett avtalsförhållande med kund kommer personuppgifterna att sparas. Med hänsyn till regler om preskription kommer
personuppgifter spara som längst i 10 år. Andra frister kan komma att gälla på grund av lagar och regler som måste följas. Det innebär att personuppgifter måste sparas även om Dahab har slutat använd dem. Detta gäller för lag om åtgärder mot penningtvätt och finansiering av terrorism då lagringstiden ligger på max 5 år och personuppgifter som sparas i syfte att följa bokföringslagen gäller 7 år lagringstid. Dessa personuppgifter kommer avskiljas från de personuppgifter som används i den dagliga verksamheten.
Överföring till tredje land
När kund remitterar utanför EU överförs personuppgifter. De personuppgifter som överförs är kundens namn och telefonnummer. Detta görs genom Dahabs samarbetspartner Dahabshiil som är etablerade i Dubai. Överföring av personuppgifter utanför EU är mer begränsat och det får enbart ske under dessa förutsättningar:
• Det finns ett beslut från EU-kommissionen om att exempelvis ett visst land utanför EU/EES säkerställer så kallad adekvat skyddsnivå.
• Ni har vidtagit lämpliga skyddsåtgärder, till exempel bindande företagsbestämmelser (så kallade Binding Corporate Rules, BCR) eller standardavtalsklausuler (så kallade Standard Contractual Clauses, SCC).
• Särskilda situationer och enstaka fall
Kunders rättigheter
• Rätt till information: Dahabs kunder har rätt till information när deras personuppgifter registreras. Det är via denna policy som Dahab väljer att sprida information till kunder. Kund har även rätt till att få information om sin data dvs. sina personuppgifter som Dahab behandlar genom att begära ett så kallad ” registerutdrag”.
• Rätt till att dra tillbaka sitt samtycke: Kund ska vara medveten om att denne alltid kan återkalla sitt samtycke för behandling av personuppgifter.
• Rätt till rättelse: Dahabs kunder kan alltid begära att felaktiga uppgifter som Dahab behandlar ska rättas till genom exempelvis komplettering. Dahab kommer därefter att meddela kund när dessa kompletteringar har gjorts.
• Rätt till radering: Xxxxxx kunder har rätt att begära om radering gällande sina personuppgifter. Dahab är även skyldig att radera personuppgifter när behandling av personuppgifterna inte längre är nödvändiga ändamålet samt om samtycke återkallas och det inte finna någon rättslig grund för behandlingen.
• Rätt till begränsning: Kund har rätt att begära att behandlingen av personuppgifter begränsas för vissa syften. Om kund anser att vissa personuppgifter är irrelevanta för ett visst syfte kan personuppgifterna begränsas.
• Rätt till dataportabilitet: Xxxx har rätt att begära om överflyttning av sina personuppgifter. Dahab kommer underlätta denna överflyttning när personuppgifterna ska användas på annat håll.
• Rätt att göra invändningar Kund har rätt i vissa fall att invända mot de personuppgifter som Dahab behandlar. En sådan invändning kan göras när det handlar om personuppgifter som behandlas för ett berättigat intresse eller efter en intresseavvägning. I sådana fall får Dahab göra en intresseavvägning huruvida det går att visa på att det finns tvingande berättigade skäl till att uppgifterna som måste behandlas väger tyngre än den enskildes intressen, rättigheter och friheter eller om behandlingen sker för fastställande, utövande eller försvar av rättsliga anspråk.
Lämna in klagomål
Om kund anser att Xxxxxx behandlingen av personuppgifter strider mot ens rättigheter och intressen enligt gällande regler har kund alltid rätt att lämna in klagomål till relevant tillsynsmyndighet, exempel Datainspektionen. Detta sker genom att skicka in en blankett till Datainspektionen. Denna blankett finns på Datainspektionens hemsida (xxx.xxxxxxxxxxxxxxxx.xx)
Kontaktuppgifter:
Dahab har utsett ett Dataskyddsombud som ska övervaka att Dahab följer reglerna om skydd av personuppgifter. Om kund vill utöva sina rättigheter enligt ovan var vänlig och kontakta oss enligt kontaktuppgifterna nedan.
Du är vänlig att kontakta oss på xxxx@xxxxxxxxxx.xx eller på 08 585 482 18.