Personvernerklæring for AfterPay

1. Om denne personvernerklæringen

Beskyttelse av personvern og GDPR-samsvar er svært viktig for oss. Denne personvernerklæringen forklarer hvilke personopplysninger vi samler inn fra deg og behandler når du bruker våre tjenester og produkter («Tjenester») og blir kunde hos oss. Du bruker for eksempel Tjenestene våre når du betaler med en av våre AfterPay-metoder for betaling, eller kontakter oss i forbindelse med betaling. Erklæringen gir deg også informasjon om dine personvernrettigheter og forklarer hvordan du kan utøve dem.

For bruk av vår nettportal AfterPay («AfterPay») gjelder det en spesifikk personvernerklæring som vil vises når du bruker nettstedet eller nettportalen.

2. Persondataansvarlig

Tjenesten AfterPay (betaling etter levering av kjøp) leveres av Arvato Finance AS, org nr. 994210130, Postboks 331 Sentrum 0101 Oslo, under navnet AfterPay (nedenfor «AfterPay», «vi» eller «oss». Som dataansvarlig i henhold til EU-forordningen 2016/679 («GDPR») er vi ansvarlige for lagring og behandling av dine personopplysninger som vi innhenter fra deg som en del av våre tjenester og for å overholde loven.

3. Hvilke personopplysninger om deg behandler vi?

Vi må samle inn opplysninger om deg for at vi skal kunne levere AfterPay-tjenestene i AfterPay-miljøet. Hvilken type informasjon det er, avhenger av hvilken tjeneste du bruker.

3.1 Opplysninger du deler med oss

Du gir oss personopplysninger når du bruker noen av våre tjenester, f.eks. betaler en bestilling på en forhandlers nettsted ved hjelp av en av AfterPay-metodene for betaling eller kontakter oss. Avhengig av hvilken av tjenestene våre du bruker, kan følgende informasjon bli påvirket:

3.2 Opplysninger som samles inn av oss når du bruker tjenestene våre

Når du bruker tjenestene våre (f.eks. når du legger inn en bestilling på nettstedet til en forhandler og velger å bruke en av våre AfterPay-metoder for betaling), eller kontakter oss som en del av betalingsprosessen, innhenter vi følgende informasjon om deg (enten direkte fra deg eller via tredjeparter som kredittopplysningsbyråer og forhandlere):

Hver gang du besøker vår kundeportal, sendes MyAfterPay-data automatisk til serveren vår. I tillegg samler vi inn følgende opplysninger fra deg (heretter kalt «Øvrig informasjon»):

Informasjonen du deler med oss, samt informasjon om varer/tjenester og din finansielle informasjon, er nødvendig for at vi skal kunne levere tjenestene våre til deg. Den øvrige informasjonen vi samler inn, er generelt nødvendig for andre formål som beskrevet nedenfor.

4. Hva brukes opplysningene dine til? Hvor lenge lagrer vi opplysningene dine?

Vi bruker opplysningene dine til de formålene som er beskrevet nedenfor. I tillegg kan du se i oversikten hvor lenge opplysningene dine lagres i hvert enkelt tilfelle.

AfterPay kan behandle opplysningene dine til:

Segmenter Formål – hva gjør vi? Juridisk grunnlag for behandlingen Automatiserte avgjørelser Oppbevaringstid
Kredittsøknader, betalingsadministras-jon og for-brukerhåndtering Evaluere hvilke betalingsalternativer som vi kan tilby deg, for eksempel ved å foreta eksterne og interne kredittkontroller For å oppfylle vår kontraktsmessige forpliktelse overfor deg (art. 6.1 b i personvernforordningen). Vi trenger opplysningene for å kunne inngå avtaler med deg og for at vi skal kunne levere tjenestene. Ja 5 år
For å bekrefte identiteten din og verifisere dine person- og kontaktopplysninger For å oppfylle vår kontraktsmessige forpliktelse overfor deg (art. 6.1 b i personvernforordningen). Vi trenger opplysningene for å kunne inngå avtaler med deg og for at vi skal kunne levere tjenestene. Ja 5 år
For å administrere betalingen din, de tjenestene du bruker og kundeforholdet For å oppfylle vår kontraktsmessige forpliktelse overfor deg (art. 6.1 b i personvernforordningen). Vi trenger opplysningene for å kunne inngå avtaler med deg og for at vi skal kunne levere tjenestene. Nei 5 år
GenerelleAfterPay-tjeneste Administrere AfterPay-tjenester og for vår interne virksomhet Ivareta berettiget interesse (art. 6.1 f) i GDPR). Vår berettigede interesse er å forbedre AfterPay-tjenestene og -virksomheten for å optimalisere kommunikasjonen med kundene og dermed redusere unødvendige kostnader Nei 5 år
Overholdelse av gjeldende lover, som f.eks. lover om hvitvasking av penger og nasjonal bokføringslovgivning. Oppfylle en juridisk forpliktelse (art. 6.1 c) i GDPR). Behandlingen omfatter, men er ikke begrenset til, overholdelse av hvitvaskingsforebyggende krav, bekjemping av terrorfinansiering og overholdelse av skattekontroll- og rapporteringskrav. Nei 7 år for regnskapsføring. 5 år for å bekjempe hvitvasking av penger.
Identifisering, risiko- og svindelhåndtering Gjennomføre eksterne og interne kontroller som kan inkludere kredittsjekker Etterstrebe berettiget interesse (art. 6.1 f) i GDPR). Vår berettigede interesse er å beskytte oss mot solvens- og svindeltap på grunn av at vi kjøper fordringer fra forhandlerne. Ja 5 år
For å bekrefte identiteten din og verifisere dine person- og kontaktopplysninger Etterstrebe berettiget interesse (art. 6.1 f) i GDPR). Vår berettigede interesse er å beskytte oss mot solvens- og svindeltap på grunn av at vi kjøper fordringer fra forhandlerne. Ja 5 år
Håndtere risikoer, forebygge svindel og gjennomføre risikoanalyser Etterstrebe berettiget interesse (art. 6.1 f) i GDPR). Vår berettigede interesse er å beskytte oss mot solvens- og svindeltap på grunn av at vi kjøper fordringer fra forhandlerne. Nei 5 år
For å hindre misbruk av AfterPay-tjenestene, f.eks. ved å forbedre kredittrisiko- og svindelmodeller Etterstrebe berettiget interesse (art. 6.1 f) i GDPR). Vår berettigede interesse er å ha fungerende og egnede modeller for å kunne beskytte oss mot solvens- og svindeltap. Nei 5 år
Markedsføring og individuelle tilbud For å gi deg reklame og tilbud relatert til våre tjenester via post, e-post, MMS, SMS eller via AfterPay-appen. Nei Så lenge det finnes et aktivt forretningsforhold og det ikke er fremsatt noen motivert innvending.

For mer informasjon om formålene med databehandlingen som er beskrevet ovenfor, se avsnittene nedenfor.

4.1 Identifisering, risiko- og svindelhåndtering

Som en del av ordreprosessen på nettstedet til en forhandler bruker vi kontaktopplysningene dine, informasjon om varer/tjenester, finansiell informasjon og, hvis tilgjengelig, historisk informasjon og, hvis du har gitt samtykke, tilgangsopplysningene dine for effektivt å forhindre misbruk, kredittsjekk og sjekk av betalingsmåte (beslutning om hvorvidt en AfterPay-betalingsmetode vil bli tilbudt den respektive brukeren) i henhold til følgende:

4.2 Kundekommunikasjon

Kontaktopplysningene dine kan brukes til kundekommunikasjon (ikke reklame). Til dette formålet kan du f.eks. bli kontaktet i forbindelse med kundeservice eller våre tjenester, f.eks. ved at vi sender fakturaer eller påminnelser via e-post eller meldinger om de betalingsmetodene du bruker for AfterPay-betalinger.

4.3 For å oppfylle lovmessige krav

Vi er underlagt ulike lovpålagte krav (f.eks. hvitvaskingsloven, loven om visse selskaper med forbrukerkreditt, regnskapsloven og skattelovgivningen) og nasjonale myndigheters krav, og behandler derfor personopplysninger for kredittvurderinger, identitets- og alderskontroller, forebygging av svindel og hvitvasking, for å bekjempe finansiering av terrorisme samt for å oppfylle skattekontroll og rapporteringsforpliktelser.

4.4 Markedsføring og individuelle tilbud

Vi bruker kontaktopplysningene dine til å sende deg annonser via post, e-post, MMS, SMS eller via AfterPay-appen om andre AfterPay-produkter, for eksempel betaling via delbetaling («AfterPay Flex») eller månedlig fakturering. Du vil da motta reklame via e-post, MMS eller SMS selv uten ditt uttrykkelige samtykke hvis vi har mottatt din e-postadresse eller telefonnummer i forbindelse med bruken av våre tjenester og de produkter/tjenester som annonseres av oss ligner på dem du allerede har benyttet hos oss tidligere. Du kan når som helst protestere mot denne bruken av kontaktopplysningene dine for reklameformål ved å sende en e-post til personvernombud@arvato.com. Dette vil ikke medføre noen ekstra kostnader for deg.

I tillegg vil du på slutten av hver e-postmelding, MMS eller SMS få mulighet til å protestere mot den videre bruken av e-postadressen eller telefonnummeret ditt av oss for ovennevnte formål (reklame for sammenlignbare varer og tjenester) i fremtiden.

5. Automatisert beslutningstaking i enkelttilfeller, inkludert profilering

Avgjørelsen om vi skal innvilge en av våre metoder for AfterPay-betaling i ordreprosessen (sjekk av betalingsmetode) og svindelrisikoen for mulige bestillinger tas automatisk som en del av bestillingsprosessen på nettet innebærer en automatisert individuell beslutningstaking iht. 22 GDPR. Hvis forespørselen din om å betale med en av våre AfterPay-betalingsmetoder blir avvist, kan du fortsatt bruke andre betalingsmetoder som tilbys på selgerens nettsted (f.eks. kredittkort eller forhåndsbetaling) for å fullføre bestillingen. Dette betyr at avgjørelsen vår verken har rettsvirkninger for deg eller på lignende måte påvirker deg i vesentlig grad, tas automatisk som en del av den elektroniske bestillingsprosessen.

Innenfor rammen av kontrollen av betalingsmåter brukes informasjon fra de eksternt brukte kredittinstitusjonene samt eventuelle betalingsopplysninger som du eventuelt allerede har. Under svindelforebyggingsprosessen kan ytterligere enhetssporingsdata brukes. Basert på matematisk statistiske metoder (spesielt metoder for logistisk regresjon eller andre statistiske, delvis automatiserte optimaliseringsmodeller) skapes det en prognose, spesielt om betalingssannsynligheter og, hvis aktuelt, risiko for bedrageri og misbruk, ved hjelp av vår eksisterende betalingsinformasjon, både gjennom sammenligninger med grupper av personer som tidligere har vist lignende betalingsatferd og gjennom historiske analyser av svindelmønstre (spesielt gjennom ekstrapolasjon til våre målgrupper).

Hvis du nektes kreditt på grunn av utilstrekkelig kredittverdighet eller på grunn av en betydelig mistanke om svindel, vil de høyrisikobetalingsmetodene som tilbys av oss, ikke tilbys deg ettersom vi bærer den tilhørende risikoen, men du kan bruke andre betalingsmetoder som tilbys på selgerens nettsted (f.eks. kredittkort eller forhåndsbetaling) for å fullføre bestillingen.

6. Overføring utenfor EU/EØS

Vi bruker skytjenesten «Microsoft Azure» fra Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA (heretter: «Microsoft»), dvs. dataene behandles i datasentre hos vår databehandler Microsoft. Da kan tilgang til deres data fra et tredje land ikke utelukkes. Med unntak av Fraud.net og Microsoft overfører vi per i dag ikke opplysningene dine til land utenfor EU/EØS. Hvis vi overfører opplysningene dine til selskaper utenfor EU/EØS, vil vi sikre at opplysningene dine er tilstrekkelig beskyttet og at egnede sikkerhetstiltak er på plass (f.eks. EUs standardkontraktsklausuler og, der det er aktuelt, ytterligere tiltak basert på den såkalte Schrems2-domsbeslutningen i EGT). Fra vårt personvernombud kan du be om en kopi av de sikkerhetstiltakene vi har iverksatt via personvernombud@arvato.com.

7. Hvilke rettigheter har du når det gjelder opplysningene dine?

Adgang: Du kan be om en skriftlig kopi av de opplysningene vi har om deg.

Retting: Vi ønsker å sikre at personopplysningene dine er korrekte og oppdaterte. Du kan derfor be oss om å korrigere eller slette informasjon som du mener er feil.

Sletting: Du kan be om at vi sletter opplysningene dine. Vi kan kanskje ikke slette opplysningene dine umiddelbart, for eksempel hvis vi fortsatt trenger dem for å kunne levere tjenestene våre til deg. Vi kan ikke slette opplysninger om deg som loven krever at vi beholder.

Protestere: Du har rett til å protestere mot behandlingen av opplysningene dine i henhold til art. 21 i GDPR.

Begrensning av behandling: Du har rett til å begrense behandlingen av opplysningene dine i henhold til art. 14 i GDPR.

Tilbaketrekking av samtykke: Hvis behandlingen av opplysningene dine er basert på ditt samtykke, har du når som helst rett til å trekke tilbake samtykket ditt uten at det påvirker lovligheten av behandlingen som bygger på samtykket ditt før det ble tilbakekalt.

Dataportabilitet: Hvis personopplysningene dine behandles på en automatisert måte for å oppfylle vårt avtaleforhold, har du rett til å kreve at vi overfører personopplysningene dine til deg i et maskinlesbart format for overføring til en annen behandlingsansvarlig.

Klage: Du kan når som helst sende inn en klage til oss eller din lokale databeskyttelsesmyndighet:

Datatilsynet, postboks 458 Sentrum, 0105 Oslo

Hvis du har en forespørsel, send en e-post til: personvernombud@arvato.com

8. Hvem deler vi personopplysningene dine med?

Vi kan dele opplysningene dine med andre selskaper i AfterPay-konsernet (dvs. i ulike land) for de formålene som er angitt i denne policyen for at vi skal kunne gi deg best mulig AfterPay-service. Ved behov engasjerer vi også en tredjepart som tjenesteleverandør (ordrebehandler, f.eks. et datasenter) innenfor rammen av de formålene som er angitt i denne erklæringen. Tjenesteleverandører vil bare ha tilgang til opplysningene dine i den grad og i den perioden som er nødvendig for å levere den aktuelle tjenesten. Vi kan gi forhandleren som du kjøpte produktet fra, den informasjonen vedkommende trenger for å gjennomføre og behandle bestillingen på riktig måte. Denne informasjonen er underlagt den relevante forhandlerens personvernerklæring.

Vi kan utlevere dine opplysninger til kredittopplysningsbyråer og selskaper som utfører identitetskontroller for å verifisere din kredittverdighet eller for å foreta en risikovurdering hvis de ønsker å bruke en av våre betalingsmetoder for AfterPay og for å verifisere din identitet og dine adresseopplysninger. Hvis vi er lovpålagt å gjøre det, gir vi nødvendig informasjon til myndighetene, som politiet eller skattemyndighetene. Lovpålagt opplysningsplikt foreligger for eksempel ved tiltak mot hvitvasking og terrorfinansiering. Vi utleverer imidlertid bare de opplysningene som kreves til de behørige myndighetene på grunnlag av den aktuelle juridiske situasjonen.

Hvis vi videreformidler opplysningene dine til disse tredjepartene, vil vi iverksette alle rimelige, forventede tiltak i samsvar med juridiske, tekniske og organisatoriske vilkår for å sikre at opplysningene dine behandles konfidensielt og beskyttes på en hensiktsmessig måte når de overføres eller utleveres til disse tredjepartene. Vi gjør uttrykkelig oppmerksom på at vi ikke selger personopplysningene dine til tredjeparter. I tillegg utleverer vi ikke informasjonen din til tredjeparter for direkte reklame eller andre former for direktemarkedsføring, meningsmålinger eller markedsundersøkelser, hvis du ikke ditt samtykke til det.

9. Er du forpliktet til å oppgi opplysningene dine?

Når du velger en av betalingsmetodene våre på forhandlerens nettsted eller når du inngår en avtale med oss, må du oppgi de personopplysningene som er nødvendige for at det kan fattes en beslutning om å godkjenne betalingsmetoden du har valgt, eller for å motivere og gjennomføre en kontrakt eller slike opplysninger som vi er forpliktet til å samle inn i henhold til loven. Uten disse opplysningene vil vi normalt ikke kunne godkjenne den betalingsmetoden du har valgt eller inngåelsen av avtalen, eller vi vil ikke lenger kunne fortsette å gjennomføre en avtale og kan måtte si opp avtalen.

Spesielt når vi inngår en avtale, plikter vi å bekrefte identiteten din med ditt personlige ID-kort i henhold til reglene for hvitvasking av penger før vi begrunner forretningsforholdet, og i denne prosessen må vi samle inn og registrere ditt navn, fødested, din fødselsdato, nasjonalitet og hjemmeadresse. For at vi skal kunne oppfylle denne rettslige forpliktelsen, må du gi oss den informasjonen og de dokumentene som kreves i henhold til kapittel 5, avsnitt 3 i hvitvaskingsloven og informere oss umiddelbart om endringer som oppstår i løpet av forretningsforholdet. Hvis du ikke gir oss nødvendig informasjon og nødvendige dokumenter, har vi ikke rett til å inngå eller fortsette det forretningsforholdet du har bedt om.

10. Hvordan beskytter vi opplysningene dine?

Vi bruker den nyeste teknologien for å beskytte informasjonen. Dette betyr at vi iverksetter alle nødvendige tekniske og administrative sikkerhetsforanstaltninger for å beskytte informasjonen din mot uautorisert tilgang, overføring, sletting eller annen uautorisert behandling. Disse sikkerhetstiltakene omfatter toppmoderne brannmurer, kryptering, bruk av sikre IT-områder, korrekt tilgangskontroll, instruksjoner til personell som er involvert i behandlingen av opplysningene dine og nøye valg av underleverandører. I tillegg er retten til å få tilgang til opplysningene dine begrenset til AfterPay-personale som trenger tilgang til opplysningene dine som en del av arbeidet sitt.

11. Endringer i personvernreglene

Vi utvikler kontinuerlig våre nettsteder og forbeholder oss retten til å endre denne personvernerklæringen ved å varsle om endringer her. Endringer kan også baseres på endringer i gjeldende lovgivning. Vi anbefaler at du regelmessig gjennomgår innholdet i våre retningslinjer for personvern.

12. Spørsmål om personvern

Vi har et dedikert team av spesialister innen databeskyttelse. Hvis du har spørsmål om denne personvernerklæringen eller personvern, kan du kontakte det lokale personvernombudet på personvernombud@arvato.com.

Denne personvernerklæringen ble sist oppdatert 15.03.2022