Persónuverndarstefna þessi lýsir hvernig Greiða ehf., kt. 510124-0490, Nóatún 17, 105 Reykjavík (hér eftir „Borga“), safnar, vinnur og varðveitir persónuupplýsingar í tengslum við þjónustu sína. Stefnan tekur einungis til einstaklinga, ekki lögaðila.
Borga er ábyrgðaraðili vinnslu persónuupplýsinga samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og reglugerð (ESB) 2016/679 (GDPR). Þegar Borga vinnur persónuupplýsingar fyrir hönd söluaðila, til dæmis upplýsingar um greiðendur sem söluaðili skráir í kerfið, telst Borga vinnsluaðili í skilningi persónuverndarlöggjafar og sérstakur vinnslusamningur er milli aðila.
Stefnan tekur til einstaklinga sem á einhvern hátt eiga í samskiptum við Borga, þar á meðal:
(a) notendur sem skrá sig inn í söluaðilavef Borga með Kenni.is auðkenningu, þar á meðal prókúruhafar, raunverulegir eigendur og starfsmenn söluaðila; (b) greiðendur sem greiða söluaðilum í gegnum hostaða greiðslusíðu Borga eða embedded checkout; (c) tengiliðir hjá söluaðilum, samstarfsaðilum og birgjum; og (d) gestir á borga.is og öðrum vefsvæðum Borga.
Borga safnar og vinnur eftirfarandi flokka persónuupplýsinga:
Auðkennisupplýsingar: nafn, kennitala og fæðingardagur, sótt í Kenni.is auðkenningu þegar notandi skráir sig inn, eða skráð af söluaðila þegar greiðandi er auðkenndur með kennitölu vegna bankakröfu eða e-reiknings.
Tengiliðaupplýsingar: netfang, símanúmer og heimilisfang, skráð beint af viðkomandi eða af söluaðila.
Fjárhags- og færsluupplýsingar: fjárhæðir, gjaldmiðlar, færslunúmer, staða færslu, lýsing á vöru eða þjónustu og upplýsingar um endurgreiðslur og endurkröfur.
Kortatengdar upplýsingar: táknræn tilvísun á kort (token), síðustu fjórir tölustafir kortnúmers, gildistími korts og útgáfuland. Borga geymir hvorki fullt kortnúmer, CVV/CVC né PIN-númer; slíkar upplýsingar fara einungis um færsluhirðingakeðju Straums.
Bókhaldstengdar upplýsingar: vörulínur, virðisaukaskattsflokkar, kennitala greiðanda þar sem hún er nauðsynleg til útgáfu sölureiknings og auðkenni reiknings hjá bókhaldskerfi söluaðila.
Tæknilegar upplýsingar: IP-tala, gerð vafra og stýrikerfis, tímasvæði, skjásnið og tilvísandi vefsvæði (referrer).
Notkunarupplýsingar: aðgerðaskráning (log) í söluaðilavef og API, þar á meðal innskráningar, stofnun lykla, atvik og villur.
Markaðs- og samþykkisupplýsingar: samþykki fyrir markaðspósti, kökusamþykki og samskiptastillingar.
Persónuupplýsingar berast Borga ýmist beint frá viðkomandi einstaklingi, frá söluaðila sem hann er í viðskiptum við, frá Kenni.is, frá Straumi (vegna færslu, endurkröfu eða áhættumats) eða frá opinberum upplýsingaveitum (t.d. fyrirtækjaskrá Skattsins) þegar áreiðanleikakönnun krefst þess.
Borga vinnur persónuupplýsingar í eftirfarandi tilgangi: að veita greiðslu-, áskriftar- og bókhaldsþjónustu; að auðkenna notendur og koma á samskiptum; að framkvæma áreiðanleikakönnun og áhættustýringu; að uppgötva og koma í veg fyrir svik og misnotkun; að uppfylla lagaskyldur og skyldur gagnvart kortasamtökum; að þróa og bæta þjónustuna; og að senda upplýsingar um þjónustuna að fengnu samþykki.
Vinnslan byggir á eftirfarandi vinnslugrundvelli í persónuverndarlöggjöf:
(a) Uppfylling samningsskyldu: vinnsla sem nauðsynleg er til að framkvæma greiðslu, koma á aðgangi notanda, halda utan um áskrift eða spegla greiðslu yfir í bókhaldskerfi.
(b) Lagaskylda: vinnsla sem nauðsynleg er til að uppfylla skyldur Borga samkvæmt lögum, þar á meðal lögum um aðgerðir gegn peningaþvætti og fjármögnun hryðjuverka nr. 140/2018, bókhaldslögum, lögum um virðisaukaskatt, tekjuskattslögum og lögum um greiðsluþjónustu nr. 114/2021.
(c) Lögmætir hagsmunir: vinnsla vegna áhættustýringar, öryggis kerfa, mælinga og þróunar þjónustunnar, þar sem hagsmunir Borga vega þyngra en hagsmunir hins skráða af því að vinnslan eigi sér ekki stað.
(d) Samþykki: vinnsla á grundvelli samþykkis, til dæmis vegna markaðssetningar eða kakanna sem ekki teljast nauðsynlegar. Hinn skráði getur dregið samþykki sitt til baka hvenær sem er án þess að það hafi áhrif á lögmæti vinnslu sem fram fór áður en samþykkið var dregið til baka.
Borga miðlar persónuupplýsingum til eftirfarandi aðila að því marki sem nauðsynlegt er til að uppfylla þann tilgang sem upplýsingunum var safnað í:
Straumur greiðslumiðlun hf., sem færsluhirðir kortagreiðslna, og samstarfsaðilar Straums á heildsölustigi færsluhirðingar.
Kortasamtök (Visa, Mastercard, American Express o.fl.) og kortaútgefendur, þegar miðlun er nauðsynleg til að framkvæma færslu, vegna endurkrafna eða vegna áhættumats á sviksamlegum færslum.
Bókhaldskerfi söluaðila, þar á meðal PayDay.is og DK+, þegar söluaðili hefur tengt bókhaldskerfi sitt við Borga og óskað eftir að sölureikningar séu speglaðir þangað.
Kenni.is, sem auðkenningarþjónusta, vegna innskráninga og fyrirtækjaauðkenningar.
Vinnsluaðilar Borga, þar á meðal hýsingaraðilar, gagnagrunns- og UT-þjónustur, póst- og samskiptaþjónustur, tölfræði- og villutryggingaþjónustur. Vinnsluaðilar vinna persónuupplýsingar einungis samkvæmt skriflegum vinnslusamningi við Borga og fyrirmælum Borga.
Endurskoðendur, lögfræðingar og ráðgjafar Borga, þegar nauðsynlegt er til að uppfylla skyldur Borga eða verja réttarkröfur.
Lögbær yfirvöld, þar á meðal Persónuvernd, Fjármálaeftirlit Seðlabanka Íslands, Skatturinn, lögreglu, dómstólar og skiptastjórar, þegar Borga er skylt að miðla upplýsingum samkvæmt lögum eða stjórnvaldsfyrirmælum, eða þegar miðlun er nauðsynleg til að verja réttarkröfu.
Þriðju aðilar að fengnu samþykki hins skráða.
Persónuupplýsingar geta verið fluttar út fyrir Evrópska efnahagssvæðið (EES) þegar nauðsynlegt er, til dæmis vegna kortafærslu á erlent kort, vegna lagaskyldu (svo sem CRS- og FATCA-skýrslna) eða þegar vinnsluaðilar eða undirvinnsluaðilar Borga eru staðsettir utan EES.
Þegar slíkur flutningur á sér stað tryggir Borga að viðeigandi verndarráðstafanir séu til staðar, til dæmis með stöðluðum samningsskilmálum framkvæmdastjórnar Evrópusambandsins (Standard Contractual Clauses), ákvörðun um fullnægjandi vernd eða öðrum lögmætum verndarráðstöfunum samkvæmt persónuverndarlöggjöf.
Borga varðveitir persónuupplýsingar einungis svo lengi sem nauðsynlegt er til að uppfylla þann tilgang sem upplýsingunum var safnað í, eða svo lengi sem lagaskylda krefst.
Bókhaldsgögn og gögn um færslur eru varðveitt í að minnsta kosti sjö (7) ár frá lokum reikningsárs í samræmi við lög um bókhald nr. 145/1994 og skattalög.
Gögn vegna áreiðanleikakönnunar samkvæmt lögum nr. 140/2018 eru varðveitt í að minnsta kosti fimm (5) ár frá lokum viðskiptasambands.
Aðgerðaskráning (log) er almennt varðveitt í tólf (12) mánuði en lengur ef öryggisatvik gerir nauðsynlegt að rannsaka þau frekar.
Markaðsupplýsingar eru varðveittar þar til samþykki er dregið til baka eða þar til þær eiga ekki lengur við um hinn skráða.
Að loknum varðveislutíma eru persónuupplýsingar annaðhvort eyðilagðar eða gerðar ópersónugreinanlegar með afmáningu auðkennis ef Borga telur að gögnin hafi tölfræðilegt eða þróunarlegt gildi.
Borga notar kökur (cookies) og sambærilega tækni á vefsvæðum sínum til að tryggja virkni þjónustunnar, halda notanda innskráðum, mæla notkun og bæta upplifun.
Borga notar þrjár megintegundir kakanna: nauðsynlegar kökur sem tryggja að vefsvæðið virki rétt, þar á meðal innskráning og öryggi; tölfræðikökur sem mæla notkun á nafnlausan hátt; og markaðs- og þriðjuaðilakökur sem einungis eru notaðar að fengnu samþykki.
Hinn skráði getur stjórnað kökum í gegnum kökusamþykkisbanner á borga.is eða í stillingum vafra síns. Athugið að höfnun nauðsynlegra kakanna kann að hafa áhrif á virkni þjónustunnar.
Hinn skráði nýtur eftirfarandi réttinda samkvæmt persónuverndarlöggjöf, með þeim takmörkunum sem í lögum greinir:
Réttur til upplýsinga og aðgangs: að fá staðfestingu á því hvort Borga vinni persónuupplýsingar um viðkomandi og afrit af þeim.
Réttur til leiðréttingar: að fá rangar eða ófullnægjandi upplýsingar leiðréttar eða uppfærðar.
Réttur til eyðingar: að fá upplýsingar eyddar þegar þær þjóna ekki lengur upphaflegum tilgangi, samþykki er dregið til baka og enginn annar vinnslugrundvöllur er fyrir hendi, eða ef vinnsla er ólögmæt.
Réttur til takmörkunar vinnslu: að fá vinnslu takmarkaða í tilteknum tilvikum, til dæmis þegar deilt er um nákvæmni upplýsinganna.
Réttur til flutnings: að fá upplýsingar afhentar á skipulegu, algengu og tölvulesanlegu sniði og fluttar til annars ábyrgðaraðila þegar lagaskilyrði eru uppfyllt.
Réttur til andmæla: að andmæla vinnslu sem byggir á lögmætum hagsmunum, þar á meðal vegna sjálfvirkrar ákvarðanatöku eða gerðar persónusniðs, og að andmæla vinnslu vegna beinnar markaðssetningar.
Réttur til að draga samþykki til baka hvenær sem er, án þess að það hafi áhrif á lögmæti fyrri vinnslu sem byggði á samþykkinu.
Réttur til að leggja fram kvörtun hjá Persónuvernd, Rauðarárstíg 10, 105 Reykjavík, www.personuvernd.is.
Til að nýta réttindi þín, sendu beiðni á privacy@borga.is. Borga svarar beiðnum innan eins mánaðar frá móttöku, eða innan tveggja mánaða viðbótar ef beiðnin er flókin, og tilkynnir hinum skráða um slíka framlengingu.
Borga endurskoðar stefnu þessa reglulega og kann að gera á henni breytingar vegna lagabreytinga, breytinga á þjónustunni eða þróunar á vinnsluaðferðum. Nýjasta útgáfa stefnunnar er ávallt aðgengileg á borga.is og taka breytingar gildi við birtingu nema annað sé sérstaklega tilgreint.
Borga hvetur einstaklinga til að lesa stefnuna reglulega og fylgjast með breytingum.
Fyrirspurnum um persónuvernd, beiðnum um aðgang að upplýsingum og öðrum erindum sem snerta réttindi hins skráða má beina til:
Greiða ehf., Nóatún 17, 105 Reykjavík.
Netfang: privacy@borga.is.