Personvernerklæring for forbrukerkunder
1. Innledning og omfang
Aera Payment & Identification AS, org # 917351538 («Aera») er et norsk aksjeselskap som tilbyr betalings- og identifikasjonstjenester. Aera tilbyr tjenester til både bedrifter og forbrukere.
Aera har forretningsadresse i Askekroken 11, 0277 Oslo. Aera har konsesjon fra Finanstilsynet som betalingsforetak, som omfatter bla. betalingsfullmakttjenester og kontoinformasjonstjenester.
Du kan nå Aera via:
• Tlf: +47 22 55 25 01
• E-post: support@aera.id
Aera har oppnevnt et personvernombud. Du kan kontakte ombudet via e-postadressen privacy@aera.id
For vår virksomhet som helhet har vi en overordnet personvernerklæring som du finner her. I tillegg til dette har vi egne personvernerklæringer for ulike kundegrupper. Denne personvernerklæringen omfatter de tjenestene vi tilbyr direkte til forbrukerne og inneholder flere detaljer om disse behandlingene enn den overordnede personvernerklæringen. Hvis du er en forbruker og har inngått en avtale med Aera om å bruke tjenestene våre, utgjør denne personvernerklæringen en del av avtalen.
2. Formålet med behandlingen av personopplysningene dine
Følgende hovedkategorier data om deg behandles:
• Profildata
• Transaksjonsdata
Aera behandler personopplysninger om deg – vår kunde – for å kunne tilby deg betalings- og/eller identifikasjonstjenester («Tjenestene»), samt å kontinuerlig sikre og forbedre disse.
Fordi vi er et betalingforetak under konsesjon, må vi også utføre visse kontroller relatert til anti-hvitvasking, bekjempelse av terrorfinansiering (AML/CFT) og bekjempelse av svindel, som er påbudt i lover vi er underlagt. Disse kontrollene involverer automatisert behandling, inkludert profilering, og kan gi juridiske konsekvenser som har vesentlig betydning for deg.
Videre lagrer vi transaksjonsdata for regnskaps- og bokføringsformål.
Detaljer om de forskjellige kategoriene data vi behandler, for eksempel oppbevaringstid, hva de konkret brukes til og om det anvendes underleverandører, finnes i databehandlingsrapporten som er tilgjengelig som vedlegg til denne personvernerklæringen i vår forbrukerportal.
3. Deling av dine personopplysninger
Vi tilbyr tjenester som vanligvis brukes sammen med infrastrukturen til varehandelskjeder, transportselskaper og liknende store virksomheter (heretter «kjeder») som tilbyr varer eller tjenester til forbrukere. Derfor, hvis du bruker tjenestene våre i en kjedes mobilapp, vil vi dele visse data med denne denne kjedens brukersted, for eksempel en bekreftelse på betaling og data som muliggjør opptjening av fordeler i fordelsprogrammer du har aktivert.
Hvis en transaksjon eller et kundeforhold gir grunnlag for mistanke (rødt flagg) om AML/CFT, er vi i noen tilfeller pålagt å rapportere dette til Økokrim etter bestemmelser i hvitvaskingsloven. Vi deler i så fall slike data som loven bestemmer.
Vi deler ikke dataene dine med noen tredjepart for markedsføringsformål.
Detaljer om de forskjellige kategoriene data vi deler, hvem som er mottakere av data og detaljer relatert til disse, finner du i databehandlingsrapporten som er tilgjengelig som vedlegg til denne personvernerklæringen i vår forbrukerportal.
4. Juridisk grunnlag for behandling av dine personopplysninger
Data vi behandler for å levere, sikre og forbedre tjenestene våre til deg behandles fordi dette er nødvendig for å oppfylle avtalen med deg om leveranse av disse tjenestene.
Data vi deler med kjeder er basert på at du samtykker til å aktivere tjenestene våre for den spesifikke kjeden. Du kan når som helst trekke tilbake dette samtykket.
Grunnlaget for behandling av opplysninger for å motvirke AML/CFT er at dette er nødvendig for å overholde en rettslig forpliktelse vi som behandlingsansvarlig er underlagt, nærmere bestemt hvitvaskingsloven §29.
Data vi behandler for journalførings- og bokføringsformål behandler fordi dette er nødvendig for å overholde en rettslig forpliktelse vi som behandlingsansvarlig er underlagt, spesielt bokføringsloven (for kontoer og registreringer av transaksjoner).
5. Dine rettigheter som registrert og hvordan du utøver dem
Personopplysningene vi behandler om deg består av en profil og et sett transaksjonsdata.
Profildataene samles inn direkte fra deg når du registrerer deg for tjenestene våre, eller så samles de inn fra en tredjepart og gjøres synlig for deg under den samme registreringsprosessen.
Transaksjonsdataene genereres av deg og systemer hos kjeder og kjedebrukersteder og/eller banksystemer du samhandler med når du bruker tjenestene våre.
Innsyn
Begge disse datasettene er tilgjengelige for deg gjennom vår forbrukerportal som du finner på www.aera.id/consumer Du kan også få tilgang til dine data gjennom kjedenes mobilapplikasjoner.
Det å skaffe seg tilgang til dataene dine fra Aera gjennom en selgerkjedeapp fører ikke til at disse dataene deles med kjeden.
Retting
Dataene vi har samlet inn direkte fra deg, kan du når som helst oppdatere i kjedens mobilapplikasjon eller gjennom vår forbrukerportal. Data vi samler inn fra eller vasker mot eksterne tjenester eller offentlige registre, for eksempel fødselsnummer eller folkeregistrert adresse, kan ikke endres direkte gjennom våre tjenester, men må (hvis de er feil) endres i registrene de stammer fra, for eksempel Folkeregisteret.
Transaksjonsdataene kan ikke endres, da dette er data som danner grunnlaget for regnskap og bokføring.
Sletting og rett til å bli glemt
Hvis du slutter å bruke tjenestene våre, vil vi slette dataene dine så snart vi har anledning til det.
Fordi vi er et betalingforetak under konsesjon, er Aera forpliktet til å utføre obligatoriske kontroller relatert til AML/CFT og svindel som nevnt over i punkt 2, der vi behandler og lagrer personopplysninger. Dette omfatter personopplysninger samlet inn i registreringsprosessen, AML-data og transaksjonsdata.
Som betalingforetak under konsesjon må Aera registrere og oppbevare informasjon og dokumenter i fem år etter at kundeforholdet er avsluttet samt fem år etter at hver transaksjon er fullført. I tilfeller der ytterligere kontroller og kontroller er nødvendige, kan Aera lagre data opptil 13 år, avhengig av sakens alvorlighetsgrad.
Hvitvaskingsloven har forrang over retten til sletting i GDPR (jmf. artikkel 17(3) litra b) hvilket betyr at data lagres i henhold til hvitvaskingsloven.
I henhold til regnskapsloven er Aera juridisk forpliktet til å lagre transaksjonsdata i fem år etter regnskapsårets slutt for journalførings- og bokføringsformål.
For data som deles med myndighetene på grunn av hvitvaskingsloven, følger slettingen de aktuelle myndighetenes retningslinjer.
Rett til å protestere
Du har rett til å protestere mot behandlingen vi utfører på dine personopplysninger. Hvis du ønsker å utøve denne rettigheten, vennligst kontakt: privacy@aera.id
Klage til Datatilsynet
Du har også rett og evne til å sende inn en klage til Datatilsynet. Det norske Datatilsynet er tilsyns-myndighet for Aera, se: www.datatilsynet.no.
6. Sikkerhet
Vi gjør vårt ytterste for å sikre dine data. Aera har ISO 27001-sertifisering for informasjons-sikkerhetsstyring og som konsesjonsbelagt vikrksomhet opererer vi under tilsyn fra Finanstilsynet.
7. Overføring til tredjeland
Alle forbrukerdata behandles i Det europeiske økonomiske samarbeidsområdet (EØS). Ingen overføring av personopplysninger om forbrukere til noe tredjeland utføres av Aera som behandlingsansvarlig.
In english – Customer (Consumer) Privacy Policy
1. Introduction and Scope
Aera Payment & Identification AS, org # 917351538 («Aera») is a Norwegian Limited Liability company that offers Payment & Identification Services. Aera offers services to both businesses and consumers.
Aera is located at Askekroken 11, 0277 OSLO. Aera holds a license as a Payment Initiation/ Account Information Service Provider from the Norwegian Financial Authority.
You can reach Aera via:
- Phone: +47 22 55 25 01
- E-mail: support@aera.id
Aera has an appointed Data Protection Officer, whom you can reach at privacy@aera.id
For our business as a whole, we have a Privacy Policy which you can find here. In addition to this, we have separate policies for individual customer groups. This policy regulates the services we offer directly to consumers in more detail than the main privacy policy. If you are a consumer and you have entered into an agreement with Aera to use our services, this Privacy Policy forms a part of that agreement.
2. Purpose of processing your personal data
Aera processes personal data about you – our customer – in order to provide you with payment and /or identification services (the “Services”), as well as improving and further developing these. Because we are a licensed payment institution, we also need to perform certain controls related to anti-money laundering and combating financing of terrorism (AML/CFT) as well as combating fraud, which are mandatory under laws to which we are subject. These controls involve automated processing, including profiling, and may produce legal effects significantly affects you. Furthermore, we store transactional data for record keeping and bookkeeping purposes.
The different categories of data we process, and details related to them such as retention time, can be found in the Data Processing report which is available as an appendix to this policy in our consumer portal.
3. Sharing of your personal data
We offer services typically for usage in conjunction with infrastructure belonging to one or more merchant chain(s), transportation providers or other organizations (hereafter “chains”) offering good or services to consumers. As such, if you use our services inside a merchant app, it will share some data with this merchant, such as a confirmation of payment and data enabling earning of benefits in activated loyalty programs.
If a transaction or customer relationship raises red flags, we are in some cases compelled by the Norwegian Anti-Money Laundering Act to report this to the police, thereby sharing such data as the law decrees.
We do not share your data to any third party for marketing purposes.
The different categories of data we share, recipients of data and details related to them can be found in the Data Processing report which is available as an appendix to this policy in our consumer portal.
4. Legal Grounds for processing your personal data
Data we process to deliver our services to you are because this is necessary to fulfill the contract for those services. Data we share with chains are based on you consenting to enabling our services for that specific chain. You can withdraw this consent at any time.
Data we process for anti-money laundering are processing because this is necessary for compliance with a legal obligation to which the controller is subject, specifically the Norwegian Anti-Money Laundering Act §29.
Data we process for record keeping and bookkeeping purposes are processing because this is necessary for compliance with a legal obligation to which the controller is subject, specifically the bookkeeping act (for accounts) and records of transactions.
5. Your rights as a data subject and how to exercise them
The personal data we process about you consists of a profile and transactional data. The profile data is collected directly from you when you sign up to our services or gathered from third party and made visible to you during the same sign-up process. The transactional data is generated by you and any merchant system and/or bank system you interact with when you use our services.
Access
Both these sets of data are available to you through our customer portal found on www.aera.id/consumer You may also access data through the chain apps. Accessing your data from Aera through a chain app does not cause this data to be shared with the chain.
Correction
The data provided directly from you may be updated by you at any time in the chain app or through our customer portal. Data we receive from or check against external services or public registers, such as your national identity number or registered address cannot be changed in our services, but need (if they are incorrect) to be changed in the registers they are found, such as the National Population Register.
The transactional data cannot be changed, this is data that forms the basis of records and accounts.
Deletion and the right to be forgotten
If you stop using our services, we will delete your data as soon as we are able to. As a licensed payment institution, Aera is obliged to perform mandatory controls related to AML/CFT and fraud as mentioned above in section 2, in which we process and store personal information. This includes personal data registered in the onboarding process, AML-data and transactional data.
As a licensed payment institution, Aera shall record and retain information and documents for five years after the customer relationship has ended as well as five years after each transaction is completed. In cases where further checks and controls were necessary, Aera can store data up to 13 years, depending on the severity of the case.
The Anti-Money Laundering Act has precedence over the right to erasure in GDPR (cf. Article 17(3) litra b) meaning that data is stored according to the Anti-Money Laundering Act.
Under the Accounting act, Aera are legally obliged to store transactional data for five years after end of the financial year for record keeping and bookkeeping purposes.
For data shared with the authorities due to the Norwegian Anti-Money Laundering Act, deletion follows the policy of the relevant authorities.
Object
You have the right to object to the processing we perform on your personal data. If you wish to exercise this right, please contact privacy@aera.id
Complaint to the Data protection Authorities
You also have the right and ability to launch a complaint with the Data Protection Authorities, the lead authority for Aera is the Norwegian DPA, found at www.datatilsynet.no.
6. Security
We do our utmost to keep your data safe. Aera is the holder of an ISO 27001 certification for information security management and as a licensed entity we operate under the supervision of the Norwegian Financial Authority (Finanstilsynet).
7. International Transfers
All consumer data are processed in the European Economic Aera (EEA). No transfer of consumer personal data to any third country is performed by Aera as a controller.