Personvernerklæring Vipps

Versjon 1.10 - 19.10.2020

I Vipps AS ("Vipps", "vi" eller "oss") bryr vi oss om ditt personvern. Derfor har vi alltid ditt personvern og vårt ansvar i tankene når vi samler inn og behandler personopplysninger. Vipps er behandlingsansvarlig for de opplysninger vi behandler når du er en Vipps-bruker og bruker våre tjenester. Personvernerklæringen beskriver hvilke personopplysninger som behandles, og hvordan vi samler inn og bruker dine personopplysninger. Erklæringen beskriver også rettighetene du har som registrert hos oss og hvordan du utøver disse.

1.Din avtale med Vipps

Denne personvernerklæring er en del av Avtalen mellom deg som Vipps-bruker og Vipps. Erklæringen beskriver behandlingen av personopplysninger i alle våre tjenester. Det er derfor viktig at du leser innholdet før du begynner å bruke noen av tjenestene.

2.Rettslig behandlingsgrunnlag

Vipps’ behandling av dine personopplysninger må ha et rettslig grunnlag for å være lov. Det betyr at Vipps på forhånd må ha identifisert om det finnes et behandlingsgrunnlag. Hvis vi ikke har det, er vår behandling av dine personopplysninger ulovlig.

Nedenfor finner du de rettslige behandlingsgrunnlagene vi benytter:

2.1 Nødvendig for å oppfylle en avtale med deg

Formålet med Vipps’ behandling av personopplysninger er i første rekke kundeadministrasjon, fakturering, gjennomføring av betalingsoppdrag og levere andre tjenester i tråd med de avtalene vi har inngått med deg.

2.2 Rettslige forpliktelser

Vipps behandler også personopplysninger for å oppfylle sine forpliktelser i henhold til lov, forskrifter eller myndighetsbeslutninger; slik som personopplysningsloven, bokføringsloven, hvitvaskingsloven og annet relevant regelverk, og utleveringspålegg fra myndigheter med hjemmel i lov.

Eksempler på behandling basert på rettslige forpliktelser:

  • forebygging og avdekking av straffbare handlinger, som hvitvasking av penger, finansiering av terrorisme og bedrageri
  • bokføringskrav
  • rapportering til politimyndigheter, tilsynsmyndigheter og andre myndigheter med hjemmel i lov

2.3 Berettiget interesse

Vipps kan behandle personopplysninger dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen må være lovlig, definert på forhånd, reell og saklig begrunnet i virksomheten.

Eksempler på behandling basert på berettiget interesse:

  • transaksjonsovervåkning for å avdekke straffbare handlinger
  • kundeanalyser basert på profilering til markedsføringsformål
  • markedsføring i løpende avtaleforhold

2.4 Samtykke

Dersom ikke annet behandlingsgrunnlag foreligger, vil Vipps’ behandling av personopplysninger basere seg på et frivillig, uttrykkelig og informert samtykke fra deg som kunde.

Dersom du har avgitt samtykke til Vipps, kan dette på hvilket som helst tidspunkt trekkes tilbake. Trekker du tilbake ditt samtykke, vil behandlingen opphøre, og personopplysningene vil slettes dersom oppbevaring av opplysningene er basert utelukkende på avgitt samtykke.

3.Formålet med behandling av dine personopplysninger

Formålet med vår behandling av personopplysninger ved din bruk av Vipps er først og fremst å oppfylle de forpliktelsene Vipps har påtatt seg for gjennomføring av Avtalen, herunder å gjennomføre betalingsoppdrag og levere andre tjenester til deg som du har tatt i bruk gjennom Vipps.

I Vipps behandles personopplysninger også blant annet til følgende formål:

  • Kundeoppfølging, statistikk og markedsføring
  • Videreutvikling, test og forbedring av Vipps
  • Sikkerhetsmonitorering
  • Forebygging og avdekking av straffbare handlinger
  • Vipps vil også behandle personopplysninger i den grad lovgivningen påbyr eller gir adgang til det eller når du har samtykket til slik behandling.

4.Tilganger i Vipps

Når du velger å ta i bruk enkelte funksjoner i Vipps kan vi be om forskjellige tilganger til din mobiltelefon for at disse funksjonene skal fungere.

Disse funksjonene og tilgangene er:

  • Lokasjon - slik at du kan finne brukersteder i nærheten av der du er. Vi ber om ditt samtykke for å gi deg tilgang til stedstjenester når du søker etter brukersteder. Lokasjonsdata lagres kun i en kortere periode. Vi vil ikke bruke eller lagre dine lokasjondata utover dette. Du kan skru av tilgangen til stedstjenester for Vipps i telefonens innstillinger, men vær oppmerksom på at funksjonen for å finne brukersteder i nærheten av der du er da ikke vil fungere.
  • Kontaktlisten - når du samtykker til å gi Vipps tilgang til din kontaktliste kan du enkelt velge betalingsmottakere fra kontaktene dine. Vi lagrer ikke kontaktlisten din. Ønsker du ikke å gi Vipps denne tilgangen, kan du bruke vennebetalinger ved å manuelt taste inn mottakers telefonnummer. Dette gjelder både for å sende betalinger, be om penger og lage oppgjørs-grupper.
  • Bilder og kamera - slik at du kan ta og laste opp profilbilde, skanne betalingsinformasjon i en faktura, lagre kvitteringer som bilder eller legge til et bilde i en oppgjørs-gruppe. Vi lagrer ikke bildene dine, med unntak av de bildene du eventuelt velger å laste opp, for eksempel profilbilde eller regningsbilder du laster opp i Vipps regningsskanner. Regningsbildene oppbevares i 18 måneder slik at du skal kunne gjenfinne dem, deretter slettes de.
  • Bakgrunnsoppdatering - gjennomføres når du mottar pushmeldinger fra Vipps.
  • Mobildata - for at du skal kunne bruke Vipps når du ikke er tilknyttet et trådløst nett.
  • Varslinger - slik at Vipps får mulighet til å sende meldinger til din mobiltelefon. Du velger selv om du ønsker å gi oss tilgang til å sende varslinger til deg og kan selv skru funksjonen av og på i appen til enhver tid.
  • Telefonstatus og ID - slik at mobilidentifikator kan lagres (kun Android).
  • Endre/slette innhold i SD-kort (Android) - for at du skal kunne laste opp profilbilde.

5.Hvilken informasjon lagrer vi

Vipps lagrer opplysninger som du selv oppgir i Vipps når du registrerer deg, som genereres når du bruker tjenesten eller som innhentes fra offentlige registre. Vipps lagrer følgende data og behandler personopplysninger for de følgende formålene og benytter flere av de rettslige behandlingsgrunnlagene nevnt ovenfor i punkt 2:

  • Når du registrerer deg som Vipps-bruker oppgir du en rekke personopplysninger som navn, telefonnummer, adresse og e-postadresse (synlig i Vipps app’en, men lagres ikke på din mobiltelefon). Formålet er å identifisere deg, samt administrere kundeforholdet. Din adresse, e-postadresse og eventuell andre kontaktopplysninger brukes også til markedsføringsformål (se punkt 9) og, etter du har samtykket til det, for å gi deg mulighet til å raskt fylle ut kontaktdetaljer og leveringsadresse på nettsteder du kan betale med Vipps Hurtigkasse, eller raskt å registrere og logge deg inn hos nettsteder ved bruk av Vipps Logg inn.
  • For å opptre i samsvar med lovgivningen og for å kunne identifisere deg på en sikker måte trenger vi ditt fødselsnummer (lagres ikke på din mobiltelefon).
  • For å kunne gjennomføre betalingstransaksjonen og oppfylle våre forpliktelser etter Avtalen behandler vi dine kontoopplysninger og kortdata knyttet til din pengekilde (lagres ikke på din mobiltelefon, men kontonummer og maskert kortnummer er synlig i Vipps-appen).
  • For å beskytte din Vipps brukerprofil mot misbruk registrerer vi din pinkode (lagres ikke på din mobiltelefon)
  • For sikkerhetsformål registrerer vi hvilken mobil enhet du bruker og enhetens operativsystem. I tillegg registrerer vi din mobilidentifikator som dannes når du oppretter en Vipps-profil for å kunne identifisere din mobiltelefon som et sikkerhetstiltak (lagres ikke på din mobiltelefon).
  • For å forenkle gjentakende bruk hos et brukersted/nettsted lagrer vi hvilke brukersteder/nettsteder du har akseptert å benytte Vipps Logg inn og Vipps Hurtigkasse på.
  • For å ha historikk, sporbarhet og mulighet for fakturering knyttet til transaksjoner overfor brukerstedet lagrer vi informasjon om hvilke brukersteder du har logget deg på med Vipps Logg inn og Vipps Hurtigkasse.
  • For å la deg bli holdt innlogget med Vipps Logg inn lagrer vi informasjon om nettleseren din og enheter du velger å bruke denne delen av tjenesten på. Til dette bruker vi informasjonskapsler (cookies), se mer om dette under Vipps Vilkår. For å ivareta din sikkerhet og for å motvirke straffbare handlinger mot deg og/eller brukersted lagrer vi også data om brukeradferd og enhetens tilstand for tjenesten Vipps Logg inn.
  • Vi lagrer innholdet i beskjeder du og mottaker, både privat og bedrift, sender til hverandre i tilknytning til transaksjonen. Dette er vi pålagt i hvitvaskingsloven.
  • Vi lagrer også transaksjonshistorikk og genererte skjermbilder. Dette er vi pålagt i hvitvaskingsloven.
  • Når du tar i bruk Vipps mobil lagrer vi fornavn, etternavn, fødselsdato, kjønn, adresse, postnummer, poststed, epost, telefonnummer og forbruk, simkort og telefontype for å administrere kundeforholdet og for å avregne mobiltelefonbruk. I tillegg genereres trafikk- og lokasjonsdata ved bruk av tjenesten, men trafikk- og lokasjonsdata lagres verken hos Vipps eller Vipps underleverandør, kun trafikkdata lagres på individnivå i tre måneder på grunn av fakturering, deretter anonymiseres, slettes eller aggregeres opplysningene. Telenor som tilbyder av den underliggende infrastrukturtjenesten for teletjenester lagrer individuell trafikk- og lokasjonsdata i henhold til de rammebetingelser Telenor er underlagt.

6.Innhenting av personopplysninger fra offentlige registre

Vipps vil innhente informasjon om deg fra offentlige registre for kvalitetssikring eller dersom dette er nødvendig for å oppfylle våre forpliktelser overfor deg etter Avtalen eller forpliktelser hjemlet i lov.

7.Utlevering av personopplysninger

Informasjon som kan knyttes til deg som person vil ikke bli utlevert til andre med mindre det følger av Avtalen, er hjemlet i lov eller at du spesifikt har samtykket til det. I henhold til Avtalen sender for eksempel Vipps noe informasjon om deg til mottakerne av dine betalinger. Se mer om dette i punkt 5.2 i Vipps Vilkår.
Når du oppretter en Vipps-profil, kan andre Vipps-brukere søke deg opp i løsningen ved hjelp av ditt telefonnummer. Dersom du har aktivert Vipps eFaktura vil Vipps også informere utstedere av Vipps eFaktura om at du har aktivert denne funksjonen, så slike utstedere kan sende deg eFaktura i Vipps. I tillegg vil bruk av Vipps Hurtigkasse og Vipps Logg inn medføre at nettbutikken eller nettstedet får noe informasjon om deg. Se mer om dette i Vipps Vilkår.

Personopplysningene som behandles for Vipps mobil kan overføres til Nasjonal Referansedatabase (NRDB) for kontroll av eier på abonnementet ved nummerportabilitet og til lovpålagte nummeropplysningstjenester som 1881 m.fl.

I tillegg kan personopplysninger utleveres til politi- og påtalemyndighet etter utleveringspålegg med hjemmel i lov.

I vårt arbeid med å videreutvikle og forbedre Vipps vil vi av og til samarbeide med andre. Dette vil kunne kreve at vi utleverer opplysninger om deg. Om mulig, vil vi gjøre dette uten at samarbeidspartneren får vite din identitet, og vi vil inngå nødvendige databehandleravtaler og sikre at opplysningene ikke brukes av samarbeidspartneren utover samarbeidet med oss.

8.Bruk av databehandlere
Det er flere underleverandører som behandler personopplysninger på våre vegne (databehandlere). Overføring av personopplysninger til slike databehandlere skjer i medhold av databehandleravtaler som sikrer at behandlingen gjennomføres i samsvar med regelverket, herunder hindrer at databehandleren bruker opplysningene for andre formål. Overføring av personopplysninger til Vipps' databehandlere anses ikke som utlevering.

I noen tilfeller kan Vipps overføre personopplysninger til underleverandører i land utenfor EØS-området, for eksempel til leverandører av IT-tjenester eller andre databehandlere. Slike overføringer kan bare gjøres hvis databehandleren har gitt nødvendige garantier og under forutsetning av at individene sikres håndhevbare og effektive rettigheter.

Det kreves altså et gyldig rettslig overføringsgrunnlag for slik overføring i henhold til GDPR, og noen av følgende vilkår må være oppfylt:

  • EU-kommisjonen har besluttet at det foreligger et tilstrekkelig beskyttelsesnivå i det aktuelle landet.
  • Det er truffet andre hensiktsmessige sikkerhetstiltak, og/eller en databehandler har gitt nødvendige garantier om at personopplysningene vil bli behandlet på en trygg måte, i henhold til GDPR og i tillegg til for eksempel bruk av standardkontrakter (EUs standardklausuler) som er godkjent av EU-kommisjonen, eller databehandleren har gyldige bindende konsernregler (BCR).
  • Det dreier seg om unntak i spesielle tilfeller, for eksempel for å oppfylle en avtale med deg eller tilfeller der du gir ditt samtykke til den bestemte overføringen.

9.Kundeoppfølging, profilering og markedsføring

9.1 Kundeoppfølging

Vipps vil registrere og bruke nødvendige personopplysninger om deg for å oppfylle de forpliktelser vi har påtatt oss for gjennomføring av avtalen med deg, samt til kundeadministrasjon og fakturering.

Uten samtykke fra deg vil enheter og selskaper i Vipps kunne dele følgende nøytrale opplysninger seg imellom; f.eks. navn, kontaktopplysninger, fødselsdato og hvilke tjenester eller produkter du har inngått avtale om.

9.2 Profilering og markedsføring

Vi ønsker at informasjon, nyheter og markedsføring vi sender deg skal oppleves relevant. I den forbindelse kan vi foreta en begrenset profilering. Vi tilpasser derfor innholdet basert på de opplysninger vi har om deg. Eksempler på disse opplysninger er hvilke produkter og tjenester du har inngått avtale med oss om, alder og bosted. Vipps kan behandle disse opplysningene dersom det er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til ditt personvern. Vipps har blant annet en berettiget interesse i å bruke personopplysninger til markedsføring, produkt- og kundeanalyser. Analysene danner grunnlaget for type markedsføring, samt prosess-, forretnings- og systemutvikling, inkludert testing. Hensikten er å forbedre løsningene våre og tilby best mulig tilbud, produkter og tjenester til våre kunder.

Markedsføres produkter og tjenester ved hjelp av elektronisk kommunikasjon til deg personlig innen andre produktkategorier enn de som Vipps og du har inngått avtale om, kreves samtykke fra deg for å benytte andre kundeopplysninger enn navn og kontaktopplysninger, og hvilke produkter du har.

Markedsføring i eksterne kanaler: Vi ønsker å gi deg som kunde relevant informasjon og markedsføring på sosiale plattformer og nettsider. For å kunne få til dette må vi vite hvem du er når du bruker de aktuelle sosiale plattformer og nettsider. Det gjør vi ved å koble kontaktinformasjon som telefon og e-post som du har gitt til oss, med informasjon du har gitt til den eksterne kanalen.

Når koblingen er gjort, vil du kunne motta budskap og informasjon som vi antar er av interesse.

Du kan når som helst velge at dine personopplysninger ikke skal brukes til direkte eller målrettet markedsføring ved å slå av dette i Vipps applikasjonen. Du finner denne muligheten under «Innstillinger» i Vipps applikasjonen.

10.Statistikk
I Vipps behandler vi personopplysninger for intern statistikk, og for å tilby statistikk til offentlige og private virksomheter. Statistikk vi deler med andre er aldri personopplysninger og du vil aldri være identifiserbar overfor disse virksomheter. Opplysningene kan kun benyttes til å forbedre varer, tjenester, kommunikasjon og tilbud til forbrukere. Behandlingsgrunnlaget vårt for dette formålet er berettiget interesse. Statistikken vi lager bygger på demografiske opplysninger, produktopplysninger og transaksjonsopplysninger. Eksempler på statistikk kan være grupper av innbyggere som reiser kollektivt eller tidspunkt på dagen det er flest mennesker i matbutikken osv.

11.Forebygging og avdekking av straffbare handlinger

Vipps vil behandle personopplysninger med formål om å forebygge, avdekke, oppklare og håndtere bedragerier og andre straffbare handlinger. Opplysninger til bruk for dette formålet vil bli innhentet fra og utlevert til andre banker og finansinstitusjoner, Bankenes Misbrukerregister, politiet og andre offentlige myndigheter. Oppbevaringstiden vil være inntil ti år etter registreringen. Vipps vil også behandle personopplysninger for å oppfylle undersøkelses- og rapporteringsplikten for mistenkelige transaksjoner etter hvitvaskingsloven. Vi er pålagt å rapportere mistenkelige opplysninger og transaksjoner til Økokrim ved Enheten for finansiell etterretning. I henhold til personopplysningsloven § 16 første ledd bokstav b) og e) har du ikke rett til innsyn i de opplysninger vi har registrert for disse formålene.

12.Dine rettigheter
Du har rett til å kreve innsyn, korrigering av uriktige personopplysninger eller sletting av personopplysninger vi behandler om deg. Du har videre rett til å kreve begrensning i behandlingen og kan på visse vilkår protestere mot videre behandling av personopplysninger eller kreve dine personopplysninger overført til deg selv eller annen behandlingsansvarlig (dataportabilitet).
Du kan til enhver tid trekke tilbake dine samtykker. Dette gjør du ved under "Innstillinger" i appen. En tilbaketrekking av samtykke påvirker ikke lovligheten av en behandling som var basert på samtykke før samtykket ble trukket tilbake.
Ønsker du å benytte deg av dine rettigheter, kan du enten utføre endringer selv i appen (for eksempel endring av dine data lagret i Vipps, sletting av profilen din) eller ved å fylle ut vår kontaktskjema på https://www.vipps.no/privat/kontakt-oss eller på personvern@vipps.no. Vi besvarer din henvendelse så fort som mulig, og senest innen 30 dager.

13.Lagringstid
Personopplysninger vil ikke bli lagret lenger enn det som er nødvendig for å oppfylle formålet med behandlingen. Etter dette vil opplysningene slettes eller anonymiseres, med mindre opplysningene skal eller kan oppbevares utover dette som følge av lov. Dette gjelder også dersom du sletter din Vipps-profil. Opplysninger om dine transaksjoner vil bli lagret av Vipps så lenge lovgivningen krever det.
Personopplysninger som vi behandler på grunnlag av ditt samtykke slettes hvis du trekker samtykket tilbake, med mindre det finnes et annet rettslig grunnlag for videre behandling.

14.Sikring av personopplysninger
Personopplysninger som Vipps samler inn, lagres og behandles på en trygg og sikker måte. Vi har etablert og dokumentert rutiner og tiltak som skal sikre opplysningenes integritet, tilgjengelighet og konfidensialitet i henhold til GDPR artikkel 32.

15.Klager
Dersom du mener at vår behandling av personopplysninger er i strid med personvernlovgivningen, kan du ta kontakt med vårt personombud på personvern@vipps.no eller klage til Datatilsynet.

Du finner kontaktinformasjon til Datatilsynet på www.datatilsynet.no.

16.Endringer
Vi kan endre denne personvernpolicyen for å følge lovmessige krav, ved tilbud av nye og/eller endrede produkter samt endringer i vår egen praksis for innsamling og behandling av personopplysninger.

17.Behandlingsansvarlig
Vipps AS er behandlingsansvarlig for den behandling av personopplysninger som fremgår av denne personvernpolicyen. Dersom du har spørsmål rundt Vipps' personvernpolicy, ta kontakt med oss på www.vipps.no, per e-post personvern@vipps.no eller på telefon 22 48 28 00.