Retningslinjer for personvern —
fakturamottaker

Respekt for personvernet til den enkelte er viktig for oss i Billogram og vi jobber aktivt for å beskytte personopplysningene som vi behandler. Alle personopplysninger blir behandlet i henhold til gjeldende personopplysningsloven (GDPR). Denne personvernerklæringen inneholder informasjon om hvordan vi som behandlingsansvarlig behandler personopplysninger hvis du er kunde hos en bedrift som bruker vår fakturerings- og betalingstjeneste (som vi i dette dokumentet omtaler som «fakturautsteder») og dermed mottar fakturaer gjennom Billogram.

I denne personvernerklæringen beskriver vi hvordan og til hvilke formål vi bruker personopplysningene dine, hvilket juridisk grunnlag vi benytter oss av og hvilke tiltak vi iverksetter for å beskytte personopplysninger. Vi beskriver også hvordan du påberoper deg rettighetene du har i forbindelse med vår behandling av personopplysningene dine.

Billograms rolle som behandlingsansvarlig

I noen tilfeller er Billogram behandlingsansvarlig og i andre tilfeller databehandler for behandling av personopplysningene dine. Disse retningslinjene for personvern beskriver behandling der vi er behandlingsansvarlige, det vil si der vi er parten som bestemmer formålene («hvorfor») og midlene (hvilke metoder, hvilke personopplysninger og hvor lenge de skal lagres).

Når en fakturautsteder engasjerer oss for å utstede en faktura til deg og formidle betalingen din, behandler vi for det meste personopplysningene dine i egenskap av databehandler for bedriften der du er kunde. I rollen som behandler, behandler vi personopplysningene dine bare i henhold til instruksjonene fra den behandlingsansvarlige. Hvis du har spørsmål om hvordan personopplysningene dine blir behandlet eller ønsker å påberope deg dine rettigheter når det gjelder fakturering og betaling som går utover disse retningslinjene for personvern, skal du altså kontakte fakturautstederen der du er kunde.

Generell informasjon om hvordan vi behandler personopplysninger

Vi er forpliktet til å beskrive hvordan vi oppfyller kravene som stilles til oss når vi behandler personopplysningene dine. Denne delen tar sikte på å beskrive generelle prinsipper for hvordan vi behandler personopplysninger.

Rettslig grunnlag

For å få lov til å behandle personopplysninger må den behandlingsansvarlige i henhold til GDPR ha et rettslig grunnlag for behandlingen. Vi grunnlegger behandlingen vår av personopplysninger knyttet til fakturamottakere på følgende rettslig grunnlag:

- Rettslig forpliktelse: Behandlingen av dine personopplysninger er nødvendig for at vi skal oppfylle de lovpålagte kravene i vår forretningsvirksomhet.

- Berettiget interesse: Vi har foretatt en interesseavveining og vurdert at interessene våre av å få behandle personopplysningene dine, veier tyngre enn retten din til ikke å omfattes av behandlingen.

Hvor lenge lagrer vi personopplysningene dine?

Vi lagrer personopplysningene dine bare så lenge det er nødvendig for formålet de ble hentet inn for. Avhengig av hvilket rettslig grunnlag vi støtter behandlingen vår på, kan dette være fastsatt i loven eller følge av en intern vurdering basert på en interesseavveining. I delen «Hvordan personopplysningene dine blir behandlet» nedenfor beskriver vi kriteriene for når formålet opphører og dermed tidspunktet for da vi ikke lenger behandler opplysningene dine.

Når vi deler personopplysningene dine med andre

Det kan hende at vi deler personopplysningene dine med andre for at vi skal kunne utføre noen av behandlingene som er beskrevet i disse retningslinjene, for eksempel for lagring av opplysninger. Vi inngår alltid behandleravtale med databehandlerne som vi engasjerer, der vi blant annet gir behandleren instruksjoner om hvordan personopplysningene kan behandles og hvilke sikkerhetstiltak som kreves for behandlingen. Behandleren kan ikke utføre behandling av personopplysningene dine som går utover disse instruksjonene.

Hvis det er påkrevd i lov, forordning, forskrift, myndighetsbeslutning eller annen bestemmelse som er bindende for Billogram, kan vi utlevere personopplysningene dine til ulike myndigheter, f.eks. Skatteetaten eller Politietaten.

Overføring av personopplysninger utenfor EU/EØS

I tilfeller der personopplysninger bli overført til land utenfor EU/EØS, iverksetter vi beskyttelsestiltak for å sørge for at sikkerhetsnivået er tilstrekkelig og i henhold til GDPR. Disse hensiktsmessige beskyttelsestiltakene omfatter blant annet å sikre:

- at EU-kommisjonen har besluttet at tredjelandet som personopplysningene dine blir overført til, oppnår et tilstrekkelig beskyttelsesnivå, med andre ord at beskyttelsen av dine personopplysninger er likeverdig med kravene i GDPR, eller 

- at EU-kommisjonens standardavtaleklausuler er inngått mellom Billogram eller behandleren deres og mottakeren utenfor EU/EØS, det vil si at vi har inngått avtale med databehandleren om at dine personopplysninger skal beskyttes i samsvar med GDPR. I disse tilfellene vurderer vi også om det er lovgivning i mottakerlandet som påvirker beskyttelsen av personopplysningene dine. Der det er et krav, iverksetter vi særlige tiltak slik at beskyttelsen av opplysningene dine vedvarer når de overføres til det aktuelle landet utenfor EU/EØS.

Hvordan personopplysningene dine blir behandlet

Avsnittene nedenfor beskriver hvilke personopplysninger vi behandler for ulike formål, hvor opplysningene er hentet inn, hvilket rettslig grunnlag behandlingen vår er basert på, når formålet med behandlingen opphører og, hvis det er mulig og relevant, grunnlaget for vurderingen av lagringstid.

For å sikre funksjonaliteten og motvirke uredelig oppførsel i fakturatjenesten vår

Hvilke kategorier personopplysninger vi behandler og kilde

Fra enheten din:
- Opplysninger om type enhet, operativsystem og nettleser
- IP-adresse

Fra Billogram: 
- Opplysninger om navigering i tjenesten (inkludert når fakturaen ble åpnet)

Rettslig grunnlag

Berettiget interesse - Vår berettigede interesse består i at vi må sikre funksjonaliteten og motvirke uredelig oppførsel i tjenesten vår for å oppfylle kravene overfor kundene våre og deg som fakturamottaker

Når formålet opphører

Når du ikke lenger mottar fakturaer gjennom tjenesten vår

Analysere og korrigere feil i fakturatjenesten vår

Feilsøkingens art avgjør hvilke av de angitte kategoriene av personopplysninger som blir behandlet for dette formålet. Vi behandler bare personopplysningene som kreves for den spesifikke feilsøkingen.

Hvilke kategorier personopplysninger vi behandler og kilde

Fra fakturautstederen:
- Navn
- Adresse
- Kundenummer
- Fakturautstederens navn
- Fakturanummer
- Fakturabeløp
- Fakturadato, når fakturaen blir distribuert og forfallsdato

Fra fakturautsteder eller fra deg:
- Personnummer
- E-postadresse
- Telefonnummer
- Distribusjonsmåte for fakturaen
- Kommunikasjonsdetaljer (kommunikasjon via fakturaen)

Fra Billogram:
- Billogram-unik ID
- Fakturamottaker-ID
- Opplysninger om navigering i tjenesten

Fra enheten din:
- Opplysninger om type enhet, operativsystem og nettleser

Billogram eller fra deg:
- Påmelding/avmelding for å delta i markedsføringstilbud fra fakturautstederen (markedsføringsmodulen)

Fra fakturautstederen, eller genereres av Billogram:
- Referansenummer for betaling

Fra Tink eller fra fakturautstederen:
- Opplysninger om valgt bank (for markeder med avtalegiro som betalingsmåte)

Fra fakturautstederens bank:
-Opplysning om valgt bank (E-faktura)

Fra BankID eller annen signeringsløsning:
- Dato for godkjenning av avtalegiro og hvordan den ble signert (for markeder med avtalegiro som betalingsmåte)

Avhengig av betalingsmåte: Bilogram eller fra fakturautsteder, eller fra Riverty (hvis det er inkasso)
- Betalingsstatus (nåværende krav eller gjeld)
- Når fakturaen er betalt og betalingsmåte

Rettslig grunnlag

Berettiget interesse - Vår berettigede interesse består i at vi må kunne korrigere feil i tjenesten vår for å oppfylle kravene overfor kundene våre og deg som fakturamottaker

Når formålet opphører

3 måneder etter at feilen er korrigert (tiden som vi mener er nødvendig for å kunne følge opp rettet feil).

Forbedre, utvikle og måle bruken av fakturatjenesten vår

Hvilke kategorier personopplysninger vi behandler og kilde

Fakturautsteder eller fra deg:
- E-postadresse*
- På hvilken måte fakturaen ble distribuert
- Kommunikasjonsopplysninger om faktura eller betaling

Fra fakturautstederen:
- Kundenummer*
- Fakturautstederens navn
- Fakturabeløp
- Fakturadato, når fakturaen blir distribuert og forfallsdato

Fra fakturautstederen, eller genereres av Billogram:
-Referansenummer for betaling*

Fra Billogram:
- Billogram-unik ID*
- Fakturamottaker-ID*
- Opplysninger om navigering i tjenesten (inkludert når fakturaen ble åpnet)

Avhengig av betalingsmåte: Billogram, eller fra fakturautsteder eller Riverty (hvis det er inkasso):
- Betalingsstatus (nåværende krav eller gjeld)
- Når fakturaen er betalt og betalingsmåte

Fra enheten din:
- Opplysninger om type enhet, operativsystem og nettleser

*Disse personopplysningene blir pseudonymisert, noe som innebærer at alle identifiserende personopplysninger blir erstattet med ikke-identifiserende informasjon. Statistikk blir utarbeidet på et aggregert nivå

Rettslig grunnlag

Berettiget interesse - Vår berettigede interesse består i at vi må kunne utvikle og forbedre tjenesten vår for å kunne oppfylle kravene og ønskene kundene våre og deg som fakturamottaker stiller til tjenesten vår.

Når formålet opphører

5 år etter at du har mottatt din siste faktura gjennom tjenesten vår (tiden som vi mener er nødvendig for å kunne se trender og sesongvariasjoner)

For å oppfylle kravene vedrørende tiltak mot hvitvasking av penger og finansiering av terrorisme

Hvilke kategorier personopplysninger vi behandler og kilde

Fra banken din:
- Navn
- Adresse
- Fakturabeløp
- Når fakturaen er betalt og betalingsmåte

Fra Billogram:
-Saksdetaljer

Rettslig grunnlag

Rettslig forpliktelse - Svensk lov (2017:630) om tiltak mot hvitvasking av penger og finansiering av terrorisme

Når formålet opphører

10 år etter gjennomført transaksjon, eller alternativt, hvis det har oppstått en sak, 10 år etter at saken er avsluttet.

For å overholde lovmessige krav angående sanksjoner.

Hvilke kategorier personopplysninger vi behandler og kilde

Fra banken din:
- Navn
- Bank- og landsinformasjon (BIC-kode)

Fra Billogram:
-Saksdetaljer

Rettslig grunnlag

Juridisk forpliktelse - Sanksjonslovgivning utstedt av EU, FN og OFAC. (OFAC er en amerikansk etat som utarbeider sanksjonslister lignende de fra EU og FN, som Billogram er forpliktet til å overholde.)

Når formålet opphører

Når du ikke lenger gjennomfører betalinger gjennom vår tjeneste.

Databehandlere som vi deler personopplysningene dine med

Iblant må vi dele personopplysningene dine med andre for å innfri formålene som beskrives ovenfor.

Dataene vi behandler lagres hos Amazon Web Services (AWS)-der behandlingen bare skjer innenfor EU/EØS.

For å analysere feil i fakturatjenesten vår kan det også hende at vi deler personopplysninger med Sentry, der behandlingen i så fall skjer i USA. Personopplysningene som det kan hende at Sentry vil behandle er bare Billogram-unik ID, fakturamottaker-ID og fakturautstederens navn. Gjennom såkalte standardavtaleklausuler (se «Overføring av personopplysninger utenfor EU/EØS» ovenfor) har vi sikret at beskyttelsen av personopplysningene Sentry behandler er i henhold til kravene i GDPR.

For å oppfylle våre forpliktelser i henhold til hvitvaskingsloven og sanksjonslovgivning, kan vi komme til å dele dine personopplysninger med Softronic, som leverer det systemet vi bruker til dette formålet. Denne behandlingen skjer kun innenfor EU/EØS.

Rettighetene dine

I henhold til GDPR har du som datasubjekt flere rettigheter som det er viktig å kjenne til.

- Du har rett til å be om en registerutskrift over hvilken informasjon som er registrert om deg.

- Hvis opplysningene vi har om deg er feil, har du rett til å få dem korrigert.

- Du har rett til å få personopplysningene dine slettet, forutsatt at vi ikke trenger å behandle disse for formålene de ble hentet inn for, for eksempel for å etterkomme gjeldende lov.

- Hvis du mener at opplysningene ikke er korrekte, at behandlingen vår er i strid med loven eller at vi ikke trenger opplysningene til et bestemt formål, kan du be om at vi begrenser behandlingen av opplysninger om deg. Du kan også be om begrensning mens du venter på at vi kontrollerer om interessen vår i å behandle opplysningene dine veier tyngre enn retten din til ikke å få disse opplysningene behandlet.

- Hvis vi oppgir berettiget interesse som rettslig grunnlag, har du rett til å innvende mot behandlingen.

Med retten til dataportabilitet menes det at i visse tilfeller når det rettslige grunnlaget er avtale eller samtykke, har du rett til å innhente og bruke personopplysningene dine andre steder. Denne retten gjelder ikke for vår behandling av dine personopplysninger, da vi behandler dem basert på juridisk forpliktelse og berettiget interesse.

Kontaktopplysninger og personvernombud

Behandlingsansvarlig: Billogram AB (organisasjonsnummer 556801-7155)

Adresse: Klara Södra Kyrkogata 1, 111 52 Stockholm.

Hvis du har spørsmål om hvordan vi behandler personopplysningene dine eller vil utøve noen av rettighetene dine, kan du alltid kontakte oss på support@billogram.com

Du kan også henvende deg til personvernombudet vårt på e-post: dpo@billogram.com eller per post til adressen ovenfor.

Klage

Hvis du mener at behandlingen av personopplysningene dine er i strid med GDPR, bør du kontakte oss. Du kan også henvende deg direkte til svenske Integritetsskyddsmyndigheten med klagen din.

Oppdatering av personvernerklæringen for personvern

Denne personvernerklæringen kan bli oppdatert som følge av endret lovgivning eller at det er endringer i behandlingen vår av personopplysninger som følge av utvikling av tjenestene våre.

Den nyeste versjonen er alltid offentliggjort på nettstedet vårt.

Denne versjonen ble oppdatert den 16-01-2024