Inledning
Denna webbplats drivs av Littlepay Limited och dess anknutna bolag (”Littlepay”, ”vi” eller ”oss”). Information om hur vi använder cookies får du i cookiepolicyn.
Littlepay har åtagit sig att skydda de data som vi har åtkomst till medan vi tillhandahåller våra tjänster. Ta dig tid att läsa igenom den här integritetspolicyn där vi förklarar vilka personuppgifter vi samlar in, hur vi använder dem och vilka rättigheter du har. Littlepay Limited (”Littlepay”, ”vi” eller ”oss”) är personuppgiftsansvarigt för de data som samlas in via eller i samband med tjänsterna vi erbjuder inom Europeiska ekonomiska samarbetsområdet och i Storbritannien, med undantag för vår CNP-lösning där vi är personuppgiftsbiträde för insamlade data. För dem som är bosatta i Kalifornien i USA ansvarar Littlepay Inc. för data så som beskrivs i California Privacy Notice nedan.
Vilka data samlar vi in och behandlar vi?
Littlepay tillhandahåller tjänster för säker betalningsbehandling till transportoperatörer. Detta gör att de kan t emot betalningar från individer i kollektivtrafiken som använder betalkort eller förbetalda digitala biljetter (“biljetter”). Nedan beskriver vi när vi samlar in dina data och vilka dataelement vi samlar in.
Betalningsdata. Om du blippar ditt betalkort när du stiger ombord ett färdmedel i kollektivtrafiken, för att betala någon av de transportoperatörer som använder våra tjänster (en ”handlare”), eller om du köper en biljett online av en handlare så att du kan betala för kollektivtrafikresan i förväg med vår CNP-lösning (”CNP”, för card-not-present dvs. utan kort), behandlar vi dina betalningsdata för handlarens räkning. Detta kan innefatta betalkortets ”PAN” (personligt kontonummer), typen av betalkort och uppgifter om när kortet upphör att gälla samt, för biljetter som köps online med vår CNP-lösning, kortinnehavarens namn, faktureringsadress och CVV2. Vi kan även samla in betalningsdata när du visar din betalningshistorik för kollektivtrafiken online.
Data om dig som handlarna tillhandahåller. Vi samlar även in data från våra handlare. Denna information kan innefatta ditt namn, din adress, dina kontaktuppgifter, din befattning och uppgifter om din arbetsgivare samt eventuell annan information som du tillhandahåller till oss.
Information om handlaren. Om du är handlare behandlar vi dina inloggningsuppgifter för vår handlarportal online (det rör sig om en responsiv webbportal som efterlever PCI och som handlaren kan använda till att visa enskilda passagerartransaktioner).
Enhetsidentifierare och användningsdata. När du använder vår webbplats samlar vi in viss standardinformation som din webbläsare automatiskt skickar till vår webbplats. Detta innefattar teknisk information om din enhet, till exempel din IP-adress, webbläsarens typ, enhetsidentifierare, operativsystem, språk, inställningar för tidszon, åtkomsttider och eventuella adresser för hänvisande webbplatser, samt användarinformation som vilka sidor du besöker, hur länge du tillbringar på varje sida samt deras webbadresser.
Andra data som du tillhandahåller till oss. Vi kan samla in eventuella andra data som du väljer att tillhandahålla till oss, till exempel när du skickar e-post till oss eller begär teknisk support. Detta kan innefatta ditt namn, dina kontaktuppgifter och eventuell annan information som du tillhandahåller när du kommunicerar med oss.
Till vad använder vi dessa data?
Vi använder dina data för att:
- underlätta betalningar från dig till handlarna för användning av kollektivtrafiktjänsterna, oavsett om detta utgörs av en direkt transaktion med kort när du stiger ombord färdmedlet eller om det rör sig om förhandsköp av en biljett för relevant transport,
- behandla din betalning,
- uppfylla våra kontraktsmässiga skyldigheter gentemot relevant handlare,
- efterleva juridiska och lagstiftningsmässiga krav och skyldigheter,
- utreda bedrägerier, identifiera och förhindra bedrägliga transaktioner och genomföra säker autentisering innan vi verifierar ditt köp,
- marknadsföra, göra reklam för och puffa för våra tjänster,
- lagra dina krypterade betalningsdata för användning vid framtida transaktioner om du väljer att göra det,
- kontakta och kommunicera med dig i samband med tillhandahållandet av våra tjänster eller om du kontaktar oss,
- hantera dina köp och ditt användarkonto,
- genomföra analys och marknadsundersökningar,
- genomföra andra verksamhetsrelaterade ändamål, inklusive förhandla, ingå och uppfyll kontrakt, hantera konton och register, stöda aktiviteter inom ramen för företags samhällsansvar, juridiska, lagstiftningsmässiga och interna utredningar och skuldadministration.
Rättslig grund för behandling av dina data
De rättsliga grunderna för behandling av dina data enligt gällande dataskyddslagar är:
- Ditt samtycke: Under vissa omständigheter (t.ex. för direktmarknadsföring, reklam och kampanjer) kan vi be om ditt samtycke för att behandla dina personuppgifter. I så fall inhämtas samtycket i enlighet med gällande juridiska krav. Om vi använder samtycke som rättslig grund för behandling av dina personuppgifter har du rätt att återta samtycket när som helst. Det gör du genom att kontakta oss.
- Kontrakt: Behandlingen är nödvändig för att vi ska kunna uppfylla vårt kontrakt med handlaren för att tillhandahålla tjänster för betalningsbehandling. Om vi behöver samla in dina personuppgifter för att uppfylla vårt kontrakt med dig och du inte tillhandahåller dina uppgifter när vi begär det, är det möjligt att vi inte kan uppfylla kontraktet som vi har eller försöker ingå med dig. I så fall kan vi behöva avbryta tjänsterna för betalningshantering som du har beställt eller försöker beställa.
- Rättslig skyldighet: behandlingen är nödvändig för att efterleva våra rättsliga skyldigheter.
- Berättigat intresse: Då behandlingen är nödvändig på grund av Littlepays berättigade intressen (i den mån som dina rättigheter och intressen inte åsidosätter vårt berättigade intresse) som kan innefatta något eller några av följande:
- genomföra och behandla din betalning för att tillhandahålla tjänsten som handlaren har beställt,
- bedriva vår verksamhet,
- utveckla våra produkter och tjänster och utvidga vår verksamhet,
- förbättra vår webbplats och se till att den är uppdaterad och relevant,
- analysera hur kunderna köper och använder våra produkter och tjänster och informera om vår marknadsföringsstrategi,
- tillhandahålla intern administration och IT-tjänster,
- se till att våra register är uppdaterade samt
- säkra vårt nätverk och våra system.
Med vem delar vi dina data?
Vi delar dina data under följande omständigheter:
- Personer inom vår organisation som av verksamhetsmässiga eller juridiska skäl har ett behov av att känna till dessa data, till exempel för att genomföra en administrativ funktion.
- I och med att vi handlar internationellt är det möjligt att vi delar dina data med en enhet inom Littlepaykoncernen globalt.
- Med relevant handlare, bank eller andra finansinstitut, efter vad som är nödvändigt för att tillhandahålla våra betalningstjänster. Observera att vi inte delar fullständiga kortbetalningsuppgifter med våra handlare.
- Med våra anknutna bolag, efter vad som är nödvändigt för att tillhandahålla våra tjänster och bedriva vår verksamhet.
- Med serviceleverantörer som utför tjänster å våra vägnar samt med våra professionella och juridiska rådgivare, efter vad som är nödvändigt för att bedriva vår verksamhet.
- Med tredje parter som tillhandahåller bedrägeriförebyggande och -identifierande åtgärder samt säkerhetstjänster.
- Med brottsbekämpande eller andra myndigheter, t.ex. för att anmäla bedrägeri eller efter en laglig begäran eller för att efterleva en juridisk skyldighet.
- Med tredje parter om vi säljer, köper eller slår samman någon verksamhet eller några tillgångar, inklusive till den eventuella säljaren eller köparen av sådan verksamhet eller sådana tillgångar.
- Annars, om vi har fått samtycke från dig eller på annat sätt har juridisk rätt att göra så.
Vi kräver att alla tredje parter respekterar skyddet för dina personuppgifter och behandlar dem enligt lagen. Vi tillåter inte att våra utomstående serviceleverantörer använder dina personuppgifter för sina egna ändamål och tillåter dem endast att behandla dina personuppgifter för specifika ändamål och enligt de instruktioner vi ger dem.
Förvaring och lagring av data
Littlepay har kontor i Delaware, London och Australien och kan behandla betalningar globalt. Följaktligen kan dina data behandlas i länder utanför jurisdiktionen på orten där du är bosatt, inklusive i länder där du kanske har färre juridiska rättigheter i fråga om dina data än du har enligt lokala lagar. Om du är bosatt inom Europeiska ekonomiska samarbetsområdet (”EES”) eller i Storbritannien (”UK”) kommer vi att när vi överför data utanför EES/UK (i förekommande fall), enligt vad som krävs i tillämplig lag, se till att dina integritetsrättigheter har tillräcklig skydd, genom att: (i) enbart överföra dina personuppgifter till länder som anses ha en tillräcklig dataskyddsnivå i fråga om personuppgifter eller (ii) lämpliga säkerhetsåtgärder, till exempel EU:s standardavtalsklausuler (eller andra klausuler eller säkerhetsåtgärder i fråga om dataöverföring som relevant dataskyddsmyndighet från tid till annan kan godkänna). Kontakta oss på legal@littlepay.com om du vill få mer information om dessa säkerhetsåtgärder.
Vi lagrar dina data så länge vi behöver dem, för de ändamål som anges ovan. Därför varierar tiden då detta behövs, beroende på din interaktion med oss. Vi raderar dina uppgifter när vi inte behöver behålla dem längre. Observera att om du avprenumererar på marknadsföringskommunikation från oss, behåller vi din e-postadress för att se till att vi inte skickar marknadsföringsmeddelanden med e-post till dig.
För att verifiera transaktionen lagrar vi betalningsdata, inklusive kortuppgifter och din adress, i upp till 60 minuter efter behandlingen av en betalning. Vi lagrar dina kortuppgifter, inklusive PAN, typen av betalkort och uppgifter om när kortet upphör att gälla (men aldrig CVV2) i krypterad tokeniserad form, i sju (7) år efter behandlingen av varje betalning. Om du väljer det tillhandahåller vi denna information för framtida transaktioner. Det innebär att du bara behöver ange kortets CVV2.
Om du när du köper en biljett online väljer att vi ska lagra dina betalningsdata för framtida transaktioner (inklusive kontinuerliga betalningsavtal du kanske har med din handlare), sparar vi ditt namn, PAN, typen av betalkort och uppgifter om när kortet upphör att gälla. Denna information krypteras och lagras i form av en krypterad token. Vi behåller inte övriga betalningsdata som du kanske tillhandahåller till oss när du visar din betalningshistorik för kollektivtrafiken online, till exempel faktureringsnamn och -adress och betalkortets CVV2, efter att vi har verifierat dig. Om du väljer att upprätta ett kontinuerligt betalningsavtal med någon av våra handlare är villkoren för detta de som du ingår med handlaren, inklusive vilket belopp som automatiskt ska läggas till på kortet och vid vilket saldo detta belopp ska läggas till. För uppgifter om eventuella kontinuerliga betalningsavtal som du redan har ingått ska du kontakta handlaren du köper biljetten av, eller din bank då så är tillämpligt.
Säkerhet
Vi har vidtagit lämpliga säkerhetsåtgärder för att säkra dina data mot otillåten användning, åtkomst, ändring eller utlämning samt mot oavsiktlig förlust av dessa data. Dessutom begränsar vi åtkomsten till dina data till de anställda, entreprenörer och andra tredje parter som behöver känna till dem av verksamhetsmässiga skäl. De behandlar bara dina data efter instruktioner från oss och har tystnadsplikt.
Vi har i synnerhet vidtagit följande säkerhetsåtgärder:
- Vi efterlever PCI DSS-standarden (Payment Card Industry Data Security Standard, datasäkerhetsstandarden för betalskyddsbranschen) och har särkerhetscertifiering på nivå 1.
- Alla betalkortsdata (PAN, kortinnehavarens namn, giltighetstid och CVV) samlas in med vårt säkra Drop-In UI eller via handlarens säkra system, och skickas till oss via API.
- Varje handlare skapar en onlinekassa, normalt via en utomstående utvecklare, som säkras med vår plattform genom ömsesidiga autentiseringsmekanismer för att säkerställa att de krypterade betalningsmeddelandena som vi tar emot på vår plattform kommer från en legitim källa och part.
- Littlepay krypterar betalningsmeddelandens vidare, med hjälp av kryptografisk teknik som uppfyller branschens standarder och som används allmänt inom betalningsbranschen, enligt följande:
- betalkortsdata tokeniseras,
- varje kunddatauppsättning lagras separat och
- alla betalningstransaktioner behandlas med de tokeniserade betalkortsdata som lagras i ett säkert PCI-DSS-betalkortsvalv.
- Vi behandlar inga känsliga data (t.ex. biometriska data, profileringsdata i omfattande skala, genetiska data eller data om barn).
Länkar till andra webbplatser
Denna integritetspolicy omfattar inte länkarna på denna webbplats som länkar till andra webbplatser. Vi uppmuntrar dig att läsa integritetsmeddelanden på de andra webbplatserna du besöker. Littlepay använder olika förvärvare, t.ex. Valitor hf, en bank som har grundats enligt lagarna på Island, för sina förvärvningstjänster. Valitors integritetspolicy finns här: https://www.valitor.com/about-us/privacy-notice/ Övriga förvärvare som Littlepay kan använda för att tillhandahålla sina tjänster är: Global Payments, Elavon.
Dina rättigheter och val
Juridiska rättigheter
Beroende på jurisdiktionen där du är bosatt kan du under vissa omständigheter ha vissa rättigheter i fråga om dina data, inklusive:
- rätten att få tillgång till dina personuppgifter
- rätten att begära att dina personuppgifter rättas
- rätten att begära att dina personuppgifter tas bort
- rätten att begära att dina personuppgifter begränsas
- rätten att återta ditt samtycke till behandlingen av dina personuppgifter och
- rätten att begära att dina personuppgifter överförs.
Du kan även under vissa omständigheter ha rätt att invända mot att dina data används för vissa ändamål, inklusive för att skicka marknadsföring till dig. Mer information om hur du väljer bort marknadsföring får du nedan, vid Marknadsföring.
Vi tillmötesgår alla dina begäranden om att använda dina rättigheter, i enlighet med gällande lag. Du bör ändå vara medveten om att dina rättigheter omfattas av flera olika begränsningar och att det kan förekomma omständigheter då vi inte kan tillmötesgå din begäran. Kontakta oss med hjälp av uppgifterna nedan om du vill lämna in en begäran i fråga om dina data eller om du har frågor eller funderingar kring dina data.
Om du är bosatt i EES eller UK och har ett klagomål angående behandlingen av data, har du rätt att kontakta tillsynsmyndigheten för dataskydd. Då så är möjligt uppskattar vi ändå möjligheten att handskas med dina bekymmer innan du kontaktar tillsynsmyndigheten, så vi ber att du först kontaktar oss.
Om du är bosatt i Kalifornien i USA ber vi att du läser California privacy notice nedan.
Marknadsföring
Beroende på din relation till oss kan vi emellanåt skicka marknadsföring till dig. Om du är kund eller partner kan vi skicka dessa marknadsföringsmeddelanden baserat på vårt berättigade intresse. Om du inte har någon tidigare relation till oss ber vi om ditt samtycke till att vi skickar marknadsföringsmeddelanden till dig.
Om du inte längre vill höra från oss ber vi att du använder uppgifterna i marknadsföringsmeddelandena till att avprenumerera på dem, eller att du kontaktar oss på legal@littlepay.com och skriver ”Unsubscribe” (avprenumerera) på ämnesraden.
Kontakta oss
Om du har frågor om något som rör integritetspolicyn får du gärna kontakta vårt dataskyddsombud med e-post på legal@littlepay.com eller med brev till något av våra kontor.
VeraSafe har utsetts till Littlepays representant för dataskyddsfrågor inom Europeiska unionen, i enlighet med artikel 27 i Europeiska unionens allmänna dataskyddsförordning (GDPR). Om du befinner dig inom Europeiska ekonomiska samarbetsområdet kan du förutom Littlepay enbart kontakta VeraSafe i fråga om behandlingen av personuppgifter.
Om du vill lämna in en sådan förfrågan kontaktar du VeraSafe med detta kontaktformulär: https://verasafe.com/public-resources/contactdata-protection-representative eller på telefon: +420 228 881 031. Alternativt kan du kontakta VeraSafe på: VeraSafe Ireland Ltd. Unit 3D North Point House North Point Business Park New Mallow Road Cork T23AT2P Irland.
Ändringar i integritetspolicyn
Vi förbehåller oss rätten att uppdatera denna integritetspolicy när som helst och vi placerar den uppdaterade informationen här. I början av detta integritetsmeddelande berättar vi när vi senast uppdaterade meddelandet. Vi uppmuntrar dig att kontrollera eventuella ändringar på sidan regelbundet. Genom att fortsätta använda tjänsterna bekräftar du att du har läst och förstått den senaste versionen av integritetspolicyn.
California Privacy Notice
I det här avsnittet får du ytterligare information om de personuppgifter (begreppet personal information i California Consumer Privacy Act (CCPA)) vi samlar in från konsumenter i Kalifornien, samt om begäranden som konsumenter i Kalifornien kan göra i fråga om sina personuppgifter.
Observera att detta avsnitt bara gäller information som Littlepay innehar i form av ”företag”. Om Littlepay behandlar dina uppgifter för en handlares räkning, som ”tjänsteleverantör” ska du kontakta handlaren för att få veta mer om dina rättigheter i fråga om dina personuppgifter.
Så samlar vi in, använder vi och lämnar vi ut dina personuppgifter. Avsnittet ”Vilka data samlar vi in?” ovan beskriver de personuppgiftskategorier som vi eventuellt har samlat in under de senaste 12 månaderna. Vi samlar in uppgifter för de ändamål som beskrivs i ”Till vad använder vi dessa data?” och vi delar uppgifterna enligt vad som beskrivs i avsnittet ”Med vilka delar vi dessa personuppgifter?”.
Begäranden som rör dina personuppgifter. Konsumenter i Kalifornien kan göra följande begäranden i fråga om sina personuppgifter:
- en lista över de kategorier av personuppgifter som vi har samlat in om dig, samt källorna som informationen kommer från, ändamålen vi samlar in uppgifterna för och kategorierna av utomstående som vi delar uppgifterna med
- den specifika information vi har samlat in om dig
- borttagande av personuppgifter som vi har samlat in av dig (förutom de undantag som tillåts i tillämplig lag).
Observera att vi behöver begära information av dig för att verifiera din identitet innan vi kan svara på din begäran.
Försäljning av information. Under de senaste 12 månaderna har Littlepay inte ”sålt” (enligt definitionen i CCPA) information om konsumenterna enligt vad som avses i CCPA.
Shine the Light. Kaliforniens Shine the Light-lag har de som är bosatta i Kalifornien rätt att under vissa omständigheter begära information av oss om hur vi delar vissa kategorier av personuppgifter (enligt definitionen i Shine the Light-lagen) med tredje parter för deras direktmarknadsföring. Vi delar inte dina personuppgifter med tredje parter för deras direktmarknadsföring.