Privacy Policy

Personvernerklæring for Drop

Sist oppdatert: 2. mars 2026 Behandlingsansvarlig: ALAI Holding AS, org.nr. 932 516 136 Kontakt: personvern@getdrop.no Nettsted: https://getdrop.no

---

1. Innledning

Denne personvernerklæringen beskriver hvordan ALAI Holding AS («vi», «oss», «selskapet») behandler personopplysninger i forbindelse med betalingstjenesten Drop. Erklæringen er utarbeidet i samsvar med EUs personvernforordning (GDPR) artikkel 13 og 14, samt den norske personopplysningsloven (LOV-2018-06-15-38).

Drop er en betalingstjeneste som tilbyr pengeoverføring til utlandet og QR-betalinger i butikk, tilgjengelig for alle innbyggere i Norge. Tjenesten opererer etter en pass-through-modell under PSD2 (EU-direktiv 2015/2366) og behandler aldri kundemidler direkte.

---

2. Behandlingsansvarlig

ALAI Holding AS er behandlingsansvarlig for personopplysningene som behandles gjennom Drop-tjenesten, jf. GDPR artikkel 4 nr. 7.

Kontaktinformasjon:

• Selskap: ALAI Holding AS
• Organisasjonsnummer: 932 516 136
• E-post: personvern@getdrop.no
• Adresse: Se Brønnøysundregistrene

---

3. Personvernombud

I henhold til GDPR artikkel 37 og personopplysningsloven (LOV-2018-06-15-38) har selskapet utnevnt et personvernombud (DPO). Gitt at selskapet behandler betalingsopplysninger og finansielle data i stor skala, er personvernombud formelt oppnevnt per 2. mars 2026.

Personvernombud: Alem Bašić Selskap: ALAI Holding AS (org.nr. 932 953 736) E-post: alem@alai.no Telefon: +47 40 47 42 51 Oppnevnt: 2. mars 2026 — jf. GDPR artikkel 37–39 og personopplysningsloven § 23

---

4. Kategorier av personopplysninger

4.1 Identifikasjonsopplysninger

• Fullt navn (fra BankID)
• Fødselsnummer (fra BankID, kun for identitetsverifisering)
• Fødselsdato (utledet fra fødselsnummer for aldersverifisering, 18+)
• BankID-referanse

4.2 Kontaktopplysninger

• Mobilnummer (+47)
• E-postadresse
• Postadresse (ved behov)

4.3 Finansielle opplysninger

• Bankkontonummer (via PSD2 AISP)
• Kontosaldo (via PSD2 AISP, kun ved brukerens samtykke)
• Transaksjonshistorikk i Drop
• Betalingsmottakere og beløp
• Valutainformasjon ved utenlandsoverføringer
• Mottakerens bankopplysninger (for remittance)

4.4 Tekniske opplysninger

• IP-adresse
• Enhetsidentifikator (device ID)
• Operativsystem og appversjon
• Innloggings- og autentiseringslogger
• Brukeragent (browser/app)

4.5 Bruksmønster

• Tidspunkt for pålogging og transaksjoner
• Navigasjon i appen (anonymisert)
• Feillogger og krasjrapporter
• Push-varslingsinnstillinger

4.6 KYC/AML-relaterte opplysninger

• Legitimasjonsdokumenter (ved forsterket kundekontroll)
• PEP-status (politisk eksponert person)
• Sanksjonslistekontroll-resultater
• Risikoklassifisering

---

5. Rettslig grunnlag for behandlingen

Vi behandler personopplysninger på følgende rettslige grunnlag, jf. GDPR artikkel 6:

5.1 Oppfyllelse av avtale — GDPR art. 6(1)(b)

• Gjennomføring av betalingstransaksjoner
• Kontoadministrasjon og brukerprofilhåndtering
• Transaksjonshistorikk og kvitteringer
• Push-varsler om transaksjoner
• Kundeservice

5.2 Rettslig forpliktelse — GDPR art. 6(1)(c)

• Hvitvaskingsloven (LOV-2018-06-01-23) §§ 4, 10-18 — kundekontroll
• Bokføringsloven (LOV-2004-11-19-73) § 13 — oppbevaring av regnskapsdokumentasjon
• Betalingssystemloven og PSD2-forordningen
• Personopplysningsloven — pliktig informasjon til den registrerte
• Skatteforvaltningsloven — rapportering til skattemyndighetene

5.3 Samtykke — GDPR art. 6(1)(a)

• Tilgang til kontosaldo via PSD2 AISP
• Markedsføringskommunikasjon
• Bruk av cookies utover det som er strengt nødvendig
• Deling av anonymiserte data for analyseformål

5.4 Berettiget interesse — GDPR art. 6(1)(f)

• Svindelforebygging og sikkerhetsovervåking
• Forbedring av tjenesten basert på anonymisert bruksdata
• Feilretting og teknisk feilsøking
• Intern statistikk og rapportering

For behandling basert på berettiget interesse har vi gjennomført interesseavveining (LIA) i henhold til GDPR artikkel 6(1)(f). Dokumentasjon er tilgjengelig på forespørsel.

---

6. Formål med behandlingen

Formål	Rettslig grunnlag	Oppbevaringstid
Brukerregistrering og identitetsverifisering	Avtale, rettslig forpliktelse	Kontoens levetid + 5 år
Gjennomføring av betalinger og overføringer	Avtale	5 år (bokføringsloven)
Kundekontroll (KYC/AML)	Rettslig forpliktelse	5 år etter kundeforholdets opphør (hvvl. § 30)
Svindelforebygging	Berettiget interesse	3 år etter hendelse
Kundeservice og klagebehandling	Avtale, rettslig forpliktelse	3 år etter avslutning
Markedsføring	Samtykke	Til samtykke trekkes tilbake
Teknisk drift og feilretting	Berettiget interesse	12 måneder
Lovpålagt rapportering	Rettslig forpliktelse	I henhold til gjeldende lov

---

7. Deling av personopplysninger

7.1 Kategorier av mottakere

Vi deler personopplysninger med følgende kategorier av mottakere:

Betalingsinfrastruktur (nødvendig for tjenesten):

• Open Banking-leverandører (PSD2 PISP/AISP) — for å initiere betalinger og lese kontoinformasjon
• Korrespondentbanker i mottakerland — for gjennomføring av utenlandsoverføringer
• Betalingsnettverk — for QR-betalingsbehandling

Regulatoriske myndigheter (rettslig forpliktelse):

• Finanstilsynet — tilsynsrapportering
• Datatilsynet — ved forespørsel eller avvik
• Økokrim/politiet — ved mistanke om hvitvasking eller terrorfinansiering
• Skattemyndighetene — lovpålagt rapportering

Tjenesteleverandører (databehandlere):

• Skyinfrastrukturleverandører (hosting)
• Kundeserviceplattform
• Analyseverktøy (anonymiserte data)
• BankID-leverandør (autentisering)

7.2 Databehandleravtaler

Alle databehandlere har inngått databehandleravtale (DPA) i samsvar med GDPR artikkel 28. Databehandleravtalene regulerer:

• Formålet med behandlingen
• Instrukser fra behandlingsansvarlig
• Sikkerhetstiltak
• Underdatabehandlere
• Bistandsplikt ved utøvelse av den registrertes rettigheter
• Sletting/tilbakelevering ved opphør

---

8. Overføring til tredjeland

8.1 Overføringer innenfor EØS

Personopplysninger behandles primært innenfor EØS-området. All skyinfrastruktur er lokalisert i EU/EØS.

8.2 Overføringer utenfor EØS

Ved utenlandsoverføringer (remittance) til land utenfor EØS er det nødvendig å overføre begrensede personopplysninger til mottakerens bank eller betalingsformidler. Dette gjelder:

• Mottakerens navn og kontonummer
• Avsenderens navn (lovpålagt ved internasjonale overføringer)
• Beløp og valuta

Overføringsgrunnlag:

• EU-kommisjonens standard personvernbestemmelser (SCCs) — jf. GDPR artikkel 46(2)(c), vedtak (EU) 2021/914 av 4. juni 2021
• Adekvansbeslutninger — for land med tilstrekkelig beskyttelsesnivå, jf. GDPR artikkel 45
• Nødvendig for oppfyllelse av avtale — jf. GDPR artikkel 49(1)(b), der andre grunnlag ikke er tilgjengelige

8.3 Transfer Impact Assessment (TIA)

For overføringer til tredjeland uten adekvansbeslutning har vi gjennomført Transfer Impact Assessment i henhold til Schrems II-avgjørelsen (C-311/18). Vurderingen omfatter:

• Lovgivningen i mottakerlandet vedrørende myndighetstilgang
• Tekniske og organisatoriske tilleggstiltak
• Praktisk erfaring med myndigheters tilgangsforespørsler

Dokumentasjon av TIA er tilgjengelig på forespørsel til dpo@getdrop.no.

---

9. Oppbevaringstid og sletting

Vi oppbevarer personopplysninger kun så lenge det er nødvendig for formålet med behandlingen, eller så lenge vi er rettslig forpliktet til det.

9.1 Hovedprinsipper

• Dataminimering: Vi samler kun inn opplysninger som er nødvendige for formålet, jf. GDPR artikkel 5(1)(c).
• Lagringsminimering: Opplysninger slettes når formålet er oppfylt, jf. GDPR artikkel 5(1)(e).
• Automatisk sletting: Systemer er konfigurert for automatisk sletting ved utløp av oppbevaringstid.

9.2 Spesifikke oppbevaringstider

Datakategori	Oppbevaringstid	Hjemmel
Transaksjonsdata	5 år etter regnskapsårets slutt	Bokføringsloven § 13
KYC/AML-dokumentasjon	5 år etter kundeforholdets opphør	Hvitvaskingsloven § 30
Innloggingslogger	12 måneder	Berettiget interesse
Kundeservicehenvendelser	3 år etter avslutning	Avtale, foreldelsesloven
Markedsføringssamtykker	Til tilbaketrekking + 1 år dokumentasjon	GDPR art. 7(1)
Tekniske logger	6 måneder	Berettiget interesse
IP-adresser	3 måneder	Berettiget interesse

9.3 Sletteprosedyre

Ved sletting sørger vi for at personopplysninger fjernes fra alle systemer, inkludert sikkerhetskopier, innen rimelig tid (maksimalt 30 dager etter oppbevaringstidens utløp for sikkerhetskopier).

---

10. Den registrertes rettigheter

I henhold til GDPR kapittel III har du følgende rettigheter:

10.1 Rett til innsyn (art. 15)

Du har rett til å få bekreftet om vi behandler personopplysninger om deg, og i så fall få tilgang til opplysningene samt informasjon om behandlingen. Første kopi er gratis.

10.2 Rett til retting (art. 16)

Du har rett til å få uriktige personopplysninger om deg rettet uten ugrunnet opphold.

10.3 Rett til sletting (art. 17)

Du har rett til å få slettet personopplysninger om deg dersom:

• Opplysningene ikke lenger er nødvendige for formålet
• Du trekker tilbake samtykket
• Du protesterer mot behandlingen
• Opplysningene er behandlet ulovlig

Unntak: Sletting kan nektes dersom behandlingen er nødvendig for å oppfylle en rettslig forpliktelse (f.eks. hvitvaskingsloven, bokføringsloven).

10.4 Rett til begrensning (art. 18)

Du har rett til å kreve at behandlingen begrenses i visse situasjoner, for eksempel mens riktigheten av opplysningene kontrolleres.

10.5 Rett til dataportabilitet (art. 20)

Du har rett til å motta personopplysninger du har gitt oss i et strukturert, alminnelig brukt og maskinlesbart format (JSON/CSV), og til å overføre disse til en annen behandlingsansvarlig.

10.6 Rett til å protestere (art. 21)

Du har rett til å protestere mot behandling basert på berettiget interesse. Vi vil da stanse behandlingen med mindre vi kan påvise tvingende berettigede grunner som går foran dine interesser.

10.7 Rett til ikke å bli gjenstand for automatiserte avgjørelser (art. 22)

Du har rett til ikke å bli gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, inkludert profilering, som har rettsvirkning eller tilsvarende betydelig påvirkning.

Drop benytter automatiserte systemer for svindeldeteksjon. Ved automatisk avvisning av en transaksjon har du rett til:

• Manuell gjennomgang av avgjørelsen
• Å uttrykke ditt synspunkt
• Å bestride avgjørelsen

10.8 Rett til å trekke tilbake samtykke (art. 7(3))

Der behandling er basert på samtykke, kan du når som helst trekke dette tilbake. Tilbaketrekking påvirker ikke lovligheten av behandling som fant sted før tilbaketrekkingen.

---

11. Utøvelse av rettigheter

11.1 Hvordan utøve rettighetene

Henvendelser om utøvelse av rettigheter kan sendes til:

• E-post: personvern@getdrop.no
• I appen: Under Innstillinger > Personvern > Mine rettigheter
• Post: ALAI Holding AS, [adresse], Norge

11.2 Identitetsverifisering

For å beskytte dine opplysninger vil vi verifisere din identitet ved rettighetskrav, normalt gjennom BankID.

11.3 Svartid

Vi besvarer henvendelser uten ugrunnet opphold, og senest innen 30 dager, jf. GDPR artikkel 12(3). Ved komplekse eller mange forespørsler kan fristen forlenges med ytterligere 60 dager, med informasjon til deg innen den første 30-dagersperioden.

11.4 Kostnad

Utøvelse av rettigheter er i utgangspunktet gratis. Ved åpenbart grunnløse eller overdrevne krav kan vi kreve et rimelig gebyr eller nekte å etterkomme forespørselen, jf. GDPR artikkel 12(5).

---

12. Informasjonssikkerhet

Vi har implementert egnede tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger, jf. GDPR artikkel 32:

• Kryptering: All dataoverføring er kryptert med TLS 1.3. Data i hvile er kryptert med AES-256.
• Tilgangskontroll: Rollebasert tilgangsstyring (RBAC), prinsippet om minste privilegium.
• Autentisering: BankID for brukere, MFA for ansatte.
• Logging: Komplett revisjonslogg for all tilgang til personopplysninger.
• Sårbarhetshåndtering: Regelmessig penetrasjonstesting og sårbarhetsskanning.
• Hendelseshåndtering: Etablerte prosedyrer for håndtering av sikkerhetsbrudd.

Se vår IKT-sikkerhetspolicy for utfyllende informasjon.

---

13. Personvernbrudd

Ved brudd på personopplysningssikkerheten vil vi:

1. Melde til Datatilsynet innen 72 timer etter at bruddet ble oppdaget, jf. GDPR artikkel 33, med mindre bruddet sannsynligvis ikke medfører risiko for den registrertes rettigheter.
2. Informere berørte registrerte uten ugrunnet opphold dersom bruddet sannsynligvis medfører høy risiko, jf. GDPR artikkel 34.
3. Dokumentere alle brudd, uavhengig av alvorlighetsgrad, inkludert fakta, virkninger og korrigerende tiltak.

---

14. Cookies og sporingsteknikker

Drop-appen benytter ikke tredjeparts sporingsteknikker. For nettsiden getdrop.no gjelder:

14.1 Nødvendige cookies

• Sesjonscookies for autentisering
• Sikkerhetscookies (CSRF-beskyttelse)
• Disse krever ikke samtykke, jf. ekomloven § 2-7b.

14.2 Analytiske cookies (krever samtykke)

• Anonymisert bruksstatistikk
• Aktiveres kun etter eksplisitt samtykke via cookiebanner

14.3 Markedsføringscookies (krever samtykke)

• Kun ved eksplisitt samtykke
• Kan til enhver tid trekkes tilbake via cookieinnstillinger

---

15. Endringer i erklæringen

Vi kan oppdatere denne personvernerklæringen ved behov. Ved vesentlige endringer vil vi informere deg via:

• Push-varsling i appen
• E-post til registrert e-postadresse
• Melding ved neste pålogging

Alle versjoner arkiveres og er tilgjengelige på forespørsel.

---

16. Klageadgang

Dersom du mener at vår behandling av personopplysninger bryter med personvernlovgivningen, har du rett til å klage til:

Datatilsynet Postboks 458 Sentrum 0105 Oslo Telefon: 22 39 69 00 E-post: postkasse@datatilsynet.no Nettsted: https://www.datatilsynet.no

Du har også rett til å klage til tilsynsmyndigheten i det EØS-landet der du bor eller arbeider, jf. GDPR artikkel 77.

---

17. Kontakt oss

For spørsmål om denne personvernerklæringen eller vår behandling av personopplysninger:

• Generelt: personvern@getdrop.no
• Personvernombud: Alem Bašić — alem@alai.no — +47 40 47 42 51
• Post: ALAI Holding AS, [adresse], Norge

---

Denne personvernerklæringen er sist oppdatert 2. mars 2026.