Privacy Policy Personvernerklæring for Drop Sist oppdatert: 2. mars 2026 Behandlingsansvarlig: ALAI Holding AS, org.nr. 932 516 136 Kontakt: personvern@getdrop.no Nettsted: https://getdrop.no 1. Innledning Denne personvernerklæringen beskriver hvordan ALAI Holding AS («vi», «oss», «selskapet») behandler personopplysninger i forbindelse med betalingstjenesten Drop. Erklæringen er utarbeidet i samsvar med EUs personvernforordning (GDPR) artikkel 13 og 14, samt den norske personopplysningsloven (LOV-2018-06-15-38). Drop er en betalingstjeneste som tilbyr pengeoverføring til utlandet og QR-betalinger i butikk, tilgjengelig for alle innbyggere i Norge. Tjenesten opererer etter en pass-through-modell under PSD2 (EU-direktiv 2015/2366) og behandler aldri kundemidler direkte. 2. Behandlingsansvarlig ALAI Holding AS er behandlingsansvarlig for personopplysningene som behandles gjennom Drop-tjenesten, jf. GDPR artikkel 4 nr. 7. Kontaktinformasjon: Selskap: ALAI Holding AS Organisasjonsnummer: 932 516 136 E-post: personvern@getdrop.no Adresse: Se Brønnøysundregistrene 3. Personvernombud I henhold til GDPR artikkel 37 og personopplysningsloven (LOV-2018-06-15-38) har selskapet utnevnt et personvernombud (DPO). Gitt at selskapet behandler betalingsopplysninger og finansielle data i stor skala, er personvernombud formelt oppnevnt per 2. mars 2026. Personvernombud: Alem Bašić Selskap: ALAI Holding AS (org.nr. 932 953 736) E-post: alem@alai.no Telefon: +47 40 47 42 51 Oppnevnt: 2. mars 2026 — jf. GDPR artikkel 37–39 og personopplysningsloven § 23 4. Kategorier av personopplysninger 4.1 Identifikasjonsopplysninger Fullt navn (fra BankID) Fødselsnummer (fra BankID, kun for identitetsverifisering) Fødselsdato (utledet fra fødselsnummer for aldersverifisering, 18+) BankID-referanse 4.2 Kontaktopplysninger Mobilnummer (+47) E-postadresse Postadresse (ved behov) 4.3 Finansielle opplysninger Bankkontonummer (via PSD2 AISP) Kontosaldo (via PSD2 AISP, kun ved brukerens samtykke) Transaksjonshistorikk i Drop Betalingsmottakere og beløp Valutainformasjon ved utenlandsoverføringer Mottakerens bankopplysninger (for remittance) 4.4 Tekniske opplysninger IP-adresse Enhetsidentifikator (device ID) Operativsystem og appversjon Innloggings- og autentiseringslogger Brukeragent (browser/app) 4.5 Bruksmønster Tidspunkt for pålogging og transaksjoner Navigasjon i appen (anonymisert) Feillogger og krasjrapporter Push-varslingsinnstillinger 4.6 KYC/AML-relaterte opplysninger Legitimasjonsdokumenter (ved forsterket kundekontroll) PEP-status (politisk eksponert person) Sanksjonslistekontroll-resultater Risikoklassifisering 5. Rettslig grunnlag for behandlingen Vi behandler personopplysninger på følgende rettslige grunnlag, jf. GDPR artikkel 6: 5.1 Oppfyllelse av avtale — GDPR art. 6(1)(b) Gjennomføring av betalingstransaksjoner Kontoadministrasjon og brukerprofilhåndtering Transaksjonshistorikk og kvitteringer Push-varsler om transaksjoner Kundeservice 5.2 Rettslig forpliktelse — GDPR art. 6(1)(c) Hvitvaskingsloven (LOV-2018-06-01-23) §§ 4, 10-18 — kundekontroll Bokføringsloven (LOV-2004-11-19-73) § 13 — oppbevaring av regnskapsdokumentasjon Betalingssystemloven og PSD2-forordningen Personopplysningsloven — pliktig informasjon til den registrerte Skatteforvaltningsloven — rapportering til skattemyndighetene 5.3 Samtykke — GDPR art. 6(1)(a) Tilgang til kontosaldo via PSD2 AISP Markedsføringskommunikasjon Bruk av cookies utover det som er strengt nødvendig Deling av anonymiserte data for analyseformål 5.4 Berettiget interesse — GDPR art. 6(1)(f) Svindelforebygging og sikkerhetsovervåking Forbedring av tjenesten basert på anonymisert bruksdata Feilretting og teknisk feilsøking Intern statistikk og rapportering For behandling basert på berettiget interesse har vi gjennomført interesseavveining (LIA) i henhold til GDPR artikkel 6(1)(f). Dokumentasjon er tilgjengelig på forespørsel. 6. Formål med behandlingen Formål Rettslig grunnlag Oppbevaringstid Brukerregistrering og identitetsverifisering Avtale, rettslig forpliktelse Kontoens levetid + 5 år Gjennomføring av betalinger og overføringer Avtale 5 år (bokføringsloven) Kundekontroll (KYC/AML) Rettslig forpliktelse 5 år etter kundeforholdets opphør (hvvl. § 30) Svindelforebygging Berettiget interesse 3 år etter hendelse Kundeservice og klagebehandling Avtale, rettslig forpliktelse 3 år etter avslutning Markedsføring Samtykke Til samtykke trekkes tilbake Teknisk drift og feilretting Berettiget interesse 12 måneder Lovpålagt rapportering Rettslig forpliktelse I henhold til gjeldende lov 7. Deling av personopplysninger 7.1 Kategorier av mottakere Vi deler personopplysninger med følgende kategorier av mottakere: Betalingsinfrastruktur (nødvendig for tjenesten): Open Banking-leverandører (PSD2 PISP/AISP) — for å initiere betalinger og lese kontoinformasjon Korrespondentbanker i mottakerland — for gjennomføring av utenlandsoverføringer Betalingsnettverk — for QR-betalingsbehandling Regulatoriske myndigheter (rettslig forpliktelse): Finanstilsynet — tilsynsrapportering Datatilsynet — ved forespørsel eller avvik Økokrim/politiet — ved mistanke om hvitvasking eller terrorfinansiering Skattemyndighetene — lovpålagt rapportering Tjenesteleverandører (databehandlere): Skyinfrastrukturleverandører (hosting) Kundeserviceplattform Analyseverktøy (anonymiserte data) BankID-leverandør (autentisering) 7.2 Databehandleravtaler Alle databehandlere har inngått databehandleravtale (DPA) i samsvar med GDPR artikkel 28. Databehandleravtalene regulerer: Formålet med behandlingen Instrukser fra behandlingsansvarlig Sikkerhetstiltak Underdatabehandlere Bistandsplikt ved utøvelse av den registrertes rettigheter Sletting/tilbakelevering ved opphør 8. Overføring til tredjeland 8.1 Overføringer innenfor EØS Personopplysninger behandles primært innenfor EØS-området. All skyinfrastruktur er lokalisert i EU/EØS. 8.2 Overføringer utenfor EØS Ved utenlandsoverføringer (remittance) til land utenfor EØS er det nødvendig å overføre begrensede personopplysninger til mottakerens bank eller betalingsformidler. Dette gjelder: Mottakerens navn og kontonummer Avsenderens navn (lovpålagt ved internasjonale overføringer) Beløp og valuta Overføringsgrunnlag: EU-kommisjonens standard personvernbestemmelser (SCCs) — jf. GDPR artikkel 46(2)(c), vedtak (EU) 2021/914 av 4. juni 2021 Adekvansbeslutninger — for land med tilstrekkelig beskyttelsesnivå, jf. GDPR artikkel 45 Nødvendig for oppfyllelse av avtale — jf. GDPR artikkel 49(1)(b), der andre grunnlag ikke er tilgjengelige 8.3 Transfer Impact Assessment (TIA) For overføringer til tredjeland uten adekvansbeslutning har vi gjennomført Transfer Impact Assessment i henhold til Schrems II-avgjørelsen (C-311/18). Vurderingen omfatter: Lovgivningen i mottakerlandet vedrørende myndighetstilgang Tekniske og organisatoriske tilleggstiltak Praktisk erfaring med myndigheters tilgangsforespørsler Dokumentasjon av TIA er tilgjengelig på forespørsel til dpo@getdrop.no. 9. Oppbevaringstid og sletting Vi oppbevarer personopplysninger kun så lenge det er nødvendig for formålet med behandlingen, eller så lenge vi er rettslig forpliktet til det. 9.1 Hovedprinsipper Dataminimering: Vi samler kun inn opplysninger som er nødvendige for formålet, jf. GDPR artikkel 5(1)(c). Lagringsminimering: Opplysninger slettes når formålet er oppfylt, jf. GDPR artikkel 5(1)(e). Automatisk sletting: Systemer er konfigurert for automatisk sletting ved utløp av oppbevaringstid. 9.2 Spesifikke oppbevaringstider Datakategori Oppbevaringstid Hjemmel Transaksjonsdata 5 år etter regnskapsårets slutt Bokføringsloven § 13 KYC/AML-dokumentasjon 5 år etter kundeforholdets opphør Hvitvaskingsloven § 30 Innloggingslogger 12 måneder Berettiget interesse Kundeservicehenvendelser 3 år etter avslutning Avtale, foreldelsesloven Markedsføringssamtykker Til tilbaketrekking + 1 år dokumentasjon GDPR art. 7(1) Tekniske logger 6 måneder Berettiget interesse IP-adresser 3 måneder Berettiget interesse 9.3 Sletteprosedyre Ved sletting sørger vi for at personopplysninger fjernes fra alle systemer, inkludert sikkerhetskopier, innen rimelig tid (maksimalt 30 dager etter oppbevaringstidens utløp for sikkerhetskopier). 10. Den registrertes rettigheter I henhold til GDPR kapittel III har du følgende rettigheter: 10.1 Rett til innsyn (art. 15) Du har rett til å få bekreftet om vi behandler personopplysninger om deg, og i så fall få tilgang til opplysningene samt informasjon om behandlingen. Første kopi er gratis. 10.2 Rett til retting (art. 16) Du har rett til å få uriktige personopplysninger om deg rettet uten ugrunnet opphold. 10.3 Rett til sletting (art. 17) Du har rett til å få slettet personopplysninger om deg dersom: Opplysningene ikke lenger er nødvendige for formålet Du trekker tilbake samtykket Du protesterer mot behandlingen Opplysningene er behandlet ulovlig Unntak: Sletting kan nektes dersom behandlingen er nødvendig for å oppfylle en rettslig forpliktelse (f.eks. hvitvaskingsloven, bokføringsloven). 10.4 Rett til begrensning (art. 18) Du har rett til å kreve at behandlingen begrenses i visse situasjoner, for eksempel mens riktigheten av opplysningene kontrolleres. 10.5 Rett til dataportabilitet (art. 20) Du har rett til å motta personopplysninger du har gitt oss i et strukturert, alminnelig brukt og maskinlesbart format (JSON/CSV), og til å overføre disse til en annen behandlingsansvarlig. 10.6 Rett til å protestere (art. 21) Du har rett til å protestere mot behandling basert på berettiget interesse. Vi vil da stanse behandlingen med mindre vi kan påvise tvingende berettigede grunner som går foran dine interesser. 10.7 Rett til ikke å bli gjenstand for automatiserte avgjørelser (art. 22) Du har rett til ikke å bli gjenstand for en avgjørelse som utelukkende er basert på automatisert behandling, inkludert profilering, som har rettsvirkning eller tilsvarende betydelig påvirkning. Drop benytter automatiserte systemer for svindeldeteksjon. Ved automatisk avvisning av en transaksjon har du rett til: Manuell gjennomgang av avgjørelsen Å uttrykke ditt synspunkt Å bestride avgjørelsen 10.8 Rett til å trekke tilbake samtykke (art. 7(3)) Der behandling er basert på samtykke, kan du når som helst trekke dette tilbake. Tilbaketrekking påvirker ikke lovligheten av behandling som fant sted før tilbaketrekkingen. 11. Utøvelse av rettigheter 11.1 Hvordan utøve rettighetene Henvendelser om utøvelse av rettigheter kan sendes til: E-post: personvern@getdrop.no I appen: Under Innstillinger > Personvern > Mine rettigheter Post: ALAI Holding AS, [adresse], Norge 11.2 Identitetsverifisering For å beskytte dine opplysninger vil vi verifisere din identitet ved rettighetskrav, normalt gjennom BankID. 11.3 Svartid Vi besvarer henvendelser uten ugrunnet opphold, og senest innen 30 dager, jf. GDPR artikkel 12(3). Ved komplekse eller mange forespørsler kan fristen forlenges med ytterligere 60 dager, med informasjon til deg innen den første 30-dagersperioden. 11.4 Kostnad Utøvelse av rettigheter er i utgangspunktet gratis. Ved åpenbart grunnløse eller overdrevne krav kan vi kreve et rimelig gebyr eller nekte å etterkomme forespørselen, jf. GDPR artikkel 12(5). 12. Informasjonssikkerhet Vi har implementert egnede tekniske og organisatoriske sikkerhetstiltak for å beskytte personopplysninger, jf. GDPR artikkel 32: Kryptering: All dataoverføring er kryptert med TLS 1.3. Data i hvile er kryptert med AES-256. Tilgangskontroll: Rollebasert tilgangsstyring (RBAC), prinsippet om minste privilegium. Autentisering: BankID for brukere, MFA for ansatte. Logging: Komplett revisjonslogg for all tilgang til personopplysninger. Sårbarhetshåndtering: Regelmessig penetrasjonstesting og sårbarhetsskanning. Hendelseshåndtering: Etablerte prosedyrer for håndtering av sikkerhetsbrudd. Se vår IKT-sikkerhetspolicy for utfyllende informasjon. 13. Personvernbrudd Ved brudd på personopplysningssikkerheten vil vi: Melde til Datatilsynet innen 72 timer etter at bruddet ble oppdaget, jf. GDPR artikkel 33, med mindre bruddet sannsynligvis ikke medfører risiko for den registrertes rettigheter. Informere berørte registrerte uten ugrunnet opphold dersom bruddet sannsynligvis medfører høy risiko, jf. GDPR artikkel 34. Dokumentere alle brudd, uavhengig av alvorlighetsgrad, inkludert fakta, virkninger og korrigerende tiltak. 14. Cookies og sporingsteknikker Drop-appen benytter ikke tredjeparts sporingsteknikker. For nettsiden getdrop.no gjelder: 14.1 Nødvendige cookies Sesjonscookies for autentisering Sikkerhetscookies (CSRF-beskyttelse) Disse krever ikke samtykke, jf. ekomloven § 2-7b. 14.2 Analytiske cookies (krever samtykke) Anonymisert bruksstatistikk Aktiveres kun etter eksplisitt samtykke via cookiebanner 14.3 Markedsføringscookies (krever samtykke) Kun ved eksplisitt samtykke Kan til enhver tid trekkes tilbake via cookieinnstillinger 15. Endringer i erklæringen Vi kan oppdatere denne personvernerklæringen ved behov. Ved vesentlige endringer vil vi informere deg via: Push-varsling i appen E-post til registrert e-postadresse Melding ved neste pålogging Alle versjoner arkiveres og er tilgjengelige på forespørsel. 16. Klageadgang Dersom du mener at vår behandling av personopplysninger bryter med personvernlovgivningen, har du rett til å klage til: Datatilsynet Postboks 458 Sentrum 0105 Oslo Telefon: 22 39 69 00 E-post: postkasse@datatilsynet.no Nettsted: https://www.datatilsynet.no Du har også rett til å klage til tilsynsmyndigheten i det EØS-landet der du bor eller arbeider, jf. GDPR artikkel 77. 17. Kontakt oss For spørsmål om denne personvernerklæringen eller vår behandling av personopplysninger: Generelt: personvern@getdrop.no Personvernombud: Alem Bašić — alem@alai.no — +47 40 47 42 51 Post: ALAI Holding AS, [adresse], Norge Denne personvernerklæringen er sist oppdatert 2. mars 2026.