Genom Stripes Financial Connections (”Tjänsten”) kan du få tillgång till slutanvändardata för att stödja de produkter och tjänster som du tillhandahåller dina slutanvändare. Tillgång till dina slutanvändares data bör ges på ett sätt som är förenligt med tillämplig lag och ger användaren kontroll över och transparens angående data som samlas in, hur de används och hur de kan delas. Du bör kontrollera med ditt juridiska ombud för att förstå dina skyldigheter med avseende på att använda tjänsten, men här är några specifika exempel på skyldigheter som kan gälla inom vissa områden som du bör tänka på.
Erhålla samtycke från slutanvändare
Att erhålla giltigt samtycke från dina slutanvändare för att få tillgång till och använda deras data är viktigt för din användning av tjänsten. När du ger dina slutanvändare möjlighet att länka sina externa finansiella konton via Stripe bör du:
(1) på ett korrekt sätt presentera det eller de syften för vilka du söker erhålla slutanvändardata
(2) öppet avslöja hur du kommer att använda, lagra och dela slutanvändardata.
Ditt användargränssnitt bör förmedla syftet med att samla in och använda slutanvändardata, och på motsvarande sätt behöver du begränsa ditt företags användning av slutanvändardata till det syftet. Om du får tillgång till information och påbörjar debiteringar måste du få separata och distinkta auktoriseringar från dina slutanvändare för dessa separata aktiviteter. Läs mer om medgivanden för ACH-debitering här.
Den efterföljande Stripe-samtyckesprocessen kommer att fånga upp slutanvändarens godkännande av Stripes villkor och dataskyddspolicy och genom vårt samtyckesflöde kan användaren länka sina finanskonton. Stripe-samtyckesprocessen kan inte modifieras av dig eller andra handlare.
När du konfigurerar din plattform kommer du att begära särskilda datakategorier från slutanvändarna, och dessa datakategorier kommer att avslöjas för slutanvändare i Stripes samtyckesflöde. Om ditt företag skulle vilja komma åt ytterligare typer av data från din slutanvändares konto i framtiden, måste ditt företag visa denna nya information till din slutanvändare genom en samtyckesprocess som tillhandahålls av Stripe.
Föra register
Du måste föra register relaterade till din efterlevnad av ditt avtal med Stripe och tillämplig lag, inklusive:
Skärmdumpar av användargränssnittets skärmar eller flöden där du visar syftet(en) som presenteras för slutanvändare för att bearbeta deras data, inklusive det datumintervall som varje unik version var aktiv, och
Dina integritetspolicyer eller annat material för slutanvändare relaterat till datadelningstjänsten och eventuella ändringar eller uppdateringar.
Vi kan begära kopior av dokument relaterade till dessa skyldigheter att föra register.
Datalagring. Ett växande antal integritetslagar förbjuder företag att behålla personuppgifter längre än vad som är nödvändigt för det syfte de erhölls. Det är din skyldighet att skapa en intern lagringsprocedur som efterlever tillämpliga lagar.
Kundsupportskyldigheter
Din åtkomst till och användning av slutanvändardata är föremål för tillämpliga lagar och förordningar som kräver att du vidtar specifika åtgärder om du får följande slutanvändarkommunikation.
Begäran från registrerade. Vi rekommenderar att du förbereder dig internt för att ta emot förfrågningar från slutanvändare som begär radering av personuppgifter och/eller frånkoppling av deras länkade finansiella konto. För de jurisdiktioner som kräver efterlevnad av begäranden om dataåtkomst måste du också agera dessa begäranden i enlighet med tillämplig lag.
Begäran om frånkoppling:
Användargränssnitt: Om du ger dina kunder ett alternativ för att koppla bort sina konton, rekommenderar vi att du anger i ditt gränssnitt att frånkoppling kommer att stoppa delning av nya finansiella kontodata, men tar inte bort tidigare delade data eller data från Stripe. På så sätt kan slutanvändare bestämma om de vill göra en separat begäran om dataradering.
Meddela Stripe: Vidarebefordra begäran om frånkoppling antingen 1) genom Stripes frånkopplingsformulär eller 2) genom ett API för frånkoppling. Tänk på att API för frånkoppling inte innebär att användarens data tas bort från Stripe. Om användaren begär att data ska tas bort ska du använda frånkopplingsformuläret.
Borttagningsbegäranden:
Användargränssnitt: Vi rekommenderar att du anger i ditt gränssnitt vad en borttagningsbegäran betyder, d.v.s. om en borttagningsbegäran även kommer att innehålla en frånkoppling av det länkade kontot.
Meddela Stripe: Vidarebefordra borttagningsbegäranden till Stripe på privacy@stripe.com med ämnesraden ”Financial Connections: Request for Account Deletion” eller be kunden skicka sin begäran direkt till Stripe genom vårt frånkopplingsformulär. Du bör också radera sådana uppgifter i dina egna system eller meddela slutanvändaren om din rättsliga grund för att behålla dessa uppgifter.
Icke-auktoriserade kopplingar. Om du blir medveten om att samtycke att dela data inte godkändes av en av dina slutanvändare (t.ex. som ett resultat av identitetsstöld), vänligen skicka en begäran om borttagning direkt till Stripe påprivacy@stripe.com.
Klagomål. Om du får en användarkommunikation som uppfyller Stripes definition av ett klagomål ska du rapportera det i tid till Stripe genom att kontakta complaints@stripe.com eller genom att använda vårt formulär för inlämning av klagomål och välja ”Länkade finansiella konton” från rullgardinsmenyn.
Stripe definierar klagomål som ”ett uttryck för missnöje med en produkt, tjänst, policy eller anställd avseende programmet, undantaget om uttrycket kommer från anställda i ditt företag.”
Vissa klagomål kan betraktas som mer allvarliga om de innehåller hot om rättstvister eller lämnas in av tillsynsmyndigheter. Sådana klagomål ska eskaleras till Stripe inom en dag efter mottagande.