Denna policy omfattar styrelsen, ledningen, samtliga anställda inom AMCAP koncernen och syftar till att säkerställa att samtliga bolag i gruppen efterlever EU:s förordning 2016/679 (”dataskyddsförordningen” eller ”GDPR”). Varje bolag i gruppen ansvarar individuellt för att säkerställa efterlevnad av GDPR samt denna policy.
Varje bolag i koncernen är skyldigt att säkerställa att den behandling som sker i bolaget är förenlig med dataskyddsförordningen samt reglerna i denna policy.
AMCAP har gjort bedömningen att koncernen inte behöver utse ett dataskyddsombud. Det är därmed VD i respektive bolag som ansvarar för att den databehandling som sker följer reglerna i denna policy.
Om det anses nödvändigt och det är tydligt att den kunskap som finns internt inom Bolaget ej är tillräcklig så ska respektive bolag säkerställa att personal får den utbildning som krävs. Rutinerna och behovet av utbildningsåtgärder inom Bolaget ses över och uppdateras kontinuerligt.
AMCAP har upprättat ett register i enlighet med Art. 30 GDPR över respektive Bolags behandling av personuppgifter. Registret innehåller information om:
Bolaget ska med beaktande av personuppgiftsbehandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med GDPR. Bolaget här därför tagit fram styrdokument i enlighet med GDPR i vilka områdena nedan beskrivs.
Syftet med Bolagets behandling av personuppgifter är att kunna leverera en välfungerande, användarvänlig och trygg tjänst för handel med fordon. I syfte att kunna göra detta måste AMCAP lagra viss information om bolagets kunder som tex:
All behandling av personuppgifter som Bolaget utför måste vara kopplad till en rättslig grund enligt GDPR. Bolaget stödjer sig främst av tre rättsliga grunder: (i) fullgörande av avtal, (ii) rättslig förpliktelse enligt lag och (iii) berättigade intressen. Av punkterna ovan sker behandlingen för att kunna (i) utföra användaranalyser och (ii) upptäcka, förhindra och hantera missbruk av Tjänsten och bedrägerier med stöd av Bolagets berättigade intresse. För övriga punkter sker behandlingen med stöd av avtalet med användaren för Tjänsten och rättsliga förpliktelser som Bolaget har enligt lag.
I de fall Bolaget använder berättigat intresse som rättslig grund för behandlingen utgörs detta berättigade intresset av att kunna utveckla Tjänsten för att förbättra användarupplevelsen och för att öka förmågan att tillhandahålla tjänster på ett säkert och tryggt sätt. Det är vitalt att i största möjliga utsträckning upptäcka, förhindra och åtgärda missbruk och bedrägerier genom användning av Tjänsten. Ytterst handlar det om att skydda användarna vilket användarna även bör kunna förvänta sig att Bolaget gör.
AMCAP ska alltid eftersträva att så få personuppgifter som möjligt samlas in för att uppnå ändamålet med behandlingen. Bolaget ska därför vara selektivt avseende de personuppgifter som begärs av användaren när kunden använder AMCAP:s tjänster. Uppgifter som normalt är nödvändiga att behandla för att Bolaget ska kunna tillhandahålla tjänsten är:
Huvudregeln inom Bolaget är att personuppgifter inte ska överföras till tredje part om det inte är nödvändigt för att kunna genomföra kundens önskemål. Bolaget informerar däremot användarna om att användarnas personuppgifter delas med tredje parter genom en personuppgiftspolicy enligt Bilaga 1 som är tillgänglig på webbsidan i dagsläget och i snart även i mobilapplikationen. Endast i den utsträckning det krävs för att fullgöra avtalet för Tjänsten med användaren eller följa svensk lag, delar Bolaget användarnas personuppgifter med tredje parter. Om en överföring sker vidtar Bolaget rimliga kontraktuella, juridiska, tekniska och organisatoriska åtgärder för att säkerställa att användarens uppgifter behandlas på ett säkert sätt och med en adekvat skyddsnivå.
De kategorier av tredje part till vilka Bolaget kan komma att dela personuppgifter med är följande:
Bolaget eftersträvar att i så stor utsträckning som möjligt alltid behandla användarnas personuppgifter inom EU/EES. Personuppgifter kan dock i vissa situationer komma att överföras till, och behandlas i, ett tredje land av ett bolag inom Bolagets koncern eller av annan leverantör eller underleverantör. Bolaget vidtar då rimliga kontraktuella, legala, tekniska och organisatoriska åtgärder för att säkerställa att din data hanteras säkert och med en adekvat skyddsnivå jämförbar med och i samma nivå som det skydd som erbjuds inom EU/EES. I den utsträckning överföringar sker till tredje land, eftersträvar Bolaget att det sker med stöd av:
Avseende lagringstid kategoriserar Bolaget personuppgifter olika beroende på ifall det finns lagstadgade lagringstider eller inte. Lagstadgade lagringstider förekommer t.ex. för uppfyllandet av krav på åtgärder mot penningtvätt och bokföring. För behandling av personuppgifter som Bolaget utför men för vilken någon lagstadgad lagringstid inte är tillämplig, lagras personuppgifterna under den tid som det är nödvändigt för att kunna tillhandahålla den aktuella tjänsten.
Bolaget har inrättat kontaktkanaler för email och post genom vilka användarna kan utöva sina rättigheter. Bolaget kan genom dessa kontaktkanaler tillmötesgå användares begäran om följande aktiviteter:
När en begäran om att utöva någon av rättigheterna ovan inkommer till Bolaget, ska Bolaget agera enligt följande:
Bolaget definierar en ”personuppgiftsincident” som en avsiktlig eller oavsiktlig säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks, så kan t.ex. vara fallet vid bedrägerier eller vid brott mot sekretess.
Respektive bolags VD ansvarar för att anmäla personuppgiftsincidenten genom att fylla i korrekt blankett från Integritetsskyddsmyndighetens för att anmälan personuppgiftsincidenten) och skicka den via brev till Integritetsskyddsmyndigheten (IMY) Box 8114, 104 20 Stockholm.
Om Bolaget når slutsatsen att det finns en skyldighet att informera personerna som berörs av personuppgiftsincidenten, sker detta på följande vis:
Bolaget har som rutin att vid anlitandet av externa parter utvärdera om personuppgifter kommer att behandlas av den externa parten för Bolagets räkning. Om Bolaget anser att så kommer att ske, kräver Bolaget att den externa parten ingår ett personuppgiftsbiträdesavtal där den externa parten åtar sig rollen som personuppgiftsbiträde.
Instruktionen till personuppgiftsbiträdet enligt personuppgiftsbiträdesavtalet anpassas särskilt till de unika förhållanden och omständigheterna som råder kring anledningen för anlitandet av personuppgiftsombudet.
Följande säkerhetsåtgärder vidtas för dataskydd.
AMCAP har med hänsyn till koncernens storlek, verksamhetens omfattning, samt att inget bolag i koncernen hanterar känsliga personuppgifter konstaterat att ingen DPIA behöver genomföras i nuläget och att det är tillräckligt att koncernen löpande inventerar de behandlingar som sker i respektive bolag. Ledningen för respektive bolag ska dock löpande bedöma behovet av att genomföra en DPIA utifrån följande kriterier:
– Förekomst av behandling av känsliga personuppgifter
– Utläggning av behandling till tredje land.
– Åtgärder som innebär att systemmiljön blir att betrakta som komplex.
Policyn ska vid behov, dock minst årligen även om inga ändringar gjorts, fastställas av Bolagets styrelse. Tidpunkten för senaste uppdateringen och fastställandet framgår av Policyns framsida.
©2023 All rights Reserved.