1. Inledning
Denna policy omfattar styrelsen, ledningen, samtliga anställda inom AMCAP koncernen och syftar till att säkerställa att samtliga bolag i gruppen efterlever EU:s förordning 2016/679 (”dataskyddsförordningen” eller ”GDPR”). Varje bolag i gruppen ansvarar individuellt för att säkerställa efterlevnad av GDPR samt denna policy.
2. Ansvar, efterlevnad och utbildning
Varje bolag i koncernen är skyldigt att säkerställa att den behandling som sker i bolaget är förenlig med dataskyddsförordningen samt reglerna i denna policy.
2.1 Dataskyddsombud i Bolaget
AMCAP har gjort bedömningen att koncernen inte behöver utse ett dataskyddsombud. Det är därmed VD i respektive bolag som ansvarar för att den databehandling som sker följer reglerna i denna policy.
2.2 Interna utbildningar om Bolagets personuppgiftshantering
Om det anses nödvändigt och det är tydligt att den kunskap som finns internt inom Bolaget ej är tillräcklig så ska respektive bolag säkerställa att personal får den utbildning som krävs. Rutinerna och behovet av utbildningsåtgärder inom Bolaget ses över och uppdateras kontinuerligt.
3. Översikt av Bolagets personuppgiftsbehandling
3.1 Register över behandlingar
AMCAP har upprättat ett register i enlighet med Art. 30 GDPR över respektive Bolags behandling av personuppgifter. Registret innehåller information om:
- Kontaktuppgifter till Bolaget;
- ändamålen och den rättsliga grunden med varje enskild behandling;
- kategorierna av registrerade, t.ex. kunder, leverantörer etc.;
- kategorierna av personuppgifter, t.ex. namn, adress, bank-uppgifter etc.;
- kategorierna av mottagare som Bolaget lämnar personuppgifter, t.ex. tjänsteleverantörer;
- överföringar till tredje land i den mån de förekommer;
- tidsfristerna för radering av de olika kategorierna av personuppgifter;
- allmänna beskrivningar av de tekniska och organisatoriska säkerhetsåtgärder som Bolaget har vidtagit.
4. Organisatoriska säkerhetsåtgärder för dataskydd
Bolaget ska med beaktande av personuppgiftsbehandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa och kunna visa att behandlingen utförs i enlighet med GDPR. Bolaget här därför tagit fram styrdokument i enlighet med GDPR i vilka områdena nedan beskrivs.
4.1 Rutiner för översikt av behandlingar av personuppgifter
Syftet med Bolagets behandling av personuppgifter är att kunna leverera en välfungerande, användarvänlig och trygg tjänst för handel med fordon. I syfte att kunna göra detta måste AMCAP lagra viss information om bolagets kunder som tex:
- användarens person- och kontaktuppgifter;
- administrera användarens betalningar och kundförhållandet med användaren;
- delge användare information (ej marknadsföring) på ett tydligt och enkelt sätt;
- utföra kreditupplysningar på användaren;
- upptäcka, förhindra och hantera missbruk av Tjänsten och bedrägerier;
- utföra riskanalyser och riskhantering;
- utföra intern felsökning, dataanalyser och ta fram statistiskt underlag;
- utföra användaranalyser.
All behandling av personuppgifter som Bolaget utför måste vara kopplad till en rättslig grund enligt GDPR. Bolaget stödjer sig främst av tre rättsliga grunder: (i) fullgörande av avtal, (ii) rättslig förpliktelse enligt lag och (iii) berättigade intressen. Av punkterna ovan sker behandlingen för att kunna (i) utföra användaranalyser och (ii) upptäcka, förhindra och hantera missbruk av Tjänsten och bedrägerier med stöd av Bolagets berättigade intresse. För övriga punkter sker behandlingen med stöd av avtalet med användaren för Tjänsten och rättsliga förpliktelser som Bolaget har enligt lag.
I de fall Bolaget använder berättigat intresse som rättslig grund för behandlingen utgörs detta berättigade intresset av att kunna utveckla Tjänsten för att förbättra användarupplevelsen och för att öka förmågan att tillhandahålla tjänster på ett säkert och tryggt sätt. Det är vitalt att i största möjliga utsträckning upptäcka, förhindra och åtgärda missbruk och bedrägerier genom användning av Tjänsten. Ytterst handlar det om att skydda användarna vilket användarna även bör kunna förvänta sig att Bolaget gör.
4.2 Rutiner för insamling av uppgifter
AMCAP ska alltid eftersträva att så få personuppgifter som möjligt samlas in för att uppnå ändamålet med behandlingen. Bolaget ska därför vara selektivt avseende de personuppgifter som begärs av användaren när kunden använder AMCAP:s tjänster. Uppgifter som normalt är nödvändiga att behandla för att Bolaget ska kunna tillhandahålla tjänsten är:
- Person- och kontaktinformation:namn, födelsedatum, personnummer, faktura- och leveransadress, e-postadress, mobilnummer, etc.
- Finansiell information – inkomst, eventuella krediter, negativ betalningshistorik för användaren.
- Historisk information – användarens betalnings- och kredithistorik.
- Information om hur du interagerar med AMCAP – hur användaren använder Tjänsten inklusive svarstid för sidor, nedladdningsfel, hur in- och utloggning till och från Tjänsten sker och leveransnotiser när Bolaget kontaktar användaren.
- Enhetsinformation – exempelvis användarens IP-adress, språkinställningar, webbläsarinställningar, tidszon, operativsystem, plattform och skärmupplösning.
4.3 Rutiner för överföring av personuppgifter till andra än användaren själv (”tredje parter)
Huvudregeln inom Bolaget är att personuppgifter inte ska överföras till tredje part om det inte är nödvändigt för att kunna genomföra kundens önskemål. Bolaget informerar däremot användarna om att användarnas personuppgifter delas med tredje parter genom en personuppgiftspolicy enligt Bilaga 1 som är tillgänglig på webbsidan i dagsläget och i snart även i mobilapplikationen. Endast i den utsträckning det krävs för att fullgöra avtalet för Tjänsten med användaren eller följa svensk lag, delar Bolaget användarnas personuppgifter med tredje parter. Om en överföring sker vidtar Bolaget rimliga kontraktuella, juridiska, tekniska och organisatoriska åtgärder för att säkerställa att användarens uppgifter behandlas på ett säkert sätt och med en adekvat skyddsnivå.
De kategorier av tredje part till vilka Bolaget kan komma att dela personuppgifter med är följande:
- Leverantörer och underleverantörer;
- Kreditupplysningsföretag och liknande leverantörer;
- Bolagets övriga koncernbolag;
- Myndigheter; Bolaget kan komma att lämna nödvändig information till myndigheter som Polisen, Skatteverket eller andra myndigheter om Bolaget enligt lag är skyldiga att göra det. Ett exempel på laglig skyldighet att lämna information är för åtgärder mot penningtvätt och terroristfinansiering.
- Inkasso/factoring företag. Bolaget kan också komma att dela information vid försäljning av fordringar till en tredje part, som exempelvis inkassoföretag.
4.4 Rutiner för överföringar av personuppgifter till land utanför EU/EES (”tredje land”)
Bolaget eftersträvar att i så stor utsträckning som möjligt alltid behandla användarnas personuppgifter inom EU/EES. Personuppgifter kan dock i vissa situationer komma att överföras till, och behandlas i, ett tredje land av ett bolag inom Bolagets koncern eller av annan leverantör eller underleverantör. Bolaget vidtar då rimliga kontraktuella, legala, tekniska och organisatoriska åtgärder för att säkerställa att din data hanteras säkert och med en adekvat skyddsnivå jämförbar med och i samma nivå som det skydd som erbjuds inom EU/EES. I den utsträckning överföringar sker till tredje land, eftersträvar Bolaget att det sker med stöd av:
- ett beslut från EU-kommissionen om att det tredje landet säkerställer så kallad adekvat skyddsnivå;
- bindande företagsbestämmelser; eller
- standardavtalsklausuler.
4.5 Rutiner för lagringstid
Avseende lagringstid kategoriserar Bolaget personuppgifter olika beroende på ifall det finns lagstadgade lagringstider eller inte. Lagstadgade lagringstider förekommer t.ex. för uppfyllandet av krav på åtgärder mot penningtvätt och bokföring. För behandling av personuppgifter som Bolaget utför men för vilken någon lagstadgad lagringstid inte är tillämplig, lagras personuppgifterna under den tid som det är nödvändigt för att kunna tillhandahålla den aktuella tjänsten.
4.6 Rutiner för att tillvarata användares rättigheter
Bolaget har inrättat kontaktkanaler för email och post genom vilka användarna kan utöva sina rättigheter. Bolaget kan genom dessa kontaktkanaler tillmötesgå användares begäran om följande aktiviteter:
- få åtkomst till sina personuppgifter i den utsträckning uppgifterna får lämnas ut enligt lag, författning eller beslut;
- rätta felaktiga uppgifter;
- radera uppgifter som kund lämnat med samtycke
- begränsa behandlingen av personuppgifterna;
- dataportabilitet för personuppgifter som användaren själv lämnat;
När en begäran om att utöva någon av rättigheterna ovan inkommer till Bolaget, ska Bolaget agera enligt följande:
- Utan onödigt dröjsmål efter att ärendet har mottagits informera Bolagets dataskyddsombud/VD om kundens begäran;
- Bolagets dataskyddsombud/VD ska därefter utan onödigt dröjsmål tillse att kunden får svar på en inkommen begäran. Under alla omständigheter ska kunden tillhandahållas information för att besvara begäran senast 30 arbetsdagar efter att begäran mottogs.
4.7 Rutiner för att hantera personuppgiftsincidenter
Bolaget definierar en ”personuppgiftsincident” som en avsiktlig eller oavsiktlig säkerhetsincident som kan innebära risker för människors friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks, så kan t.ex. vara fallet vid bedrägerier eller vid brott mot sekretess.
Respektive bolags VD ansvarar för att anmäla personuppgiftsincidenten genom att fylla i korrekt blankett från Integritetsskyddsmyndighetens för att anmälan personuppgiftsincidenten) och skicka den via brev till Integritetsskyddsmyndigheten (IMY) Box 8114, 104 20 Stockholm.
Om Bolaget når slutsatsen att det finns en skyldighet att informera personerna som berörs av personuppgiftsincidenten, sker detta på följande vis:
- De drabbade informeras genom e-mail där orsaken till personuppgiftsincidenten beskrivs klart och tydligt;
- Namn och kontaktuppgifter till dataskyddsombudet / VD, eller individ från Gruppen som är insatt i frågan och kan svara på frågor lämnas till de drabbade;
- De sannolika konsekvenserna av personuppgiftsincidenten beskrivs;
- Åtgärder som har vidtagits eller kommer att vidtas för att hantera personuppgiftsincidenten och mildra de negativa effekterna beskrivs;
- rekommendation om lämpliga åtgärder som de drabbade bör vidta för att skydda sig mot effekterna personuppgiften lämnas.
4.8 Personuppgiftsbiträdesavtal med externa parter
Bolaget har som rutin att vid anlitandet av externa parter utvärdera om personuppgifter kommer att behandlas av den externa parten för Bolagets räkning. Om Bolaget anser att så kommer att ske, kräver Bolaget att den externa parten ingår ett personuppgiftsbiträdesavtal där den externa parten åtar sig rollen som personuppgiftsbiträde.
Instruktionen till personuppgiftsbiträdet enligt personuppgiftsbiträdesavtalet anpassas särskilt till de unika förhållanden och omständigheterna som råder kring anledningen för anlitandet av personuppgiftsombudet.
5. Tekniska säkerhetsåtgärder för dataskydd
Följande säkerhetsåtgärder vidtas för dataskydd.
- Isolerad produktionsmiljö där ingen enskild utvecklare ensam har access
- Säkert sätt att hantera inloggningsuppgifter och annan känslig information;
- Definierade behörighetsnivåer för anställda med tillgång till persondata och interface för produkter – skapade på ett sätt som gör att inte alla anställda kan komma åt all data
- Skydd mot externa angrepp, trojaner och virus
6. Konsekvensbedömning avseende dataskydd DPIA
AMCAP har med hänsyn till koncernens storlek, verksamhetens omfattning, samt att inget bolag i koncernen hanterar känsliga personuppgifter konstaterat att ingen DPIA behöver genomföras i nuläget och att det är tillräckligt att koncernen löpande inventerar de behandlingar som sker i respektive bolag. Ledningen för respektive bolag ska dock löpande bedöma behovet av att genomföra en DPIA utifrån följande kriterier:
– Förekomst av behandling av känsliga personuppgifter
– Utläggning av behandling till tredje land.
– Åtgärder som innebär att systemmiljön blir att betrakta som komplex.
7. Fastställande
Policyn ska vid behov, dock minst årligen även om inga ändringar gjorts, fastställas av Bolagets styrelse. Tidpunkten för senaste uppdateringen och fastställandet framgår av Policyns framsida.