Integritetspolicy

1. Inledning

Denna policy omfattar styrelsen, ledningen, samtliga anställda inom
AMCAP koncernen och syftar till att säkerställa att samtliga bolag i gruppen
efterlever EU:s förordning 2016/679 (”dataskyddsförordningen” eller ”GDPR”).
Varje bolag i gruppen ansvarar individuellt för att säkerställa efterlevnad av
GDPR samt denna policy.

2. Ansvar, efterlevnad och utbildning

Varje bolag i koncernen är skyldigt att säkerställa att den behandling
som sker i bolaget är förenlig med dataskyddsförordningen samt reglerna i denna
policy.

2.1 Dataskyddsombud i Bolaget

AMCAP har gjort bedömningen att koncernen inte behöver utse ett
dataskyddsombud. Det är därmed VD i respektive bolag som ansvarar för att den
databehandling som sker följer reglerna i denna policy.

2.2 Interna utbildningar om Bolagets
personuppgiftshantering

Om det anses nödvändigt och det är tydligt att den kunskap som finns
internt inom Bolaget ej är tillräcklig så ska respektive bolag säkerställa att
personal får den utbildning som krävs. Rutinerna och behovet av
utbildningsåtgärder inom Bolaget ses över och uppdateras kontinuerligt.

3. Översikt av Bolagets personuppgiftsbehandling

3.1 Register över behandlingar

AMCAP har upprättat ett register i enlighet med Art. 30 GDPR över
respektive Bolags behandling av personuppgifter. Registret innehåller
information om:

· Kontaktuppgifter till Bolaget;

· ändamålen och den rättsliga grunden med varje
enskild behandling;

· kategorierna av registrerade, t.ex. kunder,
leverantörer etc.;

· kategorierna av personuppgifter, t.ex. namn,
adress, bank-uppgifter etc.;

· kategorierna av mottagare som Bolaget lämnar
personuppgifter, t.ex. tjänsteleverantörer;

· överföringar till tredje land i den mån de
förekommer;

· tidsfristerna för radering av de olika kategorierna
av personuppgifter;

· allmänna beskrivningar av de tekniska och
organisatoriska säkerhetsåtgärder som Bolaget har vidtagit.

4. Organisatoriska säkerhetsåtgärder för dataskydd

Bolaget ska med beaktande av personuppgiftsbehandlingens art,
omfattning, sammanhang och ändamål samt riskerna, av varierande
sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter
genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa
och kunna visa att behandlingen utförs i enlighet med GDPR. Bolaget här därför
tagit fram styrdokument i enlighet med GDPR i vilka områdena nedan beskrivs.

4.1 Rutiner för översikt av behandlingar av
personuppgifter

Syftet med Bolagets behandling av personuppgifter är att kunna leverera
en välfungerande, användarvänlig och trygg tjänst för handel med fordon. I
syfte att kunna göra detta måste AMCAP lagra viss information om bolagets
kunder som tex:

· användarens person- och kontaktuppgifter;

· administrera användarens betalningar och
kundförhållandet med användaren;

· delge användare information (ej marknadsföring) på
ett tydligt och enkelt sätt;

· utföra kreditupplysningar på användaren;

· upptäcka, förhindra och hantera missbruk av Tjänsten
och bedrägerier;

· utföra riskanalyser och riskhantering;

· utföra intern felsökning, dataanalyser och ta fram
statistiskt underlag;

· utföra användaranalyser.

All behandling av personuppgifter som Bolaget utför måste vara kopplad
till en rättslig grund enligt GDPR. Bolaget stödjer sig främst av tre rättsliga
grunder: (i) fullgörande av avtal, (ii) rättslig förpliktelse enligt lag och
(iii) berättigade intressen. Av punkterna ovan sker behandlingen för att kunna
(i) utföra användaranalyser och (ii) upptäcka, förhindra och hantera missbruk
av Tjänsten och bedrägerier med stöd av Bolagets berättigade intresse. För
övriga punkter sker behandlingen med stöd av avtalet med användaren för
Tjänsten och rättsliga förpliktelser som Bolaget har enligt lag.

I de fall Bolaget använder berättigat intresse som rättslig grund för
behandlingen utgörs detta berättigade intresset av att kunna utveckla Tjänsten
för att förbättra användarupplevelsen och för att öka förmågan att
tillhandahålla tjänster på ett säkert och tryggt sätt. Det är vitalt att i
största möjliga utsträckning upptäcka, förhindra och åtgärda missbruk och
bedrägerier genom användning av Tjänsten. Ytterst handlar det om att skydda
användarna vilket användarna även bör kunna förvänta sig att Bolaget gör.

4.2 Rutiner för insamling av uppgifter

AMCAP ska alltid eftersträva att så få personuppgifter som möjligt
samlas in för att uppnå ändamålet med behandlingen. Bolaget ska därför vara
selektivt avseende de personuppgifter som begärs av användaren när kunden använder
AMCAP:s tjänster. Uppgifter som normalt är nödvändiga att behandla för att
Bolaget ska kunna tillhandahålla tjänsten är:

· Person- och kontaktinformation: namn, födelsedatum, personnummer, faktura- och leveransadress,
e-postadress, mobilnummer, etc.

· Finansiell information
inkomst, eventuella krediter, negativ betalningshistorik för användaren.

· Historisk information
användarens betalnings- och kredithistorik.

· Information om hur du interagerar med AMCAP – hur användaren använder Tjänsten inklusive svarstid för sidor,
nedladdningsfel, hur in- och utloggning till och från Tjänsten sker och
leveransnotiser när Bolaget kontaktar användaren.

· Enhetsinformation
exempelvis användarens IP-adress, språkinställningar, webbläsarinställningar,
tidszon, operativsystem, plattform och skärmupplösning.

4.3 Rutiner för överföring av personuppgifter till
andra än användaren själv (“tredje parter)

Huvudregeln inom Bolaget är att personuppgifter inte ska överföras till
tredje part om det inte är nödvändigt för att kunna genomföra kundens önskemål.
Bolaget informerar däremot användarna om att användarnas personuppgifter delas
med tredje parter genom en personuppgiftspolicy enligt Bilaga 1 som är
tillgänglig på webbsidan i dagsläget och i snart även i mobilapplikationen. Endast
i den utsträckning det krävs för att fullgöra avtalet för Tjänsten med
användaren eller följa svensk lag, delar Bolaget användarnas personuppgifter
med tredje parter. Om en överföring sker vidtar Bolaget rimliga kontraktuella,
juridiska, tekniska och organisatoriska åtgärder för att säkerställa att användarens
uppgifter behandlas på ett säkert sätt och med en adekvat skyddsnivå.

De kategorier av tredje part till vilka Bolaget kan komma att dela
personuppgifter med är följande:

· Leverantörer och underleverantörer;

· Kreditupplysningsföretag och liknande
leverantörer;

· Bolagets övriga koncernbolag;

· Myndigheter; Bolaget kan komma att lämna nödvändig information till myndigheter som Polisen,
Skatteverket eller andra myndigheter om Bolaget enligt lag är skyldiga att göra
det. Ett exempel på laglig skyldighet att lämna information är för åtgärder mot
penningtvätt och terroristfinansiering.

· Inkasso/factoring företag. Bolaget kan också komma att dela information vid försäljning av
fordringar till en tredje part, som exempelvis inkassoföretag.

4.4 Rutiner för överföringar av personuppgifter till
land utanför EU/EES (“tredje land”)

Bolaget eftersträvar att i så stor utsträckning som möjligt alltid
behandla användarnas personuppgifter inom EU/EES. Personuppgifter kan dock i
vissa situationer komma att överföras till, och behandlas i, ett tredje land av
ett bolag inom Bolagets koncern eller av annan leverantör eller
underleverantör. Bolaget vidtar då rimliga kontraktuella, legala, tekniska och
organisatoriska åtgärder för att säkerställa att din data hanteras säkert och
med en adekvat skyddsnivå jämförbar med och i samma nivå som det skydd som
erbjuds inom EU/EES. I den utsträckning överföringar sker till tredje land,
eftersträvar Bolaget att det sker med stöd av:

· ett beslut från EU-kommissionen om att det tredje
landet säkerställer så kallad adekvat skyddsnivå;

· bindande företagsbestämmelser; eller

· standardavtalsklausuler.

4.5 Rutiner för lagringstid

Avseende lagringstid kategoriserar Bolaget personuppgifter olika
beroende på ifall det finns lagstadgade lagringstider eller inte. Lagstadgade
lagringstider förekommer t.ex. för uppfyllandet av krav på åtgärder mot
penningtvätt och bokföring. För behandling av personuppgifter som Bolaget utför
men för vilken någon lagstadgad lagringstid inte är tillämplig, lagras
personuppgifterna under den tid som det är nödvändigt för att kunna
tillhandahålla den aktuella tjänsten.

4.6 Rutiner för att tillvarata användares rättigheter

Bolaget har inrättat kontaktkanaler för email och post genom vilka
användarna kan utöva sina rättigheter. Bolaget kan genom dessa kontaktkanaler
tillmötesgå användares begäran om följande aktiviteter:

· få åtkomst till sina personuppgifter i den
utsträckning uppgifterna får lämnas ut enligt lag, författning eller beslut;

· rätta felaktiga uppgifter;

· radera uppgifter som kund lämnat med samtycke

· begränsa behandlingen av personuppgifterna;

· dataportabilitet för personuppgifter som användaren
själv lämnat;

När en begäran om att utöva någon av rättigheterna ovan inkommer till
Bolaget, ska Bolaget agera enligt följande:

· Utan onödigt dröjsmål efter att ärendet har
mottagits informera Bolagets dataskyddsombud/VD om kundens begäran;

· Bolagets dataskyddsombud/VD ska därefter utan
onödigt dröjsmål tillse att kunden får svar på en inkommen begäran. Under alla
omständigheter ska kunden tillhandahållas information för att besvara begäran senast
30 arbetsdagar efter att begäran mottogs.

4.7 Rutiner för att hantera personuppgiftsincidenter

Bolaget definierar en “personuppgiftsincident” som en avsiktlig
eller oavsiktlig säkerhetsincident som kan innebära risker för människors
friheter och rättigheter. Riskerna kan innebära att någon förlorar kontrollen
över sina uppgifter eller att rättigheterna inskränks, så kan t.ex. vara fallet
vid bedrägerier eller vid brott mot sekretess.

Respektive bolags VD ansvarar för att anmäla personuppgiftsincidenten
genom att fylla i korrekt blankett från Integritetsskyddsmyndighetens för att
anmälan personuppgiftsincidenten) och skicka den via brev till Integritetsskyddsmyndigheten
(IMY) Box 8114, 104 20 Stockholm.

Om Bolaget når slutsatsen att det finns en skyldighet att informera
personerna som berörs av personuppgiftsincidenten, sker detta på följande vis:

· De drabbade informeras genom e-mail där orsaken
till personuppgiftsincidenten beskrivs klart och tydligt;

· Namn och kontaktuppgifter till dataskyddsombudet /
VD, eller individ från Gruppen som är insatt i frågan och kan svara på frågor
lämnas till de drabbade;

· De sannolika konsekvenserna av
personuppgiftsincidenten beskrivs;

· Åtgärder som har vidtagits eller kommer att vidtas
för att hantera personuppgiftsincidenten och mildra de negativa effekterna
beskrivs;

· rekommendation om lämpliga åtgärder som de drabbade
bör vidta för att skydda sig mot effekterna personuppgiften lämnas.

4.8 Personuppgiftsbiträdesavtal med externa parter

Bolaget har som rutin att vid anlitandet av externa parter utvärdera om
personuppgifter kommer att behandlas av den externa parten för Bolagets
räkning. Om Bolaget anser att så kommer att ske, kräver Bolaget att den externa
parten ingår ett personuppgiftsbiträdesavtal där den externa parten åtar sig
rollen som personuppgiftsbiträde.

Instruktionen till personuppgiftsbiträdet enligt
personuppgiftsbiträdesavtalet anpassas särskilt till de unika förhållanden och
omständigheterna som råder kring anledningen för anlitandet av
personuppgiftsombudet.

5. Tekniska säkerhetsåtgärder för dataskydd

Följande säkerhetsåtgärder vidtas för dataskydd.

· Isolerad produktionsmiljö där ingen enskild
utvecklare ensam har access

· Säkert sätt att hantera inloggningsuppgifter och
annan känslig information;

· Definierade behörighetsnivåer för anställda med
tillgång till persondata och interface för produkter – skapade på ett sätt som
gör att inte alla anställda kan komma åt all data

· Skydd mot externa angrepp, trojaner och virus

6. Konsekvensbedömning avseende dataskydd DPIA

AMCAP har med hänsyn till koncernens
storlek, verksamhetens omfattning, samt att inget bolag i koncernen hanterar
känsliga personuppgifter konstaterat att ingen DPIA behöver genomföras i
nuläget och att det är tillräckligt att koncernen löpande inventerar de behandlingar
som sker i respektive bolag. Ledningen för respektive bolag ska dock löpande
bedöma behovet av att genomföra en DPIA utifrån följande kriterier:

Förekomst av behandling av känsliga personuppgifter

Utläggning av behandling till tredje land.

Åtgärder som innebär att systemmiljön blir att
betrakta som komplex.

7. Fastställande

Policyn ska vid behov, dock minst årligen även om inga ändringar
gjorts, fastställas av Bolagets styrelse. Tidpunkten för senaste uppdateringen
och fastställandet framgår av Policyns framsida.

 

Bilaga 1. Register över behandlingar

Behandling

Typ av data

Lagring/källa

Biträde/behandlare

Syfte med behandlingen

Laglig grund för
behandlingen

Radering tillåtet?

Säkerhetsåtgärder

Lagringstid

Kreditbedömning av kund

Kreditbedömningsrapport

Internt system

UC

(företagsrapporter)

Löpande bevakning

Kontroll
av betalningsförmåga innan fordonsfinansiering

Berättigat intresse

Nej, krävs för att
skydda fordran

Normalt skydd av intern
lagring

5 år

E-postadress för nyhetsbrev

E-postadress

Mejlutskicks plattform / CRM

Intern behandling

Mailchimp

Möjlighet
för kund att ta del av information om fordon som erbjuds

Samtycke från kund

Ja, kund kan själv
avregistrera

Lagring hos mailchmp

Till avregistrering

Kundavtal

Namn
och personnummer

Internt system

Intern behandling

Säkerställa
fullgörande av avtal

Säkerställa fullgörande av avtal

Nej, krävs för
fullgörande

Normalt skydd av intern
lagring

Minst 10 år

Verifiera

Slagning av ledamöter i bolaget.
(löpande bevakning

Namnändring,
Personnummer, firmateckning

Externt system

Syna

Säkerställa
att bolaget har rätt uppgifter gällande företrädare för bolaget

Säkerställa fullgörande av avtal

Nej, krävs för
fullgörande

Ingen lagring, endast
flaggning då information förändras

N/A

Löpande kontroll av privatkunder för
att säkerställa identitet

Folkbokföring,

Externt system

Syna

Säkerställa
att bolaget har rätt uppgifter gällande bolagets kunder.

Säkerställa fullgörande av avtal

Nej, krävs för
fullgörande

Ingen lagring, endast
flaggning då information förändras

N/A

Kontroll av fordonsinnehavare

Fordonsregistret

Externt system

Transportstyrelsen

Säkerställa
att bolaget har rätt uppgifter gällande ägare till fordon

Säkerställa fullgörande av avtal

Nej, krävs för
fullgörande

Normalt skydd av intern
lagring

5 år

Webbläsardata (cookies)

Google
Adword

Externt system

Google

Säkerställa
användarupplevelse samt beteende på hemsidan

Samtycke från kund

Ja, kund kan själv
avregistrera

Lagring hos Google

18 månader