Ehdot

Tietosuoja

Haluamme, että voit tehdä turvallisen ja sujuvan auton oston. Siksi olemme avoinna 24 tuntia vuorokaudessa sähköpostitse ja voimme näyttää autoja milloin tahansa klo 06:00-22:00 välillä. Jos asut pääkaupunkiseudulla, voimme näyttää auton kotonasi tai työpaikallasi.

1. Esittely

Tämä politiikka kattaa hallituksen, johdon ja kaikki AMCAP-konsernin työntekijät, ja sen tavoitteena on varmistaa, että kaikki konserniin kuuluvat yritykset noudattavat EU:n asetusta 2016/679 (”tietosuoja-asetus” tai ”GDPR”). Jokainen konserniin kuuluva yritys on henkilökohtaisesti vastuussa GDPR:n ja tämän käytännön noudattamisesta.

2. Vastuu, vaatimustenmukaisuus ja koulutus

Jokainen konserniin kuuluva yritys on velvollinen varmistamaan, että yhtiössä tapahtuva käsittely on tietosuoja-asetuksen ja tämän käytännön sääntöjen mukaista.

2.1 Tietosuojavastaava yrityksessä

AMCAP on arvioinut, että ryhmän ei tarvitse nimittää tietosuojavastaavaa. Jokaisen yrityksen toimitusjohtaja on siis vastuussa siitä, että tapahtuva tietojenkäsittely on tämän käytännön sääntöjen mukaista.

2.2 Sisäinen koulutus yhtiön henkilötietojen käsittelystä

Jos katsotaan tarpeelliseksi ja on selvää, että yhtiön sisäinen tieto ei ole riittävä, jokaisen yrityksen on huolehdittava siitä, että henkilöstö saa vaaditun koulutuksen. Yhtiön sisäisiä rutiineja ja koulutustarpeita tarkastellaan ja päivitetään jatkuvasti.

3. Yleiskatsaus Yhtiön henkilötietojen käsittelyyn

3.1 Hoitorekisteri

AMCAP on perustanut rekisterin 11 artiklan mukaisesti. 30 GDPR kunkin yrityksen henkilötietojen käsittelystä. Rekisteri sisältää tietoja:

Yrityksen yhteystiedot;
kunkin yksittäisen käsittelyn tarkoitukset ja oikeusperusta;
rekisteröityjen luokat, esim. asiakkaat, toimittajat jne.;
henkilötietojen luokat, esim. nimi, osoite, pankkitiedot jne.;
vastaanottajaryhmät, joille Yhtiö luovuttaa henkilötietoja, esim. palveluntarjoajat;
siirrot kolmansiin maihin siltä osin kuin niitä tapahtuu;
henkilötietojen eri luokkien poistamisen määräajat;
yleiskuvaus Yhtiön toteuttamista teknisistä ja organisatorisista turvatoimenpiteistä.


4. Organisaation tietosuojatoimenpiteet

Yhtiön on, ottaen huomioon henkilötietojen käsittelyn luonne, laajuus, konteksti ja tarkoitus sekä riskit, joiden todennäköisyys ja vakavuus vaihtelevat luonnollisten henkilöiden oikeuksille ja vapauksille, toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen ja pystyä osoittamaan, että käsittely on suoritettu GDPR:n mukaisesti. Tästä syystä yhtiö on tuottanut GDPR:n mukaiset ohjeasiakirjat, joissa alla kuvatut osa-alueet on kuvattu.

4.1 Henkilötietojen käsittelyn yleiskatsauksen rutiinit

Yhtiön suorittaman henkilötietojen käsittelyn tarkoituksena on pystyä tarjoamaan hyvin toimiva, käyttäjäystävällinen ja turvallinen palvelu ajoneuvokauppaa varten. Voidakseen tehdä tämän AMCAP:n on tallennettava tiettyjä tietoja yrityksen asiakkaista, kuten:

käyttäjän henkilö- ja yhteystiedot;
hallinnoida Käyttäjän maksuja ja asiakassuhdetta Käyttäjän kanssa;
tarjota käyttäjille tietoa (ei markkinointia) selkeällä ja yksinkertaisella tavalla;
suorittaa käyttäjän luottotiedot;
havaita, estää ja hallita Palvelun väärinkäyttöä ja petoksia;
suorittaa riskianalyysiä ja riskienhallintaa;
suorittaa sisäistä vianetsintää, data-analyysiä ja tuottaa tilastotietoja;
suorittaa käyttäjäanalytiikkaa.
Kaiken Yhtiön suorittaman henkilötietojen käsittelyn on liityttävä GDPR:n mukaiseen oikeusperustaan. Yhtiö luottaa ensisijaisesti kolmeen oikeudelliseen perusteeseen: (i) sopimuksen täyttäminen, (ii) lain mukainen lakisääteinen velvoite ja (iii) oikeutettu etu. Yllä mainituista kohdista käsittely tapahtuu (i) käyttäjäanalyysien suorittamiseksi ja (ii) Palvelun väärinkäytön ja petosten havaitsemiseksi, estämiseksi ja hallitsemiseksi Yhtiön oikeutetun edun tukemana. Muissa kohdissa käsittely tapahtuu käyttäjän kanssa Palvelusta tehdyn sopimuksen ja Yrityksellä lainmukaisten lakisääteisten velvoitteiden tuella.

Tapauksissa, joissa Yritys käyttää oikeutettua etua käsittelyn oikeudellisena perustana, tämä oikeutettu etu on pystyä kehittämään Palvelua parantamaan käyttökokemusta ja lisäämään kykyä tarjota palveluita turvallisesti. On elintärkeää havaita, ehkäistä ja korjata väärinkäyttö ja petokset Palvelua käyttämällä mahdollisimman laajasti. Viime kädessä kyse on käyttäjien suojelemisesta, mitä käyttäjien pitäisi myös voida odottaa yhtiön tekevän.

4.2 Tiedonkeruumenettelyt

AMCAP pyrkii aina keräämään mahdollisimman vähän henkilötietoja käsittelyn tarkoituksen saavuttamiseksi. Yrityksen tulee siis olla valikoiva käyttäjän pyytämien henkilötietojen suhteen, kun asiakas käyttää AMCAP:n palveluita. Tietoja, jotka on yleensä tarpeen käsitellä, jotta Yhtiö voi tarjota palvelun, ovat:

Henkilö- ja yhteystiedot: nimi, syntymäaika, sosiaaliturvatunnus, laskutus- ja toimitusosoite, sähköpostiosoite, matkapuhelinnumero jne.
Taloudelliset tiedot – tulot, mahdolliset luottotiedot, käyttäjän negatiivinen maksuhistoria.
Historiatiedot – Käyttäjän maksu- ja luottohistoria.
Tietoja vuorovaikutuksesta AMCAP:n kanssa – kuinka käyttäjä käyttää palvelua, mukaan lukien sivujen vasteaika, latausvirheet, sisään- ja uloskirjautuminen Palveluun sekä toimitusilmoitukset, kun Yritys ottaa yhteyttä käyttäjään.

Laitteen tiedot – kuten käyttäjän IP-osoite, kieliasetukset, selainasetukset, aikavyöhyke, käyttöjärjestelmä, alusta ja näytön tarkkuus.


4.3 Menettelyt henkilötietojen siirtämiseksi muille kuin käyttäjälle itselleen (”kolmannet osapuolet”)

Yhtiön pääsääntönä on, että henkilötietoja ei saa luovuttaa kolmansille osapuolille, jos se ei ole välttämätöntä asiakkaan toiveiden toteuttamiseksi. Yhtiö kuitenkin tiedottaa käyttäjille, että käyttäjien henkilötietoja jaetaan kolmansille osapuolille liitteen 1 mukaisella henkilötietokäytännöllä, joka on tällä hetkellä saatavilla verkkosivuilla ja pian myös mobiilisovelluksessa. Yritys jakaa käyttäjien henkilötietoja kolmansille osapuolille vain siinä määrin kuin se on tarpeen Palvelusta käyttäjän kanssa tehdyn sopimuksen täyttämiseksi tai Ruotsin lain noudattamiseksi. Jos siirto tapahtuu, Yritys ryhtyy kohtuullisiin sopimusperusteisiin, oikeudellisiin, teknisiin ja organisatorisiin toimenpiteisiin varmistaakseen, että käyttäjän tietoja käsitellään turvallisesti ja riittävällä suojaustasolla.

Kolmansien osapuolten luokat, joille Yhtiö voi jakaa henkilötietoja, ovat seuraavat:

Toimittajat ja alihankkijat;
Luottotietotoimistot ja vastaavat tarjoajat;
Yhtiön muut konserniyhtiöt;
Toimistot; Yritys voi luovuttaa tarpeellisia tietoja viranomaisille, kuten poliisille, Verovirastolle tai muille viranomaisille, mikäli Yhtiö on lain mukaan niin velvollinen. Esimerkki lakisääteisestä tiedonantovelvollisuudesta on rahanpesun ja terrorismin rahoituksen vastaiset toimenpiteet.
Perintä/faktorointiyritys. Yritys voi myös jakaa tietoja myydessään saamisia kolmannelle osapuolelle, kuten perintätoimistolle.


4.4 Menettelyt henkilötietojen siirtämiseksi EU:n/ETA:n ulkopuolisiin maihin (”kolmas maa”)

Yhtiö pyrkii mahdollisimman suuressa määrin käsittelemään käyttäjien henkilötietoja aina EU/ETA-alueella. Yhtiön konserniin kuuluva yritys tai muu toimittaja tai alihankkija voi kuitenkin tietyissä tilanteissa siirtää henkilötietoja kolmanteen maahan ja käsitellä siellä. Tämän jälkeen yritys ryhtyy kohtuullisiin sopimuksiin, oikeudellisiin, teknisiin ja organisatorisiin toimenpiteisiin varmistaakseen, että tietojasi käsitellään turvallisesti ja riittävällä suojatasolla, joka on verrattavissa EU/ETA-alueella tarjottavaan suojan tasoon ja samalla tasolla. Siltä osin kuin siirrot tapahtuvat kolmansiin maihin, Yhtiö pyrkii siihen, että ne tapahtuvat seuraavien tuella:

Euroopan komission päätös siitä, että kolmas maa takaa niin sanotun riittävän suojelun tason;
sitovat yrityssäännöt; tai
vakiosopimuslausekkeet.


4.5 Säilytysajan rutiinit

Säilytysajan osalta Yhtiö luokittelee henkilötiedot eri tavalla sen mukaan, onko olemassa lakisääteisiä säilytysaikoja vai ei. Lakisääteisiä säilytysaikoja esiintyy mm. rahanpesun ja kirjanpidon vastaisten toimenpiteiden vaatimusten täyttämiseksi. Sellaisten henkilötietojen käsittelyssä, joita Yritys suorittaa, mutta joihin ei sovelleta lakisääteistä säilytysaikaa, henkilötietoja säilytetään niin kauan kuin on tarpeen kyseisen palvelun tarjoamiseksi.

4.6 Menettelyt käyttäjien oikeuksien turvaamiseksi

Yhtiö on perustanut sähköpostille ja postille yhteyskanavat, joiden kautta käyttäjät voivat käyttää oikeuksiaan. Näiden yhteydenottokanavien kautta yritys voi vastata käyttäjien pyyntöihin seuraavista toiminnoista:

saada pääsy henkilötietoihinsa siltä osin kuin tiedot voidaan luovuttaa lain, perustuslain tai päätöksen mukaisesti;
korjata väärät tiedot;
poistaa asiakkaan suostumuksella antamat tiedot
rajoittaa henkilötietojen käsittelyä;
käyttäjän itsensä toimittamien henkilötietojen siirrettävyys;
Kun Yhtiö vastaanottaa pyynnön käyttää jotakin edellä mainituista oikeuksista, Yhtiö toimii seuraavasti:

Ilmoita Asiakkaan pyynnöstä ilman aiheetonta viivytystä Asiakkaan pyynnöstä Yhtiön tietosuojavastaavalle/toimitusjohtajalle;
Yrityksen tietosuojavastaavan/toimitusjohtajan on tällöin varmistettava, että asiakas saa vastauksen saapuvaan pyyntöön ilman aiheetonta viivytystä. Asiakkaalle on joka tapauksessa annettava tiedot pyyntöön vastaamiseksi viimeistään 30 arkipäivän kuluessa pyynnön vastaanottamisesta.


4.7 Menettelyt henkilötietotapahtumien käsittelemiseksi

Yhtiö määrittelee ”henkilötietotapahtuman” tahalliseksi tai tahattomaksi tietoturvaloukkaukseksi, joka voi aiheuttaa riskejä ihmisten vapauksille ja oikeuksille. Riskit voivat tarkoittaa sitä, että joku menettää hallinnan tietoihinsa tai että hänen oikeuksiaan rajoitetaan, joten esim. petoksen tai luottamuksellisuuden loukkauksen tapauksessa.

Yhtiön toimitusjohtaja on vastuussa henkilötietotapahtuman ilmoittamisesta täyttämällä oikealla Tietosuojaviraston lomakkeella henkilötietotapahtuman ilmoittamista varten ja lähettämällä sen kirjeitse Tietosuojavirastolle (IMY) Box 8114, 104 20 Tukholma.

Jos Yhtiö tulee siihen tulokseen, että vastuu on olemassa oikeus ilmoittaa henkilötietotapahtumasta kärsiville henkilöille, tämä tapahtuu seuraavasti:

Asianomaisille tiedotetaan sähköpostitse, jossa henkilötietotapahtuman syy on selkeästi kuvattu;
Asiantuntijoille annetaan tietosuojavastaavan/toimitusjohtajan tai konserniin kuuluvan henkilön nimi ja yhteystiedot, joka tuntee asian ja osaa vastata kysymyksiin;
Henkilötietotapahtuman todennäköiset seuraukset kuvataan;
Kuvataan toimenpiteet, joihin on ryhdytty tai tullaan ryhtymään henkilötietotapahtuman käsittelemiseksi ja kielteisten vaikutusten lieventämiseksi;
suositus asianmukaisista toimenpiteistä, joihin asianomaisten olisi ryhdyttävä suojautuakseen henkilötietojen toimittamien vaikutusten vaikutuksilta.


4.8 Henkilötietopalvelusopimus ulkopuolisten kanssa

Yrityksellä on rutiinia arvioida, käsitteleekö ulkopuolinen osapuoli henkilötietoja yrityksen puolesta ulkopuolisia tahoja palkattaessa. Jos Yritys uskoo, että näin tapahtuu, Yhtiö edellyttää ulkopuolista sopimusta henkilötietojen käsittelijästä, jossa ulkopuolinen osapuoli ottaa henkilötietojen käsittelijän tehtävän.

Henkilötietojen käsittelijälle annetut henkilötietojen käsittelijäsopimuksen mukaiset ohjeet on mukautettu erityisesti henkilötietojen edustajan palkkaamiseen liittyviin ainutlaatuisiin olosuhteisiin ja olosuhteisiin.

5. Tekniset tietosuojatoimenpiteet

Tietojen suojaamiseksi toteutetaan seuraavat turvatoimenpiteet.

Eristetty tuotantoympäristö, johon yksittäinen kehittäjä ei yksin pääse
Turvallinen tapa käsitellä kirjautumistietoja ja muita arkaluonteisia tietoja;
Määritellyt käyttöoikeustasot työntekijöille, joilla on pääsy henkilötietoihin ja tuotteiden käyttöliittymä – luotu siten, että kaikki työntekijät eivät pääse käsiksi kaikkiin tietoihin
Suojaus ulkoisia hyökkäyksiä, troijalaisia ​​ja viruksia vastaan


6. Tietosuojan DPIA:n vaikutustenarviointi

AMCAP on, ottaen huomioon konsernin koon, liiketoiminnan laajuuden ja sen, että yksikään konserniin kuuluva yritys ei käsittele arkaluonteisia henkilötietoja, todennut, että DPIA:ta ei tällä hetkellä tarvitse tehdä ja että riittää, että ryhmä arvioi jatkuvasti kussakin yrityksessä tapahtuvaa käsittelyä. Jokaisen yrityksen johdon on kuitenkin jatkuvasti arvioitava DPIA:n tarvetta seuraavien kriteerien perusteella:

–         Arkaluonteisten henkilötietojen käsittelyn esiintyvyys

–          Hoidon ulkoistaminen kolmansiin maihin.

–          Toimenpiteet, jotka tarkoittavat, että järjestelmäympäristöä pidetään monimutkaisena.

7. Politiikasta päättäminen

Politiikasta päättää tarvittaessa, mutta vähintään kerran vuodessa, vaikkei muutoksia olisikaan tehty, yhtiön hallitus. Viimeisimmän päivityksen ja määrityksen ajankohta näkyy politiikan etusivulla.