Ehdot ja käytännöt

Tietosuojakäytäntö

Tämä käytäntö koskee AMCAP-konsernin hallitusta, johtoa ja koko henkilöstöä. Sen tarkoituksena on varmistaa, että kaikki konserniyhtiöt noudattavat EU:n asetusta 2016/679 (jäljempänä ”tietosuoja-asetus” tai ”GDPR”). Jokainen konserniyhtiö vastaa itse GDPR:n ja tämän käytännön noudattamisesta.

2. Vastuu, noudattaminen ja koulutus

Jokainen konserniyhtiö on velvollinen varmistamaan, että yhtiössä tapahtuva henkilötietojen käsittely on tietosuoja-asetuksen ja tämän käytännön määräysten mukaista.

2.1 Yhtiön tietosuojavastaava​

AMCAP on arvioinut, että konsernin ei tarvitse nimittää tietosuojavastaavaa. Näin ollen kunkin yhtiön toimitusjohtaja vastaa siitä, että henkilötietojen käsittely on tietosuojakäytännön määräysten mukaista.

2.2 Henkilötietojen käsittelyä koskevat sisäiset koulutukset yhtiössä​

Jos yhtiön sisäinen osaaminen ei selvästi ole riittävää, kunkin yhtiön on varmistettava, että sen henkilöstö saa tarvittavana pidetyn koulutuksen. Yhtiön käytäntöjä ja koulutustoimien tarvetta seurataan ja päivitetään säännöllisesti.

3. Yleistä henkilötietojen käsittelystä konsernissa​

3.1 Seloste käsittelytoimista​

AMCAP on luonut tietosuoja-asetuksen 30 artiklan mukaisen selosteen henkilötietojen käsittelytoimista kussakin yhtiössä. Selosteen sisältö:

  • yhtiön yhteystiedot
  • käsittelytoimen tarkoitus ja oikeusperuste
  • rekisteröityjen ryhmät, esim. asiakkaat ja toimittajat
  • henkilötietoryhmät, esim. nimi, osoite ja pankkitiedot
  • henkilötietojen vastaanottajien ryhmät, joille yhtiö luovuttaa henkilötietoja, esim. palveluntoimittajat
  • henkilötietojen mahdolliset siirrot kolmanteen maahan
  • eri henkilötietoryhmien poistamisen määräajat
  • yleinen kuvaus yhtiön toteuttamista teknisistä ja organisatorisista turvatoimista.

4. Organisatoriset tietoturvatoimet​

Yhtiön on otettava huomioon käsittelyn luonne, laajuus, asiayhteys ja tarkoitukset sekä luonnollisten henkilöiden oikeuksiin ja vapauksiin kohdistuvat, todennäköisyydeltään ja vakavuudeltaan vaihtelevat riskit ja toteutettava sen pohjalta tarvittavat tekniset ja organisatoriset toimenpiteet, joilla voidaan varmistaa ja osoittaa, että käsittelyssä noudatetaan tätä tietosuoja-asetusta. Yhtiö on näin ollen laatinut tietosuoja-asetuksen mukaisen ohjeistuksen, jossa kuvataan alla mainittuja osa-alueita.

4.1 Henkilötietojen käsittelyä koskevat mekanismit​

Yhtiössä tapahtuvan henkilötietojen käsittelyn tarkoituksena on tuottaa toimivaa, helppokäyttöistä ja turvallista palvelua ajoneuvojen myymiseksi. Tämä edellyttää sitä, että AMCAP

  • säilyttää tiettyjä tietoja yhtiön asiakkaista (esim. käyttäjän henkilö- ja yhteystiedot)
  • hallinnoi käyttäjän maksuja ja yhtiön asiakassuhdetta käyttäjän kanssa
  • antaa käyttäjälle tietoa (muuta kuin markkinointia) selkeästi ja yksinkertaisesti
  • tarkastaa käyttäjän luottotiedot
  • paljastaa, estää ja käsittelee palvelun väärinkäyttöä ja petoksia
  • tekee riskianalyyseja ja riskienhallintaa
  • tekee sisäistä vianetsintää ja data-analyyseja sekä kokoaa tilastotietoa
  • tekee käyttäjäanalyyseja.

 

Yhtiön kaikilla henkilötietojen käsittelytoimilla on oltava tietosuoja-asetuksen mukainen oikeusperuste. Yhtiö tukeutuu pääasiassa kolmeen oikeusperusteeseen: (i) sopimuksen täytäntöönpano, (ii) lakisääteinen velvoite ja (iii) oikeutetut edut. Edellä mainituista kohdista yhtiön oikeutettuun etuun perustuvat (i) käyttäjäanalyysien teko sekä (ii) palvelun väärinkäytösten paljastaminen, estäminen ja käsittely. Muissa kohdissa käsittely perustuu palvelun käyttäjän kanssa tehtyyn sopimukseen ja yhtiön lakisääteisiin velvoitteisiin.

Jos yhtiö käyttää oikeutettua etua käsittelyn oikeusperusteena, oikeutettuna etuna on palvelun kehittäminen käyttäjäkokemuksen parantamiseksi ja pyrkimys parantaa palvelujen turvallista ja luotettavaa tarjoamista. Palvelun käyttöön liittyvien väärinkäytösten ja petosten mahdollisimman laaja paljastaminen ja estäminen sekä niihin puuttuminen on ensiarvoisen tärkeää. Pohjimmiltaan kyse on käyttäjien suojelemisesta, mitä käyttäjien tulee myös voida edellyttää yhtiöltä.

4.2 Henkilötietojen keräämismekanismit​

AMCAP pyrkii aina keräämään mahdollisimman vähän henkilötietoja käsittelytarkoituksen saavuttamiseksi. Yhtiö suhtautuu siten valikoivasti henkilötietoihin, joita käyttäjältä pyydetään AMCAPin palveluiden käyttämiseksi. Seuraavien tietojen käsittely on yleensä välttämätöntä yhtiön palvelun tarjoamiseksi:

  • Henkilö- ja yhteystiedot: nimi, syntymäaika, henkilötunnus, laskutus- ja toimitusosoite, sähköpostiosoite, matkapuhelinnumero jne.
  • Taloudelliset tiedot: käyttäjän tulot, mahdolliset luotot ja negatiivinen maksuhistoria
  • Historiatiedot: käyttäjän maksu- ja luottohistoria
  • Tiedot vuorovaikutuksesta AMCAPin kanssa: palvelun käyttötavat, ml. sivujen vasteaika, latausvirheet, sisään- ja uloskirjautuminen palvelussa ja toimitusilmoitukset, kun yhtiö on yhteydessä käyttäjään
  • Laitetiedot: esimerkiksi käyttäjän IP-osoite, kieliasetukset, selainasetukset, aikavyöhyke, käyttöjärjestelmä, alusta ja näyttöresoluutio.

4.3 Henkilötietojen siirto muille kuin käyttäjälle itselleen (jäljempänä ”kolmannet osapuolet”)​

Yhtiö ei pääsääntöisesti siirrä henkilötietoja kolmannelle osapuolelle, ellei se ole välttämätöntä asiakkaan toiveiden toteuttamiseksi. Yhtiö tiedottaa käyttäjille siitä, jos heidän henkilötietojaan jaetaan kolmansille osapuolille liitteenä 1 olevan selosteen mukaisesti. Seloste on tällä hetkellä luettavissa verkkosivuilla ja pian myös mobiilisovelluksessa. Yhtiö jakaa käyttäjien henkilötietoja kolmansille osapuolille vain siinä määrin kuin se on välttämätöntä käyttäjän kanssa tehdyn palvelusopimuksen täytäntöön panemiseksi tai lainsäädännön noudattamiseksi. Jos siirto tapahtuu, yhtiö ryhtyy kohtuullisiin sopimuksellisiin, oikeudellisiin, teknisiin ja organisatorisiin toimenpiteisiin, joilla varmistetaan käyttäjän tietojen käsittely turvallisesti ja riittävästä tietosuojasta huolehtimalla.

Yhtiö voi jakaa tietoja seuraaville kolmansien osapuolien ryhmille:

  • toimittajat ja alihankkijat
  • luottotietoyritykset ja vastaavat
  • toimittajat
  • muut konserniyhtiöt
  • viranomaiset (Esimerkiksi välttämättömien tietojen luovuttaminen Poliisille, Verohallinnolle tai muille viranomaisille, mikäli laissa niin määrätään. Lakisääteinen tiedonantovelvollisuus voi liittyä esimerkiksi rahanpesun ja terrorismin rahoittamisen ehkäisytoimiin.)
  • perintäyritykset (Yhtiö saattaa jakaa tietoa myydessään saatavia kolmannelle osapuolelle, kuten perintäyritykselle.)

4.4 Käytännöt henkilötietojen rajat ylittävissä siirroissa EU:n tai Etan ulkopuolelle (”kolmas maa”)​

Yhtiö pyrkii mahdollisimman laajasti aina kuin mahdollista käsittelemään käyttäjien henkilötietoja EU- ja Eta-alueella. Jokin konserniyhtiö tai toinen toimittaja tai alihankkija saattaa kuitenkin joissain tilanteissa siirtää henkilötietoja kolmanteen maahan käsittelyä varten. Yhtiö ryhtyy kohtuullisiin sopimuksellisiin, oikeudellisiin, teknisiin ja organisatorisiin toimenpiteisiin, joilla varmistetaan käyttäjän tietojen turvallinen käsittely ja riittävä tietosuojan taso, joka vastaa olennaisilta osin EU:ssa ja Etassa taattua suojan tasoa. Yhtiö pyrkii siihen, että mahdollisten kolmanteen maahan tehtävien siirtojen tukena on

  • EU-komission päätös siitä, että kolmas maa varmistaa riittävän tietosuojan tason
  • yritystä koskevat sitovat säännöt tai
  • vakiosopimuslausekkeet.

4.5 Säilytysaikoihin liittyvät käytännöt​

Yhtiö ryhmittelee henkilötiedot eri tavoin sen mukaan, ovatko säilytysajat lakisääteisiä vai eivät. Lakisääteiset säilytysajat liittyvät esimerkiksi rahanpesun vastaisiin toimiin ja kirjanpitoon. Jos yhtiön käsittelemillä henkilötiedoilla ei ole lakisääteistä säilytysaikaa, henkilötietoja säilytetään niin pitkään kuin se on välttämätöntä kulloisenkin palvelun tarjoamiseksi.

4.6 Käyttäjän oikeuksista huolehtimiseen liittyvät rutiinit​

Yhtiö on perustanut posti- ja sähköpostikanavat, joiden kautta käyttäjät voivat käyttää oikeuksiaan. Yhteydenottokanavien kautta yhtiö voi suostua käyttäjän pyyntöön, joka koskee seuraavia toimia:

  • suoran pääsyn saaminen omiin henkilötietoihin sikäli kuin tietoja voidaan luovuttaa lain, asetuksen tai päätöksen mukaan
  • virheellisten tietojen korjaaminen
  • sellaisten tietojen poistaminen, jotka asiakas on antanut omalla suostumuksellaan
  • henkilötietojen käsittelyn rajoittaminen
  • käyttäjän itse antamien henkilötietojen siirtäminen
    järjestelmästä toiseen.

Kun yhtiö saa pyynnön edellä mainittujen oikeuksien käyttämisestä, se toimii seuraavasti:

  • Yhtiö tiedottaa asiakkaan pyynnöstä ilman aiheetonta viivytystä yhtiön tietosuojavastaavalle/toimitusjohtajalle.
  • Yhtiön tietosuojavastaava/toimitusjohtaja huolehtii sen jälkeen ilman aiheetonta viivytystä siitä, että asiakas saa vastauksen pyyntöönsä. Kaikissa olosuhteissa asiakkaan pyyntöön on vastattava viimeistään 30 työpäivässä pyynnön vastaanottamisesta.

4.7 Henkilötietojen tietoturvaloukkausten hallintakäytännöt​

Yhtiö määrittelee henkilötietojen tietoturvaloukkauksen tahalliseksi tai vahingossa tapahtuvaksi loukkaukseksi, joka voi uhata ihmisten oikeuksia ja vapauksia. Riskinä voi olla omien tietojen hallinnan menettäminen tai oikeuksien loukkaaminen esimerkiksi petosten tai salassapitovelvollisuuden rikkomisen myötä.

Kunkin yhtiön toimitusjohtajan vastuulla on ilmoittaa henkilötietojen tietoturvaloukkauksesta täyttämällä tietosuojavaltuutetun toimiston laatima ilmoituslomake ja lähettämällä se tietosuojavaltuutetun toimistolle sähköisesti.

Jos yhtiö päätyy siihen, että se on velvollinen tiedottamaan asiasta tietoturvaloukkauksen kohteille, tämä tapahtuu seuraavasti:

  • Henkilöille lähetetään sähköposti, jossa henkilötietojen tietoturvaloukkauksen syy kuvataan selvästi.
  • Sähköpostissa ilmoitetaan tietosuojavastaavan/toimitusjohtajan tai asiaan perehtyneen konsernin työntekijän nimi ja yhteystiedot, jotta henkilö voisi esittää mahdollisia kysymyksiä.
  • Sähköpostissa kerrotaan henkilötietojen tietoturvaloukkauksen todennäköiset seuraukset.
  • Sähköpostissa kuvataan toimenpiteet, joihin yhtiö on ryhtynyt tai aikoo ryhtyä tietoturvaloukkauksen johdosta ja mahdollisten haittavaikutusten lieventämiseksi.
  • Sähköpostissa suositellaan toimenpiteitä, joihin henkilön tulisi ryhtyä suojautuakseen loukkauksen vaikutuksilta.

4.8 Henkilötietojen käsittelysopimukset ulkoisten osapuolten kanssa​

Käyttäessään ulkoisia osapuolia yhtiö arvioi, käsitteleekö osapuoli myös henkilötietoja yhtiön lukuun. Jos yhtiö arvioi näin tapahtuvan, se vaatii ulkoista osapuolta tekemään henkilötietojen käsittelysopimuksen, jossa ulkoinen osapuoli sitoutuu toimimaan henkilötietojen käsittelijänä. Henkilötietojen käsittelysopimuksen mukaiset käsittelyohjeet on sovitettava tapauskohtaisiin olosuhteisiin, jotka riippuvat henkilötietojen käsittelijän käyttämisen syistä.

5. Tekniset tietoturvatoimet​

Yhtiö toteuttaa seuraavat tietoturvatoimet:

  • Eristetty tuotantoympäristö, johon yhdelläkään kehittäjällä ei ole yksin pääsyä.
  • Kirjautumistietojen ja muiden arkaluonteisten tietojen turvallinen käsittely.
  • Ennalta määritellyt käyttövaltuustasot henkilöstölle, jolla on pääsy henkilötietoihin ja tuotekäyttöliittymään. Tasot on luotu siten, että koko henkilöstöllä ei ole pääsyä kaikkeen tietoon.
  • Suojautuminen ulkopuolisilta hyökkäyksiltä, troijalaisilta ja viruksilta.

6. Tietosuojaa koskeva vaikutustenarviointi (DPIA)​

AMCAP on todennut, että tietosuojaa koskeva vaikutustenarviointi ei ole nykytilanteesta tarpeen ja että riittää, kun konserni säännöllisesti tarkastaa yhtiökohtaisia käsittelytoimia. Päätös perustuu konsernin kokoon, toiminnan laajuuteen ja siihen, että mikään konserniyhtiö ei käsittele arkaluonteisia henkilötietoja. Kunkin yhtiön johdon on kuitenkin säännöllisesti arvioitava tarvetta toteuttaa tietosuojaa koskeva vaikutustenarviointi seuraavien kriteerien mukaisesti:

  • arkaluonteisten henkilötietojen esiintyminen ja käsittely
  • käsittelyn siirtäminen kolmanteen maahan.
  • toimenpiteet, joiden vuoksi järjestelmäympäristö katsotaan monimutkaiseksi.

7. Vahvistaminen​

Yhtiön hallitus vahvistaa käytännön tarvittaessa, kuitenkin vähintään vuosittain, vaikka siihen ei olisikaan tehty muutoksia. Päivityksen ja vahvistuksen ajankohta ilmenee käytännön etusivulta.

Liite 1 Seloste käsittelytoimista​