Integritetspolicy

Integritet är väldigt viktigt för våra kunder och våra kunders anställda vid användande av våra IoT tjänster. Det är därför mycket viktigt för oss att våra kunder och användare kan lita på att all deras personuppgifter som behandlas av TRAKK är skyddade och hanteras på ett korrekt sätt i linje med den Europeiska dataskyddsförordningen (GDPR) och att rätten till integritet bibehålls.

Vi gör vårt yttersta för att vara transparenta med de personuppgiftsbehandlingar vi utför för våra kunders räkning och tillhandahålla verktyg och information för att de ska kunna efterleva GDPR så smidigt som möjligt.

Behandling av personuppgifter

Vid framtagning och uppdatering av IoT tjänster och funktioner strävar TRAKK efter att endast behandla de personuppgifter och den övriga informationen som krävs. Det innebär att inte samla mer uppgifter än nödvändigt, radera information när den inte längre behövs och att endast använda uppgifterna till det ursprungliga ändamålet.

Åtkomst av personuppgifter i TRAKKs IoT system är idag endast tillgängligt för användare med rätt behörighet. Till exempel kan förare normalt bara se sina egna resor och om det är privata så kan inte övriga användare tillgå dessa.

Biträdesavtal

TRAKK är personuppgiftsbiträde åt våra kunder (personuppgiftsansvariga) med IoT tjänster. När ni blir kund hos oss behöver ett personuppgiftsbiträdesavtal skrivas som säkerställer att vi får behandla personuppgifter för våra kunders räkning och att de görs på ett korrekt sätt.

Personuppgifter som behandlas och i vilket syfte

Vi behandlar följande personuppgifter för våra användare och förare i IoT system; namn, E-post, Lösenord (krypterat), Privata- positioner och adresser samt telefonnummer. I vissa fall behandlas även registreringsnummer för privata fordon (företagsägda fordon klassificerar vi inte som personuppgift). Uppgifterna används för att få tillgång till och nyttjande av IoT tjänsten och för elektroniska körjournal även för att uppfylla skatteverkets krav med förare per resa. Privata resor och i vissa fall fordon behandlas också men är endast tillgänglig för föraren eller användare med behörighet.

Kontaktuppgifter och enhetsdata används även för proaktiv och reaktiv kundvård vid automatiska felsökningar och åtgärder, information om systemuppdateringar och support.

Vid behandling för utskick av nyhetsbrev med nyheter, produkterbjudande och kundundersökningar är TRAKK AB personuppgiftsansvariga. Personuppgifter som behandlas är namn, titel, E-post, telefonnummer.

Hur personuppgifterna behandlas

Vid insamling och uppsättning av nya användare med inloggning till IoT systemet så läggs en E-postadress upp av en av företagets administratörer eller av TRAKK kundcenter.

Förare som inte har tillgång till IoT systemet kommer vi inte heller att begära eller lagra samtycke om behandlingen från. Detta måste då göras av kunden (personuppgiftsansvarige) själv via avtal, intresseavvägning eller medgivande. Behandlingen som utförs för förare utan inloggning är koppling mellan förare och resa i körjournalen och analysrapporter.

Behörig TRAKK personal som arbetar med kundvård använder även personuppgifter för att registrera ärenden, kontakt och felsökning på begäran eller där avvikelser identifierats vid proaktiv kundvård. Uppgifterna är tillgängliga via ett supportverktyg där alla ändringar som utförs av TRAKK personal registreras och loggas.

Kontaktuppgifter för avtalstecknare, beställare av IoT tjänster och mottagare av försändelser behandlas också i egna- och externa system för fakturering, administration och utleverans.

Hantering av E-postutskick för driftinformation, nyheter, produkterbjudanden och kundundersökningar sker utanför IoT systemet hos underbiträde till mottagare som har samtyckt till behandlingen från olika källor.

IP adresser loggas vid besök av TRAKKs hemsida eller IoT system för att kunna göra utredningar vid eventuella hackningsförsök och analyser av webbaktiviteter. Ingen uppslagning av IP adress för att hämta personuppgifter eller koppling mellan användare och IP adress utförs.

Registreringsnummer används för identifiering och slås även upp via underbiträde för att komplettera fordonskortet med bilmodell och bränsleförbrukningsdata.

Gallringsrutiner

Gallring av personuppgifter i IoT system sker enligt nedan:
Användaruppgifter (Namn, E-post, Telefonnummer) lagras så länge man är kund och rensas endast vid uppsägning eller begäran.
Körjournaler (start/stoppadress, sträcka, mätarställning, typ och syfte) sparas så länge man är kund hos oss och rensas endast vid uppsägning eller begäran.
Detta gäller även körjournaler i gamla bilar som sålts eller bytts ut.
Positioner från fordon är tillgängliga i tre månader.

Gallring av personuppgifter i övriga system sker enligt nedan:
Kontaktuppgifter (namn, titel, E-post och telefonnummer) för utskick av nyheter, produkterbjudanden och kundundersökningar tas bort vid förfrågan eller vid nekat samtycke av behandling.
Rensning på begäran påbörjas omgående och är genomfört inom 30 dagar.
Återta samtycke, korrigera, begära utdrag eller ta bort personuppgifter.
Om en användare återtar eller inte samtycker till behandling i IoT system kommer tjänsten att spärras meddelas kundens (personuppgiftsansvarige) administratörer. Användaren eller administratören ska då kontakta personuppgiftsansvarig (normalt arbetsgivaren) som vidarebefordrar begäran till TRAKKs kundcenter. Kundcenter kommer då att säkerställa att rätt person som är behörig begär ut eller vill ta bort uppgifter. Korrigering kan göras antingen i IoT systemet eller begäran via personuppgiftsansvarige.

Vid behandling i utskick av nyheter, produkterbjudande och kundundersökningar är TRAKK personuppgiftsansvariga. När en registrerad nekar samtycke att dennes personuppgifter behandlas raderas personuppgifterna och försvinner ur hanteringen.

Kontakta TRAKK för att korrigera, begära utdrag eller ta bort personuppgifter.

Skyddsåtgärder och dataskydd

Vi jobbar aktivt med informationssäkerhet och använder den senaste tekniken för brandväggar, virusskydd och övervakning för att säkerställa dataskyddet. Genom systematiskt förbättringsarbete utvecklas dataskyddet ständigt och hålls uppdaterat för att säkerställa att vi håller rätt säkerhetsnivå.

TRAKK har en jourgrupp för driftövervakning och det är endast gruppens medlemmar som har direkt tillgång till register av personuppgifter i produktionssystem.

TRAKK använder inte underbiträde eller behandling i tredje land som inte uppfyller gällande villkor för överföring enligt tillämplig dataskyddslagstiftning eller inte motsvarar.

Personuppgiftsbiträdesavtalet.

TRAKK har avtal med samtliga av sina partners och underbiträden som hanterar personuppgifter. All data i IoT system lagras på servrar i Sverige av svenska hostingpartners och är ISO27001 certifierade.

Anlitade underbiträden

TRAKK använder underbiträden för att assistera med att tillhandahålla IoT tjänster med hög tillgänglighet och kvalitet. Underbiträden används för hosting av molntjänst, order- och faktureringstjänster, E-postutskick, Kundundersökningar, E-posthantering och lagring av dokumentation samt uppslagning av fordonsinformation.

Samtliga underbiträden uppfyller de skyldigheter som specificeras i Personuppgiftsbiträdesavtalet.

Hantering vid personuppgiftsincidenter

En personuppgiftsincident är när det sker en händelse som leder till oavsiktlig förstöring, förlust, ändring, röjande av eller obehörig åtkomst till de personuppgifter som behandlas av TRAKK.

Vid en personuppgiftsincident utförs följande steg:
Undersökning av incidenten.
Vidta lämpliga åtgärder för att minska påverkan av incidenten och förhindra upprepning.
Rapport till Personuppgiftsansvarig innehållande.
Beskrivning av personuppgiftsincidentens art.
Kategorier av och det ungefärliga antalet registrerade som berörs.
Kategorier av och det ungefärliga antalet personuppgiftsposter som berörs.
Beskriva de sannolika konsekvenserna av personuppgiftsincidenten.
Beskriva de åtgärder som Personuppgiftsbiträdet har tagit för att åtgärda.
personuppgiftsincidenten.
Kontaktuppgifter till person som kan tillhandahålla mer information och svara på frågor.
Det är personuppgiftsansvariges ansvar att inom 72 timmar anmäla personuppgiftsincidenten till Datainspektionen i de fall incidenten sannolikt leder till risker för enskildas rättigheter. I övriga fall behöver ingen anmälan göras.

Göteborg den 20:e september 2019
TRAKK Telematics AB