Integritetspolicy
Sekretess är av yttersta vikt för våra kunder och deras anställda när de använder våra tjänster. Det är därför avgörande för oss att våra kunder och användare kan lita på att alla deras personuppgifter som behandlas av Taggr skyddas och hanteras korrekt i enlighet med den europeiska allmänna dataskyddsförordningen (GDPR), vilket säkerställer att rätten till integritet upprätthålls.
Vi strävar efter att vara transparenta med den personuppgiftsbehandling vi utför för våra kunders räkning och tillhandahåller verktyg och information för att hjälpa dem att följa GDPR så smidigt som möjligt.
Behandling av personuppgifter
Vid utveckling och uppdatering av våra tjänster och funktioner strävar Taggr efter att endast behandla personuppgifter och annan information som krävs. Det innebär att vi inte samlar in fler uppgifter än nödvändigt, raderar information när den inte längre behövs och endast använder uppgifterna för det ursprungliga ändamålet. Tillgång till personuppgifter i Taggrs system är för närvarande endast tillgänglig för användare med lämplig behörighet. Till exempel kan förare i allmänhet bara se sina egna resor, och om dessa resor är privata kan andra användare inte komma åt dem.
Avtal om databehandling
Taggr agerar som personuppgiftsbiträde åt våra kunder (personuppgiftsansvariga). När du blir kund hos oss måste ett personuppgiftsbiträdesavtal tecknas för att säkerställa att vi kan behandla personuppgifter för våra kunders räkning på ett korrekt sätt.
Personuppgifter som behandlas och ändamål för insamling av uppgifter
Vi behandlar följande personuppgifter för våra användare och förare: namn, e-post, lösenord (krypterat), privata platser och adresser samt telefonnummer. I vissa fall behandlar vi även registreringsnummer för privata fordon (företagsägda fordon klassar vi inte som personuppgifter). Uppgifterna används för åtkomst och nyttjande av våra tjänster samt för elektroniska körjournaler för att uppfylla Skatteverkets krav med föraruppgifter per resa. Privata resor och i vissa fall fordon behandlas också men är endast tillgängliga för föraren eller behöriga användare.
Kontaktuppgifter och enhetsdata används också för proaktiv och reaktiv kundsupport, automatisk felsökning, systemuppdateringar och support. För behandling i samband med utskick av nyhetsbrev med uppdateringar, produkterbjudanden och kundundersökningar är Taggr personuppgiftsansvarig. De personuppgifter som behandlas är namn, titel, e-post och telefonnummer.
Hur personuppgifter behandlas
Vid insamling och uppläggning av nya användare med inloggningsbehörighet till systemet anges en e-postadress av någon av bolagets administratörer eller av Taggrs kundcenter.
För förare som inte har tillgång till systemet kommer vi inte att begära eller lagra samtycke till behandling från dem. Detta måste göras av kunden (personuppgiftsansvarig) själv genom avtal, berättigat intresse eller samtycke. Den behandling som sker för förare utan inloggningsbehörighet är kopplingen mellan föraren och resan i förarlogg och analysrapporter.
Auktoriserad Taggr-personal som arbetar med kundsupport använder även personuppgifter för ärenderegistrering, kontakt och felsökning på begäran eller när avvikelser identifieras under proaktiv kundsupport. Uppgifterna är åtkomliga via ett supportverktyg där alla ändringar som görs av Taggr-personal registreras och loggas.
Kontaktuppgifter till avtalstecknare, beställare av tjänster och mottagare av försändelser behandlas också i interna och externa system för fakturering, administration och leverans.
Hanteringen av e-postmeddelanden för driftinformation, uppdateringar, produkterbjudanden och kundundersökningar sker utanför systemet av underleverantörer till vilka mottagarna har samtyckt till behandling från olika källor.
IP-adresser loggas vid besök på Taggrs webbplats eller system för att genomföra undersökningar av eventuella hackningsförsök och analysera webbaktiviteter. Ingen uppslagning av IP-adresser för att hämta personuppgifter eller koppling mellan användare och IP-adresser utförs.
Registreringsnummer används för identifiering och söks också upp via en subprocessor för att komplettera fordonsregistret med uppgifter om bilmodell och bränsleförbrukning.
Policyer för bevarande
Lagring av personuppgifter i systemet sker enligt följande:
- Användardata (namn, e-post, telefonnummer) lagras så länge kundrelationen existerar och rensas endast vid uppsägning eller på begäran.
- Förarloggar (start/stopp-adress, avstånd, vägmätarställning, typ och syfte) lagras så länge kundrelationen finns och rensas endast vid avslut eller begäran. Detta gäller även förarloggar i gamla fordon som har sålts eller bytts ut.
- Fordonsplatserna är tillgängliga i tre månader.
Lagring av personuppgifter i andra system sker enligt följande:
- Kontaktuppgifter (namn, titel, e-post och telefonnummer) för att skicka uppdateringar, produkterbjudanden och kundundersökningar tas bort på begäran eller om samtycke till behandling nekas.
- Radering på begäran börjar omedelbart och är slutförd inom 30 dagar.
Återkallande av samtycke och begäran, rättelse eller radering av personuppgifter
Om en användare återkallar eller inte samtycker till behandling i systemet kommer tjänsten att blockeras och kundens (den personuppgiftsansvariges) administratörer kommer att meddelas. Användaren eller administratören ska då kontakta den personuppgiftsansvarige (vanligtvis arbetsgivaren) som vidarebefordrar begäran till Taggrs kundcenter. Kundcentret kommer sedan att se till att rätt person har behörighet att begära eller vill radera data. Korrigeringar kan göras antingen i systemet eller via en begäran till den personuppgiftsansvarige.
För behandling vid utskick av nyhetsbrev, produkterbjudanden och kundundersökningar är Taggr personuppgiftsansvarig. När en registrerad person nekar till att samtycka till att dennes personuppgifter behandlas raderas personuppgifterna och tas bort från hanteringen.
Kontakta Taggr för att korrigera, begära kopior eller radera personuppgifter.
Säkerhetsåtgärder och dataskydd
Vi arbetar aktivt med informationssäkerhet och använder den senaste tekniken för brandväggar, antivirusskydd och övervakning för att säkerställa dataskyddet. Genom ett systematiskt förbättringsarbete utvecklas och uppdateras dataskyddet kontinuerligt för att säkerställa att vi upprätthåller en lämplig säkerhetsnivå.
Taggr har ett jourteam för driftövervakning och endast medlemmar i detta team har direkt tillgång till personuppgiftsregister i produktionssystemet. Taggr använder inte underbiträden eller behandling i tredje land som inte uppfyller tillämpliga villkor för överföring enligt relevant dataskyddslagstiftning eller motsvarar våra standarder.
Avtal om databehandling
Taggr har avtal med alla sina partners och underbiträden som hanterar personuppgifter. All data i systemet lagras på servrar i Sverige hos svenska hostingpartners som är certifierade enligt ISO27001.
Tjänster från tredje part
Taggr använder vissa tredjepartsorganisationer för att hjälpa till att tillhandahålla tjänster med hög tillgänglighet och kvalitet. Tredjepartstjänster används för hosting av molntjänster, order- och faktureringstjänster, e-postmeddelanden, kundundersökningar, e-posthantering och dokumentlagring samt sökning av fordonsinformation. Alla tredjepartsorganisationer uppfyller de skyldigheter som anges i databehandlingsavtalet.
Hantering av personuppgiftsincidenter
En personuppgiftsincident är en händelse som leder till oavsiktlig förstörelse, förlust, ändring, obehörigt röjande av eller tillgång till personuppgifter som behandlas av Taggr.
I händelse av en personuppgiftsincident vidtas följande åtgärder:
- Utredning av händelsen.
- Lämpliga åtgärder för att minska incidentens påverkan och förhindra att den upprepas.
- Rapportera till den personuppgiftsansvarige som innehåller:
- Beskrivning av typen av personuppgiftsincident.
- Kategorier och ungefärligt antal berörda registrerade.
- Kategorier och ungefärligt antal berörda personuppgiftsregister.
- Beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten.
- Beskrivning av de åtgärder som personuppgiftsbiträdet har vidtagit för att hantera personuppgiftsincidenten.
- Kontaktuppgifter till den person som ger ytterligare information och svarar på frågor.
Den personuppgiftsansvarige är skyldig att rapportera personuppgiftsincidenten till Integritetsskyddsmyndigheten inom 72 timmar om incidenten sannolikt medför risker för enskildas rättigheter. I övriga fall behövs ingen rapportering.