Integritetspolicy
Senast uppdaterad: 29 April 2021
Varför och för vem?
På Carla AB org.nr (559277–3492) ("Carla", "vi", "oss", "vår") bryr vi oss om personlig integritet. Det betyder att vi respekterar och värnar om din integritet och rätten till kontroll och transparens vid behandling av dina Personuppgifter.
Carla är Personuppgiftsansvarig i förhållande till de Behandlingar av dina Personuppgifter som listas i denna Integritetspolicy ("Policyn"). Policyn beskriver för vilka ändamål vi behandlar dina Personuppgifter, vilken rättslig grund vi stödjer oss på samt vilka åtgärder vi vidtar för att skydda dina Personuppgifter. Vi informerar även om hur du gör för att utöva de rättigheter du har kopplat till vår Behandling av dina Personuppgifter.
Policyn informerar om vår Behandling av dina Personuppgifter i de fall du kommunicerar med oss, använder Tjänsten, köper fordon av oss eller besöker vår hemsida www.carla.se.
Policyn riktar sig till:
- Användare av Tjänsten (befintliga kunder)
- Potentiella kunder
- Kunder
- Besökare till vår hemsida
Definitioner
"Behandling"
Av Personuppgifter är allt som kan göras med en Personuppgift, till exempel lagring, ändring, läsning, överlämning osv.
"Gällande rätt"
Är den lagstiftning som är tillämplig för Behandling av Personuppgifter såsom Dataskyddsförordningen (GDPR), kompletterande nationell lagstiftning, samt praxis, vägledningar och rekommendationer utfärdade av en nationell eller europeisk tillsynsmyndighet.
"Personuppgifter"
Är all slags information som går att koppla till en identifierbar, levande person.
"Personuppgiftsansvarig"
Är det företag/organisation som bestämmer för vilka ändamål och på vilket sätt Personuppgifterna ska behandlas och därmed även ansvarar för att Personuppgifter behandlas enligt Gällande rätt.
"Personuppgiftsbiträde"
Är det företag/organisation som behandlar Personuppgifter för den Personuppgiftsansvariges räkning och får därmed endast Behandla Personuppgifterna enligt Personuppgiftsansvariges instruktioner samt gällande lagstiftning.
"Registrerad"
Betyder den levande, fysiska person vars Personuppgifter behandlas.
"Tjänsten"
Betyder rådgivning kring, och/eller förmedling av, bil- och leasingerbjudanden.
Carlas personuppgiftsansvar
Informationen i Policyn omfattar Behandlingar av Personuppgifter som Carla är Personuppgiftsansvarig för, dvs. Behandlingar för vilka vi bestämmer ändamålet med (varför en behandling görs) och medel för (på vilket sätt, vilka personuppgifter, hur länge osv.). Policyn beskriver inte hur vi behandlar personuppgifter i rollen som Personuppgiftsbiträde - alltså då vi behandlar personuppgifter på uppdrag av annan.
Carlas behandling av Personuppgifter
Vi på Carla erbjuder dig som kund:
- Att köpa fordon.
- Kostnadsfri rådgivning för att hitta rätt bil, och tjänster kopplade därtill.
- Hjälp med att komma i kontakt med någon som kan sälja en bil, ställa ut ett leasingavtal, eller sälja någon annan produkt eller tjänst i anslutning därtill (våra ”Partners”).
För att kunna göra detta kan vi komma att behöva behandla dina Personuppgifter, såsom t.ex. kontaktuppgifter, och om du så önskar kommer vi att sätta dig i kontakt med en säljare av nämnda produkter.
Vi har ett ansvar för att beskriva och visa hur vi lever upp till de krav som ställs på oss enligt Gällande rätt när vi behandlar dina Personuppgifter som Personuppgiftsansvarig. Följande avsnitt syftar till att informera om: - Varför Behandlingen är nödvändig i förhållande till ändamålet, och
- Vilken rättslig grund vi identifierat för Behandlingen.
Rättslig grund enligt Gällande rätt
All Behandling som sker ska stödjas på en rättslig grund enligt GDPR. Exempel på rättsliga grunder är a) fullgörande av ett avtal, b) fullgörande rättslig förpliktelse, c) berättigat intresse och d) samtycke.
Hur länge sparar vi dina Personuppgifter?
Vi sparar dina Personuppgifter så länge det är nödvändigt med hänsyn till det ändamål som de samlades in för. I listan nedan anger vi (i den utsträckning det är möjligt) den period Personuppgifterna kommer att lagras eller de kriterier som används för att fastställa perioden.
Behandlingar
- Behandling och ändamålet med Behandlingen: Ge personlig rådgivning åt dig som kund.
Personuppgifter: E-postadress och/eller telefonnummer samt information som lämnas och ges i samband med rådgivningen såsom typ av bil och budget.
Källa: Inhämtas direkt från dig som kund.
Rättslig grund: Fullgörande av avtal.
Period för lagring: Tills rådgivningen är slutförd samt under tid därefter för uppföljning av ditt ärende. - Behandling och ändamålet med Behandlingen: Förmedla kontakt mellan dig som kund och våra Partners, så att de kan komma i kontakt med dig.
Personuppgifter: E-postadress och/eller telefonnummer samt information om vilken bil/tjänst du är intresserad av.
Källa: Inhämtas direkt från dig som kund.
Rättslig grund: Fullgörande av avtal.
Period för lagring: Tills rådgivningen är slutförd samt under tid därefter för uppföljning av ditt ärende. - Behandling och ändamålet med Behandlingen: Tillhandahållande av användarkonto.
Personuppgifter: Inloggningsuppgifter (användarnamn och lösenord) samt information som sparas på användarkontot.
Källa: Inhämtas direkt från dig.
Rättslig grund: Fullgörande av avtal.
Period för lagring: Så länge du väljer att ha användarkontot aktivt. - Behandling och ändamålet med Behandlingen: Administrering av återbäring.
Personuppgifter: E-postadress och/eller telefonnummer samt bankkontouppgifter.
Källa: Inhämtas direkt från dig.
Rättslig grund: Fullgörande av avtal.
Period för lagring: Tills utbetalning har skett. - Behandling och ändamålet med Behandlingen: Marknadsföring av Carla och de tjänster och produkter vi tillhandahåller som vi tror kan vara av intresse för dig.
Personuppgifter: E-postadress och/eller telefonnummer.
Källa: Inhämtas direkt från dig, antingen för att du varit/är vår kund eller för att du skickat in dina kontaktuppgifter via vår hemsida eller via mejl.
Rättslig grund: Fullgörande av berättigat intresse.
Period för lagring: Upp till tre år eller tills du invänder mot fortsatta marknadsföringsutskick. - Behandling och ändamålet med behandlingen: Analys av hur Tjänsten används, som underlag för förbättring och produktutveckling.
Personuppgifter: Information om hur du som kund använder Tjänsten och dess utfall. Informationen anonymeras och behandlas därefter i aggregerat format.
Källa: Inhämtas direkt från dig som kund och från våra Partners.
Rättslig grund: Berättigat intresse.
Period för lagring: Från insamling av information fram till anonymisering och aggregering. - Behandling och ändamålet med Behandlingen: Insamling av information om hur du använt vår hemsida, för att kunna anpassa innehållet i syfte att det ska vara så relevant som möjligt för dig i framtiden.
Personuppgifter: IP-adresser.
Källa: Din enhet (dator, mobil, surfplatta etcetera)
Rättslig grund: Samtycke.
Period för lagring: Enligt aktuella inställningar i analysverktyget. - Behandling och ändamålet med Behandlingen: Reservera fordon inför eventuellt köp.
Personuppgifter: Namn, kontaktuppgifter, information om vilket fordon intresset avser, personnummer, uppgifter om betalning (kortnummer, kontonummer), uppgift om val av låneinstitut,
Källa: Inhämtas direkt från dig som kund. Rättslig grund: Fullgörande av avtal, berättigat intresse.
Period för lagring: Om köp fullbordas sparas uppgifterna under den preskriptionstid som gäller för köp av begagnad bil. Om du inte köper bilen raderar vi uppgifterna efter [antal] månader. - Behandling och ändamålet med Behandlingen: Sälja begagnad bil till dig som kund.
Personuppgifter: Namn, kontaktuppgifter, information om vilket fordon intresset avser, personnummer, uppgifter om betalning (kortnummer, kontonummer), uppgift om val av låneinstitut, uppgift om val av försäkringsbolag.
Källa: Inhämtas direkt från dig som kund.
Rättslig grund: Fullgörande av avtal.
Period för lagring: Tills köpet är fullbordat samt under den preskriptionstid för reklamation som gäller för köp av begagnad bil. - Behandling och ändamålet med Behandlingen: Insamlande och administration av intresseanmälan för XPENG P7. För att hålla dig löpande uppdaterad om ny information rörande P7, för att berätta för dig när vi öppnar för beställningar och för att överföra dina uppgifter till XPENG för registrering av förtursinnehavare.
Personuppgifter: Namn, kontaktuppgifter (e-post, telefon).
Källa: Inhämtas direkt från dig när du signerar en intresseanmälan.
Rättslig grund: Fullgörande av avtal.
Period för lagring: Till dess att du sagt upp dig från intresselistan eller till dess att tre månader har passerat från att du valt placera en beställning för en P7. Om inget av ovanstående händer kommer vi att radera dina uppgifter när intresselistan avvecklas, vilket sker 6 månader efter säljstart för XPENG P7. - Vi kommer även att kunna komma behöva behandla dina Personuppgifter i den utsträckning som krävs enligt lag eller andra rättsliga förpliktelser, till exempel för bokföring eller rapportering till myndigheter. Vi kan även behandla dina Personuppgifter om det behövs för att försvara eller göra gällande våra, dina eller andras juridiska rättigheter, affärsintressen eller andra legitima intressen. Det kan till exempel behövas om du eller någon annan riktar krav mot oss. Behandlingen är nödvändig för att fullgöra vårt berättigade intresse av att skydda dig och andra samt för andra berättigade intressen, såsom vårt intresse av att kunna försvara oss mot eller göra gällande rättsliga anspråk.
I de fall vi, av strategiska eller affärsmässiga skäl, i framtiden beslutar att sälja eller överföra hela eller delar av Carla kan dina Personuppgifter delas eller överföras till parter som är involverade i transaktionen. Denna behandling baseras på vårt berättigade intresse av att kunna utveckla vår verksamhet.
Dina rättigheter
Du är den som bestämmer över dina Personuppgifter. Vi strävar alltid efter att se till att du kan utöva dina rättigheter så effektivt och smidigt som möjligt.
Tillgång
Du har alltid rätt att få information om de Personuppgiftsbehandlingar som rör dig. Vi lämnar endast ut uppgifter om vi har kunnat säkerställa att det faktiskt är du som frågar efter uppgifterna.
Rättelse
Upptäcker du att de Personuppgifter vi behandlar om dig inte stämmer, hör av dig så fixar vi det!
Radering
Vill du att vi glömmer dig helt? Du har rätt att begära radering av dina Personuppgifter när de inte längre är nödvändiga för det syfte de blev insamlade för. Om vi är skyldiga att behålla dina uppgifter enligt lag eller ett avtal som vi har ingått med dig kommer vi att säkerställa att de endast behandlas för det specifika ändamål som framgår av lagen eller avtalet; därefter ser vi till att uppgifterna raderas så snart som möjligt.
Invändning
Håller du inte med oss om att vårt intresse av att behandla dina Personuppgifter väger tyngre än ditt intresse av skydd av den personliga integriteten? Ingen fara - i så fall ser vi över vår intresseavvägning och kontrollerar att den fortfarande håller. Vi väger såklart in din invändning när vi gör en ny bedömning för att utvärdera om vi fortfarande kan motivera vår Behandling av dina Personuppgifter. Invänder du mot direktmarknadsföring kommer vi ta bort dina Personuppgifter på en gång utan att se över vår bedömning.
Begränsning
Du kan även be oss att begränsa vår Behandling av dina uppgifter:
- Under tiden som vi hanterar en begäran från dig om någon av dina andra rättigheter
- Om du, istället för att begära radering, vill att vi markerar att uppgifterna inte ska behandlas för ett visst ändamål. Om du till exempel inte vill att vi skickar reklam till dig i framtiden behöver vi fortfarande spara ditt namn för att veta att vi inte ska kontakta dig
- I de fall där vi inte längre behöver uppgifterna för det ändamål som de samlades in för; förutsatt att du inte har ett intresse av att vi behåller uppgifterna för att kunna göra gällande ett rättsligt anspråk.
Dataportabilitet
Vi kan i vissa fall ge dig de uppgifter du själv lämnat till oss eller som vi har fått av dig i samband med att vi ingått ett avtal med dig. Du får dina uppgifter i ett allmänt använt och maskinläsbart format som du sen kan ta med dig till en annan Personuppgiftsansvarig.
Återkalla samtycke
Om du har samtyckt till en eller flera specifika Behandling(ar) av dina Personuppgifter har du närsomhelst rätt att återkalla ditt samtycke och därmed be oss att upphöra med Behandlingen omedelbart. Observera att du endast kan återkalla ditt samtycke för framtida Behandling(ar) av Personuppgifter och inte för Behandling som redan skett.
Hur du utövar dina rättigheter
Kontakta oss på GDPR@carla.se
Överföring av Personuppgifter
För att driva vår verksamhet kan vi behöva ta hjälp av andra som behandlar Personuppgifter för vår räkning, så kallade Personuppgiftsbiträden.
I de fall där våra Personuppgiftsbiträden överför Personuppgifterna till ett land utanför EU/EES har vi säkerställt att Behandlingen är laglig enligt gällande rätt genom att något av följande krav är uppfyllda:
- det finns ett beslut från EU-kommissionen om att landet säkerställer adekvat skyddsnivå;
- tillämpning av EU-kommissionens standardavtalsklausuler för tredjelandsöverföring; eller
- andra lämpliga skyddsåtgärder som uppfyller gällande rätt.
Vi har ingått personuppgiftsbiträdesavtal (PUB-avtal) med alla våra Personuppgiftsbiträden. PUB- avtalet reglerar hur Personuppgiftsbiträdet får behandla Personuppgifterna och vilka säkerhetsåtgärder som krävs för personuppgiftsbehandlingen.
Överföring av Personuppgifter till annan Personuppgiftsansvarig
I de fall vi hjälper dig som vår kund med att förmedla kontakt med en eller flera av våra Partners kommer det att ske en överföring av dina Personuppgifter. Efter överföringen blir respektive Partner Personuppgiftsansvarig för sin Behandling av dina Personuppgifter.
Vi kan även behöva lämna dina Personuppgifter till vissa utpekade myndigheter för att fullgöra skyldigheter enligt lag eller myndighetsbeslut.
I det fall vi i framtiden beslutar att sälja eller överföra hela eller delar av Carla kan dina Personuppgifter behövas delas med eller överföras till parter som är involverade i den processen.
Våra säkerhetsåtgärder
Carla har vidtagit tekniska och organisatoriska åtgärder för att säkerställa att dina personuppgifter behandlas på ett säkert sätt och att de skyddas från förlust, missbruk och obehörig eller otillåten åtkomst.
Organisatoriska säkerhetsåtgärder
Är åtgärder som implementeras i arbetssätt och rutiner inom organisationen. Våra organisatoriska säkerhetsåtgärder är:
- Interna styrdokument (policys/instruktioner)
- Behörighetsstyrd åtkomst.
Tekniska säkerhetsåtgärder
Är åtgärder som implementeras genom tekniska lösningar. Våra tekniska säkerhetsåtgärder är:
- Kryptering
- Säkert nätverk
- Säkerhetskopiering
- Regelbunden kontroll av säkerhetsnivå
Cookies
Carla använder cookies och liknande spårningstekniker för att bland annat analysera hur Tjänsten och vår hemsida används så att vi kan ge dig den absolut bästa användarupplevelsen. Mer information om hur vi använder cookies finns i vår Cookie Policy (www.carla.se/cookies).
Om vi inte håller vad vi lovar
Om du upplever att vi behandlar dina Personuppgifter på ett felaktigt sätt, även efter att du har uppmärksammat oss om detta, så har du alltid rätt att lämna ditt klagomål till Integritetsskyddsmyndigheten.
Mer information om våra skyldigheter som Personuppgiftsansvarig och dina rättigheter som Registrerad finns på https://www.imy.se/. Du kan också kontakta Integritetsskyddsmyndigheten på imy@imy.se.
Ändringar i Policyn
Vi reserverar oss rätten att göra ändringar i Policyn. I de fall ändringen påverkar våra skyldigheter eller dina rättigheter, kommer vi att informera om ändringarna i förväg så att du ges möjlighet att ta ställning till den uppdaterade policyn.
Kontakt
Hör av dig till oss om du har frågor om dina rättigheter eller om du har några andra frågor om hur vi behandlar dina Personuppgifter: