En rättighet för konsumenter är rätten att bli glömd. Hur löser vi det?
En rättighet för konsumenter är rätten att bli glömd. Hur löser vi det?

Nyhet -

Hur hanterar Midland GDPR?

GDPR - Dataskyddsförordningen, vad handlar det om?
EU:s dataskyddsförordning (GDPR) ersätter personuppgiftslagen (PUL). Syftet med Dataskyddsförordningen är att den enskilde personen ska få större kontroll över sina personuppgifter samt att uppgifterna inte missbrukas, exempelvis e-post till konsumenter från företag där en relation saknas. 

Det finns mängder med artiklar om GDPR på Internet. Datainspektionen har en - se bifogad länk.

Till dig som verkstads- och/ eller återförsäljaranvändare av Midman IT-tjänster:

Midland är personuppgiftsbiträde till fordonsåterförsäljare & serviceverkstad
Midland AB är personuppgiftsbiträde åt dig och är den part som behandlar personuppgifter för den personuppgiftsansvariges (du som registrerar kundernas personuppgifter i ett system) räkning. Ett personuppgiftsbiträde finns alltid utanför den personuppgiftsansvariges organisation.

Även om en personuppgiftsansvarig väljer att anlita ett personuppgiftsbiträde är det alltid den personuppgiftsansvarige som har ansvaret gentemot de registrerade. Personuppgiftsansvaret kan inte överlåtas.

Därför är det viktigt att du ser över dina interna rutiner för behandling och användande av personuppgifter inom din verksamhet. Checklistor finns hos MRF, Datainspektionen och Midland. Se även bifogad MRF-länk.

Personuppgiftsbiträdesavtal
Du som personuppgiftsansvarig är ansvarig för att teckna personuppgiftsbiträdesavtal med alla era personuppgiftsbiträden (exempelvis systemleverantörer) som hanterar era kunders personuppgifter.
Midland har skickat ut skriftliga avtal till dig som kund/ användare i Midman CRM-databas. Saknar du avtalet ber vi dig kontakta oss. Uppdaterade avtal till dig som kund/ användare kommer att finnas tillgängliga digitalt vid inloggning i Midman för godkännande inom kort.
Midland har som personuppgiftsbiträde ansvar för de tekniska och organisatoriska säkerhetsåtgärderna och ser till att lagringen och tillgången till personuppgifterna sker säkert och med integritet i fokus.

Begär samtycke från dina kunder
I praktiken begär de flesta verkstäder och återförsäljare samtycke att få lagra och behandla personuppgifter idag - allt från registreringsnummer till mobiltelefonnummer och namn. Det sker exempelvis vid inlämning av en bil för service. Midlands uppfattning är att nuvarande rutin ofta fungerar men att den kan förbättras. Din DMS-leverantör kan exempelvis bistå dig med hur du registrerar samtycke samt vilken information du vill upplysa din kund om. Här är exempel på vad din kund bör få veta:

  • Varför man har uppgifterna.
  • Vilken typ av uppgifter man registrerar.
  • Vilka som har rätt att använda dem (speciellt om man lämnar ut till tredje land eller tredje part).
  • Hur länge man har uppgifterna innan man gallras bort.
  • Att man har rätt att raderas ur systemen (med vissa begränsningar exempelvis bokföringslagen).
  • Rätt att klaga till tillsynsmyndighet (Datainspektionen).
  • Rätt att få reda på vart informationen har kommit ifrån, om man inte registrerat dem själv - informationen behöver alltså vara spårbar varför din DMS-leverantör upprättat loggar för exempelvis filexport.
  • Om någon typ av automatiskt beslutsfattande görs på min data.
  • Rätt att få ett utdrag av all information som man har.

Hur uppdaterar Midman personuppgifterna så att utskick inte sker till dödsbon, människor med skyddad identitet eller till fel fordonsägare?
Uppdatering av person- och fordonsdata sker från olika register; ditt DMS-system (servicedata som du skickar via API, webservice eller registrerar manuellt i Midman) och bilregistret (Vroom med källa Transportstyrelsen). Midman hämtar hem fordonsdata i realtid löpande och beställer uppdaterad persondata inför nya aktiviteter såsom utskick av servicekallelse. På så sätt hålls datan städad och utskicken går till rätt fordonsägare. Exempel: Verkstaden registrerar nysåld bil för kallelse till första service. Vid registreringen i Midman står bilfirman som ägare. Midman hämtar hem rätt data och ändrar ägaruppgifterna innan servicekallelsen skickas ut så att den går till rätt bilägare/ kund/ fordon.

Registerutdrag till kund från Midman
I Midman kan du idag söka registreringsnummer och skriva ut informationen på varje flik, exempelvis ägaruppgifter, servicedata med mera. Du eller konsumenten kan även kontakta Midman direkt på dataskydd@midman.se. Vi kan även tala om hur datan kommit in samt när eftersom detta loggas.

Radera kund i Midman
En kund som önskar få sin data raderad eller har ytterligare frågor kring dataskydd och integritet är välkommen att höra av sig till dataskydd@midman.se för vägledning. Vid radering av data, observera att all data om kunden går förlorad, även registreringsnummer. Det går heller inte att spåra data efter det att den raderats. Har kunden ett Midland mervärde (motorgaranti och/ eller vägassistans) så försvinner även data/ registrering kring detta när det gäller personuppgifter (namn, telefon, mejl) men inte när det gäller servicedata, skadereglering och registreringsnummer. Konsumenten kan även ha samtyckt till lagring/ behandling av samtliga personuppgifter under hela garantitiden - då sparas dessa uppgifter. Personuppgifter såsom namn och telefonnummer raderas dock vid ägarbyte. Detta gäller även företagskunder med en personlig brukare eftersom vi vid ägarbyte inte kan veta om den nya ägaren samtyckt till fortsatta utskick eller inte.

Vad händer med min statistik som berättar hur verksamheten utvecklas - tar Midman bort den också?
Nej, Midman behåller nyckeltal för servicebeteende, när kunderna lämnar verkstaden (drop-out level), andelen återkommande kunder (service retention ratio) och mycket mer eftersom denna statistik berättar vilka resultat verkstaden har idag och hur din verkstad utvecklas eller kan utvecklas. Skillnaden är att denna statistik och analys inte är spårbar och den kan inte kopplas till personuppgifter exempelvis namn eller chassinummer.

Regelverket för Midman
Midmans regelverk bygger i grunden på att det finns en aktiv relation mellan konsumenten (köpare av fordon eller köpare av service, reparationer med mera) och återförsäljaren/ verkstaden samt att det finns ett samtycke från konsumenten till återförsäljaren/ verkstaden att du kan lagra och behandla konsumentens personuppgifter med instruktionen till Midman som ditt biträde att skicka aktiviteter exempelvis servicekallelse, med ditt företag som avsändare. Du som verkstad/ återförsäljare behöver alltså inte begära ett särskilt samtycke från dina kunder för datalagring hos Midman eftersom Midman är ditt biträde och ditt företag är avsändare. Ska ditt bilmärke däremot kommunicera kundmätningar och annat med dina kunder (baserat på att du skickat personuppgifterna till bilmärket) med bilmärket som avsändare så bör du ta upp frågan/ hanteringen med bilimportören/ generalagenten kring hur samtycket från din kund till dem ska gå till eftersom det är du/ ditt företag som är ansvarig.

Grundregeln för gallring är 12 månader. Det innebär att data om konsumenter ska raderas senast 12 månader efter det att affärsrelationen upphört. I normala fall får personuppgifter om en tidigare kund användas för marknadsföringsändamål under ett års tid efter det att kundförhållandet upphört. 

Midland tillämpar här en intresseavvägning med undantag från huvudgallringsregeln: Skulle gallring ske redan vid 12 månader efter föregående service finns risker eller negativa konsekvenser för servicekunden som måste vägas mot en gallring som sker ”för tidigt”.

Vår bedömning är att servicekunden och verkstadens mellanhavanden är avslutade efter varje enskilt servicebesök. Verkstaden levererar servicen och kunden betalar efter varje besök samt att kunder är fria att när som helst byta serviceverkstad. Normalfallet är då att kundförhållandet anses vara i ytterligare ett år, men att det finns utrymme för undantag. Om det finns garantiåtaganden eller annat som kräver att kundförhållandet kan vara längre än ett år så får personuppgifterna sparas längre. Det faktum att service för vissa bilmärken sker med två års mellanrum och/ eller att serviceintervallet är flexibelt och/ eller att det förekommer att servicekunder byter mellan två verkstäder för att sedan återkomma till den ena igen och att många kunder återkommer talar för att personuppgifterna får sparas längre än huvudregeln (12 månader). 

Exempel 1: För en Kia med 24 månaders serviceintervall kan det vara "skäligt med hänsyn till ändamålet" att behålla uppgifterna längre tid än 12 månader för att kunna skicka en servicekallelse till nästa service. Det kan också ligga i kundens intresse att serva på rätt intervall (även baserat på körsträcka) för att behålla den 7-åriga nybilsgarantin i detta Kia-exempel. En enkel lösning är att verkstaden ber om kundens samtycke till att spara personuppgifterna längre - antingen för hela garantitiden eller för minst 24 månader framåt.

Exempel 2: En Subarukund ringer verkstaden för att boka service 12 månader efter föregående servicemånad. Verkstaden svarar att de är fullbokade i 3 veckor och erbjuder service nästkommande månad (13). Även här är det inte rimligt att radera personuppgifterna i "förtid" eftersom relationen är intakt trots att servicedatan ännu inte hunnit registreras (bilen är endast bokad) - det är ju endast servicedatumet som har förskjutits framåt.

Detsamma gäller kunder som har ett Midland mervärde, motorgaranti och/ eller vägassistans i 10 år/ 15 år eller 50 000 mil där kunden skulle drabbas negativt vid en skada om uppgifterna raderats. I dessa fall kan det ligga i kundens intresse att personuppgifterna inte raderas strikt vid 12 månader efter senast kända relation med verkstaden. Midland kommer för huvuddelen av mervärdeskunderna fråga efter samtycke i samband med att värdebevis skickas ut digitalt till dem. Vid ägarbyte kommer personuppgifterna tas bort men service- och fordonsdata behållas så att skaderegleringen fungerar för fordonet.

Hur fungerar Midmans regelverk för gallring, radering och aktiviteter?
Regelverket skiljer sedan många år mellan Aktiva, Inaktiva och Avskrivna kunder.

1: Aktiva: Relationen till en nybliven kund räknas alltid som aktiv. De är föremål för alla aktiviteter i Midman exempelvis servicekallelse per post, SMS-påminnelse vid utebliven service, NKI med mera. Här finns alltså en tydlig affärsrelation samt någon form av samtycke för lagring och behandling av personuppgifter från konsumenten till verkstad/ återförsäljare. Den aktiva kundrelationen sträcker sig 3 månader utöver ordinarie serviceintervall räknat från senast registrerade servicetillfället eller köpdatum för ett nyköpt fordon utan service. En Aktiv kundrelation pågår alltså i 15 månader för ett fordon med 12 månaders serviceintervall.

2: Inaktiva: Om inget servicetillfälle registrerats på kunden inom tidspannet för att räknas som Aktiv (oftast 15 månader), övergår kundrelationen till Inaktiv. De inaktiveras för aktiviteter (print, mejl, SMS) eftersom vi inte vet om de är kvar som kunder till dig och dels vill inte du/ vi att du ska betala för aktiviteter som inte ger något. Rätt aktivitet för rätt händelse till rätt kund är modellen. 

3: Avskrivna: Om kunden inte presterat någon aktivitet (service) inom 15 månader utöver ordinarie serviceintervall omvandlas kundrelationen till Avskriven. Avskrivna kunder raderas ur ditt kundregister i Midman. Det enda vi behåller är anonymiserat servicebeteende och nyckeltal kring detta. Kunden/ registreringsnummer är inte längre sökbart och all servicehistorik med mera är helt raderat.

I bifogad PDF "midman-intelligens-för-olika-servicebeteenden" får du en översiktlig bild med tidsaxlar över hur servicekunder med olika beteenden (trogen, slarvig, räddad, tappad kund) hanteras regel- och aktivitetsmässigt på ett intelligent sätt av Midman. Målet med regelverket är att respektera kundernas integritet samtidigt som verkstaden kan hjälpa kunderna att komma in på rätt serviceintervall för att de ska behålla garantier och mervärden samt för att verkstaden ska maximera sin försäljning av service genom en ökad servicegrad till kunderna. Det kan exempelvis betyda att vi skickar en servicekallelse 1 månad tidigare nästa år i det fall kunden överskridit sitt serviceintervall i år för att kunden ska hamna i "fas" med service. Eller att en långmilare som kör 3 000 mil på ett år med serviceintervallet 1 500 mil får två servicekallelser under året - på rätt mil till varje service.

Databackuper av informationen kommer att lagras i upp till 1 månad efter det att kunden blivit avskriven/ raderad.

Behöver du mer information kring GDPR eller Midlands policy inom området? Ring 031-725 34 00 eller gå in på bifogad PDF för Midland Integritetspolicy.

Relaterade länkar

Ämnen

Kategorier

Kontakter

Jonas Udd

Jonas Udd

Presskontakt VD - affärsutveckling, försäljning och marknad +46-31-725 34 01 midland

Relaterad media

Hur hanterar Midland GDPR?
  • Hur hanterar Midland GDPR?
  • Licens: Medieanvändning
    Innehållet får laddas ner, användas och delas i olika mediekanaler av t.ex. journalister, bloggare, krönikörer, opinionsbildare etc., i syftet att förmedla, redogöra för och kommentera ert pressmeddelande, inlägg eller information, så länge innehållet används oförändrat och i dess helhet. Upphovsmannen ska anges i den omfattning och på det sätt god sed kräver (vilket bl.a. innebär att fotografer till bilder nästan alltid måste anges).
  • Filformat: .pdf
Ladda ner