Tietosuojaseloste.

Tässä tietosuojaselosteessa kerrotaan, miten Trusted Carrier Logistik GmbH, jäljempänä Trusted Carrier, käsittelee henkilötietoja logistiikan, kuljetusten, vakuutusten ja julkisen sektorin työnkulkuja varten tarjottavan todentamis- ja luottamusinfrastruktuurinsa yhteydessä.

Trusted Carrier toimii rekisterinpitäjänä henkilötiedoille, joita käsitellään sen omiin tarkoituksiin, mukaan lukien tilien hallinnointi, alustan turvallisuus, petosten torjunta, biometrinen todentaminen ja tunnistautuminen, tekoälyavusteinen todentaminen, auditointilokit ja vaatimustenmukaisuus.

Kun Trusted Carrier käsittelee henkilötietoja sellaisen asiakkaan puolesta, joka määrittää todentamisen työnkulun tarkoituksen ja vaatimukset, Trusted Carrier toimii henkilötietojen käsittelijänä. Kun Trusted Carrier ja yksi tai useampi osallistuva organisaatio määrittävät yhdessä käsittelyn olennaiset tarkoitukset ja keinot, erityisesti uudelleenkäytettävän todentamisen, alihankkijoiden valtuuttamisen tai jaetun luottamuksen työnkuluissa, osapuolet toimivat yhteisrekisterinpitäjinä GDPR:n 26 artiklan mukaisesti.

Sovellettavan lain niin edellyttäessä Trusted Carrier nimeää edustajan Euroopan unionissa.

Trusted Carrier tarjoaa todentamis- ja luottamusinfrastruktuurin, jonka avulla organisaatiot voivat vahvistaa yritysten ja henkilöiden henkilöllisyyden, valtuudet ja toimintavalmiuden ilman muutoksia olemassa oleviin työnkulkuihin.

Todentamisen voi käynnistää joko organisaatio tai ammatillisessa yhteydessä toimiva henkilö. Henkilöt, kuten kuljettajat, työntekijät, alihankkijat tai edustajat, voivat käynnistää todentamisprosesseja tai osallistua niihin, mukaan lukien liittämällä itsensä organisaatioon tai operatiiviseen työnkulkuun.

Kaikissa tapauksissa käsittely tapahtuu määritellyssä organisaatio- tai toimintayhteydessä ja on tarpeen henkilöllisyyden todentamisen, valtuuttamisen, petosten torjunnan ja osapuolten välisen turvallisen vuorovaikutuksen mahdollistamiseksi.

Todentaminen käynnistyy tyypillisesti tavanomaisessa liiketoimintaviestinnässä, kuten sähköpostiketjussa tai viestipohjaisessa vuorovaikutuksessa. Todentamispyyntö voi johtaa joko olemassa olevan todennetun profiilin hyväksymiseen tai todentamisprosessin loppuunsaattamiseen, minkä jälkeen tietoja voidaan jakaa ja käyttää uudelleen.

Trusted Carrier toimii todentamis- ja luottamusinfrastruktuurina eikä korvaa osallistuvien osapuolten itsenäistä päätöksentekovastuuta.

Trusted Carrier käsittelee henkilötietoja, jotka ovat tarpeen henkilöllisyyden, valtuuksien ja toimintavalmiuden todentamiseksi. Näihin kuuluvat:

• tunnistetiedot, kuten nimi ja yhteystiedot
• ammatilliset ja yritykseen liittyvät tiedot
• henkilöllisyysasiakirjojen tiedot
• kuljettajan pätevyydet, luvat ja sertifikaatit
• vakuutuksiin ja vaatimustenmukaisuuteen liittyvät tiedot
• toimeksiantoihin, lähetyksiin ja käyttöoikeuksiin liittyvät tiedot
• todentamistulokset ja tila
• tunnistautumis- ja käyttöoikeustiedot
• auditointilokit ja järjestelmän toiminta

Tarvittaessa voidaan käsitellä biometrisiä tietoja, mukaan lukien kasvokuvat, elollisuuden tunnistamisen signaalit ja biometriset mallineet.

Viestinnän metatietoja voidaan käsitellä, kun todentaminen käynnistetään viestinnän tai sähköpostin kautta.

Henkilötietoja saadaan henkilöiltä, organisaatioilta, asiakkailta, vastapuolilta, todentamispalvelujen tarjoajilta sekä julkisista tai virallisista lähteistä.

Henkilötietoja käsitellään henkilöllisyyden ja valtuuksien todentamiseksi, toimintavalmiuden vahvistamiseksi, todennettujen tietojen hallitun jakamisen mahdollistamiseksi, perehdytys- ja käyttöoikeustyönkulkujen tukemiseksi, auditoitavuuden ylläpitämiseksi, petosten ja identiteetin väärinkäytön estämiseksi sekä vakuutus-, korvaus- ja julkisen sektorin prosessien tukemiseksi.

Todentamista varten vaadittavien henkilötietojen antaminen on tarpeen asiaankuuluviin työnkulkuihin osallistumiseksi. Jos tällaisia tietoja ei anneta, Trusted Carrier ei välttämättä pysty saattamaan todentamista loppuun, mikä voi vaikuttaa mahdollisuuteen käyttää palveluja, suorittaa toimeksiantoja tai osallistua operatiivisiin prosesseihin.

Trusted Carrier käsittelee henkilötietoja GDPR:n 6 artiklan ja soveltuvin osin GDPR:n 9 artiklan perusteella.

Käsittely perustuu eri oikeusperusteisiin käsittelyn nimenomaisen tarkoituksen ja asiayhteyden mukaan:

• Todentaminen, petosten torjunta ja operatiivinen turvallisuus. Käsittely perustuu ensisijaisesti GDPR:n 6 artiklan 1 kohdan f alakohdan mukaisiin oikeutettuihin etuihin. Näihin etuihin kuuluu sen varmistaminen, että logistiikkaan ja siihen liittyviin työnkulkuihin osallistuvat yritykset ja henkilöt voidaan tunnistaa, valtuuttaa ja todentaa luotettavasti ja että petokset, identiteetin väärinkäyttö ja palvelun väärinkäyttö estetään.
• Palvelun tarjoaminen ja tiliin liittyvä käsittely. Kun henkilöt tai organisaatiot käyttävät palvelua suoraan, käsittely voi olla tarpeen sopimuksen täytäntöönpanemiseksi tai sopimuksen tekemistä edeltävien toimenpiteiden toteuttamiseksi GDPR:n 6 artiklan 1 kohdan b alakohdan mukaisesti.
• Lakisääteiset ja sääntelyyn perustuvat velvoitteet. Soveltuvin osin käsittelyä voidaan suorittaa lakisääteisten velvoitteiden noudattamiseksi GDPR:n 6 artiklan 1 kohdan c alakohdan mukaisesti tai yleistä etua koskevan tehtävän suorittamiseksi GDPR:n 6 artiklan 1 kohdan e alakohdan mukaisesti.
• Biometriset tiedot. Kun biometrisiä tietoja käytetään henkilön yksiselitteiseen tunnistamiseen, käsittely suoritetaan GDPR:n 9 artiklan mukaisesti. Tämä voi sisältää käsittelyn, joka on tarpeen oikeusvaateen laatimiseksi, esittämiseksi tai puolustamiseksi, tai tärkeää yleistä etua koskevasta syystä, jos se on sovellettavissa. Biometristen tietojen käsittely rajoitetaan siihen, mikä on tarpeen henkilöllisyyden todentamista ja petosten torjuntaa varten.
• Suostumus. Kun suostumusta vaaditaan, se hankitaan ja sitä hallinnoidaan GDPR:n 6 artiklan 1 kohdan a alakohdan ja 7 artiklan mukaisesti. Suostumukseen ei tukeuduta silloin, kun sitä ei voida antaa vapaaehtoisesti.

Trusted Carrier varmistaa, että käsittely on oikeasuhteista ja rajoittuu siihen, mikä on tarpeen aiottua tarkoitusta varten.

Trusted Carrier käsittelee henkilötietoja GDPR:n 5 artiklassa säädettyjen periaatteiden mukaisesti.

Käsittely tapahtuu lainmukaisesti, asianmukaisesti ja läpinäkyvästi. Henkilötietoja kerätään nimenomaisia ja laillisia tarkoituksia varten, eikä niitä käsitellä edelleen tavalla, joka on näiden tarkoitusten kanssa yhteensopimaton.

Trusted Carrier rajoittaa käsiteltävät henkilötiedot siihen, mikä on tarpeen todentamista, valtuuttamista, petosten torjuntaa ja operatiivista turvallisuutta varten, ottaen huomioon kunkin työnkulun erityisen asiayhteyden ja riskitason.

Käytössä on toimenpiteitä sen varmistamiseksi, että henkilötiedot ovat täsmällisiä ja tarvittaessa ajan tasalla. Tietoja säilytetään vain niin kauan kuin on tarpeen, ja niitä suojataan asianmukaisin teknisin ja organisatorisin suojatoimin.

Näitä periaatteita sovelletaan palvelun suunnittelussa ja käytössä kokonaisuudessaan, mukaan lukien biometrisessä todentamisessa, tekoälyavusteisessa käsittelyssä ja tietojen jakamismekanismeissa, jotta käsittely pysyy oikeasuhteisena ja sen aiotun tarkoituksen mukaisena.

Trusted Carrier käyttää biometrisiä tietoja henkilöllisyyden todentamiseen ja tunnistautumiseen, kun vaaditaan korkeaa varmuustasoa.

Biometristen tietojen käsittely voi sisältää kasvovertailun, elollisuuden tunnistamisen ja vastaavat menetelmät henkilöllisyyden vahvistamiseksi.

Tällaista käsittelyä sovelletaan vain, kun se on tarpeen eikä sitä voida kohtuudella korvata vähemmän puuttuvilla menetelmillä.

Biometrisiä tietoja:

• ei käytetä profilointiin tai seurantaan
• ei käytetä toisistaan riippumattomissa asiayhteyksissä
• ei tallenneta yleiskäyttöiseen biometriseen tietokantaan

Jos biometristä todentamista ei voida suorittaa loppuun, voidaan käyttää vaihtoehtoisia menettelyjä, jos se on kohtuudella toteutettavissa.

Biometrisiä tietoja säilytetään vain lyhin aika, joka on tarpeen todentamista, tunnistautumista, petosten torjuntaa tai lakisääteisiä velvoitteita varten.

Trusted Carrier käyttää tekoälyä henkilöllisyyden todentamisen, asiakirjojen validoinnin, petosten havaitsemisen ja poikkeamien tunnistamisen tukena.

Tekoäly voi tehdä alustavia arviointeja tai merkitä riskejä tarkastettavaksi. Kun tulokset voivat vaikuttaa pääsyyn tai osallistumiseen, ihmisen tekemä arviointi integroidaan aktiivisesti työnkulkuun.

Henkilöihin ei kohdisteta yksinomaan automaattiseen käsittelyyn perustuvia päätöksiä, joilla on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia, GDPR:n 22 artiklan mukaisesti.

Tekoälyjärjestelmät suunnitellaan noudattamaan sovellettavaa eurooppalaista tekoälysääntelyä, mukaan lukien asetus (EU) 2024/1689 (EU:n tekoälysäädös), soveltuvin osin.

Trusted Carrier käsittelee tietoja henkilöistä, jotka toimivat ammatillisessa asemassa.

Käsittely rajoittuu henkilöllisyyden todentamiseen, valtuuttamiseen, petosten torjuntaan ja operatiiviseen turvallisuuteen. Sitä ei käytetä työntekijöiden valvontaan, tuottavuuden seurantaan tai käyttäytymisanalyysiin.

Auditointilokeja ja todentamistietoja ei käytetä yksilön suorituksen arviointiin, ja niihin päästään käsiksi vain, kun se on tarpeen turvallisuuden, vaatimustenmukaisuuden tai riitojen ratkaisemisen vuoksi.

Todennettuja tietoja jaetaan vain silloin, kun se on tarpeen ja valtuutettu.

Trusted Carrier ei valvo sitä, miten riippumattomat osapuolet käyttävät tietoja lainmukaisen jakamisen jälkeen.

Trusted Carrier ei myy henkilötietoja eikä käytä niitä mainontaan.

Todentaminen voidaan käynnistää sähköpostin, tekstiviestin tai viestialustojen kautta.

Trusted Carrier ei lähetä henkilötietoja tällaisten alustojen kautta enempää kuin on tarpeen todentamisen käynnistämiseksi.

Kun käytetään kolmansien osapuolten viestialustoja, Trusted Carrier ei ole vastuussa siitä, miten kyseiset alustat käsittelevät, säilyttävät tai jakavat niiden palvelujen kautta välitettyjä tietoja. Käyttäjien tulee tutustua kyseisen alustan tietosuojaselosteeseen lisätietojen saamiseksi.

Trusted Carrieria voidaan käyttää sen vahvistamiseen, että alihankkijat on valtuutettu suorittamaan toimintoja.

Trusted Carrier toteuttaa kohtuullisia toimenpiteitä varmistaakseen, että henkilötiedot ovat täsmällisiä ja ajan tasalla.

Todentamistuloksia voidaan tarvittaessa oikaista, rajoittaa tai mitätöidä.

Henkilötietoja säilytetään vain niin kauan kuin on tarpeen operatiivisten vaatimusten, lakisääteisten velvoitteiden, petosriskin ja auditoitavuuden perusteella.

Säilytysaikoja arvioidaan säännöllisesti.

Trusted Carrier toteuttaa asianmukaiset tekniset ja organisatoriset toimenpiteet GDPR:n 32 artiklan mukaisesti.

Trusted Carrier käyttää evästeitä ja vastaavia teknologioita turvallisten istuntojen ylläpitämiseen, petosten estämiseen ja järjestelmän luotettavuuden varmistamiseen.

Lisätietoja on saatavilla asiakirjassa Evästekäytäntö.

Henkilötietoja voidaan jakaa asiakkaiden, vastapuolten, vakuutuksenantajien, meklarien, viranomaisten ja palveluntarjoajien kanssa.

Alikäsittelijöitä sitovat sopimukset GDPR:n 28 artiklan mukaisesti.

Kun henkilötietoja siirretään Euroopan talousalueen ulkopuolelle, asianmukaiset suojatoimet toteutetaan GDPR:n 44-46 artiklan mukaisesti.

Henkilöillä on GDPR:n 15-22 artiklan mukaiset oikeudet, mukaan lukien:

• pääsy tietoihin
• oikaisu
• poistaminen
• käsittelyn rajoittaminen
• vastustaminen
• siirrettävyys
• ihmisen tekemä arviointi

Pyynnöt voidaan toimittaa osoitteeseen ten.reirracdetsurt@ycavirp.

Kun useat osapuolet toimivat yhteisrekisterinpitäjinä, vastuut jaetaan GDPR:n 26 artiklan mukaisesti.

Trusted Carrier käsittelee tietoturvaloukkaukset GDPR:n 33 ja 34 artiklan mukaisesti.

Trusted Carrier toteuttaa sisäänrakennetun ja oletusarvoisen tietosuojan GDPR:n 25 artiklan mukaisesti.

Trusted Carrier tekee tietosuojaa koskevia vaikutustenarviointeja GDPR:n 35 artiklan mukaisesti.

Jos kansallisessa lainsäädännössä asetetaan lisävaatimuksia, kyseisiä vaatimuksia sovelletaan.

Tätä tietosuojaselostetta voidaan päivittää tarpeen mukaan.