Persónuverndarstefna.

Þessi persónuverndarstefna útskýrir hvernig Trusted Carrier Logistik GmbH (hér eftir nefnt Trusted Carrier) vinnur persónuupplýsingar í tengslum við sannprófunar- og traustinnviði sína fyrir verkferla í flutningum, vöruflutningum, vátryggingum og opinberri stjórnsýslu.

Trusted Carrier er ábyrgðaraðili persónuupplýsinga sem unnar eru í eigin tilgangi, þar á meðal vegna reikningsumsýslu, öryggis vettvangsins, forvarna gegn svikum, lífkennasannprófunar og auðkenningar, gervigreindarstuddra athugana, atvikaskráningar og regluvörslu.

Þegar Trusted Carrier vinnur persónuupplýsingar fyrir hönd viðskiptavinar sem ákveður tilgang og kröfur sannprófunarferlis, starfar Trusted Carrier sem vinnsluaðili. Þegar Trusted Carrier og eitt eða fleiri þátttökufyrirtæki ákveða sameiginlega meginmarkmið og aðferðir vinnslunnar, einkum í endurnýtanlegri sannprófun, heimildum undirverktaka eða sameiginlegum traustferlum, starfa aðilar sem sameiginlegir ábyrgðaraðilar í samræmi við 26. gr. GDPR.

Þegar gildandi lög krefjast þess mun Trusted Carrier tilnefna fulltrúa innan Evrópusambandsins.

Trusted Carrier býður upp á sannprófunar- og traustinnviði sem gera fyrirtækjum og stofnunum kleift að staðfesta auðkenni, heimildir og rekstrarlegt hæfi fyrirtækja og einstaklinga án þess að breyta þurfi núverandi verkferlum.

Sannprófun getur verið hafin annaðhvort af fyrirtæki eða stofnun eða af einstaklingi sem kemur fram í starfstengdu samhengi. Einstaklingar á borð við ökumenn, starfsmenn, undirverktaka eða fulltrúa geta hafið eða tekið þátt í sannprófunarferlum, meðal annars með því að tengja sig við fyrirtæki eða rekstrarlegan verkferil.

Í öllum tilvikum fer vinnslan fram innan skilgreinds skipulagslegs eða rekstrarlegs samhengis og er nauðsynleg til að gera auðkennissannprófun, heimildarstaðfestingu, forvarnir gegn svikum og örugg samskipti milli aðila möguleg.

Sannprófun er yfirleitt hafin innan hefðbundinna viðskiptasamskipta, svo sem í tölvupóstsamskiptum eða samskiptum með skilaboðum. Beiðni um sannprófun getur leitt annaðhvort til samþykktar á fyrirliggjandi sannprófuðum prófíl eða til þess að sannprófunarferli sé lokið, að því loknu er unnt að miðla og endurnýta upplýsingar.

Trusted Carrier starfrækir sannprófunar- og traustinnviði og kemur ekki í stað sjálfstæðrar ákvörðunarábyrgðar þátttökuaðila.

Trusted Carrier vinnur persónuupplýsingar sem eru nauðsynlegar til að sannprófa auðkenni, heimildir og rekstrarlegt hæfi. Þetta felur í sér:

• auðkenningarupplýsingar (t.d. nafn, samskiptaupplýsingar)
• starfstengdar og fyrirtækjatengdar upplýsingar
• upplýsingar úr skilríkjum
• starfsréttindi ökumanna, leyfi og vottanir
• upplýsingar tengdar vátryggingum og regluvörslu
• upplýsingar tengdar verkefnum, sendingum og aðgangi
• niðurstöður og stöðu sannprófunar
• auðkenningar- og aðgangsupplýsingar
• atvikaskrár og kerfisvirkni

Þegar þess er krafist kunna lífkennagögn að vera unnin, þar á meðal andlitsmyndir, merki um raunverulega nærveru og lífkennasniðmát.

Lýsigögn samskipta kunna að vera unnin þegar sannprófun er hafin í gegnum skilaboð eða tölvupóst.

Persónuupplýsingar eru fengnar frá einstaklingum, fyrirtækjum og stofnunum, viðskiptavinum, gagnaðilum, sannprófunarþjónustuveitendum og opinberum eða formlegum heimildum.

Persónuupplýsingar eru unnar til að sannprófa auðkenni og heimildir, staðfesta rekstrarlegt hæfi, gera stýrða miðlun sannprófaðra upplýsinga mögulega, styðja við innleiðingar- og aðgangsferla, viðhalda rekjanleika, koma í veg fyrir svik og auðkennismisnotkun og styðja við vátryggingaferla, tjónakröfur og ferla hins opinbera.

Veiting persónuupplýsinga sem krafist er vegna sannprófunar er nauðsynleg til að taka þátt í viðkomandi verkferlum. Ef slík gögn eru ekki veitt kann Trusted Carrier að vera ófært um að ljúka sannprófun, sem getur haft áhrif á möguleika til að fá aðgang að þjónustu, sinna verkefnum eða taka þátt í rekstrarlegum ferlum.

Trusted Carrier vinnur persónuupplýsingar á grundvelli 6. gr. GDPR og, þar sem við á, 9. gr. GDPR.

Vinnsla fer fram á mismunandi lagagrundvelli eftir tilteknum tilgangi og samhengi:

• Sannprófun, forvarnir gegn svikum og rekstraröryggi. Vinnsla byggist fyrst og fremst á lögmætum hagsmunum samkvæmt f-lið 1. mgr. 6. gr. GDPR. Þessir hagsmunir fela í sér að tryggja að unnt sé að auðkenna, heimila og sannprófa fyrirtæki og einstaklinga sem koma að flutningum og tengdum verkferlum með áreiðanlegum hætti og að komið sé í veg fyrir svik, auðkennismisnotkun og misnotkun.
• Veiting þjónustunnar og reikningstengd vinnsla. Þegar einstaklingar eða fyrirtæki nota þjónustuna beint getur vinnsla verið nauðsynleg til að efna samning eða gera ráðstafanir áður en samningur er gerður samkvæmt b-lið 1. mgr. 6. gr. GDPR.
• Lagalegar og reglubundnar skyldur. Þar sem við á getur vinnsla farið fram til að uppfylla lagaskyldur samkvæmt c-lið 1. mgr. 6. gr. GDPR eða til að sinna verkefnum sem unnin eru í þágu almannahagsmuna samkvæmt e-lið 1. mgr. 6. gr. GDPR.
• Lífkennagögn. Þegar lífkennagögn eru notuð til að auðkenna einstakling með ótvíræðum hætti fer vinnsla fram í samræmi við 9. gr. GDPR. Þetta getur falið í sér vinnslu sem er nauðsynleg til að stofna, hafa uppi eða verja réttarkröfur eða vegna verulegra almannahagsmuna þar sem við á. Vinnsla lífkennagagna er takmörkuð við það sem er nauðsynlegt vegna auðkennissannprófunar og forvarna gegn svikum.
• Samþykki. Þegar samþykkis er krafist er þess aflað og því stýrt í samræmi við a-lið 1. mgr. 6. gr. og 7. gr. GDPR. Ekki er stuðst við samþykki þegar það verður ekki veitt af fúsum og frjálsum vilja.

Trusted Carrier tryggir að vinnsla sé í réttu hlutfalli og takmörkuð við það sem er nauðsynlegt vegna fyrirhugaðs tilgangs.

Trusted Carrier vinnur persónuupplýsingar í samræmi við meginreglurnar sem settar eru fram í 5. gr. GDPR.

Vinnsla fer fram með lögmætum, sanngjörnum og gagnsæjum hætti. Persónuupplýsingum er safnað í tilteknum og lögmætum tilgangi og þær eru ekki unnar frekar á hátt sem er ósamrýmanlegur þeim tilgangi.

Trusted Carrier takmarkar þær persónuupplýsingar sem unnar eru við það sem er nauðsynlegt vegna sannprófunar, heimildarstaðfestingar, forvarna gegn svikum og rekstraröryggis, að teknu tilliti til tiltekins samhengis og áhættustigs hvers verkferils.

Ráðstafanir eru innleiddar til að tryggja að persónuupplýsingar séu réttar og, þegar nauðsynlegt er, uppfærðar. Gögn eru aðeins varðveitt eins lengi og nauðsynlegt er og eru vernduð með viðeigandi tæknilegum og skipulagslegum öryggisráðstöfunum.

Þessum meginreglum er beitt við hönnun og rekstur þjónustunnar í heild, þar á meðal við lífkennasannprófun, gervigreindarstudda vinnslu og aðferðir við miðlun gagna, til að tryggja að vinnsla sé áfram í réttu hlutfalli og í samræmi við fyrirhugaðan tilgang.

Trusted Carrier notar lífkennagögn til auðkennissannprófunar og auðkenningar þegar krafist er mikillar vissu.

Vinnsla lífkennagagna getur falið í sér andlitssamanburð, greiningu á raunverulegri nærveru og sambærilegar aðferðir til að staðfesta auðkenni.

Slíkri vinnslu er aðeins beitt þegar hún er nauðsynleg og verður ekki með sanngjörnum hætti leyst af hólmi með vægari aðferðum.

Lífkennagögn eru:

• ekki notuð til gerðar persónusniða eða rakningar
• ekki notuð þvert á ótengd samhengi
• ekki geymd í almennum gagnagrunni fyrir lífkennagögn

Þegar ekki er unnt að ljúka lífkennasannprófun má nota aðrar verklagsreglur þar sem það er raunhæft með sanngjörnum hætti.

Lífkennagögn eru aðeins varðveitt í þann skemmsta tíma sem nauðsynlegur er vegna sannprófunar, auðkenningar, forvarna gegn svikum eða lagaskyldna.

Trusted Carrier notar gervigreind til að styðja við auðkennissannprófun, staðfestingu skjala, greiningu svika og frávikagreiningu.

Gervigreind getur framkvæmt upphaflegt mat eða merkt við áhættu. Þegar niðurstöður kunna að hafa áhrif á aðgang eða þátttöku er mannleg yfirferð virklega samþætt í verkferlið.

Einstaklingar sæta ekki ákvörðunum sem hafa réttaráhrif eða sambærileg veruleg áhrif eingöngu á grundvelli sjálfvirkrar vinnslu, í samræmi við 22. gr. GDPR.

Gervigreindarkerfi eru hönnuð til að uppfylla gildandi evrópskar reglur um gervigreind, þar á meðal reglugerð (ESB) 2024/1689 (gervigreindarlög ESB), þar sem við á.

Trusted Carrier vinnur gögn sem varða einstaklinga sem koma fram í starfstengdu samhengi.

Vinnsla er takmörkuð við auðkennissannprófun, heimildarstaðfestingu, forvarnir gegn svikum og rekstraröryggi. Hún er ekki notuð til eftirlits með starfsfólki, mælinga á framleiðni eða atferlisgreiningar.

Atvikaskrár og sannprófunarskrár eru ekki notaðar til að meta frammistöðu einstaklinga og aðeins er veittur aðgangur að þeim þegar það er nauðsynlegt vegna öryggis, regluvörslu eða úrlausnar ágreinings.

Sannprófuðum upplýsingum er aðeins miðlað þegar það er nauðsynlegt og heimilað.

Trusted Carrier stýrir ekki því hvernig sjálfstæðir aðilar nota gögn eftir lögmæta miðlun.

Trusted Carrier selur ekki persónuupplýsingar og notar þær ekki í auglýsingaskyni.

Sannprófun getur verið hafin í gegnum tölvupóst, SMS eða skilaboðavettvanga.

Trusted Carrier sendir ekki persónuupplýsingar í gegnum slíka vettvanga umfram það sem er nauðsynlegt til að hefja sannprófun.

Þegar skilaboðavettvangar þriðju aðila eru notaðir ber Trusted Carrier ekki ábyrgð á því hvernig þeir vettvangar vinna, geyma eða miðla gögnum sem send eru í gegnum þjónustu þeirra. Notendur ættu að kynna sér persónuverndarstefnu viðkomandi vettvangs til frekari upplýsinga.

Trusted Carrier kann að vera notað til að staðfesta að undirverktakar hafi heimild til að sinna tilteknum verkum.

Trusted Carrier gerir sanngjarnar ráðstafanir til að tryggja að persónuupplýsingar séu réttar og uppfærðar.

Niðurstöður sannprófunar kunna að vera leiðréttar, takmarkaðar eða ógiltar þegar nauðsynlegt er.

Persónuupplýsingar eru aðeins varðveittar eins lengi og nauðsynlegt er miðað við rekstrarlegar kröfur, lagaskyldur, svikaáhættu og rekjanleika.

Varðveislutímar eru endurskoðaðir reglulega.

Trusted Carrier innleiðir viðeigandi tæknilegar og skipulagslegar ráðstafanir í samræmi við 32. gr. GDPR.

Trusted Carrier notar vefkökur og sambærilega tækni til að viðhalda öruggum lotum, koma í veg fyrir svik og tryggja áreiðanleika kerfisins.

Nánari upplýsingar er að finna í Vefkökustefna.

Persónuupplýsingum kann að vera miðlað til viðskiptavina, gagnaðila, vátryggjenda, miðlara, opinberra yfirvalda og þjónustuveitenda.

Undirvinnsluaðilar eru bundnir samningsbundnum skyldum í samræmi við 28. gr. GDPR.

Þegar persónuupplýsingar eru fluttar utan Evrópska efnahagssvæðisins eru viðeigandi verndarráðstafanir innleiddar í samræmi við 44. til 46. gr. GDPR.

Einstaklingar hafa réttindi samkvæmt 15. til 22. gr. GDPR, þar á meðal:

• aðgangur
• leiðrétting
• eyðing
• takmörkun
• andmæli
• gagnaflutningsréttur
• mannleg yfirferð

Beiðnir má senda til ten.reirracdetsurt@ycavirp.

Þegar fleiri en einn aðili starfar sem sameiginlegir ábyrgðaraðilar er ábyrgð skipt í samræmi við 26. gr. GDPR.

Trusted Carrier meðhöndlar öryggisbrot í samræmi við 33. og 34. gr. GDPR.

Trusted Carrier innleiðir innbyggða og sjálfgefna persónuvernd í samræmi við 25. gr. GDPR.

Trusted Carrier framkvæmir mat á áhrifum á persónuvernd (DPIA) í samræmi við 35. gr. GDPR.

Þar sem landslög setja frekari kröfur gilda þær kröfur.

Þessi persónuverndarstefna kann að vera uppfærð eftir þörfum.