Personvernerklæring.

Denne personvernerklæringen forklarer hvordan Trusted Carrier Logistik GmbH (heretter omtalt som Trusted Carrier) behandler personopplysninger i forbindelse med sin verifikasjons- og tillitsinfrastruktur for logistikk, transport, forsikring og arbeidsflyter i offentlig sektor.

Trusted Carrier opptrer som behandlingsansvarlig for personopplysninger som behandles for egne formål, herunder kontoadministrasjon, plattformsikkerhet, forebygging av svindel, biometrisk verifisering og autentisering, KI-assistert verifisering, revisjonslogging og etterlevelse.

Når Trusted Carrier behandler personopplysninger på vegne av en kunde som bestemmer formålet med og kravene til en verifikasjonsarbeidsflyt, opptrer Trusted Carrier som databehandler. Når Trusted Carrier og én eller flere deltakende organisasjoner i fellesskap bestemmer de vesentlige formålene med og midlene for behandlingen, særlig ved gjenbrukbar verifisering, autorisasjon av underleverandører eller delte tillitsarbeidsflyter, opptrer partene som felles behandlingsansvarlige i samsvar med artikkel 26 i GDPR.

Der gjeldende rett krever det, vil Trusted Carrier utpeke en representant i Den europeiske union.

Trusted Carrier leverer en verifikasjons- og tillitsinfrastruktur som gjør det mulig for organisasjoner å bekrefte identitet, fullmakt og operativ beredskap hos selskaper og enkeltpersoner uten at eksisterende arbeidsflyter må endres.

Verifisering kan initieres enten av en organisasjon eller av en enkeltperson som opptrer i en profesjonell sammenheng. Enkeltpersoner som sjåfører, ansatte, underleverandører eller representanter kan initiere eller delta i verifikasjonsprosesser, blant annet ved å knytte seg til en organisasjon eller en operativ arbeidsflyt.

I alle tilfeller skjer behandlingen innenfor en definert organisatorisk eller operativ kontekst og er nødvendig for å muliggjøre identitetsverifisering, autorisasjon, forebygging av svindel og sikker samhandling mellom parter.

Verifisering initieres vanligvis i ordinær forretningskommunikasjon, for eksempel i en e-posttråd eller en meldingsbasert samhandling. En forespørsel om verifisering kan føre til enten godkjenning av en eksisterende verifisert profil eller fullføring av en verifikasjonsprosess, hvoretter informasjon kan deles og gjenbrukes.

Trusted Carrier fungerer som en verifikasjons- og tillitsinfrastruktur og erstatter ikke de deltakende partenes selvstendige beslutningsansvar.

Trusted Carrier behandler personopplysninger som er nødvendige for å verifisere identitet, fullmakt og operativ beredskap. Dette omfatter:

• identifikasjonsdata (f.eks. navn, kontaktopplysninger)
• profesjonelle og selskapsrelaterte opplysninger
• opplysninger fra identitetsdokumenter
• sjåførdokumentasjon, førerkort, lisenser og sertifiseringer
• forsikrings- og etterlevelsesrelaterte opplysninger
• opplysninger knyttet til oppdrag, forsendelser og tilgang
• verifikasjonsresultater og status
• autentiserings- og tilgangsdata
• revisjonslogger og systemaktivitet

Der det er nødvendig, kan biometriske data behandles, herunder ansiktsbilder, livstegnssignaler og biometriske maler.

Kommunikasjonsmetadata kan behandles der verifisering initieres via meldinger eller e-post.

Personopplysninger innhentes fra enkeltpersoner, organisasjoner, kunder, motparter, verifikasjonsleverandører og offentlige eller offisielle kilder.

Personopplysninger behandles for å verifisere identitet og fullmakt, bekrefte operativ beredskap, muliggjøre kontrollert deling av verifisert informasjon, støtte onboarding- og tilgangsarbeidsflyter, opprettholde revisjonssporbarhet, forebygge svindel og identitetsmisbruk samt støtte forsikrings-, skadeoppgjørs- og offentlig sektor-prosesser.

Det er nødvendig å oppgi personopplysninger som kreves for verifisering for å kunne delta i relevante arbeidsflyter. Dersom slike opplysninger ikke oppgis, kan Trusted Carrier være ute av stand til å fullføre verifiseringen, noe som kan påvirke muligheten til å få tilgang til tjenester, utføre oppdrag eller delta i operative prosesser.

Trusted Carrier behandler personopplysninger på grunnlag av artikkel 6 i GDPR og, der det er relevant, artikkel 9 i GDPR.

Behandlingen utføres på ulike behandlingsgrunnlag avhengig av det konkrete formålet og konteksten:

• Verifisering, forebygging av svindel og operativ sikkerhet. Behandlingen bygger primært på berettigede interesser etter artikkel 6(1)(f) i GDPR. Disse interessene omfatter å sikre at selskaper og enkeltpersoner som er involvert i logistikk og tilknyttede arbeidsflyter, kan identifiseres, autoriseres og verifiseres på en pålitelig måte, og at svindel, identitetsmisbruk og misbruk forebygges.
• Levering av tjenesten og kontorelatert behandling. Når enkeltpersoner eller organisasjoner bruker tjenesten direkte, kan behandlingen være nødvendig for å oppfylle en avtale eller for å gjennomføre tiltak før en avtale inngås, jf. artikkel 6(1)(b) i GDPR.
• Juridiske og regulatoriske forpliktelser. Der det er relevant, kan behandling utføres for å overholde rettslige forpliktelser etter artikkel 6(1)(c) i GDPR eller for å utføre oppgaver i allmennhetens interesse etter artikkel 6(1)(e) i GDPR.
• Biometriske data. Der biometriske data brukes til entydig å identifisere en enkeltperson, utføres behandlingen i samsvar med artikkel 9 i GDPR. Dette kan omfatte behandling som er nødvendig for å fastsette, gjøre gjeldende eller forsvare rettskrav, eller av hensyn til viktige allmenne interesser der dette er relevant. Biometrisk behandling er begrenset til det som er nødvendig for identitetsverifisering og forebygging av svindel.
• Samtykke. Der samtykke er påkrevd, innhentes og håndteres det i samsvar med artikkel 6(1)(a) og artikkel 7 i GDPR. Samtykke brukes ikke som grunnlag der det ikke kan gis frivillig.

Trusted Carrier sikrer at behandlingen er forholdsmessig og begrenset til det som er nødvendig for det tiltenkte formålet.

Trusted Carrier behandler personopplysninger i samsvar med prinsippene fastsatt i artikkel 5 i GDPR.

Behandlingen utføres lovlig, rettferdig og åpent. Personopplysninger samles inn for spesifikke og legitime formål og viderebehandles ikke på en måte som er uforenlig med disse formålene.

Trusted Carrier begrenser personopplysningene som behandles til det som er nødvendig for verifisering, autorisasjon, forebygging av svindel og operativ sikkerhet, med hensyn til den spesifikke konteksten og risikonivået i hver arbeidsflyt.

Det iverksettes tiltak for å sikre at personopplysninger er korrekte og, der det er nødvendig, holdes oppdatert. Opplysninger lagres bare så lenge det er nødvendig og beskyttes gjennom egnede tekniske og organisatoriske sikkerhetstiltak.

Disse prinsippene anvendes gjennom hele utformingen og driften av tjenesten, herunder ved biometrisk verifisering, KI-assistert behandling og mekanismer for datadeling, for å sikre at behandlingen forblir forholdsmessig og i samsvar med sitt tiltenkte formål.

Trusted Carrier bruker biometriske data til identitetsverifisering og autentisering der det kreves et høyt sikkerhetsnivå.

Biometrisk behandling kan omfatte ansiktssammenligning, livstegnsdeteksjon og lignende metoder for å bekrefte identitet.

Slik behandling brukes bare der det er nødvendig og ikke med rimelighet kan erstattes av mindre inngripende metoder.

Biometriske data:

• brukes ikke til profilering eller sporing
• brukes ikke på tvers av urelaterte kontekster
• lagres ikke i en biometrisk database for generelle formål

Der biometrisk verifisering ikke kan fullføres, kan alternative prosedyrer brukes der det med rimelighet er gjennomførbart.

Biometriske data lagres bare i den korteste perioden som er nødvendig for verifisering, autentisering, forebygging av svindel eller rettslige forpliktelser.

Trusted Carrier bruker kunstig intelligens for å støtte identitetsverifisering, dokumentvalidering, svindeldeteksjon og avviksdeteksjon.

KI kan utføre innledende vurderinger eller flagge risiko. Der utfallet kan påvirke tilgang eller deltakelse, er menneskelig gjennomgang aktivt integrert i arbeidsflyten.

Enkeltpersoner er ikke gjenstand for avgjørelser med rettsvirkning eller tilsvarende betydelig virkning som utelukkende er basert på automatisert behandling, i samsvar med artikkel 22 i GDPR.

KI-systemer er utformet for å overholde gjeldende europeisk KI-regelverk, herunder forordning (EU) 2024/1689 (EU AI Act), der dette er relevant.

Trusted Carrier behandler opplysninger om enkeltpersoner som opptrer i profesjonell kapasitet.

Behandlingen er begrenset til identitetsverifisering, autorisasjon, forebygging av svindel og operativ sikkerhet. Den brukes ikke til medarbeiderovervåking, produktivitetssporing eller atferdsanalyse.

Revisjonslogger og verifikasjonsoppføringer brukes ikke til å evaluere individuell ytelse og åpnes bare der det er nødvendig av hensyn til sikkerhet, etterlevelse eller tvisteløsning.

Verifisert informasjon deles bare der det er nødvendig og autorisert.

Trusted Carrier kontrollerer ikke hvordan uavhengige parter bruker opplysninger etter lovlig deling.

Trusted Carrier selger ikke personopplysninger og bruker dem ikke til annonsering.

Verifisering kan initieres via e-post, SMS eller meldingsplattformer.

Trusted Carrier sender ikke personopplysninger via slike plattformer utover det som er nødvendig for å initiere verifisering.

Der tredjeparts meldingsplattformer brukes, er Trusted Carrier ikke ansvarlig for hvordan disse plattformene behandler, lagrer eller deler opplysninger som overføres gjennom deres tjenester. Brukere bør se den relevante plattformens personvernerklæring for mer informasjon.

Trusted Carrier kan brukes til å bekrefte at underleverandører er autorisert til å utføre aktiviteter.

Trusted Carrier treffer rimelige tiltak for å sikre at personopplysninger er korrekte og oppdaterte.

Verifikasjonsresultater kan korrigeres, begrenses eller ugyldiggjøres der det er nødvendig.

Personopplysninger lagres bare så lenge det er nødvendig basert på operative krav, rettslige forpliktelser, svindelrisiko og revisjonssporbarhet.

Lagringsperioder gjennomgås regelmessig.

Trusted Carrier implementerer egnede tekniske og organisatoriske tiltak i samsvar med artikkel 32 i GDPR.

Trusted Carrier bruker informasjonskapsler og lignende teknologier for å opprettholde sikre økter, forebygge svindel og sikre systempålitelighet.

Ytterligere detaljer finnes i Retningslinjer for informasjonskapsler.

Personopplysninger kan deles med kunder, motparter, forsikringsselskaper, meglere, offentlige myndigheter og tjenesteleverandører.

Underdatabehandlere er kontraktsmessig bundet i samsvar med artikkel 28 i GDPR.

Der personopplysninger overføres utenfor Det europeiske økonomiske samarbeidsområdet, implementeres egnede garantier i samsvar med artikkel 44 til 46 i GDPR.

Enkeltpersoner har rettigheter etter artikkel 15 til 22 i GDPR, herunder:

• innsyn
• retting
• sletting
• begrensning
• protest
• dataportabilitet
• menneskelig gjennomgang

Forespørsler kan sendes til ten.reirracdetsurt@ycavirp.

Der flere parter opptrer som felles behandlingsansvarlige, fordeles ansvaret i samsvar med artikkel 26 i GDPR.

Trusted Carrier håndterer brudd i samsvar med artikkel 33 og 34 i GDPR.

Trusted Carrier implementerer innebygd personvern og personvern som standardinnstilling i samsvar med artikkel 25 i GDPR.

Trusted Carrier gjennomfører vurderinger av personvernkonsekvenser i samsvar med artikkel 35 i GDPR.

Der nasjonale lover stiller ytterligere krav, gjelder disse kravene.

Denne personvernerklæringen kan oppdateres ved behov.