Contract
'HWWD GDWDEHKDAQvtGaleOtµL Q JXVWDJY|WUD OH Q µGHO DY K\UHVD3Y.2WDOUtHanWa ttWdeHt OpåHvePrkDarWanLdNraDsäYkeWrhDetOsstHanWda rder som parterna kommit
Hµuvudavtaletµ PHOODQ L +\(µUKuHndVeWnµD) sJomDUagHerQar fö.r eXgQenGHQöverens om, ska TIP implementera de tekniska och organisatoriska räkning och som agent för varje partner till kunden; och (ii) Uthyraren/TIP TµIPµ säkerhetsåtgärder som anges i bilaga 3 (Tekniska och operativa
som agerar för egen räkning och som agent för varje TIP-partner. Begrepp i versaler som används i detta avtal och som inte definieras på annat sätt här ska ha den betydelse som ges i Villkoren för leasing och uthyrning/TIP Insights allmänna villkor.
SKÄLEN
(A) TIP och Xxxxxx har ingått Huvudavtalet enligt vilket TIP kommer att förse Kunden med TIP Insight-tjänster (hädanefter µ7MlQVW).HUQDµ
(B) I den mån tillhandahållandet av sådana tjänster kräver behandling av personuppgifter så har parterna kommit överens om att ingå detta avtal i syfte att säkerställa efterlevnad av de tillämpliga dataskyddslagarna
1. DEFINITIONER
säkerhetsåtgärder) för att säkerställa en säkerhetsnivå för personuppgifterna som är lämplig för risken och ska vidta alla åtgärder som krävs enligt artikel 32 GDPR. Kunden har bedömt de åtgärder som TIP genomfört och erkänner och samtycker till att de tillhandahåller en lämplig säkerhetsnivå, särskilt med hänsyn till de risker som uppstår genom behandlingen, i synnerhet vad gäller oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller åtkomst till personuppgifter som överförs, lagras eller på annat sätt behandlas.
4. DELEGERAD BEHANDLING
4.1 Kunden godkänner härmed att TIP att lägger ut behandlingen av personuppgifterna på underleverantörer. De aktuella underleverantörerna som TIP anlitar anges i bilaga 2 (Auktoriserade underleverantörer och dataöverföringar), och denna bilaga kan uppdateras från tid till annan. Underleverantörerna är i varje fall föremål för villkor som avtalats mellan TIP
1.1 %HJUHSS VnVRP µEHKDQGOLQJ EHKDQGODµ µUocHh JunLdeVrlWevUerHanUtöDreGn o chSdHesUsaVvRillkQorµh ar ej sUämHreJsLkyVddWäHn UdeIso|mUaDngUesHi
NRQWUROODQW µ µSHUVRQXSSJLIWHUµ µGDdWetDtaLavQtaWl.UTInP kQomJmµe r a tt iµnfNorRmeQraVKHunNdeYn HomQdVetEalHjeGrna|iPsåQdaLnaQvJillk or PföHr G DYVHHQGH Sn GDWDVN\GGµ RVY VND KD VDPunPdeDrl everLanQtöQreHr Evid|sUkriGft lig bVegnärVanRfPrå n KuEndHenV. NTIUP kLoYmmHeWr a tt iLnf ormera
dataskyddslagarna.
1.2 µDotterbolagµ betyder en enhet som äger eller kontrollerar, ägs eller kontrolleras av eller är eller står under gemensam kontroll eller äganderätt av Kunden/TIP, där kontroll definieras som innehavet, direkt eller indirekt, av befogenheten att styra eller ordna med styrning av ledningen och policyer för en enhet, antingen genom ägande av röstberättigade värdepapper, genom kontrakt eller på annat sätt.
Kunden i förväg om eventuella avsiktliga ändringar som rör tillägg eller utbyte av underleverantörer och ger därigenom Kunden möjlighet att invända mot sådana ändringar. Om Xxxxxx inte invänder skriftligen inom fem (5) arbetsdagar efter mottagandet av meddelandet anses Xxxxxx ha godkänt den nya Underleverantören. Om kunden gör invändningar skriftligen inom fem (5) arbetsdagar efter mottagandet av meddelandet, kommer TIP och kunden att diskutera möjliga lösningar och, i avsaknad av en tillfredsställande lösning av eventuella problem som kunden tar upp, ska kunden ha rätt att säga upp huvudavtalet och detta Avtal om TIP ändå beslutar sig för att verkställa det
1.3 µAnonyma dataµ EHW\GHU GDWD VRP KDU DYLGHQWLmIeLddHelUadDe WbyVte t aRv uFnKde rleHveOraOntHörU. VDPODWV PHG
andra data i sådan utsträckning att registrerade personer inte längre kan identifieras,
är identifierbara eller på annat sätt avslöjas genom hänvisning till eller i kombination med andra databaser.
5. DEN REGISTRERADE PERSONENS RÄTTIGHETER
5.1. TIP ska meddela kunden så snart som möjligt om den tar emot en begäran från en registrerad person enligt någon dataskyddslag med avseende på
1.4 µAuktoriserade underleverantörerµ EHW\GHU D GH XQGHpUerOsoHnuYppHgUiftDerQ, Win|kluUsiHveUb egVärRanPf rån en registrerad person att utöva
anges i bilaga 2 (Auktoriserade underleverantörer och dataöverföringar); och (b) eventuella ytterligare underleverantörer som kunden har gett sitt skriftliga samtycke till i enlighet med avsnitt 4.1.
rättigheter enligt kapitel III i GDPR, och ska tillhandahålla fullständig information om den begäran.
5.2. TIP ska samarbeta på kundens begäran för att göra det möjligt för
1.5 µ'DWDVN\GµG VEOHDWJ\DGUHU GHQ DOOPlQQD GDWDVkuNnd\eGn GatVt Iföl|jaUaRlltUuGtöQvaLndQeJaHv Qen reg is(tre8ra d persons rättigheter enligt
llµsa*m'ma3ns5mµed a llaWlLagar som implementerar eller kompletterar samma och alla andra tillämpliga dataskyddslagar eller integritetslagar, inklusive ePrivacy-direktivet (EU) 2002/58/EC som införlivas i tillämplig lag.
dataskyddslagar med avseende på personuppgifter och följa alla bedömningar, förfrågningar, meddelanden eller utredningar enligt dataskyddslagar vad gäller personuppgifter eller detta avtal. Förutsatt i varje enskilt fall att kunden ska ersätta TIP i sin helhet för alla kostnader (inklusive för interna resurser och
1.6 µEESµ EHW\GHU GHW (XUSRaSmaHrbLetVsoNmDråd e(t. NRQRPLVND eventuella kostnader för tredje part) som rimligen uppstår genom att TIP fullgör
sin skyldighet enligt detta avsnitt 5.2.
1.7 µStandardavtalsklausulerµ EHW\GHU VWDQGDUGDYWDOVNODXVXOHUQD I|U |YHUI|ULQJ DY
personuppgifter till företag etablerade i tredjeparts länder, som godkänts av Europeiska kommissionen enligt beslut 2021/914/EU, eller någon uppsättning av klausuler som godkänts av Europeiska kommissionen som ändrar, ersätter eller upphäver dessa.
6. INCIDENTHANTERING
6.1 TIP ska underrätta kunden omedelbart och utan onödigt dröjsmål och förse kunden med tillräcklig information som gör det möjligt för kunden att uppfylla alla skyldigheter att rapportera ett dataintrång enligt dataskyddslagarna. Sådan underrättelse ska åtminstone:
1.8 µUnderleverantörµ EHW\GHU DOOD GDWDI|UHWDJ LQa.NOXVbeLskYrivHa karWakUtäHreGn aMvHda taSintDråUngWet inRkluFsiKve omDmOöOjliDgt kategorierna
företagspartner) som utsetts av TIP att behandla personuppgifter på uppdrag av Xxxxxx;
och det ungefärliga antalet berörda registrerade personer samt kategorierna och det ungefärliga antalet personuppgifter som berörs;
b. meddela namn och kontaktuppgifter till TIP:s dataskyddsombud eller
1.9 µTillsynsmyndighetenµ EHW\GHU D HQ REHURHQGH RIIHQaWnOnaLn rJel evPan\t kQonGtaLktJfrKånHvWilk enVmRerPi nfoKrmDaUtio n kan erhållas
inrättats av en medlemsstat i enlighet med artikel 51 i GDPR, och (b) varje liknande tillsynsmyndighet som ansvarar för efterlevnaden av dataskyddslagar.
2. BEHANDLING AV PERSONUPPGIFTER
2.1 Kunden, som agerar som oberoende kontrollant, auktoriserar och instruerar TIP, som agerar som registerförare på uppdrag av och i Kundens ställe att:
a. Behandla personuppgifterna för alla legitima och relevanta ändamål i samband med TIP:s tillhandahållande av Tjänsterna till Kunden;
b. Behandla personuppgifterna i den mån det är nödvändigt för att uppfylla en rättslig skyldighet för Kunden eller TIP, inklusive utlämnande av personuppgifter till behöriga lokala myndigheter, och
c. Överför personuppgifterna efter behov eller om det är relevant till någon underleverantör.
2.2 TIP kommer att behandla personuppgifterna endast enligt dokumenterade instruktioner från Kunden och kommer inte att behandla personuppgifterna vidare på ett sätt som är oförenligt med de syften som anges i Bilaga 1 (Detaljerad information om behandling av personuppgifter).
2.3 Utan hinder av artiklarna 2.1 och 2.2 i detta avtal samtycker Kunden till att TIP också, såsom oberoende kontrollant, kan avidentifiera personuppgifter och andra data relaterade till Tjänsterna för att göra om dem till anonyma data, som sedan kan användas i syfte att förbättra TIP:s tjänster och verksamhet, utveckling av nya tjänster och erbjudanden samt modellering, trendanalys, marknadsundersökningar, analyser, forskning och relaterade syften. TIP kan behålla anonyma uppgifter som en del av sin egen information eller data, och de anonyma uppgifterna ska inte längre omfattas av huvudavtalet eller detta avtal.
3. KONTROLLPERSONAL OCH SÄKERHET
3.1 TIP ska hålla personuppgifterna konfidentiella och kommer att instruera sin personal och underleverantörer att göra detsamma.
c. beskriva de sannolika följderna av dataintrånget, och
d. beskriva de åtgärder som vidtagits eller föreslås vidtas av kunden för att åtgärda dataintrånget.
6.2 TIP ska rimligen samarbeta med kunden och vidta sådana rimliga åtgärder som kunden anvisar för att hjälpa till med utredningen, begränsningen och åtgärdandet av varje dataintrång, för att göra det möjligt för kunden att (i) utföra en grundlig undersökning av dataintrånget, (ii) formulera ett korrekt svar och vidta lämpliga ytterligare åtgärder med avseende på dataintrånget för att uppfylla alla krav enligt dataskyddslagarna.
6.3 I varje enskilt fall ska kunden ersätta TIP i sin helhet för alla kostnader (inklusive för interna resurser och eventuella kostnader för tredje part), rimligen uppstår genom att TIP fullgör skyldigheterna enligt avsnitt 6.2.
7. KONSEKVENSBEDÖMNING FÖR DATASKYDD OCH FÖREGÅENDE SAMRÅD
7.1 TIP ska tillhandahålla rimlig hjälp till kunden med eventuella konsekvensbedömningar vad gäller dataskydd som krävs enligt artikel 35 GDPR och med eventuella tidigare konsultationer hos tillsynsmyndighet av kunden såsom krävs enligt artikel 36 GDPR, i varje enskilt fall i samband med behandling av personuppgifter av TIP på uppdrag av Kunden och med hänsyn till arten av behandlingen och informationen som finns tillgänglig för TIP.
8. XXXXXXXX ELLER ÅTERLÄMNANDE AV KUNDENS PERSONUPPGIFTER
8.1 TIP ska, enligt kundens önskemål, radera eller återlämna personuppgifterna i slutet av tillhandahållandet av tjänster som rör uppgiftsbehandlingen, i den utsträckning det är rimligt möjligt och såvida inte lagring av sådana personuppgifter av TIP krävs enligt tillämplig lag.
9. RÄTTIGHETER AVSEENDE REVISION
9.1 Kunden kan, efter ett förhandsbesked på minst två (2) veckor, utföra eller anlita en vederbörligen utsedd, oberoende och ansedd tredje part som är etablerad på marknaden för sina revisionsfunktioner och bunden av en strikt
tystnadsplikt (i en form såsom rimligen begärts av TIP) för att utföra, en revision av TIP:s behandlingsanläggningar för att säkerställa efterlevnaden av de skyldigheter som anges i detta avtal. TIP har rätt att neka tredjepartsrevisorer som är konkurrenter till TIP. Sådan revisionsverksamhet får inte hindra eller på annat sätt störa TIP:s verksamhet eller affärsverksamhet på ett orimligt sätt. En revision kommer inte att tvinga TIP att tillhandahålla eller tillåta tillgång till (i) information om dess prissättning; (ii) information om TIP:s andra kunder; (iii) TIP:s alla icke-offentliga och/eller konfidentiella uppgifter som inte är relaterade till behandlingen av personuppgifter. Revisionen kommer att genomföras i nära samarbete med av TIP utsedd personal, såsom dess dataskyddsombud.
BILAGA 1: DETALJERAD INFORMATION OM BEHANDLING AV PERSONUPPGIFTER
Denna bilaga 1 innehåller viss detaljerad information om behandlingen av personuppgifter i enlighet med artikel 28(3) i GDPR.
Föremål för och arten av behandlingen av personuppgifter
Tillhandahållande av TIP Insight-tjänster enligt huvudavtalet som gör det möjligt för kunden att länka de uppgifter som samlas in av enheterna för systemet för
IRUGRQVSDUNHQV KDQWHULQJ µ)06µ RFK HOO
9.2 TIP ska göra följande tillgänglig för kunden: All information som är nödvändig för att styrka efterlevnad av dess skyldigheter enligt artikel 28 i GDPR.
10. INTERNATIONELLA ÖVERFÖRINGAR AV KUNDENS PERSONUPPGIFTER
10.1 TIP ska inte (permanent eller tillfälligt), vid någon som helst tidpunkt, behandla personuppgifterna i ett land utanför EES utan en adekvat skyddsnivå, såvida inte behandlingen är i enlighet med kapitel V (artiklarna 44-50) i GDPR. I fall TIP begär det, ska kunden samtycka till att ingå ett avtal inklusive standardavtalsklausuler och/eller sådana ändringar som dataskyddslagar kan kräva med en underleverantör som godkänts av kunden och som anges i bilaga 2, med avseende på all behandling av personuppgifter i ett land utanför EES utan en adekvat skyddsnivå.
11. ÖVRIGT
11.1 Kunden garanterar att alla personuppgifter som kunden lämnar till TIP eller som kunden gör det möjligt för TIP att samla in och behandla i enlighet med detta avtal har samlats in, överförts till TIP och/eller behandlats, och ska samlas in, överföras till TIP och/eller behandlas. av TIP i enlighet med dataskyddslagar inklusive och utan begränsning: (a) se till att alla meddelanden till och godkännanden från tillsynsmyndigheter som krävs enligt dataskyddslagar görs och upprätthålls av kunden; och (b) se till att alla personuppgifter samlas in och behandlas på ett rättvist och
huvudavtalet) på något sätt, direkt eller indirekt, med en identifierad eller identifierbar fysisk person (som exempelvis föraren av lastbilen som drar utrustningen).
Varaktigheten av behandlingen av personuppgifter
Varaktigheten av behandlingen av personuppgifter av TIP enligt detta avtal är lika med löptiden för huvudavtalet.
Syfte med behandlingen av personuppgifter
Syftet med behandlingen av personuppgifter av TIP enligt detta avtal är att utföra tjänsterna enligt beskrivningen i huvudavtalet.
De typer av personuppgifter som ska behandlas
a. Geografisk platsinformation (presenterad i form av både kartor och rapporter tillgängliga via FMS-lösningen), rutter
b. körinformation relaterad till hastighet, riktning, hårda inbromsningar, kraftiga accelerationer, hård kurvtagning, körsträcka, elektroniskt
lagligt sätt, att de är korrekta och uppdaterade och att ett tillbörligt meddelande EURPVV\VWHP µ(%6µ YlJPlWDUH RFK H- OOHU
lämnas till registrerade personer som beskriver behandlingen som ska utföras av TIP i enlighet med detta avtal och/eller huvudavtalet.
11.2 Kunden ska försvara, gottgöra och hålla TIP skadeslöst vad gäller allt ansvar (inklusive skadeståndsanspråk från tredje part) som är en följd av all behandling av personuppgifter av TIP i enlighet med detta avtal.
11.3 När det gäller innebörden av detta avtal, i händelse av inkonsekvenser mellan bestämmelserna i detta avtal och andra avtal mellan parterna, inklusive men inte begränsat till huvudavtalet, ska bestämmelserna i detta avtal ha företräde med avseende på parternas dataskyddsskyldigheter beträffande personuppgifter. I händelse av konflikt eller inkonsekvens mellan detta avtal och standardavtalsklausulerna ska standardavtalsklausulerna ha företräde.
11.4 Om någon bestämmelse i detta avtal skulle vara ogiltig eller inte verkställbar, ska resten av detta avtal förbli giltigt och gällande. Den ogiltiga eller icke verkställbara bestämmelsen ska antingen (i) ändras vid behov för att säkerställa dess giltighet och verkställbarhet, samtidigt som parternas avsikter bevaras så nära som möjligt eller, om detta inte är möjligt, (ii) tolkas på ett sätt som om den ogiltiga eller ej verkställbara delen aldrig hade funnits däri.
vägmätare och GPS)
c. Information om aktivitetsstatus (fordonet rör sig eller står stilla)
d. Geofencing, in-/utfartsvarningar, allmänna varningar, varningar relaterade till driftsavvikelse och alla andra varningar som kan ställas in med FMS- lösningen, och
e. Personuppgifter om föraren som tillhandahålls av kunden (namn, e- postadress, telefonnummer, körkortsnummer)
De kategorier av registrerade personer som personuppgifterna avser
a. Kundens anställda eller tillfälligt anställda, och
b. Varje annan fysisk person som kan identifieras av kunden genom att använda FMS.
Den auktoriserade underleverantörens företagsnamn | Detaljerad information om behandlingen | Serviceplats | Ytterligare skyddsåtgärder (endast vid dataöverföring utanför EES) |
Transics International BVBA | Tillhandahållande av FMS och andra relaterade tjänster | Belgien | Ej tillämplig |
WABCO Europe BVBA | FMS:s IT- infrastruktur | Belgien | Ej tillämplig |
SunGard Availability Services Limited (som en underleverantör till Transics International BVBA) | Dataservercentral | Irland | Ej tillämplig |
Amazon Web Services, Inc. | Dataservercentral | Irland, Tyskland | Ej tillämplig |
Cybage Software Pvt. Ltd. (som underleverantör till Transics International BVBA) | Med dygnet-runt support | Endast begränsad och säker tillgång från Indien för att tillhandahålla teknisk assistans utanför normal europeisk arbetstid för att garantera dygnet-runt tjänster gentemot slutkunden | Standardavtalsklausuler |
BILAGA 2: AUKTORISERADE UNDERLEVERANTÖRER OCH DATAÖVERFÖRINGAR