DATA MANAGEMENT AGREEMENT (PERSONUPPGIFTSHANTERINGSAVTAL)

Transkript

1 DATA MANAGEMENT AGREEMENT (PERSONUPPGIFTSHANTERINGSAVTAL) mellan Volvo Lastvagnar AB Organisationsnummer: Göteborg, Sverige ( VOLVO ) Kundens namn (juridisk person): Organisationsnummer: Adress: Land: Telefon: Fax: E-post: ( Kunden ) Personuppgiftshanteringsavtalet (benämns även Avtalet ) reglerar de villkor enligt vilka telematiktjänsterna levereras till Kunden. VOLVOs allmänna villkor för Telematiktjänster, bilaga 1, utgör en del av Personuppgiftshanteringsavtalet. VOLVO och Kunden accepterar härmed följande villkor i anslutning till de tjänster som tillhandahålls av VOLVO med hänvisning till Personuppgiftshanteringsavtalet ( Tjänsterna ). Tjänsterna innefattar, men är inte begränsade till, VAS On Call, Dynafleet, Fuel Advice, Uptime-tjänster, My Truck och I-See. Specifika villkor för vissa Tjänster anges i separata dokument som uttryckligen hänvisas till häri eller andra dokument som hänvisar till Personuppgiftshanteringsavtalet som ramavtal för tillhandahållandet av dessa tjänster. Tjänsterna kommer att tillhandahållas om och i den utsträckning de antingen registreras enligt den process som hänvisas till i Personuppgiftshanteringsavtalet eller enligt den registreringsprocess som på annat sätt har fastställts av VOLVO för den specifika Tjänsten eller, för det fall Tjänster tillhandahålls avgiftsfritt, ingår i aktuell fordonsspecifikation. Personuppgiftsskydd och behandling av personuppgifter: I anslutning till tillhandahållandet av Tjänsterna kommer VOLVO att behandla data för Kundens räkning. Enligt Europaparlamentets och rådets förordning (EU) 2016/679 ( GDPR ) kan vissa data betraktas som personuppgifter. I samband med behandling av personuppgifter är Kunden personuppgiftsansvarig och VOLVO Kundens personuppgiftsbiträde. VOLVO får i detta syfte även anlita underentreprenörer för behandling av personuppgifterna, däribland Volvo Information Technology AB. I bilagorna 2 och 3 anges villkoren för denna behandling. Kunden åtar sig att följa tillämplig personuppgiftslagstiftning, vilket bland annat innebär att förse registrerade personer med information, när så är tillämpligt. I den utsträckning tillämplig lag medger det ska Kunden hålla VOLVO, dess representanter och ombud samt eventuell tredje man som agerar för VOLVOs räkning skadeslösa mot eventuella förluster som uppstår direkt eller indirekt till följd av Kundens underlåtenhet att följa personuppgiftslagstiftningen. Enligt detta Personuppgiftshanteringsavtal får VOLVO och Volvokoncernens bolag behandla data i egna interna syften. I den utsträckning VOLVO eller aktuellt Volvokoncernbolag i sådana fall är personuppgiftsansvarigt enligt GDPR och dessa data kan betraktas som personuppgifter enligt GDPR, accepterar Kunden att vid behov bistå VOLVO med att informera den registrerade om behandlingen av personuppgifter. Genom att underteckna Personuppgiftshanteringsavtalet eller genom att ladda ned, bereda sig åtkomst till, installera eller på annat sätt använda Tjänsterna eller Telematikwebbportalerna intygar Kunden att Kunden har läst och förstått Personuppgiftshanteringsavtalet, har alla nödvändiga tillstånd att ingå Avtalet och låta VOLVO och Volvokoncernens bolag åta sig aktiviteterna enligt Avtalet samt accepterar att vara bunden av dess villkor, inklusive eventuella framtida ändringar. Om ändringar görs i Avtalet ska Kunden anses ha accepterat dessa om Kunden under minst tre månader efter ändringarnas publicering enligt punkt 13.6 i de allmänna villkoren för Telematiktjänsterna i bilaga 1 till Avtalet har fortsatt använda Tjänsterna som tillhandahålls enligt Avtalet. Om Kunden inte accepterar villkoren i Personuppgiftshanteringsavtalet ska Kunden inte underteckna detta dokument, ladda ned, bereda sig åtkomst till, installera eller på annat sätt använda Webbportalerna för Telematiktjänster. Följande bilagor är införlivade i Personuppgiftshanteringsavtalet. Bilaga 1, Allmänna villkor för Telematiktjänster Bilaga 2, Avtal om uppdrag att behandla personuppgifter Bilaga 3, Tekniska och organisatoriska åtgärder vidtagna av personuppgiftsbiträdet Kund: Datum, ort: VOLVO (signatur) Namn: Titel: 1

2 Bilaga 1 Allmänna villkor för Telematiktjänster 1. Telematiktjänster 1.1. Telematiksystemet är ett telematikbaserat system som utvecklats av VOLVO för att bistå kunder med information om Kunders fordon, förare och vagnparksresultat, positionering, spårning, meddelanden och integrering av program från andra leverantörer Systemet består av tekniska givare, processorer, en mobil gateway för GSM/GPRS, SaaS-lösningar (Software as a Service) som drivs av VOLVO, vilka Kunden kan bereda sig åtkomst till via internet för att använda tjänsterna och komma åt vissa av dess data ( Telematikwebbportal ), samt fordonsbaserade komponenter och andra komponenter ( Telematikmaskinvara ). Telematikmaskinvaran inhämtar, behandlar, övervakar, analyserar och skickar vissa data interaktivt över det trådlösa nätverket från fordonet till VOLVO för att VOLVOs system ska kunna behandla dessa data ytterligare och tillhandahålla Tjänsterna som omfattas av Avtalet, beroende på vilken servicenivå Kunden valt. VOLVO och Volvokoncernens bolag kan behandla sådana data även i egna interna syften, bland annat för forskning och utveckling av produkter och tjänster för att till exempel förbättra och underhålla Tjänsterna och utveckla nya produkter och tjänster, lösa kvalitetsproblem eller genomföra undersökningar för olycksforskning, kontroller av garanti- och avtals- eller regelefterlevnad (såsom produktansvar), marknadsföring och förebyggande underhåll och diagnostik och kan i samband med detta dela eller överföra sådana data till bolag inom Volvokoncernen eller till externa affärspartner utanför EU. Data kan även inhämtas av VOLVO med hjälp av felsökningsverktyg, till exempel Tech Tool, på verkstäder och hos återförsäljare De data som berörs av detta kan bland annat vara fordonsdata, information från fordonskomponenter, fordonsprestandainformation såsom felkoder, effekt- /varvtalsutnyttjande, bromsanvändning, växling och bränsleförbrukning, batterianvändning, fordons-id, färdskrivardata (inklusive förares ID-nummer, namn och annan information om förare som Kunden tillhandahåller), förares beteende och prestation, hastighet, geografisk position, platsinformation samt data från detektering av väg- och omgivningsförhållanden med tidsstämpel och drifttimmar och språkinställningar för instrumentpanelen. Vissa funktioner i Tjänsterna kan blanda data från flera andra tjänstleverantörer Driften av Telematiksystemet och tillhandahållandet av Tjänsterna inbegriper överföring av data till externa tjänstleverantörer, med särskilt avseende på återförsäljare, verkstäder och IT-leverantörer auktoriserade av VOLVO, i syfte att tillhandahålla Tjänsterna samt nya tjänster och i andra syften, till exempel för att övervaka kritiska komponenter och felkoder för förebyggande underhåll. Mer information om detta finns i Volvolastbilarnas förarhandböcker och i beskrivningar av Tjänsterna samt i ytterligare villkor för Tjänsterna Omfattningen av de Tjänster som tillhandahålls enligt Personuppgiftshanteringsavtalet utgörs av de Tjänster som är registrerade för Kunden på Telematikwebbportalerna eller, i tillämpliga fall, andra processer. En fullständig beskrivning av Tjänsterna finns på Webbportalerna för de Tjänster Kunden valt I den mån Tjänsterna, inklusive användningen av Tjänsternas Webbportaler, omfattas av ytterligare villkor accepterar Kunden att vara bunden av dessa ytterligare villkor, vilka är tillgängliga via källor enligt nedanstående beskrivning av Tjänsterna VOLVO förbehåller sig rätten att ändra, uppgradera, byta ut eller ersätta en Tjänst eller del av en Tjänst utan föregående meddelande och, efter VOLVOs eget gottfinnande, som en del av den fortlöpande förbättringen av Telematiksystemet, eller om det krävs för att uppfylla ett tillämpligt säkerhetskrav, lagkrav eller myndighetskrav eller för utökad funktionalitet som inte väsentligt påverkar Tjänsternas kvalitet eller prestanda Kundinformation som VOLVO och externa tjänstleverantörer (med särskilt avseende på återförsäljare och verkstäder auktoriserade av Volvokoncernens bolag i detta syfte) underhåller beträffande service-, reparations- och underhållsresultat och prestandaresultat för Kundens fordon inom ramen för Tjänsterna utgör en väsentlig del av Telematiksystemets omfattning av Tjänsterna. 2. Telematiksystemets tillgänglighet 2.1. Kundens rätt att använda Telematiksystemet är avhängig av Telematiksystemets tekniska tillgänglighet Telematiksystemets tillgänglighet är beroende av tillgängligheten på nätverk och satellittäckning och kan störas av lokala hinder (till exempel broar eller byggnader), atmosfäriska eller topografiska förhållanden och tekniska begränsningar (till exempel inbyggda fel i GPS-systemet) Oaktat förpliktelserna enligt artikel 32 i GDPR friskriver sig VOLVO från allt ansvar för säkerheten i telekommunikation via mobila och trådlösa nätverk som används för att överföra data och information Det kan hända att Telematiksystemet inte är tillgängligt på grund av underhållsarbete eller felsökning av systemets tekniska komponenter. Planerat underhåll kommer, när så är möjligt, att anslås på Webbportalen för Tjänsten eller meddelas Kunden på annat sätt. VOLVO ska göra sitt yttersta för att hålla avbrottet i Telematiksystemets tillgänglighet så kort som möjligt. VOLVO ska ersätta Kunden om Kunden har ett förbetalt Personuppgiftshanteringsavtal för en fastställd period och VOLVO väsentligt minskar Tjänsternas omfattning under denna period. Ersättningen ska då vara i proportion till den minskade användningen av Tjänsterna under återstoden av perioden och ska utesluta all annan ersättning till Kunden, såsom kostnader, utgifter och skadestånd för driftavbrott och utebliven vinst. Utöver detta ska VOLVO inte hållas ansvarigt för några följdskador som Kunden vållas på grund av avbrott i Telematiksystemet eller Tjänsterna Åtkomsten till vissa data som Kunden tillhandahålls via Telematiksystemet är avhängig av den tekniska tillgängligheten. Onlineåtkomsten är normalt begränsad till en bestämd tidsperiod för den specifika Tjänsten, enligt definition på Webbportalen för Tjänsten, vilken börjar löpa den dag data överförs från maskinvaran men aldrig längre än Personuppgiftshanteringsavtalets löptid. Kunden 2

3 ansvarar ensam för att ha nödvändig teknisk utrustning till hands för att bereda sig åtkomst till Tjänsterna, till exempel datorutrustning och tillgång till internet. 3. Telematiksystemets användning 3.1. Kundens rätt att använda Telematiksystemet regleras av avtalet för Tjänsterna, förutsätter att Kunden uppfyller Personuppgiftshanteringsavtalets samtliga villkor och är avhängig av Telematiksystemets tekniska utvecklingsstadium och tekniska tillgänglighet Vid fullgörandet av Personuppgiftshanteringsavtalet ska VOLVO, när så är tillämpligt, tillhandahålla Kunden inloggningsuppgifter för att Kunden ska få tillgång till Webbportalerna för Telematiktjänster, registrera och acceptera fordon på Webbportalerna för Telematiktjänster och börja använda de Tjänster som Kunden abonnerar på. Kunden ska följa artikel 32 i GDPR och under alla omständigheter skydda Telematiksystemets säkerhet genom att säkerställa att åtkomst- och inloggningsuppgifter förvaras på ett säkert sätt Kunden ska säkerställa och ansvara för att VOLVOs användarhandböcker och manualer för varje enskilt fordon följs Kunden är medveten om att Telematiksystemet kanske inte är tillgängligt i alla länder. Tillgängligheten kräver framförallt att VOLVO (i) vidtagit relevanta åtgärder för att konfigurera Telematikwebbportalen för användning av Telematiktjänster i det specifika landet (ii) mottagit nödvändiga certifikat och andra nödvändiga tillstånd avseende användningen av Telematiktjänster och Telematikmaskinvara i det specifika landet (iii) ingått relevanta avtal med GSM/GPRSoch/eller satellitoperatörer. Ovanstående uppfylls för närvarande i EU:s samtliga medlemsstater. Om punkterna (i) (iii) ovan inte uppfylls ska VOLVO ha rätt att när som helst inaktivera maskinvaran i fordonet eller att inte aktivera den alls. Information om i vilka länder användningen av Telematiksystemet och/eller Tjänsterna har förberetts enligt ovan finns på Telematikwebbportalen. Kunden får endast använda Telematikwebbportalen för fordon för vilka Kunden har anskaffat nödvändig Telematikmaskinvara och registrering för Tjänsterna Telematiksystemet är upphovsrättsskyddat och VOLVO gör anspråk på all ensamrätt till detta, med undantag för den licens Kunden beviljas enligt Personuppgiftshanteringsavtalet och som förutsätter strikt efterlevnad av Personuppgiftshanteringsavtalets villkor. Kunden erkänner och accepterar att VOLVO behåller all upphovsrätt och alla andra immateriella rättigheter i Telematiksystemet. Kunden äger inte några immateriella rättigheter i Telematiksystemet, till exempel identifieringsnumret som tilldelats komponenterna till den mobila gatewayen. I anslutning till Telematiksystemet upprättas inte något avtalsförhållande av något slag mellan Kunden och den underleverantör som tillhandahåller VOLVO trådlösa tjänster Kunden får inte distribuera, vidareöverföra, kopiera, publicera, modifiera, förbättra, bakåtkompilera eller på annat sätt ändra informationen och innehållet som tillhandahålls via Tjänsterna eller Telematiksystemet. Kunden har inte rätt att tilldela, sälja, vidareförsälja, förhandla om, överlåta, pantsätta, leasa eller bevilja några ytterligare rättigheter att använda Telematiksystemet till tredje man VOLVO förbehåller sig rätten att via fjärranslutning registrera detaljerade uppgifter om de datorer med vilka Kunden använder Telematikwebbportalen, med särskilt avseende på att förhindra piratkopiering och informera användare om kritiska uppdateringar till Telematikwebbportalen och andra Volvoprodukter relaterade till Telematiktjänsterna och användningen av Telematikwebbportalen. VOLVO behandlar alla insamlade uppgifter enligt GDPR och Sveriges lagstiftning eller, i tillämpliga fall, motsvarande lokal lagstiftning VOLVO informerar Kunden om att det alltid kommer att lämna ut uppgifter på offentliga myndigheters begäran när det enligt lag är skyldigt att göra det, däribland uppgifter som behandlas inom ramen för eller i anslutning till Avtalet Kunden ansvarar för all registrering och avregistrering och alla övriga processer i samband med Telematiktjänsterna och/eller annan registrering av data avseende varje fordon som Kundens personal berörs av. Kunden är i synnerhet ensamt ansvarig när det gäller att säkerställa att (i) alla nödvändiga åtgärder för insamlingen, behandlingen och användningen av data i samband med Tjänsterna vidtas (ii) Kunden informerar VOLVO om eventuell försäljning eller ägarbyte av ett registrerat fordon (iii) Kunden avregistrerar ett registrerat fordon i vederbörlig ordning om Kunden inte längre äger eller på annat sätt har ett registrerat fordon till sitt förfogande (iv) Kundens lösenord och inloggningsuppgifter för åtkomst till och användning av Tjänsterna begränsas till enbart behöriga användare (v) användare av fordonet och Tjänsterna har fått all information om och följer användaranvisningarna till Tjänsterna (vi) Kunden och användarna av fordonet inte använder Telematiksystemet i strid mot någon lag eller i olagliga eller kränkande syften Kunden ansvarar vidare för att personuppgiftslagsstiftning, inklusive GDPR i tillämpliga fall, efterlevs, vilket inbegriper inhämtning av nödvändiga samtycken. Kunden ska hålla VOLVO och dess nuvarande och framtida koncernbolag, anställda, ombud, efterträdare och övertagare skadeslösa från alla anspråk, förluster, skyldigheter, skadestånd, avgifter, utgifter och kostnader (inklusive rimliga arvoden för juridiskt ombud) som kan komma att uppstå till följd av Kundens underlåtenhet att följa sådana lagar VOLVO har rätt att innehålla Tjänster eller använda Telematiksystemet för att lokalisera ett registrerat fordon om VOLVO har skälig anledning att tro att fordonet inte används av Kunden som laglig ägare eller på annat sätt i överensstämmelse med lagen eller villkoren i Personuppgiftshanteringsavtalet Om och i den utsträckning personuppgifter berörs av detta gäller bilaga 2 till Avtalet framför övriga bestämmelser. 3

4 4. Särskilda villkor för Tjänster VOLVO kan fastställa särskilda villkor som ska gälla för enskilda Tjänster som omfattas av Personuppgiftshanteringsavtalet. Kunden accepterar att vara bunden av dessa villkor (som kan komma att ändras av VOLVO från tid till annan enligt dessa särskilda villkor) när Kunden abonnerar på berörda Tjänster och dessa villkor ska införlivas i Personuppgiftshanteringsavtalet. I den utsträckning det finns en konflikt mellan särskilda villkor och Personuppgiftshanteringsavtalet gäller de särskilda villkoren med avseende på de specifika Tjänsterna. Tjänsterna kan inkludera data eller tjänster som VOLVO licensierar av tredje man. Kunden förbinder sig att följa alla krav och begränsningar som sådan tredje man kan kräva att VOLVO ålägger sina Kunder. 5. Pris och betalning 5.1. Kunden ska betala abonnemangsavgifterna för Tjänsterna enligt följande. (i) När det finns villkor angivna i ett separat avtal eller Särskilda villkor ska priser och betalningsvillkor angivna däri gälla för berörda Tjänster. (ii) För Dynafleet och Fuel Advice anges priserna på webbplatsen Dynafleet Online eller, i tillämpliga fall, Fuel Advice Toolbox Om inget annat uttryckligen anges är samtliga priser nettopriser (exklusive moms och andra tillämpliga skatter, avgifter, pålagor eller tull som kan tillkomma) VOLVO kan när som helst ändra priset på Tjänsterna genom att uppdatera nämnda prislista och publicera den på VOLVOs Webbportal för Telematiktjänster, varpå de nya priserna börjar gälla omedelbart vid publiceringen Kunden ska betala hela beloppet som förfaller till betalning enligt Personuppgiftshanteringsavtalet utan avräkning, begränsning eller villkor och utan avdrag för motfordran Om betalning av ett belopp som förfaller enligt Personuppgiftshanteringsavtalet uteblir ska en dröjsmålsränta debiteras enligt Personuppgiftshanteringsavtalet, utan att VOLVOs övriga rättigheter påverkas, från förfallodatumet tills full likvid erlagts, såväl före som efter bedömning, till den genomsnittliga ränta som fastställs enligt STIBOR-räntan (Stockholm Interbank Offered Rate) med 3 månaders löptid VOLVO har rätt att anlita tredje man för fakturering och inkassering för VOLVOs räkning Om inget annat har överenskommits ingår tillhörande telekommunikationsabonnemang för överföring av data till och från Volvolastbilen i alla Tjänster. 6. Särskilda villkor för förbetalda abonnemang 6.1. För Tjänster där en överenskommen förbetalning av en förbetald fastställd tidsperiod föreligger gäller följande villkor: Abonnemangsperioden börjar månaden efter att fordonet har registrerats på VOLVOs Webbportal för Telematiktjänster. Under den förbetalda abonnemangstiden debiteras inte Kunden några abonnemangsavgifter för fordonen. Avgifter för tjänster eller användning utöver vad som ingår i abonnemangsavgifterna (till exempel tilläggstjänster) debiteras och faktureras till Kunden enligt gällande prislista. Under den förbetala abonnemangstiden görs inga återbetalningar om Kunden skulle avbeställa Tjänsterna. För att dra fördel av den förbetalda abonnemangstiden måste fordonet registreras på Webbportalen för Telematiktjänster inom ett år från det datum den förbetalda abonnemangstiden fakturerades Ovanstående ska dock inte påverka VOLVOs skyldighet till återbetalning vid en eventuell uppsägning av Personuppgiftshanteringsavtalet. 7. Ansvarsbegränsning Följande bestämmelser i denna paragraf återspeglar omfattningen av Personuppgiftshanteringsavtalet och priset för Tjänsterna: 7.1. Kunden accepterar att Telematikwebbportalen (inklusive, men inte begränsat till, alla Telematiktjänsters analyser, dokumentation, funktioner och programvara) tillhandahålls i BEFINTLIGT SKICK. Kunden ges inga garantier för Telematikwebbportalerna och Telematiksystemet i något som helst hänseende VOLVOs totala ansvar enligt Personuppgiftshanteringsavtalet vid anspråk som uppstår under ett kalenderkvartal (oavsett om det grundar sig på inom- eller utomobligatoriskt skadeståndsansvar, vårdslöshet, lagstiftning, restitution eller på annat sätt) ska aldrig överstiga 100 procent av det belopp som betalats enligt Personuppgiftshanteringsavtalet under kalenderkvartalet för anspråkets uppkomst VOLVO ansvarar inte (oavsett om det grundar sig på inom- eller utomobligatoriskt skadeståndsansvar, vårdslöshet, lagstiftning eller annat) för utebliven vinst, driftavbrott, förlorad hanteringstid eller kostnader för dataåterställning oavsett om dessa förluster har uppstått direkt eller indirekt och oavsett om VOLVO haft kännedom om denna möjlighet eller inte, eller för några följdskador eller indirekta förluster Så långt det är tillåtet enligt tillämplig lag undantar VOLVO alla villkor, garantier och bestämmelser, såväl uttryckliga (utöver vad som anges i Personuppgiftshanteringsavtalet) som underförstådda, lagstadgade, hävdvunna eller som på annat sätt är eller skulle kunna vara till Kundens fördel VOLVO friskriver sig härmed från alla garantier, såväl uttryckliga som underförstådda, avseende Telematiksystemet och Telematikwebbportalen, inklusive, men inte begränsat till, allmän lämplighet eller lämplighet för ett särskilt ändamål. VOLVO ansvarar inte för några sakskador, personskador eller skulder som uppstår direkt eller indirekt till följd av användningen av Telematiksystemet och/eller Telematikwebbportalen, inklusive, men inte begränsat till, följdskador eller skador som ger upphov till förhöjt skadestånd, utebliven vinst, driftavbrott, förlorad hanteringstid eller kostnader för dataåterställning. 4

5 7.6. Kunden försäkrar för VOLVO att Kunden under Personuppgiftshanteringsavtalets hela löptid ser till att ha alla nödvändiga samtycken, tillstånd, licenser och behörigheter till hands för att Kundens användning av Tjänsterna, Telematiksystemet och Telematikwebbportalen till fullo ska följa gällande lagar och förordningar. Kunden ska säkerställa och ansvara för att personuppgifter i anslutning till Telematiktjänsterna endast behandlas enligt gällande personuppgiftslagstiftning, till exempel sådan som implementerats till följd GDPR. Detta innefattar normalt information som rör föraren i ett registrerat fordon och andra personer VOLVO ansvarar inte för några som helst förluster eller skador som beror på Kundens agerande eller underlåtenhet att agera, inklusive, men inte begränsat till, Kundens bristande uppfyllelse av GDPR VOLVO ansvarar inte för några förluster eller skador av något som helst slag som uppstår till följd av fel eller avbrott i de allmänna kommunikationssystemen som tillhandahållandet av Tjänsterna är beroende av Kunden är införstådd med och accepterar (i) att det inte råder något avtalsförhållande mellan Kunden och operatörerna för de mobila och trådlösa tjänster som används för att överföra data och information, (ii) att Kunden inte är tredjemansförmånstagare i något avtal mellan VOLVO eller ett Volvokoncernbolag och operatörerna, (iii) att operatörerna inte har något som helst ansvar gentemot Kunden med avseende på kontraktsbrott, garantiåtaganden, vårdslöshet, strikt ansvar enligt skadeståndsrätt eller på annan grund, (iv) att meddelanden kan vara fördröjda, raderas eller inte levereras samt (v) att operatörerna inte kan garantera säkerheten för den trådlösa överföringen och inte ansvarar för eventuella säkerhetsbrister i samband med Tjänsternas användning. 8. Friskrivning från garantiansvar 8.1. Lagstadgad rätt till garanti eller tillverkarens garanti begränsas till Telematikmaskinvaran som köps in separat av Kunden. Dessa garantier omfattar inte Tjänsterna och/eller Telematiksystemets drift VOLVO lämnar inga garantier, vare sig uttryckliga eller underförstådda, avseende allmän lämplighet eller lämplighet för ett särskilt ändamål avseende Telematikmaskinvaran och/eller Tjänsterna och Tjänsternas prestanda, inklusive Webbportalerna och den information som Kunden mottar som en del av Tjänsterna. VOLVO friskriver sig uttryckligen från alla sådana garantier. 9. Inaktivering av GSM/GPRS-enhet 9.1. VOLVO inaktiverar GSM/GPRS-enheten på Kundens begäran och på Kundens bekostnad utan onödigt dröjsmål. Kundens inaktivering måste utföras av en Volvoauktoriserad verkstad Inaktiveringen av GSM/GPRS-enheten resulterar i att vissa andra system också upphör att fungera, till exempel I-See-system. När GSM/GPRS-enheten väl är inaktiverad kan data inte längre räddas. Återaktivering kan utföras av en Volvoauktoriserad verkstad på Kundens bekostnad. 10. Överlåtelse av fordon till tredje man Kunden är skyldig att omedelbart informera VOLVO om ett registrerat fordon överlåts till eller mer än bara tillfälligt används av tredje man. Kunden ska före denna överlåtelse säkerställa att tredje man som kommer att använda Tjänsterna (däribland även de förbetalda Tjänsterna) ingår ett Personuppgiftshanteringsavtal och registrerar Tjänsterna hos VOLVO. Om denna tredje man inte använder Tjänsterna ska Kunden se till att denna tredje man beviljar VOLVO en förbehållslös, oåterkallelig rätt att samla in, behandla, övervaka, analysera, skicka och erhålla data från lastbilen i interna syften enligt paragraf Avtalsperiod och uppsägning Personuppgiftshanteringsavtalet gäller för obestämd tid. Både VOLVO och Kunden kan säga upp Personuppgiftshanteringsavtalet genom att meddela den andra parten med minst 60 dagars varsel. Meddelanden till VOLVO ska tillhandahållas enligt instruktionerna på följande webbplats: Alternativt kan Kunden skicka ett skriftligt meddelande om uppsägning till Volvo Lastvagnar AB BK Juridiska avdelningen GÖTEBORG, Sverige Om ett samtycke till behandling av personuppgifter skulle dras tillbaka kan däremot Personuppgiftshanteringsavtalet sägas upp med omedelbar verkan Uppsägningen av Personuppgiftshanteringsavtalet medför att alla abonnemang på Tjänster som omfattas av Avtalet automatiskt också sägs upp utan rätt till återbetalning av erlagda avgifter för någon Tjänst VOLVO eller Kunden kan när som helst säga upp specifika Tjänster genom att avregistrera Kunden och fordonet på motsvarande Webbportal, varpå uppsägningen kommer att träda i kraft vid utgången av den kalendermånad då avregistreringen utfördes. Personuppgiftshanteringsavtalet påverkas inte av att specifika Tjänster sägs upp utan fortsätter löpa Varje part har rätt att genom skriftligt meddelande säga upp Personuppgiftshanteringsavtalet med omedelbar verkan om den andra parten gör sig skyldig till väsentligt brott mot Personuppgiftshanteringsavtalet eller blir insolvent, går i konkurs eller inleder ackordsförfarande med sina fordringsägare eller annan likartad uppgörelse. Varje part har rätt att genom skriftligt meddelande säga upp Personuppgiftshanteringsavtalet med omedelbar verkan om någon av eller alla Tjänsterna inställs eller avbryts till följd av laga hinder Kundens underlåtenhet att betala ett förfallet belopp för en Tjänst enligt Personuppgiftshanteringsavtalet utgör ett kontraktsbrott som ger VOLVO rätt att säga upp Personuppgiftshanteringsavtalet och/eller avbryta Tjänsten i fråga med omedelbar verkan, såvida Kunden inte har betalat beloppet inom 15 dagar efter att en betalningspåminnelse skickats till Kunden. 5

6 11.6. VOLVO har rätt att säga upp detta Personuppgiftshanteringsavtal och/eller den berörda Tjänsten med omedelbar verkan om Kunden inte uppfyller GDPR eller om Kunden överlåter äganderätten till ett registrerat fordon till tredje man utan att informera VOLVO om ägarbytet Om Personuppgiftshanteringsavtalet sägs upp förbehåller sig VOLVO rätten att inaktivera Maskinvarans funktioner för sändning och mottagning från och med uppsägningsdatumet En uppsägning av Personuppgiftshanteringsavtalet ska oavsett orsak inte påverka eventuella rättigheter, förpliktelser och skyldigheter som Kunden eller VOLVO hade före uppsägningen. De villkor som uttryckligen eller underförstått kan ha fortsatt verkan även efter en uppsägning kommer att fortsätta gälla trots uppsägningen. Detta gäller bland annat, men inte enbart, paragraf 1.2 (VOLVOs rätt att samla in, behandla, övervaka, analysera, skicka och erhålla data från lastbilen, inklusive genom användning av diagnosverktyg), paragraf 10 (Överlåtelse av fordon till tredje man), paragraf (Tillämplig lag) och paragraf (Tvistlösning) Vid en uppsägning av Personuppgiftshanteringsavtalet har Kunden, oavsett uppsägningens orsak, inte rätt till någon återbetalning av belopp som erlagts enligt Personuppgiftshanteringsavtalet. En uppsägning av Personuppgiftshanteringsavtalet påverkar inte eventuella fordringar som VOLVO har hos Kunden för belopp som har förfallit till betalning enligt Personuppgiftshanteringsavtalet. 12. Force Majeure 13. Övrigt VOLVO ska inte ha något ansvar gentemot Kunden eller anses ha brutit mot Personuppgiftshanteringsavtalet vid utebliven eller försenad uppfyllelse av förpliktelse i Personuppgiftshanteringsavtalet eller i samband med Tjänsterna om orsaken är någon av följande omständigheter: handling, underlåtelse eller försummelse som VOLVO rimligen inte kan råda över eller förutse, inklusive, men inte begränsat till, tjänster tillhandahållna av tredje man (inklusive, men inte begränsat till, GSM/GPRS-dataoperatörer eller annan tredje man som tillhandahåller tjänster eller produkter), defekter eller brister i utrustning, force majeure, krig, strejker, tvister, protester, brand, oväder, explosion, terrordåd eller undantagstillstånd, och VOLVO ska i största möjliga mån ges rätt till skälig tidsförlängning för att uppfylla sådana förpliktelser. Under ovanstående omständigheter har VOLVO rätt att efter eget gottfinnande inställa eller avbryta någon av eller alla Tjänsterna Senaste versionen av Personuppgiftshanteringsavtalets villkor kan hämtas på: VOLVO har rätt att när som helst överlåta Personuppgiftshanteringsavtalet till annat Volvokoncernbolag. Kunden ska godkänna detta avtalsövertagande och befria VOLVO från allt ansvar enligt Personuppgiftshanteringsavtalet utan ytterligare anspråk VOLVOs underlåtenhet att hävda sina rättigheter enligt Avtalet eller villkoren för Tjänsterna eller VOLVOs upphovsrätt eller andra immateriella rättigheter till Telematikwebbportalen ska inte tolkas som en ändring i Personuppgiftshanteringsavtalet eller som ett avstående från någon av VOLVOs rättigheter enligt Avtalet eller någon lagbestämmelse i Sverige Tidpunkten för VOLVOs uppfyllelse av alla förpliktelser är oväsentlig Om en behörig domstol, tribunal eller myndighet bedömer att en bestämmelse i Personuppgiftshanteringsavtalet är olaglig, ogiltig eller overkställbar ska denna bestämmelse i nödvändig mån strykas ur Personuppgiftshanteringsavtalet och upphöra utan att någon annan bestämmelse i Personuppgiftshanteringsavtalet behöver ändras eller att återstoden av Personuppgiftshanteringsavtalet påverkas, vilket ska fortsätta gälla med full verkan VOLVO kan anpassa eller ändra villkoren i Personuppgiftshanteringsavtalet genom att publicera en ny version på: Kunden ska anses ha accepterat de nya villkoren om Kunden minst tre månader efter ändringarnas publicering har fortsatt använda Tjänsterna som tillhandahålls enligt Avtalet Personuppgiftshanteringsavtalet är personligt för Kunden, vilken därför inte äger någon rätt att tilldela, delegera, licensiera, överlåta eller underkontraktera alla eller någon av sina rättigheter eller skyldigheter enligt Personuppgiftshanteringsavtalet eller några särskilda villkor för Tjänsterna utan VOLVOs föregående skriftliga medgivande Personuppgiftshanteringsavtalet, och i förekommande fall de särskilda villkoren för Tjänsterna, innehåller samtliga villkor som VOLVO och Kunden har antagit avseende Tjänsterna och ska gälla framför alla andra föregående skriftliga eller muntliga avtal, utfästelser eller överenskommelser mellan parterna beträffande dessa Tjänster Personuppgiftshanteringsavtalet, och i förekommande fall de särskilda villkoren för Tjänsterna, ska härmed utgöra hela avtalet mellan parterna. Eventuell avsägelse från eller ändring i Personuppgiftshanteringsavtalet är endast giltig om denna gjorts skriftligt och undertecknats av bägge parter. Om en behörig domstol, tribunal eller myndighet bedömer att en bestämmelse i Personuppgiftshanteringsavtalet är olaglig, ogiltig eller overkställbar ska återstoden av Personuppgiftshanteringsavtalet tolkas så att det i rimligaste mån avspeglar parternas avsikt Personuppgiftshanteringsavtalets samtliga villkor ska med avseende på deras utarbetande, förefintlighet, tolkning, uppfyllelse och giltighet och alla andra hänseenden regleras och tolkas enligt svensk rätt oavsett lagvalsprinciper och utan tillämpning av Förenta nationernas konvention angående avtal om internationella köp av varor (UN- CISG) förutsatt att, och endast i den utsträckning, detta inte är bindande enligt annan lagstiftning. 6

7 Alla eventuella tvister som uppstår till följd av eller i anslutning till Personuppgiftshanteringsavtalet ska ensamt avgöras av svensk domstol med Göteborgs tingsrätt som första instans. Bägge parterna erkänner denna rättsordning. 7

8 Bilaga 2 Avtal om uppdrag att behandla personuppgifter 1. Innehåll och detaljer 1.1. Parterna har ingått detta Personuppgiftshanteringsavtal enligt vilket VOLVO ska bereda Kunden åtkomst till Telematiksystemets Telematikwebbportal och möjlighet att använda den i syfte att analysera data och använda standardfunktioner. Inom ramen för Telematiksystemet inhämtar, behandlar, övervakar, analyserar och skickar den Telematikmaskinvara som har köpts separat av Kunden vissa data interaktivt över det trådlösa nätverket från fordonet till VOLVO för att VOLVOs programvara ska kunna behandla dessa data vidare och tillhandahålla Tjänsterna som omfattas av Personuppgiftshanteringsavtalet, beroende på vilken servicenivå Kunden valt. Data kan även inhämtas av VOLVO med hjälp av felsökningsverktyg, till exempel Tech Tool, på verkstäder och hos återförsäljare. De data som berörs omfattar, men begränsas inte till, fordonskomponenters prestandainformation, med särskilt avseende på effekt-/varvtalsutnyttjande, bromsanvändning, växling och bränsleförbrukning, fordons-id, färdskrivardata (inklusive förarens ID-nummer), geografisk position, platsinformation samt data från detektering av väg- och omgivningsförhållanden med tidsstämpel och drifttimmar. I anslutning till tillhandahållandet av Tjänsterna är det tekniskt möjligt och/eller nödvändigt för VOLVO att i egenskap av maskinvarans och programvarans operatör bereda sig åtkomst till dessa data. Data kan här avse såväl Kunden som respektive förare. I anslutning till tillhandahållandet av Tjänsterna kan därför VOLVO komma att behandla personuppgifter ( Personuppgifter ) för Kundens räkning. Följande bestämmelser i Personuppgiftshanteringsavtalet avseende uppdrag att behandla personuppgifter ska tillämpas på denna behandling av personuppgifter I egenskap av teknisk operatör för Telematikwebbportalen tillhandahåller VOLVO endast webbplattformen samt data inom ramen för tillhandahållandet av Tjänsterna enligt Personuppgiftshanteringsavtalet. Kunden är personuppgiftsansvarig (enligt definitionen i GDPR) med avseende på den behandling av Personuppgifter som utförs av VOLVO i anslutning till tillhandahållandet av Tjänsterna och VOLVO utgör Kundens personuppgiftsbiträde. VOLVO får därför endast utföra denna behandling av personuppgifter enligt Kundens instruktioner Utöver den automatiserade leveransen av tjänster tillåts endast enskilda instruktioner från Kunden i undantagsfall och endast enligt Personuppgiftshanteringsavtalets villkor. Korrigering, radering eller blockering av Personuppgifter utförs inte av VOLVO utan måste göras av Kunden själv inom ramen för Kundens onlineåtkomst. Vid tekniska problem hänvisas Kunden till VOLVOs support VOLVO kan anlita externa personuppgiftsbiträden. Alla anlitade personuppgiftsbiträden måste uppfylla alla motsvarande krav i Avtalet. När externa personuppgiftsbiträden anlitas kommer VOLVO att säkerställa att alla rättigheter som Kunden har gentemot VOLVO enligt Avtalet avseende uppdraget att behandla personuppgifter tillerkänns Kunden via VOLVO även gentemot personuppgiftsbiträdet. VOLVO ska, på Kundens begäran, röja ett enskilt eller samtliga externa personuppgiftsbiträdens identitet samt var behandlingen av personuppgifter sker Om och i den utsträckning VOLVO anlitar externa personuppgiftsbiträden, inklusive om dessa personuppgiftsbiträden i sin tur anlitar externa personuppgiftsbiträden, och denna assistans innebär behandling av personuppgifter för Kundens räkning, ger Kunden härmed VOLVO fullmakt att (a) ingå skriftligt personuppgiftsbiträdesavtal, dataöverföringsavtal eller annat avtal som krävs enligt lag för behandling av personuppgifter med den underentreprenör som ska behandla personuppgifter (b) tillåta att en enskild eller alla sådana underentreprenörer ingår skriftliga personuppgiftsbiträdesavtal, dataöverföringsavtal eller andra avtal som krävs enligt lag för behandling av personuppgifter med sina underentreprenörer som ska behandla personuppgifter VOLVO får överföra personuppgifter till valfritt land (vilket även inbegriper att medge åtkomst till personuppgifter). Parterna ska gemensamt vidta alla rimliga nödvändiga åtgärder för att säkerställa att denna överföring uppfyller tillämplig lag, vilket kan inbegripa att införa standardvillkor för dataöverföring utanför Europeiska ekonomiska samarbetsområdet (EES) Om och i den utsträckning en annan juridisk person än Kunden är personuppgiftsansvarig för samtliga eller delar av personuppgifterna som behandlas av VOLVO för Kundens räkning inom ramen för Avtalet, bekräftar Kunden att Kunden innehar nödvändigt tillstånd och mandat att ingå detta personuppgiftsbehandlingsavtal för den juridiska personens räkning. 2. Kundens ytterligare förpliktelser 2.1. Som personuppgiftsansvarig har Kunden det juridiska ansvaret för kontrollen av att inhämtningen, behandlingen och användningen av Personuppgifter är laglig och för skyddet av tredje mans rättigheter vilken berörs av detta samt för eventuella anspråk på denna information från tredje man. Kunden är ansvarig gentemot berörd tredje man. Kunden måste därför säkerställa att alla Personuppgifter som lagras i Telematiksystemet lagras och används på ett lagenligt sätt Kunden måste omedelbart informera VOLVO vid upptäckt av fel eller brister i VOLVOs behandling av personuppgifter. 3. VOLVOs ytterligare förpliktelser: 3.1. VOLVO ska regelbundet kontrollera att behandlingen av Personuppgifter sker på ett korrekt sätt med avseende på Personuppgiftshanteringsavtalets fullgörande, i synnerhet efterlevnaden av, och eventuella nödvändiga justeringar av bestämmelser och åtgärder för tillämpningen av, Personuppgiftshanteringsavtalet beträffande uppdraget att behandla personuppgifter VOLVO ska utan onödigt dröjsmål informera Kunden om Kundens instruktioner för den behandling av personuppgifter som VOLVO utför för Kundens räkning inte har följts eller om tekniska eller organisatoriska åtgärder som har införts av VOLVO har överträtts med inverkan på Personuppgifter VOLVO kan utse ett personuppgiftsombud och ger Kunden tillgång till personuppgiftsombudets kontaktuppgifter på Kundens begäran I den utsträckning VOLVOs anställda har åtkomst till Personuppgifter under tillhandahållandet av Tjänsterna kommer VOLVO att kontrollera att deras åtkomst och användning endast begränsas till vad som är nödvändigt för att kunna tillhandahålla Tjänsterna. VOLVO måste i detta avseende säkerställa att dessa anställda inte kan inhämta, behandla eller använda Personuppgifter utan nödvändig behörighet och att dessa anställda i den utsträckning lagen kräver åtar sig att följa ovanstående krav VOLVO ska ge Kunden all den information och hjälp Kunden behöver för att kunna utöva och fullgöra sina skyldigheter som personuppgiftsansvarig enligt GDPR genom att i) tillhandahålla lämpliga tekniska och organisatoriska åtgärder, i den mån detta är möjligt, så att Kunden kan fullgöra sin skyldighet att svara på begäran om utövande av den registrerades rättigheter enligt tillämplig personuppgiftslagstiftning, ii) bistå angående behandlingens säkerhet, rapportering av personuppgiftsincident till tillsynsmyndighet, kommunikation med registrerad beträffande 8

9 eventuell incident samt bedömning av hur personuppgiftsskyddet påverkats Kunden får, högst en gång per kalenderår och med minst trettio (30) dagars föregående skriftligt meddelande från Kunden, under VOLVOs normala arbetstid genomföra en revision eller utse en oberoende revisor (förutsatt att denna är bunden av sekretessavtal) att genomföra en revision för att bedöma om VOLVO inom ramen för Avtalet följer tillämplig personuppgiftslagstiftning som personuppgiftsbiträdena omfattas av. Alla kostnader för en revision som genomförs enligt denna paragraf bärs av Kunden. Revisionen ska i omfattning, sätt och varaktighet begränsas till vad som rimligen är nödvändigt för att uppfylla dess syfte och inte störa VOLVOs verksamhet mer än nödvändigt VOLVO lämnar inte ut någon information på begäran från tredje man utan Kundens samtycke, såvida inte VOLVO är skyldigt att göra det enligt lag eller beslut från domstol eller behörig myndighet. 4. Tekniska och organisatoriska åtgärder för datasäkerhet 4.1. VOLVO ska säkerställa tillräcklig datasäkerhet genom lämpliga tekniska och organisatoriska åtgärder för att skydda de Personuppgifter som behandlas för Kundens räkning och dessa åtgärder måste uppfylla lagstadgade krav. De tekniska och organisatoriska åtgärderna för att säkerställa datasäkerheten kan ändras av VOLVO allteftersom tekniken utvecklas, förutsatt att detta inte resulterar i en lägre säkerhetsnivå En beskrivning av de tekniska och organisatoriska åtgärderna ges i bilaga 3. Under fullgörandet av uppdraget att behandla personuppgifter som ett led i Personuppgiftshanteringsavtalet ska VOLVO fullgott kunna styrka de tekniska och organisatoriska åtgärderna. Kunden kan begära att VOLVO tillhandahåller Kunden information om de tekniska och organisatoriska åtgärdernas efterlevnad genom att insända en kopia av aktuell och erkänd certifiering. Kunden ska avsäga sig rätten till revisioner av de tekniska och organisatoriska åtgärderna på VOLVOs fastigheter Kunden ansvarar för att lagra data som är tillgängliga för Kunden genom Telematikwebbportalen externt i god tid före Personuppgiftshanteringsavtalets upphörande. Vid Personuppgiftshanteringsavtalets upphörande kommer VOLVO att radera Kundens samtliga data på Telematikwebbportalen och på begäran bekräfta detta för Kunden. I den utsträckning Kunden i undantagsfall har tillhandahållit VOLVO databärare kommer VOLVO att återlämna dessa till Kunden vid Personuppgiftshanteringsavtalets upphörande såvida Kunden inte har instruerat VOLVO att förstöra dem enligt gällande personuppgiftslagstiftning. VOLVO kan dock för egna ändamål fortsätta behandla data som samlats in under Personuppgiftshanteringsavtalets löptid, om inte Kunden uttryckligen begärt något annat. 9

10 Bilaga 3 Tekniska och organisatoriska åtgärder vidtagna av personuppgiftsbiträdet (Volvo Information Technology AB ( VOLVO IT ) för VOLVOs räkning) 1. Åtkomststyrning VOLVOs alla lokala IT-enheter är indelade i flera säkerhetsnivåzoner där datorhallar ges högsta säkerhetsklassificering. De tillträdes- och passersystem som används är avancerade med passerkontroll till och mellan varje zon och del av lokalerna som endast behörig personal har tillträde till. Datorhallar och entréer övervakas av vakter med CCTV samt är larmade och utrustade med övervakningssystem. 2. Styrning av systemåtkomst Åtkomsten till system och program bygger på flera olika direktiv som föreskriver individuell och personlig identifiering och autentisering av användare, åtkomststyrning, loggning och spårbarhet. Åtkomsten till systemet sker med hjälp av Kerberos-sessionsbiljetter. Fjärråtkomst till nätverksresurserna kräver kompletterande utrustning i form av tokens (genererade engångslösenord). Lösenorden måste ändras regelbundet och innehålla specialtecken och ha andra egenskaper, vilket kontrolleras automatiskt. Användar-ID och lösenord spärras automatiskt efter ett fördefinierat antal felaktiga försök och klienter försätts i vänteläge efter en fördefinierad tid av inaktivitet. Bärbara klienter krypteras som standard. Stationära klienter, servrar och diskmatriser krypteras vid behov. 3. Styrning av dataåtkomst Systemet hindrar aktiviteter som inte omfattas av tilldelade åtkomstbehörigheter. Styrsystemet för dataåtkomst och behörighet bygger på ett specialanpassat internt system där användare kan ansöka om åtkomstbehörigheter och som säkerställer en differentierad åtkomststyrning. Åtkomsten måste ha godkänts av minst två parter ansvarig chef och systemets/programmets/informationens ägare. I vissa fall definieras detaljerad åtkomstbehörighet (till exempel behörighet att skapa, ändra eller radera poster) i själva programmet. I dessa fall får systemägaren fortfarande programmet men kommer att hantera distributionen antingen själv eller genom delegering till en systemadministratör. 4. Styrning av utlämnande av information Enligt VOLVO IT Security Framework måste såväl internationell som nationell lagstiftning följas oavsett var verksamheten bedrivs. Reglerna för personlig integritet bygger på GDPR och eventuell efterföljande tillämplig förordning med tillägg av nationell lagstiftning, i tillämpliga fall. Utökat informationsskydd, som kryptering, beställs av Kunden beroende på informationsklassificering. Fjärråtkomsten till VOLVO Corporate Network (VCN) är alltid skyddad (VPN) och krypteringen inom nätverket är beroende av Kundens krav. Krypterad lagring ingår inte i tjänsten som standard, med undantag för mobila klienter som omfattas av lokal kryptering. Kryptering används som en tilläggstjänst när kunden kräver det. 5. Inmatningsstyrning VOLVO IT har möjlighet att logga alla åtgärder som sker i system och program. Om denna möjlighet utnyttjas eller inte beror på överenskommelsen med Kunden, som måste vara medveten om att informationen kan vara klassificerad avseende (personlig) integritet. Det finns ingen automatisk funktion som kan bedöma om personuppgifter har använts, ändrats, flyttats eller raderats. 6. Jobbstyrning VOLVO IT är inte ett obligatoriskt val utan även andra leverantörer kan väljas. De viktigaste kriterierna för att välja en IT-leverantör, såväl inom Volvokoncernen som på marknaden som helhet, är ekonomi, tillgänglighet, säkerhet och servicenivå. Kontrakt mellan Volvokoncernens bolag och VOLVO IT utarbetas på samma sätt som kontrakt mellan externa kunder och VOLVO IT i överensstämmelse med lagen och internationella standarder. Telematiktjänsternas nivå och säkerhet baseras normalt på VOLVO IT:s grundläggande säkerhetsnivå enligt definitionen i VOLVO IT Security Framework. När informationsklassificeringen medför att ytterligare säkerhetsåtgärder krävs förhandlar Kunden och leverantören om detta varpå alla nödvändiga åtgärder vidtas. VOLVO IT har sin egen organisation för internrevision som granskar organisationen och utförandet av tjänster regelbundet. VOLVO IT granskas dessutom av PricewaterhouseCoopers (för AB VOLVOs räkning). Med hjälp av BMC/Remedy-systemet, där förfrågningar från kunder (eller VOLVO IT-anställda) noteras, ser VOLVO IT till att fullgörandet av kontraktet spåras. 7. Tillgänglighetsstyrning Avtalet med Kunden innefattar åtgärder för affärsenhetens (det vill säga Volvobolagets) rutiner, spegling av hårddiskar (mellan olika datorcentraler, om så krävs) och avbrottsfri kraftförsörjning (UPS), vilket är ett krav för alla våra datorcentraler. Affärsenheter lagras i en tredje datorcentral, oberoende av de andra två centralerna, för hantering av primära data. Alla anläggningar, plattformar och system måste följa VOLVOs direktiv för reservdriftshantering (Business Continuity Management), vilket föreskriver att en fullständig återställningsplan ska finnas och att denna regelbundet måste testas. VOLVO har en avancerad implementering av skyddsåtgärder mot skadlig kod. Denna drivs enligt reglerna i VOLVO IT:s säkerhetsdirektiv för skydd mot skadlig programvara och den fysiska implementering som baseras på detta direktiv består av programvara som skyddar mot skadlig kod i flera lager och från olika leverantörer för att täcka upp för eventuella svagheter hos en produkt. Detta inbegriper både servrar och klienter och kompletteras med personliga brandväggar och IPS/IDS på samtliga klienter samt på nätverksnivå. Organisationen har också en plattformsbaserad funktion för sårbarhetskontroll och säkerhetskorrigering av operativsystem och program, vilken utgör en garant för att systemen är så felfria som möjligt. 8. Åtskillnadsstyrning Personuppgifter som samlas in för olika ändamål behandlas separat i överensstämmelse med svensk lagstiftning och VOLVOs säkerhetsregler. Provningsmiljöer och produktionsmiljöer är strikt åtskilda enligt VOLVOs regler och en utvecklare kan aldrig uppdatera produktionsmiljön. Detta garanterar åtskillnad mellan funktioner. Data från olika kunder är i de flesta fall fysiskt åtskilda. Den lagringsfilosofi som VOLVO IT har antagit är dock beroende av uppdelning. Innebörden av detta är att all information är uppdelad mellan olika medier, vilket i sin tur betyder att informationen inte skulle kunna återställas om ett fysiskt medium utsätts för fara. Klientdata lagras via CIFS för interna kunder som använder ACL (Access Control List) i AD och för externa kunder har vi dedikerade logiska lagringssystem. NFS är det lagringssystem som har exportbehörighet. Servrar och databaser via FCP använder LUN-säkerhet i lagringssystemet och zonindelning i SAN-nätverket för att säkerställa korrekt åtkomst till serverdiskar. Obs! Begäran om mer information eller ytterligare förfrågningar ska vara skriftlig och riktas till VOLVO. 10