Personvern - AtBeta
Hopp til innhold

AtBeta

Pil tilbake Tilbake til AtB.no

Personvern

Personvernerklæring for AtB

Read English version

Når du besøker vår nettside, vil nettleseren din laste ned informasjonskapsler ("cookies"). Dette er små tekstfiler som utveksles mellom din enhet og vår nettside, og som brukes for å få nettstedet til å fungere best mulig. Nedenfor finner du oversikt over informasjonskapsler som benyttes på vår nettside.

Som nettbruker kan du velge å avvise lagring og bruk av informasjonskapsler ("cookies"). Vi anbefaler Post- og teletilsynets nettside nettvett.no for beskrivelse av hvordan du kan akseptere eller avvise informasjonskapsler ("cookies").

Informasjonskapsler på nettsiden

Nettsiden bruker kun informasjonskapsler Google Analytics og Facebook Pixel for nettstedsanalyse. Se egne seksjoner om disse analyseverktøyene.

Google Analytics

Vi bruker verktøyet Google Analytics for å samle statistikk om hvordan nettstedet brukes. Slik får vi innsikt i hvordan vi kan gjøre tjenesten enda bedre. Vi får informasjon om hvilke sider og tjenester som blir brukt, hvor brukerne kommer fra, hvor lang tid som blir brukt på sidene, hvordan brukerne navigerer inne på sidene osv.

Google Analytics sletter personidentifiserende opplysninger ved mottak, samme dag som du besøker siden, og IP-adressen din blir anonymisert.

Selv om Google Analytics lagrer en permanent informasjonskapsel i din nettleser for å identifisere deg som en unik bruker, kan ikke denne informasjonen brukes av andre enn Google. Hvordan Google kan bruke og dele informasjon samlet inn av Google Analytics om ditt besøk på vår nettside er regulert i vilkårene.
https://marketingplatform.google.com/about/analytics/terms/no/

Du kan forhindre å bli gjenkjent av Google Analytics neste gang du besøker nettsiden vår ved å installere et tillegg i nettleseren din som avviser informasjonskapsler. Les mer på https://tools.google.com/dlpage/gaoptout (Engelsk side)

Facebook Pixel

Vi bruker Facebook Pixel for å enklere gi relevant informasjon til brukere. Les mer om Facebook Pixel

Statistikk og logg

Når du leser våre nettsider, vil det bli lagret informasjon i statistikk- og logg-filer.

Systemet lagrer user agent, ip-adresse og hvilken side den besøkende har besøkt i en rådata-tabell. Denne informasjonen blir i neste omgang benyttet til å generere statistikk for antall sidevisninger pr objekt (menypunkt, artikkel, fil), pr host og per søkeord. Alle data i rådatatabellen blir slettet etter 2 dager, og den gjenværende statistikken inneholder deretter bare oppsummerte data som ikke kan brukes til å identifisere hver enkelt bruker.

Vi lagrer user agent, ip-adresse og hvilken side den besøkende har besøkt i webserverens logger. Disse loggene blir utelukkende brukt til arbeid rundt feilsøking og sikkerhet, og ingen data blir trukket ut eller brukt fra disse loggene. Loggene slettes etter et gitt intervall (normalt 4 uker). Kun administratorer av webserveren (drift) har tilgang til disse.

Https og sikker overføring

Nettstedet vårt dekkes av kryptering med https. Hvis du vil forsikre deg om at en side er kryptert, vil det stå https i stedet for bare http i nettleserens adressefelt og de fleste nettlesere vil også vise en hengelås.

Formålet med kryptering er å sikre en trygg datakommunikasjon mellom server (vår nettside) og klient (din enhet). Dette inkluderer et digitalt sertifikat som skal bevise at nettstedet og dets avsender er ekte.

Personvernerklæring for billettløsning

Read english version

1 Innledning

AtB AS (heretter «AtB») er et mobilitetsselskap for kollektivtrafikken i Trøndelag fylke. AtB har ansvaret for å planlegge, organisere, kjøpe og markedsføre kollektivtjenester, og selskapet er registrert som et aksjeselskap hvor 100 % av aksjene eies av Trøndelag Fylkeskommune.

2 Om erklæringen

Denne personvernerklæringen forklarer hvordan AtB samler inn og håndterer personopplysninger om sine kunder og/eller brukere av kollektivtrafikktilbudet (heretter omtalt som «kunden») i billettløsningen. Med personopplysninger menes er alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer også IP-adresse er definert som personopplysning.

Erklæringen følger reglene i personopplysningsloven og personvernforordningen GDPR, samt bransjenormen for behandling av personopplysninger i forbindelse med e-billettering (heretter «bransjenormen»).

Erklæringen inneholder informasjon du som kunde har krav på etter personvernforordningen artiklene 12-14, og generell informasjon om hvordan AtB behandler dine personopplysninger.

I tillegg finner du blant annet opplysninger om hvordan du får innsyn i personopplysninger som AtB har om deg, og hvordan du går frem dersom du vil at vi skal rette eller slette opplysningene.

Personvernerklæringen med vilkår vil bli oppdatert fra tid til annen bl.a. som følge av at tjenestene utvides eller endres. Hvis noen av tjenestene endres slik at en videre behandling av dine personopplysninger krever et samtykke fra deg vil du bli varslet om dette.

3 Behandling av personopplysninger for følgende spesifikke tjenester

3.1 App og nettbutikk

Når du oppretter en brukerprofil i app eller nettbutikk vil dine opplysninger bli lagret i en brukerprofil som bare du og kundeservice har tilgang til. Disse opplysningene kan du endre selv eller få hjelp av kundeservice til å endre. I din kundeprofil vil du kunne finne alle dine billetter og alle dine billettkjøp minst 1 år etter at de utløper, så lenge du ikke sletter kundeprofilen din.

Hvis du velger å slette kundeprofilen din, vil det registreres en forespørsel om sletting av din profil. Denne vil da bli slettet så lenge det ikke foreligger noen aktiviteter som det må tas hensyn til ved din brukerprofil, som for eksempel gyldige billettprodukter. Hvis din profil først er blitt slettet kan vi ikke gjenskape din profil, og det er ikke mulig å hente ut kjøpshistorikk i etterkant.

3.2 Fleksibel transport

Når du bestiller en reise må du oppgi navn, telefonnummer, hente- og leveringsadresse for at AtB skal kunne levere tjenesten. Du vil da motta en SMS som bekrefter din bestilling.

Hvis du oppgir telefonnummer, kan du få utlevert informasjon om kjøreoppdrag inntil 90 dager etter du har benyttet tjenesten. Informasjon om kjøreoppdrag slettes deretter for godt og det er ikke lenger mulig å hente ut hente- og leveringsadresse for noen kjøreoppdrag.

4 Generelt om behandling av personopplysninger i AtB

4.1 Behandlingsansvarlig

AtB, ved administrerende direktør, har det overordnede ansvaret for behandling av kundenes personopplysninger, og er såkalt behandlingsansvarlig i henhold til personopplysningsloven. Som behandlingsansvarlig vil AtB påse at kundenes personopplysninger til enhver tid behandles i tråd med personopplysningsloven og øvrig gjeldende regelverk.

4.2 I billettløsningen behandles følgende generelle opplysninger om deg

Salgsdokumentasjon: All salgsdokumentasjon oppbevares i henhold til bokføringsloven. Reiseopplysningene som ligger i ditt billettkjøp hentes kun frem som en personopplysning når det er initiert av den registrerte, eksempelvis ved reklamasjon eller andre henvendelser som gjør det nødvendig å se nærmere på alle detaljer knyttet til et bestemt kjøp.

Informasjon om betalingsmiddel: Bankkort – For å kunne betale med bankkort er det et grensesnitt mot betalingstjenesten som gjør at du kan registrere et betalingskort i løsningen uten at de fulle bankkortdetaljene vil lagres i Appen. Selv om du velger å lagre ett eller flere betalingskort i din profil, er det kun betalingstjenesten som har dine fulle bankkortdetaljer. I tilknytning til appen lagres kun de seks første og fire siste sifre på kortnummeret, samt utløpstidspunkt. Dette er en forutsetning for at kunden skal kunne gjenkjenne sitt innlagte kort, for å kunne generere de nødvendige detaljer som bør foreligge på en kvittering, samt å effektivt kunne håndheve kundens eventuelle rett til refusjon.

Teknisk informasjon: Når du benytter billettløsningen blir din IP-adresse, tidspunkt for forespørselen, info om nettleser eller mobiltelefon, samt versjonsnummer og mobilplattform for app, inkludert valg språk, loggført i en applikasjonslogg. Disse opplysningene kreves for at løsningen skal kunne fungere på gitt plattform/mobiltelefon og logges for å sikre at tjenesten fungerer slik den skal. Dette gir oss også informasjon som er nødvendig for å løse problemet dersom det skulle oppstå en feil. Det benyttes ingen form for analyseverktøy som kartlegger og loggfører handlingsmønster til identifiserbare brukere. Eneste relaterte funksjonalitet er krasjrapportering via Bugsnag som gir fullstendig anonymiserte krasjrapporter og er et hjelpemiddel for å sikre hurtig feilretting dersom appen krasjer.

Reiseinformasjon: Ved å akseptere at appen får tilgang til telefonens GPS, benyttes posisjonsdata kun lokalt på telefonen. Det loggføres ingen posisjonsdata i billettløsningen som videreføres til backend. Den eneste reiseinformasjonen som behandles er den informasjonen om valgt avreisested/-sone og stoppested/-sone som er nødvendig for å dokumentere kjøp, samt regne ut korrekt pris. Vi benytter også posisjonsdata for å kunne tilby forslag til den beste reiseruten for din reise. Reiseinformasjonen som er knyttet til ditt kjøp oppbevares og anonymiseres sammen med øvrig data i salgsdokumentasjonen.

4.3 Kilder til personopplysninger

Alle personopplysninger som behandles i tilknytning til billettløsningen er lagt inn eller generert av deg selv. Det er ingen innhenting av informasjon fra eksterne registre eller tjenester:

  • Den øvrige personinformasjonen, som du selv har oppgitt, kan du alltids rette, eller slette, via innstillinger i løsningen.

4.4 Tilgang til personopplysninger

Personopplysninger som behandles vil kun være tilgjengelig for autorisert personell med tjenstlig behov hos AtB og våre underleverandører, herunder billettkontrollørselskap, betalingsformidlere og operatørselskap.

I enkelte tilfeller kan AtB utlevere personopplysninger til politiet eller til andre offentlige myndigheter. Dette forutsetter imidlertid at det foreligger særskilt lovhjemmel eller pålegg fra domstolene. I tillegg vil AtB utlevere personopplysninger til Transportklagenemda hvis avslag på en klage på reisegaranti eller gebyr blir anket av kunden etter at AtB har behandlet klagen.

Ingen opplysninger utleveres til eksterne tredjeparter, hverken i Norge eller i utlandet, som ikke er nevnt i denne personvernerklæring.

4.5 Formålet med behandlingene

AtBs overordnede formål med å behandle ulike personopplysninger i forbindelse med bruk av billettløsningen, er å kunne tilby gode og effektive reiseprodukter til våre kunder i forbindelse med leveranse av mobilitetstjenester. I tillegg ønsker AtB å skape de rette forutsetningene for effektiv kundeoppfølging, samt sikre at kontrollører kan verifisere gyldig billett.

Det er frivillig for deg å benytte billettløsningen. Dersom du velger å ikke benytte deg av løsningen, kan du velge å kjøpe billett via alternative kjøpskanaler, slik som AtB nettbutikk for hhurtigbåt, hos kundesenteret, om bord i farkost eller kjøretøy, som SMS-billett, eller ved utsalgssteder eller kombinerte billett- og parkeringsautomater i Trondheim sentrum.

Opplysninger som brukes til statistikk, er i avidentifisert form og kan dermed ikke knyttes til din person. Videre benyttes statistikk til å forbedre og videreutvikle tjenestetilbudet til våre kunder. Eksempler på hva statistikken gir svar på, er hvor mange som reiser mellom hvilke soner, antall kjøp per billettkategori og hvor mange som kjøper billetter via hvilken mobil-plattform (Android eller iOS). AtB samler informasjon fra billettkjøpene som er gjort via billettløsningen.

4.6 Behandlingsgrunnlag

AtB baserer sin behandling av personopplysninger på at foreligger en avtale mellom partene, der kunden har registrert en profil i billettløsningen. Så lenge kunden opprettholder sin kundeprofil vil AtB ta vare på disse opplysningene, slik at kunden når som helst kan kjøpe et nytt reiseprodukt. Avtalegrunnlag er forankret i personvernforordningen artikkel 6 nr. 1 bokstav b, som tillater behandling når behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse.

Behandling for statistiske formål er forankret i personvernforordningen artikkel 6 nr. 1 bokstav e og personopplysningsloven § 8, fordi den er nødvendig for statistiske formål i allmennhetens interesse.

4.7 Informasjonssikkerhet og forsvarlig lagring av personopplysningene

AtB følger kravene til informasjonssikkerhet i personopplysningsforskriften kapittel 2 og bransjenormens bestemmelser.

AtB kan anvende reiseopplysninger sammen med kundeopplysninger dersom dette er initiert av deg selv. Dette kan gjelde ved en reklamasjon på reisegaranti, klage på gebyr eller en annen henvendelse fra din side.

AtB vil ikke anvende reiseopplysninger sammen med kundeopplysninger for å produsere statistikk, ved avregning mot samarbeidende selskap, og normalt heller ikke ved feilsøking.

4.8 Fremgangsmåte ved begjæring om innsyn, retting eller sletting

Dersom du vil slette ditt kundeforhold med tilhørende opplysninger kan også dette gjøres ved å kontakte kundesenteret.

AtB Kundesenter har telefonnummer: +47 478 02 820.

Du har rett til innsyn i personopplysninger som er lagret om deg, og kan kreve retting av feilaktige eller ufullstendige opplysninger om deg selv. Du kan også be om at unødvendige opplysninger om deg selv slettet.

Dersom du ønsker innsyn i, eller retting/sletting av, personopplysninger AtB behandler om deg, må dette gjøres skriftlig - enten til: personvernombud@atb.no, per post eller personlig oppmøte ved kundesenteret, i Prinsens gate 41.

Ved bruk av post kan henvendelsen rettes til:

AtB AS v/ Personvernombud
Prinsens gate 39
7012 Trondheim

Kundesenteret kan også hjelpe deg med å komme i kontakt med AtB sitt personvernombud dersom du skulle ha konkrete spørsmål knyttet til AtBs behandling av dine personopplysninger, og du ikke finner svar på disse i denne personvernerklæringen.

AtB vil svare på din henvendelse til oss så fort som mulig, og senest innen 30 dager. Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor oss. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg, og ikke noen som gir seg ut for å være deg.

4.9 Øvrige rettigheter

Du har rett til å protestere mot behandlingen av personopplysninger. Du har til enhver tid, av grunner knyttet til din særlige situasjon, rett til å protestere mot behandling av personopplysninger om deg. Behandlingen må ha grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav e) eller f), herunder profilering med grunnlag i nevnte bestemmelser. AtB skal ikke lenger behandle personopplysningene, med mindre selskapet kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran dine interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Du har også rett til dataportabilitet, retten til å ta med seg sine personopplysninger fra en virksomhet til en annen, etter personvernforordningen artikkel 20. Den registrerte skal i utgangspunktet ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til AtB, i et strukturert, alminnelig anvendt og maskinleselig format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette. Dette forutsetter at behandlingen er basert på samtykke i henhold til personvernforordningen artikkel 6 nr. 1 bokstav a, artikkel 9 nr. 2 bokstav a eller en avtale i henhold til artikkel 6 nr. 1 bokstav b. Behandlingen utføres automatisk.

For å utøve dine rettigheter, følges samme fremgangsmåte som er beskrevet over i punkt 4.7.

Dersom du mener at vår behandling av personopplysninger ikke stemmer med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, ber vi om at du tar kontakt. Du kan også klage til Datatilsynet. Du finner informasjon om hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no

4.10 Bruk av databehandlere

AtB vil kunne dele dine personopplysninger med såkalte «databehandlere». Som databehandler regnes underleverandører som behandler personopplysninger på vegne av AtB, jf. personopplysningsloven § 2. Dette gjelder leverandører av billettsystem, og andre systemer hvor det er naturlig for deg som kunde å legge inn personopplysninger. Enten i form av en egen brukerprofil i forbindelse med reiser, eller ved en klage på reisegaranti eller gebyr, hvor AtB må gjennomføre en saksbehandling på din henvendelse.

Databehandlere kan ikke bruke personopplysningene for noe annet formål enn å yte den tjenesten som er avtalt med AtB i en databehandleravtale. AtB tar særlige forholdsregler for å forsikre seg om at våre databehandlere opptrer i samsvar med inngått databehandleravtale, denne personvernerklæringen og norsk personvernlovgivning for øvrig.

AtB benytter seg kun av databehandlere som er lokalisert i Norge, EU/EØS-land eller land som har tilfredsstillende personvernlovgivning.

5 Automatisk registrering av kundeinformasjon ved besøk på vår nettside

Som mange andre nettsteder benytter AtB informasjonskapsler («cookies») og liknende teknologier på våre nettsider. Visse typer informasjon om deg som kunde, blir som følge av dette registrert og lagret automatisk når du besøker vår hjemmeside. Disse dataene blir brukt til å registrere og analysere «trafikkmønsteret» på våre nettsider. Informasjonen brukes til å identifisere hvordan besøkende navigerer på sidene, hvor lenge de bruker en side, hvilke tjenester de benytter og hvor de kommer fra.

Typiske opplysninger som registreres, er hvilken nettleser og hvilket operativsystem du benytter, samt hvilket domene eller IP-adresse du er tilknyttet. Disse opplysningene brukes til å generere statistikk over besøkendes bruk av siden, og slettes kontinuerlig. All kundeinformasjon av denne typen er anonym. AtB lagrer ikke informasjon som kan avsløre kundens identitet.

For å lese mer om dette kan du gå inn på våre sider om Personvern og informasjonskapsler.

6 Lagring, varighet og sletting

Alle data som lagres i systemet oppbevares i henhold til gjeldende lovgivning. Dine personopplysninger vil ikke lagres lenger enn nødvendig for å oppnå det kommunikasjonsformålet appen brukes til. AtB har ivaretatt informasjonssikkerhetstiltak og interne rutiner for å verifisere at ingen personopplysninger kommer på avveie eller blir benyttet for andre formål enn beskrevet i denne personvernerklæringen.

Både AtB som behandlingsansvarlig, og våre databehandlere jobber etter prinsippene for innebygd personvern og personvern som standardinnstilling. I dette ligger blant annet at din personinformasjon ikke skal oppbevares lengre enn det som er nødvendig for å oppfylle formålet til tjenesten.

Profilinformasjon: Profilinformasjonen din oppbevares så lenge du som kunde er aktiv bruker av billettløsningen. All profilinformasjon til inaktive brukere slettes etter 3 år. For å regnes som inaktiv må det ikke være registrert noe kjøp eller annen aktivitet i appen fra deg eller dine underbrukere, din Mobilkonto må også være tom. Du har til enhver tid rett til å be om at din bruker blir slettet fra billettløsningen. Du vil da måtte registrere deg på nytt i tjenesten dersom du ønsker å ta den i bruk ved en senere anledning. Mobilnummeret ditt verifiseres ved førstegangsinnlogging på en ny enhet. Dersom du har lagt inn andre personopplysninger i løsningen har du til enhver tid mulighet til å redigere disse i din profil under «Innstillinger».

Transaksjonshistorikk og salgsdokumentasjon: All salgsdokumentasjon oppbevares i 5 år etter regnskapsårets slutt, i henhold til Regnskapslovgivningen, herunder bokføringsloven med tilhørende forskrift. Kvitteringene på dine siste kjøp vil til enhver tid være tilgjengelig via appen. I henhold til krav fra betalingstjenestene plikter AtB å gi deg tilgang til salgsdokumentasjon over alle kjøp av tjenester, med utløp innenfor de siste 20 mnd, som er utført av din bruker eller knyttet til ditt kundeforhold. Du kan hente ut denne informasjonen selv ved å logge deg inn på billettløsningen. Etter 20 mnd vil salgsdokumentasjonen arkiveres og anonymiseres til en slik grad at det ikke er mulig for deg eller personer med tjenestlig tilgang til billettløsningen å hente ut denne informasjonen knyttet til bruker.

Teknisk informasjon og applikasjonslogg: Ulike deler av applikasjonsloggen oppbevares i tilstrekkelig tid til å sikre at tjenesten fungerer slik den skal og at kundene mottar den servicen de har krav på. Som standard vil detaljer i applikasjonslogg slettes eller anonymiseres etter 104 dager. Ved eksempelvis klagesaker som baserer seg på feil i tjenesten kan oppbevaringstid for relevant applikasjonslogg økes slik at den følger nødvendig tidsløp for å behandle ferdig klagen.

7 Sikkerhet

All kommunikasjon mellom løsningen og applikasjonene som kjører på sluttbrukers enheter, foregår kryptert. All tilgang til systemet via web er kryptert. All dataoverføring internt mellom ulike komponenter i systemet foregår kryptert. Tilgang til å hente ut data kan kun skje via API som er kryptert og sikret med tilgangsnøkler. Tilgang til data via AtB’s grensesnitt er rollestyrt og personlig med hendelseslogging for sporbarhet. Administrasjonsgrensesnittet for løsningen er utformet med ulike tilgangsnivå slik at kun personer som behøver tilgang hos AtB vil få adgang til den mengden informasjon som er relevant for deres behov.