Personvernerklæring – Skyss Billett

Hordaland fylkeskommune, Skyss har ansvaret for lagring og bruk av personopplysningane dine i applikasjonen «Skyss Billett» (behandlingsansvarleg).

Personopplysningar er alle opplysningar som kan identifisere deg. Under finn du meir informasjon om korleis Skyss behandlar personopplysningane dine og kva rettar du har overfor Skyss.

Føremål

Føremålet med Skyss si behandling av personopplysningar i applikasjonen «Skyss Billett» er å tilby deg som reiser ein enkel og sikker måte å kjøpe billettprodukt på, skape dei rette tilhøva for effektiv kundeoppfølging og sikre at kontrollørane våre kan verifisere at billetten din er gyldig.

Grunnlag for behandling

Skyss må ha eit rettsleg grunnlag for å behandle personopplysningane dine.

Det er nødvendig å behandle personopplysningane dine for å oppfylle tenesteavtala som blir inngått mellom deg og Skyss når du tek i bruk applikasjonen «Skyss Billett» og godtek avtalevilkåra, jf. personvernforordninga artikkel 6 nr. 1 b).

Det er frivillig å ta i bruk applikasjonen «Skyss Billett». Skyss tilbyr òg anonyme billettalternativ. Meir informasjon om anonyme billettalternativ finn du her.

Kva for personopplysningar behandlar Skyss?

Desse personopplysningane om deg vil bli behandla når du tek i bruk applikasjonen «Skyss Billett»:

Mobilnummer

For å bruke applikasjonen «Skyss Billett» er det eit krav at du opprettar ein brukarprofil. Du må registrere mobilnummeret ditt og opprette eit passord når du opprettar brukarprofilen. Dette er nødvendig for at Skyss skal kunne tilby tenesta med sikker og verifisert innlogging. Mobilnummeret er òg nødvendig for å sikre at du kan få tilgang til aktive periodebillettar eller kvitteringar for tidlegare kjøp dersom du mistar mobilen din. Mobilnummeret utgjer den unike brukaridentifikasjonen til applikasjonen og er den einaste obligatoriske personopplysninga i brukarprofilen.

Namn og underbrukarar

Det er valfritt å leggje inn namn i applikasjonen «Skyss Billett». Dette er eit tilbod for dei som ønskjer å opprette underbrukarar til «Skyss Billett»-kontoen sin. Underbrukarar får moglegheita til å betale for billetten sin med pengane på din Mobilkonto. Det einaste kravet for å kople ein underbrukar til Mobilkontoen din er at du oppgjev mobilnummeret. Dersom du ønskjer det, kan du òg leggje inn eit namn eller kallenamn på underbrukaren for å gjere det lettare for deg å skilje ulike underbrukarar frå kvarandre. Namnet til underbrukarar vil òg dukke opp i webportalen for Mobilkontoen.

E-postadresse

Det er valfritt å leggje inn e-postadresser i applikasjonen «Skyss Billett». Ei e-postadresse er berre nødvendig dersom du ønskjer å nytte moglegheita til å få kvitteringar for kjøpa dine sende per e-post. Du kan òg få ei komplett oversikt over alle kjøpa dine for dei siste 20 månadene ved å logge deg inn på webportalen for Mobilkontoen her.

Salsdokumentasjon

All salsdokumentasjon blir oppbevart i samsvar med bokføringslova. Reiseopplysningane som ligg i billettkjøpet ditt, blir berre henta fram som ei personopplysning når du tek initiativet til det, til dømes i samband med reklamasjon eller andre førespurnader som gjer det nødvendig å sjå nærare på alle detaljar knytte til eit bestemt kjøp.

Informasjon om betalingsmiddel

Bankkort: For betaling med bankkort finst det eit grensesnitt mot betalingstenesta som gjer at du kan registrere eit betalingskort via applikasjonen «Skyss Billett» utan at dei fulle bankkortdetaljane blir lagra i applikasjonen.Sjølv om du vel å lagre eitt eller fleire betalingskort i profilen din, er det berre betalingstenesta som har dei fulle bankkortdetaljane dine. Berre dei seks første og fire siste siffera av kortnummeret og utløpstidspunktet blir lagra i tilknyting til applikasjonen. Dette er eit vilkår for at kunden skal kunne kjenne att kortet som er lagt inn, for å kunne generere dei nødvendige detaljane som ei kvittering bør innehalde, og for å kunne handheve kunden sin rett til refusjon på ein effektiv måte. 

Telefonnummer: Dersom du ønskjer å betale via telefonrekninga, vil telefonnummeret ditt bli overført til mobiloperatørane sitt betalingsselskap, Strex. 

Mobilkonto: Med Mobilkonto kan du setje inn eit valt beløp som du eller eventuelle underbrukarar kan nytte til å betale for billettar. Systemet behandlar opplysningar om saldo og transaksjonar som er knytte til Mobilkontoen din, inkludert historikken for påfylling, kjøp, refundering og godskrivingar. 

Teknisk informasjon

Når du nyttar «Skyss Billett» eller webportalen for Mobilkontoen, blir IP-adressa di, tidspunkt for førespurnaden, info om nettlesar eller mobiltelefon, og versjonsnummer og mobilplattform for applikasjonen, inkludert kva for språk som er valt, loggført i ein applikasjonslogg. Desse opplysningane er nødvendige for at løysinga skal kunne fungere på plattforma/mobiltelefonen og blir loggførte for å sikre at tenesta fungerer som den skal. Dette gjev oss òg informasjon som er nødvendig for å løyse problem dersom det skulle oppstå ein feil.

Vi brukar ikkje noka form for analyseverktøy (t.d. Google Analytics) som kartlegg og loggfører handlingsmønstera til identifiserbare brukarar. Den einaste relaterte funksjonaliteten er krasjrapportering via HockeyApp, som gjev fullstendig anonymiserte krasjrapporter og er eit hjelpemiddel for å sikre hurtig feilretting dersom applikasjonen krasjar.

Reiseinformasjon 

Ved å akseptere at applikasjonen «Skyss Billett» får tilgang til telefonen sin GPS blir posisjonsdata berre nytta lokalt på telefonen. Det blir ikkje loggført posisjonsdata i applikasjonen som blir vidareførte til backend. Den einaste reiseinformasjonen som blir behandla, er den informasjonen om val av avreisestad/-sone og stoppestad/-sone som er nødvendig for å dokumentere eit kjøp og rekne ut rett pris. Reiseinformasjonen som er knytt til kjøpet ditt, blir oppbevart og anonymisert saman med andre data i salsdokumentasjonen. 

Informasjonskapslar

Det er eit krav for å kunne nytte webportalen for Mobilkontoen at ein har informasjonskapslar (cookies) aktivert i nettlesaren. Informasjonskapslar (cookies) er små tekstfiler som blir plasserte på datamaskinen din når du lastar ned ei nettside og som er nødvendige for at innlogging, navigasjon og funksjonar på nettstaden skal fungere smidig. Merk deg at det aldri blir lagra informasjon gjennom bruken av informasjonskapslar som kan identifisere deg personlig. Det er mogleg å endre på innstillingar i nettlesaren for å hindre nettstaden i å bruke informasjonskapslar. Dersom du vel å skru av informasjonskapslar, vil du oppleve problem med at du blir logga ut. Grunnen til dette er at det blir brukt informasjonskapslar for å halde deg innlogga fram til du aktivt loggar deg ut att eller du har vore inaktiv for lenge.

Statistikk

Opplysningar som blir brukte til statistikk og analyse, er i avidentifisert form og kan såleis ikkje knytast til din person. Skyss har plikt til å levere trafikktal til statlege og kommunale styresmakter, jf. statistikklova § 2-2 og kommunelova § 49. Vi brukar òg statistikk til å forbetre og vidareutvikle tenestetilbodet til kundane våre.  Døme på spørsmål statistikken gjev svar på, er kor mange som reiser mellom kva for soner, talet på kjøp per billettkategori og kor mange som kjøper billettar via ulike mobilplattformer (Android eller iOS). Skyss samlar informasjon frå billettkjøpa som blir gjorde via «Skyss Billett». Reiseopplysningane som ligg i billettkjøpet ditt, vil ikkje bli nytta saman med personopplysningar for å produsere statistikk. 

Kjelder til personopplysningar 

Alle personopplysningar som blir behandla i tilknyting til «Skyss Billett» er lagde inn eller genererte av deg. Skyss hentar ikkje inn personopplysningar frå tredjepartar. 

Databehandlar

«Skyss Billett» er levert av WTW AS (databehandlar). WTW behandlar personopplysningane dine på vegner av Skyss, og dette er regulert i ei eiga databehandlaravtale. Databehandlaravtala sikrar at WTW behandlar alle personopplysningar i samsvar med denne personvernerklæringa. 

Billettkontrollar blir gjennomførte av Securitas på vegner av Skyss. Det er inngått ei eiga databehandlaravtale med Securitas. Nærare informasjon om kva for personopplysningar som blir behandla om deg i samband med billettkontrollar, finn du her.

Utlevering til tredjepartar

Skyss utleverer ikkje personopplysningane dine til tredjepartar utan at det finst rettsleg grunnlag, til dømes ei rettsavgjerd eller skriftleg ordre frå påtalemakta.

Anonymisert reisehistorikk kan bli brukt til statistiske føremål. Anonymiserte data er ikkje rekna for personopplysningar, og kan såleis utleverast til tredjepartar.

Tilgang til personopplysningar

Personopplysningar som blir behandla, vil berre vere tilgjengelege for autorisert personell hos Skyss og underleverandørane våre, inkludert Securitas, betalingsformidlarar, WTW AS og driftsleverandøren, som treng opplysningane i tenesta.

Lagring og sletting

Alle dataa blir lagra i Noreg på serversenteret til WTW. Serverane blir drifta av personell i Noreg. Alle dataa som blir lagra i baksystemet, blir oppbevarte i samsvar med den gjeldande lovgjevinga. Personopplysningane dine vil ikkje bli lagra lenger enn det som er nødvendig for å oppnå det kommunikasjonsføremålet som applikasjonen blir brukt til.

Både Skyss og WTW AS har implementert informasjonstryggleikstiltak og interne rutinar for å verifisere at ingen personopplysningar kjem på avvegar eller blir brukte til andre føremål enn dei det er opplyst om i denne personvernerklæringa.

Profilinformasjon

Profilinformasjonen din blir oppbevart så lenge du som kunde har eit aktivt avtaleforhold. Du har når som helst rett til å be om at brukarkontoen din blir sletta frå applikasjonen «Skyss Billett». Du vil da måtte registrere deg på nytt dersom du ønskjer å ta applikasjonen i bruk ved eit seinare høve. Mobilnummeret ditt blir verifisert den første gongen du loggar inn på ei ny eining. Dersom du har lagt inn andre personopplysningar i «Skyss Billett», har du når som helst moglegheita til å redigere dei under «Innstillingar» i profilen din.  

Transaksjonshistorikk og salsdokumentasjon

All salsdokumentasjon blir oppbevart i fem år etter slutten på rekneskapsåret, jf. bokføringslova § 13 med tilhøyrande forskrift. Kvitteringane for dei siste kjøpa dine vil alltid vere tilgjengelege via «Skyss billett». Etter krav frå betalingstenestene har Skyss plikt til å gje deg tilgang til salsdokumentasjonen for alle kjøpa via applikasjonen eller Mobilkontoen dei siste 20 månadene. Du kan hente ut denne informasjonen sjølv ved å logge deg inn på webportalen for Mobilkontoen. Etter 20 månader blir salsdokumentasjonen arkivert og anonymisert. 

Teknisk informasjon og applikasjonslogg

Ulike delar av applikasjonsloggen blir oppbevart lenge nok til å sikre at tenesta fungerer slik den skal og at du som kunde får den servicen du har krav på. I samband med til dømes klagesaker som baserer seg på feil i tenesta, kan oppbevaringstida for den relevante applikasjonsloggen forlengjast slik at den følgjer det tidsløpet som er nødvendig for å behandle klaga ferdig.

Tryggleik

All kommunikasjon mellom løysninga og applikasjonane som køyrer på telefonen din, er kryptert. All tilgang til systemet via web er kryptert. All dataoverføring internt mellom ulike komponentar i systemet er kryptert. Det er berre mogleg å få tilgang til data for å hente dei ut via API som er kryptert og sikra med tilgangsnøklar. Tilgang til data via Skyss sitt grensesnitt er rollestyrt og personleg med hendingslogging for at den skal vere sporbar. Administrasjonsgrensesnittet for løysinga er utforma med ulike tilgangsnivå slik at berre personar som treng tilgang hos Skyss eller WTW vil få rett til den informasjonen som er relevant for dei.

Rettane dine overfor Skyss

Alle personopplysningar som du sjølv har oppgjeve i brukarprofilen i «Skyss Billett», kan du få innsyn i, korrigere eller slette via innstillingar i applikasjonen.

Retten til innsyn

Du kan be om innsyn i personopplysningane som Skyss har registret om deg. 

Retten til korrigering

Du kan be om at personopplysningar som er galne eller ufullstendige, blir retta eller supplerte.

Retten til sletting

Du kan be Skyss om å slette personopplysningane dine dersom visse vilkår er oppfylte, til dømes dersom Skyss har behandla personopplysningane dine på ulovleg vis eller lenger enn nødvendig.

Retten til avgrensa behandling

Du kan krevje at behandlinga av personopplysningane dine blir avgrensa dersom du ikkje godtek at dei er rette, at behandlinga er lovleg eller nødvendig, eller dersom du har protestert mot behandlinga og Skyss har godteke protesten.

Behandlinga blir avgrensa frå protesten er levert og så lenge som det tek Skyss å vurdere protesten. Dersom behandlinga skal avgrensast, har Skyss berre lov til å lagre dei avgrensa personopplysningane og treng ditt samtykke til anna behandling. Dette gjeld med mindre Skyss må behandle personopplysningane i samband med juridiske saker, for å verne andre sine rettar eller dersom behandlinga er av offentleg interesse.

Retten til å protestere

Du kan protestere mot behandlinga av personopplysningane dine dersom du meiner at Skyss ikkje har rett til å behandle personopplysningane dine. I slike tilfelle kan Skyss berre halde fram med behandlinga dersom Skyss kan vise til rettkomen interesse som veg tyngre enn interessene, rettane og fridomane dine. Skyss kan uansett behandle personopplysningane dine dersom slik behandling er lovpålagd eller nødvendig for å fastsetje, gjere gjeldande eller forsvare eit rettskrav.

Retten til dataportabilitet

Du kan be om at personopplysningane du har overlevert til Skyss for behandling på grunnlag av ditt samtykke eller for å oppfylle ein kontrakt du er part i, blir sende til deg i eit strukturert, vanleg og maskinlesbart format. Du har òg rett til å be om at Skyss overfører slik informasjon til ein annan behandlingsansvarleg.

Retten til å klage til Datatilsynet

Dersom du er misnøgd med Skyss sitt svar eller meiner at Skyss behandlar opplysningane dine i strid med personvernregelverket, kan du klage til Datatilsynet. Informasjon om klageprosedyren finn du her.

Kontaktinformasjon

Bruk kontaktskjemaet her dersom du har spørsmål om Skyss si behandling av personopplysningane dine eller du ønskjer innsyn, korrigering, sletting, avgrensa behandling eller dataportabilitet.