Personvern nettbutikken

Vestland fylkeskommune, representert av Skyss, har ansvaret for lagring og bruk av personopplysningane dine i nettbutikken på skyss.no (behandlingsansvarleg).

Som personopplysning blir rekna alle opplysningar som kan identifisere deg. Under finn du meir informasjon om korleis Skyss behandlar personopplysningane dine, og kva rettar du har overfor Skyss.

Formål

Når Skyss behandlar personopplysningar i nettbutikken på skyss.no, er det for å tilby deg som skal reise, ein enkel og sikker måte å kjøpe billettprodukt på, leggje til rette for effektiv kundeoppfølging og sikre at kontrollørane våre kan verifisere at billetten din er gyldig.

Behandlingsgrunnlag

Behandlinga av personopplysningar hos Skyss krev eit rettsleg behandlingsgrunnlag.

Vi må behandle personopplysningane dine for å kunne oppfylle tenesteavtalen som blir inngått mellom deg og Skyss når du tek i bruk nettbutikken på skyss.no og aksepterer avtalevilkåra – jf. personvernforordninga artikkel 6 nr. 1b).

Det er frivillig å bruke nettbutikken på skyss.no, og du kan velje å vere anonym.

Kva personopplysningar er det Skyss behandlar?

Når du bruker nettbutikken på skyss.no, vil følgjande personopplysningar om deg bli behandla:

E-postadresse

Når du registrerer deg for å bruke nettbutikken på skyss.no, blir e-postadressa di innhenta når du loggar deg på. E-postadressa di blir berre brukt til å identifisere deg. Det blir aldri sendt informasjon til e-postadressa du loggar deg på med.

Skysskortet

Salsdokumentasjon

All salsdokumentasjon blir oppbevart i samsvar med bokføringslova. Reiseopplysningane som ligg i billettkjøpet ditt, blir berre henta fram som personopplysning når det er initiert av deg, til dømes ved reklamasjon eller andre førespurnader som gjer det nødvendig å sjå nærmare på detaljane rundt eit bestemt kjøp.

Informasjon om betalingsmåte

Bankkort: For at du skal kunne betale med bankkort, er det kopla eit grensesnitt til ei betalingsteneste som gjer det mogleg for deg å registrere eit betalingskort via «Skyss Billett» utan å lagre dei fullstendige bankkortdetaljane dine i appen. Sjølv om du vel å lagre eitt eller fleire betalingskort i profilen din, er det berre betalingstenesta som har tilgang til dei fullstendige bankkortdetaljane dine. Appen lagrar berre dei første seks og dei siste fire tala i kortnummeret og utløpsdatoen for kortet. Dette er ein føresetnad for at kunden skal kunne kjenne att kortet som er lagt inn, for å generere dei nødvendige detaljane som må takast med på kvitteringa, og for effektivt å kunne handheve ein eventuell rett kunden måtte ha til refusjon.

Teknisk informasjon

Når du nyttar nettbutikken på skyss.no, blir IP-adressa di, tidspunktet for førespurnaden, informasjon om nettlesaren og versjonsnummer (inkludert valt språk) loggført. Desse opplysningane er nødvendige for at løysinga skal kunne fungere på den gitte plattforma, og blir loggførte for å sikre at tenesta fungerer slik ho skal. Samtidig gir dei oss informasjonen vi treng for å løyse eventuelle feil som måtte oppstå.

Det blir ikkje nytta analyseverktøy (t.d. Google Analytics) som kartlegg og loggfører handlingsmønstera til identifiserbare brukarar. Einaste relaterte funksjonalitet er krasjrapportering via HockeyApp, som gir fullstendig anonymiserte krasjrapportar og er eit hjelpemiddel for å sikre rask feilretting dersom applikasjonen krasjar.

Informasjonskapslar

For at du skal kunne nytte nettbutikken på skyss.no, må nettlesaren din godta informasjonskapslar. Informasjonskapslar (cookies) er små tekstfiler som blir plasserte på datamaskina di når du lastar inn ei nettside, og som er nødvendige for at innlogging, navigasjon og funksjonar på nettstaden skal fungere knirkefritt. Bruken av informasjonskapslar fører aldri til at det blir lagra informasjon som gjer det mogleg å identifisere deg. Du kan endre innstillingane i nettlesaren din for å hindre nettstaden i å bruke informasjonskapslar. Dersom du vel å blokkere informasjonskapslar, vil du få problem med at du blir logga ut. Årsaka er at informasjonskapslane blir nytta til å holde deg innlogga fram til du aktivt loggar deg ut eller det har gått ei viss tid utan at du har vore aktiv.

Statistikk

Opplysningane som blir brukte til statistikkar og analyser, er i ei avidentifisert form som gjer at dei ikkje kan knytast til deg personleg. Skyss er pålagd å oppgi trafikktal til statlege og kommunale styresmakter, jf. statistikklova § 2-2 og kommunelova § 49. I tillegg nyttar vi statistikk til å betre og vidareutvikle tenestetilbodet til kundane våre. Statistikken kan mellom anna fortelje oss kor mange som reiser mellom dei ulike sonene, tal på kjøp per billettkategori og kor mange som kjøper billettar via nettbutikken. Skyss samlar informasjon frå billettkjøpa som er utførte via nettbutikken på skyss.no. Reiseopplysningane som ligg i billettkjøpet ditt, blir ikkje brukte saman med personopplysningar for å produsere statistikk.

Kjelder til personopplysningar

Alle personopplysningar som blir behandla i tilknyting til nettbutikken på skyss.no, er lagde inn eller genererte av deg. Skyss innhentar ikkje personopplysningar frå tredjepartar.

Databehandlar

Nettbutikken på skyss.no er levert av WTW AS (databehandlar). WTW behandlar personopplysningane dine på vegner av Skyss, og dette er regulert i ein eigen databehandlaravtale. Databehandlaravtalen sikrar at WTW behandlar alle personopplysningar i samsvar med denne personvernerklæringa.

Billettkontrollar blir gjennomførte av Securitas på vegner av Skyss. Det er inngått ein eigen databehandlaravtale med Securitas.

Utlevering til tredjepartar

Nødvendige personopplysningar for å registrere og gjennomføre betalinga kan bli utleverte til leverandøren av betalingsløysinga som er vald. Skyss vil ikkje utlevere personopplysningane dine til andre tredjepartar enn dei som er nemnde i denne erklæringa, med mindre ei slik utlevering skjer på eit rettsleg grunnlag som til dømes orskurd eller skriftleg ordre frå påtalemakta.

Anonymisert reisehistorikk kan bli brukt til statiske formål. Anonymiserte data blir ikkje rekna som personopplysningar og kan dermed utleverast til tredjepartar.

Tilgang til personopplysningar

Personopplysningane som blir behandla, vil berre vere tilgjengelege for autorisert personell hos Skyss og underleverandørar – inkludert Securitas, betalingsformidlarar, WTW AS og driftsleverandørar – som treng denne informasjonen for å levere ønskt teneste.

Lagring og sletting

Alle data blir lagra hos serversenteret til WTW i Noreg. Serverane blir drifta av personale i Noreg. Alle data som blir lagra i baksystemet, blir oppbevarte i samsvar med gjeldande lovgiving. Personopplysningane dine blir ikkje lagra lenger enn som nødvendig for kommunikasjonsformålet som applikasjonen blir brukt til.

Skyss og WTW AS har begge implementert informasjonstryggleikstiltak og interne rutinar for å sjå til at ingen personopplysningar kjem på avvegar eller blir nytta til andre formål enn dei som står i denne personvernerklæringa.

Profilinformasjon

Profilinformasjonen din blir oppbevart så lenge du som kunde har eit aktivt avtaleforhold med Skyss. Du kan når som helst slette eller be om å få sletta brukarkontoen din i nettbutikken på skyss.no. Viss du då seinare skulle ønskje å bruke nettbutikken att, må du registrere deg på nytt. Dersom du har lagt inn annan personleg informasjon i nettbutikken på skyss.no, kan du når som helst redigere denne i profilen din hos nettbutikken.

Transaksjonshistorikk og salsdokumentasjon

All salsdokumentasjon blir oppbevart i fem år etter utgang av rekneskapsåret, jf. bokføringslova § 13 med tilhøyrande forskrifter. Kvitteringane for dei siste kjøpa dine vil til ei kvar tid vere tilgjengelege via appen Skyss Billett. I samsvar med krava frå betalingstenestene pliktar Skyss å gi deg tilgang til salsdokumentasjon for alle kjøp du har utført via nettbutikken dei siste 20 månadene. Etter 20 månader, blir salsdokumentasjonen arkivert og anonymisert.

Teknisk informasjon og applogg

Ulike delar av applikasjonsloggen blir oppbevart i tilstrekkeleg tid til å sikre at tenesta fungerer slik ho skal og at du som kunde får servicen du har krav på. Ved til dømes klagesaker som er baserte på feil i tenesta, kan oppbevaringstida for dei aktuelle applikasjonsloggane bli forlenga slik at saka rekk å bli ferdigbehandla.

Tryggleik

All kommunikasjon mellom løysinga og nettlesaren din blir kryptert. All tilgang til systemet via Internett er kryptert. All dataoverføring internt mellom ulike komponentar i systemet blir kryptert. Data kan berre hentast ut via eit API som er kryptert og sikra med tilgangsnøklar. Tilgangen til data via grensesnittet til Skyss er rollestyrt og personleg, med hendingslogging for sporbarheit. Administrasjonsgrensesnittet for løysinga er utforma med ulike tilgangsnivå slik at det berre er autoriserte personar hos Skyss eller WTW som får tilgang – og då einast til opplysningane dei treng.

Dine rettar overfor Skyss

Du kan sjå, korrigere og slette alle personopplysningane du sjølv har lagt inn i brukarprofilen din for Skyss Billett, via innstillingane i applikasjonen.

Rett til innsyn

Du kan be om innsyn i personopplysningane som Skyss behandlar om deg.

Rett til korrigering

Du kan be om at urette eller ufullstendige personopplysningar blir korrigerte eller fylte ut.

Rett til sletting

Du kan be om at Skyss slettar personopplysningane dine der vilkåra for dette er oppfylte – til dømes dersom Skyss har behandla personopplysningane dine ulovleg eller lenger enn nødvendig.

Rett til avgrensa behandling

Du kan krevje at behandlinga av personopplysningane dine blir avgrensa dersom du meiner at dei aktuelle opplysningane er feil, du oppfattar behandlinga som unødvendig eller i strid med lova eller du har protestert mot behandlinga og Skyss har teke innvendinga til følgje.

Dersom du legg inn innvending, vil behandlinga vil bli avgrensa fram til Skyss har fått vurdert innvendinga di. Dersom behandlinga skal avgrensast, har Skyss berre lov til å lagre dei avgrensa personopplysningane. All anna behandling krev samtykke frå deg. Unntaket er dersom behandlinga av personopplysningar er i offentleg interesse eller nødvendig i samband med juridiske forhold eller for å beskytte rettane til andre.

Rett til å protestere

Du kan protestere mot behandling av personopplysningane dine dersom du meiner at Skyss ikkje har rett til å behandle desse opplysningane. For å kunne halde fram behandlinga i slike tilfelle må Skyss kunne vise til ei rettmessig interesse som veg tyngre enn interessene, rettane eller fridomane dine. Personopplysningane kan uansett behandlast dersom det er lovpålagt eller nødvendig for å fastslå, gjere gjeldande eller forsvare eit rettskrav.

Rett til dataportabilitet

Du kan be om at personopplysningar du har gitt til Skyss for behandling basert på samtykke eller for å oppfylle ein kontrakt du er part i, blir sende til deg i eit strukturert, vanleg eller maskinlesbart format. Du kan også be om at Skyss overfører slik informasjon til ein annan behandlingsansvarleg.

Rett til å klage til Datatilsynet

Dersom du er misnøgd med svaret du får frå Skyss, eller du meiner at Skyss behandlar personopplysningane dine i strid med personvernregelverket, kan du klage til Datatilsynet. Du finn informasjon om klageprosedyren her.

Kontaktinformasjon

Dersom du har spørsmål om behandlinga av personopplysningane dine hos Skyss eller du ønskjer å gjere bruk av retten din til innsyn, korrigering, sletting, avgrensa behandling eller dataportabilitet, bruker du kontaktskjemaet her.