Personvernerklæring

Hordaland fylkeskommune, Skyss har ansvaret for lagring og bruk av dine personopplysninger i applikasjonen «Skyss Billett» (behandlingsansvarlig).

Personopplysninger er enhver opplysning som kan identifisere deg. Under følger nærmere informasjon om Skyss sin behandling av dine personopplysninger, samt informasjon om hvilke rettigheter du har overfor Skyss.

Formål

Formålet med Skyss sin behandling av personopplysninger i applikasjonen «Skyss Billett» er å tilby deg som reiser en enkel og sikker måte å kjøpe billettprodukter, skape de rette forutsetningene for effektiv kundeoppfølging og sikre at våre kontrollører kan verifisere at din billett er gyldig.

Behandlingsgrunnlag

Skyss sin behandling av dine personopplysninger krever rettslig behandlingsgrunnlag.

Behandling av dine personopplysninger er nødvendig for å oppfylle tjenesteavtalen som inngås mellom deg og Skyss når du tar i bruk applikasjonen «Skyss Billett» og aksepterer avtalevilkårene jf. personvernforordningen artikkel 6 nr. 1 b).

Det er frivillig å ta i bruk applikasjonen «Skyss Billett». Skyss tilbyr også anonyme billettalternativer. Nærmere informasjon om anonyme billettalternativer finner du her.

Hvilke personopplysninger behandler Skyss?

Når du tar i bruk applikasjonen «Skyss Billett» vil følgende personopplysninger om deg bli behandlet:

Mobilnummer

For å bruke applikasjonen «Skyss Billett» er det påkrevd at du oppretter en brukerprofil. Ved opprettelse av brukerprofil er det påkrevd at du registrerer ditt mobilnummer og at du oppretter et passord. Dette for at Skyss skal kunne tilby tjenesten med sikker og verifisert innlogging. Mobilnummer er også nødvendig for å sikre at du kan få tilgang til aktive periodebilletter eller kvitteringer for tidligere kjøp dersom du mister mobilen din. Mobilnummeret utgjør den unike brukeridentifikasjonen til applikasjonen og er den eneste personopplysning som er påkrevd i brukerprofilen.

Navn og underbrukere

Det er valgfritt å legge inn navn i applikasjonen «Skyss Billett». Dette er et tilbud for de som ønsker å opprette underbrukere til «Skyss Billett»-kontoen sin. Underbrukere får mulighet til å betale sin billett ved hjelp av pengene som er lagt inn på din Mobilkonto. Det kreves kun at du oppgir mobilnummeret for å koble relevant underbruker til din Mobilkonto. Dersom du ønsker det kan du også legge inn navn eller et kallenavn på denne underbrukeren slik at det er lettere for deg å skille ulike underbrukere fra hverandre. Navnet til underbrukere vil også dukke opp i webportal for Mobilkontoen.

E-postadresse

Det er valgfritt å legge inn e-postadresse i applikasjonen «Skyss Billett». E-post er kun nødvendig dersom du ønsker å benytte deg av muligheten til å få kvitteringer for dine kjøp sendt pr e-post. En komplett oversikt over alle dine kjøp for de siste 20 månedene kan du også få ved å logge deg inn på webportalen for Mobilkontoen her.

Salgsdokumentasjon

All salgsdokumentasjon oppbevares i henhold til bokføringsloven. Reiseopplysningene som ligger i ditt billettkjøp hentes kun frem som en personopplysning når det er initiert av deg, eksempelvis ved reklamasjon eller andre henvendelser som gjør det nødvendig å se nærmere på alle detaljer knyttet til et bestemt kjøp.

Informasjon om betalingsmiddel

Bankkort: For å kunne betale med bankkort er det et grensesnitt mot betalingstjenesten som gjør at du kan registrere et betalingskort via applikasjonen «Skyss Billett» uten at de fulle bankkortdetaljene vil lagres i applikasjonen. Selv om du velger å lagre ett eller flere betalingskort i din profil, er det kun betalingstjenesten som har dine fulle bankkortdetaljer. I tilknytning til applikasjonen lagres kun de seks første og fire siste sifre på kortnummeret, samt utløpstidspunkt. Dette er en forutsetning for at kunden skal kunne gjenkjenne sitt innlagte kort, for å kunne generere de nødvendige detaljer som bør foreligge på en kvittering, samt å effektivt kunne håndheve kundens eventuelle rett til refusjon.

Telefonnummer: Dersom du ønsker å betale via din telefonregning vil telefonnummeret ditt overføres til mobiloperatørenes betalingsselskap, Strex.

Mobilkonto: Med Mobilkonto kan du sette inn et valgt beløp som du, eller dine eventuelle underbrukere, kan benytte til å betale billettene med. Systemet behandler opplysninger om saldo og transaksjoner som er knyttet til din Mobilkonto, herunder historikk for påfylling, kjøp, refundering og godskrivninger.

Teknisk informasjon

Når du benytter «Skyss Billett» eller webportalen for Mobilkontoen blir din IP-adresse, tidspunkt for forespørselen, info om nettleser eller mobiltelefon, samt versjonsnummer og mobilplattform for applikasjonen, inkludert valgt språk, loggført i en applikasjonslogg. Disse opplysningene kreves for at løsningen skal kunne fungere på gitt plattform/mobiltelefon og logges for å sikre at tjenesten fungerer slik den skal. Dette gir oss også informasjon som er nødvendig for å løse problemer dersom det skulle oppstå en feil.

Det benyttes ingen form for analyseverktøy (eks. Google Analytics) som kartlegger og loggfører handlingsmønster til identifiserbare brukere. Eneste relaterte funksjonalitet er krasjrapportering via HockeyApp som gir fullstendig anonymiserte krasjrapporter og er et hjelpemiddel for å sikre hurtig feilretting dersom applikasjonen krasjer.

Reiseinformasjon

Ved å akseptere at applikasjonen «Skyss Billett» får tilgang til telefonens GPS, benyttes posisjonsdata kun lokalt på telefonen. Det loggføres ingen posisjonsdata i applikasjonen som videreføres til backend. Den eneste reiseinformasjonen som behandles er den informasjonen om valgt avreisested/-sone og stoppested/-sone som er nødvendig for å dokumentere kjøp, samt regne ut korrekt pris. Reiseinformasjonen som er knyttet til ditt kjøp oppbevares og anonymiseres sammen med øvrig data i salgsdokumentasjonen.

Informasjonskapsler

For å kunne benytte webportalen for Mobilkontoen kreves det at man har informasjonskapsler (cookies) aktivert i din nettleser. Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside og som er nødvendig for at innlogging, navigasjon og funksjoner på nettstedet skal fungere smidig. Merk at det gjennom bruken av informasjonskapsler aldri blir lagret informasjon som kan identifisere deg personlig. Det er mulig å endre på innstillinger i nettleseren for å hindre nettstedet i å ta i bruk informasjonskapsler. Om du velger å skru av informasjonskapsel vil du oppleve problemer med at du blir logget ut. Dette fordi informasjonskapsler benyttes for å holde deg innlogget frem til du aktivt logger deg ut igjen eller du har vært inaktiv for lenge.

Statistikk

Opplysninger som brukes til statistikk og analyse, er i avidentifisert form og kan dermed ikke knyttes til din person. Skyss er pålagt å avgi trafikktall til statlige og kommunale myndigheter jfr. statistikkloven § 2-2 og kommuneloven § 49. Videre benyttes statistikk til å forbedre og videreutvikle tjenestetilbudet til våre kunder. Eksempler på hva statistikken gir svar på, er hvor mange som reiser mellom hvilke soner, antall kjøp per billettkategori og hvor mange som kjøper billetter via hvilken mobil-plattform (Android eller iOS). Skyss samler informasjon fra billettkjøpene som er gjort via «Skyss Billett». Reiseopplysningene som ligger i ditt billettkjøp vil ikke anvendes sammen med personopplysninger for å produsere statistikk.

Kilder til personopplysninger

Alle personopplysninger som behandles i tilknytning til «Skyss Billett» er lagt inn eller generert av deg. Skyss innhenter ingen personopplysninger fra tredjeparter.

Databehandler

«Skyss Billett» er levert av WTW AS (databehandler). WTW behandler dine personopplysninger på vegne av Skyss og dette er regulert i egen databehandleravtale. Databehandleravtalen sikrer at WTW behandler alle personopplysninger i henhold til denne personvernerklæringen.

Billettkontroller gjennomføres av Securitas på vegne av Skyss. Det er inngått egen databehandleravtale med Securitas.

Utlevering til tredjeparter

Skyss utleverer ikke dine personopplysninger til en tredjepart med mindre det foreligger rettslig grunnlag for slik utlevering, for eksempel en kjennelse eller skriftlig ordre fra påtalemyndighetene.

Anonymisert reisehistorikk kan bli brukt til statiske formål. Anonymisert data er ikke å anse som personopplysninger og kan dermed utleveres til tredjeparter.

Tilgang til personopplysninger

Personopplysninger som behandles vil kun være tilgjengelig for autorisert personell med tjenestlig behov hos Skyss og våre underleverandører, herunder Securitas, betalingsformidlere, WTW AS og driftsleverandør.

Lagring og sletting

Alle data lagres i Norge på WTW sitt serversenter. Servere driftes av personell i Norge. Alle data som lagres i baksystemet oppbevares i henhold til gjeldende lovgivning. Dine personopplysninger vil ikke lagres lenger enn nødvendig for å oppnå det kommunikasjonsformålet applikasjonen brukes til.

Både Skyss og WTW AS, har implementert informasjonssikkerhetstiltak og interne rutiner for å verifisere at ingen personopplysninger kommer på avveie eller blir benyttet for andre formål enn beskrevet i denne personvernerklæringen.

Profilinformasjon

Profilinformasjonen din oppbevares så lenge du som kunde har et aktivt avtaleforhold. Du har til enhver tid rett til å be om at din brukerkonto blir slettet fra applikasjonen «Skyss Billett». Du vil da måtte registrere deg på nytt dersom du ønsker å ta applikasjonen i bruk ved en senere anledning. Mobilnummeret ditt verifiseres ved førstegangsinnlogging på en ny enhet. Dersom du har lagt inn andre personopplysninger i «Skyss Billett» har du til enhver tid mulighet til å redigere disse i din profil under «Innstillinger».

Transaksjonshistorikk og salgsdokumentasjon

All salgsdokumentasjon oppbevares i 5 år etter regnskapsårets slutt jf. bokføringsloven § 13 med tilhørende forskrift. Kvitteringene for dine siste kjøp vil til enhver tid være tilgjengelig via «Skyss billett». I henhold til krav fra betalingstjenestene plikter Skyss å gi deg tilgang til salgsdokumentasjon for alle kjøp via applikasjonen eller Mobilkontoen de siste 20 månedene. Du kan hente ut denne informasjonen selv ved å logge deg inn på webportalen for Mobilkontoen. Etter 20 måneder vil salgsdokumentasjonen arkiveres og bli anonymiserte.

Teknisk informasjon og applikasjonslogg

Ulike deler av applikasjonsloggen oppbevares i tilstrekkelig tid til å sikre at tjenesten fungerer slik den skal og at du som kunde mottar den servicen du har krav på. Ved eksempelvis klagesaker som baserer seg på feil i tjenesten kan oppbevaringstid for relevant applikasjonslogg økes slik at den følger nødvendig tidsløp for å behandle ferdig klagen.

Sikkerhet

All kommunikasjon mellom løsningen og applikasjonene som kjører på din telefon, foregår kryptert. All tilgang til systemet via web er kryptert. All dataoverføring internt mellom ulike komponenter i systemet foregår kryptert. Tilgang til å hente ut data kan kun skje via API som er kryptert og sikret med tilgangsnøkler. Tilgang til data via Skyss sitt grensesnitt er rollestyrt og personlig med hendelseslogging for sporbarhet. Administrasjonsgrensesnittet for løsningen er utformet med ulike tilgangsnivå slik at kun personer som behøver tilgang hos Skyss eller WTW vil få adgang til den mengden informasjon som er relevant for deres behov.

Dine rettigheter overfor Skyss

Alle personopplysninger som du selv har oppgitt i brukerprofilen i «Skyss Billett», kan du få innsyn i, korrigere eller slette via innstillinger i applikasjonen.

Rett til innsyn

Du kan be om innsyn i personopplysningene som Skyss har registret om deg.

Rett til korrigering

Du kan be om at uriktige eller ufullstendige personopplysninger blir korrigert eller supplert.

Rett til sletting

Du kan be om at Skyss sletter dine personopplysninger dersom nærmere vilkår er oppfylt, for eksempel dersom Skyss har behandlet dine personopplysninger på en ulovlig måte eller lenger enn nødvendig.

Rett til begrenset behandling

Du kan kreve at behandlingen av dine personopplysninger begrenses dersom du bestrider riktigheten av personopplysningene, behandlingens lovlighet eller nødvendighet eller dersom du har protestert mot behandlingen og Skyss har tatt protesten til følge.

Behandlingen begrenses fra innsigelsen er inngitt og i den perioden det tar Skyss å vurdere innsigelsen. Dersom behandlingen skal begrenses har Skyss kun lov til å lagre de begrensede personopplysningene og annen behandling kan kun skje med ditt samtykke. Dette gjelder med mindre Skyss må behandle personopplysningene i forbindelse med juridiske forhold, for å beskytte andres rettigheter eller hvis offentligheten har interesse av behandlingen.

Rett til å protestere

Du kan protestere mot behandlingen av dine personopplysninger dersom du mener at Skyss ikke har rett til å behandle dine personopplysninger. I slike tilfeller kan Skyss kun fortsette behandlingen dersom Skyss kan vise til en berettiget interesse som veier tyngre enn dine interesser, rettigheter og friheter. Personopplysningene kan uansett behandles dersom Skyss er lovpålagt slik behandling eller dersom behandling er nødvendig for å fastsette, gjøre gjeldende eller forsvare et rettskrav.

Rett til dataportabilitet

Du kan be om at personopplysninger som du har overlevert til Skyss for behandling basert på ditt samtykke eller for å oppfylle en kontrakt du er part i, blir sendt til deg i et strukturert, vanlig og maskinlesbart format. Du har også rett til å be om at Skyss overfører slik informasjon til en annen behandlingsansvarlig.

Rett til å klage til Datatilsynet

Dersom du er misfornøyd med Skyss sitt svar eller du mener at Skyss behandler personopplysningene dine i strid med personvernregelverket, kan du klage til Datatilsynet. Informasjon om klageprosedyren finner du her.

Kontaktinformasjon

Dersom du har spørsmål knyttet til Skyss sin behandling av dine personopplysninger eller du ønsker innsyn, korrigering, sletting, begrenset behandling eller dataportabilitet, bruk kontaktskjemaet her.