Personvernerklæringer for Nordland fylkeskommune og reisnordland.no

 

Nordland fylkeskommune (heretter «Nfk») er et mobilitetselskap for kollektivtrafikken i Nordland fylke. Nfk har ansvaret for å planlegge, organisere, kjøpe og markedsføre offentlige mobilitet- og kollektivtjenester i Nordland fylke. Det er Nfk, seksjon for mobilitet som har ansvaret for drift av alle produkter og tjenester knyttet opp mot offentlige og fylkeskommunale mobilitetsløsninger. Reis nettbutikk, Reis app og reisnordland.no er deler av Nfks seksjon for mobilitet, sine salgs- og markedsføringskanaler.

 

Sist oppdatert: 23.11.2021

Informasjonskapsler («cookies»)

Når du besøker vår hjemmeside, vil nettleseren din laste ned informasjonskapsler, såkalte «cookies». Dette er små tekstfiler som utveksles mellom din enhet og vår hjemmeside, og som brukes for å få nettstedet til å fungere best mulig. Nedenfor finner du oversikt over informasjonskapsler som benyttes på vår hjemmeside.

Som nettbruker kan du velge å avvise lagring og bruk av informasjonskapsler («cookies»). Vi anbefaler Post- og teletilsynets nettside nettvett.no for beskrivelse av hvordan du kan akseptere eller avvise informasjonskapsler («cookies»).

Https og sikker overføring

Nettstedet vårt dekkes av kryptering med https. Hvis du vil forsikre deg om at en side er kryptert, vil det stå https i stedet for bare http i nettleserens adressefelt og de fleste nettlesere vil også vise en hengelås.

Formålet med kryptering er å sikre en trygg datakommunikasjon mellom server (vår nettside) og klient (din datamaskin). Dette inkluderer et digitalt sertifikat som skal bevise at nettstedet og dets avsender er ekte.

Informasjonskapsler på nettsiden

Nettsiden bruker informasjonskapsler for nettstedsanalyse. Se egne seksjoner om Google Analytics og Facebook Pixel. Utover dette bruker reisnordland.no ingen informasjonskapsler.

Google Analytics

Vi bruker verktøyet Google Analytics for å samle statistikk om hvordan nettstedet brukes. Slik får vi innsikt i hvordan vi kan gjøre tjenesten enda bedre. Vi får informasjon om hvilke sider og tjenester som blir brukt, hvor brukerne kommer fra, hvor lang tid som blir brukt på sidene, hvordan brukerne navigerer inne på sidene, og så videre. Google Analytics sletter personidentifiserende opplysninger ved mottak, og IP-adressen din blir anonymisert. Google Analytics bruker informasjonskapsler som starter med _ga og _gat.
Informasjonskapselen _ga samler informasjon om besøk til analyseformål, og slettes etter 2 år. Informasjonskapselen _gat gir Google Analytics informasjon om hvilken nettside som skal spores og hvor informasjonen skal sendes, og slettes etter 10 minutter.

Facebook Pixels

Vi bruker Facebook Pixel for å enklere gi relevant informasjon til brukere. Les mer om Facebook Pixel


Statistikk og logg

Når du leser vår nettsider, vil det bli lagret informasjon i statistikk- og logg-filer.

Systemet lagrer user agent, IP-adresse og hvilken side den besøkende har besøkt i en rådata-tabell. Denne informasjonen blir i neste omgang benyttet til å generere statistikk for antall sidevisninger pr objekt (menypunkt, artikkel, fil), per host og per søkeord. Alle data i rådatatabellen blir slettet etter 2 dager, og den gjenværende statistikken inneholder deretter bare oppsummerte data som ikke kan brukes til å identifisere hver enkelt bruker.

Vi lagrer user agent, IP-adresse og hvilken side den besøkende har besøkt i webserverens logger. Disse loggene blir utelukkende brukt til arbeid rundt feilsøking og sikkerhet, og ingen data blir trukket ut eller brukt fra disse loggene. Loggene slettes etter et gitt intervall (normalt 4 uker). Kun administratorer av webserveren (drift) har tilgang til disse.

 

 

Personvernerklæring for billettløsning i app og nettbutikk

 

1 Innledning

Nordland fylkeskommune (heretter «Nfk») er et mobilitetselskap for kollektivtrafikken i Nordland fylke. Nfk har ansvaret for å planlegge, organisere, kjøpe og markedsføre offentlige mobilitet- og kollektivtjenester i Nordland fylke. Det er Nfk, seksjon for mobilitet som har ansvaret for drift av alle produkter og tjenester knyttet opp mot offentlige og fylkeskommunale mobilitetsløsninger. Reis nettbutikk, Reis app og reisnordland.no er deler av Nfks seksjon for mobilitet, sine salgs- og markedsføringskanaler.

 

2 Om erklæringen

Denne personvernerklæringen forklarer hvordan Nfk samler inn og håndterer personopplysninger om sine kunder og/eller brukere av mobilitet- og kollektivtrafikktilbudet (heretter omtalt som «kunden») i billettløsningen. Med personopplysninger menes alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson. Typiske personopplysninger er navn, adresse, telefonnummer, e-post og fødselsnummer. Også IP-adresse er definert som personopplysning. Erklæringen følger reglene i personopplysningsloven og personvernforordningen GDPR, samt bransjenormen for behandling av personopplysninger i forbindelse med e-billettering (heretter «bransjenormen»). Erklæringen inneholder informasjon du som kunde har krav på etter personvernforordningen artiklene 12-14, og generell informasjon om hvordan Nfk behandler dine personopplysninger. I tillegg finner du blant annet opplysninger om hvordan du får innsyn i personopplysninger som Nfk har om deg, og hvordan du går frem dersom du vil at vi skal rette eller slette opplysningene.

Personvernerklæringen med vilkår vil bli oppdatert fra tid til annen blant annet som følge av at tjenestene utvides eller endres. Hvis noen av tjenestene endres slik at en videre behandling av dine personopplysninger krever et samtykke fra deg, vil du bli varslet om dette.

 

3 Generelt om behandling av personopplysninger

3.1 Behandlingsansvarlig

Nfk, ved Fylkesdirektør for avdelingen «Transport og infrastruktur», har det overordnede ansvaret for behandling av kundenes personopplysninger, og er såkalt behandlingsansvarlig i henhold til personopplysningsloven. Som behandlingsansvarlig vil Nfk påse at kundenes personopplysninger til enhver tid behandles i tråd med personopplysningsloven og øvrig gjeldende regelverk.

3.2 I billettløsningen behandles følgende generelle opplysninger om deg

Salgsdokumentasjon: All salgsdokumentasjon oppbevares i henhold til bokføringsloven. Reiseopplysningene som ligger i ditt billettkjøp hentes kun frem som en personopplysning når det er initiert av den registrerte, eksempelvis ved reklamasjon eller andre henvendelser som gjør det nødvendig å se nærmere på alle detaljer knyttet til et bestemt kjøp.

Informasjon om betalingsmiddel: Bankkort – For å kunne betale med bankkort er det et grensesnitt mot betalingstjenesten som gjør at du kan registrere et betalingskort i løsningen uten at de fulle bankkortdetaljene vil lagres i appen. Selv om du velger å lagre ett eller flere betalingskort i din profil, er det kun betalingstjenesten som har dine fulle bankkortdetaljer. I tilknytning til appen lagres kun de seks første og fire siste sifre på kortnummeret, samt utløpstidspunkt. Dette er en forutsetning for at kunden skal kunne gjenkjenne sitt innlagte kort, for å kunne generere de nødvendige detaljer som bør foreligge på en kvittering, samt å effektivt kunne håndheve kundens eventuelle rett til refusjon.

Teknisk informasjon: Når du benytter billettløsningen blir din IP-adresse, tidspunkt for forespørselen, info om nettleser eller mobiltelefon, samt versjonsnummer og mobilplattform for app, inkludert valg språk, loggført i en applikasjonslogg. Disse opplysningene kreves for at løsningen skal kunne fungere på gitt plattform/mobiltelefon, og logges for å sikre at tjenesten fungerer slik den skal. Dette gir oss også informasjon som er nødvendig for å løse problemet dersom det skulle oppstå en feil. Det benyttes ingen form for analyseverktøy som kartlegger og loggfører handlingsmønster til identifiserbare brukere. Eneste relaterte funksjonalitet er krasjrapportering via «Bugsnag» som gir fullstendig anonymiserte krasjrapporter og er et hjelpemiddel for å sikre hurtig feilretting dersom appen krasjer.

Reise informasjon: Ved å akseptere at appen får tilgang til telefonens GPS, benyttes posisjonsdata kun lokalt på telefonen. Det loggføres ingen posisjonsdata i billettløsningen som videreføres til backend. Den eneste reiseinformasjonen som behandles er den informasjonen om valgt avreisested/-sone og stoppested/-sone som er nødvendig for å dokumentere kjøp, samt regne ut korrekt pris. Vi benytter også posisjonsdata for å kunne tilby forslag til den beste reiseruten for din reise. Reiseinformasjonen som er knyttet til ditt kjøp oppbevares og anonymiseres sammen med øvrig data i salgsdokumentasjonen.

3.3  Kilder til personopplysninger

Alle personopplysninger som behandles i tilknytning til billettløsningen er lagt inn eller generert av deg selv. Det er ingen innhenting av informasjon fra eksterne registre eller tjenester. Den øvrige personinformasjonen, som du selv har oppgitt, kan du alltids rette, eller slette, via innstillinger i løsningen.

3.4 Tilgang til personopplysninger

Personopplysninger som behandles vil kun være tilgjengelig for autorisert personell med tjenstlig behov hos Nfk og våre underleverandører, herunder billettkontrollørselskap, betalingsformidlere og operatørselskap.

I enkelte tilfeller kan Nfk utlevere personopplysninger til politiet eller til andre offentlige myndigheter. Dette forutsetter imidlertid at det foreligger særskilt lovhjemmel eller pålegg fra domstolene. I tillegg vil Nfk utlevere personopplysninger til Transportklagenemnda hvis avslag på en klage på reisegaranti eller gebyr blir anket av kunden etter at Nfk har behandlet klagen.

Ingen opplysninger utleveres til eksterne tredjeparter, hverken i Norge eller i utlandet, som ikke er nevnt i denne personvernerklæring.

3.5 Formålet med behandlingene

Nfks overordnede formål med å behandle ulike personopplysninger i forbindelse med bruk av billettløsningen, er å kunne tilby gode og effektive reiseprodukter til våre kunder i forbindelse med leveranse av mobilitetstjenester. I tillegg ønsker Nfk å skape de rette forutsetningene for effektiv kundeoppfølging, samt sikre at kontrollører kan verifisere gyldig billett.

Det er frivillig for deg å benytte billettløsningen. Men, det er ikke frivillig å kjøpe billett når man benytter seg av Nfks mobilitet- og kollektivtilbud. Dersom du velger å ikke benytte deg av billettløsningen, kan du velge å kjøpe billett via alternative kjøpskanaler, slik som Reis nettbutikk, Reis bookingløsning eller kjøp av fysisk billett på Sentrumsterminalen i Bodø. Billetter kan eventuelt kjøpes om bord i farkost eller kjøretøy, der dette er tillatt og tilgjengelig.

Opplysninger som brukes til statistikk, er i avidentifisert form og kan dermed ikke knyttes til din person. Videre benyttes statistikk til å forbedre og videreutvikle tjenestetilbudet til våre kunder. Eksempler på hva statistikken gir svar på, er hvor mange som reiser mellom hvilke soner, antall kjøp per billettkategori og hvor mange som kjøper billetter via hvilken mobil-plattform (Android eller iOS). Nfk samler informasjon fra billettkjøpene som er gjort via billettløsningen.

3.6 Behandlingsgrunnlag

Nfk baserer sin behandling av personopplysninger på at foreligger en avtale mellom partene, der kunden har registrert en profil i billettløsningen. Så lenge kunden opprettholder sin kundeprofil vil Nfk ta vare på disse opplysningene, slik at kunden når som helst kan kjøpe et nytt reiseprodukt. Avtalegrunnlag er forankret i personvernforordningen artikkel 6, nr. 1 bokstav b, som tillater behandling når behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i. Eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse.

Behandling for statistiske formål er forankret i personvernforordningen artikkel 6, nr. 1 bokstav e, og personopplysningsloven § 8, fordi den er nødvendig for statistiske formål i allmennhetens interesse.

3.7 Informasjonssikkerhet og forsvarlig lagring av personopplysningene

Nfk følger kravene til informasjonssikkerhet i personopplysningsforskriften kapittel 2 og bransjenormens bestemmelser.

Nfk kan anvende reiseopplysninger sammen med kundeopplysninger dersom dette er initiert av deg selv. Dette kan gjelde ved en reklamasjon på reisegaranti, klage på gebyr eller en annen henvendelse fra din side.

Nfk vil ikke anvende reiseopplysninger sammen med kundeopplysninger for å produsere statistikk, ved avregning mot samarbeidende selskap, og normalt heller ikke ved feilsøking.

3.8 Fremgangsmåte ved begjæring om innsyn, retting eller sletting

Dersom du vil slette ditt kundeforhold med tilhørende opplysninger kan også dette gjøres ved å kontakte Nordland fylkeskommune, seksjonen for mobilitet.

Du har rett til innsyn i personopplysninger som er lagret om deg, og kan kreve retting av feilaktige eller ufullstendige opplysninger om deg selv. Du kan også be om at unødvendige opplysninger om deg selv slettet. Dersom sletting av personopplysninger er gjennomført, kan ikke denne handlingen reverseres.

Dersom du ønsker innsyn i, eller retting/sletting av, personopplysninger Nfk behandler om deg, må dette gjøres skriftlig - enten til: reisnordland@nfk.no eller per post. For raskest mulig saksbehandling anbefales det å kontakte Nfk via nevnte epostadresse. Dersom man avtaler tidspunkt på forhånd kan personlig oppmøte ved resepsjonen til Nordland fylkeskommune, i Prinsens gate 100 i Bodø være et alternativ. Ved bruk av post kan henvendelsen rettes til:

Nordland fylkeskommune, Prinsens gate 100, 8048 Bodø, Att: Seksjonen for mobilitet.

Nfks service og support ansvarlige kan også hjelpe deg med å komme i kontakt med Nfk sitt personvernombud, dersom du skulle ha konkrete spørsmål knyttet til Nfks behandling av dine personopplysninger. Om du ikke finner svar på disse i denne personvernerklæringen.

Nfk vil svare på din henvendelse til oss så fort som mulig, og senest innen 30 dager. Vi vil be deg om å bekrefte identiteten din eller å oppgi ytterligere informasjon før vi lar deg ta i bruk dine rettigheter overfor Nfk. Dette gjør vi for å være sikre på at vi kun gir tilgang til dine personopplysninger til deg, og ikke noen som gir seg ut for å være deg.

3.9 Øvrige rettigheter

Du har rett til å protestere mot behandlingen av personopplysninger. Du har til enhver tid, av grunner knyttet til din særlige situasjon, rett til å protestere mot behandling av personopplysninger om deg. Behandlingen må ha grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav e) eller f), herunder profilering med grunnlag i nevnte bestemmelser. Nfk skal ikke lenger behandle personopplysningene, med mindre selskapet kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran dine interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav.

Du har også rett til dataportabilitet, retten til å ta med seg sine personopplysninger fra en virksomhet til en annen, etter personvernforordningen artikkel 20. Den registrerte skal i utgangspunktet ha rett til å motta personopplysninger om seg selv som vedkommende har gitt til Nfk, i et strukturert, alminnelig anvendt og maskinleselig format og skal ha rett til å overføre nevnte opplysninger til en annen behandlingsansvarlig uten at den behandlingsansvarlige som personopplysningene er gitt til, hindrer dette. Dette forutsetter at behandlingen er basert på samtykke i henhold til personvernforordningen artikkel 6 nr. 1 bokstav a, artikkel 9 nr. 2 bokstav a eller en avtale i henhold til artikkel 6 nr. 1 bokstav b. Behandlingen utføres automatisk.

For å utøve dine rettigheter, følges samme fremgangsmåte som er beskrevet over i punkt 3.7.

Dersom du mener at vår behandling av personopplysninger ikke stemmer med det vi har beskrevet her eller at vi på andre måter bryter personvernlovgivningen, ber vi om at du tar kontakt. Du kan også klage til Datatilsynet. Du finner informasjon om hvordan kontakte Datatilsynet på deres nettsider: datatilsynet.no

3.10 Bruk av databehandlere

Nfk vil kunne dele dine personopplysninger med såkalte «databehandlere». Som databehandler regnes underleverandører som behandler personopplysninger på vegne av Nfk, jf. personopplysningsloven § 2. Dette gjelder leverandører av billettsystem, og andre systemer hvor det er naturlig for deg som kunde å legge inn personopplysninger. Enten i form av en egen brukerprofil i forbindelse med reiser, eller ved en klage på reisegaranti eller gebyr, hvor Nfk må gjennomføre en saksbehandling på din henvendelse.

Databehandlere kan ikke bruke personopplysningene for noe annet formål enn å yte den tjenesten som er avtalt med Nfk i en databehandleravtale. Nfk tar særlige forholdsregler for å forsikre seg om at våre databehandlere opptrer i samsvar med inngått databehandleravtale, denne personvernerklæringen og norsk personvernlovgivning for øvrig.

Nfk benytter seg kun av databehandlere som er lokalisert i Norge, EU/EØS-land eller land som har tilfredsstillende personvernlovgivning.

4 Automatisk registrering av kundeinformasjon ved besøk på vår nettside

Som mange andre nettsteder benytter Nfk informasjonskapsler («cookies») og liknende teknologier på våre nettsider. Visse typer informasjon om deg som kunde, blir som følge av dette registrert og lagret automatisk når du besøker vår hjemmeside. Disse dataene blir brukt til å registrere og analysere «trafikkmønsteret» på våre nettsider. Informasjonen brukes til å identifisere hvordan besøkende navigerer på sidene, hvor lenge de bruker en side, hvilke tjenester de benytter og hvor de kommer fra.

Typiske opplysninger som registreres, er hvilken nettleser og hvilket operativsystem du benytter, samt hvilket domene eller IP-adresse du er tilknyttet. Disse opplysningene brukes til å generere statistikk over besøkendes bruk av siden, og slettes kontinuerlig. All kundeinformasjon av denne typen er anonym. Nfk lagrer ikke informasjon som kan avsløre kundens identitet. For å lese mer om dette kan du gå inn på våre sider om personvern og informasjonskapsler. Disse finner du her: reisnordland.no

5 Lagring, varighet og sletting

Alle data som lagres i systemet oppbevares i henhold til gjeldende lovgivning. Dine personopplysninger vil ikke lagres lenger enn nødvendig for å oppnå det kommunikasjonsformålet appen brukes til. Nfk har ivaretatt informasjonssikkerhetstiltak og interne rutiner for å verifisere at ingen personopplysninger kommer på avveie eller blir benyttet for andre formål enn beskrevet i denne personvernerklæringen.

Både Nfk som behandlingsansvarlig, og våre databehandlere jobber etter prinsippene for innebygd personvern og personvern som standardinnstilling. I dette ligger blant annet at din personinformasjon ikke skal oppbevares lengre enn det som er nødvendig for å oppfylle formålet til tjenesten.

Profilinformasjon: Profilinformasjonen din oppbevares så lenge du som kunde er aktiv bruker av billettløsningen. All profilinformasjon til inaktive brukere slettes etter 3 år. For å regnes som inaktiv må det ikke være registrert noe kjøp eller annen aktivitet i appen fra deg eller dine underbrukere, din «Mobilkonto» må også være tom. Du har til enhver tid rett til å be om at din bruker blir slettet fra billettløsningen. Du vil da måtte registrere deg på nytt i tjenesten dersom du ønsker å ta den i bruk ved en senere anledning. Mobilnummeret ditt verifiseres ved førstegangsinnlogging på en ny enhet. Dersom du har lagt inn andre personopplysninger i løsningen har du til enhver tid mulighet til å redigere disse i din profil under «Innstillinger».

Transaksjonshistorikk og salgsdokumentasjon: All salgsdokumentasjon oppbevares i 5 år etter regnskapsårets slutt, i henhold til Regnskapslovgivningen, herunder bokføringsloven med tilhørende forskrift. Kvitteringene på dine siste kjøp vil til enhver tid være tilgjengelig via appen. I henhold til krav fra betalingstjenestene plikter Nfk å gi deg tilgang til salgsdokumentasjon over alle kjøp av tjenester, med utløp innenfor de siste 20 mnd, som er utført av din bruker eller knyttet til ditt kundeforhold. Du kan hente ut denne informasjonen selv ved å logge deg inn på billettløsningen. Etter 20 mnd vil salgsdokumentasjonen arkiveres og anonymiseres til en slik grad at det ikke er mulig for deg eller personer med tjenstlige tilgang til billettløsningen å hente ut denne informasjonen knyttet til bruker.

Teknisk informasjon og applikasjonslogg: Ulike deler av applikasjonsloggen oppbevares i tilstrekkelig tid til å sikre at tjenesten fungerer slik den skal og at kundene mottar den servicen de har krav på. Som standard vil detaljer i applikasjonslogg slettes eller anonymiseres etter 104 dager. Ved eksempelvis klagesaker som baserer seg på feil i tjenesten kan oppbevaringstid for relevant applikasjonslogg økes slik at den følger nødvendig tidsløp for å behandle ferdig klagen.

 

6 Sikkerhet

All kommunikasjon mellom løsningen og applikasjonene som kjører på sluttbrukers enheter, foregår kryptert. All tilgang til systemet via web er kryptert. All dataoverføring internt mellom ulike komponenter i systemet foregår kryptert. Tilgang til å hente ut data kan kun skje via API som er kryptert og sikret med tilgangsnøkler. Tilgang til data via grensesnitt til Nfk er rollestyrt og personlig med hendelseslogging for sporbarhet. Administrasjonsgrensesnittet for løsningen er utformet med ulike tilgangsnivå slik at kun personer som behøver tilgang hos Nfk vil få adgang til den mengden informasjon som er relevant for deres behov.