Brakar app og personvern
PERSONVERNERKLÆRING BRAKAR AS
1. OM ERKLÆRINGEN
Denne personvernerklæringen forklarer hvordan Brakar samler inn og bruker personopplysninger om sine kunder. Med personopplysninger menes alle opplysninger som kan knyttes til kunden/brukeren/skoleeleven som enkeltperson, jf. personopplysningsloven§ 2 nr. 2.
Erklæringen inneholder informasjon du som kunde har krav på etter personopplysningsloven § 19, og generell informasjon om hvordan Brakar behandler dine personopplysninger, jf. personopplysningsloven § 18 første ledd.
I tillegg finner du blant annet opplysninger om hvordan du får innsyn i personopplysninger som Brakar har om deg og hvordan du går frem dersom du vil at vi skal rette eller slette opplysningene.
2. GENERELT OM BEHANDLING AV PERSONOPPLYSNINGER I BRAKAR AS
2.1 Behandlingsansvarlig
Brakar, ved administrerende direktør, har det overordnede ansvaret for behandling av kundenes personopplysninger og er behandlingsansvarlig i henhold til personopplysningsloven. Som behandlingsansvarlig vil Brakar påse at kundenes personopplysninger til enhver tid behandles i tråd med personopplysningsloven og øvrig gjeldende regelverk.
2.2 Hvilke personopplysninger behandler Brakar om sine reisende
Utgangspunktet er at du ikke trenger å oppgi personopplysninger for å reise med Brakar. Brakar tilbyr en anonym billettløsning for de som ønsker det, for eksempel gjennom kjøp av billett via Brakars App-løsning eller med uregistrert reisekort.
Brakar tilbyr også mulighet for å registrere reisekort. I så fall har vi behov for å behandle enkelte personopplysninger om deg. Det samme gjelder dersom du har krav på rabatterte priser (ungdoms-/studentbillett) eller benytter deg av skoleskyssordningen. Dette gjelder følgende opplysninger:
- navn
- adresse, postnummer, poststed
- fødselsdato
- e-postadresse
- mobilnummer
Nærmere opplysninger om behandling av personopplysninger i forbindelse med skoleskyssordningen er beskrevet i punkt 4 nedenfor.
De ovennevnte personopplysningene oppgis frivillig av deg, og lagres av Brakar så lenge det er nødvendig for å utføre den aktuelle tjenesten eller så lenge kundeforholdet med deg varer, jf. personopplysningsloven § 8 bokstav a.
Brakar lagrer bare opplysninger du som kunde har samtykket til. Ditt samtykke kan på hvilket som helst tidspunkt trekkes tilbake. Dette gjør du enkelt ved å logge deg inn på Min Side på brakar.no og slette din konto. Brakar vil deretter slette alle personopplysninger som er lagret om deg i våre IT-systemer i tråd med våre sletterutiner.
I tillegg til kontaktopplysningene nevnt over, registrerer Brakar opplysninger om de enkeltreisene som våre kunder foretar. Det gjelder opplysninger om:
- reisens start
- påstigningssoner for reisen
- tidspunkt for avlesing av reisekort
- billettypen som er benyttet
- reisekortnummer
Disse opplysningene er i utgangspunktet anonymiserte, men vil kunne knyttes til den enkelte kunden dersom de kobles sammen med reisekortnummeret og kortet er registrert. Slik sett, kan reisedata utgjøre personopplysninger i henhold til personopplysningsloven.
Dersom du kjøper billett via Brakars App-løsning, må du oppgi telefonnummer ved første innlogging. Du må også gi informasjon om ditt betalingskort. Informasjonen om betalingskortet kan oppgis i forbindelse med et enkeltkjøp eller lagres inne i App’en slik at du kan benytte betalingskortet også for senere billettkjøp.
I tillegg kan du velge å oppgi din e-postadresse dersom du ønsker å få tilsendt kvitteringer for kjøp per e-post. Dersom e-postadressen din inneholder ditt fulle navn eller annen klar identifikasjon, må du være oppmerksom på at du ikke vil være sikret å reise anonymt.
2.3 Formålet med behandlingen
Brakars overordnede formål med å behandle personopplysninger er å kunne tilby gode og effektive tjenester til sine reisende. Dette gjelder både for de som reiser med registrert reisekort, Brakars App-løsning og for de som benytter seg av skoleskyss.
Formålet med behandlingen av personopplysningene beskrevet i punkt 2.2 over er:
- å kunne vurdere hvorvidt kunden har krav på rabatterte billetter (ungdoms-/studentbillett), samt hvorvidt retten til rabatterte priser opphører pga. alder
- å kunne kontakte de reisende om billetter som snart utløper,
- å sende ut reisekort ved henvendelser (f.eks. kunder som mister sitt reisekort og ber om nytt),
- å kunne videreformidle trafikkmeldinger etter samtykke fra kunden,
- å kunne kommunisere annen relevant informasjon til kunden etter samtykke
Reisedata som registreres benyttes videre til statistikkformål, herunder for å vurdere budsjett, kapasitet og fremtidig transportbehov på ulike strekninger, samt i forbindelse innrapportering til Buskerud fylkeskommune som eier (eiermelding).
2.4 Behandlingsgrunnlag
Brakar baserer sin behandling av personopplysninger på kundens/brukers/skoleelevens samtykke, jf. personopplysningsloven § 8 første ledd. Som beskrevet i punkt 2.2 over, er samtykket frivillig og kan når som helst trekkes tilbake med den virkning at behandlingen opphører. Behandlingen av opplysningene har også grunnlag i personopplysingsloven § 8 bokstav a, som tillater behandling som er nødvendig for å oppfylle avtalen med den registrerte.
2.5 Informasjonssikkerhet og forsvarlig lagring av personopplysningene
Brakar behandler alle personopplysninger fortrolig og sikkert. Vi sørger for at opplysningene blir forsvarlig lagret og behandlet konfidensielt slik at krav til informasjonssikkerhet og interkontroll blir ivaretatt.
2.6 Sletting av personopplysninger
Dersom kunden benytter et registrert reisekort kan opplysninger om navn, adresse, e-postadresse, telefonnummer, fødselsdato og mobilnummer slettes av kunden selv inne på «mine sider» på Brakars nettside (brakar.no).
For andre tilfeller slettes opplysningene når reisekortet sperres på grunn av utløpsdato. Eksempelvis for ungdomskort slettes personopplysningene når kortet sperres som følge av at kunden har passert aldersgrensen på 20 år.
I tråd med «bransjenormen for personvern og informasjonssikkerhet i elektronisk billettering», som er godkjent av Datatilsynet, bli reisedata anonymisert eller slettet innen 104 dager.
2.7 Fremgangsmåte ved begjæring om innsyn, retting eller sletting
Dersom du vil begjære innsyn i personopplysningene Brakar behandler om deg må dette gjøres skriftlig, ved å fylle ut vårt kontaktskjema, og sende dette per post eller e-post personvern@brakar.no.
Ved bruk av post kan henvendelsen rettes til:
Brakar AS v/personrådgiver
Strømsø torg 4
3044 Drammen
Dersom du mener det foreligger feil i personopplysningene Brakar behandler om deg, kan du enkelt rette disse selv på «mine sider» på brakar.no. Brakar vil også hver sjette måned be deg om å kontrollere at opplysningene er korrekte i forbindelse med innlogging. Dersom du vil slette ditt kundeforhold med tilhørende opplysninger kan også dette gjøres på Min Side. Skulle du trenge bistand til dette kan du henvende deg til vårt kundesenter:
Kundesenter Brakar AS, telefonnummer 177.
Dersom du skulle ha konkrete spørsmål om Brakars behandling av dine personopplysninger som du ikke finner svar på andre steder, kan du kontakte Brakar AS sin personvernrådgiver på epost personvern@brakar.no.
2.8 Bruk av databehandlere
Brakar vil kunne dele dine personopplysninger med såkalte «databehandlere». Som databehandler regnes eksempelvis underleverandører som behandler personopplysninger på vegne av Brakar, jf. personopplysningsloven § 2 nr. 5. Dette vil typisk være systemutviklere og IT-leverandører som vi bruker i forbindelse med drift og vedlikehold av vår nettside, vår App-løsning, eller våre betalingsløsninger.
Slike databehandlere skal ikke bruke personopplysningene for annet formål enn å yte den tjenesten som er avtalt med Brakar. Det inngås alltid databehandleravtale med aktører som behandler personopplysninger på vegne av Brakar, for å sikre at databehandleren opptrer i samsvar med databehandleravtalen, denne personvernerklæringen og norsk personvernlovgivning for øvrig.
Brakar benytter seg kun av databehandlere som er lokalisert i Norge, EU/EØS-land eller andre land som har tilfredsstillende personvernlovgivning.
2.9 Utlevering av personopplysninger til tredjeparter
I enkelte tilfeller kan Brakar utlevere personopplysninger til politiet eller til andre offentlige myndigheter. Dette forutsetter imidlertid at det foreligger særskilt lovhjemmel eller pålegg fra domstolene.
Brakar verken selger eller videreformidler på annen måte personlig informasjon om deg til tredjeparter i andre tilfeller enn de som er beskrevet i denne erklæringen.
3. AUTOMATISK REGISTRERING AV BRUKERINFORMASJON VED BESØK AV VÅR NETTSIDE
Som mange andre nettsteder benytter Brakar informasjonskapsler («cookies») og liknende teknologier på våre nettsider dersom du har godtatt dette i nettleseren din. Informasjonskapsler er små tekstfiler som lagres av nettleseren på datamaskinen din. Visse typer informasjon om deg som bruker, blir som følge av dette registrert og lagret automatisk når du besøker vår hjemmeside. Typiske opplysninger som lagres, er hvilken nettleser og hvilket operativsystem du benytter, samt hvilket domene eller hvilken IP-adresse du er tilknyttet. Disse dataene blir kun benyttet til å registrere og analysere «trafikkmønsteret» på våre nettsider og til å skaffe oss en oversikt over våre kunders bruksmønster. Informasjonen brukes til utvikling og analyse av våre tjenester.
4. BRAKARS BEHANDLING AV PERSONOPPLYSNINGER FOR SKOLESKYSS
4.1 Hvilke personopplysninger behandler vi i forbindelse med skoleskyss
På vegne av Buskerud Fylkeskommune tilbyr Brakar skoleskyss til elever ved grunnskole og videregående skole som har krav på dette i henhold til opplæringsloven kapittel 7.
For at Brakar skal kunne administrere og organisere skoleskyssen på en tilfredsstillende måte har Brakar behov for å registrere enkelte personopplysninger om skoleskysselevene.
Personopplysninger om elevene overføres til Brakar fra de lokale skolekontorene, eventuelt direkte fra den enkelte skoleelev eller vedkommende elevs foresatte. Personopplysningene vi behandler i forbindelse med skoleskyss er:
- navn
- personnummer
- adresse
- postnummer
- poststed
- telefonnummer
- skoletilhørighet
- kontaktinformasjon til foresatte (kun dersom det er nødvendig å kontakte de foresatte for å administrere skoleskyssen for den aktuelle eleven)
- helseopplysninger om eleven (kun ved spesialskyss)
Dersom det er snakk om spesialskyss (spesialtilpasset skyss i taxi pga. manglende kollektivtilbud eller av rett på skoleskyss av helsemessige årsaker) kan Brakar som nevnt ha behov for å registrere opplysninger om elevens helsemessige forhold. Dette gjelder opplysninger som dokumenterer elevens behov for spesialskyss og varigheten av dette behovet. Det vil typisk være opplysninger om diagnose og/eller behov for hjelpemidler. Opplysningene fremkommer av legeerklæringer som eleven/foresatte oversender til Brakar selv, eller som Brakar mottar fra skolekontoret.
I tillegg til det ovennevnte, registrerer Brakar reiseopplysninger i forbindelse med skoleskyssordningen. Dette er eksempelvis informasjon om:
- hvilken sone og holdeplass eleven startet reisen i (ved busstransport)*
- når reisekortet ble avlest (ved busstransport)
- reisekortnummer (ved busstransport)
- evt. tid og sted for henting (kun ved taxitransport)
4.2 Behandlingsansvarlig og rettslig grunnlag for behandlingen
Personopplysninger som behandles i forbindelse med skoleskyss i grunnskolen får Brakar overført fra de lokale skolekontorene i Buskerud. Myndigheten til å fatte vedtak om skoleskyss etter opplæringsloven er delegert fra Buskerud Fylkeskommune til Brakar AS. I henhold til bransjenormen for e-billettering, legges det opp til at Fylkeskommunen og administrasjonsselskapet inngår en databehandleravtale, som regulerer hvordan Brakar skal behandles personopplysninger i denne sammenheng.
Behandlingen av personopplysninger i forbindelse med skoleskyss er nødvendig for at fylkeskommunen skal kunne oppfylle en rettslig forpliktelse, jf. personopplysningsloven § 8 bokstav b. Opplysninger om helsemessige forhold regnes som sensitive personopplysninger etter personopplysningsloven § 2 nr. 8. Det rettslige grunnlaget for å behandle disse opplysningene er opplæringsloven § 7-3, jf. personopplysningsloven § 9 bokstav b.
4.3 Formålet med behandlingen
Det overordnede formålet med behandling av personopplysninger i forbindelse med skoleskyss er utøvelse av offentlig myndighet pålagt etter opplæringsloven. Brakar benytter skoleelevens personopplysninger til:
- Å fatte vedtak vedr. rett til skoleskyss, herunder å vurdere avstandsmåling mellom hjem og skole, hvorvidt eleven har farlig skolevei eller helsemessige behov for skyss
- Å fastsette det praktiske transportbehovet for hver enkelt elev (tilpasning for bruk av rullestol mv.)
- Kontakte eleven eller elevens foresatte ved behov ifbm. planlegging og administrasjon av den konkrete transporten
Innhenting av sensitive personopplysninger om helseforhold er nødvendig for at Brakar skal kunne vurdere om eleven har rett til skyss av medisinske årsaker, og om skoleskysseleven har særskilte behov i forbindelse med transporten (tilpasning for rullestol el.) m.m., jf. opplæringsloven § 7-3.
4.4 Bruk av databehandlere i forbindelse med skoleskyss
For at skoleskyssordningen skal kunne avvikles på en effektiv og hensiktsmessig måte, har Brakar i enkelte tilfeller behov for å dele skoleelevens personopplysninger med våre samarbeidspartnere. Disse regnes som såkalte databehandlere i henhold til personopplysningsloven § 2 nr. 5. Dette gjelder primært transportører som, på vegne av Brakar, står for den faktiske gjennomføringen av skoleskyss, samt leverandører av skoleadministrative IT-systemer som benyttes i forbindelse med skoleskyss.
Til transportørene kan det være nødvendig å oppgi elevens navn, adresse, klassetrinn, samt eventuelle spesielle opplysninger om særskilte behov som har betydning for gjennomføringen av transporten. Dette kan for eksempel være opplysninger om bruk av rullestol. Opplysninger om diagnose som fremkommer av legeerklæringer Brakar mottar, blir aldri videreformidlet til transportørene.
Brakar har inngått databehandleravtaler med de transportselskapene vi benytter oss av. Dette innebærer at Brakar forsikrer seg om at transportørene som benyttes i skoleskyssordningen kun behandler personopplysninger slik det er avtalt med Brakar, og at opplysningene blir forsvarlig håndtert.
4.5 Brakars administrasjon av personopplysninger i forbindelse med skoleskyss
Alle personopplysninger Brakar behandler i forbindelse med skoleskyss oppbevares og administreres konfidensielt. Tilgangen til personopplysningene er begrenset, og de behandles kun i forbindelse med vedtak og administrasjon av skoleskyss. Personopplysningene lagres på egne, sikrede systemer og det er kun et begrenset antall ansatte hos Brakar som har adgang til disse personopplysningene.
Personopplysningene blir ikke utlevert til andre, med mindre Brakar er pålagt dette av offentlige myndigheter. Enkelte anonymiserte data kan imidlertid bli rapportert til Buskerud fylkeskommune som har det overordnede ansvaret for skoleskyssordningen iht. opplæringsloven.
Personopplysningene lagres så lenge skoleeleven er elev i våre systemer og har krav på skoleskyss. På grunn av den nevnte rapporteringsplikten til fylkeskommunen lagres opplysningene inntil ett år etter at retten til skoleskyss opphører.