Personvernerklæring for AtBs chatbot

1. Innledning

1.1. Om virksomheten

AtB AS (heretter «AtB») er et mobilitetsselskap i Trøndelag fylke, og har ansvaret for å planlegge, organisere, kjøpe og markedsføre kollektivtjenester. AtB er registrert som et aksjeselskap hvor 100% av aksjene eies av Trøndelag Fylkeskommune.

1.2. Om erklæringen

Denne personvernerklæringen forklarer hvordan AtB samler inn og håndterer personopplysninger om sine kunder og/eller brukere av kollektivtrafikktilbudet i forbindelse med AtBs Chatbot. Med personopplysninger menes enhver opplysning om en identifisert eller identifiserbar fysisk person, jf. personvernforordningen artikkel 4.

Erklæringen inneholder informasjon AtBs brukere har krav på etter personvernforordningens artikkel 12-14, og generell informasjon om hvordan AtB behandler personopplysninger. I tillegg inneholder erklæringen blant annet opplysninger om hvordan besøkende kan utøve sine rettigheter etter personvernforordningen artikkel 15-17.

1.3. Behandlingsansvarlig

AtB, ved administrerende direktør, har det overordnede ansvaret for behandling av personopplysninger, og er såkalt behandlingsansvarlig. Som behandlingsansvarlig skal AtB påse at personopplysninger behandles i samsvar med de til enhver tid gjeldende kravene til behandling av personopplysninger, herunder bl.a. EU forordning 2016/679 av 27.april 2016 om vern av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger som er implementert i Norge ved lov av 15. juni 2018 nr. 38 om behandling av personopplysninger (personopplysningsloven) med tilhørende forskrifter.

1.4. Kontaktinfo

Ved generelle spørsmål til AtB kan henvendelse rettes:

Ved konkrete spørsmål knyttet til AtB behandling av dine personopplysninger, kan henvendelse rettes til:

  • E-post: personvernombud@atb.no
  • Postadresse: AtB AS v/personvernombud, Prinsens gate 39, 7012 Trondheim
  • Telefon: +47 478 02 820 (be om å bli satt over til personvernombud).

2. Om behandlingen

2.1. Opplysningene

Bruk av AtBs chatbot forutsetter ingen innsamling av personopplysninger. Det vil si at det er fullt mulig å bruke tjenesten anonymt. Det kan likevel forekomme at brukere oppgir personopplysninger i samtale med AtB, og disse personopplysningene vil behandles i tråd med innholdet i denne erklæringen.

I og med at det er opp til deg som bruker hvilke opplysninger som oppgis i AtB Chat, er det krevende å oppgi en kategorisk liste over hvilke opplysninger som er gjenstand for behandling. Hovedsakelig kan disse opplysningene være:

  • Kontaktinformasjon:
    • Navn
    • E-postadresse
    • Mobilnummer
  • Reisehistorikk
  • Helseopplysninger

Opplysninger gitt i sammenheng med korrespondanse mellom bruker og AtB Chat, skal kun brukes til å svare på henvendelser. Avhengig av henvendelsens karakter kan opplysningene også videresendes til riktig seksjon i internt i AtB, eller til aktuelle operatører som kjører i henhold til kontrakt for AtB.

Når du bruker AtB Chat kan vi hente inn enhetsinformasjon som enhetstype, operativsystem og applikasjonsversjon. Det vil i tillegg være mulig å se hvilken side på atb.no du er inne på. Denne informasjonen brukes for å kunne tilby optimaliserte applikasjoner, tjenester og kundeservice til deg. Vær oppmerksom på at vi også kan samle inn og behandle data relatert til bruk av vår programvare og tjenester.

2.2. Formålet med behandlingen

Hovedformålet med lagring av personinformasjon i AtBs chatbot er å optimalisere funksjonalitet og tjenester for å kunne tilby best mulig kundeservice til deg i forbindelse med kollektivtransporttjenester. I tillegg ønsker AtB å tilrettelegge for en effektiv brukeroppfølging, og AtBs chatbot vil derfor fungere som et alternativ til tradisjonelle kontaktpunkt.

Opplysninger som brukes til statistikk vil være emnetagger om hvilket emne henvendelsen gjelder. Eksempler på hva statistikken gir svar på er antall henvendelser via AtBs chatbot angående kategoriene ruteopplysning, billettering, klager på ruter og lignende.

2.3. Behandlingsgrunnlag

Lovlig behandling av personopplysninger forutsetter at AtB har et behandlingsgrunnlag. Ved å bruke  AtBs chatbot avgir du frivillig opplysninger om deg selv og samtykker til behandling av personopplysninger for overnevnte formål, jf. personvernforordningens artikkel 6 nr. 1 bokstav a. Du, som registrert, har til enhver tid rett til å trekke tilbake ditt samtykke.

Behandling for statistiske formål er forankret i personvernforordningen artikkel 6 nr. 1 bokstav e og personopplysningsloven § 8, fordi den er nødvendig for statistiske formål i allmennhetens interesse.

2.4. Lagring

Personopplysninger om deg vil ikke lagres lenger enn nødvendig for å oppnå det kommunikasjonsformålet appen brukes til. Chathistorikken mellom deg og AtB slettes etter 90 dager, og informasjon som videreføres for statistikkformål er anonymisert i form av emneknagg-kategorier. Disse opplysningene lagres på serversenter hos underleverandør, Kindly AS, og oppbevares i henhold til enhver tid gjeldende lovgivning.

3. AtBs forhold til andre virksomheter

3.1. AtBs databehandlere

Som Databehandler regnes underleverandører som behandler personopplysninger på vegne av AtB, jf. personvernforordningen art. 4 nr. 8. AtB bruker kun databehandlere som gir tilstrekkelige garantier for at de vil gjennomføre egnede tekniske og organisatoriske tiltak som sikrer at behandlingen oppfyller kravene i personvernforordningen. For å sikre at opplysninger ikke brukes til annet formål enn å yte den tjenesten som er avtalt med AtB, inngås databehandleravtale mellom AtB og underleverandører før overføring av personopplysninger skjer. AtB benytter seg kun av databehandlere som er lokalisert i Norge, EU/EØS-land eller land som har tilfredsstillende personvernlovgivning.

For alle tjenester og produkter tilknyttet AtBs chatbot benytter AtB følgende underleverandør:

Kindly AS

Trondheimsveien 2, bygg N

0560 Oslo

Org.nr.: 919898305

3.2. Overføring til tredjeparter

I enkelte tilfeller kan AtB utlevere personopplysninger til politiet eller til andre offentlige myndigheter. Dette forutsetter imidlertid at det foreligger særskilt lovhjemmel eller pålegg fra domstolene.

AtB verken selger eller videreformidler på annen måte personlig informasjon om deg til tredjeparter i andre tilfeller enn de som er beskrevet i denne erklæringen eller som følger av lov. Dette inkluderer også informasjon oppgitt under frivillig registrering.

4. Dine rettigheter

4.1. Rett til innsyn, retting og sletting

Du, som registrert, har rett til innsyn i personopplysninger som er lagret om deg og kan kreve retting av feilaktige eller ufullstendige opplysninger om deg selv, samt begjære opplysninger om deg selv slettet. Dersom du vil begjære innsyn i, eller retting/sletting av personopplysninger AtB behandler om deg, må dette gjøres skriftlig til AtBs kundesenter. Kontaktinformasjon finnes under kapittel 1.4 i denne erklæringen.

Dersom du har konkrete spørsmål knyttet til AtB behandling av dine personopplysninger, og du ikke finner svar på disse i denne personvernerklæringen kan du kontakte AtBs personvern. Kontaktinformasjon finnes under kapittel 1.4 i denne erklæringen.

AtB vil svare på din henvendelse så fort som mulig, og senest innen 30 dager. I enkelte tilfeller kan du bes om å bekrefte identiteten din, hovedsakelig ved å oppgi ytterligere informasjon. Dette for å sikre at du er faktisk eier av opplysningene.

4.2. Øvrige rettigheter

4.2.1. Rett til å protestere

Du har til enhver tid, av grunner knyttet til din situasjon, rett til å protestere mot behandling av personopplysninger om deg. Behandlingen må ha grunnlag i personvernforordningen artikkel 6 nr. 1 bokstav e) eller f), herunder profilering med grunnlag i nevnte bestemmelser.

Med mindre AtB kan påvise at det foreligger tvingende berettigede grunner for behandlingen som går foran dine interesser, rettigheter og friheter, eller for å fastsette, gjøre gjeldende eller forsvare rettskrav, kan ikke AtB lenger behandle personopplysninger om deg.

Dersom du ønsker å protestere mot behandlingen, må dette gjøres skriftlig til AtBs kundesenter. Kontaktinformasjon finnes under kapittel 1.4 i denne erklæringen.

4.2.2. Rett til dataportabilitet

Du har også rett til dataportabilitet, dvs. rett til å ta med deg dine personopplysninger fra en AtB til en annen virksomhet. Personopplysningene skal du motta i et strukturert, alminnelig anvendt og maskinleselig format. Dette forutsetter at behandlingen er basert på samtykke i henhold til personvernforordningen artikkel 6 nr. 1 bokstav a, artikkel 9 nr. 2 bokstav a eller en avtale i henhold til artikkel 6 nr. 1 bokstav b. Behandlingen utføres automatisk, og kan på anmodning fra deg overføres direkte fra AtB til en annen behandlingsansvarlig.

Dersom du ønsker dataportabilitet, må henvendelsen rettes skriftlig til AtBs kundesenter.

4.2.3. Klage til datatilsynet

Dersom du mener at vår behandling av personopplysninger ikke stemmer med det vi har beskrevet i denne erklæringen eller at vi på andre måter bryter personvernlovgivningen, ber vi om at du tar kontakt med AtBs kundesenter. Kontaktinformasjon finnes under kapittel 1.4 i denne erklæringen. Du kan også klage til Datatilsynet. Du finner informasjon om hvordan kontakte Datatilsynet på Datatilsynets nettsider: www.datatilsynet.no.

5. Automatisk individuelle avgjørelser

Som mange andre nettsteder benytter AtB på våre nettsider informasjonskapsler («cookies») og liknende teknologi. Visse typer informasjon om deg som bruker, blir som følge av dette registrert og lagret automatisk når du besøker vår hjemmeside. Denne dataen blir brukt til å registrere og analysere «trafikkmønsteret» på våre nettsider. Informasjonen brukes til å identifisere hvordan besøkende navigerer på sidene, hvor lenge de bruker en side, samt hvilke tjenester de benytter.

Typiske opplysninger som registreres, er hvilken nettleser og hvilket operativsystem du benytter, samt hvilket domene eller IP-adresse du er tilknyttet. Disse opplysningene brukes til å generere statistikk over besøkendes bruk av siden, og slettes kontinuerlig. All Brukerinformasjon av denne typen er anonym. AtB lagrer ikke informasjon som kan avsløre brukeres identitet.

For å lese mer om dette kan du gå inn på våre nettsider om Personvern og informasjonskapsler.

6. Behandling for nye formål

AtB har som hovedregel ikke lov å bruke personopplysninger til nye formål som er uforenlige med det opprinnelige formålet. Det er imidlertid tillatt å behandle personopplysninger til nye, forenlige formål. I disse tilfellene oppstår det en egen informasjonsplikt.

Dersom personopplysningene skal behandles for et annet formål enn de ble samlet inn for skal AtB informere deg om det nye formålet i rimelig tid før den nye behandlingen begynner. Dette sikrer at du er informert og har muligheten til å utøve dine rettigheter før endringene inntrer. AtB må også gi deg relevant informasjon om den nye behandlingen, dine rettigheter og om automatiserte individuelle avgjørelser.

7. Sikkerhet

AtB følger kravene til informasjonssikkerhet i personopplysningsforskriften kapittel 2. Tilgangen til chathistorikk er derfor begrenset All kommunikasjon mellom løsningen og applikasjonene som kjøres hos AtB er kryptert. All dataoverføring internt mellom ulike komponenter i systemet foregår kryptert. Tilgang til å hente ut data kan kun skje via API som er kryptert. Tilgang til data via AtB grensesnitt er rollestyrt og personlig med hendelseslogging for sporbarhet. Administrasjonsgrensesnittet for løsningen er utformet med ulike tilgangsnivå slik at kun personer som behøver tilgang hos AtB eller Kindly AS. vil få adgang til den mengden informasjon som er relevant for deres behov. Alle serverløsninger er lokalisert i Norge og underlagt norske lover.

8. Endringer

Denne personvernerklæringen ble sist oppdatert 12.03.2020. AtB forbeholdes retten til å foreta endringer og oppfordrer deg til å gjøre deg kjent med innholdet i erklæringen med jevne mellomrom. Ved vesentlige endringer vil det gis særskilt beskjed. Oppdatert versjon av denne erklæringen vil alltid finnes på AtBs nettsider.