Hantering av personuppgifter
1 Inledning
Vi vill att du ska känna dig trygg med hur vi hanterar dina personuppgifter. I denna policy förklarar vi hur vi gör detta på ett säkert och lagligt sätt.
2 Ansvar för dina personuppgifter
AB Östgötatrafiken, Box 1550, 581 15 Linköping, org. nr. 556038–8950, är Personuppgiftsansvarig för de personuppgifter som du lämnar till oss eller som vi inhämtar från dig direkt i din kontakt med vår verksamhet. Personuppgifter som inhämtas från annan, till exempel din hemkommun eller Region Östergötland, är kommunen eller Region Östergötland som regel personuppgiftsansvariga för.
AB Östgötatrafiken har utsett ett särskilt dataskyddsombud som har i uppgift att utöva tillsyn och hjälpa Östgötatrafiken att följa gällande dataskyddslagstiftning. All vår behandling av personuppgifter sker enligt gällande dataskyddslagstiftning.
Kontakta vårt dataskyddsombud om du har synpunkter på vår hantering av personuppgifter enligt dataskyddsförordningen genom att skicka e-post till dpo@ostgotatrafiken.se eller skicka post till AB Östgötatrafiken, Box 1550, 581 15 Linköping
3 Så skyddar vi dina uppgifter
Vi värnar om din integritet och skyddar alltid dina personuppgifter med de tekniska och organisatoriska åtgärder som i varje enskilt fall krävs och säkerställer att behandlingen sker enligt gällande lag.
4 Så får vi dina uppgifter
När du använder dig av Östgötatrafikens tjänster innebär det att du lämnar någon form av information till oss. Till exempel när du köper biljett i appen, registrerar dig på ”Mitt Konto” på ostgotatrafiken.se, beställer färdtjänstresor, ansöker om förseningsersättning, kontaktar vår kundtjänst eller åker med våra fordon.
Ibland händer det också att vi får eller inhämtar personuppgifter från andra källor än dig själv. Det kan till exempel handla om uppgifter från din kommun eller andra offentliga och allmänt tillgängliga källor såsom SPAR och D&B Infotorg. Inhämtandet sker i syfte att användas för kreditupplysningar, trafikinformation, kunderbjudanden eller annan information till nytta för dig som kund.
Exempel på uppgifter som vi hanterar
De personuppgifter vi behandlar i vår verksamhet kan vara bildmaterial, namn, e-postadress, telefonnummer, mobiltelefonnummer, postadress, personnummer, köp- och resehistorik, betalningsinformation och annan information som du lämnat till oss, eller som är nödvändig för att vi ska kunna fullgöra vårt uppdrag och våra åtaganden gentemot dig.
5 Så använder vi dina uppgifter
Vi har rätt att behandla personuppgifter för de ändamål som krävs för fullgörandet av vårt åtagande mot dig, antingen på grund av avtal, rättslig förpliktelse, för att skydda intresse av grundläggande betydelse för dig eller annan fysisk person eller, för att kunna utföra en uppgift av allmänt intresse. Vi kan därför även behöva behandla dina personuppgifter på grund av krav i lag eller förordning.
Undantagsvis kan vi behöva inhämta ditt samtycke för att behandla dina personuppgifter. I de fall du lämnar ditt samtycke får du klar och tydlig information om vad du samtycker till, samt ges möjlighet att själv återkalla ditt samtycke om du så önskar.
5.1 Vi kan använda dina personuppgifter för bland annat följande ändamål
För att ge dig en god service
Oavsett om behandling av dina personuppgifter görs för att fullgöra det avtal ett biljettköp innebär, fullgöra en rättslig förpliktelse eller utföra en uppgift av allmänt intresse, så är vårt syfte att kunna ge dig en god service. Detta innebär till exempel att:
- Vi administrerar och genomför ditt köp av biljett.
- Vi hanterar och administrerar dina frågor till vår kundtjänst.
- Vi administrerar och hanterar beställning och utförande av exempelvis
- färdtjänstresor, sjukresor och andra resor i den anropsstyrda trafiken.
- Vi hanterar ditt konto (”Mitt konto”) på ostgotatrafiken.se.
För att ge dig relevant information och erbjudanden
- Vårt syfte är att lämna korrekt information om vår trafik och våra tjänster. I vissa fall som trafikinformation sker detta i realtid
- Vi skickar nyhetsbrev med information om bland annat kollektivtrafik, trafikförändringar, restips och erbjudanden från oss.
Vi gör analyser så att vi kan ge dig relevanta marknadsföringserbjudanden och information.
För att utveckla kollektivtrafik och anropsstyrd trafik för att skapa en effektivare och mer optimerad trafik
Vi utvecklar kontinuerligt trafiken och våra tjänster kopplade till trafiken i syfte att skapa en bättre, effektivare kollektivtrafik och bättre tjänster för dig som kund. För att göra detta behöver vi genomföra olika marknadsundersökningar.
- Vi för statistik i syfte att utveckla våra tjänster och därigenom göra resandet bättre för så många som möjligt.
- Vi gör frivilliga marknadsundersökningar och enkäter som ger dig möjlighet att påverka våra erbjudanden och tjänster.
För att göra biljettkontroller
Vi inhämtar dina personuppgifter såsom namn, adress och personnummer genom allmänt tillgängliga databaser för kontroll och säkerställande av identitet vid biljettkontroller.
- Vi förhindrar missbruk eller olämplig användning av våra tjänster.
- Vi kontrollerar din biljetts giltighet och skriver vid behov ut en tilläggsavgift.
För din trygghet
Vi och våra trafikföretag genomför kamerabevakning för att tillförsäkra en trygg miljö för dig att vistas i.
- Vi genomför kamerabevakning på våra pendeltåg (Östgötapendeln), spårvagnar, bussar och i vår väntsal.
- Våra biljettkontrollanter och ordningsvakter använder kroppskameror ombord på våra fordon samt på hållplatser och plattformar.
- VR Sverige AB behandlar bildmaterial och använder kundvärdar med kroppsburna kameror i våra pendeltåg (Östgötapendeln).
För överföring av uppgifter
- Vi kan komma att överföra dina uppgifter till Region Östergötland om AB Östgötatrafiken på grund av politiskt beslut får ändrat uppdrag eller ändrad organisation.
- Vid vissa typer av kundärenden kan vi komma att överföra dina personuppgifter till våra trafikföretag för svar på dina frågor.
- Vid beställning av resor inom beställningstrafiken behandlas dina personuppgifter av vår systemleverantör
6 Biljettkontroll och tilläggsavgift
Om du saknar en giltig biljett vid en biljettkontroll måste du betala en tilläggsavgift. I samband med det behöver vi behandla vissa av dina personuppgifter.
Det rör sig om:
- namn
- personnummer
- adress
- rörliga bilder, ljud och stillbilder på dig
- uppgifter om underlag för rabatter, som tex studerandelegitimation
- uppgifter om betalning/utebliven betalning
- uppgifter om eventuella invändningar
De uppgifterna hämtas i första hand direkt från dig vid biljettkontrollen och de verifieras genom kontroll från det offentliga registret SPAR (Statens person- och adressregister). Om du inte lämnar korrekta uppgifter då kan vi i efterhand också inhämta dem från SPAR-registret.
Östgötatrafiken är personuppgiftsansvarig för behandlingen och Avarn Security AB är Östgötatrafikens personuppgiftsbiträde. Det betyder att det är Avarn Security AB som behandlar personuppgifterna på uppdrag av Östgötatrafiken.
För behandling av personuppgifter avseende tilläggsavgifter samarbetar Östgötatrafiken med Visma Amili AB som är Östgötatrafikens personuppgiftsbiträde för administration och betalningshantering.
Syfte och laglig grund för behandlingen
För att Östgötatrafiken ska kunna administrera tilläggsavgifterna, behövs namn, adress, och personnummer på den som fått tilläggsavgiften. Östgötatrafiken får samla in dessa uppgifter eftersom du som reser med Östgötatrafiken ingår ett avtal med Östgötatrafiken där du bl.a. förbinder dig att följa Östgötatrafikens regler när du reser med oss. Det avtalet är den lagliga grunden för att Östgötatrafiken får hantera uppgifterna.
Bild- och ljudmaterialet har en annan laglig grund, intresseavvägning. Stillbilderna behandlas för att Östgötatrafiken ska kunna säkerställa identiteten på den person som ska betala tilläggsavgiften. I vissa fall används film- och ljudupptagning också för att förebygga hotfulla situationer i samband med biljettkontrollen och för att underlätta utredning i efterhand om det har förekommit hotfulla situationer. Då bedöms Östgötatrafikens intresse av att kunna driva in tilläggsavgifterna och upprätthålla tryggheten i Östgötatrafikens trafik för både resenärer och kontrollanter väga tyngre än de registrerades intresse av att inte filmas eller fotograferas.
7 Kamerabevakning
På våra pendeltåg (Östgötapendeln), spårvagnar, bussar och i vår väntsal finns trygghetskameror uppsatta. Laglig grund för kamerabevakningen är såväl allmänhetens som vårt intresse, för att vi ska kunna erbjuda trygga och säkra resor för våra kunder. Ändamålet med kamerabevakningen är således både att öka tryggheten för resenärer och personal, samt att upptäcka och säkra bevis vid skadegörelse eller annan brottslighet. Trygghetskamerorna på våra fordon spelar in löpande medan kamerorna i vår väntsal endast spelar i vid detekterad rörelse. Inga av våra trygghetskameror spelar in ljud.
Inspelat bildmaterial lagras som längst i 14 dagar. Utlämnande av bildmaterial kan komma att ske till Polismyndigheten och andra behöriga utredare efter begäran i samband med brott. Åtkomst till bildmaterialet har endast ett fåtal särskilt behöriga personer.
Vad gäller den kamerabevakning som sker med kroppskameror av kundvärdarna ombord på pendeltågen (Östgötapendeln) är trafikföretaget VR Sverige AB personuppgiftsansvarig. För information om hur VR Sverige AB behandlar dina personuppgifter se vrsverige.com/kameror.
8 Dessa har tillgång till dina uppgifter
Dina personuppgifter behandlas av oss och, i förekommande fall, av våra underleverantörer (personuppgiftsbiträden). Då dina personuppgifter omfattas av sekretess i vår verksamhet lämnar vi inte ut dina personuppgifter till andra bolag om vi inte måste göra detta på grund av lag, förordning eller myndighetsbeslut.
Vi vidarebefordrar, säljer eller byter aldrig dina personuppgifter för marknadsföringsändamål till tredje part. Uppgifter vidarebefordras bara till tredje part (till exempel trafikföretag) om det krävs för att tillhandahålla kollektivtrafiktjänster, biljettförsäljning, annan nödvändig tjänst eller utreda trafikhändelser i ditt intresse.
9 Så länge sparar vi dina uppgifter
Vi sparar dina personuppgifter så länge som det är nödvändigt för verksamheten att bistå dig mot bakgrund av det ändamål du en gång registrerades för. När detta syfte eller ändamål inte längre finns, till exempel om ett avtal inte längre gäller eller ärendet är färdigbehandlat, hanteras dina personuppgifter enligt de lagregler som gäller för arkivering och gallring. Vad gäller bilder från vår och andras kamerabevakning se ovan under avsnitt 7.
10 Dina rättigheter
När dina personuppgifter behandlas av oss har du vissa rättigheter. Eftersom det även finns särskilda regler för hur vi måste hantera allmänna handlingar så påverkas dessa rättigheter på olika sätt, rättigheter är därför inte absoluta. Det här betyder att vi tar emot din ansökan om att utnyttja dina rättigheter och ta ställning till ditt önskemål utifrån gällande dataskyddslagstiftning och annan relevant lagstiftning som till exempel Offentlighets- och sekretesslagen (2009:400).
Vill du begära att få dina uppgifter rättade eller raderade ber vi dig kontakta oss enligt ovan.
Om du har lämnat ditt samtycke till att vi får behandla dina personuppgifter har du också rätt att när som helst återkalla samtycket.
10.1 Rätt till tillgång – Registerutdrag
Du har rätt att kostnadsfritt få information om vi behandlar personuppgifter om dig och vilka uppgifter det gäller. Du kan också få en kopia av dessa uppgifter, ett så kallat registerutdrag.
För att begära ett registerutdrag, kontakta vårt dataskyddsombud och ange ditt personnummer, fullständiga namn och adress. Vi skickar svaret inom 30 dagar till din folkbokföringsadress för att säkerställa att informationen når rätt person.
10.2 Rätt till rättelse
Rätten till rättelse innebär att du som registrerad kan kräva att de uppgifter som behandlas är korrekta och i vissa fall även aktuella. Därmed har du också rätt att få uppgifterna korrigerade eller kompletterade vid behov.
Rätten till rättelse ger den som är registrerad möjligheten att anpassa informationen till den situation som han eller hon befinner sig i, exempelvis vad gäller exempelvis bostadsadress eller telefonnummer.
Men framförallt handlar rätten till rättelse om att korrigera direkta felaktigheter eller komplettera missvisande information.
10.3 Rätt till radering
Under vissa omständigheter har den som är registrerad rätt att få sina personuppgifter raderade. Den rätten är inte absolut utan gäller framför allt om det inte finns någon annan grund för behandlingen än samtycke, eller om grunden var ett avtalsförhållande som har avslutats.
Under vissa omständigheter som till exempel då uppgifterna är nödvändiga för att kunna utöva rätten till yttrande- och informationsfrihetenskild så kan en registrerad inte räkna med att få sina uppgifter raderade.
10.4 Rätt till begränsning
Rätten till begränsning innebär i korthet att du kan begära att användningen av dina personuppgifter begränsas. Begränsningen innebär att vi som personuppgiftsansvarig i vissa särskilda situationer inte kan använda dina personuppgifter även om vi behåller dessa.
10.5 Rätt till dataportabilitet
Rätten till dataportabilitet innebär att du som registrerad, under vissa förutsättningar, har rätt att få dina personuppgifter flyttade till annan part. Rätten till dataportabilitet är främst tänkt för byte till annan teleoperatör eller liknande.
Rätten till dataportabilitet gäller bara om den rättsliga grunden för behandlingen av dina personuppgifter grundar sig på samtycke eller avtal.
10.6 Rätt att göra invändningar
Under vissa förutsättningar har du rätt att invända mot hur dina personuppgifter behandlas. Det innebär att dina personuppgifter inte längre får behandlas om inte vårt behov av att behandla uppgifterna överväger.
Rätten att göra invändningar gäller bara om grunden för behandlingen baseras på en uppgift av allmänt intresse, myndighetsutövning eller annat berättigat intresse.
Om en sådan invändning görs måste den personuppgiftsansvarige göra en särskild intresseavvägning och ta hänsyn till den enskilda personens situation. Det handlar om att ställa den registrerades egen specifika situation mot den personuppgiftsansvarigas intressen. Om man som personuppgiftsansvarig inte lyckas visa att det finns berättigade skäl som väger tyngre så måste man upphöra med behandlingen.
11 Överföring till tredje land
Vi försöker undvika att anlita leverantörer som innebär att personuppgifter behandlas utanför EU/EES, det vill säga tredje land. I de fall behandling av personuppgifter sker i tredje land har vi säkerställt genom avtal att behandlingen sker i enlighet med de skyddsregler som finns i dataskyddslagstiftningen.
12 Förekomsten av automatiserat beslutsfattande
Vi använder oss inte av automatiserat beslutsfattande.
13 Användandet av en betalningslösning
Oavsett om du köper biljett med betalkort eller med Swish så är det företaget som hanterar din betalning som är personuppgiftsansvarig för de personuppgifter som registreras i och med köpet.
Vilka leverantörer av betaltjänster som vi använder oss av framgår av våra köpevillkor som finns att hitta på vår webbplats. För hantering av personuppgifter i samband med köp av annan betaltjänstleverantör, vänligen se aktuell betaltjänstleverantörs hemsida.
14 För dig som vill veta mer
Om du har generella frågor kring hur personuppgifter behandlas är du välkommen att vända dig till vårt dataskyddsombud, dpo@ostgotatrafiken.se
Om du inte är nöjd med hur dina personuppgifter behandlats eller upplever att dina uppgifter blivit felaktigt hanterade har du möjlighet att lämna klagomål hos tillsynsmyndigheten IMY.
Läs mer om behandling av personuppgifter på Integritetsskyddsmyndighetens (IMY) hemsida som du hittar på www.imy.se