← Tilbake til forsiden

Personvernerklæring – Routr

Routr AS · Org.nr: 937 757 980

Versjon 1.0 · Sist oppdatert:

1. Behandlingsansvarlig

Routr AS er behandlingsansvarlig for de personopplysninger som behandles i tilknytning til tjenesten Routr, jf. GDPR artikkel 4 nr. 7.

Kontaktinformasjon

  • Foretaksnavn: Routr AS
  • Organisasjonsnummer: 937 757 980
  • E-postadresse: personvern@routr.no

2. Tjenestens karakter og formål

Routr er en digital informasjonstjeneste som leverer veiledende, ikke-autoritativ trafikkrelatert informasjon til brukere i Norge. Tjenesten baserer seg på en kombinasjon av brukerinnrapporterte data, tredjepartsdata fra offentlige kilder og maskinlæringsalgoritmer.

Tjenesten er ikke å anse som en sikkerhetskritisk løsning. Informasjon som formidles via tjenesten skal ikke benyttes som grunnlag for beslutninger i trafikken. All kjøring og vurdering av trafikksituasjoner skjer utelukkende på brukerens eget ansvar. Gjeldende trafikkregler, offentlig skilting og lovverk har alltid forrang.

3. Personopplysninger vi behandler

Vi behandler følgende kategorier av personopplysninger, jf. GDPR artikkel 4 nr. 1.

3.1 Kontoinformasjon

  • Navn
  • E-postadresse
  • Passord (lagres utelukkende i kryptert, hashet form ved bruk av industristandard – aldri i klartekst)
  • Abonnementsstatus og betalingshistorikk (betalingsinformasjon behandles av tredjepart, jf. punkt 6)
  • Informasjon om aktive abonnement og kjøpshistorikk mottatt fra Apple App Store eller Google Play (vi har ikke tilgang til betalingskort eller betalingsdetaljer)

3.2 Lokasjonsdata

  • Lokasjonsdata behandles kun når appen er i aktiv bruk, med mindre bruker eksplisitt har gitt samtykke til utvidet bruk.
  • Posisjonsdata knyttet til brukerinnrapporterte hendelser.

Lokasjonsdata anses som særlig sensitive i praksis da de kan avdekke bevegelsesmønstre og oppholdssted. Behandlingen er begrenset til det som er strengt nødvendig for tjenestens funksjonalitet.

3.3 Brukerinnrapportert innhold

  • Type hendelse som rapporteres
  • Lokasjon for hendelsen
  • Tidspunkt for rapportering
  • Tilknytning til brukerkonto (for misbruksforebygging og pålitelighetsanalyse)

3.4 Teknisk informasjon

  • Enhetstype og operativsystem
  • App-versjon og plattform (iOS/Android)
  • IP-adresse (kan være personopplysning, jf. EU-domstolens praksis, C-582/14)
  • Tidspunkt for bruk og hendelseslogger
  • App-generert enhetsidentifikator (for flerdriftsstøtte og prøveperiode-håndtering)

3.5 Push-varsel-tokens

Dersom du tillater push-varsler, lagres en enhetstoken for å kunne sende varsler til din enhet. Tokenet knyttes til din brukerkonto og din enhetsidentifikator. Push-varsel-tokens oppdateres automatisk og fjernes ved kontosletting. Bruker kan når som helst deaktivere push-varsler i enhetens innstillinger.

3.6 Lokal lagring på enheten

Appen lagrer følgende data lokalt på din enhet for å gi raskere oppstart og bedre brukeropplevelse:

  • Innstillinger (varselpreferanser, visningsvalg)
  • Autentiseringstilstand (for automatisk innlogging)
  • Midlertidige cacher for kart og rapporter
  • Enhetsidentifikator for prøveperiode-håndtering (lagres i enhetens sikre lagring)

Lokal data fjernes ved avinstallering av appen, med unntak av data i enhetens sikre lagring som kan overleve reinstallering. Du kan slette lokal cache via appens innstillinger.

3.7 Sanntidsbehandling

Tjenesten benytter sanntidsbehandling av data for å levere oppdatert trafikkinformasjon. Slik midlertidig behandling lagres ikke permanent med mindre det er nødvendig for tjenestens formål.

Vi behandler ikke særlige kategorier av personopplysninger (sensitive opplysninger) som definert i GDPR artikkel 9, med mindre bruker selv inkluderer slik informasjon i rapporter. Slike opplysninger vil i tilfelle slettes så snart de oppdages.

4. Formål og behandlingsgrunnlag

All behandling av personopplysninger skjer på ett eller flere av følgende rettslige grunnlag, jf. GDPR artikkel 6.

4.1 Oppfyllelse av avtale (art. 6 nr. 1 bokstav b)

Behandling av kontoinformasjon og nødvendige tekniske data for å levere tjenesten i henhold til brukervilkårene.

4.2 Samtykke (art. 6 nr. 1 bokstav a)

Behandling av lokasjonsdata og valgfri anonym bruksstatistikk. Samtykke innhentes separat, aktivt og informert – ikke som del av aksept av brukervilkår.

Samtykke kan til enhver tid trekkes tilbake uten at dette påvirker lovligheten av behandling som fant sted før tilbaketrekkingen, jf. GDPR artikkel 7 nr. 3.

4.3 Berettiget interesse (art. 6 nr. 1 bokstav f)

Forebygging og avdekking av misbruk, teknisk sikkerhet, feilsøking og forbedring av tjenestens kvalitet.

Interesseavveiningen er dokumentert internt og konkluderer med at disse formålene ikke overstyrer brukerens personverninteresser, gitt at behandlingen er begrenset og relevant.

4.4 Rettslig forpliktelse (art. 6 nr. 1 bokstav c)

Behandling som er nødvendig for å oppfylle lovpålagte forpliktelser, herunder regnskapslovgivning og eventuelle krav fra offentlige myndigheter.

5. Lagring og sletting

Personopplysninger lagres ikke lenger enn det som er nødvendig for formålet, jf. GDPR artikkel 5 nr. 1 bokstav e (lagringsbegrensning).

  • Kontoinformasjon lagres så lenge kontoen er aktiv, og slettes innen 30 dager etter at bruker har bedt om sletting eller kontoen er avsluttet
  • Lokasjonsdata ikke knyttet til rapporter slettes automatisk innen 5 dager
  • Brukerinnrapporterte hendelser lagres så lenge de er relevante for tjenestens funksjonalitet og anonymiseres senest 12 måneder etter rapportering med mindre konkrete grunner tilsier lengre lagring
  • Tekniske logger og IP-adresser slettes eller anonymiseres senest 90 dager etter innsamling
  • Betalingsopplysninger behandles av tredjeparts betalingsleverandører, herunder App Store og Google Play. Routr AS har ikke tilgang til eller lagrer betalingsinformasjon knyttet til kort eller betalingsmiddel. Opplysninger om kjøp/abonnement kan lagres i den grad det er nødvendig for å administrere tilgang til tjenesten og oppfylle rettslige forpliktelser
  • Midlertidige sanntidsdata lagres ikke permanent

Routr AS forbeholder seg retten til å anonymisere eller aggregere data. Anonymiserte data faller utenfor GDPR og kan lagres og brukes uten tidsbegrensning.

6. Deling av personopplysninger med tredjeparter

Routr AS selger ikke personopplysninger. Vi deler kun opplysninger med tredjeparter der det er nødvendig for å levere tjenesten, eller der vi er rettslig forpliktet til det.

6.1 Databehandlere

Vi benytter følgende tredjepartstjenester som behandler personopplysninger på instruks fra Routr AS, alle underlagt skriftlig databehandleravtale (DPA) i samsvar med GDPR artikkel 28:

  • Apple Inc. (USA) – betalingsprosessering og push-varsler til iOS
  • Vercel Inc. (USA) – hosting av offentlig nettside og autentiseringsdata (innlogging). Vercel Postgres benyttes for lagring av brukerkontoer og innloggingsinformasjon. Data kan behandles utenfor EU/EØS under Standard Contractual Clauses (SCC)
  • Hetzner Online GmbH (Tyskland/Nederland) – serverhosting og infrastruktur for backend, samt lagring av brukerdata, rapporter og lokasjonshistorikk. Data lagres innenfor EU/EØS
  • Sentry (EU-hostet) – for feilsporing og krasjrapporter som hjelper oss å forbedre appens stabilitet. Sentry mottar kun anonymiserte stack traces og enhetsinformasjon (operativsystem og appversjon). E-post, IP-adresse, brukernavn, GPS-posisjon og andre personopplysninger fjernes automatisk før data sendes

Routr AS har inngått databehandleravtaler (DPA) med relevante leverandører i samsvar med GDPR artikkel 28.

6.2 Selvstendige tredjeparter

Følgende tredjeparter er selvstendige behandlingsansvarlige og behandler brukerdata på egne vilkår – ikke på instruks fra Routr AS:

  • Mapbox Inc. (USA) – kartvisning og ruteberegning. Ved bruk av kart- og rutefunksjoner kontakter appen Mapbox direkte. Mapbox er selvstendig behandlingsansvarlig for disse dataene. Se Mapbox sin personvernerklæring på mapbox.com/legal/privacy.

6.3 Overføring utenfor EU/EØS

Tredjeparter som behandler data utenfor EU/EØS gjør dette under Standard Contractual Clauses (SCC) og/eller EU-U.S. Data Privacy Framework, jf. GDPR kapittel V.

6.4 Offentlige myndigheter

Vi utleverer opplysninger til offentlige myndigheter dersom vi er rettslig forpliktet til det. Vi varsler berørte brukere så vidt mulig, med mindre dette er forbudt ved lov.

7. Informasjonssikkerhet

Routr AS har implementert tekniske og organisatoriske sikkerhetstiltak i samsvar med GDPR artikkel 32, herunder:

  • Kryptering av data under overføring (TLS/HTTPS)
  • Kryptering av data i ro (databasekryptering)
  • Passord lagres utelukkende i sikker hashet form (f.eks. bcrypt eller Argon2)
  • Tilgangskontroll basert på minste privilegiums prinsipp
  • Kun ansatte med tjenstlig behov har tilgang til personopplysninger
  • Regelmessig sikkerhetsgjennomgang og oppdatering av systemer
  • Hendelseslogging uten lagring av sensitive personopplysninger
  • Beredskapsplan for databrudd (incident response plan)

Til tross for omfattende sikkerhetstiltak kan ingen systemer garanteres å være fullstendig sikre.

Dersom det oppstår et personvernbrudd som sannsynligvis vil medføre risiko for fysiske personers rettigheter og friheter, vil Routr AS varsle Datatilsynet innen 72 timer, jf. GDPR artikkel 33.

Berørte registrerte vil varsles uten ugrunnet opphold der bruddet anses å medføre høy risiko, jf. GDPR artikkel 34.

8. Dine rettigheter som registrert

Som registrert har du følgende rettigheter etter GDPR kapittel III. Henvendelser rettes til personvern@routr.no og besvares uten ugrunnet opphold og senest innen 30 dager, jf. GDPR artikkel 12.

Du kan eksportere dine personopplysninger i strukturert format ved å kontakte personvern@routr.no.

8.1 Rett til innsyn (art. 15)

Du har rett til å få bekreftet om vi behandler opplysninger om deg, og i tilfelle få utlevert en kopi av disse, samt informasjon om behandlingens formål, grunnlag, mottakere og lagringstid.

8.2 Rett til retting (art. 16)

Du har rett til å få uriktige eller ufullstendige opplysninger rettet uten ugrunnet opphold.

8.3 Rett til sletting ("retten til å bli glemt") (art. 17)

Du kan kreve at opplysninger om deg slettes i følgende tilfeller:

  • Opplysningene er ikke lenger nødvendige for formålet
  • Du trekker tilbake samtykke og det ikke finnes annet grunnlag
  • Du protesterer mot behandling basert på berettiget interesse og det ikke finnes tungtveiende grunner som overstyrer
  • Behandlingen er ulovlig

Sletting kan avslås der behandlingen er nødvendig for å oppfylle en rettslig forpliktelse eller for å reise, utøve eller forsvare rettskrav.

8.4 Rett til begrensning av behandling (art. 18)

Under visse omstendigheter kan du kreve at behandlingen begrenses, for eksempel mens riktigheten av opplysningene betviles.

8.5 Rett til dataportabilitet (art. 20)

Der behandling skjer på grunnlag av samtykke eller avtale og ved hjelp av automatiserte midler, har du rett til å motta dine opplysninger i et strukturert, alminnelig anvendt og maskinlesbart format, og til å overføre disse til en annen behandlingsansvarlig.

8.6 Rett til å protestere (art. 21)

Du kan protestere mot behandling basert på berettiget interesse (art. 6 nr. 1 f). Vi vil da stanse behandlingen med mindre vi kan påvise tvingende berettigede grunner som veier tyngre enn dine interesser.

8.7 Rett til å klage

Du har rett til å klage til Datatilsynet dersom du mener behandlingen av dine personopplysninger er i strid med gjeldende personvernlovgivning.

Datatilsynet kan kontaktes på:

  • Nettside: www.datatilsynet.no
  • E-post: postkasse@datatilsynet.no

9. Automatiserte avgjørelser og profilering

Routr AS benytter algoritmer og maskinlæring for å beregne sannsynlighet for trafikkhendelser basert på historiske data.

Dette utgjør ikke automatiserte avgjørelser som har rettslig eller tilsvarende betydelig virkning for den enkelte bruker, jf. GDPR artikkel 22.

Dersom dette endres, vil brukere varsles og gis relevante rettigheter etter GDPR artikkel 22 nr. 2 og 3.

10. Barns personvern og aldersgrense

Routr er en trafikktjeneste rettet mot personer med gyldig norsk eller utenlandsk førerkort, og er ikke tilgjengelig for personer under 16 år.

Tjenesten er ikke rettet mot barn, og vi samler ikke bevisst inn personopplysninger fra personer under 16 år.

Dersom vi blir kjent med at en person under 16 år har opprettet konto, vil kontoen og tilhørende personopplysninger slettes umiddelbart.

Foresatte som oppdager at et barn har registrert seg, oppfordres til å kontakte oss på personvern@routr.no.

For øvrig gjelder at personer mellom 16 og 18 år som benytter tjenesten, er underlagt samme vilkår og personvernerklæring som øvrige brukere.

11. Sletting av konto

Du kan når som helst be om sletting av kontoen din. Kontosletting kan gjøres direkte i appen under Innstillinger → Konto → Slett konto, eller ved å sende en henvendelse til personvern@routr.no.

Når du ber om sletting av konto:

  • Alle personopplysninger slettes innen 30 dager, inkludert profil, lokasjonshistorikk, innstillinger og enhetsdata
  • Betalingsopplysninger oppbevares likevel i henhold til bokføringsloven § 13 i inntil 5 år
  • Brukerinnrapporterte hendelser anonymiseres – innholdet kan beholdes for fellesskapets sikkerhet, men knyttes ikke lenger til deg
  • Push-varsel-tokens og enhetsidentifikatorer slettes umiddelbart

Slettingen er irreversibel. Dersom du ønsker å benytte tjenesten igjen etter sletting, må ny konto opprettes.

12. Endringer i personvernerklæringen

Routr AS kan oppdatere denne personvernerklæringen. Vesentlige endringer vil varsles til registrerte brukere via e-post eller tydelig melding i appen, med rimelig frist – minimum 30 dager – før endringene trer i kraft.

Fortsatt bruk av tjenesten etter at varslingsfristen er utløpt anses som aksept av oppdaterte vilkår.

Brukere som ikke aksepterer vesentlige endringer har rett til å avslutte abonnementet uten kostnader ut over inneværende betalingsperiode.

Dersom endringene påvirker hvordan personopplysninger behandles vesentlig, vil det innhentes nytt samtykke der dette er påkrevd etter gjeldende regelverk.

Tidligere versjoner av erklæringen vil på forespørsel gjøres tilgjengelig.

13. Kontakt og henvendelser

For spørsmål, innsyn, klager eller andre henvendelser knyttet til behandling av personopplysninger:

  • E-post: personvern@routr.no

Vi besvarer alle henvendelser innen 30 dager. Ved komplekse forespørsler kan fristen forlenges med inntil to måneder, jf. GDPR artikkel 12 nr. 3.

Du vil i tilfelle varsles om forlengelsen og årsaken til denne.

Vi forbeholder oss retten til å be om identifikasjon dersom henvendelsen gjelder innsyn i personopplysninger, for å sikre at opplysninger ikke utleveres til uvedkommende.

Routr AS | personvern@routr.no | Versjon 1.0 | Dette dokumentet er utarbeidet med referanse til GDPR (EU) 2016/679, personopplysningsloven (2018), ekomloven og øvrig gjeldende personvernlovgivning.