Personvernerklæring – Charge & Drive

Fortum Charge & Drive samler kun inn personopplysninger som er nødvendig for å levere brukeren tjenesten på en effektiv og kundevennlig måte. Antall datapunkter samlet ved registrering, er minimert.

Data samles kun inn hvis brukeren bruker en spesifikk funksjon som krever spesiell datainnsamling. Eksempler inkluderer betalingskortdetaljer for å tillate betalinger, adresseinformasjon for å sende ut ladebrikke eller sende faktura og lignende.

For å levere tjenesten til sluttbrukere er Fortum Charge & Drive avhengig av en rekke eksterne systemer levert av såkalte deldatabehandlere. Eksempler inkluderer AWS (Amazon Web Services) og Stripe (for betaling).

Vi har gått langt for å sikre at våre underdatabehandlere behandler personlige data som tilhører Fortum Charge & Drive-brukere på en trygg måte. For å sikre dette har alle våre avtaler med deldatabehandlere en databehandlingsavtale som spesifiserer hvilke data som kan behandles på vegne av Fortum Charge & Drive, og for hvilket formål.

Deldatabehandlere inkluderer alle systemleverandører hvis systemer brukes til å yte vår service samt eksterne parter som kan få tilgang til Fortum Charge & Drives systemer. Denne sistnevnte kategorien inkluderer støttepartnere og konsulenter.

Alle deldatabehandlere som brukes av Fortum Charge & Drive, blir grundig overvåket. Bare deldatabehandlere som passerer våre bakgrunnskontroller, og som har evnen til å overholde vår DPA (data processing agreement eller databehandlingsavtale), aksepteres.

I samsvar med GDPR bør det være enkelt for en bruker å be om å bli «glemt». Det vil si at personopplysningene skal slettes eller anonymiseres.

Fortum Charge & Drive har både tekniske verktøy og prosesser for å håndtere disse forespørsler på en effektiv og rettidig måte. En sluttbruker må bare kontakte kundesupport med sin registrerte e-post, og snart vil dataene bli fjernet fra Fortum Charge & Drive-systemene.

Fortum Charge & Drive vil imidlertid lagre ladetransaksjonsdetaljer for å oppfylle lovkrav, men disse dataene blir anonymisert.

GDPR tillater brukeren å be om å få dataene hentet ut slik at de kan endre tjenesteleverandøren på en enkel måte.

Fortum Charge & Drive har verktøy og prosesser for å møte disse forespørslene på en effektiv og rettidig måte.

I likhet med prosessen for sletting av personlige data kan brukeren når som helst kontakte kundesupport med sin registrerte e-postadresse og be om å få sine data hentet ut.

Fortum Charge & Drive vil behandle forespørselen og levere dataene til kunden i en .csv-fil. Brukeren kan da be en ny tjenesteleverandør å importere disse dataene.

En annen viktig del av GDPR er å sikre at ingen ulovlig tilgang til personopplysninger finner sted. Det gjelder både interne ansatte som arbeider hos Fortum Charge & Drive, eller eksterne parter som har tilgang til systemet. Personlig tilgang til data er begrenset til et sett med spesifikke brukerroller i systemet, noe som gjør at Fortum Charge & Drive kan minimere antall ansatte som har tilgang til personlige data.

Hvis en ekstern part får tilgang til personlige data, for eksempel til støtteformål, anses denne parten for å være en deldatabehandler som er underlagt DPA (data processing agreement eller databehandlingsavtale). Hver systembruker, uansett om de har tilgang til personlige data eller ikke, er også underlagt vilkår og betingelser som styrer hvordan brukeren kan bruke systemet.

Videre har Fortum Charge & Drive implementert en streng prosess for å håndtere tilgang til IT-plattformen, særlig når det gjelder kontoer med tilgang til personlige data. Hver gang slik tilgang er gitt, blir den logget og underlagt verifisering av ansattes leder. Brukerkontoer med disse rettighetene er begrenset til en liten gruppe mennesker der hver enkelt har et klart og nødvendig tilgangspunkt.

Fortum Charge & Drive har implementert prosesser som sikrer at nødvendige tiltak trer i kraft ved brudd på datasikkerhet.

Eskaleringsbaner er på plass, og Fortum må informere både brukere og relevante myndigheter om et potensielt brudd innen 72 timer etter bruddet ble oppdaget.

Dette gjelder også for mulige hendelser hos underdatabehandlere.

Personlige data er kryptert og lagret på en trygg måte for å muliggjøre effektiv behandling av forespørsler fra registrerte kunder. Dette reduserer risikoen for brudd på datasikkerhet.

Plattformen er basert på nyeste autentiseringsteknologi, som muliggjør sikker autentisering, registrering og innlogging.

Alle personopplysninger har nå en klart definert retensjonsperiode i systemet. Hvis en bruker ikke har vært aktiv i en viss tidsperiode, vurderer systemet automatisk at brukerens konto er inaktiv. Brukeren vil bli varslet om denne endringen av status.

Hvis kontoen ikke blir aktivert av brukeren, enten ved å logge inn i appen eller ved hjelp av en annen identifikator for å få tilgang til en av Fortum Charge & Drives ladere, blir brukerkontoen automatisk avsluttet. Brukeren blir glemt, og alle dataene blir slettet eller anonymisert. Dette gjøres for å sikre at brukere som har registrert seg, og glemt at de gjorde det, ikke er pålagt å gjøre noe for å få kontoen slettet om den forblir inaktiv i en tilstrekkelig periode.