Informacija o obdelavi osebnih podatkov

(3. 1. 2023)

Družba T2 Rotalab d.o.o. se zaveda pomena varstva zasebnosti posameznikov, uporabnikov aplikacije in storitev izposoje električnih vozil GreenGo. Obdelava podatkov poteka na podlagi sprejetih Splošnih pogojev uporabe aplikacije GreenGo in opravljanja storitev izposoje električnih vozil GreenGo (v nadaljevanju: splošni pogoji) ter te Informacije o obdelavi osebnih podatkov.

GreenGo je storitev izposoje električnih vozil preko brezplačne mobilne aplikacije, ki jo zagotavlja družba T2 Rotalab d.o.o.

Želimo, da bi se pri uporabi naše aplikacije počutili dobro in varno ter da bi naše izvajanje varovanja podatkov spoznali kot odgovorno in kvalitetno. Zagotavljamo vam, da smo zaupanja vreden upravljavec osebnih podatkov, ki se zaveda pomena varstva zasebnosti. Varnost podatkov pred morebitnimi kršitvami varujemo tudi z ustreznim razvojem informacijske tehnologije. Že v samem procesu razvoja aplikacije smo, v sodelovanju z zunanjim izvajalcem, zagotovili vse potrebno za skladnost s pomembnimi načeli varstva podatkov, ki jih zahteva GDPR. Tako je bila izdelana tudi  ustrezna ocena učinkov na zasebnost (DPIA). Zagotavljamo, da bomo visokim standardom varstva vaše zasebnosti sledili tudi v bodoče.

V tem dokumentu je opisano, kako se zbirajo in nadalje obdelujejo osebni podatki, ki so potrebni za registracijo in uporabo aplikacije ter za izposojo vozila. Prav tako pove, katere pravice lahko uveljavljate v zvezi z osebnimi podatki in kako lahko kontaktirate upravljavca.

Upravljavec in pooblaščena oseba za varstvo osebnih podatkov

Družba T2 Rotalab, d. o. o., Verovškova ulica 64a, 1000 Ljubljana, matična številka: 6648452000, info@greengo.city, tel. št.: +386 1 444 0000 (v nadaljevanju: upravljavec), je upravljavec osebnih podatkov posameznikov, ki so v aplikaciji vzpostavili svoj uporabniški račun (v nadaljevanju: Uporabniki), ki se zbirajo in nadalje obdelujejo zaradi uporabe aplikacije in izvajanja storitve izposoje vozil.

V primeru vprašanj, vezanih na področje osebnih podatkov, ki se obdelujejo v okviru projekta, se uporabniki lahko obrnejo na pooblaščeno osebo za varstvo osebnih podatkov, ki je dostopna na elektronskem naslovu: dpo@greengo.city oziroma na zgoraj navedenem naslovu sedeža upravljavca.

Procesi pri katerih prihaja do  obdelave osebnih podatkov

Osebni podatki se zbirajo in nadalje obdelujejo v spodaj navedenih postopkih:

  • tekom registracije posameznika v uporabniško okolje GreenGo,
  • tekom identifikacije Uporabnikov in preverjanja njihovih vozniških dovoljenj,
  • tekom sklenitve Pogodbe o izposoji posameznega vozila GreenGo,
  • tekom trajanja izposoje posameznega vozila,
  • ob in po zaključku izposoje,
  • ob nakupu dobroimetja (paketa SŽ GREMO ZELENO) v okviru Pilotno-raziskovalnega projekta Slovenske železnice ‘Gremo zeleno’ – GreenGo.

Osebni podatki, ki se obdelujejo

Zbirajo in nadalje obdelujejo se naslednji podatki o uporabniku:

  • ime, elektronski naslov, telefonska številka,
  • osebni dokument (fotografija potnega lista ali osebne izkaznice in osebni podatki, ki so razvidni iz fotografij, kot so: ime, priimek, datum rojstva, spol, naslov, EMŠO idr.)
  • vozniško dovoljenje (fotografiji obeh strani dokumenta in podatki, ki so razvidni iz fotografij, kot so: država izdaje, datum veljavnosti, številka vozniškega dovoljenja idr.),
  • fotografija »sebka« (identifikacija);
  • plačilna kartica: hrani se v sistemu »token«,
  • »token« dobroimetja,
  • lokacijski podatki: GPS lokacije vozila v času izposoje; dogodki, povezani z izposojo vozila (čas odklepa, čas zaklepa, lokacija izposoje, lokacija vračila, čas vožnje, prevoženi kilometri, hitrost vožnje),
  • podatki o izvedbi storitve: obdelujejo se podatki o  preteklih izposojah –  zgodovina izposoj (vozilo, število km, termin prevzema vozila in zaključka izposoje, lokacija vozila), opravljene finančne transakcije, način plačila, stanje (dobroimetje).

Po izvedeni registraciji lahko Uporabnik poda soglasje za dostop do lokacije mobilne naprave.  V primeru nepodaje navedenega soglasja je uporaba aplikacije kljub temu možna, vendar Uporabnik ne more najti razpoložljivih vozil za izposojo. Podatkov Uporabnika o njegovi lokaciji ne obdelujemo, potrebuje jih le mobilna naprava, da lahko v bližini  najde ustrezna vozila  za izposojo.  Uporabnik se glede upravljanja lokacijskih podatkov, nadzora in spreminjanja le-teh, seznani  v navodilih mobilne naprave. 

Nameni, za katere se osebni podatki obdelujejo

Zbrani podatki se obdelujejo z namenom, da se lahko uporablja aplikacija in se izvede naročena storitev.  Posamezni podatki so obvezni, ker so nujni za izvedbo in so del sprejetih splošnih pogojev, ki določajo način in izvedbo storitev GreenGo (https://greengo.city/).  

  • Registracija v aplikacijo: podatki o registraciji omogočajo enostavno in varno uporabo aplikacije,
  • Identifikacija uporabnika  in preverjanje pogojev za najem vozila: podatki za identifikacijo (preverba istovetnosti osebe in izpolnjevanja pogojev) so potrebni za  izposojo električnega avtomobila ali  skuterja,
  • Izvedba storitve »GreenGo«: podatki se potrebujejo za več namenov, ki so povezani s procesom izposoje, opravljanjem vožnje z vozilom ter izvedbo plačila za opravljeno storitev,
  • Nudenje učinkovite podpore in pomoči: podatke potrebujemo, da vam nudimo pomoč pri izvedbi storitve,
  • Enostavno naročanje novih storitev: podatki o zgodovini izposoj in token plačilne kartice, ker to omogoča lažje izposoje v prihodnosti,
  • Komuniciranje: kontaktni podatki omogočajo komunikacijo, ki se pojavi v več fazah izvajanja storitev (registracija uporabnika, verifikacija, pomoč in podpora na cesti itd.),
  • Trženje: kontaktni podatki se uporabljajo za namen obveščanja Uporabnikov o novostih aplikacije in posebnih ponudbah, popustih in podobno.
  • Izboljšanje storitev: podatki se uporabljajo za analitične namene s ciljem, da se izboljšajo storitve. V tem primeru se obdelujejo anonimizirani podatki.  
  • Drugi zakoniti nameni: Podatki  se  obdelujejo tudi  za obravnavo in reševanje morebitnih sporov, ki izhajajo iz sklenjene pogodbe  (izterjave dolga, škodni primeri, cestno-prometni prekrški ipd.).  

Pravne podlage za obdelavo osebnih podatkov

Podatki, ki jih upravljavec obdeluje v okviru projekta, se obdelujejo na naslednjih pravnih podlagah:

  • točka (a) člena 6(1) GDPR:  privolitev uporabnika (vnos podatkov o plačilni kartici v fazi registracije ter  prejemanje sporočil glede novosti in popustov preko elektronske pošte) z možnostjo, da uporabnik privolitev kadarkoli  prekliče oz. zbriše podatke);
  • točka (b) člena 6(1) GDPR: pogodbena podlaga (podatki so nujni za namen izpolnitve pogodbenih obveznosti, in sicer v zvezi z uporabo aplikacije, verifikacijo Uporabnika in  izvajanjem storitve izposoje električnih vozil GreenGo);
  • točka (c) člena 6 (1) GDPR: zakonska obveznost (izpolnitev obveznosti po davčni zakonodaji);
  • točka (f) člena 6(1) GDPR: zakoniti interes: uporaba GPS tehnologije (varovanje življenja in premoženja, namen obrambe  oziroma uveljavljanja morebitnih zahtevkov, ki izvirajo iz nezakonite, nepravilne ali drugačne neustrezne uporabe storitve izposoje električnih vozil, škodni primeri, reševanje pravnih zahtevkov in sporov ter drugih pravic upravljavca iz pogodbenega razmerja).  

Obdobje hrambe osebnih podatkov

Upravljavec se obvezuje, da bo zbrane osebne podatke hranil in uporabljal samo toliko časa, kolikor bo potrebno za dosego namena, zaradi katerega so bili posamezni podatki zbrani in nadalje uporabljani. Po preteku obdobja hrambe se bodo podatki učinkovito in trajno izbrisali ali anonimizirali.

Tiste podatke, ki se obdelujejo na podlagi zakona, se hrani toliko časa kot to določa zakonodaja (npr. računovodski ali davčni podatki se hranijo 10 let).  

Podatki, ki se obdelujejo za izvedbo pogodbenega odnosa (v skladu s sprejetimi splošnimi pogoji), se hranijo za obdobje, ki je potrebno za izvršitev pogodbe in še ves čas, ko traja zakonski zastaralni rok za zahtevke iz tako sklenjene pogodbe (5 let po zaključku izposoje). To vključuje tudi podatke o izvedenih storitvah (lokacija prevzema in oddaje, termin, število km itd.) in izvedenih plačilih ter stanju dobroimetja, ki se hranijo po zaključku izposoje vozila.

Podatki o »GPS« sledenju (nadzor nad vožnjo vozila) se brišejo v roku 2 mesecev po zaključeni izposoji vozila.

Podatki, ki so potrebni za uporabo aplikacije (podatki, posredovani v postopku registracije in identifikacije ter preverjanja pogojev, zgodovina izposoj), se  izbrišejo avtomatično v roku 180 dni (6 mesecev) od podane zahteve za izbris profila.

Kopija osebnega dokumenta, vozniškega dovoljenja ter »sebek«, se hranita 2 meseca. Po preteku dveh mesecev se dokumentacija avtomatsko zbriše.

Podatek o elektronskem naslovu, ki se ga obdeluje za  namen posredovanja tržnih sporočil, se hrani do preklica privolitve.

 Deljenje podatkov

Podatke delimo s ponudniki storitev in poslovnimi partnerji in sicer:

  • ponudniki plačilnih in zavarovalnih storitev; 
  • ponudniki administrativne, tehnične ter IT podpore in hrambe podatkov;
  • ponudniki komunikacij, ki pošiljajo e-pošto in druga tržna sporočila;
  • ponudnik storitve identifikacije ter verifikacije izpolnjevanja pogojev za najem vozil;
  • prodajalec paketov SŽ GREMO ZELENO v okviru Pilotno-raziskovalnega projekta Slovenske železnice ‘Gremo zeleno’ – GreenGo;

Upravljavec osebnih podatkov posameznikov, brez soglasja posameznika, ki je lastnik določenih osebnih podatkov, ob odsotnosti druge podlage, ne bo posredoval nepooblaščenim osebam.  V kolikor upravljavec posamezne storitve izposoje električnih vozil   GreenGo izvaja preko pogodbenih obdelovalcev, je slednjim obdelava omogočena zgolj v obsegu, ki je nujno potreben za izvedbo storitve, ki jo pogodbeni obdelovalec izvaja za upravljavca. V to kategorijo spadajo podjetja za IT podporo, hrambo podatkov in druge podporne storitve.  V primeru škodnega dogodka  se osebni podatki posredujejo zavarovalnicam in tudi drugim  pristojnimi institucijami, ki razpolagajo z zakonito pravno podlago (npr. policiji ali sodišču) ali se posredujejo na podlagi zakonitih interesov upravljavca, da zaščiti svoje pravice.

Postopek identifikacij se izvaja preko orodja SumSub. Ponudnik aplikacije izvaja storitev kot obdelovalec.  Več o politiki varstva osebnih podatkov si lahko preberete na  https://sumsub.com/privacy-notice/.

Intercom uporabimo kot medij za komunikacijo bodisi po e-pošti bodisi prek sporočil znotraj naših storitev. Za več informacij o zasebnosti Intercom obiščite https://www.intercom.com/terms-and-policies#privacy. Storitve Intercomova urejajo pogoji uporabe Intercoma, ki jih najdete na https://www.intercom.com/terms-and-policies#terms.

Obdelavo prejetih plačil opravi Stripe kot samostojni upravljavec. Ob obdelavi tovrstnih plačil upravljavec ne hrani nobenih osebnih podatkov ali kakršnih koli finančnih podatkov, kot so npr. številke kreditnih kartic. Takšne informacije prejme neposredno Stripe. Njihov pravilnik o zasebnosti, ki ureja uporabo osebnih podatkov, si lahko ogledate na https://stripe.com/nz/privacy . Stripe je certificiran za ponudnika storitev PCI Level 1, najstrožjo raven certificiranja.

Nakup dobroimetja za izposojo električnega vozila v okviru Pilotno-raziskovalnega projekta Slovenske železnice ‘Gremo zeleno’ – GreenGo (tj. nakup paketov SŽ GREMO ZELENO) posameznik opravi preko družbe SŽ – Potniški promet, d.o.o., ki storitev na podlagi sklenjene Pogodbe o obdelavi osebnih podatkov opravlja kot obdelovalec. SŽ – Potniški promet, d.o.o. osebne podatke, razvidne na vozovnici, obdeluje z namenom preverjanja veljavnosti vozovnice, ki je pogoj za nakup paketa SŽ GREMO ZELENO, pri čemer se osebnih podatkov, ki so razvidni z vpogleda, ne hrani. SŽ – Potniški promet, d.o.o. s strani družbe T2 Rotalab d.o.o. prejme zgolj psevdonimiziran osebni podatek, in sicer enolični identifikacijski znak, ki je izpisan na računu za nakup paketa SŽ GREMO ZELENO in služi za aktivacijo dobroimetja v aplikaciji GreenGo. Navedeni osebni podatek se hrani 10 let od izdaje računa.

Prenosi v tretje države ali mednarodne organizacije

Osebni podatki posameznikov ne bodo preneseni v tretje države izven Evropske Unije ali Evropskega gospodarskega prostora          ali mednarodno organizacijo. Izjemoma se lahko podatki prenesejo v tretje države ob uporabi IT orodja Intercom (https://www.intercom.com/terms-and-policies#privacy)  in Stripe (https://stripe.com/en-gb-si/privacy.)

Zavarovanje osebnih podatkov

Upravljavec je v fazi razvoja projekta izdelal oceno učinka v zvezi z varstvom osebnih podatkov (DPIA), ki je eden od pomembnih elementov za zagotavljanje ustreznega varstva osebnih podatkov.

Sprejeti in realizirani so vsi organizacijsko pravni in tehnični ukrepi za zagotavljanje varstva in predvsem varne obdelave osebnih podatkov s ciljem, da se preprečijo kršitve.

Pravice posameznika, vezane na obdelavo osebnih podatkov

Uporabniki aplikacije oziroma posamezniki lahko zahtevajo dostop do osebnih podatkov, popravek, izbris ali omejitev obdelave lastnih osebnih podatkov, lahko ugovarjajo obdelavi in zahtevajo prenos lastnih osebnih podatkov.

Pravico se lahko uveljavlja s pisno zahtevo, ki se  posreduje na sedež upravljavca ali elektronsko,  na kontaktni naslov pooblaščene osebe za varstvo osebnih podatkov dpo@greengo.city.

Upravljavec  bo o prejeti zahtevi odločil v enem mesecu po prejemu zahteve. V primeru zapletenosti in večjega števila zahtev se lahko rok za odgovor podaljša za največ dva dodatna meseca,   o čemer bo vlagatelj zahtevka obveščen. V primeru prejema zahteve z elektronskimi sredstvi, bo upravljavec odgovor poslal, kadar je mogoče, z elektronskimi sredstvi, razen če bo vlagatelj zahteve zahteval drugače.

Pravice posameznikov niso absolutne. V določenih primerih, ko za to obstaja upravičen razlog oziroma ustrezna pravna podlaga, jih ni možno ugodno rešiti. Obravnava tako poteka za vsak primer posebej.

V primeru, da posameznik meni, da upravljavec krši njegove pravice ali ni zadovoljen z odločitvijo upravljavca, se lahko pritoži pri nadzornemu organu, in sicer na naslovu: Informacijski pooblaščenec, Dunajska 22, 1000 Ljubljana, e-naslov: gp.ip@ip-rs.si telefon: 012309730, spletna stran: www.ip-rs.si.

Pravice posameznikov:

Pravica do preklica privolitve: Če ste kot posameznik privolili v obdelavo svojih osebnih podatkov v enega ali več določenih namenov, imate pravico do preklica privolitve. Preklic privolitve ne vpliva na zakonitost obdelave podatkov, ki se je izvajala do njenega preklica. Preklic privolitve za obdelavo vaših osebnih podatkov nima nobenih negativnih posledic ali sankcij.

Pravica do dostopa: Gre za pravico do seznanitve ali se v zvezi s posameznikom obdelujejo osebni podatki in kadar je temu tako, dostop do osebnih podatkov in naslednje informacije: (a) namene obdelave; (b) vrste zadevnih osebnih podatkov; (c) uporabnike ali kategorije uporabnika, ki so jim bili ali jim bodo razkriti osebni podatki, zlasti uporabnike v tretjih državah ali mednarodnih organizacijah; (d) kadar je mogoče, predvideno obdobje hrambe osebnih podatkov ali, če to ni mogoče, merila, ki se   uporabijo za določitev tega obdobja; (e) obstoj pravice, da se od upravljavca zahteva popravek ali izbris osebnih podatkov ali omejitev obdelave lastnih osebnih podatkov, ali obstoj pravice do ugovora taki obdelavi; (f) pravico do vložitve pritožbe pri nadzornem organu; (g) kadar osebni podatki niso zbrani od posameznika, vse razpoložljive informacije v zvezi z njihovim virom; (h) obstoj avtomatiziranega sprejemanja odločitev, vključno z oblikovanjem profilov, ter vsaj v takih primerih smiselne informacije   o razlogih zanj, kot tudi pomen in predvidene posledice take obdelave za posameznika, ki je lastnik obdelovanih osebnih podatkov.

Pravica do popravka: Pravica, da se v skladu z zahtevo popravijo netočni osebni podatki v zvezi z posameznikom, ki je vlagatelj zahteve po popravku, ter ob upoštevanju namenov obdelave, pravico do dopolnitve nepopolnih osebnih podatkov.

Pravica do izbrisa (»do pozabe«): Pravica, da se osebni podatki izbrišejo, kadar velja eden od naslednjih razlogov: (a) osebni podatki niso več potrebni za namene, za katere so bili zbrani ali kako drugače obdelani; (b) kadar je preklicana privolitev, na podlagi katere poteka obdelava in kadar za obdelavo ne obstaja nobena druga pravna podlaga; (c) kadar obdelavi posameznik ugovarja, za njihovo  obdelavo pa ne obstajajo nobeni prevladujoči zakoniti razlogi; (d) osebni podatki so bili obdelani nezakonito.

Pravica do omejitve obdelave: Pravica doseči, da upravljavec omeji obdelavo osebnih podatkov posameznika, ki je vlagatelj zahteve po omejitvi obdelave, kadar velja en od naslednjih primerov: (a) kadar posameznik oporeka točnosti podatkov, in sicer za obdobje, ki upravljavcu omogoča preveriti točnost osebnih podatkov; (b) je obdelava nezakonita, posameznik pa nasprotuje izbrisu osebnih podatkov ter namesto tega zahteva omejitev njihove uporabe; (c) osebni podatki posameznika      niso več potrebni za namene obdelave, temveč jih posameznik potrebuje za uveljavljanje, izvajanje ali  obrambo pravnih zahtevkov; (d) če je posameznik vložil ugovor v zvezi z obdelavo, ki temelji na zakonitih interesih upravljavca, dokler se ne preveri, ali zakoniti razlogi upravljavca prevladajo nad razlogi posameznika.

Kadar je bila obdelava osebnih podatkov omejena v skladu s prejšnjim odstavkom, se taki osebni podatki z izjemo njihovega shranjevanja obdelujejo le s privolitvijo posameznika, na katerega se nanašajo, ali za uveljavljanje, izvajanje ali obrambo pravnih zahtevkov ali zaradi varstva pravic druge fizične ali pravne osebe. Pred preklicem omejitve obdelave osebnih podatkov je upravljavec posameznika, ki je lastnik teh osebnih podatkov, o tem dolžan obvestiti.

Pravica do prenosljivosti podatkov: Pravica, da posameznik prejme svoje osebne podatke, ki jih je posredoval, v strukturirani, splošno uporabljani in strojno berljivi obliki, in pravica, da te podatke posreduje drugemu upravljavcu, kadar obdelava temelji na privolitvi posameznika, ali se obdelava izvaja z avtomatiziranimi sredstvi. Na zahtevo posameznika, kadar je to tehnično izvedljivo, se lahko njegovi osebni podatki neposredno prenesejo k drugemu upravljavcu.

Pravica do ugovora: Kadar podatke posameznika upravljavec obdeluje na podlagi zakonitega interesa, lahko posameznik taki obdelavi kadarkoli ugovarja.

Pravica do vložitve pritožbe pri Informacijskem pooblaščencu: V kolikor  upravljavec o zahtevi posameznika ne odloči v zakonskem roku ali zahtevo zavrne, ali če posameznik meni, da se njegovi osebni podatki shranjujejo ali kako drugače obdelujejo v nasprotju z veljavnimi predpisi, ima posameznik možnost vložitve pritožbe pri Informacijskem pooblaščencu.

Avtomatizirano odločanje

Osebni podatki se ne uporabljajo za avtomatizirano sprejemanje odločitev, kot je to mišljeno v členu  22 (1) GDPR.

Veljavnost Informacij o obdelavi osebnih podatkov

V primeru spremembe te Informacije o obdelavi osebnih podatkov, bo upravljavec novo verzijo dokumenta objavil  v mobilni aplikaciji GreenGo ter Uporabnike o novi različici dokumenta obvestil tudi preko elektronske pošte. Za informacije o tem, kdaj je bila objavljena zadnja različica,  preverite datum objave na vrhu tega dokumenta.

Klicni center