Ecoride Personvernpolicy

PERSONVERNERKLÆRING FOR ECORIDE AB

Ecoride AB tar ditt personvern på alvor. Denne erklæringen forklarer hvordan vi samler inn og behandler personopplysningene dine når du kjøper våre elsykler (via ecoride.com, autoriserte forhandlere eller våre butikker), bruker mobilappen vår med IoT-funksjoner, kontakter kundeservice, deltar på arrangementer eller mottar nyhetsbrev og markedsføring. Erklæringen er utformet i samsvar med EUs personvernforordning (GDPR) samt gjeldende svensk lovgivning (bl.a. forbrukerkjøpsloven og e-handelsloven). Den gjelder for all vår behandling av personopplysninger i alle salgskanaler. Vi kan oppdatere erklæringen og vil da varsle om endringene som beskrevet nedenfor i punkt 12.

1. Behandlingsansvarlig

Behandlingsansvarlig: Ecoride AB (org.nr. 556764-6871) er ansvarlig for behandlingen av personopplysninger i vår virksomhet. Dette omfatter nettstedet ecoride.com, våre egne fysiske butikker samt tilknyttede tjenester og digitale kanaler.

Kontaktopplysninger: Du kan kontakte oss om personvernspørsmål via e-post info@ecoride.com eller per post til Ecoride AB, Terminalvägen 6, 418 79. Vår kundeservice kan også nås på telefon +46 744 10 22 12 for generelle henvendelser.

Merk at dersom du kjøper en Ecoride-sykkel hos en uavhengig autorisert forhandler, er det forhandleren som i utgangspunktet samler inn personopplysningene dine i henhold til sin egen personvernerklæring. Ecoride AB kan likevel få tilgang til enkelte opplysninger fra forhandleren (f.eks. rammenummer på sykkelen og dine kontaktopplysninger) for å registrere garanti, aktivere IoT-tjenester eller håndtere supporthenvendelser. I slike tilfeller behandler vi opplysningene i henhold til denne erklæringen.

2. Personopplysninger vi samler inn

Hva er personopplysninger? Med personopplysninger menes all informasjon som direkte eller indirekte kan knyttes til en nålevende fysisk person. Dette inkluderer åpenbare identifikasjonsopplysninger som navn og kontaktinformasjon, men også f.eks. kundenummer, elektroniske identiteter (IP-adresse, cookie-ID) og opplysninger som samles inn via elsykkelen din, i den grad de kan knyttes til deg.

Hvilke opplysninger samler vi inn? Hvilke opplysninger vi samler inn avhenger av hvordan du samhandler med oss (kjøp, appbruk, kundeservice osv.). Nedenfor følger kategoriene av personopplysninger vi behandler, med eksempler:

  • Identitetsopplysninger: For- og etternavn. I enkelte tilfeller personnummer (f.eks. dersom det kreves ved kredittkjøp eller for å bekrefte identitet).

  • Kontaktopplysninger: Adresse, e-postadresse, telefonnummer. Også leveringsadresse og eventuell alternativ kontaktperson dersom du har oppgitt det.

  • Kunde- og kontooplysninger: Kundenummer, ordrenummer og kjøpshistorikk (tidligere bestillinger, kjøpte produkter, dato og kjøpested). Dersom du oppretter en konto på nettstedet vårt eller i appen, kan vi også behandle innloggingsopplysninger (brukernavn, passord i kryptert form).

  • Betalingsopplysninger: Betalingsmåte og informasjon som er nødvendig for å gjennomføre betalingen (f.eks. transaksjons-ID, fakturanummer). Merk: Vi håndterer ikke dine fullstendige kortopplysninger – kortbetalinger behandles av autoriserte betalingstjenesteleverandører. Ved faktura- eller delbetaling via partner (f.eks. Qliro AB) kan det hende betalingspartneren må innhente kredittopplysning og personnummer, men slike opplysninger lagres ikke hos Ecoride utover det som er nødvendig for å registrere betalingen.

  • Produkt- og sykkelinformasjon: Opplysninger om kjøpt sykkel eller produkt, som rammenummer/ID, modell, farge, samt kobling til eventuell forsikring eller serviceavtale (f.eks. dersom du har tegnet Ecoride Safe).

  • IoT-data (sykkelens sensordata): Hvis elsykkelen din er utstyrt med vår IoT-teknologi og du har aktivert appen Ecoride Connect, samler vi inn tekniske data fra sykkelen. Dette inkluderer f.eks. GPS-posisjon i sanntid, batteristatus og ladenivå, sykkelens rekkevidde, reisehistorikk (distanse, ruter og hastighet) samt informasjon for servicebehov. Sykkelen registrerer også hendelser som uautorisert forflytning (tyverialarm) som varsles til deg via appen. Denne IoT-informasjonen knyttes til deg som kunde gjennom sykkelens unike ID og din app-konto.

  • Korrespondanse- og saksinformasjon: Innholdet i kommunikasjonen med oss. Dersom du kontakter kundeservice eller reklamerer, lagrer vi opplysningene du selv gir, som beskrivelse av saken, bilder eller dokumentasjon du sender inn, samt informasjonen vi gir deg i saken. Dette kan inneholde personopplysninger (f.eks. kontaktdata, helseopplysninger dersom de forekommer i en skadesak osv. – unngå likevel å sende sensitive opplysninger dersom det ikke er nødvendig).

  • Markedsføringspreferanser: Opplysninger om hvorvidt du har samtykket til nyhetsbrev, produktanbefalinger via e-post eller andre utsendelser. Også informasjon om eventuelle preferanser du har angitt for markedsføring eller hvilke typer utsendelser du ønsker å motta.

  • Arrangement- og konkurranseopplysninger: Dersom du melder deg på et arrangement hos oss (f.eks. sykkelarrangement, produktdemonstrasjon eller messe) eller deltar i en konkurranse, samler vi inn opplysninger som er nødvendige for administrasjonen. Dette kan være navn, kontaktopplysninger, eventuelle ønsker du har meldt inn (f.eks. spesialkost ved arrangement med servering) samt opplysninger knyttet til deltakelsen din (f.eks. trøystørrelse i et sykkelritt eller bidrag i en konkurranse).

  • Tekniske opplysninger om enheten din og bruk: Når du besøker nettstedet vårt eller bruker mobilappen vår, samler vi inn visse opplysninger automatisk via cookies og lignende teknologier. Dette kan omfatte IP-adresse, nettleser- eller enhetsinformasjon, unikt identifikasjonsnummer for enheten og hvordan du interagerer med våre digitale tjenester (f.eks. hvilke sider som besøkes, klikk og tidsstempler). Mer informasjon finnes i vår cookiepolicy (se punkt 11 nedenfor).

Vi kan få tilgang til personopplysninger direkte fra deg (f.eks. når du fyller ut et skjema, legger inn en bestilling eller kontakter oss) eller indirekte gjennom din bruk av våre tjenester (f.eks. automatisk via teknologien i nettstedet/appen, IoT-enheten i sykkelen osv.). I noen tilfeller henter vi også opplysninger fra tredjeparter: for eksempel fra en forhandler som har solgt deg sykkelen, fra betalingsformidlere som bekrefter en betaling, eller fra offentlige registre (f.eks. adresseoppdatering via folkeregisteret).

Vi behandler kun personopplysninger som er nødvendige for formålene beskrevet i denne erklæringen, og vi etterstreber alltid å ha et lovlig behandlingsgrunnlag (se punkt 3) for all behandling. Du har heller ingen plikt til å gi oss personopplysninger, men dersom du velger å ikke gjøre det, kan det påvirke vår mulighet til å levere ønsket produkt eller tjeneste (f.eks. kan vi ikke gjennomføre et kjøp uten nødvendig informasjon, eller tilby IoT-funksjoner uten data fra sykkelen).

3. Formål og behandlingsgrunnlag

Vi behandler personopplysninger for ulike formål knyttet til våre produkter og tjenester. Etter GDPR må all behandling ha et lovlig grunnlag. Dette kan være at behandlingen er nødvendig for å oppfylle en avtale med deg, for å oppfylle en rettslig forpliktelse, basert på vår berettigede interesse, eller (i noen tilfeller) ditt samtykke. Nedenfor beskriver vi hovedformålene og hvilket behandlingsgrunnlag som gjelder:

  • Kjøp og levering av produkter: Vi behandler personopplysninger for å håndtere bestillinger og kjøp du gjør hos oss, enten det skjer på nett via Ecoride.com eller i fysisk butikk. Dette inkluderer å identifisere deg som kunde, ta betalt, levere sykkelen/produktet til riktig adresse samt håndtere fakturering og betalingsbekreftelser. Opplysninger om kjøpshistorikk behandles også for at vi skal kunne gi kundeservice (f.eks. finne ordren din ved spørsmål) og oppfylle garanti- eller reklamasjonsforpliktelser knyttet til kjøpet. Behandlingsgrunnlag: Oppfyllelse av avtale – kjøpsavtalen med deg (behandlingen er nødvendig for å levere varen og administrere kjøpet). Noe behandling (f.eks. lagring av fakturagrunnlag) skjer også for å oppfylle en rettslig forpliktelse (f.eks. bokføringsloven).

  • Kundeservice og reklamasjoner: Dersom du kontakter oss for support, stiller spørsmål eller vil bruke reklamasjonsrett/garanti, bruker vi personopplysninger for å identifisere deg og saken, løse problemet og gi tilbakemelding. Dette kan innebære bruk av kontaktopplysninger for å svare, ordreopplysninger for å verifisere kjøpet og opplysninger du gir om problemet. Vi kan også måtte behandle personopplysninger for å gjennomføre returer, bytter eller reparasjoner, og i enkelte tilfeller koordinere med verksted eller logistikkpartner. Behandlingsgrunnlag: Hovedsakelig avtale (nødvendig for at vi skal kunne oppfylle våre avtalepliktige forpliktelser om support og reklamasjonshåndtering som en del av kjøpet). I enkelte tilfeller baserer vi oss på berettiget interesse – både din interesse i å få hjelp og vår berettigede forretningsinteresse i å gi god service og opprettholde kundetilfredshet. Dersom behandlingen kreves ved lov (f.eks. plikt til å håndtere reklamasjon etter forbrukerkjøpsloven), utgjør også rettslig forpliktelse et grunnlag.

  • Mobilapp og IoT-funksjoner (Ecoride Connect): For kunder som bruker appen og IoT-tilknyttede sykler, behandler vi personopplysninger for å levere de digitale tjenestene knyttet til sykkelens smarte funksjoner. Dette innebærer at vi samler inn og analyserer IoT-data (se punkt 4) for å vise sykkelens posisjon, status og kjøretdata i appen i sanntid, gi tyverialarm ved uautorisert flytting og muliggjøre sporing dersom sykkelen forsvinner, vise batteristatus og rekkevidde samt sende servicepåminnelser. Gjennom appen kan du også bestille service hos tilknyttede verksteder, noe som krever at vi deler visse sykkelopplysninger med valgt servicested. Behandlingsgrunnlag: Avtale – når du aktiverer IoT-tjenesten (f.eks. ved å tegne abonnementet Ecoride Track eller Safe) inngår du en avtale om tjenesten, og nødvendig databehandling for å levere funksjonene baseres på den avtalen. Enkelte elementer kan også baseres på berettiget interesse, f.eks. vår interesse i å forbedre sikkerheten for produktene våre; vi vurderer likevel at hoveddelen av IoT-behandlingen er direkte knyttet til leveringen av tjenesten. Dersom vi i fremtiden ønsker å bruke IoT-data til et ytterligere formål utover det som kreves for tjenesten (f.eks. analysere personlige bruksmønstre til markedsføringsformål), vil vi i så fall innhente ditt samtykke først. (Merk at anonymiserte data kan brukes til utvikling og statistikk – se punkt 5.)

  • Nyhetsbrev og markedsføring: Vi behandler personopplysninger for å sende nyhetsbrev, tilbud, produktnyheter, invitasjoner til arrangementer og lignende markedsføringskommunikasjon. Vanligvis gjelder dette e-postadressen din for digitale nyhetsbrev, men det kan også omfatte f.eks. telefonnummer for SMS eller fysisk adresse for postutsendelser, dersom du har oppgitt dette og samtykket til slik kommunikasjon. Behandlingsgrunnlag: Samtykke – vi sender kun nyhetsbrev via e-post dersom du uttrykkelig har sagt ja. Du kan når som helst trekke samtykket tilbake ved å melde deg av via lenken i utsendelsene eller ved å kontakte oss. I enkelte tilfeller kan vi støtte oss på berettiget interesse for visse former for direkte markedsføring, f.eks. å sende tilbud om lignende produkter til eksisterende kunder. Vi foretar da en interesseavveiing og vurderer at vårt legitime interesse i å markedsføre relevante produkter veier tyngre enn den begrensede påvirkningen på personvernet ditt, særlig fordi du alltid har en tydelig mulighet til å reservere deg. Du har alltid en ubetinget rett til å protestere mot direkte markedsføring (se punkt 9), og vi vil da stanse slik behandling.

  • Arrangementer og konkurranser: I forbindelse med arrangementer vi arrangerer (f.eks. demo-dager, sykkelturer eller messer) eller konkurranser, behandler vi personopplysninger for å administrere deltakelsen din. Dette inkluderer å registrere påmeldinger, sende informasjon og påminnelser før og etter arrangementet samt håndtere praktiske detaljer (f.eks. navnelister ved innsjekk og eventuelle vinnerbeskjeder). Vi kan også be om tilbakemelding etter arrangementet, men dette er frivillig. Behandlingsgrunnlag: Berettiget interesse – dersom du har meldt deg på et arrangement, har både du og vi en berettiget interesse i at opplysningene behandles for å gjennomføre arrangementet på en smidig måte. I enkelte tilfeller kan behandlingen også anses nødvendig for å oppfylle en avtale (f.eks. dersom du kjøper en billett til et arrangement). Vi mener at bruken av opplysningene til disse formålene er forventet og også fordelaktig for deg som deltaker. Dersom vi ønsker å bruke informasjon fra arrangementdeltakelse til et ytterligere formål (f.eks. markedsføre urelaterte produkter), vil vi basere dette på samtykke eller informere deg særskilt.

  • Utvikling og forbedring av produkter og tjenester: Vi jobber kontinuerlig med å forbedre elsyklene våre, appen og øvrige tjenester. Derfor kan vi bruke innsamlede data (inkludert f.eks. kjøpshistorikk, tilbakemeldinger fra kundeservice og aggregerte IoT-data) for å analysere trender og bruksmønstre, utvikle nye funksjoner, forbedre brukeropplevelsen og ta forretningsbeslutninger (f.eks. lagerhold eller hvilke nye modeller som etterspørres). Vi bruker i hovedsak anonymiserte eller aggregerte opplysninger til analyse og utvikling, slik at ingen konklusjoner kan knyttes til en enkeltperson. Dersom vi noen gang må gjennomgå personopplysninger på individnivå (f.eks. logger) for feilsøking eller forbedring, skjer dette i så begrenset omfang som mulig og kun når det er nødvendig. Behandlingsgrunnlag: Berettiget interesse – vi har en legitim interesse i å evaluere og forbedre produktene og tjenestene våre. Denne typen behandling har lav påvirkning på personvernet ditt, da resultatet ikke fokuserer på deg som individ, og vi iverksetter tiltak for å pseudonymisere eller anonymisere data i størst mulig grad.

  • Lovpålagte krav og beskyttelse av rettigheter: Vi kan også måtte behandle personopplysninger for å oppfylle lovkrav eller myndighetsvedtak. Dette inkluderer f.eks. plikter etter bokføringsloven til å lagre dokumentasjon, plikter etter produktsikkerhetslovgivning til å kontakte kunder ved sikkerhetsmeldinger/tilbakekallinger, samt å oppfylle krav ved myndighetsforespørsler (f.eks. i rettslige prosesser eller ved forespørsel fra politiet). Behandling kan også skje for å fastsette, gjøre gjeldende eller forsvare rettslige krav, f.eks. ved tvist. Behandlingsgrunnlag: Rettslig forpliktelse – når loven krever behandling. Når det gjelder å beskytte våre rettigheter ved tvister mv., baserer vi dette på berettiget interesse (å kunne forsvare oss eller håndheve avtalevilkår).

4. IoT-data og sykkelens oppkoblede funksjoner

Flere av Ecorides nyere elsykkelmodeller (f.eks. Ambassador 4, Tripper 4) er utstyrt med IoT-teknologi – sensorer og en GPS-enhet integrert i sykkelrammen som muliggjør internettilkobling. Sammen med mobilappen Ecoride Connect gir dette en rekke smarte funksjoner, men det innebærer også at visse data om sykkelen og bruken samles inn digitalt. Her beskriver vi hvordan slik sykkeldata (IoT-data) håndteres:

  • Innsamling av IoT-data: Når du har en IoT-utstyrt sykkel og aktiverer den i appen, begynner sykkelens enhet kontinuerlig å samle inn data og sende dem kryptert til Ecorides databaseservere via mobilnettet. Datatypene som samles inn er nevnt ovenfor: primært posisjon (GPS-koordinater) i sanntid, sykkelens bevegelse (for å oppdage f.eks. tyveri), batteriets status (ladenivå, helsetilstand) og reisestatistikk (som distanse, ruter og hastighet). I tillegg registreres sykkelens ID og tekniske status – systemet kan f.eks. lese av om det har oppstått en feilkode eller serviceindikator i sykkelens elektronikk. Alle disse dataene er knyttet til sykkelens unike IoT-enhet og dermed til deg som eier/bruker så lenge du har sykkelen registrert i appen.

  • Bruk av IoT-data for tjenester til deg: De innsamlede sykkelopplysningene brukes først og fremst for å gi deg funksjonene i appen. Det betyr at du kan se hvor sykkelen befinner seg på kart i sanntid, kontrollere batterinivå og beregnet gjenværende kilometer, se historikk over tidligere turer (distanse, tid, gjennomsnittshastighet m.m.) og få varsler – f.eks. advarsler hvis sykkelen flyttes uten din viten (tyverialarm). IoT-systemet gjør det også mulig å sende servicepåminnelser, f.eks. basert på hvor langt du har syklet. Når du bruker appen til å bestille service hos en av våre tilknyttede servicepartnere, deles relevant informasjon om sykkelen (f.eks. modell, eventuelle feilkoder og servicenotater) med verkstedet/partneren du har valgt, slik at de kan forberede seg og gi deg rask og korrekt hjelp. Dette skjer kun på din forespørsel i forbindelse med servicebestillingen.

  • Ecorides bruk av IoT-data: Ecoride bruker også IoT-data internt for å forbedre opplevelsen din og øke sikkerheten. Dersom elsykkelen din blir stjålet og du ønsker å bruke IoT-funksjonene til sporing, må du selv registrere dette via innlogget område på nettstedet vårt (www.ecoride.com). For at vi skal kunne behandle saken, må du legge ved en kopi av politirapporten din. Etter verifisering genereres en tyverirapport med tilgjengelige GPS-data som sendes til deg. Dataene håndteres også internt hos Ecoride for support og oppfølging. IoT-data hjelper oss dessuten med å forstå sykkelytelse og tilbakevendende problemer, og kan brukes til å forbedre produktdesign og serviceintervaller. Slik analyse skjer hovedsakelig på aggregert nivå (se punkt 5 om anonymiserte innsikter).

  • Lagring og beskyttelse: IoT-informasjonen lagres i vår sikre skyplattform for IoT-data. Vi sørger for at kommunikasjon og lagring er beskyttet gjennom kryptering og andre sikkerhetstiltak, slik at ingen uvedkommende får tilgang til dataene. Kun et begrenset antall personer hos Ecoride (f.eks. teknikere i supportteamet) og hos vår IT-leverandør for IoT-systemet har tilgang til rådata, og da kun for å vedlikeholde systemet eller hjelpe deg i en konkret sak.

  • Kundens kontroll: Du har kontroll over IoT-funksjonen via appen. Dersom du for eksempel selger elsykkelen videre eller av andre grunner ønsker å koble den fra, kan du avregistrere sykkelen fra kontoen din. Da slutter IoT-enheten å være knyttet til deg, og vi opphører å behandle dataene som dine personopplysninger. (Dataene kan da enten slettes eller anonymiseres – se punkt 8 om lagringstider.) Den nye eieren kan registrere sykkelen på seg, og det opprettes en ny kobling til den personens konto. Dersom du avslutter IoT-abonnementet ditt (f.eks. Ecoride Track eller Safe), vil sanntidsovervåkingen deaktiveres etter abonnementsperiodens utløp. Vi kan beholde noe historikk i en kort periode etter avslutning, men deretter slettes eller anonymiseres opplysningene knyttet til deg.

  • Personvernhensyn: Vi er klar over at data som GPS-posisjoner og bevegelsesmønstre er sensitive. Slike data behandles derfor med ekstra varsomhet. Vi deler ikke IoT-rådata som kan knyttes til deg med utenforstående uten ditt uttrykkelige samtykke eller oppdrag (med unntak av spesielle omstendigheter som myndighetspålegg i forbindelse med etterforskning). All bruk av IoT-informasjon følger formålene angitt ovenfor og skjer i samsvar med gjeldende personvernregler.

5. Utvidet bruk av anonymiserte data (statistikk og innsikter)

Ecoride bruker – i tillegg til den individuelle bruken av IoT-data for deg som kunde – også innsamlede data på et overordnet og anonymisert nivå for å utlede verdifulle innsikter. Dette skjer i samarbeid med partnere som opptrer som databehandlere for oss til dette formålet. Dette innebærer blant annet:

  • Formål: Ved å analysere store mengder data fra oppkoblede sykler kan vi identifisere mønstre og trender i hvordan elsykler brukes i ulike miljøer. Slike innsikter kan være verdifulle for eksterne interessenter som kommuner, trafikkplanleggere eller forskningsprosjekter – f.eks. statistikk over gjennomsnittlige pendlingsdistanser, populære sykkelruter, batteribruk per sesong eller værpåvirkning – uten å avsløre informasjon om enkeltbrukere. Dette kan bidra til bedre sykkelinfrastruktur og samtidig gi Ecoride muligheter til å tilby datadrevne innsikter.

  • Anonymisering og aggregering: Personlige IoT-data anonymiseres før deling med tredjepart. Anonymisering innebærer at direkte og indirekte identifiserende opplysninger fjernes eller endres slik at individer ikke kan identifiseres. Vi bruker tekniske metoder for å redusere risiko for re-identifisering og kombinerer data fra mange brukere slik at rapportene kun viser samlet statistikk. Eksempelvis kan vi rapportere at «den gjennomsnittlige pendleren sykler X km per dag i Göteborg» eller «i fjor ble det syklet totalt Y mil med Ecoride-sykler i Stockholm», uten at personlige detaljer framgår.

  • Deling av innsikter: Etter analyse kan aggregerte rapporter eller dashboards deles med utvalgte tredjeparter, f.eks. en kommune eller en samarbeidspartner i transportsektoren. Kun anonymisert og aggregert informasjon deles. Tredjeparter får ikke rådata eller individuelle opplysninger, kun overordnede resultater.

  • Konfidensialitet og sikkerhet: Eksterne partnere er bundet av databehandleravtaler og kan kun behandle data etter våre instrukser. Rådata som behandles i analyseprosessen beskyttes med samme høye sikkerhetsnivå som andre personopplysninger. Partneren kan ikke beholde eller bruke opplysningene til eget formål, og all håndtering loggføres og kontrolleres. Dersom det oppstår tvil om data er tilstrekkelig anonym (f.eks. ved små lokalsamfunn), vil vi avstå fra å dele eller innhente ytterligere samtykke ved behov.

Oppsummert: Ved å bruke våre IoT-funksjoner bidrar du anonymt til generell kunnskap som kan gagne samfunnet (f.eks. bedre sykkelinfrastruktur), men ingen utenforstående vil kunne knytte innsiktene til deg som individ. Har du spørsmål eller innsigelser, er du velkommen til å kontakte oss.

6. Mottakere av personopplysninger

Ecoride selger ikke personopplysningene dine til tredjeparter. Vi deler likevel enkelte opplysninger med samarbeidspartnere og leverandører når det er nødvendig for å drive virksomheten og levere produkter/tjenester til deg – eller når vi er lovpålagt å utlevere informasjon. Vi sikrer gjennom avtaler og sikkerhetsrutiner at eksterne parter beskytter personopplysningene. Kategorier av mottakere kan være:

  • Betalingsleverandører: For å håndtere betalinger bruker vi eksterne betalingstjenester. Vi samarbeider f.eks. med Qliro AB for faktura- og delbetaling. Velger du faktura, deles informasjon (navn, kontaktopplysninger, personnummer og kjøpsbeløp) med Qliro, som gjennomfører nødvendige kredittsjekker og administrerer betalingen. Kortbetalinger går via betalingsløsninger/banker (f.eks. kortnettverk eller PayPal/Swish der dette er relevant) som mottar nødvendige transaksjonsopplysninger. Disse partene er ofte selvstendige behandlingsansvarlige for sin behandling, men vi deler kun det som er nødvendig, og de kan ikke bruke opplysningene til andre formål enn å gjennomføre betalingen.

  • Leverings- og logistikkpartnere: Ved levering deler vi adresse og kontaktinformasjon med transportører (f.eks. DHL, PostNord eller tilsvarende). De kan kontakte deg for varsling. Vi utleverer kun relevante opplysninger (navn, adresse, telefon/e-post for varsling og eventuelt verdi/innhold for forsikring/toll).

  • IT- og systemleverandører: Vi bruker flere IT-systemer for nettsted, netthandel, kundehåndtering, IoT-plattform, e-postutsendelser m.m. Eksterne leverandører kan få tilgang til personopplysninger som databehandlere på våre vegne, f.eks. webhotell/plattform, sky- og backup-tjenester, e-post-/nyhetsbrevleverandører samt underleverandører som utvikler og vedlikeholder appen og IoT-systemet. Disse er bundet av databehandleravtaler og kan kun behandle opplysninger etter våre instrukser.

  • Partner for dataanalyse: Som nevnt i punkt 5 bruker vi partnere til analyse av IoT-data for å lage anonymiserte innsikter. Partneren er databehandler og kan ha midlertidig tilgang til rådata i analyseprosessen, men kan ikke dele eller bruke personopplysningene til egne formål. Kun anonymiserte resultater deles videre.

  • Servicepartnere og forhandlere: Dersom du bestiller service via appen eller kundeservice hos et verksted i vårt nettverk, deler vi nødvendige opplysninger (navn, kontakt, sykkelmodell/ID og relevant servicehistorikk) slik at verkstedet kan utføre arbeidet. Ved garanti-/reklamasjonssaker kan vi også utveksle opplysninger med forhandler/butikk for å koordinere tiltak. Verksteder/forhandlere er ofte selvstendige behandlingsansvarlige for sin kundehåndtering, men vi har samarbeidsavtaler med databeskyttelsesforpliktelser. De kan kun bruke opplysningene til å levere service/garanti til deg, ikke til egne formål (med mindre du blir deres kunde direkte).

  • Myndigheter og lovpålagte mottakere: Vi kan måtte utlevere personopplysninger til myndigheter (f.eks. politiet eller Skatteverket) dersom vi er lovpålagt eller har mottatt et gyldig pålegg. Dette kan også gjelde utlevering i forbindelse med etterforskning av sykkeltyveri, eller ved forsikringssaker (f.eks. i forbindelse med Ecoride Safe tyveriforsikring) der relevante opplysninger må deles med forsikringsgiver, forutsatt lovlig grunnlag.

Vi har skriftlige avtaler med alle databehandlere som behandler data på våre vegne, og vi stiller krav om at eventuelle underdatabehandlere følger de samme reglene. Dersom en mottaker befinner seg utenfor EU/EØS, se punkt 7 om hvordan vi sikrer beskyttelse.

7. Overføring av data til tredjeland

Ecoride tilstreber å behandle og lagre personopplysninger innenfor EU/EØS så langt det er mulig, slik at opplysningene omfattes av EUs databeskyttelsesnivå. Vi tilstreber alltid å behandle dine personopplysninger innenfor EU/EØS. IT-systemene og tjenestene vi bruker, inkludert datalagring (datasentre), er plassert innenfor EU. Vi overfører ikke dine personopplysninger til tredjeland (land utenfor EU/EØS).

8. Lagringstider

Vi lagrer ikke personopplysninger lenger enn nødvendig for hvert formål. Lagringstidene avhenger av lovkrav og våre behov for å oppfylle avtaler eller yte service. Når opplysningene ikke lenger trengs, sletter vi dem eller anonymiserer dem. Våre retningslinjer inkluderer blant annet:

  • Kjøps- og kundeopplysninger: Opplysninger knyttet til kjøpet (kontaktopplysninger, ordrehistorikk, kvittering/faktura, garantiopplysninger) lagres så lenge du er en aktiv kunde og deretter normalt i tre år etter siste kjøp. Tre år samsvarer ofte med reklamasjons-/garantiperioder. Enkelte opplysninger lagres lenger på grunn av lovkrav – f.eks. bokføringsloven, som krever at regnskapsinformasjon oppbevares i minst sju år etter regnskapsårets slutt. Det innebærer at fakturaer/kvitteringer kan lagres i opptil sju år.

  • Kundekontoer: Dersom du har opprettet konto (“Min Ecoride”), beholder vi opplysningene så lenge kontoen er aktiv. Ved lengre inaktivitet kan vi kontakte deg og eventuelt slette kontoen. Dersom du selv sletter kontoen, fjerner/anonymiserer vi kontodata innen kort tid, med mindre noe må lagres av andre grunner (f.eks. bokføring).

  • IoT- og appdata: Personopplysninger knyttet til IoT-tjenesten lagres så lenge du har en aktiv IoT-tjeneste og dataene trengs for funksjonene. Dersom du avslutter abonnementet eller avregistrerer sykkelen, slutter vi å samle inn nye data. Historiske, personknyttede IoT-data slettes eller anonymiseres innen relativt kort tid. Personopplysninger direkte knyttet til bruken av funksjonene (GPS-posisjonering og kjøretdata) lagres i 12 måneder, deretter slettes/anonymiseres de. (Anonymiserte, aggregerte data kan beholdes lenger, jf. punkt 5.) Dersom du ikke aktiverer IoT-funksjonen, lagres kun basisdata (f.eks. sykkel-ID knyttet til kjøp/garanti), og det samles ikke inn løpende posisjons-/bruksdata.

  • Korrespondanse og kundesaker: Kommunikasjon (e-post, chatlogger, supportsaker, reklamasjoner) lagres så lenge saken er aktuell og ofte en periode etterpå. En generell retningslinje er opptil 1 år etter at en vanlig sak er lukket. Reklamasjons-/garantisaker kan lagres lengre – minst i reklamasjons-/garantitiden (f.eks. 3 år fra kjøp, eller lengre ved utvidet garanti) – og noen ganger opptil 10 år dersom det gjelder mulig produktansvar (foreldelse kan være 10 år). Sensitive opplysninger (f.eks. personnummer i kredittopplysninger eller helseopplysninger du utilsiktet oppgir) slettes når de ikke lenger er nødvendige.

  • Markedsføringsopplysninger: Kontaktopplysninger for nyhetsbrev/markedsføring beholdes så lenge du abonnerer. Ved avmelding fjernes e-postadressen din umiddelbart fra utsendelseslisten. Vi kan likevel lagre dokumentasjon på samtykke/avmelding en periode (ofte 1 år) for å kunne dokumentere etterlevelse. Ved langvarig inaktivitet (f.eks. gjentatte “bounces”) kan vi også fjerne deg fra lister.

  • Arrangement- og konkurransedata: Opplysninger knyttet til arrangementer/konkurranser lagres under arrangementet og en rimelig periode etterpå for oppfølging. Deltakerlister slettes normalt innen et par måneder etter avslutning, med mindre opplysninger må beholdes lenger (f.eks. for å utbetale premie eller av hensyn til skatterapportering).

Etter utløp av lagringsperiodene slettes opplysningene på en sikker måte, eller anonymiseres slik at de ikke kan knyttes til deg.

Unntak – lengre lagring: Vi kan lagre opplysninger lenger enn angitt i særskilte tilfeller, f.eks. ved pågående tvist, juridisk prosess eller garantisak der opplysningene utgjør dokumentasjon. I slike tilfeller beholdes relevante data til saken er endelig avsluttet. Lagring kan også forlenges dersom du har pågående dialog med oss (f.eks. en forespørsel som ennå ikke har resultert i kjøp). Vi etterstreber likevel alltid å ikke lagre opplysninger lenger enn nødvendig.

9. Dine rettigheter etter GDPR

Som registrert har du en rekke rettigheter:

  • Rett til informasjon og innsyn (registerutskrift): Du har rett til å få bekreftet om vi behandler personopplysninger om deg, og i så fall få informasjon om hvilke opplysninger og formål, samt få en kopi av opplysningene. Vi må verifisere identiteten din før utlevering. Registerutskrift er gratis én gang per 12 måneder; ved gjentatte forespørsler kan vi ta et administrativt gebyr i henhold til loven. Normalt svarer vi innen 1 måned.

  • Rett til retting: Du har rett til å få uriktige eller ufullstendige opplysninger rettet/komplettert uten unødig forsinkelse.

  • Rett til sletting (“retten til å bli glemt”): Under visse omstendigheter kan du be om sletting, f.eks. dersom opplysningene ikke lenger trengs, samtykke trekkes tilbake, du protesterer mot berettiget interesse uten at vi har tyngre grunner, eller behandlingen er ulovlig. Retten er ikke absolutt – vi kan være forpliktet til å lagre enkelte opplysninger (f.eks. bokføringskrav) eller beholde data for å forsvare rettskrav. Vi informerer deg dersom vi ikke kan slette og begrenser da bruken til nødvendig formål.

  • Rett til begrensning av behandling: Du kan be om at behandlingen begrenses i visse situasjoner (f.eks. dersom du bestrider riktigheten eller har protestert mot berettiget interesse). Da kan vi i hovedsak kun lagre opplysningene midlertidig.

  • Rett til dataportabilitet: For opplysninger du selv har gitt oss, og som behandles automatisk på grunnlag av samtykke eller avtale, kan du be om å få dem utlevert i et strukturert, alminnelig brukt og maskinlesbart format, og/eller overført til en annen behandlingsansvarlig der det er teknisk mulig. Dette kan være aktuelt f.eks. for kontodata eller IoT-data du har generert.

  • Rett til å protestere mot behandling:

    • Direkte markedsføring: Du kan når som helst protestere mot at vi bruker opplysninger til direkte markedsføring. Dette er en absolutt rett, og vi stopper umiddelbart slik behandling. Avmelding via lenke i e-post er en enkel måte.

    • Berettiget interesse: Dersom behandlingen er basert på berettiget interesse, kan du protestere av grunner knyttet til din situasjon. Vi må da vise tvingende berettigede grunner som veier tyngre enn dine interesser/rettigheter, ellers må vi stanse behandlingen.

  • Rett til å trekke tilbake samtykke: Når behandling er basert på samtykke, kan du når som helst trekke dette tilbake. Da stopper vi samtykkebasert behandling. Tilbaketrekking påvirker ikke lovligheten av tidligere behandling. Dersom samme opplysning behandles på annet grunnlag (f.eks. avtale/lov), kan den fortsatt behandles for det formålet.

  • Rett til å klage til tilsynsmyndighet: Dersom du mener vi bryter GDPR, kan du klage til tilsynsmyndigheten. I Sverige er dette Integritetsskyddsmyndigheten (IMY) (tidligere Datainspektionen). Du kan lese mer på imy.se. Vi setter pris på om du også kontakter oss først, men du står fritt til å klage når som helst. Oppholder du deg i et annet EU-land, kan du også kontakte tilsynsmyndigheten der.

Vi hjelper deg med å utøve rettighetene dine kostnadsfritt. Dersom vi ikke kan oppfylle en forespørsel, forklarer vi hvorfor. Vi tilstreber å svare innen 1 måned, men kan ved behov forlenge med ytterligere 2 måneder (du vil da bli informert).

10. Sikkerhet for dine personopplysninger

Ecoride tar informasjonssikkerhet på alvor. Vi iverksetter tekniske og organisatoriske tiltak for å beskytte personopplysninger mot uautorisert tilgang, tap, endring eller spredning. Tiltak inkluderer blant annet:

  • Begrenset tilgang: Kun autoriserte ansatte (og betrodde IT-partnere) med behov for tilgang får det. Vi bruker interne tilgangskontroller og rollebasert tilgang. Ansatte er opplært og bundet av taushetsplikt. Tilganger fjernes/endres ved rollebytte eller når ansettelse avsluttes.

  • Kryptering og pseudonymisering: Følsomme opplysninger (f.eks. passord, betalingsinformasjon, overføring av GPS-data) beskyttes med kryptering ved overføring og lagring der det er mulig. Nettstedet bruker HTTPS/SSL, og IoT-kommunikasjonen er kryptert. Vi pseudonymiserer data der det er mulig, f.eks. ved å bruke kunde-ID i stedet for navn i analysemiljøer.

  • Brannmurer og nettverkssikkerhet: Vi beskytter systemene våre med moderne brannmurer, antivirus og inntrengningsdeteksjon. Våre skyleverandører har også robuste sikkerhetstiltak og døgnkontinuerlig overvåking.

  • Sikker utvikling og testing: Vi følger prinsippene om innebygd personvern og personvern som standard. Nye funksjoner testes i sikre testmiljøer med anonymiserte testdata.

  • Løpende risikovurdering: Vi vurderer jevnlig risiko og oppdaterer sikkerhetstiltak. Vi gjennomfører gjennomganger, penetrasjonstester og følger anbefalinger fra bl.a. IMY og MCF (Myndigheten för civilt försvar) om IT-sikkerhet.

  • Håndtering av hendelser: Vi har en plan for håndtering av personopplysningsbrudd. Ved en hendelse handler vi raskt for å begrense skade, undersøke og forebygge. Hendelser dokumenteres. Ved alvorlige hendelser varsler vi deg og melder til IMY innen 72 timer i tråd med GDPR.

  • Leverandørsikkerhet: Vi stiller strenge krav til leverandørers sikkerhetsarbeid gjennom databehandleravtaler. Der det er relevant, kontrollerer vi sertifiseringer (f.eks. ISO 27001). Ved sårbarheter eller hendelser samarbeider vi tett for å sikre beskyttelse.

Kort sagt behandles opplysningene dine med konfidensialitet, integritet og tilgjengelighet i fokus. Har du spørsmål om datasikkerhet, kan du kontakte oss, men vi kan av sikkerhetsgrunner ikke dele alle detaljer (da dette kan utnyttes av ondsinnede). Du skal likevel kunne føle deg trygg på at vi beskytter personopplysningene dine – det er en sentral del av vår virksomhet.

11. Cookies og sporingsteknologier

På nettstedet ecoride.com bruker vi cookies og lignende teknologier for å gi deg en god og personlig opplevelse. Cookies er små tekstfiler som lagres på enheten din (datamaskin, mobil osv.) når du besøker nettstedet. De hjelper med grunnleggende funksjoner som handlekurv og innlogging, og kan også brukes til trafikk-analyse og for å huske preferanser.

Vi har en egen cookiepolicy som i detalj beskriver hvilke cookies vi bruker, formålene, hvilke tredjeparter som er involvert og hvordan du kan administrere innstillingene dine. Vi anbefaler at du leser denne for full informasjon. Du kan når som helst endre eller trekke tilbake samtykke til ikke-nødvendige cookies via innstillingene på nettstedet (f.eks. cookie-banner/verktøy).

Merk at noen cookies er nødvendige for at nettbutikken skal fungere (f.eks. holde deg innlogget eller huske varer i handlekurven), og disse settes med grunnlag i berettiget interesse/unntak i loven. Andre, ikke-nødvendige cookies (f.eks. for analyse eller personlig markedsføring) settes kun med ditt samtykke. Når du besøker ecoride.com første gang, ber vi om samtykke til de ulike cookie-kategoriene.

For mer informasjon, se Ecorides cookiepolicy (tilgjengelig på nettstedet eller via “Cookies” nederst på siden).

12. Endringer i denne erklæringen

Denne personvernerklæringen kan oppdateres fra tid til annen, for eksempel ved endringer i vår behandling av personopplysninger eller dersom lovgivningen endres. Vi forbeholder oss retten til å gjøre endringer, men ved større, vesentlige endringer vil vi informere deg tydelig.

Hvordan vi varsler: Mindre justeringer (som ikke påvirker rettighetene dine eller våre plikter vesentlig) kan gjennomføres ved at vi publiserer oppdatert erklæring på nettstedet. Dato for siste oppdatering endres da i teksten. Ved mer vesentlige endringer – f.eks. hvis vi begynner å samle inn nye typer data eller endrer hvordan/hvorfor vi bruker opplysninger – varsler vi deg på forhånd via egnede kanaler. Dette kan være e-post (hvis vi har den), popup-melding på nettstedet og/eller via appen. Slik får du anledning til å lese endringene og eventuelt protestere eller avslutte en tjeneste dersom du ikke ønsker å samtykke til nye vilkår (i den grad behandling baseres på samtykke).

Vi angir alltid når erklæringen sist ble oppdatert. Versjonen du leser nå er sist oppdatert som angitt nedenfor. Eldre versjoner kan gjøres tilgjengelig på forespørsel dersom du vil sammenligne endringer.

Ved å fortsette å bruke våre tjenester etter at en oppdatert personvernerklæring har trådt i kraft, anses du å ha gjort deg kjent med den. Vi anbefaler likevel at du leser erklæringen med jevne mellomrom for å holde deg oppdatert på hvordan vi beskytter personvernet ditt.

Har du spørsmål om denne erklæringen eller hvordan Ecoride AB håndterer personopplysningene dine? Ikke nøl med å kontakte oss på info@ecoride.com eller +46 744 10 22 12. Vi setter pris på tilliten din og gjør vårt beste for å ivareta den gjennom ansvarlig behandling av opplysningene dine.

Sist oppdatert: 2026-02-01