Endelig kontrollrapport Kontrollobjekt: Fjellinjen AS Sted: Oslo



Like dokumenter
Endelig kontrollrapport Kontrollobjekt: E18 Vestfold AS Sted: Drammen

Anonymitet og sletterutiner i automatiske bomstasjoner

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

E6 Øyer Tretten. 17. desember kl 12 starter innkreving av bompenger på. autopass.no

Lydopptak og personopplysningsloven

E6 Gardermoen Kolomoen

Foreløpig kontrollrapport

Foreløpig kontrollrapport

Endelig kontrollrapport

PERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Fosenpakken. 1. januar 2012 starter innkreving av bompenger i. autopass.no

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Personvernerklæring for Clemco Norge AS

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Vår referanse (bes oppgitt ved svar)

Personvernerklæring for Eurofins norske selskaper

Deres ref Vår ref (bes oppgitt ved svar) Dato

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

19. oktober kl starter innkreving av bompenger på Rv. 255 Gausdalsvegen og fv. 315 Baklivegen

Endelig kontrollrapport

Personvernerklæring. Innledning. Om personopplysninger og regelverket

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Mal for innhenting av informert samtykke

Registreringsskjema. Søknad om kundekonto (fyll ut alle felt) Ønsker dere faktura på e-post? JA NEI

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Personvern for mobilkunder hos Fjordkraft

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Denne personvernerklæringen forteller hvordan Pelimoo.no samler inn og behandler personopplysninger.

- IVER 1. OM TJENESTEN

Personvernerklæring for Søknadsweb

Databehandleravtaler

Kontroll av reseptformidleren endelig kontrollrapport

Personvernerklæring Meldal Regnskapskontor SA

Personvernerklæring for EVUweb - søkere

Elektroniske spor. Senioringeniør Atle Årnes Radisson SAS Scandinavia Hotel, Holbergsgate 30

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Hvor går Datatilsynets grenser? Norvegfinans konferansen 18. september Direktør Bjørn Erik Thon

BEHANDLING AV PERSONOPPLYSNINGER

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

PERSONVERNERKLÆRING FOR LEXIT GROUP AS

Personvernerklæring for EVUweb - søkere

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Databehandleravtale etter personopplysningsloven

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Endelig kontrollrapport

Personvernerklæring for Vesterålsprodukter AS

Personvernerklæring for Søknadsweb

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Når du ønsker å inngå en avtale med oss, må vi registrere nødvendig informasjon for å levere tjenester vedrørende din tilknytning til strømnettet.

Personvernerklæring for Søknadsweb

Endelig kontrollrapport

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid

Deres ref Vår ref (bes oppgitt ved svar) Dato 2004/ BSD HELAUTOMATISK BOMSTASJONER I TØNSBERG OG BERGEN - PÅLEGG OM KONSESJONSPLIKT

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Personvernerklæring for medlemmer

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Personvernerklæring for Studentweb

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

PERSONVERNERKLÆRING FORUM SECURITIES AS

Brukerinstruks Informasjonssikkerhet

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Utforming av nettsider for bompengeanlegg Revidert mai 2010

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Internkontroll og informasjonssikkerhet lover og standarder

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

Denne personvernerklæringen gjelder for alle produkter og tjenester levert av Sima AS.

PERSONVERNERKLÆRING. Innledning

Endelig kontrollrapport

Vilkår for abonnement og bruk av Dagsavisens tjenester

Personvernerklæring. Akasia Barnehage AS

Personvernerklæring for Kong Arthur Admin (KA Admin)

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

Endelig kontrollrapport

Personvernerklæring Urkund

Personvernerklæring for Studentweb

INFORMASJON OM BEHANDLING AV PERSONOPPLYSNINGENE DINE

OVERSENDELSE AV KLAGE PÅLEGG OM KONSESJONSPLIKT FOR HELAUTOMATISKE BOMSTASJONER

Vår referanse (bes oppgitt ved svar)

PERSONVERNPOLICY Slik behandler ABAX personopplysninger

Personvernerklæring for Cristin (Current Research Information System in Norway)

PERSONVERNERKLÆRING FOR KUNDER I SPRETT AKTIVITETSPARK KOLBOTN AS

VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT

Transkript:

Saksnummer: 09/00196-7 Dato for kontroll: 31.03.2009 Rapportdato: 3. juli 2009 Endelig kontrollrapport Kontrollobjekt: Fjellinjen AS Sted: Oslo Utarbeidet av: Jørgen Skorstad og Atle Årnes 1 Innledning Datatilsynet gjennomførte kontroll hos Fjellinjen AS (heretter omtalt som Fjellinjen eller virksomheten ) den 31. mars 2009. Kontrollen ble gjennomført i medhold av personopplysningsloven 44, jf. 42 tredje ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig dens håndtering av passeringsopplysninger. 1 Kontrollen ble gjennomført ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Jacob Trondsen, Adm. Dir. - Lars Lind, EDB-sjef - Ole Chr. Frantzvaag, Driftsleder (i en del av kontrollen) 2.2 Fra Datatilsynet: - Jørgen Skorstad, juridisk rådgiver - Atle Årnes, senioringeniør 3 Generelt Den 1. februar 2008 gikk Fjellinjen over til helautomatisk bompengeinnkrevning i Oslo og Bærum. Konsesjon til å behandle personopplysninger i denne forbindelse ble gitt av Datatilsynet 11. desember 2007. Konsesjonen er tidsbegrenset til 31. desember 2009. Behandlingsansvaret er delt mellom Statens vegvesen og Fjellinjen. I konsesjonen er det satt følgende vilkår for behandlingen: 1. Det skal etableres en alternativ betalingsløsning hvor: 1 Det vil i korthet si informasjon om det passerende kjøretøy, den passerte bomstasjon og tidspunktet for passeringen. 1 av 9

a. lengste lagring av reservekopi passerings/betalingsopplysninger i bomstasjonen ikke overstiger 72 timer b. behandling i sentralsystemet fører til sletting av opplysningene innen en time i normaltilfelle og innen 24 timer for fremmedpasseringer c. tilganger til passerings og/eller betalingsdata baseres på tjenestelig behov. 2. Det skal informeres aktivt om betalingsalternativet, jf. pkt. 1 ovenfor, som skal være prismessig likeverdig og tilgjengelig samsvarende med de øvrige betalingsalternativer. 3. Statens vegvesen skal iverksette og gjennomføre en årlig uavhengig systemrevisjon hos bomselskapene for å sikre at forutsetningene for konsesjonen er ivaretatt. 4. Statens vegvesen skal aktivt informere alle innehavere av den automatiske betalingsløsningen om at det benyttes teknologi for fjernavlesning og at teknologien kan benyttes til å lokalisere kjøretøyet. 5. Det skal tilbys en løsning som gjør det mulig for bilisten til enhver tid å velge mellom forskjellige betalingsløsninger, blant annet avhengig av hvem som skal betale for passeringen (eks. privat/arbeidsgiver). 6. Passerings- og/eller betalingsopplysninger skal ikke utleveres med mindre det foreligger hjemmel i lov eller samtykke fra innehaveren. 7. Passerings- og/eller betalingsopplysninger skal ikke sammenstilles med opplysninger utledet fra andre overvåkingsinnretninger, med mindre det foreligger hjemmel i lov eller er basert på samtykke fra innehaveren. 8. Det er bare ikke-godkjente passeringer som kan avfotograferes. 18. desember 2008 sendte Datatilsynet et varsel om pålegg til Fjellinjen, om begrenset lagringstid av passeringsopplysninger. Datatilsynets varsel gikk ut på at det ville bli fattet vedtak om at lagringstiden for passeringsopplysninger om innehavere av forskuddsbetalte verdikort måtte reduseres til én måned. Fjellinjen svarte i brev av 7. januar 2009 at en lagringstid på en måned vil være urimelig kort, både i forhold til kundenes mulighet til å utøve kontroll og i forhold til klagebehandlingen. Fjellinjen ga deretter uttrykk for at det avventet en tilbakemelding, og at det så frem til et eventuelt møte med Datatilsynet. Kontrollen hos Fjellinjen den 31. mars 2009 er således også å anse som en oppfølging av nevnte sak (Datatilsynets saksnummer 08/01072). Fjellinjen har 19 bomstasjoner rundt Oslo. Dette innebærer at bilførere som ønsker å forflytte seg til Oslo fra en annen kant av landet, med nødvendighet må passere minst en bomstasjon. Fjellinjen har også ni bomstasjoner ved Lysakerelven, den såkalte Bærumsringen, som utgjør en ytre bomring for biler som skal inn til Oslo vestfra. 2 Bomstasjonene er automatiske og dermed uten betjening, myntinnkast eller kortleser. Hver gang et kjøretøy passerer en av disse 2 Jf. www.fjellinjen.no/om_oss/bomstasjonene/ 2 av 9

bomstasjonene, genereres en transaksjon, samtidig som det registreres og lagres opplysninger om passeringen. 3 Fjellinjen tilbyr ulike betalingsalternativer: AutoPASS-avtale med elektronisk brikke betales forskuddsvis. Denne løsningen gir rabatt man faktureres bare for en passering i timen, og kun for 60 passeringer i måneden. Det eksisterer en variant av avtalen, som innebærer at kunden kan kreve at passeringsdata slettes etter 72 timer. Når et kjøretøy uten aktiv brikke passerer en av Fjellinjens bomstasjoner, tas det bilde av kjøretøyets bilskilter. Passeringsavgiften blir deretter sendt i posten til den juridiske eller fysiske personen som i motorvognregisteret er angitt som kjøretøyets eier. Førere av kjøretøy uten AutoPASS-avtale kan betale for passeringen på servicestasjon innen tre virkedager etter passeringen. Eieren av kjøretøyet vil da ikke få tilsendt faktura for passeringen. Betaling via SMS må skje innen tre virkedager. Denne betalingsløsningen er midlertidig ute av drift. Fjellinjen opplyste at det på kontrolltidspunktet hadde ca. 600.000 registrerte kundeavtaler. Av disse har rundt 25% etablert tilgang til Min side, hvor kundene blant annet kan se egne passeringsdata. Fjellinjen registrerer ca. 330 000 passeringer hver dag. Rundt 18% av disse er utført av kjøretøy uten brikke, som dermed blir fotografert. I tillegg har rundt 17% av de passerende kjøretøy brikke knyttet til avtale som er ugyldig på passeringstidspunktet, som blir fotografert av den grunn. Under kontrollen informerte for øvrig Fjellinjen om at det var installert nytt veikantutstyr i bomstasjonene fra 1. oktober 2008. Innen 1. oktober 2009 vil det bli tatt i bruk et nytt sentralsystem. Dette nye systemet vil være felles for bomselskapene i Norge. Fjellinjen er det siste av landets bomselskaper til å ta i bruk dette systemet. 4 Kort om behandlingene av personopplysninger Den som registrerer seg som kunde hos Fjellinjen, mottar en AutoPASS-brikke, som deretter monteres i kjøretøyet. Når kjøretøyet passerer en bomstasjon, avleses denne automatisk. Informasjon om den registrerte passeringen, det vil si passeringens tidspunkt og sted, samt brikkens unike nummer, sendes til sentralsystemet for lagring. Deretter gjøres det fratrekk for passeringen. Så fremt brikken fungerer som den skal ved passeringen, tas det ingen bilder. Dersom det passerende kjøretøy ikke er registrert med noen kundeavtale hos Fjellinjen, men tilsvarende avtale er registrert hos et annet bomselskap, utleveres passeringsopplysningene til det sistnevnte selskapet, til faktureringsformål. Forutsetningen for en slik utlevering, er at det foreligger gyldig samarbeidsavtale mellom Fjellinjen og det aktuelle bomselskapet. 3 Med mindre en bomstasjon allerede er passert mindre enn 60 minutter tidligere, og kunden er fakturert for denne passeringen, se nedenfor under første kulepunkt. 3 av 9

Kjøretøy som ikke har brikke, vil bli avfotografert ved passeringspunktet. Det samme gjelder kjøretøy som er utstyrt med mangelfullt fungerende brikke, eller dersom AutoPASS-avtalen det aktuelle kjøretøyet er registrert under er utløpt. Fotografiet som tas har fokus på kjøretøyets registreringsnummer, både foran og bak, slik at bilens skilter blir lesbare i størst mulig grad. Bildene danner grunnlag for den etterfølgende fakturering, ved at registreringsnummeret manuelt avleses og mates inn i virksomhetens databaser. Dersom nummeret ikke kan gjenfinnes, eller avtalen er utløpt, sendes faktura til den registrerte eier av kjøretøyet. Hvis fotograferingen utelukkende skyldes funksjonsfeil ved brikken eller avlesningsutstyret, trekkes passeringen manuelt fra på det resterende beløp registrert på kundekontoen. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Informasjon om behandling av personopplysninger og de registrertes rettigheter (bl.a. om innsyn, retting og sletting) 5.1.1 Personopplysningslovens krav I henhold til personopplysningsloven 19, har den behandlingsansvarlige informasjonsplikt når det samles inn opplysninger fra den registrerte. Informasjonen er viktig for at den registrerte skal gjøres i stand til å bruke sine rettigheter etter loven. Blant de opplysninger som den registrerte har krav på, skal særlig følgende nevnes: Informasjon om formålet med behandlingen Informasjon om hvorvidt opplysningene vil bli utlevert, og i så fall til hvem Informasjon om annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, jf. for eksempel 27 og 28. 5.1.2 Faktagrunnlag Under kontrollen tok tilsynet utgangspunkt i den informasjonen som Fjellinjen har kunngjort for de registrerte, og spesielt ble det fokusert på den informasjonen som var distribuert via virksomhetens nettsted. Informasjonen på nettstedet fremsto i flere tilfeller som mangelfull eller uklar. Enkelte av opplysningene stemte heller ikke overens med den behandling av personopplysninger som foregår i praksis. For eksempel var det oppgitt at de siste 100 passeringsopplysninger lagres i selve brikken, selv om denne lokale lagringen, etter det Datatilsynet forstår, opphørte 1. oktober 2008. Det ble videre opplyst at bildene av passerende kjøretøy slettes i underkant av ett døgn etter belastning, dersom Fjellinjen finner en avtale på det avbildede registreringsnummeret i virksomhetens databaser. Det gis imidlertid ingen opplysninger om at det kan ta lang tid før slike passeringer faktisk belastes, og at lagringstiden i realiteten dermed kan bli vesentlig lengre enn ett døgn. Denne informasjonen fremstår dermed som noe misvisende. Under 4 av 9

kontrollen ble det for øvrig avdekket et tilfelle hvor belastning først skjedde 82 dager etter at passering hadde funnet sted. På bakgrunn av de opplysninger som er gitt på Fjellinjens nettsted, fremsto det videre som uklart hvilken klagefrist den registrerte har å forholde seg til, dersom vedkommende skulle ha innsigelser mot en eller flere faktureringer. Virksomheten ga under kontrollen uklare tilbakemeldinger om hva som faktisk er de korrekte klagefrister i denne typen saker; på ett tidspunkt ble det uttalt at klagefristen faktisk aldri løper ut. Virksomheten gir ingen informasjon om hvorvidt passeringsdata utleveres til tredjeparter. Dette kan for eksempel gjelde skattemyndighetene. Det gis imidlertid ingen informasjon på nettsidene om hvordan virksomheten håndterer henvendelser av en slik karakter som nevnt. Det finnes heller ingen informasjon på Fjellinjens nettsider om hvor lenge passeringsdata blir lagret etter passeringer foretatt av kjøretøy uten (gyldig) AutoPASS-avtale. 5.1.3 Datatilsynets vurdering Ovennevnte er eksempler på mangelfull, uklar eller feilaktig informasjon som virksomheten gir til den registrerte. Dersom informasjonen som gis til kundene ikke er i samsvar med vilkårene i personopplysningsloven 19, vil dette utgjøre ett eller flere avvik i forhold til personopplysningsloven. Etter Datatilsynets vurdering, er de forhold som er beskrevet nedenfor i dette avsnittet, eksempler på slike avvik. Datatilsynet anser at den manglende informasjon om lagring av opplysninger om passerende kjøretøy uten gyldig AutoPASS-avtale er i strid med personopplysningsloven 19 første ledd bokstav e, jf. 28, eventuelt også 19 første ledd bokstav b. Slik informasjonen var formulert på kontrolltidspunktet, fremsto det som uklart hvorvidt passering uten brikke medfører at passeringsopplysningene lagres i 4 måneder, 4 år eller mer enn 10 år. Dersom Fjellinjen er forpliktet, etter hjemler i annen lov eller forskrift, til å oppbevare dokumentasjon inneholdende passeringsdata og oppbevaringen foregår på det sett som omfattet av personopplysningsloven 3 første ledd alternativ a eller b vil Fjellinjen også være forpliktet til å informere de registrerte om dette, jf. de ovenfor siterte bestemmelser. Dessuten følger det av 19 første ledd bokstav b at den behandlingsansvarlige er forpliktet til å opplyse om formålet med datalagringen, og dessuten om opplysningene vil bli utlevert og i så fall til hvem. 5.2 Krav om informasjonssikkerhet - Forholdsmessig sikring av personopplysninger 5.2.1 Personopplysningslovens krav I henhold til personopplysningsloven 13 skal den behandlingsansvarlige gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. 5 av 9

5.2.2 Faktagrunnlag Av Fjellinjens rundt 600 000 kunder, var det på kontrolltidspunktet kun 180 000 som hadde opprettet profiler for å kunne se de passeringsdata og andre personopplysninger som virksomheten gir tilgang til via sitt nettsted. For å åpne profil på dette nettstedet må kunden oppgi avtalenummer og bilens registreringsnummer. Ved åpning av profil blir kunden bedt om å legge inn et egenvalgt passord. Først når passordet er satt, vil profilen være utstyrt med et passord som i det minste gir en viss grad av beskyttelse. Dette betyr at 420 000 kunder har en ubeskyttet profil ute på Internett som inneholder både passeringsdata og andre personopplysninger. Kun kjennskap til avtalenummer og registreringsnummer er tilstrekkelig for å skaffe seg kontroll over en kundes profil. 5.2.3 Datatilsynets vurdering Datatilsynet anser at beskyttelsen av kundenes passeringsdata og andre personopplysninger ikke oppfyller kravene i personopplysningsloven 13 og personopplysningsforskriften 2-11. Kundens avtalenummer og bilens registreringsnummer anses ikke å gi tilstrekkelig sikkerhet for autentisering av at riktig person oppretter profil. Faren for at uvedkommende kan ta kontroll over profil og således ha muligheter til å foreta urettmessig overvåkning av kjøretøyets passeringer er overhengende. 5.3 Krav om informasjonssikkerhet - Tilgangskontroll 5.3.1 Personopplysningslovens krav I henhold til personopplysningsloven 13 skal den behandlingsansvarlige gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. I henhold til personopplysningsforskriften 2-8 skal medarbeiderne hos den behandlingsansvarlige bare bruke informasjonssystemet for å utføre pålagte oppgaver, og selv være autorisert for slik bruk. I henhold til personopplysningsforskriftens 2-11 skal det treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. 5.3.2 Faktagrunnlag Kundeservice hos Fjellinjen AS har tilgang til historiske opplysninger som inneholder både passeringsdata og andre personopplysninger. Ansatte i Fjellinjen AS hadde i tillegg tilgang til bildene som ble tatt i forbindelse med passering uten gyldig brikke. Fjellinjen AS lagrer også personopplysninger inkludert passeringsdata med hjemmel i annet lovverk. 5.3.3 Datatilsynets vurdering Datatilsynet anser at beskyttelsen av kundenes passeringsdata og andre personopplysninger ikke oppfyller kravene i personopplysningsloven 13 og personopplysningsforskriften 2-11. Datatilsynet anser at det ikke er nødvendig at ansatte i Fjellinjen AS, for eksempel kundeservice, skal ha tilgang til historiske passeringsdata på kunden. Faren for å foreta urettmessig overvåkning av kunder og deres passeringsdata er til stede. 6 av 9

5.4 Sletting av passeringsopplysninger 5.4.1 Sletting av passeringsdata kjøretøy med AutoPASS-avtale 5.4.1.1 Personopplysningslovens krav I henhold til personopplysningsloven 28, skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med den aktuelle behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. 5.4.1.2 Faktagrunnlag Kunder av Fjellinjen med brikke i kjøretøyet avfotograferes ikke ved bompassering, så fremt brikken virker som den skal. Opplysningene som genereres og registreres på slike kunder i forbindelse med passering, lagres i sentralsystemet hos Fjellinjen i 12 måneder. Formålet med innhentingen av passeringsopplysningene er her at Fjellinjen skal kunne fakturere passeringen. Faktureringen skjer ved at et beløp trekkes fra kundens forhåndsbetalte konto. For virksomhetens del, vil dermed formålet med innsamlingen og lagringen av opplysningene være oppfylt når beløpet er belastet kundens konto, se nedenfor under punkt 5.4.1.3. På nettstedet til Fjellinjen opplyses det dessuten: Generelt blir passeringsopplysninger for din avtale lagret i Fjellinjens systemer i inntil 12 måneder (2 til 3 måneder på Min side ) dette gjelder også passeringer i andre AutoPASS- og EasyGO-anlegg. Dette er ment som en service til deg, og som kontroll for eventuelle klager du måtte ha på ditt forbruk. Muligheten til å klage på en eventuell feilfakturering, vil kunne utgjøre et formål som kan være bestemmende for hvor lenge Fjellinjen har anledning til å lagre passeringsopplysninger. Dersom klagefristen er 30 dager etter belastning av kundens konto, vil for eksempel dette kunne forsvare en lagringstid på 30 dager. Tiden fra passering til belastning av kundens konto er vanligvis kort (en time). Under kontrollen kunne Fjellinjen imidlertid ikke gi noen konkrete opplysninger om hvor lang denne klagefristen er, og dermed fremsto det også som uklart hvor lenge passeringsopplysningene faktisk oppbevares. Kunden kan kun se de siste tre måneders passeringer på Min side. Fjellinjen lagrer imidlertid passeringsopplysningene i 12 måneder. Kunden må dermed ta kontakt med Fjellinjen for å få tilgang til mer enn tre måneder gamle passeringsopplysninger. Grunnen til at kundene mister direkte tilgang til passeringsopplysningene etter tre måneder, ble av Fjellinjen oppgitt å være av datateknisk art blant annet ble det uttrykt at håndteringen av store datamengder ville være problematisk av systemtekniske årsaker. Det er innført et passeringstak for kunder med gyldig AutoPASS-avtale på 60 passeringer per bil hver måned. Det innebærer at kunder med gyldig AutoPASS-avtale kan passere bommen flere ganger i løpet av en time med samme bil, uten å belastes for mer enn en passering. Passeringstaket på 60 passeringer per måned indikerer at passeringsdata bør kunne 7 av 9

lagres i en måned. Passeringstaket gjelder bare for Fjellinjens anlegg, fordelt på Oslo og Bærum. Passeringstaket påvirkes dermed ikke av passeringer ved andre anlegg i Norge. Fjellinjen tilbyr også en avtale hvoretter passeringsdata slettes innen 72 timer. Kunder med en slik avtale mister klageadgang og fordelene med passeringstak. Denne avtaletypen er ikke vurdert i rapporten. 5.4.1.3 Datatilsynets vurdering Formålet med den omtalte lagring av passeringsopplysninger er å kunne fakturere for kundens bompasseringer. I tillegg skal lagringen bidra til at den enkelte kunde gis anledning til å kontrollere at faktureringen har gått riktig for seg. På bakgrunn av disse omstendighetene, har Datatilsynet vanskelig for å se at lagring av passeringsopplysninger i 12 måneder lar seg forsvare, i lys av bestemmelsen i personopplysningsloven 28. For å ivareta de formål som Fjellinjen har anført, og som etter lovens 28 er avgjørende for lagringsspørsmålet, anser Datatilsynet at lagringsperioden må sees i sammenheng med klagefristen. 5.4.2 Sletting av passeringsdata kjøretøy uten AutoPASS-avtale 5.4.2.1 Personopplysningslovens krav I henhold til personopplysningsloven 28, skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med den aktuelle behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. 5.4.2.2 Faktagrunnlag Kjøretøy som passerer automatiske bomstasjoner uten brikke, med registreringsnummer som ikke er knyttet til kundeavtale med Fjellinjen, blir alltid avbildet ved passering. Bildene viser området rundt skiltet på bilen, i bilens bredde, både foran og bak. Datatilsynet fikk se et tilfeldig utvalg bilder under kontrollen. Disse bildene var alle tatt på en slik måte at bilfører og eventuelle passasjerer ikke var synlige. Passeringsdata og bilde lagres etter fotograferingen. Bildet legges til grunn for etterfakturering, og slettes 30 dager etter at kravet er betalt. Unntak gjelder for bilder tilknyttet klagesak vedrørende etterfakturering. Er det registrert en klagesak, beholdes altså bildene til saken er ferdig behandlet. Etterskuddsfaktura utstedes når det enkelte kjøretøy har foretatt passeringer for mer enn 100 kroner eller etter tre måneder, om beløpet er under 100 kroner. Fakturaen inneholder detaljer om hvilke passeringer det faktureres for. Grunnlaget for faktisk behov for lagringstid kan utledes av, fakturering etter tre måneder, med en måneds betalingsfrist og klagefrist på 30 dager fra det tidspunkt da kunden fikk kunnskap om belastningen. Dette vil si at den nødvendige lagringstid for passeringsdata ved etterskuddsfakturering, vil være maksimalt fire måneder, om da ikke klage innkommer. 8 av 9

Det ble opplyst at passeringsopplysningene fremgår på den dokumentasjonen som genereres i forbindelse med etterskuddsfakturering. Blant annet opplyses det om passeringstidspunktet, på minuttet, samt stedsnavn der den aktuelle bomstasjonen er plassert. Det ble videre anført at regelverket om bokføring krever at denne dokumentasjonen oppbevares i lengre tid. Fjellinjen oppbevare passeringsdetaljer inntil klageadgangen er utløpt, altså i maksimalt fire måneder. Videre, ble det opplyst av Fjellinjen, lagres passeringsdetaljer i henhold til bokføringsloven. Noen nærmere redegjørelser for det nevnte regelverket, og hvilke krav til oppbevaring av informasjon som regelverket oppstiller, ble imidlertid ikke gitt. 5.4.2.3 Datatilsynets vurdering Datatilsynet har ingen innvendinger mot at kunden får en samlefaktura, der passeringsopplysningene ikke fremgår. Det er bokføringslovens krav om spesifisering av passeringsdata på salgsdokumentet, samt lagringen av de samme opplysningene over lengre tid enn klagefristen, som er problematisk i forhold til personvernet. Før februar 2008 var det mulig å benytte kontantbetaling ved bompassering i Fjellinjen AS bomstasjoner. Det forelå den gang intet behov for å registrere hvem som passerte ved hjelp av kontant betaling. Overgang til helautomatisk betaling i februar 2008 ble begrunnet med at bomstasjonene skulle endres på grunn av at de var klare for utskiftning, samt at helautomatisk løsning ville gi bedre flyt i trafikken. For abonnenter med forskuddsbetalt avtale (med AutoPASS-brikke) lagres ikke passeringsdata i henhold til bokføringsloven ettersom salgsdokumentasjonen vil være produsert før passeringsopplysningene er oppstått. Derimot for de som passerer uten brikke eller uten gyldig brikke og som faktureres i ettertid, vil registrering av passeringsdata håndteres annerledes. For disse, som omfatter en forholdsvis mindre andel av de passeringene som foretas, lagres passeringsdata i henhold til bokføringsloven, siden salgsdokumentasjonen vil inneholde passeringsdata, etter det Datatilsynet har forstått. Det kan være i samfunnets interesse å lagre passeringsdata i anonymisert form for å kunne kontrollere Fjellinjens regnskap. Imidlertid finner Datatilsynet det ulogisk å lagre passeringsdata i identifiserbar form, utover klagefristen, kun for det mindretall som foretar bompassering uten gyldig brikke. Datatilsynet anser at historiske opplysninger, hvor mennesker reiser og beveger seg, er personopplysninger av en slik art som ikke bør lagres unødvendig. Dette spørsmålet, om lagring av spesifiserte passeringsdata i henhold til bokføringsloven, behandles ikke videre i denne rapport, men må eventuelt håndteres i egen sak. 9 av 9

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding