Endelig kontrollrapport Kontrollobjekt: E18 Vestfold AS Sted: Drammen



Like dokumenter
Endelig kontrollrapport Kontrollobjekt: Fjellinjen AS Sted: Oslo

Foreløpig kontrollrapport

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Anonymitet og sletterutiner i automatiske bomstasjoner

Lydopptak og personopplysningsloven

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR KUNDER I SPRETT AKTIVITETSPARK KOLBOTN AS

Foreløpig kontrollrapport

Endelig kontrollrapport

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Personvernerklæring for Eurofins norske selskaper

Deres ref Vår ref (bes oppgitt ved svar) Dato

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Endelig kontrollrapport

PERSONVERNERKLÆRING. Innledning

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

PERSONVERN Personopplysninger som lagres Hvilke personopplysninger behandler vi

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

E6 Øyer Tretten. 17. desember kl 12 starter innkreving av bompenger på. autopass.no

E6 Gardermoen Kolomoen

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

PERSONVERNERKLÆRING FOR LARSEN ADVOKATFIRMA AS. 1. Hvem vi behandler personopplysninger om

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Endelig kontrollrapport

Deres ref Vår ref (bes oppgitt ved svar) Dato 2004/ BSD HELAUTOMATISK BOMSTASJONER I TØNSBERG OG BERGEN - PÅLEGG OM KONSESJONSPLIKT

Endelig kontrollrapport

Personopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Personvernerklæring for Clemco Norge AS

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

PERSONVERNERKLÆRING FOR ADVOKATENE PÅ NORDSTRAND AS

Vår referanse (bes oppgitt ved svar)

- IVER 1. OM TJENESTEN

Endelig kontrollrapport

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Databehandleravtale etter personopplysningsloven

Endelig kontrollrapport

Hva koster anonymitet i bompengebetalingen?

Mal for innhenting av informert samtykke

OVERSENDELSE AV KLAGE PÅLEGG OM KONSESJONSPLIKT FOR HELAUTOMATISKE BOMSTASJONER

Personvernerklæring for Vesterålsprodukter AS

Denne personvernerklæringen forteller hvordan Pelimoo.no samler inn og behandler personopplysninger.

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Når du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:

Bilag 14 Databehandleravtale

Personvern for mobilkunder hos Fjordkraft

BEHANDLING AV PERSONOPPLYSNINGER

Drammen Bysykler er et lånesystem for sykler. For å kunne låne sykler fra Drammen Bysykler, må følgende betingelser oppfylles.

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Adressemekling. Innhold INNLEDNING AKTØRENE

19. oktober kl starter innkreving av bompenger på Rv. 255 Gausdalsvegen og fv. 315 Baklivegen

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Personvernerklæring for Webstep AS

Personvernerklæring. Hvorfor behandler vi personopplysninger om deg?

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

Hvor går Datatilsynets grenser? Norvegfinans konferansen 18. september Direktør Bjørn Erik Thon

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET JUDICIA DA

Kort innføring i personopplysningsloven

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Kontroll av reseptformidleren endelig kontrollrapport

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Personvernerklæring. Innledning. Om personopplysninger og regelverket

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Personvernerklæring for Kong Arthur Admin (KA Admin)

Elektroniske spor. Senioringeniør Atle Årnes Radisson SAS Scandinavia Hotel, Holbergsgate 30

Vilkår for abonnement og bruk av Dagsavisens tjenester

Endelig kontrollrapport

Personvernerklæring for Skagerak Kraft AS

Endelig kontrollrapport

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

DATABEHANDLERAVTALE Vedlegg til Avtale om Norlønn

Internkontroll og informasjonssikkerhet lover og standarder

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Generelle regler om behandling av personopplysninger i Eika Forsikring AS

Personvernerklæring for Søknadsweb

Databehandleravtaler

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.

Evjeklinikkens personvernerklæring for kunder, brukere av klinikkens nettsider og ved skriftlige henvendelser

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Fosenpakken. 1. januar 2012 starter innkreving av bompenger i. autopass.no

Transkript:

Saksnummer: 09/00197-8 Dato for kontroll: 15.04.2009 Rapportdato: 6. august 2009 Endelig kontrollrapport Kontrollobjekt: E18 Vestfold AS Sted: Drammen Utarbeidet av: Jørgen Skorstad og Atle Årnes 1 Innledning Datatilsynet gjennomførte kontroll hos E18 Vestfold AS (heretter: E18 Vestfold eller virksomheten ) den 15. april 2009. Kontrollen ble gjennomført i medhold av personopplysningsloven 44, jf. 42 tredje ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig dens håndtering av passeringsopplysninger. 1 Kontrollen ble gjennomført ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Sigmund Aasly, spesialrådgiver, delegert myndighet til å representere daglig leder - Erik Andersen, driftssjef 2.2 Fra Datatilsynet: - Jørgen Skorstad, juridisk rådgiver - Atle Årnes, senioringeniør 3 Generelt E18 Vestfold ble etablert 23. juni 1998 med Vestfold fylkeskommune som eier og med følgende formål: Selskapets formål er og del finansiere utbygging av firefelts E18 gjennom Vestfold fylke.. Virksomheten håndterer 3 bomstasjoner, henholdsvis Løvås, Hanekleiva og Ødegården. Løvås har 5 kjørefelt i hver retning henholdsvis 1 autopassfelt 1 autopassfelt og myntautomat 1 myntautomatfelt 2 manuelle felt 1 Det vil i korthet si informasjon om det passerende kjøretøy, den passerte bomstasjon og tidspunktet for passeringen. 1 av 10

Hanekleiva har 2 kjørefelt i hver retning henholdsvis 1 autopassfelt 1 myntautomatfelt Ødegården har 3 kjørefelt i hver retning henholdsvis 1 autopassfelt 2 myntautomatfelt Hver gang et kjøretøy passerer et felt i en bomstasjon, genereres en transaksjon, samtidig som det registreres og lagres opplysninger om passeringen. Virksomheten tilbyr forskjellige typer kundeavtaler, med ulike betalingsmåter: Autopassavtale med brikke gir rabatt. Myntinnkast Betaling manuelt med kontanter, eller kredittkort. E18 Vestfold har 45 500 kontrakter med kunder. I mars måned 2009 ble det tatt 120 000 bilder på anleggene i nordre Vestfold. Under kontrollen informerte E18 Vestfold om at det var installert nytt system for bompengeinnkreving fra 15. mai 2008. Dette nye sentralsystemet vil være et felles system for bomselskapene i Norge. Sentral infrastruktur for dette felles systemet ligger i Trondheim. Det er Q-Free i Trondheim som drifter løsningen i henhold til avtale med Statens vegvesen. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Personopplysninger behandles av virksomheten på følgende måter. Kunden kan registrere seg hos selskapet. Kunden mottar da en brikke for automatisk avlesing i bomstasjonene. Dersom brikken fungerer etter sin hensikt, skal det ikke tas bilde av skiltene til kunden ved passering. Informasjon om den registrerte passering sendes til sentralsystemet for lagring. Dersom det passerende kjøretøy ikke er registrert med noen kundeavtale hos virksomheten, men tilsvarende avtale er registrert hos et annet bomselskap, utleveres passeringsopplysningene til det sistnevnte selskapet, for fakturering. Forutsetningen for en slik utlevering, er at det foreligger gyldig samarbeidsavtale mellom E18 Vestfold og det aktuelle bomselskapet. Kjøretøy uten brikke skal ikke passere i autopassfeltet. Dersom et kjøretøy likevel passerer i autopassfeltet, uten gyldig avtale, blir det tatt et bilde av bilskiltet forfra, og kjøretøyets registrerte eier vil bli belastet med tilleggsavgift. Det er bildet av bilens registreringsnummer som danner grunnlag belastning av tilleggsavgiften, ved at registreringsnummeret manuelt avleses og mates inn i virksomhetens databaser. 2 av 10

Bilister som ikke har gyldig avtale, skal enten passere i felt med automat for myntinnkast eller i betjent felt for manuell betaling. Bilister som ikke betaler i kontantfeltene, blir tatt bilde av for ileggelse av tilleggsavgift. Ved korrekt kontant betaling med mynter/sedler tas det ikke bilde. Skjer betalingen for passeringen med kredittkort, blir kjøretøyet avbildet. Dette bildet lagres inntil betalingen har innkommet E18 Vestfold fra kredittkortselskapet. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Generelle krav i forhold til behandling av personopplysninger 5.1.1 Melde- og konsesjonsplikt E18 Vestfold har meldt behandlingen av personopplysninger til Datatilsynet av melding nummer 1646 av 6. november 2001. 5.2 Informasjon om innsyn, retting og sletting 5.2.1 Personopplysningslovens krav I henhold til personopplysningsloven 19 har den behandlingsansvarlige informasjonsplikt når det samles inn opplysninger fra den registrerte. Informasjonen er viktig for at den registrerte skal gjøres i stand til å bruke sine rettigheter etter loven. Blant de opplysninger som den registrerte har krav på, skal særlig følgende nevnes: Informasjon om formålet med behandlingen Informasjon om hvorvidt opplysningene vil bli utlevert, og i så fall til hvem Informasjon om annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, jf. for eksempel 27 og 28. 5.2.2 Faktagrunnlag Under kontrollen tok tilsynet utgangspunkt i den informasjonen som E18 Vestfold har kunngjort for de registrerte, og spesielt ble det fokusert på den informasjonen som var distribuert via virksomhetens nettsted. Virksomheten opplyser ikke til kunden hva slags data som samles inn i forbindelse med passering i de forskjellige felttyper. Det gis heller ingen opplysninger om hvor lenge passeringsdata blir lagret, hvor lenge bilder lagres eller når og hvor bildene tas. På bakgrunn av de opplysninger som er gitt på virksomhetens nettsted, fremsto det videre som uklart hvilken klagefrist den registrerte har å forholde seg til, dersom vedkommende skulle ha innsigelser mot en eller flere faktureringer. Virksomheten ga under kontrollen uklare 3 av 10

tilbakemeldinger om hva som faktisk er de korrekte klagefrister i denne typen saker; på ett tidspunkt ble det uttalt at klagefristen faktisk aldri løper ut. Virksomheten gir ingen informasjon om hvorvidt passeringsdata utleveres til tredjeparter. Etter det tilsynet er kjent med, kan for eksempel lignings- og skattemyndighetene kreve opplysninger utlevert fra bomselskapene. Det gis imidlertid ingen informasjon på nettsidene om hvordan virksomheten håndterer henvendelser av en slik karakter som omtalt, fra de nevnte instanser. 5.2.3 Datatilsynets vurdering Ovennevnte er eksempler på mangelfull, uklar eller feilaktig informasjon som virksomheten gir til den registrerte. Dersom informasjonen som gis til kundene ikke er i samsvar med vilkårene i personopplysningsloven 19, vil dette utgjøre ett eller flere avvik i forhold til personopplysningsloven. Etter Datatilsynets vurdering, er de forhold som er beskrevet nedenfor i dette avsnittet, eksempler på slike avvik. Datatilsynet anser at den manglende informasjon om lagring av opplysninger om passerende kjøretøy uten gyldig AutoPASS-avtale er i strid med personopplysningsloven 19 første ledd bokstav e, jf. 28, eventuelt også 19 første ledd bokstav b. Slik informasjonen var formulert på kontrolltidspunktet, fremsto det som uklart hvorvidt passering uten brikke medfører at passeringsopplysningene lagres i 4 måneder, 4 år eller mer enn 10 år. Dersom virksomheten er forpliktet, etter hjemler i annen lov eller forskrift, til å oppbevare dokumentasjon inneholdende passeringsdata og oppbevaringen foregår på det sett som omfattet av personopplysningsloven 3 første ledd alternativ a eller b vil Fjellinjen også være forpliktet til å informere de registrerte om dette, jf. de ovenfor siterte bestemmelser. Dessuten følger det av 19 første ledd bokstav b at den behandlingsansvarlige er forpliktet til å opplyse om formålet med datalagringen, og om opplysningene vil bli utlevert og i så fall til hvem. 5.3 Krav om informasjonssikkerhet - Forholdsmessig sikring av personopplysninger 5.3.1 Personopplysningslovens krav I henhold til personopplysningsloven 13 skal den behandlingsansvarlige gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. 5.3.2 Faktagrunnlag E18 Vestfold har 45 500 kunder med avtale. Disse kan få tilgang til personopplysninger med passeringsopplysninger via internett. For å etablere profil på nettstedet til E18 Vestfold må kunden å oppgi avtalenummer som brukernavn, og postnummer som passord. Ved åpning av profil blir kunden ikke bedt om å 4 av 10

endre postnummeret til et egenvalgt passord. Profilen vil faktisk ikke nødvendigvis være beskyttet av et passord i det hele tatt. Dette betyr at en del av de 40 000 kunder vil ha en ubeskyttet profil på Internett, som inneholder passeringsdata og andre personopplysninger. 5.3.3 Datatilsynets vurdering Datatilsynet anser at beskyttelsen av kundenes passeringsdata og andre personopplysninger er utilfredstillende i henhold til kravene i personopplysningsloven 13 og personopplysningsforskriftens 2-11. Kundens avtalenummer og postnummer kan ikke anses å representere et passord med den beskyttelse som lovgivningen om informasjonssikkerhet krever. 5.4 Sletting av unødvendige personopplysninger 5.4.1 Sletting av passeringsdata for de som har avtale med E18 Vestfold, med brikke 5.4.1.1 Personopplysningslovens krav I henhold til personopplysningsloven 28, skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med den aktuelle behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til arkivloven eller annen lovgivning, skal de slettes. 5.4.1.2 Faktagrunnlag De av E18 Vestfolds kunder som har brikke i kjøretøyet, avfotograferes ikke ved passering av bomstasjon, så fremt brikken virker som den skal. Opplysningene som genereres og registreres på slike kunder i forbindelse med passering, lagres i sentralsystemet hos virksomheten i 12 måneder. Formålet med innhentingen av passeringsopplysningene er å kunne fakturere passeringen. Faktureringen skjer ved at et beløp trekkes fra kundens forhåndsbetalte konto. For virksomhetens del, vil dermed formålet med innsamlingen og lagringen av opplysningene være oppfylt når beløpet er belastet kundens konto. På nettstedet til E18 Vestfold blir det for øvrig ikke gitt noen informasjon om hvor lenge disse opplysningene blir lagret, se over i avsnitt 5.2. Kundenes adgang til å klage på eventuelle feilaktige faktureringer, vil kunne utgjøre et formål som kan være bestemmende for hvor lenge virksomheten har anledning til å lagre passeringsopplysninger. Dersom klagefristen er 14 dager etter belastning av kundens konto, vil for eksempel dette kunne forsvare en lagringstid på 14 dager. Tiden fra passering til belastning av kundens konto er vanligvis kort (en time). Under kontrollen kunne det imidlertid ikke gis noen konkrete opplysninger om hvor lang denne klagefristen er, og dermed fremsto det også som uklart hvor lenge passeringsopplysningene faktisk kan oppbevares med kundens klagemulighet som formål. Virksomheten opplyste at det nesten ikke kommer noen klager fra kunder som har abonnement. Det er som regel kun i forbindelse med passeringer etter at kundens bil er stjålet, at kundene tar kontakt for å slippe å betale for biltyvens passeringer. Det ble opplyst at politianmeldelse er nødvendig for at slike passeringer ikke skal belastes kundens konto. 5 av 10

5.4.1.3 Datatilsynets vurdering Formålet med den omtalte lagring av passeringsopplysninger er å kunne fakturere for kundens passeringer. I tillegg skal lagringen bidra til at den enkelte kunde gis anledning til å kontrollere at faktureringen har gått riktig for seg. På bakgrunn av disse omstendighetene, har Datatilsynet vanskelig for å se at lagring av passeringsopplysninger i 12 måneder lar seg forsvare, i lys av bestemmelsen i personopplysningsloven 28. For å ivareta de formål som E18 Vestfold har anført, og som etter lovens 28 er avgjørende for lagringsspørsmålet, anser Datatilsynet at lagringsperioden må sees i sammenheng med klagefrist på opp til 30 dager. 5.5 Passering uten brikke spørsmål om behandlingsgrunnlag og sletting av passeringsopplysninger 5.5.1.1 Personopplysningslovens krav Etter personopplysningsloven 11 første ledd bokstav a, jf. 8, kan personopplysninger bare behandles dersom det foreligger et rettslig grunnlag for behandlingen. I henhold til personopplysningsloven 28, skal den behandlingsansvarlige ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med den aktuelle behandlingen. Hvis ikke personopplysningene deretter skal oppbevares i henhold til annen lovgivning, skal de slettes. 5.5.1.2 Faktagrunnlag Situasjon 1 anonym passering Kjøretøy som passerer i felt med myntinnkast og i manuelle felt det vil si der passeringen betales kontant med mynt/seddel blir i utgangspunktet ikke registrert ved passering. Datatilsynet fikk opplyst at det verken tas bilde av kjøretøyets registreringsnummer, eller at bilens registreringsnummer samles inn manuelt i disse tilfellene. Situasjon 2 ikke anonym passering etterfakturering Når kjøretøyet passerer i felt for manuell betaling, og bilføreren ber om giro for etterbetaling, tas det bilde av bilens skilt. Bildet blir slettet når betaling er registrert innkommet. Situasjon 3 ikke anonym passering betaling med kredittkort Dersom en enkeltpassering i felt med myntinnkast, eller i manuelle felt, betales med kredittkort, tas det bilde av det passerende kjøretøyets skilt. Dette bildet kobles så til kredittkorttransaksjonen. Når betalingen er gjennomført fra kredittkortselskapets side og registrert mottatt av E18 Vestfold, sørger virksomheten for å slette bildet. Slik Datatilsynet har oppfattet det, er den omtalte praksis begrunnet i følgende forhold: Fra kortselskapene får E18 Vestfold tilsendt lister over de kredittkort som er utstedt av selskapet, men som siden av en eller annen grunn har blitt sperret, og som følgelig er ugyldige. Ettersom bomstasjonens datasystem er off line, blir opplysningene fra disse listene deretter manuelt matet inn i datasystemet til den enkelte bomstasjon. Formålet er at eventuelle sperrede kort 6 av 10

som benyttes som betalingsmiddel ved en passering kan avvises direkte. Imidlertid kunne E18 Vestfold opplyse at det kan gå noe tid fra selskapet mottar disse listene fra kortselskapene, til de implementeres i virksomhetens systemer. Dermed vil bomstasjonens informasjon om sperrede kort ikke nødvendigvis være helt oppdatert til en hver tid, og følgelig vil førere som benytter ugyldige kort kunne passere. Situasjon 4 ikke anonym passering periodevis fotografering av all trafikk I perioder tas det bilder av alle som passerer i felt for manuell betaling. Dette gjøres for å kontrollere at alle passeringer faktureres på korrekt måte. Etter det Datatilsynet forstår, gjennomføres dette først og fremst som et kontrolltiltak overfor virksomhetens ansatte, hvilket disse også skal være informert om. Forklaringen har sammenheng med et ønske hos virksomheten om å forhindre, eller avdekke, feilfakturering av kjøretøy tilhørende den ene eller den andre klasse, som henholdsvis faktureres med ulike beløp. Kontrollen foregår slik at det passerende kjøretøy avbildes, og fotografiet registreres sammen med tidspunktet for passeringen. Bildet og passeringstidspunktet sammenstilles siden med opplysninger fra gjenpart av utstedt faktura. Dermed kan det for eksempel avdekkes om en passerende tungtransport har blitt fakturert som personbil, eller omvendt. I alle de ovennevnte tilfeller hvor bilskiltene fotograferes, blir selve bildet slettet når betalingen er registrert innkommet av virksomheten. Imidlertid blir skiltene avlest manuelt, og nummeret registreres og lagres i en sentral database. Denne passeringsinformasjonen blir lagret i den sentrale databasen i ett år. 5.5.1.3 Datatilsynets vurdering Situasjon 1 Virksomheten tilbyr reisende et anonymt betalingsalternativ, ettersom det finnes myntautomater på veiene, og det i alle fall i utgangspunktet ikke registreres noen informasjon om de passerende bilister som benytter dette betalingsalternativet. Datatilsynet har dermed, naturlig nok, ingen innvendinger mot en slik løsning. Tvert imot mener tilsynet at anonyme betalingsalternativer er den beste forsikringen for ivaretakelse av borgernes personvern, når det først er besluttet innført bompengeinnkreving på veiene over store deler av landet. Dette betalingsalternativet vil av denne årsak ikke omtales nærmere i den resterende delen av denne rapporten. Situasjon 2 Det samme gjelder den innsamling og registrering av opplysninger som finner sted under situasjon 2, som redegjort for over. I disse tilfellene finner Datatilsynet at det er legitimt å registrere de omtalte opplysninger, ettersom det vil være nødvendig for bomselskapet å kjenne identiteten til adressaten for den faktura som skal ettersendes. Datatilsynet har også lagt vekt på at disse personopplysningene slettes så snart fakturaen er registrert betalt. Etter Datatilsynets oppfatning, reiser imidlertid de to sistnevnte situasjonene i avsnitt 5.5.1.2 enkelte problemstillinger, sett i lys av dagens personvernlovgivning. Særlig oppstår spørsmålet om det foreligger et gyldig rettslig grunnlag for de behandlinger av personopplysninger som de omtalte fotograferingene innebærer. 7 av 10

Situasjon 3 Her innhentes det altså fotobevis ved kredittkorttransaksjoner, et fenomen som hittil har vært forholdsvis lite kjent hos Datatilsynet. Når fotograferingen skjer på et vis som er sammenfallende med beskrivelsen i personopplysningsloven 36, utløses en rekke plikter for den behandlingsansvarlige. 2 Etter omstendighetene kan for eksempel lovens 38 komme til anvendelse, hvilket innebærer at virksomheten må kunne vise til et særskilt, virksomhetsrelatert behov for at tiltaket skal kunne anses som lovmessig. 3 Alternativt vil tiltaket måtte forankres i personopplysningsloven 11 første ledd bokstav a, jf. 8. Datatilsynet kan imidlertid ikke se at noe særlig behov, eller at noen av de alternative rettsgrunnlag angitt i 8, er til stede, all den tid kredittkortselskapet i utgangspunktet garanterer for transaksjonen overfor bomselskapet, samtidig som det av samme transaksjon vil oppstå et regresskrav mot kredittkortholderen. Av denne grunn må bomselskapets risiko betegnes som beskjeden i disse tilfellene, slik Datatilsynet ser det, ettersom det vil være sikret betaling for passeringsavgift gjennom de avtaler som er inngått med de respektive kortselskaper. At bomselskapet selv kan kontrollere hvor ofte oppdateringer av sperrelister for kredittkort skal tilføyes bomstasjonens lokale database, og således har en mulighet til å minimere risikoen ubetalte passeringer, er også vektlagt i denne vurderingen. Datatilsynets konklusjon blir dermed at denne fotograferingen mangler det nødvendige rettslige grunnlag i personopplysningsloven. Situasjon 4 Under denne situasjonen blir samtlige reisende avbildet ved passering i manuelle felt, uavhengig av hvilket betalingsalternativ som benyttes i det enkelte tilfellet. Datatilsynet har forstått det dit hen at bilens skilt er omfattet av denne fotograferingen. Denne situasjonen vil være underlagt de samme lovbestemmelser som i situasjon 3. Spørsmålet blir altså om det foreligger et tilstrekkelig rettslig grunnlag til å samle inn og registrere personopplysninger om de reisende, og på denne måten. Datatilsynet kan verken se at det foreligger et særskilt virksomhetsrelatert behov for en slik overvåking av trafikanter, eller at noen av de alternative rettsgrunnlagene i personopplysningsloven 8 er til stede. Tilsynet antar at det potensielle tap som kunne tenkes å oppstå som følge av en eller annen form for bedrageri er av mindre omfang, og dessuten at denne formen for svindel vil kunne la seg avdekke ved hjelp av andre og mindre personvernkrenkende metoder. Eksempler på det siste er sammenligning av regnskap og statistiske opplysninger om passerende kjøretøy av de ulike slag, eller fotograferingen av kjøretøyene på en slik måte at bilens registreringsnummer eller bilens fører ikke kan identifiseres, samtidig som kjøretøyets avgiftsklasse avdekkes. En slik tilnærming vil være i overensstemmelse med det alminnelige proporsjonalitetsprinsippet i den norske personvernlovgivning, som fastslår at det minst personverninngripende tiltaket 2 Det siktes her til regelmessig gjentatt personovervåking ved hjelp av [ ] automatisk virkende fjernsynskamera, fotografiapparat eller lignende apparat 3 For nærmere informasjon om temaet, inkludert kameraovervåking, vises det til Datatilsynets veileder, tilgjengelig via www.datatilsynet.no. 8 av 10

skal benyttes, og at det ikke skal samles inn og registreres personopplysninger, med mindre disse opplysningene kan sies å være relevante for formålet med behandlingen. Datatilsynets konklusjon er følgelig at det nevnte tiltaket ikke kan sies å være i overensstemmelse med grunnleggende vilkår i personopplysningsloven, jf. 11, jf. 8. Datatilsynet er for øvrig ikke kjent med hvorvidt den type økonomisk bedrageri eller underslag som er forsøkt beskrevet ovenfor, har utgjort et omfattende problem. Normalt kan generelle bekymringer for at slike forhold kan tenkes å forekomme, ikke begrunne den ovennevnte type tiltak. Nærmere dokumentasjon kan med andre ord tenkes å få betydning for vurderingen av tiltakets lovmessighet. Et annet sentralt spørsmål er hvorledes informasjonsplikten overfor de samme reisende er oppfylt, dersom fotografiet kan bidra til å identifisere bilens eier eller fører, jf. det som er sagt over i avsnitt 5.2. Etter Datatilsynets oppfatning fremstår det som et paradoks at reisende som ønsker å benytte seg av et anonymt eller sporfritt alternativ, gjennom denne ordningen likevel risikerer å bli gjenstand for registrering. Datatilsynet legger for så vidt til grunn at dette tiltaket iverksettes relativt sjelden, idet hensikten med tiltaket oppfattes å være av preventiv art. Hvorvidt tiltaket kan forsvares rettslig vis-à-vis de ansatte, er for øvrig et spørsmål som Datatilsynet lar ligge i denne omgang, under henvisning til det opprinnelige formålet med den gjennomførte kontrollen, se den tidligere korrespondanse i saken. 5.5.2 Bilde av skilt 5.5.2.1 Personopplysningslovens krav I henhold til personopplysningsloven 11 første ledd bokstav d skal den behandlingsansvarlige sørge for at personopplysningene som behandles er tilstrekkelige og relevante for formålet med behandlingen. 5.5.2.2 Faktagrunnlag Under kontrollen ba tilsynet om å få se eksempler på de bilder som ble tatt av bilskiltene. Et av eksemplene så slik ut (sladding er gjort av Datatilsynet): 9 av 10

Det var mulig å zoome bildet. Virksomheten informerte om at det aktuelle kameraet nettopp var blitt flyttet høyere opp på en stolpe, og at kameraet da ikke var blitt innjustert. Dette hadde medført at også førere og eventuelle passasjerer var blitt gjenstand for fotograferingen, og det på en måte som gjorde det mulig å identifisere de reisende ved ansiktsgjenkjenning. 5.5.2.3 Datatilsynets vurdering Datatilsynet anser at den aktuelle billedtagningen fanger opp mer informasjon enn det som er nødvendig for å oppnå det legitime faktureringsformål som ligger til grunn. Det er på det rene at den opplysningen som er nødvendig for å oppfylle målet med fotograferingen identifisering av bilens eier før innkreving av skyldig passeringsavgift er bilens registreringsnummer, det vil si selve bilskiltet. Det foreligger således ikke rettslig grunnlag for å samle inn og lagre personbilde i denne sammenheng, jf. personopplysningsloven 11 første ledd bokstav a. Tilsynet anser også at personbilde ikke vil være en relevant opplysninger i den forbindelse, og således være i strid med personopplysningsloven 11 første ledd bokstav d. 10 av 10

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding