Personvernnemndas avgjørelse av 7.3.2006 (Jon Bing, Gro Hillestad Thune, Hanne Bjurstrøm, Tom Bolstad, Lars Erik Fjørtoft, Jostein Halgunset, Tore Hauglie)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage fra Statens vegvesen på tilsynets vedtak av 24.2.2005 med pålegg om konsesjonsplikt for helautomatiske bomstasjoner.
2 Saksgang
Datatilsynet ble i desember 2002 kontaktet av Statens vegvesen om oppstart av et forsøksprosjekt med helautomatiske bomstasjoner. Det ble avholdt en rekke møter mellom Datatilsynet og Statens vegvesen i sakens anledning. Tilsynet satte som forutsetning for prosjektet at et anonymt passeringsalternativ skulle være på plass før bomstasjonene ble satt i drift. I løpet av høsten 2003 og vinteren 2004 mottok Datatilsynet flere henvendelser fra publikum om at muligheten for å passere bomstasjonene anonymt likevel ikke forelå. På bakgrunn av dette ble det avholdt et møte mellom etatene 30.1.2004. I brev av 4.2.2004 varslet Datatilsynet om tilsyn til driftsoperatøren, Bro & Tunnelselskapet, for både Tønsberg veifinans og Bergen Bompengeselskap.
Tilsynene ble gjennomført 17. og 18.2.2004. Datatilsynet besluttet etter dette å innføre konsesjonsplikt for behandling av personopplysninger i de helautomatiske bomstasjonene. Etter flere fristutsettelser for klage besluttet tilsynet å opprettholde beslutningen om konsesjonsplikt i brev av 24.2.2005. Det ble deretter gitt konsesjon med vilkår.
Statens vegvesen klaget på vedtaket i brev av 14.6.2005. Personvernnemnda mottok saken fra Datatilsynet den 6.7.2005. Statens vegvesen ble orientert om dette i brev fra nemnda den 1.8.2005 og gitt frist til å fremme ytterligere kommentarer innen 1.9.2005. Representanter for Statens vegvesen presenterte den tekniske løsningen i nemndas møte 11.10.2005. Nemnda har i etterkant av møtet fått en ytterligere skriftlig redegjørelse i brev fra Statens vegvesen av 23.11.2005. Personvernnemnda har også innhentet en kort betenkning av 22.12.2005 om registreringsplikt for kontantkort til mobiltelefon av stipendiat Thomas Olsen, Avdeling for forvaltningsinformatikk, Universitetet i Oslo. I tillegg har nemnda vært i kontakt med Information and Privacy Commissioner, Ontario i forbindelse med en løsning for passering av stasjoner på den bompengefinansierte 407 ETR.
3 Faktum
Ved de fleste bomstasjoner har bilistene tilbud om manuell betaling til en betjent bod eller til en myntautomat. Statens vegvesen ønsker å etablere automatiske bomstasjoner. I første omgang er slike bomstasjoner etablert i Bergen, Tønsberg og Gjesdal.
Ved en automatisk bomstasjon blir alle kjøretøy som passerer registrert. Registreringen foregår på to måter – enten ved lesing av en AutoPASS-brikke eller ved videoregistrering. AutoPASS innebærer hovedsaklig det samme som ordningen med abonnement med brikke som allerede eksisterer ellers i landet. Bilistene med AutoPASS har inngått en avtale med bompengeselskapet og samtykket til at personopplysninger kan behandles.
Det som skiller en automatisk bomstasjon fra en manuell er at passerende bilister ikke har mulighet til å passere fullt ut anonymt ved betaling i bod eller ved innkast av mynt. Slik det automatiske systemet fungerer i dag, betaler de som ikke har inngått en AutoPASS-avtale etterskuddsvis ved at bilnummeret blir avbildet ved passering og kontrollert mot motorvognregisteret. Bileieren får deretter tilsendt faktura som inneholder opplysninger om passeringer, kjøretøy og skyldig beløp.
For at anonymiteten skal bli ivaretatt på en bedre måte, har Statens vegvesen foreslått en løsning med kontant betaling i etterkant av passeringen. Ved en slik ordning får bilisten mulighet til å betale kontant, for eksempel ved en bensinstasjon, innen tre dager etter passering. En kopi av kvitteringen sendes deretter fra betalingssenteret til bompengeselskapet som deretter sletter tilhørende bilde av kjøretøyet blir slettet. Løsningen innebærer imidlertid ingen fullstendig anonymitet. Det vil foreligge en mulighet for å identifisere en bilist som ikke betaler for seg i etterkant av passeringen, uten at vedkommende har samtykket til dette.
I dialogen mellom Statens vegvesen og Datatilsynet har det vært diskutert to mulige løsninger for sporfri passering; ihendehaverbrikke og sporfri avtale.
En ihendehaverbrikke er verken knyttet til person eller bil. Innehaveren forhåndsbetaler for passeringene, og kan således passere bomstasjonen anonymt. Kjøretøyet vil bli videoregistrert dersom brikken er montert feil eller det er en teknisk feil ved brikken. Feilmarginen er imidlertid så lav at Datatilsynet anser dette som en tilstrekkelig god løsning. Statens vegvesen ønsker av ulike årsaker ikke å etablere denne løsningen. De fleste av de oppgitte grunnene er av praktisk art, og knytter seg til selve ordningen med behandling og salg av anonyme brikker – ikke å etablere denne løsningen.
Det andre alternativet, sporfri avtale, er en avtale som inngås mellom bileieren og bomselskapet på samme måte som den eksisterende AutoPASS-avtalen. Forskjellen er at bileieren får mulighet til å krysse av i et felt for sporfri passering. I motsetning til AutoPASS-ordningen vil opplysningene rutinemessig bli slettet umiddelbart etter passering. Dersom brikken ikke blir lest, vil det imidlertid bli tatt videobilde av kjøretøyet. Disse videobildene er tilgjengelige i opp til ett døgn. Følgelig fører heller ikke denne ordningen til fullstendig anonymitet.
Det har vært en omfattende dialog mellom Statens vegvesen og Datatilsynet i saken. Tilsynet har fattet vedtak om konsesjonsplikt og har gitt konsesjon med vilkår. Vedtaket påklages av Statens vegvesen og på vegne av Tønsberg Hovedvegfinans, Bergen Bompengeselskap og Gjesdal Bompengeselskap.
4 Anførslene
Prinsipalt anfører Statens vegvesen at Datatilsynet ikke har hjemmel i personopplysningsloven § 33 2.ledd til å pålegge konsesjonsplikt for de automatiske bomstasjonene. Subsidiært påklages vilkårene i konsesjonen, punkt 1, 2, 3, 5 og 6.
Statens vegvesen ønsker primært en løsning hvor betaling er basert på dagens AutoPASS-ordning, etterfakturering av andre trafikanter og et tilbud om kontant betaling på bensinstasjon hvor passeringsdata slettes etter få dager.
Med hensyn til Datatilsynets hjemmel til å pålegge konsesjonsplikt, anfører Statens vegvesen at det ikke registreres sensitive opplysninger i de automatiske bomstasjonene, og at behandling av personopplysningene derfor ikke er underlagt konsesjonsplikt, jf personopplysningsloven § 33, 1.ledd. Vegvesenet imøtekommer tilsynets rett til å pålegge konsesjonsplikt også ved behandling av annet enn sensitive personopplysninger, dersom behandlingene ellers åpenbartvil krenke tungtveiende personverninteresser, jf personopplysningsloven § 33, 2.ledd. Vegvesenet anfører imidlertid at verken opplysningenes art, mengde eller formålet med behandlingen tilsier at behandlingen åpenbartvil krenke tungtveiende personinteresser.
Vegvesenet viser videre til Ot. prp. nr 92 (1998-99) side 129 der det uttales:
“… vilkårene for å bestemme at det skal være konsesjonsplikt er strenge, og bestemmelsen er ment å være en sikkerhetsventil for ekstraordinære tilfelle.”
Statens vegvesen poengterer følgelig at vilkårene for å pålegge konsesjonsplikt er svært strenge og er forutsatt benyttet utelukkende i særlige tilfelle.
Statens vegvesen anfører at det er en meget begrenset andel trafikanter som ønsker å passere de automatiske bomstasjonene sporfritt. Over 80 % av brukerne i Bergen og Tønsberg har valgt å inngå en AutoPASS-avtale. I vurderingen mener Statens vegvesen at det også må tas hensyn til at det er etablert tilfredsstillende systemer for informasjonssikkerhet og internkontroll, og at behandlingen av opplysningene i det vesentlige vil skje ved hjelp av automatiserte prosesser.
Ifølge vegvesenet omfatter passeringsopplysninger sted og tid for passering. Opplysningene vil derfor si noe om når et kjøretøy passerte en bestemt bomstasjon, men ikke hvem som faktisk kjørte bilen. Når det tas videobilde, tas det kun bilde av bilens registreringsnummer. Verken fører eller passasjerer blir avbildet. Dette underbygger vegvesenets anførsel om at registreringen ved bomstasjonene ikke omfatter sensitive opplysninger.
Statens vegvesen anfører videre at det i stadig økende grad registreres elektroniske spor om den enkelte i samfunnet. Det refereres til bruk av elektronisk kommunikasjon, som fasttelefoni, mobiltelefoni, epost og Internettet. Andre eksempler er bruk av minibanker, salgsstedsterminaler og kameraovervåking. Statens vegvesen mener at dersom Datatilsynets utsagn retten til om anonym ferdsel skulle bli lagt til grunn, vil også ovennevnte ordninger stride imot individers rettigheter.
Ifølge Statens vegvesen er automatiske bomstasjoner et mer effektivt og brukervennlig alternativ for bilister enn manuelle bomstasjoner. Manuelle bomstasjoner krever utvidelse av veibanen med tilhørende utstyr og ekstra betjening, samtidig som bilister uten abonnement må stanse for å kunne betale. Vegvesenet mener at automatiske bomstasjoner vil redusere kostnadene ved bomstasjoner og forbedre trafikkflyten.
Subsidiært, for det tilfelle at Datatilsynet har hjemmel til å pålegge konsesjonsplikt, anfører Statens vegvesen at de vilkår som Datatilsynet har stillet går utover det som er nødvendig for å begrense ulempene behandlingen ellers ville medføre for den registrerte, jf personopplysningsloven § 35.
Følgende konsesjonsvilkår er innsatt av Datatilsynet:
- Det skal etableres en løsning med bruk av ihendehaverbevis som et behandlingsalternativ i de helautomatiske bomstasjonene, slik at retten til å velge å ikke legge igjen spor (anonym ferdsel) ivaretas.
- Det må legges til rette for at ihendehaverbrikken skal kunne benyttes i alle bomselskaper.
- Også tilfeldige passerende må kunne passere sporfritt. Det skal etableres en mulighet til å leie eller kjøpe en brikke med mindre enn fem passeringer.
- Stikkprøvekontroll kan skje i inntil 20 % av tilfellene.
- Prismessig må ihendehaverbrikken tilsvare de øvrige behandlingsalternativer.
- Brikken skal også være tilgjengelig på alle innfartsveier til Tønsberg, Bergen og Gjesdal.
- Det skal utarbeides informasjonsmateriell som forteller hvordan brukeren skal forholde seg hvis det er ønskelig å passere sporfritt. Informasjonen må være tilgjengelig for bomstasjoner og utsalgssteder.
Statens vegvesen anfører at det ikke finnes rettslig grunnlag for kravet om et absolutt sporfritt (helt anonymt) alternativ, slik det fastslås i vilkårene. Det fremgår av Datatilsynets vurdering at individer har en grunnleggende rett til anonym ferdsel. Tilsynet viser til menneskerettskonvensjonen artikkel 8, den internasjonale konvensjon om sivile og politiske rettigheter artikkel 17, og fortalen til personverndirektivet. Statens vegvesen mener at disse konvensjonene ikke oppstiller et ubetinget krav til at det ikke skal registreres passeringsopplysninger.
Det følger av vilkår nummer 1 at ordningen med ihendehaverbrikke skal etableres slik at retten til å velge å ikke legge igjen spor ivaretas. Ordningen er ikke aktuell for Statens vegvesen grunnet flere problemer. Før det første er det ikke mulig å benytte ihendehaverbrikken i mer enn ett anlegg. Følgelig oppfylles ikke kravet i vilkår nummer 2, om at ihendehaverbrikken skal kunne benyttes i alle bomselskaper. Årsaken til at brikken ikke kan brukes i flere anlegg, er at statuslister bare distribueres en gang i døgnet. Dersom det ikke er mer verdi igjen i brikken, vil det derfor være mulig å passere andre bomanlegg i ett døgn uten å betale. Statens vegvesen anfører videre at ihendehaverbrikken også medfører risiko for misbruk og svindel, samt problemer med administrasjon, logistikk og tilgjengelighet. Ordningen er heller ikke et fullstendig anonymt alternativ, da innehaveren kan bli sporet opp via videoregistrering dersom brikken av en eller annen grunn ikke blir lest.
Når det gjelder ihendehaverbrikken anfører Statens vegvesen også at prinsippet om “én brikke – én bil” ikke blir ivaretatt. Ifølge vegvesenet er dette prinsippet forutsatt i direktiv 2004/52/EF av 29.4.2004. Vegvesenet viser også at fortalens punkt 13a og direktivets artikkel 3.
Det følger av vilkår nummer 5 at ihendehaverbrikken prismessig må tilsvare de øvrige behandlingsalternativer. Dette medfører problemer med tilgjengelighet og logistikk. Statens vegvesen anfører forøvrig at Datatilsynet ikke har hjemmel til å regulere prisnivået.
Vilkår nummer 6 fremmer krav om at brikken også skal være tilgjengelig på alle innfartsveier til Tønsberg, Bergen og Gjesdal. Statens vegvesen mener at dette ikke er praktisk mulig å gjennomføre, fordi det på enkelte veistrekninger ikke finnes mulige utsalgssteder i rimelig nærhet til bomstasjonene.
Avslutningsvis ber Statens vegvesen om en klargjøring av til de retningslinjer for behandling av personopplysninger hos bompengeselskaper som var vedlagt Datatilsynets brev av 24.2.2005. Retningslinjene er ikke inntatt i konsesjonen som konsesjonsvilkår, og det er uklart for Statens vegvesen hvilken rettslig status disse retningslinjene har, og hvilken hjemmel Datatilsynet har til å pålegge alle bompengeselskapene å følge disse. Når det gjelder bomstasjonene i Bergen, Tønsberg og Gjesdal, som konsesjonen omfatter, har vegvesenet ingen innvendinger mot retningslinjene. Statens vegvesen legger til grunn at retningslinjene ikke vil få virkning for øvrige bompengeselskaper uten at de ved enkeltvedtak pålegges å følge disse, og at Statens vegvesen og eventuelt bompengeselskapet i så fall har mulighet til å påklage et slikt vedtak.
5 Datatilsynets vurdering
Datatilsynet anfører at tilsynet har hjemmel til å innføre konsesjonsplikt, da behandlingen av personopplysninger ellers åpenbartvil krenke tungtveiende personverninteresser, jf personopplysningsloven § 33 annet ledd.
Datatilsynet anfører at forutsetningen for personvernet er at enhver har rett til anonym ferdsel. Retten gjelder ikke ubetinget, men eventuelle unntak må fremstå som velbegrunnede og påtrengende nødvendig. Tilsynet mener at det i denne saken er rent kommersielle hensyn som står i mot den enkelte innbyggers rett til personvern i forbindelse med egne bevegelser.
Tilsynet viser til at Statens vegvesen også har ytret ønske om å utvide løsningen med automatiske bomstasjoner, slik at ordningen også skal kunne gjelde ferjer, annen transport og parkering. Datatilsynet mener at spørsmålet prinsipielt har betydning langt utover de stedene hvor bomstasjonene er etablert i dag, da det legges til rette for en infrastruktur som gir muligheter for omfattende og systematisk kartlegging av enkeltmennesker, på en måte som er usynlig for de berørte. Det er ikke akseptabelt for tilsynet at det for å bøte på mangler ved betalingssystemet, fremmes en løsning som forutsetter et ellers unødig inngrep i den enkeltes personvern.
Datatilsynet anfører videre at et helt sentralt personvernhensyn er retten til selvbestemmelse. Individet skal i størst mulig grad selv få bestemme hvorvidt det skal behandles personopplysninger om vedkommende eller ikke. Dette hensynet gjenspeiles i personverndirektivet (95/46 EF) og personopplysningsloven, hvor den enkeltes selvbestemmelsesrett kommer til uttrykk i en hovedregel om samtykke.
Datatilsynet er av den oppfatning at elektronisk registrering eller kontroll av alle biler på alle innfartsveier til byer eller tettsteder, åpenbartvil være en krenkelse av tungtveiende personverninteresser. Dette gjelder særlig dersom det enkelte individ ikke selv kan velge hvorvidt det skal registreres hvor vedkommende var, og til hvilket tidspunkt. Et prinsipp om rett til anonym ferdsel kan ifølge tilsynet utledes av Den europeiske menneskerettskonvensjonen artikkel 8, og FNs konvensjon om sivile og politiske rettigheter artikkel 17. Tilsynet anfører at dette kommer enda klarere til uttrykk som premiss i personverndirektivet.
At den manifeste oppslutningen om grunnleggende rettigheter i et samfunn kan være liten, er ifølge Datatilsynet ikke uvanlig. Tilsynet minner likevel om at det tilhører demokratiets og rettsstatens elementære forutsetninger at mindretallskauteler respekteres, både i teori og praksis. Utilstrekkelig informasjon og manglende tilgjengelighet bidrar rimeligvis også til å forklare en begrenset interesse for det sporfrie alternativet.
Tilsynet mener at registrering av en bils kjennemerke, tid og sted ikke i seg selv er å anse som et omfattende inngrep i den enkeltes personvern. For Datatilsynet er heller ikke omfanget av opplysningstypene som registreres ved automatiske bomstasjoner noe sentralt argument. Imidlertid er det totale opplysningsvolumet og det faktum at bilistene ikke kan velge om de vil la seg registrere, og at hver enkelt passering registreres, det sentrale. Det har dermed liten betydning at det ikke registreres sensitive opplysninger.
Statens vegvesens anførsel om behovet for automatiske bomstasjoner har ifølge tilsynet grunnlag i kommersielle hensyn i forbindelse med overgang fra manuelle bomstasjoner til helautomatiske bomstasjoner. Tilsynet mener at det ikke er godtgjort noe reelt behov, og at automatiske bomstasjoner vil føre til at borgerne fratas retten til å bevege seg i bil inn eller ut av større områder uten å bli registrert.
Datatilsynet anfører videre at det følger av proporsjonalitetsprinsippet at et formål skal søkes oppnådd på minst mulig belastende måte for personvernet. For tilsynet fremstår det som lite tvilsomt at dette innebærer at det må tilbys et reelt anonymt alternativ.
Tilsynet har konkludert med at ordningen med ihendehaverbevis er den mest aktuelle løsningen for ivaretakelse av retten til anonym passering. I vurderingen har tilsynet vektlagt at bruksområdene for AutoPASS-brikken stadig utvides. For eksempel er brikken i bruk (prøveprosjekt) til trafikktelling og kartlegging av trafikkflyt på gitte strekninger. Forutsetningen, slik Datatilsynet forstår det, er at bruk av brikken til slike formål skal gjennomføres uten at det registreres brikkeidentifikasjon. Likevel mener tilsynet at det finnes muligheter for å kunne koble bil mot brikkenummer dersom det inngås abonnentsavtaler som kobler bil mot brikke. Dette vil være tilfellet selv om det ikke registreres passeringsopplysninger. Tilsynet mener at en slik mulighet ikke vil forekomme ved en ordning med ihendehaverbevis.
Datatilsynet anfører videre at det ikke finner grunn til å vektlegge Statens vegvesens anførsel om problemer knyttet til ordningen med ihendehaverbrikke. Ifølge tilsynet har problemene grunnlag i kapasitetsberegninger i systemet. Tilsynet mener at vegvesenet ligger nærmest til å bære byrden ved å utforme systemet slik at ordningen blir reelt anonym.
Tilsynet mener at vegvesenets anførsel under henvisning til direktiv 2004/52/EF av 29.4.2004, fortalens punkt 13(a) og direktivets artikkel 3, der prinsippet om “én brikke – én bil” angivelig fastslås, ikke kan imøtekommes. Tilsynet er av den oppfatning at direktivets artikkel 3 i uttrykker at det skal knyttes en abonnementsavtale mellom kundene og operatørene, ikke at denne skal knyttes til en bestemt bil.
Datatilsynet legger også vekt på at tilfeldig passerende og andre som mer sporadisk vil passere en helautomatisk bomstasjon også skal ha rett til å velge om de vil registreres. For at denne muligheten skal være reell, må disse kundene gis mulighet til å leie eller kjøpe en brikke som kan lades med et begrenset antall passeringer (3-5 passeringer). Begrunnelsen må ses i sammenheng med vilkår nr 5, se nedenfor.
Av vilkår nr 5 følger at ihendehaverbrikken må tilsvare de øvrige betalingsalternativer. Statens vegvesen mener at Datatilsynet ikke har hjemmel til å regulere prisnivået. Datatilsynet påpeker at det heller ikke har intensjoner om dette. Ifølge tilsynet er det imidlertid en forutsetning for at et alternativ om anonym passering skal kunne vurderes som et reelt alternativ, at det prismessig må tilsvare de øvrige betalingsalternativene.
Når det gjelder vilkår nr 6, som fastsetter at brikken skal være tilgjengelig på alle innfartsveier til Tønsberg, Bergen og Gjesdal, forutsetter Datatilsynet at det er mulig etablere praktiske løsninger som gjør brikken tilgjengelig.
Avslutningsvis anfører tilsynet at den foreslåtte løsningen med en sporfri avtale ikke er et fullstendig anonymt alternativ. Begrunnelsen er at bilisten må registrere seg som kunde av det “sporfrie” alternativet, og ettersom det registreres personopplysninger knyttet til brikken, er løsningen følgelig ikke anonym. Videre vil det registreres opplysninger knyttet til passeringen dersom brikken ikke leses. Tilsynet mener at heller ikke løsningen med kontant betaling tilfredsstiller kravet om et anonymt alternativ. Også ved en slik løsning vil det foreligge en mulighet til å spore opp identiteten til bilisten i etterkant av passeringen, uten at bilisten har samtykket til dette.
Tilsynet konkluderer med at det anser de påklagede vilkår å være nødvendige og proporsjonale tiltak for det legitime formål å begrense ulempene behandlingen av personopplysninger ellers ville medføre.
6 Personvernnemndas merknader
6.1 Faktum
Personvernnemnda tar utgangspunkt i den normale situasjonen, som innebærer at det er inngått en avtale mellom kunden og det selskap som opererer bomsystemet om bruk av en AutoPASS-brikke. I denne situasjonen vil brikken leses av et datamaskinbasert system ved passering bomstasjon.
De opplysningene som leses, lagres i et format på 182 tegn som registrerer i alt 51 ulike variabler. De fleste av disse variablene er uten interesse i den aktuelle situasjon, de representerer systemopplysninger som skal sikre mot feilregistrering mv. Ett av feltene (1. variabel, tre tegn) identifiserer det punkt som er passert, et annet om passeringen er skjedd på vei inn eller ut (2. variabel, 1 tegn). Tiden for passering registreres med år, måned, dag, time, minutt og sekund (5. variabel, 17 tegn), og hvorvidt det gjelder sommertid (6. variabel, 3 tegn). Det registreres hvem som har utstedet brikken (13. variabel, 5 tegn), og serienummeret til brikken (14. variabel, 10 tegn). Ved brikker hvor det er forhåndsbetalt for et bestemt antall passeringer, telles disse ned (variabel 21, 5 tegn).
Ved ordinær avtale, overføres data fra bomstasjonen (“lane controller”) til det som kalles “sentralsystemet”, og som er systemet til operatøren av det aktuelle bomsystemet. I tillegg lagres data i bomstasjonen som reservekopi. Lagringstiden er maksimalt på 72 timer, og er satt slik av hensiktsmessighetsgrunner på grunn av helg. I bomstasjonens system ligger opplysningene ustrukturert, og er bare tilgjengelig for teknikere i forbindelse med feilsøking.
I det sentrale systemet vil normalt avregningen skje innen en time. Lagringstiden vil bero på type avtale, f eks om den forutsetter forskudds- eller etterbetaling, om den har form av klippekort (et forhåndsbetalt beløp som “klippes ned” ved passering, i henhold til avgiften for passering ved den aktuelle stasjon), eller periodeabonnement mv. Ved forhåndsbetaling eller periodeabonnement vil opplysningene ikke lagres i systemet fordi de ikke trenges for fakturering. Ellers vil opplysningene slettes ved neste betaling med et tillegg på 30 dager for reklamasjon.
I normalsituasjonen vil det være registrert hvilken kunde som har inngått avtale om den aktuelle brikken. Det vil også registreres detaljerte opplysninger om passeringen av bomstasjonene. Disse lagres for faktureringsformål inntil 30 dager etter at betaling er skjedd.
Ved bomstasjonen er det registrert hvilke brikker som har gyldig avtale. Denne listen oppdateres jevnlig, og det er dette registeret som sammenligning skjer mot for å initiere den normale avregningen skissert ovenfor. Imidlertid kan det være at systemet ikke finner en gyldig brikke. Dette kan være av ulike årsaker – avtalen kan være gått ut, brikke kan mangle og i enkelte sjeldnere tilfelle kan det være at en gyldig brikke ikke lar seg lese, f eks for at den er utstedt av en annen operatør. I disse tilfelle utløses et kamera som tar et fotografi av bilens registreringsnummer:
Fotografiet gir ikke opplysning om fører eller passasjer ved gjengivelse av ansikt mv. Fotografiet overføres til sentralsystemet. Her blir registreringsnummeret lest optisk innen fem dager etter overføringen. I 75 % av tilfellene er dette vellykket. I de øvrige 25 % må bildene granskes manuelt for å tolke registreringsnummeret. Hvis det foreligger en gyldig avtale, vil videre behandling skje som i normaltilfellet. Hvis det ikke foreligger en gyldig avtale, vil bileier få tilsendt et krav, utformet noe forskjellig for ordinære og fullt automatiserte stasjoner. Krav samles for fakturering, normalt månedsvis, senest innen 3-4 måneder. Passeringsdata ligger i systemet i fem dager før behandlingen skjer for å tillate at brukeren benytter “angregiro” eller annen form for etterskuddsbetaling. Data slettes også i dette tilfellet 30 dager etter betaling.
Hvis brikken ikkeer utstedt av operatør (en såkalt “fremmedpassering”), blir opplysningene overført til utsteders sentralsystem. Dette vil medføre en noe lengre lagringstid enn beskrevet ovenfor. Overføringen skjer normalt innen 24 timer.
Ved det sporfriesystem som foreslås av Vegvesenet, foregår behandlingen i utgangspunktet som i normalsituasjonen. Men etter overføring til det sentrale system, vil data knyttet til brikker som det er inngått sporfri avtale om, slettes straks det er etablert at en gyldig avtale er inngått. Dette vil si at data på samme måte som i normalsituasjonen lagres (1) i bomstasjonens system (i sekvensiell form uten gode muligheter for gjenfinning av data om en enkelt brikke), i inntil 72 timer, og (2) i det sentrale system inntil avregning skjer, dvs høyst en time etter overføring. Etter denne tid vil opplysninger om passeringen ikke være tilgjengelig (med modifikasjon for “fremmedpasseringer” hvor utveksling av data fører til en lengre lagring før sletting). For brikker som ikkeer registrert i stasjonens system, vil det bli tatt et bilde, og man får en etterbehandling i det sentrale system. Hvis det deretter ved lesning av registreringsnummer etableres at det foreligger en gyldig, sporfri avtale (dette vil være tilfeller hvor avlesing av brikken feilfungerer), vil data slettes – men det vil da ha gått noe lenger tid enn i normaltilfellet (inntil fem dager etter overføring).
I det anonymesystem som pålegges av Datatilsynet, foregår behandlingen på samme måte som i det sporfrie systemet. Imidlertid er det den viktige forskjell at operatør ikke har opplysninger om hvem som har kjøpt den anonyme brikken. I normalsituasjonen vil derfor opplysningene i bomstasjonen heller ikke kunne identifiseres, noe som er prinsipielt mulig i det sporfrie alternativet. Opplysningen slettes i normalsituasjonen straks det etableres at den anonyme brikken er gyldig. Hvis den anonyme brikken av en grunn ikke leses, og det utløses et bilde, vil man ikke på grunnlag av bilens registreringsnummer kunne etablere at det foreligger en “anonym avtale”. Derfor vil avgift oppkreves som om det var en ugyldig brikke eller en lignende situasjon som krever betaling. Imidlertid kan selvsagt brukeren også her velge å benytte en av mulighetene for etterskuddsvis betaling, men må da selv ha forstått at det er oppstått en feil, f eks på grunn av varsellys i bomstasjon.
Vegvesenets innvendinger mot det anonyme alternativet er av praktisk art. Brikkene må selges fra et punkt som ligger langs veien med bomstasjon, men før stasjonen.
Et nærliggende alternativ er bensinstasjoner, men det er ikke i alle tilfelle bensinstasjon hensiktsmessig lokalisert langs innkjørings- eller utkjøringsveier. Dermed må bilisten eventuelt lete seg frem til en betjent stasjon. Dette antas å representere en ulempe, særlig for en bilist som ikke er kjent på stedet.
Et annet alternativ vil kunne være automater, men disse vil også representere et sikkerhetsproblem og må vernes mot å bli brutt opp, mot hærverk mv.
Om brikkene skal selges ved bensinstasjoner, krever dette et system for innbetaling og oppkreving fra forhandlere. Det er et potensielt problem at brikker kan misbrukes av utro tjenere hos forhandler, f eks brukes slik at det blir færre passeringer tilgjengelig i brikken enn angitt på forpakning eller annen måte. Man kan dessuten risikere at bruker kjøper en brikke for en lett motorvogn med lav avgift, men benytter den for et tyngre kjøretøy som skulle ha betalt en høyere avgift.
Det er også et problem at avgiften kan variere mellom ulike systemer, og at dette vil slå ut i hvor mange passeringer som “klippes ned” i brikken. Hvis brikken feilfungerer, vil også bruker få tilsendt krav på avgift, uten mulighet til å godtgjøre at situasjonen skyldes systemfeil.
Datatilsynet vil tillate stikkprøver. Dette vil redusere ulempene noe – f eks risikoen for at en bruker plasserer en “billig” brikke i et “dyrt” kjøretøy, men stikkprøver vil i seg selv representere en kostnad for operatøren.
For personvernet synes det som om forskjellen mellom den sporfrie og anonyme løsningen kan oppsummeringsvis angis i tre hovedpunkter:
- Bomstasjonen.
Data lagres sekvensielt i bomstasjonen. Denne lagringen skjer i dag maksimalt i 72 timer, denne perioden er bestemt av situasjonsmessige forhold, og det er intet til hinder for at den kan forkortes. En forkortning vil imidlertid ikke berøre det prinsipielle forholdet til anonymitet. Det anonyme systemet inneholder ingen kobling mellom brikken og bruker av brikken, og data fra bomstasjonen kan derfor ikke knyttes til kunden. I det sporfrie systemet vil data i prinsippet kunne kobles til kunden, men data er bare tilgjengelig for teknisk personale, ikke for kontroll av passeringer mv. - Sentralsystemet.
Data overføres fra bomstasjonen til bomselskapets sentralsystem. Det anonyme systemet inneholder ingen kobling mellom brikken og bruker ved overføring til det sentrale systemet. I det sporfrie systemet er det en slik kobling. Normalt vil det gå en time før data slettes.
- Stikkprøver.
Etter Datatilsynets vedtak, tillates stikkprøver i 20 % av passeringene, dvs at det tas fotografi av kjøretøyet for kontroll. Stikkprøver vil i seg selv representere en personvernulempe.
I tillegg er det andre hensyn som har en viss betydning for vurderingen:
- Forbrukerhensyn.
Det kan oppstå ulemper ved at passeringer som registreres som uberettigede, mens det er den anonyme brikken som feilfungerer. I den sporløse løsningen vil avtalen identifiseres og data slettes. I den anonyme løsningen vil eieren av kjøretøyet bli tilsendt krav på avgift. - Hensyn til den forretningsmessige løsningen.
I den anonyme løsningen må det etableres et system for salg eller utleie av anonyme brikker som har praktiske og kostnadsmessige konsekvenser. Det oppstår også problemer ved bruk av brikken i flere bomsystemer med ulik passeringsavgift. Bruk av automater for salg av anonyme brikker vil også representere en merkostnad og skape risiko for hærverk, innbrudd mv. - Risiko for misbruk.
I den anonyme løsningen er det større risiko for at brukeren skal benytte brikken i et kjøretøy som betinger en høyere avgift enn betalt for brikken. Det oppstår også et potensielt problem med “utro tjenere” som f eks selger brikker med lavere antall gjenstående passeringer enn angitt.
6.2 Erfaringer fra andre land
Når det spesielt gjelder bomsystemer, har nemnda merket seg opplysninger om et system som er omtalt i forbindelse med 407 Express Toll Route (ETR), som strekker seg 109 kilometer nord for Toronto i Ontario med 44 av- og påkjørsler. Ved åpningen av dette systemet, ble det fremhevet at det omfattet en unik “anonymous transponder account”. Systemet fungerte slik at en bruker kjøpte en transponder som kunne betales anonymt. Ved åpning av kontoen, ble det forhåndsbetalt et beløp. Senere kunne brukeren betale ytterligere beløp inn på kontoen ved å bruke forhåndstrykte betalingsslipper med kontonummeret som man hadde fått ved kjøpet av transponderen. Summen angitt på slippen kunne betales ved enhver bank eller finansinstitusjon som opptrådte som mellommann og overførte anonymt beløpet til den angitte konto. Så lenge det var en tilstrekkelig balanse på kontoen, ville ingen varig registrering skje.[1]
Etter et eierskifte i 1999 er det blitt hevdet at ordningen i praksis ikke lenger fremstår som virksom, og at den alltid har vært lite brukt – av seks millioner konti var på det meste 26 anonyme. For tiden skal det bare være fire anonyme konti i bruk.[2] Forklaringen på den lave utnyttelsesgraden blir hevdet å være de praktiske vanskelighetene med å utnytte ordningen. Nemnda har gjort en henvendelse til personvernmyndigheten i Ontario (Information and Privacy Commissioner/Ontario) og fått opplyst at så vidt man er kjent med, er ordningen fremdeles tilgjengelig.[3]
I omtalen av 407 ETR fremheves det at den anonyme løsningen fremstår som enestående i et internasjonalt perspektiv. Personvernnemnda har for sin del ikke gjennomført en mer omfattende undersøkelse f eks ved systematisk å gjøre henvendelser til andre lands personvernmyndigheter. Eksempelet har derfor en begrenset verdi, men viser at det (1) er innført anonyme systemer i andre land, og (2) at bruken av løsningen har vist seg å få et nærmest marginalt omfang i praksis, noe som kan ha flere forklaringer. Personvernnemnda har ikke vurdert hvorvidt en slik løsning i det hele lar seg realisere innenfor rammene av norsk lovs krav til identifikasjon av den opprinnelige betaler.
Personvernnemnda er kjent med at den svenske Datainspektionen har interessert seg for bomsystemer, men dette angår adgang til opplysninger om skyldig avgift over Internettet. Datainspektionen har krevd at man i tillegg til registrerings- og personnummer også må ha en autorisasjonskode, f eks den som finnes på registreringsbeviset. Spørsmålet gjelder altså noe annet enn i den aktuelle sak.
6.3 Bruk av personopplysninger i politiets etterforskning
I diskusjonen av denne saken er ikke politiets behov for opplysninger i forbindelse med lovbrudd vært fremme – dette for så vidt sterkt i motsetning til hva som er tilfelle ved registrering og lagring av data om teletrafikk. Under behandling av klagesaken er det imidlertid gitt et konkret eksempel på bruk av data fra bomsystemet under etterforskning av en drapssak i Tønsbergdistriktet høsten 2005.
På henvendelse fra Personvernnemnda er det blitt forklart[4] at Bro- og Tunnelselskapet A/S – som opererer bomringen i Tønsberg, fikk en henvendelse fra Vestfold politidistrikt med forespørsel om alle tilgjengelige opplysninger om passeringer knyttet til fire spesifiserte AutoPASS-brikker etter 8.11.2005. Politiet hadde identifisert brikkene ved gransking av de bilene de var festet i, og lest brikkenumrene av etikettene. De utleverte opplysningene var begrenset til brikkenummer, registreringsnummer for den bil brikken er knyttet til og passeringsdata (sted, tid). Ingen bilder ble utlevert, og de utleverte opplysningene tilhører den kategori som rutinemessig blir slettet etter en måned (jf ovenfor). Disse opplysningene var tilstrekkelige til at politiet i den sak som var under etterforskning, kunne fastslå at en av de aktuelle bilene hadde passert en bomstasjon på et tidspunkt som var av betydning for sakens etterforskning.
Dette er bare et eksempel på den type bruk man kan forvente at politiet vil gjøre av opplysningene som registreres i bomsystemet – og den nytte man kan ha av slike opplysninger. Hadde man ønsket opplysninger som var eldre enn en måned, ville disse normalt ikke vært tilgjengelig. Hadde det vært tatt i bruk en anonym eller sporfri løsning, ville heller ikke opplysningene vært tilgjengelig.
For ordens skyld nevnes at Personvernnemnda ikke har tatt stilling til hvorvidt politiet hadde hjemmel til å innhente opplysningene i dette tilfellet og på denne måten.
6.4 Har Datatilsynets vedtak om konsesjonsplikt hjemmel?
I vedtak av 24.2.2005 har Datatilsynet gjort bompengesystemene konsesjonspliktige. Vegvesenet har hevdet at tilsynet mangler den nødvendige hjemmel til dette.
Etter personopplysningsloven § 33, 1.ledd er konsesjonsplikten som hovedregel knyttet til behandling av sensitive personopplysninger, jf personopplysningsloven § 2 nr 8. Det er i denne saken ikke hevdet at det foreligger registrering eller behandling av sensitive personopplysninger. Imidlertid kan Datatilsynet etter personopplysningsloven § 33, 2.ledd bestemme at også behandling:
“… av annet enn sensitive personopplysninger krever konsesjon, dersom behandlingen ellers åpenbart vil krenke tungtveiende personverninteresser. I vurderingen av om konsesjon er nødvendig, skal Datatilsynet bl.a. ta hensyn til personopplysningenes art, mengde og formålet med behandlingen.”
Datatilsynet fremhever den enkeltes rett til anonym ferdsel, og at en begrensning i denne retten må fremstå som velbegrunnet og påtrengende nødvendig. Tilsynet ser saken som et spørsmål om i hvilken grad “rene kommersielle hensyn” kan begrunne en kontroll med privatpersoners bevegelser. Tilsynet viser også til at løsningen har et potensial for å bli tatt i bruk for andre tilfeller enn automatiske bomstasjoner, f eks ferjer og parkering. Datatilsynet mener at spørsmålet prinsipielt har betydning langt utover den aktuelle sak, og mener systemet legger forholdene til rette for en infrastruktur med muligheter for omfattende og systematisk kartlegging av enkeltmennesker på en måte som virker usynlig for dem det retter seg mot.
Personvernnemnda vil drøfte personvernspørsmålene nedenfor. Datatilsynet har valgt å se saken fra en prinsipiell synsvinkel som fremhever generelle rettspolitiske aspekter ved avgjørelsen, og som også griper langt utover den konkrete saken.
I et slikt perspektiv finner Personvernnemnda det lite tvilsomt at Datatilsynet har hjemmel til ved enkeltvedtak etter personopplysningsloven § 33, 2.ledd å kvalifisere systemet som konsesjonspliktig.
6.5 Generelt om “retten til anonymitet”
Datatilsynet har i den prinsipielle tilnærming til saken fremhevet at “enhver har rett til anonym ferdsel”. Prinsippet mener man å kunne begrunne i Den europeiske menneskerettskonvensjonen artikkel 8, og FNs konvensjon om sivile og politiske rettigheter artikkel 17. Det anføres også at dette prinsippet kommer til uttrykk som forutsetning for personverndirektivet og personopplysningsloven. Det vises ikke til noen enkeltbestemmelse eller bestemt formulering. Snarere anses dette som et mer grunnleggende prinsipp, som er forutsetning for bestemmelsene i personopplysningsloven og personverndirektivet. Særlig kan det vises til prinsippet om en “selvbestemmelsesrett” for andres bruk av personlige opplysninger om en selv, som særlig kommer til uttrykk i prinsippet om at samtykke for bruk av slike opplysninger er den sentrale behandlingsgrunn etter personopplysningsloven § 8 og personverndirektivet artikkel 7.
Prinsippet om i hvilken grad den enkelte skal ha rett til å opptre anonymt i samfunnet, er et bredt, rettspolitisk spørsmål som er aktuelt på flere områder.
Når det gjelder ferdsel,viser Personvernnemnda til bestemmelsene om fjernsynsovervåking av offentlig sted som er regulert i personopplysningsloven kap VII, hvor det fremgår at slik overvåking bare kan skje der det foreligger behandlingsgrunn etter personopplysningsloven § 8 (jf personopplysningsloven § 37, 1.ledd). For offentlig sted vil det i praksis ikke være mulig å få samtykke av den enkelte, derfor kreves det i personopplysningsloven § 40 at selv om det foreligger behandlingsgrunn uten samtykke (f eks etter personopplysningsloven § 8 litra f) skal det varsles om overvåkingen ved skilting eller på annen måte. Personvernnemnda har lagt betydelig vekt på den enkeltes rett til å ferdes fritt uten å bli overvåket, jf PVN-2005-06 Det Mosaiske Trossamfund. Selv om det kreves skilting og den enkelte slik gjøres oppmerksom på overvåking, vil det i praksis være vanskelig for den enkelte å unngå slike områder for å ivareta sin interesse i å ferdes anonymt eller hemmelig.
Når det gjelder telekommunikasjon[5] pålegges tilbydere av offentlig telefontjeneste å registrere alle sluttbrukere på en måte som muliggjør entydig identifikasjon, jf ekomloven med tilhørende forskrift. I forbindelse med en høringsuttalelse til ekomloven, fremhever Datatilsynet bekymring for at bestemmelsene skulle innebære en plikt til å registrere kontantkort, jf brev av 3.6.2003. Men etter ekomforskriften § 6-2, 1.ledd fastslås det:
“Tilbyder av offentlig telefontjeneste skal føre oversikt over enhver sluttbrukers navn, adresse og nummer/adresse for tjeneste. Oversikten skal inneholde opplysninger som muliggjør entydig identifisering av de registrerte …”
Spørsmålet om registrering av abonnentdata for telekommunikasjon er prinsipielt forskjellig fra registrering, lagring og utnyttelse av trafikkdata, som har stått sentralt i den rettspolitiske debatten høsten 2005. Ekomforskriften innebærer at den praksis som i alle fall enkelte tilbydere fulgte ved ikke å kreve registrering på annet enn frivillig basis – som tillot anonym bruk av mobiltelefon ved kjøp av uregistrerte kontantkort – er forlatt til fordel for et lovforankret prinsipp med krav om registrering av kjøpers identitet. Personvernnemnda tar ikke stilling til hvorvidt dette var en endring av rettstilstanden, eller – som forarbeidene angir – en videreføring og klargjøring av denne, men nemnda tillater seg å nevne at lovendringen ble gjennomført så å si uten prinsipiell debatt av den karakter som Datatilsynet slår til lyd for i forbindelse med nærværende sak. Artikkel 29-gruppen [6] har tatt til orde for en klargjøring om at det ikke skal være noen plikt til identifikasjon utover den som er nødvendig for fakturering eller andre forhold ved gjennomføring av kontrakten med teleoperatøren,[7] sml personopplysningsloven § 8 litra a.
På finansområdet og da særlig når det gjelder betalingsformidling og valutahandel følger det av nasjonalt og internasjonalt regelverk at både kunder og enkelttransaksjoner skal være entydig identifisert. Gjennomføringen av prinsippet om “Know your customer” i banker og andre finansinstitusjoner innebærer at det i dag ikke skal kunne opprettes anonyme konto-eller kundeforhold og utføres betalingstransaksjoner uten at avsender (betaler) er legitimasjonskontrollert og identifisert. Tilsvarende vil mottakerbanken måtte forvisse seg om betalingsmottakers identitet. Ved etablering av forretningsforhold følger det for eksempel av finansavtaleloven[8] § 16 og hvitvaskingsloven[9] § 6 at enhver fysisk person skal identifiseres ved angivelse av bl.a. fødselsnummer, eventuelt D-nummer.[10]
Historisk sett var begrunnelsen for identifikasjonskravet hensynet til effektiv skatteinndrivelse[11] og til myndighetenes kontroll med innførsel og utførsel av valuta. I de senere år er identifikasjonskravet blitt ytterligere innskjerpet som ett av flere tiltak for bekjempelse av hvitvasking av penger, finansiering av terrorvirksomhet og annen organisert kriminalitet.
Internasjonalt deltar Norge aktivt i arbeidet med å utvikle og vedta anbefalinger og retningslinjer for å motvirke hvitvasking og terrorfinansiering. Dette arbeidet skjer bl.a. gjennom Financial Action Task Force on Money Laundering (FATF) som ble opprettet av G-7 landene i 1989. FATF har utarbeidet 40 anbefalinger vedrørende tiltak mot hvitvasking og har på bakgrunn av terrorangrepene i USA 11.9.2001 utvidet sitt virkeområde til å omfatte terrorfinansiering. Norge sluttet seg til FATF i 1991.[12] Det følger av anbefaling nr VII vedrørende terrorfinansiering at virksomheter som driver betalingsformidling, skal sikre at opplysninger som gjør det mulig å identifisere avsender (betaler) følger overføringen til enhver tid og i ethvert ledd i betalingskjeden. Opplysningene om avsender skal følge betalingen også når betalingen går gjennom flere transaksjoner før den kommer til siste mottaker.
I forbindelse med vedtagelsen av valutaregisterloven i 2004[13] for etablering av et nytt offentlig register i Toll- og avgiftsdirektoratet med oversikt over valuta- og betalingstransaksjoner til og fra Norge, ble det i lovens forarbeider gitt en bred omtale av adekvate anbefalinger fra FATF om bl a behovet for registrering av opplysninger som identifiserer betaler og mottaker ved betalinger inn og ut av Norge (fødselsnummer, eventuelt D-nummer). Identifikasjonskravet kommer slik til uttykk i valutaregisterloven § 5 om rapporteringsplikt:
“Rapport om valutaveksling og om overføring av betalingsmidler inn og ut av Norge skal leveres elektronisk og inneholde opplysninger som identifiserer person eller foretak som mottar og sender, eller fører betalingsmidler inn eller ut av Norge, samt opplysninger om transaksjonen og betalingsmiddelet.
Departementet kan gi forskrifter[14] om rapporteringspliktens innhold, herunder fastsette særskilte beløpsgrenser for rapportering.”
Personvernnemnda viser til at Datatilsynet, finansnæringen og flere andre høringsinstanser stilte seg særdeles kritisk til lovforslaget. I lovens forarbeider, Ot prp nr 35 (2003-2004), er Datatilsynets generelle merknader slik gjengitt i pkt 6 om forholdet til personvernet og avveining mot personvernhensyn:
“Datatilsynet er negativ til lovforslaget som helhet, og finner det ‘særlig problematisk at det ikke er godtgjort at nytten av overvåkingen er proporsjonal med ofringen av lovlydige borgeres grunnleggende demokratiske rettigheter’. Datatilsynet er også uenig i at registeret ikke vil inneholde sensitive opplysninger. Om dette skriver tilsynet: ‘Ettersom betalingsmottaker også skal registreres, vil registeret inneholde opplysninger som kan knyttes til kjøp av apotekvarer, legebesøk og sykehusopphold. Dette er registreringer som enkeltvis ikke nødvendigvis vil anses som sensitive, men samlet over flere år er det lite tvilsomt at det vil kunne si noe om mange av de registrertes helseforhold. Det vil også kunne tenkes registrert opplysninger om seksuelle preferanser og straffbare forhold.’”
Personvernnemnda slutter seg fullt ut til Datatilsynets oppfatning av at spørsmålet om retten til å ferdes anonymt på offentlig sted, og ellers til å opptre anonymt i samfunnet, er et grunnleggende rettspolitisk spørsmål av sentral betydning for personvernet. Det er også et spørsmål som er sektorovergripende. Det fremstår som sterkt ønskelig at man kunne ta stilling til dette spørsmålet generelt, og ikke bare f eks i forbindelse med til bomsystemer. Personvernnemnda er imidlertid henvist til å begrense sin saksbehandling til en vurdering av den aktuelle klage. Nemnda vil ikke unnlate å bemerke at den oppsplitting i konkrete klager som er nødvendig for prøving av enkeltvedtak ikke må få lov til å erstatte en mer prinsipiell rettspolitisk debatt av den karakter Datatilsynet søker å vekke ved de prinsipielle merknadene til denne saken.
6.6 Forskjellen mellom et sporfritt og et anonymt alternativ
Personvernnemnda er ovenfor kommet til at Datatilsynet har hjemmel i personopplysningsloven § 33, 2.ledd til ved vedtak å bestemme at behandlingen av personopplysninger i bomstasjonene er gjenstand for konsesjon. For at det skal kunne gis konsesjon, må det foreligge en behandlingsgrunn. I dette tilfellet, der det ikke gjelder behandling av sensitive opplysninger, er det tilstrekkelig å finne en behandlingsgrunn i personopplysningsloven § 8. Dette finner man naturlig i avtaleforholdet mellom bruker og operatør av bomsystemet, personopplysningsloven § 8 litra a, og det foreligger ingen uenighet om at tilstrekkelig behandlingsgrunn er til stede.
Etter personopplysningsloven § 35 skal Datatilsynet vurdere hvorvidt det i konsesjonen skal inntas vilkår med sikte på å avdempe personvernulemper. Datatilsynet har vedtatt å stille krav til at systemet skal ha et alternativ som ikkeregistrerer personopplysninger, et anonymt alternativ, og begrunnet dette prinsipielt.
For sin vurdering har Personvernnemnda fokusert på forskjellen mellom et sporfritt og et anonymt alternativ, slik disse uttrykkene er brukt og forklart ovenfor (i dokumentene er noe varierende betegnelser brukt).
Den sentrale forskjellen er at i det anonyme systemet registreres ingen kobling mellom brikken på den ene siden og eier eller registreringsnummer på den andre siden. Det vil si at de opplysninger som registreres om bruk av brikken derfor ikke vil være personopplysninger etter personopplysningsloven § 2 nr 1.
Denne koblingen mellom brikke og registreringsnummer finner man i det sporfrie alternativ som en del av operatørens abonnementsopplysninger. En konsekvens av forskjellen vil være at opplysninger i identifiserbar form lagres for en tid i bompengesystemet. I prinsippet ligger det lagret i systemet ved den enkelte stasjon i inntil 72 timer, men er da bare tilgjengelig for teknisk personale – opplysningene er ikke lagret i strukturert form. Man kan imidlertid ikke utelukke at i bestemte kritiske situasjoner, som antydet ved eksempelet med politiets etterforskning i en drapssak, så vil man kunne velge også å analysere disse data for å få den ønskede informasjon.
Opplysningene overføres til operatørens sentrale system, og vil der sammenholdes med opplysninger om abonnementet. I det anonyme systemet vil brikkenummer angi at det er en anonym avtale, kontoen blir oppdatert og opplysningene slettes. I det sporfrie systemet vil det samme skje. Opplysningene vil her være tilgjengelig i ca en time.
Dette vil si at opplysningene om den enkelte passering er slettet i operatørens sentralsystem en time etter at de er mottatt fra bomstasjonen. I bomstasjonen oppbevares opplysningene som en ubehandlet reservekopi inntil 72 timer. Den prinsipielle forskjellen vil være at operatøren i det sporfrie systemet under oppbevaring i bomstasjonen og i timen før opplysninger slettes i sentralsystemet, kan koble brikkenummer til registreringsnummer, og dermed til kjøretøyets eier.
Denne forskjellen får særlig betydning hvis brikken ikke leses vellykket ved bomstasjonen. Da vil det tas et bilde av registreringsnummeret. I det anonyme systemet vil eier av bilen da få tilsendt et krav om avgift, som i prinsippet er urettmessig ettersom bilen hadde en betalt brikke. Dette kan imidlertid i etterhånd ikke avdekkes, og eier må betale avgiften som en konsekvens av at eier har valgt det anonyme alternativet. I det sporfrie systemet vil kobling mot registreringsnummer vise at kjøretøyet hadde en gyldig brikke, og opplysningene vil slettes uten at eier kontaktes. Det sporfrie systemet kan her fremstå som noe rimeligere overfor brukeren. Imidlertid vil konsekvensen av det anonyme systemet være kjent når en slik avtale inngås, så man må anse at denne ulempen er akseptert av brukerne av det anonyme systemet.
Personvernnemnda nevner at i eksempelet gjengitt ovenfor om bruk av brikker i politiets etterforskning, vil det anonyme og sporfrie alternativet virke på samme måte. Politiets henvendelse spesifiserte brikkenes nummer, som var avlest i de kjøretøy hvor de var montert. Dette nummeret vil bli registrert både i det anonyme og sporfrie alternativet. I det anonyme alternativet kan ikke operatørforeta en kobling mellom registreringsnummer og brikkenummer, men den koblingen hadde politiet allerede foretatt ved avlesning i det kjøretøy hvor brikken var montert.
Datatilsynet har i sin vurdering lagt vekt på at forholdene legges til rette for en infrastruktur som gir muligheter for “omfattende og systematisk kartlegging av enkeltmennesker, på en måte som virker usynlig for de det retter seg mot” (Datatilsynets oversendelsesbrev av 1.7.2005 pkt 3.1).
Personvernnemnda forstår det slik at dette argumentet – som nemnda oppfatter som et hovedargument – retter seg mot den infrastruktur som gjør det mulig å følge et kjøretøys bevegelser gjennom registrering av brikken. I dag vil dette gjelde passering av bomstasjoner. Datatilsynet skisserer imidlertid som en mulig og ikke fjerntliggende videreutvikling at systemet kan brukes ved ferjepasseringer, parkeringsanlegg osv. Det manes frem et scenario hvor kjøretøyet nærmest trekker elektroniske spor lik linjer over et detaljert kart – en omfattende og systematisk kartlegging av kjøretøyets, og dermed også førerens bevegelser.
Personvernnemnda mener at slike prinsipielle perspektiv underbygger de viktige rettspolitiske aspektene knyttet til spørsmålet om anonym ferdsel og atferd diskutert noe nærmere ovenfor. Men Personvernnemnda har vanskeligheter for å se den nærmere sammenhengen med de aktuelle alternativene i denne saken – en anonym eller sporfri løsning. Slik nemnda forstår det, er det selve det grunnleggende systemet som bygger på en identifiserbar brikke i kjøretøy, som etablerer den infrastruktur som eventuelt kan føre til uønsket overvåking. I det sporfrie alternativ vil dette ikkevære mulig, her slettes de aktuelle opplysningene en time etter at de er mottatt fra bomstasjonen. Forbindelse mellom brikkenummer og registreringsnummer kan også etableres på annen måte enn gjennom operatørens abonnentregister, og vil tillate at man også i en anonymt system kan utnytte de registrerte data til å spore et kjøretøys bevegelser, jf det eksempel som er gjengitt ovenfor.
Det anonyme alternativet har visse praktiske og forretningsmessige ulemper sammenlignet med det sporfrie alternativet. I seg selv er disse ulempene på ingen måte avgjørende. Men hvis man skal pålegge behandlingsansvarlig slike merkostnader, bør de føre til et bedret personvern for den registrerte. Personvernnemnda har vanskelig for å se at det anonyme alternativet i praksis sikrer den registrertes personvern merkbart bedre enn det sporfrie alternativet.
Denne vurderingen bygger på forutsetninger om at behandlingsansvarlig følger de regler for behandling av de registrerte opplysningene som er fremstilt ovenfor, særlig reglene om lagring av reservekopi i bomstasjonen, behandlingstid og sletting av opplysninger i sentralsystemet innen en time etter overføring, med en modifikasjon for fremmedpasseringer hvor denne tiden utvides til 24 timer. Forutsetningene omfatter også at opplysningene bare utnyttes av den behandlingsansvarlige for betalingsfunksjonen, og at de ikke utleveres til tredjepart uten at det sikres at det foreligger hjemmel.
Det forutsettes også at det sporfrie alternativet promoveres, og forholdene legges til rette for at den enkelte kan benytte dette uten at det skal representere praktiske eller økonomiske belastninger.
Disse forutsetningene er avgjørende for Personvernnemndas vedtak. Nemnda mener derfor at konsesjonsbetingelsene bør inneholde en plikt for den behandlingsansvarlige til å la systemet underlegges en årlig uavhengig revisjon for å sikre at forutsetningene oppfylles. Revisjonen må omfatte teknisk prøving av at mekanismer for sletting av data lokalt og sentralt (herunder eventuell reservekopiering og redundante løsninger) fungerer som forutsatt, og at tilgang til data (lokalt og sentralt) er begrenset til tjenestelige behov. En slik revisjon kan, men trenger ikke, være en integrert del av sikkerhetsrevisjonen som gjennomføres for å oppnå samsvar med personopplysningsforskriftens § 2-5.
Etter Datatilsynets vedtak legges det til grunn et delt behandlingsansvar mellom Statens vegvesen og det enkelte bomselskap, jf tilsynets oversendelsesbrev av 1.7.2005 pkt 3.2. Denne del av vedtaket er ikke påklaget.
Delt behandlingsansvar er nærmere beskrevet i Datatilsynets brev av 24.2.2005 s 3 “Delt behandlingsansvar”. Her påpeker tilsynet at Statens vegvesen spesifiserer det system som et bomselskap etablerer, og påtar seg et ansvar for å gi retningslinjer for behandling av personopplysninger. Dette antar Datatilsynet vil være dekkende for de styrende elementene i et internkontrollsystem etter personopplysningsloven § 14. Bomselskapet vil være ansvarlig for den såkalte gjennomførende delen av internkontrollen ved daglig behandling av personopplysninger.
Personvernnemnda legger til grunn at Statens vegvesen på grunnlag av delt behandlingsansvar med bomselskapet vil være ansvarlig for å gjennomføre den årlige uavhengige revisjon som nemndas vedtak innebærer. Dette vil også bidra til at de konsesjonerte bomselskapene praktiserer retningslinjene for behandling av personopplysninger på samme måte. Konsesjonen til bomselskapene må sikre at Statens vegvesen får den nødvendige tilgang til det enkelte bomselskaps data og innretninger for gjennomføring av uavhengig revisjon. Ved avvik vil Datatilsynet kunne vurdere behov for eventuelle sanksjoner etter personopplysningsloven.
6.7 Konklusjon
Etter dette kommer Personvernnemnda til at det er hjemmel for å kvalifisere systemet med automatiske bomstasjoner som konsesjonspliktig etter personopplysningsloven § 33, 2.ledd.
Personvernnemnda kommer til at Datatilsynet kan utferdige konsesjon basert på det alternativ som i dette vedtaket er omtalt som “det sporfrie alternativ“, og at det i konsesjonen pålegges den behandlingsansvarlige en plikt til å foreta årlig systemrevisjon for å sikre at forutsetningene om at (1) lengste lagring av reservekopi i bomstasjonen ikke overstiger 72 timer, (2) behandling i sentralsystemet fører til sletting av opplysningene innen en time i normaltilfelle og (3) innen 24 timer for fremmedpasseringer, samt at tilganger til data baseres på tjenestelig behov.
7 Vedtak
- Med hjemmel i personopplysningsloven § 33, 2.ledd kan det utferdiges konsesjon for behandlingsansvarlig for helautomatisk bomstasjoner. Datatilsynets vedtak i så måte opprettholdes.
- Ved utarbeidelsen av konsesjonen legges til grunn det alternativ som ovenfor er kalt “det sporfrie alternativet”, jf også de tidsfrister for lagring av personopplysninger som er nevnt ovenfor i pkt 6.7.
- I konsesjonen pålegges Statens vegvesen å iverksette en årlig uavhengig revisjon hos bomselskapene for sikre at forutsetningene for konsesjonen er ivaretatt.
Oslo 7.3.2006
Jon Bing
Leder
Fotnoter
1. Lov om behandling av personopplysninger av 14. april 2000 nr. 31 - heretter også "pol".
[1] Omtalen er basert på “407 Express Toll Route: How You Can Travel the 407 Anonymously”, http://www.ipc.on.ca/ [27.11.2005].
[2] Catherine Thompson og Ian Kerr “Tailgating on Spyways: Vanisihing Anonymity on Electronic Toll Roads”, University of Ottawa (uten dato).
[3] E-post fra Policy Analyst Ula Galster 6.12.2005.
[4] Brev fra Statens vegvesen av 12.12.2005 (ref 2003/02567-041).
[5] Personvernnemnda har fått utarbeidet en kort betenkning om dette området av stipendiat Thomas Olsen, Avdeling for forvaltningsinformatikk, Universitetet i Oslo: “Lovgivningsprosessen bak registreringsplikt for kontantkort til mobiltelefon” (20.12.2005), jf også Christian Dahlgren Elektroniske spor – om politiets bruk og teleoperatørenes lagring av trafikkdata,CompLex 4/04, Institutt for rettsinformatikk, Oslo 2005:12.
[6] Gruppen som er nedsatt etter personverndirektivet artikkel 29.
[7] Opinion 113/2005 on the Proposal for a Directive of the European Parliament and of the Council on the Retention of Data Processed in Connection with the Provision of Public Electronic Communication Services and Amending Directive 2002/58/EC (COM(2005)438 final of 21.09.2005.
[8] Lov om finansavtaler og finansoppdrag (1999:46).
[9] Lov om tiltak mot hvitvasking av utbytte fra straffbare handlinger mv (2003:41).
[10] D-nummer utstedes til utenlandske statsborgere med bl.a. forretningsforhold i norsk finansinstitusjon.
[11] Bankers og andre finansforetaks oppgaveplikt til ligningsmyndighetene følger av ligningsloven § 6-4 og utfyllende forskrifter (1992:1190).
[12] Alle OECD-landene er med i FATF. Videre er blant annet Argentina, Brasil, Hongkong, Mexico og Singapore medlemmer.
[13] Lov om register over opplysninger om valutaveksling og overføring av betalingsmidler inn og ut av Norge (valutaregisterloven, 2004:29).
[14] Valutaregisterforskriften 2004:1573.