Datatilsynets referanse: 09/00196-11/JSK

PVN-2010-07 Passeringsdata Fjellinjen

Klage på Datatilsynets vedtak om sletting av passeringsdata ved etterskuddsbasert fakturering

Personvernnemndas avgjørelse av 16.2.2011 (Olav Torvund, Arve Føyen, Tom Bolstad, Leikny Øgrim, Ann R Sætnan, Jostein Halgunset, Michal Wiik Johansen)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets vedtak om sletting av passeringsdata ved etterskuddsbasert fakturering innen fem måneder etter passering.

2 Saksgang

Datatilsynet varslet i brev av 12.2.2009 at det ville foreta kontroll hos Fjellinjen AS (”Fjellinjen”). Fjellinjen besvarte henvendelsen ved brev av 20.3.2009 med vedlagt notat om behandling av passeringsopplysninger hos Fjellinjen. Datatilsynet gjennomførte tilsyn 31.3.2009. I brev av 18.5.2009 sendte Datatilsynet varsel om vedtak og foreløpig kontrollrappport. I brev av 8.6.2009 kom Fjellinjen med innsigelse vedrørende varslet vedtak. Datatilsynets vedtak om pålegg ble sendt i brev av 14.7.2009. Fjellinjen påklaget vedtaket i brev av 24.7.2009.

Saken ble oversendt fra Datatilsynet 19.4.2010 og Personvernnemnda mottok saken 21.4.2010. Klager ble orientert om dette i brev fra nemnda datert 28.4.2010, med frist til uttalelse innen 18.5.2010. Brev fra Statens vegvesen kom inn 28.5.2010. Brev fra Skattedirektoratet kom inn 4.6.2010.

3 Faktum

Saken dreier seg om hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder som mottar etterskuddsbasert faktura. Datatilsynet har pålagt klager å slette slike passeringsdata innen fem måneder etter passering, jf personopplysningsloven § 28.

Saken dreier seg om klage på følgende pålegg i Datatilsynets vedtak:

  • Pålegg 2 angående sikring av personopplysninger på Internett, idet Fjellinjen anser at informasjonssikkerheten er tilstrekkelig
  • Pålegg 3 angående sikring av personopplysninger internt i Fjellinjen gjennom tilgangsbegrensning, ettersom Fjellinjen anser at dagens tilgangsnivå er nødvendig for å kunne behandle henvendelser fra selskapets kunder
  • Pålegg 4 om sletting av passeringsopplysninger til innehavere med forhåndsbetalt abonnement innen en måned, idet Fjellinjen for det første viser til at selskapet praktiserer en utvidet reklamasjonsfrist, og for det andre til at det ønsker å avvente konklusjonene til en arbeidsgruppe med representanter fra Samferdselsdepartementet, Fornyings- og administrasjonsdepartementet, Vegdirektoratet og Datatilsynet
  • Pålegg 5 om sletting av passeringsopplysninger ved etterskuddsbasert fakturering innen fem måneder, idet Fjellinjen viser til at selskapet avventer konklusjonene til arbeidsgruppen nevnt over.

4 Klagers anførsler

Fjellinjen opplyser at pålegg 1 er oppfylt, med unntak av opplysningene om lagringstid, jf påleggene 4 og 5. Når det gjelder pålegg 4 har dette ikke lenger relevans for Fjellinjen idet selskapet høsten 2009 gikk over til å kun tilby avtaler med etterskuddsfakturering. Statens vegvesen uttaler at de ikke har motforestillinger mot Datatilsynets ønske om sletting av passeringsdata fem måneder etter passeringstidspunktet. Vegvesenet er imidlertid enig med Datatilsynet i at det er viktig at forholdet mellom personopplysningsloven og regnskaps- og bokføringsloven blir avklart i denne saken.

5 Datatilsynets vurdering

Pålegg 1 – lukket avvik

Datatilsynet er kommet til at pålegg 1 kan lukkes, og det anses ikke som nødvendig med noen ytterligere dokumentasjon utover det foreliggende, jf. annet avsnitt på side 2 i Datatilsynets brev av 14. juli 2009. Avviket anses dermed som lukket, inntil Personvernnemnda eventuelt skulle komme til samme resultat som Datatilsynet når det gjelder påleggene 4 og 5. I så fall vil det måtte foretas ytterligere korrigeringer i tråd med de nevnte pålegg.

Pålegg 2 – oppheving av vedtak

Når det gjelder pålegg 2 opphever Datatilsynet sitt vedtak. Fjellinjen har anført at sikkerhetsmekanismene er ”mer enn tilstrekkelige”. Klager har ikke gitt noen nærmere begrunnelse utover dette, men har vist til sitt tilsvar til Datatilsynets varsel om vedtak og foreløpig rapport, hvor det fremgår:

Etter Fjellinjens oppfatning fremstår det som usannsynlig at uvedkommende skulle kunne få tilgang til personopplysninger på vårt nettsted ved å kombinere bilnummer og avtalenummer. Avtalenummer er ikke kjent for andre enn avtaleinnehaver. Selv om bilnummer skulle være kjent er det usannsynlig at noen, uten informasjon fra avtaleinnehaver, skulle kunne finne tilhørende avtalenummer. Nettstedet er også sikret mot forsøk på datastyrte serie-innlogginger.”

Tilsynet er for så vidt enig i at det fremstår som usannsynlig at uvedkommende kan ta seg inn i brukernes ”MinSide” ved hjelp av den enkeltes avtalenummer, da nummeret i utgangspunktet bare er gjort kjent for en begrenset krets av personer. Forutsetningen er at det ikke er mulig å utsette nettstedet for brute force-angrep, eller lignende. Fjellinjen har opplyst om at det er iverksatt adekvate tiltak mot ”serie-innlogginger”. Datatilsynet mener dette er tilfredsstillende. På bakgrunn av Fjellinjens innsigelser, og de opplysninger som er oversendt i brev av 8. juni 2009, har Datatilsynet besluttet å oppheve eget vedtak, jf forvaltningsloven § 33 annet ledd annet punktum. Pålegg 2 i Datatilsynets vedtak av 14. juli 2009, trekkes med dette tilbake.

Pålegg 3 – oppheving av vedtak

Når det gjelder pålegg 3 opphever Datatilsynet sitt vedtak. Fjellinjen har anført at alle de ansatte som håndterer kundehenvendelser, har behov for tilgang til de aktuelle personopplysningene. Det er dessuten vist til at samtlige ansatte ved ansettelsestidspunktet har skrevet under på en sikkerhetsinstruks, og at brudd på denne kan medføre avskjed. Tilsynet har i den forbindelse sett hen til de behovene til Fjellinjens kundeservice som er beskrevet. I tillegg vil Datatilsynet bemerke at innsyn i opplysninger foretatt av eget personale, som er ansatt for å utføre kundeservice, og som har undertegnet på sikkerhetsinstruks, ikke vil være å regne som ”uautorisert innsyn” etter personopplysningsforskriften § 2-11. På bakgrunn av Fjellinjens innsigelser, har Datatilsynet besluttet å oppheve pålegg 3, jf forvaltningsloven § 33 annet ledd annet punktum. Tilgangsnivået for de ansatte i Fjellinjens kundeservice, slik det var på kontrolltidspunktet, kan følgelig opprettholdes. Pålegg 3 i Datatilsynets vedtak av 14. juli 2009, trekkes med dette tilbake.

Pålegg 4 – Datatilsynet opprettholder sitt standpunkt

Når det gjelder pålegg 4, opprettholder Datatilsynet sitt standpunkt. Datatilsynets pålegg 4 fastslår at virksomheten må slette passeringsdata til innehavere av forskuddsbasert konto innen en måned etter passering, jf. også den endelige rapportens avsnitt 5.4.1. Fjellinjen har i klagen anført:

Vegdirektoratet har informert oss om at det er nedsatt en arbeidsgruppe med representanter fra Samferdsels- og Justisdepartementet der både Vegdirektoratet og Datatilsynet er representert. Vi synes det vil være naturlig å vente på resultatene fra denne arbeidsgruppen før det gjøres endringer i lagringstidene.”

Tilsynet viser til at den omtalte arbeidsgruppen ikke har konkludert i de omtalte spørsmål. Det skal tilføyes at Datatilsynet har avventet eventuelle avklaringer som et mulig resultat av gruppens arbeid, i tiden etter kontrolltidspunktet. Dette er også blant årsakene til at det har gått noe lengre tid enn hva ønskelig er mellom tidspunktet for Fjellinjens klage og nærværende oversendelse av saken til Personvernnemnda. Ettersom en eventuell enighet eller kompromissløsning fremdeles ser ut til å ligge et stykke frem i tid, har Datatilsynet nå funnet det hensiktsmessig å gå videre med saken. Når det gjelder Fjellinjens forslag om utvidet lagringstid, vises det til Datatilsynets vurderinger i den endelige kontrollrapportens punkt 5.4.1.

Pålegg 5 – Datatilsynet opprettholder sitt standpunkt

Når det gjelder pålegg 5, opprettholder Datatilsynet sitt standpunkt. Datatilsynets pålegg 5 fastslår at virksomheten må slette passeringsdata som følge av etterskuddsbasert fakturering innen fem måneder etter passering, jf. også den endelige rapportens avsnitt 5.4.2. Tilsynet har i vedtaket tatt forbehold for det tilfelle at annen lovgivning skulle pålegge Fjellinjen å lagre passeringsopplysningene. Fjellinjen har i klagen vist til at resultatene av den omtalte arbeidsgruppens arbeid avventes. Datatilsynet viser derfor til det som er sagt over, vedrørende pålegg 4. I Fjellinjens tilsvar av 8. juni 2009, til Datatilsynets foreløpige rapport og varsel om vedtak, har Fjellinjen anført følgende:

”Et vesentlig punkt når det gjelder lagring av opplysninger er forholdet mellom personopplysningsloven § 28 som åpner for oppbevaring av passeringsopplysninger i henhold til annen lovgivning og Regnskapsloven og Bokføringsloven, spesielt § 5-5 i sistnevnte. I de tilhørende forskriftenes § 5-1-1 fremgår det et krav om at salgsdokumentasjon skal utstedes med blant annet tidspunkt og sted for ytelsen. Fakturaer til kunder som ikke har avtale med Fjellinjen inneholder i overensstemmelse med dette relevante passeringsopplysninger. Disse opplysningene må da også tas vare på som regnskapsopplysninger. Datatilsynet vurderer i sin rapport relevansen i Bokføringslovens krav og synes disse er urimelige. Fjellinjen har ikke juridisk kompetanse til å kunne vurdere de aktuelle lovbestemmelsene verken isolert eller opp mot hverandre.”

Tilsynet er kjent med at det i bokføringsloven med tilhørende forskrift er oppstilt krav om at visse opplysninger skal dokumenteres av den bokføringspliktige. I enkelte tilfeller vil dette kunne omfatte opplysninger om individer – forskriftens § 5-1-1 nr. 2 bestemmer for eksempel at partene i en kjøpsavtale skal angis, jf. § 5-1-2. Det samme gjelder tidspunkt og sted for levering av ytelsen, jf. § 5-1-1 nr. 4. Datatilsynet mener det ville være svært uheldig dersom regler i bokføringslovgivningen skulle medføre at Fjellinjen har anledning til å lagre detaljerte opplysninger om trafikanters passeringer av bomstasjoner i flere år fremover. Tilsynet kan under en hver omstendighet ikke se at bokføringsregelverket medfører noen plikt til å registrere opplysninger om den passerende i slike tilfeller. Det vises til bokføringsforskriften § 5-1-2 annet ledd, som fastslår at kravet til angivelse av kjøper kan fravikes ved ”kontantsalg fra detaljist”. Av forskriftens § 5-5 følger dessuten at ”angivelse av kjøper [kan] utelates når vederlaget er mindre enn kr 1 000 inklusive merverdiavgift og varen eller tjenesten ikke er beregnet for videresalg, eller som direkte innsatsfaktor i produksjon eller tjenesteleveranse.”

Situasjonen i nærværende sak må kunne likestilles med den situasjonsbeskrivelse som er gitt i de siterte bestemmelsene. Unntakene må etter tilsynets oppfatning derfor gis anvendelse i denne saken – så fremt Fjellinjen i utgangspunktet skulle være underlagt de forpliktelser som er skissert i forskriftens § 5-1-1 nr. 2, jf. § 5-1-2. Det vises blant annet til at faktura sendes til den passerende når det er foretatt passeringer for mer enn 100 kr., eller etter tre måneder dersom beløpet er lavere enn 100 kr. Datatilsynet viser for øvrig til vedlagte brev fra Fornyings- og administrasjonsdepartementet (FAD) av henholdsvis 15. februar og 13. april 2010, og til brav av 9. mars fra Datatilsynet til FAD. Departementet har overfor Finansdepartementet signalisert at det er ønskelig med en avklaring av de generelle problemstillinger som ofte oppstår i krysningspunktet mellom personopplysningsloven og bokføringslovgivningen. Finansdepartementet ser imidlertid ikke ut til å dele denne oppfatningen, og tilsynet vurderer det derfor som mest formålstjenlig at nærværende sak i sin helhet oversendes Personvernnemnda.

På bakgrunn av det ovennevnte, oversendes påleggene 4 og 5 herved til Personvernnemnda for vurdering og endelig avgjørelse, jf. personopplysningsloven § 43 første ledd. Nemnda bes også om å vurdere pålegg 1, ettersom Datatilsynet og Fjellinjen er uenige i de forhold som informasjonsplikten gjelder, jf. påleggene 4 og 5, jf. kontrollrapportens punkt 5.1.3. Finansdepartementet og Skattedirektoratet er orientert om Datatilsynets forståelse av bokføringsregelverket, som kopimottakere av dette brevet. Finansdepartementet og direktoratet anmodes med dette om å avgi uttalelse til Personvernnemnda i saken, dersom Datatilsynets forståelse av bokføringsregelverket skulle avvike fra gjeldende rett.

6 Bemerkning fra Skattedirektoratet

Skattedirektoratet har avgitt en uttalelse i saken. Skattedirektoratet uttaler at bokføringsloven § 10 gjelder krav til dokumentasjon av bokførte opplysninger. Dokumentasjonen skal utstedes med et korrekt og fullstendig innhold og vise de bokførte opplysningenes berettigelse. Mer detaljerte krav til bokføring følger av bokføringsforskriften § 5-1-1. Bokføringsloven § 5 har krav til kundespesifikasjon. Slik kundespesifikasjon og salgsdokumentasjon skal oppbevares i 10 år, jf bokføringsloven § 13 (2), jf (1) nr 2 og 3.

Når det gjelder etterskuddsvis fakturering, er dette salg som faktureres etter levering (passering). Fjellinjen får da en fordring på den aktuelle kunden når vedkommende passerer bomringen, og skal fakturere kunden basert på denne passeringen. Det må utstedes et salgsdokument til kunden og salget skal bokføres og spesifiseres.

Bokføringsforskriften § 5-1-1 nr 4 krever at leveringstidspunkt og sted skal angis i salgsdokumentet. Disse kravene er viktige for kontroll av en bokføringspliktig kjøper.

Skattedirektoratets konklusjon er at de nevnte opplysninger er påkrevd for å oppfylle bokføringsforskriftens krav til innhold av salgsdokumentet. Det antas at opplysningene også er nødvendig for å underbygge det kravet som fremsettes overfor kunden. Kundespesifikasjon og salgsdokumentasjon skal oppbevares i 10 år, jf bokføringsloven § 13 (2), jf (1) nr 2 og 3.

Skattedirektoratet presiserer at deres uttalelse kun gjelder kravet til innhold i salgsdokument, kravet til kundespesifikasjon samt oppbevaring av salgsdokumentasjon og kundespesifikasjon.

7 Personvernnemndas merknader

Leder i Personvernnemnda Eva I. E. Jarbekk valgte å fratre behandlingen av saken fordi hun i sitt virke som advokat har klienter som kan medføre at hun kommer i interessekonflikt i denne saken. I hennes sted trådte personlig vararepresentant for leder, Olav Torvund, inn.

I denne saken skal Personvernnemnda vurdere hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder med etterskuddsbasert faktura. Datatilsynet har pålagt klager å slette slike passeringsdata innen fem måneder etter passeringstidspunktet, jf personopplysningsloven § 28. Skattedirektoratet har avgitt en uttalelse i saken og konkluderer med at passeringsdata skal oppbevares i 10 år. Etter Personvernnemndas syn vil det i denne saken, som i sak PVN-2010-07 gjøre seg gjeldende tre forskjellige hensyn:

  • Personvernhensyn
  • Forbrukerhensyn
  • Regnskapshensyn

I denne saken må viktige personvernhensyn vike for regnskapshensyn. Personvernnemnda har vurdert saken og er kommet til at Skattedirektoratets fortolkning av bokføringsregelverket må legges til grunn.

Hovedregelen etter regnskaps- og bokføringslovgivningen er at den bokføringspliktige plikter å oppbevare visse data om forretningstransaksjoner i 10 år, jf bokføringsloven § 13 (2), jf (1) nr 2 og 3. Datatilsynet mener at de passeringsdata som klager er pålagt å slette i denne saken, ikke er omfattet av dokumentasjonsplikten i bokføringsregelverket. Tilsynet har lagt til grunn at den enkelte bompassering utgjør et kontantsalg som omfattes av unntaksbestemmelsen i bokføringsforskriften § 5-1-2, 2. ledd. Skattedirektoratet har i sin vurdering lagt til grunn at det her ikke er tale om kontantsalg som omfattes av unntaksbestemmelsen. Personvernnemnda slutter seg til Skattedirektoratets konklusjon og begrunnelsen for denne. Bokføringsregelverket er det samme og det gjør seg gjeldende enda sterkere reelle grunner ved etterskuddsbasert fakturering enn ved forskuddsbetalt ytelse. Ved etterskuddsvis fakturering vil selskapet få en fordring på kunden når vedkommende passerer bomringen, og skal fakturere kunden basert på denne passeringen. Det må utstedes et salgsdokument til kunden og salget skal bokføres og spesifiseres. Skattedirektoratet uttaler i sin vurdering at det dermed er en plikt for den bokføringspliktige å oppbevare kundespesifikasjoner og salgsdokumentasjon, inklusive passeringene (tid og sted) i 10 år. Personvernnemnda finner også her å måtte legge Skattedirektoratets fortolkning av bokføringsloven til grunn for sin vurdering. Det foreligger da en lovpålagt plikt til å oppbevare disse opplysningene i 10 år. Behandlingen kan således skje i medhold av personopplysningslovens § 8, første punktum, annet alternativ. Datatilsynet kan da ikke pålegge sletting av opplysningene på et tidligere tidspunkt med hjemmel i personopplysningsloven § 28. .

8 Vedtak

Klagen tas til følge.

 

 

Oslo, 16. februar 2011

Olav Torvund
Vararepresentant for leder