Home
ANONYMISERT VERSJON

PVN-2020-09 Behandling av personopplysninger i AutoPASS

Datatilsynets referanse: 
20/00121-2/KBK

Personvernnemndas vedtak 7. september 2020 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg, Hans Marius Tessem)

Saken gjelder klage fra A på Datatilsynets vedtak 27. februar 2020 der Datatilsynet avsluttet en sak om behandling av personopplysninger i bompengesystemet AutoPASS og konkluderte med at bompengeselskapenes behandling av personopplysninger var i tråd med personopplysningsloven. A har klaget over at bompengeselskapet lagrer passeringsdata i fem år, samt at det kreves registrering av mobiltelefonnummer for å inngå AutoPASS-avtale og for å benytte AutoPASS «Min side».

Sakens bakgrunn

Bompengeinnkreving i AutoPASS er fullautomatisert, fra registrering i bomstasjon, til fakturering og registrering av innbetaling. Det finnes forskjellige bompengeselskap og de ulike bompengeselskapene og Statens vegvesen har felles behandlingsansvar for behandling av personopplysninger i AutoPASS-systemet. Det framkommer på nettstedet autopass.no at det i hovedsak er bompengeselskapene som skal kreve inn bompenger og gi informasjon til de som er registrert i bompengesystemene, mens Statens vegvesen skal inngå avtaler med leverandører av sentrale bompengesystemer, gi overordnet informasjon om behandling av personopplysninger i systemene og melde eventuelle avvik i de sentrale bompengesystemene til Datatilsynet.

Det ble i 2018 gitt nye regler som innebar at rollen som AutoPASS-utsteder ble skilt fra rollen som bompengeinnkrever. Utstedervirksomheten omfatter inngåelse av AutoPASS-avtaler med operatører og brukere, distribusjon av brikker og kundeservice, mens bompengeselskapet er det selskapet som har inngått avtale med departementet eller Statens vegvesen om å kreve inn bompengene.

Det aktuelle bompengeselskapet A har/har hatt avtale med er Ferde AS. Ferde AS har drevet både som utsteder og bompengeselskap og er i en prosess for å selge ut utstedervirksomheten fra selskapet. Ferde har fått dispensasjon fra Statens vegvesen til å drive både som utsteder og operatør ut 2020. Ferde AS er dermed behandlingsansvarlig sammen med Statens vegvesen for de opplysningene AutoPASS-systemet behandler om A, både for de opplysningene som behandles i bompengesystemene og for personopplysningene som samles inn gjennom tjenesten AutoPASS «Min side».

For å kunne kreve inn bompenger, registreres alle kjøretøy som passerer en bomstasjon. Kjøretøy med AutoPASS-avtale registreres i tråd med avtalevilkårene. Kjøretøy uten AutoPASS-avtale registreres med videobilde av bilens registreringsnummer.

Opprinnelig tilbød Ferde AS et alternativ med en såkalt «sporfri» avtale for kundene. Sporfri avtale innebar at tid og sted for passeringene ble slettet etter maksimum 72 timer i AutoPASS-systemet. Ordningen var i tråd med fastsatte vilkår i konsesjon fra Datatilsynet. Nemnda behandlet to saker i februar 2011 som gjaldt spørsmålet om hvor lenge passeringsdata kunne oppbevares hos bompengeselskapet før opplysningene skulle slettes. Nemnda kom den gangen til at AutoPASS-avtaler om sporfri passering var i strid med bokføringsregelverket. Datatilsynet opprettholdt likevel kravet om sporfri passering i konsesjonen for Ferde AS, som videreførte ordningen fram til 15. august 2019.

I perioden etter februar 2011 samarbeidet Samferdselsdepartementet, Kommunal og regionaldepartementet, Datatilsynet og Statens vegvesen om å forberede en forespørsel til Finansdepartementet om endring i bokføringsregelverket. Formålet var å fjerne krav til lagringstid for bompassering, noe som ville tillate de gjeldende AutoPASS-avtalene om sporfri bompassering. I tillegg ble det arbeidet med muligheten for en lovendring som ville tillate en fullstendig anonym bompassering.

Høsten 2018 var det fremdeles ikke sendt på høring noe forslag om endring i bokføringsforskriften og konsesjonsordningen falt bort ved innføringen av ny personopplysningslov i 2018 (personvernforordningen). Statens vegvesen startet etter dette forberedelser for å avvikle ordningen med sporfri passering. Avviklingen ble gjennomført ved at bompengeselskapene informerte avtaleparten om at avtaler som ikke ble sagt opp av avtaleparten, ble overført til ordinær etterskuddsavtale fra 15. august 2019, noe som også innebar en registrering og lagring av passeringsdata i fem år etter utløp av regnskapsåret.

As sporfrie avtale opphørte etter dette 15. august 2019. Da A skulle redigere sin profil på AutoPASS «Min side», ble han videre bedt om å oppgi sitt telefonnummer. Han fikk ikke endret profilen uten å oppgi dette.

A mener oppsigelsen av den sporfrie avtalen innebærer et brudd på personvernforordningen og kontaktet Datatilsynet 18. juli 2019, etter å ha mottatt varsel om avvikling av ordningen. Datatilsynet henviste A til tilsynets veiledningstelefon. Den 18. januar 2020 sendte A en ny henvendelse til Datatilsynet hvor han igjen stilte spørsmål ved lovligheten av fem års lagringstid for passeringsdata, samt klagde på at han ved innlogging på «Min side» måtte oppgi telefonnummer.

Datatilsynet besvarte henvendelsen slik i brev til A 27. februar 2020:

«Det vises til e-post av 18. januar 2020 hvor det påstås at bokføringslovens krav om lagringstid er i strid med personvernforordningens bestemmelser. Det reises også spørsmål om kravet til å måtte oppgi mobilnummeret ved innlogging i Autopass.

Hvorvidt bokføringsloven er i harmoni med personvernforordningen ligger under Finansdepartementets ansvar å ta stilling til. Datatilsynet har imidlertid ingen indikasjoner på at bokføringsloven ikke er i samsvar med personvernforordningen.

Spørsmålet om bruk av mobilnummeret ved innlogging i Autopass har vært vurdert i en annen sak. Vedlagt følger Statens vegvesen sin redegjørelse i saken [brev fra Statens vegvesen til Datatilsynet 4. september 2019]. Datatilsynet er fornøyd med denne redegjørelsen.»

A framsatte 4. mars 2020 klage på Datatilsynets vedtak. Tilsynet vurderte klagen, men opprettholdt sin vurdering. Saken ble oversendt Personvernnemnda 24. april 2020 uten at klagemotparten har vært involvert. Nemnda legger til grunn at både Ferde AS og Statens vegvesen, som behandlingsansvarlige, er parter i saken. Partene ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer. A har gitt kommentarer i e-poster til nemnda 13. april, 23. juni, og 14. og 19. august 2020.

Nemnda fant ikke saken tilstrekkelig opplyst og ba om en tilleggsuttalelse fra Datatilsynet og de behandlingsansvarlige i brev 22. juni 2020. Datatilsynet ga sin redegjørelse i brev 13. august 2020. Ferde AS og Statens vegvesen har i brev til nemnda 14. august 2020 gitt en felles redegjørelse.

Saken ble behandlet i nemndas møter 16. juni og 7. september 2020. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Gisle Hannemyr, Line Coll, Hans Marius Graasvold, Ellen Økland Blinkenberg og Hans Marius Tessem. Sekretariatsleder Anette Klem Funderud var også tilstede.

As syn på saken i korte trekk

Ferde AS sa opp den sporingsfrie avtalen i brev 12. juli 2019. Samtidig innførte Ferde AS lagring av passeringstider i fem år. Endringen skulle skje uavhengig av om han som kunde gikk fra avtalen eller valgte å inngå avtale med rabatt mm. Dette er en alvorlig krenkelse av privatlivet etter personvernforordningen. Bokføringsloven er ikke en lovlig begrunnelse for å lagre passeringsdata i fem år.

Når en kunde har betalt faktura for sine passeringer vil kunden betrakte passeringene som korrekte og da er det ikke lenger behov for lagring av passeringstider, bilder eller andre persondata i strid med personvernforordningen. Dette gjelder i alle fall når klagefristen er utgått. En omgåelse av personvernforordningen med grunnlag i bokføringsloven strider direkte mot forordningens formål om vern av EU/EØS-borgeres personvern.

Datatilsynet henviser til andre statlige myndigheters juridiske lovtolkning av personlovgivningen uten å selv foreta kontroll av dette, noe Datatilsynet, som uavhengig organ, er lovpålagt. Bokføringslovens forarbeider, som tilsynet viser til er av eldre dato, og personvernforordningen var ikke noe lovgiver hadde i tankene den gang. Det har ikke vært noen nyere tilpasning mellom disse to lovene.

Når det gjelder krav om telefonnummer for innlogging på «Min side», har dette fremdeles samme status hos AutoPASS. Det er ingen sammenheng mellom det å kjøre bil og det å oppgi mobilnummer. Statens vegvesen viser til god kundebehandling, men det er ikke opp til AutoPASS å bestemme. Det er Datatilsynets oppgave å konkludere at mobilnummer ikke er relevant for bruk av AutoPASS.

Han får heller ikke bruke «Min side» da han ikke ønsker å oppgi telefonnummeret unødig. Han har derfor ikke tilgang til opplysningene, noe som også er ulovlig. At innlogging skjer ved BankID identifiserer ham uansett. Problemet er at han deretter ikke får tilgang til data uten å måtte oppgi mobilnummer.

Ferde AS’ og Statens vegvesens syn på saken i korte trekk

Oppbevaringsplikten etter bokføringsloven

Omfanget av dokumentasjons- og oppbevaringsplikt etter bokføringsloven er ikke endret etter Personvernnemndas behandling i 2011, men lengden på oppbevaringsplikten ble redusert fra ti år til fem år i 2012.

Hovedtrekk ved dokumentasjonsplikten er at det skal dokumenteres ytelsens art og omfang, og tid og sted for levering av tjenesten, jf. bokføringsforskriften § 5-1-1. Hovedtrekk ved oppbevaringsplikten er at den som krever inn bompenger må oppbevare fullt kontrollspor. jf. bokføringsloven § 6, i fem år etter regnskapsåret, jf. bokføringsloven § 13.

Avgjørelsene fra Personvernnemnda i 2011 oppsummerte kravene godt, med formuleringen om at det er en plikt etter bokføringsloven til å oppbevare kundespesifikasjoner og salgsdokumentasjon, inklusive passeringene (tid og sted) i ti år.

Konsekvensen av avgjørelsen i februar 2011 var at AutoPASS-avtaler om sporfri passering var i strid med bokføringsregelverket. Likevel videreførte Statens vegvesen ordningen, fordi Datatilsynet fortsatte å sette krav om alternativ betalingsløsning med lengste lagring av passeringsopplysninger 72 timer (sporfri løsning) i konsesjonsvilkår i årene etter avgjørelsen. Nye bompengeanlegg kunne ikke startes uten konsesjon. I den første tiden etter avgjørelsen i Personvernnemnda var det en forståelse av at det ville bli en kort overgangsfase før endring i bokføringsregelverket som tillater ingen eller kort lagringstid for bompasseringer. Utfra dette ville det bli en unødig ulempe å legge ned ordningen med sporfri passering for å følge bokføringsregelverket, for så å starte opp ordningen igjen kort tid etter.

Høsten 2018 var det fremdeles ikke sendt på høring noe forslag om endring i bokføringsforskriften, konsesjonen fra Datatilsynet hadde falt bort ved innføring av personvernforordningen, og Statens vegvesen startet forberedelser for å avvikle ordningen med sporfri passering. Avviklingen ble gjennomført ved at bompengeselskapene informerte avtaleparten, og avtaler som kundene ikke hadde sagt opp før endringen, ble overført til ordinær etterskuddsavtale fra 15. august 2019.

Behandlingsgrunnlag for å kreve registrering av telefonnummer i kunderegistre

Behandlingsgrunnlaget for å kreve registrering av telefonnummer for kunder med AutoPASS­avtale er personvernforordningen artikkel 6 nr. 1 bokstav b, jf. utstederforskriften § 15. Formålet med behandlingen av telefonnummer er at bompengeselskapet skal ha tilgjengelig kontaktinformasjon for å følge opp avtalen. Kundeservice kan se på display om innkommende samtaler med spørsmål om avtalen kommer fra kundens telefon. Betingelsene for AutoPASS-avtalen punkt 6.2 lister opp metoder selskapet kan benytte for å sende informasjon til kunden, herunder «SMS til mobilnummer oppgitt i avtalen».

Før bompassering har den registrerte to valg:

A. Inngå AutoPASS-avtale. Ved dette valget må kunden oppgi de personopplysningene som kreves for å inngå avtale, herunder telefonnummer. Kunden kan benytte «Min side» til blant annet å få innsyn i sine passeringer. Passeringsdata lagres i fem år.

B. Ikke inngå AutoPASS-avtale. Ved dette valget innhenter bompengeselskapet de personopplysningene de trenger for å kreve inn bompengene, uten medvirkning fra den registrerte. Dette er navn, adresse, organisasjonsnummer og fødselsdato for eier av kjøretøy. Se nylig høring med forslag om å forskriftsfeste hvilke personopplysninger bompengeselskapet kan innhente i ny betalingsforskrift § 5, https://www.vegvesen.no/fag/publikasjoner/Offentlige-hoeringer/Hoering?key=2913864. Den registrerte får innsyn i passeringene ved at passeringene listes opp på fakturaen, og den registrerte kan også kontakte bompengeselskapet og be om innsyn. Passeringsdata lagres i fem år.

Før de siste servicestasjonene ble avviklet våren 2015, var det vanlig å inngå AutoPASS­avtale på bensinstasjoner ved å fylle ut avtaleskjema for hånd og motta bombrikke. Servicestasjonene sendte skjemaene til bompengeselskapene, som overførte opplysningene fra skjemaet til sentralsystemet. Noen ganger var skjemaet mangelfullt utfylt, for eksempel kunne det mangle telefonnummer. Bombrikken var da allerede i bruk, og slike forglemmelser medførte ingen reaksjon. Når kunden senere tok kontakt med selskapet, og selskapet oppdaget at informasjonen manglet, ville de be kunden om å oppgi manglende informasjon.

Datatilsynets vurdering

Lagring av passeringsdata

Statens vegvesen/Ferde AS kan lovlig behandle personopplysninger ved passeringer i bomringen når det er behandlingsgrunnlag for dette, dersom det foreligger rettslig grunnlag for det i personvernforordningen artikkel 6. Er behandlingen av personopplysninger ulovlig, så skal personopplysningene slettes, jf. artikkel 17 nr. 1 bokstav d.

I utgangspunktet lagres personopplysninger for passering i bomringen som fakturagrunnlag, og selskapet har behandlingsgrunnlag i artikkel 6 nr. 1 bokstav b. Fakturagrunnlaget skal da i utgangspunktet bli slettet når kunden har gjort opp for seg. Imidlertid er det et krav etter bokføringsloven § 13 at regnskapsdokumentasjon skal oppbevares i inntil fem år etter regnskapsårets slutt. Lagring av passeringsopplysninger i bompengesystemet utover dette tidspunkt skal slettes uten ugrunnet opphold, jf. artikkel 17 nr. 1. Tilsynet gjør oppmerksom på at bokføringsloven § 13 annet ledd ble endret ved lov av 13. desember 2013 nr. 121, da den fikk følgende ordlyd:

«Regnskapsmateriale som nevnt i første ledd nr. 1 – 4 skal oppbevares i Norge i fem år etter regnskapsårets slutt.»

Tidligere var oppbevaringstiden i bokføringsloven § 13 ti år, og det var denne tiårsfristen som var gjeldende rett da sakene om E-18 Vestfold AS og Fjellinjen AS ble behandlet av tilsynet i 2010.

Datatilsynet har tidligere ikke tatt stilling til hvilke deler av dokumentasjonen som skal regnes som «regnskapsmateriale» og dermed skal oppbevares etter bokføringsloven § 13. Slik tilsynet ser det, må ansvaret for å redegjøre for det nærmere innholdet i reglene i bokføringsloven i første omgang ligge hos Finansdepartementet eller skattemyndighetene. Det må være Finansdepartementets ansvar å påse at bokføringsloven er i harmoni med våre EØS-rettslige forpliktelser, i dette tilfellet personvernforordningen.

Etter tilsynets oppfatning, tjener oppbevaring av passeringsinformasjon to formål. For det første kan Statens vegvesen/Ferde AS behandle passeringsinformasjon til egne formål (innkreving av bomavgift), jf. personvernforordningen artikkel 6 nr. 1 bokstav b (oppfylle avtale). Dernest kan Statens vegvesen/Ferde AS oppbevare passeringsinformasjon for skattekontroll i henhold til bokføringsloven § 13 (eksterne formål), jf. personvernforordningen artikkel 6 nr. 1 bokstav c (rettslig forpliktelse) og bokstav d (verne den registrertes eller annen fysisk persons vitale interesser).

Datatilsynet ser ingen grunn til å gjøre nærmere undersøkelser i saken, ettersom nasjonal lovgivning pålegger virksomheter å oppbevare denne type personopplysninger i fem år for skattekontroll. Tilsynet legger til grunn at den omstridte behandlingen av opplysninger skjer i tråd med denne lovgivningen, jf. personvernforordningens fortalepunkt 73, som sier at retten til sletting (artikkel 17) kan begrenses i nasjonal lovgivning, hvor dette innebærer en særlig viktig økonomisk eller finansiell interesse for en medlemsstat. Det er Finansdepartementet som har ansvaret for at dette regelverket er i harmoni med personvernforordningen.

Innsamling og registrering av opplysning om telefonnummer

Når det gjelder innloggingsrutinene på «Min side», opplyser Statens vegvesen at brukerne kan logge seg inn på to måter. Enten kan dette skje ved bruk av ID Porten, eller så kan brukeren anvende en alternativ innlogging ved hjelp av verifisert e-postadresse, passord og tofaktorautentisering på SMS (telefonnummer). Datatilsynet finner innloggingsrutinen tilfredsstillende slik det er redegjort for i brev til A 27. februar 2020.

Når det gjelder spørsmålet om behandlingsgrunnlaget for Statens vegvesen/Ferde AS for å kreve registrering av telefonnummer av alle kunder i AutoPASS-ordningen, har Datatilsynet lagt til grunn at dette er et krav fra Statens vegvesen for å kunne inngå en AutoPASS-avtale, se artikkel 6 nr. 1 bokstav b. Dette framgår av brev 4. september 2019 fra Statens vegvesen. Telefonnummer er å regne som en kontaktopplysning som selskapet kan etterspørre ved en avtaleinngåelse om AutoPASS, og som må oppgis for å kunne yte god og enkel kundeservice. Datatilsynet har ikke funnet grunn til å underkjenne dette behandlingsgrunnlaget.

Det går fram av brevet fra Statens vegvesen at tidligere kunder ikke trenger å bruke telefonnummer for å få benyttet seg av tjenestene på «Min side», se pkt. 2 og 3, men at registrering av telefonnummer er et krav ved inngåelse av avtalen. Datatilsynet har ikke funnet grunn til å underkjenne dette behandlingsgrunnlaget.

Historisk sett har telefonnummer vært å regne som grunndata på linje med adresse. I forskrift til lov om personregistre av 21. desember 1979 nr. 22 § 2-3 kunne slike grunndata registreres i kunderegistre uten ekstra tillatelse fra Datatilsynet, og i forskrift om behandling av personopplysninger (personopplysningsforskriften) 2000-12-15-1265 § 7-7 var det gitt unntak fra meldeplikten for behandling av personopplysninger om kunder. Se også PVN-2004-03 (Posten Norge AS), hvor det vises til en tidligere veileder fra Datatilsynet om adressemekling, hvor tilsynet la til grunn at slike grunndata kunne behandles i medhold av det rettslige grunnlaget i personopplysningsloven 2000 § 8 bokstav f.

Personvernnemndas vurdering

Personvernnemnda skal ta stilling til om bompengeselskapenes lagring av passeringsdata i fem år er i overensstemmelse med personvernforordningen, samt om den behandlingsansvarlige har behandlingsgrunnlag for å kreve at brukerne registrerer sitt mobiltelefonnummer når de benytter seg av tjenesten «Min side».

Lagring av passeringsdata

Som beskrevet innledningsvis registreres alle kjøretøy som passerer en bomstasjon. Kjøretøy med AutoPASS-avtale registreres via den bompengebrikken som er montert i bilen. Kjøretøy uten AutoPASS-avtale registreres med videobilde av bilens registreringsnummer. Både passeringssted og passeringstidspunkt blir registrert, sammen med identifikasjon av bilen. Det er disse opplysningene som i dette vedtaket omtales som «passeringsdata».

Bompengeselskapet må ha et behandlingsgrunnlag for sin registrering og lagring av passeringsdata i AutoPASS-systemet. Formålet med registreringen av passeringsdata er å ha dokumentasjon for de passeringene som danner grunnlag for utstedelse av faktura, herunder gi dokumentasjon ved en eventuell klage på fakturaen, samt oppfylle lovpålagt dokumentasjonsplikt etter bokføringsloven, jf. AutoPASS’ personvernerklæring hvor det framkommer:

«Personopplysninger som er innhentet lagres så lenge de behandlingsansvarlige har behov for dem for å kreve inn bompenger og behandle klager, forvalte IKT-systemet og utarbeide aggregert statistikk for bompenger og for å oppfylle oppbevaringsplikt etter bokføringsloven. Personopplysninger som er bokføringspliktige lagres i 5 år i henhold til bokføringsloven § 13.»

I den grad det foreligger oppbevaringsplikt etter bokføringsloven, vil lagring av passeringsdataene i fem år ha behandlingsgrunnlag i artikkel 6 nr. 1 bokstav c, jf. bokføringsloven § 13 jf. § 5 (nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige).

Nemnda er uenig med Datatilsynet i at det ikke er tilsynets ansvar å ta stilling til om bokføringsloven er i harmoni med personvernforordningen. Som uavhengig tilsynsorgan etter personopplysningsloven er det tilsynets oppgave å ta stilling til om den behandlingen av personopplysninger som skjer, både innenfor privat og offentlig virksomhet, er lovlig og har behandlingsgrunnlag, herunder om det foreligger en rettslig forpliktelse som gir behandlingsgrunnlag etter artikkel 6 nr. 1 bokstav c. Personvernnemnda behandlet i 2011 to saker som gjaldt spørsmålet om hvor lenge passeringsdata kunne oppbevares hos bompengeselskapet før opplysningene skulle slettes. PVN-2010-07 gjaldt klage over Datatilsynets pålegg overfor bompengeselskapet E18 Vestfold AS om å slette passeringsdata for innehavere av forskuddsbetalt konto. PVN-2010-08 gjaldt klage over Datatilsynets vedtak om å pålegge Fjellinjen AS å slette passeringsdata ved etterskuddsbasert fakturering. I den første saken (som gjaldt passeringsdata for innehavere som hadde forskuddsbasert konto) hadde Datatilsynet gitt pålegg om at passeringsdata skulle slettes innen en måned etter passering. I den andre saken (som gjaldt etterskuddsbasert fakturering, slik som i vår sak) hadde Datatilsynet gitt pålegg om sletting av passeringsdata innen fem måneder. I begge saker var det innhentet uttalelse fra Skattedirektoratet som konkluderte med at den behandlingsansvarlige i henhold til bokføringsloven pliktet å oppbevare passeringsdata i ti år, jf. bokføringsloven § 13 andre ledd, jf. første ledd nr. 2 og 3. Personvernnemnda var enig i Skattedirektoratets tolkning av bokføringsloven og kom til at det forelå en lovpålagt plikt til å oppbevare passeringsdata i ti år (fram til 1. februar 2014 var det i loven stilt krav om oppbevaring i ti år) og at bompengeselskapene i begge saker hadde behandlingsgrunnlag i personopplysningsloven 2000 § 8 første punktum, annet alternativ.

Dokumentasjonsplikten etter bokføringsloven er etter avgjørelsene redegjort for ovenfor, ikke endret, utover at lagringstiden for opplysningene er redusert fra ti til fem år. Personopplysningsloven 2000 er opphevet og erstattet av personopplysningsloven 2018, men behandlingsgrunnlaget i artikkel 6 nr. 1 bokstav c (nødvendig for å oppfylle en rettslig forpliktelse) representerer en videreføring av tilsvarende bestemmelse i personopplysningsloven 2000 § 8 bokstav b. Det er heller ikke andre bestemmelser i personvernforordningen som tilsier en annerledes vurdering av dette i dag.

Nemnda legger etter dette til grunn at bokføringsloven pålegger oppbevaring av passeringsdata i fem år etter utløpet av regnskapsåret og at personvernforordningen artikkel 6 nr. 1 bokstav c gir Ferde AS og Statens vegvesen behandlingsgrunnlag for å lagre opplysningene i denne tiden. Den registrerte kan i denne perioden ikke kreve opplysningene slettet, jf. artikkel 17 nr. 3 bokstav b. A gis ikke medhold i kravet.

Innsamling og registrering av opplysning om telefonnummer

Ferde AS krever at brukerne ved opprettelse av AutoPASS-avtale eller redigering av eksisterende AutoPASS-avtale på «Min side», registrerer telefonnummer. Selskapet opplyser at begrunnelsen for dette kravet er et ønske om å yte god kundeservice dersom kunden ringer inn, samt behovet for å kunne komme i kontakt med kunden.

Datatilsynet har lagt til grunn at kunder ikke trenger å bruke telefonnummer for å få benyttet seg av tjenestene på «Min side», men at registrering av telefonnummer bare er et krav ved inngåelse av nye avtaler. Nemnda har forstått faktum annerledes. Nemnda legger til grunn at det kreves registrering av telefonnummer for inngåelse av AutoPASS-avtale, men at det også kreves registrering av telefonnummer for tidligere kunder (der hvor dette ikke er registrert), dersom man forsøker å benytte tjenestene på «Min side», for eksempel å benytte seg av sin rett til innsyn i registrerte opplysninger.

For å samle inn og registrere personopplysninger må bompengeselskapet ha et behandlingsgrunnlag i personvernforordningen artikkel 6. I tillegg må behandlingen av opplysningene også oppfylle de grunnleggende prinsippene i forordningens artikkel 5 for behandling av personopplysninger, herunder at opplysningene skal være adekvate, relevante og nødvendig for formålene de behandles for (dataminimering, jf. bokstav c). Hvilke opplysninger det er nødvendig å behandle for å oppnå behandlingsformålet må ses i sammenheng med om formålet med rimelighet kan oppfylles på annen måte enn å behandle de aktuelle personopplysningene, jf. personvernforordningen fortalepunkt 39 der det framgår at personopplysninger bør behandles bare dersom formålet med behandlingen ikke med rimelighet kan oppfylles på annen måte.

Nemnda legger til grunn at det aktuelle behandlingsgrunnlaget i dette tilfellet, dersom kunden ikke samtykker til å oppgi telefonnummer, vil være personvernforordningen artikkel 6 nr. 1 bokstav b. Spørsmålet for nemnda blir da om registrering av telefonnummer er nødvendig for å oppfylle en avtale den registrerte er part i.

Nemnda har forståelse for at den behandlingsansvarlige synes det er praktisk å ha kundenes telefonnummer. Det gjør det enkelt å komme i kontakt med kunden og ifølge Ferde AS gir det også mulighet for å gi bedre kundebehandling. Nemnda antar at det gjør at mange kunder, sannsynligvis de fleste, vil samtykke til å oppgi sitt telefonnummer. Det kan imidlertid også være kunder som av ulike grunner ikke ønsker å ha sitt telefonnummer registrert. De behandlingsansvarlige har ikke redegjort for forhold som tilsier at det ikke er mulig å oppfylle en AutoPASS-avtale uten å kjenne kundens telefonnummer. Det er heller ikke redegjort for forhold som tilsier at oppfyllelsen av avtalen blir vesentlig vanskeliggjort dersom de ikke har kundens telefonnummer. Ved pålogging til «Min side» kan man velge å benytte et system hvor passordet tilsendes på SMS. I så tilfelle må den behandlingsansvarlige ha tilgang til kundens mobiltelefonnummer. Det er imidlertid redegjort for at man også kan logge på ved bruk av bankID, noe som ikke forutsetter innsamling av telefonnummer.

Nemnda forstår det videre slik at den registrerte, for å utøve sine rettigheter til innsyn mv. etter personvernforordningen, må logge seg inn på «Min side». Slik A har redegjort for saken, er han forhindret fra å komme inn på «Min side», uten først å registrere sitt telefonnummer. Han er dermed forhindret fra å utøve sin rett til innsyn. Nemnda kan ikke se at det er dokumentert at det er nødvendig å innhente opplysninger om telefonnummer for at den registrerte skal kunne utøve sine rettigheter etter loven, for eksempel retten til innsyn. Selv om manglende telefonnummer etter bomselskapet syn i noen tilfeller vil kunne gi en noe dårligere kundebehandling, mener nemnda det må være opp til kunden selv å velge dette.

Nemnda har for sin vurdering av denne saken lagt vekt på at det for alle som kjører bil nærmest er utenkelig at man ikke kommer i et kundeforhold med et bompengeselskap. Dette kundeforholdet skiller seg derfor fra andre type kundeforhold hvor det i langt større grad vil være frivillig om man ønsker å bli kunde eller ikke. Nemnda mener derfor at bompengeselskapet må innhente kundens samtykke for å registrere telefonnummer.

Ferde AS/Statens vegvesen har dermed ikke behandlingsgrunnlag i artikkel 6 nr. 1 bokstav b for å behandle As telefonnummer.

A har på dette punktet fått medhold i sin klage.

Vedtaket er enstemmig.

Vedtak

1. Ferde AS og Statens vegvesen har behandlingsgrunnlag for å lagre As passeringsdata i fem år, jf. artikkel 6 nr. 1 bokstav c, jf. bokføringsloven § 13 jf. § 5.

2. Ferde AS og Statens vegvesen har ikke behandlingsgrunnlag i artikkel 6 nr. 1 bokstav b for å behandle As telefonnummer.

 

Oslo, 7. september 2020

Mari Bø Haugstad

Leder