Personvernnemndas avgjørelse av 20. desember 2007 (Jon Bing, Gro Hillestad Thune, Lars Erik Fjørtoft, Siv Bergit Pedersen, Jostein Halgunset, Mari Bø Haugstad, Tom Bolstad)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage fra Rogaland Kollektivtrafikk FKF (heretter RKT) på tilsynets vedtak om endring av løsning for etablering av elektronisk billettering i Rogaland fylke. Klagen gjelder løsningen der passasjeren tar i bruk et elektronisk reisekort, Kolumbuskortet, og oppretter en ”reisekonto” på internett, der passasjerens reisemønster blir lagret.
Saken handler om hvorvidt RKT kan lagre informasjon om kundenes bruk av offentlig kommunikasjon, noe som også medfører lagring av passasjerens bevegelsesmønster, i 12 måneder. Videre gjelder saken hvor godt beskyttet tilgangen på kundesidene bør være i forhold til de krav som stilles i personopplysningsloven § 13.
2 Saksgang
Datatilsynet mottok sommeren 2006 flere klager fra innbyggere i Rogaland som uoppfordret hadde fått et ”plastkort” påført navn og fødselsdata i posten. Kortet var utstedt av RKT og var et såkalt reisekort, med betegnelsen ”Kolumbuskortet”.
I brev av 4.7.2006 ber tilsynet RKT om å redegjøre for Kolumbuskortet. RKT besvarte brevet den 18.7.2006. Datatilsynet vurderte besvarelsen som mangelfull, og sendte nytt brev til RKT den 15.8.2006.
Samme dag sendte Datatilsynet brev til Skattedirektoratet med spørsmål om bruk av folkeregisteropplysninger. RKT besvarte brev fra tilsynet 12.9.2006. Skattedirektoratet svarte ved brev av 13.10.2006, hvor det redegjøres for bakgrunnen og vilkårene for utlevering av folkeregisteropplysninger.
I brev av 6.11.2006 sendte Datatilsynet varsel om vedtak om endring av RKTs tjeneste. RKT svarte i brev datert 28.11.2006. I brev av 18.1.2007 fattet Datatilsynet vedtak. RKT påklaget vedtaket i brev av 12.2.2007. RKT oversendte en risikovurdering for tjenesten i brev av 26.3.2007.
Personvernnemnda mottok saken fra Datatilsynet 22.6.2007. RKT ble orientert om dette i brev fra nemnda 13.7.2007 med frist til uttalelse innen 3.8.2007.
Nemnda sendte et brev til RKT 18.9.2007 og ba om mer informasjon om hvilke opplysninger som lagres i forbindelse med løsningen. Videre sendte nemnda et brev til Forbrukerrådet samme dag, hvor man ba om informasjon om Forbrukerrådets syn på slike system, herunder lagring og lagringstid. Forbrukerrådet tok kontakt med nemndas sekretariat 7.11.2007 for å diskutere saken. Brevet til RKT er ubesvart per 20.12.2007.
3 Faktum
RKT er et fylkeskommunalt foretak, ledet av et styre som er utpekt av Rogaland fylkesting. Kolumbuskortet er et reisekort/elektronisk billett, som er påført innehaverens navn og fødselsdata. Kolumbuskortet ble utsendt fra RKT til alle innbyggere i Rogaland fylke eldre enn 16 år. Totalt utgjorde dette 309 000 kort. Utsendelsen ble gjennomført uoppfordret, slik at både aktive brukere og potensielle brukere av offentlig kollektivtilbud var mottakere av kortet.
Det skjer ingen kobling mellom kortet og RKTs datasystem før kortinnehaveren velger å inngå en avtale med RKT om å opprette en reisekonto. Dersom kunden etablerer reisekonto, lagres personopplysninger om kortinnehaveren i systemet. Reisekontotjenesten innebærer at innehaveren overfører et nærmere bestemt pengebeløp til kortets ”konto” i forkant av reisen.
RKT ønsker å lagre grunndata om kundene. RKT ønsker videre å lagre opplysninger om innehavers bruk av kortet (reisemønster) i 12 måneder.
Datatilsynet fattet, med hjemmel i personopplysningsloven § 46, følgende vedtak:
- Rogaland Kollektivtrafikk FKT må endre ”Min reisekonto” og løsningen for etablering av reisekonto slik at tilstrekkelig informasjonssikkerhet oppnås, jf personopplysningsloven § 13 og personopplysningsforskriften kapittel 2.
- Risikovurderinger for løsningen må oversendes Datatilsynet, jf personopplysningsforskriften § 2-4.
- Rogaland Kollektivtrafikk FKF må slette reisemønster koblet til den enkelte reisende dersom det ikke kan påvises å foreligge samtykke eller annen hjemmel for lagring, jf personopplysningsloven § 8.
RKT har påklaget punkt 1 og 3.
4 Klagers anførsler
RKT anfører at formålet med elektronisk billettering, er å redusere kontant håndtering. Hensikten er å lette arbeidet for sjåførene, og samtidig oppnå en raskere og mer smidig påstigning for passasjerene. For å imøtekomme passasjerer som ønsker å reise anonymt, vil denne reisemåten fortsatt være mulig, gjennom kontant betaling eller kjøp av såkalte ”fleksikort” som selges i kiosker og dagligvareforretninger.
RKT hevder at tjenesten ”Min reisekonto” er tilstrekkelig sikret i henhold til personopplysningsloven § 13. Klager opplyser at alle eksterne koblinger til billettsystemet er kryptert med 128 bits nøkler for å beskytte innholdet i datasystemet. Systemet har også en ekstern modul for synliggjøring av ens egen reisestatistikk for den enkelte reisende.
Klager anfører at løsningen er basert på samtykke. Ved opprettelsen av reisekonto inngås en signert avtale med hver enkelt kunde. I avtaleteksten står det forklart at RKT oppbevarer opplysninger om den reisendes reisemønster. Den reisende gir skriftlig samtykke til denne oppbevaringen. Kundeforholdet kan sies opp, og RKT vil da slette koblingene mellom kunden og vedkommendes reisemønster. RKT vil imidlertid beholde personopplysninger i sitt dataregister og en eventuell negativ saldo dersom kunden ikke har gjort opp for seg.
Klager forklarer at bakgrunnen til at reisemønster blir registrert er at det er ytret ønske om slik lagring gjennom fokusgrupper sammensatt av et utvalg kollektivkunder. Kollektivkunder har uttalt at de ønsker full oversikt over alle trekk og innskudd på reisekontoen.
RKT har opprettet et sikkerhetsdomene med https-løsning som innebærer en SSL kryptering. Informasjonen er videre beskyttet med automatisk generert passord fra en påloggingsløsning levert av Kantega. Ifølge klager er personopplysninger og reiseinformasjon dermed beskyttet både ved etablering og senere pålogging.
Utover dette sendes det kun passord på e-post dersom kunden selv, ved å skrive inn sitt brukernavn og passord i selvbetjeningsløsningen, bestiller nytt passord. Passordet blir automatisk generert og sendes kun til den e-post adressen som kunden har registrert i systemet.
Ingen personer er involvert i denne prosessen. RKT bemerker at alle systemer, selv normal e-post, er basert på at brukeren kan holde sin egen konto privat, ved bruk av passord, sikkerhetsnøkkel osv.
På bakgrunn av dette mener RKT at bruk av reisekonto ikke medfører en trussel mot personvernet, og at sikkerheten er tilstrekkelig ivaretatt fra virksomhetens side.
Videre mener klager at løsningen ivaretar privat- og bedriftskunders behov for dokumentasjon i forhold til arbeidsgiver og forretningsreiser, samt selvangivelse. Kundens mulighet til å holde oversikt over, og kontrollere sin bruk av reisekonto, er en viktig del av tjenesten og den service virksomheten RKT ønsker å yte.
RKT ønsker å opprettholde at sletting av reisemønster skjer automatisk etter 12 måneder. Klager mener at dette samsvarer med hva virksomhetens kunder forventer av tjenesten.
RKT viser for øvrig til at virksomheten har fått saken vurdert av Rogaland Revisjon IKS, som påpeker at det reiser seg et problem i forbindelse med bokføring og bruk av Kolumbuskortet for privatpersoner. Rogaland Revisjon anser dette som forskuddsfakturering og kravet om ”sporbarhet” må oppfylles for bokføring eller inntektsføring av bruk fra reisekonto. Det er krav om reskontroføring ved forskuddsfakturering. Rogaland Revisjon har videre påpekt at det ikke er noen mulighet for å endre bokføringsopplysninger og dermed imøtekomme Datatilsynets krav om sletting av reisemønsteret etter 3 – 5 måneder. RKT mener at det dermed oppstår en konflikt mellom Datatilsynets krav på den ene side og bokføringsloven på den annen side.
RKT mener at virksomheten er et offentlig rettssubjekt og at utsendelsen av Kolumbuskortet dermed må anses som utsendelse av offentlig informasjon, ikke som markedsføring av et tilbud. En av hovedoppgavene til RKT er å sørge for at politiske vedtak om kollektivtrafikk i fylkeskommunen blir effektuert. Klager er en del av fylkeskommunen, som har til oppgave å gi innbyggerne et så godt kollektivtilbud som mulig. RKT anfører at virksomheten ikke har kommersielle interesser og at tjenesten ikke er en løsning virksomheten søker å profilere seg på. Klager mener at utsendelsen av Kolumbuskortet var nødvendig informasjon i forbindelse med en stor omlegging av billett- og kortsystem.
Når det gjelder kortets preg av navn og fødselsdato, anfører RKT at virksomheten oppfyller flere vilkår i personopplysningsloven § 8, både litra d, e og f. Klager mener at vilkåret i § 8 litra e er oppfylt, jf ovenfor. Videre anfører RKT at kollektivkortet og distribusjon av dette har allmenn interesse, jf litra d. Klager viser til at virksomheten har som mål å sikre mobilitet for passasjerene, og ivareta et godt kollektivtilbud. Dette gir igjen flere samfunnsøkonomiske gevinster, både i forhold til miljø og antall ulykker. Store grupper er helt avhengig av å reise kollektivt. I denne sammenheng anfører RKT at pris og modernisering av kollektivtilbudet er av stor betydning.
RKT mener også at løsningen ivaretar en berettiget interesse, jf § 8 litra f. Kortet innebærer større valgfrihet for kunden, og gir et bedre tilbud til passasjerer som reiser med kollektivtrafikk i Rogaland.
5 Datatilsynets vurdering
Datatilsynet viser til personopplysningsloven § 13 om krav til forholdsmessig sikring av personopplysninger. Kravene suppleres i personopplysningsforskriftens kapittel 12. Tilsynet mener at omfanget av passasjerenes reisekonto krever betydelig sikring av informasjonen. I vedtakets første punkt, om bedre sikring av kundesidene ”min reisekonto”, ligger det primært tre forhold:
- Sikring av database mot uvedkommende
- Sikring av at innsyn gis til rette vedkommende
- Sikring av selve kommunikasjonen
Datatilsynet er av den oppfatning at RKT ikke i tilstrekkelig grad har sikret informasjonen på kundesidene. Tilsynet mener at sikring av database mot uvedkommende er spesielt viktig der behandlingsansvarlig eksponerer interne databaser på for eksempel nettbaserte kundesider. Ifølge tilsynet øker risikoen for at personopplysninger kan komme på avveie i slike tilfeller. Behandlingsansvarlige må derfor utrede og iverksette tiltak som gjør at opplysningene er tistrekkelig sikret. Dokumentasjon av dette må fremgå i risikovurderingen.
Videre mener Datatilsynet at sikring av at rette vedkommende gis innsyn i personopplysninger forutsetter at det etableres gode mekanismer for autentisering av brukeren. Blant annet må spørsmålet om antall faktorer som skal benyttes og kvaliteten på disse drøftes i en risikovurdering. Datatilsynet mener at brukernavn og passord ikke er tilstrekkelig. Ifølge tilsynet er rutiner rundt utstedelse og fornyelse ikke tilstrekkelig vurdert.
RKT har begrenset seg til å etablere såkalt SSL kryptering av produktet ”Min reisekonto”. Dette innebærer at virksomheten kun sikrer selve kommunikasjonen av opplysninger over fremmed nettverk. Ifølge Datatilsynet er dette kun en del av den sikring som er nødvendig. Datatilsynet er av den oppfatning at RKT ikke har foretatt en risikovurdering som i tilstrekkelig grad oppfyller de forventninger som følger av regelverkets krav.
Tilsynet mener at det er en alvorlig mangel at det ikke er utarbeidet risikovurderinger for selvbetjeningsløsningen ”Min reisekonto”, lagringen av reisedata for selvbetjeningsløsningen, og for selskapets generelle lagring av reisedata. Ifølge Datatilsynet er det spesielt konfidensialiteten som er utsatt for risiko. Tilsynet har etterspurt disse risikovurderingene. Risikovurderinger i henhold til personopplysningsloven § 13 er avgjørende forutsetninger for om løsningen kan benyttes. Når tilstrekkelig informasjonssikkerhet i henhold til personopplysningsloven § 13 ikke foreligger, eventuelt ikke er dokumentert i henhold til personopplysningsforskriften kapittel 2, er dette etter Datatilsynets mening en vesentlig mangel som får den følge at løsningen ikke kan benyttes.
Når det gjelder vedtakets punkt 3 om lagringstid, er Datatilsynets utgangspunkt at det ikke skal lagres personopplysninger lenger enn det som er nødvendig, jf personopplysningsloven § 28, og at behandlingen må ha et grunnlag i § 8, jf § 11.
RKT opplyser at virksomheten ønsker å lagre personopplysninger i 12 måneder. Ifølge Datatilsynet er det ikke oppgitt hjemmel eller formål som tilsier lagring av reisemønster for annet enn faktureringsformål. For liknende tjenester, som teletjenester, er det tilstrekkelig å lagre opplysninger mellom 3 og 5 måneder for faktureringsformål.
Når det gjelder forholdet til bokføringsloven, er tilsynet kjent med krav om oppbevaring av tid og sted for ytelsen. Tilsynet kan vanskelig se at det ved overgang fra manuell betaling til bruk av kort, følger et krav om at enhver reiseopplysning skal oppbevares knyttet til den reisendes identitet. Datatilsynet mener at prinsipielt er det ingen forskjell mellom et ordinært klippekort, eller flerreisekort, og elektroniske billetter som, ut fra lovens formål, tilsier at det er nødvendig å registrere og lagre reiseopplysninger knyttet til identitet. Ved kjøp av klippekort og/eller flerreisekort må det kunne forutsettes at krav om angivelse av tid og sted for ytelsen refererer seg til selve kjøpet eller påfyllingen av kortet.
Datatilsynet viser til innstilling til Stortingets kommunal- og forvaltningskomité om Datatilsynet og Personvernnemndas årsmeldinger for 2005, punkt 2.2:
”Komiteen registrerer at økt adgang til personidentifisering er et viktig trekk ved utviklingen og at en vesentlig drivkraft bak dette er muligheten for å få betalt for tjenester og kravet til å identifisere betaleren. Komiteen viser til at identitetstyveri synes å være et økende problem og at dette kan henge sammen med at det blir stadig mer vanlig å måtte oppgi personopplysninger ved blant annet kjøp av tjenester. Komiteen viser til at kravet til å oppgi personopplysninger i stadig flere tilfeller fører til at anonyme alternativer forsvinner. Komiteen har i den sammenheng særlig merket seg Datatilsynets innvendinger mot helautomatiske bomstasjoner der det ikke eksisterer anonyme alternativer. Komiteen kan ikke se at det eksisterer velbegrunnede og påtrengende hensyn som taler for å gjøre unntak fra retten til anonym ferdsel i forbindelse med bomstasjoner”.
Tilsynet mener at behovet for reell anonymitet er minst like fremtredende i denne sammenheng. Datatilsynet mener videre at tilsynets standpunkt i all hovedsak samsvarer med praksis i andre europeiske land der temaet har vært diskutert.
6 Personvernnemndas merknader
Personvernnemnda har merket seg at det påklagde vedtak av 18.1.2007 består av tre punkter, hvorav punkt 1 og 3 er påklaget av Kolumbus.
Vedtakets punkt nr 2 – krav om at risikovurdering legges frem – er ikke påklaget fordi klager anser dette punktet som oppfylt. Tilsynet satte en frist til 15.3 til å etterkomme pålegget om å fremlegge risikovurdering. Kolumbus sendte i brev av 26.3.2007 en risikovurdering til Datatilsynet. Datatilsynet svarte imidlertid ikke Kolumbus, men skriver i sitt oversendelsesbrev til nemnda at denne risikovurderingen ikke er i samsvar med hva personopplysningsforskriften kapittel 2 krever, eller i hvert fall er den ikke tilstrekkelig dokumentert. Tilsynet konkluderer derfor med at dette er en vesentlig mangel som gjør at løsningen ikke kan brukes.
Personvernnemnda viser til at Datatilsynet har en veiledningsplikt etter forvaltningsloven. Denne veiledningsplikt innebærer at tilsynet burde ha gitt Kolumbus en anvisning på hva en risikovurdering skal inneholde for å tilfredsstille personopplysningsforskriften kapittel 2. Det følger videre av personopplysningsloven § 13 og personopplysningsforskriften § 2-4 at det må foreligge en tilfredsstillende risikovurdering før løsningen kan vurderes. Tilsynet burde derfor også ha påpekt mangler ved den oversendte risikovurderingen, og gitt Kolumbus anledning til å rette opp disse, før tilsynet vurderte løsningen. I denne saken er dette ikke gjort.
Vedtakets pkt 1 og 3, slik de er utformet av Datatilsynet, gir kun en anvisning på at Kolumbus skal følge personopplysningsloven og personopplysningsforskriften. Etter sitt innhold kan derfor disse punktene verken påklages eller overprøves.
Nemnda er derfor kommet til at vedtaket fra Datatilsynet skal opprettholdes på formelt grunnlag, slik at Kolumbus kan fremskaffe en risikovurdering som er i samsvar med forskriften. Først når det foreligger en risikovurdering som er i samsvar med lov og forskrift, kan selve løsningen – herunder spørsmål om lagringstid for reisemønster og informasjonssikkerheten – vurderes. Etter nemndas syn er saken uferdig slik den nå fremstår. Nemnda realitetsbehandler derfor ikke saken, men sender den i retur til Datatilsynet for videre saksbehandling. Nemnda kan eventuelt – etter klage – vurdere saken på et senere tidspunkt dersom tilsynet, etter å ha mottatt en formelt tilfredsstillende risikovurdering, fortsatt er av den oppfatning at løsningen ikke kan benyttes.
7 Vedtak
Klagen tas ikke til følge. Saken sendes tilbake til Datatilsynet for videre behandling. Klager anmodes om å fremlegge en risikovurdering som er i samsvar med personopplysningsforskriften kapittel 2.
Oslo, 20. desember 2007
Jon Bing
Leder