Personvernnemndas avgjørelse av 16.2.2011 (Olav Torvund, Arve Føyen, Tom Bolstad, Leikny Øgrim, Ann R Sætnan, Jostein Halgunset, Michal Wiik Johansen)
1 Innledning
Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på tilsynets pålegg om sletting av passeringsopplysninger til innehavere med forhåndsbetalt abonnement hos bompengeselskapet E18 Vestfold AS.
2 Saksgang
Datatilsynet sendte 12.2.2009 et varsel om kontroll hos E18 Vestfold AS. Varselet ble besvart av E18 Vestfold den 23.3.2009 med vedlegg. Datatilsynet gjennomførte tilsyn hos E18 Vestfold AS den 15.4.2009 og sendte deretter foreløpig kontrollrapport og varsel om vedtak i brev av 3.6.2009. Varsel om vedtak ble besvart av E18 Vestfold i brev av 26.6.2009. Datatilsynet sendte over vedtak og endelig kontrollrapport i brev av 6.8.2009. E18 Vestfold AS («E18») påklaget deler av Datatilsynets vedtak i brev av 28.8.2009.
Saken ble oversendt Personvernnemnda 19.4.2010, som mottok saken 21.4.2010. Klager ble orientert om dette i brev fra nemnda datert 28.4.2010, med frist til uttalelse innen 18.5.2010. Brev fra Statens vegvesen (delt behandlingsansvarlig) kom inn 1.6.2010. Uttalelse fra Skattedirektoratet innkom 11.6.2010.
3 Faktum
Saken dreier seg om hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder som har forskuddsbetalt konto. Datatilsynet har pålagt klager å slette slike passeringsdata innen en måned etter passering, jf personopplysningsloven § 28.
4 Klagers anførsler
Klager anfører at lagring ikke gjøres av egeninteresse, men ut fra kundebehov, klagebehandling og regelverk. Klager opplever en forventning hos kundene om at det skal være mulig å få tilgang til passeringer de har gjort i lang tid etter at passeringen er skjedd. Kunder har gjerne tilgang til transaksjonsopplysninger fra andre betalingsprodukter, som bankkort og kredittkort, i minimum ett år etter at handelen er skjedd. Klager opplever større pågang av kunder som ønsker tilgang til passeringer enn kunder som ønsker passeringer slettet. Kunder som ønsker rask sletting, har muligheten til å velge en avtale med sletting av passeringsopplysninger. Dette medfører at sletting skjer senest 72 timer etter passering.
Det er ikke riktig som Datatilsynet skriver at tiden fra passering til belastning av kundens konto er vanligvis en time. For passeringer i «egne» bomstasjoner vil dette være hovedregelen. AutoPASS-avtalen og brikken kan imidlertid også brukes i alle andre bompengeanlegg i Norge (totalt 36). Disse passeringene kommer tidligst frem til kundens konto dagen etter passering – og enkelte ganger kan dette ta flere dager.
Sletting etter 30 dager vil medføre forholdsvis kort tid for kundene til å sjekke sine passeringer. Det vil bli vanskeligere for kundene å oppdage feilbelastninger og å klage på dette.
Statens vegvesen har satt i gang et arbeid for å se på muligheten for å innføre to valg på skjemaet, slik at kunden selv kan velge lagringstid 30 dager eller 365 dager. Innføringen av et slikt system vil avhenge av hvilke endringer som er mulige, hva som kan gjøres på systemet og innkrevingsutstyret og kostnadene på disse.
5 Datatilsynets vurdering
Datatilsynet tolker henvendelsen som en delvis klage på vedtak fattet i brev av 6. august 2009. Slik Datatilsynet har forstått det, omfatter klagen følgende pålegg:
- Pålegg 2 angående sikring av personopplysninger på Internett
- Pålegg 3 om sletting av passeringsopplysninger til innehavere med forhåndsbetalt abonnement innen en måned
Påleggene 1, 4 og 5 – lukkede avvik
E18 opplyser at pålegg 1, jf. den endelige rapportens avsnitt 5.2, er oppfylt, idet E18s nettsted er supplert med oppdatert informasjon til de registrerte. Videre er det opplyst at Datatilsynets vurderinger angående fotografering av passerende kjøretøy, som omtalt i pålegg 4 og i rapportens avsnitt 5.5.1.3, er tatt til følge. Datatilsynets vurderinger om sletting av passeringsdata om bilførere som ber om giro for senere betaling, jf. pålegg 5 og den endelige rapportens avsnitt 5.5.1.3, opplyses også å være tatt til følge. Datatilsynet er tilfreds med dette. Det anses ikke nødvendig med noen ytterligere dokumentasjon av de omtalte forholdene, jf. annet avsnitt på side 2 i Datatilsynets brev av 6. august 2009. De avvik som lå til grunn for Datatilsynets pålegg 1, 4 og 5, anses dermed som lukket. De nevnte pålegg er av samme årsak ikke gjenstand for klagebehandling.
Pålegg 2 – Oppheving av vedtak
E18 opplyser å ha endret prosedyrene for utstedelse av passord, og anser dermed at informasjonssikkerheten er tilstrekkelig. E18 har blant annet fremhevet:
«Til tross for vår påpekning av at framstillingen i Datatilsynets foreløpige rapport av løsningen for å etablere en profil på Web ikke var helt korrekt, er dette punktet fastholdt i endelig rapport. Ved opprettelse av en profil vil systemet generere et kryptisk passord, og dette vil bli sendt brukeren på hans forhåndsdefinerte e-mail-adresse. Løsningen tilsvarer mao det som benyttes i en mengde lignende sammenhenger når det opprettes web-profiler. Løsningen som er beskrevet i Datatilsynets rapport (hvor postnummeret brukes som initielt passord) ble benyttet ved det forrige sentralsystemet (konvertering til det nye skjedde i mai 2008). […] De av brukerne som ikke hadde gjort den anbefalte endringen av passordet sitt fra postnummeret og over til et sikrere passord fikk følgelig overført postnummeret som passord. Enkelte av brukerne har heller ikke senere endret på dette og benytter derfor fortsatt postnummeret som passord.»
Datatilsynet er etter dette enig i at E18s løsninger vedrørende informasjonssikkerhet og personopplysninger på Internett, som skissert i avsnitt 2 i brev av 28. august 2009, tilfredsstiller de krav som er oppstilt i personopplysningsloven. Det fremgår endog at tilstanden på kontrolltidspunktet var en annen enn det som er beskrevet i tilsynets rapport punkt 5.3.2. Det vises til tilsynets varsel om vedtak, hvor det påpekes at «rapporten skal gjenspeile de faktiske forhold på kontrolltidspunktet» og at «[e]ventuelle feil eller mangler i de faktiske forhold som fremkommer i rapporten bes tatt opp med Datatilsynet i forbindelse med virksomhetens eventuelle tilsvar til dette varselet». Tilsynet tar derfor selvkritikk for at de korrigeringer som er gitt i punkt 2 i virksomhetens tilsvar til Datatilsynets varsel om vedtak og foreløpige rapport, ikke ble tatt med som en del av det faktiske grunnlaget for det endelige vedtaket.
På bakgrunn av E18s innsigelser, og de opplysninger som er oversendt i E18s brev av 28. oktober 2009, har Datatilsynet besluttet å oppheve eget vedtak, jf. forvaltningsloven § 33 annet ledd annet punktum. Pålegg 2 i Datatilsynet vedtak av 6. august 2009, trekkes følgelig med dette tilbake.
Pålegg 3 – Datatilsynet opprettholder sitt standpunkt
Datatilsynets pålegg 3 fastslår at virksomheten må slette passeringsdata til innehavere av forskuddsbasert konto innen en måned etter passering, jf. også den endelige rapportens avsnitt 5.4.1. Til dette har E18 anført:
«Det spørsmålet som Datatilsynet reiser her er noe komplisert da det er ulike lovbestemmelser som kan komme til anvendelse her og som må sees opp mot hverandre. Hvis lagringstiden for brikketransaksjoner på forskuddsbetalte konti settes ned til 30 dager etter at passeringen er utført er vi redd mange kunder ikke vil kunne få kunnskap om tid og sted for de tjenester de betaler for slik de (etter gjeldende fortolkning) har rett til i henhold til regnskapsloven.»
Etter hva Datatilsynet er kjent med, skal den regnskapspliktige etter regnskapsloven opplyse om en rekke forhold. Imidlertid kan ikke tilsynet se at det eksisterer noen regler i selve regnskapsloven som pålegger lagring av personopplysninger for de formål som er nevnt i sitatet over. Når E18 viser til at den enkelte kunde har en rett til å få lagret opplysninger om seg etter regnskapsloven, må det bero på en misforståelse. Regnskapsloven pålegger den regnskapspliktige – det vil si det enkelte foretak – å følge visse regler, men det gis ingen motsvarende rettigheter for den som får registrert opplysninger om seg.
Tilsynet har kjennskap til at det i bokføringsloven med tilhørende forskrift er oppstilt krav om at visse opplysninger skal dokumenteres av den bokføringspliktige. I visse tilfeller vil dette kunne omfatte opplysninger om enkeltindivider – forskriftens § 5-1-1 nr. 2 bestemmer for eksempel at partene i en kjøpsavtale skal angis, jf. § 5-1-2. Det samme gjelder tidspunkt og sted for levering av ytelsen, jf. § 5-1-1 nr. 4.
Datatilsynet vil understreke at de opplysninger som er gjenstand for pålegget av 6. august 2009, er opplysninger om at en av E18s abonnenter har passert en bestemt bomstasjon til et angitt tidspunkt, jf det anvendte uttrykket «passeringsdata». Tilsynet kan ikke se at de passeringsdata som E18 er pålagt å slette i nærværende sak, er omfattet av dokumentasjonsplikten i bokføringsregelverket. Denne dokumentasjonsplikten er knyttet til leveringstidspunktet, og leveringstidspunktet må i dette tilfellet være sammenfallende med avtaleinngåelsestidspunktet, og ikke det enkelte passeringstidspunkt. Det kan i den forbindelse vises til www.autopass.no/betaling/autopass+avtale, hvor det fremgår at den enkelte avtale inngås når kunden har betalt inn et forskuddsbeløp til bompengeselskapet.
E18 har videre vist til at selskapet:
«ikke [har] tilstrekkelig juridisk kompetanse til å vurdere hva som er rett å gjøre i slike tilfelle når det kan synes som om ulike myndighetskrav kan komme i konflikt med hverandre. Vegdirektoratet har nedsatt en arbeidsgruppe med representanter fra Samferdsels- og Justisdepartementet for å se bl.a. på disse spørsmålene. Vi synes det er naturlig å avvente hva som kommer ut av dette arbeidet før det besluttes hvilken lagringstid som skal anvendes. Derfor har vi valgt å oversende oppfølging av dette punktet til Vegdirektoratet».
Det vises til at den omtalte arbeidsgruppen, hvor også representanter fra Datatilsynet er med, ikke har konkludert i de omtalte spørsmål. Det skal tilføyes at Datatilsynet har avventet eventuelle avklaringer som et mulig resultat av gruppens arbeid, i tiden etter kontrolltidspunktet. Dette er også blant årsakene til at det har gått noe lengre tid enn hva ønskelig er mellom tidspunktet for E18s klage og nærværende oversendelse av saken til Personvernnemnda. Ettersom en eventuell enighet eller kompromissløsning fremdeles ser ut til å ligge et stykke frem i tid, har Datatilsynet nå funnet det hensiktsmessig å gå videre med saken.
For øvrig vises det til Datatilsynets vurderinger i den endelige kontrollrapportens punkt 5.4.1.
Datatilsynet viser også til vedlagte brev fra Fornyings- og administrasjons- og kirkedepartementet (FAD) av henholdsvis 15. februar og 13. april 2010, og til Datatilsynets brev av 9. mars s.å. FAD har overfor Finansdepartementet signalisert at det er ønskelig med en avklaring av de generelle problemstillinger som ofte oppstår i krysningspunktet mellom personopplysningsloven og bokføringslovgivningen. Finansdepartementet ser imidlertid ikke ut til å dele denne oppfatningen, og tilsynet vurderer det derfor som mest formålstjenlig at nærværende sak i sin helhet oversendes Personvernnemnda.
Finansdepartementet og Skattedirektoratet er orientert om Datatilsynets forståelse av Bokføringsregelverket og Datatilsynet har anmodet Finansdepartementet og direktoratet om å avgi uttalelse til Personvernnemnda dersom Datatilsynets forståelse av bokføringsregelverket skulle avvike fra gjeldende rett.
6 Bemerkning fra Skattedirektoratet
Skattedirektoratet har avgitt en uttalelse i saken. Skattedirektoratet uttaler at E18 etablerer et gjeldsforhold til kunden som forskuddsbetaler. Kundens passeringer av bompengeanlegget vil redusere gjeldsposten. Skattedirektoratet har en annen forståelse enn Datatilsynet mht kravet til å angi leveringstidspunktet. Leveringstidspunktet er knyttet til det tidspunktet hvor en vare leveres eller en tjeneste ytes, og har intet med tidspunkt for inngåelse av avtaler om levering eller eventuelle betalinger å gjøre.
Skattedirektoratet finner at det i en sak som denne er svært viktig å angi det nøyaktige tidspunkt og sted for passering. På faktureringstidspunktet er det ikke mulig å angi hvilken bomstasjon (leveringssted) beløpet gjelder. Det vil heller ikke være mulig å angi leveringstidspunkt. Direktoratet mener at faktura utstedt på forskudd, og som kun inneholder opplysninger om inngått AutoPASS-avtale, ikke tilfredsstiller bokføringsforskriftens § 5-1-1 nr 4, dvs kravene til å spesifisere tidspunkt og sted for levering av ytelsen. Disse opplysningene er viktige for kontroll av en bokføringspliktig kjøper.
Skattedirektoratet kan ikke se at det er grunnlag for å stille andre krav til innholdet i salgsdokumentet i de tilfeller kunden velger å innbetale for bompasseringer på forskudd, enn hvor det betales for slike passeringer på etterskudd. Behovet for å spesifisere tidspunkt og sted for levering av ytelsen er like stort uavhengig av hvilket tidspunkt salgsdokumentet utstedes. Forskuddsfakturaen må derfor suppleres med de nevnte opplysningene, dvs at opplysninger om passeringer vil bli ettersendt, eventuelt at de forefinnes hos E18. Disse tilleggsopplysningene blir da en del av salgsdokumentet.
Kundespesifikasjoner og salgsdokumentasjon, inklusive nevnte opplysninger, skal oppbevares i 10 år, jf bokføringsloven § 13 (2), jf (1) nr 2 og 3.
7 Personvernnemndas merknader
Leder i Personvernnemnda Eva I. E. Jarbekk valgte å fratre behandlingen av saken fordi hun i sitt virke som advokat har klienter som kan medføre at hun kommer i interessekonflikt i denne saken. I hennes sted trådte personlig vararepresentant for leder, Olav Torvund, inn.
I denne saken skal Personvernnemnda vurdere hvor lenge passeringsdata skal oppbevares hos bompengeselskapet for så vidt gjelder kunder som har forskuddsbetalt konto. Datatilsynet har pålagt klager å slette slike passeringsdata innen en måned etter passeringstidspunktet, jf personopplysningsloven § 28. Skattedirektoratet har avgitt en uttalelse i saken og konkluderer med at passeringsdata (angivelse av parter, tid og sted for levering, vederlag etc) skal oppbevares i 10 år.
Etter Personvernnemndas syn er det tre forskjellige hensyn som gjør seg gjeldende her:
- Personvernhensyn
- Forbrukerhensyn
- Regnskapshensyn
I denne saken må viktige personvernhensyn vike for regnskapshensyn. Personvernnemnda har vurdert saken og er kommet til at Skattedirektoratets fortolkning av bokføringsregelverket må legges til grunn.
Hovedregelen etter regnskaps- og bokføringslovgivningen er at den bokføringspliktige plikter å oppbevare visse data om forretningstransaksjoner i 10 år, jf bokføringsloven § 13 (2), jf (1) nr 2 og 3. Datatilsynet mener at de passeringsdata som klager er pålagt å slette i denne saken, ikke er omfattet av dokumentasjonsplikten i bokføringsregelverket. Opplysningen som er pålagt slettet er opplysninger om at en abonnent har passert en bestemt bomstasjon til et angitt tidspunkt. Dokumentasjonsplikten etter bokføringsloven er knyttet til leveringstidspunktet, og leveringstidspunktet må i dette tilfellet være sammenfallende med avtaleinngåelsestidspunktet, og ikke det enkelte passeringstidspunkt, hevder Datatilsynet. Tilsynet har i sin vurdering lagt til grunn at den enkelte bompassering utgjør et kontantsalg som omfattes av unntaksbestemmelsen i bokføringsforskriften § 5-1-2, 2. ledd. Skattedirektoratet har i sin vurdering lagt til grunn at det her ikke er tale om kontantsalg som omfattes av unntaksbestemmelsen. Personvernnemnda slutter seg til Skattedirektoratets konklusjon og begrunnelsen for denne. Personvernnemnda er enig i at når kunden har forskuddsbetalt et beløp til selskapet etableres et gjeldsforhold mellom kunden og bompengeselskapet som fortløpende avregnes ved passeringer av bomstasjoner. Den enkelte passering blir da en leveranse av en forskuddsbetalt tjeneste. Skattedirektoratet uttaler videre at det dermed er en plikt for den bokføringspliktige å oppbevare kundespesifikasjoner og salgsdokumentasjon, inklusive passeringene (tid og sted) i 10 år. Personvernnemnda finner også her å måtte legge Skattedirektoratets fortolkning av bokføringsloven til grunn for sin vurdering. Det foreligger da en lovpålagt plikt til å oppbevare disse opplysningene i 10 år. Behandlingen kan således skje i medhold av personopplysningslovens § 8, første punktum, annet alternativ. Datatilsynet kan da ikke pålegge sletting av opplysningene på et tidligere tidspunkt med hjemmel i personopplysningsloven § 28.
8 Vedtak
Klagen tas til følge.
Oslo, 16. februar 2011
Olav Torvund
Vararepresentant for leder