Prop. 116 L (2021–2022)

Endringer i yrkestransportloven (behandling av personopplysninger)

Til innholdsfortegnelse

5 Ny bestemmelse om behandling av personopplysninger

5.1 Forslaget i høringsnotatet – ny § 29 b

Det overordnede målet med forslaget til ny § 29 b var å få en helhetlig regulering av behandlingen av personopplysninger etter yrkestransportloven. Forslaget bygget på Statens vegvesens tidligere forslag til en generell personvernbestemmelse i høringsnotat av 9. juli 2021 i forbindelse med gjennomføringen av EUs mobilitetspakke del 1, der bestemmelsen om behandling av personopplysninger var foreslått som ny § 39 a. Bestemmelsen ble senere omarbeidet slik det fremgår av høringsnotatet datert 24. februar 2022.

Behandling av personopplysninger på yrkestransportområdet har behov for en bedre lovmessig forankring enn i dag. Det registreres i dag opplysninger knyttet til søknad og behandling av løyve for transport, samt at det er et nasjonalt løyveregister som inneholder opplysninger om løyvehavere. Yrkestransportloven har i dag ingen generell bestemmelse som hjemler dette registeret, men flere av bestemmelsene i eller i medhold av loven forutsetter implisitt at det er etablert registre som kan inneholde personopplysninger. Det vises også til at uttrykkelige hjemler for behandling av personopplysninger i særlovgivningen de senere årene har blitt etablert på flere områder. Ved utformingen av lovforslaget har det vært sett hen til sammenliknbare reguleringer, særlig på vei- og veitrafikkområdet.

I høringsnotatet av 24. februar 2022 ble det fremhevet at man som følge av arbeidet med nye personvernbestemmelser på ferjeområdet på nytt måtte vurdere helheten i behandlingen av personopplysninger etter yrkestransportloven. Som konsekvens av dette arbeidet kom Statens vegvesen til at den generelle hjemmelen for behandling av personopplysninger burde utformes med et noe bredere nedslagsfelt enn hva som opprinnelige ble foreslått i høringsnotatet av 9. juli 2021.

Bestemmelsens første ledd gir hjemmel for at offentlig myndighet eller andre juridiske personer kan behandle personopplysninger når det er nødvendig for å utføre forvaltningsoppgaver for å oppfylle bestemmelser gitt i eller i medhold av loven.

Det ble vurdert at bestemmelsen ikke burde avgrenses til «offentlege styresmakter», men at bestemmelsen også burde omfatte andre juridiske personer som utfører oppgaver etter loven. Statens vegvesen antok i høringsnotatet at dette kunne være aktuelt på flere områder, for eksempel innen kollektivtransportsektoren. I høringsnotatet heter det at henvisningen til andre juridiske personer derfor skulle forstås slik at det også kan behandles personopplysninger i allmennhetens interesse, jf. personvernforordningen artikkel 6 nr. 1 bokstav e første alternativ.

Forslaget er begrenset til behandling av personopplysninger som er nødvendig for å utføre «oppgåver» etter yrkestransportlovgivningen. Dette omfatter myndighetsutøvelse som ligger innenfor lovgivningen, herunder tjenester i form av behandling og utstedelse av løyvesøknader, kjøreseddel, tilsyn- og kontrollvirksomhet og øvrig utøvelse av forvaltningsmyndighet etter yrkestransportlovgivningen. Det framgår av høringsnotatet at i forbindelse med forslag til ny kontrollhjemmel i yrkestransportloven § 38, er det behov for å ha hjemmel for behandling av personopplysninger også grunnet nye elektroniske kontrollverktøy som ønskes å tas i bruk for kontroll etter yrkestransportloven. Dette gjelder automatisk kjennemerkegjenkjenning (ANPR), vektpunkt i veibanen som kan avlese vekter og aksellast på kjøretøy i fart (WIM), samt en trådløs enveis eller toveis kommunikasjon (DSRC) som skal anvendes for å avlese informasjon om kjøretøy langs vei. DSRC skal benyttes for fjernavlesing av smart fartsskriver, som igjen kan brukes ved kontroll av kabotasje når det lastes/losses og passeres grenser. DSRC er ikke på plass i dag.

I høringen ble det vist til at en mer treffsikker utvelgelse av kjøretøy til kontroll ved hjelp av elektroniske verktøy vil bidra til bedre trafikksikkerhet, gjennom at flere av de kjøretøyene med feil og mangler som kan påvirke trafikksikkerheten, blir stoppet og sanksjonert. Ved å sammenstille passeringsdata fra ovennevnte kontrollverktøy med dokumentasjon som fremvises i kontrollen vil det også være mulig å avdekke flere overtredelser av regelverket. Samlet sett vil dette kunne gi en styrket allmennpreventiv effekt, bidra til mer likeverdige konkurranseforhold i bransjen og bedre arbeidsforholdene for sjåførene.

Det ble i høringen vist til at utvidelsen av kontrollhjemmelen i § 38 dermed ville medføre et behov for et særlig behandlingsgrunnlag for denne utvidede behandlingen av personopplysninger. Det vises til at adgangen til å bruke fartsskriveren til kontroll med etterlevelse av yrkestransportregelverket er hjemlet i forslag til endringer i vegtrafikkloven § 13, jf. Prop. 105 LS (2021–2022).

Det ble foreslått å innføre hjemmel for behandling av særlige kategorier personopplysninger. En eventuell hjemmel for behandling av særlige kategorier personopplysninger etter yrkestransportloven måtte ifølge høringsnotatet utformes i henhold til en eller flere av unntaksbestemmelsene i personvernforordningen artikkel 9 nr. 2. Statens vegvesen vurderte artikkel 9 nr. 2 bokstav g om at behandlingen er nødvendig av hensyn til viktige allmenne interesser, samt bokstav j som gjelder behandling som er nødvendig av hensyn til arkivformål, forskning og statistikk som de mest aktuelle grunnlagene i relasjon til foreslått § 29 b.

I høringsnotatet viste Statens vegvesen til at behandling av særlige kategorier personopplysninger for eksempel kan være aktuelt innen kollektivtransportsektoren. Videre antok Statens vegvesen det kan være nødvendig å behandle personopplysninger som reiseopplysninger om personer med nedsatt forflytningsevne. I tillegg behandles det opplysninger om vandel og helse knyttet til søknad om løyve og kjøreseddel.

I høringen ble det vurdert om behandling av særlige kategorier personopplysninger etter § 29 b i utgangspunktet først skulle kunne foretas når behandlingen er nærmere detaljert i forskrift. I tillegg til bestemmelser om dataminimering, formålsbegrensning og åpenhet, kunne en forskrift etter Statens vegvesens syn eksempelvis inneholde bestemmelser om hvilke opplysninger som kan behandles, slettefrister og adgangen til å utlevere opplysninger. En slik løsning ble likevel ikke fremmet i høringen.

I høringen fremgår det at i henhold til § 29 b, kan juridiske personer behandle opplysninger som omfattes av personvernforordningen artikkel 10. Statens vegvesen viste til at slike opplysninger i utgangspunktet kun skal skulle behandles under en offentlig myndighets kontrollvirksomhet. Det ble presisert at det ikke er gitt bestemmelser i loven som gir andre enn offentlige myndigheter adgang eller plikt til å behandle opplysninger som omfattes av artikkel 10. Statens vegvesen fremholdt i høringsnotatet at om det oppstår behov for det, vil departementet kunne gi forskrift om dette med henvisning til forslaget i § 29 b annet ledd.

Høringsnotatet viste til at de forvaltningsoppgavene som omfattes av første ledd i forslaget til ny § 29 b generelt sett spenner over et stort saksområde. Å gi detaljerte bestemmelser i loven om behandling av personopplysninger på de ulike områdene vil bli for omfattende. Det vil derfor være behov for å kunne gi nærmere detaljerte regler i forskrift.

I den utstrekning det ikke gis nærmere forskrift om behandlingen, uttalte Statens vegvesen i høringen at det vil være opp til den enkelte aktør som omfattes av loven å vurdere i hvilken utstrekning de oppgaver som skal utføres nødvendiggjør behandling av personopplysninger og hvilke nærmere personopplysninger som kan behandles. I disse tilfellene ville det etter Statens vegvesens syn være slik at den enkelte aktør må foreta en konkret vurdering av adgangen til å behandle personopplysninger som følge av sine oppgaver etter loven og foreslått § 29 b.

Statens vegvesen vurderte videre i høringsnotatet at en forskriftshjemmel også burde omfatte adgang til å regulere behandling av personopplysninger som nevnt i personvernforordningen artikkel 9 og 10.

Statens vegvesen antok i høringsnotatet at det ikke var nødvendig å gjenta henvisningen til artikkel 9 og 10 i § 29 b annet ledd når det ble henvist til disse allerede i § 29 b første ledd.

I høringen ble det vist til at forskriftshjemmelen også omtaler statistikk og forskningsformål, og departementet kan følgelig også gi en nærmere og mer detaljert adgang til å behandle personopplysninger til disse formålene i forskrift. I en slik forskrift kunne det ifølge høringsnotatet ved behov gis nærmere regler om hvilke personopplysninger som kan behandles og hvor lenge personopplysningene kan behandles.

5.2 Uttalelser fra høringsinstansene

Boreal Sjø, Fellesforbundet, Fjord 1, Fremtind Service, Kollektivtrafikkforeningen, Møre og Romsdal fylkeskommune, NHO Reiseliv, NHO Sjøfart, NHO Transport, Nordland fylkeskommune, Norges Lastebileier-Forbund, Norled og Torghatten Nord støtter forslaget om en generell hjemmel for behandling av personopplysninger, og at departementet får en hjemmel til å gi nærmere regler i forskrifter.

Datatilsynet viser i sitt høringssvar til at det er uheldig at loven ikke sondrer mellom myndighetsorganers og private aktørers adgang til å behandle opplysninger som nevnt i personvernforordningen artikkel 9 og 10. Datatilsynet uttaler at det for tiden ikke er nødvendig for private aktører å behandle artikkel 9- og 10-opplysninger for å utføre sine oppgaver i medhold av yrkestransportloven. Forslaget til § 29 b kan etter Datatilsynets mening bidra til å skape usikkerhet rundt dette.

5.3 Forslaget i høringsnotatet – ny § 29 c

I høringsnotatet av 24. februar 2022 vurderte Statens vegvesen at det er et behov for en særskilt hjemmel for behandling av personopplysninger for ferjebillettering. Bestemmelsen ble foreslått som ny § 29 c og var ment å hjemle den behandling av personopplysninger for billettering på ferje som i dag følger av midlertidig lov om billettering på ferje.

Det ble under omtalen i høringsnotatet til ny § 29 c foreslått at departementet, Statens vegvesen, fylkeskommunene, samt selskap og andre juridiske personer skulle gis adgang til behandling av personopplysninger på dette området. De aktuelle aktørene ble på denne måte angitt noe mer spesifikt i forslaget til ny § 29 c enn i den mer generelle § 29 b. Blant annet som følge av at § 29 c gjaldt et spesielt avgrenset tema, ble det foreslått at behandling av personopplysninger ved billettering på ferje ble regulert i en egen bestemmelse, og ikke som et tillegg til § 29 b.

Statens vegvesen la i høringsnotatet til grunn at det i og med innføringen av en ny hjemmel i yrkestransportloven kan finne sted behandling av personopplysninger for et større antall trafikanter enn det som var tilfellet før reguleringen med midlertidig lov om billettering på ferje. Statens vegvesen viste til at for sambandene som benytter AutoPASS-regulativet, selges om lag 30 prosent av billettene uten tilknytning til AutoPASS-avtale.

I høringsnotatet fremholdt Statens vegvesen at forslaget til § 29 c representerer en regulering som tilsvarer midlertidig lov om billettering på ferje hva gjelder rekkevidden av behandlingen. Statens vegvesen mente at de vurderinger som departementet viste til i Prop. 114 L (2019–2020) derfor gjorde seg gjeldende, med unntak av de begrunnelser som hadde direkte sammenheng med unntakssituasjonen i forbindelse med utbruddet og spredningen av covid-19.

I høringsnotatet viste Statens vegvesen til at følgende opplysninger vil bli behandlet for passering av kjøretøy som ikke har avtale:

  1. kjøretøyets registreringsnummer

  2. passeringstid og -sted

  3. bilde av kjøretøyet, herunder lengde

  4. kjøretøyets takstgruppe

Statens vegvesen beskrev at det som følge av transaksjonen vil bli tatt bilde av kjøretøyet, som i hovedsak vil være et bilde av kjøretøyets kjennemerke, men som også skal dokumentere lengden på kjøretøyet. Det skal ikke tas bilde av personer i kjøretøyet.

I høringsnotatet heter det videre at behandlingsansvarlige plikter å behandle opplysningene i samsvar med de til enhver tid gjeldende regler for dette. Personopplysningene som behandles vil også bli lagret i samsvar med annen lovgivning som regulerer dette, herunder særlig bokføringsloven med tilhørende forskrift. Opplysninger knyttet til kjøretøyets kjennemerke, reist strekning, reisetidspunkt og takstgruppe kjøretøyet tilhører, må i henhold til gjeldende bestemmelser oppbevares i 5 år.

Bilder av passeringen vil ifølge høringsnotatet bli slettet 30 dager etter at krav er endelig oppgjort, eller klagesak er avsluttet. Av Prop. 114 L (2019–2020) pkt. 6.1. følger det at «annen informasjon» slettes etter 104 dager. Statens vegvesen viste i den forbindelse til at tidsfristen for korrigering av krav er 180 dager etter passering, jf. Områdeerklæringen Vedlegg 2 B pkt. 6.2.

Hva gjelder forslaget i høringsnotatet til § 29 c annet ledd, foreslo Statens vegvesen i høringsnotatet denne delen av bestemmelsen som det nødvendige rettsgrunnlaget for å fastsette nærmere forskrift om behandling av personopplysninger ved billettering for ferjeselskapene. Den foreslåtte bestemmelsen ga adgang til fastsettelse av forskrift for alle løyveinnehavere, slik at det ikke bare er ferjeselskaper som kan reguleres. Statens vegvesen la til grunn at lovbestemmelsen prinsipielt sett burde være lik for alle løyveinnehavere.

I forslaget til bestemmelsens annet ledd ble det vist til § 29 b annet ledd, hvilket er en bestemmelse av tilsvarende art som veglova §§ 11 f annet ledd og 27 sjette ledd. Det heter i høringsnotatet at bestemmelsen på samme måte som bestemmelsene i veglova åpner for at departementet kan gi nærmere regler om behandlingen, herunder om hvilke personopplysninger som kan behandles og til hvilke formål, nærmere sletteregler og bestemmelser om statistikk og forskning.

I den utstrekning det ikke blir gitt nærmere forskrift om behandlingen, ville det ifølge høringsnotatet være opp til den enkelte aktør som omfattes av loven å vurdere i hvilken utstrekning de oppgaver som skal utføres nødvendiggjør behandling av personopplysninger og hvilke nærmere personopplysninger som kan behandles. I disse tilfellene ville det etter Statens vegvesens syn være behov for å foreta en konkret vurdering av adgangen til å behandle personopplysninger og det vil kunne være behov for en vurdering av personvernkonsekvensene (DPIA).

Statens vegvesen viste i høringsnotatet til at de hadde foretatt en DPIA med tanke på foreslått regulering i § 29 c. Statens vegvesen så her hen til den behandling som foretas med hjemmel i midlertidig lov om billettering på ferje. Statens vegvesen la til grunn at behandlingens omfang, involverte aktører og behandlingsformål var tilnærmet identisk med situasjonen etter midlertidig lov om billettering på ferje. Statens vegvesen tok likevel spesielt hensyn til at de personopplysninger som kan behandles med utgangspunkt i foreslåtte § 29 c ville være en permanent løsning. Statens vegvesens konklusjon var at bestemmelsen ikke innebar en tilsidesettelse av de registrertes rettigheter og friheter, samt at behandlingen ikke innebar høy risiko.

5.4 Uttalelser fra høringsinstansene

Når det gjelder forslaget til § 29 c, er de fleste høringsinstansene positive til lovforslaget.

Nordland fylkeskommune støtter forslaget om endring i yrkestransportloven § 29 c. Den foreslåtte endringen understøtter også Nordland fylkeskommunes vedtak om fremtidig billettering med skiltavlesing på ferje. Også Boreal Sjø, Norled, Norges Lastebileier-Forbund, Kollektivtrafikkforeningen, Fremtind Service, NHO Reiseliv, NHO Transport, Fellesforbundet, Møre og Romsdal fylkeskommune, Fjord 1, NHO Sjøfart og Torghatten Nord støtter forslaget.

Torghatten Nord peker på at ferjebillettering med den nye lovteksten likestilles med bompassering langs landevei, der det er adgang til å behandle nødvendige opplysninger om både avtalekunder og kjøretøy utenforutgående avtale, med formål om å kreve inn betaling for tjenesten. Bilister kan ikke reise sporfritt, eller med kontantbetaling, gjennom bomstasjoner på norske veier per i dag, så hensynet til å ivareta retten til sporfri ferdsel på ferjer fremstår mindre relevant.

Fremtind Service fremholder i sitt høringssvar at de ikke kan se at det er gode argumenter for at prosessen med betaling for ferjepasseringer skal avvike fra betaling av bompasseringer. Videre mener de at prosess for betaling av bompasseringer også velprøvd og akseptert av bilistene.

En privatperson mener at muligheten til å gjøre opp om bord på ferja med kontanter eller kort, bør videreføres.

Advokatforeningen er i sin høringsuttalelse varsom med å omfavne løsningen, men departementet oppfatter at Advokatforeningen mener det er gode grunner for at passeringer ved bomstasjoner og ferje må sees i sammenheng og behandles likt. Advokatforeningen uttaler:

Selv om Advokatforeningen som klart utgangspunkt og på prinsipielt grunnlag inntar en meget restriktiv holdning hva gjelder inngrep i personvernet og den personlige frihet, er vi her kommet til at Advokatforeningen ikke har innsigelser mot høringsforslaget.
Advokatforeningen har da særlig vektlagt at de fleste fergeturer allerede i dag skjer elektronisk og er sporbare, samtidig som ferdsel på vei både før og etter fergestrekninger i mange tilfeller ikke kan skje anonymt. Samlet sett vurderes derfor den foreslåtte ordningen som et begrenset inngrep, innenfor det som kan aksepteres.

Datatilsynet støtter ikke forslaget i høringsnotatet, og mener at det er mulig å etablere anonyme alternativ som ivaretar de samme sikkerhets- og effektivitetshensyn som AutoPASS-ordningen. En mulighet er etter Datatilsynets mening for eksempel å legge til rette for manuell betaling på automat, slik en gjør i parkeringshus. Andre former for elektronisk billettering, som mobilapplikasjoner eller reisekort, kan også være anvendelige. Datatilsynet peker på at man skal kunne bevege seg rundt i landet uten at det blir foretatt unødvendige registreringer av hvor man er og har vært. Retten til sporfri ferdsel er etter Datatilsynets syn en viktig del av retten til personvern. En permanent videreføring av AutoPASS-ordningen vil bety at vi ikke lenger kan reise anonymt på ferjer i Norge. Datatilsynet uttaler at retten til personvern har grunnlovs rang og er en etablert menneskerettighet. Hensynet til borgernes personvern må derfor veie tungt når det settes opp mot andre hensyn som ikke har tilsvarende forankring.

Datatilsynet fremholder i sitt høringssvar at det fremstår som svært uklart hvilke behandlingsaktiviteter som inngår i AutoPASS-ordningen, og hvordan ansvaret er fordelt mellom aktørene. Datatilsynet mener at det må bringes klarhet i ansvarsforholdene før AutoPASS-ordningen kan innføres som en permanent billetteringsløsning på ferjer. Det vises til at forslaget til § 29 c er kun rettet mot ferjeselskapene og Statens vegvesen, som baserer sin behandling på personvernforordningen artikkel 6 nr. 1 bokstav e. I høringsnotatet er det ikke presisert hvilke behandlinger disse aktørene er ansvarlige for. Når en ikke vet hva det søkes behandlingsgrunnlag for, kan det ikke vurderes om behandlingen dekkes gjennom et forslag til supplerende rettsgrunnlag.

Datatilsynet stiller særlig spørsmål ved Statens vegvesens rolle i forbindelse med billettering på ferjesamband som er knyttet til kommunale veier og fylkesveier. Datatilsynet viser til at det i høringsnotatet fremgår at det er oppdragsgiver/løyvemyndighet som avgjør om AutoPASS-ordningen skal brukes på sambandet. Videre fremgår det at Statens vegvesen er løyvemyndighet for riksferjesamband, som utgjør 17 av 130 ferjesamband i Norge. Resten av ferjesambandene administreres av kommunene og fylkeskommunene. Det fremstår etter Datatilsynets syn som uklart hvem som er behandlingsansvarlig for personopplysningene som samles inn på disse ferjesambandene.

Datatilsynet påpeker at dersom aktørene i fellesskap fastsetter formålene og midlene ved behandlingen, vil de være felles behandlingsansvarlige, jf. personvernforordningen artikkel 26. I så tilfelle må det etter Datatilsynets syn etableres en ordning som fastsetter aktørenes respektive ansvar for å overholde forpliktelsene i personvernforordningen, særlig med hensyn til de registrertes rettigheter, jf. artikkel 26 nr. 1.

Når det gjelder forslaget til § 29 c, bemerker Datatilsynet at bestemmelsen ikke pålegger Statens vegvesen eller ferjeselskapene noen myndighet eller oppgave. Forslaget oppfyller derfor ikke de innholdsmessige kravene til et supplerende rettsgrunnlag for behandlinger som bygger på artikkel 6 nr. 1 bokstav e, jf. artikkel 6 nr. 3. I den sammenheng viser Datatilsynet til at den registrerte har rett til å protestere mot behandling som har grunnlag i artikkel 6 nr. 1 bokstav e, jf. artikkel 21.

Datatilsynet minner også om at personopplysninger kun skal lagres så lenge det er «nødvendig» for formålene med behandlingen, jf. artikkel 5 nr. 1 bokstav e. Den behandlingsansvarlige plikter av eget initiativ til å slette opplysninger når et av forholdene i artikkel 17 nr. 1 bokstav a til f gjør seg gjeldende. Datatilsynet fremholder at det er viktig at opplysninger som ikke må lagres etter bokføringsloven, blir slettet så snart behandlingen ikke lenger er nødvendig. Det er også viktig at opplysninger som kun lagres etter bokføringsloven ikke benyttes til andre formål, for eksempel kundebehandling.

5.5 Departementets vurdering

5.5.1 Innledning

Departementet følger i all hovedsak opp forslaget inntatt i Statens vegvesens høringsnotat 24. februar 2022. I tillegg foreslås noen justeringer slik det fremgår under.

Departementet foreslår at de to bestemmelsene som ble foreslått i høringen – §§ 29 b og 29 c – slås sammen til én bestemmelse. Bestemmelsen foreslås plassert som ny § 29 b. Selv om det i høringen ble vurdert at § 29 c ikke egnet seg som en del av § 29 b, har departementet kommet til at en felles bestemmelse som regulerer behandling av personopplysninger i yrkestransportloven er mest hensiktsmessig.

Departementet vurderer at behandling av personopplysninger i forbindelse med ferjebillettering ikke kun bør baseres på den generelle adgangen til behandling av personopplysninger etter § 29 b første ledd. Departementet foreslår at adgangen til behandling av personopplysninger ved ferjebillettering blir eksplisitt regulert i § 29 b annet ledd. Det vises til at behandlingen vil kunne skje i stort omfang, samt at behandlingen anses som et inngrep i den enkeltes rettigheter og friheter, se pkt. 4.1. Videre mener departementet at en slik bestemmelse klargjør at identifisering av kjøretøy ved billettering på ferje vil innebære behandling av personopplysninger. Etter departementets syn er dette forholdet sentralt å kommunisere i lovteksten, herunder av hensyn til retten til fri ferdsel. Videre anser departementet at innføringen av denne type særregulering i loven er nødvendig hensyntatt de tidligere vurderinger knyttet til behovet for midlertidig forskrift og gjeldende midlertidig lov.

5.5.2 Vurdering av forslagets første ledd

Departementet har merket seg at det er bred støtte fra høringsinstansene for en generell hjemmel som regulerer behandling av personopplysninger i yrkestransportlovgivningen, samt at departementet skal tildeles en hjemmel for å gi utfyllende bestemmelser i forskrift. Generelt sett er det behov for en hjemmel i yrkestransportloven som gir grunnlag for å behandle personopplysninger. Selv om yrkestransportregelverket regulerer den næringsmessige siden av transport – yrkes- og markedsadgang, er det som nevnt i høringsnotatet behov for en hjemmel som skal legge til rette for at offentlige myndigheter kan behandle personopplysninger, særlig knyttet til den utvidede kontrollen av kjøretøy langs vei.

Når det gjelder Datatilsynets merknad om at det er uheldig at loven ikke sondrer mellom myndighetsorganers og private aktørers adgang til å behandle opplysninger som nevnt i personvernforordningen artikkel 9 og 10, er departementet delvis enig i dette. Når det gjelder behandling av opplysninger etter artikkel 10, bør slike opplysninger være forbeholdt offentlige myndigheter. Departementet foreslår derfor å tilføye en ny setning i lovens første ledd som presiserer dette. Det vil dermed ikke være mulig for private å behandle opplysninger etter artikkel 10.

Når det gjelder behandling av personopplysninger etter personvernforordningen artikkel 9, fremgår det av høringsnotatet at det kan være tilfeller der transportører har behov for å behandle slike opplysninger innenfor kollektivtransportsektoren. Departementet vil derfor opprettholde bestemmelsen om at selskap og andre juridiske personer kan behandle slike opplysninger. Som det fremgår av forarbeidene til personopplysningsloven, der personvernforordningen er tatt inn, kreves det som utgangspunkt at det foreligger hjemmel i lov eller forskrift dersom det skal behandles opplysninger etter artikkel 9 nr. 2. Personvernforordningen gir ikke noe klart svar på hvor klart eller spesifikt nasjonale bestemmelser som åpner for behandling av særlige kategorier av personopplysninger må være. Når de nevnte bestemmelsene i artikkel 9 nr. 2 krever et «grunnlag» for behandlingen, eller at behandlingen er «tillatt», kan de etter sin ordlyd neppe sies å stille et ubetinget krav om at det alltid må foreligge en helt uttrykkelig og spesifikk lovhjemmel. Av hensyn til forutberegnelighet mener likevel departementet at det vil være hensiktsmessig å oppstille nærmere hvilke konkrete oppgaver dette gjelder. En slik oppstilling vil imidlertid bli svært omfattende og for detaljert å ha med i lovteksten. Departementet understreker at den foreslåtte lovhjemmelen ikke er ment å utvide rammene for behandling av personopplysninger på det enkelte område. Ved eventuelle nye oppgaver må det for hvert område vurderes om det vil være forenelig med det opprinnelige formålet med behandlingen. Dette vil være naturlig å vurdere i prosessen med forskriftsfastsettelse på de ulike områdene. I forslagets tredje ledd kan departementet gi forskrifter om behandling av personopplysninger. Dersom juridiske personer skal ha adgang til å behandle særlige kategorier personopplysninger, er det særlig viktig at det for slik behandling utarbeides nærmere forskrifter som spesifiserer hvilke oppgaver som er tillagt og hvordan behandlingen skal skje.

I bestemmelsens annet punktum er det tilføyd ordet «selskap». Dette er for å gjenspeile ordlyden i yrkestransportloven § 25 der det henvises til selskaper og andre juridiske personer.

Departementet opprettholder forslaget i § 29 b første ledd, men med en presisering i annet punktum om at juridiske personer og selskaper ikke kan behandle opplysninger etter artikkel 10.

5.5.3 Vurdering av forslagets annet ledd

Departementet merker seg at de fleste høringsinstansene støtter forslaget til ny § 29 c. Flere av høringsinstansene gir uttrykkelig sin tilslutning til forslaget og mener bestemmelsen vil ivareta en effektiv, kundevennlig og forutsigbar ferjebillettering. Dessuten pekes det på at elektronisk billettering, som lovforslaget skal legge til rette for, gir god flyt i trafikken, mindre risiko for trafikale hendelser ved ombordkjøring, mer presis trafikkavvikling og tidsbesparelser for både rederiene og reisende.

Departementet viser til uttalelsen fra en privatperson som ønsker at adgangen til å gjøre opp om bord på ferja med kort eller kontanter, bør videreføres. Departementet bemerker at de foreslåtte endringene kun skal legge til rette for at elektronisk billettering kan finne sted i tråd med gjeldende krav til behandling av personopplysninger i den forbindelse.

Videre viser departementet til at finansavtaleloven § 38 tredje ledd gir forbrukeren rett til å gjøre opp med kontanter «hos betalingsmottakeren». Det følger av forarbeidene1 til finansavtaleloven § 38 at «hos betalingsmottakeren» skal forstås på samme måte som «forretningsstaden» i gjeldsbrevloven § 3 første punktum. Konsekvensen av dette er at forbrukerens rett til kontant betaling etter departementets syn ikke hindrer gjennomføring av elektronisk billettering på ferje.

Når det gjelder Datatilsynets høringsinnspill om at de mener det er mulig å etablere anonyme alternativ som ivaretar de samme sikkerhets- og effektivitetshensyn som AutoPASS-ordningen, bemerker departementet: Statens vegvesen har vurdert ulike løsninger for gjennomføring av anonym betaling for ferjereise. Overordnet er det et mål at billettering på ferje skal følge de samme tekniske prinsippene som ved innkreving av bompenger. Det kan likevel gjøres nødvendige tilpasninger når det ikke går på bekostning av trafikk-, data-, og økonomisikkerhet og effektivitet. Størst mulig likhet mot bompengeinnkreving gir gjenkjennelsesverdi for de reisende. Når det gjelder løsninger for sporfri ferdsel på systemnivå, som anonyme brikker, endrede sletterutiner, nye bokføringsregler m.m., følger ferjebillettering prinsippene og utviklingen fra bompengeinnkreving. Bruk av AutoPASS på ferje er og vil i stor grad være sammenfallende med bruk av AutoPASS ved bompengeinnkreving etter veglova § 27. Bompengeinnkrevingssystemet er en løsning som er både velutprøvd og godt fungerende, og det er gjort grundige vurderinger knyttet til både økonomiske, tekniske og juridiske forhold ved løsningen. Til tross for dette vurderer departementet at det vil være nødvendig å gi tydelig informasjon til alle som skal benytte ferjetilbudet. Det forutsettes at det skal gis nærmere informasjon om at kjennemerker vil bli avlest uavhengig av om det er inngått brukeravtale eller ikke. Videre antas at slik informasjon minst må gis ved hensiktsmessig skilting på stedet.

Når det gjelder ferjespesifikke løsninger som betalingsautomater som kan brukes til betaling før eller etter reise, vurderes disse som uegnet da de i stor grad baserer seg på at de reisende som ønsker dette alternativet må ha spesifikk kunnskap om tilgjengelighet, plassering, funksjonalitet mv. I tillegg må den reisende ha tid til å benytte automaten før reise. Hvis automaten skal brukes etter reise vil dette gå på bekostning av muligheten til å utstede kvittering kort tid etter reise, slik mange reisende har etterspurt. Kostnaden ved utvikling og utplassering av slike automater vil også være svært høy, og uforholdsmessig sett i sammenheng med forventet bruk.

Når det gjelder Datatilsynets innspill om at det må bringes klarhet i ansvarsforholdene før AutoPASS-ordningen kan innføres som en permanent billetteringsløsning på ferje, erkjenner departementet at ansvarsforholdene knyttet til ferjebillettering er sammensatte, herunder også at det er mange aktører involvert i behandlingen av personopplysninger på dette området.

Ansvarsforholdene og behandlingsaktivitetene er imidlertid i stor grad de samme innenfor hele AutoPASS Samvirke. Det vil si at behandlingsaktivitetene og ansvarsforholdene knyttet til håndtering av personopplysninger ved bompasseringer, tilsvarer behandlingsaktivitetene og ansvarsforholdene ved ferjebillettering. Behandlingen av personopplysninger på bompengeområdet følger særlig av veglova § 27 femte ledd. Det vises i denne sammenheng til Prop. 56 LS (2017–2018) pkt. 33.3. Etter departementets vurdering er reguleringen i foreslått § 29 c av samme lovtekniske art som veglova § 27 femte ledd.

Departementet vurderer at det kan være behov for å regulere i forskrift hvilket nærmere ansvar den enkelte aktør har og hvilke behandlingsaktiviteter de ulike aktørene kan eller skal utføre. Departementet er imidlertid ikke enig i at innføring av et permanent hjemmelsgrunnlag for behandling av personopplysninger for billettering på ferje må avventes inntil slik detaljering foreligger i forskrift. Departementet vurderer at det ikke er aktuelt å detaljere de konkrete behandlingsaktivitetene og de nærmere ansvarsforholdene for de ulike aktører i lovs form.

Statens vegvesen er behandlingsansvarlig i forbindelse med all billettering som foretas via AutoPASS-systemet. Behandlingsansvaret for Statens vegvesen er dermed ikke er avgrenset til riksveiferjesamband. Behandlingsansvaret er på tilsvarende måte som for behandlinger av bompasseringer knyttet til Statens vegvesens ansvar for sentrale kjerneløsninger.

Datatilsynet uttaler i sitt høringsinnspill at forslaget til ny § 29 c ikke pålegger Statens vegvesen eller ferjeselskapene noen myndighet eller oppgave og følgelig derfor ikke oppfyller de innholdsmessige kravene til et supplerende rettsgrunnlag for behandlinger som bygger på personvernforordningen artikkel 6 nr. 1 bokstav e, jf. artikkel 6 nr. 3. Departementet er enig med Datatilsynet i at forslaget til § 29 c etter sin ordlyd ikke direkte pålegger Statens vegvesen eller ferjeselskapet konkrete oppgaver knyttet til billettering på ferje. Departementet vurderer det likevel slik at bestemmelsen er egnet til å presisere at disse aktørene skal kunne behandle personopplysninger når de utfører oppgaver innen billettering på ferje. Departementet ser det nærmere bestemt slik at nevnte aktører allerede har oppgaver innen ferjebillettering, se nærmere omtale i pkt. 2.1.2 og 3.2.

Etter departementets vurdering vil forslaget til § 29 c sett i sammenheng med de oppgaver som allerede er gitt, utgjøre et supplerende rettsgrunnlag for behandling av personopplysninger på grunnlag av personvernforordningen artikkel 6 nr. 1 bokstav e. Departementet viser også her til at en tilsvarende regulering for behandling av personopplysninger for bompasseringer følger av veglova § 27 femte ledd.

Som følge av Datatilsynets uttalelse, foreslår departementet likevel at bestemmelsen presiseres slik at det går klart frem at det åpnes for behandling av personopplysninger i tilknytning til oppgaver som allerede følger av lov eller forskrift. Det vises her til nytt forslag til sammenslått § 29 b og 29 c.

Departementet støtter Datatilsynets oppfordring om at personopplysninger som lagres for bokføringsformål skal håndteres separat, og at bokføringsregelverket ikke er et grunnlag for behandling av personopplysninger til andre formål. Departementet er også kjent med denne problemstillingen fra håndtering av personopplysninger i og med AutoPASS på vei, og at Statens vegvesen arbeider med å sikre nettopp dette. Statens vegvesen har nå etablert nye kjerneløsninger, herunder AutoPASS IP og AutoPASS HUB. Disse løsningene skal etter det departementet kjenner til, også gjøre det enklere for Statens vegvesen å sikre at lagringsbegrensningsprinsippet ivaretas, herunder med tanke på skillet mellom lagring for bokføringsformål og billetteringsformål.

Departementet vil i denne forbindelse vise til at Statens vegvesen har gjennomført en DPIA (personvernkonsekvensanalyse) knyttet til behandlingen av personopplysninger ved billettering på ferje. Det vises til personvernforordningens artikkel 35 nr. 3 og nr. 10. Departementet vil fremheve at tilsvarende behandling av personopplysninger foregår allerede i dag, og Statens vegvesen har derfor hatt god mulighet til å foreta en konkret vurdering av informasjonsflyten. Statens vegvesen har avdekket at det for enkelte deler av behandlingen foreligger middels risiko, og Statens vegvesen har gjennom vurderingen funnet frem til tiltak som kan føre til redusert risiko for de registrertes rettigheter og friheter. Statens vegvesen planlegger å gjennomføre de mest sentrale tiltakene innen lovens eventuelle vedtakelse. De mest sentrale tiltakene inkluderer oppdatering av rutiner og oppfølging av blant annet ferjeselskapenes og fylkeskommunenes rutiner for informasjonssikkerhet, oppdatering av databehandleravtaler og gjennomgang av alle involverte aktørers relevante overføringer av personopplysninger til tredjeland.

Videre er det Statens vegvesens konklusjon at gjeldende teknologi og systemer er utformet og driftet på en slik måte at personopplysningssikkerheten ivaretas. I denne sammenheng har Statens vegvesen også sett hen til at det nylig er blitt innført nye og moderne sentrale kjernesystemer for behandling av passeringsopplysninger i AutoPASS Samvirke. Flere av disse systemene er relevante med hensyn til behandlinger av ferjepasseringer. Disse systemene er eksempelvis utformet på en slik måte at opplysninger som må lagres med tanke på bokføringsregelverket skilles fra opplysninger som lagres for andre formål, f.eks. selve innkrevingsformålet. Departementet mener at Statens vegvesen har foretatt en grundig analyse av personkonsekvensene og støtter konklusjonen i nevnte DPIA.

Sammenlignet med forslaget i høringsnotatet har departementet tilføyd en henvisning til yrkestransportloven § 7 slik at det fremgår av forslaget til § 29 b annet ledd at «[…] selskap eller andre juridiske personar som er gjeve løyve for persontransport med fartøy i rute i medhald av lova § 7» etter nærmere vilkår kan behandle personopplysninger. Videre er henvisningen i høringsnotatet til «opplysningar for identifikasjon av køyretøy» tatt ut og erstattet med det mer generelle uttrykket «billettering av køyretøy på ferje». I tillegg er det i forslagets annet ledd annet punktum inntatt en presisering av at begrensingene i § 29 b første ledd annet punktum gjelder tilsvarende. Det vil si at det heller ikke ved oppgaver knyttet til billettering på ferje vil være adgang for private til å behandle personopplysninger etter personvernforordningen artikkel 10.

5.5.4 Vurdering av forslagets tredje ledd

I den foreslåtte bestemmelsens tredje ledd vises det til at departementet skal kunne gi nærmere forskrifter om behandling av personopplysninger innenfor yrkestransportlovens anvendelsesområde. I henhold til bestemmelsen kan departementet blant annet gi forskrifter om formålet med behandlingen, hvilke opplysninger som kan behandles, vilkår for utlevering, krav til sletting og behandling knyttet til forskning og statistiske formål. I tillegg har departementet vurdert at det bør tas inn i oppramsingen at departementet også kan gi forskrifter om hvem som kan behandle opplysninger.

5.6 Andre spørsmål som er tatt opp av høringsinstansene

Fellesforbundet ber i sin uttalelse om at det vurderes om tolkningen i høringsnotatet knyttet til forbrukers rett til kontantfri betaling, kan legges til grunn for annen kollektivtrafikk. Departementet merker seg uttalelsen, men finner ikke grunn til å vurdere det aktuelle spørsmålet i denne proposisjonen.

Fotnoter

1.

Ot.prp. nr. 41 (1998–99) s. 106.

Til forsiden