Prop. 29 L (2020–2021)

Endringer i midlertidig lov om billettering på ferje som følge av utbrudd av covid-19

Til innholdsfortegnelse

4 Tekniske endringer i lovens bestemmelser om behandling av personopplysninger

4.1 Gjeldende rett

Den midlertidige loven §§ 5, 6 og 7 regulerer behandling av personopplysninger. For trafikanter som ikke har avtale som kan benyttes som grunnlag for elektronisk billettering og fakturering av ferjereiser, gir bestemmelsene i §§ 5 og 6 de nødvendige hjemlene for behandling av personopplysninger i tilknytning til oppgavene med å gjennomføre billettering, etterfølgende fakturering og lagring mv. I § 5 angis hvilke personopplysninger som kan behandles for reisende uten avtale. Dette er opplysninger om kjøretøyets kjennemerke, reist strekning, reisetidspunkt og takstgruppe kjøretøyet tilhører.

Loven gir ikke hjemmel til å behandle særlige kategorier av personopplysninger, jf. bestemmelsen i § 5 andre ledd og henvisningen til personvernforordningen artikkel 9 nr. 1. Personopplysninger skal lagres i henhold til de til enhver tid gjeldende bestemmelser etter norsk lov, jf. bl.a. bokføringsloven med forskrifter. Opplysningene skal ikke lagres lenger enn nødvendig, jf. § 5 tredje ledd.

Loven angir i § 6 hvilke myndigheter og aktører som vil utføre nødvendig behandling av personopplysninger, herunder løyvemyndigheten og selskaper/aktører som etter avtale med denne utfører oppgaver/tjenester innen ferjeområdet som er nødvendige for å gjennomføre billettering på ferjene. Bestemmelsen må leses i sammenheng med bestemmelsene i § 2 om billettering, oppgjør og fakturering.

I § 7 gis det en bestemmelse om utlevering av personopplysninger. Personopplysninger kan bare utleveres til den registrerte selv, til offentlig myndighet med hjemmel til å kreve slike opplysninger og til selskap eller juridisk person som utfører tjenester på ferjeområdet når det er nødvendig for å gjennomføre billetteringen.

4.2 Forslaget i høringsbrevet

I høringsbrevet ble det ikke lagt opp til ytterligere endringer i den midlertidige loven, utover forslaget til endring i § 8 om ny opphevelsesdato. Departementet orienterte i høringsbrevet om at arbeid med å utrede permanente endringer i yrkestransportlova på dette området pågår. Som en del av dette arbeidet blir det bl.a. vurdert hvilken teknisk utforming bestemmelser om behandling av personopplysninger bør ha i yrkestransportlova på dette området.

4.3 Høringsinstansenes syn

Datatilsynet har merknader om temaer/spørsmål knyttet til personvern i den midlertidige loven. Datatilsynet ser utfordringer ved den midlertidige loven og ber departementet om å vurdere endringer før en videreføring. Datatilsynets viser til at personvernforordningen artikkel 6 nr. 1 bokstav c) og e) krever et supplerende rettsgrunnlag. Etter Datatilsynets vurdering bør departementet vurdere om den midlertidige loven utgjør et slikt supplerende rettsgrunnlag og hvilket grunnlag etter artikkel 6 man mener behandlingen kan baseres på. Etter Datatilsynets vurdering er det også uklart hvem som er den behandlingsansvarlige iht. den midlertidige loven § 7. Etter Datatilsynets vurdering er det i bestemmelsen ikke tydelig hva som ligger i ansvaret.

Datatilsynet viser i uttalelsen videre til at åpenhetsprinsippet er et grunnleggende prinsipp ved behandling av personopplysninger, herunder plikten for den behandlingsansvarlige til å gi informasjon om behandlingen. Datatilsynet bemerker at det bør være tydelig merket for bilistene at bilkjennemerker blir registrert og utlevert for fakturering. Dessuten mener Datatilsynet det er en svakhet ved den midlertidige loven at den ikke nevner eller regulerer informasjonsplikten som følger av personvernforordningen.

Datatilsynet viser videre til prinsippene om riktighet, integritet og konfidensialitet og fremhever at de registrerte må få mulighet til å etterprøve riktigheten av opplysningene som blir registrert i forbindelse med fakturering. Datatilsynet presiserer i sin uttalelse at personopplysninger bare kan lagres så lenge det er nødvendig ut fra formålet med behandlingen og skal slettes når forholdene etter personvernforordningen art. 17 nr. 1 bokstav a til f gjør seg gjeldende.

4.4 Departementets vurdering

Etter departementets vurdering gjelder Datatilsynets merknader i høringen utforming av bestemmelser om behandling av personopplysninger i den midlertidige loven og andre forhold innenfor personvernområdet.

Når det gjelder spørsmålet som er tatt opp av Datatilsynet om supplerende rettsgrunnlag, viser departementet til uttalelser i Prop. 114 L (2019–2020) kapittel 2.3 med hensyn til lovens formål og behovet for et særskilt hjemmelsgrunnlag for behandling av personopplysninger i tilknytning til oppgaven med billettering på ferjene. Den midlertidige loven gir i henhold til dette et særskilt eller såkalt supplerende rettsgrunnlag til å behandle personopplysninger, jf. personopplysningsloven § 2, jf. personvernforordningen artikkel 6.

Som Datatilsynet fremholder i sin uttalelse, inneholder ikke loven noen tydelig referanse til hvilket behandlingsgrunnlag i personvernforordningen som er ment benyttet i §§ 5 og 6. Departementet viser her til Prop. 56 LS (2017–2018) kapittel 6.3.2, der det fremgår hva et supplerende rettsgrunnlag etter Justis- og beredskapsdepartementets vurdering må inneholde. Etter departementets vurdering gir den midlertidige loven et supplerende rettsgrunnlag til oppgavene som det er gitt rammer for iht. yrkestransportlova §§ 7 og 8 og forskrifter til loven som regulerer ferjetransport. Oppgavene Statens vegvesen og fylkeskommunene utfører på dette området er etter departementets vurdering en offentlig tjeneste, jf. personvernforordningen artikkel 6 nr. 1 bokstav e (oppgave i allmennhetens interesse). Dette gjelder også når ferjerederienes mannskap og andre aktører utfører oppgaver for forvaltningsorganene på dette området i henhold til kontrakt eller løyve. Dette er i tråd med gjeldende vurderinger innenfor AutoPASS-løsningen.

I henhold til ordlyden i personvernforordningen artikkel 6 nr. 3 og merknader gitt i forarbeidene til personopplysningsloven, er det tilstrekkelig at et supplerende rettsgrunnlag gir «grunnlag for å utøve myndighet eller å utføre en oppgave i allmennhetens interesse, og at det er nødvendig for den behandlingsansvarlige å behandle personopplysninger for å utøve myndigheten eller utføre oppgaven som følger av det supplerende rettsgrunnlaget», jf. Prop. 56 LS (2017–2018) kapittel 6.3.2. Etter departementets vurdering er det i henhold til dette ikke et krav at det er angitt eksplisitt i det supplerende behandlingsgrunnlaget (loven) hvilket supplerende rettsgrunnlag iht. personvernforordningen som gis.

Det er imidlertid et viktig hensyn innenfor personvernområdet at rettsgrunnlag skal være så klart som mulig, og at anvendelsen av rettsgrunnlaget bør være forutsigbart, både for de ulike myndighetene og aktørene som skal behandle opplysninger og for personer som omfattes av slik behandling. Departementet har derfor kommet til at det bør foreslås tekniske endringer i den midlertidige loven §§ 5 og 6, samtidig med at loven foreslås forlenget. Dette bør etter departementets vurdering gjøres ved at det klargjøres hvilket rettslig grunnlag som gjelder de ulike aktørene som er regulert i de to bestemmelsene. Ved gjennomgang av bestemmelsene i denne sammenhengen vurderer departementet også at det med fordel kan formuleres klarere i lovteksten at § 5 også skal dekke Statens vegvesens behandling når Statens vegvesens behandlingsformål er drift/vedlikehold av sentral infrastruktur. Tilsvarende gjelder for fylkeskommunen, selv om det antas at fylkeskommunene til dels vil ha behov for behandling både i forbindelse med selve billetteringen og dels i forbindelse med behandling i lokale systemer for å muliggjøre billettering. Disse forholdene foreslås klargjort i ny utforming av §§ 5 og 6. For å oppnå mest mulig helhetlig regulering foreslår departementet også at noen flere elementer som benyttes til å registrere/behandle informasjon i praksis tas inn i lovteksten i § 5. Dette er «brikkenummer», «bilde av kjøretøy» og «registrert eier i Motorvognregisteret». For at de to lovbestemmelsene også skal ha en best mulig lovteknisk utforming, foreslår departementet at begge de to bestemmelsene gis en ny oppbygning. Som en del av dette foreslås det at bestemmelsen som regulerer avtalefestet behandling tas ut, og som en del av ny oppbygning i § 6, foreslås det også at nødvendighetskriteriet tas inn i bestemmelsens første, andre og tredje ledd.

Endringene som foreslås i §§ 5 og 6 er dels for å klargjøre at §§ 5 og 6 i loven er supplerende behandlingsgrunnlag iht. personvernforordningen artikkel 6 nr. 3, jf. uttalelsen fra Datatilsynet i høringen. Dels er også endringene lovtekniske forbedringer som klargjør rettsgrunnlaget mht. hvilken informasjon som behandles og hva opplysningene skal benyttes til. Samlet er endringene av en type som etter departementets vurdering ikke krever en ny offentlig høring.

Datatilsynet har merknader om at det i den midlertidige loven er en uklarhet knyttet til behandlingsansvaret, herunder hvilke krav til behandlingen som gjelder. Departementet viser her til at den midlertidige loven er en særlov som gir mulighet for alternativ ferjebillettering under situasjonen med utbrudd og spredning av covid-19. Departementet legger til grunn at endringene som foreslås i endringsloven vil gi en klarere lovtekst med hensyn til i hvilken sammenheng de ulike aktørene innenfor ferjeområdet behandler personopplysninger, jf. omtalen i de foregående avsnittene. Departementet bemerker videre at loven gir grunnlag for behandling av personopplysninger for reisende som ikke har opprettet avtale. Loven regulerer ikke hvordan personopplysninger skal behandles, den behandlingsansvarliges plikt til å gi informasjon, og andre spørsmål knyttet til behandlingen. Dette er spørsmål/temaer som er regulert av personvernforordningen som iht. personopplysningsloven gjelder som norsk lov, jf. personopplysningsloven § 2. Det ville vært en svært omfattende oppgave å foreslå en regulering av alle spørsmål knyttet til behandling av personopplysninger i den midlertidige loven. I samsvar med norsk tradisjon for lovgivning og lovteknikk er de ulike myndighetene/aktørene og berørte i stedet henvist til det generelle regelverket som gjelder på dette området, dvs. bestemmelsene som er gitt i personvernforordningen.

Når det gjelder uttalelsene knyttet til åpenhetsprinsippet, viser departementet til omtalen i Prop. 114 L (2019–2020) kapittel 4.1.2. om arbeidet med å få på plass systemer for at trafikantene skal få informasjon om registrering og behandling av personopplysninger på reisen. Arbeid med å få på plass permanent skilting ble iverksatt samtidig med at den opprinnelige forskriften ble fastsatt i april 2020, men dette er arbeid som i en periode ble forsinket i Statens vegvesen pga. koronasituasjonen. Som et foreløpig tiltak ble det tatt i bruk midlertidige informasjonstiltak.

Arbeidet med å få på plass permanente skilt har ikke gått så raskt som man kunne ønske. Men ifølge Statens vegvesen er det nå i ferd med å bli satt opp skilt som vil informere trafikantene om at det vil skje en registrering av opplysninger i forbindelse med reise på ferjesamband, samt henvisning til nettstedet www.autopassferje.no. Det utarbeides nå en mal for skilting på ferjekaier, der man ser hen til malen for skilting av bomstasjoner. Trafikantene har også mulighet til å melde seg på et nyhetsbrev som også brukes til å informere om ulike andre forhold. De som har inngått avtale om rabatt, får tilgang til et eget nyhetsbrev på epost. Rutiner for informasjon er tilgjengelig for trafikantene om bord på ferjene og på ferjekai. Ut over dette vil også ferjeselskapenes internettsider utvikles videre. Trafikanter med AutoPASS-avtale, men som ikke har ferjeavtale om rabatt, vil finne opplysninger om sine passeringer på brikkeutstederens kundeløsning.

Trafikkskilt som settes opp på steder der kjøretøy passerer i fart, skal følge bestemmelsene i vegtrafikkloven og forskrift om offentlige trafikkskilt, veioppmerking, trafikklyssignaler og anvisninger (skiltforskriften), jf. også omtalen i Prop. 114 L (2019–2020) kapittel 4.1.2. I tillegg til informasjon på trafikkskilt er det også gitt informasjon i andre ulike kanaler i forbindelse med ordningen. Personvernforordningen kapittel III Avsnitt 2 gir bestemmelser om informasjon som skal gis til den registrerte. Departementet har på denne bakgrunn ikke vurdert det som mulig eller hensiktsmessig å gi ytterligere bestemmelser om informasjon i den midlertidige loven. Merknadene fra Datatilsynet om regulering av informasjon vil bli vurdert i arbeidet med å foreslå permanente endringer i yrkestransportlova.

Når det gjelder Datatilsynets merknader i tilknytning til prinsippene om riktighet, konfidensialitet og etterprøvbarhet, opplyser Statens vegvesen at trafikantene kan finne informasjon om sine reiser, kjøretøy, kontaktinformasjon og lignende på internettstedet www.autopassferje.no. Her kan trafikantene finne informasjon om registrering, lagring og sletting, hvor trafikantene kan henvende seg vedrørende opplysningene som behandles og formålet med dette. Ved henvendelse til kundesenter for AutoPASS for ferje-ordningen kan trafikanten få utlevert bilder som dokumenterer reiser, rette behov eller spørsmål om sletting av informasjon, mv. Statens vegvesen opplyser at alle ledd i ordningen er underlagt strenge krav til sikkerhet gjennom kontraktene som regulerer de ulike deler av driften av ferjestrekningene, jf. kravene til personopplysningssikkerhet i personvernforordningen kapittel IV Avsnitt 2.

Datatilsynet har i sin uttalelse presisert at personopplysninger bare kan lagres så lenge det er nødvendig ut fra formålet med behandlingen og skal slettes når forholdene etter personvernforordningen art. 17 nr. 1 bokstav a til f gjør seg gjeldende. Departementet viser her til den midlertidige loven § 5, som etter departementets vurdering har en regulering i tråd med dette. På dette området må også kravene til lagring iht. bokføringsloven følges. Statens vegvesen opplyser at det er et grunnleggende prinsipp for AutoPASS for ferje at informasjon ikke lagres lenger enn nødvendig, og at det foreligger innebygde systemer for sletting i tråd med kravene i personvernforordningen og bokføringsloven.