Introduksjon

Bompengeinnkreving er fullautomatisert, fra registrering i bomstasjon, til fakturering og registrering av innbetaling. Bare i unntakstilfeller skjer manuell behandling i forbindelse med bompengeinnkreving.

Dette dokumentet forklarer hvordan bompengesystemene samler inn og bruker personopplysningene dine.

Behandlingsansvarlig

Bompengeselskapene og Statens vegvesen har såkalt felles behandlingsansvar for personopplysninger i sentrale systemer i bompengesektoren, Se grafisk oversikt over bompengesystemene (PDF). Partene har inngått en avtale om hvordan de nærmere fordeler det felles ansvaret. I all hovedsak gjelder følgende ansvarsfordeling: Bompengeselskapene skal kreve inn bompenger og gi informasjon til de som er registrert i bompengesystemene. Statens vegvesen skal inngå avtaler med leverandører av sentrale bompengesystemer, gi overordnet informasjon om behandling av personopplysninger i systemene og melde eventuelle avvik i de sentrale bompengesystemene til Datatilsynet.

Statens vegvesen og hvert bompengeselskap vil publisere en personvernerklæring med spesifikk informasjon for deres selskap.

Formål

Formålet med å behandle personopplysninger er å kreve inn bompenger slik Stortinget har besluttet, herunder også forvaltning av bompengesystemene.

Rettslig grunnlag

Hjemmelsgrunnlaget er personvernforordningen art. 6 1. e) og nytt femte ledd i veglova § 27.

Så langt bompengeselskapet også utsteder bombrikker, har det for denne del av virksomheten hjemmelsgrunnlag til å behandle personopplysninger i kraft av avtale (AutoPASS avtale) inngått med den enkelte kunde, jf. personvernforordningen art. 6 1. b).

Kategorier av personopplysninger

Følgende 23 kategorier av personopplysninger (opplysning om en identifiserbar fysisk person) behandles i bompengesystemene. For den enkelte person behandles bare de kategoriene vi har opplysninger om og som det er behov for.

  1. Navn (Fornavn, mellomnavn, etternavn)
  2. Adresseopplysninger (gateadresse/postboks, postnummer, poststed)
  3. Kontaktinformasjon (telefon, e-post adresse)
  4. ID-nummer (fødselsnummer / f.dato, D-nummer)
  5. Kundenummer / avtalenummer
  6. Kundens rolle (i organisasjonen)
  7. Arbeidsgiver og -sted
  8. Brikkenummer (PAN)
  9. Kjennemerke / land (kjøretøy)
  10. Kjøretøy beskrivelse (farge, størrelse, modell, miljøparametre etc)
  11. Bilde / film (av kjøretøy)
  12. Passeringstid og -sted
  13. Parkeringstillatelse for forflytningshemmede*
  14. Andre årsaker til rabatt og fritak (en av årsakene i takstvedtak)
  15. Vurderinger og mottatt dokumentasjon i forbindelse med brukers kontakt med bompengeselskapet (fritekstfelt)
  16. Kontoopplysninger
  17. Fakturaopplysninger (passeringsopplysnigner, beløp, forfallsdato, adresseopplysninger,  etc)
  18. Betalingsregler (avtalegiro, papirfaktura, forskudd etc)
  19. Faktura- og betalingshistorikk (bokføringshistorikk)
  20. Årsakskode for å avslutte innkreving uten betaling
  21. Registreringskode (koder fra bomstasjon)
  22. Statuskode (for kunde, kjøretøy og avtale)
  23. Request ID for hvert søk inne på Min Side

Historisk informasjon lagres også i den grad det er nødvendig for bompengeformål i gjeldende systemløsninger.

 *= sensitiv personopplysning

Statens vegvesens nettsider for bompenger www.autopass.no gir informasjon om det norske systemet for bompenger. Sidene har lenke til innlogging på Min Side og lenke til skjema for å opprette AutoPASS-avtale. Nettsidene bruker cookies og fungerer på samme måte som andre nettsider, se informasjon om personvern for bruk av nettsiden www.autopass.no.

Behandling av personopplysningene

Bompengesystemene behandler alle passeringer av bomstasjon med og uten bombrikke. Bompengesystemene brukes til automatisk identifisering av kjøretøy som passerer bomstasjon, fastsettelse av pris, rabatt og betalingsfritak for den enkelte passering og innkreving av bompenger. Bompengesystemene behandler også AutoPASS-avtaler mellom den registrerte og bompengeselskapet.

Hvert bompengeselskap behandler personopplysninger for de som passerer i selskapets bomstasjoner og for de som har AutoPASS-avtale med selskapet. Statens vegvesen behandler personopplysninger for alle bompengeselskap for å teste og sørge for at sentrale bompengesystemer fungerer slik de skal. Statens vegvesen og bompengeselskapene inngår databehandleravtaler med sine respektive underleverandører som behandler personopplysninger i bompengesystemene.

Personopplysninger som er innhentet lagres så lenge de behandlingsansvarlige har behov for dem for å kreve inn bompenger og behandle klager, forvalte IKT-systemet og utarbeide aggregert statistikk for bompenger (statistikk uten personopplysninger). Personopplysninger som er bokføringspliktige lagres i henhold til bokføringsloven § 13. Det vil i løpet av 2018 bli gjennomført ekstraordinær sletting av historiske data som det ikke lenger er behov for.

Hvor personopplysningene hentes fra

De fleste opplysninger som behandles i bompengevirksomheten er personopplysninger som ikke innhentes direkte fra personen som registreres. Dette gjelder opplysninger som registreres når et kjøretøy passerer en bomstasjon. Det genereres også opplysninger når passeringsopplysninger sammenstilles med opplysninger om kjøretøyet, fra motorvognregister, avtaler om AutoPASS- eller utenlandsk bombrikke, og miljøregister for drivstoff og utslippsklasse.

Den som inngår AutoPASS-avtale gir opplysninger om kjøretøy og adresser. Videre gir den registrerte opplysninger når vedkommende eventuelt kontakter bompengeselskapet.

Hvem som mottar personopplysningene

Den som har inngått AutoPASS-avtale kan se bompasseringer som belastes avtalen på Min side eller ved å kontakte bompengeselskapet. Dermed er det i noen tilfeller en annen enn den som passerte bomstasjonen som mottar opplysning om tid og sted for passering. Det gjelder for eksempel hvis bilen er leid eller lånt, tilhører arbeidsgiver eller bilkollektiv, det er en felles AutoPASS-avtale for flere biler i familien, eller tidligere eier ikke avsluttet avtalen sin da bilen ble solgt. Kjøretøyet kan være omfattet av en AutoPASS-avtale selv om bombrikken ikke er montert i frontruten. Du kan spørre et bompengeselskap om det finnes en avtale for kjøretøyet du bruker.

Bompengeselskapene og Statens vegvesen benytter utenlandske leverandører for deler av arbeidet. Innkreving fra utenlandskregistrerte kjøretøy uten bombrikke foretas av Euro Parking Collection (EPC) med base i Storbritannia. EPC behandler personopplysninger i landet der kjøretøyet som kjørte i Norge er registrert. Bompengeselskapene benytter utenlandske leverandører både innenfor og utenfor EØS-området for manuell identifisering av registreringsnummer hvis bildene fra bomstasjonen ikke kan tolkes automatisk.

Lister over gyldige bombrikker koblet med registreringsnummer sendes til selskap for ferjer og broer utenfor Norge der man kan betale med AutoPASS-brikken. Dette gjelder Øresundsbroen, Storebæltsbroen og Scandlines ferjestrekninger Helsingborg-Helsingør, Rødby-Puttgarden og Gedser-Rostock.

Bompasseringer i Norge som skal betales med bombrikke fra utenlandske brikkeutstedere sendes til disse utstederne. Dette gjelder Brobizz AS og Øresundsbro Konsortiet (Danmark).

Lister over gyldige bombrikker koblet med registreringsnummer for kjøretøy i takstgruppe 2 (kjøretøy over 3 500 kg), og bare brikkenummer for takstgruppe 1, sendes daglig til tollvesenet, politiet og kontrollenheten i Statens vegvesen, som kontrollerer påbud om obligatorisk tungbilbrikke.

Personopplysninger utover ovennevnte kan kun utleveres om det foreligger lovhjemmel. Dette gjelder utlevering til politiet per 20. juli 2018.

Automatiserte avgjørelser

Det avgjøres maskinelt hvilken takst som skal belastes for en bompassering. Avgjørelsen tas basert på en liste over gjeldende takster og regler for å fastsette vektklasse og utslippsklasse for biler med og uten AutoPASS-avtale. Takstene er publisert på www.autopass.no og på nettsiden til bompengeselskapene.

Alle bompasseringer fordeles på to vektklasser. Dette er kjøretøy opp til 3 500 kg (takstgruppe 1) og kjøretøy over 3 500 kg (takstgruppe 2). For kjøretøy med avtale er vektklassen registrert i avtalen, mens for kjøretøy uten AutoPASS-avtale innhentes vektklasse fra landets kjøretøyregister. For kjøretøy med avtale er alle kjøretøy i kjøretøykategori M1 registrert i takstgruppe 1 uavhengig av vekt.

I bomstasjoner med miljødifferensierte takster belastes korrekt takst hvis bompengeselskapet kjenner kjøretøyets drivstoff-/utslippsklasse. Informasjonen er kjent for norskregistrerte kjøretøy med og uten AutoPASS-avtale, fordi den innhentes automatisk fra norsk kjøretøyregister. Bompengesystemet har ikke tilsvarende automatisert tilgang til utenlandske bilregistre. Utenlandskregistrerte kjøretøy, med og uten AutoPASS-avtale, kan selv registrere og laste opp dokumentasjon på drivstoff-/utslippsklasse på www.autopass.no/ed. Hvis bompengesystemene ikke har registrert miljøegenskaper belaster systemet høyeste takst for kjøretøyets vektklasse.

Det avgjøres maskinelt hvilken rabatt som skal trekkes fra takst for passering. Det er bare kjøretøy med AutoPASS-avtale som har krav på rabatt. Kriterier for å få rabatt og rabattens størrelse er fastsatt for det enkelte bompengeprosjekt. Systemet vil for eksempel sammenligne hver passering med tidligere passeringer med samme bombrikke for å innvilge 100 % rabatt etter maksimalt antall betalende passeringer per måned (månedstak) og/eller fordi kjøretøyet kun skal belastes en passering i løpet av en time (timesregel).   

Det avgjøres maskinelt om det skal gis betalingsfritak for passeringen. Avgjørelsen tas basert på kjøretøyets AutoPASS-avtale. Den som mener seg berettiget til betalingsfritak kan søke bompengeselskapet om det. Se liste over grupper som kan ha rett til betalingsfritak her og på bompengeselskapenes nettsider.

Webanalyse

Når du besøker AutoPASS-nettsidene (www.autopass.no og minside.autopass.no) bruker vi et verktøy, Google Analytics, for å analysere din bruk av nettstedet. Formålet med dette er å utarbeide statistikk som vi bruker til å forbedre og videreutvikle informasjonstilbudet vårt. Eksempler på hva statistikken gir oss svar på, er hvor mange som besøker ulike sider – og når på døgnet, hvor lenge besøkene varer og hvilke nettlesere som benyttes.

Opplysningene behandles i avidentifisert form. Med dette menes at vi ikke kan spore opplysningene vi samler inn tilbake til den enkelte bruker. Vi ser hele IP-adressen, men vi avidentifiserer den ved hjelp av anonymizeIP, en funksjon som fjerner de siste sifrene fra din IP-adresse før informasjonen lagres av Google Analytics. Dette gjør at analyseverktøyet kan anslå brukerens geografiske plassering, men IP-adressen kan ikke benyttes for å identifisere den enkelte. Mottatte opplysninger er underlagt Google sine retningslinjer for personvern, se https://www.google.com/intl/no/policies/privacy/.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å sikre kvaliteten på våre tjenester.

Informasjonskapsler (cookies)

Informasjonskapsler er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside. Vi bruker informasjonskapsler på AutoPASS-nettsidene for at ulike tjenester skal fungere, og for å gi en best mulig brukeropplevelse.

Det finnes to typer informasjonskapsler. Den ene typen er «informasjonskapsler for sesjon (session cookies). Dette er informasjonskapsler som slettes når du går ut av våre nettsider, eller lukker nettleseren. Den andre typen er «vedvarende informasjonskapsler» (persistent cookies) som lagres på datamaskinen din over lengre tid.

Informasjonskapsler for sesjon/Session cookies

På AutoPASS-nettsidene benyttes informasjonskapsler for sesjon i forbindelse med Google Analytics. Omfanget og formålet med disse er forklart ovenfor, i avsnittet «Webanalyse».

I tillegg, dersom du benytter deg av AutoPASS Min Side, behandles informasjonskapsler om deg for å håndtere innloggingsøkter. Informasjonskapsler brukes også for lastbalansering av systemet slik at alle blir sikret en best mulig brukeropplevelse.

Vedvarende informasjonskapsler/Persistent cookies

På AutoPASS-nettsidene bruker vi vedvarende informasjonskapsler for å telle antall unike brukere. Dette forteller oss om vi har et lite antall faste besøkende, eller et stort antall sjeldne besøkende. Det benyttes også en informasjonskapsel som lagrer hvilket språk brukeren har valgt. Dette gjøres for at du skal slippe å gjøre dette valget ved hvert besøk på nettsiden.

Behandlingsgrunnlaget for dette er personvernforordningen artikkel 6 nr. 1 f), som tillater oss å behandle opplysninger som er nødvendig for å ivareta en berettiget interesse som veier tyngre enn hensynet til den enkeltes personvern. Den berettigede interessen er å få tjenester på nettsiden til å fungere.

Les mer om hvordan du administrerer informasjonskapsler (nettvett.no)

Min Side/ID-porten

Brukere som benytter seg av AutoPASS og Statens vegvesens tjeneste Min Side, vil normalt logge inn ved hjelp av ID-porten. Dette er en felles nasjonal påloggingsløsning for offentlige tjenester.

Direktoratet for forvaltning og IKT (Difi) er behandlingsansvarlig for personopplysninger som behandles i ID-porten. Difi er også behandlingsansvarlig for opplysninger som benyttes for å administrere MinID.

Leverandørene av de elektroniske ID-ene (BankID, Buypass og Commfides) er behandlingsansvarlige for personopplysninger som er nødvendig for å administrere sine innloggingsløsninger.

Mer informasjon om ID-porten finner du her: http://eid.difi.no/nb/sikkerhet-og-personvern 

Mer informasjon om Min Side finner du her: http://www.autopass.no/veiledning-min-side