Introduksjon

Lov om behandling av personopplysninger (personopplysningsloven) gjelder ved helt eller delvis automatisert behandling av personopplysninger. Bompengeinnkreving er fullautomatisert, fra registrering i bomstasjon, til fakturering og registrering av innbetaling, og er derfor omfattet av personopplysningsloven. Bare i unntakstilfeller skjer manuell behandling i forbindelse med bompengeinnkreving.

Dette dokumentet forklarer hvordan bompengesystemene samler inn og bruker personopplysningene dine. Innholdet følger av personopplysningsloven § 1 og personvernforordningen artikkel 13 og 14.

Behandlingsansvarlig

Bompengeselskapene og Statens vegvesen har felles behandlingsansvar for personopplysninger i sentrale systemer i bompengesektoren, Se grafisk oversikt over bompengesystemene (PDF). Partene inngår sommeren 2018 en avtale om hvordan de fordeler det felles ansvaret. Bompengeselskapene skal kreve inn bompenger og gi informasjon til de som er registrert i bompengesystemene. Statens vegvesen skal inngå avtaler med leverandører av sentrale bompengesystemer, gi overordnet informasjon om behandling av personopplysninger i systemene og melde eventuelle avvik i de sentrale bompengesystemene til Datatilsynet.

Statens vegvesen og hvert bompengeselskap vil publisere en personvernerklæring med spesifikk informasjon for deres selskap.

Formål

Formålet med å behandle personopplysninger er å kreve inn bompenger slik Stortinget har besluttet.

Rettslig grunnlag

Hjemmelsgrunnlaget er personvernloven § 1 og personvernforordningen art. 6 1. e) og nytt ledd i veglova § 27 (5). Dette hjemmelsgrunnlaget gjelder både Statens vegvesen (femte ledd annet punktum) og bompengeselskapet (femte ledd første punktum).

Så langt bompengeselskapet også utsteder bombrikker, har det for denne del av virksomheten hjemmelsgrunnlag til å behandle personopplysninger i kraft av avtale (AutoPASS avtale) inngått med den enkelte kunde, jf personvernloven § 1 og personvernforordningen art. 6 1. b).

Kategorier av personopplysninger

Følgende 24 kategorier av personopplysninger (opplysning om en identifiserbar fysisk person) behandles i bompengesystemene. For den enkelte person behandles bare de kategoriene vi har opplysninger om og som det er behov for.

  1. Navn (fornavn, mellomnavn, etternavn)
  2. Adresse
  3. Postnummer
  4. Poststed
  5. Fødselsnummer / fødselsdato
  6. Telefonnummer
  7. e-postadresse
  8. Kjennemerke / land (kjøretøy)
  9. Bilde / film
  10. Kjøretøy beskrivelse (farge, størrelse, modell, miljøparametre etc)
  11. Passeringstid og –sted
  12. Parkeringstillatelse for forflytningshemmede*
  13. Andre årsaker til rabatt og fritak
  14. Rolle (i organisasjonen)
  15. Vurderinger i forbindelse med brukers kontakt med bompengeselskapet (fritekstfelt)
  16. Arbeidsgiver og –sted
  17. Kontoopplysninger
  18. Årsakskode for å avslutte innkreving uten betaling
  19. Fakturaopplysninger (passeringer, beløp, forfallsdato etc)
  20. Betalingsregler (avtalegiro, papirfaktura, forskudd etc)
  21. Faktura- og betalingshistorikk (bokføringshistorikk)
  22. Brikkenummer (PAN)
  23. Kundenummer / avtalenummer
  24. Request ID for hvert søk inne på Min Side

 *= sensitiv personopplysning

Statens vegvesens nettsider for bompenger www.autopass.no gir informasjon om det norske systemet for bompenger. Sidene har lenke til innlogging på Min Side og lenke til skjema for å opprette AutoPASS-avtale. Nettsidene bruker cookies og fungerer på samme måte som andre nettsider, se informasjon om personvern for bruk av nettsiden www.autopass.no.

Behandling av personopplysningene

Bompengesystemene behandler alle passeringer av bomstasjon med og uten bombrikke. Bompengesystemene brukes til automatisk identifisering av kjøretøy som passerer bomstasjon, fastsettelse av pris, rabatt og betalingsfritak for den enkelte passering og innkreving av bompenger. Bompengesystemene behandler også AutoPASS-avtaler mellom den registrerte og bompengeselskapet.

Hvert bompengeselskap behandler personopplysninger for de som kjører i selskapets bomstasjoner og for de som har AutoPASS-avtale med selskapet. Statens vegvesen behandler personopplysninger for alle bompengeselskap når det er nødvendig for å teste og forvalte sentrale bompengesystemer. Statens vegvesen og bompengeselskapene inngår databehandleravtaler med de av sine leverandører som behandler personopplysninger i bompengesystemene.

Personopplysninger som er innhentet lagres så lenge de behandlingsansvarlige har behov for dem for å kreve inn bompenger og behandle klager, forvalte IKT-systemet og utarbeide aggregert statistikk for bompenger (statistikk uten personopplysninger). Personopplysninger som er bokføringspliktige lagres i henhold til bokføringsloven § 13. Det vil i løpet av 2018 bli gjennomført ekstraordinær sletting av historiske data som det ikke lenger er behov for.

Hvor personopplysningene hentes fra

De fleste opplysninger som behandles i bompengevirksomheten er personopplysninger som ikke innhentes direkte fra personen som registreres. Dette gjelder opplysninger som registreres når et kjøretøy passerer en bomstasjon. Det genereres også opplysninger når passeringsopplysninger sammenstilles med opplysninger om kjøretøyet, fra motorvognregister, avtaler om AutoPASS- eller utenlandsk bombrikke, og miljøregister for drivstoff og utslippsklasse.

Den som inngår AutoPASS-avtale gir opplysninger om kjøretøy og adresser. Videre gir den registrerte opplysninger når vedkommende eventuelt kontakter bompengeselskapet.

Hvem som mottar personopplysningene

Den som har inngått AutoPASS-avtale kan se bompasseringer som belastes avtalen. Det er nødvendig for å kunne kontrollere faktura. Dermed er det i noen tilfeller en annen enn den som passerte bomstasjon som mottar opplysning om tid og sted for passering. Det gjelder for eksempel hvis bilen er leid eller lånt, tilhører arbeidsgiver eller bilkollektiv, det er en felles AutoPASS-avtale for flere biler i familien, eller tidligere eier ikke avsluttet avtalen sin da han solgte bilen. Kjøretøyet kan være omfattet av en AutoPASS-avtale selv om bombrikken ikke er montert i frontruten. Du kan spørre et bompengeselskap om det finnes en avtale for kjøretøyet du bruker.

Bompengeselskapene og Statens vegvesen benytter utenlandske leverandører for deler av arbeidet. Innkreving fra utenlandskregistrerte kjøretøy uten bombrikke foretas av Euro Parking Collection (EPC) med base i Storbritannia. EPC behandler personopplysninger i landet der kjøretøyet som kjørte i Norge er registrert. Bompengeselskapene benytter utenlandske leverandører både innenfor og utenfor EØS-området for manuell identifisering av registreringsnummer hvis bildene fra bomstasjonen ikke kan tolkes automatisk.

Lister over gyldige bombrikker koblet med registreringsnummer sendes til selskap for ferjer og broer utenfor Norge der man kan betale med AutoPASS-brikken. Dette gjelder Øresundsbroen, Storebæltsbroen og Scandlines ferjestrekninger Helsingborg-Helsingør, Rødby-Puttgarden og Gedser-Rostock.

Bompasseringer i Norge som skal betales med bombrikke fra utenlandske brikkeutstedere sendes til disse utstederne. Dette gjelder Brobizz AS og Øresundsbro Konsortiet (Danmark).

Lister over gyldige bombrikker koblet med registreringsnummer for kjøretøy i takstgruppe 2 (kjøretøy over 3 500 kg), og bare brikkenummer for takstgruppe 1, sendes daglig til tollvesenet, politiet og kontrollenheten i Statens vegvesen, som kontrollerer påbud om obligatorisk tungbilbrikke.

Personopplysninger utover ovennevnte kan kun utleveres om det foreligger lovhjemmel. Dette gjelder utlevering til politiet per 20. juli 2018.

Automatiserte avgjørelser

Det avgjøres maskinelt hvilken takst som skal belastes for en bompassering. Avgjørelsen tas basert på en liste over gjeldende takster og regler for å fastsette vektklasse og utslippsklasse for biler med og uten AutoPASS-avtale. Takstene er publisert på www.autopass.no og på nettsiden til bompengeselskapene.

Alle bompasseringer fordeles på to vektklasser. Dette er kjøretøy opp til 3 500 kg (takstgruppe 1) og kjøretøy over 3 500 kg (takstgruppe 2). For kjøretøy med avtale er vektklassen registrert i avtalen, mens for kjøretøy uten AutoPASS-avtale innhentes vektklasse fra landets kjøretøyregister. For kjøretøy med avtale er alle kjøretøy i kjøretøykategori M1 registrert i takstgruppe 1 uavhengig av vekt.

I bomringer med miljødifferensierte takster belastes korrekt takst hvis bompengeselskapet kjenner kjøretøyets drivstoff-/utslippsklasse. Informasjonen er kjent for norskregistrerte kjøretøy med og uten AutoPASS-avtale, fordi den innhentes automatisk fra norsk kjøretøyregister. Bompengesystemet har ikke tilsvarende automatisert tilgang til utenlandske bilregistre. Utenlandskregistrerte kjøretøy, med og uten AutoPASS-avtale, kan selv registrere og laste opp dokumentasjon på drivstoff-/utslippsklasse på www.autopass.no/ed. Hvis bompengesystemene ikke har registrert miljøegenskaper belaster systemet høyeste takst for kjøretøyets vektklasse.

Det avgjøres maskinelt hvilken rabatt som skal trekkes fra takst for passering. Det er bare kjøretøy med AutoPASS-avtale som har krav på rabatt. Kriterier for å få rabatt og rabattens størrelse er fastsatt for det enkelte bompengeprosjekt. Systemet vil for eksempel sammenligne hver passering med tidligere passeringer med samme bombrikke for å innvilge 100 % rabatt etter maksimalt antall betalende passeringer per måned (månedstak) og/eller fordi kjøretøyet kun skal belastes en passering i løpet av en time (timesregel).   

Det avgjøres maskinelt om det skal gis betalingsfritak for passeringen. Avgjørelsen tas basert på kjøretøyets AutoPASS-avtale. Den som mener seg berettiget til betalingsfritak kan søke bompengeselskapet om det. Se liste over grupper som kan ha rett til betalingsfritak her og på bompengeselskapenes nettsider.

I utgangspunktet er du anonym ved besøk på våre nettsider. Ved besøk registreres kun din datamaskins domenenavn (IP-adresse), ikke din e-postadresse.

Informasjonen brukes til statistisk måling og analyse for å forbedre nettstedet. Utover IP-adresser, samles det ikke inn informasjon som inneholder identifiserbare personlige opplysninger. Det er eksempelvis opplysninger om hvilken nettleser og -versjon du bruker, og din internettadresse (IP-adresse). Til denne målingen brukes et script og informasjonskapsel (cookie) fra analyseverktøyet Google Analytics.

For hver side som vises, lagres følgende opplysninger:

  • hvilken side du ser på
  • dato og tid
  • hvilken nettleser du bruker
  • din IP-adresse

Statens vegvesen har valgt å legge inn et script som fjerner de siste sifrene fra din IP-adresse før informasjonen lagres av Google Analytics. Dette gjør at analyseverktøyet kan anslå brukerens geografiske plassering, men adressen kan ikke benyttes for å identifisere den enkelte. Mottatte opplysninger er underlagt Google sine retningslinjer for personvern.

Informasjonskapsler/cookies

Informasjonskapsler (cookies) er små tekstfiler som plasseres på din datamaskin når du laster ned en nettside, slik som autopass.no.

Det finnes to typer cookies. Den ene typen er «persistent cookies» som lagres på den besøkendes PC over lengre tid. Den andre typen er «session cookies», dette er en cookie som slettes når du går ut av våre nettsider, eller lukker nettleseren.

Følgende cookies brukes på autopass.no

Persistent cookies

Vi bruker en informasjonskapsel for å telle antall unike brukere på autopass.no. Dette forteller oss om autopass.no har et lite antall faste besøkende, eller et stort antall sjeldne besøkende.

Når du fyller ut et skjema for å sende oss informasjon, legges det igjen en FormCookie på datamaskinen din. Slike skjema brukes på sider der du kan gi oss tilbakemelding om «Fant du det du lette etter?». Denne cookien settes på din datamaskin for at vi skal kunne styre om du kan sende meldingen en eller flere ganger.

Session cookies

Cookies ved bruk av kontaktskjema: Hvis du sender oss melding om behandling av personopplysninger ved å bruke elektronisk kontaktskjema, legges det igjen en cookie på datamaskinen din. Dette er nødvendig for at skjemaet skal fungere.

ID-porten

ID-porten bruker informasjonskapsler for å håndtere innloggingsøkt, og for lastbalansering av systemet slik at alle brukere blir sikret en best mulig opplevelse. Disse informasjonskapslene blir slettet automatisk når du lukker nettleseren din.

Direktoratet for forvaltning og IKT (Difi) er behandlingsansvarlig for personopplysninger som behandles i felles innlogging til offentlige tjenester. Difi er også behandlingsansvarlig for opplysninger som benyttes for å administrere MinID.

Leverandørene av de elektroniske ID-ene (BankID, Buypass og Commfides) er behandlingsansvarlige for personopplysninger som er nødvendig for å administrere sine innloggingsløsninger.

Mer informasjon om ID-porten finner du her: http://eid.difi.no/nb/sikkerhet-og-personvern

Google Analytics

Google Analytics bruker cookies for å analysere hvordan brukere benytter nettstedet. Informasjonen som genereres av en slik cookie ved bruk av det aktuelle nettstedet, inkludert din IP-adresse, sendes til Google og lagres på servere i USA.

Min side bruker anonymizeIP, en funksjon som fjerner de siste sifrene fra din IP-adresse før informasjonen lagres av Google Analytics. Dette gjør at analyseverktøyet kan anslå brukerens geografiske plassering, men adressen kan ikke benyttes for å identifisere den enkelte. Mottatte opplysninger er underlagt Google sine retningslinjer for personvern, https://www.google.com/intl/no/policies/privacy/.