Datatilsynet har mottatt flere klager fra personer som uoppfordret har fått tilsendt et reisekort med navn og fødselsdata i posten. Reisekortet er en fjernavlesbar elektronisk billett i kredittkortstørrelse. Med kortet følger et tilbud om opprettelse av en reisekonto, hvor innehaveren overfører et nærmere bestemt pengebeløp til kortets ”konto” i forkant av reisen. Kortet kan ”lades” i automater og via Internett. Slike systemer finnes blant annet i Oppland, Hedmark, Rogaland og Troms, og det er under oppbygging i flere andre fylker, som Hordaland, Oslo og Akershus. I flere av disse fylkene er det sendt ut til samtlige innbyggere over 16 år.
De uttalte grunnene for de nye billettsystemene er effektive salgsprosesser og enkel administrasjon. Men overgangen fra papirbilletter til elektroniske kort gjør det også mulig å detaljregistrere hver enkelt reise, hvem som reiser og til hvilket tidspunkt. Elektroniske spor blir registrert i stor skala, og reiseatferd til hver og en av oss kan kartlegges. Hvilke behov samfunnet har for slik registrering er ikke innlysende for Datatilsynet.
Datatilsynets krav til elektronisk billettering:
- Det må finnes en mulighet for å kunne reise anonymt – uten at reisemønsteret blir lagret, verken i sentral database eller i kortet. Dette kan løses for eksempel med forhåndsbetalte periodebilletter.
- Det anonyme alternativet skal være enkelt tilgjengelig.
- Transportøren må kunne la passasjeren være anonym ved analyserer av reisemønstre. Anonymiteten må også bli ivaretatt når transportøren skal dele betalingen for reisen med andre transportører.
- Dersom kunden ønsker detaljert logging av eget reisemønster, må kunden selv aktivt be om dette.
- Det må finnes tilfredsstillende informasjonssikkerhet ved bruk av fjernavlesbare kort.
- Datatilsynet krever tilstrekkelig informasjonssikkerhet for kundenes egne påloggingssider på Internett. Dette innebærer blant annet sikre databaser, god tilgangskontroll og sikret kommunikasjon.
Krav om sletting av reisemønster
Virksomhetene har gitt uttrykk for et ønske om å lagre alle kundedata og transaksjonsdata i en database. Enkelte aktører ønsker også at hver enkelt skal ha detaljert oversikt over gjennomførte reiser via en personlig side på Internett (”min side”) for kontroll og eventuell reklamasjon. Det har blitt hevdet at kundene forventer lagring, og at dette også er et krav etter bokføringsloven. Datatilsynet mener dette er feil. Tilsynet kan vanskelig se at det ved overgang fra manuell betaling til bruk av elektronisk kort følger et krav om at enhver reisedetalj skal oppbevares. Prinsipielt er det ingen forskjell mellom et ordinært klippekort og elektroniske billetter.
Personvernregelverket
Det er et grunnleggende personvernprinsipp at det ikke skal registreres andre personopplysninger enn det som er nødvendig, og at opplysningene heller ikke skal lagres lenger enn det som er nødvendig.
Datatilsynet har vanskeligheter med å se at kundenes – og myndighetenes – behov for å lagre enhver reiseopplysning har blitt vesentlig større i det man går over til elektronisk billettering.
Ved periodekort som dagskort eller månedskort, der det ikke er begrensning i antall reiser, vil det ikke være grunnlag for å lagre reisemønster knyttet til person.
For elektroniske klippekort og enkeltreiser mener Datatilsynet at det ikke finnes hjemmel eller formål som tilsier lagring av reisemønster i lenger tid enn det som er nødvendig for at kunden skal kunne klage i tilfelle feilregistrering.
Eventuelt kan den reisende selv aktivt samtykke til lengre lagringstid.
Stortingets kommunal- og forvaltningskomité uttalte følgende under behandlingen av Datatilsynets årsmelding for 2005:
”Komiteen registrerer at økt adgang til personidentifisering er et viktig trekk ved utviklingen og at en vesentlig drivkraft bak dette er muligheten for å ta betalt for tjenester og kravet til å identifisere betaleren. Komiteen viser til at identitetstyveri synes å være et økende problem og at dette kan henge sammen med at det blir stadig mer vanlig å måtte oppgi personopplysninger ved blant annet kjøp av tjenester. Komiteen viser til at kravet til å oppgi personopplysninger i stadig flere tilfeller fører til at anonyme alternativer forsvinner. Komiteen har i den sammenheng særlig merket seg Datatilsynets innvendinger mot helautomatiske bomstasjoner der det ikke eksisterer anonyme alternativer. Komiteen kan ikke se at det eksisterer velbegrunnede og påtrengende hensyn som taler for å gjøre unntak fra retten til anonym ferdsel i forbindelse med bomstasjoner.”
Etter det Datatilsynet kan forstå fremstår behovet for reell anonymitet som minst like fremtredende når det gjelder kollektivreiser.
Informasjonssikkerhet
Når man bruker fjernavlesbare kort med tilknyttet identifikasjon, blir spørsmålet om sikkerhet spesielt viktig. Årsaken til dette spesielle behovet for sikring er at det er en betydelig personvernrisiko for den enkelte dersom kortet leses av uten at han er klar over det selv.
Det er et krav at kunden klart må få vite når avlesing skjer og hva avlesingen medfører. Dette kan også innbefatte informasjon om hvor mye som trekkes fra konto og eventuelt hva som gjenstår på konto. Informasjonen som leses må beskyttes slik at ikke det oppstår usikkerhet rundt ordningen.
Råd fra arbeidsgruppe
(Lagt til 13.11.2007, Gunnel Helmers)
Arbeidsgruppen for personvern i telsektoren kom i september med en rekke anbefalinger når det gjelder e-billettering. Arbeidsgruppens oppgave er å arbeide for et bedre personvern innen tele/internett. Gruppen er opprettet av europeiske datatilsynsmyndigheter.
Les arbeidsgruppens anbefalinger her (engelsk, pdf, nytt vindu)