Sporing i kollektivtrafikken

Lovendring skulle hindre hvitvasking — krever i praksis sporing av kollektivreisende

Datatilsynet reagerer på at Finansdepartementet ikke rådførte seg med dem. Ruter venter nå på at reglene avklares.

Ruter er etter nye endringer i bokføringsregelverket pålagt å logge informasjon fra Ruter-appen de selv ikke ønsker.
Ruter er etter nye endringer i bokføringsregelverket pålagt å logge informasjon fra Ruter-appen de selv ikke ønsker. (Illustrasjonsfoto: Grim Evensen / Bonanza)
EKSTRA

Datatilsynet reagerer på at Finansdepartementet ikke rådførte seg med dem. Ruter venter nå på at reglene avklares.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

En lovendring med virkning fra 1. januar 2019 har gjort det praktisk talt umulig for en enkeltperson reise sporfritt med kollektivtrafikk, hvis man velger å bruke en applikasjon på
smarttelefonen som betalingsmiddel.

Det er en endring i bokføringsregelverket som stikker kjepper i hjulene for personvernhensynet.

Endringen er ment å stramme inn mulighetene for hvitvasking og svart økonomi, men innebærer i praksis at kjøp av billetter i app nå skal logges og knyttes til kjøperens identitet.

– Det skal være like lett å være anonym uansett hva slags billett du bruker. Vi mener det å ikke kunne reise uten at transaksjonene spores strider mot retten til privatliv og menneskerettighetene, sier Atle Årnes, fagdirektør for teknologi i Datatilsynet.

– Bør kunne reise sporfritt i Norge

Ifølge fagdirektøren har problemene med bokføringsregelverket og bompenger versert i lang tid.

Hva spores?

Forskrift om bokføring sier at både tidspunkt og sted for transaksjonene skal lagres. Ruter tolker likevel regelverket i dag dithen at det ikke skal måtte lagres GPS-data for kjøpene.

Det er altså ifølge Ruter snakk om å måtte lagre selve transaksjonene; hva du kjøper og når, og hvem du er, men ikke hvor du reiser.

– Nå er vi også bekymret for personvernkonsekvensene dette regelverket har for kollektivreisende, sier Årnes.

I forrige uke skrev digi.no om hvordan bokføringsregelverket har gitt dårligere personvernvilkår for bilistene etter GDPR; fra 15. august 2019 ble en konsesjon om sporfrie Autopass-avtaler avsluttet, og alle bompasseringer lagres nå i fem år.

Ifølge fagdirektøren har problemene med bokføringsregelverket og bompenger versert i lang tid. Etter endringen fra 1.1.2019 er tilsynet nå også bekymret for personvernkonsekvensene dette regelverket har for kollektivreisende.

– Vi mener man skal kunne reise i Norge uten å bli registrert, både med bil og kollektivt, og slik var det også før. Men bare fordi man overfører dette til en app og en brikke i bilen så skal det registreres. Det forstår vi ikke poenget med, sier Årnes.

– Lite hvitvasking i Ruter-appen

Atle Årnes, fagdirektør for teknologi i Datatilsynet.
Atle Årnes, fagdirektør for teknologi i Datatilsynet. Bilde: Åsa Mikkelsen

Datatilsynet har sendt et brev til Finansdepartementet hvor de klager på gjennomgående mangel på vurderinger av konsekvensene for personvernet ved endringer i bokføringsregelverket. Finansdepartementet har ansvar for regelverket. 

Datatilsynet skriver i brevet at dette er endringer som har åpenbare konsekvenser for personvernet og enkeltindividets friheter, og at Finansdepartementet derfor burde ha drøftet lovendringen med Datatilsynet, slik de er pliktig til etter GDPR.

Formålet med regelendringene er å forhindre svart økonomi i bransjer med kontantsalg. De tidligere reglene skal ha gjort det mulig å sette opp kassesystemer på en måte som gjør det mulig å skjule kontantsalg og dermed unndra skatt og avgift.

Hva skjer med dataene?

Transaksjonsopplysninger fra kollektiv-billetter og Autopass-passeringer i bil skal i utgangspunktet ikke utleveres til andre enn brukerne selv, unntaksvis hvis det foreligger hjemmel for dette.

For eksempel har politiet og skattemyndighetene begge hjemler til å ta beslag eller få innsyn i opplysningene som er lagret etter bokføringsregelverket.

«Så vidt vi kjenner til er ikke sort økonomi et problem innenfor kollektivtrafikken. Selskapene selv kjenner ikke til noe praksis som har som formål å skjule kontantsalg, og kjøp av enkeltbilletter er heller ikke kjent som noen effektiv metode for hvitvasking (...) det er dermed ikke nødvendig å innføre bokføringskrav som begrenser enkeltpersoners rett til privatliv», påpeker Datatilsynet i brevet.

Les også

Strid om kontantsalg

Det er ikke er et krav i loven om at kjøper skal identifiseres ved kontantsalg. Datatilsynet mener betaling via app på smarttelefon bør kunne regnes som kontantsalg etter loven. Men Skattedirektoratet er uenig. I en tolkningsuttalselse har direktoratet nemlig sagt at salg over internett ikke er å anse som kontantsalg.

– En privatperson som kjøper en trikkebillett fra stortorvet til Drammensveien, burde vært et kontantsalg som ikke trenger å registreres. Men her kommer loven inn og krever det. Det forstår vi ikke, sier Årnes.

Datatilsynet foreslår at det enten gjøres klart at betaling via applikasjon på smarttelefon kan regnes som kontantsalg, og at det utarbeides unntak, og et eget delkapittel her for aktører innen kollektivtrafikk.

Lang behandlingstid

Brevet fra Datatilsynet ble sendt 26. juni i år. Finansdepartementet videresendte brevet til Skattedirektoratet 4. oktober og ba om deres merknader til Datatilsynets brev innen 21. Oktober 2019. Finansepartementet har per 1. november ikke svart Datatilsynet. Digi.no har fått innsyn i brevkorrespondansen.

Kommunikasjonsrådgiver Bjørnar Angell i Finansdepartementet skriver i en mail til digi.no at de nå arbeider med å besvare henvendelsen fra Datatilsynet, og at saken ikke er ferdig behandlet av departementet.

Les også

– Vi er veldig nysgjerrig på hva som blir svart her og hva som kommer ut av dette, sier Atle Årnes i Datatilsynet.

Ruter ønsker ikke spore, men må likevel

Det har ifølge fagdirektøren vært viktig for Datatilsynet at systemene ikke krever at man registrerer seg når man går på og av bussen, eller registrerer kort på navn. Han mener Ruter har vært flinke til å ivareta anonymiteten.

– Bransjenorm for personvern og informasjonssikkerhet i elektronisk billettering skulle gi muligheten for anonym ferdsel. Så har man, også med appene, klart å videreføre det så langt som mulig. Men på grunn av denne nye endringen i 2019 må det plutselig lagres, sier Årnes.

Bransjenormen satte krav til å ha en anonym mulighet, og er nå i direkte strid med bokføringsregelverket.

– Det eneste Ruter ønsker er å kunne ha en anonym statistikk. Og det vil de kunne ha uten å koble transaksjoner til individer. Men nå må de likevel begynne å registrere kjøper, utdyper han.

Ved bruk av de fysiske billett-kortene blir ikke personopplysninger lagret. Disse blir imidlertid stadig mindre brukt og stadig vanskeligere å få tak i og fylle på.

Ruter: – Endrer ikke praksis før dette avklares

Øystein Dahl Johansen, kommunikasjonsrådgiver i Ruter.
Øystein Dahl Johansen, kommunikasjonsrådgiver i Ruter. Foto: Ruter

Ruter tok selv tatt opp saken med Datatilsynet, i forbindelse med utarbeidelse av bransjenormen.

Kommunikasjonsrådgiver Øystein Dahl Johansen i Ruter skriver i en mail til digi.no at de er glade for at Datatilsynet har tatt opp saken med Finansdepartementet, og at de ikke vil endre sin praksis før det kommer en avgjørelse i saken.

«Ruter mener at det er motstrid mellom lovverk, og vil ikke innføre noen pliktig registrering av kundens kontaktdata ved bruk av RuterBillett før denne saken er avklart».

Johansen utdyper at det slik Ruter tolker er motstrid mellom bokføringsregelverket og personopplysningsloven, potensielt også Menneskerettighetsloven, og refererer til Datatilsynets brev.

Les også

Kommentarer (0)

Kommentarer (0)
Til toppen