Journalnummer: 2006-44-0051
1. Anmeldelse af spærreliste for Rejsekort A/S
1.1. Datatilsynet har den 15. september 2006 modtaget Rejsekort A/S’ anmeldelse/ansøgning om tilladelse til behandling af personoplysninger ved førelse af en spærreliste over spærrede rejsekort.
Datatilsynet har forud for anmeldelsen – i breve af henholdsvis 11. juni og 13. september 2006 – modtaget Rejsekort A/S’ beskrivelse af projektet, hvori Rejsekort A/S nærmere forklarer baggrunden for ønsket om tilladelse til førelse af en spærreliste over spærrede rejsekort.
Yderligere fremsendte Rejsekort A/S ved brev af 13. december 2006 en beskrivelse af et såkaldt check-ud register. Dette register, som skal indgå i spærrelisteanmeldelsen, skal omfatte oplysninger om rejsende, der glemmer at checke ud. Dette skyldes, at hvis kunden glemmer at foretage check-ud, kan Rejsekortsystemet ikke udregne prisen for rejsen.
1.2. På baggrund af det fremsendte blev der den 20. december 2006 afholdt møde mellem repræsentanter for Rejsekort A/S og Datatilsynet. På mødet blev det drøftet, på hvilke punkter de vilkår, som Rejsekort A/S ønsker, adskiller sig fra de standardvilkår, som Datatilsynet tager udgangspunkt i. På mødet blev det aftalt, at Rejsekort A/S skulle udarbejde en redegørelse, hvor de særlige hensyn, der gør sig gældende for Rejsekort A/S, blev belyst.
1.3. Ved e-post af 19. januar 2007 er Rejsekort A/S fremkommet med en udtalelse, hvoraf Rejsekort A/S’ holdning til de punkter, hvorom der er tvivl, er beskrevet.
2. Rejsekort A/S’ anmodning
2.1. Rejsekort A/S ønsker at oprette et kort, som er et kombineret betalingsmiddel og rejsehjemmel. Rejsekortet skal kunne anvendes til køb af rejser hos de tilsluttede trafikselskaber. Herudover skal rejsekortet også kunne anvendes som betaling for pladsbilletter.
Rejsekortet vil blive udstedt som et anonymt kort eller som et persontilknyttet kort med eller uden foto.
Kunden vil have mulighed for at indgå en betalingsaftale med et trafikselskab om, at kortet enten automatisk genoplades med et fast månedligt beløb, eller automatisk genoplades, når saldoen kommer under et aftalt niveau. Rejsekort A/S vil udarbejde udkast til forskellige typer af betalingsaftaler, henholdsvis godkende trafikselskabernes betalingsaftaler. Trafikselskabet fastsætter i betalingsaftalen et individuelt loft for den maksimale saldo på det persontilknyttede rejsekort. Saldoen på et kort med aftale om automatisk genopladning vil aldrig kunne overstige DKK 2.200.
Herudover åbner Rejsekort-systemet mulighed for, at kunden kan vælge at indgå en kreditaftale med et af de tilsluttede trafikselskaber. Kort med kreditaftale indebærer, at kunden rejser "efter regning" og betaler for sit rejseforbrug efter periodens udløb.
Trafikselskabet fastsætter betingelserne, vilkår og prisen for kreditten samt foretager kreditvurdering af kortbetaleren. Udgangspunktet er, at det månedlige kreditmaksimum ikke kan overstige DKK 2.000, men at trafikselskabet efter anmodning fra kunden kan fastsætte et højere månedligt kreditmaksimum.
2.2. Rejsekort A/S har oplyst, at formålet med spærrelisten er et sagligt ønske hos Rejsekort A/S og de tilsluttede trafikselskaber om at undgå tab i forbindelse med indgåelse af betalingsaftaler med kunder, der skylder Rejsekort A/S eller de tilsluttede trafikselskaber penge, eller som ikke overholder reglerne for check-ud.
Det er desuden hensigten, at spærrelisten ligeledes skal indeholde oplysninger om spærring af kort i forbindelse med manglende check-ud.
2.3. Rejsekort A/S er fremkommet med argumenter til støtte for, at der i denne sag er grundlag for at fravige de vilkår, som Datatilsynet standardmæssigt anvender. Rejsekort A/S lægger vægt på, at det fremgår af forarbejderne til persondataloven, at det ikke er et ubetinget krav, at vilkårene for kreditoplysningsbureauer finder anvendelse på spærrelister, kun at vilkårene bør "tage udgangspunkt heri" eller "normalt har store ligheder med".
Rejsekort A/S finder således, at Datatilsynets standardvilkår må kunne fraviges i særlige tilfælde. Rejsekort A/S er herunder fremkommet med argumenter for fravigelse af det almindelige vilkår om, at årsagen til spærring ikke må fremgå af spærrelisten. Rejsekort A/S har herunder bl.a. henvist til, at baggrunden for ønsket – om at årsagen til spærringen skal fremgå af spærreregisteret – er hensynet til kunderne.
Rejsekort A/S mener, at det er væsentligt, at hvis en kunde henvender sig til salgspersonalet på en station, fordi et kort er spærret, kan personalet få adgang til oplysninger om årsagen til spærringen og kan således konstatere, om dette eksempelvis skyldes, at kortet ikke er genopladt og i givet fald kan informere kunden om dette. Hvis personalet omvendt konstaterer, at årsagen til spærringen skyldes, at kortet er stjålet, kan det inddrages. Rejsekort A/S finder det derfor relevant for trafikselskaberne i kundebetjeningsøjemed at kunne give udvalgte ansatte, som har den direkte kundekontakt, adgang til oplysninger om årsagen til spærringen.
3. I den anledning skal Datatilsynet, som har behandlet sagen på et møde i Datarådet, herefter udtale følgende:
3.1. I henhold til persondatalovens § 50, stk. 1, nr. 2, skal Datatilsynets tilladelse indhentes forinden iværksættelse af en behandling, som er omfattet af anmeldelsespligten i § 48, når behandlingen af oplysninger sker med henblik på at advare mod forretningsforbindelser med eller ansættelsesforhold til en registreret (advarselsregistre og spærrelister). En spærreliste er en speciel form for advarselsliste, der føres i tilknytning til betalingskort/kreditkort.
Det er ved denne type advarselsregister mulighederne for at formidle oplysningen om, at kortet er spærret, der er det centrale.
I forbindelse med en sådan tilladelse kan tilsynet fastsætte nærmere vilkår for udførelsen af behandlingerne til beskyttelse af de registreredes privatliv, jf. lovens § 50, stk. 5.
Tidligere har registertilsynet meddelt tilladelse til spærrelister efter lov om private registre § 3, stk. 6, samt fastsat vilkår for disse i medfør af lov om private registre § 3, stk. 7.
Det fremgår af bemærkningerne til persondatalovens § 50, stk. 5, at det ved fastsættelsen af vilkår for advarselsregistre forudsættes, at der tages udgangspunkt i de vilkår, som indtil persondatalovens ikrafttræden blev stillet efter lov om private registre § 3, stk. 7. Det fremgår endvidere, at vilkårene herudover kan udformes som en nærmere beskrivelse af lovens krav samt indskærpelse af kravene til sikkerhedsforanstaltninger.
Når behandlingen er omfattet af kravet om tilladelse til advarselsregistre (§ 50, stk. 1, nr. 2), finder persondataloven anvendelse, uanset om der behandles oplysninger om personer eller virksomheder, jf. lovens § 1, stk. 3.
3.2. Spærrelister
Rejsekort A/S har som argument for fravigelse af det almindelige vilkår om, at årsagen til spærring ikke må fremgå af spærrelisten, særligt peget på hensynet til kunderne.
Datatilsynet skal i denne anledning bemærke, at det fremgår af de tilladelser, som tilsynet standardmæssigt giver til spærrelister, at vilkårene omhandler spærring af kort. Automatisk afvisning af køb, når kreditmaksimum overskrides – uden at kortet derved spærres – kan derfor ske uafhængigt af, om betingelserne for spærring er opfyldt.
Datatilsynet finder af samme årsag ikke, at afvisning af et kort som følge af, at aftalte grænser for køb og/eller genopladning er overskredet, er at betragte som spærring, og der vil ikke blive fastsat vilkår som for spærring i sådanne tilfælde. De omhandlede tilfælde af afvisning er således ikke reguleret i Datatilsynets tilladelse.
For så vidt angår de egentligt spærrede kort, vil Datatilsynet endvidere kunne acceptere, at enkelte administrativt beskæftigede medarbejdere, der skal servicere kunderne, har adgang til oplysningerne om årsagen til kortets spærring.
Baggrunden for, at årsagen til den konkrete spærring ikke må fremgå af spærrelisten, er behovet for at tilgodese den fornødne integritetsbeskyttelse af kortindehaveren.
Efter en afvejning af Rejsekort A/S’ ønske i forhold til hensynet til kundens integritetsbeskyttelse og privatliv finder Datatilsynet ikke, at der er grundlag for at fravige standardvilkåret. Vilkåret bliver således fastsat som:
”Der må kun videregives oplysninger om kortindehaverens konto- eller kortnummer. Der må ikke videregives oplysninger om årsagen til, at et betalingskort er spærret.”
4. Tilladelse til førelse af advarselsregister
4.1. Datatilsynet skal sammenfattende meddele, at tilsynet i henhold til persondatalovens § 50, stk. 1, nr. 2, og § 50, stk. 5, er indstillet på at meddele Rejsekort A/S tilladelse til behandling af personoplysninger med henblik førelse af en spærreliste over spærrede rejsekort. Tilladelsen vil blive meddelt på følgende vilkår:
Optagelse på spærrelisten
1. Rejsekort A/S må optage et betalingskort på spærrelisten, når kortet meldes stjålet eller tabt, eller når kortindehaver ønsker kortet optaget på spærrelisten på grund af mistanke om, at kortnummer, udløbsdato og kontrolcifre er kommet til uvedkommendes kendskab. Der kan endvidere ske optagelse på spærrelisten ved mistanke om, at kortet er kopieret, samt når kontoforholdet er opsagt, og kortet er søgt inddraget. Der kan også ske spærring, såfremt kortindehaver ønsker fornyelse af sit kort, før kortet udløber, og kortet ikke er indleveret.
Endvidere kan der spærres for anvendelse af et kort på grund af manglende overholdelse af en betalingsaftale, som rejsekortet er tilknyttet, og Rejsekort A/S – forinden spærring finder sted – har udsendt mindst 2 skriftlige rykkere med angivelse af, at kortet skal afleveres til Rejsekort A/S og vil blive spærret, såfremt betingelserne ikke opfyldes inden en angiven tidsfrist.
Endvidere må et rejsekort spærres, hvis kunden inden for en periode på et år har glemt at foretage check-ud mindst tre gange, og kunden ved hvert tilfælde er blevet advaret om, at kunden vil blive optaget på spærrelisten tredje gang, vedkommende glemmer at foretage check-ud inden for en periode på et år.
Herudover vil der ske spærring straks, hvis der foreligger særlige omstændigheder, særligt hvis der er en begrundet formodning for misbrug af kortet, eksempelvis hvor der sker omfattende køb på kortet inden for et meget kort tidsrum, som ikke ligger inden for kortindehaverens normale forbrugsmønster.
Videregivelse og sletning af oplysninger
2. Der må kun videregives oplysninger om kortindehaverens konto- eller kortnummer. Der må ikke videregives oplysninger om årsagen til, at et betalingskort er spærret.
3. Oplysninger om kortnummeret på et spærret betalingskort skal slettes senest ved kortets udløbsdato. Oplysninger om kortnummeret skal dog slettes straks, når årsagen til spærringen er ophørt, og når kortet er blevet inddraget eller på anden måde er kommet i kortudsteders besiddelse, bortset fra tilfælde, hvor kortet er spærret og inddraget på grundlag af misbrug eller mistanke om misbrug, og hvor der er risiko for, at kortet kan være kopieret. Endvidere skal oplysning om kortnummeret slettes straks, når tekniske muligheder for at benytte det pågældende kort uden spærring ikke længere er til stede, eksempelvis ved overgang til nye kort.
Udsteders oplysningspligt
4. Ved indledning af et kontraktforhold om udstedelse af et rejsekort skal det oplyses, at der i de vilkår 1, 1-4 pkt., nævnte tilfælde vil kunne ske spærring af kort.
5. Rejsekort A/S skal give skriftlig meddelelse om spærring af kortet til kortindehaveren i forbindelse med, at spærring finder sted. Undtaget herfra er de tilfælde, hvor kortet af kortindehaver meldes tabt eller stjålet, samt i tilfælde, hvor kortindehaver melder kortet defekt eller ødelagt eller hvor årsagen til spærring skyldes, at grænserne for automatisk genopladning er nået, og kortet ikke har den fornødne minimumssaldo. Meddelelsen skal indeholde oplysning om kortudsteders navn og adresse, kategorier af modtagere af oplysningen om spærring, retten til indsigt (jf. vilkår 6) samt klageadgang til Datatilsynet (jf. vilkår 9).
Den registreredes indsigtsret
6. Rejsekort A/S skal til enhver tid på begæring af den registrerede give denne meddelelse om indholdet af de oplysninger, som Rejsekort A/S på tidspunktet for begæringens fremsættelse behandler om den pågældende, kategorier af modtagere af oplysningen om spærring samt tilgængelig information om, hvorfra oplysningerne stammer. Meddelelsen skal gives snarest – og inden 4 uger efter begæringen. Den registrerede kan forlange, at meddelelsen gives skriftligt.
Urigtige/vildledende oplysninger
7. Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges.
8. Videregivne oplysninger, der viser sig urigtige eller vildledende, eller som er videregivet i strid med vilkårene, skal af Rejsekort A/S berigtiges skriftligt over for den registrerede og de betalingsmodtagere, der har modtaget oplysningerne. Desuden skal den registrerede have meddelelse om, hvilke betalingsmodtagere der har modtaget berigtigelsen efter 1. pkt., og hvorfra oplysningen stammer.
Berigtigelse skal ske på en af følgende måder:
- Den registrerede oplyser på forespørgsel fra Rejsekort A/S eller i forbindelse med en klagesag på foranledning af Datatilsynet, over for hvem berigtigelse ønskes, eller at berigtigelse ikke ønskes. Rejsekort A/S foretager herefter berigtigelse i overensstemmelse hermed. Hvis den registrerede angiver en betalingsmodtager, der kan udelukkes som modtager af oplysningerne, skal Rejsekort A/S oplyse den registrerede herom.
- Den registrerede oplyser på forespørgsel fra Rejsekort A/S eller i forbindelse med en klagesag på foranledning af Datatilsynet, at berigtigelse ønskes, men det oplyses ikke, over for hvem berigtigelse ønskes. Rejsekort A/S foretager herefter berigtigelse over for de betalingsmodtagere, som ifølge Rejsekort A/S’ log over online- transaktioner har modtaget oplysningerne, samt over for alle de betalingsmodtagere, som foretager offline-transaktioner.
9. Indsigelser fra en registreret over for berettigelsen af en behandling af oplysninger skal snarest – og inden 4 uger – besvares skriftligt af Rejsekort A/S.
Nægter Rejsekort A/S at slette eller berigtige i overensstemmelse med indsigelsen, kan den registrerede indbringe spørgsmålet for Datatilsynet. Datatilsynet træffer herefter afgørelse om, hvorvidt der skal foretages sletning eller berigtigelse. Rejsekort A/S skal i svaret gøre den registrerede bekendt med adgangen til at indbringe spørgsmålet for Datatilsynet.
Sikkerhedsforanstaltninger
10. Oplysningerne på spærrelisten skal ajourføres løbende.
11. Der skal hos Rejsekort A/S og betalingsmodtagere træffes de fornødne sikkerhedsforanstaltninger til sikring af, at oplysninger på spærrelisten ikke misbruges eller kommer til uvedkommendes kendskab.
Ændringer og ophør af førelsen af spærrelisten
12. Inden iværksættelse af ændringer i de oplysninger, som er meddelt Datatilsynet i forbindelse med udstedelse af tilladelse, skal Datatilsynets tilladelse indhentes. Ændringer af mindre væsentlig betydning skal dog kun anmeldes til Datatilsynet. Anmeldelse kan ske efterfølgende, dog senest 4 uger efter iværksættelsen af ændringerne.
Ophør af førelsen af spærrelisten skal straks meddeles til Datatilsynet.
De ovenstående vilkår er gældende indtil videre. Datatilsynet forbeholder sig ret til senere at tage vilkårene op til revision, hvis der skulle vise sig behov herfor.
Endvidere er vilkårene supplerende i forhold til reglerne i persondataloven samt i visse tilfælde udtryk for en præcisering af lovens regler. Det skal derfor understreges, at reglerne i persondataloven finder anvendelse i det omfang, der er tale om forhold, som ikke er reguleret i ovenstående vilkår.
4.2. Datatilsynet skal henlede opmærksomheden på, at vilkårene omhandler spærring af kort. Automatisk afvisning af køb, når kreditmaksimum overskrides, eller grænserne for automatisk genopladning pr. måned er overskredet, uden at kortet derved spærres, kan derfor ske uafhængigt af, om betingelserne for spærring er opfyldt.
4.3. Datatilsynet skal endvidere henlede opmærksomheden på persondatalovens § 42, stk. 2, hvoraf det følger, at gennemførelse af en behandling ved en databehandler skal ske i henhold til en skriftlig aftale parterne imellem. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandler.
4.4. Datatilsynet skal afslutningsvis henlede opmærksomheden på, at gebyr for tilladelsen udgør 1.000 kr., jf. persondatalovens § 63, stk. 2, nr. 2. Beløbet bedes indbetalt til Jyske Bank, Vesterbrogade 9, 1780 København, reg.nr. 8109, kontonummer 1009563. Rejsekort A/S bedes i den forbindelse henvise til Datatilsynets journalnummer (se forsiden af dette brev), således at Datatilsynet kan identificere indbetalingen.
Datatilsynet afventer herefter svar fra Rejsekort A/S.