Statens vegvesen har ikke slettet passeringsopplysninger som brikkenummer, lokasjon og passeringstidspunkt i sin database. I det opprinnelige systemet for lagring av passeringer i bomringen, var det ikke mulig å slette passeringsopplysninger.

- Vegvesenet har behandlet personopplysninger ulovlig. Slettefunksjonen har manglet, og det er snakk om enormt mye informasjon som ikke har vært nødvendig å lagre, sier direktør Bjørn Erik Thon.

Unødvendige registreringer

I vurderingen er det særlig lagt vekt på at man i systemet ikke hadde vurdert innebygd personvern, for eksempel automatisk sletting.

- Da er det alvorlig at systemet ikke var innrettet etter personvernregelverket. Folk skal kunne ferdes uten at det blir foretatt unødvendige registreringer, sier Thon.

Et overtredelsesgebyr på fire millioner kroner er det høyeste Datatilsynet så langt har varslet etter det nye regelverket (GDPR).

Arbeider med en ny database

I varsel om pålegg ber Datatilsynet Statens vegvesen om å slette personopplysninger, som brikkenummer, lokasjon og passeringstidspunkt, som lagres utover den tid Vegvesenet lovlig kan oppbevare disse personopplysningene. Grunnen er at slike personopplysninger ikke lenger er nødvendige for formålet de opprinnelig ble samlet inn eller behandlet for.

Statens vegvesen arbeider for tiden med å rette opp i manglene, og vil innføre en ny database hvor funksjonaliteten til å slette data er til stede.