Endelig kontrollrapport

Transkript

1 Saksnummer: 12/00753 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Statens vegvesen Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning Datatilsynet gjennomførte kontroll hos Statens vegvesen Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger ved bruk av kjennemerkegjenkjenningssystem, i forbindelse med Statens Vegvesens kjøretøykontroll. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Arne Valdemar Nielsen, seksjonsleder - Silje Aalund, Teamleder for Kontrollteamet - Tor Aksnes, sjefingeniør - Lene Gjengedal Hansen, førstekonsulent 2.2 Fra Datatilsynet: - Cecilie L.B. Rønnevik, fagdirektør - Atle Årnes, fagdirektør teknologi 3 Generelt Automatiske kjennemerkegjenkjenning er et relativt nytt hjelpemiddel, som i de senere årene er tatt i bruk av både veimyndighetene, Tollvesenet og politiet. Datatilsynet har hatt mange enkelthenvendelser fra privatpersoner, med spørsmål om hva slags behandling som skjer ved bruk av slik teknologi, og hvorvidt den er lovlig. Personopplysningsloven er teknologinøytral. Det innebærer at valg av teknologi i utgangspunktet er uten betydning ved vurderingen av om en behandling er lovlig i henhold til personopplysningslovens bestemmelser. Kjennemerkegjenkjenning medfører en imidlertid en betydelig effektivisering av kontrollaktiviteten, som kan medføre at det totale overvåkningstrykket for den enkelte øker. Datatilsynet er også opptatt av at innføring av 1 av 12

2 denne teknologien fort vil medføre en utvidet behandling av personopplysninger, for eksempel at opplysningene lagres og blir gjenstand for ny bruk. I august og september 2009 var Statens vegvesen og Datatilsynet i dialog vedrørende Statens vegvesens planer om å bruke automatisk avlesing av kjennemerker i forbindelse med utvelgelse av biler for manuell kontroll. Datatilsynet tok den gang til etterretning at det beskrevne system for kjennemerkegjenkjenning kun benyttes i forbindelse med utvelgelse av biler for konkret fysisk/manuell kontroll ved vei, jf. brev av 16. september 2009 til Statens vegvesen. Det ble tatt til etterretning at det ikke lagres opplysninger om biler som ikke stoppes ved kontrollen. Systemet skulle lagre opplysninger om biler som faktisk ble stoppet i en time. I en henvendelse den 5. oktober 2009 ytret Statens vegvesen et ønske om også å bruke kjennemerkegjenkjenningssystemet til å målrette informasjonskampanjer mot målgrupper, eksempelvis ungdom (18-25 år). Datatilsynet ba i e-post av 12. oktober 2012 om at saken skulle fremmes for ordinær saksbehandling i tilsynet, da tilsynet i utgangspunket var negativ til denne typen bruk. Det ble ikke fremmet sak. Den 29. mai 2012 fremmet Statens vegvesen på nytt en utvidelse av bruken av kjennemerkegjenkjenningssystemet overfor Datatilsynet. Denne gang var det et ønske om å utvide ordingen på følgende to felt: - stikkprøvekontroll av biler som har vært inne til periodisk kjøretøykontroll, for å kontrollere om verkstedenes overholder sine plikter ved periodisk kontroll. - bruk av automatisk kjennemerkekjennemerkegjenkjenning for å finne og kontrollere vognkort data mot aktuelle kjøretøy Datatilsynet har gjennomført en kontroll med bruk av kjennemerkegjenkjenningsteknologi hos Tollvesenet, med saksnummer 12/ Kort om bruk av personopplysninger samt formålet med behandlingene Under kontrollen framkom det at etaten benytter denne teknologien for to formål. 4.1 Kjøretøykontroll jf vegtrafikklovens 16 Vegvesenet opplyser at de benytter kjennemerkegjenkjenningssystemet som et hjelpemiddel i forbindelse med kjøretøykontroll. Dette skjer ved at systemet leser kjennemerket på kjøretøy som er i trafikken. Opplysningene knyttet til det aktuelle kjennemerket hentes deretter automatisk fra vegvesenets registre (i all hovedsak basert på opplysninger fra Autosys), og presenteres på en skjerm hos en operativ tjenestemann 1. Dersom det fremkommer opplysninger som tilsier det, for eksempel om at kjøretøyet er begjært avskiltet, kan tjenestemannen stoppe kjøretøyet og foreta en mer inngående kontroll. Statens vegvesen 1 En nærmere beskrivelse av selve behandlingen og den tekniske løsningen gis i kontrollrapportens kap 6. 2 av 12

3 har opplyst at mer enn kjøretøy ikke oppfyller vilkårene i vegtrafikklovens 36, og at det derfor er behov for å målrette deres kontrollvirksomhet. Datatilsynet vurderer det slik at denne type kjøretøykontroll medfører behandling av personopplysninger. I all hovedsak vil det bli behandlet opplysninger om den som er registrert eier av kjøretøyet i Autosys. Behandlingen vil imidlertid også generere nye opplysninger om den som er fører av bilen når kontrollen skjer og eventuelle passasjerer. Det vises til at det bildet som tas i forbindelse med kontrollen ikke begrenser seg til kjennemerket, men ofte hele kjøreøyet. Det er dels begrunnet i tekniske hensyn, men også i behovet for at fargen på kjøretøyet skal kunne holdes opp mot registrerte opplysninger. Selv om kvaliteten på bildet er dårlig, mener tilsynet at det i kombinasjon med kjennemerket i mange tilfeller vil være tilstrekkelig for å identifisere den aktuelle føreren og eventuelle passasjerer. Det må derfor legges til grunn at behandlingen kan medføre en behandling av personopplysninger om disse. 4.2 Statistikk Vegvesenet opplyser at kjennemerkegjenkjenningssystemet også benyttes for å lage statistikk. I dag er det to steder i landet hvor kameraer er i kontinuerlig drift, uten at det foreligger en kontrollsituasjon. Da skjer behandlingen for statistikkformål alene. Formålet er blant annet å skaffe opplysninger for å allokere kontrollressursene til tider hvor det erfaringsmessig er en høy treffprosent. Opplysningene behandles her likt som for kjøretøykontroll. Leste kjennemerker med treff oppbevares i 1 time, før det automatisk slettes. I henhold til vegvesenets forklaringer legges det til grunn at kjennemerker uten treff saneres automatisk og umiddelbart etter at statistikk er oppført. Statistikk over antall leste kjennemerker, antall kjennemerker med treff, antall treff med forskjellige grunner, fordelt på installasjonssted formidles tilbake til distribusjonsmaskin inne hos Vegdirektoratet. Datatilsynet vurderer det slik at det også i denne forbindelse behandles personopplysninger, på samme måte som i en kontrollsituasjon, og at personopplysningsloven kommer til anvendelse. 5 Ansvarsforholdene Datatilsynet legger til grunn at Statens vegvesen, ved regionveikontoret, er behandlingsansvarlig etter personopplysningsloven 2 nr 4 for veimyndighetenes behandling av personopplysninger i forbindelse med kjøretøykontroller. Det vises i den forbindelse til vegtrafikkloven Det fremkom under kontrollen at Statens vegvesen også behandler opplysninger på vegne av Tollvesenet, som benytter tilsvarende system for egne kontrollformål. Oppdraget består i å 2 Tilsvarende vil politiet bli behandlingsansvarlig for sin behandling av personopplysninger etter nevnte bestemmelse 3 av 12

4 lage et register, bestående av et uttrekk fra Autosys og påført opplysninger fra Tollvesenets egne registre. Det legges til grunn at dette medfører en behandling av personopplysninger, og legger til grunn at Vegvesenet i denne forbindelse er å anse som en databehandler, jf personopplysningsloven 2 nr 5. Det kunne imidlertid ikke legges frem en databehandleravtale, som ga veimyndighetene rettslig grunnlag for å behandle personopplysninger på vegne av Tollvesenet, jf personopplysningslovens 15. Det fremkom under kontrollen at systemet er levert av TC Connect as, Oslo. Med bakgrunn i vegvesenets redegjørelse av 25. februar 2013 legger Datatilsynet til grunn at TC Connect ikke behandler personopplysninger på vegne av vegvesenet. 6 Oppbyggingen av løsningen Statens vegvesen legger inn en forhåndsdefinert liste over hvilke kjennemerke som skal avstedkomme et varsel til kontrollørene. Listen er i hovedsak basert på opplysninger fra Autosys. Det kan i tillegg angis at andre kjennemerker enn de som har relevante merknader i Autosys også skal avstedkomme tilsvarende varsel. Det var for eksempel lagt inn kjennemerker for kjøretøy som er meldt stjålet. 6.1 Kjøretøy av interesse - KAI KAI listene som benyttes i dag fordeles på følgende «grunn for at de kommer på listen» jf. vegtrafikkloven 36 Aktiv mangellapp (kjøretøy er ikke fremstilt for kontroll etter at tidligere mangel er påvist og pålagt utbedret) Ikke kontrollert (det er ikke innrapportert at kjøretøyet har gjennomgått periodisk kjøretøykontroll innen fastsatt frist) Ikke omregistrert (kjøretøyet er rapportert å være solgt, men det er ikke registrert noen kjøper som overtar ansvaret for kjøretøyet.) Annen årsak (kjøretøy som det er nedlagt bruksforbud for etter vegtrafikklovens 36) Stjålet Kjøretøy som er utført av landet Manglende forsikring (at det ikke er registrert noe forsikringsselskap som forsikrer kjøretøyet) Skyldig årsavgift Skyldig vektårsavgift KAI listene inneholder følgende informasjon i dag: Registreringsnummer Grunn for begjæring Farge på kjennemerke: Hvit, grønt, rødt, blått Kjøretøygruppe: tallkode Kjøretøygruppe: beskrivende tekst Merke: tallkode Merkenavn: tekst 4 av 12

5 Modell: tekst Farge på kjøretøy Registreringsdato: dato for registrering i Norge Begjæringsdato: dato for når gjeldende grunn ble registrert Kommunenummer: kommunenummer for hvor kjøretøy er registrert Målgrupper Statens vegvesen opplyser å ha erfart, etter ca. 2 års bruk av systemet, at den største gruppen av kjøretøy det gis varsel på, er lette kjøretøy. Kjøretøy eid av privatpersoner har derved blitt utvalgt for kontroll i større grad enn tidligere. De opplyser videre at kjøretøyene som kontrolleres (kjøretøyene med mangler) i dag er fra en bredere representasjon av bilparken enn tidligere. Dette kan tilskrives at systemet ikke skiller mellom ny eller gammel bil, eller andre visuelle forhold. Kjennemerkegjenkjenningssystemet kan derfor sikre likebehandling i større grad enn tidligere, da utvelgelsen ble basert på kontrollørens vurderinger alene Grunnlaget for «Hot List» Statens vegvesen er ansvarlig for motorvognregisteret (Autosys), som er myndighetenes register over alle norske kjøretøy. Et kjøretøy med anmerkninger, generert som følge av et vilkår oppstilt i vegtrafikkloven 36, fremkommer i motorvognregistret. Kl 19:45 hver virkedag, gjøres et uttrekk fra Autosys, der alle begjærte kjøretøy listes ut (begjæringsliste). Denne danner grunnlaget for «Hot List» i kjennemerkegjenkjenningssystemet. Begjæringslisten prosesseres, og gis et format som det automatiske kjennemerkegjenkjenningssystemet kan importere. I denne prosessen gjøres begjæringslisten om til ni lister, der hver liste representerer en begjæringsgrunn Kamerasystemet som benyttes Kamerasystemet som benyttes er levert av TC-Connect i henhold til en tjenesteavtale. Anleggene er underlagt serviceavtale med leverandøren, som har det løpende ansvaret for at anleggene fungerer i henhold til avtalen. Ved leveranse av nye anlegg, gjøres en kvalitetskontroll for hvert av anleggene, i henhold til en fastlagt kvalitetsprosedyre. Sletterutinene for bilder er blant de sjekkpunktene som leverandør gjennomgår før enhetene leveres til Statens vegvesen. Ved treff i KAI må grunnen til treff angis (dette kommer fra listen over kjøretøy av interesse). Leste kjennemerker uten treff i liste over kjøretøy av interesse, blir etter det opplyste slettet øyeblikkelig etter at det er lest og kontrollert. Leste kjennemerker med treff i liste over kjøretøy av interesse, beholdes bilde i inntil 1 time for å muliggjøre en nærmere kontroll. Deretter blir det automatisk slettet. Statistikk over antall leste kjennemerker, antall kjennemerker med treff, antall treff med forskjellige grunner, fordelt på installasjonssted (også kjøretøy) formidles tilbake til distribusjonsmaskin i Vegdirektoratet i Oslo forbindelse med synkronisering av lister. 5 av 12

6 6.1.4 Mobile installasjoner Statens vegvesen har i dag 23 mobile anlegg i drift. Disse er montert i tjenestebiler ved de fem operative regionene i Statens vegvesen, og kan i prinsippet settes i drift hvor som helst på det norske veinettet. De mobile enhetene vil kun lagre opplysninger når de benyttes for utvelgelse av biler for kontroll. Informasjon om de biler som skal tas ut for kontroll lagres på kontrollpunktet i 60 minutter. Kjennemerker hvor alt er i orden lagres ikke, men blir stående i oversiktsbildet til antall kjennemerker som er lest overskrives. Det er dette som vises visuelt. Med bakgrunn i vegvesenets redegjørelse av 25. februar 2013 legger Datatilsynet til grunn at det i en normal driftssituasjon ikke lagres bilder i kameraene. I en feilsituasjon, hvor kameraene ikke får videresendt bilder, vil det allikevel lagres inntil 200 bilder. Disse slettes umiddelbart etter at feilen er rettet og bildene er sendt videre Faste installasjoner Statens vegvesen har også to faste installasjoner. Disse følger i hovedtrekk de samme rutinene for bestillinger, og rutiner for dokumentasjon og konfigurasjon. De faste installasjonene er: Taraldrud Kontrollstasjon øst for Oslo Sandmoen Kontrollstasjon (Klætt krysset) Sør for Trondheim De to faste installasjonene er kontinuerlig aktive. Dette ble i utgangspunktet gjort for å generere statistikk når de ikke ble brukt for kontroll. Dette betyr at kameraet tar bilde av kjøretøyet og skiltet. Dette blir prosessert og kan gi grunnlag for følgende opplysninger: Registreringsnummer Grunn for begjæring Farge på kjennemerke (hvitt grønt, rødt, blått) Kjøretøygruppe: (tallkode) Kjøretøygruppe: (beskrivende tekst) Merke: (tallkode) Merkenavn: tekst Farge: farge på kjøretøy Registreringsdato: dato for registrering i Norge Begjæringsdato: dato for når gjeldende grunn ble registrert Kommunenummer: kommunenummer for hvor kjøretøy er registrert. Med bakgrunn i vegvesenets redegjørelse av 25. februar 2013 legger Datatilsynet til grunn at det i en normal driftssituasjon ikke lagres bilder i kameraene. I en feilsituasjon, hvor 6 av 12

7 kameraene ikke får videresendt bilder, vil det allikevel lagres inntil 200 bilder. Disse slettes umiddelbart etter at feilen er rettet og bildene er sendt videre Varsling Felles for all bruk, er at kontrollen varsles med trafikkskilt av typen 558 (Videokontroll). Det brukes ikke underskilt. 7 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 7.1 Ansvarsforhold Det fremstod på kontrolltidspunktet uavklart hvorvidt Vegvesenet er en databehandler for Tollvesenet, og hvorvidt TC Connect er en databehandler for Vegvesenet. Vegvesenet må avklare ansvarsforholdene og eventuelt inngå avtaler i tråd med personopplysningslovens Rettslig grunnlag for behandling av personopplysninger Det følger av personopplysningsloven 11 første ledd bokstav a at det bare er adgang til å behandle personopplysninger dersom det foreligger et rettslig grunnlag for det etter personopplysningslovens 8. Datatilsynet legger til grunn at det ikke behandles sensitive personopplysninger i denne forbindelse, og at de skjerpede kravene i 9 ikke kommer til anvendelse Kontrollformål Statens vegvesen har anført at det har hjemmel i vegtrafikklovens 10 og 19 til å behandle angjeldende personopplysninger for å gjennomføre kjøretøykontroll. Datatilsynet slutter seg i all hovedsak til dette, men stiller spørsmål ved veivesenets kompetanse til å utøve myndighet i tilfeller hvor det fremkommer opplysninger om at et kjøretøy er meldt stjålet. Dersom etaten ikke har kompetanse til å gjennomføre en kontroll med bakgrunn i denne opplysningen, kan det stilles spørsmål ved om den er relevant og nødvendig i en kontrollsituasjon. Datatilsynet imøteser veivesenets merknader til dette. Datatilsynet vil også bemerke følgende: Umiddelbart synes det for Datatilsynet som om 10 gjelder for trafikkontroll, mens 19 gjelder for kjøretøykontroll. Vegtrafikklovens 19 om kjøretøykontroll gir hjemmel for veimyndighetene til å utarbeide en forskrift som nærmere regulerer etatens gjennomføring av tilfeldig og uanmeldt kontroll langs veien (bestemmelsens annet ledd, siste setning). Den forskriften som er etablert etter nevnte hjemmel gjelder imidlertid kun for tunge kjøretøy. Datatilsynet kan vanskelig se at en forskrift som er gitt med hjemmel i vegtrafikklovens 10 kommer til anvendelse for annet enn trafikkontroller, men nøyer seg her med å anbefale at det etableres en forskrift med hjemmel i lovens 19 som nærmere regulerer tilfeldig og uanmeldt kjøretøykontroll av lette kjøretøy. 7 av 12

8 7.2.2 Statistikkformål At det kontinuerlig foretas en identifisering av biler som passerer punkter i veisystemet er først og fremst et inngrep i førerens og eventuelle passasjerers personvern, idet det genereres opplysninger om hvor disse har vært på et gitt tidspunkt. Videokontrollen for statistikkformål lagrer opplysninger om alle kjøretøy som passerer, i inntil en time. Det foreligger etter tilsynets vurdering ingen lovhjemmel som eksplisitt gir veimyndighetene adgang til å behandle personopplysninger for statistikkformål. Datatilsynet har derfor vurdert hvorvidt behandlingen kan hjemles i en av interesseavveiningene i personopplysningslovens 8. Tilsynet mener at alternativet i litra e ikke er anvendelig, da det ikke er naturlig å se på det å generere statistikk som en del av tradisjonell myndighetsutøvelse. Datatilsynet legger til grunn at det å generere statistikk, for det formål å planlegge egen virksomhet er en berettiget interesse for veimyndighetene. Det er imidlertid vanskelig å vurdere hvor tungtveiende denne interessen er. Tilsynet ber derfor om at veivesenet belyser hvilket behov som foreligger for denne statistikken, herunder om tilfredsstillende statistikk kan genereres på andre måter. Tilsynet kan uansett ikke se at det er nødvendig med en times behandling av opplysningene for å generere statistikk. Slik tilsynet ser det bør det være mulig å generere statistikken nokså umiddelbart etter at det er gjort oppslag i nevnte registre, for deretter å slette/anonymisere også opplysningene om de bilene som genererer et treff. Slik umiddelbar sletting bør da utføres i alle systemets elementer, som for eksempel i kameraer. Datatilsynet ber om at veivesenet opplyser i hvilken grad behandlingstiden kan reduseres i de periodene hvor det genereres statistikk. Forutsatt at behovet for den aktuelle statistikken er tungtveiende, at behandlingstiden begrenses til det som er nødvendig for å vareta statistikkformålet, og derved reduseres betraktelig i forhold til dagens praksis, anser Datatilsynet at behandlingen vil kunne ha rettslig grunnlag i personopplysningslovens 8 litra f Konklusjon Det foreligger hjemmel i lov for vegmyndighetens behandling av personopplysninger i forbindelse med kjøretøykontroll. Datatilsynet imøteser ytterligere opplysninger vedrørende den behandlingen som skjer til statistikkformål, før det konkluderer endelig i spørsmålet om hvorvidt det foreligger et rettslig grunnlag i personopplysningslovens 8 litra f. 7.3 Informasjonsplikt Personopplysningsloven 19 og 20 pålegger den behandlingsansvarlige en plikt til å informere den registrerte om følgende forhold: navn og adresse på den behandlingsansvarlige og dennes eventuelle representant 8 av 12

9 formålet med behandlingen om opplysningene vil bli utlevert, og eventuelt hvem som er mottaker hvorvidt det er frivillig å gi fra seg opplysningene annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og Kontrollformålet Opplysninger om registrert eier Datatilsynet legger til grunn at opplysningene samles inn i medhold av personopplysningslovens 20. Det vises til at identiteten hentes fra kjennetegnet på bilen, mens de øvrige opplysningene hentes fra etatens registre. Opplysningsplikten gjelder ikke for behandling som er uttrykkelig fastsatt i lov, jf 20 annet ledd litra a. Datatilsynet har lagt til grunn at den behandling av personopplysninger som skjer i forbindelse med kontrollvirksomheten er hjemlet i lov, nemlig vegtrafikklovens kapittel 3. Kravet til unntak fra informasjonsplikt er etter sin ordlyd strengere enn lovkravet i personopplysningslovens 8 og 9, idet behandlingen må være uttrykkelig regulert. Samtidig skal det ved vurderingen av unntaket i 20 gjøres en forholdsmessighetsvurdering, basert på hvor inngripende den aktuelle behandlingen er. Jo mer inngripende en behandling er, desto mer skal det til for å unnta fra informasjonsplikten. Datatilsynet har etter en konkret vurdering kommet til at det ikke foreligger informasjonsplikt til registrert eier 3 av bilen, idet behandlingen anses å være uttrykkelig hjemlet i vegtrafikkloven. Det er lagt vekt på at opplysningene om kjøretøyet, som kan knyttes til eier, er i det vesentlige allerede kjent for veimyndighetene. I tillegg er det lagt vekt på at behandlingen har kort varighet jf pkt Opplysninger om fører og passasjer Behandlingen medfører at det genereres nye opplysninger om de kjøretøy hvor det forekommer et treff, nemlig opplysninger om hvor det aktuelle kjøretøyets fører og eventuelle passasjer var på et gitt tidspunkt. Det er naturlig å se det slik at opplysningene hentes inn fra den registrerte selv, basert på dennes handlinger, og at det oppstår informasjonsplikt etter 19. Det betyr at opplysningene som hovedregel skal gis før behandlingen tar til. I henhold til vegtrafikklovens 19 kan vegvesenet gjennomføre kjøretøykontroller uanmeldt. Dette er en særbestemmelse, som etter tilsynets vurdering setter til side plikten til forhåndvarsel etter personopplysningsloven, jf dennes 5. Dette er allikevel ikke til hinder for at opplysningene gis under kontrollen, eller så snart kontrollen er gjennomført. 3 Dersom registrert eier er fører eller passasjer gjelder pkt tilsvarende 9 av 12

10 Når det iverksettes en kjøretøykontroll ved bruk av kjennemerkegjenkjenningssystem setter veimyndighetene opp skilt 558 videokontroll. På de faste kontrollpunktene står skiltet fastmontert. Ved kontroll langs vei vil tjenestebilen være utstyrt med et tilsvarende skilt. I tillegg forekommer det at skiltet settes opp langs den veien hvor kontrollen gjennomføres. Selv om det ikke fremgår av skiltet hvem som er behandlingsansvarlig, mener tilsynet at uniformerte tjenestebiler og annen skilting på stedet vil gi supplerende informasjon om dette, i tråd med kravene i personopplysningsloven. Datatilsynet vurderer det imidlertid slik at skiltet alene ikke gir tilfredsstillende informasjon om hva slags kontroll man blir utsatt for (om det er en fartskontroll eller annen type trafikkontroll, eller om det er en kjøretøykontroll). Dersom det faktisk skjer en ytterligere kontroll av bilen vil den informasjonen som gis direkte fra tjenestemannen i den forbindelse være tilstrekkelig til å oppfylle informasjonsplikten. For å ivareta informasjonsplikten overfor personer som blir registrert, men ikke underlegges en ytterligere kontroll, må det gis ytterligere informasjon om formålet med kamerabruken. Dette kan løses praktisk gjennom bruk av underskilt, for eksempel med teksten kjøretøykontroll Statistikkformålet Opplysninger om registrert eier Datatilsynet legger til grunn at opplysningene samles inn i medhold av personopplysningslovens 20. Det vises til at identiteten hentes fra kjennetegnet på bilen, mens de øvrige opplysningene hentes fra etatens registre. Informasjonsplikten gjelder allikevel ikke dersom varslig av den registrerte er umulig eller uforholdsmessig vanskelig, jf 20 annet ledd litra b. Datatilsynet vurderer det slik at behandlingen medfører en beskjeden krenkelse av den registrerte eiers personvern. Opplysningene om kjøretøyet, som kan knyttes til eier, er i det vesentlige allerede kjent for veimyndighetene. Det forutsettes at behandlingen har kort varighet, jf forutsetningene i pkt Datatilsynet har derved kommet til at det ikke foreligger plikt til å varsle registrert eier 4 etter 20, jf dennes annet ledd litra b Opplysninger om fører og passasjer Behandlingen medfører at det genereres nye opplysninger, nemlig opplysninger om hvor det aktuelle kjøretøyets fører og eventuelle passasjer var på et gitt tidspunkt. Det er naturlig å se det slik at opplysningene hentes inn fra den registrerte selv, basert på dennes handlinger, og at det oppstår informasjonsplikt etter Dersom registrert eier er fører eller passasjer gjelder pkt tilsvarende 10 av 12

11 Når det kjennemerkegjenkjenningssystemet brukes for statistikkformål, på de faste kontrollpunktene, blir man informert gjennom skiltet 558 videokontroll. Selv om det ikke fremgår av skiltet hvem som er behandlingsansvarlig, mener tilsynet at dette til en viss grad kan utledes av plasseringen. Datatilsynet vurderer det imidlertid slik at skiltet og plasseringen ikke gir tilfredsstillende informasjon om hva slags behandling man er gjenstand for, nemlig innhenting av statistikk. Datatilsynet mener derved at det skal gis ytterligere informasjon om hvem som er behandlingsansvarlig og om formålet med den aktuelle kamerabruken. Dette kan løses praktisk gjennom bruk av underskilt. Underskiltet må skille mellom de tilfeller videoanlegget brukes til trafikkontroll og de tilfeller hvor anlegget brukes til statistikkinnhenting. Etter personopplysningslovens 19 skal den registrerte gis informasjon før behandlingen tar til. Dette bør tas hensyn til ved plassering av nevnte skilt, i forhold til plassering av kameraet Konklusjon Det foreligger ikke informasjonsplikt overfor registrert eier av bilen, med mindre denne er fører av eller passasjer i bilen. Fører og eventuell passasjer skal gis informasjon om hvem som er behandlingsansvarlig, og hva slags behandling det er tale om (type kontroll, eventuelt statistikk). Slik informasjon skal gis gjennom skilting på stedet. 7.4 Internkontroll Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også system for avvikshåndtering og nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 2. Tilsynet ønsket en redegjørelse for hvilke systematiske tiltak virksomheten hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. Under kontrollen kunne det ikke fremlegges dokumentasjon for internkontroll. Datatilsynet anser dette som en mangel i forhold til kravene i personopplysningslovens 14. Etter kontrolltidspunktet er det blitt tilsendt tilsynet systemdokumentasjon. Denne dokumentasjonen er ikke tilstrekkelig dekkende for internkontrollsystemet Konklusjon Virksomheten skal etablere dokumentasjon for internkontroll i henhold til personopplysningslovens av 12

12 7.5 Krav om informasjonssikkerhet I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Virksomheten kunne under tilsynet ikke gjøre rede for nivået for informasjonssikkerhet, for eksempel om tilstrekkelig ivaretakelse av konfidensialitet. Etter kontrolltidspunktet er det blitt tilsendt tilsynet systemdokumentasjon. Denne dokumentasjonen redegjør ikke i tilstrekkelig grad for informasjonssikkerheten Konklusjon Virksomheten skal etablere informasjonssikkerhet i henhold til personopplysningslovens 13, spesielt med tanke på konfidensialitet, risikovurdering og avvikshåndtering, jf. personopplysningsforskriftens kapittel av 12