Endelig kontrollrapport

Transkript

1 Saksnummer: 12/00754 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Toll- og avgiftsdirektoratet Sted: Oslo Utarbeidet av: Atle Årnes Cecilie Rønnevik 1 Innledning Datatilsynet gjennomførte kontroll hos Toll- og avgiftsdirektoratet den Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger ved bruk av kjennemerkegjenkjenningssystem. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: Eivind Kloster-Jensen, avdelingsdirektør, kontrollavdelingen Karianne Løken, underdirektør, seksjon for økonomisk kontroll Geir Høiseth, underdirektør, seksjon for grensekontroll Asle Farberg, avdelingssjef, grensekontrollavdelingen Mona Amundsen, jurist 2.2 Fra Datatilsynet: - Cecilie L.B. Rønnevik, fagdirektør - Atle Årnes, fagdirektør teknologi 3 Generelt Automatiske kjennemerkegjenkjenning er et relativt nytt hjelpemiddel, som i de senere årene er tatt i bruk av både veimyndighetene, Tollvesenet og politiet Datatilsynett har hatt mange enkelthenvendelser fra privatpersoner, med spørsmål om hva slags behandling som skjer ved bruk av slik teknologi, og hvorvidt den er lovlig. Personopplysningsloven er teknologinøytral. Det innebærer at valg av teknologi i utgangspunktet er uten betydning ved vurderingen av om en behandling er lovlig i henhold til personopplysningslovens bestemmelser. Kjennemerkegjenkjenning medfører en betydelig effektivisering av kontrollaktiviteten, som kan medføre at det totale overvåkningstrykket for den enkelte øker. I denne sammenheng er imidlertid Datatilsynet mest opptatt av at innføring 1 av 7

2 av denne teknologien kan medføre en ny og utvidet behandling av personopplysninger, for eksempel at opplysningene lagres og blir gjenstand for ny bruk. Datatilsynet har gjennomført en kontroll med tilsvarende behandling hos veimyndighetene, med saksnummer 12/ Kort om bruk av personopplysninger samt formålet med behandlingene 4.1 Kontroll Under kontrollen framkom det at Tollvesenet benytter denne teknologien som et hjelpemiddel i forbindelse med å målrette grensekontrollen. Dette skjer ved at systemet leser kjennemerket på kjøretøy som passerer grensen. Kjennemerket sammenholdes med opplysninger fra etatens registre, i all hovedsak fra Personunderretningssystemet (PUS) 1 og Autosys. Eventuelle treff presenteres på en skjerm hos operative tjenestemenn 2, som kan iverksette en mer inngående kontroll. Opplysningene slettes etter en time. Datatilsynet vurderer det slik at denne type kontroll medfører behandling av personopplysninger. I all hovedsak vil det bli behandlet opplysninger om personer som er registrert i PUS og Autosys. Behandlingen vil imidlertid også generere nye opplysninger om den som er fører av bilen når kontrollen skjer og eventuelle passasjerer. Det vises til at det bildet som tas i forbindelse med kontrollen ikke begrenser seg til kjennemerket, men ofte hele kjøreøyet. Det er dels begrunnet i tekniske hensyn, men også i behovet for at fargen på kjøretøyet skal kunne holdes opp mot registrerte opplysninger. 4.2 Innhøsting av underretningsinformasjon Under kontrollen fremkom det at Tollvesenet ønsker å utvide bruken av denne type teknologi til innhenting av underretningsinformasjon. For dette formålet er det ønskelig å ha informasjonen fra grensepasseringer lagret i inntil to år. Direktoratet uttalte i den forbindelse at det i dag ikke har tilfredsstillende hjemler for slik behandling, hvilket er en vurdering som Datatilsynet slutter seg til. 1 Datatilsynet har ikke i denne saken gjort selvstendige undersøkelser eller vurderinger knyttet til behandling av personopplysninger i PUS. For denne sakens vedkommende legger Datatilsynet til grunn at opplysningene i systemet behandles i henhold til personopplysningslovens bestemmelser. 2 En nærmere beskrivelse av selve behandlingen og den tekniske løsningen gis i kontrollrapportens kap 6. 2 av 7

3 5 Ansvarsforholdene Datatilsynet legger til grunn Toll- og avgiftsdirektoratet, er behandlingsansvarlig etter personopplysningsloven 2 nr 4 for Tollvesenets behandling av personopplysninger i forbindelse med grensekontroller og avgiftskontroller. Det fremkom under kontrollen at Statens vegvesen, som benytter tilsvarende system for egne kontrollformål, også behandler personopplysninger på vegne av Tollvesenet. Oppdraget består i å lage et register, bestående av et uttrekk fra Autosys og påført opplysninger fra Tollvesenets egne registre. Datatilsynet legger til grunn at Vegvesenet i denne forbindelse er å anse som en databehandler, jf personopplysningsloven 2 nr 5. Det kunne ikke legges frem en databehandleravtale, jf personopplysningslovens Oppbyggingen av løsningen Toll- og avgiftsdirektoratet trekker ut en gang pr. uke informasjon fra PUS. Uttrekket inneholder kjennemerke og nasjonalitet på transportmidler som antas å kunne passere over landvei. Systemet vil generere en alarm når lest informasjon i bildet får treff i en eller flere av listene. Statens vegvesen håndterer den praktiske innleggingen av data i kjennemerkegjenkjenningssystemet for Toll- og avgiftsdirektoratet. Toll- og avgiftsdirektoratet har i dag 12 anlegg i drift. 2 betjente, 5 ubetjente og 7 mobile 3. Disse faste er montert på grensestasjoner, i hovedsak i Østfold. Kamerasystemet som benyttes er levert av TC-Connect i henhold til en tjenesteavtale. Anleggene er underlagt serviceavtale med leverandøren, som har det løpende ansvaret for at anleggene fungerer i henhold til avtalen. Ved leveranse av nye anlegg, gjøres en kvalitetskontroll for hvert av anleggene, i henhold til en fastlagt kvalitetsprosedyre. Sletterutinene for bilder er blant de sjekkpunktene som leverandør gjennomgår før enhetene leveres til Tollvesenet Varsling Bruk av kjennemerkegjenkjenningssystemet er ikke varslet særskilt. Ved grenseovergangene er det imidlertid innført kameraovervåkning for andre formål, og i den forbindelse er det montert skilt om kameraovervåkning i tråd med personopplysningslovens Iht tilsvar fra TAD av 27. februar av 7

4 7 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 7.1 Ansvarsforhold Tollvesenet kunne ikke legge frem en databehandleravtale med Statens vegvesen. Det er å anse som et brudd på kravene i personopplysningslovens 14 og 15, om internkontroll og databehandleravtaler. 7.2 Rettslig grunnlag for behandling av personopplysninger Det følger av personopplysningsloven 11 første ledd bokstav a at det bare er adgang til å behandle personopplysninger dersom det foreligger et rettslig grunnlag for det etter personopplysningslovens 8. Datatilsynet tar høyde for at PUS inneholder sensitive opplysninger, og legger til grunn at de skjerpede kravene i 9 kommer til anvendelse ved behandling av opplysninger derfra. Tollvesenet har anført at det har hjemmel blant annet i tollovens 13-3 og motorkjøretøy- og båtavgiftsloven til å behandle personopplysninger fra PUS og Autosys i forbindelse med grensekontroll. Datatilsynet slutter seg til dette, og legger til grunn at behandlingen har behandlingsgrunnlag i tråd med kravene i personopplysningslovens 8 og 9. Dette gjelder imidlertid ikke for behandling av opplysninger om at et kjøretøy er meldt stjålet (jf. TADs brev til SVV av ). Datatilsynet mener det er uklart hvorvidt Tollvesenet har kompetanse til å utøve myndighet med bakgrunn i denne opplysningen, og at det derved kan stilles spørsmål ved om opplysningene er relevante og nødvendige for deres kontrollformål Konklusjon Det foreligger hjemmel i lov for Tollvesenets behandling av personopplysninger fra Autosys og PUS i forbindelse med grensekontroll. 7.3 Informasjonsplikt Personopplysningsloven 19 og 20 pålegger den behandlingsansvarlige en plikt til å informere den registrerte om følgende forhold: navn og adresse på den behandlingsansvarlige og dennes eventuelle representant formålet med behandlingen om opplysningene vil bli utlevert, og eventuelt hvem som er mottaker hvorvidt det er frivillig å gi fra seg opplysningene annet som gjør den registrerte i stand til å bruke sine rettigheter etter personopplysningsloven på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. 18, og retten til å kreve retting, jf. 27 og Opplysninger om registrert eier og andre registrerte i PUS Datatilsynet legger til grunn at opplysningene samles inn i medhold av personopplysningslovens 20. Det vises til at identiteten hentes fra kjennetegnet på bilen, mens de øvrige opplysningene hentes fra PUS og Autosys. 4 av 7

5 Opplysningsplikten gjelder ikke for behandling som er uttrykkelig fastsatt i lov, jf 20 annet ledd litra a. Datatilsynet har lagt til grunn at den behandling av personopplysninger som skjer i forbindelse med kontrollvirksomheten er hjemlet i lov, jf rapportens pkt Kravet til unntak fra informasjonsplikt er etter sin ordlyd strengere enn lovkravet i personopplysningslovens 8 og 9, idet behandlingen må være uttrykkelig regulert. Samtidig skal det ved vurderingen av unntaket i 20 gjøres en forholdsmessighetsvurdering, basert på hvor inngripende den aktuelle behandlingen er. Jo mer inngripende en behandling er, desto mer skal det til for å unnta fra informasjonsplikten. Datatilsynet har etter en konkret vurdering kommet til at det ikke foreligger informasjonsplikt til registrert eier 4 av bilen, idet behandlingen anses å være uttrykkelig hjemlet i tolloven. Det er lagt vekt på at opplysningene om kjøretøyet, som kan knyttes til eier, er i det vesentlige allerede kjent for Tollvesenet. I tillegg er det lagt vekt på at behandlingen har kort varighet Opplysninger om fører og passasjer Behandlingen medfører at det genereres nye opplysninger om de kjøretøy hvor det forekommer et treff, nemlig opplysninger om hvor det aktuelle kjøretøyets fører og eventuelle passasjer var på et gitt tidspunkt. Det er naturlig å se det slik at opplysningene hentes inn fra den registrerte selv, basert på dennes handlinger, og at det oppstår informasjonsplikt etter 19. Det betyr at opplysningene som hovedregel skal gis før behandlingen tar til. I henhold til tolloven og motorkjøretøy- og båtavgiftsloven Tollvesenet gjennomføre sine kontroller uanmeldt. Dette er en særbestemmelse, som etter tilsynets vurdering setter til side plikten til forhåndvarsel etter personopplysningsloven, jf dennes 5. Dette er allikevel ikke til hinder for at opplysningene gis under kontrollen, eller så snart kontrollen er gjennomført. På grensestasjonene skiltes det om kameraovervåkning, i tråd med de særlige bestemmelsene i personopplysningslovens 40. Datatilsynet vurderer det slik at skiltet alene ikke gir tilfredsstillende informasjon om hva slags behandling man blir utsatt for, nemlig tollkontroll. Samtidig vil det forhold at man er på grenseovergangen, på en av Tollvesenets grensestasjoner, gi grunnlag for at den enkelte kan trekke konklusjoner om formålet. Dersom det faktisk skjer en ytterligere kontroll av bilen vil den informasjonen som gis direkte fra tjenestemannen i den forbindelse uansett være tilstrekkelig til å oppfylle informasjonsplikten Konklusjon Ved grensekontroll foreligger det ikke informasjonsplikt overfor registrert eier av bilen, med mindre denne er fører av eller passasjer i bilen. Datatilsynet mener at Tollvesenet oppfyller informasjonsplikten overfor fører og eventuell passasjer gjennom at det skiltes om kameraovervåkning på grensestasjonene. 4 Dersom registrert eier er fører eller passasjer gjelder pkt tilsvarende 5 av 7

6 7.4 Internkontroll Virksomheten har etter personopplysningslovens 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Internkontrollsystemet omfatter også system for avvikshåndtering og nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i kapittel 2. Tilsynet ønsket en redegjørelse for hvilke systematiske tiltak virksomheten hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningslovens 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. Under kontrollen kunne det ikke fremlegges dokumentasjon for internkontroll. Datatilsynet anser dette som en mangel i forhold til kravene i personopplysningslovens 14. Etter kontrolltidspunktet er det blitt tilsendt tilsynet systemdokumentasjon. Denne dokumentasjonen er ikke tilstrekkelig dekkende for internkontrollsystemet Konklusjon Virksomheten skal etablere dokumentasjon for internkontroll i henhold til personopplysningslovens Krav om informasjonssikkerhet I henhold til personopplysningslovens 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. I henhold til personopplysningsforskriftens 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Virksomheten kunne under tilsynet ikke gjøre rede for nivået for informasjonssikkerhet, for eksempel om tilstrekkelig ivaretakelse av konfidensialitet. 6 av 7

7 Etter kontrolltidspunktet er det blitt tilsendt tilsynet systemdokumentasjon. Denne dokumentasjonen redegjør ikke i tilstrekkelig grad for informasjonssikkerheten Konklusjon Virksomheten skal etablere informasjonssikkerhet i henhold til personopplysningslovens 13, spesielt med tanke på konfidensialitet, risikovurdering og avvikshåndtering, jf. personopplysningsforskriftens kapittel 2. 7 av 7