Endelig kontrollrapport

Transkript

1 Saksnummer: 11/01209 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Teletopia Gruppen AS, Servicebyrået AS, Tele Taxi Asker og Bærum AS Sted: Lysaker Utarbeidet av: Stein Erik Vetland Lars-Otto Nymoen Henok Tesfazghi 1 Innledning Datatilsynet gjennomførte kontroll hos Teletopia Gruppen AS (heretter TG) Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med fjernsynsovervåking. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger ringer og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Robert Hercz, bl.a. styreleder i Teletopia Gruppen 2.2 Fra Datatilsynet: - Stein Erik Vetland, overingeniør - Lars-Otto Nymoen, overingeniør - Henok Tesfazghi, juridisk rådgiver 3 Generelt Det er ingen ansatte i TG. TG er et holdingselskap og inngår i et konsern. Virksomheten eier immaterielle rettigheter som selskaper i konsernet benytter seg av i ordinær virksomhet. Virksomheten har forretningsadresse Strandveien 8. Flere av virksomhetens søsterselskaper har kontorene på samme adresse deriblant: Hellas.no AS, Servicebyrået AS, Teletaxi AS, Teletaxi Asker og Bærum AS, Teletopia AS, Teletopia Interactive AS, Medium Forlag AS, Teletopia Avanserte Nettjenester AS, Telecom Solutions AS, Teletopia Networks AS og (morselskapet) Aquarius Holding AS. Det ble estimert til å være ca 30 ansatte som jobbet i konsernet sine lokaler i Strandveien 8. Kontrollen av var uanmeldt. Beslutningstaker i forhold til overvåkningstiltaket og dermed behandlingsansvarlig ngsansvarlig i henhold til personopplysningsloven, var ikke tilstede når

2 representantene fra Datatilsynet først ankom virksomhetens adresse. Beslutningstaker ankom imidlertid forretningsadressen etter ca 1 time. Datatilsynet gjennomførte den uanmeldte kontrollen delvis på bakgrunn av et konkret tips om at virksomheten behandlet personopplysninger i strid med regelverket, og dels som en etterkontroll av virksomheten som ble gjennomført henholdsvis og Kontrollen startet med en kort gjennomgang av rettigheter og plikter for virksomhetens representant på stedet. Det ble overlevert et informasjonsskriv tilpasset uanmeldte kontroller. Tilsynet opplyste at det ville bli stilt en rekke spørsmål angående virksomhetens behandling av personopplysninger generelt og dens bruk av kameraovervåking spesielt. Det ble videre opplyst at tilsynet ville etterprøve (verifisere) de opplysningene som ble gitt under kontrollen opp mot andre objektive holdepunkter. Under kontrollen ble det kopiert over enkelte filer til tilsynets medbrakte eksterne harddisk. Datatilsynet mottok under kontrollen en kopi av en arbeidsavtale samt en politianmeldelse fra TG og Servicebyrået AS mot tidligere daglig leder. Kontrollen var i utgangspunktet rettet mot TG, men under den stedlige kontrollen ble det funnet avvik som TG ikke var behandlingsansvarlig for. Ansvarsforholdet ble først klarlagt i ettertid og denne rapporten omhandler derfor delvis TG sine søsterselskap Servicebyrået AS (heretter Servicebyrået) samt Tele Taxi Asker og Bærum AS (heretter Tele Taxi Asker og Bærum). 4 Kort om bruk av personopplysninger samt formålet med behandlingene 4.1 Kameraovervåking Kameraene som er plassert i TG sine lokaler er tilknyttet ett og samme anlegg, og det legges til grunn at det er det samme anlegget som tilsynet kontrollerte i TG opplyst etter 2008 kontrollen (se e-post av , saksnr 08/ ) at kameraene som var plassert i gangområde for overvåking av trafikk til datarom i teknisk avdeling var nedmontert og fjernet fysisk. 1 Datatilsynet vurderte det den gang at virksomhetens overvåking av resepsjonen måtte opphøre innenfor vanlig arbeidstid. Det vil i praksis medføre at overvåkingskameraene måtte være avslåtte mellom kl Lydopptak Robert Hercz (heretter RH) som er styreleder og eller daglig leder i samtlige konsernselskaper (listet opp i punkt 3 ovenfor) foretar lydopptak av telefonsamtaler han deltar i. Videre tar RH opp interne og eksterne møter han deltar i. Dette gjøres uten at deltagerne blir informert om det. RH opplyste at det er en del av hans «modus operandi», og (som i følge han selv) er godt kjent i hans kretser. 1 Se pkt av 16

3 4.3 Ansattes bruk av elektronisk kommunikasjon og elektronisk hjelpemidler Datatilsynet fikk på anmodning en kopi av en standardarbeidsavtale mellom en ansatt og Servicebyrået AS. I avtalens punkt 16 reguleres arbeidstakers bruk av elektronisk kommunikasjon og elektronisk hjelpemidler. Der heter det at «Av den grunn blir all inn- og utgående elektronisk post til og fra de e-post adressene som benytter bedriftens domenenavn lagret på en slik måte at andre i bedriften har fri tilgang til disse. Eventuell elektronisk kommunikasjon av privat karakter skal ikke forekomme til/fra e-post adresser som tilhører bedriften. Eventuell elektronisk kommunikasjon av privat karakter skal ikke forekomme til/fra e-post adresser som tilhører bedriften.» Videre er følgende regulert om teletrafikk «I egenskap av å være teleoperatør, lagrer bedriften informasjon om telefonnummer det ringes til og telefonnummer det ringes fra, til både fasttelefon og mobiltelefon som eventuelt disponeres av Arbeidstakeren. Arbeidstakeren er oppmerksom på at slik informasjon er åpen og tilgjengelig både for både ledelse og teknikere i bedriften.» 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Personopplysningsloven 11 oppstiller grunnkrav til behandling av personopplysninger. Innsamling og bruk av personopplysninger skal skje til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf 11 bokstav b). Det er med andre ord en forutsetning at det er klargjort hvorfor personopplysningene samles inn og hva de skal brukes til. Det er vanskelig å se hvordan et formål kan være utrykkelig angitt uten at det også er skriftlig nedfelt. Begreper som relevans og tilstrekkelighet for formålet, står sentralt i forbindelse med grunnkravene. Det er en forutsetning at formålet er styrende for hva som samles inn av personopplysninger opplysningene skal være relevante for formålet. Selv om dette ikke eksplisitt fremkommer i bestemmelsens ordlyd, gjelder et proporsjonalitetsprinsipp. Tiltaket må stå i rimelig proporsjoner sett opp mot de oppgitte behov og formål, og den inngripen i personvernet tiltaket eventuelt medfører. Etter personopplysningsloven 11 første ledd bokstav a) må behandling av personopplysninger oppfylle ett av vilkårene i personopplysningsloven 8 (og 9 om det er sensitive personopplysninger). Dette kalles behandlingsgrunnlag. Behandlingsgrunnlaget for kameraovervåkning vil normalt være lovens 8 bokstav f). Vilkåret etter dette alternativet er at behandlingen av personopplysningene er nødvendig for at den behandlingsansvarlige kan vareta en berettiget interesse, og at hensynet til den registrertes personvern ikke overstiger denne interessen. Med den registrerte menes her enhver som omfattes av opptakene og kan gjenkjennes, herunder ansatte, kunder, besøkende, eller andre. Oppfyller ikke overvåkningen vilkåret i 8, vil den mangle behandlingsgrunnlag, og følgelig være en behandling av personopplysninger i strid med loven. En slik avveining av 3 av 16

4 interesser må skje konkret for hver behandlingsansvarlig og de oppgitte formål sammen med en vurdering av hvor inngripende tiltaket ansees for å være. Virksomheten behandler personopplysninger for flere forskjellige formål. I det følgende vil Datatilsynet kun peke på konkrete mangler som tilsynet avdekket under kontrollen. 5.1 Kameraovervåking Personopplysningsloven og da særlig samt personopplysningsforskriften kapittel 8 stadfester rammer for kameraovervåking. Personopplysningsloven 37 stadfester at personopplysningsloven gjelder i sin helhet for alle former for kameraovervåking, slik dette er definert i 36 første ledd, jf. 3 første ledd bokstav c). Overvåking på en arbeidsplass vil svært ofte være omfattet av et skjerpet krav for å kunne anses som lovlig. Personopplysningsloven 38 krever et særskilt behov for overvåkingen om overvåkingen skjer av sted der en begrenset krets av personer ferdes jevnlig. Et typisk eksempel kan være et produksjonslokale hvor kun ansatte har tilgang. Det er med andre ord en høy terskel for når overvåkning av ansatte vil være et lovlig tiltak i henhold til personopplysningsloven. Dette gjelder særlig hvis overvåkingen i stor grad omfatter de ansattes arbeidsutførelse og gjøremål i løpet av en arbeidsdag. Kameraovervåking er meldepliktig etter personopplysningsloven 31. Overvåkingen skal tydelig varsles med informasjon om hvem som er behandlingsansvarlig, jf personopplysningsloven 40. Bestemmelser om utlevering av billedopptak finnes i personopplysningsloven 39. Personopplysningsforskriftens kapittel 8 om kameraovervåking har utfyllende bestemmelser om sletting i 8-4 og innsynsrett i 8-5. Etter personopplysningsforskriften 8-2 skal billedopptak sikres etter personopplysningsloven 13 med utfyllende bestemmelser i personopplysningsforskriften kapittel Overvåking av resepsjonsområdet Kameraovervåkingen rundt resepsjonsområdet er endret siden kontrollen i 2008 ved at kameraet som tidligere var bak resepsjonen er fjernet. Det er i dag tre kameraer rundt resepsjonsområdet. Et som fanger opp inngangsdøren og to som fanger opp hver sin korridor. Et av de to kameraene som overvåker korridorene fanger i tillegg opp deler av resepsjonsdisken. Opptakene har klare og skarpe bilder, og det er mulig å se hele korridoren der de ansattes kontorer befinner seg. Tilsynet viser til kontrollrapport av 2008: 4 av 16

5 Området rundt resepsjonen og foran døren er et form for knutepunkt i lokalet. Det er derfor ikke bare de som går inn eller ut av kontorets dør som blir filmet. Enhver bevegelse fra den ene siden av kontoret til den andre vil fanges opp av kameraene, eksempelvis om en person skal gå fra sitt kontor til motsatt side hvor kjøkken/ og spiserom er plassert. Med andre ord, overvåkingsbildene viser inn- og utpasseringer av døren, samt ansatte alminnelige bevegelser til eller fra ulike deler av kontoret Rettslig grunnlag Overvåking av resepsjonsområder og korridorer vil som hovedregel ikke ha et gyldig behandlingsgrunnlag etter personopplysningsloven 8 bokstav f), jf. 38. Spørsmålet er her om det foreligger så tungtveiende grunner at vurderingen bør være annerledes for lokalene til TG. Behandlingsgrunnlag etter 8 bokstav f) består av flere elementer i tillegg til en interesseavveining. Det er også et spørsmål om hvorvidt behandlingen av personopplysningene er nødvendig for å ivareta en berettiget interesse. I dette ligger det også en vurdering av om at formålet kunne, eller burde vært løst på en mer personvernvennlig måte. Slik tilsynet forstår saken, er formålet/interessen å kunne oppdage og reagere på at om uautoriserte personer går inn i lokalet, samt eventuelt kunne fremskaffe bevis og en identifisering av disse Faktiske forhold RH opplyste at kameraene i resepsjonsområdet og korridorene kun var slått på etter arbeidstid, det vil si mellom kl RH hevdet videre at det var kun mulig å få innsyn i opptakene, når man fysisk var tilkoblet virksomhetens server. Tilsynet kontrollerte opptakene som lå på virksomhetens server og avdekket at det også var gjort opptak i arbeidstiden, det vil si mellom kl Kontrollen avdekket videre at RH hadde tilgang til opptakene gjennom en offentlig IP-adresse (Internett). Det var synlig gjennom den installerte programvaren (Axsis) at RH hadde profiler til sin bærbar-pc, sin smarttelefon samt hjemme-pc. Datatilsynet kontrollerte RH sin bærbare-pc, der han hadde tilgang til kameraovervåkingssystemet og fikk bekreftet at den bærbare-pc hadde blitt benyttet til å foreta innsyn i systemet. RH innrømmet senere å ha tilgang til systemet og benyttet den Konklusjon Det er Datatilsynets vurdering at overvåkingen knyttet til inngang og resepsjon ikke oppfyller lovens krav, jf. personopplysningsloven 8 bokstav f), jf. 38, for den tid av døgnet hvor kontoret er bemannet på vanlig måte. Overvåking innenfor vanlig kontortid må følgelig opphøre. I Datatilsynets kontroll av virksomheten i 2008, ble TG pålagt å demontere kameraene som overvåket korridorene (saksnr. 08/ ). Datatilsynets etterkontroll avdekket at TG ikke har fulgt opp dette pålegget, noe Datatilsynet ser alvorlig på. Det ansees som skjerpende at TG har behandlet personopplysninger i strid med regelverket i og med at de var gjort oppmerksomme på dette ved tilsynets kontroll i 2008, hvor de fikk pålegg om at denne overvåkningen skulle opphøre. 5 av 16

6 Datatilsynet er videre av den oppfatning at en slik tilgang som RH har til opptakene ikke er forenelig med det formål som virksomheten legger til grunn, og at en slik tilgang vil mangle et gyldig behandlingsgrunnlag, jf. personopplysningsloven Overvåking av sjåførens pauserom Rettslig grunnlag Personopplysningsloven 38 oppstiller skjerpede krav for når en overvåking av sted hvor en begrenset krets av personer ferdes jevnlig kan skje. En slik overvåking vil kun være tillat om det ut fra virksomheten er behov for å forebygge at farlige situasjoner oppstår og ivareta hensynet til ansattes eller andres sikkerhet eller at det for øvrig er et særskilt behov for overvåkingen. Personopplysningsloven 38 setter ikke interesseavveiningen etter 8 bokstav f) til side, men oppstiller et skjerpet krav til behov hos den behandlingsansvarlige. Det skjerpede kravet til et særskilt behov vil normalt gjelde ved overvåking av en arbeidsplass, eksempelvis et kontor, eller for områder hvor kun ansatte har tilgang. I praksis inneholder 38 et ekstra vern mot å bli kameraovervåket i arbeidshverdagen fordi tersklene for en lovlig overvåking er høy. Typiske eksempler på et særskilt behov er trussel mot liv og helse Faktiske forhold Under kontrollen ble tilsynet oppmerksom på at virksomheten hadde plassert et overvåkingskamera på et pauserom for sjåfører. Kameraet fanger opp en sofaseksjon samt inngangsdøren til pauserommet. Datatilsynet har i ettertid fått opplyst at behandlingsansvarlig for overvåkingssystemet er TG sitt søsterselskap Tele Taxi Asker og Bærum. RH forklarte at kameraet på pauserommet til sjåførene skyldes et ønske, fra Tele Taxi Asker og Bærum, om å motvirke hærverk, bortvise uvedkommende og innbrudd av lokalet. Det ble videre opplyst at rommet hadde blitt utsatt for hærverk Konklusjon Datatilsynet finner ikke at Tele Taxi Asker og Bærum har et behandlingsgrunnlag etter personopplysningsloven 8. Tilsynet mener videre at formålet med overvåkning av sjåførenes pauserom, å motvirke hærverk og innbrudd, ikke tilfredsstiller krav om et særskilt behov i personopplysningsloven 38. Ved beskyttelse mot innbrudd er for øvrig «skallsikring» (blant annet overvåking av bygningens fasade) mer egnet og mindre personverninngripende. En slik overvåking av sjåførenes pauserom, vil uansett ikke være en behandling som vil tilfredsstille kravet til et særskilt behov. 6 av 16

7 5.1.3 Informasjonsplikt overfor ansatte Rettslig grunnlag Ved innføring av kameraovervåking har behandlingsansvarlig en plikt til å informere de registrerte om at det samles inn opplysninger om dem, jf. personopplysningsloven 19. Behandlingsansvarlig plikter av eget tiltak å informere de registrerte blant annet om, formålet med behandlingen, at opplysningene vil bli utlevert, og eventuelt til hvem. Videre plikter behandlingsansvarlig å informere om annet som gjør den registrere i stand til å bruke sine rettigheter etter loven her på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. loven 18. Etter arbeidsmiljøloven, som forvaltes av Arbeidstilsynet, plikter arbeidsgiver så tidlig som mulig å drøfte behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak i virksomheten med arbeidstakernes tillitsvalgte, jf. arbeidsmiljølovens 9-2 første ledd. Arbeidsgivers informasjonsplikt følger videre av lovens 9-2 annet ledd. Arbeidsmiljøloven vil her utfylle personopplysningslovens regler. Det er verdt å merke at arbeidsgivers plikter etter arbeidsmiljøloven inntrer før personopplysningslovens bestemmelser. I det en arbeidsgiver så tidlig som mulig, jf 9-2 første ledd, har en drøftningsplikt i motsetning til personopplysingsloven som setter plikten i tid til Når det samles inn personopplysninger Faktiske forhold Flere av de som jobber i TG sine lokaler har opplyst til tilsynets representanter at de ikke har mottatt informasjon om kameraovervåkingen. RH hevder at informasjon om kameraovervåkingen har blitt gitt på et allmøte (tilsynet antar at allmøte gjaldt for samtlige ansatte i Teletopia-systemet). TG kunne ikke fremlegge noe dokumentasjon på når informasjonen ble gitt eller hva informasjonen inneholdt. Videre har ikke virksomheten rutiner for hvordan nyansatte skal få informasjon om overvåkningen som er et krav etter personopplysningsloven Konklusjon Datatilsynet kan ikke se at TG har oppfylt sin informasjonsplikt, jf. personopplysningsloven 19. Tilsynet kan videre ikke se at det er gjennomført drøftinger med tillitsvalgte i tråd med arbeidsmiljøloven 9-2 første ledd. Datatilsynet understreker imidlertid at det er Arbeidstilsynet som håndhever reglene etter arbeidsmiljøloven. De ansatte er formelt ansatt hos Servicebyrået, mens TG er behandlingsansvarlig over kameraovervåkingen. Det kan således settes spørsmålstegn ved om arbeidsmiljølovens regler vedrørende drøftingsplikt kommer til anvendelse. Tilsynet vil likevel påpeke at innføringen av kontrolltiltaket uansett burde vært drøftet med de tillitsvalgte i Servicebyrået Sletting Rettslig grunnlag Personopplysningsforskriften 8-4 stadfester at billedopptak skal slettes når det ikke lenger er saklig grunn for oppbevaring, jf personopplysningsloven av 16

8 Billedopptak skal senest slettes 7 dager etter at opptakene er gjort. Sletteplikten etter forrige punkt gjelder likevel ikke dersom det er sannsynlig at billedopptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. I slike tilfeller kan billedopptakene oppbevares inntil 30 dager Faktiske forhold Virksomheten var kjent med regelverket på dette område, og RH mente at virksomheten overholdt fristen. Under verifikasjonen fikk tilsynet tilgang til opptak som var ca tre til fire år gamle. I bevissikrings øyemed kopierte tilsynet flere filer over på medbrakt harddisk. Det var særlig to forhold som var av eldre dato. Det første forholdet gjaldt bilder som RH mener var en illojal ansatt som saboterte servere, og det andre forholdet var bilder av en annen person som spaserer gjennom resepsjonen. RH hevder at vedkommende som spaserte gjennom resepsjonen utøvde vold minutter etter at opptaket ble gjennomført, og av den grunn ble opptaket lagret ut over normal lagringstid. RH opplyste videre at opptakene av kameraovervåkingen av serverommet ble lagret i 30 dager Konklusjon Personopplysningsforksriften hjemler en maksimal oppbevaringstid på inntil 30 dager, når det er sannsynlig at billedopptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. Når virksomheten har lagret opptak utover dette, har den forbrutt seg med regelverket. Likeledes vil virksomhetens lagring av bildeopptak fra serverrommet måtte slettes innen 7 dager. Konklusjonen er at virksomheten har lagret opptak i strid med personopplysningsforskriften Lydopptak Rettslig grunnlag Lydopptak må ha et behandlingsgrunnlag etter personopplysningsloven 8. Når det samles inn opplysninger om den registrerte selv, skal den behandlingsansvarlige av eget tiltak først informere den registrerte om forhold som er nevnt i 19 første ledd bokstav a) e). Unntak fra informasjonsplikten er hjemlet i personopplysningsloven Faktiske forhold Tilsynet avdekket i forbindelse med kontroll av RH sin bærbare-pc en omfattende lagring av digitale lydfiler, anslagsvis over 500 timer med opptak. Det ble også avdekket filer fra langt tilbake i tid. Deler av lydfilene som var lagret var private opptak. RH erkjenner å ta lydopptak av telefonsamtaler han deltar i. RH viste i den forbindelse også til Teletopia sin tjeneste på og 8 av 16

9 Videre tar RH opp interne og eksterne møter han deltar i med en lydopptaker han har i lommen. Opptakene ble bevisst foretatt uten at deltakeren(e) på henholdsvis møtet eller telefonsamtalen ble informert om det. Formålet med opptakene varierte, men et av disse formålene som ble angitt var sikkerhet Konklusjon Datatilsynet kan ikke se at den virksomheten RH representerer har et behandlingsgrunnlag etter personopplysningsloven 8, for lydopptak gjort i forbindelse med virksomhetsutøvelse. Tilsynet kan videre ikke se at den virksomheten RH representerer har oppfylt sin informasjonsplikt eller at unntak fra informasjonsplikten kommer til anvendelse. Datatilsynet konkluderer med dette at den virksomheten RH representerer ikke har et gyldig behandlingsgrunnlag for de lagrede filer, jf. personopplysningsloven 11, jf. 8. RH sine private opptak faller utenfor personopplysningslovens saklige virkeområde, jf. personopplysningsloven 3 annet ledd. 5.3 Ansattes elektronisk kommunikasjon E-post Rettslig grunnlag Personopplysningsforskriften kapittel 9 regulerer arbeidsgivers rett til innsyn i arbeidstakers e-postkasse mv. Med arbeidstakers e-postkasse menes e-postkasse arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet i virksomheten, jf. personopplysningsloven 9-1. Vilkår for innsyn er regulert i personopplysningsforskriften 9-2. Det følger av bestemmelsen at arbeidsgiver bare har rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse a) når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten, b) vedbegrunnet mistanke om at arbeidstakers bruk av e-postkassen medrører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed. Dersom arbeidsgiver mener at vilkårene for innsyn i e-post mv. er oppfylt, skal arbeidsgiver i varsel til arbeidstaker begrunne hvorfor vilkårene i 9-2 anses å være oppfylt, jf. personopplysningslovens 9-3, 1. ledd. Arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg før arbeidsgiver gjennomfører innsyn. Arbeidstaker skal videre så langt som mulig gis anledning til å være til stede under gjennomføringen av innsynet. Unntak fra retten til informasjon i personopplysningsloven 23 gjelder tilsvarende. Dersom innsyn er foretatt uten forutgående varsel skal arbeidstaker gis skriftlig underretning om dette så snart innsynet er gjennomført, jf. personopplysningsforskriften 9-3, 2. ledd. 9 av 16

10 Det følger av personopplysningsforskriften 9-4 at arbeidstakers e-postkasse mv. skal avsluttes når arbeidsforholdet opphører. Innhold som ikke er nødvendig for den daglige driften av virksomheten skal slettes innen rimelig tid. Begrepet rimelig tid fordrer en konkret vurdering, men det legges i merknadene til bestemmelsen til grunn at det må kunne forventes at arbeidsgiver foretar en vurdering i løpet av seks måneder etter arbeidsforholdets opphør. Personopplysningsforskriften 9-5 stadfester at det ikke er adgang til å fastsette instruks eller inngå avtale om arbeidsgivers innsyn i arbeidstakers e-postkasse mv. som fraviker bestemmelsene i dette kapitlet til ugunst for arbeidstaker Faktiske forhold RH opplyste at Servicebyrået ikke slettet e-poster til tidligere ansatte og at e-postene ble lagret til evig tid. RH anså at en slik omfattende gjennomgang av ansattes e-post ville bli for ressurskrevende. RH viste videre til arbeidsavtalens pkt 16 (omtalt i pkt 4.3 ovenfor) som regulerte bruken av elektronisk kommunikasjon. Der heter det blant annet at «all inn- og utgående elektronisk post til og fra de e-post adressene som benytter bedriftens domenenavn [blir] lagret på en slik måte at andre i bedriften har fri tilgang til disse.» Konklusjon Tilsynet legger til grunn at det her er tale om personlige e-postkontor som identifiserer enkeltpersoner slik som for eksempel fornavn.etternavn@teletopia.no Servicebyråets lagring av tidligere ansattes e-poster strider med personopplysningsforskriften 9-4. Arbeidsgivers adgang til å foreta innsyn i inn- og utgående elektronisk post, må vurderes opp mot vilkårene i personopplysningsforskriften 9-2, og må videre følge prosedyrereglene i forskriftens 9-3. Servicebyråets regulering om at alle i bedriften skal ha fri tilgang til lagret e-post, vil således stride med personopplysningsforskriften 9-2 og 9-3. Virksomheten må videre anses avskåret fra å inngå slike avtaler, siden avtalen klart fraviker bestemmelsene i kapittel 9 til ugunst for arbeidstakeren, jf. personopplysningsforskriften Lagring av trafikkdata Rettslig grunnlag Ifølge personopplysningsloven 11 første ledd bokstav a), jf. 8, plikter den behandlingsansvarlige å påse at det foreligger et gyldig rettslig grunnlag for en hver behandling av personopplysninger som faller innenfor dens ansvarsområde. Etter personopplysningsloven 8 kan en behandling av personopplysninger baseres på hjemmel i lov, samtykke, eller en av de nødvendighetsgrunner som er angitt i bokstavene a) til 10 av 16

11 f). Spørsmålet om det foreligger gyldig behandlingsgrunnlag, må i utgangspunktet stilles i relasjon til samtlige personopplysninger som behandles. Videre vil det formålet som ligger til grunn for den enkelte behandling kunne være avgjørende, jf. 8 bokstavene a) til f) Faktiske forhold Virksomheten opplyser i arbeidsavtalen at i egenskap av å være teleoperatør, lagrer bedriften informasjon om telefonnummer det ringes til og telefonnummer det ringes fra, til både fasttelefon og mobiltelefon som disponeres av arbeidstakeren. Slik informasjon er åpen og tilgjengelig både for ledelse og teknikere i bedriften. RH opplyste imidlertid at virksomheten ikke lenger var mobiloperatør, og at man nå kjøpte sine mobiltjenester fra NetCom. I brev av 15. mars 2012 ble TG pålagt å klargjøre hvilket innhold man tilla begrepet teleoperatør, samt hvordan virksomheten behandlet personopplysninger i den forbindelse. TG påklagde vedtaket i brev av 19. mars Klagen ble ikke tatt til følge av Personvernnemnda i avgjørelse av 7. mai 2012 (PVN ). TG opplyser i brev av 16. mai 2012 at «Selskapsgruppen tilbyr i hovedsak telefoni og SMS og tjenester basert på, eller relatert til, disse. Internettrelaterte tjenester som hjemmesider, e- post, FTP, socketserver, webservices osv. tilbys i det vesentligste som støttefunksjoner til slike.» På spørsmål om hvilke konkrete personopplysninger som ble lagret, ble følgende opplysninger gitt: Databasen for telefonirelaterte CDR er 2 inneholder følgende datafelt ( columns ): Datafelt Innhold/Beskrivelse call_id Unik identifikator for hver enkelt samtale a_number Calling Party Number (jf ISUP / ETSI) hidden CLIP/CLIR-markering (jf ISUP) b_number Called Party Number (jf ISUP / ETSI) channel Behandlende trafikk-kanal i telesentralen start Dato og klokkeslett samtalen ble mottatt (ISUP IAM) charge Dato og klokkeslett samtalen ble besvart (ISUP ANM) stop Dato og klokkeslett samtalen ble avsluttet (ISUP REL) seconds Samtalens varighet (Duration jf ETSI) direction Retning orig_callid Refereanse til annen Call_ID program Applikasjon som har behandlet samtalen clearcause Begrunnelse for avslutning av samtalen (ISUP ClearCause) processed Hvorvidt CDR en er prosessert for avregning 2 CDR står for Call Detail Record, og genereres for å kunne fakturer kunder korrekt. 11 av 16

12 Databasen for SMS-relaterte CDR er inneholder flere tabeller, bestående av følgende datafelt ( columns ): Tabell: Incoming (Mobile Originated) Datafelt Innhold/Beskrivelse MessageId Unik identifikator for hver enkelt melding Timestamp Dato og klokkeslett meldingen ble mottatt CpaNumber Nummeret meldingen ble sendt til UserNumber Avsenderidentitet ServiceId Id på tjenesten som behandler meldingen AccountId Id på kontoen som behanlder meldingen Tabell: Outgoing (Mobile Terminated) Datafelt Innhold/Beskrivelse MessageId Unik identifikator for hver enkelt melding Timestamp Dato og klokkeslett meldingen ble sendt CpaNumber Avsenderidentitet UserNumber Nummeret meldingen ble sendt til ServiceId Id på tjenesten som sender meldingen AccountId Id på kontoen som sender meldingen NationalityId Landskode OperatorId Operatør / serviceprovider TerminatingOperatorId Terminerende operatør PricePlan Prisplan Price Pris ved MT-billing PartCount Antall delmeldinger Tabell: Delivery Reports Datafelt Innhold/Beskrivelse MessageId Unik identifikator for hver enkelt melding Timestamp Dato og klokkeslett meldingen ble sendt StatusType Leveringsstatus (levert/ikkelevert) StatusCode Intern kode for status StatusDescription Intern statusbeskrivelse OperatorStatusCode Operatørspesifikk kode for status OperatorStatusDescription Operatørspesifikk statusbeskrivelse 12 av 16

13 TG opplyser videre at «Telekonsesjonen angir at Teletopia Gruppen AS er behandlingsansvarlig, uten hensyn til hvilket selskap i selskapsgruppen som utøver virksomheten.» Konklusjon Datatilsynet legger til grunn at TG er behandlingsansvarlig for behandlingen av trafikkdata. I tråd med TG sin oversikt over behandlingsansvarlige (brev av 6. februar 2012, saksnr. 11/ ) legger tilsynet til grunn at Servicebyrået behandler trafikkdata (personopplysninger) på vegne av TG. Det skal i slike tilfeller opprettes en skriftlig databehandleravtale mellom TG som behandlingsansvarlig og Servicebyrået som databehandler, jf. personopplysningsloven 15. Datatilsynet har gjentatte ganger bedt om en kopi av en slik databehandleravtale, uten at TG har fremlagt en slik avtale. Som databehandler (for TG), får Servicebyrået tilgang til en rekke personopplysninger (trafikkdata), jf. oppramsingen i pkt ovenfor. Når ansatte i Servicebyrået benytter TG som teleoperatør, vil Servicebyrået få tilgang til personopplysninger som en arbeidsgiver i utgangspunktet ikke har et gyldig behandlingsgrunnlag til å behandle, jf. personopplysningsloven 11 og 8. Servicebyrået har i sine arbeidsavtaler en klausul som (nevnt i pkt 4.3) sier at: «I egenskap av å være teleoperatør, lagrer bedriften informasjon om telefonnummer det ringes til og telefonnummer det ringes fra, til både fasttelefon og mobiltelefon som eventuelt disponeres av Arbeidstakeren. Arbeidstakeren er oppmerksom på at slik informasjon er åpen og tilgjengelig både for både ledelse og teknikere i bedriften.» Datatilsynet vil til dette presisere at Servicebyrået ikke er å anse som tilbyder av telefontjenester eller teleoperatør, men en databehandler som kun kan behandle personopplysningene i tråd med en skriftlig inngått databehandleravtale. Datatilsynet setter videre spørsmålstegn ved hvorfor ansattes trafikkdata skal være «åpen og tilgjenglig» for både ledelse og teknikere i bedriften. Tilsynet vil i den anledning fremheve at trafikkdata regnes som taushetspliktige opplysninger, jf. ekomloven 2-9 første og annet ledd. Og i tråd med personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-14, skal virksomheten sikre at personopplysningene kun er tilgjenglig for autoriserte brukere, og kun brukes i henhold til de formål de er innhentet til. Det følger av personopplysningsloven 11 bokstav b) og bokstav d), jf. personopplysningsforskriften 2-12 at den enkelte kun skal ha tilgang til personopplysninger som er saklige og relevante for formålet. Det vil i denne sammenheng si at TG samt Servicebyrået må sørge for at det ikke gis tilgang til personopplysninger ut over det den enkelte ansatte har et tjenstlig behov for. 13 av 16

14 Datatilsynet anser det som et brudd på personopplysningsforskriften 2-11, 2-12 og 2-14, når trafikkdata skal være åpen og tilgjenglig for ledelse og teknikere i bedriften, når en slik tilgang ikke er nødvendig ut i fra en tjenstlig behovs vurdering. 5.4 Internkontroll Rettslig grunnlag Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningsloven og regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriftens kapittel 3. Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak virksomheten hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til personopplysningsloven 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Faktiske forhold Virksomheten har ikke kunnet legge frem noen dokumentasjon av systematiske tiltak overfor Datatilsynet Konklusjon På bakgrunn av dette legger Datatilsynet til grunn at virksomheten mangler den overordnede systematikk som personopplysningsloven 14 krever. Dette anses som brudd på personopplysningsloven Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte og være tilgjengelig for medarbeiderne hos den behandlingsansvarlige. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. Kravene i personopplysningsloven 13 og 14 følges opp av mer konkrete bestemmelser i personopplysningsforskriften kapittel 2 og 3. I det følgende vil Datatilsynet påpeke konkrete mangler i forhold til disse bestemmelsene som ble avdekket under kontrollen Risikovurdering Rettslig grunnlag Det følger av personopplysningsforskriftens 2-4 at det skal føres en oversikt over hvilke personopplysninger som behandles. Opplysningene skal kategoriseres i forholdt til behov for beskyttelse med hensyn til konfidensialitet, integritet og tilgjengelighet. På bakgrunn av dette skal det gjennomføres en risikovurdering for å kartlegge sannsynlighet for og konsekvenser 14 av 16

15 av sikkerhetsbrudd. Virksomheten skal selv fastlegge kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. Resultatet av risikovurderingen skal dokumenteres Faktiske forhold Virksomheten kunne ikke legge frem noen oversikt over hvilke behandlinger av personopplysninger som foretas. Det kunne heller ikke dokumenteres at det er foretatt risikovurdering i forhold til de angitte behandlinger Konklusjon Datatilsynets kontroll gav derfor grunnlag for å minne om nevnte bestemmelse i 2-4 og understreker viktigheten av at de mangler som er påvist i rapporten blir fulgt opp av behandlingsansvarlig. Kravene i 2-4 kan dermed ikke anses som oppfylt. Dette anses som brudd på personopplysningsforskriften Tilgangsstyring Rettslig grunnlag Det følger av personopplysningsloven 13 og personopplysningsforskriften 2-13 og 2-14 at behandlingsansvarlig skal sikre at personopplysninger er utilgjengelig for uvedkommende. Problemstillingen blir så hvem i virksomheten som skal ha tilgang til virksomhetens lagrede personopplysninger Faktiske forhold I virksomheten var tilgangen til overvåkingssystemet og tilgang til opptakene tillagt styreleder. Ingen andre har tilgang til systemet eller opptakene. Kontrollen avdekket at serveren som lagret opptakene fra kameraovervåkingen også lagret personopplysninger fra andre konsernselskaper, deriblant opptak gjort fra taxisjåførenes pauserom (jf. pkt 5.1.2). Opptakene var ikke adskilt fra hverandre til tross for forskjellige behandlingsansvarlige. Virksomheten har ikke differensiert tilgangen til kameraopptakene ut i fra de forskjellige formålene behandlingene har. Videre vil det være ulike behandlingsansvarlige for de opptakene som foretas. Virksomheten kunne heller ikke legge frem dokumentasjon på at det var foretatt en vurdering av behovet for tilgang til opplysninger ut i fra de forskjellige formålene Konklusjon Konsernselskapene (TG og Tele Taxi Asker og Bærum) har lagret personopplysninger uten å ta hensyn til formålet med behandlingen eller hvem som er behandlingsansvarlig. Selskapene har ikke adskilt personopplysningene og videre ikke vurdert noen form for tilgangskontroll. 15 av 16

16 Trolig skyldes dette at RH er den eneste med tilgang til personopplysningene, samt at RH er styreleder og eller daglig leder for virksomhetene Sikring av opptak Rettslig grunnlag Personopplysningsloven 13 stadfester at den behandlingsansvarlige skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjenglighet ved behandling av personopplysninger. Videre sier personopplysningsforskriften 2-11 at det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Datatilsynet har gjennom forvaltningspraksis slått fast at overvåkingsvideo regnes som konfidensiell og at kravene i forskriftens 2-11 kommer til anvendelse. Personopplysningsforskriften 2-14 stadfester at sikkerhetstiltak skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk Faktiske forhold Virksomheten hadde satt opp en offentlig tilgjengelig pålogging til kameraovervåkingsbildene. For å få tilgang må man ha kjennskap til IP-adresse, samt brukernavn og passord. RH redegjorde at det var kun han som har dette passordet Konklusjon Ved at tilgangen kun er beskyttet med brukernavn og passord på en nettside vil det være mulig for uautorisert tilgang til kameraovervåkingsutstyret. Datatilsynet ser det som påkrevet med en to-faktor autentisering for å minimere denne risikoen. Virksomheten har ikke sikret tilgangen til personopplysningene tilstrekkelig jf. personopplysningsloven 13 og personopplysningsforskriften av 16