Foreløpig kontrollrapport

Transkript

1 Saksnummer: 12/00717 Dato for kontroll: Rapportdato: Foreløpig kontrollrapport Kontrollobjekt: Sandnes Taxisentral BA Sted: Forus Næringspark Utarbeidet av: Stian D Kringlebotn 1 Innledning Datatilsynet gjennomførte en kontroll hos Sandnes Taxi BA den 7. september Temaet for kontrollen var virksomhetens bruk av kameraovervåking. Kontrollen ble gjennomført i medhold av personopplysningslovens 44, jf. 42, 3. ledd. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen hos Sandnes Taxi BA. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Egil Handeland, daglig leder - Rune Lima, IT ansvarlig - Arild Helland, Ansvarlig for sjåførkort 2.2 Fra Datatilsynet: - Stein Erik Vetland, overingeniør - Stian D. Kringlebotn, seniorrådgiver 3 Om kontrollen Datatilsynets kontroll var varslet i brev av 16. juli Temaet for kontrollen var virksomhetens bruk av kameraovervåking i taxier. I brev av 20. august 2012 gav Sandnes Taxi AS en redegjørelse for overvåkingen. Den stedlige kontrollen startet med samtaler i Sandnes Taxi AS kontorer. Under kontrollen har Datatilsynet informert om hjemmel for kontrollen og det ble opplyst om rettigheter og plikter for den parten kontrollen retter seg mot. I tillegg til informasjonsinnsamling gjennom samtaler ønsket Datatilsynet å se nærmere på overvåkingsutstyret slik det er montert i bilene. Virksomheten benytter Monteringsservice AS som leverandør på tjenester. Det ble sett på et par biler med kameraovervåking. Datatilsynet fikk også se eksempel på hvordan opptak ser ut, og det ble derfor tatt ut minnekort med videoopptak i tråd med rutinene. Datatilsynet atilsynet fikk se sikringstiltakene og rutinene for håndtering. Kontrollen ble avsluttet med en kort oppsummering og informasjon om saksgang. 1 av 14

2 4 Tidligere saksbehandling om samme tema Datatilsynet har tidligere uttalt seg om kameraovervåking av taxier. Sandnes Taxientral BA har i e-post av 21. januar 2010 informert Datatilsynet om at ekstraordinært generalforsamling i Sandnes Taxisentral BA besluttet å montere kameraovervåking i alle drosjer tilknyttet sentralen. Datatilsynet registrerte henvendelsen som en sak (sak 10/00065). Selskapet hadde spørsmål om regelverket og om lovlighet av et slikt tiltak. Sakens siste dokument er et brev fra Datatilsynet til selskapet av 26. april Her gjør Datatilsynet rede for sitt syn og tidligere praksis på hvor grensene går for et kameraovervåkingstiltak i den aktuelle situasjonen. Det viktigste gjengis her i korthet: Datatilsynet anser løpende overvåkingsopptak som ikke tillatt etter personopplysningsloven. At det tas et bilde av passasjeren er et mindre inngripende tiltak og en slik praksis kan ha et rettslig grunnlag etter personopplysningsloven. Datatilsynet ba også Sandnes Taxisentral BA om en nærmere redegjørelse knyttet til behov og formål, og tilsynet stilte videre behandling av saken i bero inntil en slik redegjørelse forelå. Brevet ble ikke bevart av Sandnes Taxisentral. Den konkrete overvåkingen på kontrolltidspunktet gikk med andre ord betydelig lengre enn Datatilsynets forhåndsuttalelse tilsa. 5 Kameraovervåkingen På kontrolltidspunktet hadde alle taxiene kameraovervåking. Antallet taxier var 103. Overvåkingen var plassert i alle taxier tilknyttet Sandnes Taxisentral BA. Opptakene slettes automatisk etter 96 timer. Kameraet er kun operativt når sjåfør er pålogget taksameteret i drosjen. I personbiler viser kamerabildene om lag 80 % av kupeen. I storbilene (9-17 seter) vises om lag 70 % 5.1 Den tekniske løsningen Kameraovervåkingen som ble brukt overvåker kupeen i form av løpende overvåkingsfilm. Lagring av overvåkingsmaterialet skjer inne i bilen. Det ble benyttet ett overvåkingskamera i hver bil, plassert ved bakspeilet, og med linsen pekende bakover i bilen. I bilen er det plassert en lagringsenhet. Denne er ment å være skjult i bilen. Under kontrollen så Datatilsynet ett eksempel på en lagringsenhet som det måtte gjøres noe arbeid for å ta frem. Selve bildelangringen foregår på et alminnelig minnekort, slik man eksempelvis også nytter i digitalt kamera. Lagringen er ikke kryptert. Over minnekortet er det satt en plombering. Dette vil ikke forhindre at minnekortet kan enkelt fjernes fra lagringsenheten, men en brutt plombering vil være en indikasjon på at noen har fått innsyn i videoopptaket og at fjerningen av minnekortet er et resultat av en bevisst handling. 2 av 14

3 5.2 Overvåkingsbildene På de eksemplene på opptak Datatilsynet har sett, er kupeen nærmest som helhet overvåket, inkludert sjåføren. Overvåkingsbildet er relativt godt. Avstanden er kort fra overvåkingskameraet til der hvor passasjerene og sjåføren sitter. Overvåkingsbildene gir således en mer nærgående overvåking enn det man ofte ser ellers, eksempelvis i butikker. Passasjerenes reise og sjåførens arbeidsplass må beskrives som totalovervåket. 5.3 Automatisert start og stopp av opptak Opptaket starter når sjåføren logger seg på taksameteret i bilen. Normalt vil sjåføren logge seg inn i det han begynner skiftet og logge seg ut når arbeidsdagen er slutt. I dette ligger det også at taxien overvåkes uansett om det kjøres passasjerer eller om taxien venter på neste oppdrag, så lenge sjåføren er innlogget. 5.4 Lagringstid Etter beskrivelsen slettes/ overskrives opptak ved at det kun er plass til 96 timer opptak på minnekortet. Når minnekortet er fullt vil nye opptak overskrive de eldste opptakene. Hvis enheten ikke brukes, vil opptak bli liggende lagret lengre enn syv dager, noe Datatilsynet så ett konkret eksempel på under kontrollen. 5.5 Formålet med overvåkingen Det overordnede formålet med overvåkingen er å bedre sikkerheten for sjåfør og passasjerer. Virksomheten beskriver håpet om en preventiv effekt at problemer i mindre grad oppstår som hovedanliggende. Også det å kunne dokumentere hendelser i ettertid er en del av formålet. Formålet kan både beskrives som rettet mot å sikre sjåføren mot vold, trusler eller andre alvorlige handlinger fra passasjerene. Samtidig er det på samme måte et formål å sikre passasjerene mot sjåføren. I dette ligger det også en forventning om at opptaket blir sikret slik at sjåføren ikke kan påvirke løsningen. 5.6 Bruk av og tilgang til overvåkingsopptak internkontroll og rutiner Forut for kontrollen hadde virksomheten brukt overvåkingsmaterialet for eget formål og utlevert til andre. I virksomhetens redegjørelse til Datatilsynet forut for kontrollen (datert 20. august 2012) gjøres det klart at det er laget skriftlige rutiner for tilgang til og bruk av opptak, samt rutiner knyttet til plomberingen. Virksomheten hadde på kontrolltidspunktet en egen skriftlig nedfelt rutine for bruk og tilgang til overvåkingsmaterialet. Datatilsynet fikk overlevert denne på kontrollen 3 av 14

4 5.7 Meldeplikt Datatilsynet har søkt i egen database over gyldige meldinger uten å finne noen melding fra Sandnes Taxisentral BA om kameraovervåking. 5.8 Varslingsskilter og annen informasjon til kunder På bilenes sidevinduer er det satt relativt små skilt med bilde av et overvåkingskamera og med teksten Bilen er kameraovervåket. Det er ikke skilt inne i taxien. 5.9 Informasjon til ansatte deres medvirkning i beslutningen Aksjeeierne løyvehaverne er aksjeeiere har på ekstraordinær generalforsamling vedtatt at selskapet Sandnes Taxisentral AS (som Sandnes Taxisentral BA eier) skal finne utstyr for implementering og monteringen. Når det gjelder informasjon til ansatte og deres medvirkning er viktig å presisere at de fleste sjåfører ikke er ansatt hos Sandens Taxisentral BA, men hos den enkelte løyvehaver. I referat fra et internmøte i Sandnes Taxi går det tydelig frem under punkt Kamera at et lite antall løyvehavere har ønsket at kamera ikke skal monteres i deres biler, men at styret her har vist til generalforsamlingsvedtaket. Det er laget et informasjonsskriv som beskriver kameraovervåkingen, lengde på opptak, når billedopptak skal tas ut og hvordan uttak skal gjennomføres. Monteringen har blitt besluttet på en ekstraordinær generalforsamling. Om virksomheten eller den enkelte løyvehaver overfor sine sjåfører har drøftet tiltaket etter kravene i arbeidsmiljølovens kapittel 9 er uklart. Etter Datatilsynets vurdering, kan det ikke her være tvil om at tiltaket er å forstå som et kontrolltiltak etter arbeidsmiljøloven. Etterlevelse av dette regelverket er ikke Datatilsynets myndighetsområde, men Arbeidstilsynets. Resultatet av drøftinger etter arbeidsmiljøloven er gjerne av interesse for Datatilsynet for vurderingen av personvernulemper for ansatte Innsynsbegjæringer Virksomheten har ingen rutine for håndtering av eventuelle innsynsbegjæringer fra den som er på opptaket. (Denne type innsyn må skilles fra begjæringer om utlevering fra politiet.) 6 Kort om personopplysningslovens regulering av fjernsynsovervåking Lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) regulerer bruk av kameraovervåking, definert i lovens 36. I april i år trådte endringer i personopplysningsloven i kraft, herunder for kameraovervåking. Personopplysningslovens kapittel VII ( 36-41) regulerer bruk av kameraovervåking. I personopplysningsforskriftens kapittel 8 finnes utfyllende bestemmelser. For bruk av kameraovervåking gjelder hele personopplysningsloven, med de presiseringer som finnes i lovens 37. I tillegg til lovens alminnelige vilkår, må kameraovervåking også oppfylle tilleggsvilkår for kameraovervåking i av 14

5 6.1 Grunnkrav og vilkår for å behandle personopplysninger Personopplysningslovens 11 oppstiller grunnkrav til behandling av personopplysninger. Innsamling og bruk av personopplysninger skal skje til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet, jf 11 bokstav b. Det er med andre ord en forutsetning at det er klargjort hvorfor personopplysningene samles inn og hva de skal brukes til. Begreper som relevans og tilstrekkelighet for formålet, står sentralt i forbindelse med grunnkravene. Det er en forutsetning at formålet er styrende for hva som samles inn av personopplysninger opplysningene skal være relevante for formålet. Selv om dette ikke eksplisitt fremkommer av bestemmelsens ordlyd, gjelder et proporsjonalitetsprinsipp. Tiltaket må stå i rimelige proporsjoner sett opp mot behov og formål og den inngripen i personvernet tiltaket eventuelt medfører. Etter personopplysningslovens 11 første ledd bokstav a må behandling av personopplysninger oppfylle ett av vilkårene i personopplysningslovens 8 (og 9 dersom det behandles sensitive personopplysninger). Dette kalles behandlingsgrunnlag. Behandlingsgrunnlaget for kameraovervåkning vil normalt være lovens 8 bokstav f. Vilkåret etter dette alternativet er at behandlingen av personopplysningene er nødvendig for at den behandlingsansvarlige kan vareta en berettiget interesse, og at hensynet til den registrertes personvern ikke overstiger denne interessen. Med den registrerte menes her enhver som omfattes av opptakene og kan gjenkjennes, herunder ansatte, besøkende, kunder, eller andre. I personopplysningslovens 37 tredje ledd utdypes vurderingen av berettiget interesse i forbindelse med kameraovervåking: Ved vurdering av hva som er en berettiget interesse etter personopplysningslovens 8 bokstav f skal det for kameraovervåking legges vesentlig vekt på om overvåkingen bidrar til å verne om liv og helse eller forebygge gjentatte eller alvorlige straffbare handlinger. Oppfyller ikke overvåkningen vilkåret i 8, vil den mangle behandlingsgrunnlag, og følgelig være en behandling av personopplysninger i strid med loven. En avveining av interesser må ta utgangspunkt i en konkret vurdering. 6.2 Andre sentrale bestemmelser Det følger av personopplysningslovens 38 at kameraovervåking av et sted hvor en begrenset krets av personer ferdes jevnlig, bare er tillatt dersom det ut fra virksomheten er behov for å forebygge at farlige situasjoner oppstår og ivareta hensynet til ansattes eller andres sikkerhet eller det for øvrig er et særskilt behov for overvåkingen. Loven oppstiller således et skjerpet krav til behov som, etter Datatilsynets vurdering, normalt kommer til anvendelse for områder som er forbehold ansatte. 5 av 14

6 Fjernsynsovervåking er normalt kun meldepliktig etter personopplysningslovens 31. Overvåkingen skal tydelig varsles med informasjon om hvem som er behandlingsansvarlig, jf personopplysningslovens 40. Alminnelige informasjonsplikter fremgår av lovens 19. Bestemmelser om utlevering av billedopptak finnes i personopplysningslovens 39. Personopplysningsforskriftens kapittel 8 om fjernsynsovervåking har utfyllende bestemmelser om sletting i 8-4. Innsynsrettigheter følger av forskriftens 8-5 og lovens 18. Billedopptak sikres etter personopplysningslovens 13 med utfyllende bestemmelser i personopplysningsforskriftens kapittel 2. Lovens 14 omhandler internkontroll, med utfyllende bestemmelser i forskriftens kapittel 3. 7 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Etter Datatilsynets vurdering, faller kameraovervåkingen i taxiene inn under personopplysningslovens definisjon av kameraovervåking i lovens 36, og behandlingsansvarlig må derfor etterleve regelverket som gjelder kameraovervåking. 7.1 Ansvar for behandlingen av personopplysninger behandlingsansvar Avklaring av hvem som er ansvarlig for å oppfylle lovens krav er viktig. Personopplysningslovens 2 nr 4 definerer begrepet behandlingsansvarlig som den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Etter egen vurdering, er Sandens Taxisentral BA selv ansvarlig for den aktuelle kameraovervåking. Datatilsynet tar dette til etterretning og anser Sandnes Taxisentral BA som behandlingsansvarlig etter personopplysningsloven. 7.2 Rettslig grunnlag for overvåkingen og krav om særskilt behov Det vises til redegjørelsen ovenfor om grunnkrav og vilkår for å behandle personopplysninger (rapportens 6.1). Datatilsynet legger til grunn at det aktuelle vilkåret (behandlingsgrunnlaget) er personopplysningslovens 8 bokstav f. Etter Datatilsynets vurdering, er overvåkingen også omfattet av kravet i personopplysningslovens 38 om overvåking av sted hvor en begrenset krets ferdes jevnlig. Opptaket viser sjåføren i førersetet, og opptaket er opplysninger om sjåførens handlinger på sin arbeidsplass. (Også dersom opptaket ikke viste sjåføren direkte, ville opptaket vært opplysninger om sjåføren og vedkommendes handlinger.) Drøfting av rettslig grunnlag for kameraovervåkingen og krav om særskilt behov Etter Datatilsynets vurdering, gjør personverninteresser seg sterkt gjeldende i forbindelse med kameraovervåking i taxier. For kundene kan kameraovervåking av taxier ikke vurderes likt som overvåking av busser eller tog. Tog eller buss er transportmidler hvor man reiser sammen med, og i påsyn av en rekke andre mennesker. En persons tilstedeværelse og handlinger er i stor grad allerede eksponert for en rekke andre medpassasjerer. Passasjerene velger ikke om man skal ta på flere 6 av 14

7 passasjerer, om man vi sitte alene, eller liknende. Taxi er helt annerledes i så måte. Som et allment tilgjengelig transportmiddel er taxi er det nærmeste man kommer den privathet og individuell styring som gjelder for privatbil, riktig nok med den forskjell av at sjåføren er i taxien. Ved å ta taxi som befordringsmiddel gis det et mer privat og lukket rom for kunden. Kunden bestemmer hvor reisen går, og kunden velger hvem man vil reise sammen med eller om man vi reise alene. Etter tilsynet vurdering, er dette også en del av den tjeneste taxinæringen gir, nemlig at kundene må kunne forvente seg en annen grad av privathet enn ved alminnelig kollektivtransport. Fra tid til annen kan denne kvaliteten også være grunnen til at kunden velger en taxi fremfor andre transportmidler. Det legges også til at overvåkingen i saken representerer en mer nærgående overvåking enn vanlig. Det er naturlig nok varierende og situasjonsbetinget hvilke personverninteresser kundene har i å kunne ta taxi uten at turen bil liggende på overvåkingsopptak. Mange turer vil trolig være mindre beskyttelsesverdige for de det gjelder. Andre turer vil være annerledes. Taxier transporterer mennesker i situasjoner eller tilstander som ikke ønskes festet til film. En taxi vil over tid ha transportert personer i relativt sårbare eller private situasjoner situasjoner hvor lagring på film ikke er naturlig. Eksempler kan være skadede personer som raskt må komme seg legevakt, personer i sorg på vei tilbake fra en begravelse, kvinner i hast på vei til fødestue, eller det kan være personer på vei fra julebord eller en lang kveld på byen. Taxier benyttes også til pasienttransport. At det eksisterer høye terskler for når opptak skal ses på, og at det etableres god sikkerhet for lagrede opplysninger, vil redusere ulempene sammenliknet med en mer omfattende bruk av opptak. For Datatilsynet er det et sentralt poeng at også lagring i seg selv eksempelvis lydopptak av hva man sier, kameraovervåking av hva man gjør, loggføring av hvem man har vært i kontakt med, registrering av hva man har kjøpt representerer en inngripen. I den aktuelle saken må passasjerer og ansatte forholde seg til en endring av situasjonen: Det som skjer er ikke bare tilgjengelig for de tilstedeværende her og nå og eventuelt videre i den enkeltes hukommelse. Alt som skjer i taxien blir liggende igjen i form av film. Personvernhensyn tilsier forsiktighet med å bruke kameraovervåking i taxier i det hele tatt. Dersom det likevel skal brukes, må det, etter Datatilsynets vurdering, skje på med store krav til informasjonssikkerhet og minst mulig inngripende løsninger. Løsninger må være mest mulig rettet mot, og ikke mist avgrenset til situasjoner hvor det er behov for overvåking. Overvåkingen må ses i sammenheng med andre tiltak under den ansvarliges kontroll. Kameraovervåkingen er ikke det eneste tiltaket av sikkerhetsrelevans. Sjåførens mulighet for å slå alarm til sentralen er viktig. Løsningen fører til posisjonering, overføring av lyd og lagring av lydopptak. Kameraovervåkingsopptak er heller ikke de eneste data drosjeselskapet har av interesse dersom en hendelse skulle skje, og hvor det er behov for å i ettertid kunne rekonstruere bevegelser et hendelsesforløp. Drosjeselskapet har data om hvor bilene har vært, og betalings- og bestillingsløsninger vil også kunne gi noe informasjon. For kundenes personverninteresse er utfallet av interesseavveiningen også avhengig av en sterk sikring av opptakene. Kryptert lagring i den enkelte bil gir god sikkerhet mot unødvendig titting på opptak, men biler er derimot ikke er et særlig egnet lagringssted for 7 av 14

8 beskyttelsesverdige personopplysninger. Krypteringen er svært viktig som sikkerhet mot at opptak eller at data kommer på avveier i en lesbar form, for eksempel om bilen får et innbrudd eller bli stjålet. Kundenes personverninteresser må veies mot virksomhetens behov for overvåkingen. Stavangerområdet har hatt problemer med hensyn til sikkerhet og opplevd trygghet ved bruk av taxi. Det har tidligere vært en periode med et høyt antall hendelser. Det må, etter Datatilsynets vurdering, gis vekt i en vurdering av hvilke tiltak som er rimelig i forhold til behovet. Om kameraovervåking er et egnet middel til å forhindre vold, overgrep eller andre alvorlige handlinger, er ikke avklart. En slik årsakssammenheng vil også være vanskelig å påvise. Datatilsynet legger likevel vekt på at virksomheten har tro på tiltaket og mener å ha positive erfaringer med overvåkingen så langt. Den bølge av problemer som var tydelig for noen år tilbake har nå lagt seg. Endringen kan ikke settes i direkte sammenheng med at Sandnes Taxi har tatt i bruk kameraovervåking. Etter det Datatilsynet forstår, var heller ikke biler fra Sandnes Taxi involvert noen av de hendelsene som skjedde for noen år tilbake. Kameraovervåkingen kan ses som ett blant flere tiltak for å sikre mot fremtidige uønskede hendelser. Virksomheten har andre virkemidler for å bedre tryggheten for både sjåfør og passasjerer. Datatilsynet ser dette som positivt, og som et tegn på at virksomheten ikke har valgt kameraovervåking som eneste løsning. Når sjåføren sitter i førersetet, vil vedkommende bli fanget opp av på overvåkingsbildet. Ansiktet, sett rett forfra, er med på overvåkingsbildet. Sjåføren sitter enda nærmere overvåkingskameraet enn passasjerene. Etter Datatilsynets erfaring, representerer det en uvanlig nærgående overvåking. Overvåkingen gir informasjon om sjåførens handlinger og situasjonen sjåføren er en del av. Opptakene viser om det er kunder, om sjåføren og kunden snakker sammen, om bilen kjører eller står stille og hvordan sjåføren kjører bilen (gjennom bakrute og sidevinduer kan man se hvordan bilen beveger seg med svinger og oppbremsing, og i en grad får man også inntrykk av fart). Etter Datatilsynets vurdering, er det åpenbart at overvåkingsopptakene gir et godt inntrykk av sjåførens handlinger i løpet av en arbeidsdag. Opptakene representerer en omfattende overvåking av sjåførens handlinger og arbeidsdag. Bilen er sjåførens arbeidsplass, og Datatilsynet mener at kravet om et særskilt behov etter personopplysningslovens 38 gjør seg gjeldene i tillegg til interesseavveiningen etter 8 bokstav f. Datatilsynet legger til grunn at det nok er ulike oppfatninger blant både sjåfører og løyvehavere, men at tiltaket har hatt tilstrekkelig støtte for et generalforsamlingsvedtak blant løyvehaverne. Lagring i den enkelte bil, og særlig dersom lagringen også er kryptert, gir lav risiko for bruk av overvåkingen til å overvåke sjåførenes arbeidsutførelse. Dette gir mindre 8 av 14

9 personvernulemper for ansatte. Sammenliknet med kameraovervåking av arbeidssteder mer generelt, har sjåførene relativt god sikkerhet for at opptak kun vil bli brukt i spesielle situasjoner, og at opptak i liten grad vil bli hentet frem for bruk i det hele tatt. Kameraovervåking er likevel et inngrep i deres arbeidssituasjon. Hele arbeidsdagen ligger på opptak og kameraovervåkingen er dels rettet mot sjåførene i den forstand at tiltaket også er ment for å sikre kunden. Samtidig er overvåkingen også et tiltak som virksomheten antar at kommer sjåførene til gode i form av bedre sikkerhet mot at uønskede hendelser oppstår. Opptak vil også i ettertid kunne være av verdi for sjåføren dersom vedkommende skulle vært utsatt for en alvorlig hendelse på jobb Datatilsynets vurdering rettslig grunnlag for kameraovervåkingen Etter Datatilsynets vurdering, er kravet etter personopplysningslovens 8 bokstav f tilfredsstilt med hensyn til sjåførenes personverninteresser, separat sett. Datatilsynet vurderer interesseavveiningen mellom virksomhetens behov og kundenes personverninteresse annerledes. Kun mer begrensede løsninger enn løpende overvåkingsopptak oppfyller kravet i personopplysningslovens 8 bokstav f. Kameraovervåkingstiltak i denne sammenheng bør vurderes i to forskjellige kategorier: Midler som kan tas i bruk generelt når det er passasjerer i taxien, det vil si at systemet samler inn personopplysninger på samme måte og i samme mengde, uavhengig av om det er en farlig situasjon eller ikke. Midler som tas i bruk i spesielle situasjoner, det vil si når situasjoner der og da oppleves som farlig, truende eller liknende. For den første kategorien systemer som fungerer på samme måte hele tiden representerer løpende overvåkingsopptak en for stor inngripen. I forbindelse med kontrollsaken har Datatilsynet tatt tidligere råd om grensene for en tillatt kameraovervåking i taxier opp til ny vurdering. Bestemmelsene for kameraovervåking i personopplysningslovens kapittel VII har også blitt endret siden tidligere nevnte sak hvor virksomheten ba Datatilsynet om en vurdering av lovlighet. Datatilsynet kommer til samme konklusjon som tidligere: Kontinuerlig og løpende kameraovervåkingsopptak fra taxiene lar seg ikke forsvare ut fra kravene i personopplysningslovens 8 bokstav f med henblikk på avveining mot kundenes personverninteresser. Tiltaket oppfyller heller ikke lovens 38 med krav om et særskilt behov. Datatilsynet står også fast ved at et mindre inngripende tiltak i form av bilde ved turens start eller slutt er tillatt dersom det er snakk om et system som skal fungerer på samme måte hele tiden. I dette ligger det en vurdering av at det å benytte taxi ikke skal medføre en omfattende overvåking med mindre noe spesielt skjer. Som passasjer i taxi må det kunne forventes en vesentlig større grad av privatliv, en mer fortrolig og skjermet form for transport enn eksempelvis på en buss. Et bilde vil ikke gi like mye informasjon som film. Likevel vil et slikt tiltak bidra til formålet ved at det stadfester hvem som var til stede i en konkret taxi og når de var der. Gjennom andre 9 av 14

10 opplysninger vil man kunne vite hvor taxien har vært i det aktuelle tidsrommet. Bilde, sammen med annen informasjon, må antas å ha verdi i forbindelse med eventuelle påstander eller anmeldelser. For den andre kategorien midler som tas i bruk i spesielle situasjoner stiller virksomhetens muligheter seg ganske annerledes etter personopplysningsloven. Situasjonen karakter, og det det faktum at tiltaket er avgrenset til de situasjoner hvor det er et særlig behov, gjør at virksomheten kan ta mer inngripende midler i bruk. I slike situasjoner kan virksomheten kameraovervåke taxien i form av løpende opptak. Datatilsynet ser her for seg situasjoner som trolig er relativ like de situasjoner hvor taxisjåføren bør slå alarm, slik de i dag har mulighet til, men uten at dette står i sammenheng med kameraovervåkingstiltaket. Virksomhetens behov står sterk i forhold til den registrertes personverninteresser når det er snakk om situasjoner preget av frykt, trusler, fysiske angrep eller frykt for at situasjonen eskalerer mot vold eller trusler (eller andre alvorlige hendelser). Etter Datatilsynets vurdering, har virksomheten et gyldig rettslig grunnlag i personopplysningslovens 8 bokstav f for et slikt tiltak. Tilsynet vurderer også kravet i lovens 38 som oppfylt i alarmsituasjoner (eller situasjoner med en tilsvarende terskel av alvorlighet). Det legges til grunn at tersklene for å benytte et slikt tiltak står i sammenheng med vern om liv og helse eller alvorlige straffbare hendelser. Uenighet om pris eller oppgjør er alene ikke nok. Dersom virksomheten velger å benytte seg av en slik løsning, kan det vurderes å gi kundene en tilsvarende mulighet til å slå alarm til sentralen. Ut over de nevnte løsningene, mener Datatilsynet at kundens sikkerhet mot eventuelle overgrep fra sjåførens side må sikres med andre midler enn kameraovervåking. Det legges til at tersklene for å kameraovervåke ansatte og deres alminnelige arbeidsutførelse er høy. Kameraovervåking av taxien er en overvåking av stedet hvor sjåføren gjør sine arbeidsoppgaver. Løpende overvåkingsopptak omfatter slik sett hele arbeidsdagen, noe som generelt vurderes som et kraftig inngrep i personvernet. Kontinuerlig og løpende overvåking er et avvik fra personopplysningsloven 8 bokstav f og Varslingsskilt og informasjon til kunder Ett av tilleggsvilkårene for kameraovervåking er at det ved bruk av skilter eller på annen måte skal gjøres tydelig oppmerksom på at området er overvåket. Det skal også informeres om hvem som er behandlingsansvarlig. Det vises her til personopplysningslovens Datatilsynets vurdering varslingsskilt og informasjon til kunder Det vises til informasjonen om dette temaet i den generelle beskrivelsen av kameraovervåkingen i rapportens kapittel 5. Etter Datatilsynets vurdering, er varslingsplikten etter personopplysningslovens 40 ikke ivaretatt på en god nok måte. Varsling på utsiden av bilen er både bra og nødvendig, men det er ikke nok, slik Datatilsynet ser det. Det er ikke alltid en kunde vil ha verken anledning eller tid til å se på informasjon på utsiden av kjøretøyet før vedkommende setter seg inn. Plasseringen på nederste del av et 10 av 14

11 sidevindu gjør at skiltet vil forsvinne om vinduet er rullet noe ned. Det behøves totalt sett en større sikkerhet for at kunden får varslingen med seg. Skiltene manglet også informasjon om hvem som er den ansvarlige for overvåkingen, noe som er et lovkrav. Under kontrollen syntes det å være en gjensidig enighet mellom virksomheten og Datatilsynet om at varsling inne i bilene også ville være nødvendig for å sikre at kundene fikk med seg at drosjen var overvåket. Varslingen av kameraovervåkingen må gjennomgås og styrkes. Varslingen må inneholde informasjon om hvem som er ansvarlig for tiltaket i tråd med personopplysningsloven 40. For å ivareta kundenes interesse, bør det også være kortfattet informasjon om hvordan taxien er overvåket og lagringstid for overvåkingsmaterialet. Kunden vil da kunne vite hvor omfattende overvåkingen er, og hvor viktig det vil være å ta raskt ta kontakt dersom noe skulle ha skjedd for å unngå at opptak har blitt slettet i mellomtiden. Utilstrekkelig varsling er et avvik fra personopplysningsloven Informasjon til ansatte og deres medvirkning i beslutningen Varslingsskilter på stedet skal sørge for informasjon til enhver om at stedet er overvåket og hvilken part som er ansvarlig for overvåkingen. Denne begrensede informasjonsmengden er ikke tilstrekkelig som informasjon til ansatte, en gruppe virksomheten har anledning til å nå med mer utfyllende informasjon. Datatilsynet ser her hen til lovens alminnelige informasjonsbestemmelse i personopplysningsloven 19. Behandlingsansvarlig plikter av eget tiltak å informere de registrerte (i dette tilfellet ansatte) blant annet om, formålet med behandlingen, at opplysningene vil bli utlevert, og eventuelt til hvem. Videre plikter behandlingsansvarlig å informere om annet som gjør den registrere i stand til å bruke sine rettigheter etter loven på best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf. lovens 18. Etter arbeidsmiljøloven, som forvaltes av Arbeidstilsynet, plikter arbeidsgiver så tidlig som mulig å drøfte behov, utforming, gjennomføring og vesentlig endring av kontrolltiltak i virksomheten med arbeidstakernes tillitsvalgte, jf. arbeidsmiljølovens 9-2 første ledd. Arbeidsgivers informasjonsplikt overfor ansatte følger videre av lovens 9-2 annet ledd. Arbeidsmiljøloven vil her utfylle personopplysningslovens regler. Det er verdt å merke at arbeidsgivers plikter etter arbeidsmiljøloven inntrer før personopplysningslovens bestemmelser. I det en arbeidsgiver så tidlig som mulig, jf 9-2 første ledd, har en drøftningsplikt i motsetning til personopplysingsloven som setter plikten i tid til Når det samles inn personopplysninger. Drøftingsplikten etter arbeidsmiljøloven og ansattes syn på tiltaket er av betydning for Datatilsynets vurdering av interesseavveining etter personopplysningslovens 8 f. Hvis den registrerte motsetter seg behandlingen, skal dette veie tungt i vurdering. En positiv holdning fra ansatte tas med i en helhetlig vurdering. 11 av 14

12 7.4.1 Datatilsynets vurdering informasjon til ansatte og deres medvirkning i beslutningen Det vises til den generelle beskrivelsen av kameraovervåkingen i rapportens kapittel 5. Tilsynet merker seg at det er utarbeidet et utfyllende informasjonsskriv til løyvehavere/ansatte om kameraovervåkingen, hvordan overvåkingen fungere og rutiner. Datatilsynet mener at kravet etter personopplysningslovens 19 er tilfredsstilt i dette konkrete tilfellet. Drøfting etter arbeidsmiljøloven og ansattes syn på overvåkingen er av interesse for Datatilsynet vurdering av tiltakets berettigelse etter personopplysningsloven ikke minst for interesseavveiningen. I denne sammenheng har Datatilsynet lagt til grunn at det foreligger et generalforsamlingsvedtak etter avstemming blant løyvehaverne, at mange ansatte har ønsket overvåking, men at det også er sjåfører og løyvehavere som ser dette annerledes. 7.5 Informasjonssikkerhet Kravene til informasjonssikkerhet fremgår av personopplysningslovens 13, med utfyllende bestemmelser i personopplysningsforskriftens kapittel 2. De tre sentrale begrepene er konfidensialitet, integritet og tilgjengelighet, samt at utstyret er fysisk sikret i samsvar med personopplysningsforskriftens Datatilsynets vurdering informasjonssikkerhet Etter Datatilsynets vurdering, er en desentralisert og kryptert lagring en informasjonssikkerhetsmessig god sikring av opptakene. Sandnes Taxis har ikke krypterte opptak. Dette vedrører sikringen av personopplysningenes konfidensialitet. Når opptaket lagres i en bil, er krypteringen viktig som sikring mot at opptak kommer på avveie i en lesbar form, eksempelvis dersom bilen blir stjålet. Gitt den aktuelle tekniske løsningen, må opptakene krypteres, slik Datatilsynet ser det. Desentraliserte lagring har også en svakhet. Sjåføren eller andre kan fjerne minnebrikken eller hele lagringsenheten uten at dette oppdages eller kan forhindres av virksomheten. Personopplysningsforskriften 2-12 første ledd stadfester at det skal treffes tiltak for å sikre tilgang til personopplysninger hvor tilgjengelighet er nødvendig. Videoopptakene skal sikre både interesser for virksomhet, sjåfør og kunder. Noen ganger vil det åpenbart være mest hensiktsmessig for sjåfør eller kunder at videoopptaket ikke blir lagret. Det er derfor viktig at lagringsenheten blir fysisk sikret slik at interessen til alle parter blir ivaretatt, og at virksomheten kontrollerer jevnlig at utstyret virker etter sin hensikt. Personopplysningsforskriftens 2-14 tredje ledd stadfester at sikkerhetstiltak skal omfatte tiltak som ikke kan påvirkes eller omgås av medarbeiderne, og ikke være begrenset til handlinger som den enkelte forutsettes å utføre. Datatilsynets vurdering er at sikringen av opptakenes konfidensialitet og tilgjengelighet er for svak. Manglende sikring av konfidensialitet og tilgjengelighet er et avvik fra personopplysningsloven 13, jf personopplysningsforskriftens 2-11, 2-12 og av 14

13 7.6 Internkontroll rutiner for bruk og tilgang til overvåkingen og innsynsbegjæringer Kravene til internkontroll fremgår av personopplysningslovens 14, med utfyllende bestemmelser i personopplysningsforskriftens kapittel 3. Hensikten med bestemmelsene er at internkontrollsystemet skal sikre at personvernregelverket etterleves. Regelverket krever en systematikk i tiltakene, samt at rutiner og sikkerhetstiltakene er dokumentert. Virksomheten beskriver at de selv installerer og tester kamerautstyret. Det finnes rutiner for jevnlig kontrollere at kamerautstyret er tilstedet og virker etter hensikt. Virksomheten har skriftlig rutine for hvem som skal ha tilgang til opptak og når opptak kan tas i bruk. Det fantes likevel ingen rutine eller bevissthet om hvordan eventuelle innsynsbegjæringer skulle håndteres. Personopplysningsforskriften 8-5 stadfester at for billedopptak som omfattes av personopplysingsloven 37 annet ledd, gjelder reglene om innsynsrett etter personopplysningsloven Datatilsynets vurdering - internkontroll rutiner for bruk og tilgang til overvåkingen og innsynsbegjæringer Etter Datatilsynets vurdering skulle det vært en skriftlig nedfelt rutine hvordan innsynsbegjæringer håndteres. Manglende rutiner er et avvik fra personopplysningsloven 14, jf personopplysningsforskriftens Lagringstid for opptak på minnekort I dokumentet Kameraovervåking i drosjer tilsluttet Sandnes Taxisentral BA står det at Opptak slettes automatisk etter 96 timer. Under kontrollen erfarte Datatilsynet at opptak er av de siste 96 timene som taksameteret har vært pålogget. Hvis taksameteret er pålogget hele døgnet, vil minnekortet inneholde de siste fire døgnene. Dette er i tråd med personopplysningsforskriften 8-4. Hvis taksameteret kun er pålogget åtte timer per døgn, vil minnekortets eldste opptak være tolv dager gammelt. De eldste opptakene på minnekortet Datatilsynet så under kontrollen inneholdt opptak som var eldre enn sju dager Datatilsynets vurdering lagringstid for opptak på minnekort Løsningen virksomheten har valgt vil i noen tilfeller kunne fungere i tråd med loven, men det er en betydelig risiko for at opptak kan bli lagret lengre enn maksimal lagringstid angitt i forskriften. Datatilsynet gjorde innsyn i en tilfeldig minnebrikke og fant opptak som var eldre enn sju dager. Manglende sletting er at avvik fra personopplysingsforskriften av 14

14 7.8 Lagringstid ved uttak av minnekort I internkontrollen med tittelen Prosedyre ved montering av overvåkingskamera og instruks ved uttak og visning av bildemateriale står det at maks lagringstid hos Monteringsservice AS er 60 dager. Personopplysningsforskriften 8-4 stadfester krav til sletting av billedopptak senest sju dager etter at opptakene er gjort. Bestemmelsen sier også at denne slettefristen ikke gjelder dersom det er sannsynlig at billedopptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. I slike tilfeller kan billedopptak oppbevares inntil 30 dager. Det må foretas en konkret vurdering i det enkelte tilfellet om vilkåret er oppfylt for lagring av et spesifikt opptak ut over sju dager, men bestemmelsen gir ikke anledning til lengre lagring enn 30 dager Datatilsynets vurdering lagringstid ved uttak av minnekort Etter Datatilsynets vurdering, kan virksomheten uansett ikke oppbevare billedopptak utover 30 dager hos Monteringsservice AS. Rutinen må endres i tråd med kravene i personopplysningsforskriftens av 14