Vår referanse (bes oppgitt ved svar)

Transkript

1 Kiwi Norge AS Postboks LIERSTRANDA Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/ /BSO 21. juni 2013 Vedtak om pålegg Den 10. oktober 2012 gjennomførte Datatilsynet en kontroll med NG Kiwi Oslo og Akershus AS. Kontrollen skjedde med hjemmel i lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) 42 tredje ledd nr. 3, og fant sted ved butikken Kiwi Sognsveien. Om bakgrunnen for hvorfor vedtak om pålegg er rettet mot Kiwi Norge AS, se nedenfor i vedtaksbrevet og vedlagt kontrollrapport. Generelt om avvik Virksomheten har plassert behandlingsansvaret for kameraovervåkning av «bank i butikk»- tjenester i strid med Datatilsynets dispensasjon for utvidet lagringstid og senere konsesjon for banktjenester. Dette har blitt gjennomført uten at nødvendige og grunnleggende krav i personvernregelverket har blitt vurdert, jf krav til internkontroll. Etter Datatilsynets vurdering er dette kritikkverdig. Dette innebærer at ethvert billedopptak som lagres utover de alminnelige regler i personopplysningsforskriften 8-4 første og annet ledd er lagret ulovlig. Det foreligger også mangelfull dokumentasjon på at kravene til internkontroll og informasjonssikkerhet er ivaretatt, jf personopplysningsloven 14 og 13. Avvikene gjelder sannsynligvis også andre virksomheter Datatilsynet har i rapportens punkt 6 beskrevet at det anses som sannsynlig at enkelte avvik som er avdekket gjennom denne kontrollen i Kiwi Sognsveien også gjelder for andre selskaper, eid av NorgesGruppen ruppen ASA, som utfører «bank i butikk»- tjenester på vegne av DnB Bank ASA. Avvikene gjelder sannsynligvis også andre butikker i Kiwi- kjeden. Dette gjelder blant annet krav til internkontroll og informasjonssikkerhet etter personopplysningsloven 14 og 13, samt lagring av billedopptak utover det virksomhetene har adgang til etter personopplysningsforskriften 8-4 første og annet ledd. Det bemerkes at Kiwi minipris har slått fast at det i butikker med post i butikk og bank i butikk er lagringstiden inntil 90 dager. DnB Bank har konsesjon og dispensasjon for utvidet lagring av kameraovervåkning av «bank i butikk»- tjenester i tre måneder etter personopplysningsforskriften 8-4 siste ledd. Der er det også satt klare rammer og vilkår for den utvidede lagringstiden. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 DnB Bank ASA har imidlertid gitt tilbakemelding på at virksomheten ikke anser seg for å være behandlingsansvarlig for kameraovervåkning av «bank i butikk»- tjenester. Datatilsynet har i kontrollrapporten plassert behandlingsansvaret for kameraovervåkning av «bank- i butikk»- tjenester hos DnB Bank ASA. For lagring av billedopptak i Kiwi Sognsveien gjelder derfor de alminnelige regler etter personopplysningsforskriften 8-4 første og annet ledd. Dette innebærer at billedopptak i utgangspunktet skal slettes etter 7 dager, med mindre det er sannsynlig at billedopptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger, i forbindelse med oppklaring av ulykker eller i saker om ettersøking av forsvunne personer. I slike tilfeller kan billedopptakene oppbevares inntil 30 dager. NorgesGruppen har i tilsvar til foreløpig kontrollrapport uttalt at de er av samme oppfatning som Datatilsynet «og anser det som selvfølgelig at de tiltak som skal gjennomføres, vil gjelde for samtlige butikker, kjeder og selskaper som tilbyr «Bank i Butikk» tjenestene». Om søknad om dispensasjon Det er opplyst at det søkes om dispensasjon for utvidet lagring av billedopptak etter personopplysningsforskriften 8-4 siste ledd. Det er også opplyst at man har drøftet dette med DnB Bank ASA, og kommer frem til en god løsning knyttet til DnB som databehandler for opptak som er eldre enn 7 dager. Datatilsynet påpeker at søknad om utvidet lagring av billedopptak ikke vil bli behandlet i kontrollrapporten. Datatilsynet vil imidlertid opprette en egen sak for denne søknaden, og saksbehandle denne når vedtakene fra kontrollen er endelige. Datatilsynet påpeker at plasseringen av behandlingsansvaret for kameraovervåkning av «bank i butikk»- tjenester er styrende for hvem som kan gis en dispensasjon for overvåkning av «bank i butikk» - tjenester. Datatilsynet har kommet til at behandlingsansvaret for slik overvåkning ikke kan plasseres hos Kiwi Norge AS. Dette er til hinder for en løsning med Kiwi Norge AS som behandlingsansvarlig og DnB Bank ASA som databehandler. Når det gjelder bruk av DnB Bank ASA som databehandler vises det dessuten til vurderingene i pålegg nummer 4, samt kontrollrapportens punkt flg. Vurdering av tilsvar Merknader til foreløpig kontrollrapport Tilbakemelding på foreløpig kontrollrapport er tatt inn i endelig kontrollrapport. Dette er i stor grad gjort ved henvisning til NorgesGruppen ASA sitt tilsvar. Vurdering av tidligere varslede pålegg Datatilsynet varslet i brev av 11. februar 2013 at tilsynet ville fatte vedtak om følgende pålegg: 1. Virksomheten må etablere og dokumentere internkontroll i samsvar med personopplysningsloven 14 jf personopplysningsforskriften kapittel 3. Det vises til tilsynsrapportens punkt 5.3 flg. Som ledd i dette arbeidet må virksomheten blant annet: 2

3 a. plassere ansvaret for å gjennomføre den behandlingsansvarliges oppgaver, jf personopplysningsloven 14 jf 2 nr 4. Dette gjelder for all behandling av personopplysninger som virksomheten er behandlingsansvarlig for. Det vises til rapportens punkt 5.3 flg og punkt 5.1 flg, herunder punkt b. utarbeide en samlet oversikt over alle behandlinger av personopplysninger virksomheten er behandlingsansvarlig for med behandlingens formål og behandlingsgrunnlag i henhold til personopplysningsloven 14 jf personopplysningsforskriften 3-1. Det vises til rapportens punkt 5.3, herunder punkt c. utarbeide dokumenterte rutiner på ivaretakelse av sletteplikten, jf personopplysningsloven 14 jf 11 bokstav e, jf 28 og personopplysningsforskriften 8-4. Det vises til rapportens punkt 5.3, herunder og 5.4, herunder punkt d. utarbeide dokumenterte rutiner om utlevering av billedopptak som sikrer at eventuelle utleveringer skjer i henhold til regelverket, jf personopplysningsloven 14 jf 39. Det vises til rapportens punkt 5.3 flg og punkt flg. e. utarbeide dokumenterte rutiner som sikrer at det kun inngås reelle databehandlerrelasjoner, jf personopplysningsloven 14 jf 2 nr 4 jf 2 nr 5. Det vises til rapportens punkt 5.3 flg og flg. f. utarbeide rutiner som sikrer oppfyllelse av melde- og konsesjonsplikt i henhold til personopplysningsloven 14 jf personopplysningsforskriften 3-1 tredje ledd bokstav f. Det vises til rapportens 5.3 flg. 2. Virksomheten må sørge for tilfredsstillende informasjonssikkerhet i samsvar med kravene i personopplysningsloven 13. Det vises til rapportens punkt 5.5 flg herunder punkt Virksomheten skal sørge for at det inngås gyldige databehandleravtaler i samsvar med personopplysningsloven 15. Det vises til kontrollrapportens punkt 5.6 flg, herunder punkt Virksomheten skal sørge for at det i praksis ikke utleveres billedopptak i strid med personopplysningsloven 39. Det vises til rapportens punkt flg, herunder punkt Virksomheten må slette billedopptak som er lagret utover det som følger av personopplysningsforskriften 8-4 første og annet ledd. Det vises til rapportens punkt 5.4, herunder punkt Vurdering av svar varslet pålegg 1 Det er opplyst at det på bakgrunn av endelig kontrollrapport vil bli foretatt en revisjon av dokumentasjon og rutinebeskrivelser som tidligere er oversendt Datatilsynet for å ivareta krav til internkontroll. Datatilsynet ser behov for at virksomheten igangsetter en prosess for å etablere en internkontrollen som samsvar med kravene i personopplysningsloven. NorgesGruppen ASA har opplyst at kontrollene berører samtlige butikker, og at man vil følge opp dette. 3

4 Datatilsynet legger ved veileder til internkontroll. Der beskrives oppgaver i prosessen med å etablere en internkontroll. 1 DnB Bank ASA har også skrevet et tilsvar til foreløpig kontrollrapport. Dette knytter seg hovedsakelig til «bank i butikk»- tjenestene. Det påpekes at personopplysningsloven 14 innebærer en plikt til å gå igjennom hele loven med forskrift, og på det grunnlaget vurdere om det er behov for tiltak som sikrer etterlevelse av aktuelle bestemmelser. Det påpekes at de underpunktene til pålegg 1 flg kun inneholder enkelte deler av krav til internkontroll som må være på plass. Datatilsynet fastholder det varslede pålegget. Vurdering av svar varslet pålegg 1a. Det er i etterkant av kontrollen foretatt et arbeid med plassering av behandlingsansvaret. Det er opplyst at administrerende direktør i Kiwi Norge AS, Jan Paul Bjørkøy, som innehar det formelle behandlingsansvaret for all behandling av personopplysninger, og herunder kameraovervåkning. Det er opplyst at det er sikkerhetssjef Andreas Wormdahl som innehar det daglige og operative ansvaret. Det er opplyst at dette er basert på eksisterende interne arbeidsfordeling i Kiwi og er direkte knyttet til reell daglig innflytelse / utøvelse når det gjelder ITV- utstyr og andre sikkerhetsrelaterte oppgaver i butikkene. Videre at butikksjefene er underlagt distriktssjef og regionssjef hva angår informasjonssikkerhet og behandling av personopplysninger. Det er også opplyst at Kiwi- kjeden består av 565 butikker hvorav 100 er franchisebutikker/kjøpmannseide. Det følger av personopplysningsloven 2 nr 4 at «behandlingsansvarlig» skal bestemme formålet med behandlingen av personopplysninger, og hvilke hjelpemidler som skal anvendes som ledd i behandlingen. Arbeidsgiveransvaret og forholdet til arbeidsmiljøloven kan også være relevant i vurderingen av plasseringen av behandlingsansvaret. Det følger av arbeidsmiljøloven 2-1 at arbeidsgiver skal sørge for at bestemmelsene gitt i og i medhold av denne lov blir overholdt. Hvorvidt arbeidsgiver holder seg innenfor rammene i arbeidsmiljøloven, er i mange tilfeller avgjørende for om behandlingen av personopplysninger om ansatte er lovlig etter personopplysningsloven, for eksempel behandlinger etter arbeidsmiljøloven kapittel 9. Datatilsynet legger foreløpig konsernets egen vurdering av plassering av behandlingsansvaret hos Kiwi Norge AS til grunn. Datatilsynet kan ikke se det er på det rene at behandlingsansvaret for all behandling av personopplysninger i Kiwi Sognsveien (og øvrige Kiwi butikker) kan plasseres hos Kiwi Norge AS. Datatilsynet påpeker i denne sammenheng at det ved etablering av internkontrolldokumentasjon må foretas en nærmere gjennomgang av plasseringen av 1 Se side 10 i dokumentet og punkt 3 om innledende oppgaver. 4

5 behandlingsansvaret opp mot samtlige behandlinger av personopplysninger. Denne gjennomgangen er ikke foretatt på nåværende tidspunkt. Dette er bakgrunnen for at Datatilsynet fatter pålegget slik det er varslet. Det påpekes at Datatilsynet er åpne for dialog og veiledning omkring det videre arbeidet med plassering av behandlingsansvaret. Vurdering av svar plassering av behandlingsansvaret for kameraovervåkning av «bank i butikk»-tjenester NorgesGruppen opplyser at det aldri har vært aktuelt å tillate at DnB monterer egne kameraer for å overvåke «bank i butikk»- tjenestene. «Bakgrunnen for dette er at det er umulig å skille ut «Bank i butikk» transaksjonene slik at kameraene kun aktiveres når denne typen banktjenester utføres. I praksis ville dette medført at våre butikkunder som ikke bruker DNB som bank ville blitt overvåket av DNB når de handlet i våre butikker. Vi ville mest sannsynlig fått mange kritiske kunder eller i verste fall mistet kunder dersom de ble møtt med et skilt som sier at de blir overvåket av DNB. En slik løsning ville også skapt missnøye og usikkerhet hos våre ansatte. På bakgrunn av dette kan NorgesGruppen ikke se at DNB oppfyller kravene i Personopplysningsloven 11 bokstav b til å være databehandlingsansvarlig for en fullstendig kameraovervåkning av all aktivitet som skjer i våre butikklokaler. I tillegg ville dette også blitt veldig kostbart og driftsmessig kompliserende.» (Vår utheving) DnB Bank ASA har også skrevet et tilsvar om plassering av behandlingsansvaret for «bank i butikk»- tjenester. Der beskrives det også at det ikke har vært aktuelt for DnB Bank ASA å etablere kameraovervåkning i egen regi. Datatilsynet har i kontrollrapporten punkt 5.2 flg jf. punkt foretatt en nærmere redegjørelse av regelverket om plassering av behandlingsansvaret, samt praksis på området. Det fremgår klart av vedtaket av 24. september 2007 og konsesjon av 31. mai 2010 at det er DnB som er behandlingsansvarlig for kameraovervåkning av «bank i butikk»- tjenestene. Datatilsynet gjentar at det er kritikkverdig at ingen har forholdt seg til plasseringen av behandlingsansvaret gitt i tidligere vedtak. Det følger også klare føringer for slik kameraovervåkning i konsesjonen. Det vises for eksempel til følgende uttalelser: «Utover billedopptak av ordinære ekspedisjonssteder, minibanker plassert i og rett utenfor banklokalet, vil dispensasjonen om utvidet lagringstid til tre måneder bl. a. dekke opptak gjort av frittstående minibanker og betalingsterminaler knyttet til bank i butikk tjenesten. Lagring i tre måneder vil kun være tillatt av det området av butikklokalet hvor kunder ekspederes for bank i butikk -tjenester. Ved billedopptak i lokaler (for eksempel i forbindelse med bank i butikk ) og av terminaler/automater som ikke direkte blir kontrollert av banken, skal banken som behandlingsansvarlig for opptaket, inngå en databehandleravtale med den som har utplassert og/eller drifter kameraet, jf. personopplysningslovens 15. Videre skal det tydelig fremgå av 5

6 merkingen i lokalet og på terminalen at banken er ansvarlig for overvåkingen, jf. personopplysningslovens 40. Personopplysningslovens 38 oppstiller krav om at det skal foreligge et særskilt behov for overvåking av et sted hvor en begrenset krets av personer ferdes jevnlig. Overvåking av ansatte, enten bankens eller butikkens ansatte i bank i butikk - tjenester, må således oppfylle kravet til et særskilt behov, i tillegg til arbeidsmiljølovens kapittel 9 om kontrolltiltak i virksomheten. Utvidet lagringstid ved fjernsynsovervåking, anses som en personvernulempe både for ansatte og kunder. Det stilles i den forbindelse krav til banken om at overvåking med utvidet lagringstid begrenses til et minimum, jf. personopplysningslovens 11 bokstav b. Typisk bør overvåking av bank i butikk være begrenset til dedikerte kasser.» Datatilsynet påpeker at konsesjonen og dispensasjonen til DnB Bank ASA på ingen måte åpner «for en fullstendig kameraovervåkning av all aktivitet som skjer i [ ] butikklokaler». Lagring i tre måneder er kun tillatt av det området av butikklokalet hvor kunder ekspederes for «bank i butikk»- tjenester. Det er ikke anledning til overvåkning i andre områder av butikklokalet. Det vises også til krav etter personopplysningsloven 38 og arbeidsmiljøloven kapittel 9. Overvåkning med utvidet lagringstid skal dessuten begrenses til et minimum, jf personopplysningsloven 11 bokstav b. Typisk bør overvåking av «bank i butikk» være begrenset til dedikerte kasser. Datatilsynet fastholder vurderingen av plassering av behandlingsansvar, jf det ovenfor nevnte. Kiwi Norge AS er ikke å anse som behandlingsansvarlig for kameraovervåkning av «bank i butikk»- tjenestene. Datatilsynet påpeker at plassering av behandlingsansvar har betydning for samtlige av de varslede påleggene. Vurdering av svar varslet pålegg 1c Det er opplyst at ITV-systemene til profilhusene er konfigurert slik at opptak knyttet til «Bank i butikk» slettes automatisk etter maksimum 90 dager, eller tidligere dersom lagringskapasiteten overskrides. Lagringstiden kontrolleres og dokumenteres årlig av utstyrsleverandør. I tillegg utføres det interne kontroller av driftsapparatet i de enkelte kjedene. I noen tilfeller har det vært mangelfull informasjon om dette til enkelte butikksjefer. Datatilsynet påpeker at Kiwi Norge AS ikke har adgang til å lagre kameraopptak utover det som følger av personopplysningsforskriften 8-4 første og annet ledd. Virksomheten må altså endre sletterutinen slik at det ikke lagres opptak utover det personopplysningsforskriften 8-4 første og annet ledd gir adgang til. Det vil si hovedregel om sletting av opptak etter 7 dager. Datatilsynet anbefaler også at dagens sensorstyrte opptaksrutine endres slik at man sikrer at opptak som hovedregel slettes etter 7 dager. Datatilsynet fastholder det varslede pålegget. 6

7 Vurdering av svar varslet pålegg 1 d og e Det er opplyst at man ønsker en løsning hvor DnB Bank ASA er databehandler for opptak som er eldre enn 7 dager. Datatilsynet viser i denne forbindelse til det som er skrevet ovenfor om søknad om dispensasjon. Datatilsynet har i rapportens punkt 5.2 flg og foretatt en rettslig vurdering av plassering av behandlingsansvar og DnB Bank ASA som databehandler. Datatilsynet påpeker at Kiwi Norge AS og DnB Bank ASA ikke kan omgå kravene i blant annet personopplysningsloven 39 om utlevering av billedopptak ved formelt i inngå en databehandleravtale. Datatilsynet fastholder de varslede pålegg. Vurdering av svar varslet pålegg 2 Det er opplyst at arbeidet med informasjonssikkerhet i NorgesGruppen er godt forankret i konsernledelsen og i de ulike selskapene i konsernet. 2 Videre at NorgesGruppen har etablert en felles informasjonssikkerhetspolicy med tilhørende håndbøker og retningslinjer som gjelder for alle selskaper og ansatte i konsernet, og at denne er tilgjengelig på intranettsidene i de ulike selskapene i konsernet. Datatilsynet påpeker at krav til informasjonssikkerhet følger av personopplysningsloven 13. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. Se også personopplysningsforskriften 8-2 om sikring av billedopptak. Datatilsynet ba under kontrollen om å få all dokumentasjon etter personopplysningsloven 14 og 13, herunder det som var tilgjengelig for ansatte. Det ble også bedt om å få eventuell dokumentasjon ettersendt. Datatilsynet utelukker ikke at Kiwi Norge AS oppfyller deler av de krav som stilles i personopplysningsloven 13 og personopplysningsforskriften kapittel 2. Datatilsynet forholder seg imidlertid til den dokumentasjon og informasjon som er gitt i forbindelse med kontrollen, og det er på bakgrunn av dette at Datatilsynet fastslår at kravene etter personopplysningsloven 13 jf personopplysningsforskriften kapittel 2 ikke er ivaretatt. 3 For veiledning om kravene vises det til vedlagt veileder om internkontroll. Se for eksempel punkt 5 om informasjonssikkerhet, punkt 6 om oppfølging og punkt 9 om kontroll med sikkerhet hos partner/leverandør. Datatilsynet fastholder det varslede pålegget. 2 Det vises til side 14 om informasjonssikkerhet i svarbrevet fra NorgesGruppen ASA. 33 Det vises for eksempel til punkt i kontrollrapporten om oversikt over behandlinger og behandlingsgrunnlag. At det på overordnet nivå er utarbeidet en oversikt over samtlige behandlinger av personopplysninger er grunnleggende for å legge til rette for at regelverket blir fulgt. Dette er grunnlaget for senere å utarbeide de nødvendige rutinene som det er behov for, se for eksempel personopplysningsforskriften 2-3, 2-4, og

8 Vurdering av svar varslet pålegg 3 Det er opplyst at Kiwi Norge AS har etablert databehandleravtaler med AS Skan- kontroll med datterselskaper, Pegasus kontroll AS og NOKAS. Videre at dagens praksis er etablert «basert på vår tolkning av konsesjon og dispensasjon for Bank i Butikk med tilhørende databehandleravtaler som er inngått.» Datatilsynet viser til det ovenfor nevnte om plassering av behandlingsansvaret for kameraovervåkning av «bank i butikk»- tjenester. Kiwi Norge AS er ikke å anse som behandlingsansvarlig for nevnte kameraovervåkning av «bank i butikk»- tjenestene, som igjen medfører at inngåtte databehandleravtaler om dette ikke er gyldige. Datatilsynet viser også til at det i melding datert 23. august 2012 står at NG Kiwi Oslo og Akershus AS er behandlingsansvarlig for kameraovervåkning. Datatilsynet fastholder det varslede pålegget. Vurdering av svar varslet pålegg 4 Datatilsynet viser til punktet ovenfor om varslet pålegg 1 d og e, herunder om DnB Bank ASA som databehandler. Dette innebærer at Kiwi Norge AS må sikre at billedopptak ikke utleveres til DnB. Det påpekes at Kiwi Norge AS ikke kan omgå kravene i blant annet personopplysningsloven 39 om utlevering av billedopptak ved formelt å inngå en databehandleravtale. Datatilsynet fastholder det varslede pålegget. Vurdering av svar varslet pålegg 5 Som nevnt ovenfor har virksomheten ikke rettslig grunnlag til å oppbevare opptak utover det som følger av personopplysningsforskriften 8-4 første og annet ledd. Dette innebærer at Kiwi Norge AS må sikre at billedopptak som er lagret lengre enn dette i Kiwi Sognsveien blir slettet. Datatilsynet fastholder det varslede pålegget. Vedtak om pålegg Datatilsynet fatter med hjemmel i personopplysningsloven 46 vedtak om følgende pålegg: 1. Virksomheten må etablere og dokumentere internkontroll i samsvar med personopplysningsloven 14 jf personopplysningsforskriften kapittel 3. Det vises til tilsynsrapportens punkt 5.3 flg. Som ledd i dette arbeidet må virksomheten blant annet: a. plassere ansvaret for å gjennomføre den behandlingsansvarliges oppgaver, jf personopplysningsloven 14 jf 2 nr 4. Dette gjelder for all behandling av personopplysninger som virksomheten er behandlingsansvarlig for. Det vises 8

9 til rapportens punkt 5.3 flg og punkt 5.1 flg, herunder punkt Det vises også til vurderingen av svar til dette pålegget ovenfor. b. utarbeide en samlet oversikt over alle behandlinger av personopplysninger virksomheten er behandlingsansvarlig for med behandlingens formål og behandlingsgrunnlag i henhold til personopplysningsloven 14 jf personopplysningsforskriften 3-1. Det vises til rapportens punkt 5.3, herunder punkt c. utarbeide dokumenterte rutiner på ivaretakelse av sletteplikten, jf personopplysningsloven 14 jf. 11 bokstav e, jf 28 og personopplysningsforskriften 8-4. Det vises til rapportens punkt 5.3, herunder og 5.4, herunder punkt d. utarbeide dokumenterte rutiner om utlevering av billedopptak som sikrer at eventuelle utleveringer skjer i henhold til regelverket, jf personopplysningsloven 14 jf 39. Det vises til rapportens punkt 5.3 flg og punkt flg. e. utarbeide dokumenterte rutiner som sikrer at det kun inngås reelle databehandlerrelasjoner jf personopplysningsloven 14 jf 2 nr 4 jf 2 nr 5. Det vises til rapportens punkt 5.3 flg og flg. f. utarbeide rutiner som sikrer oppfyllelse av melde- og konsesjonsplikt i henhold til personopplysningsloven 14 jf personopplysningsforskriften 3-1 tredje ledd bokstav f. Det vises til rapportens 5.3 flg. 2. Virksomheten må sørge for tilfredsstillende informasjonssikkerhet i samsvar med kravene i personopplysningsloven 13. Det vises til rapportens punkt 5.5 flg herunder punkt Virksomheten skal sørge for at det inngås gyldige databehandleravtaler i samsvar med personopplysningsloven 15. Det vises til kontrollrapportens punkt 5.6 flg, herunder punkt Virksomheten skal sørge for at det i praksis ikke utleveres billedopptak i strid med personopplysningsloven 39. Det vises til rapportens punkt flg, herunder punkt Virksomheten må slette billedopptak som er lagret utover det som følger av personopplysningsforskriften 8-4 første og annet ledd. Det vises til rapportens punkt 5.4, herunder punkt Lukking av avvik Datatilsynet anbefalte i brev 11. februar 2013 at det ble oversendt et forslag til fremdriftsplan for lukking av de avvik som er beskrevet i kontrollrapporten. Det ble videre opplyst at tilsynet vil se hen til denne fremdriftsplanen når det skal vedtas en frist for virksomhetens gjennomføring av påleggende. Datatilsynet har ikke mottatt slikt forslag til fremdriftsplan. Datatilsynet gir på denne bakgrunn en frist for gjennomføring av samtlige pålegg til 31.oktober Virksomheten må innen nevnte datoer bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at påleggene er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. 9

10 Dersom virksomheten har kommentarer til fristen for gjennomføring av påleggende, bes det om en rask tilbakemelding på dette. Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Dersom det på grunn av ferieavvikling er ønskelig med en lengre klagefrist, bes det om en rask tilbakemelding på dette. Med vennlig hilsen Helge Veum avdelingsdirektør Bård Soløy Ødegaard seniorrådgiver Vedlegg: Endelig kontrollrapport Veileder til internkontroll Kopi: NorgesGruppen ASA DnB Bank ASA v/ Stig Andersen 10

11 Saksnummer: 12/00853 Dato for kontroll: 10. oktober 2012 Rapportdato: 21. juni 2013 Endelig kontrollrapport Kontrollobjekt: Kiwi Norge AS Sted: Kiwi Sognsveien, Oslo Utarbeidet av: Bård Soløy Ødegaard Henok Tesfazghi 1 Innledning Datatilsynet gjennomførte kontroll hos Kiwi Norge AS (heretter Kiwi Norge) den 10. oktober Kontrollen ble utført med hjemmel i personopplysningsloven 44 jf 42 tredje ledd. Formålet med kontrollen er å vurdere virksomhetens kameraovervåkning av bank i butikk - tjenester. Kontrollen fant sted i butikklokalene til Kiwi Sognsveien. Kontrollen viste mangelfull etterlevelse av regelverket på andre områder. Kontrollrapporten vil derfor også omtale enkelte andre forhold enn kameraovervåkning av bank i butikk - tjenester. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Frode Tungehaug, butikksjef i Kiwi Sognsveien 2.2 Fra Datatilsynet: - Henok Tesfazghi, rådgiver, Juridisk avdeling - Bård Soløy Ødegaard, seniorrådgiver, Juridisk avdeling 3 Generelt NG Kiwi Oslo og Akershus AS (heretter NG Kiwi) er et eget selskap. Selskapet driver butikkhandel med bredt vareutvalg med hovedvekt på nærings- og nytelsesmidler. Butikken Kiwi Sognsveien er eid av NG Kiwi. Kiwi Norge er et eget selskap. Sentrale formål for selskapet er å utvikle, forvalte og administrere Kiwi-konseptet, herunder vedta overliggende styringsdokumenter for Kiwikonseptet. NG Kiwi og Kiwi Norge er igjen eid av NorgesGruppen ASA (heretter NorgesGruppen). 1 av 17

12 4 Kort om behandling av personopplysninger for kameraovervåkning av bank i butikk -tjenester NG Kiwi og Kiwi Norge behandler personopplysninger for ulike formål. Kontrollen er i utgangspunktet rettet mot behandling av personopplysninger for kameraovervåkning av bank i butikk -tjenester. Det er inngått databehandleravtaler for kameraovervåkning med AS Skan-Kontroll og Vakt Service AS. DnB Nor er også vurdert som databehandler. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Generell plassering av behandlingsansvaret for behandling av personopplysninger i Kiwi Sognsveien Regelverkets krav Behandlingsansvarlig defineres i personopplysningsloven 2 nr 4. Der står det at behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som kan brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet å ha behandlingsansvaret klart plassert. Behandlingsansvarlig vil ofte være en juridisk person. Ansvaret for å gjennomføre den behandlingsansvarliges oppgaver vil ligge hos virksomheten som sådan, representert ved virksomhetens ledelse. Ledelsen må sørge for at loven etterleves, og som ledd i dette må ledelsen foreta en intern arbeidsdeling slik at det er klart i hvilken stilling det tilliger å sørge for at loven etterleves i praksis. Funksjonen bør knyttes til en lederstilling slik at stillingsinnehaveren har reell daglig innflytelse på behandlingene som foretas. Plassering av behandlingsansvaret avhenger av hvordan virksomheten er organisert og strukturert og hvem som avgjør hva som er formålet med behandlingen av personopplysninger. Selv om ansvaret skal plasseres hos virksomhetens ledelse, er ikke personopplysningsloven til hinder for at den daglige utøvelsen av ansvaret delegeres. Det daglige behandlingsansvaret for kundebehandlingen kan for eksempel plasseres hos markedsavdelingen i en bank, mens det daglige ansvaret for kameraovervåkningen kan tillegges sikkerhetsansvarlig. Delegasjon av det daglige ansvaret har imidlertid ingen betydning for det formelle behandlingsansvaret Faktisk forhold Det ble opplyst at arbeidsgiveransvaret er plassert hos NG Kiwi. I melding til Datatilsynet datert 23. august 2012 står det også oppgitt at NG Kiwi er behandlingsansvarlig for kameraovervåkning. 2 av 17

13 I mottatt databehandleravtale står imidlertid Kiwi Norge som behandlingsansvarlig og AS Skan-kontroll som databehandler. I brev fra NG Kiwi av 12. oktober 2012 i punkt 8.3 står det at ansvarlig for behandling av personopplysninger om den enkelte er Kiwi Norge ved styrets leder. Videre at det daglige ansvaret for behandling av personopplysninger er delegert til sikkerhetssjefen. I brev av 30. april 2013 har NorgesGruppen redegjort for at behandlingsansvaret for all behandling av personopplysninger, herunder kameraovervåkning, er plassert hos Kiwi Norge. NorgesGruppen har i tilsvar til foreløpig kontrollrapport redegjort for plasseringen av behandlingsansvaret. Der er det beskrevet at behandlingsansvaret skal plasseres hos Kiwi Norge Datatilsynets vurdering Datatilsynets vurdering vil først ta for seg avvik som ble avdekket på kontrolltidspunktet, deretter tilsvar etter kontrollen. På kontrolltidspunktet: Behandlingsansvaret var ikke klart formelt plassert. Ansvaret for å gjennomføre den behandlingsansvarliges oppgaver var heller ikke plassert. Det forelå ingen intern arbeidsdeling slik at det er klart i hvilken stilling det tilligger å sørge for at loven etterleves i praksis. Ut fra sakens opplysninger la Datatilsynet i foreløpig kontrollrapport til grunn at NG Kiwi er å anse som behandlingsansvarlig for all behandling av personopplysninger som skjer hos Kiwi Sognsveien. Det vil si at behandlingsansvaret ikke er begrenset til behandling av personopplysninger i forbindelse med kameraovervåkningen. Datatilsynet la vekt på at NG Kiwi er oppgitt som behandlingsansvarlig, og at denne virksomheten har arbeidsgiveransvaret. Datatilsynet la videre til grunn at Kiwi Norge ikke er å anse som behandlingsansvarlig for behandlinger av personopplysninger hos Kiwi Sognsveien. Det foreligger ingen internkontrolldokumentasjon som tilsier at virksomheten er organisert og strukturert på en slik måte at Kiwi Norge kan være behandlingsansvarlig for behandling av personopplysninger i Kiwi Sognsveien. Etter kontrolltidspunktet NorgesGruppens har i tilsvar til foreløpig kontrollrapport plassert behandlingsansvaret for all behandling av personopplysninger hos Kiwi Norge. Datatilsynet mener det ikke er på det rene at behandlingsansvaret rettslig sett er plassert riktig hos Kiwi Norge. Det vises til svar på det varslede pålegg 1 i vedtaksbrevet. 3 av 17

14 5.1.4 Konklusjon På kontrolltidspunktet Det anses som avvik at behandlingsansvaret ikke var klart plassert for behandling av personopplysninger som foretas i Kiwi Sognsveien, jf personopplysningsloven 14 jf 2 nr 4. Det anses om avvik at ansvaret for å gjennomføre den behandlingsansvarliges oppgaver ikke var klart plassert, jf personopplysningsloven 14 jf 2 nr 4. Det vises til det ovennevnte om at ledelsen i virksomheten som har behandlingsansvaret må sørge for at loven etterleves, og som ledd i dette må ledelsen foreta en intern arbeidsdeling slik at det er klart i hvilken stilling(er) det tilligger å sørge for at loven etterleves i praksis. Funksjonen bør knyttes til (en) lederstilling(er) slik at stillingsinnehaveren(e) har reell daglig innflytelse på behandlingene som foretas. Etter kontrolltidspunktet Det er ikke på det rene at behandlingsansvaret for all behandling av personopplysninger rettslig sett kan plasseres hos Kiwi Norge, jf personopplysningsloven 2 nr Plassering av behandlingsansvaret for behandling av personopplysninger for kameraovervåkning av «bank i butikk»- tjenester Regelverket Behandlingsansvarlig er beskrevet i punkt ovenfor. Begrepet knyttes til den som har bestemmelsesrett over opplysningene og den elektroniske behandlingen av disse. Selv om man setter arbeidet bort til andre ( outsourcing ), vil man selv sitte med bestemmelsesretten - og dermed ansvaret. De som eventuelt utfører et avtalt arbeid for den behandlingsansvarlige, vil være databehandlere. For eksempel hvis firma A setter ut behandlingen av lønnsystemet til databehandler B, er det klart at ansvaret fortsatt skal ligge hos den behandlingsansvarlige, som er A. I vurderingen av plassering av behandlingsansvaret for kameraovervåkning av bank i butikk -tjenester er det relevant å se på personopplysningsloven 11 om grunnkrav til behandling av personopplysninger. Det følger av 11 bokstav b at den behandlingsansvarlige skal sørge for at personopplysninger som behandles bare nyttes til uttrykkelige angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. I dette ligger blant annet at den behandlingsansvarlige ikke fritt kan velge et hvilket som helst lovlig formål for behandling av personopplysninger. Formålet må være saklig begrunnet i den behandlingsansvarliges virksomhet og dermed ha en nær og naturlig sammenheng med den aktuelle virksomheten. 4 av 17

15 5.2.2 Datatilsynets praksis Datatilsynet innvilget 24. september 2007 dispensasjon om utvidet lagringstid for oppbevaring av billedopptak etter personopplysningsforskriften 8-4 siste ledd. Det ble gitt dispensasjon til DnB Bank ASA (heretter DnB eller banken) for billedopptak gjort i «bankdelen» av bank i butikk- konseptet i inntil 3 måneder. Søknaden var begrunnet i mulighetene for å forebygge og oppklare kriminelle anslag mot «bank-delen» i NorgesGruppens butikker tilknyttet konseptet bank i butikk. Datatilsynet har omgjort konsesjon for banker og finansinstitusjoners behandling av personopplysninger. Det vises til konsesjon av 31. mai 2010 til DnB (Vårt referansenummer 10/00581). Der fremgår det blant annet at: «I tillegg gir Datatilsynet ved denne konsesjonen en dispensasjon med tilhørende vilkår, jf. personopplysningsforskriftens 8-4 siste ledd, for: Utvidet lagringstid for fjernsynsovervåking for forebygging og oppklaring av straffbare forhold knyttet til bankvirksomhet. Dispensasjonen er avgrenset til områder i umiddelbar nærhet til betalingsterminaler for bank i butikk og frittstående minibanker. Konsesjonen er gitt under forutsetning av at behandlingen foretas i henhold til søknaden, fastlagte konsesjonsvilkår, vedlagte merknader og de bestemmelser som følger av personopplysningsloven med forskrifter. Navn- og organisasjonsendringer må skriftlig meddeles til Datatilsynet. Dersom det skjer endringer i behandlingen i forhold til de opplysninger som er gitt i søknaden, må det fremmes ny konsesjonssøknad. Videre står i det i konsesjonens punkt 8: «8. Særlig om utvidet lagringstid for fjernsynsovervåking Datatilsynet gir med dette en dispensasjon for oppbevaring av billedopptak i inntil tre måneder, når opptak er gjort i forbindelse med bankvirksomhet og med det formål å avdekke og oppklare straffbare forhold, jf. personopplysningslovens 37 jf. 8 bokstav f. Dispensasjonen er gitt med hjemmel i personopplysningsforskriftens 8-4 siste ledd. Banken skal vurdere hvorvidt det foreligger et særlig behov for utvidet lagringstid i det enkelte overvåkingstilfellet. Et slikt særlig behov for utvidet lagringstid skal dokumenteres, jf. personopplysningslovens 14 og personopplysningsforskriftens 3-1 andre ledd. Dispensasjonen gjelder for den fjernsynsovervåkingen som banken selv er behandlingsansvarlig for, og er kun knyttet til bankvirksomhet. Banken må selv ha kontroll, eventuelt gjennom en databehandleravtale, over overvåkningsutstyret som benyttes. Dersom banken benytter en databehandler til å foreta fjernsynsovervåkingen, skal det inngås en databehandleravtale jf. personopplysningslovens 15. Eventuelle opptak skal lagres 5 av 17

16 adskilt fra eventuelle opptak som butikken selv er behandlingsansvarlig for. Det må fremgå klart av skiltingen/merkingen i henhold til personopplysningslovens 40, at det er banken som er ansvarlig for overvåkingen. Utveksling av opptak mellom banken som behandlingsansvarlig og butikken som behandlingsansvarlig, vil være å regne som utlevering av billedopptak etter personopplysningslovens 39.» I merknader til punkt 8 står det til slutt: «8. Til punkt 8. Særlig om behandlingsformålet utvidet lagringstid for fjernsynsovervåking Banker har etter personopplysningsforskriften 8-4 tredje ledd rett til å oppbevare billedopptak gjort i post- og banklokaler i inntil tre måneder. Typisk gjelder dette billedopptak fra fjernsynsovervåking av ekspedisjonslokaler og av minibanker plassert i og rett utenfor banklokalet. Den ordinære slettefristen for andre former for billedopptak, er syv dager, jf. forskriftens 8-4 andre ledd første punktum. Datatilsynet har funnet det hensiktsmessig å fastsette en generell dispensasjon for oppbevaring av billedopptak som er gjort i forbindelse med bankvirksomhet i inntil tre måneder, jf. personopplysningsforskriften 8-4 siste ledd. Den forlengede oppbevaringstiden er begrunnet ut i fra kriminalitetsforebyggende og oppklaringsmessige hensyn, tilsvarende som for billedopptak gjort i post- og banklokaler. Rekognosering av ekspedisjonssteder som ledd i forberedelse av ran samt gjennomførte alvorlige forbrytelser eller forsøk på samme, for eksempel bedragerier, oppdages ofte på et senere tidspunkt. Det samme gjelder nyere former for IT-kriminalitet som rettsstridig montering av lese- og videoutstyr på minibankene med det formål å fange opp kortets magnetstripe og ta opptak ved inntasting av PIN-kode. Felles for slike situasjoner er at banken og/eller fornærmede først blir oppmerksom på forholdet etter slettefristen på syv dager. Utover billedopptak av ordinære ekspedisjonssteder, minibanker plassert i og rett utenfor banklokalet, vil dispensasjonen om utvidet lagringstid til tre måneder bl. a. dekke opptak gjort av frittstående minibanker og betalingsterminaler knyttet til bank i butikk tjenesten. Lagring i tre måneder vil kun være tillatt av det området av butikklokalet hvor kunder ekspederes for bank i butikk -tjenester. Ved billedopptak i lokaler (for eksempel i forbindelse med «bank i butikk») og av terminaler/automater som ikke direkte blir kontrollert av banken, skal banken som behandlingsansvarlig for opptaket, inngå en databehandleravtale med den som har utplassert og/eller drifter kameraet, jf. personopplysningslovens 15. Videre skal det tydelig fremgå av merkingen i lokalet og på terminalen at banken er ansvarlig for overvåkingen, jf. personopplysningslovens av 17

17 Personopplysningslovens 38 oppstiller krav om at det skal foreligge et særskilt behov for overvåking av et sted hvor en begrenset krets av personer ferdes jevnlig. Overvåking av ansatte, enten bankens eller butikkens ansatte i «bank i butikk»- tjenester, må således oppfylle kravet til et særskilt behov, i tillegg til arbeidsmiljølovens kapittel 9 om kontrolltiltak i virksomheten. Utvidet lagringstid ved fjernsynsovervåking, anses som en personvernulempe både for ansatte og kunder. Det stilles i den forbindelse krav til banken om at overvåking med utvidet lagringstid begrenses til et minimum, jf. personopplysningslovens 11 bokstav b. Typisk bør overvåking av «bank i butikk» være begrenset til dedikerte kasser.» Faktiske forhold Datatilsynet varslet opprinnelig DnB om kontroll med kameraovervåkning av «bank i butikk»- tjenester. Bakgrunnen for dette er at Datatilsynet, etter søknad fra DnB har gitt konsesjon og dispensasjon hvor behandlingsansvaret for slik kameraovervåkning har blitt plassert hos DnB. Verken DnB, NG Kiwi eller Kiwi Norge har forholdt seg til tidligere gitte konsesjoner og dispensasjoner om kameraovervåkning av «bank i butikk»- tjenester. I e-post av 18. september 2012 skriver DnB v/ advokat Stig Andersen at banken ikke ser på seg selv som behandlingsansvarlig for kameraovervåkning for bank i butikk - tjenester i de to butikkene Datatilsynet varselet tilsyn på. Det er uklart for Datatilsynet hvorfor ingen har forholdt seg til plasseringen av behandlingsansvaret som følger av konsesjon og dispensasjon. 1 Datatilsynet har bedt om mer informasjon som kan belyse plasseringen av behandlingsansvaret for «bank i butikk»- tjenester. Datatilsynet har ikke mottatt noen dokumentasjon som nærmere kan belyse dette. NG Kiwi hadde ikke utarbeidet noen internkontrolldokumentasjon som kunne belyse hvorfor behandlingsansvaret for kameraovervåkning av «bank i butikk»- tjenester er plassert hos denne virksomheten, jf. personopplysningsloven 14 jf 2 nr 4. Konsesjon og dispensasjon for slik kameraovervåkning er som nevnt gitt til DnB. Datatilsynet har gjennom en annen kontroll fått tilgang til samarbeidsavtalen mellom NorgesGruppen og DnB vedrørende «bank i butikk»- tjenestene datert 5. november 2004 (heretter samarbeidsavtalen). 2 Samarbeidsavtalen vil bli omtalt nedenfor i punkt NorgesGruppen ASA har i etterkant av kontrollen opplyst at dispensasjonen både for DnB og NorgesGruppen ASA ble oppfattet slik at den gjaldt begge parter. 2 Datatilsynets saksnummer 12/ av 17

18 NorgesGruppen har i tilsvar til foreløpig kontrollrapport søkt om dispensasjon for Kiwi Norge om utvidet lagringstid for billedopptak av «bank i butikk»- tjenestene. Det vises til vedtaksbrevet for Datatilsynet vurdering av dette Datatilsynets vurdering Banken tilbyr sine kunder banktjenester gjennom butikkene til Kiwi Norge. Butikkmedarbeidere logger seg på bankens fagsystem for å betjene bankens kunder. Banken plikter å sørge for at butikkansatte som yter banktjenestene får nødvendig grunnopplæring og kompetanseutvikling. Det er på det rene at banken er behandlingsansvarlig for banktjenester som ytes. Det vises i den forbindelse til samarbeidsavtalen og Datatilsynets gitte konsesjon til DnB for behandling av personopplysninger til blant annet kundeadministrasjon og gjennomføring av bank- og finansieringstjenester. Kiwi Norge AS er i denne relasjon en databehandler, siden virksomheten behandler personopplysninger på vegne av banken. Formålet med kameraovervåkingen av «bank i butikk»- tjenesten er blant annet å virke preventivt og forsøke å oppklare ran og svindel som «bank i butikk»- tjenesten kan utsettes for. Dette er et tiltak som primært gjøres i bankens (den behandlingsansvarliges) interesse. Etter tilsynets vurdering vil kameraovervåkingen av «bank i butikk»- tjenesten være saklig begrunnet i bankens virksomhet. Etter tilsynets vurdering trekker også dette i retning av at behandlingsansvaret for kameraovervåking av «bank i butikk - tjenesten ikke kan plasseres hos Kiwi Norge, jf personopplysningsloven 2 nr 4 jf. personopplysningsloven 11 bokstav b. I vurderingen av plassering av behandlingsansvaret er det også relevant å se hen på det ansvaret butikken har påtatt seg etter samarbeidsavtalen. Etter en gjennomgang av samarbeidsavtalen vurderes butikkens ansvar i den anledning å være begrenset. Det følger dessuten av Datatilsynets tidligere vurderinger at det er DnB som er behandlingsansvarlig for oppbevaring av billedopptak i inntil tre måneder, jf personopplysningsforskriften 8-4 siste ledd, jf. ovenfor nevnte konsesjon og dispensasjon. På bakgrunn av det ovenfor nevnte legger Datatilsynet til grunn at behandlingsansvaret for kameraovervåkning av «bank i butikk»- tjenester ikke kan plasseres hos Kiwi Norge AS Konklusjon Kiwi Norge er ikke å anse som behandlingsansvarlig for kameraovervåkning av «bank i butikk»- tjenester, jf personopplysningsloven 2 nr 4. Kiwi Norge har ikke adgang til å lagre billedopptak utover det som følger av de alminnelige reglene i personopplysningsforskriften 8-4 første og annet ledd. 8 av 17

19 5.3 Internkontroll Regelverkets krav Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven. Bestemmelsene er utdypet i personopplysningsforskriftens kapittel 3. Personopplysningsloven 14 innebærer en plikt til å gå igjennom hele loven med forskrift, og på det grunnlaget vurdere om det er behov for tiltak som sikrer etterlevelse av aktuelle bestemmelser. Det er med andre ord ingen plikt til å iverksette tiltak for alle lovens krav, jf ordlyden «nødvendig» i bestemmelses første ledd. I henhold til personopplysningsloven 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Personopplysningsforskriften 3-1 stiller utfyllende krav. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse. Det er krav om at den behandlingsansvarlige kjenner reglene for behandling av personopplysninger og at det utarbeides de nødvendige rutiner i denne sammenheng. I denne sammenheng er lovens og forskriftens generelle krav mest relevant virksomheten må gjennom planlagte og systematiske tiltak sikre etterlevelse av regelverkets krav. For å tilfredsstille kravet bør virksomheten, etter en alminnelig tilnærming for internkontroll, etablere styrende, gjennomførende og kontrollerende dokumenter. Internkontrollens styrende del forventes å dekke de overordnende rammer, som oversikt over behandlinger, identifisering av plikter, ansvar og myndighet, og hvorledes internkontrollen følges opp i virksomheten. Den gjennomførende delen vil inneholde de nødvendige rutiner som skal følges. Gjennom den kontrollerende delen følger ledelsen opp at rutinene og regelverket etterleves i organisasjonen. Dette gjøres normalt gjennom interne revisjoner av praksis, avvikshåndtering og revisjoner av internkontrollen. For mer informasjon om hvordan et internkontrollsystem kan bygges opp vises det til Datatilsynets hjemmeside, 3 Virksomhetens internkontroll skal også omfatte nødvendig sikkerhetsdokumentasjon. Dette er omtalt nedenfor i rapporten. 3 Det vises for eksempel til dokumentet: En veiledning om internkontroll og informasjonssikkerhet 9 av 17

20 5.3.2 Internkontroll for Kiwi Norge Faktiske forhold Datatilsynet ba i forkant av kontrollen om å få tilsendt den delen av internkontrollen som gjelder kameraovervåkning. Under kontrollen ba Datatilsynet om å få all dokumentasjon på internkontroll etter personopplysningsloven 14 og 13. Datatilsynet ba også om å se tilgjengelig dokumentasjon for medarbeidere. Det ble bedt om at eventuell dokumentasjon ble ettersendt. I etterkant av kontrollen har tilsynet mottatt brev fra NG Kiwi av 12. oktober Der omtaler NG Kiwi dokumentasjon på internkontroll etter personopplysningsloven 14 og 13. Det vises i brevet til utskrift fra driftshåndbok sendt til tilsynet den 9. oktober 2012, og arbeidsreglementet punkt 8.0. I punkt 8.3 er behandling av personopplysninger omtalt. Der fremgår det at Kiwi Norge behandler personopplysninger i forbindelse med administrasjon av ansettelsesforholdet. Det fremgår videre at opplysningene kun benyttes i forbindelse med administrasjon av arbeidsforholdet (utbetaling av lønn, administrering i forbindelse med personalforsikring etc.) medarbeidersamtaler, karriereplanleggingsprosesser og veiledning i arbeidet fra nærmeste overordnet. Det står videre at det også behandles personopplysninger i forbindelse med adgangskontrollsystem og loggføring av IT-system. Videre at disse opplysningene kun benyttes til administrasjon av systemene og i forhold til sikkerhetshendelser. Det står også som nevnt i punkt at Kiwi Norge er ansvarlig for behandling av personopplysninger om den enkelte ved styrets leder, og at det daglige ansvaret for behandlingen er delegert til sikkerhetssjefen. Når det gjelder kameraovervåkning og generell overvåkning henvises det til utskriften fra driftshåndboken. Det opplyses at det er gjort en egen vurdering av det enkelte kamera i en egen mal for plassering av kamera, og at plasseringen er gjort gjennom flere års erfaring knyttet til kriminalitet i dagligvarebransjen. I utskrift fra driftshåndboken fra Kiwi minipris er det opplyst at formålet med kameraovervåkning er å bidra til å forebygge kriminelle handlinger og bidra til å sikre bevis ved en kriminell handling. Det står videre blant annet at: «Datatilsynet har satt strenge regler for et kameraanlegg, og at man først må vurdere formålet og om kameraovervåkningen virkelig er nødvendig.» Videre kan det vises til følgende: «Generell grense for lagring av opptak er på 7 dager. Etter dette vil kameraanlegget automatisk slette opptaket. 10 av 17

21 Dersom det er sannsynlig at opptakene vil bli utlevert til politiet kan opptakene oppbevares i inntil 30 dager før det må overleveres politiet. I butikker med PiB eller BiB er lagringstiden satt til inntil 90 dager. Dette gjelder kun for kameraer som viser inngang, utgang, safe og betalingspunkter.» NorgesGruppen har i tilsvar til foreløpig kontrollrapport omtalt krav til internkontroll Datatilsynets vurdering: Datatilsynet har i punkt 5.1 flg. vurdert at det foreligger avvik når det kommer til plassering av behandlingsansvaret. Plassering av behandlingsansvaret og ansvaret for å gjennomføre den behandlingsansvarliges plikter er sentralt ved etablering av et internkontrollsystem. Det forelå mangelfull dokumentasjon på kravene som følger av personopplysningsloven 14 og personopplysningsforskriften kapittel 3. Det var ikke foretatt en gjennomgang av loven med forskrift, for å vurdere behovet for tiltak som sikrer etterlevelse av aktuelle bestemmelser. Det var også liten grad dokumenterte rutiner som var tilgjengelige for medarbeidere. Datatilsynet understreker at en sentral del av etableringen av et internkontrollsystem er å gjøre dette kjent for underliggende butikker og de ansatte, jf. personopplysningsloven 14 annet ledd Konklusjon: Mangelfull dokumentasjon på internkontroll regnes som avvik, jf personopplysningsloven 14 jf personopplysningsforskriften kapittel 3. Mangelfull tilgjengelig dokumentasjon på internkontroll regnes som avvik, jf personopplysningsloven 14 annet ledd Særlig om oversikt over behandlinger og behandlingsgrunnlag for Kiwi Norge AS Regelverkets krav For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt og danner grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være grunnlag for risikovurderinger. Se også personopplysningsforskriften 2-3, 2-4 og 3-1. Oversikten må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). 11 av 17