Endelig kontrollrapport



Like dokumenter
Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Lydopptak og personopplysningsloven

Vår referanse (bes oppgitt ved svar)

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Oversendelse til Personvernnemnda - Klage på Datatilsynets vedtak om begrensning i kameraovervåking etter kontroll hos Sandnes Taxi

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Foreløpig kontrollrapport

kontrollrapport og varsel om vedtak datert 31. oktober 2012, samt Deres tilsvar i brev av 22. november 2012.

Vedlegg til søknad om konsesjon for behandling av

Varslingsrutiner ved HiST

Endelig kontrollrapport

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Endelig kontrollrapport

Endelig kontrollrapport

Adressemekling. Innhold INNLEDNING AKTØRENE

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Kapittel 10. Krav til kvalitetssikring

10-1. Kvalitetssikringsrutiner for oppfyllelse av plan- og bygningsloven

Foreløpig kontrollrapport

Deres referanse Vår referanse Dato / /EOL

Databehandleravtale. Denne avtalen er inngått mellom

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Fødselsnummer 1 - et nummer til besvær

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Vedtak om pålegg kameraovervåking hos Move treningssenter

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

Endelig kontrollrapport

HVEM ER JEG OG HVOR «BOR» JEG?

Hvem skal få se pasientene i kortene? Hva veier tyngst av personvern og behovet for deling av medisinsk informasjon?

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

ENDELIG TILSYNSRAPPORT

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Vår referanse (bes oppgitt ved svar)

Foreløpig kontrollrapport

Personopplysningsloven

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Høringsnotat utkast til endring av personopplysningsforskriftens regler om overføring av personopplysninger til utlandet

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Endelig kontrollrapport

Kameraovervåking hva er lov? Publisert:

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Hvordan ivareta personvernet ved skikkethetsvurderinger?

RETNINGSLINJER OG RUTINER

Kort innføring i personopplysningsloven

Endelig kontrollrapport

Høring forslag til nye regler om ansattes ytringsfrihet/varsling

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontroll av reseptformidleren endelig kontrollrapport

Kameraovervåking hva er lov? Sist endret: september 2015

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Prosedyre for personvern

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Prosedyre for håndtering av avvik, uønska hendelser, kritikkverdige forhold, korrigerende og forebyggende tiltak

Mønsterbesvarelse til DRI1010 eksamen vår 2013

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Varslingsordning for brukere, leverandører og ansatte

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Merknader til personopplysningsforskriften kapittel 9:

Vår referanse (bes oppgitt ved svar)

Personvernperspektivet og oppbevaring av intervjumateriale

Prosedyre for håndhevelse av regelbrudd på flyside og straffbare forhold

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Endringer i plan- og bygningsloven

Klage på anleggsbidrag og tilknytningsavgift - enkeltvedtak

Oslo Universitetssykehus HF Rikshospitalet - Kontrollrapport

Etiske regler for Norske KvanteMedisinere (NKM)

Gjelder fra:

Endelig Kontrollrapport

PERSONVERNERKLÆRING: Lactalis Scandinavia

Avtale mellom. om elektronisk utveksling av opplysninger

FORSIKRINGSSKADENEMNDAS UTTALELSE NR. 4335*

Retningslinjer for håndtering av konflikter ved UiO

Norges vassdrags- og energidirektorat. Internkontroll og reaksjonsmidler Jon Arne Eie

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Gnr 16 bnr 1 - Haug gård - Arealbruk i strid med reguleringsbestemmelsene - Plan R Vedtak om tvangsmulkt

BEHANDLING AV PERSONOPPLYSNINGER

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Utlendingsdirektoratets innspill til høring om forslag til endring i utlendingslovens regler om visitasjon i forbindelse med asylregistreringen

Vedrørende markedsføring av og ingåelse av avtaler om kreditt og trygghetsforsikring

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

I denne personvernerklæringen beskriver vi vår behandling av opplysninger om våre søkere og våre medarbeidere.

Transkript:

Saksnummer: 12/00707 Dato for kontroll: 11.07.2012 Rapportdato: 21.08.2012 Endelig kontrollrapport Kontrollobjekt: BIT Oslo City Utarbeidet av: Stian D Kringlebotn Sted: Oslo City Mari Hersoug Nedberg Bård S Ødegård 1 Innledning kontrollen og tidligere kontrollsak Datatilsynet gjennomførte en uvarslet kontroll hos BIT Oslo City 11. juni 2012. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Datatilsynet besluttet å gjennomføre en etterkontroll hos BIT Oslo City. Målet var å avklare hva som er dagens situasjon med hensyn til kameraovervåking, samt verifisere om overvåkingen er avsluttet. Datatilsynet ønsket også å avklare hva som var gjort med selve overvåkingsanlegget. Kontrollen står i sammenheng med en tidligere kontrollsak: I juni 2010 gjennomførte Datatilsynet en kontroll av BIT Storgata AS og BIT Oslo City AS (Datatilsynets saksnummer 10/01000). Temaet var virksomhetenes bruk av kameraovervåking. ervåking. Datatilsynet vurderte den aktuelle overvåkingen på BIT Oslo City som for inngripende med hensyn til de ansattes personvern og varslet vedtak om opphør eller innskrenkning av overvåkingen i august 2010. I september samme år meldte BIT at kameraovervåkingen rvåkingen var opphørt og at alt personell på butikken var informert. Med dette som bakgrunn avsluttet Datatilsynet saken med brev til virksomheten samme måned. Følgende står i siste del av brevet hvor Datatilsynet avslutter kontrollsaken fra 2010: Avsluttende merknader og råd Datatilsynet tar til etterretning at BIT velger å avslutte overvåkingen som helhet heller enn å gjøre tilpasninger og begrensninger (b- og c-alternativene i de varslede vedtakene). Avslutningsvis gjøres det oppmerksom på noen forhold tilknyttet det å avslutte en kameraovervåking: - Det må påses at eventuelle opptak på lagringsenheter er slettet (enkelte glemmer å slette opptak som eksisterer på det tidspunktet hvor overvåkingen opphører). - Det gjøres også oppmerksom på den problematikk som eksisterer knyttet til overvåkingskameraer og varslingsskilt, og som nå ikke lengre vil være 1 av 6

opplysende, men villedende. Det bør treffes tiltak for å unngå misforståelser om de reelle forhold, herunder også av hensyn til kunder. Datatilsynets råd er at kameraer og varslingsskilt fjernes. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under etterkontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Til stede under kontrollen 2.1 Fra virksomheten: - Jonas Matias Grønvold (over telefon), administrerende direktør - Matilda Gustafsson, butikksjef 2.2 Fra Datatilsynet: - Bård S Ødegaard, rådgiver - Mari Hersoug Nedberg, seniorrådgiver - Stian D. Kringlebotn, seniorrådgiver 3 Generelt om kontrollen Kontrollen var uvarslet. Etter fremmøte ble J. M. Grønvold, som var Datatilsynets kontakt under forrige kontroll i 2010, ringt opp og det ble gitt kort informasjon om og hva som var målet med kontrollen. Grønvold informerte om at overvåkingen var avsluttet, men at overvåkingsutstyret fremdeles var der. Det ble avklart at den videre kontrollen kunne utføres ved hjelp av stedets personell. Butikksjefen ble hentet, og Datatilsynets personell foretok noen avklaringer på stedet med hensyn til opptaksenheten, at overvåkingskameraene fremdeles var plassert slik de stod i 2010 og hvilken informasjon de ansatte hadde om overvåkingen. Under kontrollen ble det overlevert brev med informasjon om kontrollen, jf dokument 1 i saken. 4 Kort om overvåkingsanlegget og de ansattes informasjon om overvåkingen Det vises til endelig kontrollrapport fra kontrollen i 2010 for en beskrivelse av overvåkingen ved BIT Oslo City da den var aktiv. På tidspunktet for etterkontrollen var følgende status: De to overvåkingskameraene var fortsatt plassert på stolpen, slik det også var i 2010. Overvåkingskameraenes vinkel så ut til å være den samme som i 2010. Opptaksenheten var på samme sted som i 2010. Datatilsynets personell verifiserte at opptaksenheten ikke stod tilkoblet til strøm. Datatilsynet legger derfor til grunn at det er 2 av 6

avklart at overvåkingen ikke var aktiv på kontrolltidspunktet og at det ikke lenger skjer en løpende lagring av bilder fra kameraene. Datatilsynet ser det derimot som sannsynlig at det fremdeles finnes gamle billedopptak på opptaksenheten (antagelig de syv siste dagene før strømmen ble koblet fra). Uten å logge seg inn på opptaksenheten er det ikke mulig å avklare dette med fullstendig sikkerhet. Datatilsynet har ingen informasjon som skulle tilsi at opptakene som eksisterte på tidspunktet anlegget ble frakoblet strøm, er slettet. Datatilsynet legger derfor grunn at opptaksenheten inneholder gamle opptak fra tidsrommet umiddelbart før den ble frakoblet. Datatilsynets representanter spurte alle de tre ansatte som var til stede (herunder også daglig leder) om hvilken informasjon de hadde om overvåkingen, og om de visste om den var reell. Alle de tre trodde at overvåkingen var aktiv. Flere viste til informasjon i ansettelseskontrakten, som gjorde oppmerksom på at det eksisterte kameraovervåking og at det var strenge kriterier for når den skulle bli brukt og hvem som hadde tilgang. Beskrivelsen likner det som er beskrevet i kontrollrapporten fra 2010 om informasjon i ansettelseskontraktene. Datatilsynet ser det som sannsynlig at innholdet i ansettelseskontraktene ikke er endret siden 2010, selv om overvåkingen har opphørt. Datatilsynet har ikke informasjon om de ansatte også jobbet på stedet i 2010, hvor det i følge virksomheten ble informert til alle at overvåkingen var opphørt. 5 Ansvarsforhold etter personopplysningsloven I kontrollsaken fra 2010 stod det følgen om hvem anses som ansvarlig for tiltaket, jf Endelig kontrollrapport for BIT Storgata, punkt 5.2: BIT Norge AS eier både BIT Storgata AS og BIT Oslo City AS. Daglig leder ser BIT Norge AS som ansvarlig for kameraovervåkingen på begge de nevnte stedene. Datatilsynet tar dette til etterretning. Datatilsynet legger det samme til grunn for etterkontrollen. 6 Kort om personopplysningslovens regulering av kameraovervåking I endelig kontrollrapport for BIT Storgata fra 2010 gjøres det rede for regelverket. Dette gjentas ikke her. Derimot gjøres det i korthet rede for enkelte endringer i regelverket som trådte i kraft i april i år, og som har en betydning for vurderingen i denne saken: Som følge av regelverksendringene er definisjonen av kameraovervåking (tidligere kalt fjernsynsovervåking i regelverket) utvidet til også å gjelde utstyr som lett kan forveksles med ekte kameraovervåking. Begrepet kameraovervåking defineres i personopplysningslovens 36. Endringen medfører at såkalte dummy-kameraer blir regulert på lik linje med ekte kameraovervåking. 3 av 6

De bestemmelsene som retter seg mot hvordan personopplysningene behandles vil ikke være aktuelle for dummy-kameraer da det ikke skjer noen innsamling og bruk av personopplysninger. Reglene som gjelder vilkår for om overvåking er tillatt, vil derimot gjelde. I forarbeidene til regelverksendringene står det: Bruk av slike kameraer skal ikke kunne finne sted uten at vilkårene for bruk av ekte kameraovervåking er oppfylt. (Prop. 47 L, side 42.) Det gjøres også oppmerksom på tre andre endringer av en visse betydning for saken: For bruk av kameraovervåking gjelder hele personopplysningsloven, med de presiseringer som finnes i lovens 37. I tillegg til lovens alminnelige vilkår, må kameraovervåking også oppfylle tilleggsvilkår i 38-40. I personopplysningslovens 37 tredje ledd utdypes vurderingen av berettiget interesse etter personopplysningslovens 8 f i forbindelse med kameraovervåking: Ved vurdering av hva som er en berettiget interesse etter personopplysningsloven 8 bokstav f skal det for kameraovervåking legges vesentlig vekt på om overvåkingen bidrar til å verne om liv og helse eller forebygge gjentatte eller alvorlige straffbare handlinger. Endringene i personopplysningslovens 38 utdyper kravet om et særskilt behov for kameraovervåking av et sted hvor en begrenset krets av personer ferdes jevnlig. Kameraovervåking er bare tillatt dersom det ut fra virksomheten er behov for å forebygge at farlige situasjoner oppstår og ivareta hensynet til ansattes eller andres sikkerhet eller det for øvrig er et særskilt behov for overvåkingen. Et typisk eksempel på et sted hvor en begrenset krets av personer ferdes jevnlig kan være et lokale hvor kun ansatte har tilgang. Hvordan de nye bestemmelsene i personopplysningslovens er å forstå utdypes i Prop. 47 L (2011-2012) Endringer i personopplysningsloven. 7 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 7.1 Bruk av tilsynelatende overvåking Etter Datatilsynets vurdering, faller overvåkingskameraene ved BIT Oslo City inn under den nye definisjonen av kameraovervåking, og må dette må også den tilsynelatende overvåkingen oppfylle lovens krav. Nedenfor drøftes det om den tilsynelatende overvåkingen er tillatt. 7.1.1 Drøfting av tilsynelatende overvåking At overvåkingskameraene ikke er fjernet, forstår Datatilsynet først og fremst som et resultat av hvordan avvik ble lukket 2010 en rask og enkelt utført løsning som oppfylte de varslede vedtakene. Datatilsynet velger ikke å tolke løsningen som et uttrykk for et bevisst valg om å gi ansatte eller andre et inntrykk av at det skjedde en reell overvåking. 4 av 6

Datatilsynets anbefaling i 2010 om fjerning av overvåkingsutstyret er gjengitt i første del av rapporten. På dette tidspunket var vurderingen av gjeldende regelverk at Datatilsynet ikke hadde hjemler til å pålegge nedmonteren overvåkingskameraene. Virksomheten hadde således heller ikke en plikt til å gjøre det på dette tidspunktet. Med bakgrunn i regelverksendringene, og i lys at den situasjonen som eksisterte på tidspunktet for etterkontrollen herunder også at de tre ansatte trodde at overvåkingen var reell mener Datatilsynet at både regelverket og generelle personvernhensyn taler for at overvåkingskameraene skal nedmonteres. Det er allerede i 2010 avklart at overvåkingskameraene nesten utelukkende filmet områder de ansatte brukte. Overvåkingsbildene faget opp de ansattes alminnelige arbeid, herunder også tilbereding av mat. Tiltaket ble vurdert som for inngripende med hensyn til de ansatte personvern og som et brudd på regelverket. I 2010 varslet Datatilsynet vedtak med henvisning til personopplysningslovens 11, 8 f og 38. Overvåkingskameraene peker fremdeles mot de samme områdene. Dagens overvåkingsanlegg for den som ser det utenfra og som ikke har sikker kunnskap om at overvåkingen ikke er reell gir inntrykk av en kameraovervåking som tidligere er vurdert som ulovlig. Dette mener Datatilsynet skal veie tungt i vurderingen av om virksomheten skal pålegges å fjerne overvåkingskameraene. Etter Datatilsynets vurdering, må det også legges vekt på at det ansatte faktisk forstod sin situasjon som om overvåkingskameraene var i drift. 7.1.2 Datatilsynets vurdering av bruk av tilsynelatende overvåking Etter Datatilsynets vurdering, lar ikke den tilsynelatende overvåkingen seg forsvare med henblikk på kravene i personopplysningslovens 11, 8 f og 38. 7.2 Informasjon om behandling av personopplysninger Det eksisterer en generell informasjonsplikt om behandling av personopplysninger i lovens 19. I tillegg har kameraovervåkingskapittelet en bestemmelse om varsling av overvåking på stedet ved hjelp av skilt eller andre virkemidler, jf 40. Sannferdig og tilstrekkelig informasjon om bruk av personopplysninger er et svært viktig element i et godt personvern. Datatilsynet finner det kritikkverdig at de ansatte ikke var blitt informert om realitetene. Etter Datatilsynets vurdering, skulle virksomheten etter personopplysningslovens 19 ha informert de ansatte om at overvåkingskameraene ikke var i funksjon. Uten utrykkelig informasjon om dette, vil enhver ny ansatt ta utgangspunkt i at overvåkingen er reell, slik den utenfra sett gir inntrykk av å være. 7.3 Lagringstid for billedopptak Datatilsynet legger grunn som overveiende sannsynlig at gamle overvåkingsopptak fremdeles finnes i lagringsenheten. 5 av 6

Sletting av personopplysninger er regulert i personopplysningslovens 28, og det finnes egne sletteregler for kameraovervåking i personopplysningsforskriftens 8-4. Overvåkingsopptak skal lettes senest sju dager etter at opptakene er gjort. Opptak fra 2010 skulle vært slettet. 6 av 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding