UNIVERSITETET I BERGEN

Like dokumenter
Før ordinær saksbehandling blir det orientering om: Forvaltningskontoret for helse og omsorg v/leder Tony Grägg.

Kameraovervåking hva er lov? Sist endret: september 2014

Endelig kontrollrapport

Kameraovervåking hva er lov? Publisert:

Kameraovervåking hva er lov? Sist endret: april 2015

Personvernperspektivet og oppbevaring av intervjumateriale

Kameraovervåking hva er lov? Sist endret: september 2015

Rusmiddeltesting i arbeidslivet et personvernperspektiv

GDPR. The General Data Protection Regulation. Ny personvernlov i Norge basert på EUs direktivet vedtatt 2016

Personvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)

VEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold

GDPR og ny personvernlovgivning. Advokat (H) Torbjørn Saggau Holm

Lydopptak og personopplysningsloven

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

GDPR HVA ER VIKTIG FOR HR- DATA

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Endelig kontrollrapport

Prosedyre for personvern

EU'S NYE PERSONVERNREGLER 2018 GDPR (GENERAL DATA PROTECTION REGULATION)

Universitetet i Oslo Universitetsdirektøren

Implementering av det nye personvernregelverket ved UiB

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

GDPR - PERSONVERN. Advokat Sunniva Berntsen

Personvern nye krav etter GDPR. Stian F. Kristensen seniorrådgiver, SBU

GDPR Hva er det og hva er nytt? Presentasjon fra GDPR-prosjektet hos Direktoratet for e-helse

Nytt personvernregelverk på 1-2-3

Saksframlegg. Styret Pasientreiser HF 13/09/2017. SAK NR Behandling av personopplysninger - oppfølging av styresak

Personopplysningsloven

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Vedtak om pålegg kameraovervåking hos Move treningssenter

Personvernerklæring om behandling av personopplysninger Felleskatalogen AS

BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING

Nye personvernregler fra mai Hva betyr det for din virksomhet? Advokat Sverre McSeveny-Åril og advokat Maja Glad Pedersen

Del II Noen viktige rettslige utgangspunkt Hentet fra

GDPR - Personvern

Personvernerklæring Advokatfirmaet Judicium DA/Båtadvokaten

GDPR - viktige prinsipper og rettigheter

Policy for personvern

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

når har du lov til å overvåke med kamera? En femtrinns veiledning

Endelig kontrollrapport

KiNS seminar for fylkeskommunene Databehandleravtaler. Datatilsynet ved seniorrådgiver Ragnhild Castberg

Databehandleravtaler. Tommy Tranvik Unit

Nye personvernregler Hvordan blir organisasjonen i overensstemmelse med regelverket? Unicornis, 12. desember 2017

Hvordan ivareta personvernet ved skikkethetsvurderinger?

Foreløpig kontrollrapport

Arbeidsgiver ser deg:

Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon

Personvernerklæring. Innledning. Om personopplysninger og regelverket

102 Definisjoner og forklaringer

Ny personvernforordning trer i kraft i mai 2018

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

EUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye

FORHOLDET MELLOM GDPR OG ARKIV. Domstoladministrasjonen 1

Databehandleravtale. Charlotte Lindberg Difi

Nye personvernregler

Informasjonssikkerhet - Innføring velferdsteknologi Agder. KiNS-konferanse Stavanger juni 2019

NINAs personverndokument

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Personvernerklæring for EVUweb - søkere

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

Nye personvernregler

Personvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Personvern i EPD-Norge

Personvernerklæring for Flyt Høgskolen i Molde

Arbeidsgivers styringsrett og ansattes personvern. Partnerforum 16. september 2008 Aslaug Bendiksen

GDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018

Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten

INFORMASJON OM GDPR TIL DE SOM GIR PERSONOPPLYSNINGER TIL DET NORSKE MASKINISTFORBUND (Dnmf)

Endelig kontrollrapport

Rutiner for gjennomføring av innsyn i brukeres e-post og annet elektronisk lagret materiale.

Personvern og studieadministrasjon. Sadia Zaka Juridisk seniorrådgiver Unit

Vedlegg til søknad om konsesjon for behandling av

Nye personvernregler fra mai 2018

GDPR i et nøtteskall

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS

PERSONVERNERKLÆRING FORUM SECURITIES AS

ADDSECURES BEHANDLING AV PERSONOPPLYSNINGER

FORSLAG TIL INNHOLD I INTERNKONTROLLSYSTEMET

Nye personvernregler

Kvalitetssikring av KS digitaliseringsprosjekter Sjekkliste informasjonssikkerhet og personvern

Verdipapirforetakets plikt til å foreta lydopptak av telefonsamtaler mv.

Avtale om behandling av personopplysninger (databehandleravtale) i forbindelse med <navn på tjeneste> (heretter omtalt som «avtalen»)

GDPR Prosjektgjennomføring Sjekkliste

Kliniske studier mars Nye personvernregler Camilla Nervik Seniorrådgiver, Datatilsynet

GDPR I DEN NORSKE OPERA & BALLETT. Spekter, 13. desember 2017

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Bilag 14 Databehandleravtale

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Ny personvernlovgivning. Tillitsvalgkonferansen 2017

POWEL DATABEHANDLERAVTALE

PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond

Ny personvernlov. Hilde Lange, personvernombud Troms fylkeskommune

Databehandleravtale. Databehandleravtalens hensikt. Behandlingsansvarliges rolle. Databehandlers rolle

Transkript:

UNIVERSITETET I BERGEN Styre: Styresak: Møtedato: Universitetsstyret 54/19 29.05.2019 Dato: 15.05.2019 Arkivsaksnr: 2011/939 Orientering om retningslinje for bruk av kameraovervåkning ved Universitetet i Bergen Henvisning til bakgrunnsdokumenter Styresak 16/19 Bruk av sikkerhetskamera ved Universitetet i Bergen Saken gjelder: Da sak om bruk av sikkerhetskamera ved UiB ble behandlet i møte 21.februar godkjente styret at det kan tas i bruk sikkerhetskamera ved UiB, og presiserte at ethvert forslag om bruk av sikkerhetskamera skal være utredet og i tråd med Datatilsynets retningslinjer og gjeldende personvernregler før implementering. Styret ba videre om om å få forelagt retningslinjer for retningslinjene til orientering. Retningslinjen er lagt ved. Denne skal sikre at kameraovervåking i regi av Universitetet i Bergen (UIB) er i tråd med lovkrav, veileder fra Datatilsynet om kameraovervåking og interne føringer vedtatt av Universitetsstyret. Retningslinjen skal også bidra til en helhetlig implementering og forvaltning der kameraovervåking er tatt i bruk ved UIB. Retningslinjen beskriver vurderinger som må ligge til grunn og dokumentasjonskrav som må være oppfylt før sikkerhetskamera kan tas i bruk i UIBs bygg og arealer. I retningslinjen brukes begrepet «kameraovervåkning» da det er begrepet som brukes av Datatilsynet. Retningslinjen er utarbeidet av personvernombudet og sikkerhetsrådgiver ved UiB og godkjent av universitetsdirektøren. All bruk av kameraovervåkning ved UiB skal være omsøkt og godkjent av sikkerhetsrådgiver, etter samråd fra personvernombudet. Forslag til vedtak: Universitetsstyret tar saken til orientering Kjell Bernstrøm Universitetsdirektør 15.05.2019/Arne R. Ramslien Vedlegg: Retningslinjer for bruk av kameraovervåkning Side 1 av 1

Retningslinje for bruk av kameraovervåking ved UiB Godkjent av Universitetsdirektøren den 29.04.2019 1. Formål Retningslinjen skal sikre at kameraovervåking i regi av Universitetet i Bergen (UIB) er i tråd med lovkrav, veileder fra Datatilsynet om kameraovervåking (lenke) og interne føringer vedtatt av Universitetsstyret. Retningslinjen skal også bidra til en helhetlig implementering og forvaltning der kameraovervåking er tatt i bruk ved UIB. Retningslinjen beskriver vurderinger som må ligge til grunn og dokumentasjonskrav som må være oppfylt før sikkerhetskamera kan tas i bruk i UIBs bygg og arealer. UiBs Retningslinje for behandling av personopplysninger gjelder overordnet. 2. Omfang Retningslinjen gjelder for alle innretninger for kameraovervåkning som omfattes av følgende definisjon, jfr. Personopplysningsloven 31: Med kameraovervåking menes vedvarende eller regelmessig gjentatt personovervåkning ved hjelp av fjernbetjent eller automatisk virkende overvåkningskamera eller annet lignende utstyr som er fastmontert. Som kameraovervåking anses både overvåking med og mulighet for opptak av lyd- og bildemateriale. Det samme gjelder uekte kameraovervåkingsutstyr eller skilting, oppslag eller lignende som gir inntrykk av at kameraovervåking finner sted. Retningslinjer omfatter også planlegging og vurdering av om slike innretninger skal tas i bruk. Retningslinjen omfatter alle arealer som faller inn under UiBs ansvarsområder, enten som områdeansvarlig, byggherre, eller ansvarlig for virksomheten som foregår i eller ved et nærmere definert område. 3. Ansvar 3.1. Leder med det overordnede administrative ansvaret ved enheten (enhetsleder) har ansvar for at behov for kameraovervåkning blir vurdert, dokumentert og søkt om til sikkerhetsrådgiver ved UiB. 3.2. Enhetsleder har ansvar for at behovet for kameraovervåkning på innsiden av bygg blir fortløpende vurdert og fulgt opp i henhold til Retningslinjen. 3.3. Enhetsleder har ansvar for ethvert overvåkningskamera fra der skallsikring slutter og videre inn i bygget (objekt-/verdisikring). 3.4. Eiendomsavdelingen (EIA) har ansvar for ethvert sikkerhetskamera på utsiden av bygget frem til der fellesarealer og kontorer begynner (skallsikring). 3.5. Sikkerhetsrådgiver ved UiB er, etter samråd med personvernombudet, godkjenningsinstans for ethvert bruk av kameraovervåking. Behandlingsaktiviteter av personopplysninger i forbindelse med kameraovervåking skal holdes løpende oppdatert i tråd med kravet i GDPR artikkel 30. Dette er et UiB-internt notat som godkjennes elektronisk i ephorte Universitetsdirektørens kontor Telefon 55 58 20 01 Telefaks 55 58 96 43 Postadresse Postboks 7800 5020 Bergen Besøksadresse Muséplass 1 Bergen

side 2 av 5 4. Krav til vurderinger 4.1. Risikovurdering Virksomhetens risiko må dokumenteres gjennom en Risikovurdering, som beskriver sannsynlighet og konsekvens for de hendelser som virksomheten ønsker å forebygge gjennom å iverksette kameraovervåking. 4.2. Nødvendighet Kameraovervåking må være nødvendig for formålet. Før det besluttes å iverksette kameraovervåking må det vurderes om kameraovervåking er et egnet virkemiddel for å oppnå formålet, eller om andre tiltak kan være like eller bedre egnet. Det må alltid vurderes om problemet kan løses eller risikoen minimeres gjennom andre egnede, men mindre inngripende tiltak. I så tilfelle kan det ikke fattes vedtak om kameraovervåking. Eksempler på alternative, mindre inngripende tiltak kan være fysisk sikring, begrenset adgang eller adgangskontroll, låse- og alarmsystemer, tilstedeværelse gjennom økt bemanning eller vakthold, økt lyssetting, oppmerksomme ansatte, opplæring og gode rutiner. Kameraovervåking med lydopptak anses som så inngripende at det normalt ikke tillatt. Skjult opptak av andres samtaler kan i tillegg være straffbart. 4.3. Krav om formålsbegrensning Det må skriftlig fastsettes et klart formål med overvåkingen. Overvåkingen kan ikke brukes på måter som er uforenlige med det definerte formålet. I søknaden må det redegjøres for behov og formål med kameraovervåking. Risikovurdering skal være vedlagt søknaden. 4.4. Behandlingsgrunnlag i personvernforordningen Ethvert vedtak om kameraovervåking som Universitetet i Bergen er behandlingsansvarlig for må ha et rettslig behandlingsgrunnlag i personvernforordningen. Behandlingsgrunnlaget for å iverksette kameraovervåking vil som hovedregel være personvernforordningen artikkel 6 nr. 1 f), nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart. Behandlingsgrunnlaget krever en dokumentert interesseavveining, se pkt. 4.5. 4.5. Krav om dokumentert interesseovervekt Den behandlingsansvarliges interesse i å kameraovervåke må veie tyngre enn personvernet til de som blir overvåket. Det må dokumenteres at det ligger tungtveiende interesser til grunn for å kunne kameraovervåke, se pkt. 5.2. I interesseavveiingen må det fremgår hvilke tiltak som skal oppveie ulempene for de berørte, og om de berørtes synspunkter er hørt. 5. Områder der kameraovervåking kan være tillatt 5.1. Offentlige områder utendørs Det er i utgangspunktet kun offentlige myndigheter som kan overvåke offentlige områder, slik som politiet. Ved vedtak om overvåking av offentlige områder, parker og andre rekreasjonsområder som er åpen for at allmennheten, skal det vises til tungtveiende grunner med henvisning i de interesser institusjonen har plikt til å verne.

side 3 av 5 5.2. Arealer i eller i tilknytning til bygninger Kameraovervåking skal som hovedregel avgrenses til perioder utenfor bemannede åpningstider. Dette gjelder både inne og ute på steder hvor ansatte, studenter og andre ferdes i universitetets bygninger og tilknyttede arealer. 5.3. Time lapse-videoer av byggeplasser Time-lapse fotografering for å lage video som viser fremgang av byggeprosesser, herunder tilgjengeliggjøring bildestrømmen på nettet, er tillatt under følgende forutsetninger: Kameraets plassering og bildenes oppløsning må være slik at det ikke er mulig å gjenkjenne enkeltpersoner på bildene Hyppigheten av fotograferingen må være så sjelden at det ikke er mulig for eksempel for byggearbeidernes arbeidsgiver å følge med på de ansattes arbeidsutførelse. Datatilsynet anbefaler at det ikke tas bilde oftere enn hvert tiende minutt. De som er berørt av fotograferingen bør informeres om hensikten med fotograferingen og hvordan det er ment å virke. 6. Utforming av kameraovervåking Ved valg av overvåkingsform bør det velges den minst inngripende formen for kameraovervåking som kan oppfylle formålet. 6.1. Overvåking uten opptak Det bør velges en løsning som ikke gjør opptak, hvis formålet med overvåkingen ikke nødvendiggjør opptak. Dette fordi monitorering uten opptak vanligvis oppfattes som mindre krenkende for de berørte. Kortvarig lagring av opptakene vil også redusere personvernulempene. 6.2. Overføring av opptak i sanntid (streaming) og fjerntilgang Kameraovervåking som tilrettelegger for at opptak kan ses i sanntid på en mobiltelefon eller bærbar PC er vanligvis ikke tillatt. Denne typen overvåking er mer inngripende enn lokal monitorering eller lagring. Dersom formålet kan oppnås med mindre inngripende overvåkingstiltak, skal slike tiltak velges i stedet. 6.3. Kun lov til å vise det som er relevant for formålet Overvåkningskamera bør plasseres slik at det kun fanger opp det som er relevant for å oppnå formålet. Det må derfor velges en kameraplassering eller vinkel som ikke viser mer enn nødvendig, eventuelt snevre inn bildeutsnittet. Alternativt kan det velges en løsning med fysisk avskjerming av hva som filmes, dvs digital maskering/ «sladding» av deler av bildet. Sladding må ikke kunne fjernes fra opptakene i ettertid. 6.4. Tidsstyring Overvåkingen bør begrenses til de tidene eller situasjonene der behovet er størst. I noen tilfeller vil det være nødvendig med en ekstra streng tidsbegrensing for å at overvåkingen skal oppfylle interesseavveiningen og dermed være lovlig. 6.5. Styrbare kamera og zoom Det bør generelt unngås å installere utstyr med overvåkingsmuligheter det ikke er behov for. Bruk av styrbare kamera og zoom-funksjon krever en god begrunnelse, fordi utstyr som muliggjør nærgående og oppfølgende overvåking er mer inngripende enn overvåking med utstyr uten slike muligheter. Utstyr med slike muligheter øker også muligheten for å overvåke mer enn det som er tiltenkt, og dermed mer enn det som er lovlig. 7. Informasjon Det skal gis informasjon når kameraovervåking skjer. Skjult overvåking er ikke tillatt.

side 4 av 5 Informasjon kan gis i form av skilt som informerer at det kameraovervåkes, hvem som er behandlingsansvarlig, hva formålet er og hvor man kan finne mere informasjon. Det skal også fremgå tydelig av informasjonen dersom overvåkingen skjer med lyd (normalt ikke tillatt). Skiltene må ha en størrelse, plassering og et antall som gjør det lett å få med seg at området er overvåket. Fortrinnsvis skal skiltingen plasseres der hvor personer går inn i det overvåkede området. Det skal fremgår av varslingsskiltene hvilke områder som er omfattet av overvåkingen. 8. Bruk av opptakene Hva opptakene kan brukes til er avhengig av det forhåndsdefinerte formålet med overvåkingen. Det er kun lov å bruke opptakene i tråd med det forhåndsdefinerte formålet. Utlevering av opptak til andre utenfor virksomheten kan bare skje i visse situasjoner. Utlevering av opptak til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker er en slik grunn. Utover dette er regelen at man må samtykke fra personene som er på opptakene, med mindre det kan dokumenteres at man har et annet behandlingsgrunnlag. Alle som er registrert hos en virksomhet har rett til innsyn i opplysninger som er lagret om seg selv. Dette gjelder også for overvåkingsopptak, men begrenset til de deler av opptakene hvor vedkommende selv er avbildet. 9. Sletting Opptak skal ikke oppbevares lenger enn nødvendig for å oppfylle formålet. Kameraovervåking kan ha til hensikt å virke både proaktivt (forebyggende) og reaktivt (oppklarende). Der kameraovervåking virker proaktivt, skal opptakene slettes fortløpende med et rimelig intervall, med mindre man har oppdaget en hendelse. Normalt skal kameraopptak slettes etter syv 7 dager. Det må dokumenteres hvorfor det er nødvendig å lagre opptak utover én uke. Der kameraovervåking virker reaktivt kan behandlingsansvarlig hente ut opptaket som viser hendelsen og bevare det så lenge som nødvendig for å oppklare hendelsen, politianmelde eller fremme et rettskrav. 10. Sikring av opptak og anlegg Kravene til informasjonssikkerhet i personvernregelverket gjelder også for kameraovervåkingsanlegg. Det må gjøres risikovurderinger og innføres sikkerhetstiltak for å sikre at opptakene ikke kommer på avveie (konfidensialitet), at de ikke går tapt (tilgjengelighet), og at de er til å stole på, f.eks. hvor og når opptaket er gjort (integritet). Loven stiller krav om at de samme prinsippene følges for sikring av et kameraovervåkingsanlegg som for andre informasjonssystemer hvor personopplysninger blir behandlet. Dette omfatter blant annet å sørge for: Fysisk sikring av opptak. Opptak på minnepinne, DVD eller lignende skal låses inne Ved lagring i skyen må det sørges for at leverandøren har tilfredsstillende sikkerhet og at virksomhetens kundedata skilles fra andre virksomheter sine kundedata. Krav til sikkerhet skal være formulert i en databehandleravtale. At selve overvåkningsanlegget sikres. Hvis ikke virksomheten selv har nødvendig kompetanse til å vurdere hvilke tiltak er nødvendig, må det skaffes profesjonell hjelp. At det utføres en risikovurdering (ROS-analyse) av informasjonssikkerheten, som omfatter hva som kan gå galt og hva er konsekvensen hvis det går galt?

side 5 av 5 Dersom løsningen skal gjøres tilgjengelig fra utsiden av virksomheten må det sørges for sterk autentisering (fler-faktorautentisering). Dette kan gjøres som en del av andre fjerntilganger til virksomhetens systemer, eller som en egen løsning for overvåkningsanlegget. Det kan f.eks. være tilgang fra kun én dedikert pc, bruk av kodebrikke, sikkerhetskode tilsendt på SMS eller lignende. Både tilgang til opptak og overvåking i sanntid (monitorering) skal avgrenses etter tjenstlig behov. Overvåkningsanlegget støtter logging. Det skal være mulig å kontrollere bruken i ettertid, ved at brukerne får individuelle brukernavn og passord. At datatrafikken er kryptert At det er gode rutiner og klare instrukser for bruk og kontroll av utstyret, for å forhindre kopiering og annet misbruk av opptak. Det er behandlingsansvarlige som har ansvaret for at kravene i regelverket følges. 11. Særlig om kameraovervåking i arbeidslivet Det må foreligge et særskilt behov for at en arbeidsgiver skal kunne kameraovervåke områder der bare de ansatte ferdes. Det er vedtatt tilleggsregler for kameraovervåking i arbeidslivet i forskrift til arbeidsmiljøloven (FOR-2018-07-02-1107) Forskrift om kameraovervåking i virksomhet. Reglene kommer i tillegg til de generelle reglene om kameraovervåking i personvernregelverket. Det skal alltid gjennomføres en personvernkonsekvensvurdering (DPIA), jfr. Personvernforordningen artikkel 35, i forbindelse med systematisk monitorering av ansatte, herunder overvåking av ansattes internettaktivitet, elektroniske kommunikasjon og kameraovervåking. 12. Dokumentasjon Bruk av kameraovervåkning skal være omsøkt i tråd med dette reglement og dokumentert i tråd med prosederer fastsatt av sikkerhetsrådgiver.

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding