Saksnummer: 11/00262-7 Dato for kontroll: 11.02.2011 Rapportdato: 23.06.2011 Endelig kontrollrapport Kontrollobjekt: Senterdrift Halden Storsenter Sted: Halden Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland 1 Innledning Datatilsynet gjennomførte en uanmeldt kontroll hos Senterdrift Halden Storsenter 11. februar 2011. Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Foranledningen til kontrollen En vekter fra Securitas var involvert i en hendelse på Halden Storsenter den 19. januar 2011. Vekteren regnes i denne sammenheng som en representant for Senterdrift. Vekteren oppsøkte en kunde i senteret og ba vedkommende om en samtale. Kunden ble tatt med til senterkontoret og vist et videoopptak fra 2. desember 2010. Opptaket viste angivelig et tyveri fra en av senterets butikker, hvor det ble antydet at vedkommende person var gjerningsperson. Dette viste seg å ikke være tilfelle. Vedkommende oppfattet likevel hendelsen så oppskakende at det ble fremsatt klage ovenfor Datatilsynet. I tillegg ble lokalpressen kontaktet av klager. Halden Arbeiderblad publiserte en artikkel om hendelsen 21. januar 2011. Datatilsynet kontaktet Halden Storsenter og ba om en redegjørelse i saken per telefon. For å belyse saken i sin fulle bredde valgte imidlertid Datatilsynet å gjennomføre en uanmeldt stedlig kontroll. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med kameraovervåking. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Thomas Gloslie, driftsleder 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Stein Erik Vetland, overingeniør 3 Generelt Halden storsenter er et kjøpesenter lokalisert ved Halden by. Senteret har 28 butikker, hovedsakelig innen konfeksjon. Det var på kontrolltidspunktet montert 16 overvåkingskameraer som dekker fellesarealer, herunder parkeringshuset.
Behandlingsansvarlige for kameraovervåkingen er Steen & Strøm Senterservice AS, organisasjonsnummer 979 119 127. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Datatilsynet begrenset seg til å vurdere senterets behandling av personopplysninger i forbindelse med overvåkingskamera. Steen & Strøm Senterservice AS har ved meldingsnummer 42406 datert 12. januar 2011 meldt fjernsynsovervåking av Senterets fellesarealer inn til Datatilsynet. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Personopplysningsloven 36 41 samt personopplysningsforskriften kapittel 8 stadfester rammer for fjernsynsovervåking. Personopplysningsloven 37 stadfester at når billedopptak fra fjernsynsovervåking lagres på en måte som gjør det mulig å finne igjen opplysninger om en bestemt person, jf. 3 første ledd, gjelder også lovens øvrige bestemmelser. Datatilsynet mener at virksomhetens digitale lagring gjør det mulig å finne igjen opplysninger om en bestemt person, og som en følge av dette gjelder alle lovens bestemmelser. 5.1 Generelle krav til behandling av personopplysninger I innsendt melding til Datatilsynet punkt 6 c Nærmere beskrivelse har ikke virksomheten fylt ut noe informasjon ut over at overvåkingen skjer i senterets fellesarealer. Driftsleder forklarte at kameraene er montert for å forebygge og oppklare tyveri. Kameraene ble også brukt for å i etterkant kunne forstå hendelser ut over det normale. Datatilsynet tar utgangspunkt i beskrivelsen ovenfor om formålet med behandlingen av personopplysningene, jf personopplysningsloven 11 bokstav b. Formålet med overvåkingen virker klart, men tilsynet har ikke fått tilgang til dokumenter hvor formålet er skriftlig nedfelt. 5.1.1 Internkontroll Lovkrav Personopplysningsloven 14 stadfester at den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Videre skal den behandlingsansvarlige dokumentere tiltakene. Dokumentasjonen skal være tilgjenglig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. Funn Tilsynet har fått tilgang til et dokument Instruks for Halden Storsenter som er vekternes håndbok. Denne instruksen inneholder punktet ITV Overvåking av senteret. Den ene 2 av 8
setningen som står under dette punktet er: * Egen opplæring av driftsleder evt. Objektleder. Driftsleder forklarer at dokumentet er under revisjon og at arbeidet ikke er avsluttet. Drøftelse og konklusjon Manglende skriftlig dokumentasjon er uheldig siden det gjør det vanskelig å kunne kvalitetsvurdere opplæringen og rutinene virksomheten har. Manglende dokumentasjon gjør det også umulig for tilsynet å få rede på om virksomheten har en rutine som ikke har blitt fulgt eller om rutinen aldri har vært tilstedet. Manglende skriftlig dokumentasjon anses som et brudd på personopplysningsloven 14. 5.1.2 Sletting Lovkrav Personopplysningsforskriften 8-4 stadfester at billedopptak skal slettes når det ikke lenger er saklig grunn for oppbevaring, jf personopplysningsloven 28. Billedopptak skal senest slettes 7 dager etter at opptakene er gjort. Sletteplikten etter forrige punkt gjelder likevel ikke dersom det er sannsynlig at billedopptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. I slike tilfeller kan billedopptakene oppbevares inntil 30 dager. Funn Datamaskinen som inneholder opptakene fra de 16 kameraene er en ordinær datamaskin, med et operativsystem fra leverandøren Microsoft. En normal mulighet i dette operativsystemet er å gjenopprette slettede dokumenter. I det en bruker ønsker å slette en fil må også søppelkassen tømmes. Det var ikke gjort hos virksomheten. 3 av 8
At de nederste sju filene er slettet 11.02.2011 er et resultat av at representanten fra tilsynet slettet filer han hadde gjenopprettet før skjermbildet ble tatt. En gjenopprettelse av slike filer skjer umiddelbart og har ingen effekt på filen. Datatilsynet kunne dermed studere billedopptak som virksomhetens representant mente var slettet. 4 av 8
Datamaskinen hadde for øvrig en intern harddisk kalt DATA (F:). Den eldste videoen tilsynet fant var datert 25.10.2006. 5 av 8
Videre hadde det blitt opprettet en spesiell mappe for en hendelse 11.04.2008 kalt Økseran. I mappen Økseran er det lagret egne stillbilder av den mistenkte og vitne i rulletrapp. Oppdelingen gjør det tydelig at billedmaterialet har blitt behandlet for å kunne gi et tydeligere bilde av hendelsen før eventuell oversendelse til politiet. Personopplysningsforskriften 8-4 siste ledd gir Datatilsynet mulighet til å gjøre unntak fra fristene i personopplysningsforskriften 8-4 andre og tredje ledd. Datatilsynet har ikke gitt virksomheten unntak fra disse fristene. Konklusjon Virksomheten har etter hendelsen 19. januar 2011 gjort forsøk på å slette opptak. Dette ble utført 20. januar 2011 klokken 12:46. At rutinene virksomheten har ikke er tilstrekkelige når det gjelder sletting, anses som et tegn på dårlig opplæring og/eller rutine. Intensjonen til virksomheten har vært å rydde opp, selv om de ikke har lykkes. Noen av opptakene som er overført til den andre interne harddisken er gjort manuelt. Kopiering over til annen harddisk brukes oftest som sikkerhetskopi. Slettingen har kun blitt gjort på uttrekket på c: harddisken og ikke på sikkerhetskopien i mappene 2008, 2007 og 2006. En sletting av filer er ikke å anse som fullført før også sikkerhetskopien er slettet. 6 av 8
Manglende rutine og kontroll over egen behandling av billedopptak har medført at virksomheten besitter meget gamle opptak de ikke har behandlingsgrunnlag for. Datatilsynet kan ikke se at virksomheten har tilstrekkelige rutiner for å slette opptak som har blitt tatt ut av ordinære opptak. Datatilsynet kan heller ikke se at dagens rutine med mulighet for gjenoppretting av filer er tilstrekkelig for å anse filene som slettet. Rutinen ser heller ikke ut til å omfatte den andre interne harddisken. Manglende sletting anses som et brudd på personopplysningsforskriften 8-4, jf personopplysningsloven 28. 5.1.3 Konfidensialitet Lovkrav Personopplysningsforskriften 2-11 stadfester at det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. Funn Vekteren benyttet videoopptak fra den 2. desember 2010 da kunden ble konfrontert med mistanken om tyveri den 19. januar 2011. Dette er minimum 17 dager etter at opptaket skulle vært slettet i medhold av lovverket. Virksomheten har ved uvanlige hendelser tatt ut billedopptak og lagret det på annet sted på samme maskin. Disse filene har blitt lagret under det samme beskyttelsesnivået som de ordinær opptakene. Denne praksisen medfører at det personellet som har tjenestelige behov for å ha tilgang til de ordinære billedopptakene også har hatt tilgang til de billedopptakene som er lagret ut over 7 dager. Konklusjon Billedopptak av uvanlige hendelser medfører at virksomheten lagrer billedopptak av angivelige tyveri, nasking eller hendelser som er helserelatert. Personopplysningsloven 2-8 bokstav b definerer at personopplysningen regnes som sensitiv hvis den sier at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling. Videre definerer personopplysningsloven 2-8 bokstav c at helseforhold også regnes som en sensitiv personopplysning. I tillegg har ikke skyldspørsmålet ved tyveri eller nasking blitt klarlagt av en domstol. Datatilsynet regner derfor billedopptakene som har blitt lagret lengre enn 7 dager som personopplysninger hvor konfidensialitet er nødvendig. Tilgangsstyring til overnevnte konfidensielle opplysninger skal være avhengig av tjenestelige behov. Vekteren er å regne som en representant for virksomheten, men vekteren har ikke utvidede fullmakter i forhold til annet personell når det gjelder tilgang til konfidensielle opplysninger. Tilsynet kan av overnevnte grunner ikke se at vekteren har tjenestelige behov for tilgang til billedopptak som er spesielt lagret. 7 av 8
Manglende tilgangskontroll anses som et brudd på personopplysningsforskriften 2-11. 8 av 8