Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Det vises til Datatilsynets kontroll hos Stavanger Taxi AS den 5. september 2012 og Datatilsynets s varsel om vedtak av 31. mai 2013. Vurdering av tilsvar Datatilsynet har i brev av 15. august 2013 mottatt virksomhetens merknader til varselet. Datatilsynet kan ikke se at virksomheten har innvendinger mot rapportens beskrivelse av fakta, riktig nok med ett mulig unntak: Datatilsynet er noe usikker på om virksomheten har ment at rapporten gir en gal fremstilling av tiltakets formål. Dette kommenteres lengre nede i brevet. I det vesentlige omhandler merknadene Datatilsynets vurderinger og konklusjoner. Det mest sentrale er at virksomheten ikke er enig i Datatilsynets konklusjonen om at løpende kameraovervåking fra taxiene ikke er tillatt. Nedenfor gjengis i korthet virksomhetens syn med Datatilsynets kommentarer til disse. Rettslig grunnlag for overvåkingen Virksomheten mener at en samlet vurdering av relevante argumenter tilsier at personopplysningsloven ikke gir hjemmel til å forby den aktuelle overvåkingen (det første av de varslede vedtakene i Datatilsynets brev av 31. mai 2013). Et viktig poeng for virksomheten er at opptak kun skal tas frem dersom noe svært spesielt har skjedd, og at dette kun medfører beskjedne personvernulemper for passasjerene. Virksomheten viser i den forbindelse til Personvernnemndas vurdering i sakene om kameraovervåking av Sporveisbussene og NSBs lokaltog fra 2005. Med henblikk på en svært begrenset bruk av opptak, mener virksomheten at rapporten etablerer et kunstig skille mellom taxi på den ene siden og buss eller tog på den andre. Overvåking av taxi burde vært vurdert på samme måte som ved overvåking av buss eller tog, slik virksomheten ser det. Datatilsynet merker seg virksomhetens syn, men vurderer saken annerledes: Det er en betydelig forskjell på å bli overvåket i en taxi og i et transportmiddel hvor man reiser sammen Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no
med, og i påsyn av en rekke andre mennesker. I vedlagt rapport har Datatilsynet søkt å tydeliggjøre denne vurderingen i rapportens 7.2.1. Datatilsynet er ening i at høye terskler for at opptak skal ses på, reduserer personvernulemper i forhold til en mer omfattende bruk. For Datatilsynet er det et sentralt poeng at lagring også representerer en inngripen i seg selv. Dette poenget tydeliggjøres i rapportens 7.2.1. I taxiselskapest merknader vises det til personopplysningslovens 37 andre ledd (side 2). Denne delen av 37 omhandler spørsmålene om behandlingsgrunnlag etter lovens 9 og mulig konsesjonsplikt. Datatilsynet forstår ikke denne henvisningen i sammenhengen da det fra Datatilsynets side ikke har vært hevdet at virksomheten har konsesjonsplikt for overvåkingen eller mangler behandlingsgrunnlag i lovens 9. Muligens har virksomheten ment bestemmelsens tredje ledd: Lovteksten i kameraovervåkingskapittelet har blitt endret i 2012. Dagens lov har et nytt tredje ledd i 37 om vurderingen av berettiget interesse når behandlingsgrunnlaget er 8 f. Det skal i den forbindelse legges «vesentlig vekt på om overvåkingen bidrar til å verne om liv eller helse eller forebygger gjentatte eller alvorlige straffbare handlinger». Tilsynet vil her påpeke at formuleringen ovenfor kun omhandler én del av lovens 8 f, nemlig vurderingen av om det foreligger en berettiget interesse eller ikke. Datatilsynet vil presisere at dets vurdering i saken er at taxiselskapet har en berettiget. Problemet er ikke oppfyllelse av dette kriteriet, men selve interesseavveiningen og om virksomheten kan ta i bruk mindre inngripende tiltak (vurdering av nødvendighetskriteriet og proporsjonalitet), herunder også en mindre inngripende kameraløsning enn løpende opptak. Virksomheten viser til Danske lovgivning, hvor det finnes en egen lov som pålegger kameraovervåking i taxier. Tilsvarende påbud finnes ikke i Norge. Per i dag har kameraovervåking av taxier ikke hjemmel i eget regelverk. Overvåkingen må derfor oppfylle ett av nødvendighetskriteriene i personopplysningslovens 8 som vilkår for behandlingen av personopplysningene. Datatilsynet vil legge til at det innenfor temaet kameraovervåking er store nasjonale forskjeller i praksis og regelverk blant land som er forpliktet på EUs personverndirektiv (noe både Danmark og Norge er). Formålet med overvåkingen I merknadene står det følgende om temaet overvåking av sjåførene: «Hans [sjåføren] arbeidsplass overvåkes ikke. Det er heller ikke nødvendig ut fra formålet med overvåkingen, som er førerens sikkerhet». Datatilsynet er uenig i beskrivelsen. For Stavanger Taxis del, blir riktig nok ikke sjåførens ansikt eller kropp med på overvåkingsbildet så lenge sjåførens sitter stille i førersetet. Opptaket representerer likevel klart personopplysninger om sjåføren. Dette kommenteres i rapportens 7.2.1. Teksten her er endret med en litt større beskrivelse og eksempler. Detter er gjort for å tydeliggjøre hva Datatilsynet ser som faktum: Opptakene må også forstås som personopplysninger om sjåføren, og overvåkingen representerer en overvåking av vedkommendes arbeidsplass. 2
Med dette som utgangspunkt, mener tilsynet at også personopplysningslovens 38 kommer til anvendelse. Bestemmelsen setter et krav om et særskilt behov for overvåkingen. (Denne siden av saken blir ikke kommenter i virksomhetens brev.) For å tydeliggjøre vurderingen av personvernkonsekvenser av overvåkingen for ansatte, er det også lagt til en setning i 7.2.2. Fra virksomhetens merknader kan setningen «Det er heller ikke nødvendig ut fra formålet med overvåkingen, som er førerens sikkerhet» forstås som om overvåkingens formål ene og alene er å sikre sjåføren. Det strider i så fall mot beskrivelsen i rapportens 5.5. Rapporten beskriver formålet som beskyttelse av sjåføren, men at overvåkingen også har til formål å verne passasjerene. I dette ligger det også i ytterste konsekvens å sikre passasjerer mot eventuelle overgrep fra sjåføren. Det legges her til at nettopp denne problematikken en rekke påstander om overgrep fra taxisjåfører og utrygghet blant taxikunder i Stavangerområdet for noen år tilbake var en utløsende faktor virksomheten. Datatilsynet har i valgt å tolke sitatet som argumentasjon i sammenheng med personvernulemper for sjåførene, ikke som en bestridelse av det beskrevne formålet i rapporten. Andre merknader I tillegg til det som er beskrevet ovenfor, har virksomheten enkelte merknader av mer subsidiær karakter. Disse gjelder skriftlige rutiner, kontroll av at systemet virker og sletting av opptak. I tillegg nevnes varsling av overvåkingen inne i bilene, noe virksomheten sier seg enig i. Datatilsynet har i denne sammenheng følgende kommentarer: Selv om virksomheten anser kameraovervåkingen som å være i en testfase, vil regelverkets vanlige krav gjelde. Når det gjelder ønsket om syv dages lagring, som er maksgrensen for det tillatte etter vanlige bestemmelser, har Datatilsynet ingen innvending mot dette. Datatilsynets påpekning i denne sammenheng er at virksomheten ikke har anledning til å lagre lengre enn syv dager. Virksomheten må sørge for at slettefristen ikke brytes. (Det gjøres her oppmerksom på unntaket i personopplysningsforskriftens 8-5 om opptak som sannsynligvis skal utleveres til politiet.) Endelig kontrollrapport og grunnlag for å fatte pålegg Endelig rapport er lik den foreløpige rapporten, riktignok med de endringer som det er gjort oppmerksom på tidligere i dette brevet. Disse er kun tydeliggjøringer, og ikke endringer av fakta og vurderinger. Vi er ikke kjent med at virksomheten har gjort endringer i praksisen. Det fattes derfor vedtak som varslet i brev av 31. mai 2013. 3
Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må sørge for at kontinuerlig løpende overvåking avsluttes. Virksomhetene skal enten begrense overvåkingen betydelig etter alternativene nedenfor eller avslutte kameraovervåkingen fullstendig, jf personopplysningslovens 11, 8 og 38. Det vises til rapportens 7.2.2. 2. Virksomheten må etablere tilfredsstillende sikring av opptakene med hensyn til tilgjengelighet. Dette ved at lagringen gjøres robust mot påvirkning (fjerning, ødeleggelse eller manipulering). Mulighetene for å oppdage at opptak ikke finnes, eller at systemet ikke fungerer etter sin hensikt, skal økes. Kravet stilles i medhold av personopplysningslovens 11, 8 bokstav f og 13, jf personopplysningsforskriftens 2-2, 2-12 og 2-14. Det vises til tilsynsrapportens 7.5.1. 3. Virksomheten må etablere tilfredsstillende varsling av og informasjon om kameraovervåkingen i de overvåkede taxiene. Informasjon skal også finnes inne i bilen. Kravet stilles i medhold av personopplysningslovens 40. Det vises til tilsynsrapportens 7.3.1. 4. Virksomheten skal sørge for at kameraovervåkingen blir inkludert i virksomhetens internkontroll etter kravene i personopplysningslovens 14, jf personopplysningsforskriftens kapittel 3. Det må etableres skriftlige rutiner for når og hvordan opptak skal hentes ut og hvordan innsynsbegjæringer fra den registrerte skal håndteres. Det vises til tilsynsrapportens 7.6.1. 5. Kameraovervåkingen skal meldes til Datatilsynet i samsvar med personopplysningslovens 31. Det vises til rapportens 5.7. Merknader til oppfyllelse av vedtakene For ordens skyld gjøres det klart at kravene og føringene nedenfor er en del av vedtaket. Ad nr 1. Vedtaket fordrer en betydelig begrensning i overvåkingen, sammenliknet med situasjonen på kontrolltidspunktet: - Virksomheten kan ta bilde fra kupeen i forbindelse med den enkelte turs begynnelse eller slutt, eventuelt bilde ved både start og slutt. - Virksomheten kan benytte alminnelige overvåkingsopptak dersom alarm er utløst i taxien. Hvorvidt det skal nyttes samme alarmknapp som allerede finnes i taxiene eller ikke, bli opp til virksomheten. Dersom en slik løsning skal benyttes, må det lages rutiner for hvordan alarmer følges opp og hvor lenge opptaket skal gå. Det må gis føringer til sjåførene om hva som skal ligge til grunn for at det slås alarm med overvåkingsopptak. Virksomheten kan også etablere et system hvor passasjerene gis en egen alarmknapp, men dette settes ikke som et krav. 4
For ordens skyld gjøres det oppmerksom på at virksomheten ikke må begrense seg til ett av de to alternativene ovenfor, men kan velge å ta i bruk begge to dersom det ses som tjenlig. Ad nr 2. Hva som er tilfredsstillende sikkerhet må baseres på en risikovurdering etter personopplysningsforskriftens 2-4. Datatilsynet kan etter forskriftens 2-2 fastsette kriterier for sikringen. Datatilsynets vurdering av denne type desentralisert løsning er at den totalt sett må ivareta disse kravene: Lagringsmediumet skal være skjult. Det skal eksistere fysiske hindre mot fjerning, slik at selv personer med kjennskap til lagringen ikke med letthet skal kunne fjerne de lagrede opplysningene. Om det likevel skjer, skal det være synlig at lagringsmediumet er blitt utsatt for en bevisst manipulering eller fjerning. En desentralisert lagring skal skje i kryptert form. Det skal være rutinemessig kontroll av at utstyret er på plass og i funksjon. Kontroll skal skje med en hyppighet som tilsier at utstyr som ikke fungere blir oppdaget raskt. Noen av punktene ovenfor har virksomheten allerede en løsning for. Andre vil være nye. Datatilsynet er innforstått med at en desentralisert lagring i denne sammenheng ikke kan gi absolutt sikkerhet, men en utbedret løsning må gi større sikkerhet enn løsningen på kontrolltidspunktet. Frist for gjennomføring Noen av påleggene er lette å gjennomføre raskt. Datatilsynet gir derfor en todelt frist for å gjennomføre påleggene: For påleggene 1 og 2 settes fristen til 1. januar 2014. For påleggene 3, 4 og 5 settes fristen til 15. november 2013. Virksomheten må innen 1. januar 2014 bekrefte skriftlig overfor Datatilsynet at alle påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. 5
Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen fire uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Stian D Kringlebotn seniorrådgiver Kopi: Norges Taxiforbund v/ advokat Runar Kehlin, Postboks 6114 Etterstad, 0602 OSLO Vedlegg: Endelig kontrollrapport 6