Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi



Like dokumenter
Oversendelse til Personvernnemnda - Klage på Datatilsynets vedtak om begrensning i kameraovervåking etter kontroll hos Sandnes Taxi

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Vår referanse (bes oppgitt ved svar)

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Vedtak om pålegg kameraovervåking hos Move treningssenter

Deres referanse Vår referanse Dato / /EOL

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Foreløpig kontrollrapport

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Endelig kontrollrapport

Kontroll av reseptformidleren endelig kontrollrapport

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Deres referanse Vår referanse Dato 15/ /JSK

Deres ref Vår ref (bes oppgitt ved svar) Dato

Lydopptak og personopplysningsloven

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Vår referanse (bes oppgitt ved svar)

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Vedtak om pålegg - endelig kontrollrapport

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar) 12/ /CBR

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar)

Vedtak - Endelig kontrollrapport for Vardø kommune Internkontroll og informasjonssikkerhet

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Endelig kontrollrapport for Protector Forsikring ASA - Vedtak om overtredelsesgebyr

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Vår referanse (bes oppgitt ved svar)

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

Oppfølging etter inspeksjon ved Vikers Bildeler- Varsel om kontrollgebyr

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Oppfølging av kontroll med lokale kvalitetsregistre - Vurdering av helsepersonelloven 26

15/ /BSO Konsesjon til å behandle personopplysninger - Whistleblowingsystem - Varslingstjeneste - Lyngdal kommune

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Vedtak - Klage over vedtak om avslag på dekning av saksomkostninger

Vår ref. 17/27385/614 A10 &58 oppgis ved alle henv.

Rapport fra inspeksjon 22. oktober 2012 Blomdals Opel Høgg AS

Klagevedtak om tilbakebetaling av statstilskudd Den katolske kirke i Midt Norge Trondheim Stift

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

PERSONVERNERKLÆRING FOR ADVOKATFIRMAET EVEN SOLBRAA-BAY (ORG.NR )

PERSONVERNERKLÆRING FOR FEND ADVOKATFIRMA DA

Endelig TILSYNSRAPPORT

Rapport etter forurensningstilsyn ved Nilsen bilhuggeri

lntegrerings- og mangfoldsdirektoratet

Vår referanse (bes oppgitt ved svar)

PERSONVERNERKLÆRING FOR ADVOKATFIRMA OMDAL

ENDELIG TILSYNSRAPPORT - VEDTAK

Klage på delvis avslag på begjæring om innsyn - Konkurransetilsynets sak 2003/255

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Vår referanse (bes oppgitt ved svar)

Vår ref. (bes oppgitt ved svar) 06/ AFL 28. juni 2006 HØRING - FORSKRIFT OM EIENDOMSREGISTRERING

Vår referanse (bes oppgitt ved svar)

Høringssvar fra Datatilsynet - endringer i politiregisterloven og forskriften - implementering av direktiv (EU) 2016/680

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vi viser til brev av 7. november 2016 fra Barne- og likestillingsdepartementet hvor NOU 2016:16 Ny barnevernslov sendes ut på høring.

Vår referanse (bes oppgitt ved svar)

kontrollrapport og varsel om vedtak datert 31. oktober 2012, samt Deres tilsvar i brev av 22. november 2012.

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

PERSONVERNERKLÆRING FOR KOLBOTN ADVOKATFELLESSKAP SA Sist endret:

HØRING - ENDRINGER I OFFENTLEGLOVA - POLITIDIREKTORATETS MERKNADER

FYLKESMANNEN I OSLO OG AKERSHUS Juridisk avdeling

Lagring av advarsler i personalmapper - Datatilsynets veiledning

Inspeksjonsrapport Inspeksjon ved Halliburton AS, Fjordbase Florø Kontrollnummer: I.FMVL

Vedtak om endring av krav til VOC-utslipp ved lagring på Skarv

Vår referanse (bes oppgitt ved svar) Dato 07/ /CBR 26. april 2012

Svar på spørsmål om kapittel 9 A i opplæringsloven

3 Generelt om virksomheten og gjennomføring av kontrollen

Er din bedrift klar for ny personopplysningslov?

KLAGE PÅ AVSLAG - ANMODNING OM INNSYN FRA NORMAL NORGE

Vedtak om overtredelsesgebyr som følge av ulovlig behandling av personopplysninger Oslo universitetssykehus HF ved Janusbanken

Oversendelse av sak til klagebehandling - kameraovervåking av post i butikk - Personvernnemnda

VEDLEGG 2 Vår saksbehandler Håvard Pedersen Vår dato

PÅLEGG OM OPPHØR AV BRUK, PÅLEGG OM RETTING OG ILEGGING AV TVANGSMULKT etter pbl 32-2, 32-3 og 32-5

Tilsyn ved HRS Husholdning AS avd. Harstad, oversendelse av tilsynsrapport

Transkript:

Stavanger Taxi Postboks 14 Forus 4064 STAVANGER Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00716-13/SDK 17. oktober 2013 Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi Det vises til Datatilsynets kontroll hos Stavanger Taxi AS den 5. september 2012 og Datatilsynets s varsel om vedtak av 31. mai 2013. Vurdering av tilsvar Datatilsynet har i brev av 15. august 2013 mottatt virksomhetens merknader til varselet. Datatilsynet kan ikke se at virksomheten har innvendinger mot rapportens beskrivelse av fakta, riktig nok med ett mulig unntak: Datatilsynet er noe usikker på om virksomheten har ment at rapporten gir en gal fremstilling av tiltakets formål. Dette kommenteres lengre nede i brevet. I det vesentlige omhandler merknadene Datatilsynets vurderinger og konklusjoner. Det mest sentrale er at virksomheten ikke er enig i Datatilsynets konklusjonen om at løpende kameraovervåking fra taxiene ikke er tillatt. Nedenfor gjengis i korthet virksomhetens syn med Datatilsynets kommentarer til disse. Rettslig grunnlag for overvåkingen Virksomheten mener at en samlet vurdering av relevante argumenter tilsier at personopplysningsloven ikke gir hjemmel til å forby den aktuelle overvåkingen (det første av de varslede vedtakene i Datatilsynets brev av 31. mai 2013). Et viktig poeng for virksomheten er at opptak kun skal tas frem dersom noe svært spesielt har skjedd, og at dette kun medfører beskjedne personvernulemper for passasjerene. Virksomheten viser i den forbindelse til Personvernnemndas vurdering i sakene om kameraovervåking av Sporveisbussene og NSBs lokaltog fra 2005. Med henblikk på en svært begrenset bruk av opptak, mener virksomheten at rapporten etablerer et kunstig skille mellom taxi på den ene siden og buss eller tog på den andre. Overvåking av taxi burde vært vurdert på samme måte som ved overvåking av buss eller tog, slik virksomheten ser det. Datatilsynet merker seg virksomhetens syn, men vurderer saken annerledes: Det er en betydelig forskjell på å bli overvåket i en taxi og i et transportmiddel hvor man reiser sammen Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

med, og i påsyn av en rekke andre mennesker. I vedlagt rapport har Datatilsynet søkt å tydeliggjøre denne vurderingen i rapportens 7.2.1. Datatilsynet er ening i at høye terskler for at opptak skal ses på, reduserer personvernulemper i forhold til en mer omfattende bruk. For Datatilsynet er det et sentralt poeng at lagring også representerer en inngripen i seg selv. Dette poenget tydeliggjøres i rapportens 7.2.1. I taxiselskapest merknader vises det til personopplysningslovens 37 andre ledd (side 2). Denne delen av 37 omhandler spørsmålene om behandlingsgrunnlag etter lovens 9 og mulig konsesjonsplikt. Datatilsynet forstår ikke denne henvisningen i sammenhengen da det fra Datatilsynets side ikke har vært hevdet at virksomheten har konsesjonsplikt for overvåkingen eller mangler behandlingsgrunnlag i lovens 9. Muligens har virksomheten ment bestemmelsens tredje ledd: Lovteksten i kameraovervåkingskapittelet har blitt endret i 2012. Dagens lov har et nytt tredje ledd i 37 om vurderingen av berettiget interesse når behandlingsgrunnlaget er 8 f. Det skal i den forbindelse legges «vesentlig vekt på om overvåkingen bidrar til å verne om liv eller helse eller forebygger gjentatte eller alvorlige straffbare handlinger». Tilsynet vil her påpeke at formuleringen ovenfor kun omhandler én del av lovens 8 f, nemlig vurderingen av om det foreligger en berettiget interesse eller ikke. Datatilsynet vil presisere at dets vurdering i saken er at taxiselskapet har en berettiget. Problemet er ikke oppfyllelse av dette kriteriet, men selve interesseavveiningen og om virksomheten kan ta i bruk mindre inngripende tiltak (vurdering av nødvendighetskriteriet og proporsjonalitet), herunder også en mindre inngripende kameraløsning enn løpende opptak. Virksomheten viser til Danske lovgivning, hvor det finnes en egen lov som pålegger kameraovervåking i taxier. Tilsvarende påbud finnes ikke i Norge. Per i dag har kameraovervåking av taxier ikke hjemmel i eget regelverk. Overvåkingen må derfor oppfylle ett av nødvendighetskriteriene i personopplysningslovens 8 som vilkår for behandlingen av personopplysningene. Datatilsynet vil legge til at det innenfor temaet kameraovervåking er store nasjonale forskjeller i praksis og regelverk blant land som er forpliktet på EUs personverndirektiv (noe både Danmark og Norge er). Formålet med overvåkingen I merknadene står det følgende om temaet overvåking av sjåførene: «Hans [sjåføren] arbeidsplass overvåkes ikke. Det er heller ikke nødvendig ut fra formålet med overvåkingen, som er førerens sikkerhet». Datatilsynet er uenig i beskrivelsen. For Stavanger Taxis del, blir riktig nok ikke sjåførens ansikt eller kropp med på overvåkingsbildet så lenge sjåførens sitter stille i førersetet. Opptaket representerer likevel klart personopplysninger om sjåføren. Dette kommenteres i rapportens 7.2.1. Teksten her er endret med en litt større beskrivelse og eksempler. Detter er gjort for å tydeliggjøre hva Datatilsynet ser som faktum: Opptakene må også forstås som personopplysninger om sjåføren, og overvåkingen representerer en overvåking av vedkommendes arbeidsplass. 2

Med dette som utgangspunkt, mener tilsynet at også personopplysningslovens 38 kommer til anvendelse. Bestemmelsen setter et krav om et særskilt behov for overvåkingen. (Denne siden av saken blir ikke kommenter i virksomhetens brev.) For å tydeliggjøre vurderingen av personvernkonsekvenser av overvåkingen for ansatte, er det også lagt til en setning i 7.2.2. Fra virksomhetens merknader kan setningen «Det er heller ikke nødvendig ut fra formålet med overvåkingen, som er førerens sikkerhet» forstås som om overvåkingens formål ene og alene er å sikre sjåføren. Det strider i så fall mot beskrivelsen i rapportens 5.5. Rapporten beskriver formålet som beskyttelse av sjåføren, men at overvåkingen også har til formål å verne passasjerene. I dette ligger det også i ytterste konsekvens å sikre passasjerer mot eventuelle overgrep fra sjåføren. Det legges her til at nettopp denne problematikken en rekke påstander om overgrep fra taxisjåfører og utrygghet blant taxikunder i Stavangerområdet for noen år tilbake var en utløsende faktor virksomheten. Datatilsynet har i valgt å tolke sitatet som argumentasjon i sammenheng med personvernulemper for sjåførene, ikke som en bestridelse av det beskrevne formålet i rapporten. Andre merknader I tillegg til det som er beskrevet ovenfor, har virksomheten enkelte merknader av mer subsidiær karakter. Disse gjelder skriftlige rutiner, kontroll av at systemet virker og sletting av opptak. I tillegg nevnes varsling av overvåkingen inne i bilene, noe virksomheten sier seg enig i. Datatilsynet har i denne sammenheng følgende kommentarer: Selv om virksomheten anser kameraovervåkingen som å være i en testfase, vil regelverkets vanlige krav gjelde. Når det gjelder ønsket om syv dages lagring, som er maksgrensen for det tillatte etter vanlige bestemmelser, har Datatilsynet ingen innvending mot dette. Datatilsynets påpekning i denne sammenheng er at virksomheten ikke har anledning til å lagre lengre enn syv dager. Virksomheten må sørge for at slettefristen ikke brytes. (Det gjøres her oppmerksom på unntaket i personopplysningsforskriftens 8-5 om opptak som sannsynligvis skal utleveres til politiet.) Endelig kontrollrapport og grunnlag for å fatte pålegg Endelig rapport er lik den foreløpige rapporten, riktignok med de endringer som det er gjort oppmerksom på tidligere i dette brevet. Disse er kun tydeliggjøringer, og ikke endringer av fakta og vurderinger. Vi er ikke kjent med at virksomheten har gjort endringer i praksisen. Det fattes derfor vedtak som varslet i brev av 31. mai 2013. 3

Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må sørge for at kontinuerlig løpende overvåking avsluttes. Virksomhetene skal enten begrense overvåkingen betydelig etter alternativene nedenfor eller avslutte kameraovervåkingen fullstendig, jf personopplysningslovens 11, 8 og 38. Det vises til rapportens 7.2.2. 2. Virksomheten må etablere tilfredsstillende sikring av opptakene med hensyn til tilgjengelighet. Dette ved at lagringen gjøres robust mot påvirkning (fjerning, ødeleggelse eller manipulering). Mulighetene for å oppdage at opptak ikke finnes, eller at systemet ikke fungerer etter sin hensikt, skal økes. Kravet stilles i medhold av personopplysningslovens 11, 8 bokstav f og 13, jf personopplysningsforskriftens 2-2, 2-12 og 2-14. Det vises til tilsynsrapportens 7.5.1. 3. Virksomheten må etablere tilfredsstillende varsling av og informasjon om kameraovervåkingen i de overvåkede taxiene. Informasjon skal også finnes inne i bilen. Kravet stilles i medhold av personopplysningslovens 40. Det vises til tilsynsrapportens 7.3.1. 4. Virksomheten skal sørge for at kameraovervåkingen blir inkludert i virksomhetens internkontroll etter kravene i personopplysningslovens 14, jf personopplysningsforskriftens kapittel 3. Det må etableres skriftlige rutiner for når og hvordan opptak skal hentes ut og hvordan innsynsbegjæringer fra den registrerte skal håndteres. Det vises til tilsynsrapportens 7.6.1. 5. Kameraovervåkingen skal meldes til Datatilsynet i samsvar med personopplysningslovens 31. Det vises til rapportens 5.7. Merknader til oppfyllelse av vedtakene For ordens skyld gjøres det klart at kravene og føringene nedenfor er en del av vedtaket. Ad nr 1. Vedtaket fordrer en betydelig begrensning i overvåkingen, sammenliknet med situasjonen på kontrolltidspunktet: - Virksomheten kan ta bilde fra kupeen i forbindelse med den enkelte turs begynnelse eller slutt, eventuelt bilde ved både start og slutt. - Virksomheten kan benytte alminnelige overvåkingsopptak dersom alarm er utløst i taxien. Hvorvidt det skal nyttes samme alarmknapp som allerede finnes i taxiene eller ikke, bli opp til virksomheten. Dersom en slik løsning skal benyttes, må det lages rutiner for hvordan alarmer følges opp og hvor lenge opptaket skal gå. Det må gis føringer til sjåførene om hva som skal ligge til grunn for at det slås alarm med overvåkingsopptak. Virksomheten kan også etablere et system hvor passasjerene gis en egen alarmknapp, men dette settes ikke som et krav. 4

For ordens skyld gjøres det oppmerksom på at virksomheten ikke må begrense seg til ett av de to alternativene ovenfor, men kan velge å ta i bruk begge to dersom det ses som tjenlig. Ad nr 2. Hva som er tilfredsstillende sikkerhet må baseres på en risikovurdering etter personopplysningsforskriftens 2-4. Datatilsynet kan etter forskriftens 2-2 fastsette kriterier for sikringen. Datatilsynets vurdering av denne type desentralisert løsning er at den totalt sett må ivareta disse kravene: Lagringsmediumet skal være skjult. Det skal eksistere fysiske hindre mot fjerning, slik at selv personer med kjennskap til lagringen ikke med letthet skal kunne fjerne de lagrede opplysningene. Om det likevel skjer, skal det være synlig at lagringsmediumet er blitt utsatt for en bevisst manipulering eller fjerning. En desentralisert lagring skal skje i kryptert form. Det skal være rutinemessig kontroll av at utstyret er på plass og i funksjon. Kontroll skal skje med en hyppighet som tilsier at utstyr som ikke fungere blir oppdaget raskt. Noen av punktene ovenfor har virksomheten allerede en løsning for. Andre vil være nye. Datatilsynet er innforstått med at en desentralisert lagring i denne sammenheng ikke kan gi absolutt sikkerhet, men en utbedret løsning må gi større sikkerhet enn løsningen på kontrolltidspunktet. Frist for gjennomføring Noen av påleggene er lette å gjennomføre raskt. Datatilsynet gir derfor en todelt frist for å gjennomføre påleggene: For påleggene 1 og 2 settes fristen til 1. januar 2014. For påleggene 3, 4 og 5 settes fristen til 15. november 2013. Virksomheten må innen 1. januar 2014 bekrefte skriftlig overfor Datatilsynet at alle påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. 5

Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen fire uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Stian D Kringlebotn seniorrådgiver Kopi: Norges Taxiforbund v/ advokat Runar Kehlin, Postboks 6114 Etterstad, 0602 OSLO Vedlegg: Endelig kontrollrapport 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding