Saksnummer: 12/00057 Dato for kontroll: 18.01.2012 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Paulsens Hotell AS Sted: Lyngdal Utarbeidet av: Stein Erik Vetland 1 Innledning Datatilsynet gjennomførte kontroll hos Paulsens Hotell AS 18. januar 20122 sammen med Arbeidstilsynet. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med kameraovervåking. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Jimmi Neiiendam, daglig leder (kjøkken/cafe) - Bent Sandvand, arbeidene styreformann (hotell) 2.2 Fra Arbeidstilsynet: - Snorre Nordstrand, juridisk rådgiver - Odd T. Johannesen, overingeniør 2.3 Fra Datatilsynet: - Stein Erik Vetland, overingeniør 3 Generelt Paulsens Hotell er et hotell og en kafé i sentrum av Lyngdal. Virksomheten holder til i to hus bygd i 1894 som ble opprinnelig brukt som gjestgiveri og personlig bolig. Hovedhuset ble påbygd i 1932 og østre del omgjort til hotell. Hotellet var i drift frem til 1972. Etter det var det ikke drift før hotellet ble gjenåpnet sommeren 2011 med nye eiere. Hotellet har 10 rom og det er kapasitet til omtrent åtti gjester i lukket selskap. 1 av 5
4 Kort om bruk av personopplysninger samt formålet med behandlingene Virksomheten har meldt kameraovervåking til Datatilsynet gjennom melding 45282 registrert 27. september 2011. Under nærmere beskrivelse i meldingen har virksomheten beskrevet formålet: Overvåkning av disk/kassaområde der safe er plassert under disk. Hovedsakelig er overvåkningen ment for å ivareta sikkerheten når det kun er en person på vakt kveldstid. Kameraet kan ikke se innslag på betalingsterminal eller kasse da heller ikke dette er hensikten. Kontrollen avdekket at virksomheten har ett kamera rettet mot safen. Kameraet er styrbart gjennom et spesialtilpasset dataprogram. Tilgangen er begrenset med brukernavn og passord. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Personopplysningsloven 36 41 samt personopplysningsforskriften kapittel 8 stadfester rammer for fjernsynsovervåking. Personopplysningsloven 37 stadfester at når billedopptak fra fjernsynsovervåking lagres på en måte som gjør det mulig å finne igjen opplysninger om en bestemt person, jf 3 første ledd, gjelder også lovens øvrige bestemmelser. Datatilsynet mener at virksomhetens digitale lagring gjør det mulig å finne igjen opplysninger om en bestemt person, og som en følge av dette gjelder lovens øvrige bestemmelser. 5.1 Melding 5.1.1 Lovkrav Den behandlingsansvarlige skal gi melding til Datatilsynet for behandling av personopplysninger med elektroniske hjelpemidler, jf personopplysningslovens 31, jf 37. 5.1.2 Funn Paulsens Hotell AS har meldt behandlingen ved hjelp av fjernsynsovervåking inn til Datatilsynet, se meldingsnummer 45282. 5.1.3 Vurdering og konklusjon Ingen avvik funnet. 5.2 Grunnkrav til overvåkingen 5.2.1 Lovkrav Fjernsynsovervåking kan bare brukes til uttrykkelig angitte formål som er saklig bergrunnet i den behandlingsansvarliges virksomhet, jf 11 b). Overvåkingen må i tillegg ha et behandlingsgrunnlag etter 8. Skjer overvåkingen på et område hvor en bestemt krets av 2 av 5
personer ferdes jevnlig må virksomheten dessuten ha et særskilt behov for overvåkingen, jf personopplysningsloven 38. 5.2.2 Funn Kameraet er plassert på innsiden av disk rettet hovedsakelig mot safe under kasse. Kameraet lagrer ikke bilder på dagtid. Etter normal stengetid blir det lagret bilder når bevegelsesdetektoren registrerer bevegelse. Disse bildene blir sendt til en e-postadresse. Ansatte har ikke mulighet til å se når noen bruker kameraet, bortsett fra når brukeren beveger på kameraet. 5.2.3 Vurdering og konklusjon Fjernsynsovervåking kan bare brukes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. For det første må formålet være uttrykkelig angitt. Dette er gjort gjennom den melding foretaket har sendt inn til tilsynet, se rapportens pkt. 4. Dernest skal formålet være saklig begrunnet ut fra den behandlingsansvarliges virksomhet. Dette må ses i nær sammenheng med vurderingen om fjernsynsovervåkingen er tillatt etter 8. Aktuelt grunnlag vil være en vurdering av 8 f): Behandlingen er nødvendig for at den behandlingsansvarlige kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. Formålet med kameraovervåkingen er todelt som beskrevet i punkt 4. Overvåking av disk /kassaområde der safe er plassert under disk. Hovedsakelig er overvåkningen ment for å ivareta sikkerheten når det kun er en person på vakt kveldstid. Den berettigede interessen til virksomheten er altså å sikre personell. Dernest er formålet overvåking av safe. For at en berettiget interesse skal veie tyngre enn personvernet til den registrerte må det fremgå klart at registreringen har effekt. Kamera er plassert på en slik måte, og oppsatt med lagring av bilder kun etter stengetid, at det etter tilsynets oppfatning kun er delvis relevant for formålet eller har hjemmelsgrunnlag i 8 f). Bruk av kameraet til å ivareta sikkerheten når det kun er en person på vakt kveldstid kan se ut til å være urealistisk da det ikke blir lagret bilder på det tidspunktet den ansatte er alene. Sikkerheten baserer seg da på at noen følger med den ansatte direkte. Hvis virksomheten hadde hatt kontinuerlig bemanning for å følge med på kamerat ville dette gitt større trygghet og forutsigbarhet for de ansatte. Datatilsynet vurderer ut fra overnevnte at integritetskrenkelsen overfor den ansatt vil her være større enn tryggheten kameraet gir. Dagens løsning legger til rette for at løsningen kan brukes i konflikt med formålet som er uttalt. Dette fordi de med tilgang til løsningen kan se videostrømmen uten at de ansatte som befinner seg innenfor kamerats dekningsområde vet om, og hvor lenge, de blir overvåket. Datatilsynet vurderer at løsningen, hvor det er fjerntilgang til videostrømmen uten at den som er under overvåking gjøres kjent med at det utøves tilgang til kameraet, ikke i tilstrekkelig grad ivaretar den ansattes personvern. Dette innebærer et avvik fra personopplysningslovens 11 a) jf. 8 f) da overvåkingen ikke har behandlingsgrunnlag. 3 av 5
5.3 Varsling 5.3.1 Lovkrav Personopplysningsloven 40 stadfester at fjernsynsovervåking på offentlig sted eller sted hvor en begrenset krets av personer ferdes jevnlig, skal varsles om at stedet blir overvåket og hvem som er behandlingsansvarlig. 5.3.2 Funn Virksomheten har gjennom skilt på dører merket på vei inn i bygningene at den er fjernsynsovervåket, men skiltene forteller ikke hvem som er behandlingsansvarlig. 5.3.3 Vurdering og konklusjon Manglende beskrivelse av hvem som er behandlingsansvarlig anses som et avvik og er et brudd på personopplysningsloven 40. 5.4 Sletting 5.4.1 Lovkrav Personopplysningsforskriften 8-4 stadfester at billedopptak skal slettes når det ikke lenger er saklig grunn for oppbevaring, jf personopplysningsloven 28. Billedopptak skal senest slettes 7 dager etter at opptakene er gjort. Sletteplikten etter forrige punkt gjelder likevel ikke dersom det er sannsynlig at billedopptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. I slike tilfeller kan billedopptakene oppbevares inntil 30 dager. 5.4.2 Funn Virksomheten opplyste at bildene ble automatisk slettet etter 10 dager. Styreformannen opplyste om at dette var den minste automatiske slettingen som var mulig å sette på e- postkontoløsningen som var valgt. 5.4.3 Vurdering og konklusjon Datatilsynet kan ikke se at virksomheten har tilstrekkelige rutiner for å slette opptak etter 7 døgn som regelverket foreskriver. Manglende sletting anses som et avvik og er et brudd på personopplysningsforskriften 8-4, jf personopplysningsloven 28. 5.5 Sikker lagring av opptak 5.5.1 Lovkrav Personopplysningsloven 13 stadfester at den behandlingsansvarlige skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. 4 av 5
Personopplysningsloven 15 stadfester at en databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten en slik overlates til noen andre for lagring eller bearbeidelse. Personopplysningsloven 29 stadfester at personopplysninger kan bare overføres til stater som sikrer en forsvarlig behandling av opplysningene. Stater som har gjennomført direktiv 95/46/EF om beskyttelse av fysiske personer i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, oppfyller kravet til forsvarlig behandling. 5.5.2 Funn Utenom åpningstiden blir det overført bilder fra kameraløsningen til en e-postadresse hos Hotmail (Microsoft). Overføringen skjer uten kryptering. Lagringen hos denne operatøren er ikke avtalt gjennom en databehandleravtale, og det er ikke vurdert om dette er en overføring til utland. 5.5.3 Vurdering og konklusjon Datatilsynet har gjennom tidligere forvaltningspraksis slått fast at bilder og video fra overvåkingskameraer er beskyttelsesverdig. Tilgangen til slike opptak skal være begrenset til personell med tjenstlig behov. Ved forsendelse over internett uten ytterligere sikkerhetstiltak er opptakene ikke tilstrekkelig beskyttet mot innsyn fra uvedkommende. Forsendelse av beskyttelsesverdige personopplysninger uten tilstrekkelig informasjonssikkerhet regnes som et avvik og er et brudd på krav om konfidensialitetssikring etter personopplysningsloven 13, jf. personopplysningsforskriftens 2-11. Når virksomheten bruker en databehandler må forholdet reguleres gjennom en databehandleravtale, jf personopplysningsloven 15. Hvis personopplysningene blir overført til et annet land skal virksomheten vurdere hvorvidt personopplysningsloven 29 er fulgt. Dette bemerkes imidlertid bare, da løsning ikke er tilfredsstillende sikker, jf. ovenfor. 5 av 5