Kjøpmannshuset Norge AS Postboks 330 Skøyen 0213 Oslo Deres referanse Vår referanse (bes oppgitt ved svar) Dato 12/00852-9/BSO 25. juni 2013 Vedtak om pålegg - Endelig kontrollrapport Den 19. oktober 2012 gjennomførte Datatilsynet en kontroll med NG Spar Øst AS. Kontrollen skjedde med hjemmel i lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) 42 tredje ledd nr. 3, og fant sted ved butikken Spar Tåsen. Om bakgrunnen for hvorfor vedtak om pålegg er rettet mot Kjøpmannshuset Norge AS, se nedenfor i vedtaksbrevet og vedlagt kontrollrapport. Generelt om avvik Virksomheten har plassert behandlingsansvaret for kameraovervåkning av «bank i butikk»- tjenester i strid med Datatilsynets dispensasjon for utvidet lagringstid og senere konsesjon for banktjenester. Dette har blitt gjennomført uten at nødvendige og grunnleggende krav i personvernregelverket har blitt vurdert, jf krav til internkontroll. Etter Datatilsynets vurdering er dette kritikkverdig. Dette innebærer at ethvert billedopptak som lagres utover de alminnelige regler i personopplysningsforskriften 8-4 første og annet ledd er lagret ulovlig. Det foreligger også mangelfull dokumentasjon på at kravene til internkontroll og informasjonssikkerhet er ivaretatt, jf personopplysningsloven 14 og 13. Avvikene gjelder sannsynligvis også andre virksomheter Datatilsynet har i rapportens punkt 6 beskrevet at det anses som sannsynlig at enkelte avvik som er avdekket gjennom denne kontrollen i Spar Tåsen også gjelder for andre selskaper, eid av NorgesGruppen ASA, som utfører «bank i butikk»- tjenester på vegne av DnB Bank ASA. Avvikene gjelder sannsynligvis også andre butikker i Spar- kjeden. Dette gjelder blant annet krav til internkontroll og informasjonssikkerhet etter personopplysningsloven 14 og 13, samt lagring av billedopptak utover det virksomhetene har adgang til etter personopplysningsforskriften 8-4 første og annet ledd. DnB Bank ASA har gitt tilbakemelding på at virksomheten ikke anser seg for å være behandlingsansvarlig for kameraovervåkning av «bank i butikk»- tjenester. Datatilsynet har i kontrollrapporten plassert behandlingsansvaret for kameraovervåkning av «bank- i butikk»- tjenester hos DnB Bank ASA. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no
For lagring av billedopptak i Spar Tåsen gjelder derfor de alminnelige regler etter personopplysningsforskriften 8-4 første og annet ledd. Dette innebærer at billedopptak i utgangspunktet skal slettes etter 7 dager, med mindre det er sannsynlig at billedopptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger, i forbindelse med oppklaring av ulykker eller i saker om ettersøking av forsvunne personer. I slike tilfeller kan billedopptakene oppbevares inntil 30 dager. NorgesGruppen har i tilsvar til foreløpig kontrollrapport uttalt at de er av samme oppfatning som Datatilsynet «og anser det som selvfølgelig at de tiltak som skal gjennomføres, vil gjelde for samtlige butikker, kjeder og selskaper som tilbyr «Bank i Butikk» tjenestene». Om søknad om dispensasjon Det er opplyst at det søkes om dispensasjon for utvidet lagring av billedopptak etter personopplysningsforskriften 8-4 siste ledd. Det er også opplyst at man har drøftet dette med DnB Bank ASA, og kommer frem til en god løsning knyttet til DnB som databehandler for opptak som er eldre enn 7 dager. Datatilsynet påpeker at søknad om utvidet lagring av billedopptak ikke vil bli behandlet i kontrollrapporten. Datatilsynet vil imidlertid opprette en egen sak for denne søknaden, og saksbehandle denne når vedtakene fra kontrollen er endelige. Datatilsynet påpeker at plasseringen av behandlingsansvaret for kameraovervåkning av «bank i butikk»- tjenester er styrende for hvem som kan gis en dispensasjon for overvåkning av «bank i butikk»- tjenester. Datatilsynet har kommet til at behandlingsansvaret for slik overvåkning ikke kan plasseres hos Kjøpmannshuset Norge AS. Dette er til hinder for en løsning med Kjøpmannshuset Norge AS som behandlingsansvarlig og DnB Bank ASA som databehandler. Vurdering av tilsvar Merknader til foreløpig kontrollrapport Tilbakemelding på foreløpig kontrollrapport er tatt inn i endelig kontrollrapport. Dette er i stor grad gjort ved henvisning til NorgesGruppen ASA sitt tilsvar. Vurdering av tidligere varslede pålegg Datatilsynet varslet i brev av 11. februar 2013 at tilsynet ville fatte vedtak om følgende pålegg: 1. Virksomheten må etablere og dokumentere internkontroll i samsvar med personopplysningsloven 14 jf personopplysningsforskriften kapittel 3. Det vises til tilsynsrapportens punkt 5.3 flg. Som ledd i dette arbeidet må virksomheten blant annet: a. plassere ansvaret for å gjennomføre den behandlingsansvarliges oppgaver, jf personopplysningsloven 14 jf 2 nr 4. Dette gjelder for all behandling av personopplysninger som virksomheten er behandlingsansvarlig for. Det vises til rapportens punkt 5.3 flg og punkt 5.1 flg, herunder punkt 5.1.4. b. utarbeide en samlet oversikt over alle behandlinger av personopplysninger virksomheten er behandlingsansvarlig for med behandlingens formål og 2
behandlingsgrunnlag i henhold til personopplysningsloven 14 jf personopplysningsforskriften 3-1. Det vises til rapportens punkt 5.3, herunder punkt 5.3.2.4.3. c. utarbeide dokumenterte rutiner på ivaretakelse av sletteplikten, jf personopplysningsloven 14 jf 11 bokstav e, jf 28 og personopplysningsforskriften 8-4. Det vises til rapportens punkt 5.3, herunder 5.3.2.3 og 5.4, herunder punkt 5.4.4. d. utarbeide dokumenterte rutiner om utlevering av billedopptak som sikrer at eventuelle utleveringer skjer i henhold til regelverket, jf personopplysningsloven 14 jf 39. Det vises til rapportens punkt 5.3 flg og punkt 5.6.5 flg. e. utarbeide rutiner som sikrer oppfyllelse av melde- og konsesjonsplikt i henhold til personopplysningsloven 14 jf personopplysningsforskriften 3-1 tredje ledd bokstav f. Det vises til rapportens 5.3 flg. 2. Virksomheten må sørge for tilfredsstillende informasjonssikkerhet i samsvar med kravene i personopplysningsloven 13. Det vises til rapportens punkt 5.5 flg herunder punkt 5.5.4. 3. Virksomheten skal sørge for at det inngås gyldige databehandleravtaler i samsvar med personopplysningsloven 15. Det vises til kontrollrapportens punkt 5.6 flg, herunder punkt 5.6.4 4. Virksomheten må slette billedopptak som er lagret utover det som følger av personopplysningsforskriften 8-4 første og annet ledd. Det vises til rapportens punkt 5.4, herunder punkt 5.4.4. Vurdering av svar varslet pålegg 1 Det er opplyst at det på bakgrunn av endelig kontrollrapport vil bli foretatt en revisjon av dokumentasjon og rutinebeskrivelser som tidligere er oversendt Datatilsynet for å ivareta krav til internkontroll. Datatilsynet ser behov for at virksomheten igangsetter en prosess for å etablere en internkontrollen som samsvar med kravene i personopplysningsloven. NorgesGruppen ASA har opplyst at kontrollene berører samtlige butikker, og at man vil følge opp dette. Datatilsynet legger ved veileder til internkontroll. Der beskrives oppgaver i prosessen med å etablere en internkontroll. 1 DnB Bank ASA har også skrevet et tilsvar til foreløpig kontrollrapport. Dette knytter seg hovedsakelig til «bank i butikk»- tjenestene. Det påpekes at personopplysningsloven 14 innebærer en plikt til å gå igjennom hele loven med forskrift, og på det grunnlaget vurdere om det er behov for tiltak som sikrer etterlevelse av aktuelle bestemmelser. Det påpekes at de underpunktene til pålegg 1 flg kun inneholder enkelte deler av krav til internkontroll som må være på plass. 1 Se side 10 i dokumentet og punkt 3 om innledende oppgaver. 3
Datatilsynet fastholder det varslede pålegget. Vurdering av svar varslet pålegg 1a. Det er i etterkant av kontrollen foretatt et arbeid med plassering av behandlingsansvaret. Det er opplyst at administrerende direktør i Kjøpmannshuset Norge AS, Ole Christian Fjeldheim, som innehar det formelle behandlingsansvaret for all behandling av personopplysninger, og herunder kameraovervåkning. Det er opplyst at det er sikkerhetssjef Lene Simonsen Andreas som innehar det daglige og operative ansvaret. Det er opplyst at dette er basert på eksisterende interne arbeidsfordeling i Kjøpmannshuset Norge AS, og at det er direkte knyttet til reell daglig innflytelse / utøvelse når det gjelder ITVutstyr og andre sikkerhetsrelaterte oppgaver i butikkene. Videre at butikksjef for den enkelte butikk har ansvaret for at regler og rutiner følges. Det er opplyst at av det totale antall butikker i porteføljen er 845 butikker kjøpmannseid, og 101 butikker eid av NorgesGruppen ASA. Det følger av personopplysningsloven 2 nr 4 at «behandlingsansvarlig» skal bestemme formålet med behandlingen av personopplysninger, og hvilke hjelpemidler som skal anvendes som ledd i behandlingen. Arbeidsgiveransvaret og forholdet til arbeidsmiljøloven kan også være relevant i vurderingen av plasseringen av behandlingsansvaret. Det følger av arbeidsmiljøloven 2-1 at arbeidsgiver skal sørge for at bestemmelsene gitt i og i medhold av denne lov blir overholdt. Hvorvidt arbeidsgiver holder seg innenfor rammene i arbeidsmiljøloven, er i mange tilfeller avgjørende for om behandlingen av personopplysninger om ansatte er lovlig etter personopplysningsloven, for eksempel behandlinger etter arbeidsmiljøloven kapittel 9. Datatilsynet legger foreløpig konsernets egen vurdering av plassering av behandlingsansvaret hos Kjøpmannshuset Norge AS til grunn. Datatilsynet kan ikke se det er på det rene at behandlingsansvaret for all behandling av personopplysninger i Spar Tåsen (og øvrige butikker) kan plasseres hos Kjøpmannshuset Norge AS. Datatilsynet påpeker i denne sammenheng at det ved etablering av internkontrolldokumentasjon må foretas en nærmere gjennomgang av plasseringen av behandlingsansvaret opp mot samtlige behandlinger av personopplysninger. Denne gjennomgangen er ikke foretatt på nåværende tidspunkt. Dette er bakgrunnen for at Datatilsynet fatter pålegget slik det er varslet. Det påpekes at Datatilsynet er åpne for dialog og veiledning omkring det videre arbeidet med plassering av behandlingsansvaret. Vurdering av svar plassering av behandlingsansvaret for kameraovervåkning av «bank i butikk»-tjenester NorgesGruppen opplyser at det aldri har vært aktuelt å tillate at DnB monterer egne kameraer for å overvåke «bank i butikk»- tjenestene. «Bakgrunnen for dette er at det er umulig å skille ut «Bank i butikk» transaksjonene slik at kameraene kun aktiveres når denne typen banktjenester utføres. I praksis ville dette medført at våre butikkunder som ikke bruker DNB 4
som bank ville blitt overvåket av DNB når de handlet i våre butikker. Vi ville mest sannsynlig fått mange kritiske kunder eller i verste fall mistet kunder dersom de ble møtt med et skilt som sier at de blir overvåket av DNB. En slik løsning ville også skapt missnøye og usikkerhet hos våre ansatte. På bakgrunn av dette kan NorgesGruppen ikke se at DNB oppfyller kravene i Personopplysningsloven 11 bokstav b til å være databehandlingsansvarlig for en fullstendig kameraovervåkning av all aktivitet som skjer i våre butikklokaler. I tillegg ville dette også blitt veldig kostbart og driftsmessig kompliserende.» (Vår utheving) DnB Bank ASA har også skrevet et tilsvar om plassering av behandlingsansvaret for «bank i butikk»- tjenester. Der beskrives det også at det ikke har vært aktuelt for DnB Bank ASA å etablere kameraovervåkning i egen regi. Datatilsynet har i kontrollrapporten punkt 5.2 flg foretatt en nærmere redegjørelse av regelverket om plassering av behandlingsansvaret, samt praksis på området. Det fremgår klart av vedtaket av 24. september 2007 og konsesjon av 31. mai 2010 at det er DnB som er behandlingsansvarlig for kameraovervåkning av «bank i butikk»- tjenestene. Datatilsynet gjentar at det er kritikkverdig at ingen har forholdt seg til plasseringen av behandlingsansvaret gitt i tidligere vedtak. Det følger også klare føringer for slik kameraovervåkning i konsesjonen. Det vises for eksempel til følgende uttalelser: «Utover billedopptak av ordinære ekspedisjonssteder, minibanker plassert i og rett utenfor banklokalet, vil dispensasjonen om utvidet lagringstid til tre måneder bl. a. dekke opptak gjort av frittstående minibanker og betalingsterminaler knyttet til bank i butikk tjenesten. Lagring i tre måneder vil kun være tillatt av det området av butikklokalet hvor kunder ekspederes for bank i butikk -tjenester. Ved billedopptak i lokaler (for eksempel i forbindelse med bank i butikk ) og av terminaler/automater som ikke direkte blir kontrollert av banken, skal banken som behandlingsansvarlig for opptaket, inngå en databehandleravtale med den som har utplassert og/eller drifter kameraet, jf. personopplysningslovens 15. Videre skal det tydelig fremgå av merkingen i lokalet og på terminalen at banken er ansvarlig for overvåkingen, jf. personopplysningslovens 40. Personopplysningslovens 38 oppstiller krav om at det skal foreligge et særskilt behov for overvåking av et sted hvor en begrenset krets av personer ferdes jevnlig. Overvåking av ansatte, enten bankens eller butikkens ansatte i bank i butikk - tjenester, må således oppfylle kravet til et særskilt behov, i tillegg til arbeidsmiljølovens kapittel 9 om kontrolltiltak i virksomheten. Utvidet lagringstid ved fjernsynsovervåking, anses som en personvernulempe både for ansatte og kunder. Det stilles i den forbindelse krav til banken om at overvåking med utvidet lagringstid begrenses til et minimum, jf. personopplysningslovens 11 bokstav b. Typisk bør overvåking av bank i butikk være begrenset til dedikerte kasser.» 5
Datatilsynet påpeker at konsesjonen og dispensasjonen til DnB Bank ASA på ingen måte åpner «for en fullstendig kameraovervåkning av all aktivitet som skjer i [ ] butikklokaler». Lagring i tre måneder er kun tillatt av det området av butikklokalet hvor kunder ekspederes for «bank i butikk»- tjenester. Det er ikke anledning til overvåkning i andre områder av butikklokalet. Det vises også til krav etter personopplysningsloven 38 og arbeidsmiljøloven kapittel 9. Overvåkning med utvidet lagringstid skal dessuten begrenses til et minimum, jf personopplysningsloven 11 bokstav b. Typisk bør overvåking av «bank i butikk» være begrenset til dedikerte kasser. Datatilsynet fastholder vurderingen av plassering av behandlingsansvar, jf det ovenfor nevnte. Kjøpmannshuset Norge AS er ikke å anse som behandlingsansvarlig for kameraovervåkning av «bank i butikk»- tjenestene. Datatilsynet påpeker at plassering av behandlingsansvar har betydning for samtlige av de varslede påleggene. Vurdering av svar varslet pålegg 1c Det er opplyst at ITV-systemene til profilhusene er konfigurert slik at opptak knyttet til «Bank i butikk» slettes automatisk etter maksimum 90 dager, eller tidligere dersom lagringskapasiteten overskrides. Lagringstiden kontrolleres og dokumenteres årlig av utstyrsleverandør. I tillegg utføres det interne kontroller av driftsapparatet i de enkelte kjedene. I noen tilfeller har det vært mangelfull informasjon om dette til enkelte butikksjefer. Datatilsynet påpeker at Kjøpmannshuset Norge AS ikke har adgang til å lagre kameraopptak utover det som følger av personopplysningsforskriften 8-4 første og annet ledd. Virksomheten må altså endre sletterutinen slik at det ikke lagres opptak utover det personopplysningsforskriften 8-4 første og annet ledd gir adgang til. Det vil si hovedregel om sletting av opptak etter 7 dager. Datatilsynet anbefaler også at dagens sensorstyrte opptaksrutine endres slik at man sikrer at opptak som hovedregel slettes etter 7 dager. Datatilsynet fastholder det varslede pålegget. Vurdering av svar varslet pålegg 1 d Det er opplyst at man ønsker en løsning hvor DnB Bank ASA er databehandler for opptak som er eldre enn 7 dager. Datatilsynet viser i denne forbindelse til det som er skrevet ovenfor om søknad om dispensasjon. Datatilsynet har i rapportens punkt 5.2 flg foretatt en rettslig vurdering av plassering av at behandlingsansvar ikke kan plasseres hos Kjøpmannshuset Norge AS. Datatilsynet påpeker dessuten at Kjøpmannshuset Norge AS og DnB Bank ASA ikke kan omgå kravene i blant annet personopplysningsloven 39 om utlevering av billedopptak ved formelt i inngå en databehandleravtale. Datatilsynet fastholder de varslede pålegg. 6
Vurdering av svar varslet pålegg 2 Det er opplyst at arbeidet med informasjonssikkerhet i NorgesGruppen er godt forankret i konsernledelsen og i de ulike selskapene i konsernet. 2 Videre at NorgesGruppen har etablert en felles informasjonssikkerhetspolicy med tilhørende håndbøker og retningslinjer som gjelder for alle selskaper og ansatte i konsernet, og at denne er tilgjengelig på intranettsidene i de ulike selskapene i konsernet. Datatilsynet påpeker at krav til informasjonssikkerhet følger av personopplysningsloven 13. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. Se også personopplysningsforskriften 8-2 om sikring av billedopptak. Datatilsynet ba under kontrollen om å få all dokumentasjon etter personopplysningsloven 14 og 13, herunder det som var tilgjengelig for ansatte. Det ble også bedt om å få eventuell dokumentasjon ettersendt. Datatilsynet utelukker ikke at Kjøpmannshuset Norge AS oppfyller deler av de krav som stilles i personopplysningsloven 13 og personopplysningsforskriften kapittel 2. Datatilsynet forholder seg imidlertid til den dokumentasjon og informasjon som er gitt i forbindelse med kontrollen, og det er på bakgrunn av dette at Datatilsynet fastslår at kravene etter personopplysningsloven 13 jf personopplysningsforskriften kapittel 2 ikke er ivaretatt. 3 For veiledning om kravene vises det til vedlagt veileder om internkontroll. Se for eksempel punkt 5 om informasjonssikkerhet, punkt 6 om oppfølging og punkt 9 om kontroll med sikkerhet hos partner/leverandør. Datatilsynet fastholder det varslede pålegget. Vurdering av svar varslet pålegg 3 Det er opplyst at Kjøpmannshuset Norge AS har etablert databehandleravtaler med AS Skankontroll med datterselskaper, Pegasus kontroll AS og NOKAS. Videre at dagens praksis er etablert «basert på vår tolkning av konsesjon og dispensasjon for Bank i Butikk med tilhørende databehandleravtaler som er inngått.» Datatilsynet viser til det ovenfor nevnte om plassering av behandlingsansvaret for kameraovervåkning av «bank i butikk»- tjenester. Kjøpmannshuset Norge AS er ikke å anse som behandlingsansvarlig for nevnte kameraovervåkning av «bank i butikk»- tjenestene, som igjen medfører at inngåtte databehandleravtaler om dette ikke er gyldige. Datatilsynet viser til punktet ovenfor om varslet pålegg 1 d, herunder om DnB Bank ASA som databehandler. Dette innebærer at Kjøpmannshuset Norge AS må sikre at billedopptak ikke utleveres til DnB. Det påpekes at Kjøpmannshuset Norge AS ikke kan omgå kravene i 2 Det vises til side 14 om informasjonssikkerhet i svarbrevet fra NorgesGruppen ASA. 3 Det vises for eksempel til punkt 5.3.2.4 i kontrollrapporten om oversikt over behandlinger og behandlingsgrunnlag. At det på overordnet nivå er utarbeidet en oversikt over samtlige behandlinger av personopplysninger er grunnleggende for å legge til rette for at regelverket blir fulgt. Dette er grunnlaget for senere å utarbeide de nødvendige rutinene som det er behov for, se for eksempel personopplysningsforskriften 2-3, 2-4, og 3-1. 7
blant annet personopplysningsloven 39 om utlevering av billedopptak ved formelt å inngå en databehandleravtale. Datatilsynet fastholder det varslede pålegget. Vurdering av svar varslet pålegg 4 Som nevnt ovenfor har virksomheten ikke rettslig grunnlag til å oppbevare opptak utover det som følger av personopplysningsforskriften 8-4 første og annet ledd. Dette innebærer at Kjøpmannshuset Norge AS må sikre at billedopptak som er lagret lengre enn dette i Spar Tåsen blir slettet. Datatilsynet fastholder det varslede pålegget. Vedtak om pålegg Datatilsynet fatter med hjemmel i personopplysningsloven 46 vedtak om følgende pålegg: 1. Virksomheten må etablere og dokumentere internkontroll i samsvar med personopplysningsloven 14 jf personopplysningsforskriften kapittel 3. Det vises til tilsynsrapportens punkt 5.3 flg. Som ledd i dette arbeidet må virksomheten blant annet: a. plassere ansvaret for å gjennomføre den behandlingsansvarliges oppgaver, jf personopplysningsloven 14 jf 2 nr 4. Dette gjelder for all behandling av personopplysninger som virksomheten er behandlingsansvarlig for. Det vises til rapportens punkt 5.3 flg og punkt 5.1 flg, herunder punkt 5.1.4. Det vises også til vurderingen av svar til dette pålegget ovenfor. b. utarbeide en samlet oversikt over alle behandlinger av personopplysninger virksomheten er behandlingsansvarlig for med behandlingens formål og behandlingsgrunnlag i henhold til personopplysningsloven 14 jf personopplysningsforskriften 3-1. Det vises til rapportens punkt 5.3, herunder punkt 5.3.2.4.3. c. utarbeide dokumenterte rutiner på ivaretakelse av sletteplikten, jf personopplysningsloven 14 jf. 11 bokstav e, jf 28 og personopplysningsforskriften 8-4. Det vises til rapportens punkt 5.3, herunder 5.3.2.3 og 5.4, herunder punkt 5.4.4. d. utarbeide dokumenterte rutiner om utlevering av billedopptak som sikrer at eventuelle utleveringer skjer i henhold til regelverket, jf personopplysningsloven 14 jf 39. Det vises til rapportens punkt 5.3 flg og punkt 5.6.5 flg. e. utarbeide rutiner som sikrer oppfyllelse av melde- og konsesjonsplikt i henhold til personopplysningsloven 14 jf personopplysningsforskriften 3-1 tredje ledd bokstav f. Det vises til rapportens 5.3 flg. 8
2. Virksomheten må sørge for tilfredsstillende informasjonssikkerhet i samsvar med kravene i personopplysningsloven 13. Det vises til rapportens punkt 5.5 flg herunder punkt 5.5.4. 3. Virksomheten skal sørge for at det inngås gyldige databehandleravtaler i samsvar med personopplysningsloven 15. Det vises til kontrollrapportens punkt 5.6 flg, herunder punkt 5.6.4 4. Virksomheten må slette billedopptak som er lagret utover det som følger av personopplysningsforskriften 8-4 første og annet ledd. Det vises til rapportens punkt 5.4, herunder punkt 5.4.4. Lukking av avvik Datatilsynet anbefalte i brev 19. mars 2013 at det ble oversendt et forslag til fremdriftsplan for lukking av de avvik som er beskrevet i kontrollrapporten. Det ble videre opplyst at tilsynet vil se hen til denne fremdriftsplanen når det skal vedtas en frist for virksomhetens gjennomføring av påleggende. Datatilsynet har ikke mottatt slikt forslag til fremdriftsplan. Datatilsynet gir på denne bakgrunn en frist for gjennomføring av samtlige pålegg til 31.oktober 2013. Virksomheten må innen nevnte datoer bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at påleggene er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Dersom virksomheten har kommentarer til fristen for gjennomføring av påleggende, bes det om en rask tilbakemelding på dette. 9
Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Dersom det på grunn av ferieavvikling er ønskelig med en lengre klagefrist, bes det om en rask tilbakemelding på dette. Med vennlig hilsen Helge Veum avdelingsdirektør Bård Soløy Ødegaard seniorrådgiver Vedlegg: Endelig kontrollrapport Veileder til internkontroll Kopi: NorgesGruppen ASA DnB Bank ASA v/ Stig Andersen 10
Saksnummer: 12/00852 Dato for kontroll: 19.10.2012 Rapportdato: 25.06.2013 Endelig kontrollrapport Kontrollobjekt: Kjøpmannshuset Norge AS Sted: Spar Tåsen Utarbeidet av: Bård Soløy Ødegaard Martha Eike Henok Tesfazghi 1 Innledning Datatilsynet gjennomførte kontroll hos Kjøpmannshuset Norge AS den 19.oktober 2012. Kontrollen ble utført med hjemmel i personopplysningslovens 44 jf. 42 tredje ledd. Formålet med kontrollen er å vurdere virksomhetens kameraovervåkning av «bank i butikk»- tjenester. Kontrollen fant sted i butikklokalene til Spar Tåsen. Kontrollen viste mangelfull etterlevelse av regelverket på andre områder. Kontrollrapporten vil derfor også omtale enkelte andre forhold enn kameraovervåkning av bank i butikk - tjenester. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Lene Simonsen, sikkerhetssjef - Kjøpmannshuset Norge AS - Oddvar Iversen, sikkerhetskonsulent NOKAS Teknikk 2.2 Fra Datatilsynet: - Bård Soløy Ødegaard, seniorrådgiver - Martha Eike, overingeniør - Henok Tesfazghi, rådgiver 3 Generelt NG Spar Øst AS er et eget selskap. Selskapet driver butikkhandel med bredt vareutvalg med hovedvekt på nærings- og nytelsesmidler. Butikken Spar Tåsen er eid av NG Spar Øst AS. Kjøpmannshuset Norge AS er NorgesGruppens profilhus for kjøpmannseide butikker. Sentrale formål for selskapet er å utvikle, forvalte og administrere Spar-konseptet, herunder vedta overliggende styringsdokumenter for Spar-konseptet. NG Spar Øst AS og Kjøpmannshuset Norge AS er eid av NorgesGruppen ruppen ASA (heretter NorgesGruppen). 1 av 14
4 Kort om behandling av personopplysninger for kameraovervåkning av «bank i butikk»- tjenester NG Spar Øst AS (heretter Spar Øst eller butikken) og Kjøpmannshuset Norge AS behandler personopplysninger for ulike formål. Kontrollen er i utgangspunktet rettet mot behandling av personopplysninger for kameraovervåkning av «bank i butikk» -tjenester. Det er inngått databehandleravtaler for kameraovervåkning med AS Skan-kontroll. NOKAS Security og Security Norway er i databehandleravtalen oppgitt som underleverandør. DnB Nor er også vurdert som databehandler. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Generell plassering av behandlingsansvaret for behandling av personopplysninger i Spar Tåsen 5.1.1 Regelverkets krav Behandlingsansvarlig defineres i personopplysningsloven 2 nr 4. Der står det at behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som kan brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet å ha behandlingsansvaret klart plassert. Behandlingsansvarlig vil ofte være en juridisk person. Ansvaret for å gjennomføre den behandlingsansvarliges oppgaver vil ligge hos virksomheten som sådan, representert ved virksomhetens ledelse. Ledelsen må sørge for at loven etterleves, og som ledd i dette må ledelsen foreta en intern arbeidsdeling slik at det er klart i hvilken stilling det tilliger å sørge for at loven etterleves i praksis. Funksjonen bør knyttes til en lederstilling slik at stillingsinnehaveren har reell daglig innflytelse på behandlingene som foretas. Plassering av behandlingsansvaret avhenger av hvordan virksomheten er organisert og strukturert og hvem som avgjør hva som er formålet med behandlingen av personopplysninger. Selv om ansvaret skal plasseres hos virksomhetens ledelse, er ikke personopplysningsloven til hinder for at den daglige utøvelsen av ansvaret delegeres. Det daglige behandlingsansvaret for kundebehandlingen kan for eksempel plasseres hos markedsavdelingen i en bank, mens det daglige ansvaret for kameraovervåkningen kan tillegges sikkerhetsansvarlig. Delegasjon av det daglige ansvaret har imidlertid ingen betydning for det formelle behandlingsansvaret. 2 av 14
5.1.2 Faktisk forhold Det ble opplyst at arbeidsgiveransvaret er plassert hos Spar Øst. I melding til Datatilsynet datert 8. oktober 2012 står det også oppgitt at Spar Øst er behandlingsansvarlig for kameraovervåkning. I mottatt databehandleravtale står imidlertid Kjøpmannshuset Norge AS som behandlingsansvarlig og AS Skan-kontroll som databehandler. NorgesGruppen har i tilsvar til foreløpig kontrollrapport redegjort for plasseringen av behandlingsansvaret. Der er det beskrevet at behandlingsansvaret skal plasseres hos Kiwi Norge. 5.1.3 Datatilsynets vurdering Datatilsynets vurdering vil først ta for seg avvik som ble avdekket på kontrolltidspunktet, deretter tilsvar etter kontrollen. På kontrolltidspunktet: Behandlingsansvaret var ikke klart formelt plassert. Ansvaret for å gjennomføre den behandlingsansvarliges oppgaver var heller ikke plassert. Det forelå ingen intern arbeidsdeling slik at det er klart i hvilken stilling det tilligger å sørge for at loven etterleves i praksis. Ut fra sakens opplysninger la Datatilsynet i foreløpig kontrollrapport til grunn at Spar Øst er å anse som behandlingsansvarlig for all behandling av personopplysninger som skjer hos Spar Tåsen. Det vil si at behandlingsansvaret ikke er begrenset til behandling av personopplysninger i forbindelse med kameraovervåkningen. Datatilsynet la i denne forbindelse vekt på at virksomheten er oppgitt som behandlingsansvarlig, og at virksomheten har arbeidsgiveransvaret. Datatilsynet la til grunn at Kjøpmannshuset Norge AS ikke er å anse som behandlingsansvarlig for behandlinger av personopplysninger hos Spar Tåsen. Det forå ingen internkontrolldokumentasjon som tilsier at virksomheten er organisert og strukturert på en slik måte at også Kjøpmannshuset Norge AS kan være behandlingsansvarlig for behandling av personopplysninger i Spar Tåsen. Etter kontrolltidspunktet NorgesGruppen har i tilsvar til foreløpig kontrollrapport plassert behandlingsansvaret for all behandling av personopplysninger hos at Kjøpmannshuset Norge AS. Datatilsynet mener det ikke er på det rene at behandlingsansvaret rettslig sett er plassert riktig hos Kjøpmannshuset Norge AS. Det vises til svar på det varslede pålegg 1 i vedtaksbrevet. 5.1.4 Konklusjon På kontrolltidspunktet Det anses som avvik at behandlingsansvaret ikke var klart plassert for behandling av personopplysninger som foretas i Spar Tåsen, jf personopplysningsloven 14 jf 2 nr 4. 3 av 14
Det anses om avvik at ansvaret for å gjennomføre den behandlingsansvarliges oppgaver ikke var klart plassert, jf personopplysningsloven 14 jf 2 nr 4. Det vises til det ovennevnte om at ledelsen i virksomheten som har behandlingsansvaret må sørge for at loven etterleves, og som ledd i dette må ledelsen foreta en intern arbeidsdeling slik at det er klart i hvilken stilling(er) det tilligger å sørge for at loven etterleves i praksis. Funksjonen bør knyttes til (en) lederstilling(er) slik at stillingsinnehaveren(e) har reell daglig innflytelse på behandlingene som foretas. Etter kontrolltidspunktet Det er ikke på det rene at behandlingsansvaret for all behandling av personopplysninger rettslig sett kan plasseres hos Kjøpmannshuset Norge AS, jf personopplysningsloven 2 nr 4. 5.2 Plassering av behandlingsansvaret for behandling av personopplysninger for kameraovervåkning av «bank i butikk» -tjenester 5.2.1 Regelverket Behandlingsansvarlig er beskrevet i punkt 5.1.1 ovenfor. Begrepet knyttes til den som har bestemmelsesrett over opplysningene og den elektroniske behandlingen av disse. Selv om man setter arbeidet bort til andre ( outsourcing ), vil man selv sitte med bestemmelsesretten - og dermed ansvaret. De som eventuelt utfører et avtalt arbeid for den behandlingsansvarlige, vil være databehandlere. For eksempel hvis firma A setter ut behandlingen av lønnsystemet til databehandler B, er det klart at ansvaret fortsatt skal ligge hos den behandlingsansvarlige, som er A. I vurderingen av plassering av behandlingsansvaret for kameraovervåkning av bank i butikk -tjenester er det relevant å se på personopplysningsloven 11 om grunnkrav til behandling av personopplysninger. Det følger av 11 bokstav b at den behandlingsansvarlige skal sørge for at personopplysninger som behandles bare nyttes til uttrykkelige angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet. I dette ligger blant annet at den behandlingsansvarlige ikke fritt kan velge et hvilket som helst lovlig formål for behandling av personopplysninger. Formålet må være saklig begrunnet i den behandlingsansvarliges virksomhet og dermed ha en nær og naturlig sammenheng med den aktuelle virksomheten. 5.2.2 Datatilsynets praksis Datatilsynet innvilget 24. september 2007 dispensasjon om utvidet lagringstid for oppbevaring av billedopptak etter personopplysningsforskriften 8-4 siste ledd. Det ble gitt dispensasjon til DnB Bank ASA (heretter DnB eller banken) for billedopptak gjort i «bankdelen» av bank i butikk- konseptet i inntil 3 måneder. Søknaden var begrunnet i mulighetene for å forebygge og oppklare kriminelle anslag mot «bank-delen» i NorgesGruppens butikker tilknyttet konseptet bank i butikk. 4 av 14
Datatilsynet har omgjort konsesjon for banker og finansinstitusjoners behandling av personopplysninger. Det vises til konsesjon av 31. mai 2010 til DnB (Vårt referansenummer 10/00581). Der fremgår det blant annet at: «I tillegg gir Datatilsynet ved denne konsesjonen en dispensasjon med tilhørende vilkår, jf. personopplysningsforskriftens 8-4 siste ledd, for: Utvidet lagringstid for fjernsynsovervåking for forebygging og oppklaring av straffbare forhold knyttet til bankvirksomhet. Dispensasjonen er avgrenset til områder i umiddelbar nærhet til betalingsterminaler for bank i butikk og frittstående minibanker. Konsesjonen er gitt under forutsetning av at behandlingen foretas i henhold til søknaden, fastlagte konsesjonsvilkår, vedlagte merknader og de bestemmelser som følger av personopplysningsloven med forskrifter. Navn- og organisasjonsendringer må skriftlig meddeles til Datatilsynet. Dersom det skjer endringer i behandlingen i forhold til de opplysninger som er gitt i søknaden, må det fremmes ny konsesjonssøknad.» Videre står i det i konsesjonens punkt 8: «8. Særlig om utvidet lagringstid for fjernsynsovervåking Datatilsynet gir med dette en dispensasjon for oppbevaring av billedopptak i inntil tre måneder, når opptak er gjort i forbindelse med bankvirksomhet og med det formål å avdekke og oppklare straffbare forhold, jf. personopplysningslovens 37 jf. 8 bokstav f. Dispensasjonen er gitt med hjemmel i personopplysningsforskriftens 8-4 siste ledd. Banken skal vurdere hvorvidt det foreligger et særlig behov for utvidet lagringstid i det enkelte overvåkingstilfellet. Et slikt særlig behov for utvidet lagringstid skal dokumenteres, jf. personopplysningslovens 14 og personopplysningsforskriftens 3-1 andre ledd. Dispensasjonen gjelder for den fjernsynsovervåkingen som banken selv er behandlingsansvarlig for, og er kun knyttet til bankvirksomhet. Banken må selv ha kontroll, eventuelt gjennom en databehandleravtale, over overvåkningsutstyret som benyttes. Dersom banken benytter en databehandler til å foreta fjernsynsovervåkingen, skal det inngås en databehandleravtale jf. personopplysningslovens 15. Eventuelle opptak skal lagres adskilt fra eventuelle opptak som butikken selv er behandlingsansvarlig for. Det må fremgå klart av skiltingen/merkingen i henhold til personopplysningslovens 40, at det er banken som er ansvarlig for overvåkingen. Utveksling av opptak mellom banken som behandlingsansvarlig og butikken som behandlingsansvarlig, vil være å regne som utlevering av billedopptak etter personopplysningslovens 39.» 5 av 14
I merknader til punkt 8 står det til slutt: «8. Til punkt 8. Særlig om behandlingsformålet utvidet lagringstid for fjernsynsovervåking Banker har etter personopplysningsforskriften 8-4 tredje ledd rett til å oppbevare billedopptak gjort i post- og banklokaler i inntil tre måneder. Typisk gjelder dette billedopptak fra fjernsynsovervåking av ekspedisjonslokaler og av minibanker plassert i og rett utenfor banklokalet. Den ordinære slettefristen for andre former for billedopptak, er syv dager, jf. forskriftens 8-4 andre ledd første punktum. Datatilsynet har funnet det hensiktsmessig å fastsette en generell dispensasjon for oppbevaring av billedopptak som er gjort i forbindelse med bankvirksomhet i inntil tre måneder, jf. personopplysningsforskriften 8-4 siste ledd. Den forlengede oppbevaringstiden er begrunnet ut i fra kriminalitetsforebyggende og oppklaringsmessige hensyn, tilsvarende som for billedopptak gjort i post- og banklokaler. Rekognosering av ekspedisjonssteder som ledd i forberedelse av ran samt gjennomførte alvorlige forbrytelser eller forsøk på samme, for eksempel bedragerier, oppdages ofte på et senere tidspunkt. Det samme gjelder nyere former for IT-kriminalitet som rettsstridig montering av lese- og videoutstyr på minibankene med det formål å fange opp kortets magnetstripe og ta opptak ved inntasting av PIN-kode. Felles for slike situasjoner er at banken og/eller fornærmede først blir oppmerksom på forholdet etter slettefristen på syv dager. Utover billedopptak av ordinære ekspedisjonssteder, minibanker plassert i og rett utenfor banklokalet, vil dispensasjonen om utvidet lagringstid til tre måneder bl. a. dekke opptak gjort av «frittstående» minibanker og betalingsterminaler knyttet til «bank i butikk» tjenesten. Lagring i tre måneder vil kun være tillatt av det området av butikklokalet hvor kunder ekspederes for «bank i butikk»-tjenester. Ved billedopptak i lokaler (for eksempel i forbindelse med «bank i butikk») og av terminaler/automater som ikke direkte blir kontrollert av banken, skal banken som behandlingsansvarlig for opptaket, inngå en databehandleravtale med den som har utplassert og/eller drifter kameraet, jf. personopplysningslovens 15. Videre skal det tydelig fremgå av merkingen i lokalet og på terminalen at banken er ansvarlig for overvåkingen, jf. personopplysningslovens 40. Personopplysningslovens 38 oppstiller krav om at det skal foreligge et særskilt behov for overvåking av et sted hvor en begrenset krets av personer ferdes jevnlig. Overvåking av ansatte, enten bankens eller butikkens ansatte i «bank i butikk»- tjenester, må således oppfylle kravet til et særskilt behov, i tillegg til arbeidsmiljølovens kapittel 9 om kontrolltiltak i virksomheten. 6 av 14
Utvidet lagringstid ved fjernsynsovervåking, anses som en personvernulempe både for ansatte og kunder. Det stilles i den forbindelse krav til banken om at overvåking med utvidet lagringstid begrenses til et minimum, jf. personopplysningslovens 11 bokstav b. Typisk bør overvåking av «bank i butikk» være begrenset til dedikerte kasser.» 5.2.3 Faktiske forhold Datatilsynet varslet opprinnelig DnB om kontroll med kameraovervåkning av «bank i butikk»- tjenester. Bakgrunnen for dette er at Datatilsynet, etter søknad fra DnB har gitt konsesjon og dispensasjon hvor behandlingsansvaret for slik kameraovervåkning har blitt plassert hos DnB. Verken DnB eller Spar Øst har forholdt seg til tidligere gitte konsesjoner og dispensasjoner om kameraovervåkning av «bank i butikk»- tjenester. I e-post av 18. september 2012 skriver DnB v/ advokat Stig Andersen at banken ikke ser på seg selv som behandlingsansvarlig for kameraovervåkning for «bank i butikk»- tjenester i de to butikkene (henholdsvis Spar Tåsen og Kiwi Sognsveien) Datatilsynet varselet tilsyn hos. Det er uklart for Datatilsynet hvorfor ingen har forholdt seg til plasseringen av behandlingsansvaret som følger av konsesjon og dispensasjon. Datatilsynet har bedt om mer informasjon som kan belyse plasseringen av behandlingsansvaret for bank i butikk -tjenester. Datatilsynet har ikke mottatt noen dokumentasjon som nærmere kan belyse dette. Spar Øst har heller ikke utarbeidet noen internkontrolldokumentasjon som kan belyse hvorfor behandlingsansvaret for kameraovervåkning av «bank i butikk»- tjenester er plassert hos denne virksomheten jf. personopplysningsloven 14 jf 2 nr 4. Konsesjon og dispensasjon for slik kameraovervåkning er som nevnt gitt til DnB og ikke Spar Øst. Datatilsynet har gjennom kontrollen fått tilgang til samarbeidsavtalen mellom NorgesGruppen ASA og DnB vedrørende «bank i butikk»- tjenestene datert 5. november 2004 (heretter samarbeidsavtalen). 1 Samarbeidsavtalen vil bli omtalt nedenfor i punkt 5.2.4. NorgesGruppen har i tilsvar til foreløpig kontrollrapport søkt om dispensasjon for Kiwi Norge om utvidet lagringstid for billedopptak av «bank i butikk»- tjenestene. Det vises til vedtaksbrevet for Datatilsynet vurdering av dette. 5.2.4 Datatilsynets vurdering Banken tilbyr sine kunder banktjenester gjennom Spar Øst sine butikker. Butikkmedarbeidere logger seg på bankens fagsystem for å betjene bankens kunder. Banken plikter å sørge for at butikkansatte som yter banktjenestene får nødvendig grunnopplæring og kompetanseutvikling. Det er på det rene at banken er behandlingsansvarlig for banktjenester som ytes. Det vises i den forbindelse til samarbeidsavtalen og Datatilsynets gitte konsesjon til DnB for behandling av personopplysninger til blant annet kundeadministrasjon og 1 Datatilsynets saksnummer 12/00852. 7 av 14
gjennomføring av bank- og finansieringstjenester. Spar Øst er i denne relasjon en databehandler, siden virksomheten behandler personopplysninger på vegne av banken. Formålet med kameraovervåkingen av bank i butikk -tjenesten er blant annet å virke preventivt og forsøke å oppklare ran og svindel som bank i butikk -tjenesten kan utsettes for. Dette er et tiltak som primært gjøres i bankens (den behandlingsansvarliges) interesse. Etter tilsynets vurdering vil kameraovervåkingen av bank i butikk -tjenesten være saklig begrunnet i bankens virksomhet. Etter tilsynets vurdering trekker også dette i retning av at behandlingsansvaret for kameraovervåking av bank i butikk -tjenesten ikke kan plasseres hos Spar Øst jf personopplysningsloven 2 nr 4 jf. personopplysningsloven 11 bokstav b. I vurderingen av plassering av behandlingsansvaret er det også relevant å se hen på det ansvaret butikken har påtatt seg etter samarbeidsavtalen. Etter en gjennomgang av samarbeidsavtalen vurderes butikkens ansvar i den anledning å være begrenset. Det følger dessuten av Datatilsynets vurdering gjennom praksis at det er DnB som er behandlingsansvarlig for oppbevaring av billedopptak i inntil tre måneder, jf. personopplysningsforskriften 8-4 siste ledd jf. ovenfor nevnte konsesjon og dispensasjon. På bakgrunn av det ovenfor nevnte legger Datatilsynet til grunn at behandlingsansvaret for kameraovervåkning av bank i butikk -tjenester ikke kan plasseres hos Kjøpmannshuset Norge AS. 5.2.5 Konklusjon Kjøpmannshuset Norge AS er ikke å anse som behandlingsansvarlig for kameraovervåkning av «bank i butikk»- tjenester jf personopplysningsloven 2 nr 4. Kjøpmannshuset Norge AS har ikke adgang til å lagre billedopptak utover det som følger av de alminnelige reglene i personopplysningsforskriften 8-4 første og annet ledd. 5.3 Internkontroll 5.3.1 Regelverkets krav Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av hhv. personopplysningsloven og helseregisterloven. Bestemmelsene er utdypet i personopplysningsforskriftens kapittel 3. Personopplysningsloven 14 innebærer en plikt til å gå igjennom hele loven med forskrift, og på det grunnlaget vurdere om det er behov for tiltak som sikrer etterlevelse av aktuelle bestemmelser. Det er med andre ord ingen plikt til å iverksette tiltak for alle lovens krav, jf ordlyden «nødvendig» i bestemmelses første ledd. I henhold til personopplysningsloven 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. 8 av 14
Personopplysningsforskriften 3-1 stiller utfyllende krav. De systematiske tiltakene skal tilpasses virksomhetens art, aktiviteter og størrelse. Det er krav om at den behandlingsansvarlige kjenner reglene for behandling av personopplysninger og at det utarbeides de nødvendige rutiner i denne sammenheng. I denne sammenheng er lovens og forskriftens generelle krav mest relevant virksomheten må gjennom planlagte og systematiske tiltak sikre etterlevelse av regelverkets krav. For å tilfredsstille kravet bør virksomheten, etter en alminnelig tilnærming for internkontroll, etablere styrende, gjennomførende og kontrollerende dokumenter. Internkontrollens styrende del forventes å dekke de overordnede rammer, som oversikt over behandlinger, identifisering av plikter, ansvar og myndighet, og hvorledes internkontrollen følges opp i virksomheten. Den gjennomførende delen vil inneholde de nødvendige rutiner som skal følges. Gjennom den kontrollerende delen følger ledelsen opp at rutinene og regelverket etterleves i organisasjonen. Dette gjøres normalt gjennom interne revisjoner av praksis, avvikshåndtering og revisjoner av internkontrollen. For mer informasjon om hvordan et internkontrollsystem kan bygges opp vises det til Datatilsynets hjemmeside, www.datatilsynet.no. 2 Virksomhetens internkontroll skal også omfatte nødvendig sikkerhetsdokumentasjon. Dette er nærmere nedenfor i rapporten. 5.3.2 Internkontroll for Kjøpmannshuset Norge AS 5.3.2.1 Faktiske forhold Datatilsynet ba i forkant av kontrollen om å få tilsendt den delen av internkontrollen som gjelder kameraovervåkning. Under kontrollen ba Datatilsynet om å få all dokumentasjon på internkontroll etter personopplysningsloven 14 og 13. Datatilsynet ba også om å se tilgjengelig dokumentasjon for medarbeidere. Det ble bedt om at eventuell dokumentasjon ble ettersendt. Slik dokumentasjon har ikke blitt mottatt av tilsynet. NorgesGruppen har i tilsvar til foreløpig kontrollrapport omtalt krav til internkontroll. 5.3.2.2 Datatilsynets vurdering: Datatilsynet har i punkt 5.1 flg. vurdert at det foreligger avvik når det kommer til plassering av behandlingsansvaret. Plassering av behandlingsansvaret og ansvaret for å gjennomføre den behandlingsansvarliges plikter er sentralt ved etablering av et internkontrollsystem. 2 Det vises for eksempel til dokumentet: En veiledning om internkontroll og informasjonssikkerhet 9 av 14
Det forelå mangelfull dokumentasjon på kravene som følger av personopplysningsloven 14 og personopplysningsforskriften kapittel 3. Det var ikke foretatt en gjennomgang av loven med forskrift, for å vurdere behovet for tiltak som sikrer etterlevelse av aktuelle bestemmelser. Det var videre ikke dokumenterte rutiner som var tilgjengelige for medarbeidere. Datatilsynet understreker at en sentral del av etableringen av et internkontrollsystem er å gjøre dette kjent for underliggende butikker og de ansatte, jf personopplysningsloven 14 annet ledd. 5.3.2.3 Konklusjon: Mangelfull dokumentasjon på internkontroll regnes som avvik, jf personopplysningsloven 14 jf personopplysningsforskriften kapittel 3. Mangelfull tilgjengelig dokumentasjon på internkontroll regnes som avvik, jf personopplysningsloven 14 annet ledd. 5.3.2.4 Særlig om oversikt over behandlinger og behandlingsgrunnlag for Kjøpmannshuset Norge AS 5.3.2.4.1 Regelverkets krav For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt og danner grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være grunnlag for risikovurderinger. Se også personopplysningsforskriften 2-3, 2-4 og 3-1. Oversikten må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. 3 Oversikten bør foreligge på overordnet nivå i de styrende dokumentene. Disse skal være tilgjengelig for de ansatte. 5.3.2.4.2 Faktiske forhold Som nevnt under punkt 5.3.2.1 ba Datatilsynet under kontrollen om å få all dokumentasjon på internkontroll etter personopplysningsloven 14 og 13. Datatilsynet ba også om å se tilgjengelig dokumentasjon for medarbeidere. Det forelå ingen samlet oversikt over blant annet den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). 3 Kravene til oversikt over behandlinger og behandlingsgrunnlag er beskrevet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet. 10 av 14
Datatilsynet har heller ikke mottatt en slik samlet oversikt i tilsvar til foreløpig kontrollrapport, og det foreligger ingen merknader til det varslede pålegget om utarbeidelse av en slik oversikt. 5.3.2.4.3 Konklusjon Det anses som avvik at Kjøpmannshuset Norge AS manglet en samlet oversikt over alle behandlinger av personopplysninger med behandlingens formål og behandlingsgrunnlag i henhold til personopplysningsloven 14 jf 11 jf personopplysningsforskriften 3-1. 5.4 Sletting av billedopptak 5.4.1 Regelverket Personopplysningsforskriften 8-4 først ledd stadfester at billedopptak skal slettes når det ikke lenger er saklig grunn for oppbevaring, jf personopplysningsloven 28. Billedopptak skal senest slettes 7 dager etter at opptakene er gjort, jf personopplysningsforskriften 8-4 annet ledd første punktum. Sletteplikten gjelder likevel ikke dersom det er sannsynlig at billedopptaket vil bli utlevert til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. I slike tilfeller kan billedopptakene oppbevares inntil 30 dager. Dette følger av personopplysningsforskriften 8-4 annet ledd annet punktum. I bestemmelsens siste ledd er det fastslått at dersom det foreligger et «særlig behov» for oppbevaring i lengre tid enn fastsatt i andre og tredje ledd, kan Datatilsynet gjøre unntak fra disse bestemmelsene. 4 5.4.2 Datatilsynets konsesjon, dispensasjon og faktiske forhold Datatilsynet har gitt DnB en generell dispensasjon for utvidet billeddopptak for blant annet betalingsterminaler knyttet til «bank i butikk»- tjenester, jf personopplysningsloven 8-4 siste ledd. 5 Butikken var pusset opp og fornyet i forkant av tilsynet. Det var også satt inn et nytt kameraanlegg. Minst et av kameraene knyttet til «bank i butikk»- tjenester var allerede på kontrolltidspunktet stilt inn på 90 dagers lagringstid. Det var opplyst at flere kameraer skulle ha utvidet lagringstid for kameraovervåkning av «bank i butikk»- tjenester. Opptak fra det tidligere kameraanlegget befant seg ikke lenger i butikken, men var utlevert til en leverandør. Det var ikke inngått databehandleravtale for en slik utlevering. Datatilsynet foretok heller ikke en stedlig kontroll hos leverandør som oppbevarte disse opptakene. Det ble påpekt at det måtte inngås en databehandleravtale, samt at opptakene måtte slettes etter fristene i personopplysningsforskriften 8-4. Det ble lagret kameraopptak utover fristen etter personopplysningsforskriften 8-4 første og annet ledd. 4 Personopplysningsforskriften 8-4 siste ledd ble vurdert i klagesak PVN-2001-1. Se Personvernnemndas hjemmeside: www.personvernnemnda.no 5 Se punkt 5.2 flg., herunder 5.2.2. 11 av 14
5.4.3 Datatilsynets vurdering Kjøpmannshuset Norge AS har ikke adgang til å lagre kameraopptak utover det som følger av personopplysningsforskriften 8-4 første og annet ledd. 5.4.4 Konklusjon Det er et avvik at Kjøpmannshuset Norge AS har lagret billeddopptak lengre enn det som følger av personopplysningsforskriften 8-4 første og annet ledd. Datatilsynet finner grunn til å tro at forhold avdekket hos Spar Tåsen også vil gjelde for andre butikker som Kjøpmannshuset Norge AS er behandlingsansvarlige for. 5.5 Informasjonssikkerhet 5.5.1 Regelverkets krav I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriftens kapittel 2. Se også personopplysningsforskriften 8-2 om sikring av billedopptak. Dokumentene skal være tilgjengelige for medarbeidere hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. Dette følger av personopplysningsloven 13 annet ledd. For mer informasjon om krav til informasjonssikkerhet og krav til dokumentasjon vises det til Datatilsynets hjemmeside, www.datatilsynet.no. 6 5.5.2 Faktiske forhold Datatilsynet ba i forkant av kontrollen om å få tilsendt den delen av internkontrollen som gjelder kameraovervåkning. Under kontrollen ba Datatilsynet om å få all dokumentasjon på internkontroll etter personopplysningsloven 14 og 13. Datatilsynet ba også om å se tilgjengelig dokumentasjon for medarbeidere. Det ble bedt om at eventuell dokumentasjon ble ettersendt. Datatilsynet har ikke mottatt noen slik dokumentasjon. 5.5.3 Datatilsynets vurdering Det forelå ingen dokumentasjon på kravene som følger av personopplysningsloven 13 og personopplysningsforskriften kapittel 2. 5.5.4 Konklusjon: Mangelfull dokumentasjon regnes som avvik, jf personopplysningsloven 13. 6 Det vises for eksempel til dokumentet: En veiledning om internkontroll og informasjonssikkerhet 12 av 14
5.6 Virksomhetens databehandlere 5.6.1 Rettslig grunnlag En databehandler er en virksomhet som behandler personopplysninger på vegne av en behandlingsansvarlig, jf personopplysningslovens 2 nr 5. Databehandleren har verken noe selvstendig formål med behandlingen eller noe behandlingsgrunnlag som angitt i 8 og 9. En databehandler kan ikke behandle opplysningene på en annen måte enn det som er skriftlig avtalt i en databehandleravtale, jf personopplysningslovens 15. En databehandleravtale vil derved være databehandlerens rettslige grunnlag for behandlingen. Den etablerer i tillegg instruksjonsmyndighet fra den behandlingsansvarlige overfor databehandleren, og skal gi nærmere regler for hvordan databehandleren skal gjennomføre behandlingen. Den behandlingsansvarlige kan ikke komme unna sine plikter etter personopplysningsloven ved å overlate den konkret behandlingen til en databehandler. Databehandleravtalen skal i tråd med 15 klargjøre hvem som er behandlingsansvarlig for personopplysningene, hvordan og i hvilken utstrekning personopplysningene kan behandles. På ett punkt er det inntatt i loven hva som skal reguleres i avtalen mellom den behandlingsansvarlige og databehandler. Dette gjelder gjennomføring av tiltak for informasjonssikkerhet, jf personopplysningsloven 13. Særlig når det gjelder behandling av sensitive personopplysninger er informasjonssikkerhet så viktig at lovgiver har ment at dette skal reguleres i avtalen mellom partene. Unnlatelse av å innta bestemmelser om informasjonssikkerhet i avtalen mellom behandlingsansvarlig og databehandler har som konsekvens at begge parter har behandlet personopplysninger i strid med personopplysningslovens regler. Databehandleres behandlingsformål og behandlingsgrunnlag utledes av den behandlingsansvarliges, gjennom databehandleravtalen. Rettslig sett identifiseres altså databehandleren med den behandlingsansvarlige. 5.6.2 Faktiske forhold Kjøpmannshuset Norge AS er oppgitt som behandlingsansvarlig i databehandleravtaler med AS Scan-kontroll om behandling av personopplysninger ved kameraovervåkning. DnB Nor er også oppgitt som databehandler. Datatilsynet har bedt om å få tilsendt databehandleravtale. En slik avtale er ikke oversendt tilsynet. Det legges derfor til grunn at det ikke forelå en databehandleravtale på kontrolltidspunktet. Datatilsynet har etter den stedlige kontrollen mottatt en databehandleravtale datert 15. oktober 2012 mellom Kjøpmannshuset Norge AS (som behandlingsansvarlig) og Pegasus kontroll AS (som databehandler). Avtalen regulerer nærmere hvordan Pegasus kontroll AS skal utføre sikkerhetskontroller for behandlingsansvarlig og håndtering av personalopplysninger i forbindelse oppfølging av saker. Tilsynet har også mottatt en databehandleravtale datert 25. 13 av 14
oktober 2012 mellom Kjøpmannshuset Norge AS (som behandlingsansvarlig) og Nokas AS (som databehandler) 5.6.3 Datatilsynets vurdering Datatilsynet la opprinnelig til grunn at Kjøpmannshuset Norge AS ikke kan anses som behandlingsansvarlig. Ettersom behandlingsansvaret var plassert feil, gikk Datatilsynet ikke nærmere inn på hvorvidt avtalene og behandling av personopplysninger hos databehandlere oppfyller kravene i regelverket. Kjøpmannshuset Norge AS er ikke å anse som behandlingsansvarlig for «bank i butikk»- tjenestene, noe som medfører at databehandleravtaler på dette området ikke er gyldige, jf personopplysningsloven 14 jf 2 nr 4 jf 2 nr 5. Datatilsynet viser også til at det i melding datert 8. oktober 2012 der det står at Spar Øst er behandlingsansvarlig for kameraovervåkning. 5.6.4 Konklusjon Det anses som avvik at det foreligger ugyldige databehandleravtaler, jf personopplysningsloven 14 jf 2 nr 4 jf 2 nr 5. 6 Andre forhold Datatilsynet anser det som sannsynlig at enkelte avvik som er avdekket gjennom denne kontrollen også gjelder for andre selskaper, eid av NorgesGruppen, som utfører «bank i butikk»- tjenester på vegne av DnB. 14 av 14