Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Vurdering av tilsvar Datatilsynet kan ikke se å ha mottatt merknader til varselet, og fatter vedtak i tråd med varselet. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må melde behandlingen av personopplysninger i forbindelse med fjernsynsovervåking til Datatilsynet i samsvar med personopplysningslovens 31. Det vises til tilsynsrapportens 5.1.3. 2. Virksomheten må avslutte fjernsynsovervåking på toalett, jf personopplysningslovens 8. Det vises til tilsynsrapporten 5.2.3. 3. Virksomheten må gi informasjon til den registrerte om hvem som er behandlingsansvarlig i samsvar med personopplysningslovens 40. Det vises til tilsynsrapportens 5.3.3. 4. Virksomheten må etablere internkontroll i samsvar med personopplysningslovens 14. Det vises til tilsynsrapportens 5.4.3. 5. Virksomheten må etablere databehandleravtale i samsvar med personopplysningslovens 15. Det vises til tilsynsrapportens 5.5.3. Datatilsynet gir frist for gjennomføring av påleggene til 6. april 2012. Virksomheten må innen nevnte nte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere ere dokumentasjon på at påleggene er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no
Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Stein Erik Vetland overingeniør Vedlegg: Endelig kontrollrapport 2
Saksnummer: 11/01070 Dato for kontroll: 28.09.2011 Rapportdato: 12.03.2012 Endelig kontrollrapport Kontrollobjekt: Sjøsiden Kjøpesenter Sted: Horten Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland 1 Innledning Datatilsynet gjennomførte en uanmeldt kontroll hos Sjøsiden Kjøpesenter 28. september 2011. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med fjernsynsovervåking. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten ten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Tom Haugen, driftstekniker RVS - Anne Cathrine Sjøblom, vekter Securitas - Ingrid Mjelde Gran, senterleder Sjøsiden Kjøpesenter 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Stein Erik Vetland, overingeniør 3 Generelt Sjøsiden eies av Vital Forsikring ASA og driftes av Vital Eiendom AS. Vital Eiendom AS er et heleid datterselskap i DnBNOR-konsernet, og forvalter Vital Forsikrings eiendomsinvesteringer. Selskapet er en av de største private eiendomsforvaltere i Norge. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Kontrollen var uanmeldt og står i sammenheng med oppfølging av tips. Temaet var virksomhetens bruk av kameraovervåking, og da spesielt med tanke på kamera montert på toalettet. Under kontrollen informerte Datatilsynet om hjemmel for kontrollen og det ble også opplyst om rettigheter samt plikter for den parten som kontrollen rettet seg mot. 1 av 5
Kontrollen ble avsluttet med en kort oppsummering og informasjon om saksgang. Kameraovervåkingen består av relativt mange kameraer med ulike posisjoner i kjøpesenteret. I all hovedsak overvåker kameraene inngang til parkeringsanlegget, ulike butikker, inngangsdører til senteret og toalettene. Opptaksenheten står i kontoret avsatt til vekterne på senteret. Det er mulig å se løpende overvåkingsbilder, men brukernavn og passord er nødvendig for å kunne logge seg inn på alle kameraene og opptak. Kontoret er låst med nøkkel eller kode. Opptak lagres i 7 dager. Det skal ikke være lagring eller overføring av lyd, og det er heller ikke mulig å styre kameraene (opp/ned, i side eller zoom) fra PC-en. Det er kun et fåtall personer som har tilgang til opptakene. Overvåkingsbildene er av god kvalitet. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) har egne bestemmelser om fjernsynsovervåkning, definert i lovens 36. Disse følger av personopplysningslovens kapittel VII. Personopplysningsforskriftens kapittel 8 har utfyllende bestemmelser for fjernsynsovervåking. I tillegg til bestemmelsene i lovens kapittel om fjernsynsovervåking ( 36 41), gjelder lovens 8, 9, 11, 31 og 32 for all fjernsynsovervåking. 5.1 Melding 5.1.1 Lovkrav Personopplysningsloven 31 stadfester at den behandlingsansvarlige skal gi melding til Datatilsynet før behandling av personopplysninger med elektroniske hjelpemidler. 5.1.2 Funn Datatilsynet kan ikke finne en gyldig melding for kameraovervåkingen ved Sjøsiden Kjøpesenter, og virksomheten kunne ikke gjøre rede for om melding var innsendt tilsynet. 5.1.3 Vurdering og konklusjon Virksomheten er pålagt å melde inn behandlingen til tilsynet. Byrden av denne plikten anses som liten, men den gjør Datatilsynet i stand til å holde oversikt over hvem som behandler personopplysninger på ulike måter. Manglende melding anses som et avvik og er et brudd på personopplysningslovens 31. 2 av 5
5.2 Formålet med fjernsynsovervåkingen og behovet for overvåkingen 5.2.1 Lovkrav Personopplysningsloven 8 stadfester at personopplysninger kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for a) å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse, c) å vareta den registrertes vitale interesser, d) å utføre en oppgave en oppgave av allmenn interesse, e) å utøve offentlig myndighet, eller f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. 5.2.2 Funn På kontrolltidspunktet var det ingen gyldig melding å ta utgangspunkt i for å kunne avklare formål eller behov for kameraovervåkingen. (Det er naturlig at dette er angitt i meldingens punkt 6 c - Nærmere beskrivelse.) Under møtet med driftstekniker ble formålet nærmere belyst muntlig. Det gis her en fremstilling av dette: Det viktigste hensynet bak kameraovervåkingen er at kameraer forhåpentlig vil gi en preventiv effekt mot kriminelle handlinger og at overvåkingen således sikrer ansatte, kunder og verdier. Dernest er det et formål med overvåkingen at den muliggjør å oppdage og å dokumentere kriminelle forhold som innbrudd, stjeling av varer/ verdier, hærverk og svindel. Datatilsynet tar utgangspunkt i beskrivelsen ovenfor som formålet med behandlingen av personopplysningene, jf. personopplysningslovens 8 bokstav f. 5.2.3 Vurdering og konklusjon Det oppgitte formålet er klargjort og forholdsvis tydelig med tanke på å kunne ta stilling til hva som faller innenfor formålet og hva som ikke gjør det. Datatilsynet har sett at kameraovervåking blir brukt preventivt på kjøpesentre tidligere. Hvorvidt dette faktisk har en effekt er vanskelig å måle, men det er en selvfølge at det er lettere å dokumentere hendelser i etterkant. Vilkåret etter personopplysningslovens 8 bokstav f er at behandlingen av personopplysningene er nødvendig for at den behandlingsansvarlige kan vareta en berettiget interesse, og at hensynet til den registrertes personvern ikke overstiger denne interessen. Med den registrerte menes her enhver som omfattes av opptakene og kan gjenkjennes, herunder ansatte, kunder, besøkende, eller andre. Oppfyller ikke overvåkningen vilkåret i 8, 3 av 5
vil den mangle behandlingsgrunnlag, og følgelig være en behandling av personopplysninger i strid med loven. En avveining av interesser må ta utgangspunkt i en konkret vurdering. Det må anses som et gode for enkeltmennesket å kunne forholde seg til hva en selv kan se og lett kan ta stilling til. Det må også betraktes som et gode å kunne vite seg usett og alene, og å kunne vite seg usett ut over dem man inngår i en samhandling med. I noen situasjoner er dette viktigere enn i andre situasjoner. Personverninteressen i å ikke bli overvåket må ses opp mot hvor inngripende tiltaket er. Eventuell interesse i diskresjon, alminnelige forventninger til å være i fred i denne type situasjoner eller om det som overvåkes har en privat karakter, vil være relevant i vurderingen av personverninteresser. Den konkrete personverninteressen kan ikke vurderes løsrevet fra hva som overvåkes. Fjernsynsovervåkingen av toalettet anses av tilsynet som et område der folk flest forventer seg usett. Dette gjelder selv om kameraene kun fanger opp inngangsdøren til fellesområde inne på toalettet, samt området rundt vaskene. Når driftstekniker heller ikke kan vise til at dette er et spesielt utsatt område for det som ligger under formålet med behandlingen, anses dette som et avvik og er et brudd på personopplysningslovens 8. 5.3 Varsling 5.3.1 Lovkrav Personopplysningslovens 40 stiller krav om at fjernsynsovervåkning tydelig skal varsles. Det skal i varslet også opplyses om hvem som er behandlingsansvarlig. 5.3.2 Funn Virksomheten har markert fjernsynsovervåkingen med mange og store skilt. Dette er i tråd med formuleringen i lovens 40. Dog mangler skiltene informasjon om hvem som er behandlingsansvarlig. Dette er et krav. 5.3.3 Vurdering og konklusjon Datatilsynets vurdering er at varslingen må gjennomgås og utbedres om kravene i personopplysningslovens 40 skal være overholdt. Behandlingsansvarlig står fritt i hvordan dette utføres så lenge resultatet fungerer etter sin hensikt. Manglende informasjon om hvem som er behandlingsansvarlig anses som et avvik og er et brudd på personopplysningslovens 40. 5.4 Internkontroll 5.4.1 Lovkrav Personopplysningsloven 14 stadfester at den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Videre skal den behandlingsansvarlige dokumentere tiltakene, jf personopplysningslovens forskrifter 3-1. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og 4 av 5
hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. 5.4.2 Funn Virksomheten manglet dokumenter som beskriver hvordan virksomheten behandler personopplysninger i forbindelse med fjernsynsovervåking. 5.4.3 Vurdering og konklusjon Virksomheten er lovpålagt å ha skriftlig dokumentasjon for sitt internkontrollsystem, jf. personopplysningslovens forskrifter 3-1. Det er formålstjenlig at dokumentasjonen deles opp i tre hoveddeler: a) styrende dokumentasjon, b) gjennomførende dokumentasjon, og c) kontrollerende dokumentasjon. Manglende skriftlig dokumentasjon er uheldig siden det gjør det vanskelig å kunne kvalitetsvurdere opplæringen og rutinene virksomheten har. Manglende dokumentasjon gjør det også vanskelig for tilsynet å få kunnskap om virksomheten har en rutine som etterleves eller ikke. Manglende skriftlig dokumentasjon anses som et avvik og er et brudd på personopplysningslovens 14, jf personopplysningsforskriftens 3-1. 5.5 Databehandleravtale 5.5.1 Lovkrav Personopplysningslovens 15 stadfester at en databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten en slik avtale overlates til noen andre for lagring eller bearbeidelse. 5.5.2 Funn Vital Eiendom AS benytter underleverandører for håndtering av drift og sikring av kjøpesenteret, henholdsvis RVS og Securitas. Tilsynet har ikke fått adgang til avtaler som regulerer forholdet mellom disse virksomhetene når det gjelder behandling av personopplysninger. 5.5.3 Vurdering og konklusjon Manglende skriftlig avtale anses som et avvik og er et brudd på personopplysningslovens 15. 5 av 5