Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.



Like dokumenter
Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Endelig kontrollrapport

Endelig kontrollrapport

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Vedtak om pålegg kameraovervåking hos Move treningssenter

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Deres referanse Vår referanse Dato / /EOL

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Vår referanse (bes oppgitt ved svar)

Kontroll av reseptformidleren endelig kontrollrapport

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

3 Generelt om virksomheten og gjennomføring av kontrollen

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Vår referanse (bes oppgitt ved svar)

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Endelig kontrollrapport

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Endelig kontrollrapport

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Endelig kontrollrapport

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Avslutning av sak - Foreløpig kontrollapport for Vestre Viken Helseforetak

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Lydopptak og personopplysningsloven

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Vår referanse (bes oppgitt ved svar)

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Endelig kontrollrapport

Forsikringselskaper adgang til etterforskning

Deres ref Vår ref (bes oppgitt ved svar) Dato

10/ /SDK 21. desember 2010

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Vår referanse (bes oppgitt ved svar)

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

kontrollrapport og varsel om vedtak datert 31. oktober 2012, samt Deres tilsvar i brev av 22. november 2012.

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Oversendelse til Personvernnemnda - Klage på Datatilsynets vedtak om begrensning i kameraovervåking etter kontroll hos Sandnes Taxi

Vedtak - registrering av brukermønster - IP-TV endelig kontrollrapport

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Foreløpig kontrollrapport

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Krav til rettslig grunnlag for behandling av personopplysninger. Dag Wiese Schartum

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

BEST Helse Nordstrand pålegg om avslutning av urettmessig behandling av personopplysninger

Endelig Kontrollrapport

Vår referanse (bes oppgitt ved svar)

Personvern - sjekkliste for databehandleravtale

Endelig kontrollrapport

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Kontroll hos Tafjord Markeds AS - vedtak - endelig kontrollrapport

Pålegg om stans av behandling av personopplysninger - Gator AS

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

Foreløpig kontrollrapport

DATABEHANDLERAVTALE. Behandlingsansvarlig og Databehandler er i fellesskap benevnt "Partene" og alene "Parten".

Databehandleravtaler

Endelig kontrollrapport Kreftregisteret / Janusbanken

Transkript:

Sjøsiden v/senterleder Teatergaten 6 3187 HORTEN Deres referanse Vår referanse (bes oppgitt ved svar) Dato 11/01070-2/SEV 12. mars 2012 Vedtak om pålegg og endelig kontrollrapport Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011. Vurdering av tilsvar Datatilsynet kan ikke se å ha mottatt merknader til varselet, og fatter vedtak i tråd med varselet. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må melde behandlingen av personopplysninger i forbindelse med fjernsynsovervåking til Datatilsynet i samsvar med personopplysningslovens 31. Det vises til tilsynsrapportens 5.1.3. 2. Virksomheten må avslutte fjernsynsovervåking på toalett, jf personopplysningslovens 8. Det vises til tilsynsrapporten 5.2.3. 3. Virksomheten må gi informasjon til den registrerte om hvem som er behandlingsansvarlig i samsvar med personopplysningslovens 40. Det vises til tilsynsrapportens 5.3.3. 4. Virksomheten må etablere internkontroll i samsvar med personopplysningslovens 14. Det vises til tilsynsrapportens 5.4.3. 5. Virksomheten må etablere databehandleravtale i samsvar med personopplysningslovens 15. Det vises til tilsynsrapportens 5.5.3. Datatilsynet gir frist for gjennomføring av påleggene til 6. april 2012. Virksomheten må innen nevnte nte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere ere dokumentasjon på at påleggene er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 0034 OSLO Hjemmeside: www.datatilsynet.no

Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum avdelingsdirektør Stein Erik Vetland overingeniør Vedlegg: Endelig kontrollrapport 2

Saksnummer: 11/01070 Dato for kontroll: 28.09.2011 Rapportdato: 12.03.2012 Endelig kontrollrapport Kontrollobjekt: Sjøsiden Kjøpesenter Sted: Horten Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland 1 Innledning Datatilsynet gjennomførte en uanmeldt kontroll hos Sjøsiden Kjøpesenter 28. september 2011. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med fjernsynsovervåking. Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten ten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Tom Haugen, driftstekniker RVS - Anne Cathrine Sjøblom, vekter Securitas - Ingrid Mjelde Gran, senterleder Sjøsiden Kjøpesenter 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Stein Erik Vetland, overingeniør 3 Generelt Sjøsiden eies av Vital Forsikring ASA og driftes av Vital Eiendom AS. Vital Eiendom AS er et heleid datterselskap i DnBNOR-konsernet, og forvalter Vital Forsikrings eiendomsinvesteringer. Selskapet er en av de største private eiendomsforvaltere i Norge. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Kontrollen var uanmeldt og står i sammenheng med oppfølging av tips. Temaet var virksomhetens bruk av kameraovervåking, og da spesielt med tanke på kamera montert på toalettet. Under kontrollen informerte Datatilsynet om hjemmel for kontrollen og det ble også opplyst om rettigheter samt plikter for den parten som kontrollen rettet seg mot. 1 av 5

Kontrollen ble avsluttet med en kort oppsummering og informasjon om saksgang. Kameraovervåkingen består av relativt mange kameraer med ulike posisjoner i kjøpesenteret. I all hovedsak overvåker kameraene inngang til parkeringsanlegget, ulike butikker, inngangsdører til senteret og toalettene. Opptaksenheten står i kontoret avsatt til vekterne på senteret. Det er mulig å se løpende overvåkingsbilder, men brukernavn og passord er nødvendig for å kunne logge seg inn på alle kameraene og opptak. Kontoret er låst med nøkkel eller kode. Opptak lagres i 7 dager. Det skal ikke være lagring eller overføring av lyd, og det er heller ikke mulig å styre kameraene (opp/ned, i side eller zoom) fra PC-en. Det er kun et fåtall personer som har tilgang til opptakene. Overvåkingsbildene er av god kvalitet. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) har egne bestemmelser om fjernsynsovervåkning, definert i lovens 36. Disse følger av personopplysningslovens kapittel VII. Personopplysningsforskriftens kapittel 8 har utfyllende bestemmelser for fjernsynsovervåking. I tillegg til bestemmelsene i lovens kapittel om fjernsynsovervåking ( 36 41), gjelder lovens 8, 9, 11, 31 og 32 for all fjernsynsovervåking. 5.1 Melding 5.1.1 Lovkrav Personopplysningsloven 31 stadfester at den behandlingsansvarlige skal gi melding til Datatilsynet før behandling av personopplysninger med elektroniske hjelpemidler. 5.1.2 Funn Datatilsynet kan ikke finne en gyldig melding for kameraovervåkingen ved Sjøsiden Kjøpesenter, og virksomheten kunne ikke gjøre rede for om melding var innsendt tilsynet. 5.1.3 Vurdering og konklusjon Virksomheten er pålagt å melde inn behandlingen til tilsynet. Byrden av denne plikten anses som liten, men den gjør Datatilsynet i stand til å holde oversikt over hvem som behandler personopplysninger på ulike måter. Manglende melding anses som et avvik og er et brudd på personopplysningslovens 31. 2 av 5

5.2 Formålet med fjernsynsovervåkingen og behovet for overvåkingen 5.2.1 Lovkrav Personopplysningsloven 8 stadfester at personopplysninger kan bare behandles dersom den registrerte har samtykket, eller det er fastsatt i lov at det er adgang til slik behandling, eller behandlingen er nødvendig for a) å oppfylle en avtale med den registrerte, eller for å utføre gjøremål etter den registrertes ønske før en slik avtale inngås, b) at den behandlingsansvarlige skal kunne oppfylle en rettslig forpliktelse, c) å vareta den registrertes vitale interesser, d) å utføre en oppgave en oppgave av allmenn interesse, e) å utøve offentlig myndighet, eller f) at den behandlingsansvarlige eller tredjepersoner som opplysningene utleveres til kan vareta en berettiget interesse, og hensynet til den registrertes personvern ikke overstiger denne interessen. 5.2.2 Funn På kontrolltidspunktet var det ingen gyldig melding å ta utgangspunkt i for å kunne avklare formål eller behov for kameraovervåkingen. (Det er naturlig at dette er angitt i meldingens punkt 6 c - Nærmere beskrivelse.) Under møtet med driftstekniker ble formålet nærmere belyst muntlig. Det gis her en fremstilling av dette: Det viktigste hensynet bak kameraovervåkingen er at kameraer forhåpentlig vil gi en preventiv effekt mot kriminelle handlinger og at overvåkingen således sikrer ansatte, kunder og verdier. Dernest er det et formål med overvåkingen at den muliggjør å oppdage og å dokumentere kriminelle forhold som innbrudd, stjeling av varer/ verdier, hærverk og svindel. Datatilsynet tar utgangspunkt i beskrivelsen ovenfor som formålet med behandlingen av personopplysningene, jf. personopplysningslovens 8 bokstav f. 5.2.3 Vurdering og konklusjon Det oppgitte formålet er klargjort og forholdsvis tydelig med tanke på å kunne ta stilling til hva som faller innenfor formålet og hva som ikke gjør det. Datatilsynet har sett at kameraovervåking blir brukt preventivt på kjøpesentre tidligere. Hvorvidt dette faktisk har en effekt er vanskelig å måle, men det er en selvfølge at det er lettere å dokumentere hendelser i etterkant. Vilkåret etter personopplysningslovens 8 bokstav f er at behandlingen av personopplysningene er nødvendig for at den behandlingsansvarlige kan vareta en berettiget interesse, og at hensynet til den registrertes personvern ikke overstiger denne interessen. Med den registrerte menes her enhver som omfattes av opptakene og kan gjenkjennes, herunder ansatte, kunder, besøkende, eller andre. Oppfyller ikke overvåkningen vilkåret i 8, 3 av 5

vil den mangle behandlingsgrunnlag, og følgelig være en behandling av personopplysninger i strid med loven. En avveining av interesser må ta utgangspunkt i en konkret vurdering. Det må anses som et gode for enkeltmennesket å kunne forholde seg til hva en selv kan se og lett kan ta stilling til. Det må også betraktes som et gode å kunne vite seg usett og alene, og å kunne vite seg usett ut over dem man inngår i en samhandling med. I noen situasjoner er dette viktigere enn i andre situasjoner. Personverninteressen i å ikke bli overvåket må ses opp mot hvor inngripende tiltaket er. Eventuell interesse i diskresjon, alminnelige forventninger til å være i fred i denne type situasjoner eller om det som overvåkes har en privat karakter, vil være relevant i vurderingen av personverninteresser. Den konkrete personverninteressen kan ikke vurderes løsrevet fra hva som overvåkes. Fjernsynsovervåkingen av toalettet anses av tilsynet som et område der folk flest forventer seg usett. Dette gjelder selv om kameraene kun fanger opp inngangsdøren til fellesområde inne på toalettet, samt området rundt vaskene. Når driftstekniker heller ikke kan vise til at dette er et spesielt utsatt område for det som ligger under formålet med behandlingen, anses dette som et avvik og er et brudd på personopplysningslovens 8. 5.3 Varsling 5.3.1 Lovkrav Personopplysningslovens 40 stiller krav om at fjernsynsovervåkning tydelig skal varsles. Det skal i varslet også opplyses om hvem som er behandlingsansvarlig. 5.3.2 Funn Virksomheten har markert fjernsynsovervåkingen med mange og store skilt. Dette er i tråd med formuleringen i lovens 40. Dog mangler skiltene informasjon om hvem som er behandlingsansvarlig. Dette er et krav. 5.3.3 Vurdering og konklusjon Datatilsynets vurdering er at varslingen må gjennomgås og utbedres om kravene i personopplysningslovens 40 skal være overholdt. Behandlingsansvarlig står fritt i hvordan dette utføres så lenge resultatet fungerer etter sin hensikt. Manglende informasjon om hvem som er behandlingsansvarlig anses som et avvik og er et brudd på personopplysningslovens 40. 5.4 Internkontroll 5.4.1 Lovkrav Personopplysningsloven 14 stadfester at den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Videre skal den behandlingsansvarlige dokumentere tiltakene, jf personopplysningslovens forskrifter 3-1. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og 4 av 5

hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. 5.4.2 Funn Virksomheten manglet dokumenter som beskriver hvordan virksomheten behandler personopplysninger i forbindelse med fjernsynsovervåking. 5.4.3 Vurdering og konklusjon Virksomheten er lovpålagt å ha skriftlig dokumentasjon for sitt internkontrollsystem, jf. personopplysningslovens forskrifter 3-1. Det er formålstjenlig at dokumentasjonen deles opp i tre hoveddeler: a) styrende dokumentasjon, b) gjennomførende dokumentasjon, og c) kontrollerende dokumentasjon. Manglende skriftlig dokumentasjon er uheldig siden det gjør det vanskelig å kunne kvalitetsvurdere opplæringen og rutinene virksomheten har. Manglende dokumentasjon gjør det også vanskelig for tilsynet å få kunnskap om virksomheten har en rutine som etterleves eller ikke. Manglende skriftlig dokumentasjon anses som et avvik og er et brudd på personopplysningslovens 14, jf personopplysningsforskriftens 3-1. 5.5 Databehandleravtale 5.5.1 Lovkrav Personopplysningslovens 15 stadfester at en databehandler kan ikke behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten en slik avtale overlates til noen andre for lagring eller bearbeidelse. 5.5.2 Funn Vital Eiendom AS benytter underleverandører for håndtering av drift og sikring av kjøpesenteret, henholdsvis RVS og Securitas. Tilsynet har ikke fått adgang til avtaler som regulerer forholdet mellom disse virksomhetene når det gjelder behandling av personopplysninger. 5.5.3 Vurdering og konklusjon Manglende skriftlig avtale anses som et avvik og er et brudd på personopplysningslovens 15. 5 av 5

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding