Endelig kontrollrapport



Like dokumenter
Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Endelig kontrollrapport

Endelig kontrollrapport

3 Generelt om virksomheten og gjennomføring av kontrollen

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Kontrollrapport. Kontrollobjekt: Telenor Objects AS Sted: Fornebu

Lydopptak og personopplysningsloven

Endelig kontrollrapport

Vedtak om pålegg kameraovervåking hos Move treningssenter

Endelig kontrollrapport

Endelig Kontrollrapport

Personvernombud i Norge og databeskyttelsesansvarlig i EU-Kommisjonens forslag til forordning om databeskyttelse

Endelig kontrollrapport

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Kontroll av reseptformidleren endelig kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Vår referanse (bes oppgitt ved svar)

Kontrollrapport. Kontrollobjekt: Ankerskogen Svømmehall Hamar KF Sted: Hamar

Bedriften må ha kompetanse innen de områdene de utfører/leverer. Kompetansen kan være samlet hos en og samme utførende person.

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos Eniro Norge AS, avdeling Trondheim, den 27. juni 2011 og Datatilsynets varsel om vedtak av 5. juli 2011.

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Foreløpig kontrollrapport

Foreløpig kontrollrapport

Endelig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

10/ /SDK 21. desember 2010

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Endelig kontrollrapport

Vår referanse (bes oppgitt ved svar)

Før ordinær saksbehandling blir det orientering om: Forvaltningskontoret for helse og omsorg v/leder Tony Grägg.

Vår referanse (bes oppgitt ved svar)

Endelig kontrollrapport

Tilsyn med etterlevelse av personvernforordningen

Endelig kontrollrapport

Del II Noen viktige rettslige utgangspunkt Hentet fra

Kameraovervåking hva er lov? Publisert:

Endelig kontrollrapport

Adressemekling. Innhold INNLEDNING AKTØRENE

Vår referanse (bes oppgitt ved svar)

Juridiske betraktninger. knyttet til den nye. personvernforordningen. Advokat/partner Gerd Aaland Fagerli

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar)

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Kontrollrapport. Kontrollobjekt: Skatteetaten Sted: Oslo, Helsfyr

Vedlegg til søknad om konsesjon for behandling av

Melde- og konsesjonsplikt for etatens behandlinger av personopplysninger

Endelig kontrollrapport

Rutine for varsling av kritikkverdige forhold

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

Internkontroll og informasjonssikkerhet lover og standarder

Orientering om kamerakontroll av kommunale eiendommer.

Kontrolltiltak og e-postinnsyn overfor ansatte. Advokat Georg A. Engebretsen og advokat Julie Sagmo

Databehandleravtaler

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Endelig kontrollrapport

Diabetesforbundet. Personvernerklæring

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Databehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Kort innføring i personopplysningsloven

Prosedyre for personvern

VEILEDNING VED INNHENTING OG BRUK AV FORBRUKERES PERSONOPPLYSNINGER PÅ INTERNETT

Kontroll hos SUSS - Senter for ungdomshelse samliv og seksualitet - Vedtak og endelig rapport

PERSONVERNERKLÆRING FOR STIFTELSEN SIKT

Databehandleravtale. Kommunenes Sentralforbund - Databehandler

Transkript:

Saksnummer: 14/00763 Dato for kontroll: 01.07.2014 Rapportdato: 20.08.2014 Endelig kontrollrapport Kontrollobjekt: Alna Senter Sted: Alnabru, Oslo Utarbeidet av: Stian D Kringlebotn Ted Tøraasen Marte L Skaslien 1 Innledning Datatilsynet gjennomførte en kontroll av kameraovervåking på Alna Senter den 1. juli 2012. Kontrollen ble gjennomført i medhold av personopplysningslovens 44, jf. 42, 3. ledd. I rapporten vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen på kjøpesenteret. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Christian Palmer, driftstekniker - Glenn Karlsrud, vekter i AS Skan-Kontroll 2.2 Fra Datatilsynet: - Marte L. Skaslien, rådgiver - Ted Tøraasen, overingeniør - Stian D. Kringlebotn, seniorrådgiver 3 Generelt Alna Senter er et kjøpesenter på Alnabru i Oslo. Senteret består av flere forskjellige bygg og har flere store arealer for parkering. 4 Om kontrollen Datatilsynets kontroll var uvarslet. Temaet for kontrollen var senterets kameraovervåking, med fokus på to temaer: varslingsplikt (informasjon på stedet om at området er kameraovervåket), og meldeplikt (informasjon om behandling av personopplysninger, sendt til Datatilsynet gjennom meldeskjema). Kontrollen var rettet mot selve senterets bruk av kameraovervåking. Overvåking som den enkelte butikk foretar innenfor eget butikkareal var ikke en del av kontrollen. Ved fremmøte ble senterleder oppringt og informert om Datatilsynets beslutning om å foreta en kontroll. Han var på ferie og hadde ikke anledning til å delta. Det ble avtalt at Datatilsynet kunne få hjelp av sentervekteren. Fra virksomheten kunne også en driftstekniker delta. 1 av 6

Kontrollen ble innledet med overlevering av informasjonsbrev om kontrollen (dokument nr. 1 i saken). Datatilsynet informerte om hjemmelen for kontrollen, og det ble opplyst om rettigheter og plikter for den parten kontrollen retter seg mot. Datatilsynet ønsket å se konkret hvilke områder senteret overvåker. Dette ble gjort på sentervekterens kontor. Hva hvert enkelt kamera viser ble gjennomgått, herunder hva som var mulig å se ved hjelp av styrbare overvåkingskameraer. Etter dette ble det foretatt en lengre befaring i alle de områder som overvåkingsbildene viste. Hensikten med befaringen var å se om, og i så fall hvordan, virksomheten opplyste om overvåkingen gjennom såkalte varslingsskilt. Under befaringen ble også overvåkingskameraenes plassering pekt ut. Kontrollen ble avsluttet med en kort oppsummering og informasjon om videre saksgang. 5 Kameraovervåkingen ved kjøpesenteret Alna Senter har 23 fungerende overvåkingskameraer. Stedene som er overvåket spenner seg over store områder. Bildene viser områder inne i senterets forskjellige bygg, mellom byggene, samt utenfor byggene, her primært forskjellige parkeringsområder i ytterkant av senterområdet. Bildene fra senterets overvåking lar seg dele i følgende kategorier: Inngangspartier fra friluft eller parkeringshus. De fleste større innganger er kameraovervåket fra utsiden og / eller innsiden. Parkeringsområder. Senteret har 1100 parkeringsplasser fordelt på forskjellige parkeringshus og parkeringsområder i friluft. Store deler av parkeringsområdene er overvåket. Vei/innkjørsler. Veier og innkjøringsramper inne på senterområdet er i noen grad overvåket ved hjelp av kameraer på faste vinkler, eventuelt kan overvåkes ved hjelp av styrbart kamera. Områder inne på senteret. Det er primært gangområder som filmes. Takområder. To av overvåkingskameraene filmer kun takområder. De fleste av kameraene er alminnelige overvåkingskameraer som filmer fra faste vinkler. Tre av kameraene er mulig å styre i side og høyde, i tillegg til zoom-funksjon. To av disse står ute, en på hver langside av senterets hovedbygg. Ved å styre kameraene kan store deler av parkeringsområdene utenfor Biltema og Skeidar ses. På motsatt side kan veier og parkeringsområder ses. Dette inkluderer grovt sett alle utendørsområder mellom senterets tre største bygg. Det tredje styrbare kameraet står inne i hovedbygget og kan vise hele traséen mellom Biltema og Maxbo. Det mest overvåkede området er rundkjøringen som ligger mellom avkjørselen fra Ytre Ringvei og senterets utgang fra Meny. I tillegg til alminnelig overvåking, er det er her også 2 av 6

overvåking med fokus på bilenes registreringsnummer med kamerateknologi som gir klare bilder i lite lys. Under befaringen ble det sett etter varslingsskilter i, og ved innpassering til de overvåkede områdene. Verken Datatilsynets ansatte eller representanter for virksomhetene kunne finne noen skilt med unntak av to steder 1 : skyvedør mellom gangareal og parkeringsområdet under ToysRus, dvs i senterområdet mot Strømsveien. innerste inngangsdør på nederste parkeringsplan under XXL, dvs i senterområdet mot E 6. De to skiltene er like og har et bilde av et overvåkingskamera med teksten «Området er TVovervåket». Skiltet er noe mindre enn et A-5-ark, bærer YITs log øverst og mangler opplysninger om hvilken virksomhet som er ansvarlig for overvåkingen. I forkant av kontrollen hadde Datatilsynet søkt etter gyldige meldinger om kameraovervåking. Søk på Alna senter gir ingen treff. Søk på Aspelin Ramm gir tre gyldige meldinger om kameraovervåking, og hvor Aspelin Ramm Drift oppgis som behandlingsansvarlig. Ingen av de tre meldingen har informasjon som tilsier at meldingen gjelder for kameraovervåking ved Alna Senter. Representanter fra behandlingsansvarlig hadde ingen informasjon om overvåkingen var meldt eller ikke. 6 Ansvar for behandlingen av personopplysninger behandlingsansvar Avklaring av hvem som er ansvarlig for å oppfylle lovens krav er viktig. Personopplysningslovens 2 nr 4 definerer begrepet behandlingsansvarlig som den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. I den korte telefonsamtalen med senterleder ble det avklart at Alna Senter ikke er et eget selskap og at Aspelin Ramm Eiendom trolig er den naturlige part. Datatilsynet legger derfor til grunn at behandlingsansvarlig for kameraovervåkingen er Aspelin Ramm Eiendom AS ved senterleder H. G. Helberg. 7 Kort om personopplysningslovens regulering av kameraovervåking Lov om behandling av personopplysninger av 14. april 2000 nr. 31 (personopplysningsloven) regulerer bruk av kameraovervåking, definert i lovens 36. Personopplysningslovens kapittel 1 I tillegg ble det sett ett større skilt, stripset på et flyttbart gjerde utenfor Mester Grønn. Skiltet oppgir Aspelin Ramm som ansvarlig. Skiltets plassering gir ingen god mening da den ser ut til å varsle overvåking av et avstengt, utendørs lagringsområde for Mester Grønn. Datatilsynet antar at skiltet har hengt på gjerde fra en tidligere plassering. 3 av 6

VII ( 36-41) regulerer bruk av kameraovervåking. I personopplysningsforskriftens kapittel 8 finnes utfyllende bestemmelser. For bruk av kameraovervåking gjelder hele personopplysningsloven, med de presiseringer som finnes i lovens 37. I tillegg til lovens alminnelige vilkår, må kameraovervåking også oppfylle tilleggsvilkår for kameraovervåking i 38-40. Den videre gjennomgangen av regelverket avgrenses til de to lovkravene som har vært kontrollert under tilsynet, nemlig varslingsplikt og meldeplikt. Dette gjøres i neste kapittel. 8 Funn og avvik fra lovbestemte krav til behandling av personopplysninger Kameraovervåkingen ved Alna Senter faller inn under personopplysningslovens definisjon av kameraovervåking i lovens 36, og behandlingsansvarlig må derfor etterleve regelverket som gjelder kameraovervåking. 8.1 Varslingsplikt I forhold til personopplysningslovens alminnelige bestemmelser, er varslingsplikt ett av tilleggsvilkårene som gjelder ved bruk av kameraovervåking. Det vises her til personopplysningslovens 40, som lyder slik: Ved kameraovervåking på offentlig sted eller sted hvor en begrenset krets av personer ferdes jevnlig, skal det ved skilting eller på annen måte gjøres tydelig oppmerksom på at stedet blir overvåket, at overvåkingen eventuelt inkluderer lydopptak og hvem som er behandlingsansvarlig. Loven oppstiller et sterkere krav enn at det skal være mulig å finne varslingsskilt for den som leter. Kravene til varslingen må ses i lys av om varslingen fungerer: En normalt oppmerksom person skal få med seg at han eller hun nå går inn i et overvåket område. De sentrale elementene for å få til en god varsling ligger normalt i plasseringen av skilter, størrelsen på skiltene og mengden av skilter. Det er mulig å nytte en beskrivende tekst på skiltene dersom det er tjenlig eller nødvendig for at den besøkende forstår hva som er det overvåkede område, for eksempel «parkeringsplassen er kameraovervåket». Hvordan varslingen gjøres, er opp til virksomheten så lenge varslingen fungerer etter sin hensikt, og at varslingen inneholder den informasjon som bestemmelsen krever. En vanlig mangel er at skiltene ikke oppgir hvem som er behandlingsansvarlig. Etter Datatilsynets praksis er det tilstrekkelig å opplyse om ansvarlig virksomhet, eksempelvis med teksten «Ansvarlig: Aspelin Ramm Eiendom AS». Datatilsynet anbefaler også at det legges til en kontaktopplysning, gjerne et telefonnummer som kan nyttes for spørsmål om overvåkingen. Noen velger å oppgi telefonnummeret til virksomhetens sentralbord, som igjen kan vise videre til relevant personell. Andre velger å oppgi en vaktsentral, vaktfunksjon eller likende, eller en avdeling av virksomheten som har ansvaret for driften av overvåkingen. 4 av 6

8.1.1 Datatilsynets vurdering ivaretakelse av varslingsplikt Etter Datatilsynets vurdering, er varslingsplikten etter personopplysningslovens 40 ikke ivaretatt på Alna Senter. Kameraovervåkingen må forstås som uvarslet. At det under befaringen ble funnet to enkeltstående skilt, endrer ikke denne vurderingen 2. Det er her ikke snakk om at varsling må utbedres, varsling må etableres fra grunnen av. Senteret består av flere bygg hvor de fleste innganger er kameraovervåket. Etter Datatilsynets anslag er det omtrent et dusin forskjellige innganger fra uteområder eller parkeringsplasser, og inn i én del av senteret. Senteret overvåker også store uteområder. Med mindre kunden parkerer nært en av de to inngangene med skilt, noe som kun vil gjelde en liten brøkdel av senteres 1100 parkeringsplasser, vil kunden kunne bevege seg over uteområder og parkeringsplasser, og gå mellom senteres ulike bygg uten å se ett eneste skilt om kameraovervåking. Datatilsynet har erfaringer med at varslingsplikt ikke blir ivaretatt godt nok av mange virksomheter. Ofte finnes det noe varsling, men den er mangelfull. Datatilsynet mener det er sjeldent å se en så fraværende varsling av kameraovervåket som på Alna Senter, sett i forhold til hvor store områder som overvåkes, og at det her er snakk om overvåking av et kjøpesenter. Hensynet bak varslingsplikten er å gi informasjon om bruk av personopplysninger, noe som ved kameraovervåking ikke er lett å få til uten å bruke informasjonsskilter. Varslingsplikt er med andre ord en informasjonsplikt tilpasset den iverksatte kameraovervåkingen. Når varslingen er mangelfull eller fraværende, vil synlig overvåkingsteknologi være det eneste besøkende kan ta utgangspunkt i. Overvåkingskameraene ved Alna Senter er ikke skjult eller forsøkt kamuflert på noen måte. De er likevel i mange tilfeller vanskelig å oppdage med mindre man systematisk ser etter overvåkingskameraer. Under befaringen måtte det ved flere ganger letes etter hvor det aktuelle kameraet stod. Plasseringen av en del av utekameraene er også så høy at blikket til kunder naturlig ikke vil falle på de steder hvor kameraene er plassert. Eksempelvis er flere inngangspartier overvåket av kamera plassert på toppen av motstående bygg. Kameraet som fanger opp hovedbyggets trasé mellom Biltema og Skeidar er plasser på et rør under taket. For kunder av Alna Senter er det trolig vanskelig å få med seg at man befinner seg på overvåket område. Datatilsynet har ingen grunn til å tro at dette er resultat av bevisste valg fra virksomheten, men det forsterker like fullt personvernulempene ved senterets manglede informasjon gjennom varslingsskilter. Mange vil riktignok at ha en forventing om at kjøpesentre til en viss grad er overvåket innendørs. Annerledes vil det være med parkeringsområder, hvor kundene antagelig ikke har grunn til å tro at det er overvåking. At overvåkingen fanger opp bilens skilter på veien, kan være uventet for mange. 2 De to stedene med skilt er i ytterkanten av senteret, og den ene av dørene er en sjeldent benyttet inngang. At senteret bevisst skulle velge nettopp disse to stendene for varsling, gir ingen mening. At det finnet to helt like overvåkingsskilter på hver sin ytterkant av senteret, gir grunn til å tro at skiltene har stått i større sammenheng. En mulig forklaring kan være at de to skiltene er en gjenværende del av en tidligere varsling. 5 av 6

8.2 Meldeplikt I sjeldne tilfeller kan kameraovervåking være konsesjonspliktig, men som hovedprinsipp er kameraovervåking kun meldepliktig. Det vises her til personopplysningslovens 37 første og andre ledd, jf 31. Melding sendes i form av et skjema, og kan sendes inn elektronisk fra Datatilsynet nettsider. Vi viser til beskrivelsen i rapportens kapittel 5. Datatilsynet kan ikke finne en gyldig melding som synes relevant for kameraovervåkingen ved Alna Senter. 8.2.1 Datatilsynets vurdering ivaretakelse av meldeplikten Datatilsynet vurderer kameraovervåkingen på Alna Senter som meldepliktig. Datatilsynet legger til grunn at meldeplikten etter personopplysningslovens 31 ikke er overholdt. Melding må sendes. 9 Klargjøring av hva Datatilsynet har vurdert under kontroller Under kontroller av kameraovervåking kan en rekke aspekter ved regeletterlevelse kontrolleres, eksempelvis om det er tillatt å overvåke et område, om informasjonssikkerhetstiltak er god nok, om virksomheten har en interkontroll og skriftlige rutiner, om opptak slettes innenfor akseptable frister, med videre. Datatilsynet gjør derfor her eksplisitt oppmerksom på at denne kontrollen ikke må forstås som større gjennomgang av lovlighet av kameraovervåkingen ved Alna Senter. De aspekter ved regelverket som det er tatt stilling til i denne kontrollen er avgrenset til varslingsplikt (personopplysningslovens 40) i forhold til de områder som faktisk overvåkes og meldeplikt (personopplysningslovens 31). 6 av 6

2026 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding