archive-no.com » NO » P » PERSONVERNNEMNDA.NO

Total: 189

Choose link from "Titles, links and description words view":

Or switch to "Titles and links view".
  • Personvernnemnda
    om personvern Alle 2014 2013 2012 2011 2010 2009 2008 2007 2006 2005 2004 2003 2002 2001 Vedtak 2001 KLAGESAK 2001 1 Sletting av personopplysninger Postboks 64 3209 Sandefjord Telefon

    Original URL path: http://www.personvernnemnda.no/vedtak/2001.htm (2014-09-28)
    Open archived version from archive


  • Personvernnemnda
    belastende for arbeidstakere at det kun er arbeidsgiver som er behandlingsansvarlig enn at det er flere behandlingsansvarlige Videre vil det være en uforholdsmessig belastning for arbeidstakerne når det er en tredjeperson som er behandlingsansvarlig slik tilsynet legger opp til Det vises også til Hovedavtalen mellom LO og Virke der det heter at fjernsynsovervåking må være saklig begrunnet ut fra hensynet til virksomheten i det overvåkende foretak ICA hevder at fjernsynsovervåking av posttjenestene er saklig begrunnet i ICAs virksomhet Det vises videre i tilleggsavtalen det kan engasjeres frittstående virksomhet til å gjennomføre tiltakene Ansvaret for tiltakene påligger i alle tilfeller bedriften Det konkluderes derfor med at det er ICA som er behandlingsansvarlig for de kontrolltiltak som utføres i ICAs butikker Dersom man skulle komme til at kameraovervåkingen ikke er begrunnet i ICAs virksomhet vil ikke Posten få tillatelse av ICA til å ha kameraovervåking i ICAs virksomhet Dette vil føre til at de områdene i butikken som er særlig utsatt for ran og andre kriminelle handlinger blir et lett bytte Dette vil være i strid med Stortingets intensjon ved at Posten kunne overføre tjenestene sine til blant annet dagligvarebutikkene Forutsetningen til Stortinget var at sikkerheten til ansatte ikke skulle bli redusert Det er ICA som er ansvarlig for hvilken sikkerhet det skal være i PIB Det vises til at det er ICA som er behandlingsansvarlig for de personopplysninger som lagres i PIB punktet da formålet er saklig begrunnet i ICAs virksomhet jf personopplysningsloven Il bokstav b Kameraovervåkingen i PIB punktet må antas å ha vesentlig betydning for forebygging og oppklaring av straffbare handlinger jf personopplysningsloven 37 Det er ICAs ansatte og kunder som overvåkes og som kan oppleve farlige situasjoner ICA må derfor være behandlingsansvarlig for behandlingen av personopplysningene og ikke en tredjepart jf personopplysningsloven 38 Det vises til ICA har hjemmel i personopplysningsloven 8 til å overvåke egen ansatte da dette er nødvendig for blant annet ansattes sikkerhet samt å forebygge kriminelle handlinger 4 2 Lagring av opptakene etter personopplysningsforskriften 8 4 første og annet ledd Etter personopplysningsforskriften 8 4 er det en lengre lagringstid for kameraovervåking i post og banklokalet Det er ikke nevnt hvem som må stå som behandlingsansvarlig for overvåkingen for lagringstiden på inntil tre måneder Siden ICA har påtatt seg et særlig ansvar overfor Posten for å utføre posttjenester vil formålet være det samme for ICA som for andre postkontorer som tar lagre kameraopptak i tre måneder Det avgjørende må være hvor opptakene blir tatt og begrunnelsen for utvidet lagringstid PIB punktet er et definert område av butikken Inngangspartiet til butikken må også anses å være en del av PIB siden kundene benytter seg av denne inngangen til å komme til PIB Det medfører at opptak gjort av inngangspartiet må kunne lagres i tre måneder 4 3 Lagring av opptakene etter personopplysningsforskriften 8 4 sjette ledd Hvis tilsynet skulle være av den oppfatning at PIB ikke var å anse som postlokale vil personopplysningsforskriften 8 4 sjette ledd kunne komme til anvendelse da det foreligger særlige grunner for ICA å lagre opptakene i tre måneder En av begrunnelsene er at ranere ofte foretar rekognosering før de begår ran Utvidet lagringstid kan gjøre at man kan gå tilbake å se hvem som rekognoserte Den andre begrunnelsen er for å kunne oppklare ID tyveri hvitvasking og svindel Her går det fort mer enn 7 dager før svindelen eller ID tyveriet blir oppdaget Siden Posten og banker har hatt rett til å lagre opptak etter disse begrunnelsene vil ICA også ha det for kameraovervåkingen i PIB Hvis det er blitt begått en kriminell handling i forbindelse med post finanstjenestene er det ICA som anmelder forholdet som fornærmet og ikke Posten 4 4 Forslag til løsning ICA er avhengig av bistand fra banken og Posten for å forebygge kriminalitet og bekjempe ID tyveri og andre misligheter Det er derfor viktig at Posten og banken får tilgang til de opplysningene som er lagret ved behov ICA foreslår derfor at Datatilsynet benytter seg av personopplysningsloven 41 hvor det kan lages forskrift om at opptak kan utleveres utover det som følger av 39 i personopplysningsloven Frem til en slik forskrift foreligger kan alle tre parter ha delt behandlingsansvar med lagring i 90 dager 5 Kommentarer fra Posten 5 1 Risiko og ansvar etter PIB avtalen Avtalene inneholder generelle klausuler om at partene skal samarbeide om sikkerhetsspørsmål Det har vært partenes forutsetning at ICA skal være behandlingsansvarlig for kameraovervåking i PIB DNB Bank ASA heretter DNB eller banken har det økonomiske ansvaret for tap som følge av kriminelle anslag mot banktjenester i PIB DNB kan bare søke regress hos Posten i de tilfeller det foreligger uaktsom grove tjenestefeil ved utførelsen av banktjenester ICA ekspedisjonsstedet har gjennom PIB avtalen overtatt dette regressansvar Posten kan komme i overfor DNB Det erstatningsansvaret Posten har for tapt bortkommet eller forsinket postsending etter postloven 22 er overtatt av ICA Ansvaret gjelder for den perioden ICA har postforsendingen i sin varetekt Det er bare ide tilfeller ICA kan påvise at Postens anvisninger for utførelse av tjenesten er fulgt at ekspedisjonsstedet ikke har regressansvar overfor Posten jf driftsavtalen pkt 12 Driftsavtalen fastsetter videre at ekspedisjonsstedet skal være forsikret mot skade tap ved ran underslag innbrudd brann avbrudd mm Posten dekker ICAs egenandel begrenset oppad til kr 15 000 pr hendelse rettet mot postale og eller finansielle tjenester i PIB 5 2 Merknader til vedtakets pkt 1 b Posten er uenig i Datatilsynets konklusjon og vil i likhet med ICA hevde at behandlingsansvaret må plasseres hos ICA Posten viser til at Datatilsynet i kontrollrapporten legger til grunn at formålet med kameraovervåkingen i PIB er å virke preventivt samt å oppklare ran tyveri og svindel som posttjenestene kan utsettes for Posttjenestene kan utsettes for tyveri svindel både fra tredjepersoner og fra ICAs ansatte Når Datatilsynet i møte 6 september 2013 presiserte at ICA kan være behandlingsansvarlig for egne ansatte i PIB legger Posten til grunn at ICAs legitime formål nødvendigvis må være å overvåke egne ansatte i deres utførelse av posttjenester Posten ser ikke hvilke andre formål uten direkte tilknytning til posttjenester som kan hjemle ICAs kameraovervåking av egne ansatte i PIB For Posten synes tilsynet å ha delt formålet med kameraovervåking av PIB Slik at ICA har adgang til å overvåke egne ansatte med det formål å forebygge og oppklare eventuelle tyveri underslag fra egne ansatte men ikke med det formål å verne post og banktjenester mot kriminelle anslag utenfra Etter Postens syn virker en slik deling noe teoretisk oppkonstruert Posten mener en slik inndeling er problematisk fordi det ikke er teknisk mulig å trekke et slikt skille og fordi det ved kriminelle anslag mot posttjenestene ikke nødvendigvis vil være klart om mistanken retter seg mot ICAs ansatte eller tredjepersoner Posten mener følgene argumenter tilsier at behandlingsansvaret i sin helhet må plasseres hos ICA ICA er den som faktisk bestemmer og har kontroll over behandlingen ICA som behandlingsansvarlig vil gi en effektiv etterlevelse av personopplysningsloven ICA fremstår for de registrerte som den behandlingsansvarlige 5 3 Kameraovervåking har saklig grunn i ICAs virksomhet jf lovens 11 bokstav b Posten mener tilsynets slutning om at kameraovervåking av posttjenestene skjer i Postens interesse og således må være saklig begrunnet i Postens virksomhet er noe unyansert Det vises til at ICA har påtatt seg en kommersiell tilleggsforpliktelse utover det å drive dagligvarehandel Gjennom PIB avtalen har ICA en kommersiell tilleggsforpliktelse som innebærer økonomisk risiko og ansvar for at posttjenestene utføres med avtalt kvalitet og adekvate sikkerhetstiltak Det vises videre til at kameraovervåkingen skjer i ICAs lokaler og av deres ansatte Posten har forståelse for ICA og NorgesGruppen som har anført at de ikke vil tillate Posten å være behandlingsansvarlig i PIB Posten kan videre ikke se ut fra bestemmelsens ordlyd formål eller forarbeider at det kan utledes som et generelt utgangspunkt at saklig grunn hos en virksomhet ekskluderer andre virksomheter å kunne ha saklig grunn for det samme formål 5 4 Lagringstid Posten mener at personopplysningsforskriften 8 4 tredje ledd må få anvendelse for kameraopptak i PIB Det vises til at begrepet post og banklokaler ikke er nærmere definert i bestemmelsen og det naturlige ville være å definere begrepet ut fra om det faktisk foregår post og banktjenester i lokalet Posten mener heller ikke at det er noen holdepunkter i lovteksten eller forarbeider for å kunne legge avgjørende vekt på hvem som er behandlingsansvarlig 5 5 Delt behandlingsansvar Under forutsetningen av at ICA kan være behandlingsansvarlig for kameraovervåking av posttjenestene i PIB og at personopplysningsforskriften 8 4 tredje ledd hjemler opptak i tre måneder vil ikke Posten ha et reelt behov for å dele behandlingsansvaret for kameraovervåkingen i PIB Etter Postens vurdering må dette tillegges avgjørende vekt i forholdet mellom ICA og Posten Det anføres at det verken er rettslig grunnlag eller behov for å dele behandlingsansvaret for kameraovervåkingen i PIB Det vises til DNBs klage saksnr 12 00853 i tilknytning til bank i butikk heretter BIB der banken argumenterte for en løsning som innebærer at banken kunne få tilgang til kameraopptakene av BIB og PIB ved å inneha rollen som databehandler Posten har ikke tatt stilling til den rettslige anførselen men antar at tilsvarende løsning vil kunne legges til grunn mellom Posten og ICA 6 Datatilsynets vurdering 6 1 Omgjøring av vedtak Tilsynet har foretatt en ny vurdering av saken Datatilsynet har gjennom klagebehandlingen mottatt nye opplysninger i saken hva gjelder ansvarsforholdet mellom ICA og Posten På bakgrunn av de nye opplysningene finner tilsynet grunn til å omgjøre vedtak pkt l b 1 slik at ICA vil kunne anses som behandlingsansvarlig for kameraovervåkingen av posttjenester i post i butikk heretter PIB Personvernnemdas vurderinger i PVN 2013 21 kameraovervåking i bank i butikk heretter BIB vil etter tilsynets vurdering være førende for om ICA kan være behandlingsansvarlig for kameraovervåkingen av finansielle tjenester i PIB Datatilsynet finner ikke grunnlag for å oppheve eller endre øvrige påklagede vedtak og sender derfor saken til Personvernnemnda Personvernnemnda bes om å ta stilling til spørsmålet om kameraopptak fra PIB skal lagres etter personopplysningsforskriften 8 4 tredje ledd postlokale i så fall kan opptakene lagres i tre måneder Datatilsynet er imidlertid av den oppfatning at PIB faller utenfor begrepet postlokale jf pkt 3 i vedtaket Hvis Personvernnemnda deler Datatilsynets vurdering om at PIB ikke er å anse som et postlokale jf personopplysningsforskriften 8 4 tredje ledd er hovedregelen at opptakene må slettes senest etter syv dager 6 2 Innledning Datatilsynet gjennomførte en kontroll mot ICA og deres butikk Rimi Semsbyen den 12 oktober 2012 Kontrollen var rettet mot butikkens kameraovervåking av PIB tjenester Datatilsynet har i samme periode kontrollert to andre butikker hhv Kiwi Sognsveien og Spar Tåsen for kameraovervåking av BIS tjenester Tilsynets vedtak i de sakene er også påklaget og sendt Personvernnemnda i egen oversendelse PVN 2013 21 I PIB lar man utført både posttjenester samt banktjenester finansielle tjenester Med posttjenester menes de leveringspliktige tjenestene Posten plikter å levere jf St meld nr 37 1999 2000 3 I forbindelse med klagebehandlingen fikk tilsynet oversendt driftsavtalen mellom ICA og Posten Denne driftsavtalen regulerer blant annet hvordan ICA skal formidle posttjenestene på vegne av Posten I avtalen pkt 12 3 heter det at Ekspedisjonsstedet må påse at det ved formidling av finansielle tjenester i tilstrekkelig grad klargjøres mot sluttkunde at Ekspedisjonsstedet kun er representant for en finansinstitusjon Finansinstitusjonens navn må oppgis Ekspedisjonsstedet må overfor sluttkunde gi samtlige av de opplysninger til sluttkunde som er forutsatt gitt av finansinstitusjonen i finansavtaleloven Ekspedisjonsstedet må aldri inngå avtaler i eget navn eller på vegne av Posten for så vidt angår ytelse av finansielle tjenester Ekspedisjonsstedet skal ha oppgjørskonto i bank anvist av Posten pt DnB Nor AS Datatilsynet forstår avtalen slik at ICA er databehandler for Posten Posten er igjen databehandler for DNB og DNB er behandlingsansvarlig for de finansielle tjenestene som leveres gjennom PIB Datatilsynet finner det derfor nødvendig å skille mellom kameraovervåking av henholdsvis posttjenester og finansielle tjenester i PIB punktet 6 3 Behandlingsansvarlig for kameraovervåking i PIB vedtak pkt lb 6 3 1 Posttjenester Datatilsynet legger til grunn at det er Posten som er behandlingsansvarlig for de personopplysningene som behandles i forbindelse med formidling av posttjenester Det vises til at PIB er en del av Postens konsesjonspålagte ekspedisjonsnett Det vises videre til vedlegg 2 pkt 3 i avtalen der det heter at Post i Butikk skal levere produkter og tjenester på vegne av Posten Norge AS med de krav til gjeldende kvalitet kompetanse og service beskrevet av Posten ICA vil etter tilsynets vurdering være en databehandler både når de formidler finansielle tjenester og posttjenester i PIB Spørsmålet er om ICA databehandleren kan være behandlingsansvarlig for kameraovervåkingen av Postens behandlingsansvarliges virksomhet Det rettslige utgangspunktet er personopplysningsloven 11 bokstav b som sier Den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet vår understrekning Formålet må etter dette ha en nær og naturlig sammenheng med ICAs virksomhet ICAs virksomhet er å drive butikkhandel med bredt vareutvalg med hovedvekt på nærings og nytelsesmidler ICA har påtatt seg en forpliktelse om å formidle posttjenester på vegne av Posten Spørsmålet som reiser seg er om ICA gjennom de forpliktelsene de har påtatt seg gjennom driftsavtalen fører til at kameraovervåkingen av posttjenestene i PIB kan sies å være saklig begrunnet i ICAs virksomhet jf personopplysningsloven 11 bokstav b Gjennom avtalens pkt 12 1 har ICA påtatt seg det økonomiske ansvaret for postsendingen fra den er mottatt fra Posten til den er utlevert kunden eventuelt returnert Posten eller fra den er innlevert av kunden til den er overlevert til Posten Ved mottak oppbevaring og utlevering av postsendinger og eller utførelse av tjenester i henhold til avtalen forplikter ICA å følge Postens anvisninger Etter avtalens pkt 12 2 har ICA overtatt det erstatningsansvaret som Posten kan komme i etter postloven banktjenesteloven og Postens generelle leveringsvilkår ICA forplikter å være tilfredsstillende forsikret jf avtalens pkt 13 Posten vil dekke ICAs egenandel oppad begrenset til kr 15 000 pr hendelse ved ran innbrudd og eller skade på ting dersom det fremstår som åpenbart at angrepet er rettet mot PIB i den hensikt å ta postale eller finansielle forsendelser og verdisaker fra den ICA svarer for alle øvrige skader på eller i ekspedisjonsstedet ICA oppgir at formålet med kameraovervåking av PIB er for å forebygge og beskytte ansatte kunder og verdier mot blant annet ran bedrageri tyveri og underslag Datatilsynet forstår at for posttjenestene er brev og pakker primært den verdien ICA ønsker å beskytte Det fremstår derfor for tilsynet at ICA har det fulle økonomiske ansvaret for pakker eller brev som forsvinner gjennom bedrageri og underslag Datatilsynet finner av den grunn at kameraovervåkingen av posttjenestene vil kunne saklig begrunnes i ICAs virksomhet ICA vil etter dette kunne være behandlingsansvarlig for kameraovervåkingen av posttjenestene i PIB punktet jf personopplysningsloven 11 bokstav b Tilsynets vedtaks pkt l b faller etter dette bort 6 3 2 Finansielle tjenester Datatilsynet legger til grunn at det er banken som er behandlingsansvarlig for behandling av personopplysninger som skjer når det ytes finansielle tjenester Det er videre klart at i PIB vil ICA utføre banktjenestene på vegne av Posten som igjen formidler oppdraget på vegne av DNB ICA vil i den relasjon anses som en databehandler jf personopplysningsloven 2 nr 5 I brev fra Posten heter det at DnB har det økonomiske ansvaret for tap som følge av kriminelle anslag mot banktjenestene i PIB DnB kan bare søke regress hos Posten i de tilfeller det foreligger uaktsomhet grove tjenestefeil ved utførelsen av banktjenestene ICA ekspedisjonsstedet har gjennom PIB avtalen overtatt dette regressansvar Posten kan komme i overfor DnB Den risikoen som ICA har påtatt seg i forbindelse med formidling av finansielle tjenester i PIB punktet vil etter det tilsynet kjenner til være tilsvarende som øvrige butikker har ved formidlingen av BIB tjenester Tilsynet viser i den anledning til Datatilsynets vurderinger i klagesaken vedrørende kameraovervåkingen av BIB tjenester Personvernnemndas vurderinger i den saken vil derfor være førende for om ICA kan være behandlingsansvarlig for kameraovervåkingen av finansielle tjenester i PIB Datatilsynet har i denne saken ikke tatt stilling til den utlevering av billedopptak som finner sted mellom Posten ICA og DNB Tilsynet legger imidlertid til grunn at den avklaringen som blir foretatt av Personvernnemnda på dette spørsmålet i BIB saken også vil få virkning for en slik utlevering av billedopptak til DNB 6 4 Lagring av kameraopptak av posttjenester i PIB punktet etter personopplysningsforskriften 8 4 tredje ledd Etter personopplysningsforskriften 8 4 tredje ledd heter det Opptak gjort i post og banklokaler skal slettes senest tre måneder etter at opptakene er gjort Spørsmålet blir her om det området der ICA formidler posttjenester er å anse som et postlokale Posten har anført at Det naturlige må være å definere begrepet ut fra om det faktisk foregår post og banktjenester i lokalet ICA hevder på sin side at man har påtatt seg et særlig ansvar overfor Posten for å utføre posttjenester og formålet er derfor det samme for ICA som for Posten I et avklaringsbrev til Posten datert 20 juli 2001 saksnr 2001 2630 2 uttalte Datatilsynet den gang at Når det gjelder den nye organiseringen av Posten postkontorer som erstattes med Post i Butikk anser Datatilsynet det slik at postdelen av disse vil kunne oppfattes som postlokale Billedopptak herfra vil dermed kunne oppbevares i inntil tre måneder Datatilsynet har i løpet av kontrollen innhentet en rekke opplysninger om PIB konseptet Det være seg hvordan konseptet er gjennomført herunder ansvarsfordelingen samt konseptets utbredelse Datatilsynet ser at det har skjedd en utvikling siden reglene om utvidet lagringstid for post og banklokale ble etablert Innen utgangen av 2014 vil antall tradisjonelle postkontor i Norge være redusert til 30 mens antall PIB kommer til være på totalt 1390 Det er altså en dreining fra de tradisjonelle postkontorene til at posttjenestene blir formidlet i tilknytning til annen tjenesteyting og av andre aktører enn Posten Etter tilsynets vurdering er begrepet postlokale jf personopplysningsforskriften 8 4 tredje ledd kun ment å favne de tradisjonelle postkontorene der både posttjenester samt finansielle tjenester ble formidlet Den betydelige faren

    Original URL path: http://www.personvernnemnda.no/vedtak/2014_04.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    EMK krever Dette har ingen relevans i klagesaken Også etter EMK 8 vil det måtte foretas en interesseavveining helt på linje med den avveining som må skje etter personopplysningsloven En annen sak er at ved den interesseavveiningen som også Datatilsynet må akseptere at skal skje etter 9e så vil det være relevant at den konkrete interesseavveiningen loven gir anvisning gjøres slik at Norge oppfyller sin forpliktelse med hensyn til å ha fastsatt en lovgivning som i tilstrekkelig grad beskytter den private sfære I pkt 3 2 2 foretar Datatilsynet en generell vurdering av utredningsvirksomheten Denne vurderingen har ikke noen relevans i forhold til klagesaken Datatilsynet legger selv til grunn at Gjensidiges generelle utredningsvirksomhet vil kunne være lovlig etter personopplysningsloven Dette spørsmålet er derfor ikke påklaget Det kan selvfølgelig oppstå en situasjon hvor Datatilsynet er av den oppfatning at Gjensidiges rutiner omkring den generelle utredningsvirksomheten er beskrevet slik at den konkrete anvendelsen ikke vil være i samsvar med personopplysningsloven Det kan igjen føre til at Datatilsynet gir et konkret pålegg om innholdet i klagers internkontrollsystem som Gjensidige så igjen kan påklage dersom selskapet er uenig Hvorvidt Datatilsynet mener at 9e oppfyller EMK art 8 eller ikke er imidlertid ikke relevant for klagesaken Hvis ikke 9e er i samsvar med EMK art 8 så kan Norge evt bli dømt av EMD hvis noen velger å reise sak mot Norge for EMD for ikke å ha sikret tilstrekkelig lovgivning Det er imidlertid en helt annen problemstilling enn den som klagesaken gjelder men det skal likevel påpekes at borgerne i Norge er beskyttet gjennom strenge regler for behandling av personopplysninger og at den interesseavveiningen som skal gjøres etter 9e også gjør at lovverket bare vil tillate behandling som er strengt nødvendig og sikrere borgerne proporsjonalitet i den behandlingen som foretas slik at kravene i EMK art 8 vil være oppfylt I pkt 3 2 3 foretar Datatilsynet vurderingen av skjult observasjon skjult lyd og bildeopptak i forhold til 9e Overskriften til punktet indikerer at Datatilsynet utelukkende vurderer om 9e er anvendelig eller om det kreves særskilt lov Datatilsynet angir dermed på generelt grunnlag at det ikke er adgang til en konkret interesseavveining etter 9e når det gjelder slike forhold Dette er feil lovanvendelse Som begrunnelse henviser Datatilsynet til at de samme forhold som er påberopt under pkt 3 2 2 gjør seg i enda sterkere grad gjeldende for skjult observasjon mv Pkt 3 2 2 er Datatilsynets begrunnelse for at personopplysningsloven 9e kan være i strid med EMK art 8 Når denne henvisningen benyttes i pkt 3 2 3 må den forstås slik at Datatilsynet mener at det å hjemle skjult observasjon etc i 9e alltid vil innebære at lovgivningen i Norge ikke er tilstrekkelig til å verne den private sfæren i samsvar med EMK art 8 Dette er ikke riktig Etter EMK art 8 må det som nevnt også foretas en konkret interesseavveining som er helt sammenfallende med den interesseavveining som må foretas etter personopplysningsloven Det foreligger ikke grunnlag for å hevde at all skjult observasjon mv vil innebære en overtredelse av den private sfære etter EMK Det presiseres imidlertid at det ikke en noen uenighet om at Gjensidiges interesse i å innhente personopplysninger må være sterkere begrunnet dess mer inngripende et tiltak er Klagesaken dreier seg imidlertid ikke om dette Den dreier seg utelukkende om hvorvidt Datatilsynet på helt generelt grunnlag kan nekte Gjensidige i å angi en interesseavveining i sitt internkontrollsystem Klager mener at Datatilsynet ikke har en slik adgang Det er riktig som Datatilsynet angir at domstolene i enkelte avgjørelser har angitt at spesifikke videopptak osv er fremskaffet på utilbørlig måte og således nektet bevisføring Dette er imidlertid på helt spesifikke rettsområder som er helt annerledes enn det klagesaken gjelder Domstolene foretar dessuten da en slik interesseavveining som ligger i 9e Datatilsynet støtter seg i tredje siste avsnitt på side 10 2 til Politimetodeutvalgets uttalelse i NOU 2004 6 Henvisningen er misvisende I innledningen i pkt 10 2 1 sier utvalget I den utstrekning politiet bruker forebyggende metoder over noe lenger tid har metodebruken vært basert på den alminnelige handlefrihet som hjemmel Dette gjelder de observerende metoder som overvåking spaning og sparing og de manipulerende metoder som infiltrasjon og provokasjon I praksis har grensene for hva politiet kan foreta seg vært trukket ved det straffbare Det har endog vært hevdet at den uskrevne rettsstridsreservasjon i noen grad åpner for at politiet kan begå straffbare handlinger som ett ledd i polititjenesten Når norsk rett i tillegg har trukket snevre grenser for hvilke inngrep i den private sfære som rammes av straffebestemmelser er resultatet blitt at politiet har hatt anledning til å gå langt med den alminnelige handlefrihet som hjemmel se kapittel 4 4 På denne bakgrunn vurderes det hvorvidt politiets metodebruk bør lovreguleres Politimetodeutvalget valgte ut fra en rekke forhold å foreslå lovregulering av metodene Disse vurderingene er imidlertid ikke relevante som begrunnelse for å angi at Gjensidiges praksis med i enkelte unntakstilfeller å foreta skjult observasjon mot en konkret person etc når det foreligger begrunnet mistanke om svik vil være i strid med EMK art 8 og således forbudt etter personopplysningsloven 9e På denne bakgrunn blir heller ikke henvisningen til kontrollbestemmelser for Tollvesenet eller hva Datatilsynet mener Stortinget bør vurdere særlig relevant Klager fastholder således at det ikke kan være særlig tvilsomt at personopplysningsloven 9e kan hjemle skjult observasjon mv Hvorvidt det i konkrete tilfeller vil være adgang til dette vil måtte avgjøres ut fra en interesseavveining hvor også forhold som EMK art 8 er ment å ivareta kommer inn i vurderingen Vedtak 3 Virksomheten må ikke behandle personopplysninger som ikke er nødvendig og relevante for formålet med behandlingen eller som ikke har tilfredsstillende kvalitet jf personopplysningslovens 11 d og e Det vises til kontrollrapportens pkt 6 2 3 Det fastholdes at dette vedtaket ikke oppfyller kravene til et enkeltvedtak i forvaltningsloven og at det dermed må utgå Som begrunnelse vises det til klagen og til det som er angitt foran i pkt 2 om dette spørsmålet i tilknytning til vedtak 2 Dersom Datatilsynets mening utelukkende har vært å si noe om hva Gjensidiges internkontrollsystem må inneholde så må også vedtaket oppheves av den grunn Også her vises det til den begrunnelsen som er angitt foran i pkt 2 Datatilsynet har truffet et pålegg om Gjensidiges behandling av personopplysninger med utelukkende å foreta en henvisning til loven Datatilsynet henviser så i tillegg til pkt 6 2 3 som inneholder Datatilsynets anbefalinger synspunkter problemstillinger lovforståelse samt noen konkrete krav til hva kontrollsystemet skal omfatte Klagers poeng er at selve vedtaket må oppheves fordi det ikke tilfredsstiller kravene til et enkeltvedtak I klagen har Gjensidige imidlertid også sett det naturlig å kommentere enkelte av de synspunkter som Datatilsynet legger til grunn for sin virksomhet Klager synes det er naturlig at Personvernnemda i klagesaken også tar Gjensidiges vurderinger av sitt internkontrollsystem Det fremkommer ikke av vedtaksbrevet eller rapporten at Datatilsynet pålegger Gjensidige på generelt grunnlag å stanse sin praksis i forbindelse med utredningsvirksomheten ut fra nødvendighet relevans og kvalitet ved utredningsvirksomheten jf personopplysningsloven 11 Datatilsynet uttaler seg heller ikke kategorisk om dette I pkt 6 2 3 5 i kontrollrapporten skriver Datatilsynet på side 14 Det er først og fremst den behandlingsansvarlige som skal vurdere hvilke opplysninger som er relevante og nødvendige for den aktuelle behandlingen Det er også den behandlingsansvarlige som skal vurdere hvorvidt en opplysning har tilfredsstillende kvalitet for det formålet den behandles for Disse vurderinger skal reflekteres i de rutiner som pliktes etablert I kontrollrapportens pkt 6 2 3 3 synes heller ikke Datatilsynet å ha konkrete merknader til Gjensidiges dokument Retningslinjer for bruk av observasjon som metode ved utredning og bruk av foto video som dokumentasjon I kontrollrapporten vurderte Datatilsynet to saker hvor Gjensidige i den ene saken hadde benyttet filming som metode I tilknytning til dette uttrykker Datatilsynet på side 4 i vedtaksbrevet følgende Innledningsvis vil Datatilsynet understreke at det ikke har tatt stilling til nødvendigheten og relevansen av de opplysningene som var registrert i de to enkeltsakene som det ble gitt innsyn i og som har vært referert i pressen I oversendelsesbrevet synes Datatilsynet nettopp å ta stilling til forholdet Avslutningsvis i pkt 4 skriver Datatilsynet Det må derfor kunne antas at gjeldende bestemmelser forsikringsavtaleloven gir tilfredsstillende muligheter for selskapene til å opplyse helseforhold i konkret sak og at bruk av skjult observasjon og skjult lyd og bildeopptak derved ikke er nødvendig i denne forbindelse Klager er av den oppfatning at Datatilsynet her tar feil Det bes om Personvernnemndas vurdering av dette Dersom Personvernnemnda skulle være enig i Datatilsynets juridiske vurderinger og eventuelt også opprettholde vedtak 3 så bes Personvernnemnda klargjøre om vedtak 3 da isolert sett også skal sees på som et konkret pålegg om stans av alle lyd og billedopptak Klager mener at vedtak 3 ikke kan forstås slik jf Datatilsynets egen begrunnelse hvor Datatilsynet synes mene at dette bare skal forstås som et krav til internkontrollsystemet For øvrig så referer Datatilsynet i oversendelsesbrevet i stor utstrekning til NAVs kontrollmulighet osv og viser blant annet til folketrygdlovens 21 4a Dette blir også lite relevant Bestemmelsen det refereres til er først og fremst ment å hjemle NAVs rett til kreve opplysninger fra tredjeparter og gjennomføre kontroller også hos disse Bestemmelsen står i tilknytning til en rekke andre bestemmelser som gir NAV utstrakte muligheter som Gjensidige ikke har og som er svært inngripende Det at lovgiver så ikke har lovregulert NAV sin rett til å foreta utredninger filming etc kan ikke brukes som argumenter for at Gjensidiges meget begrensede bruk av observasjon med nedtegning og lagring av det som observeres eventuelt filming skal være forbudt Sammenlign for øvrig forholdet rundt Politimetodeutvalget som er omtalt i pkt 2 foran hvor utvalget foreslo å regulere metodebruken i politiet nettopp fordi alminnelige handlefrihet la få begrensninger på politiet Vedtak 10 Selskapet må innen 1 mars 2014 bekrefte skriftlig overfor Datatilsynet at påleggene som nevnt i punkt 1 9 er gjennomført Manglende bekreftelse vil medføre at Datatilsynets konsesjon av 25 juli 2005 ikke lenger kan anses å være gyldig Bortsett fra at punkthenvisningene i vedtakets første setning må endres dersom Gjensidiges klage på punkt 2 og 3 tas til følge gjelder klagen reelt sett bare andre setning Denne setningen fremstår ikke som noe vedtak men som en ren opplysning I oversendelsesbrevet angir Datatilsynet at Datatilsynet har hatt grunnlag for å trekke tilbake konsesjonen i medhold av både forvaltningsloven 35 første avsnitt litra c og personopplysningsloven 46 Det at Datatilsynet hjemler det betingede vedtaket om tilbaketrekking av konsesjonen i personopplysningsloven er nytt for Gjensidige Dette nødvendiggjør merknader vedrørende Datatilsynets saksbehandling I varsel om vedtak av 17 juni 2013 ble det i pkt 2 varslet om at Datatilsynet ville trekke tilbake konsesjonen som var gitt til Gjensidige den 25 7 2005 Dette var utelukkende en varsling og således ikke noe vedtak Hjemmelen for å trekke tilbake konsesjonen ble ikke oppgitt Det er av helt sentral betydning for Gjensidige at det ikke skapes usikkerhet omkring selskapets rett til å drive forsikringsvirksomhet og å behandle personopplysninger At Gjensidige som andre kan trå feil i vurderinger etter personopplysningsloven er et helt annet forhold enn når Datatilsynet skaper usikkerhet omkring Gjensidiges mulighet til å drive forsikringsvirksomhet Gjensidige reagerte på dette og i sin uttalelse vedla selskapet også en utredning som påviste at Datatilsynet ikke har adgang til å tilbakekalle konsesjonen etter personopplysningsloven når dette ikke er fastsatt som virkemiddel i personopplysningsloven 46 I en rekke andre konsesjonslover er det som påvist i utredningen lovfestet spesifikt at man kan tilbakekalle konsesjon Da Datatilsynet traff sitt endelige vedtak vedrørende konsesjonsspørsmålet oppfattet Gjensidige ikke dette som et vedtak om tilbaketrekking av konsesjonen Andre setning i vedtak 10 er ikke formulert som et vedtak I vedtaksbrevet anføres det utelukkende at Datatilsynet er av den oppfatning at Datatilsynet mener at Datatilsynet har hjemmel til trekke konsesjonen tilbake etter forvaltningsloven 35 første ledd litra c Begrunnelsen fra Datatilsynet var følgende jf side 16 vedtaksbrevet I dette tilfelle mener imidlertid Datatilsynet at det foreligger en tilblivelsesmangel ved konsesjonsvedtaket som medfører at det blir ugyldig og derved kan gjøres om etter forvaltningsloven 35 første ledd litra c Datatilsynet påberoper seg således en tilblivelsesmangel samtidig som Datatilsynet viser til at tilsynet har en klar hjemmel i personopplysningslovens 46 til å pålegge opphør av en ulovlig behandling Personopplysningsloven ble således ikke påberopt som grunnlag for å kunne tilbaketrekke konsesjonen Gjensidige oppfattet derfor andre setning i vedtaket utelukkende som en ren informasjon om en lovforståelse Gjensidige var svært kritisk til en slik håndtering av vitale spørsmål for selskapet Gjensidige fant likevel bare å ville påpeke sin forståelse av vedtaket i klagen I e mail av 5 12 2013 kl 13 34 informerte Datatilsynet Gjensidige om at vedtaksbrevet måtte forstås slik at det det var truffet betinget vedtak om bortfall av konsesjonen Hjemmelsgrunnlaget ble ikke angitt og Gjensidige har lagt til grunn at Datatilsynet dermed mente å ha truffet et vedtak etter forvaltningsloven 35 første ledd litra c Gjensidiges supplering til klagen med imøtegåelse i forhold til forvaltningsloven 35 første ledd litra c ble gitt i Gjensidiges brev av 10 12 2013 På denne bakgrunn må det være klart at Datatilsynets betingede vedtak ikke er truffet med hjemmel i personopplysningsloven 46 Det er uforståelig for klager at Datatilsynet på side 13 i oversendelsesbrevet kan mene at innledningen av vedtaket er en tilstrekkelig påvisning av at vedtaket er truffet i medhold av 46 Datatilsynet kan i og for seg være av den oppfatning at personopplysningsloven 46 hjemler en mulighet til å trekke tilbake konsesjonen men vedtaket ble åpenbart ikke vurdert i forhold til denne bestemmelsen da det ble truffet Hvis Personvernnemnda er av den oppfatning at forvaltningsloven 35 første ledd litra c ikke hjemler tilbaketrekking av konsesjonen i dette tilfelle så må Datatilsynets vedtak derfor oppheves slik at det eventuelt blir foretatt en ny behandling hvor Datatilsynet foretar en vurdering etter personopplysningsloven 46 Forøvrig mener klager uansett at personopplysningsloven 46 ikke hjemler tilbaketrekking av konsesjonen Datatilsynet skriver videre på side 13 i oversendelsesbrevet Vi beklager at vi i saksbehandlingen ikke har vært tydelig med hensyn til det rettslige grunnlaget for tilbaketrekkingen Datatilsynet har ikke vært tydelig på hvorvidt det er truffet et reelt enkeltvedtak eller ikke Datatilsynet har imidlertid ikke vært uklar med hensyn til hjemmelen for tilbaketrekking Det vises til formuleringen i vedtaksbrevet som knytter forvaltningsloven 35 første avsnitt litra c til spørsmålet om tilbaketrekking og spørsmålet om å gi pålegg til personopplysningsloven 46 I forhold til de to hjemmelsgrunnlag som Datatilsynet påberoper seg for sitt betingede vedtak om tilbaketrekking av konsesjonen skal det for øvrig gis følgende tilleggsmerknader Pålegg om opphør etter personopplysningsloven 46 Det er ingen uenighet om at Datatilsynet kan gi pålegg om at en ulovlig behandling skal opphøre Dette er imidlertid ikke relevant i forhold til spørsmålet om å trekke en konsesjon tilbake Datatilsynet skriver på side 16 i vedtaksbrevet Datatilsynet er enig i at det å trekke tilbake en tillatelse som reaksjon på lovstridige handlinger etter omstendighetene kan være å anse som en straffesanksjon som krever hjemmel i lov I dette tilfelle mener imidlertid Datatilsynet det det foreligger en tilblivelsesmangel ved konsesjonsvedtaket Dette kan vanskelig forstås annerledes enn at Datatilsynet mener at hvis det ikke foreligger tilblivelsesmangel så kreves det hjemmel i lov Dette er klager enig i men tilblivelsesmangelen er bare relevant i forhold til forvaltningsloven 35 første avsnitt litra c og ikke personopplysningsloven 46 Paragraf 46 hjemler ikke at konsesjonen kan trekkes tilbake som en sanksjon mot en overtredelse Det foreligger derfor heller ikke noen hjemmel i loven for å trekke konsesjonen tilbake Legalitetsprinsippet som Datatilsynet er underlagt er derfor ikke oppfylt Klager kan heller ikke se at hensynet til Gjensidige er tilfredsstillende ivaretatt slik Datatilsynet skriver øverst på side 14 i oversendelsesbrevet Hvis det betingede vedtaket skal forstås slik Datatilsynet mener så betyr det at konsesjonen er trukket tilbake dersom Gjensidige ikke har et internkontrollsystem i samsvar med loven eller for øvrig ikke behandler personopplysninger i samsvar med regelverket Dette må også sees i lys av at Datatilsynet selv mener at personopplysningsloven inneholder en rekke skjønnsmessige vurderinger Som følge av dette kan det selvfølgelig hende at Gjensidige i visse situasjoner trår feil i tolkningen i forhold til det som etter Datatilsynets oppfatning er lovens krav Det vil være helt umulig for Gjensidige å forholde seg til at konsesjonen da automatisk skal anses for være trukket tilbake Det er da heller ingen av Gjensidiges konkurrenter som har et slikt krav på seg Det bryter med likebehandling i forhold til selskapene og Datatilsynet får gjennom et slikt vedtak et helt generelt virkemiddel spesifikt i forhold til Gjensidige dersom selskapet ikke overholder pålegg hjemlet i personopplysningsloven 46 Dersom Datatilsynet mente å ha hjemmel til å trekke tilbake konsesjonen så ville det korrekte alternativet ha vært å avvente dette spørsmålet inntil det ble klarlagt hvorvidt Gjensidige etterkom Datatilsynets pålegg Først da kunne det vurderes hvilke konkrete forhold som ikke var i samsvar med Datatilsynets pålegg og som kunne begrunne en så vidtgående sanksjon fra Datatilsynet som det å trekke tilbake konsesjonen For øvrig vises det til det som det er redegjort for i Gjensidiges brev av 30 7 2013 og til notatet som fulgte vedlagt brevet Forvaltningsloven 35 første avsnitt litra c Datatilsynet skriver i sitt oversendelsesbrev at Vi vil understreke at vi ikke har vurdert konkludert med hensyn til om konsesjonen var ugyldig allerede på vedtakstidspunktet slik selskapet synes å legge til grunn Når Datatilsynet ikke konkluderer på dette punktet så betyr det at Datatilsynet er pliktig til å legge til grunn for sin vurdering at internkontrollsystemet hos Gjensidige var i samsvar med personopplysningsloven i 2005 Det foreligger da ikke grunnlag for noen beslutning etter forvaltningsloven 35 første avsnitt litra c I fortsettelsen av dette synes Datatilsynet å legge til grunn at det i denne saken likevel kan treffes vedtak om omgjøring etter nevnte bestemmelse dersom konsesjonsvilkår ikke er overholdt eller personopplysningsloven er overtrådt etter 2005 Dette er ikke riktig lovanvendelse Det siste er et spørsmål om tilbaketrekking av en gyldig gitt konsesjon som må avgjøres ut fra hvorvidt det foreligger spesifikk lovhjemmel for slik tilbaketrekning Slikt lovgrunnlag finnes ikke i forhold til konsesjoner etter personopplysningsloven og det vises i den forbindelse til den redegjørelsen som er gitt i Gjensidiges brev av 30 7 2013 med vedlegg og Gjensidiges supplerende klage av 10 12 2013 5 Datatilsynets vurdering 5 1 Om vedtakets punkt 2 og 3 grunnkravene i 11 I klagen bestrider selskapet at vedtakets punkt 2 og 3 representerer enkeltvedtak i tråd med forvaltningsloven 2 første ledd bokstav b Selskapet viser i den forbindelse til at pålegget ikke sier noe mer enn det som følger direkte av loven og derved ikke i seg selv er bestemmende for selskapets rettigheter og plikter Datatilsynet forstår at selskapet stiller spørsmål ved om disse punktene isolert representerer enkeltvedtak Det kan etter tilsynets oppfatning være vel så naturlig å se på dem som en utdypning eller konkretisering av punkt l om å etablere internkontroll for selskapets behandling av personopplysninger slik at internkontrollen også skal omfatte rutiner knyttet til grunnkravene i personopplysningslovens 11 Rettsvirkningen er den samme som om det forelå flere separate vedtak At punktene 1 til 11 samlet utgjør et enkeltvedtak kan det etter tilsynets vurdering ikke være tvil om Påleggene må ses samlet og leses i lys av de vurderinger og konklusjoner som gis i den kontrollrapporten som følger vedtaket og som det vises konkret til Der beskriver tilsynet nærmere hvilke faktiske forhold som legges til grunn Tilsynet beskriver også hvilke konkrete bestemmelser som kommer til anvendelse og hvordan tilsynet tolker disse Endelig følger tilsynets subsumpsjon med hensyn til hvorvidt bestemmelsene er brutt eller ikke Når det konstateres brudd på lovens bestemmelser må pålegget forstås som en beslutning om at selskapet må foreta visse handlinger for å bringe behandlingen i lovlige former Det besluttes i tillegg at selskapet skal gi tilsynet en erklæring om at disse handlingene er gjennomført Endelig er det satt en konkret frist for ovennevnte Samlet sett utgjør dette et pålegg som er bestemmende for den behandlingsansvarliges plikter og derved representerer et enkeltvedtak Tilsynet vil for øvrig bemerke at det ligger en bevisst vurdering bak praksisen med å fatte generelle vedtak om å etablere et internkontrollsystem Det vises for det første til at det er den behandlingsansvarliges vurderinger som skal reflekteres i internkontrollsystemet Ofte vil det være en forutsetning at man har fagkunnskap både om den aktuelle behandlingen og det omkringliggende regelverk for å vurdere hvordan lovens grunnkrav kan ivaretas ved en konkret behandling Dersom en kontroll avdekker at den behandlingsansvarlige ikke har gjort de nødvendige vurderingene eller at de er mangelfulle eller uriktige overlater vi derfor til den behandlingsansvarlige selv å gjøre vurderingene på nytt Videre vises det til at lovens krav om internkontroll og informasjonssikkerhet kan ivaretas på mange ulike måter Det er den behandlingsansvarlige som står nærmest til å vurdere hvordan virksomheten på en hensiktsmessig måte ivareta disse pliktene Endelig vises det til at tilsynet ikke har nødvendige ressurser til å beskrive en fullstendig internkontroll eller gi nærmere bestemmelser for informasjonssikkerheten i den enkelte virksomhet Tilsynet tilbyr selvsagt løpende veiledning til den kontrollerte virksomheten med hensyn til hvordan de skal innrette seg for å oppfylle personopplysningslovens krav i fremtiden Selv om denne type vedtak kan være vanskelig tilgjengelige slik Gjensidige peker på i sin klage mener tilsynet allikevel at dette er den mest hensiktsmessige måten å gå frem på Tilsynet mener også at praksisen er i tråd med forvaltningslovens bestemmelser og ulovfestede prinsipper for god forvaltningsskikk 5 2 Om vedtakets punkt 10 bortfall av konsesjonen I klagen skriver selskapet at det ikke oppfatter punkt 10 i vedtaket som et vedtak men en opplysning Selskapet mener at bortfall av konsesjon må fattes særskilt og med selvstendig klagerett når en eventuell situasjon oppstår Datatilsynet mener at det ble fattet et betinget vedtak om bortfall av konsesjon den 20 september 2013 5 3 Krav om behandlingsgrunnlag Dette spørsmålet gjelder rekkevidden av personopplysningsloven 9 bokstav e for selskapets behandling av opplysninger om helseforhold i forbindelse med selskapets utredning av om det foreligger svik eller forsøk på svik i enkeltsak 5 3 1 Datatilsynets vedtak 5 3 1 1 Lovforståelsen I vedtaket la Datatilsynet til grunn at personopplysningslovens 11 jf 8 og 9 kommer til anvendelse på selskapets utredningsvirksomhet Tilsynet vurderte det slik at utredningsvirksomheten kan i hjemles i 9 bokstav a lovhjemmel for den delen som er nærmere beskrevet i forsikringsavtaleloven Utredningsvirksomhet som går utover det som er særskilt hjemlet kan ha behandlingsgrunnlag i 9 litra e rettskravalternativet dersom behandlingen er nødvendig og forholdsmessig idet enkelte tilfellet Det å benytte skjult observasjon og skjult lyd og videopptak for å dokumentere noens helseforhold er et så inngripende tiltak at rettskravalternativet ikke kan benyttes Dette er en type tiltak som krever hjemmel i egen lov jf 9 bokstav a 5 3 1 2 Det faktiske grunnlaget Tilsynet la selskapets utredningsvirksomhet slik den er beskrevet i kontrollrapporten til grunn for tilsynets vurderinger av hvilket behandlingsgrunnlag som kreves I klagen har selskapet gitt en beskrivelse som avviker noe fra dette Tilsynet antar at selskapet her beskriver en best practice og at det er denne som nå ønskes vurdert opp mot vilkårene i personopplysningsloven 9 litra e I det følgende legger tilsynet derfor til grunn at skjult observasjon og skjult lyd og bildeopptak bare skjer som beskrevet av selskapet i de tilfeller hvor det foreligger kvalifisert mistanke om svik eller forsøk på svik at observasjonen er dokumentbasert og ledelsesforankret og bare iverksettes når andre metoder er prøvd uten at det har opplyst saken tilfredsstillende Det er uansett tilsynets lovanvendelse som er påklaget 5 3 2 Selskapets anførsler og tilsynets vurderinger 5 3 2 1 Hvorvidt legalitetsprinsippet gjelder I klagen anføres det at legalitetsprinsippet ikke gjelder i dette tilfellet Det vises til at vi ikke er på forvaltningsrettens eller strafferettens område men på privatrettens område Tilsynet er av den oppfatning at personverndirektivet kan sies å oppstille et legalitetsprinsipp som er kodifisert i norsk rett gjennom personopplysningslovens 11 jf 8 og 9 Bestemmelsene må forstås slik at det er forbudt å behandle personopplysninger med mindre det foreligger et behandlingsgrunnlag Hvilket behandlingsgrunnlag som kreves i det enkelte tilfellet må bero på en konkret vurdering av hvor tungt tiltaket griper inn i den registrertes personvern jo mer inngripende tiltaket er jo sterkere og klarere må behandlingsgrunnlaget være Tilsynet vil også peke på EMK art 8 hvoretter inngrep i den enkeltes private sfære krever hjemmel i lov Lovkravet er relativt slik at kravet til lovens klarhet og styrke vil variere med inngrepets art og omfang Bestemmelsen pålegger staten en positiv plikt til å etablere tiltak for å sikre den enkeltes rett til privatliv i enhver relasjon Lovkravet gjelder ikke bare for slike inngrep som staten selv utfører men også for inngrep som virksomheter og privatpersoner kan tenkes å utføre Også personopplysningslovens bestemmelser må leses i lys av vilkårene i denne arten 5 3 2 2 Hvorvidt utredningsvirksomhet kan ha grunnlag i 9 bokstav e eller krever hjemmel i egen lov Utredningsvirksomhet har ikke et fast definert innhold og vil kunne omfatte mer eller mindre inngripende tiltak som innebærer en behandling av personopplysninger med det formål å fastslå et forsikringskrav eller å avdekke svik eller forsøk på svik Utredningsvirksomheten er bare delvis kontrollert og beskrevet i kontrollrapporten Rapporten gjelder direkte bare ett selskap og bare deler av utredningsvirksomheten er behandlet særskilt saker som gjelder medisinske forhold Det reelle omfanget og den faktiske metodebruken i bransjen er derved delvis uavklart Forsikringsbransjens utredningsvirksomhet har vokst gradvis frem i regi av selskapene selv og med støtte fra bransjens organisasjoner uten at lovgiver har vært direkte involvert Utredningsvirksomheten har heller ikke vært beskrevet nærmere for tilsynet i forbindelse med selskapenes søknader om konsesjon til forsikringsvirksomhet jf personopplysningsforskriftens 7 2 Tilsynet har derved ikke hatt grunnlag for å regulere slik virksomhet nærmere i forsikringskonsesjonen Bransjen har vært åpen om at den bedriver denne type virksomhet både gjennom mange oppslag i pressen om resultater av slike utredninger og gjennom at bevis som er hentet inn gjennom utredningsvirksomhet er lagt frem for domstolene Omfang og metodebruk har vært og er under stadig utvikling Datatilsynet antar at bransjen langt på vei har god støtte i befolkningen hos domstolene hos lovgiver og i det politiske miljøet for slik virksomhet Også tilsynet mener at selskapenes interesser er klart berettigede og har derfor lagt til grunn at utredningsvirksomhet i en viss utstrekning er lovlig At utredningsvirksomheten i praksis kan gripe tungt inn i personvernet til den som får sine forhold utredet og til personer i dennes omkrets er på det rene Det vises her blant annet til at domstolene i flere tilfeller har funnet at utredningen har vært gjennomført på utilbørlig måte jf tvisteloven 22 7 Tilsynet mener at det er grunn til å stille spørsmål ved om personopplysningsloven 9 bokstav e tilfredsstiller lovkravet i EMK art 8 og personopplysningsloven 11 for selskapets utredningsvirksomhet som sådan De beste grunner taler for at utredningsvirksomheten undergis en klarere regulering og demokratisk forankring Dette begrunnes i det følgende Hensynet til forutberegnelighet for den enkelte Personopplysningsloven er svært generell og gir liten praktisk veiledning vedrørende forsikringsselskapenes utredningsvirksomhet Loven gir derved liten forutberegnelighet for den enkelte registrerte med hensyn til hvilke tiltak man kan forvente at forsikringsselskapene iverksetter overfor en selv og hvilke rettigheter man i så fall har iden forbindelse Det vises her også til at forutberegnelighet er et helt sentralt vilkår etter EMK art 8 Hensynet til forholdsmessighet nødvendighet At personopplysningsloven er så vidt uklar medfører også en risiko for at selskapene legger til grunn en uriktig lovforståelse og at det derved iverksettes tiltak som ikke er forholdsmessige i det enkelte tilfellet I foreliggende kontrollsak er det for eksempel avdekket at selskapet uriktig har lagt til grunn at personopplysningsloven eller annet regelverk ikke gjelder for skjult observasjon og skjult lyd og videoopptak I forlengelsen av dette er det et problem at loven gir anvisning på at den behandlingsansvarlige selv skal foreta sentrale skjønnsmessige vurderinger herunder av om en behandling har behandlingsgrunnlag jf 11 jf 8 og 9 bokstav e Når selskapene skal veie sine egne konkrete økonomiske interesser opp mot de mer ideelle interessene til den som får sine forhold utredet oppstår det en åpenbar fare for at avveiningen blir ubalansert i selskapets favør Tilsynet mener at de ulike hensyn bør identifiseres og avveies i en demokratisk prosess og eventuelt reguleres nærmere i en egen lov Dette vil sikre en forholdsmessighetsvurdering som er mer opplyst og balansert Det vises her til at forholdsmessighet også er grunnvilkår etter EMK art 5 Behovet for effektiv kontroll og håndhevelse Tilsynet vil peke på at håndhevelsen av personopplysningsloven er relativt svak Det vises for det første til at det foreligger en svært lav risiko for at vi vil avdekke ulovlige tiltak i enkelttilfeller Videre vises det til at det i praksis er vanskelig å konkludere med at personopplysningslovens skjønnsmessige bestemmelser er brutt på en slik måte at det kan iverksettes sanksjoner Datatilsynets overtredelsesgebyrer er uansett så lave at det vil være økonomisk regningssvarende for selskapene å bryte loven i det enkelte tilfellet Dette gjelder særlig når opplysningene uansett tillates ført som bevis for domstolene både i sivile saker og i straffesaker Tilsynet frykter at dette påvirker selskapenes vilje til å etterleve loven Tilsynet mener at en nærmere konsesjonsregulering av slik virksomhet ikke tilfredsstillende avhjelper disse svakhetene ved loven Uansett mener tilsynet at tillatelse til så inngripende tiltak som skjult observasjon og skjult lyd og videopptak ikke bør gis som enkeltvedtak Etter tilsynets oppfatning er det en lovgiveroppgave Andre interesser og hensyn enn personverndirektivet ivaretar Deler av utredningsvirksomheten utfordrer andre interesser enn de som åpenbart er vernet av personverndirektivet og personopplysningsloven Det antas for eksempel at ren observasjon uten noen form for registrering av personopplysninger kan komme i strid med det ulovfestede personvernet Også dette er tiltak som må vurderes i lys av vilkårene i EMK art 8 Provokasjonslignende tiltak og konfrontasjon bør dersom det skal være tillatt kompenseres med klare rettigheter for den som utredes Det vises her til at det foreligger en åpenbar ubalanse i styrkeforholdet mellom den som utredes og det enkelte forsikringsselskapet Den som utredes har i dag har ikke partsrettigheter før det eventuelt foreligger en tvist som medfører at tvisteloven kommer til anvendelse eller at vedkommende siktes i henhold til straffeprosessloven Det er problematisk ettersom utredningen ofte gjennomføres før det har oppstått en tvist eller det tas ut siktelse og at de fleste saker finner sin løsning uten at domstolene involveres I Advokatforeningens årstale i 2008 uttalte foreningens leder bekymring over at utredningsvirksomhet skjer i et rettssikkerhetsmessig tomrom idet hun viste til at domstolene tillater at bevis hentet inn på denne måte blir tillatt ført både i sivile saker og straffesaker Fremtidig utvikling Det er grunn til å tro at kriminalitetsutviklingen og den teknologiske utviklingen gjør at konflikten mellom selskapenes interesser og personverninteressene stadig skjerpes Bransjen selv opplyser at det skjer en vekst i antall sviksaker at beløpene blir større at sakene blir mer komplekse og at det tas i bruk mer raffinerte metoder for å gjennomføre svik Dette vil trolig føre til at bransjen ser seg nødt til å styrke egen innsats mot slik virksomhet ytterligere både i omfang og metodebruk Om tvistelovens betydning I klagen skriver selskapet at det er tvisteloven 22 7 om bevisavskjæring som danner en ytre grense for forsikringsselskapenes virksomhet Selskapet kan ikke høres med at tvisteloven nærmest opphever personopplysningslovens betydning som ytre ramme for deres innhenting av personopplysninger Løsningen vil åpenbart være uholdbar særlig i de mange tilfeller som aldri blir gjenstand for domstolenes forholdsmessighetsvurdering fordi saken avsluttes på et tidligere stadium Tvisteloven regulerer ikke selskapets innhenting av personopplysninger men hvorvidt allerede innhentede opplysninger skal kunne legges frem for domstolen Bestemmelsene anvendes på ulike stadier i en forsikringssak og retter seg mot ulike lovanvendere Det vil gjennomgående også være noe ulikt faktum som ligger til grunn for vurderingene og det vil også være rom for å legge vekt på andre hensyn etter tvisteloven 22 7 enn etter personopplysningslovens 11 jf 8 og 9 for eksempel hensynet til en effektiv domstolsbehandling Selskapet har lagt frem en rekke norske og danske rettsavgjørelser som gjelder bevisavskjæring Da domstolene ikke har behandlet personopplysningslovens bestemmelser eller tilsvarende regelverk fastsatt i medhold av personopplysningsdirektivet mener tilsynet at avgjørelsene ikke er direkte anvendelige for spørsmålet om hvorvidt det foreligger behandlingsgrunnlag Tilsynet ser imidlertid at domstolenes vurderinger av om en innsamling har vært utilbørlig av hensyn til personvernet kan ha rettskildemessig verdi ved selskapenes senere vurderinger av om en innhenting er forholdsmessig I kjennelse 2013 10 04 Eidsivating lagmannsrett er personopplysningsloven omhandlet uttrykkelig Saken gjaldt spørsmål om å avskjære bevis innhentet av Gjensidige ved skjult observasjon herunder videopptak spaningsrapporter og vitneforklaringer fra utreder og to observatører Formålet med utredningen var å opplyse kravstillers reelle helsetilstand idet man hadde mistanke om svik eller forsøk på svik Lagmannsretten fant at bevisinnsamlingen var utilbørlig Retten tillot allikevel selskapet å føre bevisene og uttalte i den forbindelse Når lagmannsretten har kommet til at bevisene bør tillates ført kan dette tilsi at det må legges til grunn at vilkårene i personopplysningsloven 8 og 9 er oppfylt Tilsynet vil bemerke at rettens uttalelse er et obiter dictum som kan anses å ha begrenset rettskildemessig verdi Dette må særlig gjelde når uttalelsen er så forbeholden som i dette tilfellet Selskapet viser også til at retten i samme kjennelse uttaler følgende om personvern og integritetskrenkelsen Etter en samlet vurdering finner lagmannsretten på denne bakgrunn at de aktuelle bevis skal tillates ført da lagmannsretten ikke kan se at fremleggelse av de aktuelle bevis innebærer en krenkelse av tungtveiende integritets eller personvernhensyn Tilsynet vil bemerke at denne uttalelsen ikke knytter seg til innsamlingen utilbørlighetsvurderingen men til den senere fremleggelsen kan skjønnet og derved har liten relevans for det aktuelle spørsmålet 5 3 2 3 Hvorvidt skjult observasjon og skjult lyd og bildeopptak kan ha grunnlag i 9 bokstav e eller krever hjemmel i egen lov Skjult observasjon og skjult lyd og bildeopptak er de mest inngripende metodene som selskapene åpent bruker under henvisning til personopplysningsloven 9 litra e Dette er metoder som må sies å stå i en særstilling sammenlignet med øvrige metoder som åpent benyttes i forbindelse med utredning og hvor de hensyn som er behandlet i foregående punkt gjør seg enda sterkere gjeldende Domstolene har i flere forsikringssaker konkludert med at denne type metodebruk representerer en utilbørlig innhenting av bevis i henhold til tvisteloven 22 7 Vi vil peke på at tilbørlighet og forholdsmessighet kan sies å være rettslige standarder som ikke har et klart definert innhold Det kan anføres at disse er dels overlappede om ikke synonyme Begge gir anvisning på at det skal skje en konkret avveining av ulike interesser hvor formålet er å finne en rimelig og balansert løsning En behandling som må anses å være utilbørlig utfra personvernhensyn kan ikke samtidig være forholdsmessig i henhold til personopplysningslovens bestemmelser Politimetodeutvalget NOU 2004 06 har blant annet uttalt følgende om skjult observasjon spaning Spaning og infiltrasjon reiser også spørsmål i forhold til EMK art 8 Selv om spaning i seg selv ikke er særlig integritetskrenkende når den foregår i det offentlige rom blir det problematisk hvis det utvikler seg til en systematisk innsamling av opplysninger om en person eller personkrets Utvalget konkluderte med at straffeprosesslovens bestemmelser må få anvendelse på slik virksomhet Da Finansdepartementet tidligere i år sendte på høring utkast til nye kontrollbestemmelser for Tollvesenet ble det foreslått å etablere egen lovhjemmel for skjult observasjon spaning Flere høringsinstanser uttalte at forholdet til EMK art 8 måtte vurderes nærmere av lovgiver Det er nødvendig at Stortinget vurderer bruk av slike metoder opp mot vilkårene i EMK art 5 også hva gjelder forsikringsselskapenes utredningsvirksomhet Da dette ikke ble gjort i forbindelse med vedtagelsen av personopplysningsloven 9 bokstav e kan det vanskelig hevdes at denne bestemmelsen er forutsatt å være hjemmel til bruk av slike metoder Endelig vil vi peke på at det finnes andre private aktører utenfor forsikringsbransjen som vil ha nytte av skjult observasjon med skjult lyd og bildeopptak for å ivareta egne formål Det vil være uheldig dersom enhver privat aktør som mener å kunne ha et rettskrav oppfatter at de kan ta i bruk slike

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_27.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    en mappe journal for den aktuelle personen Datatilsynet avsluttet saken gjennom å svare kommunen og klager i to separate brev av 15 juli 2013 Overfor kommunen påpekte tilsynet hvilke plikter kommunen har til å ha internkontroll og et fungerende avvikssystem når feil skjer Klager fikk informasjon om at tilsynet ikke vil forfølge hennes sak videre med veiledning om hvordan hun selv kan følge videre opp Datatilsynet opplyste at hendelsen trolig utgjør et brudd på den taushetsplikten barnverntjenesten har og at brudd på taushetsplikt kan påklages og også anmeldes til politiet Datatilsynet anbefalte klager å kontakte fylkesmannen som overordnet forvaltningsorgan for det kommunale barnevernet Tilsynet la til grunn at fylkesmannen har kunnskap om hvordan klager videre bør gå frem Saken ble oversendt Personvernnemnda 6 11 2013 som mottok saken 18 11 2013 Klager ble orientert om dette i brev fra nemnda datert 4 12 2013 med frist til uttalelse innen 19 12 2013 Klager ba i brev av 11 12 2013 om utsatt svarfrist Utsettelse ble innvilget til 12 1 2014 og klager kommenterte klagen i brev av 8 1 2014 3 Faktum Klager har påklaget Datatilsynets avslutning av en sak vedrørende en forsvunnet barnevernsmappe 4 Klagers anførsler Klager anfører at hun ble rådet av Datatilsynet til å inngi klage til Datatilsynet på at Steinkjer kommune det vil si tap av journalmappe og brudd på taushetsplikt Datatilsynet viser til i sitt oversendelsesbrev at de har mottatt en redegjørelse fra Steinkjer kommune av 13 juni 2013 Klager har ikke mottatt kopi fra denne redegjørelsen og kan derfor ikke uttale seg om denne Datatilsynet referer i sitt oversendelsesbrev til at kommunen i sin redegjørelse overfor Datatilsynet angir at de kommunen har kontaktet undertegnede skriftlig og per telefon samt besvart undertegnedes henvendelser Steinkjer kommunes uttalelse som nevnt over samsvarer ikke med sakens realitet Steinkjer kommune har aldri ringt klager og har heller aldri kontaktet klager skriftlig på eget initiativ Realiteten er derimot at klager i mange brev har bedt Steinkjer kommune om en skriftlig redegjørelse av hva som har skjedd med klagers mappe Dette fremstår for klager som ubesvart og man kan da heller ikke si at Steinkjer kommune har besvart klagers henvendelse slik de angir overfor Datatilsynet At Datatilsynet på sin side påpeker overfor kommunen hvilke plikter kommunen har i forhold til internkontroll mv er for så vidt greit nok men klager savner oppfølging fra Datatilsynet i forhold til det faktum at det foreligger brudd på taushetsplikt og mappe på avveie som er sakens kjerne for klager Klager har imidlertid fulgt Datatilsynets veiledning om å klage til fylkesmannen samt anmelde forholdet til politiet Klager vet per i dag ikke status i sak hos politiet Klagen hos fylkesmannen er avsluttet og på lik linje med Datatilsynet ble klagen avsluttet etter at fylkesmannen hadde mottatt svar fra Steinkjer kommune på at de nå har innarbeidet sine rutiner Klager stiller seg undrende til at Datatilsynet i nærværende sak ikke følger opp saken videre vedrørende brudd på taushetsplikt og mappe på avveie som er sakens kjerne og

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_24.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    om plikten etter helseforskningsloven er oppfylt blir hvorvidt plikten til å informere er en plikt til kun å tilgjengeliggjøre informasjon som er egnet til å nå pasientene eller om det er en plikt til å sørge for at hver enkelt pasient tar denne informasjonen Det første spørsmålet blir om helseforetaket for å oppfylle plikten til å informere må gi informasjon til hver enkelt pasient eller om det er tilstrekkelig å benytte seg av kollektive informasjonstiltak Det andre spørsmålet er om det av helseforskningsloven kan utledes et krav til hvilket tidspunkt pasientene skal informeres Må informasjonen gis når det biologiske materialet innhentes eller kan helseforetaket velge å informere på et senere tidspunkt 5 2 Individuell eller kollektiv informasjon Datatilsynet fastholder at informasjonsplikten etter helseforskningloven 28 er individuell Lovens ordlyd taler for at det er tale om en individuell informasjonsplikt Loven bruker pasienten i bestemt form og ikke pasientene som hadde vært mer naturlig dersom gruppen pasienter skulle informeres kollektivt Loven bruker dessuten ord som skal på forhand ha blitt informert om Dette tyder på at informasjonen skal komme på et tidspunkt som gjør at pasienten får anledning til å agere på informasjonen før det for eksempel blir tatt prøver Etter Datatilsynets vurdering vil det å basere seg på kun brosjyrer og informasjonsplakater på venterom og lignende i liten grad oppfylle hensikten med bestemmelsen Forarbeidene til helseforskningsloven gir støtte til en ordlydsfortolkning som den ovenfor Av forarbeidene fremgår følgende For at pasienter skal kunne reservere seg mot at humant biologisk materiale fra dem benyttes til forskning foreslår departementet at det opprettes et reservasjonsregister slik de har i Danmark Vevsanvendelsesregisteret i Danmark fungerer slik at alle pasienter for utdelt en brosjyre hvor de informeres om at de kan reservere seg mot at deres biologiske materiale benyttes til for eksempel forskning I brosjyren er det en svarslipp som pasienten må sende inn til Vevsanvendelsesregisteret dersom de ønsker å reservere seg mot forskning og kun ønsker at deres biologiske materiale skal benyttes til behandling av dem selv Forskere som ønsker å benytte biologisk materiale fra en biobank til forskning må henvende seg til Vevsanvendelsesregisteret før uttak fra biobanken kan skje Her refereres det altså til en ordning hvor alle pasienter får informasjon og hvor de gis anledning til å ta stilling til om de ønsker å reservere seg mot at deres biologiske materiale brukes til forskning Dette mener Datatilsynet taler for at det gjelder en individuell informasjonsplikt Forarbeidene bruker begrepet generell informasjon om den informasjonen som forutsettes gitt til pasientene men Datatilsynet er ikke enige i at dette er det samme som kollektiv informasjon Generell informasjon kan være informasjon som er formulert som informasjon til mange og ikke tilpasset situasjonen til den enkelte At informasjonen er generelt utformet står ikke i motsetning til et krav om at den skal distribueres på en mate som sikrer at den enkelte mottar informasjonen Lovkommentar til helseforskningsloven omtaler informasjonsplikten Lovkommentaren er skrevet av Sigmund Simonsen som mener at det neppe stilles spesielt strenge krav til informasjonen og at det trolig vil være tilstrekkelig med synlige informasjonsplakater lett tilgjengelige utdelte brosjyrer vedlegg til innkallingsbrev o l UNN trekker frem lovkommentaren som argument for at informasjonsplikten er kollektiv Datatilsynet er ikke enig i at lovkommentaren kan brukes som kilde for å støtte opp om en slik tolking For det første fremgår det ikke utfra hvilke kilder Simonsen utleder konklusjonen om at det ikke stilles spesielt strenge krav til informasjonen For det andre kan eksemplene som angis tolkes i begge retninger Etter Datatilsynets syn vil informasjonsplakater og lett tilgjengelige brosjyrer være å anse som kollektiv informasjon mens utdelte brosjyrer og vedlegg til innkallingsbrev vil være individuell informasjon Kommentaren klargjør derfor ikke hvorvidt det kan legges til grunn en individuell eller kollektiv informasjonsplikt Individuell informasjonsplikt skiller seg vesentlig fra kollektiv informasjonsplikt Kollektiv informasjonsplikt har vesentlige svakheter ved at den ikke retter seg direkte til hver enkelt pasient Dersom en virksomhet baserer seg på kollektiv informasjon alene har ikke virksomheten noe grunnlag for å si at de som har krav på informasjon har fått den Retten til reservasjon har liten verdi når pasienten ikke kjenner til den Folkehelseinstituttet har lagt til grunn i sin informasjon til helseforetakene at det er behandlende helsepersonell som skal gi pasienten informasjon om reservasjonsretten for eksempel ved prøvetaking St Olavs Hospital har bekreftet overfor Datatilsynet at dette er en rutine de innfører etter Datatilsynets kontroll UNN har også bekreftet at de fra og med 4 mars 2013 har innarbeidet informasjon om bruk av biologisk materiale til forskning og reservasjonsregisteret i innkallingsbrevet Dette tyder på at FHI og helseforetakene er enige i at individuell informasjon er påkrevd for å sikre at informasjonen når frem På bakgrunn av ovenstående mener Datatilsynet å ha dekning for å kunne si at plikten til å informere er en plikt til å sørge for at hver enkelt pasient får informasjon Dette betyr at generelle informasjonstiltak som brosjyrer plakater og informasjon på nettsider ikke oppfyller plikten alene Dersom man i tillegg til dette gir informasjon ved prøvetaking eller sender informasjon til pasientens adresse f eks ved innkallingsbrevet er plikten oppfylt på en tilfredsstillende måte 5 3 Tidspunkt for informasjon Utgangspunktet er at pasienten på forhånd skal ha blitt informert om Informasjonen skulle ideelt sett vært gitt før det biologiske materialet ble innhentet men senest når helseforetaket ble oppmerksomt på plikten Datatilsynet ser imidlertid at UNN har et poeng i at det kan stilles spørsmål ved forholdsmessigheten mellom den ressursbruken som kreves for å informere min 340 000 pasienter og den nytteverdien de vil ha av denne informasjonen Datatilsynet har derfor søkt å utrede muligheten for å informere pasientene på det tidspunkt det eventuelt blir aktuelt å bruke det biologiske materialet På et slikt tidspunkt vil utvalget uansett måtte individualiseres Spørsmålet er om informasjonsplikten må oppfylles når det biologiske materialet blir innhentet eller om den etter en konkret vurdering kan oppfylles på et senere tidspunkt Slik Datatilsynet ser det er det det sentrale med disse rettighetene å sikre at biologiske prøver ikke blir brukt til forskning uten

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_23.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    klagesaken gjelder er omfattet av Datatilsynets slettevedtak av 4 april 2012 5 1 Kommer personopplysningsforskriften 1 3 til anvendelse Datatilsynet fastholder vurderingen i brev av 16 august 2013 til Sunnmøre tingrett Når det gjelder personopplysningsforskriften 1 3 og forståelsen av denne generelt vises det særlig til Personvernnemndas vedtak i PVN 2008 02 Når det gjelder klagers anførsler knyttet til gyldigheten av tingrettens beslutning vil Datatilsynet bemerker at disse antakelig henger sammen med at tilsynet i brev av 16 august 2013 la til grunn at erklæringen ble avgitt til retten på bakgrunn av en på det tidspunktet gyldig beslutning og at erklæringen og bruken av denne under behandlingen av straffesaken må sies å ha vært i medhold av straffeprosessloven Klager mener det ikke er riktig at utarbeidelsen og bruken av erklæringen har skjedd i medhold av straffeprosessloven idet han hevder det ble gjort en rekke feil under tingrettens behandling herunder at de materielle vilkår for sakkyndig utredning ikke var oppfylt Datatilsynet har vanskelig for å se at klagers anførsler kan føre frem Det er i den forbindelse viktig å understreke at rettslige avgjørelser i utgangspunktet ikke kan angripes ved å klage til Datatilsynet Datatilsynet har ikke myndighet til å overprøve eller sette til side rettslige avgjørelser Rettslige avgjørelser må angripes ved anke etter rettspleielovene I denne saken ble tingrettens beslutning angrepet ved anke til lagmannsretten Datatilsynet må forholde seg til at lagmannsretten fant å oppheve beslutningen på grunn av manglende kontradiksjon Som nevnt i brev av 16 august 2013 vil en slik saksbehandlingsfeil ikke i seg selv medføre at tingrettens avgjørelse var uten rettsvirkning da den ble avsagt Tvert i mot hadde tingrettens avgjørelse rettsvirkning så lenge den ikke var påanket Feil ved tingrettens beslutning i sin tid har uansett ikke avgjørende betydning for spørsmålet om behandlingen av personopplysningene i erklæringen i dag reguleres av personopplysningsloven med den virkning av Datatilsynet kan ha kompetanse til å pålegge sletting eller om unntaket i forskriften 1 3 gjør seg gjeldende Som redegjort for i brev av 16 august er situasjonen i dag at straffesaken formelt er avsluttet hvilket som et utgangspunkt skulle tilsi at forskriften 1 3 ikke lenger er anvendelig Når Datatilsynet har funnet at unntaket i forskriften 1 3 fremdeles gjør seg gjeldende er det ut fra den betraktning av lagmannsrettens opphevelse av tingrettens beslutning må anses å ha prosessuell virkning på sakens status i dag Kjernen i saken er om Datatilsynet kan ha kompetanse til å gripe inn og beslutte sletting av personopplysninger i anledning straffesak som rent straffeprosessuelt ikke synes ferdigbehandlet Det kan i den forbindelse vises til at klagers angrep på den opphevede tingrettsbeslutningen naturlig hører hjemme ved en fornyet behandling i tingretten Dersom han blir hørt med sine anførsler og tingretten ikke finner at det er var grunnlag for rettspsykiatrisk undersøkelse må det antas å kunne ha virkning på spørsmålet om erklæringen skal slettes 5 2 Ber det pålegges sletting etter personopplysningsloven Dersom nemnda kommer til at unntaket i personopplysningsforskriften 1 3 ikke kommer til anvendelse og

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_22.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    påført tap ved kriminalitet mot BIB tjenesten Profilhusene har alltid konsekvent mottatt regresskrav fra banken ved kriminalitet mot BIB tjenesten Banken legger ved økonomisk tap ved kriminalitet til grunn at profilhuset har opptrådt uaktsomt med mindre profilhuset kan dokumentere at det er brukt et forfalsket kort eller et kort som ikke tilhører innehaveren I slike saker oppstår det ofte en diskusjon mellom banken og profilhusene om hvem som skal bære tapet I en del av sakene ender profilhusene opp med å bære tapet og i en del av sakene ender banken opp med å bære tapet Det følger videre av avtalen mellom profilhusene og banken at i de tilfellene profilhusene ikke har gjennomført en BIB transaksjonen 100 etter bankens rutiner og der transaksjonen er et utslag av kriminalitet så må profilhuset bære tapet etter regresskrav fra banken Det forekommer også at profilhusenes egne ansatte begår kriminalitet mot BIB tjenesten I slike situasjoner dekker profilhusene tapet og krever deretter regress hos den ansatte Ikke sjeldent leder regresskravet ikke frem fordi det ikke er noe til dekning hos den ansatte Resultatet i denne situasjonen er at profilhuset bærer tapet Strafferettslig sett vil kriminalitet mot BIB tjenesten der noen bruker falske identifikasjonspapirer eller bruker andres identifikasjonspapirer som om disse var gjerningspersonens egne rubriseres som bedrageri etter straffeloven 270 Et av vilkårene for at bestemmelsens objektive gjerningsbeskrivelse skal være oppfylt er at bedrageriet forleder noen til en handling som volder tap eller fare for tap for ham eller den han handler for Når profilhusene foreldes til å levere ut kontanter ved bruk av falsk eller stjålet legitimasjon så volder handlingen tap eller fare for tap for profilhusene ved at profilhusene i en del tilfeller må dekket det tapet som oppstår og ved at det i ethvert tilfelle av bedrageri mot BIB tjenesten alltid er fare for at profilhusene lider et tap Profilhusene er derfor fornærmet i bedrageritilfellene etter straffeloven 270 Tilsvarende vil profilhusene være fornærmet også etter straffelovens 267 om ran ved at kontantene som ranes tilhører profilhusene straffeloven 267 første ledd eller ved at ansatte i profilhusene tvinges til å levere ut kontanter hvilket gir fare for tap for profilhusene straffeloven 267 annet ledd Datatilsynet har lagt et misvisende faktum til grunn for sin vurdering om at kameraovervåkningen faller utenfor hva som kan anses for profilhusenes virksomhet Tilsynet har som et vesentlig premiss for vurderingen lagt til grunn at det kun er bankkunden eller banken som er fornærmet i strafferettslig forstand Dette er ikke korrekt ved at profilhusene også er fornærmet Tilsynet har videre som et vesentlig premiss lagt til grunn at Det er banken som påføres det økonomiske tapet når handlinger svindel som begrunner den utvidet sic lagringstid oppstår Dette er heller ikke korrekt ved at profilhusene påføres og risikerer å påføres tap når kriminalitet mot BIB tjenesten skjer Ved at disse vesentlige premisser ikke er riktige blir Datatilsynets konklusjon av disse grunner alene feil Profilhusenes kameraopptak av BIB tjenesten er saklig begrunnet i profilhusenes virksomhet jf personopplysningsloven 11 bokstav b Personvernnemnda bes å fatte vedtak med dette innhold 4 2 Profilhusene er skadelidende ved kriminalitet mot BIB tjenesten også på annen måte Det forhold at kameraopptak av BIB tjenesten er saklig begrunnet i profilhusenes virksomhet etter personopplysningsloven 11 bokstav b følger også av at profilhusene også på annen måte enn den rent økonomiske er skadelidende som følge av kriminalitet mot BIB tjenesten Profilhusenes ansatte opplever kriminalitet mot BIB tjenesten som en belastning i arbeidet Ikke sjeldent føler de ansatte seg mistenkeliggjort Det forhold at de ansatte opplever kriminaliteten slik viser at BIB tjenesten tilhører profilhusenes virksomhet Det er vitterlig også profilhusenes ansatte som leverer tjenesten til kundene Kriminalitet mot BIB tjenesten påvirker også profilhusenes omdømme Bedragerier kan påvirke omdømmet negativt og vil i ytterste konsekvens påføre profilhusene omsetningstap Kunder som blir utsatt for kriminalitet blir utsatt for kriminalitet i profilhusenes lokaler og ved at profilhusenes ansatte er dem som forledes av de kriminelle Både kunders og de ansattes opplevelse av kriminaliteten mot BIB tjenesten samt de konsekvenser kriminaliteten har for profilhusene viser at BIB tjenesten tilhører profilhusenes virksomhet Det fremstår som anstrengt å hevde at profilhusenes kameraovervåkning av BIB tjenesten som er begrunnet i oppklaring av kriminalitet og som er ment å virke preventivt mot kriminalitet ikke foretas i profilhusenes interesse 4 3 Faktisk illustrasjon av at profilhusenes interesse i kameraopptak ligger innenfor profilhusenes virksomhet Profilhusene skal gi et par eksempler på virkeligheten som viser at kameraopptak av BIB er begrunnet i profilhusenes behov Profilhusene opplever jevnlig at eldre mennesker eller disses pårørende feilaktig tror at butikkene har svindlet dem ved gjennomføring av BIB transaksjoner Som illustrasjon vises til at Kiwi nylig fikk en henvendelse fra sønnen til en 92 år gammel kvinne som mente seg svindlet ved uttak av kontanter i BIB Kvinnen og sønnen mente at noen måtte ha fått urettmessig tilgang til PIN kode og deretter tatt ut penger Kontoutskrift viste at det var tatt ut kr 3000 i kontanter fra kvinnens konto i tillegg til handelen av varer hos Kiwi I følge sønnen hevdet moren at hun ikke hadde tatt ut penger i det hele tatt Kiwi gikk derfor gjennom kameraopptakene og avdekket ved dette at kvinnen hadde hatt vanskeligheter med å ta ut penger ved at hun fomlet i kassen Opptakene viste videre at hun ba om hjelp fra den ansatte i Kiwi som sto i kassen Opptaket viste at kassereren tastet inn pin koden for kvinnen Det fremkom deretter klart på opptaket at kontantene ble levert ut og at kvinnen tok med kontantene ut av butikken Det var således ikke grunnlag for kvinnen og sønnens mistanke mot Kiwi og Kiwis ansatte Profilhusene har plikt til å bistå også eldre kunder som måtte være demente eller svekket på annen måte til tross for at dette kan lede til mistanker om svindel Samtidig kan det aldri utelukkes at ansatte ikke bruker situasjoner som den skisserte til egen vinning I slike situasjoner tar det ofte mer enn 7 dager før kunden som hevder seg svindlet blir kjent med kontantuttak i BIB Det er nødvendig for profilhusene å kunne dokumentere hendelser i BIB kassene gjennom kameraopptak for å bevare sitt omdømme når bildene viser at butikken og dens ansatte urettmessig anklages for svindel Tilsvarende er kameraopptak viktig for å avdekke gjemingspersoners identitet ved rekognosering i tiden forut for kriminelle anslag Etter at banktjenester ble flyttet ut i dagligvarebutikk gjennom BIB tjenesten oppbevarer dagligvarebutikkene vesentlig større mengder kontanter enn det bankene gjør Det trusselbildet bankene tidligere opplevde er i dag flyttet ut til dagligvarebutikkene Eksemplene over viser at kameraopptak av BIB tjenesten foretas i profilhusenes interesse både av hensyn til profilhusets omdømme de ansattes sikkerhet av hensyn til oppklaring av kriminalitet og som et hjelpemiddel som gjør det mulig for profilhusene å tilby BIB tjenesten til alle typer kunder Profilhusene har i klagen vist til at det vil representerer en personvernulempe for profilhusenes ansatte dersom banken skal være behandlingsansvarlig for opptak av BIB tjenesten fordi banken her vil ha tilgang til opptak av profilhusenes ansatte Datatilsynet mener personvernulempen er liten ved at hendelser i BIB er tidfestet på sekundnivå slik at banken ikke trenger foreta noen omfattende gjennomgang av opptakene Profilhusene bemerker til dette at tidsstyringen på kassesystemene og ITV systemene ikke alltid er 100 synkronisert Det vil i praksis ofte være nødvendig å se på flere kundetransaksjoner inkludert kundetransaksjoner i kassen som ikke er en BIB transaksjon ved nødvendig gjennomgang og søk i opptakene Videre er kriminelle ofte tildekket med cap hettegenser eller liknende mens de foretar den kriminelle handling hvilket ofte nødvendiggjør gjennomgang av opptak forut for og etter den kriminelle handling På slik opptak vil ansatte filmes mens de utfører andre tjenester enn BIB tjenesten Profilhuset fastholder at det vil representerer en personvernulempe for de ansatte dersom banken er behandlingsansvarlig Datatilsynet har også vist til at banken betaler profilhusene for å få utlevert billedopptak og tilsynet mener dette er et argument for at opptakene gjøres i bankens interesse slik at banken må være behandlingsansvarlig Profilhusene viser til at både banken og profilhusene har interesse i at det skjer kameraopptak av BIB tjenesten Det er for øvrig korrekt at banken dekker kostprisen for at vektere sikrer opptak Samtidig er det forhold at banken per i dag rent faktisk dekker kostpris for å sikre opptak ikke et relevant argument i saken slik denne står for Personvernnemnda Datatilsynet har ikke problematisert hvorvidt profilhusene de facto er behandlingsansvarlige eller problematisert hvorvidt profilhusene oppfyller definisjonen av behandlingsansvarlig i personopplysningsloven 2 nr 4 Etter Datatilsynets oppfatning er sakens spørsmål hvorvidt profilhusene kan være behandlingsansvarlige Det forhold at banken i dag rent faktisk betaler kostpris for sikring av opptak har ingen betydning for spørsmålet om profilhusene prinsipielt sett kan være behandlingsansvarlig Det er nødvendig at profilhusene gjør kameraopptak av BIB tjenesten Faktum viser at profilhusene er behandlingsansvarlige for kameraopptakene En korrekt forståelse av rettsreglene leder til at profilhusene er behandlingsansvarlige Profilhusene kan ikke se at hverken faktum eller rettsregler tilsier at profilhusene på prinsipielt grunnlag ikke kan være behandlingsansvarlig 4 4 Profilhusene mener man har hjemmel i personopplysningsforskriften til å lagre kameraopptak av BIB tjenester i inntil tre måneder forskriften 8 4 tredje ledd Datatilsynet har vedtakspunkt 5 fastslått at profilhusene må slette billedopptak som er lagret utover det som følger av personopplysningsforskriften 8 4 første og annet ledd Profilhusene ber Personvernnemnda endre den delen av vedtaket slik at det endelige vedtaket blir at virksomhetene kan lagre kameraopptak av BIB tjenester i inntil tre måneder jf personopplysningsforskriften 8 4 første og tredje ledd I korthet anfører profilhusene følgende argumenter for hvorfor virksomhetene kan lagre kameraopptak av BIB tjenester i inntil tre måneder Ansvaret for å tilby post og banktjenester og ansvaret for tjenestens sikkerhet er i dag i stor grad overført til profilhusene Butikkene er mer ransutsatt enn tradisjonelle post og banklokaler BIB og PIB tjenester omfattes av bestemmelsene i personopplysningsforskriften 8 4 tredje ledd En slik forskriftsforståelse ivaretar personvernhensynene til de ansatte siden en slik løsning vil virke forebyggende på kriminalitet på deres arbeidsplass og ved at opptakene kan dokumenterer at den ansatte ikke er deltakende i kriminell virksomhet Profilhusene har hjemmel til å lagre kameraopptak av BIB tjenesten i inntil 3 måneder fordi opptak av BIB tjenesten er Opptak gjort i post og banklokaler i forskriften 8 4 tredje ledd forstand Datatilsynet har ikke foretatt noen realitetsvurdering av forståelsen av post og banklokaler i forskriften Profilhusene ber nemnda ta stilling til spørsmålet 4 5 BIB medfører et særlig behov for å lagre opptak i lengre tid en syv dager forskriften 8 4 sjette ledd Hvis profilhusene ikke har hjemmel til å oppbevare opptak av BIB tjenester etter forskriftens 8 4 tredje ledd mener profilhusene at det foreligger uansett særlig behov for oppbevaring av billedopptak av BIB tjenester i mer enn syv dager jf personopplysningsforskriften 8 4 sjette ledd Profilhusene ber derfor subsidiært om å få lagre kameraopptak av BIB tjenester i inntil tre måneder med den begrunnelse at kravet til et særlig behov er oppfylt Profilhusene begrunner det forlengende lagringsbehovet med at kameraopptak er viktig bevis for å oppklare bedrageri og svindelsaker og felles for disse sakene er at det tar lengre tid enn syv dager før bankkunder reklamerer på banktransaksjonene Hvis profilhusene ikke får lagret kameraopptak lengre enn syv dager vil man ikke klare å oppklare bedrageri og svindelsaker Videre foretar personer som planlegger kriminelle handlinger som ran og innbrudd rekognoseringer forut for den kriminelle handlingen Ved lengre lagringstid vil opptak fra slike rekognoseringer bidra til å identifisere kriminelle siden ranere og innbruddstyver ofte vil være maskerte under selve ranet eller innbruddet For det tilfelle at Personvernnemnda kommer til at opptak av BIB tjenesten ikke er Opptak gjort i post og banklokaler så foreligger det et særlig behov som må medføre at profilhusene tillates å lagre opptakene i inntil 3 måneder etter forskriften 8 4 sjette ledd Dette vil dessuten være i tråd med Datatilsynets tidligere forståelse av bestemmelsen Datatilsynet har gjennom Bankkonsesjonen funnet at det foreligger særlige behov for å tillate lagring av opptak av BIB tjenesten i inntil 3 måneder 4 6 BIB tjenesten leveres i et banklokale i forskriftens forstand Det legges til at profilhusenes butikker i dag har et trusselbilde som tilsvarer det trusselbilde bankene hadde før banktjenestene ble flyttet ut i butikk BIB tjenesten i butikk samt de ansatte som leverer tjenesten er i dag utsatt for fare for vold trusler svindel bedrageri underslag innbrudd og ran Dette trusselbildet for BIB er også dokumentert i Datatilsynets bankkonsesjon publisert 11 01 12 på Datatilsynets nettsider Denne bankkonsesjonen omfattet blant annet en generell utvidet lagringstid i inntil tre måneder for billedopptak gjort i forbindelse med bankvirksomhet jf Bankkonsesjonens s 16 punkt 8 Det bemerkes spesielt at konsesjonen eksplisitt omfatter BIB Datatilsynet begrunnet forlenget oppbevaringstid for billedopptak av bankvirksomhet herunder BIB slik Den forlengede oppbevaringstiden er begrunnet ut i fra kriminalitetsforebyggende og oppklaringsmessige hensyn tilsvarende som for billedopptak gjort i post og banklokaler Rekognosering av ekspedisjonssteder som ledd i forberedelse av ran samt gjennomførte alvorlige forbrytelser eller forsøk på samme for eksempel bedragerier oppdages ofte på et senere tidspunkt Det samme gjelder nyere former for IT kriminalitet som rettsstridig montering av lese og videoutstyr på minibankene med det formål å fange opp kortets magnetstripe og ta opptak ved inntasting av PIN kode Felles for slike situasjoner er at banken og eller fornærmede først blir oppmerksom på forholdet etter slettefristen på syv dager Datatilsynets begrunnelse viser at bankenes trusselbilde samt tilhørende behov for kameraopptak og lagring i dag er flyttet ut i butikk og til BIB 4 7 Faktiske forhold som illustrerer nødvendigheten av lagring av opptak i mer enn 7 dager Fra Kiwis side opplyses det at Kiwi per 14 november 2013 har fått forespørsel om å innhente bilder i 251 saker for DNB og politiet relatert til manuelle uttak i BIB det vil si saker om stjålne kort og ID tyverier hvor det er behov for å identifisere den eller de som foretar uttaket Med en lagringstid på syv dager ville man kun klart å sikre bilder fra 18 av disse tilfellene En lagringstid på 7 dager ville medført at det i over 92 av disse tilfellene ikke ville ha kunnet leveres ut bilder fordi bildene ville vært slettet Antall utlevering av bilder fra Kiwi er stabilt høyt I 2011 lå tallet på rundt 200 2012 var tallet om lag 300 og det ser ut til at 2013 vil ende på omtrent det samme tall som i 2012 Til sammenlikning er situasjonen i profilhuset Meny AS som også leverer BIB at disse har mottatt 20 forespørsler fra DNB om utlevering av bilder Meny har levert ut bilder i 18 av disse tilfellene Dersom lagringstiden hadde vært inntil 7 dager ville Meny kun kunnet levere bildet i l av disse 20 tilfellene Det vises også til at teknologiutviklingen de siste årene har ledet til at identitetspapirer i dag forfalskes med høyere kvalitet enn tidligere med tilhørende økt risiko for misbruk hvilket øker behovet for kameraopptak samt tilstrekkelig lagringstid for disse Nødvendigheten og viktigheten av kameraopptak vises også gjennom straffesaksavviklingen Kameraopptak i straffesaker vedrørende kriminalitet mot BIS tjenesten utgjør ofte påtalemyndighetens vesentlige bevis Påtalemyndigheten ville uten kameraopptak vært tvunget til å ta ut tiltale i vesentlig færre saker enn i dag En rekke kriminelle handlinger mot BIB ville uten kameraopptak ikke blitt gjenstand for tiltale og fellende dom Gjeldende regler for lagring av opptak må forstås og praktiseres slik at opptakene lovlig kan lagres tilstrekkelig lenge til at kameraopptak representerer en reell beskyttelse mot kriminalitet for kundene profilhusene og bankene 4 8 Lagringstid og profilhusenes ansattes personvern Tilsynet legger til grunn at profilhusenes begrunnelse for å gjøre kameraopptak er profilhusenes interesse om å sikre ansatte mot falske anklager og urettmessige erstatningskrav og at denne interessen ikke overstiger de ansattes krav på personvern på arbeidsplassen Profilhusenes begrunnelse for å gjøre kameraopptak samt begrunnelsen for lagringstid for slike er videre enn hva Datatilsynet her uttrykker Det er korrekt at ett av flere hensyn som begrunner kameraopptak er hensynet til ansatte og hensynet til urettmessige erstatningskrav fra banken Samtidig har denne begrunnelsen jf klagen fra profilhusene særlig vært trukket frem i forhold til plassering av behandlingsansvar Når det gjelder hensyn som begrunner nødvendigheten av kameraopptak av BIB tjenesten som sådan så er disse hensyn vesentlig videre enn det Datatilsynet legger til grunn Det vises i denne sammenheng til Personopplysningsloven 37 tredje ledd Ved vurderingen av hva som er en berettiget interesse etter personopplysningsloven 8 bokstav f skal det for kameraovervåking legges vesentlig vekt på om overvåkingen bidrar til å verne om liv eller helse eller forebygger gjentatte eller alvorlige straffbare handlinger Kameraopptak av BIB tjenesten er begrunnet i behovet for å forebygge kriminalitet oppklare kriminalitet beskytte kunder mot kriminalitet sikre ansatte samt er nødvendig for at NorgesGruppen kan bidra til samfunnssikkerheten Kameraopptak av BIB tjenesten er hjemlet i personopplysningsloven 8 bokstav f jf 37 og 38 Kameraopptak er etter personopplysningsloven 37 nødvendig for å forebygge at farlige situasjoner oppstår og nødvendig for å ivareta hensynet til ansattes og andres kunders sikkerhet I tillegg kommer at det også foreligger særskilt behov for kameraopptak av BIB tjenesten jf personopplysningsloven 38 siste alternativ Begrunnelsene for at kameraopptak må gjøres utgjør samtidig begrunnelse for at kameraopptakene må lagres i inntil 3 måneder 5 Anførsler fra DNB 5 1 Generelt om grunnlaget for klagen DNB er av den oppfatning at Datatilsynet har etablert en ny situasjon hva gjelder bruk av kameraovervåking i butikker Banken er ikke enig med tilsynet i at påleggene er en nødvendig følge av gjeldende lovgivning på omradet og etablerte tolkningsmessige avklaringer blant annet nedfelt i ny standardkonsesjon som tilsynet utferdiget til bankene i mai 2010 Banken mener tvert imot at påleggene er en innskjerpet lovanvendelse som representerer et brudd med etablert praksis og som i vesentlig grad innsnevrer det tolknings og handlingsrommet som lovgivningen åpner for Banken er klar over at Datatilsynet er innforstått med behovet for kameraovervåking av butikker samt for kameraovervåking av BIB og PIB tjenester Og at den endelige virkningen av påleggene ikke er ment å skulle hindre eller vesentlig redusere overvåkingen men heller et ønske om en opprydding av ansvarsforholdet i samsvar med hva som oppfattes å være lovens system DNB er i den sammenheng uenig i at lovgivningen krever en slik opprydding Etter bankens vurdering vil påleggene fremtvinge ansvarsforhold som er konstruerte og som skaper uklarhet i forhold til dem som overvåkes og mellom de selskapene som involveres i overvåkingen og etterfølgende bruk av bildeopptakene 5 2 Pålegg om at behandlingsansvaret for kameraovervåking skal legges til DNB DNB har forstått tilsynets uttalelser i vedtaksbrevene til profilhusene slik at det ligger implisitt i pålegg 1 a at banken må være behandlingsansvarlig for kameraovervåking av BIB tjenester Det vises til Datatilsynets uttalelser i brev til Kiwi den 21 juni 2013 der tilsynet sier at det fremgår klart av standardkonsesjonen av 2010 og et tidligere dispensasjonsvedtak av 24 september 2007 saksnr 07 01227 2 at det er DNB som er behandlingsansvarlig for kameraovervåking av bank i butikk DNB deler ikke tilsynets vurdering av at tidligere vedtak måtte forstås slik at bare DNB kunne være behandlingsansvarlig Banken viser i den sammenheng til at bankens standardkonsesjon fra 2010 kun er en dispensasjon fra personopplysningsforskriftens regulære syv dagers oppbevaringstid og er begrenset til den fjernsynsovervåkingen som banken selv er behandlingsansvarlig for og er kun knyttet til bankvirksomhet DNB har derfor lagt til grunn at dispensasjonen kun får betydning dersom banken skulle etablere egen kameraovervåking i BIB Standardkonsesjonen ble fra bankens side ikke oppfattet å gripe inn i den kameraovervåkingen som var etablert av butikken selv Dispensasjonsvedtaket ble videre ikke lest slik at det forutsatte at DNB overtok behandlingsansvaret for den kameraovervåkingen som butikkene etablerte i BIB DNB erkjenner at banken og NorgesGruppen i ettertid kanskje kan bebreides for at man ikke problematiserte at tilsynet valgte å formulere den positive besvarelsen av henvendelsen som et dispensasjonsvedtak og for at det ikke ble reagert på at Datatilsynet benevnte banken alene som søker Datatilsynets pålegg som innebærer at banken kan være behandlingsansvarlig for all kameraovervåking av BIB tjenester fremstår som ny tolkning og praksis sett fra DNB Tilsynets utgangspunkt om at det er den som er ansvarlig for virksomheten som også må ha ansvaret for eventuell kameraovervåking av denne virksomheten anses som diskutabel fra bankens side Særlig i sammensatte virksomheter eller når aktører eller samarbeidspartnere er blitt enige om hvor ansvaret skal ligge Når overvåkingen i betydelig grad omfatter ansatte og kunder vil arbeidsgiveransvaret og kundeopplevelsen definert som hvem kunden opplever å ha oppsøkt spille en betydelig rolle i plassering av behandlingsansvar etter bankens vurdering I denne saken mener banken at tilsynet tar feil med hensyn til hvilken virksomhet det er som overvåkes i bankdelen av BIB Etter bankens syn er formålet med kameraovervåkingen å samle inn bilder som kan benyttes til å oppklare og følge opp kriminelle handlinger rettet mot formidlingen av banktjenester altså profilhusene butikkene Det vises til at det er i hovedsak butikkenes ansatte og tredjepersoner som ikke er kunder i banken som filmes Banken fremhever at personvernhensynet tilsier at den som har ansvaret for de ansatte og dennes arbeidssituasjon også bør være ansvarlig for billedopptakene og bruken av dem Et vesentlig vurderingsmoment etter bankens vurdering er at den del av opptakene som er relevant for behandlingsformålet registering av kriminell handlinger vil utgjøre en meget liten del av det totale billedmaterialet som samles inn og lagres fra kameraene som det vil være aktuelt å pålegge banken behandlingsansvar for Banken påpeker at butikkene normalt vil ha kameraovervåking over hele butikken og at kameraovervåking av BIB tjenesten kun utgjør en liten del Det vil derfor fremstå som konstruert å skulle operere med delt eller separat ansvar for enkeltsekvenser med banktjenester som måtte inngå i disse opptakene Personvernhensyn og hensynet til arbeidsmiljøet taler etter bankens syn ikke for delt behandlingsansvar for disse opptakene snarere tvert i mot 5 3 Pålegg om at billedopptak ikke skal utleveres til banken DNB forstår tilsynets vedtakspunkt 4 i brev av 21 juni 2013 slik at butikkene ikke skal ha lov til å utlevere billedopptak til DNB siden tilsynet er av den oppfatning at det ikke foreligger en databehandlerrelasjon mellom profilhusene og DNB DNB mener pålegget vil avskjære dagens godt fungerende oppfølging av straffbare forhold knyttet til banktjenestene i BIB DNB tar til etterretning at fravær av databehandleravtale er et avvik jf personopplysningsloven 15 Banken viser til løsningsforslaget som ble fremmet i brev av 29 april 2013 der banken foreslår følgende DNB sitt forslag til løsning er at oppbevaring inntil 3 måneder tillates på betingelse av at opptak eldre enn 7 dager bare kan hentes ut av Profilhuset og banken i fellesskap Behandlingsansvaret ligger fortsatt hos Profilhuset men bruk av eldre opptak tillates bare ved at opptakene overlates til banken med det avgrensede formål å følge opp straffbare forhold knyttet til banktjenester Resultatet av tilsynets pålegg om at bildeopptakene kun skal utleveres fra butikk til politi uten at DNB skal ha bearbeidet materialet vil resultere til at antall anmeldelser og sanksjonerte saker vil falle dramatisk DNB mener at tilsynet også ser dette og at pålegget anses å være formulert med det siktemål å tvinge frem en løsning knyttet til behandlingsansvar Det forhold at DNB har en egeninteresse i at resultatet blir best mulig kan ikke være til hinder for at banken opptrer som databehandler for butikken Det kan i den forbindelse ikke være tvilsomt at DNB bidrar til å oppfylle butikkenes behandlingsformål og derfor kan ha rolle som databehandler Utleveringsforbudet i personopplysningsloven 39 vil en slik sammenheng ikke komme til anvendelse 5 4 Pålegg om å slette billedopptak innen fristen i forskriften 8 4 annet ledd DNB er av den oppfatning at utvidet oppbevaringstid må følge av personopplysningsloven 8 4 tredje ledd dvs at BIB må anses som et banklokale DNB anfører videre at utvidet oppbevaringstid hjemlet i 8 4 tredje ledd ikke er betinget av hvem som er behandlingsansvarlig I det tilfelle man skulle komme til at det ikke foreligger hjemmel i personopplysningsforskriften 8 4 tredje ledd sa bør dispensasjon kunne innvilges uavhengig av hvem som er behandlingsansvarlig Det sentrale etter bankens syn er at opptakene er tilgjengelige for det formålet de er innsamlet for og at det eventuelt treffes tiltak for å hindre at de benyttes til andre formål Det vises igjen til bankens løsningsforslag i brev av 29 april 2013 6 Datatilsynets vurdering 6 1 Innledning Høsten 2012 besluttet Datatilsynet å gjennomføre tre kontroller rettet mot kameraovervåking av BIB og PIB Hensikten med kontrollene var å finne ut hvordan aktørene hadde organisert og gjennomført kameraovervåkingen som var knyttet til BIB og PIB Øvrig kameraovervåking som butikkene gjennomførte i forbindelse med ordinær butikkdrift var i utgangspunktet ikke gjenstand for tilsynets kontroll Forut for kontrollene har Datatilsynet hatt korrespondanse med klagerne vedrørende kameraovervåking av BIB tjenester I brev av 17 august 2007 henvendte DNB og NorgesGruppen seg til Datatilsynet for å få avklart om BIB kom inn under definisjonen banklokale jf personopplysningsforskriften 8 4 tredje ledd Datatilsynet besvarte henvendelsen i brev av 24 september 2007 med overskriften Dispensasjon utvidet lagring av billedopptak Brevet var rettet til DNB med NorgesGruppen som kopimottaker I brevet gjør Datatilsynet det klart at man anså brev av 17 august 2007 for å være en søknad fra DNB om å oppbevare billedopptak gjort i bankdelen av bank i butikk konseptet i inntil 3 måneder Datatilsynet fant at banken oppfylte kravet om særlig behov og innvilget derfor søknaden med hjemmel i personopplysningsforskriften 8 4 sjette ledd I 2010 ga Datatilsynet ut en ny standardkonsesjon for behandling av personopplysninger for banksektoren Konsesjon til å behandle personopplysninger Banktjenester Konsesjonen regulerer utvidet lagringstid for kameraovervåking i pkt 8 og nærmere om kameraovervåking av BIB tjenester i merknadene til pkt 8 Følgende er et utdrag fra sist nevnte pkt Utover billedopptak av ordinære ekspedisjonssteder minibanker plassert i og rett utenfor banklokalet vil dispensasjonen om utvidet lagringstid til tre måneder bl a dekke opptak gjort av frittstående minibanker og betalingsterminaler knyttet til bank i butikk tjenester Lagring i tre måneder vil kun være tillatt av det området av butikklokalet hvor kunder ekspederes for bank i butikk tjenester Ved bildeopptak i lokaler for eksempel i forbindelse med bank i butikk og av terminaler automater som ikke direkte blir kontrollert av banken skal banken som behandlingsansvarlig for opptak innga en databehandleravtale med den som har utplassert og eller drifter kameraet jf personopplysningsloven 15 Videre skal det tydelig fremgå av merkingen i lokalet og på terminalen at banken er ansvarlig for overvåkingen jf personopplysningslovens 40 Personopplysningsloven 38 oppstiller krav om at det skal foreligge et særlig behov for overvåking av ansatte enten bankes eller butikkens ansatte i bank i butikk tjenester må således oppfylle kravet til et særlig behov i tillegg til arbeidsmiljølovens kapittel 9 om kontrolltiltak i virksomheten Utvidet lagringstid ved fjernsynsovervåking anses som en personvernulempe både for ansatte og kunder Det stilles i den forbindelse krav til banken om at overvåking med utvidet lagringstid begrenses til et minimum jf personopplysningslovens 11 bokstav b Typisk bør overvåking av bank i butikk være begrenset til dedikerte kasser På bakgrunn av dispensasjonen som ble gitt i brev av 24 september 2007 og senere i standard konsesjonen og de presiseringer som ble foretatt i merknadene fant tilsynet det naturlig å sende varsel om kontroll av kameraovervåking av BIB tjenester til DNB Når tilbakemeldingen var at banken ikke ansa seg selv som behandlingsansvarlig for kameraovervåking av BIB tjenester valgte tilsynet å gjennomføre kontrollen overfor virksomhetene som hadde påtatt seg slikt ansvar 6 2 Behandlingsansvarlig for kameraovervåking av BIB Datatilsynet er kjent med at profilhusene har kameraovervåking generelt i butikkene for å sikre ansatte kunder og varer Tilsynet er innforstått med at disse kameraene også dekker de områdene der BIB tjenester utføres Tilsynet anser at profilhusene vil ha adgang til å behandle slike personopplysninger når personopplysningsloven 37 og 38 er oppfylt Profilhusene må etter personopplysningsforskriften 8 4 annet ledd slette slike opptak senest etter 7 dager Problemstillingen i denne saken er om Profilhusene kan være behandlingsansvarlige for kameraovervåking av BIB tjenester med en mulighet til å lagre opptakene i inntil tre måneder Datatilsynet vil poengtere at tilsynet ikke problematiserer om profilhusene de facto er behandlingsansvarlig eller om profilhusene oppfyller definisjonen i personopplysningsloven 2 nr 4 Det Datatilsynet problematiserer er om profilhusene kan være behandlingsansvarlig for kameraovervåking av BIB tjenester Det er på det rene at DNB er behandlingsansvarlig for behandling av personopplysninger som skjer når det formidles banktjenester Det er videre klart at i BIB vil profilhusene utføre banktjenestene på vegne av banken Profilhusene vil i den relasjon være en databehandler jf personopplysningsloven 2 nr 5 Spørsmålet som reiser seg er om profilhuset databehandleren kan være behandlingsansvarlig for kameraovervåkingen av bankens behandlingsansvarliges virksomhet Det rettslige utgangspunktet er personopplysningsloven 11 bokstav b som sier Den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet Formålet må etter dette ha en nær og naturlig sammenheng med profilhusenes virksomhet Virksomheten til NorgesGruppen er gjennom butikkene Kiwi Sognsveien og Spar Tåsen å drive butikkhandel med bredt vareutvalg med hovedvekt på nærings og nytelsesmidler Videre er profilhusenes sentrale virksomhet å utvikle forvalte og administrere hhv Kiwi og Spar konseptet Formålet med kameraovervåking er av profilhusene pkt 2 3 i klagen oppgitt til å være forebygge kriminalitet oppklare kriminalitet beskytte kunder mot kriminalitet sikre at ansatte mot uriktig anklager om svindel og andre straffbare forhold sikre ansatte mot urettmessige erstatningskrav Formålene om å oppklare kriminalitet forebygge kriminalitet og beskytte kunder mot kriminalitet vil profilbusene etter tilsynets vurdering kunne oppfylle ved ordinær lagringstid innen syv dager jf personopplysningsforskriften 8 4 annet ledd Hensynene kunne i så måte gjort seg gjeldende selv om butikken ikke hadde formidlet BIB tjenester Formålene om å sikre ansatte mot falske anklager og urettmessige erstatningskrav har tidligere ikke blitt angitt som formål for kameraovervåking av BIB før brev av 11 september 2013 Datatilsynet har i forbindelse med kontrollen fått tilsendt samarbeidsavtalen mellom NorgesGruppen og DNB av 5 november 2004 I samarbeidsavtalens pkt 10 forhold til tredjeparter heter det at Banken NorgesGruppen og det enkelte Kjedemedlem driver virksomhet som selvstendige juridiske enheter og bærer selv ansvaret i forhold til egne ansatte kunder leverandører offentlige myndigheter m v Banken har i forhold til tredjeparter ansvaret for følgene av stans i betalingsformidlingen og eller annen svikt som fullt ut eller hovedsakelig relaterer seg til Bankes kjernevirksomhet med mindre slike feil skyldes forsømmelse hos NorgesGruppen eller Kjedemedlemmet eller andre forhold NorgesGruppen svarer for Banken skal holde NorgesGruppen skadesløs for ethvert krav fra tredjeparter som følge av slike forhold som Banken svarer for etter denne bestemmelse NorgesGruppen har i forhold til tredjeparter ansvaret for følgende av feil ved kontanthåndtering i de av Kjedemedlemmene som er egeneide Videre også for butikkdatasystemer og eller annen svikt ved andre funksjoner som fullt ut eller hovedsakelig relaterer seg til NorgesGruppens virksomhet eller det enkelte egeneide Kjedemedlems butikkvirksomhet med mindre slike feil skyldes forsømmelse has Banken eller andre forhold Banken svarer for Datatilsynet forstår dette punktet slik at banken i utgangspunktet bærer kostnadene hvis BIB tjenesten blir utsatt for en kriminell handling som f eks svindel Det vil imidlertid kunne rettes et regresskrav mot NorgesGruppen hvis det kan påvises forsømmelse fra NorgesGruppens side Datatilsynet forstår at det er bakgrunnen for at profilhusene begrunner kameraovervåkingen av BIB tjenester til også å sikre ansatte mot falske anklager og urettmessige erstatningskrav Hensynet bak kameraovervåkingen av BIB tjenester må således forstås som et tiltak for å kunne dokumentere at NorgesGruppen og deres ansatte ikke har opptrådt klanderverdig eller erstatningsbetingende Det som begrunner en utvidet lagringstid på inntil tre måneder er for å oppklare kriminelle handlinger som det erfaringsmessig tar noe tid å oppdage som f eks svindel eller bedrageri Datatilsynet legger til grunn at hvis en BIB blir utsatt for svindel eller bedrageri så er det hhv bankkunden eller banken som anses som fornærmet i strafferettslig forstand Det er banken som påføres det økonomiske tapet når handlinger svindel som begrunner den utvidet lagringstiden oppstår Det at handlingen blir fanget opp gjennom kameraovervåkingen vil følgelig være i bankens interesse og beskytte bankens virksomhet Det kan videre hevdes at det vil være vanskelig for banken å påberope at NorgesGruppen v profilhusene har oppdratt erstatningsbetingende uten at kameraopptak av den aktuelle hendelsen foreligger Bevisbyrden må i slike tilfeller påhvile banken som krever regress av NorgesGruppen Det kan anføres at profilhusene har en indirekte interesse i få oppklart den kriminelle handlingen siden den kriminelle gjemingen blir utført i deres lokaler og kan i den anledning oppleves belastende for ansatte og virksomheten Datatilsynet er imidlertid av den oppfatningen at denne interessen ligger i periferien av hva som kan anses som profilhusenes virksomhet og profilhusene vil uansett kunne ivareta disse hensynene gjennom de avtalene virksomheten inngår med banken Profilhusenes kameraovervåking av BIB tjenester vil etter tilsynets vurdering falle utenfor hva som er profilhusenes virksomhet jf personopplysningsloven 11 bokstav b 6 3 Utlevering av billedopptakene til banken Det vises til at virksomhetene har inngått en databehandleravtale der profilhusene er behandlingsansvarlige for kameraovervåkingen av BIB og banken er databehandler Profilhusene overleverer opptakene til DNB som igjen bearbeider opptaket før det gis til politiet Etter bankens statistikk er bearbeidingen av opptakene avgjørende for å få de som har begått ugjerningen straffeforfulgt og dømt Etter Datatilsynets vurdering er en slik konstruksjon en omgåelse av personopplysningsloven 39 som forbyr utlevering av bildeopptak til andre behandlingsansvarlige dersom den som er avbildet ikke har samtykket eller utleveringsadgangen ikke følger av lov Datatilsynet registrer at DNB i sin klage mener ordningen er kurant og uproblematisk Banken anfører videre at det forhold at DNB har en egeninteresse i at resultatet blir best mulig kan ikke være til hinder for at banken i denne sammenheng opptrer som databehandler for butikken Datatilsynet er i utgangspunktet enig i at selv om banken har en egeninteresse i at resultatet blir best mulig er ikke det til hinder for at man kan opptre som en databehandler I dette tilfellet vurderer tilsynet at denne egeninteressen er svært fremtredende og ikke minst utslagsgivende for at man i det hele tatt kan lagre kameraopptak i inntil tre måneder Etter tilsynets vurdering foretas kameraovervåkingen av BIB for bankens interesser jf pkt 6 2 over Det er banken som bærer den økonomiske risikoen og banken betaler sågar profilhusene for å få utlevert bildeopptakene til seg noe som helt klart viser hvor fremtredende bankens egeninteresse er Datatilsynet finner av den grunn ikke banken til å være en databehandler men en behandlingsansvarlig når de mottar bildeopptak fra profilhusene Profilhusene vil derfor være forhindret fra å utlevere billedopptakene til DNB uten at vilkårene i personopplysningsloven 39 er oppfylt DNB fremmet i brev av 29 april 2013 et løsningsforslag for hvordan utlevering av bildeopptak kunne gjennomføres I løsningen foreslår DNB at profilhusene og banken i fellesskap skal få tilgang til opptak eldre enn 7 dager Banken er av den oppfatning at de kan få slik tilgang uten å være behandlingsansvarlig Datatilsynet deler ikke denne forståelsen Etter Datatilsynets oppfatning kan ikke banken få slik tilgang til opptakene uten å være behandlingsansvarlig for kameraovervåkingen av BIB Banken vil følgelig ikke kunne bearbeide kameraopptakene som de gjør i dag uten å være behandlingsansvarlig Datatilsynet kan ikke se at den foreslåtte løsningen kan være i tråd med personopplysningsloven da den løsningen i likhet med dagens løsning vil være i strid med personopplysningsloven 39 6 4 Personvernhensyn Profilhusene har anført en rekke argumenter for hvorfor man mener at kameraovervåkingen av BIB tjenester ligger innenfor profilhusenes virksomhet Det vises blant annet til at det er profilhusenes virksomhet butikker og ansatte som overvåkes Datatilsynet vil fremheve at partene har valgt å inngå et kommersielt samarbeid som innebærer at banken får tilbudt grunnleggende banktjenester på en rimeligere måte enn det å ha egne banklokaler gjennom NorgesGruppens butikker Et slikt samarbeid vil naturlig nok kunne medføre enkelte personvernutfordringer Datatilsynet forstår at profilhusene som databehandler har interesser knyttet til hvordan BIB tjenesten fungerer og banken som behandlingsansvarlig har en interesse knyttet til hvordan butikken fremstår Den andre avtalepartens disposisjoner vil således få følger for hvordan kunder opplever samarbeidspartneren Partene star fritt til å løse slike potensielle interessekonflikter gjennom å finne konstruktive løsninger innenfor lovens

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_21.htm (2014-09-28)
    Open archived version from archive

  • Personvernnemnda
    den etterfølgende beskrivelsen av kontrollen på flere områder ikke var i overensstemmelse med det som faktisk fant sted Tilsynet har avvist å motta opptaket og har heller ikke villet endre sin oppfatning av det tilsynet feilaktig mente fant sted selv etter at TG fremla transkribering av relevante passuser fra lydfilen som viser dette TG vil med dette tilby at Personvernnemnda kan lytte igjennom lydfilen fra kontrollen og ved selvhør vil oppleve at forhold som beskrives å ha skjedd ikke har funnet sted og videre at hendelser påstander og uttalelser tilsynet i kontrollrapporten beskriver å ha fått fra A ikke ble uttalt av A men derimot finnes som påstander i skriv fra B 4 4 Vedrørende vedtak om ileggelse av overtredelsesgebyr Med unntak for de to pålegg som er påklaget av TG jf punkt 4 2 og 4 3 ovenfor er det ikke bestridt fra TG sin side at de øvrige forhold som Datatilsynet identifiserte under sin stedlige kontroll er avvik fra personopplysningslovens regler på tidspunktet den stedlige kontroll fant sted Det er samtidig anført i klagen at flere av de avvik som ligger til grunn for vedtak om overtredelsesgebyr er knyttet til tidligere daglig leders opptreden og som er forhold som ligger utenfor TGs kontroll I klagen er det fremlagt omfattende dokumentasjon som underbygger dette TG konstaterer at Datatilsynet basert på dokumentasjonen fremlagt i klagen og etterfølgende brev nå anser det godtgjort at B har handlet i den hensikt å ramme TGs interesser Datatilsynet presiserer samtidig at Det bestrides heller ikke at disse omstendighetene ikke er tillagt stor vekt Bakgrunnen for dette er at de ikke har betydning for lovmessigheten til de brudd på personopplysningsloven som påleggene knytter seg til Datatilsynets presisering kan forstås slik at de avvik som TG anfører at B står bak uansett ikke ville gitt grunnlag for overtredelsesgebyr etter personopplysningsloven 46 Størrelsen på overtredelsesgebyret er også uforandret Samtidig presiserer Datatilsynet at Det er godtgjort at de bruddene på personopplysningsloven som ble avdekket under kontrollen ligger innenfor virksomhetens kontroll og at de er et resultat av bevisste valg fra selskapets ledelse Sammenholdt med Datatilsynets uttalelse i vedtaksbrevet av 5 april 2013 s 13 om at samtlige av TGs overtredelser er å anse som alvorlige kan dette vanskelig forstås på annen måte enn at Datatilsynet mener at også de avvik som TG anfører at B står bak gir grunnlag for overtredelsesgebyr etter personopplysningsloven 46 Størrelsen på overtredelsesgebyret som TG er ilagt er identisk med det nivå som ble meddelt selskapet allerede i Datatilsynets varsel om vedtak datert 20 juni 2012 før TG dokumenterte selskapets påstand om at B står bak flere av avvikene TG anfører at en rekke av avvikene ligger utenfor TGs kontroll og at Datatilsynets rettsanvendelse knyttet til vilkårene for overtredelsesgebyr etter personopplysningslovens 46 er feil Personopplysningsloven 46 første ledd siste punktum bestemmer at et foretak kan ikke ilegges overtredelsesgebyr dersom overtredelsen skyldes forhold utenfor foretakets kontroll Kontrollbegrepet blir ikke kommentert nærmere i forarbeidene til personopplysningsloven men veiledning kan hentes fra andre lovområder I relasjon til bestemmelsen om foretaksstraff i straffeloven 48a er det sikker rett at overtredelser som bærer preg av illojalitet mot foretaket ikke anses begått på vegne av foretaket jf Høivik Foretaksstraff 2012 s 284 289 Foretaksstraffens funksjon som organisatorisk incitament kan ikke begrunne ansvar som krenker foretakets egne interesser Slike handlinger vil sjelden ligge innenfor foretakets kontrollsfære I følge Høivik er motivet for handlingen avgjørende En lignende begrensning følger av spørsmålet om arbeidstakeren har gått ut over det som er rimelig å regne med etter skadeserstatningsloven 2 1 første ledd annet punktum Det vil typisk være aktuelt å frita for ansvar der handlingen ikke er utslag av en normal risiko som følger med funksjonen i foretaket men snarere et utslag av gjerningspersonens ekstraordinære atferd det vil si en særegen risiko som følger med en bestemt gjerningsperson I denne sak hadde TG etablert et forsvarlig internsystem og gjort hva som rimelig kan kreves for å forhindre lovbrudd B handlinger som var illojale og motivert av å skade TGs interesser fremstår i dette perspektivet som utslag av en ekstraordinær risiko ved gjerningspersonen ikke som utslag av systemsvikt eller manglende organisatoriske tiltak Overtredelsene må således sies å skyldes forhold utenfor TGs kontroll Det anføres at det kreves kvalifisert sannsynlighetsovervekt også for at B handlinger ligger innenfor selskapets kontroll Beviskravet må klart også gjelde for kontrollvilkåret Datatilsynets uttalelser om at B handlinger ikke er tillagt stor vekt og at de ikke har betydning for lovmessigheten til de brudd på personopplysningsloven som påleggene knytter seg til etterlater imidlertid tvil om kontrollvilkåret er riktig anvendt og om Datatilsynet har oppfylt sin bevisbyrde En rekke av de forhold som er påberopt av TG i klagen var også gjenstand for bevisføring i hovedforhandlingen mellom B og Aquarius Holding 16 20 desember 2013 B la i den sivile saken frem en rekke nye dokumentbevis bl a utskrifter av sms korrespondanse og sakkyndig rapport som skulle underbygge at A ikke bare kjente til men også var instrumentell i Cs falske telestemmer under Skal vi danse og at det ble funnet to fakturaer i Teletopias regnskap for husleie for en leilighet som Bs sønn hadde bodd i for Teletopias regning som i følge B var attestert av A hvilket skulle bevise at han var kjent med leieforholdet Disse forhold er også omtalt i TGs brev av 12 mars 2012 Aquarius Holding har på sin side fremlagt dokumentasjon fra nasjonale og internasjonale sakkyndige og spesialister herunder ekspert i skriftanalyse tidligere ansatt i Kripos som imøtegår anførslene fra B Videre er fremlagt omfattende dokumentasjon som underbygger at B har forfalsket dokumentasjon herunder oppgitt uriktig opplysninger om ikke eksisterende studiested i sin CV A har også innhentet kopi av Bs politiforklaringer knyttet til de forhold han er blitt anmeldt for som dokumenterer motstridende forklaringer mellom hva B har forklart til politiet og til Datatilsynet om sin rolle i selskapsgruppen Disse forhold er også opplyst av A i hans e post til Datatilsynet av 22 oktober 2013 Datatilsynet har gjort et poeng av at B ikke var innmeldt til Brønnøysundregistrene som daglig leder i Teletopia Gruppen men formelt ansatt i et annet selskap i konsernet det selskapet der samtlige medarbeidere i telekomvirksomheten og samtlige medarbeidere i backoffice stab og regnskapsfunksjon var ansatt i Det er imidlertid blitt dokumentert for retten og for Datatilsynet at B har opptrådt som og signert med tittel som daglig leder i alle Teletopia selskapene Han har på sin CV som er avdekket å være forfalsket angitt å være general manager dvs daglig leder i Teletopia AS I sin forklaring for Oslo tingrett ble han spurt direkte av dommeren om hvilke roller han hadde i de ulike selskapene Han oppga at han fungerte som daglig leder også i Teletopia Gruppen AS Dokumentasjon for dette fremkommer i selskapsgruppens politianmeldelse 13 februar 2014 mot B for falsk forklaring og fremleggelse i retten av forfalsket eksamensdokument fra ikke eksisterende skole der det også er vedlagt transkribering av relevante deler av hans forklaring for retten Det er opplyst at tingretten samtykket til at det kunne foretas lydopptak av hovedforhandlingen jf tvisteloven 13 7 TG fastholder at ingen av avvikene gir grunnlag for å ilegge overtredelsesgebyr Det vises til de faktiske og rettslige anførsler i brev av 6 mai 2013 samt etterfølgende brev av 11 og 19 september 2013 og brev av 31 august 2012 De avvik som er fremhevet fra Datatilsynets side i vedtak om overtredelsesgebyr av 5 april 2013 er Ulovlig lydopptak kameraopptak manglende informasjon til de ansatte manglende sletting av kameraopptak og ulovlig tilgang til kameraopptak I oversendelsesbrevet til Personvernnemnda har Datatilsynet presisert at det er lydopptakene som gjøres i det skjulte og fjernovervåkning av ansatte som vurderes som mest alvorlig i forhold til tilsynets vedtak om overtredelsesgebyr Når det gjelder lydopptakene og fjernovervåkningen er dette kommentert i hhv punkt 4 2 og 4 3 ovenfor og nærmere omtalt i brev av 6 mai 2013 og 31 august 2012 Disse forhold gir ikke grunnlag for ileggelse av overtredelsesgebyr idet det ikke er sannsynliggjort at vilkårene etter personopplysningsloven 46 er oppfylt Påstanden om fjernovervåkning antas å stamme fra B TG har rett til innsyn i dokumenter som B har sendt politiet bl a i den hensikt å få politiet til å straffeforfølge A Dokumentet inneholder påstander om at han skal ha observert at A har fjernovervåket ansatte om at A sitter på kontoret flere timer hver dag for å redigere og arkivere dagens skjulte lyd og bildeopptak osv Dokumentet inneholder også mer kuriøse påstander om at A som er jøde selv skal ha uttalt at han tilhører en folkegruppe som er andre overlegne og at A på grunn av dette lett tyr til ulovligheter Hva gjelder avviket knyttet til kameraopptak legger TG til grunn at dette omfatter de to kameraene som fanget opp de to korridorene til høyre for resepsjonsområdet når man kommer inn i selskapets lokaler fra inngangsdøren og som ble fjernet av TG straks selskapet ble gjort kjent med at man hadde misforstått Datatilsynets vedtak om pålegg av 18 mars 2009 jf brev av 6 mai 2013 og 31 august 2012 Vedtaket ble for øvrig påklaget og senere henlagt uten ytterligere klagebehandling På vegne av TG fastholdes at det forhold at avviket skyldes en misforståelse fra selskapets side som også Datatilsynets medarbeidere bidro til å skape ikke gir grunnlag for ileggelse av overtredelsesgebyr Det foreligger således heller ikke noen gjentakelse I tillegg omfatter avviket knyttet til kameraopptak det forhold at de andre kameraene som lovlig overvåker selskapets inngangsparti var innstilt på å gjøre opptak i kontortiden mellom 08 00 og 16 00 ved at timeplanfunksjonen som styrer dette var tatt bort på tidspunktet kontrollen fant sted TG fastholder at opptakstidspunktet kan ha blitt endret ved en inkurie eller mest sannsynlig av tidligere daglig leder som fratrådte sin stilling 22 dager før kontrollen fant sted Dette er et avvik som ligger utenfor selskapets kontroll I lydopptaket fra kontrollbesøket fremkommer det at Datatilsynet var svært opptatt av å få vite om kamerasystemet gjorde opptak i arbeidstiden og flere ganger stilte kontrollspørsmål om dette det synes som om tilsynet hadde forhåndsopplysninger om at de ville finne nettopp et slikt brudd Da A forklarte at utstyret var innstilt til ikke å gjøre opptak innenfor arbeidstid konkluderte tilsynet med at A forklaring ikke var korrekt Når det gjelder avviket knyttet til manglende sletting av kameraopptak i selskapets serverrom fastholder TG at selskapet ikke kan ilegges overtredelsesgebyr når selskapet har forholdt seg til ordlyden i personopplysningsloven 8 4 fjerde ledd bokstav c selv om Datatilsynet tolker lovens ordlyd innskrenkende Det fremgår av vedtaket at også avvikene knyttet til manglende dokumentasjon av interkontroll og informasjonssikkerhet samt databehandleravtaler ligger til grunn for vedtak om overtredelsesgebyr TG fastholder at slik dokumentasjon var utarbeidet og eksisterte før tidligere daglig leder fratrådte sin stilling 1 november 2011 og at det er han som må ha slettet dokumentasjonen Det vises til at det er dokumentert i saken hvordan B overførte store mengder bedriftssensitiv informasjon herunder systempassord til sin private e postkonto Under hovedforhandlingene i tvisten mellom B og Aquarius Holding forklarte B at han etter å ha kopiert materialet ulovlig deretter slettet alle bedriftsrelaterte dokumenter og kun beholdt de dokumentene som var private Etter at hovedforhandlingen ble avsluttet den 5 januar 2014 mottok imidlertid en ansatt i selskapsgruppen en e post fra B knyttet til en kunderelatert e post den ansatte hadde mottatt til seg selv i 2011 samt en lesebekreftelse fra B der det fremgår at han hadde lest samme dag en virksomhetsrelatert e post den ansatte hadde sendt til hans firmapostkasse i 2010 Dette underbygger at B fortsatt har tilgang til bedriftssensitiv informasjon tilhørende selskaper i selskapsgruppen i tillegg til å underbygge at B forklarte seg uriktig under sin partsforklaring i tingretten også på dette punktet TG har også bestridt at det foreligger avvik knyttet til manglende informasjon til de ansatte om behandling av personopplysninger I klagen bes Personvernnemnda innhente uttalelser fra de ansatte og konserntillitsvalgte i Teletopia for det tilfellet Datatilsynet fastholder at det ikke er gitt informasjon til de ansatte og tillitsvalgte om behandling av personopplysninger herunder kameraovervåkning i kontorlokalene Etter det TG kjenner til er det så langt ikke blitt rettet noen slik henvendelse til de ansatte i selskapet og TG legger således til grunn at Datatilsynet har frafalt dette forholdet Under enhver omstendighet er ikke beviskravene oppfylt Det vises til rapporten fra privatetterforsker Finn Abrahamsen sin samtale med selskapsgruppens tidligere tekniske leder Kashif Shazad hvor det fremgår at han er rimelig sikker på at han ville hatt kjennskap til skjulte kameraer jf brev av 19 september 2013 At Datatilsynet på sin side kun forholder seg til de funn som ble gjort på kontrolltidspunktet er ikke tilstrekkelig til å oppfylle beviskravet etter personopplysningsloven 46 Det samme gjelder det faktiske grunnlag som inngår i utmåling av overtredelsesgebyrets størrelse A ber om å få anledning til å presentere de for TG viktigste delene av saken muntlig for Personvernnemnda hvis mulig 5 Datatilsynets vurdering 5 1 Vedrørende pålegg om kameraovervåkning via offentlig IP adresse må opphøre I klagen anføres det at Datatilsynet har lagt et uriktig faktum til grunn for pålegget Det hevdes fra virksomhetens side at det ikke er tilfelle at noen i virksomheten faktisk hadde fjerntilgang til lydopptakene på kontrolltidspunktet Det hevdes at opptakssystemet kun åpner for denne muligheten Dette bestrides fra Datatilsynets side men etter tilsynets vurdering har det heller ikke avgjørende betydning hvordan systemet var konfigurert på kontrolltidspunktet pålegget retter seg fremover i tid og det fastholdes at tilgangen må opphøre Fra virksomhetens side er det uansett bekreftet at styreleder hadde tilgang til bilder som ble overført fra tre av kameraene i lokalet via sin bærbare PC og sin mobiltelefon I klagen gjøres det også et poeng ut av at tilgangen til de profilene som ga adgang til bildene var begrenset At bildene ikke har vært tilgjengelig for enhver er naturligvis av betydning men det har også hele tiden vært premisset for Datatilsynets vurderinger Det har blitt lagt til grunn at det var styreleder i TG som hadde tilgang til bildene fra overvåkningskameraene Tilsynet fastholder at fjerntilgang til bilder fra overvåkningskameraer ikke har et gyldig behandlingsgrunnlag etter personopplysningsloven I den sammenheng er det også lagt vekt på at den aktuelle løsningen TG benytter meget enkelt kan konfigureres slik at det åpnes for tilgang til andre kameraer enn de som er plassert i serverrom og at tilgangen kan benyttes også utenfor alarmsituasjoner Datatilsynets konklusjon er at pålegget om at fjerntilgang til bilder fra virksomhetens overvåkningskameraer skal opphøre må opprettholdes 5 2 Vedrørende pålegget om sletting av skjulte lydopptak I klagen presiseres det hvilke lydopptak TG nå er i besittelse av og som Datatilsynets pålegg således omfatter Det gjøres gjeldende at videre lagring av de aktuelle opptakene har et gyldig behandlingsgrunnlag ved at lydfilene senere vil kunne tjene som bevis i rettstvister Det opplyses i klagen at alle de tre opptakene er relevante som dokumentasjon i pågående tvister vedtak og ileggelse av overtredelsesgebyr Tvister som det i følge klager er sannsynlig at vil bli brakt inn for domstolene Datatilsynet holder fast ved at opptakene inneholder personopplysninger som er ervervet på et vis som er i strid krav i personopplysningsloven Det er ikke godtgjort at det forelå et gyldig behandlingsgrunnlag for innhentingen av opplysningene Videre ble ikke de registrerte informert slik loven krever Dette er tillagt stor vekt I klagen bemerkes det at det ikke er tilfelle at TGs styreleder til enhver tid bærer to båndopptakere på seg og at han tar opp alle samtaler han deltar i slik det ble hevdet under kontrollen Til det er det å bemerke at Datatilsynets pålegg knytter seg til de lydopptak foretatt i det skjulte som måtte finnes Hvorvidt det er en utbredt praksis at daglig leder tar opptak av samtaler han deltar i er ikke avgjørende for det vedtatte påleggets gyldighet Som Datatilsynet vil komme tilbake til under har dette forholdet heller ikke vært av betydning for ileggelsen av overtredelsesgebyr eller gebyrets størrelse Videre er det anført at habilitetskravet som følger av forvaltningsloven 6 er til hinder for at saksbehandlerne som gjennomførte kontrollen av virksomheten og som således fanges opp på et av lydopptakene som slettepålegget knytter seg til kan treffe vedtak i saken Datatilsynets medarbeidere har vurdert egen habilitet i tråd med forvaltningsloven 8 Det følger av forvaltningsloven 6 annet ledd at en offentlig tjenestemann er ugild dersom det foreligger forhold som er egnet til å svekke tilliten til hans upartiskhet Blant annet skal det legges vekt på om avgjørelsen i saken kan innebære en særlig fordel tap eller ulempe Datatilsynet fastholder at tilsynets medarbeidere ikke er å betrakte som inhabile i denne sammenheng Utfallet av saken innebærer ingen særlig fordel eller ulempe for saksbehandler Tilsynet har likefult på bakgrunn av klagers anførsel valgt å begrense rekkevidden av slettepålegget slik at det ikke omfatter opptaket som ble gjort under gjennomføringen av kontrollen eller senere telefonsamtaler med ansatte i Datatilsynet Det bemerkes imidlertid at det følger av lov at lagring av opptaket fordrer et gyldig behandlingsgrunnlag i henhold til personopplysningsloven 8 Virksomheten må selv kunne godtgjøre at vilkårene for den aktuelle behandlingen av personopplysninger foreligger Datatilsynets konklusjon er at vedtaket om sletting av lydopptak må opprettholdes med unntak av opptaket som stammer fra Datatilsynets kontroll og opptak av telefonsamtaler med ansatte i Datatilsynet 5 3 Vedrørende vedtak om ileggelse av overtredelsesgebyr Virksomheten gjør gjeldende at vilkårene for å ilegge overtredelsesgebyr i personopplysningsloven 46 ikke er oppfylt Videre anføres det at vedtaket er vilkårlig urimelig og uforholdsmessig Subsidiært gjøres det gjeldende at beløpet kr 200 000 er en for streng reaksjon Det argumenteres i klagen for at overtredelsesgebyr er å anse som straff etter EMK art 6 nr 2 og at beviskravene som må være oppfylt for at reaksjoner som har karakter av straff er strenge og i den forbindelse er det vist til Rt 2007 1217 Fra virksomhetens side bemerkes det også at Datatilsynet i vedtaket har lagt til grunn at det foreligger klar sannsynlighetsovervekt for at sakens faktum fortoner seg slik det er beskrevet i kontrollrapporten Det påberopes at når Datatilsynet legger til grunn

    Original URL path: http://www.personvernnemnda.no/vedtak/2013_20.htm (2014-09-28)
    Open archived version from archive