Inspektion af banks tv-overvågning
Brevdato: 13.05.11
Journalnummer: 2009-619-0012
Som led i Datatilsynets tilsynsvirksomhed efter persondatalovens § 62 blev der den 10. november 2009 afholdt inspektion af bank B’s tv-overvågning. Inspektionen foregik på B’s hovedkontor.
Under inspektionen blev bankens tv-overvågning drøftet med udgangspunkt i det forud for inspektionen udfyldte spørgeskema.
Den 24. marts 2010 afgav Datatilsynet en udtalelse om en række af de emner, som havde givet anledning til nærmere behandling, og hvor B efter inspektionen havde rettet sine forretningsgange og lignende. Kopi af Datatilsynets brev af 24. marts 2010 vedlægges til orientering.
Herefter udstod kun to spørgsmål:
1. Transmissionen til politiet via internet.
2. Oplysningspligten ved tv-overvågning uden for banken.
1. Transmission til politiet via internet
1.1. Under inspektionen fik Datatilsynet oplyst, at der blev anvendt en internetopkobling til frem-sendelse af optagelser til politiet via en FTP-server. Der blev ikke anvendt kryptering, og politiets adgang var baseret på brugernavn og password.
Efterfølgende udtalte Datatilsynet den 24. marts 2010 bl.a. følgende:
”Ifølge persondatalovens § 41, stk. 3, påhviler det den dataansvarlige at træffe de fornødne tekniske sikker-hedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab.
Datatilsynet har den 18. december 2008 offentliggjort anbefalinger om sikkerhed ved optagelse og opbevaring i forbindelse med tv-overvågning . Datatilsynet anbefaler bl.a., at de dataansvarlige beskytter data med opkobling over internet. Datatilsynet anfører i den forbindelse, at hvis optagelser eller billeder derfra overføres over internet og lign. (åbne net), kan der være et behov for kryptering. Om dette er nødvendigt, afhænger af, om der er nærliggende risiko for, at uvedkommende vil kunne søge at skaffe sig adgang til tv-overvågningen under overførslen.
Efter Datatilsynets opfattelse må det i denne sammenhæng tages i betragtning, at der er tale om transmission af optagelser til politiet – altså optagelser af personer, som begår kriminalitet. Datatilsynet må således lægge til grund, at der indgår følsomme personoplysninger om strafbare forhold.
Datatilsynet finder derfor, at de fornødne sikkerhedsforanstaltninger efter persondatalovens § 41, stk. 3, i dette tilfælde må omfatte kryptering ved transmission over internet. Datatilsynet går endvidere ud fra, at det vil være muligt at udforme en løsning med kryptering – evt. ved transmission over en hjemmeside, hvor der an-vendes SSL kryptering e.l.
Datatilsynet finder derfor, at [B] snarest må ændre sin fremgangsmåde i forbindelse med transmission af de omhandlede følsomme oplysninger.
Datatilsynet skal i den anledning anmode [B] om inden 1 måned at oplyse tilsynet om, hvorledes banken har tænkt sig at tilrettelægge den omhandlede transmission fremover.”
Ved telefonsamtale af 25. august 2010 har B bl.a. oplyst, at banken har iværksat etableringen af en datacentral, således at B selv kan oprette en FTPs server til brug for transmission af billed- og videooptagelser til politiet, og at banken herefter vil udstede certifikater til samarbejdspartnere hos politiet.
Ved e-post af 24. september 2010 har B endvidere oplyst, at banken har taget en FTPs-løsning med certifikat i brug på bankens datacentral. Efter anmodning fra Datatilsynet har banken den 7. oktober 2010 fremsendt en nærmere beskrivelse af FTPs-løsningen. Det fremgår bl.a. heraf, at for at kunne administrere serveren skal der tildeles privilegerede rettigheder. Certifikatet på serveren er udstedt af RSA og kører med en 1024 bits kryptering.
1.2. Datatilsynet har noteret sig det oplyste og går herefter ud fra, at transmission af optagelser til politiet over internettet sker krypteret, samt at oplysningerne hos politiet alene kan tilgås af de sam-arbejdspartnere hos politiet, hvortil der er udstedt certifikat.
2. Oplysningspligten ved tv-overvågning uden for banken
2.1. B foretager inden for rammerne af tv-overvågningslovens § 2, nr. 3, litra b, tv-overvågning af arealer, som ligger i direkte tilknytning til bankens indgange og facader. Et område foran banken samt fortovet overvåges.
B oplyste på inspektionen, at der typisk kun skiltes ved indgangsdørene, men at kameraerne bevidst er gjort meget tydelige af hensyn til den præventive virkning.
Ved brev af 20. april 2010 har B oplyst, at spørgsmålet om rækkevidden af skiltningskravet ved udendørs tv-overvågning i banksektoren har været til debat i Finansrådets sikringsudvalg sidst i 2009, og at Finansrådet i den forbindelse har udfærdiget et kommentarnotat.
Af notatet fremgår bl.a. følgende:
”Finansrådet kan i denne anledning oplyse, at det er en generelt udbredt praksis i pengeinstitutterne at overholde [skiltningskravet i § 3, stk. 1, i lov om tv-overvågning] ved at opsætte skilte om tv-overvågning på indgangsdør. Såfremt der ligeledes foretages videoovervågning af arealer omkring bagdør, skal der ligeledes være skiltning på bagdør, ligesom særskilt tv-overvågning af pengeautomater skal skiltes særskilt på pengeautomaten. Finansrådet er ikke bekendt med, at den anvendte praksis har givet anledning til bemærkninger fra Datatilsynet til andre
pengeinstitutter. Det er endvidere Finansrådets klare opfattelse, at denne praksis opfylder lovens krav til skiltning.”
B har videre oplyst, at banken på den baggrund har valgt at forsyne den over pengeautomaterne integrerede lysskiltning med et videoovervågningspiktogram. Dette sker allerede i foråret på en del nyinstallationer, men også løbende på de bestående pengeautomater. Alle skilte forventes udskiftet i 2010. B har til Datatilsynet fremsendt en kopi af den nye skiltning.
2.2. I medfør af tv-overvågningslovens § 3, stk. 1, skal private, der foretager tv-overvågning af ste-der eller lokaler, hvortil der er almindelig adgang, eller af arbejdspladser, ved skiltning eller på anden tydelig måde give oplysning herom.
Herudover skal persondatalovens regler om oplysningspligt iagttages, jf. lovens § 26 b, hvorefter bestemmelserne i lovens §§ 29 og 30 gælder uanset en eventuel skiltning i medfør af §§ 3 og 3 a i lov om tv-overvågning.
I lovforslag L162 i Folketingssamling 2006-07 er i bemærkningernes afsnit 7.3.2 angående oplys-ningspligt bl.a. anført følgende:
”For så vidt angår tv-overvågning af steder, som benyttes til almindelig færdsel, vil der i de enkelte tilfælde normalt ikke ud over den skiltning mv., som følger af tv-overvågningslovens regler være oplysningspligt over for de registrerede personer. Det skyldes, at et sådant krav i praksis normalt vil være umuligt eller uforholds-mæssigt vanskeligt for den dataansvarlige at opfylde, jf. persondatalovens § 29, stk. 3.
”Det vil derimod ikke være umuligt eller uforholdsmæssigt vanskeligt for en arbejdsgiver, der foretager tv-overvågning af en arbejdsplads, at opfylde oplysningspligten over for de ansatte. Ved en sådan overvågning vil det derfor ud over den skiltningspligt mv., som følger af tv-overvågningslovens regler som udgangspunkt påhvile den dataansvarlige forud for tv-overvågningens iværksættelse at give meddelelse til den enkelte ansatte om tv-overvågningen med de oplysninger, som fremgår af § 29, stk. 1. Denne meddelelse skal i overensstemmelse med Datatilsynets hidtidige praksis omfatte oplysning om bl.a. formålet med den behandling, hvortil oplysningerne er bestemt (f.eks. at formålet med overvågningen er at forebygge og opklare ansattes eventuelle kriminalitet). Meddelelsen skal desuden omfatte alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for den registreredes varetagelse af sine interesser.”
Datatilsynet har noteret sig det oplyste om, at B opsætter skilte på bankens pengeautomater.
For så vidt angår tv-overvågning på arealer langs facaden, lægger Datatilsynet vægt på det under inspektionen oplyste om, at de udendørs kameraer bevidst er gjort tydelige af hensyn til den præventive virkning.
Datatilsynet lægger herefter til grund, at B opfylder oplysningspligten efter persondataloven og tv-overvågningsloven i forhold til såvel de personer, som benytter pengeautomaten, som de personer, der blot går på fortovet foran banken. Tilsynet bemærker herved, at informationspligten efter tv-overvågningslovens § 3, stk. 1, kan opfyldes ved skiltning eller ved ”på anden tydelig måde give oplysning” om, at der foretages tv-overvågning.
3. Afsluttende bemærkninger
Datatilsynet betragter herefter inspektionen som afsluttet og foretager sig ikke yderligere i sagen.
Datatilsynet skal for god ordens skyld gøre opmærksom på, at dette brev vil blive offentliggjort på tilsynets hjemmeside i anonymiseret form.