Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Coop Danmark A/S

Brevdato: 22.12.17

Journalnummer: 2017-612-0035, 2017-612-0036, 2017-612-0037, 2017-612-0038, 2017-612-0039

Den 14., 15. og 16. marts 2017 var Datatilsynet på tilsyn hos følgende fem butikker i Coop Danmark A/S:

- Brugsen St. Kongensgade, St. Kongensgade 21, 1264 København K
- Dagli’Brugsen, Islev Torv, Islevbrovej 24, 2610 Rødovre
- SuperBrugsen, Ålekistevej 75, 2720 Vanløse
- Irma Peter Bangs Vej, Peter Bangs Vej 61, 2000 Frederiksberg
- Kvickly Strandlodsvej, Strandlodsvej 43, 2300 København S

Tilsynet var målrettet butikkernes behandling af personoplysninger i forbindelse med tv-overvågning.

Coop Danmark A/S (Coop Danmark) har i forbindelse med tilsynene bl.a. svaret på Datatilsynets spørgsmål om følgende emner:

  • Tv-overvågningens omfang.
  • Kameraernes placering.
  • Behandlingsreglerne i persondataloven.
  • Sletning og videregivelse af optagelser, herunder videregivelse af oplysninger til tredjemand via live-skærme i butikken.
  • De registreredes rettigheder, herunder indsigtsret, skiltning og oplysningspligt overfor ansatte og andre personer, der regelmæssigt udfører arbejde i lokalerne.
  • Sikkerhed, herunder retningslinjer, adgang til tv-overvågningen og anvendelse af passwords. 

Efter en gennemgang af Coop Danmarks besvarelser kan datatilsynet konstatere, at butikkerne på følgende punkter ikke har efterlevet persondataloven1:

1.   Opbevaring af optagelser fra tv-overvågning i mere end 30 dage.

Datatilsynet finder den manglende efterlevelse af persondataloven for beklagelig.

Nedenfor i afsnit 1 følger en nærmere gennemgang af og begrundelse for Datatilsynets udtalelse. Herudover vil Datatilsynet – på baggrund af Coop Danmarks besvarelser - i afsnit 2-4 komme med en række anbefalinger og henstillinger til Coop Danmarks fremtidige indretning af sin tv-overvågning.

1. Opbevaring af optagelser fra tv-overvågning i mere end 30 dage
Coop Danmark har i forbindelse med tilsynet oplyst, at tv-overvågningen er opsat i kriminalitetsforebyggende øjemed.
 
Af persondatalovens § 26 a, stk. 2, følger det, at optagelser, der optages i forbindelse med tv-overvågning i kriminalitetsforebyggende øjemed, skal slettes senest 30 dage efter, at optagelserne er foretaget, medmindre det er nødvendigt at opbevare optagelserne i længere tid af hensyn til den dataansvarliges behandling af en konkret tvist, jf. persondatalovens § 26 a, stk. 3.

Under den fysiske besigtigelse i Dagli’Brugsen (Rødovre) den 15. marts 2017 fik Datatilsynet forevist optagelser, som var mere end 30 dage gamle. Datatilsynet så således optagelser fra datoerne: 8. februar og 20. januar 2017. 

Datatilsynet fik oplyst, at opbevaringen af optagelserne ud over de 30 dage ikke skete på baggrund af en konkret tvist, men at de ved en fejl ikke var blevet slettet.

Idet opbevaringen af ovennævnte optagelser i mere end 30 dage ikke ses at have hjemmel i persondatalovens § 26 a, stk. 2 og 3, skal Datatilsynet indskærpe, at optagelser – som ikke opbevares af hensyn til Coop Danmarks behandling af en konkret tvist – slettes senest 30 dage efter, at optagelserne er foretaget. Datatilsynet skal endvidere henstille til, at Coop Danmark gennemgår de nuværende procedurer med butikken, så det sikres, at lignende tilfælde fremadrettet undgås.

Datatilsynet har i den forbindelse noteret sig det af Coop Danmark oplyste om, at de vil undersøge, hvorfor de pågældende optagelser ikke var blevet automatisk slettet efter 30 dage. Datatilsynet lægger desuden til grund, at Coop Danmark umiddelbart efter tilsynsbesøget har slettet de to optagelser.
 
2. Underretning af medarbejdere og andre med fast gang i de overvågede områder
Coop Danmark oplyste under tilsynene i Brugsen (København K), Dagli’Brugsen (Rødovre), Irma (Frederiksberg) og Kvickly (København S), at medarbejdere og andre med fast gang i de overvågede områder mundtligt er blevet givet forudgående information om, at der foretages tv-overvågning i butikken med henblik på kriminalitetsbekæmpelse. I Brugsen (København K) og Dagli’Brugsen (Rødovre) oplyste Coop Danmark, at medarbejderne desuden har adgang til Coop Danmarks politik om tv-overvågning, som findes på butikkens kontor eller i butikkens baglokale.
I SuperBrugsen (Vanløse) oplyste Coop Danmark, at der er givet mundtlig information til medarbejderne, herunder på et morgenmøde hvor Coop Danmarks politik om tv-overvågning blev udleveret. Hertil oplyste Coop Danmark, at butikkens rengøringspersonale ikke var blevet informeret om tv-overvågningen i butikkens lokaler.

I medfør af persondatalovens § 29, stk. 1, skal en dataansvarlig, som indsamler personoplysninger ved tv-overvågning, som udgangspunkt give den registrerede meddelelse om den dataansvarliges identitet, formålene med tv-overvågningen, samt alle yderligere oplysninger, der under hensyn til de særlige omstændigheder, hvorunder oplysningerne er indsamlet, er nødvendige for, at den registrerede kan varetage sine interesser.

Når en arbejdsgiver tv-overvåger de ansatte skal der som udgangspunkt gives meddelelse til den enkelte ansatte om formålet med tv-overvågningen og om, i hvilke tilfælde optagelserne vil blive gennemgået og videregivet til politiet.
Dette følger af kravet om god databehandlingsskik.

Kravet om god databehandlingsskik medfører endvidere, at informationen skal være forudgående, så f.eks. nyansatte skal have besked i forbindelse med deres ansættelse, eller når de begynder at arbejde i de tv-overvågede lokaler.

Det er Coop Danmark, der som ansvarlig for tv-overvågningen skal leve op til oplysningspligten i persondatalovens § 29.

I den forbindelse har Datatilsynet noteret sig, at Coop Danmark vil sørge for, at rengøringspersonalet i SuperBrugsen (Vanløse) vil modtage informationen.

Datatilsynet skal hertil anbefale, at informationen om tv-overvågning fremover gives skriftligt til alle medarbejdere og andre med fast gang i butikken. På denne måde vil Coop Danmark også bedre kunne dokumentere, at butikken har iagttaget sin oplysningspligt.

I den sammenhæng har Datatilsynet noteret sig, at Coop Danmark bl.a. har oplyst, at de fremadrettet vil overveje at give informationen skriftligt, f.eks. på en opslagstavle i butikkerne.

3. Den registreredes indsigtsret
Datatilsynet fik oplyst, at Coop Danmark endnu ikke har modtaget en indsigtsanmodning.

Under tilsynet oplyste Coop Danmark, at der i Coop Danmarks politik om tv-overvågning – som Datatilsynet har modtaget - findes nedskrevne procedurer for, hvordan indsigtsanmodninger skal håndteres.

Datatilsynet skal i den forbindelse anbefale, at Coop Danmark i politikken præciserer, at den registrerede ikke må se optagelser af andre registrerede i forbindelse med imødekommelsen af en indsigtsanmodning. Coop Danmark skal således være opmærksom på, at eventuel ”overskudsinformation” skal slettes, før der gives indsigt.

4. Beskyttelse mod uvedkommendes adgang til lagrede optagelser
Af persondatalovens § 41, stk. 3, følger det, at en dataansvarlig skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Dette betyder bl.a., at Coop Danmark – som dataansvarlig – skal sikre, at billedoptagelser fra butikkens tv-overvågningskameraer ikke kommer til uvedkommendes kendskab eller misbruges.

Som eksempler på sikkerhedsforanstaltninger kan nævnes fysisk sikring af datamedier, adgangskontrol og brug af password samt uddannelse og instruktion af medarbejdere.

Coop Danmark oplyste, at brugsuddeler, souschef og varehuschef i den enkelte butik kender det password, som giver adgang til de lagrede optagelser i den enkelte butik. Coop Danmark oplyste, at passwordet ikke udskiftes med et fast interval, men at der f.eks. vil ske udskiftning, hvis de pågældende personer finder nyt job.

Datatilsynet skal på den baggrund anbefale, at Coop Danmark fremadrettet tildeler de ansatte, der har adgang til billedoptagelserne, unikke adgangskoder, og at disse unikke adgangskoder udskiftes med passende intervaller.

Ønsker Coop Danmark ikke at tildele de relevante medarbejdere unikke adgangskoder, skal Datatilsynet henstille til, at de benyttede adgangskoder som minimum udskiftes med passende intervaller, herunder f.eks. hver tredje måned. På denne måde kan det bl.a. sikres, at tidligere ansatte ikke vil være bekendt med koden efter en kortere periode.

5. Afsluttende bemærkninger
Det skal for god ordens skyld bemærkes, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.
Datatilsynet anser herefter tilsynene for afsluttet og foretager sig ikke yderligere i sagen.

_________________________________________

1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer

 

 

Relaterede emneord og paragraffer

§ 26 a, § 29, § 41, Beklageligt, Tilsyn, TV-overvågning

Afgørelser efter emneord:


Fritekstsøgning i afgørelser