Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Tilsyn med Dagrofa ApS

Brevdato: 22.12.17

Journalnummer: 2017-612-0040, 2017-612-0041, 2017-612-0044

Den 22., 23. og 24. marts 2017 var Datatilsynet på tilsyn hos følgende tre butikker i Dagrofa ApS: 
MENY Bagsværd, Bagsværd Hovedgade 128, 2800 Bagsværd
KIWI Hvidovre, Friheden Butikscenter, Strandmarksvej 20, 2650 Hvidovre
MENY Østerfælled Torv, Østerfælled Torv 21, 2100 København Ø

Tilsynet var målrettet butikkernes behandling af personoplysninger i forbindelse med tv-overvågning.

Dagrofa ApS har i forbindelse med tilsynet bl.a. svaret på Datatilsynets spørgsmål om følgende emner:

  • Tv-overvågningens omfang.
  • Kameraernes placering.
  • Behandlingsreglerne i persondataloven.
  • Sletning og videregivelse af optagelser, herunder videregivelse af oplysninger til tredjemand via live-skærme i butikken.
  • De registreredes rettigheder, herunder indsigtsret, skiltning og oplysningspligt overfor ansatte og andre personer, der regelmæssigt udfører arbejde i lokalerne.
  • Sikkerhed, herunder retningslinjer, adgang til tv-overvågningen og anvendelse af passwords.

Efter en gennemgang af Dagrofa ApS’ besvarelser kan Datatilsynet konstatere, at butikkerne på følgende punkter ikke har efterlevet persondataloven1:

1) Manglende databehandleraftale.

Datatilsynet finder den manglende efterlevelse af persondataloven for beklagelig.

Nedenfor i afsnit 1 følger en nærmere gennemgang af og begrundelse for Datatilsynets udtalelse. Herudover vil Datatilsynet – på baggrund af Dagrofa ApS’ besvarelser – i afsnit 2-6 – komme med en række anbefalinger og henstillinger til Dagrofa ApS’ fremtidige indretning af sin tv-overvågning.

1. Manglende databehandleraftale

Under tilsynet har Dagrofa ApS oplyst, at behandling af personoplysninger i forbindelse med tv-overvågningen foretages af andre end den dataansvarlige.

Dagrofa ApS har hertil oplyst, at optagelserne fra tv-overvågningen kan tilgås af Dagrofa ApS’ leverandør, sikkerhedsfirmaet Faircam ApS, som bl.a. foretager vedligeholdelse af udstyret.

Dagrofa ApS oplyste i den forbindelse, at der var indgået en skriftlig databehandleraftale med Faircam ApS.

Datatilsynet har i forbindelse med tilsynet udbedt sig en kopi af den omhandlede databehandleraftale med Faircam ApS.

Efter en gennemgang af den fremsendte databehandleraftale kan Datatilsynet imidlertid konstatere, at der på tidspunktet for Datatilsynets varsling af tilsynsbesøget ikke var indgået skriftlig databehandleraftale med Faircam ApS.

Datatilsynet skal i den anledning bemærke, at persondatalovens § 42, stk. 2, indeholder et krav om, at der indgås en skriftlig databehandleraftale mellem den dataansvarlige og eventuelle databehandlere, som behandler personoplysninger på vegne af den dataansvarlige. Af aftalen skal det fremgå, at databehandleren alene handler efter instruks fra den dataansvarlige, og at reglerne i § 41, stk. 3-5, ligeledes gælder for behandlingen ved databehandleren.

Herudover skal Datatilsynet understrege, at ansvaret for den behandling af personoplysninger, som databehandleren foretager på vegne af butikken, påhviler den dataansvarlige. Den dataansvarlige har i den forbindelse en forpligtelse til at påse databehandlerens efterlevelse af sikkerhedskravene i persondatalovens § 41, stk. 3-5.

Datatilsynet har noteret sig, at der nu er indgået en databehandleraftale med Faircam ApS.

2. Opbevaring af optagelser fra tv-overvågning i mere end 30 dage

Dagrofa ApS har i forbindelse med tilsynet oplyst, at tv-overvågningen er opsat i kriminalitetsforebyggende øjemed.

Af persondatalovens § 26 a, stk. 2, følger det, at optagelser, der optages i forbindelse med tv-overvågning i kriminalitetsforebyggende øjemed, skal slettes senest 30 dage efter, at optagelserne er foretaget, medmindre det er nødvendigt at opbevare optagelserne i længere tid af hensyn til den dataansvarliges behandling af en konkret tvist, jf. persondatalovens § 26 a, stk. 3. En konkret tvist, som kan begrunde fravigelse af fristen i stk. 2, kan f.eks. være en sag om bortvisning af en medarbejder.

Persondatalovens § 26 a, stk. 3, giver adgang til at opbevare oplysninger om den, som tvisten vedrører, men ikke til at opbevare optagelser om andre personer, som ikke har relation til den pågældende tvist. Viser optagelserne andre personer, som kan have betydning for bedømmelsen af den konkrete tvist, f.eks. vidner, kan optagelserne dog gemmes i et længere tidsrum i medfør af stk. 3, da disse personer vil have relation til den pågældende tvist. Er der imidlertid tale om såkaldt ”overskudsinformation”, dvs. optagelser af personer uden relevans for tvisten, skal den dataansvarlige i videst muligt omfang anonymisere de pågældende optagelser eller eventuelt slette dem.

Under de fysiske besigtigelser i MENY (Bagsværd), KIWI (Hvidovre) og MENY (Østerfælled Torv) kunne der ikke forevises optagelser, som var mere end 30 dage gamle.

Dagrofa ApS har under tilsynet oplyst, at der sker sletning af eventuelt overskudsinformation, når optagelser opbevares i længere end 30 dage i medfør af persondatalovens § 26 a, stk. 3.

Dagrofa ApS har som bemærkning til det ovenstående efterfølgende oplyst Datatilsynet, at overskudsinformation ikke slettes på de optagelser, der opbevares længere end 30 dage, hvis dette vil medføre, at politiets muligheder for at anvende materialet fortabes, successivt hvis politiets mulighed for at anvende optagelserne i retten fortabes.

Ved en efterfølgende telefonsamtale med Dagrofa ApS har koncernen uddybet, at der alene opbevares optagelser i længere end 30 dage, hvis det er nødvendigt af hensyn til den dataansvarliges behandling af en konkret tvist, herunder sager om bortvisning af medarbejdere, hvor forholdet samtidig anmeldes til politiet. Dagrofa ApS oplyste hertil, at optagelserne i så fald slettes i butikkerne og kun opbevares i mere end 30 dage hos koncernsikkerhedsafdelingen i Dagrofa ApS.

Dagrofa ApS oplyste endvidere, at koncernen i tilfælde af en konkret tvist underretter den person, som tvisten vedrører, om optagelserne og den fortsatte opbevaring.

Forespurgt om koncernens opbevaring af såkaldt ”overskudsinformation” oplyste Dagrofa ApS, at der, koncernen bekendt, ikke hidtil har været opbevaret optagelser i mere end 30 dage i forbindelse med en konkret tvist, som indeholdt oplysninger om personer, der ikke havde en relation til den konkrete tvist.

Datatilsynet skal dog – som nævnt ovenfor – gøre opmærksom på, at overskudsinformation i videst muligt omfang skal anonymiseres eller slettes på de pågældende optagelser.

3. Information til medarbejdere og andre med regelmæssig gang i de tv-overvågede lokaler

Datatilsynet orienterede om, at Dagrofa ApS som dataansvarlig for tv-overvågningen har pligt til at give medarbejdere og andre personer, der regelmæssigt udfører arbejde i de lokaler, der tv-overvåges, oplysning om, at der foretages tv-overvågning samt formålet hermed.

Dagrofa ApS oplyste i den forbindelse, at der for medarbejdere og andre med fast gang i de overvågede lokaler er givet forudgående information om tv-overvågningen.

Forespurgt herom oplyste Dagrofa ApS, at butikkerne ikke underretter faste leverandører og eventuelt rengøringspersonale om tv-overvågning.

Datatilsynet har noteret, at Dagrofa ApS har oplyst, at Dagrofa ApS vil sikre, at også faste leverandører og eventuelt rengøringspersonale fremadrettet vil modtage forudgående information om tv-overvågningen.

4. Indsigt i optagelser fra tv-overvågningen

Dagrofa ApS har i forbindelse med tilsynet oplyst, at det umiddelbart ikke vil være muligt at udlevere optagelserne i forbindelse med en anmodning om indsigt efter persondatalovens regler, da dette vil være for dyrt og tidskrævende.

Under tilsynet hos MENY (Bagsværd), KIWI (Hvidovre) og MENY (Østerfælled Torv) blev det oplyst, at ingen af butikkerne endnu har modtaget anmodninger om indsigt i medfør af persondatalovens § 31.

Datatilsynet orienterede herefter om persondatalovens § 31 om den registreredes ret til indsigt og anbefalede samtidig, at Dagrofa ApS udarbejder procedurer for, hvordan indsigtsanmodninger håndteres i koncernen.

Dagrofa ApS henviste i den forbindelse til koncernens sikkerhedshåndbog, hvoraf det fremgår, at der ved forespørgsler om udlevering af optagelser fra andre end politiet altid henvises til koncernsikkerhedsafdelingen i Dagrofa ApS.

For så vidt angår retten til indsigt efter persondatalovens § 31, skal Datatilsynet generelt understrege, at det af Dagrofa ApS anførte om omkostninger og tidsforbrug ikke kan undtage koncernen fra at give indsigt i optagelser fra Dagrofa ApS’ tv-overvågning.

5. Tekniske tiltag til beskyttelse mod uvedkommendes adgang til optagelser fra tv-overvågning

5.1. Under tilsynet hos MENY (Bagsværd) blev det oplyst, at der er adgang til optagelserne fra en computer, der står placeret [udeladt] i butikken, og at disse optagelser er beskyttet med et personligt password.

Under tilsynet hos KIWI (Hvidovre) blev det oplyst, at der er adgang til optagelserne fra en computer, som står placeret [udeladt] i butikken. Det blev samtidig oplyst, at brugerne af den computer, hvorpå optagelserne kan tilgås, benytter et fælles password.

Under tilsynet hos MENY (Østerfælled Torv) blev det oplyst, at der er adgang til optagelserne fra to computere, som står placeret [udeladt] i butikken [udeladt]. Optagelserne er beskyttet med et fælles password – købmanden har dog sit eget password.

Fælles for MENY (Bagsværd), KIWI (Hvidovre) og MENY (Østerfælled Torv) er, at butikkernes optagelser tillige kan tilgås af 4 medarbejdere i Dagrofa ApS’ koncernsikkerhedsafdeling via en VPN-adgang. Medarbejderne i Dagrofa ApS’ koncernsikkerhedsafdeling har adgang til optagelserne med individuelle adgangskoder.

Herudover har Dagrofa ApS oplyst, at koncernens leverandør ligeledes kan tilgå optagelserne via en VPN-adgang, såfremt der bliver behov for dette, og kun efter aftale med Dagrofa ApS.

Af persondatalovens § 41, stk. 3, følger det, at en dataansvarlig skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Dette betyder bl.a., at Dagrofa ApS – som dataansvarlig – skal sikre, at billedoptagelser fra butikkens tv-overvågningskameraer ikke kommer til uvedkommendes kendskab eller misbruges.

Som eksempler på sikkerhedsforanstaltninger kan nævnes fysisk sikring af datamedier, adgangskontrol og brug af password samt uddannelse og instruktion af medarbejdere.

Datatilsynet skal på den baggrund anbefale, at Dagrofa ApS fremadrettet – for de af koncernens butikker, der ikke på nuværende tidspunkt anvender individuelle adgangskoder – tildeler de ansatte, der har adgang til de lagrede billedoptagelser, unikke adgangskoder, og at disse unikke adgangskoder udskiftes med passende intervaller.

Ønsker Dagrofa ApS ikke at tildele de relevante medarbejdere unikke adgangskoder, skal Datatilsynet henstille til, at de benyttede fælleskoder som minimum udskiftes med passende intervaller, herunder f.eks. hver tredje måned. På denne måde kan det bl.a. sikres, at tidligere ansatte ikke vil være bekendt med koden efter en kortere periode.

5.2. I forbindelse med tilsynene i MENY (Bagsværd), KIWI (Hvidovre) og MENY (Østerfælled Torv) blev det oplyst, at den ovenfor omtalte VPN-forbindelse er krypteret.

Datatilsynet lægger derfor til grund, at adgang til optagelserne udefra sker via den ovenfor omtalte (krypterede) VPN-forbindelse.

I tilfælde af, at der på anden vis sker overførsel af optagelser fra tv-overvågningen over det åbne internet – som ikke sker krypteret – skal Datatilsynet anbefale, at Dagrofa ApS i denne sammenhæng overvejer at benytte kryptering. Om dette er nødvendigt, afhænger bl.a. af, om der er en nærliggende risiko for, at uvedkommende vil kunne søge at skaffe sig adgang til billedoptagelserne under overførslen.

6. Fysiske tiltag til beskyttelse mod uvedkommendes adgang til optagelser fra tv-overvågning

Under den fysiske besigtigelse i MENY (Bagsværd) blev det konstateret, at den server, hvorpå optagelserne er lagret, ikke var tilstrækkeligt fastboltret.

Det blev derfor aftalt, at butikken snarest muligt monterer en metalskinne på serveren.

Dagrofa ApS har efterfølgende oplyst Datatilsynet, at serveren blev fastgjort dagen efter tilsynets besøg hos MENY (Bagsværd).

7. Visning af optagelser fra butikkens bagudgang

Under de fysiske besigtigelser i MENY (Bagsværd), KIWI (Hvidovre) og MENY (Østerfælled Torv) fik Datatilsynet fremvist små skærme med live-optagelser, der var placeret indenfor ved butikkernes vareindlevering/medarbejderudgang. Det kamera, som er tilsluttet skærmene, sidder på den anden side af udgangen. Forespurgt herom oplyste Dagrofa ApS, at skærmene er opsat med henblik på, at de medarbejdere, der benytter udgangen kan se, om der står nogen på den anden side af døren, når de f.eks. forlader butikken eller skal ud efter varer. Dagrofa ApS oplyste endvidere, at kameraet kun optager ved bevægelse, men at live-optagelserne vises konstant på skærmen. Dagrofa ApS oplyste desuden, at kunder og andre uvedkommende personer ikke har adgang til de lokaler, hvor skærmen sidder.

I tilknytning til det ovenstående oplyste Datatilsynet, at tilsynet ville drøfte spørgsmålet om lovligheden af de opsatte skærme internt og herefter vende tilbage med et endeligt svar i forbindelse med afslutningen af nærværende tilsyn.

Datatilsynet kan i den forbindelse oplyse, at tilsynet finder, at der foreligger tilstrækkeligt tungtvejende grunde til, at butikkernes medarbejdere – via de opsatte skærme – kan se, om der befinder sig personer på den anden side af udgangen, inden de går ud. Datatilsynet har derfor ingen indvendinger imod ordningen.

8. Afsluttende bemærkninger

Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.

Datatilsynet anser herefter tilsynet for afsluttet og foretager sig ikke yderligere i sagen.

__________________________________

1Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer

Relaterede emneord og paragraffer

§ 26 a, § 42, Beklageligt, Tilsyn, TV-overvågning

Afgørelser efter emneord:


Fritekstsøgning i afgørelser