Tilladelse til at iværksætte videregivelse af optagelser fra tv-overvågning (tv-overvågningslovens § 4 c, stk. 3)

Datatilsynet har 15. juli 2019 modtaget Dansk Erhvervs ansøgning om tilladelse efter tv-overvågningslovens § 4 c, stk. 3, jf. stk. 2, til iværksættelse af videregivelse af billed- og lydoptagelser omfattet af tv-overvågningslovens § 4 c, stk. 1, i systemet ”Crimestat”.

Det fremgår af ansøgningen, at Crimestat kan tilgås via internettet og er opbygget som en cloudløsning, hvor de enkelte videoer behandles, lagres og videregives.

Det er efter tv-overvågningslovens § 4 c, stk. 2, nr. 4, er en betingelse, at videregivelsen af optagelser finder sted i ”et lukket system”.

Ved dette forstås ifølge lovbemærkningerne til bestemmelsen i lovforslag nr. 205 fremsat den 21. marts 2018, at videregivelsen ikke må ske over det åbne internet, herunder lukkede grupper på sociale netværk som Facebook eller Twitter. Videregivelsen vil derimod f.eks. kunne ske via et intranet, der kræver individuel adgangstilladelse for den enkelte bruger.

Det er Datatilsynets opfattelse, at ”et lukket system” i lyset af formålet med § 4 c, stk. 2, må forstås i bredere forstand end at være begrænset til et intranet. Det væsentlige er, at den systemansvarlige med den fornødne sikkerhed har udelukket mulighederne for uautoriseret adgang til og kompromittering af oplysningerne. Et netværk, som alene gøres tilgængeligt for en brugerkreds med særlige adgangsrettigheder, der er beskyttet af adgangskontrol, f.eks. i form af certifikat på både bruger- og maskinniveau, og fornøden firewallopsætning med whitelistede IP-adresser (et såkaldt ekstranet), vil for eksempel efter Datatilsynet opfattelse kunne opfylde betingelsen om ”et lukket system” selvom systemet tilgås via internettet. Det er endvidere en forudsætning, at oplysningerne til stadighed er krypteret både under transport og i hvile.

Det er herefter på baggrund af ansøgningen Datatilsynets opfattelse, at Crimestat vil kunne indrettes og anvendes således, at det opfylder betingelsen om ”et lukket system”.

Det er herudover Datatilsynets opfattelse, at Crimestat egner sig til at opfylde de øvrige betingelser for videregivelse i tv-overvågningslovens § 4 c, stk. 2. Datatilsynet har i denne forbindelse lagt vægt på, at Crimestat drives i regi af erhvervsorganisationen Dansk Erhverv, at den af Dansk Erhverv beskrevne procedure sikrer, at den erhvervsdrivende skal inddrage kvalificerede fagpersoner inden videregivelse finder sted, at Crimestat indeholder adgangskontrol, der er tilstrækkelig til at sikre, at den erhvervsdrivende kan begrænse adgang til optagelserne til de personer, der har behov for det, og at Crimestat lader de erhvervsdrivende begrænse videregivelsen både geografisk og typemæssigt.

Det fremgår herudover af Dansk Erhvervs ansøgning, at de erhvervsdrivende anses for dataansvarlige for de optagelser, der videregives i systemet.

Datatilsynet bemærker i den forbindelse generelt, at det er tilsynets umiddelbare opfattelse, at en behandling af personoplysninger i et system som beskrevet i tv-overvågningslovens § 4 c, stk. 2, indebærer en høj risiko for fysiske personers rettigheder og frihedsrettigheder. Den dataansvarlige skal derfor forud for behandlingen af oplysninger i Crimestat foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysninger, jf. databeskyttelsesforordningens artikel 35, stk. 1.

Datatilsynet skal i den forbindelse henlede opmærksomheden på databeskyttelsesforordningens artikel 35, stk. 7, om mindstekravene til en konsekvensanalyse.

Såfremt en konsekvensanalyse vedrørende databeskyttelse foretaget i henhold til artikel 35 viser, at behandlingen vil føre til høj risiko i mangel af foranstaltninger truffet af den dataansvarlige for at begrænse risikoen, skal den dataansvarlige høre Datatilsynet inden behandlingen finder sted, jf. databeskyttelsesforordningens artikel 36, stk. 1.

Datatilsynet meddeler hermed tilladelse til, at der iværksættes videregivelse i Crimestat under betingelse af, at enhver videregivelse i systemet finder sted under iagttagelse af de videregivelsesvilkår, der er beskrevet i bilag 1. Der henvises endvidere til vejledning til vilkårene i bilag 2.

Tilladelsen gives endvidere under betingelse af, at Dansk Erhverv iagttager følgende systemvilkår:

Vilkår for systemet og Dansk Erhverv

1. Dansk Erhverv skal løbende føre en liste over de erhvervsdrivende, der er tilsluttet Crimestat og dermed har mulighed for at videregive og modtage billed- og lydoptagelser i systemet.
2. Dansk Erhverv skal løbende sikre, at Crimestat med fornøden sikkerhed beskytter imod uautoriseret adgang til og kompromittering af optagelserne i systemet ved blandt andet installation af sikkerhedsopdateringer.
3. Dansk Erhverv skal få udført mindst to penetrationstest af systemet Crimestat årligt.
4. Dansk Erhverv må alene gøre optagelser i Crimestat tilgængelige for en brugerkreds med særlige adgangsrettigheder. Adgangen skal være beskyttet af yderligere adgangskontrol, for eksempel i form af certifikat på bruger- og maskinniveau, og fornøden firewallopsætning baseret på whitelistede IP-adresser (et såkaldt ekstranet).
5. Enhver brugerkonto med adgang til optagelserne i Crimestat skal være personlig, så den kan henføres til en bestemt fysisk person hos den erhvervsdrivende eller systemansvarlige.
6. Dansk Erhverv skal foretage logning af tilgang til og downloads af optagelserne i Crimestat. Logs skal opbevares i mindst et år.
7. Optagelserne i Crimestat skal være krypterede med den fornødne sikkerhed både under transport og i hvile. Den anvendte algoritme og krypteringsform skal være anset som sikker i branchen, for eksempel i henhold til gældende NIST-standard.
8. Dansk Erhverv skal meddele alle, der tilsluttes Crimestat, at enhver videregivelse skal ske under iagttagelse af videregivelsesvilkårene i bilag 1.
9. Hvis Dansk Erhverv får kendskab til, at en videregivelse i Crimestat er i strid med videregivelsesvilkårene, skal Dansk Erhverv sikre, at videregivelsen ophører i overensstemmelse med videregivelsesvilkår nr. 8.

Forinden iværksættelse af væsentlige ændringer i de oplysninger/behandlinger, der er meddelt Datatilsynet i forbindelse med udstedelse af tilladelse, skal tilsynets tilladelse indhentes på ny.

Ophør af førelsen af systemet skal straks meddeles til Datatilsynet.

Vilkårene er supplerende i forhold til reglerne i tv-overvågningsloven, databeskyttelsesforordningen og databeskyttelsesloven samt i visse tilfælde udtryk for en præcisering af reglerne. Det skal derfor understreges, at reglerne i tv-overvågningsloven, databeskyttelsesforordningen og databeskyttelsesloven finder anvendelse i det omfang, at der er tale om forhold, der ikke er reguleret i vilkårene.

[...]

Bilag 1: Vilkår for videregivelse

Videregivelse af optagelser

1. Der må kun ske videregivelse af optagelser eller billeder af personer, der har eller formodes at have begået eller forsøgt at begå en eller flere berigelsesforbrydelser eller lignende.

2. Lovovertrædelsen, som gerningspersonerne har eller formodes at have begået eller forsøgt at begå, eller udførelsen af denne, skal være af ikke-bagatelagtig karakter.

3. Der må kun ske videregivelse af optagelserne eller billederne, hvis der er konkrete grunde til at tro, at de formodede gerningspersoner i fremtiden igen vil begå kriminalitet som beskrevet i vilkår 1 og 2.

4. Personerne, der fremgår af optagelserne, skal senest samme døgn som videregivelsen være anmeldt til politiet for lovovertrædelsen som nævnt i vilkår 1 og 2.

5. Personer, der ikke er omfattet af beskrivelsen i vilkår 1 og 2, må ikke være direkte identificerbare på de videregivne optagelser eller billeder.

Modtagere af optagelser

6. Videregivelse må kun ske til den kreds af erhvervsdrivende, som er vurderet omfattet af risikoen for ligeartet kriminalitet efter vilkår 1 og 2.

Sikkerhed

7. Videregivelsen må kun ske til et begrænset antal autoriserede personer hos de relevante erhvervsdrivende og den systemansvarlige. 

Videregivelsens ophør og sletning af optagelserne 

8. Videregivelsen skal ophøre og de videregivne optagelser eller billeder slettes i systemet, så snart ét eller flere af ovenstående vilkår ikke længere er opfyldt og senest efter 30 dage fra videregivelsens iværksættelse. Det skal løbende vurderes, om vilkårene fortsat er opfyldt.

Vurdering af vilkårenes opfyldelse 

9. Vurderingen af, hvorvidt nærværende vilkår er opfyldt i forbindelse med en konkret videregivelse, skal foretages af en eller flere fagpersoner med relevant uddannelsesbaggrund, herunder efteruddannelse, og relevant erfaring med sager om berigelseskriminalitet.

Bilag 2: Vejledning til vilkår for videregivelse 

Videregivelse af optagelser 

1. Der må kun ske videregivelse af optagelser eller billeder af personer, der har eller formodes at have begået eller forsøgt at begå en eller flere berigelsesforbrydelser eller lignende.

Vejledning til vilkår 1

De personer, der fremgår af billed- og lydoptagelserne eller stilbillederne, som ønskes videregivet, skal med betydelig sikkerhed kunne antages at være de rette gerningspersoner. Det vil for eksempel være tilfældet, hvis selve lovovertrædelsen klart fremgår af optagelserne eller billederne.

Fremgår lovovertrædelsen ikke af optagelserne eller billederne, kan andre omstændigheder, som for eksempel butiksansattes udsagn, inddrages i vurderingen.

Berigelsesforbrydelser henviser til straffelovens §§ 276-289 a, herunder tyveri, svindel med betalingskort og røveri.

Med udtrykket ”eller lignende” forstås lovovertrædelser, der er nært beslægtet med berigelsesforbrydelser, som for eksempel brugstyveri.

Lovovertrædelsen behøver ikke være fuldbyrdet. Et forsøg på en lovovertrædelse som de nævnte vil være tilstrækkeligt.

2. Lovovertrædelsen, som gerningspersonerne har eller formodes at have begået eller forsøgt at begå, eller udførelsen af denne, skal være af ikke-bagatelagtig karakter.

Vejledning til vilkår 2

En lovovertrædelse vil for eksempel have bagatelagtig karakter, hvis der er tale om et simpelt butikstyveri af et par poser slik og en sodavand.

Butikstyveri eller forsøg herpå for en værdi på over 500 kr. vil i sig selv anses for at være af ikke-bagatelagtig karakter. Det samme gælder svindel med betalingskort, røveri eller såkaldt kassedyk, hvor gerningspersonen udnytter uopmærksomhed fra en kassemedarbejder til at tage penge fra kassen.

Det kan i andre tilfælde inddrages i vurderingen, om der er tale om gentagelsestilfælde, eller om lovovertrædelsen eller udførelsesmåden har professionel eller organiseret karakter.

3. Der må kun ske videregivelse af optagelserne eller billederne, hvis der er konkrete grunde til at tro, at den eller de formodede gerningspersoner i fremtiden igen vil begå kriminalitet som beskrevet i vilkår 1 og 2.

Vejledning til vilkår 3

Den erhvervsdrivende eller systemansvarlige skal kunne sandsynliggøre, at der er en vis kvalificeret risiko for gentagelse af lovovertrædelsen eller forsøget på lovovertrædelsen, der er nævnt i vilkår 1. 

I vurderingen af risikoen for gentagelsestilfælde kan det blandt andet inddrages, hvordan lovovertrædelsen er udført, grovheden af lovovertrædelsen, eventuelle tidligere, lignende tilfælde og øvrige forhold, som tyder på, at der er risiko for, at andre erhvervsdrivende vil blive udsat for en lignende lovovertrædelse.

Begrundelsen for den vurdering, som den kvalificerede fagperson har foretaget inden videregivelsen, skal kunne dokumenteres.

4. Personerne, der fremgår af optagelserne, skal senest samme døgn som videregivelsen være anmeldt til politiet for lovovertrædelsen som nævnt i vilkår 1 og 2.

Vejledning til vilkår 4

Politianmeldelsen bør så vidt muligt ske inden eller i umiddelbar forlængelse af videregivelsen. Den skal dog senest være sket samme døgn, som videregivelsen i systemet finder sted.

Det skal kunne dokumenteres, at politianmeldelsen er indsendt senest samme døgn som videregivelsen. Dokumentationen kan for eksempel foreligge i form af en kvittering for politianmeldelsen.

5. Personer, der ikke er omfattet af beskrivelsen i vilkår 1 og 2, må ikke være direkte identificerbare på de videregivne optagelser eller billeder.

Vejledning til vilkår 5

Optagelserne eller stilbillederne skal inden videregivelsen gennemgås for andre personer end de i vilkår 1 nævnte. I det omfang der fremgår andre personer, skal disse slettes, sløres eller på anden måde gøres ikke umiddelbart identificerbare for modtagerne af optagelsen.

Modtagere af optagelser 

6. Videregivelse må kun ske til den kreds af erhvervsdrivende, som er vurderet omfattet af risikoen for ligeartet kriminalitet efter vilkår 1 og 2.

Vejledning til vilkår 6

Kredsen af erhvervsdrivende, der skal modtage billederne eller optagelserne, skal afgrænses til de erhvervsdrivende, der vurderes at være omfattet af risikoen nævnt i vilkår 1 og 2. Det indebærer, at det skal vurderes, hvilket geografisk område (by, region, hele landet), og hvilke grupper af erhvervsdrivende (brancher, butikskæder el. lign.) der er omfattet af risikoen.

Den systemansvarlige eller erhvervsdrivende kan for eksempel lægge vægt på, at den eller de formodede gerningspersoner har begået tricktyverier eller forsøg herpå mod en række butikker inden for en bestemt branche i flere byer. I dette tilfælde vil videregivelsen som udgangspunkt kunne ske til de butikker inden for branchen i de dele af landet, hvor det kan forventes, at gerningspersonerne eller de formodede gerningspersoner vil begå ligeartet kriminalitet.

Det vil ikke være tilstrækkeligt, at det blot ikke kan udelukkes, at den eller de formodede gerningspersoner vil begå ligeartet kriminalitet mod de pågældende erhvervsdrivende.

Hvis det senere viser sig, at risikoen er mindre omfattende end først antaget, skal de erhvervsdrivende, der ikke længere vurderes omfattet af risikoen, hurtigst muligt underrettes herom samt om, at de uden unødigt ophold skal slette de videregivne optagelser.

Sikkerhed

7. Videregivelsen må kun ske til et begrænset antal autoriserede personer hos de relevante erhvervsdrivende og den systemansvarlige.

Vejledning til vilkår 7

Det skal etableres en formel autorisationsordning hos den systemansvarlige og de erhvervsdrivende, som fastslår, hvem der kan tilgå systemet. Det må således ikke være enhver hos den systemansvarlige og de erhvervsdrivende, der har adgang til optagelserne i systemet. 

Der skal foretages en vurdering af, hvilke personer der som følge af deres funktion og arbejdsopgaver har behov for at kunne tilgå oplysningerne. Det er imidlertid ikke en forudsætning, at der er ansat personer, der udelukkende beskæftiger sig med systemet.

Kredsen af relevante autoriserede personer vil altid omfatte de fagligt kvalificerede personer, der efter vilkår 9 inddrages i vurderingen af muligheden for videregivelse, da adgang til optagelserne eller billederne er en forudsætning for, at vurderingen kan foretages.

Efter at optagelserne er tilgået i systemet af en autoriseret person hos de relevante erhvervsdrivende, kan den erhvervsdrivende efter de almindelige regler i databeskyttelsesforordningen og databeskyttelsesloven benytte optagelserne, det vil sige i det omfang databeskyttelsesforordningens artikel 6, og/eller databeskyttelseslovens § 8, er opfyldt.

Det skal kunne dokumenteres, for eksempel ved logning af systemets brug, hvem der har tilgået optagelserne eller billederne i systemet.

Videregivelsens ophør og sletning af optagelserne

8. Videregivelsen skal ophøre og de videregivne optagelser eller billeder slettes i systemet, så snart ét eller flere af ovenstående vilkår ikke længere er opfyldt og senest efter 30 dage fra videregivelsens iværksættelse. Det skal løbende vurderes, om vilkårene fortsat er opfyldt.

Vejledning til vilkår 8

Det skal løbende vurderes, hvorvidt betingelserne for videregivelsen fortsat er opfyldt.

Vilkår 1 vil for eksempel ikke længere anses for opfyldt, hvis der efter videregivelsen er kommet nye oplysninger frem, som gør, at personerne på optagelserne ikke længere med betydelig sikkerhed kan antages at være gerningspersonerne.

Videregivelsen skal endvidere ophøre, og optagelserne eller billederne slettes, hvis politianmeldelsen trækkes tilbage, jf. vilkår 4. Det samme gælder, hvis politiet finder politianmeldelsen grundløs.

Vilkår 3 vil for eksempel ikke være opfyldt, hvis risikoen for gentagelse ikke længere kan anses for at være tilstrækkeligt kvalificeret til at begrunde videregivelsen af optagelserne, for eksempel fordi der er passeret lang tid uden gentagelse af lovovertrædelsen, eller fordi politiet har tiltalt gerningspersonerne.

Slettefristen på 30 dage gælder alene opbevaringen af optagelserne i selve systemet. En erhvervsdrivende, der har taget optagelser ud af systemet, er ikke omfattet af denne slettefrist, men skal overholde de almindelig regler i databeskyttelsesloven og databeskyttelsesforordningen om blandt andet opbevaringsbegrænsning.

Vurdering af vilkårenes opfyldelse

9. Vurderingen af, hvorvidt nærværende vilkår er opfyldt i forbindelse med en konkret videregivelse, skal foretages af en eller flere fagpersoner med relevant uddannelsesbaggrund, herunder efteruddannelse, og relevant erfaring med sager om berigelseskriminalitet.

Vejledning til vilkår 9

De erhvervsdrivende og den systemansvarlige skal have tilknyttet kvalificerede fagpersoner, der ved hver enkelt videregivelse skal inddrages, inden videregivelsen finder sted. Det vil være tilstrækkeligt, at der inden for den samlede kreds af erhvervsdrivende, der er tilsluttet systemet, er kvalificerede fagpersoner, der vurderer, om optagelserne kan videregives. 

Det er ikke et krav, at hver erhvervsdrivende, der er tilsluttet systemet, nødvendigvis skal ansætte kvalificerede fagpersoner.

Vilkåret kan også anses for opfyldt ved tilknytning af flere fagpersoner med forskellige kompetencer inden for f.eks. jura, sikkerhed og sager om berigelseskriminalitet, der tilsammen har de fornødne kompetencer, og som hver især kan inddrages i fornødent omfang afhængigt af situationen.

Det afgørende for, om kompetencerne kan anses for tilstrækkelige, er, om der herved opnås en tilstrækkelig sikkerhed for, at billed- og lydoptagelser fra tv-overvågning ikke videregives ulovligt inden for systemet til en kreds af erhvervsdrivende. Dette indebærer, at der f.eks. er større krav til de kompetencer, der skal inddrages første gang, der skal foretages en vurdering i bestemt type situation, hvorimod der ved senere sammenlignelige situationer måske ikke stilles de helt samme krav. På samme måde er der større krav til kompetencerne i tvivlstilfælde end i de helt oplagte situationer, som f.eks. kan fremgå af konkrete retningslinjer.