Datatilsynets referanse: 12/00853-19/HTE

PVN-2013-21 Bank i butikk

Klage på Datatilsynets vedtak om plassering av behandlingsansvar for kameraovervåking i bank i butikk

Personvernnemndas avgjørelse av 12. juni 2014 (Eva I E Jarbekk, Arve Føyen, Nina Melsom, Ørnulf Rasmussen, Ann R Sætnan, Torgeir Waterhouse)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak vedrørende plassering av behandlingsansvar for kameraovervåking av bank i butikk (BIB). Klagere er NorgesGruppen ASA (heretter NorgesGruppen), Kiwi Norge AS og Kjøpmannshuset Norge AS (heretter profilhusene). Datatilsynet har i tillegg mottatt klage fra DNB Bank ASA (heretter DNB), som etter tilsynets vurdering har rettslig klageinteresse.

2 Saksgang

Høsten 2012 gjennomførte Datatilsynet to kontroller overfor dagligvarebutikker som
formidlet BIB-tjenester. Datatilsynet gjennomførte kontroller mot butikkene Kiwi Sognsveien og Spar Tåsen. Datatilsynet hadde også kontroll mot ICA Norge AS i butikken Rimi Semsbyen som formidler «post i butikk» (PIB). Vedtakene tilsynet fattet i denne saken er også påklaget og behandles som en egen sak.

Selskapene som er oppgitt å ha behandlingsansvaret for kameraovervåkingen i butikkene Kiwi Sognsveien og Spar Tåsen er hhv. Kiwi Norge AS og Kjøpmannshuset Norge AS. Både Kiwi Norge AS og Kjøpmannshuset Norge AS eies av NorgesGruppen. Spørsmålene som klagene reiser er likelydende og vil derfor være gjenstand for en samlet behandling. For enkelhets skyld har tilsynet kun vist til vedtakspunktene fattet overfor Kiwi Norge AS.

Den 12. september 2012 varslet Datatilsynet DNB om at tilsynet skulle gjennomføre kontroller mot hhv. Kiwi Sognsveien og Spar Tåsen, og at kontrollen var rettet mot kameraovervåking av BIB.

I e-post av 18. september 2012 får tilsynet beskjed fra DNB om at de ikke anser seg for å være behandlingsansvarlig for kameraovervåkingen av BIB-tjenester. Etter den tilbakemeldingen sendte tilsynet et endret varsel om kontroll til hhv. NG Kiwi Oslo Akershus AS og NG Spar Sør AS i brev datert 20. september 2012. I løpet av tilsynets saksbehandling ble det klarlagt at rette juridisk person skal være Kiwi Norge AS for kontrollen på butikken Kiwi Sognsveien og Kjøpmannshuset Norge AS for kontrollen på butikken Spar Tåsen.

Datatilsynet gjennomførte kontroller mot Kiwi Sognsveien den 10. oktober 2012 og Spar
Tåsen den 19. oktober 2012.

Datatilsynet oversendte den foreløpige kontrollrapporten og varsel om vedtak hhv. 11. februar og 19. mars 2013.

Den 5. april 2013 ble det avholdt et møte mellom NorgesGruppen, DNB og Datatilsynet. I møtet fikk partene anledning til å gi sine synspunkter og presentere de praktiske utfordringene som tilsynets varsel om vedtak ville medføre.

DNB og NorgesGruppen innga sine merknader i brev av hhv. 29. april og 30. apri1 2013. Datatilsynet oversendte den endelige kontrollrapporten og vedtak overfor profilhusene i brev av hhv. 21. juni (Kiwi Norge AS) og 25. juni 2013 (Kjøpmannshuset Norge AS). Overfor Kiwi Norge AS var påleggene utformet som følger:

1. Virksomheten må etablere og dokumentere internkontroll i samsvar med personopplysningsloven § 14 jf personopplysningsforskriften kapittel 3.
Det vises til tilsynsrapportens punkt 5.3 flg. Som ledd i dette arbeidet må virksomheten blant annet:
a. plassere ansvaret for å gjennomføre den behandlingsansvarliges oppgaver, jf
personopplysningsloven § 14 jf § 2 nr 4. Dette gjelder for all behandling av personopplysninger som virksomheten er behandlingsansvarlig for. Det vises til rapportens punkt 5.3 flg og punkt 5.1 flg, herunder punkt 5.1.4. Det vises også til vurderingen av svar til dette pålegget ovenfor.
b. utarbeide en samlet oversikt over alle behandlinger av personopplysninger virksomheten er behandlingsansvarlig for med behandlingens formål og behandlingsgrunnlag i henhold til personopplysningsloven § 14 jf personopplysningsforskriften § 3-1.  Det vises til rapportens punkt 5.3, herunder punkt 5.3.2.4.3.
c. utarbeide dokumenterte rutiner på ivaretakelse av sletteplikten, jf personopplysningsloven § 14 jf§ 11 bokstav e, jf § 28 og personopplysningsforskriften § 8-4. Det vises til rapportens punkt 5.3, herunder 5.3.2.3 og 5.4, herunder punkt 5.4.4.
d. utarbeide dokumenterte rutiner om utlevering av billedopptak som sikrer at eventuelle utleveringer skjer i henhold til regelverket, jf personopplysningsloven § 14 jf§ 39. Det vises til rapportens punkt 5.3 flg og punkt 5.6.5 flg.
e. utarbeide dokumenterte rutiner som sikrer at det kun inngås reelle
databehandlerrelasjoner jf personopplysningsloven § 14 jf§ 2 nr 4 jf§ 2 nr 5. Det vises til rapportens punkt 5.3 flg og 5.6.5 flg.
f. utarbeide rutiner som sikrer oppfyllelse av melde- og konsesjonsplikt i henhold til personopplysningsloven  § 14 jf personopplysningsforskriften § 3-1 tredje ledd bokstav f. Det vises til rapportens 5.3 flg.
2. Virksomheten må sørge for tilfredsstillende informasjonssikkerhet i samsvar med kravene i personopplysningsloven § 13. Det vises til rapportens punkt 5.5 flg herunder punkt 5.5.4.
3. Virksomheten skal sørge for at det inngås gyldige databehandleravtaler i samsvar med personopplysningsloven § 15. Det vises til kontrollrapportens punkt 5.6 flg, herunder punkt 5.6.4
4. Virksomheten skal sørge for at det i praksis ikke utleveres billedopptak i strid med
personopplysningsloven § 39. Det vises til rapportens punkt 5.6.5 flg, herunder punkt 5.6.5.3.
5. Virksomheten må slette billedopptak som er lagret utover det som følger av
personopplysningsforskriften § 8-4 første og annet ledd. Det vises til rapportens punkt 5.4, herunder punkt 5.4.4.

Den 6. september 2013 ble det avholdt et nytt møte mellom NorgesGruppen, DNB og Datatilsynet. I brev av 11. september 2013 klaget profilhusene på deler av tilsynets vedtak, hva gjelder plassering av behandlingsansvar for kameraopptak av BIB (pkt. 1 a.), samt tilsynets fastsettelse av profilhusenes sletteplikt for opptakene (pkt. 5).

I brev av 11. september 2013 klaget DNB på deler av tilsynets vedtak. Klagen begrenser seg til å gjelde tilsynets pålegg knyttet til plassering av behandlingsansvar for kameraovervåkingen, utlevering og oppbevaringstid (pkt. 1 a, 4 og 5).

Saken ble oversendt Personvernnemnda 6.11.2013, som mottok saken 15.11.2013. Klager ble orientert om dette i brev fra nemnda datert 4.12.2013, med frist til uttalelse innen 19.12.2013. Frist for kommentarer ble utsatt til 10.1.2014 og nemnda mottok klagers kommentarer i brev av 9.1.2014.

3 Faktum

Hovedproblemstillingen i denne saken gjelder plassering av ansvar for kameraovervåkingen av «bank i butikk»-tjenester (BIB). Nærmere bestemt om profilhusene kan være behandlingsansvarlig for kameraovervåkingen av BIB-tjenester.

Kameraovervåkingen av BIB-tjenester skiller seg fra den øvrige kameraovervåkingen som finner sted i butikkene, siden de hensynene som ligger bak en slik kameraovervåking vil kunne hjemle en utvidet lagringstid på inntil 90 dager, jf. personopplysningsforskriften § 8-4 sjette ledd.

Datatilsynet har i vedtakene konkludert med at profilhusene ikke kan være behandlingsansvarlige for kameraovervåkingen av BIB-tjenester. Virkningen av vedtakene er, hvis klagerne ønsker å opprettholde en slik kameraovervåking med en utvidet lagringstid på inntil 90 dager, at banken må være behandlingsansvarlig.

4 Klagers anførsler

4.1 Plassering av behandlingsansvar

Datatilsynet mener at profilhusene ikke er å anse som behandlingsansvarlige for kameraovervåkingen av BIB-tjenester, jf. pkt. 1 a. i vedtaket mot Kiwi Norge AS. Profilhusene ønsker at Personvernnemnda endrer den delen av vedtaket, slik at det slås fast at Kiwi Norge AS og Kjøpmannshuset Norge AS er å anse som behandlingsansvarlig for kameraovervåkingen av BIB.

Profilhusene har følgende argumenter for hvorfor de må anses som behandlingsansvarlige:

  • Profilhusene oppfyller definisjonen av hva en behandlingsansvarlig er, jf. personopplysningsloven § 2 nr. 4.
  • Det er profilhusenes virksomhet som overvåkes idet profilhusene rent faktisk leverer BIB-tjenesten.
  • Formålet med kameraovervåkingen er fastsatt av profilhusene
  • Kameraovervåkingen skjer i profilhusenes interesse, siden profilhusene har ansvar for å forebygge kriminalitet, oppklare kriminalitet samt sikre sine ansatte.
  • Profilhusene vil være fornærmet etter strafferetten i svindelsaker
  • Den tillit kunder tidligere hadde til bankfunksjonærer er i dag overført til tillit til ansatte i kassene i profilhusene.
  • Hensynet til de ansatte i profilhusene tilsier at profilhusene må være behandlingsansvarlig.
  • Plassering av behandlingsansvaret til profilhusene ivaretar personvernhensynene til de ansatte, som slipper å bli overvåket av andre enn arbeidsgiver.

Det sentrale må være at de hensyn personopplysningsloven og personopplysningsforskriften skal ivareta, oppfylles. Sentrale hensyn er her en løsning der den behandlingsansvarlige (profilhusene) ønsker å være behandlingsansvarlig og har de nødvendige ressurser og vilje til å sørge for at personopplysningene behandles etter de krav regelverket stiller. Dette vil lede til at opplysningene bare behandles der det foreligger hjemmel for behandling, bare behandles innenfor de formål som begrunner behandlingen og at behandlingen er underlagt gjeldende krav til sikkerhet. Dette vil igjen lede til at personene opplysningene gjelder sitt personvern, ivaretas. Det er grunn til å minne om at personopplysningsloven hjemler behandling av personopplysninger også av hensyn til den som har et legitimt behov for å behandle personopplysninger. Som beskrevet i profilhusenes klage, har profilhusene et legitimt og nødvendig behov i å gjøre kameraopptak av BIB-tjenesten.

Ved at regelverket oppfylles fullt ut når profilhusene er behandlingsansvarlige og ved at alle hensyn regelverket skal ivareta oppfylles når profilhusene er behandlingsansvarlige, og ved at DNB og profilhusene er enige om hvor behandlingsansvaret ligger, er det vanskelig å forstå at Datatilsynet fastholder en annen løsning.

Datatilsynet poengterer at «tilsynet ikke problematiserer om profilhusene de facto er behandlingsansvarlig eller om profilhusene oppfyller definisjonen i personopplysningsloven § 2 nr. 4. Datatilsynet problematiserer om profilhusene kan være behandlingsansvarlige for kameraovervåkning av BIB-tjenester».

Profilhusene forstår dette slik at det er enighet om at profilhusene etter personopplysningsloven § 2 nr 4. er «den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes» og at profilhusene med dette er omfattet av lovens definisjon av hva en behandlingsansvarlig er.

Ved at det i tillegg synes å foreligge enighet om at kameraopptak av BIB-tjenesten er hjemlet i personopplysningsloven og at det i tillegg synes å foreligge enighet om at denne typen opptak av banktjenester lovlig kan lagres i inntil 3 måneder, og ved at det er et faktum at det er profilhusene som leverer og utfører tjenesten, er profilhusene helt uenig i at profilhusene prinsipielt sett ikke «kan» være behandlingsansvarlig.

Profilhusene har vist til at BIB-tjenesten utføres i «banklokaler» i personopplysningsforskriften § 8-4 tredje ledd forstand. Tilsynet har ikke foretatt noen realitetsvurdering av denne anførselen. Personvernnemnda bes å ta stilling til spørsmålet og foreta en realitetsvurdering. Det opplyses i denne sammenheng til den sak Datatilsynet har henvist til, sak 07/01227-2/SVE om dispensasjon for utvidet lagring av billedopptak, heller ikke innebærer at Datatilsynet har tatt stilling til hvorvidt BIB-tjenesten utgjør banklokaler i forskriftens forstand.

Profilhusene har subsidiært anført at det foreligger «særlig behov» som begrunner lagring av opptak i inntil tre måneder etter personopplysningsforskriften § 8-4 sjette ledd. Datatilsynet synes heller ikke å ha foretatt noen realitetsvurdering av denne anførselen, ved tilsynet legger til grunn at kameraovervåkning av BIB uansett ikke er saklig begrunnet i profilhusenes virksomhet.

Datatilsynet synes dessuten å mene at profilhusene arbeid med sikring av sine butikker mot kriminalitet og ran, er et argument mot utvidet lagringstid for kameraopptak. Profilhusene har vanskelig for å forstå denne del av Datatilsynets argumentasjon. Profilhusene arbeider aktivt med sikkerhetstiltak fordi det håndteres store mengder kontanter, fordi butikkene tilbyr BIB og fordi butikkene jevnlig blir utsatt for kriminalitet. Som en del av sikkerhetsarbeidet er kameraovervåkning av BIB-tjenesten et helt nødvendig tiltak.

Datatilsynet har tidligere ment at det foreligger «særlige behov» som begrunner lagring av opptak av BIB-tjenesten i inntil 3 måneder etter den nevnte forskriftsbestemmelse.
Datatilsynet hevder i sitt oversendelsesbrev at «Profilhusenes kameraovervåkning av BIB-tjenester, vil etter tilsynets vurdering, falle utenfor hva som er profilhusenes virksomhet, jf personopplysningsloven § 11 bokstav b)». Profilhusene er sterkt uenig i Datatilsynets vurdering. Datatilsynet har ved eksemplifisering ved Kiwi Sognsveien og Spar Tåsen, vist til at profilhusenes butikker «driver butikkhandel med hovedvekt på nærings- og nytelsesmidler». Dette er isolert sett korrekt, samtidig som tilsynet overser at et flertall av butikkene som en del av "butikkhandel med bredt vareutvalg med hovedvekt på nærings- og nytelsesmidler" leverer tjenester som Post i Butikk, Tipping, salg av reseptfrie legemidler i tillegg til BIB-tjenester. Datatilsynets forståelse av hvilke varer og tjenester butikkene leverer, er snevrere enn hva virkeligheten gir grunnlag for.

Det er profilhusene som faktisk utfører og leverer BIB-tjenestene til kundene, det er profilhusenes ansatte som utfører tjenesten og det er profilhusenes kunder som mottar tjenesten. Datatilsynets resonnement synes å være at kameraovervåkning av BIB-tjenester ligger utenfor profilhusenes virksomhet fordi BIB-tjenesten ligger utenfor profilhusenes virksomhet fordi det etter tilsynets oppfatning er banken, og ikke profilhusene, som har interesse i kameraovervåkningen. Tilsynet hevder at profilhusenes interesse i kameraopptak av BIB i høyden ligger i «periferien av hva som kan anses som profilhusenes virksomhet». Dette er ikke riktig. Virkeligheten er slik at profilhusene har stor interesse og nødvendig interesse i kameraopptak av BIB begrunnet i den virksomhet profilhusene faktisk driver. Uten den sikkerhet og uten de bevis kameraopptak av BIB representerer, ville profilhusene ikke kunne levere BIB­tjenesten. Dette vil i tilfellet ramme svært mange kunder som i tilfellet isteden må oppsøke bankens filialer, og som det i dag ikke finnes mange igjen av.

BIB-tjenesten inngår som en del av profilhusenes totale vare- og tjenestetilbud til kundene. Profilhusene tilbyr BIB-tjenesten for å øke det totale tilbudet men også for å tjene penger på å yte tjenesten. Det kan her ikke være tvil om at BIB-tjenesten ligger innenfor profilhusenes virksomhet og at den nødvendige kameraopptak av tjenesten tilhører profilhusenes virksomhet og klart utføres i profilhusenes interesse.

Kontanthåndteringen viser også at BIB-tjenesten samt dens sikkerhet tilhører profilhusenes virksomhet. Kontantene som betales ut til kunder ved BIB-transaksjoner og kontanter kundene setter inn på konto ved BIB-transaksjoner, er kontanter profilhusene har ansvaret for å håndtere. Disse kontantene tilhører profilhusene og det er først ved etterfølgende regnskapsførsel at verdien av kontantene allokeres til BIB. De fysiske kontantene inngår i den kontantmengde profilhusene har rådighet over og har ansvaret for. Som følge av innføringen av BIB har butikkenes kontantmengder økt vesentlig. Dette har for det første ledet til at profilhusene betaler høyere forsikringspremier enn tidligere. Dette har videre ledet til at sikkerheten har blitt skjerpet og at det har blitt innført nye sikkerhetstiltak. Kostnaden ved sikkerhetstiltakene bæres av profilhusene alene.

Det vil fremstå som inkonsekvent og tilfeldig dersom banken, slik Datatilsynet har fastslått, skal eie kameraopptakene når profilhusene eier og har ansvaret for kontantene, eier safen, og kassene samt betaler for nødvendige forsikringer og sikkerhetstiltak, i tillegg til å levere tjenesten.

Profilhusene ber Personvernnemnda legge virkeligheten til grunn for sin avgjørelse. Profilhusene leverer BIB-tjenesten. BIB-tjenesten tilhører rent faktisk profilhusenes virksomhet. Kameraopptak av BIB-tjenesten er en del av profilhusenes virksomhet og profilhusene har en sterk interesse i at kameraopptak foretas.

Datatilsynets uttaler at: «Datatilsynet legger til grunn at hvis en BIB blir utsatt for svindel eller bedrageri, så er det hhv. Bankkunden eller banken som anses som fornærmet i strafferettslig forstand. Det er banken som påføres det økonomiske tapet når handlinger (svindel) som begrunner den utvidet [sic] lagringstid oppstår

Denne forutsetningen som Datatilsynet har lagt til grunn for sin vurdering, er bare delvis riktig. Det er riktig at banken og bankkunden risikerer å tape penger og at banken og bankkunde kan være fornærmet i strafferettslig forstand. Datatilsynet skulle samtidig lagt til grunn at profilhusene taper penger eller risikerer å tape penger slik at også profilhusene er fornærmet i strafferettslig forstand.

Det er et faktum at profilhusene påføres tap eller risikerer å bli påført tap ved kriminalitet mot BIB­tjenesten. Profilhusene har alltid konsekvent mottatt regresskrav fra banken ved kriminalitet mot BIB­tjenesten. Banken legger, ved økonomisk tap ved kriminalitet, til grunn at profilhuset har opptrådt uaktsomt med mindre profilhuset kan dokumentere at det er brukt et forfalsket kort eller et kort som ikke tilhører innehaveren. I slike saker oppstår det ofte en diskusjon mellom banken og profilhusene om hvem som skal bære tapet. I en del av sakene ender profilhusene opp med å bære tapet, og i en del av sakene ender banken opp med å bære tapet.

Det følger videre av avtalen mellom profilhusene og banken at i de tilfellene profilhusene ikke har gjennomført en BIB-transaksjonen 100 % etter bankens rutiner og der transaksjonen er et utslag av kriminalitet, så må profilhuset bære tapet etter regresskrav fra banken.

Det forekommer også at profilhusenes egne ansatte begår kriminalitet mot BIB-tjenesten. I slike situasjoner dekker profilhusene tapet, og krever deretter regress hos den ansatte. Ikke sjeldent leder regresskravet ikke frem fordi det ikke er noe til dekning hos den ansatte. Resultatet i denne situasjonen er at profilhuset bærer tapet.

Strafferettslig sett vil kriminalitet mot BIB-tjenesten der noen bruker falske identifikasjonspapirer eller bruker andres identifikasjonspapirer som om disse var gjerningspersonens egne, rubriseres som bedrageri etter straffeloven § 270. Et av vilkårene for at bestemmelsens objektive gjerningsbeskrivelse skal være oppfylt er at bedrageriet «forleder noen til en handling som volder tap eller fare for tap for ham eller den han handler for». Når profilhusene foreldes til å levere ut kontanter ved bruk av falsk eller stjålet legitimasjon så volder handlingen «tap eller fare for tap» for profilhusene ved at profilhusene i en del tilfeller må dekket det tapet som oppstår, og ved at det i ethvert tilfelle av bedrageri mot BIB-tjenesten alltid er fare for at profilhusene lider et tap. Profilhusene er derfor fornærmet i bedrageritilfellene etter straffeloven § 270.

Tilsvarende vil profilhusene være fornærmet også etter straffelovens § 267 om ran, ved at kontantene som ranes tilhører profilhusene (straffeloven§ 267 første ledd) eller ved at ansatte i profilhusene tvinges til å levere ut kontanter hvilket gir fare for tap for profilhusene (straffeloven § 267 annet ledd).

Datatilsynet har lagt et misvisende faktum til grunn for sin vurdering om at kameraovervåkningen faller utenfor hva som kan anses for profilhusenes virksomhet.

Tilsynet har som et vesentlig premiss for vurderingen lagt til grunn at det kun er bankkunden eller banken som er fornærmet i strafferettslig forstand. Dette er ikke korrekt ved at profilhusene også er fornærmet.

Tilsynet har videre som et vesentlig premiss lagt til grunn at «Det er banken som påføres det økonomiske tapet når handlinger (svindel) som begrunner den utvidet [sic] lagringstid oppstår.» Dette er heller ikke korrekt ved at profilhusene påføres og risikerer å påføres tap når kriminalitet mot BIB-tjenesten skjer. Ved at disse vesentlige premisser ikke er riktige, blir Datatilsynets konklusjon av disse grunner alene, feil.

Profilhusenes kameraopptak av BIB-tjenesten er saklig begrunnet i profilhusenes virksomhet jf. personopplysningsloven § 11 bokstav b. Personvernnemnda bes å fatte vedtak med dette innhold.

4.2 Profilhusene er skadelidende ved kriminalitet mot BIB-tjenesten også på annen måte

Det forhold at kameraopptak av BIB-tjenesten er saklig begrunnet i profilhusenes virksomhet etter personopplysningsloven § 11 bokstav b følger også av at profilhusene også på annen måte enn den rent økonomiske, er skadelidende som følge av kriminalitet mot BIB-tjenesten.

Profilhusenes ansatte opplever kriminalitet mot BIB-tjenesten som en belastning i arbeidet. Ikke sjeldent føler de ansatte seg mistenkeliggjort. Det forhold at de ansatte opplever kriminaliteten slik, viser at BIB-tjenesten tilhører profilhusenes virksomhet. Det er vitterlig også profilhusenes ansatte som leverer tjenesten til kundene.

Kriminalitet mot BIB-tjenesten påvirker også profilhusenes omdømme. Bedragerier kan påvirke omdømmet negativt og vil i ytterste konsekvens påføre profilhusene omsetningstap. Kunder som blir utsatt for kriminalitet, blir utsatt for kriminalitet i profilhusenes lokaler og ved at profilhusenes ansatte er dem som forledes av de kriminelle.

Både kunders og de ansattes opplevelse av kriminaliteten mot BIB-tjenesten samt de konsekvenser kriminaliteten har for profilhusene viser at BIB-tjenesten tilhører profilhusenes virksomhet.

Det fremstår som anstrengt å hevde at profilhusenes kameraovervåkning av BIB-tjenesten, som er begrunnet i oppklaring av kriminalitet og som er ment å virke preventivt mot kriminalitet, ikke foretas i profilhusenes interesse.

4.3 Faktisk illustrasjon av at profilhusenes interesse i kameraopptak ligger innenfor profilhusenes virksomhet

Profilhusene skal gi et par eksempler på virkeligheten som viser at kameraopptak av BIB er begrunnet i profilhusenes behov.

Profilhusene opplever jevnlig at eldre mennesker eller disses pårørende feilaktig tror at butikkene har svindlet dem ved gjennomføring av BIB-transaksjoner.

Som illustrasjon vises til at Kiwi nylig fikk en henvendelse fra sønnen til en 92 år gammel kvinne som mente seg svindlet ved uttak av kontanter i BIB. Kvinnen og sønnen mente at noen måtte ha fått urettmessig tilgang til PIN-kode, og deretter tatt ut penger. Kontoutskrift viste at det var tatt ut kr 3000 i kontanter fra kvinnens konto, i tillegg til handelen av varer hos Kiwi. I følge sønnen hevdet moren at hun ikke hadde tatt ut penger i det hele tatt.

Kiwi gikk derfor gjennom kameraopptakene og avdekket ved dette at kvinnen hadde hatt vanskeligheter med å ta ut penger ved at hun fomlet i kassen. Opptakene viste videre at hun ba om hjelp fra den ansatte i Kiwi som sto i kassen. Opptaket viste at kassereren tastet inn pin-koden for kvinnen. Det fremkom deretter klart på opptaket at kontantene ble levert ut, og at kvinnen tok med kontantene ut av butikken. Det var således ikke grunnlag for kvinnen og sønnens mistanke mot Kiwi og Kiwis ansatte.

Profilhusene har plikt til å bistå også eldre kunder som måtte være demente eller svekket på annen måte til tross for at dette kan lede til mistanker om svindel. Samtidig kan det aldri utelukkes at ansatte ikke bruker situasjoner som den skisserte til egen vinning. I slike situasjoner tar det ofte mer enn 7 dager før kunden som hevder seg svindlet blir kjent med kontantuttak i BIB. Det er nødvendig for profilhusene å kunne dokumentere hendelser i BIB-kassene gjennom kameraopptak for å bevare sitt omdømme når bildene viser at butikken og dens ansatte urettmessig anklages for svindel.

Tilsvarende er kameraopptak viktig for å avdekke gjemingspersoners identitet ved rekognosering i tiden forut for kriminelle anslag. Etter at banktjenester ble flyttet ut i dagligvarebutikk gjennom BIB-tjenesten, oppbevarer dagligvarebutikkene vesentlig større mengder kontanter enn det bankene gjør. Det trusselbildet bankene tidligere opplevde, er i dag flyttet ut til dagligvarebutikkene.

Eksemplene over viser at kameraopptak av BIB-tjenesten foretas i profilhusenes interesse både av hensyn til profilhusets omdømme, de ansattes sikkerhet, av hensyn til oppklaring av kriminalitet, og som et hjelpemiddel som gjør det mulig for profilhusene å tilby BIB-tjenesten til alle typer kunder.

Profilhusene har i klagen vist til at det vil representerer en personvernulempe for profilhusenes ansatte dersom banken skal være behandlingsansvarlig for opptak av BIB-tjenesten fordi banken her vil ha tilgang til opptak av profilhusenes ansatte. Datatilsynet mener personvernulempen er liten ved at hendelser i BIB er tidfestet på sekundnivå slik at banken ikke trenger foreta noen «omfattende gjennomgang» av opptakene. Profilhusene bemerker til dette at tidsstyringen på kassesystemene og ITV-systemene ikke alltid er 100 % synkronisert. Det vil i praksis ofte være nødvendig å se på flere kundetransaksjoner, inkludert kundetransaksjoner i kassen som ikke er en BIB-transaksjon, ved nødvendig gjennomgang og søk i opptakene.

Videre er kriminelle ofte tildekket med cap/hettegenser eller liknende mens de foretar den kriminelle handling hvilket ofte nødvendiggjør gjennomgang av opptak forut for og etter den kriminelle handling. På slik opptak vil ansatte filmes mens de utfører andre tjenester enn BIB­ tjenesten.

Profilhuset fastholder at det vil representerer en personvernulempe for de ansatte dersom banken er behandlingsansvarlig.

Datatilsynet har også vist til at banken betaler profilhusene for å få utlevert billedopptak og tilsynet mener dette er et argument for at opptakene gjøres i bankens interesse slik at banken må være behandlingsansvarlig. Profilhusene viser til at både banken og profilhusene har interesse i at det skjer kameraopptak av BIB-tjenesten. Det er for øvrig korrekt at banken dekker kostprisen for at vektere sikrer opptak. Samtidig er det forhold at banken per i dag rent faktisk dekker kostpris for å sikre opptak, ikke et relevant argument i saken slik denne står for Personvernnemnda. Datatilsynet har ikke problematisert hvorvidt profilhusene de facto er behandlingsansvarlige eller problematisert hvorvidt profilhusene oppfyller definisjonen av behandlingsansvarlig i personopplysningsloven§ 2 nr. 4. Etter Datatilsynets oppfatning er sakens spørsmål hvorvidt profilhusene kan være behandlingsansvarlige. Det forhold at banken i dag rent faktisk betaler kostpris for sikring av opptak har ingen betydning for spørsmålet om profilhusene prinsipielt sett kan være behandlingsansvarlig.

Det er nødvendig at profilhusene gjør kameraopptak av BIB-tjenesten. Faktum viser at profilhusene er behandlingsansvarlige for kameraopptakene. En korrekt forståelse av rettsreglene leder til at profilhusene er behandlingsansvarlige. Profilhusene kan ikke se at hverken faktum eller rettsregler tilsier at profilhusene på prinsipielt grunnlag ikke kan være behandlingsansvarlig.

4.4 Profilhusene mener man har hjemmel i personopplysningsforskriften til å lagre kameraopptak av BIB-tjenester i inntil tre måneder, forskriften § 8-4 tredje ledd

Datatilsynet har (vedtakspunkt 5) fastslått at profilhusene må slette billedopptak som er lagret utover det som følger av personopplysningsforskriften § 8-4 første og annet ledd.

Profilhusene ber Personvernnemnda endre den delen av vedtaket slik at det endelige vedtaket blir at virksomhetene kan lagre kameraopptak av BIB-tjenester i inntil tre måneder, jf. personopplysningsforskriften § 8-4 første og tredje ledd.

I korthet anfører profilhusene følgende argumenter for hvorfor virksomhetene kan lagre kameraopptak av BIB-tjenester i inntil tre måneder:

  • Ansvaret for å tilby post- og banktjenester og ansvaret for tjenestens sikkerhet er i dag i stor grad overført til profilhusene. Butikkene er mer ransutsatt enn tradisjonelle post­ og banklokaler.
  • BIB- og PIB-tjenester omfattes av bestemmelsene i personopplysningsforskriften § 8-4 tredje ledd. En slik forskriftsforståelse ivaretar personvernhensynene til de ansatte, siden en slik løsning vil virke forebyggende på kriminalitet på deres arbeidsplass, og ved at opptakene kan dokumenterer at den ansatte ikke er deltakende i kriminell virksomhet.

Profilhusene har hjemmel til å lagre kameraopptak av BIB-tjenesten i inntil 3 måneder fordi opptak av BIB-tjenesten er «Opptak gjort i post- og banklokaler» i forskriften § 8-4 tredje ledd forstand. Datatilsynet har ikke foretatt noen realitetsvurdering av forståelsen av «post­ og banklokaler» i forskriften. Profilhusene ber nemnda ta stilling til spørsmålet.

4.5 BIB medfører et særlig behov for å lagre opptak i lengre tid en syv dager, forskriften § 8-4 sjette ledd

Hvis profilhusene ikke har hjemmel til å oppbevare opptak av BIB-tjenester etter forskriftens § 8-4 tredje ledd, mener profilhusene at det foreligger uansett «særlig behov» for oppbevaring av billedopptak av BIB-tjenester i mer enn syv dager, jf. personopplysningsforskriften § 8-4 sjette ledd. Profilhusene ber derfor subsidiært om å få lagre kameraopptak av BIB-tjenester i inntil tre måneder med den begrunnelse at kravet til et «særlig behov» er oppfylt.

Profilhusene begrunner det forlengende lagringsbehovet med at kameraopptak er viktig bevis for å oppklare bedrageri- og svindelsaker, og felles for disse sakene er at det tar lengre tid enn syv dager før bankkunder reklamerer på banktransaksjonene. Hvis profilhusene ikke får lagret kameraopptak lengre enn syv dager, vil man ikke klare å oppklare bedrageri- og svindelsaker.

Videre foretar personer som planlegger kriminelle handlinger som ran og innbrudd rekognoseringer forut for den kriminelle handlingen. Ved lengre lagringstid vil opptak fra slike rekognoseringer bidra til å identifisere kriminelle, siden ranere og innbruddstyver ofte vil være maskerte under selve ranet eller innbruddet.

For det tilfelle at Personvernnemnda kommer til at opptak av BIB-tjenesten ikke er «Opptak gjort i post- og banklokaler», så foreligger det et særlig behov som må medføre at profilhusene tillates å lagre opptakene i inntil 3 måneder etter forskriften § 8-4 sjette ledd. Dette vil dessuten være i tråd med Datatilsynets tidligere forståelse av bestemmelsen. Datatilsynet har gjennom Bankkonsesjonen funnet at det foreligger «særlige behov» for å tillate lagring av opptak av BIB-tjenesten i inntil 3 måneder.

4.6 BIB-tjenesten leveres i et banklokale i forskriftens forstand

Det legges til at profilhusenes butikker i dag har et trusselbilde som tilsvarer det trusselbilde bankene hadde før banktjenestene ble flyttet ut i butikk. BIB-tjenesten i butikk samt de ansatte som leverer tjenesten er i dag utsatt for fare for vold, trusler, svindel, bedrageri, underslag, innbrudd og ran.

Dette trusselbildet for BIB er også dokumentert i Datatilsynets bankkonsesjon publisert 11.01.12 på Datatilsynets nettsider. Denne bankkonsesjonen omfattet blant annet en generell utvidet lagringstid i inntil tre måneder for billedopptak gjort i forbindelse med bankvirksomhet, jf, Bankkonsesjonens s. 16 punkt 8. Det bemerkes spesielt at konsesjonen eksplisitt omfatter BIB.

Datatilsynet begrunnet forlenget oppbevaringstid for billedopptak av bankvirksomhet herunder BIB slik:

Den forlengede oppbevaringstiden er begrunnet ut i fra kriminalitetsforebyggende og oppklaringsmessige hensyn, tilsvarende som for billedopptak gjort i post- og banklokaler. Rekognosering av ekspedisjonssteder som ledd i forberedelse av ran samt gjennomførte alvorlige forbrytelser eller forsøk på samme, for eksempel bedragerier, oppdages ofte på et senere tidspunkt. Det samme gjelder nyere former for IT-kriminalitet som rettsstridig montering av lese- og videoutstyr på minibankene med det formål å fange opp kortets magnetstripe og ta opptak ved inntasting av PIN-kode. Felles for slike situasjoner er at banken og/eller fornærmede først blir oppmerksom på forholdet etter slettefristen på syv dager.

Datatilsynets begrunnelse viser at bankenes trusselbilde, samt tilhørende behov for kameraopptak og lagring, i dag er flyttet ut i butikk og til BIB.

4.7 Faktiske forhold som illustrerer nødvendigheten av lagring av opptak i mer enn 7 dager

Fra Kiwis side opplyses det at Kiwi per 14. november 2013 har fått forespørsel om å innhente bilder i 251 saker for DNB og politiet relatert til manuelle uttak i BIB, det vil si saker om stjålne kort og ID-tyverier hvor det er behov for å identifisere den eller de som foretar uttaket. Med en lagringstid på syv dager ville man kun klart å sikre bilder fra 18 av disse tilfellene. En lagringstid på 7 dager ville medført at det i over 92 % av disse tilfellene ikke ville ha kunnet leveres ut bilder, fordi bildene ville vært slettet.

Antall utlevering av bilder fra Kiwi er stabilt høyt. I 2011 lå tallet på rundt 200, 2012 var tallet om lag 300, og det ser ut til at 2013 vil ende på omtrent det samme tall som i 2012.

Til sammenlikning er situasjonen i profilhuset Meny AS, som også leverer BIB, at disse har mottatt 20 forespørsler fra DNB om utlevering av bilder. Meny har levert ut bilder i 18 av disse tilfellene. Dersom lagringstiden hadde vært inntil 7 dager, ville Meny kun kunnet levere bildet i l av disse 20 tilfellene.

Det vises også til at teknologiutviklingen de siste årene har ledet til at identitetspapirer i dag forfalskes med høyere kvalitet enn tidligere med tilhørende økt risiko for misbruk, hvilket øker behovet for kameraopptak samt tilstrekkelig lagringstid for disse.

Nødvendigheten og viktigheten av kameraopptak vises også gjennom straffesaksavviklingen. Kameraopptak i straffesaker vedrørende kriminalitet mot BIS-tjenesten utgjør ofte påtalemyndighetens vesentlige bevis. Påtalemyndigheten ville uten kameraopptak vært tvunget til å ta ut tiltale i vesentlig færre saker enn i dag. En rekke kriminelle handlinger mot BIB ville uten kameraopptak ikke blitt gjenstand for tiltale og fellende dom.

Gjeldende regler for lagring av opptak må forstås og praktiseres slik at opptakene lovlig kan lagres tilstrekkelig lenge til at kameraopptak representerer en reell beskyttelse mot kriminalitet for kundene, profilhusene og bankene.

4.8 Lagringstid og profilhusenes ansattes personvern

Tilsynet legger til grunn at profilhusenes begrunnelse for å gjøre kameraopptak er «profilhusenes interesse om å sikre ansatte mot falske anklager og urettmessige erstatningskrav» og at denne interessen ikke overstiger de ansattes krav på personvern på arbeidsplassen.

Profilhusenes begrunnelse for å gjøre kameraopptak samt begrunnelsen for lagringstid for slike er videre enn hva Datatilsynet her uttrykker. Det er korrekt at ett av flere hensyn som begrunner kameraopptak er hensynet til ansatte og hensynet til urettmessige erstatningskrav (fra banken). Samtidig har denne begrunnelsen, jf klagen, fra profilhusene særlig vært trukket frem i forhold til plassering av behandlingsansvar.

Når det gjelder hensyn som begrunner nødvendigheten av kameraopptak av BIB-tjenesten som sådan, så er disse hensyn vesentlig videre enn det Datatilsynet legger til grunn.

Det vises i denne sammenheng til Personopplysningsloven§ 37 tredje ledd:

«Ved vurderingen av hva som er en berettiget interesse etter personopplysningsloven § 8 bokstav f skal det for kameraovervåking legges vesentlig vekt på om overvåkingen bidrar til å verne om liv eller helse eller forebygger gjentatte eller alvorlige straffbare handlinger.»

Kameraopptak av BIB-tjenesten er begrunnet i behovet for å forebygge kriminalitet, oppklare kriminalitet, beskytte kunder mot kriminalitet, sikre ansatte samt er nødvendig for at NorgesGruppen kan bidra til samfunnssikkerheten.

Kameraopptak av BIB-tjenesten er hjemlet i personopplysningsloven§ 8 bokstav f, jf §§ 37 og 38. Kameraopptak er etter personopplysningsloven § 37 nødvendig for å forebygge at farlige situasjoner oppstår og nødvendig for å ivareta hensynet til ansattes og andres (kunders) sikkerhet.

I tillegg kommer at det også foreligger særskilt behov for kameraopptak av BIB-tjenesten, jf. personopplysningsloven § 38 siste alternativ.

Begrunnelsene for at kameraopptak må gjøres, utgjør samtidig begrunnelse for at kameraopptakene må lagres i inntil 3 måneder.

5 Anførsler fra DNB

5.1 Generelt om grunnlaget for klagen

DNB er av den oppfatning at Datatilsynet har etablert en ny situasjon hva gjelder bruk av kameraovervåking i butikker. Banken er ikke enig med tilsynet i at påleggene er en nødvendig følge av gjeldende lovgivning på omradet og etablerte tolkningsmessige avklaringer, blant annet nedfelt i ny standardkonsesjon som tilsynet utferdiget til bankene i mai 2010. Banken mener tvert imot at påleggene er en innskjerpet lovanvendelse som representerer et brudd med etablert praksis og som i vesentlig grad innsnevrer det tolknings- og handlingsrommet som lovgivningen åpner for.

Banken er klar over at Datatilsynet er innforstått med behovet for kameraovervåking av butikker samt for kameraovervåking av BIB- og PIB-tjenester. Og at den endelige virkningen av påleggene ikke er ment å skulle hindre eller vesentlig redusere overvåkingen, men heller et ønske om en opprydding av ansvarsforholdet i samsvar med hva som oppfattes å være lovens system. DNB er i den sammenheng uenig i at lovgivningen krever en slik opprydding. Etter bankens vurdering vil påleggene fremtvinge ansvarsforhold som er konstruerte og som skaper uklarhet i forhold til dem som overvåkes og mellom de selskapene som involveres i overvåkingen og etterfølgende bruk av bildeopptakene.

5.2 Pålegg om at behandlingsansvaret for kameraovervåking skal legges til DNB

DNB har forstått tilsynets uttalelser i vedtaksbrevene til profilhusene slik at det ligger
implisitt i pålegg 1 a. at banken må være behandlingsansvarlig for kameraovervåking av BIB­
tjenester. Det vises til Datatilsynets uttalelser i brev til Kiwi den 21. juni 2013, der tilsynet sier at det fremgår klart av standardkonsesjonen av 2010 og et tidligere dispensasjonsvedtak av 24. september 2007 (saksnr. 07/01227-2) at «det er DNB som er behandlingsansvarlig for kameraovervåking av bank i butikk».

DNB deler ikke tilsynets vurdering av at tidligere vedtak måtte forstås slik at bare DNB kunne være behandlingsansvarlig. Banken viser i den sammenheng til at bankens standardkonsesjon fra 2010 kun er en dispensasjon fra personopplysningsforskriftens regulære syv dagers oppbevaringstid og er begrenset til «den fjernsynsovervåkingen som banken selv er behandlingsansvarlig for, og er kun knyttet til bankvirksomhet». DNB har derfor lagt til grunn at dispensasjonen kun får betydning dersom banken skulle etablere egen kameraovervåking i BIB. Standardkonsesjonen ble fra bankens side ikke oppfattet å gripe inn i den kameraovervåkingen som var etablert av butikken selv. Dispensasjonsvedtaket ble videre ikke lest slik at det forutsatte at DNB overtok behandlingsansvaret for den kameraovervåkingen som butikkene etablerte i BIB.

DNB erkjenner at banken og NorgesGruppen i ettertid kanskje kan bebreides for at man ikke problematiserte at tilsynet valgte å formulere den positive besvarelsen av henvendelsen som et dispensasjonsvedtak og for at det ikke ble reagert på at Datatilsynet benevnte banken alene som søker. Datatilsynets pålegg som innebærer at banken kan være behandlingsansvarlig for all kameraovervåking av BIB-tjenester fremstår som ny tolkning og praksis sett fra DNB.

Tilsynets utgangspunkt om at det er den som er ansvarlig for virksomheten som også må ha ansvaret for eventuell kameraovervåking av denne virksomheten, anses som diskutabel fra bankens side. Særlig i sammensatte virksomheter eller når aktører eller samarbeidspartnere er blitt enige om hvor ansvaret skal ligge. Når overvåkingen i betydelig grad omfatter ansatte og kunder, vil arbeidsgiveransvaret og kundeopplevelsen (definert som hvem kunden opplever å ha oppsøkt), spille en betydelig rolle i plassering av behandlingsansvar, etter bankens vurdering.

I denne saken mener banken at tilsynet tar feil med hensyn til hvilken virksomhet det er som overvåkes i bankdelen av BIB. Etter bankens syn er formålet med kameraovervåkingen å samle inn bilder som kan benyttes til å oppklare og følge opp kriminelle handlinger rettet mot formidlingen av banktjenester, altså profilhusene (butikkene).

Det vises til at det er i hovedsak butikkenes ansatte og tredjepersoner (som ikke er kunder i banken) som filmes. Banken fremhever at personvernhensynet tilsier at den som har ansvaret for de ansatte og dennes arbeidssituasjon også bør være ansvarlig for billedopptakene og bruken av dem.

Et vesentlig vurderingsmoment etter bankens vurdering er at den del av opptakene som er relevant for behandlingsformålet «registering av kriminell handlinger», vil utgjøre en meget liten del av det totale billedmaterialet som samles inn og lagres fra kameraene som det vil være aktuelt å pålegge banken behandlingsansvar for.

Banken påpeker at butikkene normalt vil ha kameraovervåking over hele butikken, og at kameraovervåking av BIB-tjenesten kun utgjør en liten del. Det vil derfor fremstå som konstruert å skulle operere med delt eller separat ansvar for enkeltsekvenser med banktjenester som måtte inngå i disse opptakene. Personvernhensyn og hensynet til
arbeidsmiljøet taler etter bankens syn ikke for delt behandlingsansvar for disse opptakene, snarere tvert i mot.        

5.3 Pålegg om at billedopptak ikke skal utleveres til banken

DNB forstår tilsynets vedtakspunkt 4 i brev av 21. juni 2013, slik at butikkene ikke skal ha lov til å utlevere billedopptak til DNB, siden tilsynet er av den oppfatning at det ikke foreligger en databehandlerrelasjon mellom profilhusene og DNB.

DNB mener pålegget vil avskjære dagens godt fungerende oppfølging av straffbare forhold knyttet til banktjenestene i BIB. DNB tar til etterretning at fravær av databehandleravtale er et avvik, jf. personopplysningsloven § 15.

Banken viser til løsningsforslaget som ble fremmet i brev av 29. april 2013, der banken foreslår følgende:

DNB sitt forslag til løsning er at oppbevaring inntil 3 måneder tillates på betingelse av at opptak eldre enn 7 dager bare kan hentes ut av Profilhuset og banken i fellesskap. Behandlingsansvaret ligger fortsatt hos Profilhuset, men bruk av eldre opptak tillates bare ved at opptakene overlates til banken med det avgrensede formål å følge opp straffbare forhold knyttet til banktjenester.

Resultatet av tilsynets pålegg om at bildeopptakene kun skal utleveres fra butikk til politi uten at DNB skal ha bearbeidet materialet, vil resultere til at antall anmeldelser og sanksjonerte saker vil falle dramatisk. DNB mener at tilsynet også ser dette og at pålegget anses å være formulert med det siktemål å tvinge frem en løsning knyttet til behandlingsansvar.

Det forhold at DNB har en egeninteresse i at resultatet blir best mulig, kan ikke være til hinder for at banken opptrer som databehandler for butikken. Det kan i den forbindelse ikke være tvilsomt at DNB bidrar til å oppfylle butikkenes behandlingsformål og derfor kan ha rolle som databehandler. Utleveringsforbudet i personopplysningsloven § 39 vil en slik sammenheng ikke komme til anvendelse.

5.4 Pålegg om å slette billedopptak innen fristen i forskriften § 8-4 annet ledd

DNB er av den oppfatning at utvidet oppbevaringstid må følge av personopplysningsloven
§ 8-4 tredje ledd, dvs. at BIB må anses som et banklokale.  DNB anfører videre at utvidet oppbevaringstid hjemlet i § 8-4 tredje ledd ikke er betinget av hvem som er behandlingsansvarlig.

I det tilfelle man skulle komme til at det ikke foreligger hjemmel i personopplysningsforskriften § 8-4 tredje ledd, sa bør dispensasjon kunne innvilges uavhengig av hvem som er behandlingsansvarlig. Det sentrale etter bankens syn er at opptakene er tilgjengelige for det formålet de er innsamlet for og at det eventuelt treffes tiltak for å hindre at de benyttes til andre formål. Det vises igjen til bankens løsningsforslag i brev av 29. april 2013.

6 Datatilsynets vurdering

6.1 Innledning

Høsten 2012 besluttet Datatilsynet å gjennomføre tre kontroller rettet mot kameraovervåking av BIB og PIB. Hensikten med kontrollene var å finne ut hvordan aktørene hadde organisert og gjennomført kameraovervåkingen som var knyttet til BIB og PIB. Øvrig kameraovervåking som butikkene gjennomførte i forbindelse med ordinær butikkdrift var i utgangspunktet ikke gjenstand for tilsynets kontroll.

Forut for kontrollene har Datatilsynet hatt korrespondanse med klagerne vedrørende kameraovervåking av BIB-tjenester.

I brev av 17. august 2007 henvendte DNB og NorgesGruppen seg til Datatilsynet for å få avklart om BIB kom inn under definisjonen banklokale, jf. personopplysningsforskriften § 8-4 tredje ledd.

Datatilsynet besvarte henvendelsen i brev av 24. september 2007 med overskriften
«Dispensasjon – utvidet lagring av billedopptak». Brevet var rettet til DNB, med NorgesGruppen som kopimottaker. I brevet gjør Datatilsynet det klart at man anså brev av 17. august 2007 for å være en søknad fra DNB om å oppbevare billedopptak gjort i «bankdelen» av bank i butikk-konseptet i inntil 3 måneder. Datatilsynet fant at banken oppfylte kravet om «særlig behov» og innvilget derfor søknaden med hjemmel i personopplysningsforskriften § 8-4 sjette ledd.

I 2010 ga Datatilsynet ut en ny standardkonsesjon for behandling av personopplysninger for banksektoren «Konsesjon til å behandle personopplysninger – Banktjenester». Konsesjonen regulerer utvidet lagringstid for kameraovervåking i pkt. 8, og nærmere om kameraovervåking av BIB-tjenester i merknadene til pkt. 8. Følgende er et utdrag fra sist nevnte pkt.:

Utover billedopptak av ordinære ekspedisjonssteder, minibanker plassert i og rett utenfor banklokalet, vil dispensasjonen om utvidet lagringstid til tre måneder bl. a. dekke opptak gjort av "frittstående" minibanker og betalingsterminaler knyttet til "bank i butikk" tjenester. Lagring i tre måneder vil kun være tillatt av det området av butikklokalet hvor kunder ekspederes for "bank i butikk"-tjenester.

Ved bildeopptak i lokaler (for eksempel i forbindelse med "bank i butikk'') og av terminaler/automater som ikke direkte blir kontrollert av banken, skal banken som behandlingsansvarlig for opptak, innga en databehandleravtale med den som har utplassert og/eller drifter kameraet, jf personopplysningsloven § 15. Videre skal det tydelig fremgå av merkingen i lokalet og på terminalen at banken er ansvarlig for overvåkingen, jf personopplysningslovens § 40.

Personopplysningsloven § 38 oppstiller krav om at det skal foreligge et særlig behov for overvåking av ansatte, enten bankes eller butikkens ansatte i "bank i butikk"- tjenester, må således oppfylle kravet til et særlig behov, i tillegg til arbeidsmiljølovens kapittel 9 om kontrolltiltak i virksomheten.

Utvidet lagringstid ved fjernsynsovervåking, anses som en personvernulempe både for ansatte og kunder. Det stilles i den forbindelse krav til banken om at overvåking med utvidet lagringstid begrenses til et minimum, jf personopplysningslovens § 11 bokstav b. Typisk bør overvåking av "bank i butikk" være begrenset til dedikerte kasser.

På bakgrunn av dispensasjonen som ble gitt i brev av 24. september 2007 og senere i standard konsesjonen og de presiseringer som ble foretatt i merknadene, fant tilsynet det naturlig å sende varsel om kontroll av kameraovervåking av BIB-tjenester til DNB. Når tilbakemeldingen var at banken ikke ansa seg selv som behandlingsansvarlig for kameraovervåking av BIB-tjenester, valgte tilsynet å gjennomføre kontrollen overfor virksomhetene som hadde påtatt seg slikt ansvar.

6.2 Behandlingsansvarlig for kameraovervåking av BIB

Datatilsynet er kjent med at profilhusene har kameraovervåking generelt i butikkene for å sikre ansatte, kunder og varer. Tilsynet er innforstått med at disse kameraene også dekker de områdene der BIB-tjenester utføres. Tilsynet anser at profilhusene vil ha adgang til å behandle slike personopplysninger når personopplysningsloven §§ 37 og 38 er oppfylt. Profilhusene må etter personopplysningsforskriften § 8-4 annet ledd slette slike opptak senest etter 7 dager.

Problemstillingen i denne saken er om Profilhusene kan være behandlingsansvarlige for kameraovervåking av BIB-tjenester med en mulighet til å lagre opptakene i inntil tre måneder.
Datatilsynet vil poengtere at tilsynet ikke problematiserer om profilhusene de facto er        behandlingsansvarlig eller om profilhusene oppfyller definisjonen i personopplysningsloven § 2 nr. 4. Det Datatilsynet problematiserer er om profilhusene kan være behandlingsansvarlig for kameraovervåking av BIB-tjenester.

Det er på det rene at DNB er behandlingsansvarlig for behandling av personopplysninger som skjer når det formidles banktjenester. Det er videre klart at i BIB vil profilhusene utføre banktjenestene på vegne av banken. Profilhusene vil i den relasjon være en databehandler, jf. personopplysningsloven § 2 nr. 5.

Spørsmålet som reiser seg er om profilhuset (databehandleren) kan være behandlingsansvarlig for kameraovervåkingen av bankens (behandlingsansvarliges) virksomhet.

Det rettslige utgangspunktet er personopplysningsloven § 11 bokstav b) som sier:
«Den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet». Formålet må etter dette ha en nær og naturlig sammenheng med profilhusenes virksomhet.

Virksomheten til NorgesGruppen er gjennom butikkene Kiwi Sognsveien og Spar Tåsen å drive butikkhandel med bredt vareutvalg med hovedvekt på nærings- og nytelsesmidler.
Videre er profilhusenes sentrale virksomhet å utvikle, forvalte og administrere hhv. Kiwi- og
Spar-konseptet. Formålet med kameraovervåking er av profilhusene (pkt. 2.3 i klagen) oppgitt til å være:

•   forebygge kriminalitet
•   oppklare kriminalitet
•   beskytte kunder mot kriminalitet
•   sikre at ansatte mot uriktig anklager om svindel og andre straffbare forhold
•   sikre ansatte mot urettmessige erstatningskrav

Formålene om å oppklare kriminalitet, forebygge kriminalitet og beskytte kunder mot kriminalitet vil profilbusene, etter tilsynets vurdering, kunne oppfylle ved ordinær lagringstid (innen syv dager), jf. personopplysningsforskriften § 8-4 annet ledd. Hensynene kunne i så måte gjort seg gjeldende selv om butikken ikke hadde formidlet BIB-tjenester.

Formålene om å sikre ansatte mot falske anklager og urettmessige erstatningskrav har tidligere ikke blitt angitt som formål for kameraovervåking av BIB før brev av 11. september
2013.

Datatilsynet har i forbindelse med kontrollen fått tilsendt samarbeidsavtalen mellom NorgesGruppen og DNB av 5. november 2004. I samarbeidsavtalens pkt 10 (forhold til tredjeparter) heter det at:

Banken, NorgesGruppen og det enkelte Kjedemedlem driver virksomhet som selvstendige juridiske enheter og bærer selv ansvaret i forhold til egne ansatte, kunder, leverandører, offentlige myndigheter m.v.

Banken har i forhold til tredjeparter ansvaret for følgene av stans i betalingsformidlingen og/eller annen svikt som fullt ut eller hovedsakelig relaterer seg til Bankes kjernevirksomhet, med mindre slike feil skyldes forsømmelse hos NorgesGruppen eller Kjedemedlemmet eller andre forhold NorgesGruppen svarer for. Banken skal holde NorgesGruppen skadesløs for ethvert krav fra tredjeparter som følge av slike forhold som Banken svarer for etter denne bestemmelse.

NorgesGruppen har i forhold til tredjeparter ansvaret for følgende av feil ved kontanthåndtering i de av Kjedemedlemmene som er egeneide.  Videre også for butikkdatasystemer og/eller annen svikt ved andre funksjoner som fullt ut eller hovedsakelig relaterer seg til NorgesGruppens virksomhet eller det enkelte egeneide Kjedemedlems butikkvirksomhet, med mindre slike feil skyldes forsømmelse has Banken eller andre forhold Banken svarer for.

Datatilsynet forstår dette punktet slik at banken i utgangspunktet bærer kostnadene hvis BIB­ tjenesten blir utsatt for en kriminell handling som f.eks. svindel. Det vil imidlertid kunne rettes et regresskrav mot NorgesGruppen, hvis det kan påvises forsømmelse fra NorgesGruppens side.

Datatilsynet forstår at det er bakgrunnen for at profilhusene begrunner kameraovervåkingen av BIB-tjenester til også å sikre ansatte mot falske anklager og urettmessige erstatningskrav. Hensynet bak kameraovervåkingen av BIB-tjenester må således forstås som et tiltak for å kunne dokumentere at NorgesGruppen og deres ansatte ikke har opptrådt klanderverdig eller erstatningsbetingende.

Det som begrunner en utvidet lagringstid på inntil tre måneder er for å oppklare kriminelle handlinger som det erfaringsmessig tar noe tid å oppdage, som f.eks. svindel eller bedrageri. Datatilsynet legger til grunn at hvis en BIB blir utsatt for svindel eller bedrageri, så er det hhv. bankkunden eller banken som anses som fornærmet i strafferettslig forstand. Det er banken som påføres det økonomiske tapet når handlinger (svindel) som begrunner den utvidet lagringstiden oppstår. Det at handlingen blir fanget opp gjennom kameraovervåkingen vil følgelig være i bankens interesse og beskytte bankens virksomhet.

Det kan videre hevdes at det vil være vanskelig for banken å påberope at NorgesGruppen v/profilhusene har oppdratt erstatningsbetingende uten at kameraopptak av den aktuelle hendelsen foreligger. Bevisbyrden må i slike tilfeller påhvile banken som krever regress av NorgesGruppen.

Det kan anføres at profilhusene har en indirekte interesse i få oppklart den kriminelle handlingen, siden den kriminelle gjemingen blir utført i deres lokaler, og kan i den anledning oppleves belastende for ansatte og virksomheten.

Datatilsynet er imidlertid av den oppfatningen at denne interessen ligger i periferien av hva som kan anses som profilhusenes virksomhet, og profilhusene vil uansett kunne ivareta disse hensynene gjennom de avtalene virksomheten inngår med banken.

Profilhusenes kameraovervåking av BIB-tjenester, vil etter tilsynets vurdering, falle utenfor hva som er profilhusenes virksomhet, jf. personopplysningsloven § 11 bokstav b).

6.3 Utlevering av billedopptakene til banken

Det vises til at virksomhetene har inngått en databehandleravtale, der profilhusene er behandlingsansvarlige for kameraovervåkingen av BIB og banken er databehandler. Profilhusene overleverer opptakene til DNB som igjen «bearbeider» opptaket før det gis til politiet. Etter bankens statistikk er bearbeidingen av opptakene avgjørende for å få de som har begått ugjerningen straffeforfulgt og dømt.

Etter Datatilsynets vurdering er en slik konstruksjon en omgåelse av personopplysningsloven § 39, som forbyr utlevering av bildeopptak til andre behandlingsansvarlige dersom den som er avbildet ikke har samtykket eller utleveringsadgangen ikke følger av lov. Datatilsynet registrer at DNB i sin klage mener ordningen er «kurant og uproblematisk».

Banken anfører videre at «... det forhold at DNB har en egeninteresse i at resultatet blir best mulig kan ikke være til hinder for at banken i denne sammenheng opptrer som databehandler for butikken

Datatilsynet er i utgangspunktet enig i at selv om banken har en egeninteresse i at resultatet blir best mulig, er ikke det til hinder for at man kan opptre som en databehandler. I dette tilfellet vurderer tilsynet at denne egeninteressen er svært fremtredende og ikke minst utslagsgivende for at man i det hele tatt kan lagre kameraopptak i inntil tre måneder. Etter tilsynets vurdering foretas kameraovervåkingen av BIB for bankens interesser, jf. pkt 6.2 over. Det er banken som bærer den økonomiske risikoen og banken betaler sågar profilhusene for å få utlevert bildeopptakene til seg, noe som helt klart viser hvor fremtredende bankens egeninteresse er.

Datatilsynet finner av den grunn ikke banken til å være en databehandler, men en behandlingsansvarlig når de mottar bildeopptak fra profilhusene. Profilhusene vil derfor være forhindret fra å utlevere billedopptakene til DNB, uten at vilkårene i personopplysningsloven § 39 er oppfylt.

DNB fremmet i brev av 29. april 2013 et løsningsforslag for hvordan utlevering av bildeopptak kunne gjennomføres. I løsningen foreslår DNB at profilhusene og banken i fellesskap skal få tilgang til opptak eldre enn 7 dager. Banken er av den oppfatning at de kan få slik tilgang uten å være behandlingsansvarlig. Datatilsynet deler ikke denne forståelsen. Etter Datatilsynets oppfatning kan ikke banken få slik tilgang til opptakene uten å være behandlingsansvarlig for kameraovervåkingen av BIB. Banken vil følgelig ikke kunne bearbeide kameraopptakene som de gjør i dag uten å være behandlingsansvarlig.

Datatilsynet kan ikke se at den foreslåtte løsningen kan være i tråd med personopplysningsloven, da den løsningen i likhet med dagens løsning vil være i strid med personopplysningsloven § 39.

6.4 Personvernhensyn

Profilhusene har anført en rekke argumenter for hvorfor man mener at kameraovervåkingen av BIB-tjenester ligger innenfor profilhusenes virksomhet. Det vises blant annet til at det er profilhusenes virksomhet (butikker) og ansatte som overvåkes.

Datatilsynet vil fremheve at partene har valgt å inngå et kommersielt samarbeid som innebærer at banken får tilbudt grunnleggende banktjenester, på en rimeligere måte enn det å ha egne banklokaler, gjennom NorgesGruppens butikker. Et slikt samarbeid vil naturlig nok kunne medføre enkelte personvernutfordringer.

Datatilsynet forstår at profilhusene som databehandler har interesser knyttet til hvordan BIB­tjenesten fungerer og banken som behandlingsansvarlig har en interesse knyttet til hvordan butikken fremstår. Den andre avtalepartens disposisjoner vil således få følger for hvordan kunder opplever samarbeidspartneren. Partene star fritt til å løse slike potensielle interessekonflikter gjennom å finne konstruktive løsninger innenfor lovens rammer.

I profilhusenes klage opplyser NorgesGruppen at man ikke ønsker at DNB eller Posten skal kunne etablere egne kameraer, siden en slik løsning ville ledet til at «DNB og Posten kunne overvåke samtlige av NorgesGruppens kunder og samtlige av transaksjonene og samtlige handlinger profilhusets ansatte foretar».

Tilsynet vil til det innvende at selv om banken er behandlingsansvarlig for BIB-tjenester betyr ikke det at banken har anledning til å drive med kontinuerlig monitorering av hendelsene i butikken. Banken vil kun ha anledning til å gjennomgå opptak når en hendelse som begrunner kameraovervåking av BIB-tjenester finner sted. Datatilsynet har fått opplyst at slike hendelser blir registrert ned på sekundet, slik at det ikke vil være nødvendig med en omfattende gjennomgang av opptakene. Partene kan i så måte avtale nærmere hvordan prosedyrene for slik innsyn skal være og om en eventuell databehandler skal benyttes. Resultatet av en slik avtale må dog være forholdsmessig og ivareta hensynet til de ansatte, jf. personopplysningsloven § 8 bokstav f) og § 38.

Banken påpeker at butikkene normalt har kameraovervåking over hele butikken og at det vil fremstå som konstruert å operere med delt eller separat ansvar for enkeltsekvenser med banktjenester som måtte innga i disse opptakene. Datatilsynet vil understreke at profilhusenes generelle kameraovervåking der formålet er å sikre de ansatte, kunder og varer mot kriminelle handlinger, gjøres i profilhusenes egen interesse. Hvis banken er behandlingsansvarlig for kameraovervåking av BIB-tjenester, vil ikke det føre til et delt behandlingsansvar, selv om kameraopptakene skulle fange opp de samme bildene. Dette skyldes at de behandlingsansvarlige (hhv. profilhusene og banken) har forskjellige formål med behandlingen og det knyttes også forskjellige virkninger til deres behandling.

6.5 Kan formålene om å sikre ansatte mot falske anklager og urettmessige erstatningskrav hjemle kameraovervåking og lagring av slike opptak i inntil tre måneder?

For å kunne behandle personopplysninger må man ha et behandlingsgrunnlag, jf. §§ 11 og 8. Et slikt behandlingsgrunnlag er normalt enten hjemmel i lov, samtykke fra den personopplysningen gjelder, eller at en slik behandling er nødvendig for nærmere angitte formål (§ 8 bokstav a-f).

Det aktuelle behandlingsgrunnlaget for kameraovervåking vil være § 8 bokstav f), som baserer seg på en interesseavveining mellom den som ønsker å overvåke og de som blir overvåket. Kameraovervåkingen vil være av et sted hvor en begrenset krets av personer ferdes jevnlig (ansatte). Etter personopplysningsloven § 38 er kameraovervåking bare tillatt dersom det ut fra virksomheten er behov for å forebygge mot at farlige situasjoner oppstår og ivareta hensynet til ansattes eller andres sikkerhet eller det for øvrig er et særskilt behov for overvåkingen.

Spørsmålet blir i første omgang om profilhusenes interesse i å sikre ansatte mot falske anklager og urettmessige erstatningskrav overstiger hensynet til de registrertes (ansattes) krav til personvern, samt om kravet til særskilt behov er oppfylt, jf lovens § 38.

Datatilsynet er av den oppfatning at profilhusene ikke vil ha en berettiget interesse som overstiger de ansattes krav på personvern på arbeidsplassen. Det at man ønsker å beskytte de ansatte mot falske anklager og urettmessige erstatningskrav fra banken, må således sikres på en annen måte. Tilsynet finner heller ikke at kravet til et særskilt behov, jf. § 38 blir oppfylt gjennom profilhusenes oppgitte formål.

6.6 Er BIB omfattet av bestemmelsen i personopplysningsforskriften § 8-4 tredje ledd

Profilhusene anfører at BIB omfattes av definisjonen av banklokaler, jf. personopplysningsforskriften § 8-4 tredje ledd, slik at opptak gjort i BIB av den grunn kan lagres inntil tre måneder. DNB har i sin klage anført at oppbevaringstid hjemlet i forskriftens § 8-4 tredje ledd ikke er betinget av hvem som er behandlingsansvarlig.

Datatilsynet deler ikke denne forståelsen. Etter tilsynets vurdering må forskriftens § 8-4 tredje ledd sees i lys av lovens § 11 bokstav b). Etter personopplysningsloven § 11 bokstav b) kan ikke den behandlingsansvarlige fritt velge seg et hvilket som helst lovlig formål for behandling av personopplysninger. Bestemmelsen forhindrer at en behandlingsansvarlig behandler personopplysninger, når behandlingsformalet ikke er saklig begrunnet i den behandlingsansvarliges virksomhet.

Datatilsynet har konkludert med at profilhusene ikke kan være behandlingsansvarlig for kameraovervåking av BIB-tjenester, siden behandlingsformålet ikke er saklig begrunnet i profilhusenes virksomhet. Datatilsynet finner av den grunn ikke personopplysningsforskriften § 8-4 tredje ledd anvendelig.

6.7 Søknad om lagring av opptak etter personopplysningsforskriften § 8-4 sjette ledd

Profilhusene har i brev av 11. september 2013 subsidiært søkt tilsynet om tillatelse til å lagre kameraovervåkingsopptak av BIB i inntil tre måneder, jf. personopplysningsforskriften § 8-4 sjette ledd.

Datatilsynet har i pkt. 6.2 konkludert med at profilhusene ikke kan være behandlingsansvarlig for kameraovervåking av BIB-tjenester, siden behandlingsformålet ikke er saklig begrunnet i profilhusenes virksomhet.

De hensynene som legitimerer kameraovervåking i butikkene og som er saklig begrunnet i profilhusenes virksomhet er formål som er begrunnet ut fra å oppklare kriminalitet og forebygge kriminalitet som er rettet mot butikk, ansatte eller kunder. Datatilsynet kan ikke se at slike formål skulle føre til et særskilt behov for å lagre kameraopptak utover syv dager.

Det at butikkene har BIB i sine lokaler vil etter tilsynets vurdering ikke medføre at kravet til «særskilt behov» er oppfylt. Profilhusene opplyser at det er en forutsetning for butikker som har BIB, at de har et lukket system for kontanthåndtering og at butikkene er godt fysisk sikret mot kriminelle anslag. Butikkene med BIB i sine lokaler fremstår derfor som mindre ransutsatt enn andre virksomheter.

Datatilsynet kan ikke se at Personvernnemndas vurderinger i PVN-2002-03 kan tas til inntekt for å innvilge en utvidet lagringstid til profilhusene. Parten (behandlingsansvarlig) i den saken var Posten Norge BA som ønsket å forlenge oppbevaringstiden (fra syv dager til tre måneder) for kameraovervåkingsopptak av ekspedisjoner ved minibanker som var plassert utenfor postlokaler. For BIB har bankene gjennom bankkonsesjonen fått dispensasjon til å lagre kameraopptak av BIB-tjenester i inntil tre måneder. Datatilsynet har i så måte videreført Personvernnemndas vurderinger.

Profilhusene vil etter dette ikke oppfylle vilkåret om særskilt behov, jf. personopplysningsforskriften § 8-4 sjette ledd. Datatilsynet avslår derfor søknaden.

6.8 Avsluttende betraktninger

Banken hevder i sin klage at tilsynets vedtak representerer en innskjerpet lovanvendelse, og representerer et brudd med etablert praksis og som igjen i vesentlig grad innsnevrer det tolknings- og handlingsrommet som lovgivningen åpner for. Datatilsynet deler ikke dette syn. Bankens vurderinger er tuftet på den forståelsen av at partene (NorgesGruppen v/profilhusene og DNB) seg i mellom fritt kan bestemme hvor behandlingsansvaret skal ligge. Mens Datatilsynet er av den oppfatning at blant annet personopplysningsloven § 11 bokstav b) vil sette skranker for en slik plassering.

Klagerne har etter det tilsynet forstår kommet frem til dagens ordning gjennom forhandlinger, der partene har tatt utgangspunkt i hva som gagner deres interesser. Ordningen tar i liten grad hensyn til hvilke skranker personopplysningsloven setter eller hvilke avklaringer tilsynet har kommet med.

NorgesGruppen har som utgangspunkt at man ikke ønsker eksterne behandlingsansvarlige som har muligheten til å overvåke sine butikker, ansatte eller kunder. Banken på sin side
ønsker å beskytte sine interesser, og når banken får kameraopptakene av de hendelsene som
begrunner kameraovervåking med utvidet lagringstid fra profilhusene, så blir deres interesser ivaretatt.

For at kameraovervåking av BIB-tjenester skal være i samsvar med personopplysningsloven må banken være behandlingsansvarlig. Det er virkningen av Datatilsynets vedtak.

Spørsmålet om banken får lov til å kameraovervåke BIB-tjenestene vil bero på om NorgesGruppen, profilhusene og banken kan komme til enighet om hvordan en slik kameraovervåking skal gjennomføres.

Datatilsynet har tidligere informert partene om at det i utgangspunktet ikke er nødvendig for banken å installere egne kameraer i butikken, men at enkelte av butikkens eksisterende kameraer kan benyttes, hvis profilhusene skulle tillate det. Regelverket vil dog sette skranker for hvordan blant annet lagringen blir gjennomført, hvem som skal ha tilgang til opptakene og at det settes opp skilt med den behandlingsansvarliges navn på, jf. lovens § 40.

Tilsynet vil etter klagebehandlingen kunne veilede partene nærmere i hvordan man kan gå frem for å oppfylle personopplysningslovens plikter.

7 Personvernnemndas merknader

Personvernnemnda skal ta stilling til hvem som er behandlingsansvarlig for kameraovervåking av tjenesten «bank i butikk».

Datatilsynet har tatt utgangspunkt i at problemstillingen i denne saken er om profilhusene kan være behandlingsansvarlige for kameraovervåking av BIB-tjenester med en mulighet til å lagre opptakene i inntil tre måneder. Datatilsynet presiserer at tilsynet ikke problematiserer om profilhusene de facto er behandlingsansvarlig eller om profilhusene oppfyller definisjonen i personopplysningsloven § 2 nr. 4. Datatilsynet mener videre at bankene er behandlingsansvarlig for behandling av personopplysninger som skjer når det formidles banktjenester, mens i BIB vil profilhusene utføre banktjenestene på vegne av banken. Profilhusene vil i den relasjon være en databehandler, jf personopplysningsloven § 2 nr. 5. Spørsmålet som Datatilsynet reiser er om profilhuset (databehandleren) kan være behandlingsansvarlig for kameraovervåkingen ved utførelse av banktjenester i butikk.

Datatilsynet synes å legge til grunn at banken per definisjon er behandlingsansvarlig for all behandling av personopplysninger som skjer når det formidles banktjenester og spør om profilhuset som databehandler også kan være behandlingsansvarlig. Slik nemnda ser det vil det være naturlig å stille spørsmål om butikken alene er behandlingsansvarlig for behandling av personopplysninger når det formidles banktjenester i en butikk. Nemnda vil først vurdere hvorvidt butikken er behandlingsansvarlig, jf personopplysningsloven § 2 nr 4. Dessuten skal Personvernnemnda ta stilling til hvorvidt et butikklokale også kan være et banklokale, jf personopplysningsforskriften § 8-4.

Behandlingsansvarlig er den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes, jf personopplysningsloven § 2 nr. 4. I denne saken har en bank inngått avtale med butikker om formidling av enkelte banktjenester i butikk. Dette er et ledd i bankenes rasjonalisering og utføres i bankenes interesse. Det har vært argumentert med at når butikken utøver tjenester på vegne av banken og i bankens interesse burde dette føre til at banken også er behandlingsansvarlig for kameraovervåkingen av BIB-tjenestene i butikken. På den annen side er det klart at det er butikkens lokaler, ansatte og kunder som filmes. Nemnda mener at det er naturlig å se hen til hvor kameraovervåkingen finner sted, hvem som overvåkes og hvem som har instruksjonsmyndighet og arbeidsgiveransvar ved plassering av behandlingsansvaret. Det er butikkens ansatte og kunder som overvåkes. Det er butikken som eier/leier lokalet. Det er butikken som kan gi instrukser etc. om hvordan overvåkingen skal utføres. Nemnda ser det derfor slik at det er naturlig at butikken har behandlingsansvaret for overvåkingen som finner sted i butikken. Det er butikken som har størst mulighet til å påvirke alle beslutninger som må tas for å drifte denne overvåkingen. Butikken er til stede i lokalene og forestår den daglige drift av kameraovervåkingen. Det er butikken som skal drøfte kontrolltiltakene etter arbeidsmiljøloven kapittel 9. For alle praktiske formål er det dermed mest nærliggende at behandlingsansvaret ligger hos butikken. Nemnda er på denne bakgrunn kommet til at det er den enkelte butikk som er behandlingsansvarlig for kameraovervåking av BIB.

Datatilsynet har vist til personopplysningsloven § 11 b) og argumentert for at behandlingen ikke er saklig begrunnet i butikkens virksomhet siden det dreier seg om banktjenester. Nemnda mener at man må skille mellom databehandleravtalen og den forretningsmessige avtalen hvor butikken skal utføre bankfunksjoner. Virkeligheten i 2014 er at banktjenester ikke lenger utføres som før, i tradisjonelle banklokaler. Svært mange transaksjoner skjer i/fra/til andre steder enn banklokaler, i kundens eget hjem, per mobiltelefon eller pc, fra bedriftskontorer, fra banktjenestemenns kontorer osv. Som følge av den store mengden elektroniske transaksjoner har kontanthåndteringen gått ned. Dessuten skjer kontanthåndtering i stadig mindre grad i banklokaler. Kontanthåndtering skjer i stedet i butikker og minibanker. BIB-funksjonen vil således fungere som en naturlig forlengelse av butikkens virksomhet, på samme måte som at butikker for lenge siden har åpnet for at man kan ta ut kontanter samtidig med sine kortkjøp. Behandlingen er dermed saklig begrunnet i butikkens virksomhet.

Nemnda skal ta stilling til hvor lang lagringstid kameraopptak av BIB-tjenestene har. Kameraopptak fra «post- og banklokaler» kan oppbevares i opptil tre måneder, jf personopplysningsforskriften § 8-4 tredje ledd, mens øvrige kameraopptak må slettes etter 7 dager, jf § 8-4 annet ledd. Problemstillingen er om regler for banklokaler skal gis analog anvendelse på butikklokaler fordi en begrenset del av den tradisjonelle bankvirksomheten utføres i butikklokalet. Spørsmålet er altså om den reelle funksjonsoverføringen skal medføre at butikken defineres som banklokale. BIB-tjenestene anses å utgjøre en mindre del av butikkens virksomhet. Det er ikke dokumentert at mengden kontanthåndtering og antall transaksjoner i butikkene har økt betraktelig som følge av BIB. På den annen side er det tunge personvernhensyn som taler mot en analog anvendelse. Hensett til at kontanthåndteringen har et begrenset omfang og det samtidig medfører store personvernkonsekvenser ved utvidet lagringstid, legitimerer det ikke en analog anvendelse av reglene for banklokaler. Etter nemndas syn innebærer derfor ikke BIB-funksjonen at regler for vern av klassiske banklokaler dermed overføres til lokaler som utfører nye former for banktjenester. Nemnda er derfor kommet til at personopplysningsforskriften § 8-4 om «banklokale» ikke er anvendelig. Det er ikke rettslig grunnlag for å anvende spesialregelen for banklokaler.

Klager har påberopt at det foreligger «særlig behov for oppbevaring i lengre tid», jf personopplysningsforskriften § 8-4 sjette ledd. Bestemmelsen sier at «dersom det foreligger et særlig behov for oppbevaring i lengre tid enn i andre og tredje ledd, kan Datatilsynet gjøre unntak fra disse bestemmelsene». Klager har påberopt at kameraopptak er viktig bevis for å oppklare bedrageri- og svindelsaker. Felles for disse sakene er at det tar lengre tid enn syv dager før bankkunder reklamerer på banktransaksjonene. Videre hevder klager at personer som planlegger kriminelle handlinger som ran og innbrudd foretar rekognoseringer forut for den kriminelle handlingen. Ved lengre lagringstid vil opptak fra slike rekognoseringer bidra til å identifisere kriminelle, siden ranere og innbruddstyver ofte vil være maskerte under selve ranet eller innbruddet. NorgesGruppen har opplyst at det har skjedd ca. 450 svindelforsøk ved deres BIB per år. Det er ikke nærmere redegjort for størrelsen eller arten av svindelforsøkene, eller om forsøkene er spesifikt knyttet opp til BIB-tjenesten.

Etter nemndas syn foreligger det vesentlige forskjeller mellom bankens og butikkens virksomhet. Den type virksomhet som har legitimert oppbevaring av opptak i 90 dager, nemlig oppbevaring av store mengder kontanter, foregår ikke i butikkene. Det som utføres av banktjenester i butikkene er såpass risikofritt at butikkene har akseptert risikoen – uten å implementere de tradisjonelle banklokalenes spesielle sikkerhetsforanstaltninger. Det antall svindelforsøk som klager har opplyst om, ca. 450 forsøk per år, må anses å være en promille av alle transaksjoner. Etter nemndas syn er dette helt marginale antall, det er dessuten tale om forsøk på svindel – ikke gjennomførte svindler, og det opplyses ikke om beløp. Etter nemndas syn er dette ubetydelig og kan ikke legitimere at alle personer filmes med lagringstid på 90 dager. Svindel kan dessuten skje helt uavhengig av BIB.

Nemnda legger betydelig vekt på de personvernhensyn som gjør seg gjeldende. Filming av alle personer som oppsøker en butikk med langvarig oppbevaring av opptak vil være i strid med grunnleggende personverninteresser. Nemnda viser til forholdsmessighetsprinsippet, slik dette blant annet er kommet til uttrykk i EU-domstolens nylige underkjennelse av Datalagringsdirektivet, hvor en del av begrunnelsen var det store omfanget og den lange oppbevaringstiden. Nemnda er på denne bakgrunn kommet til at det ikke foreligger tilstrekkelige grunner til å anvende § 8-4 sjette ledd.

8 Vedtak

Klagen tas delvis til følge. Butikken anses som behandlingsansvarlig, men opptak fra butikklokaler kan bare oppbevares i opptil 7 dager.

 

Oslo, 12. juni 2014

Eva I E Jarbekk
Leder