Datatilsynets referanse: 12/00859-19/HTE

PVN-2014-04 Post i butikk

Klage på Datatilsynets vedtak om plassering av behandlingsansvar for kameraovervåking av post i butikk

Personvernnemndas avgjørelse av 12. juni 2014 (Eva I E Jarbekk, Arve Føyen, Nina Melsom, Ørnulf Rasmussen, Ann R Sætnan, Gisle Hannemyr)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt klage på Datatilsynets vedtak om plassering av behandlingsansvar for kameraovervåking av post i butikk.

2 Saksgang

Den 14. september 2012 varslet Datatilsynet Posten om at tilsynet skulle gjennomføre kontroll mot butikken Rimi Semsbyen, og at kontrollen var rettet mot kameraovervåking av Post i butikk (PIB).

I epost av 21. september 2012 fikk tilsynet beskjed fra Posten om at de ikke anså seg for å være behandlingsansvarlig for kameraovervåkingen av PIB-tjenester i butikken Rimi Semsbyen.

Etter den tilbakemeldingen sendte tilsynet et endret varsel om kontroll til ICA i brev datert
25. september 2012.

Den 12. oktober 2012 gjennomførte tilsynet kontrollen mot butikken Rimi Semsbyen. Datatilsynet oversendte den foreløpige kontrollrapporten og varsel om vedtak 22. februar
2013. Tilsynet mottok ingen merknader til verken varsel om vedtak eller den foreløpige kontrollrapporten.

Datatilsynet oversendte endelig kontrollrapport samt vedtak om pålegg den 27. juni 2013. Påleggende var utformet slik:

  1. Virksomheten må etablere og dokumentere internkontroll i samsvar med personopplysningsloven § 14 jf personopplysningsforskriften kapittel 3. Det vises til tilsynsrapportens punkt 5.3. flg. Som ledd i dette arbeidet må virksomheten blant annet:
    1. plassere ansvaret for å gjennomføre den behandlingsansvarliges oppgaver, jf personopplysningsloven § 14 jf § 2 nr 4. Dette gjelder for all behandling av personopplysninger som virksomheten er behandlingsansvarlig for. Det vises til rapportens punkt 5.3 og punkt 5.1 flg., herunder punkt 5.1.4.
    2. I punkt a) må virksomheten legge til grunn at ICA er ikke å anse som behandlingsansvarlig for kameraovervåkning av "post i butikk"- tjenester, jf personopplysningsloven siden behandlingen ikke er saklig begrunnet i virksomheten i samsvar med personopplysningslovens § 11 bokstav b. Det vises til rapportens punkt 5.1.4.
    3. utarbeide en samlet oversikt over alle behandlinger av personopplysninger virksomheten er behandlingsansvarlig for med behandlingens formål og behandlingsgrunnlag i henhold til personopplysningsloven § 14 jf personopplysningsforskriften § 3-1. Det vises til rapportens punkt 5.2, herunder punkt 5.2.2.4.3.
    4. utarbeide dokumenterte rutiner på ivaretakelse av sletteplikten, jf personopplysningsloven § 14 jf § 11 bokstav e, jf§ 28 og personopplysningsforskriften § 8-4. Det vises til rapportens punkt 5.3, herunder 5.3.3 og punkt 5.3.4. 

2.   Virksomheten må sørge for tilfredsstillende informasjonssikkerhet i samsvar med kravene i personopplysningsloven§ 13. Det vises til rapportens punkt 5.4 flg., herunder punkt 5.4.4.

3.   Virksomheten må slette billedopptak som er lagret utover det som følger av personopplysningsforskriften § 8-4 første og annet ledd. Det vises til rapportens punkt 5.3, herunder punkt 5.3.3.

Den 3. juli 2013 ble tilsynets vedtak pkt. l b) og 3 påklaget av ICA. Den 6. september 2013 ble det avholdt et møte mellom ICA, Posten og Datatilsynet. Den 10. september 2013 innga ICA en begrunnet klage.

I brev av 24. september 2013 mottok Datatilsynet Postens merknader til ICAs klage.

Saken ble oversendt Personvernnemnda 14.2.2014, som mottok saken 24.2.2014. Klager ble orientert om dette i brev fra nemnda datert 7.3.2014, med frist til uttalelse innen 25.3.2014. Nemnda mottok kommentarer fra ICA i brev av 24.2.2014 og brev fra Posten datert 17.3.2014.

3 Faktum

Saken gjelder plassering av behandlingsansvar for kameraovervåking av Post i butikk (PIB) og lagringstiden for slike opptak.

4 Klagers anførsler

4.1 Plassering av behandlingsansvar

ICA mener det er viktig å merke at PIB i dag ikke kan sammenlignes med hvordan det var
tidligere da Posten fikk en del av butikklokalene for å drive post- og finansielle tjenester. Den gang var det Postens ansatte som drev Posten i lokalet, mens i dag er det ICA som driver og har ansvaret for post- og finansielle tjenester.

ICA er av den oppfatningen at Posten ikke driver virksomhet i ICAs lokaler og kan av den grunn ikke være behandlingsansvarlig. Det vises til kjedeavtalen som er inngått mellom ICA og Posten. Kjernen i denne avtalen er at ICA er ansvarlig for alle sider av ICAs virksomhet i PIB.

Hendelser som ICA kan bli utsatt for som bedrageri og underslag utvikler seg gjerne over tid. Kameraovervåking gjør det mulig å sette hendelser i sammenheng, dette gjelder uavhengig av om det er penger eller pakker. Det er viktig at underslag eller bedrageri vil være ICAs tap og ikke DNB eller Posten.

ICA fremhever at hvis det er et ran i en PIB så er det ICAs ansatte som er utsatt for ranet og ikke Postens ansatte. Det vises til prinsippet om overvåking at den enkelte aktør må begrense seg til seg og sitt. Det er ICA som har en risiko for at personopplysninger om ansatte ikke kommer til uvedkommende. Denne risikoen fører med et behov for ICA til å overvåke og ha kontroll over systemene. ICA har overtatt ansvaret for posttjenester ved at Posten har «outsourcet» den delen av sin virksomhet til blant annet ICA. ICA er økonomisk og selvstendig ansvarlig for post- og finanstjenester som utføres i PIB, og verdiene som kommer inn til ICA blir satt på ICAs egen driftskonto for posttjenester.

Formålet med kameraovervåkingen:

  1. Å beskytte ansattes liv og helse, med det menes at kameraovervåkingen vil ha en preventiv effekt.
  2. Kriminalitetsforebyggende – ICA mener at Posten ikke kan innhente personopplysninger hvor ICAs medarbeidere er avbildet. ICA hevder at ICA kan ikke være databehandler for Postens tjenester, uten selv å kunne behandle personopplysninger. Hvis ICA ikke kan ha overvåking på PIB punktet kan heller ikke ID tyveri og andre kriminelle forhold bli oppdaget og avslørt i samme omfang.

ICA viser til arbeidsmiljøloven §§ 9-1 og 9-2 som regulerer når arbeidsgiver kan igangsette kontrolltiltak i virksomheten. Kontrolltiltak skal etter arbeidsmiljøloven være begrunnet i virksomhetens forhold og ikke innebære en uforholdsmessig belasting for arbeidstaker. ICA konkluderer dermed at enten er alle forhold som pågår i postpunktet virksomhetens forhold eller så er det Postens forhold. Dette medfører at hvis all virksomhet som foregår i postpunktet er Postens forhold, er det ikke hjemmel for å ha kameraovervåking i postpunktet.

Det hevdes videre at det er mindre belastende for arbeidstakere at det kun er arbeidsgiver som er behandlingsansvarlig enn at det er flere behandlingsansvarlige. Videre vil det være en uforholdsmessig belastning for arbeidstakerne når det er en tredjeperson som er behandlingsansvarlig, slik tilsynet legger opp til.

Det vises også til Hovedavtalen mellom LO og Virke der det heter at «fjernsynsovervåking må være saklig begrunnet ut fra hensynet til virksomheten i det overvåkende foretak.» ICA hevder at fjernsynsovervåking av posttjenestene er saklig begrunnet i ICAs virksomhet. Det vises videre i tilleggsavtalen; «det kan engasjeres frittstående virksomhet til å gjennomføre tiltakene. Ansvaret for tiltakene påligger i alle tilfeller bedriften».

Det konkluderes derfor med at det er ICA som er behandlingsansvarlig for de kontrolltiltak som utføres i ICAs butikker.

Dersom man skulle komme til at kameraovervåkingen ikke er begrunnet i ICAs virksomhet, vil ikke Posten få tillatelse (av ICA) til å ha kameraovervåking i ICAs virksomhet. Dette vil føre til at de områdene i butikken som er særlig utsatt for ran og andre kriminelle handlinger blir et lett bytte. Dette vil være i strid med Stortingets intensjon ved at Posten kunne overføre tjenestene sine til blant annet dagligvarebutikkene. Forutsetningen til Stortinget var at sikkerheten til ansatte ikke skulle bli redusert.

Det er ICA som er ansvarlig for hvilken sikkerhet det skal være i PIB. Det vises til at det er ICA som er behandlingsansvarlig for de personopplysninger som lagres i PIB punktet da formålet er saklig begrunnet i ICAs virksomhet, jf. personopplysningsloven§ Il bokstav b). Kameraovervåkingen i PIB punktet må antas å ha vesentlig betydning for forebygging og oppklaring av straffbare handlinger, jf personopplysningsloven § 37.

Det er ICAs ansatte og kunder som overvåkes og som kan oppleve farlige situasjoner. ICA må derfor være behandlingsansvarlig for behandlingen av personopplysningene, og ikke en tredjepart, jf. personopplysningsloven § 38. Det vises til ICA har hjemmel i personopplysningsloven § 8 til å overvåke egen ansatte, da dette er nødvendig for blant annet ansattes sikkerhet, samt å forebygge kriminelle handlinger.

4.2 Lagring av opptakene etter personopplysningsforskriften § 8-4 første og annet ledd

Etter personopplysningsforskriften § 8-4 er det en lengre lagringstid for kameraovervåking i post- og banklokalet. Det er ikke nevnt hvem som må stå som behandlingsansvarlig for overvåkingen for lagringstiden på inntil tre måneder. Siden ICA har påtatt seg et særlig ansvar overfor Posten for å utføre posttjenester, vil formålet være det samme for ICA som for andre postkontorer som tar lagre kameraopptak i tre måneder. Det avgjørende må være hvor opptakene blir tatt og begrunnelsen for utvidet lagringstid. PIB punktet er et definert område av butikken.

Inngangspartiet til butikken må også anses å være en del av PIB, siden kundene benytter seg av denne inngangen til å komme til PIB. Det medfører at opptak gjort av inngangspartiet må kunne lagres i tre måneder.

4.3 Lagring av opptakene etter personopplysningsforskriften § 8-4 sjette ledd

Hvis tilsynet skulle være av den oppfatning at PIB ikke var å anse som postlokale, vil personopplysningsforskriften § 8-4 sjette ledd kunne komme til anvendelse, da det foreligger særlige grunner for ICA å lagre opptakene i tre måneder. En av begrunnelsene er at ranere ofte foretar rekognosering før de begår ran. Utvidet lagringstid kan gjøre at man kan gå tilbake å se hvem som rekognoserte.

Den andre begrunnelsen er for å kunne oppklare ID-tyveri, hvitvasking og svindel. Her går
det fort mer enn 7 dager før svindelen eller ID-tyveriet blir oppdaget. Siden Posten og banker har hatt rett til å lagre opptak etter disse begrunnelsene, vil ICA også ha det for kameraovervåkingen i PIB.

Hvis det er blitt begått en kriminell handling i forbindelse med post- finanstjenestene er det
ICA som anmelder forholdet som fornærmet og ikke Posten.

4.4 Forslag til løsning

ICA er avhengig av bistand fra banken og Posten for å forebygge kriminalitet og bekjempe ID-tyveri og andre misligheter. Det er derfor viktig at Posten og banken får tilgang til de opplysningene som er lagret ved behov. ICA foreslår derfor at Datatilsynet benytter seg av personopplysningsloven § 41, hvor det kan lages forskrift om at opptak kan utleveres utover det som følger av§ 39 i personopplysningsloven. Frem til en slik forskrift foreligger kan alle tre parter ha delt behandlingsansvar med lagring i 90 dager.

5 Kommentarer fra Posten

5.1 Risiko og ansvar etter PIB-avtalen

Avtalene inneholder generelle klausuler om at partene skal samarbeide om sikkerhetsspørsmål. Det har vært partenes forutsetning at ICA skal være behandlingsansvarlig for kameraovervåking i PIB.

DNB Bank ASA (heretter DNB eller banken) har det økonomiske ansvaret for tap som følge av kriminelle anslag mot banktjenester i PIB. DNB kan bare søke regress hos Posten i de tilfeller det foreligger uaktsom/grove tjenestefeil ved utførelsen av banktjenester.
ICA/ekspedisjonsstedet har gjennom PIB-avtalen overtatt dette regressansvar Posten kan komme i overfor DNB.

Det erstatningsansvaret Posten har for tapt, bortkommet eller forsinket postsending etter postloven § 22 er overtatt av ICA. Ansvaret gjelder for den perioden ICA har postforsendingen i sin varetekt. Det er bare ide tilfeller ICA kan påvise at Postens anvisninger for utførelse av tjenesten er fulgt, at ekspedisjonsstedet ikke har regressansvar overfor Posten, jf. driftsavtalen pkt. 12. Driftsavtalen fastsetter videre at ekspedisjonsstedet skal være forsikret mot skade/tap ved ran, underslag, innbrudd, brann, avbrudd mm. Posten dekker ICAs egenandel begrenset oppad til kr. 15 000,- pr hendelse rettet mot postale og/eller finansielle tjenester i PIB.

5.2 Merknader til vedtakets pkt. 1 b

Posten er uenig i Datatilsynets konklusjon, og vil i likhet med ICA hevde at behandlingsansvaret må plasseres hos ICA.

Posten viser til at Datatilsynet i kontrollrapporten legger til grunn at formålet med kameraovervåkingen i PIB er å virke preventivt, samt å oppklare ran, tyveri og svindel som posttjenestene kan utsettes for. Posttjenestene kan utsettes for tyveri/svindel både fra tredjepersoner og fra ICAs ansatte.

Når Datatilsynet (i møte 6. september 2013) presiserte at ICA kan være behandlingsansvarlig for egne ansatte i PIB, legger Posten til grunn at ICAs legitime formål nødvendigvis må være å overvåke egne ansatte i deres utførelse av posttjenester. Posten ser ikke hvilke andre formål (uten direkte tilknytning til posttjenester) som kan hjemle ICAs kameraovervåking av egne ansatte i PIB.

For Posten synes tilsynet å ha delt formålet med kameraovervåking av PIB. Slik at ICA har adgang til å overvåke egne ansatte med det formål å forebygge og oppklare eventuelle tyveri/underslag fra egne ansatte, men ikke med det formål å verne post- og banktjenester mot kriminelle anslag utenfra. Etter Postens syn virker en slik deling noe teoretisk/oppkonstruert. Posten mener en slik inndeling er problematisk fordi det ikke er teknisk mulig å trekke et slikt skille og fordi det ved kriminelle anslag mot posttjenestene ikke nødvendigvis vil være klart om mistanken retter seg mot ICAs ansatte eller tredjepersoner.

Posten mener følgene argumenter tilsier at behandlingsansvaret i sin helhet må plasseres hos
ICA:

  • ICA er den som faktisk bestemmer og har kontroll over behandlingen
  • ICA som behandlingsansvarlig vil gi en effektiv etterlevelse av personopplysningsloven
  • ICA fremstår for de registrerte som den behandlingsansvarlige

5.3 Kameraovervåking har saklig grunn i ICAs virksomhet, jf. lovens § 11 bokstav b)

Posten mener tilsynets slutning om at kameraovervåking av posttjenestene skjer i Postens
interesse og således må være saklig begrunnet i Postens virksomhet er noe unyansert. Det vises til at ICA har påtatt seg en kommersiell tilleggsforpliktelse, utover det å drive dagligvarehandel. Gjennom PIB-avtalen har ICA en kommersiell tilleggsforpliktelse som innebærer økonomisk risiko og ansvar for at posttjenestene utføres med avtalt kvalitet og adekvate sikkerhetstiltak. Det vises videre til at kameraovervåkingen skjer i ICAs lokaler og av deres ansatte. Posten har forståelse for ICA og NorgesGruppen som har anført at de ikke vil «tillate» Posten å være behandlingsansvarlig i PIB.

Posten kan videre ikke se ut fra bestemmelsens ordlyd, formål eller forarbeider at det kan utledes som et generelt utgangspunkt at «saklig grunn» hos en virksomhet ekskluderer andre virksomheter å kunne ha saklig grunn for det samme formål.

5.4 Lagringstid

Posten mener at personopplysningsforskriften § 8-4 tredje ledd må få anvendelse for kameraopptak i PIB. Det vises til at begrepet «post- og banklokaler» ikke er nærmere definert i bestemmelsen, og det naturlige ville være å definere begrepet ut fra om det faktisk foregår post- og banktjenester i lokalet.

Posten mener heller ikke at det er noen holdepunkter i lovteksten eller forarbeider for å kunne legge avgjørende vekt på hvem som er behandlingsansvarlig.

5.5 Delt behandlingsansvar

Under forutsetningen av at ICA kan være behandlingsansvarlig for kameraovervåking av posttjenestene i PIB og at personopplysningsforskriften § 8-4 tredje ledd hjemler opptak i tre måneder, vil ikke Posten ha et reelt behov for å dele behandlingsansvaret for kameraovervåkingen i PIB. Etter Postens vurdering må dette tillegges avgjørende vekt i forholdet mellom ICA og Posten. Det anføres at det verken er rettslig grunnlag eller behov for å dele behandlingsansvaret for kameraovervåkingen i PIB.

Det vises til DNBs klage (saksnr. 12/00853) i tilknytning til «bank i butikk» (heretter BIB), der banken argumenterte for en løsning som innebærer at banken kunne få tilgang til kameraopptakene av BIB (og PIB) ved å inneha rollen som databehandler. Posten har ikke tatt stilling til den rettslige anførselen, men antar at tilsvarende løsning vil kunne legges til grunn mellom Posten og ICA.

6 Datatilsynets vurdering

6.1 Omgjøring av vedtak

Tilsynet har foretatt en ny vurdering av saken. Datatilsynet har gjennom klagebehandlingen mottatt nye opplysninger i saken hva gjelder ansvarsforholdet mellom ICA og Posten. På bakgrunn av de nye opplysningene finner tilsynet grunn til å omgjøre vedtak pkt. l b) 1 slik at ICA vil kunne anses som behandlingsansvarlig for kameraovervåkingen av posttjenester i «post i butikk» (heretter PIB). Personvernnemdas vurderinger i PVN 2013-21 (kameraovervåking i «bank i butikk» heretter BIB) vil etter tilsynets vurdering være førende for om ICA kan være behandlingsansvarlig for kameraovervåkingen av finansielle tjenester i PIB.

Datatilsynet finner ikke grunnlag for å oppheve eller endre øvrige påklagede vedtak, og sender derfor saken til Personvernnemnda. Personvernnemnda bes om å ta stilling til spørsmålet om kameraopptak fra PIB skal lagres etter personopplysningsforskriften § 8-4 tredje ledd (postlokale), i så fall kan opptakene lagres i tre måneder. Datatilsynet er imidlertid av den oppfatning at PIB faller utenfor begrepet postlokale, jf. pkt. 3 i vedtaket. Hvis Personvernnemnda deler Datatilsynets vurdering om at PIB ikke er å anse som et postlokale, jf. personopplysningsforskriften § 8-4 tredje ledd, er hovedregelen at opptakene må slettes senest etter syv dager.

6.2 Innledning

Datatilsynet gjennomførte en kontroll mot ICA og deres butikk Rimi Semsbyen den
12. oktober 2012. Kontrollen var rettet mot butikkens kameraovervåking av PIB-tjenester. Datatilsynet har i samme periode kontrollert to andre butikker hhv. Kiwi Sognsveien og Spar Tåsen for kameraovervåking av BIS-tjenester. Tilsynets vedtak i de sakene er også påklaget og sendt Personvernnemnda i egen oversendelse (PVN-2013-21).

I PIB lar man utført både posttjenester samt banktjenester (finansielle tjenester). Med posttjenester menes de leveringspliktige tjenestene Posten plikter å levere, jf. St.meld. nr. 37 (1999-2000).3 I forbindelse med klagebehandlingen fikk tilsynet oversendt driftsavtalen
mellom ICA og Posten. Denne driftsavtalen regulerer blant annet hvordan ICA skal formidle posttjenestene på vegne av Posten.

I avtalen pkt. 12.3 heter det at «Ekspedisjonsstedet må påse at det ved formidling av finansielle tjenester i tilstrekkelig grad klargjøres mot sluttkunde at Ekspedisjonsstedet kun er representant for en finansinstitusjon. Finansinstitusjonens navn må oppgis. Ekspedisjonsstedet må overfor sluttkunde gi samtlige av de opplysninger til sluttkunde som er forutsatt gitt av finansinstitusjonen i finansavtaleloven. Ekspedisjonsstedet må aldri inngå avtaler i eget navn eller på vegne av Posten for så vidt angår ytelse av finansielle tjenester. Ekspedisjonsstedet skal ha oppgjørskonto i bank anvist av Posten, pt. DnB Nor AS.»

Datatilsynet forstår avtalen slik at ICA er databehandler for Posten. Posten er igjen databehandler for DNB, og DNB er behandlingsansvarlig for de finansielle tjenestene som leveres gjennom PIB. Datatilsynet finner det derfor nødvendig å skille mellom kameraovervåking av henholdsvis posttjenester og finansielle tjenester i PIB punktet.

6.3 Behandlingsansvarlig for kameraovervåking i PIB- vedtak pkt. lb)

6.3.1 Posttjenester

Datatilsynet legger til grunn at det er Posten som er behandlingsansvarlig for de personopplysningene som behandles i forbindelse med formidling av posttjenester. Det vises til at PIB er en del av Postens konsesjonspålagte ekspedisjonsnett. Det vises videre til vedlegg 2 pkt. 3 i avtalen der det heter at «Post i Butikk skal levere produkter og tjenester på vegne av Posten Norge AS, med de krav til gjeldende kvalitet, kompetanse og service beskrevet av Posten.» ICA vil etter tilsynets vurdering være en databehandler, både når de formidler finansielle tjenester og posttjenester i PIB.

Spørsmålet er om ICA (databehandleren) kan være behandlingsansvarlig for kameraovervåkingen av Postens (behandlingsansvarliges) virksomhet.

Det rettslige utgangspunktet er personopplysningsloven§ 11 bokstav b) som sier:
«Den behandlingsansvarlige skal sørge for at personopplysningene som behandles bare nyttes til uttrykkelig angitte formål som er saklig begrunnet i den behandlingsansvarliges virksomhet» (vår understrekning). Formålet må etter dette ha en nær og naturlig sammenheng med ICAs virksomhet.

ICAs virksomhet er å drive butikkhandel med bredt vareutvalg med hovedvekt på nærings- og nytelsesmidler. ICA har påtatt seg en forpliktelse om å formidle posttjenester på vegne av Posten.

Spørsmålet som reiser seg er om ICA gjennom de forpliktelsene de har påtatt seg gjennom driftsavtalen, fører til at kameraovervåkingen av posttjenestene i PIB kan sies å være saklig begrunnet i ICAs virksomhet, jf. personopplysningsloven § 11 bokstav b).

Gjennom avtalens pkt. 12.1 har ICA påtatt seg det økonomiske ansvaret for postsendingen fra den er mottatt fra Posten til den er utlevert kunden, eventuelt returnert Posten, eller fra den er innlevert av kunden til den er overlevert til Posten. Ved mottak, oppbevaring og utlevering av postsendinger og/eller utførelse av tjenester i henhold til avtalen forplikter ICA å følge Postens anvisninger. Etter avtalens pkt 12.2 har ICA overtatt det erstatningsansvaret som Posten kan komme i etter postloven, banktjenesteloven og Postens generelle leveringsvilkår. ICA forplikter å være tilfredsstillende forsikret, jf. avtalens pkt. 13. Posten vil dekke ICAs egenandel (oppad begrenset til kr 15.000,- pr. hendelse) ved ran, innbrudd og/eller skade på ting dersom det fremstår som åpenbart at angrepet er rettet mot PIB i den hensikt å ta postale eller finansielle forsendelser og verdisaker fra den. ICA svarer for alle øvrige skader på eller i ekspedisjonsstedet.

ICA oppgir at formålet med kameraovervåking av PIB er for å forebygge og beskytte ansatte, kunder og verdier mot blant annet ran, bedrageri, tyveri og underslag. Datatilsynet forstår at for posttjenestene er brev og pakker primært den verdien ICA ønsker å beskytte. Det fremstår derfor for tilsynet at ICA har det fulle økonomiske ansvaret for pakker eller brev som forsvinner gjennom bedrageri og underslag.

Datatilsynet finner av den grunn at kameraovervåkingen av posttjenestene vil kunne saklig begrunnes i ICAs virksomhet. ICA vil etter dette kunne være behandlingsansvarlig for kameraovervåkingen av posttjenestene i PIB punktet, jf. personopplysningsloven § 11 bokstav b). Tilsynets vedtaks pkt. l b) faller etter dette bort.

6.3.2 Finansielle tjenester

Datatilsynet legger til grunn at det er banken som er behandlingsansvarlig for behandling av personopplysninger som skjer når det ytes finansielle tjenester. Det er videre klart at i PIB vil ICA utføre banktjenestene på vegne av Posten, som igjen formidler oppdraget på vegne av DNB. ICA vil i den relasjon anses som en databehandler, jf. personopplysningsloven § 2 nr. 5.

I brev fra Posten heter det at: «DnB har det økonomiske ansvaret for tap som følge av kriminelle anslag mot banktjenestene i PIB. DnB kan bare søke regress hos Posten i de tilfeller det foreligger uaktsomhet/grove tjenestefeil ved utførelsen av banktjenestene. ICA/ekspedisjonsstedet har gjennom PIB-avtalen overtatt dette regressansvar Posten kan komme i overfor DnB.»

Den risikoen som ICA har påtatt seg i forbindelse med formidling av finansielle tjenester i PIB punktet, vil etter det tilsynet kjenner til være tilsvarende som øvrige butikker har ved formidlingen av BIB-tjenester. Tilsynet viser i den anledning til Datatilsynets vurderinger i klagesaken vedrørende kameraovervåkingen av BIB-tjenester. Personvernnemndas vurderinger i den saken vil derfor være førende for om ICA kan være behandlingsansvarlig for kameraovervåkingen av finansielle tjenester i PIB.

Datatilsynet har i denne saken ikke tatt stilling til den utlevering av billedopptak som finner sted mellom Posten/ICA og DNB. Tilsynet legger imidlertid til grunn at den avklaringen som blir foretatt av Personvernnemnda på dette spørsmålet i BIB-saken også vil få virkning for en slik utlevering av billedopptak til DNB.

6.4 Lagring av kameraopptak av posttjenester i PIB punktet etter personopplysningsforskriften § 8-4 tredje ledd

Etter personopplysningsforskriften § 8-4 tredje ledd heter det «Opptak gjort i post- og banklokaler skal slettes senest tre måneder etter at opptakene er gjort.»

Spørsmålet blir her om det området der ICA formidler posttjenester er å anse som et postlokale. Posten har anført at «Det naturlige må være å definere begrepet ut fra om det faktisk foregår post- og banktjenester i lokalet». ICA hevder på sin side at man har påtatt seg et særlig ansvar overfor Posten for å utføre posttjenester og formålet er derfor det samme for ICA som for Posten.

I et avklaringsbrev til Posten datert 20. juli 2001 (saksnr. 2001/2630-2) uttalte Datatilsynet den gang at: «Når det gjelder den nye organiseringen av Posten, postkontorer som erstattes med Post i Butikk, anser Datatilsynet det slik at ''postdelen" av disse vil kunne oppfattes som postlokale. Billedopptak herfra vil dermed kunne oppbevares i inntil tre måneder.»

Datatilsynet har i løpet av kontrollen innhentet en rekke opplysninger om PIB-konseptet. Det være seg hvordan konseptet er gjennomført, herunder ansvarsfordelingen samt konseptets utbredelse. Datatilsynet ser at det har skjedd en utvikling siden reglene om utvidet lagringstid for post- og banklokale ble etablert. Innen utgangen av 2014 vil antall «tradisjonelle» postkontor i Norge være redusert til 30, mens antall PIB kommer til være på totalt 1390. Det er altså en dreining fra de tradisjonelle postkontorene til at posttjenestene blir formidlet i tilknytning til annen tjenesteyting og av andre aktører enn Posten.

Etter tilsynets vurdering er begrepet «postlokale», jf personopplysningsforskriften § 8-4 tredje ledd, kun ment å favne de «tradisjonelle» postkontorene der både posttjenester samt finansielle tjenester ble formidlet. Den betydelige faren for ran/svik var det som begrunnet den utvidede lagringstiden på tre måneder.

Datatilsynet registrerer at det fra l. juli 2012 ikke lenger er et krav for Posten å formidle finansielle tjenester, utenom Postens landpostnett. PIB kan derfor i prinsippet kun bestå av formidling av posttjenester. Det som vil kunne begrunne en utvidet lagringstid på kameraovervåkingen vil her være tap av pakker eller brev gjennom ran/svik.

Det er flere virksomheter utenom Posten og PIB som utleverer pakker til publikum. Ut i fra
Postens og ICAs anførsler ville også slike virksomheter måtte anses som postlokaler, siden det kan hevdes at også slike virksomheter formidler posttjenester. Slike virksomheter vil da ha rett til å lagre kameraopptak i inntil tre måneder, jf personopplysningsforskriften § 8-4 tredje ledd.

Datatilsynet mener at begrepet «postlokale», jf personopplysningsforskriften § 8-4 tredje ledd, må tolkes innskrenkende. Både ut ifra hva som var intensjon og hensynet bak den utvidede lagringstiden, men også ut i fra hvilken virkning en utvidet tolkning vil medføre.

Datatilsynet har etter en konkret vurdering av de hensynene som her er nevnt konkludert med at de posttjenester som ICA formidler i PIB ikke fører til at området er å anse som et postlokale, jf personopplysningsforskriften § 8-4 tredje ledd.

6.5 Konsekvensen av at PIB ikke anses som postlokale

ICA er av den oppfatning at de oppfyller kravet til et «særlig behov», jf personopplysningsforskrift § 8-4 sjette ledd.

Datatilsynet vil først ta stilling til om kravet «særlig behov», jf personopplysningsforskrift
§ 8-4 sjette ledd, er oppfylt etter at Personvernnemnda har behandlet spørsmålet om PIB er å anse som et postlokale. Hvis Personvernnemnda kommer til den samme konklusjonen som Datatilsynet, vil tilsynet ta stilling til om kameraovervåking av PIB samt øvrige formidlere av posttjenester oppfyller kravet til et «særlig behov», jf personopplysningsforskrift § 8-4 sjette ledd.

Etter tilsynets vurdering vil en slik fremgangsmåte sikre at saken blir så godt opplyst som mulig før vedtak treffes i saken, jf forvaltningsloven § 17. Spørsmålet om PIB oppfyller kravet til et «særlig behov» vil blant annet kunne få følger for samtlige tilbydere av posttjenester i Norge. Datatilsynet ser det derfor som vesentlig at alle hensyn blir belyst for å sikre en forsvarlig saksbehandling.

6.6 Avslutningsvis

6.6.1 Fremtidig regulering av kameraovervåking av PIB

Det har skjedd en endring de senere årene av hvordan bank- og posttjenester blir formidlet. Tendensen har vært at det blir færre og færre tradisjonelle bankfilialer og postkontorer, og det etableres PIB og BIB i stedet, for å redusere de faste kostnader forbundet med de tradisjonelle post- og banklokalene.

Den rettslige reguleringen av kameraovervåkingen og adgangen til å lagre slike opptak har ikke vært tilpasset denne utviklingen. Datatilsynet vil på bakgrunn av de kontrollene tilsynet har gjennomført se nærmere på om reguleringen er hensiktsmessig utformet.

6.6.2 Manglende varsling av kontrollen overfor ICA

ICA sier innledningsvis i sitt brev av 10. september 2013 at de ikke har sett brevet som varsler om tilsynets kontroll. ICA mener de ikke var «tilfredsstillende» representert og at det kan være årsaken til at de etterspurte dokumenter ikke ble oversendt tilsynet. Det er i utgangspunktet virksomheten selv som bestemmer hvem de ønsker skal stille som deltakere på Datatilsynets kontroll.

Det er imidlertid en forutsetning at de som stiller har myndighet til å svare på vegne av virksomheten og/eller kompetanse til å svare på de spørsmål tilsynet kan tenkes å stille vedrørende det varslede kontrollemnet.

ICA ble varslet om kontrollen gjennom brev datert 25. september 2012, kopi av brevet ble i tillegg sendt butikken Rimi Semsbyen. På kontrollen stilte virksomheten med sikkerhetsansvarlig i ICA, distriktssjefen for området, butikksjefen og assisterende butikksjef som også var postansvarlig. I tillegg stilte distriktssjefen fra Posten. Ut ifra kontrollens tematikk hadde ikke tilsynet noe å utsette på ICAs representanter.

Datatilsynet fikk ingen tilbakemelding på at varselbrevet ikke var mottatt eller anmodning om å utsette kontrolltidspunktet. Datatilsynet stiller seg derfor noe undrende til ICAs klagebrev som setter spørsmålstegn ved tilsynets varsel om kontroll.

7 Personvernnemndas merknader

Personvernnemnda skal ta stilling til hvem som er behandlingsansvarlig for kameraovervåking av tjenesten «post i butikk» (PIB). Nemnda viser til avgjørelsen i PVN-2013-21 Bank-i-butikk. I nærværende sak har Datatilsynet omgjort en del av sitt vedtak, slik at ICA er behandlingsansvarlig for kameraovervåkingen av posttjenester i «post i butikk». Datatilsynet har imidlertid lagt til grunn at PVN-2013-21 vil være førende for om ICA kan være behandlingsansvarlig for kameraovervåkingen av finansielle tjenester i PIB.

I PVN-2013-21 kom Personvernnemnda til at butikken er behandlingsansvarlig for behandling av personopplysninger når det formidles banktjenester i en butikk, på samme måte som for butikkens øvrige virksomhet. Nemnda foretok imidlertid en presiserende tolkning av personopplysningsforskriften § 8-4 tredje ledd og konkluderte med at butikklokalet ikke blir et banklokale i personopplysningsforskriftens forstand. Videre kom nemnda etter en forholdsmessighetsvurdering til at det ikke forelå tilstrekkelige grunner som tilsa at butikkens opptak skulle få forlenget lagringstid på grunn av BIB-funksjonen i butikken, jf forskriften § 8-4 sjette ledd. Det vises til nemndas resonnement i PVN-2013-21.

Nemnda er av den oppfatning at ICA er behandlingsansvarlig for kameraovervåkingen av også de finansielle tjenester i PIB, og viser til begrunnelsen i PVN-2013-21.

Videre er nemnda av den oppfatning at heller ikke PIB-funksjoner medfører at butikklokalet anses som et postlokale. Kameraopptak fra «post- og banklokaler» kan oppbevares i opptil tre måneder, jf personopplysningsforskriften § 8-4 tredje ledd, mens øvrige kameraopptak må senest slettes etter 7 dager, jf § 8-4 annet ledd. Etter nemndas syn vil en butikk med PIB-tjenester således fortsatt være et butikklokale.

ICA mener at det foreligger «særlig behov», jf personopplysningsforskriften § 8-4 sjette ledd. Datatilsynet har uttalt at dette spørsmålet vil bli vurdert etter at Personvernnemnda har behandlet spørsmålet om PIB medfører at butikken blir å anse som et postlokale. Når det gjelder denne vurderingen viser nemnda til resonnementet i PVN-2013-21, men den konkrete subsumsjonen må overlates til Datatilsynet.

8 Vedtak

For så vidt gjelder spørsmålet om behandlingsansvar for finansielle tjenester i PIB, gis klager medhold. For så vidt gjelder vurderingen etter personopplysningsforskriften § 8-4 annet og tredje ledd av om butikk med PIB-tjenester anses som postlokale, tas klagen ikke til følge. Særlige behov etter § 8-4 sjette ledd er ikke vurdert.

 

 

Oslo, 12. juni 2014

Eva I E Jarbekk
Leder