Datatilsynets referanse: 15/01311-3/YMA

PVN-2017-04 Petroleumsinstituttet

Klage på Datatilsynets avslag på søknad om utvidet lagringstid for kameraopptak fra bensinstasjoner

Personvernnemndas avgjørelse av 4. mai 2017 (Mats Wilhelm Ruland, Gisle Hannemyr, Hans Marius Graasvold, Line Coll, Ellen Blinkenberg)

1 Innledning

Saken gjelder klage på Datatilsynets avslag på søknad om utvidet lagringstid for kameraopptak fra bensinstasjoner.

2 Sakens bakgrunn

Datatilsynet mottok i begynnelsen av 2015 søknad fra Norsk Petroleumsinstitutt (heretter «NP» eller «klager») om utvidet lagringstid for kameraopptak fra bensinstasjoner. Søknaden gjaldt kameraene som er rettet mot betalingsautomatene på stasjonsområdet. NP er en bransjeorganisasjon som representerer bensinstasjonsselskapene Statoil Fuel & Retail, Shell/Smart Fuel, Uno-X og Esso. NPs formål er å ivareta selskapenes felles interesser i det norske bensinstasjonsmarkedet og bidra til økt sikkerhet for stasjonenes ansatte og kunder.

Den 9. juli 2015 ba Datatilsynet om utfyllende begrunnelse for søknaden. NP besvarte dette i brev av 5. oktober 2015. Datatilsynet avslo deretter søknaden om utvidet lagringstid for kameraopptak i vedtak datert 17. juni 2016. Vedtaket lød som følger:

Datatilsynet avslår med hjemmel i personopplysningsforskriften § 8-4 søknaden om utvidet lagringstid for kameraopptak.

Datatilsynet mottok klage på avslaget i brev av 8. juli 2016. Datatilsynet og NP har siden vært i dialog om saken. Datatilsynet mottok bekreftelse på at klagen fastholdes i epost datert 16. desember 2016.

Saken ble oversendt Personvernnemnda 20. februar 2017, som mottok saken 22. februar 2017. Klager ble orientert om dette i brev fra nemnda datert 22. februar 2017, med frist til uttalelse innen 20. mars 2017. Klager har ikke kommentert saken.

3 Klagers anførsler

Klager har vist til personopplysningsforskriften § 8-4 hvor det fremgår at kameraopptak skal slettes syv dager etter at opptakene er gjort. For å forebygge og avdekke såkalt «skimming», trengs det imidlertid en lengre periode enn syv dager. De kriminelle miljøene kjenner til syvdagersregelen og unngår å bruke kortene til perioden er over og bildene slettet. NP har derfor søkt om utvidet lagringstid for opptakene.

Per 31. desember 2014 var det 1588 bensinstasjoner som inngikk i merkenavnene til NPs medlemmer. Av disse var 377 ubetjente og 1211 betjente. NP fører statistikk over kriminalitet på stasjonene knyttet til ran, innbrudd, drivstofftyveri og «skimming».

Med skimming menes ulovlig kopiering av kreditt- og betalingskort i den hensikt å overføre informasjonen til et duplikatkort og foreta urettmessige uttak. Skimmingen gjennomføres ved at det monteres utstyr på betalingsterminaler som kopierer informasjon i kortet forbrukeren betaler med, samt et kamera eller nytt tastatur som fanger opp brukerens PIN-kode.

Statistikk for skimming ble først ført i 2009, hvor det ble registrert åtte tilfeller. I 2010 og 2011 var det ett tilfelle hvert år, i 2013 var det 18 tilfeller og i 2014 syv tilfeller. Tallene angir antall berørte stasjoner – flere betalingsautomater på hver stasjon kan være rammet.

NP viser til at ifølge Politidirektoratets rapport «Tendenser i kriminaliteten – utfordringer for Norge» fra 2014, øker trusselen fra mobile vinningskriminelle, særlig fra Øst-Europa. Videre knytter Europols rapport «The Internet Organized Crime Threat Assessment» fra 2014 organiserte kriminelle miljøer fra Øst-Europa til kortsvindel i stor skala. Ved opprettelsen av Europols Datakrimsenter (EC3) ble kortsvindel valgt som ett av tre satsningsområder – noe som illustrerer at dette er et stort problem i Europa. Videre viser NP til at Europol har et samarbeid med bensinstasjonselskapene på europeisk nivå for å forebygge og oppklare kortsvindel og skimming. NP har også et samarbeid med Kripos og Vinningsgruppen ved Oslo politidistrikt for å motvirke denne typen kriminalitet.

Klager anfører at skimmingutstyret som benyttes er sofistikert, og dette gjør deteksjon vanskelig. Tiden fra utstyret monteres til det oppdages av ansatte kan derfor være lang. Samtidig er politiet avhengig av bilder fra bensinstasjonenes overvåkningskameraer for å kunne identifisere gjerningsmennene. Disse bildene er som oftest slettet da det tar mer enn syv dager å avdekke at skimmingutstyr er montert. Videre hevder NP at utvidet lagringstid for kameraovervåking kan virke forebyggende, da de kriminelle må vente til lagringsperioden er utløpt før kortene misbrukes. NP anfører at en lagringstid på 90 dager vil være tilfredsstillende.

NP er ikke enig med Datatilsynet når tilsynet i sin begrunnelse har lagt til grunn at risikoen for skimming på bensinstasjonene ikke anses å være særlig høy. NP viser til at det ofte forekommer at flere automater på samme stasjon blir skimmet, noe som betyr at antallet skimmingsaker er høyere en Datatilsynet legger til grunn. Det anføres at når risikoen for skimming skal vurderes, må man ta i betraktning at antall kort som skimmes ved hvert enkelt tilfelle kan være høyt. Det har vært eksempler på at skimmingutstyr har vært påmontert over lengre perioder, og selv om dette i statistikken regnes som ett skimmingtilfelle, er realiteten at flere hundre kunder kan har blitt rammet. I 2013 ble det eksempelvis avdekket 40 tilfeller på 18 stasjoner.

NP viser videre til at de ikke har lykkes med å innhente verifiserbart tallgrunnlag på antallet kunder som har opplevd å få kortene sine misbrukt på bensinstasjoner innen klagefristen på Datatilsynets vedtak. Det vises imidlertid til en rapport som Finanstilsynet la fram i 2016, «Risiko- og sårbarhetsanalyse for 2015», der det fremgår at det totale antallet betalingskort som ble rammet av misbruk i Norge i 2015 var 44 900 0001, som er en økning på 168 % i løpet av en femårsperiode fra 2011. Det anføres videre at skimming kan oppleves som svært belastende for den enkelte og medføre mye administrativt bry, og at dette også bør tas i betraktning når risikobildet ved skimming skal vurderes.

NP påpeker videre at Norge er det eneste landet i Europa som har syv dagers slettefrist og at dette er allment kjent i kriminelle miljøer. NP anfører at en utvidet lagringstid vil gjøre det mindre attraktivt å operere i Norge, da risikoen for å bli oppdaget vil øke betydelig. Videre anføres det at antall skimmingtilfeller for minibanker, som har 90 dagers lagring, har blitt redusert.

Endelig anføres det at det utføres daglige kontroller med betalingsutstyr, men at utfordringen er at de kriminelle utvikler ny skimmingteknologi som ikke nødvendigvis lar seg avdekke av etablerte teknikker. NP mener videre at antallet stasjoner ikke automatisk bør føre til avslag på søknad om utvidet lagringstid, men at det konkrete behovet bør være det avgjørende.

4 Datatilsynets vurdering

Datatilsynet kan tillate utvidet lagring av opptak fra kameraovervåkning der det foreligger «særlig behov» for oppbevaring i lengre tid jf. personopplysningsforskriften § 8-4 sjette ledd. Personvernnemda uttrykte i sak PVN-2002-02 følgende forståelse av bestemmelsen:

Det avgjørende, slik Personvernnemda ser det, er hvorvidt det foreligger et særlig behov som etter en totalvurdering av de ulike hensyn begrunner en utvidet lagringstid. Totalvurderingen må bestå i en avveining av personverninteresser, forbrukerinteresser og andre interesser. Vurderingen av om det foreligger særlig behov og interesseavveiningen som deretter skal gjøres vil således gli noe over i hverandre.

Tilsynet legger nemdas forståelse av bestemmelsen til grunn. Kameraenes plassering og de interesser som ligger bak behovet for utvidet lagring vil således være sentrale i vurderingen om kravet til «særlig behov» ansees oppfylt.

Datatilsynet ser at skimming av betalingskort utgjør et stort problem både for samfunnet og spesielt for mennesker som opplever at deres betalingskort misbrukes. Samtidig må tiltak for å forebygge slikt misbruk være proporsjonale så vel som nødvendige for å forebygge slikt misbruk.
 
NP viser til at det i 2014 ble oppdaget skimmingutstyr på til sammen syv bensinstasjoner av totalt 1588 stasjoner i Norge. Av den grunn anser ikke Datatilsynet risikoen for skimming av kort på bensinstasjoner for å være særlig høy.

Samtidig fremstår inngrepet i kundenes personvern som begrenset ved bruk av kameraovervåking på bensinstasjoner. Dette er steder kunder kun oppholder seg i korte perioder og hvor det er liten forventning om privatliv. Utvidet lagring vil i så måte innebære en beskjeden personvernulempe.

NP fremhever at det er et kjent problem at kriminelle venter i syv dager med å ta i bruk de skimmede kortene for å sikre at kameraopptakene er slettet for skimmingen oppdages. En utvidet lagringstid vil trolig ikke medføre at dette problemet vil opphøre da de kriminelle fortsatt kan vente til slettefristen utløper. Tilsynet utelukker imidlertid ikke at problemet kan bli noe redusert. Uansett fremstår ikke tiltaket som særlig egnet.

Tilsynet stiller også spørsmål ved om det er forsøkt andre tiltak for å forebygge eller oppklare skimming. For at et tiltak skal kunne ansees som nødvendig, må det ha vært forsøkt andre, mindre inngripende tiltak først, for eksempel daglig inspeksjon av betalingsautomatene. Tilsynet viser til at det er innført en rutine for manuell inspeksjon når tilfeller av skimming oppdages. Tilsynet har forståelse for at et slikt tiltak kan være kostbart eller praktisk vanskelig å gjennomføre kontinuerlig, men dette kan ikke tillegges særlig stor vekt.

Datatilsynet anerkjenner at risikoen for skimming av betalingskort er større på ubetjente betalingsautomater. Tilsynet er likevel av den oppfatning at NP ikke har lagt frem tilstrekkelig dokumentasjon som viser at problemet med skimming på bensinstasjonene er såpass omfattende at det tilsier at kravet til «særlig behov» er oppfylt. Datatilsynet kan heller ikke se at NP kan vise til tall som viser at norske bensinstasjoner faktisk er utsatt for skimming i et større omfang enn andre, sammenlignbare land der lagringstiden er lenger.

Det kan også stilles spørsmål ved effekten av en utvidet lagringstid. Vinningskriminelle vil kunne dekke til ansiktene sine eller plassere seg på en måte som gjør det vanskelig for et kamera å fange opp hvem som monterer skimmingutstyret. Tilsynet påpeker at ved å velge en løsning med ubemannede betalingsløsninger, må man samtidig akseptere at risikoen for skimming øker.

Tilsynet finner derfor at det ikke foreligger et «særlig behov» for utvidet lagringstid.

Tilsynet mener at en så omfattende dispensasjon fra sletteplikten innebærer en så betydelig uthuling av forskriftens utgangspunkt at det ikke kan gis dispensasjon. En bransjevis utvidelse av lagringstid kan kun gis ved en endring i personopplysningsforskriften. Det er også viktig å ta i betraktning at en konsekvens av en slik utvidelse antagelig vil få ringvirkninger også utenfor denne konkrete saken. Dersom man åpner for en utvidet lagringstid for bensinstasjoner, vil det kunne melde seg flere aktører som operere med ubemannede betalingsautomater som er utsatt for skimming.

Det faktum at lovgiver i andre europeiske land har fastsatt en lengre slettefrist, kan ikke i seg selv være et argument for å innvilge en utvidet lagringstid. Datatilsynet må forholde seg til den norske personopplysningsloven, der den klare hovedregel er at opptak fra overvåkningskamera skal slettes senest etter syv dager.

5 Personvernnemnda bemerker

Nemnda har kommet til samme resultat som Datatilsynet og kan i det vesentlige slutte seg til tilsynets merknader.

5.1 Rettslig utgangspunkt

Hovedregelen for oppbevaring av kameraopptak følger av personopplysningsloven § 11 bokstav e, jf. personopplysningsforskriften § 8-4 første ledd, jf annet ledd, som sier at opptak skal slettes senest syv dager etter at opptakene er gjort. Det følger imidlertid av personopplysningsforskriften § 8-4 siste ledd at dersom det foreligger et «særlig behov» for oppbevaring i lengre tid enn syv dager, kan Datatilsynet gjøre unntak – det vil si utvide oppbevaringstiden etter en skjønnsmessig vurdering.

5.2. Spørsmålet om det foreligger «særlig behov» for utvidet lagringstid

Personvernnemnda skal vurdere om det foreligger «særlig behov» som tilsier at utvidet lagringstid. Klager anfører at det er behov for utvidet lagringstid for kameraopptak ved betalingsautomat ved bensinstasjonspumpene i et forsøk på å redusere antall skimmingsaker, eventuelt ha bevis ved skimming og skimmingforsøk.

Nemnda har vurdert søknader om utvidet lagringstid i tidligere saker.

I PVN-2002-02 Posten uttalte nemnda følgende vedrørende avslag om forlenget lagring av billedopptak:

Det må etter dette vurderes om det er grunnlag for å gjøre unntak fra 7-dagers regelen etter forskriften § 8-4, 5. ledd. Etter denne bestemmelsen kan det gjøres unntak fra 7-dagers fristen i andre ledd dersom det foreligger et særlig behov for oppbevaring i lengre tid. Personvernnemnda finner ikke holdepunkter for at "særlig behov" i utgangspunktet skal tolkes strengt og at det i dette ligger et krav om at det må foreligge særlige omstendigheter slik Datatilsynet legger til grunn. Det avgjørende, slik Personvernnemnda ser det, er hvorvidt det foreligger et særlig behov som etter en totalvurdering av de ulike hensynene begrunner en utvidet lagringstid. Totalvurderingen må bestå i en avveining av personverninteresser, forbrukerinteresser og andre interesser. Vurderingen av om det foreligger særlig behov og interesseavveiningen som deretter skal gjøres vil således gli noe over i hverandre.

I PVN-2013-21 Bank i butikk uttalte nemnda følgende:

Etter nemndas syn foreligger det vesentlige forskjeller mellom bankens og butikkens virksomhet. Den type virksomhet som har legitimert oppbevaring av opptak i 90 dager, nemlig oppbevaring av store mengder kontanter, foregår ikke i butikkene. Det som utføres av banktjenester i butikkene er såpass risikofritt at butikkene har akseptert risikoen – uten å implementere de tradisjonelle banklokalenes spesielle sikkerhetsforanstaltninger. Det antall svindelforsøk som klager har opplyst om, ca. 450 forsøk per år, må anses å være en promille av alle transaksjoner. Etter nemndas syn er dette helt marginale antall, det er dessuten tale om forsøk på svindel – ikke gjennomførte svindler, og det opplyses ikke om beløp. Etter nemndas syn er dette ubetydelig og kan ikke legitimere at alle personer filmes med lagringstid på 90 dager. Svindel kan dessuten skje helt uavhengig av BIB.

Nemnda legger betydelig vekt på de personvernhensyn som gjør seg gjeldende. Filming av alle personer som oppsøker en butikk med langvarig oppbevaring av opptak vil være i strid med grunnleggende personverninteresser. Nemnda viser til forholdsmessighetsprinsippet, slik dette blant annet er kommet til uttrykk i EU-domstolens nylige underkjennelse av Datalagringsdirektivet, hvor en del av begrunnelsen var det store omfanget og den lange oppbevaringstiden. Nemnda er på denne bakgrunn kommet til at det ikke foreligger tilstrekkelige grunner til å anvende § 8-4 sjette ledd.

I PVN-2016-01 Bank i butikk II uttalte nemnda seg slik:

Nemnda er fortsatt av den oppfatning at å «flytte» banken ut i butikkene innebærer en kostnad i form av et annet risikobilde. Det er ikke holdbart at man ved å innføre banktjenester i matvarebutikkene skal kunne oppbevare opptak i 90 dager i form av kameraopptak av butikkenes inngangsparti. Personverntrusselen blir større dersom lagringstiden økes fra 7 dager, idet det dermed kan dokumenteres mønster og vaner. Utvidet lagringstid gir et misbrukspotensiale med fare for formålsutglidning. Aggregering av data er noe som i seg selv innebærer en latent risiko for annen bruk senere. Dette er alminnelig anerkjent i personvernteorien. Nemnda legger vekt på minimumsprinsippet og forholdsmessighetsprinsippet og finner etter en skjønnsmessig avveining at det ikke foreligger «særlig behov» som tilsier at lagringstiden for kameraopptak ved inngangspartiene skal utvides.

Når det gjelder overvåking av kontantsafen, legger nemnda til grunn at tiltaket er drøftet med de tillitsvalgte i samsvar med arbeidsmiljøloven kapittel 9. Nemnda finner at overvåking av kontantsafen, såfremt kameravinkelen bare fanger opp den som åpner/lukker safen, ikke er spesielt personvernkrenkende. Dette er et lukket rom hvor allmennheten ikke ferdes. Nemnda finner etter en skjønnsmessig avveining at det foreligger «særlig behov» som tilsier at lagringstiden for kameraopptak av kontantsafen kan utvides til 90 dager.

Personvernnemnda er av den oppfatning at kameraovervåkning av bensinpumper ikke kan sies å være spesielt personvernkrenkende. Dette er ikke et område hvor man har forventning om en privat sfære. På den annen side synes risikoen for skimming på bensinstasjonene ikke å være særlig høy. Klager har ikke dokumentert store tall og har ikke innhentet verifiserbart tallgrunnlag på antall kunder som har opplevd å få kortene sine misbrukt på bensinstasjoner. Nemnda har forståelse for at det isolert sett foreligger et behov for utvidet lagringstid, men kan ikke se at det er tilstrekkelig tungtveiende til å begrunne et særlig behov. Nemnda sammenligner med PVN-2016-01 Bank i butikk II, hvor lagringstiden ikke ble utvidet, til tross for at det etter nemndas skjønn forelå et behov som synes større enn i foreliggende sak. Som i PVN-2016-01 Bank i butikk II viser nemnda til at personverntrusselen blir større dersom lagringstiden økes fra syv dager, idet det dermed kan dokumenteres mønster og vaner. En utvidet lagringstid er personverninngripende og nemnda vektlegger minimumsprinsippet og forholdsmessighetsprinsippet. Etter en skjønnsmessig avveining mellom de ulike hensyn finner nemnda at det ikke foreligger et «særlig behov» som tilsier at lagringstiden skal utvides.

6 Vedtak

Klagen tas ikke til følge.

 

 

Oslo, 4. mai 2017

Mats Wilhelm Ruland
Leder