Personvernnemndas vedtak 4. november 2021 (Mats Wilhelm Ruland, Bjørnar Borvik, Line Coll, Hans Marius Graasvold, Heidi Talsethagen, Hans Marius Tessem, Morten Goodwin)
Saken gjelder klage fra Basaren Drift AS på Datatilsynets vedtak 6. april 2021 der Datatilsynet ila selskapet et overtredelsesgebyr på 200 000 kroner for å ha kameraovervåket virksomhetens restaurantlokaler uten rettslig grunnlag, jf. personvernforordningen artikkel 6 nr. 1, for manglende informasjon til de registrerte, jf. artikkel 13, og for manglende skriftlige rutiner for kameraovervåkingen, jf. artikkel 24 nr. 2.
Sakens bakgrunn
Basaren Drift AS (heretter Basaren Drift) driver restauranten Basarene i Storhamargata 2 i Hamar. Lokalet har to etasjer og har både inne- og utearealer. Restauranten installerte et kameraovervåkingssystem i mars 2015 da bygget ble renovert. Overvåkingsutstyret ble installert i samråd med et sikkerhetsfirma som også installerte låssystem, brannalarm og panikkalarm.
Det ble installert tre overvåkingskameraer som dekket tre soner. Ett kamera i kjelleren dekket området ved restaurantens vinrom (sone 1). Det andre kameraet var plassert i restaurantens loungeområde og dekket trappeoppgang fra 1. etasje (hovedetasjen) til loungeområdet og trappeoppgang fra kjelleren (sone 2). Det tredje kameraet var plassert på utsiden av bygget og dekket restaurantens uteområde ved utgangsdør til restaurantens bakgård med uteservering i sommersesongen (sone 3).
Da kameraovervåkingen ble installert i 2015 gjaldt personopplysningsloven 2000. Det fulgte av dagjeldende lov § 8 bokstav f at behandlingen var lovlig dersom den behandlingsansvarlige ivaretok en berettiget interesse, og hensynet til den registrertes personvern ikke oversteg denne interessen. Behandlingen var underlagt meldeplikt til Datatilsynet og nemnda legger til grunn at Basaren Drift meldte behandlingen til tilsynet. Fordi alle meldinger ifølge Datatilsynet ble slettet tre år etter mottak, har det ikke vært mulig for nemnda å etterprøve dette.
En av restaurantens ansatte henvendte seg til Datatilsynet 31. mai 2018 og klaget på kameraovervåkingen. Den ansatte er ikke identifisert i tråd med reglene om taushetsplikt for varsling til offentlig myndighet i arbeidsmiljøloven § 2 A-7.
Om lag ett år senere, og etter at personopplysningsloven 2018 var trådt i kraft, henvendte Datatilsynet seg til Basaren Drift 9. mai 2019 og stilte spørsmål knyttet til kameraovervåkingen. Daværende styreleder, A, ga sin redegjørelse 3. juni 2019. Datatilsynet ba året etter, i brev 12. mars 2020, om ytterligere informasjon, og purret på svar 8. mai 2020. Styrelederen svarte på spørsmålene i e-post til tilsynet 2. juli 2020.
Datatilsynet varslet Basaren Drift 31. november 2020 om pålegg om å avslutte kameraovervåkingen grunnet manglende behandlingsgrunnlag i personvernforordningen artikkel 6 nr. 1 bokstav f. Tilsynet varslet samtidig om ileggelse av et overtredelsesgebyr på 300 000 kroner for overtredelse av artikkel 6 nr. 1 bokstav f, artikkel 13, og artikkel 24.
Basaren Drift ga sin uttalelse til varselet i brev 18. desember 2020 og orienterte om at kameraovervåkingen i restauranten var koblet fra.
Datatilsynet fattet følgende vedtak om overtredelsesgebyr 6. april 2021:
«Med hjemmel i personvernforordningen artikkel 58 nr. 2 bokstav i ilegges Basaren Drift AS, org.nr. 813 507 102, et overtredelsesgebyr på 200 000 kroner
·for kameraovervåking i lokalene i Storhamargata 2 uten rettslig grunnlag, jf. artikkel 6 nr. 1,
·for manglende informasjon til de registrerte, jf. artikkel 13, og
·for manglende organisatoriske tiltak, jf. artikkel 24 og personopplysningsloven § 26 første ledd.
Vår hjemmel for å ilegge overtredelsesgebyret er personvernforordningen artikkel 58 nr. 2.»
Det framgår av vedtaket at bakgrunnen for reduksjonen av gebyrets størrelse var virksomhetens vanskelige økonomiske situasjon som følge av koronapandemien.
Basaren Drift klaget rettidig på Datatilsynets vedtak 28. april 2021.
Datatilsynet vurderte klagen, men fant ikke grunnlag for å endre sitt vedtak. Tilsynet oversendte saken til Personvernnemnda 1. juli 2021. Partene ble orientert om saken i brev fra nemnda 2. juli 2021. I etterkant er nemnda blitt orientert om at Basaren Drift er solgt til selskapet Lokal AS. Tidligere styremedlem, B, har etter fullmakt fra nåværende styreleder uttalt seg på vegne av selskapet i klagesaken, og det er lagt til grunn at salget av selskapet ikke har noen betydning for partsforholdet i klagesaken.
Saken ble behandlet i nemndas møter 28. september og 4. november 2021. Personvernnemnda hadde følgende sammensetning: Mats Wilhelm Ruland (leder), Bjørnar Borvik (nestleder), Line Coll, Hans Marius Graasvold, Heidi Talsethagen, Hans Marius Tessem og Morten Goodwin. Sekretariatsleder Anette Klem Funderud var også til stede.
Datatilsynets vedtak i korte trekk
Datatilsynet redegjør generelt for de rettslige utgangspunktene for kameraovervåking i personopplysningsloven, personvernforordningen og i forskrift om kameraovervåking i virksomhet (kameraovervåkingsforskriften, FOR-2018-07-02-1107), som særlig beskytter arbeidstakers personvern. Det vises videre til informasjonsplikten i personvernforordningen artikkel 13, kravet til varsling av kameraovervåking i kameraovervåkingsforskriften § 4, og kravet til internkontroll som framgår av personvernforordningen artikkel 24 og kameraovervåkingsforskriften.
Datatilsynet fastslår at kameraovervåking av enkeltpersoner som kan identifiseres, enten det gjøres ved opptak eller sanntidsmonitorering, utgjør en behandling av personopplysninger, jf. personvernforordningen artikkel 4 nr. 1 og 2.
Vurdering av behandlingsgrunnlag
Datatilsynet legger til grunn at kameraene ikke filmer områder der kun en begrenset krets av personer oppholder seg jevnlig, jf. kameraovervåkingsforskriften § 3. Spørsmålet om rettslig grunnlag i saken reguleres derfor bare av de generelle reglene i personopplysningsloven og personvernforordningen.
Datatilsynet mener at de framlagte skjermbildene viser at kameraene i sone 1 og 2 er rettet mot gjestenes sitteplasser inne i restauranten. Det er ikke framlagt skjermbilde fra sone 3 «ut bakdør og ved utgangsdør bakområde på bygg». Basert på opplysninger på Basaren Drifts nettsider legger tilsynet til grunn at kameraet i sone 3 fanger opp både gjester og ansatte når de beveger seg ut bakdøren, og at kameraet fanger opp deler av uteområdet der gjestene sitter.
Datatilsynet legger til grunn at overvåkingen i alle tre soner ivaretok samme interesse: å holde oversikt over uønskede hendelser i restauranten av hensyn til de ansattes sikkerhet, samt å forhindre eller oppklare framtidige innbrudd og tyverier. Tilsynet vurderer derfor lovligheten av kameraovervåkingen samlet.
Det aktuelle rettslige grunnlaget for kameraovervåkingen er personvernforordningen artikkel 6 nr. 1 bokstav f.
Datatilsynet konkluderer med at det ikke foreligger en reell og konkret risiko for ubudne gjester og uønskede hendelser i restaurantens lokaler. Behovet for å holde oversikt i restauranten utgjør ikke en berettiget interesse, jf. artikkel 6 nr. 1 bokstav f. En ren føre-var-tanke bak overvåkingen er ikke tilstrekkelig. Det må foreligge en konkret og reell situasjon.
Å forhindre eller oppklare eventuelle framtidige innbrudd utgjør imidlertid etter tilsynets vurdering en tilstrekkelig konkret og reell risiko for restauranten og oppfyller kravet til «berettiget interesse» i artikkel 6 nr. 1 bokstav f. Datatilsynet vurderer imidlertid at kameraene filmer mer av restaurantens lokaler enn nødvendig for formålet, og at det heller ikke er nødvendig med døgnkontinuerlig kameraovervåking, jf. Det europeiske personvernrådets retningslinjer «Guidelines 3/2019 on processing of personal data through video devices» punkt 3.1.1 til 3.1.3. Tilsynet viser til at kameraet i sone 3 filmer området utenfor inngangsdøren og sitteplassene utendørs døgnet rundt og ved uteservering om sommeren. Det vises videre til at eiendom kan sikres med mindre inngripende tiltak som fysisk sikring og låsesystem. Det vil etter tilsynets vurdering være tilstrekkelig å overvåke dører og vinduer, og områder i nærhet til disse, for å forebygge eller oppklare innbrudd.
Etter å ha konkludert med at overvåkingen ikke oppfyller nødvendighetskravet, foretar Datatilsynet subsidiært en interesseavveining. I interesseavveiningen legger Datatilsynet vekt på at gjester på et serveringssted generelt har en berettiget forventning om ikke å bli filmet i restaurantens sitteområder, og at hensynet til personvernet veier tungt. Tilsynet legger også vekt på de ansattes rett til personvern på jobb, og at filmingen foregikk gjennom hele arbeidsdagen. Datatilsynet kom til at hensynet til ansatte og gjesters personvern uansett veier tyngre enn virksomhetens behov for kameraovervåking.
Datatilsynet anser Personvernnemndas avgjørelse i PVN-2013-03 for å ha begrenset overføringsverdi i foreliggende sak, ettersom spørsmålet i den saken gjaldt hvorvidt en gullsmedforretning hadde et «særskilt behov» for å kameraovervåke området der «en begrenset krets av personer ferdes», jf. personopplysningsloven 2000 § 38. De samme sikkerhetshensyn gjør seg ikke gjeldende for en serveringsvirksomhet som for en gullsmed.
Tilsynet konkluderer med at behandlingen innebærer en ulovlig behandling av personopplysninger.
Informasjon til de registrerte
Informasjon om kameraovervåkingen til ansatte gjennom skilting og via personalhåndboken oppfyller ikke kravene i personvernforordningen artikkel 13. Håndboken inneholdt verken informasjon om kameraenes plassering, hvor lenge opptak ble lagret, i hvilket tidsrom overvåkingen pågikk eller når ledelsen kunne se på opptakene. Ansatte fikk heller ikke informasjon om de registrertes rettigheter eller det rettslige grunnlaget for kameraovervåkingen. Tilsynet legger til grunn at Basaren Drift har brutt informasjonsplikten i artikkel 13.
Internkontroll
Kameraovervåking på en arbeidsplass er en inngripende behandling av personopplysninger ettersom ansatte filmes gjennom arbeidstiden. Tilsynet mener at Basaren Drift ikke hadde iverksatt tilstrekkelige organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med personvernforordningen på kontrolltidspunktet, jf. artikkel 24.
Overtredelsesgebyr
Datatilsynet konkluderer med at Basaren Drift skal ilegges et overtredelsesgebyr for overtredelsen, jf. personvernforordningen artikkel 58 nr. 2 bokstav i, jf. artikkel 83 nr. 2 og 5 og personopplysningsloven § 26 første ledd. I vedtaket 6. april 2021 legger tilsynet til grunn at det kreves klar sannsynlighetsovervekt for lovbrudd for å kunne ilegge gebyr. Saksforholdet og spørsmålet om å ilegge gebyr er vurdert med utgangspunkt i dette beviskravet.
I vedtaket har Datatilsynet lagt til grunn at det ikke oppstilles noe krav om subjektiv skyld hos den som handler på vegne av selskapet. I oversendelsesbrevet til nemnda 23. juni 2021 har tilsynet foretatt en ny vurdering av dette punktet i tråd med Høyesteretts standpunkt i HR-2021-797-A. Tilsynet konkluderer med at styreleder/styremedlem i dette tilfellet har handlet forsettlig og at skyldkravet dermed er oppfylt.
Ved vurderingen av om det skal ilegges gebyr og ved utmålingen tar Datatilsynet utgangspunkt i momentene i personvernforordningen artikkel 83 nr. 2 bokstav a til k.
Under henvisning til artikkel 83 nr. 2 bokstav a «Karakteren, alvorlighetsgraden og varigheten av overtredelsen […]» konkluderer Datatilsynet i vedtaket 6. april 2021 med at overtredelsen innebærer et alvorlig brudd på arbeidstakeres personvern og bryter med grunnleggende krav til lovlighet, informasjon og ansvarlighet ved behandlingen, jf. personvernforordningen artikkel 5. Det vises til at overvåkingen, som innebærer en kontinuerlig overvåking av restaurantens 21 ansatte og kunder, har pågått i lang tid (2,5 år) regnet fra tilsynet mottok første henvendelse om kameraovervåking 31. mai 2018.
Tilsynet har også lagt stor vekt på at skriftlige rutiner for kameraovervåkingen manglet, og at de ansatte ikke har fått god nok informasjon om kameraovervåkingen på arbeidsplassen.
Det er ikke formildende at andre restauranter i nærområdet også benytter kameraovervåking.
Under henvisning til artikkel 83 nr. 2 bokstav d – «den behandlingsansvarliges eller databehandlerens grad av ansvar» – legger tilsynet i skjerpende retning vekt på at overvåkingen er innført av virksomhetens ledelse uten at kravene i forordningen er
oppfylt. Det vises til at skriftlige rutiner etter artikkel 24 manglet, jf. ansvarlighetsprinsippet i artikkel 5 nr. 2 som forutsetter en sterk forankring av regelverket i virksomheters ledelse. Interne rutiner kunne bidratt til å forhindre den ulovlige kameraovervåkingen.
Under henvisning til artikkel 83 nr. 2 bokstav g «Kategorien av berørte opplysninger» har tilsynet i skjerpende retning lagt til grunn at saken gjelder arbeidstakers personopplysninger som står i et særlig avhengighetsforhold til arbeidsgiver, og at gjestene filmes under hele restaurantbesøket i en situasjon preget av rekreasjon, sosial omgang og avslapning.
Under henvisning til artikkel 83 nr. 2 bokstav k «enhver annen skjerpende eller formildende faktor ved saken» bemerker tilsynet at virksomheten valgte å kameraovervåke både i og utenfor åpningstiden, og har på den måten behandlet flere personopplysninger enn nødvendig.
På bakgrunn av gjennomgangen av disse momentene kom Datatilsynet til at overtredelsesgebyr bør ilegges, jf. personvernforordningen artikkel 83 nr. 2 og nr. 5.
Ved utmålingen av gebyrets størrelse viser Datatilsynet til at det skal legges vekt på de samme vurderingsmomentene som er gjennomgått ovenfor. Tilsynet viser derfor til disse vurderingene.
Tilsynet påpeker at hovedformålet med overtredelsesgebyr er å virke avskrekkende og medvirke til økt etterlevelse av regelverket. Gebyret bør settes så høyt at det får virkning utover den konkrete saken, samtidig som gebyrets størrelse må stå i et rimelig forhold til overtredelsen og virksomheten, jf. artikkel 83 nr. 1.
Datatilsynet viser til at saken gjelder mangel på behandlingsgrunnlag (lovlighetsprinsippet) og brudd på informasjonsplikten (åpenhetsprinsippet) som er alvorlige brudd på personvernforordningen. I tillegg manglet organisatoriske tiltak for etterlevelse av regelverket (ansvarlighetsprinsippet). Overtredelsene har pågått i en lengre periode, noe som taler for et gebyr av en viss størrelse. Tilsynet anser det skjerpende at overvåkingen er igangsatt av virksomhetens ledelse uten at vilkårene i forordningen var oppfylt og at de ansatte har mottatt mangelfull informasjon om overvåkingen på arbeidsplassen. Det er også skjerpende at arbeidsgiver ikke har vurdert protester fra de ansatte i samsvar med artikkel 21.
Datatilsynet viser til at Basaren Drift hadde driftsinntekter på 10 764 512 kroner i 2020, og et negativt årsresultat på - 485 449 kroner. Til sammenligning hadde Basaren Drift en driftsinntekt på 12 249 112 kroner i 2019 og et negativt årsresultat på -1 611 000 kr i 2019. Omsetningsfallet fra 2018 til 2020 utgjør 25 %.
Etter å ha hensyntatt overtredelsenes alvorlighet og Basaren Drifts merknader, setter Datatilsynet det endelige gebyret til 200 000 kroner. Datatilsynet viser til at det varslede gebyret på 300 000 kroner dermed er redusert med ca. 25 %, tilsvarende Basaren Drifts omsetningsfall mellom 2018 og 2020.Tilsynet anser at et gebyr på 200 000 kroner er tilstrekkelig virkningsfullt, står i et rimelig forhold til overtredelsen og virker avskrekkende, jf. personvernforordningen artikkel 83 nr. 1. Tilsynet påpeker – med henvisning til de alminnelige reglene i forordningen om fastsettelse av gebyr – at gebyret er i det nederste sjiktet av hva forordningen foreskriver.
Basaren Drifts syn på saken i korte trekk
Behandlingsgrunnlag
Basaren Drift har rettslig grunnlag i forordningen artikkel 6 nr. 1 bokstav f til å kameraovervåke restaurantens lokaler. Basaren Drift har en berettiget interesse i å gjennomføre kameraovervåking for å avverge og oppklare tyverier og innbrudd. Restauranten har tidligere opplevd tyveri og innbrudd og risikoen er både nærliggende og reell.
Bygget er stort og har en lang utforming. Det består av lange mørke korridorer og kjellerrom, jf. framlagte plantegninger. Datatilsynet har ikke sett lokalets utforming eller kameraenes plassering. Ansatte synes det er ubehagelig å låse/lukke om kvelden når de er alene på jobb. Kameraene ble derfor installert bare i disse delene av lokalene av hensyn til de ansattes trygghet og sikkerhet, men også for å forhindre/oppklare tyveri/innbrudd. Kameraovervåking av hensyn til de ansattes trygghet og sikkerhet, er et relevant formål, selv om risikoen for uønskede hendelser ikke er like nærliggende som for tyveri og innbrudd.
Kameraet i sone 1 i kjelleren dekket området hvor restaurantens vinrom er installert. Det er flere hundre vinflasker i vinrommet med en samlet verdi på ca. 200-250 000 kroner. Vinen står bak en glassvegg med en integrert glassdør. Restauranten har opplevd tyveri av vin tidligere og risikoen for tyveri er reell. Toalettene ligger i kjelleren, slik at det er en del trafikk fra gjester. Det foregår sjeldent servering i kjelleren og de ansatte vil derfor ikke oppholde seg der lenge. Det er upraktisk å stenge av eller låse vinrommet idet de ansatte har behov for kontinuerlig tilgang til dette.
Det ble ikke installert kameraovervåking i restaurantens hovedområde i 1. etasje da en panikk-knapp i baren ble ansett som tilstrekkelig for å ivareta ansattes sikkerhet her. Det var ingen overvåking i 1. etasje som er hovedarealet for gjester, ei heller ved restaurantens hovedinngangsparti, kontor, kjøkkensone, bar eller i ansattes pauserom.
Det andre kameraet i restaurantens loungeområde (sone 2) dekket trappeoppgangen fra en mørk kjeller og skulle fange opp eventuelle tyverier fra kjelleren. De ansatte holder ikke oppsyn i sone 2 fordi det sjeldent serveres her.
Det tredje kameraet på utsiden av bygget (sone 3) dekket restaurantens uteområde, som er mest utsatt for tyveri og innbrudd. Det har vært tyveri her før. Overvåkingen i sone 3 ble iverksatt for å hindre tyveri og hærverk på utemøbler og uønsket trafikk nattestid. Det er ingen gjester som oppholder seg i dette området i perioden fra september til mai. De ansatte holder ikke oppsyn her, heller ikke om sommeren, ettersom brorparten av serveringen foregår inne i restauranten. Kameraet fanget også opp eventuelle personer som bryter seg inn.
Kameraovervåkingen var nødvendig både i og utenfor restaurantens åpningstid.
Kameraene har aldri blitt brukt til overvåking av ansatte. De ansatte var kjent med kameraene og formålet med overvåkingen (sikkerhetsformål og å avverge og oppklare tyveri), jf. PVN-2013-03.
En ekstern nøytral tredjepart har gjennomgått hardware, software og logger, og bekrefter at systemet knapt har vært i bruk og at det ikke var i bruk eller pålogget i 2018, som var det året den ansatte klaget til tilsynet.
Politiet har bedt om tilgang til filer, bilder fra bygget og området rundt én gang etter et innbrudd i bygget. En annen gang ba politiet om bilder grunnet forhold rundt bygget som ikke var knyttet til restauranten. Data har aldri blitt utlevert til tredjepart.
Verken fysisk sikring, låse- og alarmsystemer eller oppmerksomme ansatte vil redusere risikoen for innbrudd og tyveri, og vakthold i restaurantens åpningstider vil medføre en uforholdsmessig høy kostnad.
Basaren Drifts berettigete interesser i kameraovervåkingen veier tyngre enn ansatte og gjesters personvern.
Kameraene var tydelig skiltet slik at gjestene ble gjort oppmerksomme på overvåkede områder. Gjestene kunne enkelt unngå overvåking ettersom størstedelen av områdene hvor servering pågår ikke ble overvåket. Basaren Drift er ikke enig i at gjestene har en høy forventning om at lokalene ikke er overvåket. Andre restauranter i Hamar benytter også overvåking.
Ansatte har ikke klaget på kameraene, men har uttalt at de setter pris på sikkerhetstiltaket.
Informasjon og organisatoriske tiltak
Det erkjennes at Basaren Drift ikke i tilstrekkelig grad har oppfylt sine forpliktelser knyttet til informasjon til de registrerte eller organisatoriske tiltak. De ansatte har imidlertid vært informert om kameraene gjennom skilt og informasjon i personalhåndboken som vedlegg i arbeidskontraktene. Gjestene ble informert via skiltingen.
Rutiner og dokumentasjon i tilknytning til kameraovervåkingen er mangelfulle. Det ble imidlertid gjort grundige vurderinger i forbindelse med innstalleringen av kameraene, herunder hvilken plassering som ville være minst inngripende og hvilke personvernrettslige krav selskapet måtte oppfylle. Vurderingene er i liten grad blitt dokumentert, men det framgår av e-postkorrespondanse fra februar/mars 2015 at Låsgruppen, som installerte kameraene, forhørte seg om kravene til søknad til Datatilsynet.
Overtredelsesgebyr
Basaren Drift har behandlingsgrunnlag for kameraovervåkingen, men koblet fra kameraene umiddelbart etter Datatilsynets varsel om vedtak.
Et overtredelsesgebyr på 200 0000 kroner er for høyt ut fra sakens faktum, overtredelsens alvorlighetsgrad, virksomhetens størrelse og økonomiske evne. Basaren Drift er en liten virksomhet som omsetter for rundt 10 - 13 millioner kroner i året. De senere årene har de slitt med negative resultater og negativ egenkapital, og er ekstra hardt rammet i koronapandemien. Gebyrets størrelse setter arbeidsplasser i fare ved å ramme selskapets anstrengte økonomi hardt. Det bes om fritak for gebyr. Basaren Drift har hele tiden handlet i god tro.
I en tilsvarende sak i Datatilsynet som også gjelder kameraovervåking, men av et offentlig område, ila tilsynet i vedtak 8. mars 2021 kraftselskapet Dragefossen et gebyr på 150 000 kroner for ulovlig kameraovervåking. Overtredelsen ble ansett alvorlig fordi videoopptaket kontinuerlig ble direktesendt på YouTube, slik at personopplysningene kunne nå ut til et ubegrenset antall seere. Dragefossen hadde driftsinntekter på rundt 113 millioner kroner og et årsresultat på ca. 13 millioner kroner, noe tilsynet karakteriserte som en «betydelig større økonomi enn det som er tilfelle ved tidligere vedtak om ulovlig kameraovervåking». Gebyret tilsvarer ca. 0,13 % av de nevnte driftsinntektene. Til sammenligning tilsvarer Basaren Drifts gebyr på kr. 200 000, omtrent 1,8 % av virksomhetens driftsinntekter fra 2020. Forskjellen mellom gebyrene er betydelig. Saken viser at gebyret for Basaren Drifts overtredelse er satt urimelig høy.
Personvernnemndas vurdering
Personvernnemnda skal ta stilling til om Basaren Drift har behandlet personopplysninger ulovlig. Kommer nemnda til at personopplysningsloven er brutt, skal nemnda ta stilling til om overtredelsesgebyr skal ilegges og eventuelt om gebyret som er ilagt, skal opprettholdes eller settes ned.
Kameraovervåking defineres i personopplysningsloven § 31 andre ledd som «vedvarende eller regelmessig gjentatt personovervåking ved hjelp av fjernbetjent eller automatisk virkende overvåkingskamera eller annet lignende utstyr som er fastmontert.»
Personopplysningsloven har ikke egne regler om kameraovervåking. Innsamling og lagring av bilder fra kameraovervåking som fanger opp en identifisert eller identifiserbar fysisk person anses som behandling av personopplysninger, og omfattes av de alminnelige reglene i personopplysningsloven og personvernforordningen, jf. loven § 1 og forordningen artikkel 4 nr. 1 og 2.
I tillegg reguleres arbeidsgivers adgang til å foreta kameraovervåking i virksomheten av arbeidsmiljøloven kapittel 9 og forskrift om kameraovervåking i virksomhet (FOR-2018-07-02-1107), jf. kameraovervåkingsforskriften § 2. Det er bare kameraovervåking som foretas av arbeidsgiver som omfattes av reglene i arbeidsmiljøloven. Det er videre et vilkår at overvåkingen kan anses som et kontrolltiltak i arbeidsmiljølovens forstand, jf. forarbeidene til personopplysningsloven, Prop. 56 LS (2017-2018) punkt 31.3.3.3. Det kreves ikke at formålet med overvåkingen er å overvåke de ansatte for at reglene skal komme til anvendelse. Overvåking som skjer ut fra sikkerhetsformål eller for å oppklare mulig kriminalitet, omfattes også av reglene dersom det samtidig innebærer en overvåking av de ansatte. I slike tilfeller oppstiller arbeidsmiljøloven § 9-2 krav til drøfting, informasjon og evaluering av kontrolltiltaket.
Nemnda legger til grunn at kameraovervåkingen av restaurantens lokaler omfattes både av de alminnelige reglene i personopplysningsloven og personvernforordningen, og arbeidsmiljølovens bestemmelser i kapittel 9 og kameraovervåkingsforskriften.
Kameraovervåkingsforskriften § 3 oppstiller et skjerpet krav til overvåking av område i virksomhet hvor en begrenset krets av personer ferdes jevnlig. Datatilsynet har lagt til grunn at dette skjerpede kravet ikke kommer til anvendelse i denne saken. Nemnda er enig i den vurderingen og viser til Justis- og politidepartementets uttalelse i Ot.prp. nr. 56 (1992-93) punkt 6 side 28:
«Det skjerpede kravet gjelder der "en begrenset krets av personer jevnlig ferdes". Steder som er tilgjengelig for allmenheten og hvor allmenheten normalt ferdes, vil ikke omfattes. F eks vil de deler av lokalene som er offentlig tilgjengelige i forretninger, bensinstasjoner, banker, restauranter/kaféer, jernbanestasjoner, tunnelbanestasjoner og flyplasser falle utenfor. Dette vil være situasjonen selv om enkelte jevnlig ferdes på det sted hvor overvåkingen foretas, f.eks ansatte i forretninger m.v.»
Behandlingsgrunnlag
All behandling av personopplysninger som faller inn under personopplysningsloven og personvernforordningens bestemmelser må ha et rettslig grunnlag (behandlingsgrunnlag) for å være lovlig, jf. personvernforordningen artikkel 6 nr. 1. I artikkel 6 nr. 1 bokstav a til f er det oppstilt alternative rettslige grunnlag for behandling av personopplysninger. Det aktuelle behandlingsgrunnlaget i denne saken er artikkel 6 nr. 1 bokstav f.
Behandlingsgrunnlag etter personvernforordningen artikkel 6 nr. 1 bokstav f krever at tre kumulative vilkår er oppfylt. For det første må det foreligge en berettiget interesse. Ved vurderingen av om det foreligger en berettiget interesse, skal det tas hensyn til om den registrerte med rimelighet kan forvente at personopplysningene blir anvendt til det aktuelle formålet mv, jf. punkt 47 i fortalen.
Etter artikkel 6 nr. 1 bokstav f er det for det annet et krav om at behandling av personopplysningene er nødvendig for formål knyttet til de berettigede interessene. Personvernrådet har i sine retningslinjer 3/2019, avsnitt 24, sagt følgende om nødvendighetskriteriet når det gjelder kameraovervåking (dansk versjon):
«Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles ("dataminimering"), jf. artikel 5, stk. 1, litra c). Den dataansvarlige skal altid foretage en kritisk undersøgelse af, om denne foranstaltning for det første er egnet til at nå det ønskede mål, og for det andet er hensigtsmæssig og nødvendig til formålet. Videoovervågning bør kun vælges, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde, som er mindre indgribende i den registreredes grundlæggende rettigheder og frihedsrettigheder.»
For det tredje skal det foretas en interesseavveining. I dette tilfellet handler det på den ene side om ansatte og gjesters rett til privatliv og deres interesse i ikke å bli overvåket når de oppholder seg i områder av restauranten som overvåkes. På den annen side den interessen restauranten har i å overvåke områder av restauranten for å forebygge og oppklare tyveri og innbrudd, samt avverge uønskede hendelser. Dersom man etter en avveining av de ulike interessene kommer til at den registrertes grunnleggende personverninteresser veier tyngre enn den behandlingsansvarliges interesse i å behandle opplysningene, kan behandlingsgrunnlaget ikke benyttes.
Selv om det etter ordlyden i artikkel 5 og 6 kan se ut som det skal foretas tre selvstendige vurderinger, er det nemndas syn at disse tre kriteriene henger tett sammen i en samlet vurdering.
Det kan reises spørsmål om kameraovervåking kan innebære behandling av opplysninger om straffedommer og lovovertredelser, jf. personvernforordningen artikkel 10. Nemnda viser til departementets uttalelse i Prop. 56 LS (2017-2018) pkt. 18.3 hvor det blant annet framkommer:
«Som nevnt i punkt 8.2 er virkeområdet til forordningen artikkel 10 uklart, og det er blant annet uklart om bestemmelsen omfatter mistanke om lovovertredelser. Det er imidlertid etter departementets syn ikke holdepunkter for at bestemmelsen omfatter kameraovervåking som kun fanger opp faktiske handlinger som kan innebære lovovertredelser, uten at det behandles opplysninger om mistanke, siktelse, dom eller en annen form for konstatering av at det er skjedd en lovovertredelse. Departementet legger derfor til grunn at artikkel 10 ikke gjør det nødvendig med nasjonale lovbestemmelser som tillater kameraovervåking som avdekker eller som har til formål å avdekke straffbare handlinger.»
Nemnda legger tilsvarende forståelse av loven til grunn, jf. også PVN-2019-09. Basaren Drifts kameraovervåking innebærer følgelig ikke behandling av opplysninger om straffedommer og lovovertredelser, jf. personvernforordningen artikkel 10. Den innebærer heller ikke behandling av særlig kategorier personopplysninger, jf. artikkel 9.
Nemnda legger til grunn at hovedformålet med kameraovervåkingen i alle tre soner var å holde oversikt over uønskede hendelser i restauranten av hensyn til de ansattes sikkerhet, samt å forhindre eller oppklare mulige framtidige innbrudd og tyverier. Basaren Drift har, på anmodning fra nemnda, oversendt ytterligere fotografier av lokalene, fordi de mottatte bildene hadde noe dårlig kvalitet og ikke viste godt nok hvilke deler av lokalene som ble fanget opp av kameraene. Bildene viser at kameraovervåkingen var skiltet både i restaurantens lokaler og ved uteserveringen.
Ut fra de mottatte bildene legger nemnda til grunn at kameraene i alle tre sonene er montert slik at de i perioder, og i alle fall i perioder med mange gjester, gjør opptak både av gjester i restauranten og ansatte som serverer gjestene. Det gjelder selv om kameraene ikke er montert slik at de fanger opp de mest trafikkerte områdene i restauranten. Også det kameraet som er montert utenfor vinrommet vil overvåke gjester i restauranten når gjestene befinner seg i det egne rommet («chambre separee») som ligger i samme etasje som vinrommet. Med unntak av kameraet som overvåker restaurantens utseserveringsområde, er kameraene montert slik at restaurantens bord hvor gjester sitter og de ansatte serverer i liten grad er overvåket. Imidlertid vil kameraene i sone 1 og 2 i travle perioder fange opp deler av bordene og til dels ansattes og gjesters bevegelse i deler av restauranten.
Nemnda legger til grunn at Basaren Drifts interesse i å holde oversikt over uønskede hendelser i restauranten av hensyn til de ansattes sikkerhet, samt interessen i å forhindre eller oppklare framtidige innbrudd og tyverier, i utgangspunktet representerer berettigede interesser for virksomheten. Spørsmålet for nemnda er om den aktuelle behandlingen (dvs. kameraovervåkingen) er nødvendig for dette formålet. Som påpekt ovenfor er det et spørsmål både om den aktuelle behandlingen er egnet for å nå dette formålet, og om det er hensiktsmessig og nødvendig. Kameraovervåking kan bare tillates dersom det samme formålet ikke med rimelighet kan nås på en annen måte som er mindre inngripende i de registrertes rettigheter.
Vurderingen som skal foretas etter artikkel 6 nr. 1 bokstav f er utpreget skjønnsmessig. Ved vurderingen av om det foreligger gyldig behandlingsgrunnlag er det da av betydning om den behandlingsansvarlige kan dokumentere at det er foretatt en grundig vurdering og avveining både av nødvendigheten av behandlingen og de ulike interessene som gjør seg gjeldende. I et tilfelle som dette hvor overvåkingen også innebærer et kontrolltiltak overfor ansatte, er det viktig at framgangsmåten i arbeidsmiljøloven kapittel 9 er fulgt.
Det framgår av dokumentene at Basaren Drift, da de installerte kameraovervåkingen i 2015, foretok undersøkelser av hvilke regler som gjaldt og meldte behandlingen til Datatilsynet slik de skulle. Selskapet opplyser at monteringen av overvåkingsutstyret var i tråd med ønske fra de ansatte, men dette er ikke skriftlig dokumentert. Arbeidsgivers plikter etter arbeidsmiljøloven § 9-2 om drøfting, informasjon og evaluering av kontrolltiltak ble vedtatt i juni 2018 og gjaldt ikke da utstyret ble montert i 2015. Etter lovendringen og ikrafttredelsen av personvernforordningen er det imidlertid den behandlingsansvarliges ansvar å sørge for at kravene i ny lovgivning er ivaretatt. Det framgår av personalhåndboken at det er kameraovervåking i restauranten, selv om informasjonen som gis der er mangelfull i henhold til kravene i personvernforordningen artikkel 13. Nemnda legger til grunn at Basaren Drift forsøkte å begrense overvåkingen til områder i lokalet hvor det var størst behov og som samtidig representerte minst mulig overvåking ved at det var områder hvor både gjester og ansatte oppholdt seg i mindre grad. Det er videre på det rene at opptakene i svært liten grad har vært sett på, de er ikke benyttet til utenforliggende formål, de har blitt slettet fortløpende etter sju dager og har ikke blitt utlevert tredjepersoner. Eneste utlevering har skjedd til politiet ved én anledning i forbindelse med en hendelse som politiet etterforsket.
Nemnda har vært i tvil om utfallet av den skjønnsmessige vurderingen som skal foretas etter artikkel 6 nr. 1 bokstav f. I slike tvilstilfeller er det av betydning at den behandlingsansvarlige kan dokumentere organisatoriske tiltak, jf. personvernforordningen artikkel 24. Videre er det av betydning hvordan beslutningsprosessen skjer. Nemnda viser til PVN-2021-01 som også gjaldt kameraovervåking. Nemnda konkluderte der med at et boligsameie hadde gyldig behandlingsgrunnlag for å overvåke deler av sameiets avlåste fellesområder. Ved vurderingen av om artikkel 6 nr. 1 bokstav f ga behandlingsgrunnlag, ble det vektlagt at spørsmålet om kameraovervåking var grundig behandlet og utredet av sameiets styre og deretter behandlet på to sameiemøter hvor det var truffet enstemmig vedtak om å igangsette kameraovervåking. Overført til den foreliggende saken er det nemndas vurdering at utfallet av interesseavveiningen etter artikkel 6 nr. 1 bokstav f kan bli ulik avhengig av om framgangsmåten i arbeidsmiljøloven § 9-2 er fulgt, samt om den behandlingsansvarlige kan dokumentere tilstrekkelig tekniske og organisatoriske tiltak etter artikkel 24.
I mangel av slik dokumentasjon er konklusjonen at Basaren Drift ikke har gyldig behandlingsgrunnlag for den iverksatte overvåkingen etter artikkel 6.
Informasjon og organisatoriske tiltak
Basaren Drift har erkjent at informasjonsplikten overfor de registrerte ikke er overholdt, jf. personvernforordningen artikkel 13, og at dokumentasjon av organisatoriske tiltak som kreves etter artikkel 24 ikke var på plass.
Overtredelsesgebyr
Ved brudd på bestemmelser i personvernforordningen kan tilsynsmyndigheten ilegge overtredelsesgebyr, jf. artikkel 58 nr. 2 bokstav i, jf. artikkel 83. Både overtredelse av artikkel 6 og artikkel 13 kan sanksjoners med gebyr, jf. artikkel 85 nr. 5 bokstav a og bokstav b. Også brudd på artikkel 24 kan sanksjoners med gebyr, jf. personopplysningsloven § 26 som gir artikkel 83 nr. 4 tilsvarende anvendelse for overtredelser av blant annet denne bestemmelsen.
Spørsmålet for nemnda er om det etter personvernforordningen artikkel 83 nr. 5 og artikkel 83 nr. 4, jf. artikkel 83. nr. 2 skal ilegges et overtredelsesgebyr for handlingene, og dersom det skal ilegges gebyr, hvor stort gebyret skal være.
Det følger av artikkel 83 nr. 1 at ileggelse av overtredelsesgebyr i hvert enkelt tilfelle skal være virkningsfullt, stå i et rimelig forhold til overtredelsen og virke avskrekkende. Både ved vurderingen av om det skal ilegges gebyr og ved utmålingen av gebyret, skal det tas hensyn til momentene i personvernforordningen artikkel 83 nr. 2 bokstavene a til k.
Det er for det første sentralt å se på overtredelsens karakter, alvorlighetsgrad og varighet, jf. artikkel 83 nr. 2 bokstav a. Det følger av bestemmelsen at det skal tas hensyn til den berørte handlingens art, omfang eller formål, samt antall registrerte som er berørt og omfanget av den skade de har lidd.
Selv om nemnda, når det gjelder vurderingen av behandlingsgrunnlag etter artikkel 6, har konkludert med at selskapet ikke har behandlingsgrunnlag, er nemnda ikke enig med Datatilsynet i at Basaren Drifts vurdering har slike mangler at den isolert sett framstår som et alvorlig brudd på personvernforordningen, slik tilsynet legger til grunn. Selv om virksomheten har konkludert uriktig ved vurderingen av om artikkel 6 nr. 1 bokstav f (personopplysningsloven § 8 bokstav f da utstyret ble montert i 2015) gir lovlig behandlingsgrunnlag, må det ved vurderingen av hvor alvorlig overtredelsen er, ses hen til at det dreier seg om en skjønnsmessig regel hvor ulike interesser skal veies mot hverandre. At man som behandlingsansvarlig foretar en annerledes, og dermed uriktig, skjønnsmessig vurdering enn personvernmyndighetene, medfører ikke nødvendigvis en alvorlig overtredelse. Både ved vurderingen av om gebyr skal ilegges og ved eventuelt fastsettelse av gebyrets størrelse, må dette hensyntas, jf. Grunnloven § 113 og Hans Petter Graver; Alminnelig forvaltningsrett, kap. 5.3 «Lovkravet som tolkningsprinsipp».
Etter nemndas vurdering er det derfor bruddene på artikkel 13 og artikkel 24 (manglende informasjon til de registrerte og manglende organisatoriske tiltak) som representerer de kritikkverdige handlingene det er grunn til å sanksjonere. Det er kritikkverdig at kravene i arbeidsmiljøloven § 9-2 ikke er fulgt og at rutiner og annen nødvendig dokumentasjon dermed ikke foreligger, jf. artikkel 24. Det er videre kritikkverdig at informasjonen til de registrerte er mangelfull. Nemnda anser overtredelsen samlet sett som mindre alvorlig, men mener likevel at bruddene på personvernforordningen artikkel 13 og 24 i dette tilfellet i utgangspunktet tilsier at det ilegges et overtredelsesgebyr.
Det er ingen tvil om at manglende informasjon og mangelfulle organisatoriske tiltak representer forsettlige handlinger. Manglende kjennskap til reglene fritar ikke for ansvar med mindre villfarelsen er aktsom. Det var den ikke. Skyldkravet, som også gjelder for foretaksansvar, jf. HR-2021-797-A, er dermed oppfylt.
Datatilsynet har i skjerpende retning lagt vekt på at arbeidsgiver ikke har vurdert protester fra de ansatte i samsvar med artikkel 21. Nemnda er ikke enig i det. Den eller de protestene som er omtalt i sakens dokumenter ble framsatt før personvernforordningen artikkel 21 trådt i kraft i norsk rett, og det var ingen tilsvarende bestemmelse i personopplysningsloven 2000.
For brudd på artikkel 13 kan tilsynsmyndigheten ilegge gebyr på opptil 20 000 000 euro, eller dersom det er et foretak, opptil 4 % av årsomsetningen forutgående regnskapsår, jf. artikkel 83 nr. 5. For brudd på artikkel 24 kan det ilegges gebyr på opptil 10 000 000 euro, eller dersom det er et foretak, opptil 2 % av årsomsetningen forutgående regnskapsår, jf. personopplysningsloven § 26, jf. artikkel 83 nr. 4. Det følger av begge bestemmelsene at det er det høyeste tallet av de to alternativene som skal anvendes som grense. Det følger videre av artikkel 83 nr. 3 at dersom den behandlingsansvarlige overtrer flere av bestemmelsene skal overtredelsesgebyrets samlede beløp ikke være høyere enn beløpet angitt for den alvorligste overtredelsen. Nemnda understreker at bruk av betydelige overtredelsesgebyr er et viktig virkemiddel i et system som tillegger den behandlingsansvarlige et stort selvstendig ansvar. Personvernforordningens angivelse av maksimale gebyrsatser er samtidig i en størrelsesorden som avviker fra norsk straffe- og forvaltningspraksis. Angivelsen av det maksimale gebyret som en viss prosent av den totale omsetningen gir derfor bedre veiledning, men heller ikke dette kan være mer enn et utgangspunkt. Uansett må man ta i betraktning at denne grensen skal romme mange typer overtredelser, fra de minst alvorlige til de grove og alvorlige bruddene som rammer mange mennesker.
Basaren Drift hadde en omsetning på 12,2 millioner kroner i 2019 og en omsetning på 10,7 millioner kroner i 2020. Dersom man benytter omsetningstallene for forutgående regnskapsår (2020), vil 4 % utgjøre 428 000 kroner. Nemnda legger til grunn at et gebyr i denne størrelsesorden er forbeholdt de grove overtredelsene.
Etter en samlet vurdering har Personvernnemnda kommet til at gebyret for overtredelsene i denne saken, etter det nivået som følger av personvernforordningen, bør ligge rundt 100 000 kroner.
Etter nemndas vurdering må imidlertid den lange saksbehandlingstiden også tillegges vekt ved utmåling av gebyret, jf. artikkel 83 bokstav k, hvor det skal legges vekt på «enhver annen skjerpende eller formildende faktor ved saken».
Den ansatte meldte om kameraovervåkingen til Datatilsynet 31. mai 2018, og Datatilsynet ba restauranten om en redegjørelse ett år senere. Etter at restauranten svarte tilsynet sommeren 2019, gikk det ni måneder før tilsynet ba om ytterligere informasjon. Etter at restauranten svarte på spørsmålene tok det nær et halvt år før Datatilsynet varslet restauranten om pålegg og gebyr i slutten av november 2020. Datatilsynet fattet endelig vedtak i saken 6. april 2021, nær tre år etter at saken startet hos tilsynet. Det er nå gått ytterligere nesten et halvt år.
Datatilsynet har en plikt til å gjøre rede for sin vurdering av saksbehandlingstidens betydning for sanksjonsspørsmålet. Nemnda viser til PVN-2021-03 med videre henvisning til Sivilombudets (tidligere Sivilombudsmannens) avgjørelse 17. august 2012 i sak 2011/2718 og NOU 2003:15 «Fra bot til bedring» pkt. 5.7.11 (side 102). Dette er ikke gjort i denne saken.
Etter nemndas vurdering har den samlede saksbehandlingstiden hos tilsynet vært uakseptabelt lang. Den personen eller det foretaket som risikerer å bli møtt med straffesanksjoner eller sanksjoner som kan likestilles med straff, har en beskyttelsesverdig interesse i å få avklart dette spørsmålet innen rimelig tid, og forvaltningsorganet plikter – med de ressurser som er stilt til rådighet – å innrette sin virksomhet på en slik måte at denne interessen ivaretas.
Etter nemndas syn tilsier ikke sakens omfang og kompleksitet en så lang saksbehandlingstid som her har medgått. Nemnda viser særlig til at det har vært lange perioder uten framdrift i saken, til tross for at Datatilsynet mener at overtredelsen er alvorlig. Etter en samlet vurdering har nemnda kommet til at overtredelsesgebyret bør falle bort.
Basaren Drift AS får etter dette medhold i sin klage ved at det ilagte gebyret bortfaller.
Vedtaket er enstemmig.
Konklusjon
Datatilsynets vedtak om ileggelse av gebyr omgjøres ved at gebyret bortfaller.
Oslo, 4. november 2021
Mats Wilhelm Ruland
Leder