Home
ANONYMISERT VERSJON

PVN-2019-09 Publisering av bilde fra overvåkingskamera på Facebook - overtredelsesgebyr

Datatilsynets referanse: 
Datatilsynets referanse: 17/02065-4/MLS

Personvernnemndas vedtak 11. november 2019 (Mari Bø Haugstad, Bjørnar Borvik, Gisle Hannemyr, Hans Marius Graasvold, Hans Marius Tessem, Heidi Talsethagen, Audhild Gregoriusdotter Rotevatn)

Saken gjelder klage fra gullsmedforretningen A på Datatilsynets vedtak 21. januar 2019 om ileggelse av overtredelsesgebyr på 50 000 kroner for publisering på Facebook av et bilde gjort ved kameraovervåking.

Sakens bakgrunn

I desember 2017 mottok Datatilsynet flere tips om at forretningen A hadde publisert et bilde på sin Facebook-side fra opptak gjort ved kameraovervåking. Bildet, som viste en person, ble supplert av følgende tekst:

«Hvem er dette? Natt til lørdag kl 04.52 stjal denne tufsen julepynten vår. Han hadde med seg en likesinnet motivator i sort dress og brune sko. Tips ønskes da disse typene muligens bør konfirmeres av lovens lange arm ..»

Bakgrunnen for innlegget var at ansatte hos A lørdag 9. desember 2017 oppdaget at julepynten utenfor forretningen var borte. Kameraopptakene fra natten før viste en person som fjernet julepynten utenfor forretningen. Innehaveren publiserte bildet fra kameraovervåkingen og ovennevnte tekst på Facebook samme dag. Både bildet og tekstinnlegget ble fjernet etter to til tre timer etter at gjerningspersonen selv ringte til innehaveren og beklaget handlingen. Det ble deretter publisert et nytt innlegg på butikkens Facebook-side:

«Da har julepyntmannen meldt seg og beklaget seg. Da sletter vi innlegget og legger dette bak oss. Vi ønsker alle en flott førjulstid [nisse-emoji].»

Forretningen er lokalisert midt i byens gågate. Kameraovervåkingen ble installert i 2017 etter at forretningen var blitt utsatt for flere tyverier, herunder grovt tyveri der gjerningspersonene benyttet bil som rambukk for å ta seg inn i butikken. Tyveriene var svært belastende både for innehaveren og de ansatte. Kameraet er montert på utsiden av butikken for å fange opp inngangspartiet. Kameraovervåkingen er skiltet på inngangsdøren like under kameraet.

Datatilsynet mente forretningen ulovlig hadde utlevert opptak fra kameraovervåking og varslet butikken i brev 18. april 2018 om overtredelsesgebyr på 50 000 kroner. I brev til Datatilsynet 25. april 2018 erkjente virksomheten forholdet, men ba om at tilsynet frafalt gebyret eller nedjusterte gebyrets størrelse. Datatilsynet fant ikke grunn til å endre sitt varslede vedtak og fattet følgende vedtak om ileggelse av overtredelsesgebyr 21. januar 2019:

«Med hjemmel i personopplysningsloven § 46 første ledd pålegges [A] å betale et overtredelsesgebyr til statskassen på 50 000 -femtitusen - kroner for å ha utlevert opptak gjort med kameraovervåking i strid med personopplysningsloven § 39 ved å publisere bilde på Facebook for å innhente tips om en uidentifisert person.»

A framsatte rettidig klage på vedtaket 11. februar 2019. Datatilsynet vurderte klagen og opprettholdt sitt vedtak.

Personvernnemnda mottok saken 28. juni 2019. A ble orientert om saken i brev fra nemnda, og fikk anledning til å komme med eventuelle kommentarer, men har ikke inngitt ytterligere merknader.

Saken ble behandlet i nemndas møte 11. november 2019. Personvernnemnda hadde følgende sammensetning: Mari Bø Haugstad (leder), Bjørnar Borvik (nestleder), Gisle Hannemyr, Hans Marius Graasvold, Hans Marius Tessem, Heidi Talsethagen og Audhild Gregoriusdotter Rotevatn. Nemndas sekretær, Anette Klem Funderud var også tilstede.

As syn på saken i korte trekk

Tilsynets vedtak er basert på feil grunnlag. Datatilsynet baserer sitt vedtak på at omtalt bilde «er egnet for identifisering av personen på bildet». Dette er forretningen uenig i fordi bildet ikke kan identifisere personen tilstrekkelig. Det er ikke mulig å identifisere en person på bakgrunn av bildet som er tatt bak/fra siden.

Uansett bør overtredelsesgebyr ikke ilegges, subsidiært bes det om at et eventuelt gebyr settes ned til 20 000 kroner. I vurderingen av gebyr og eventuelt gebyrets størrelse er det flere momenter som skal vektlegges, jf. personopplysningsloven 2000 § 46 andre ledd bokstav a til h.

Det er ikke utlevert sensitive opplysninger, verken navnet på personen, fødselsdato eller bostedsadresse er oppgitt. Personen kobles til et tyveri/naskeri på grunnlag av sikre bevis. Gjerningspersonen erkjente også forholdet innen kort tid etter publiseringen, og bildet ble fjernet umiddelbart. Det må også legges til grunn at innlegget kun ble delt 1 gang, dog uten kunnskap om det faktisk er bildet som er delt. Gjerningspersonen valgte selv å ta en gjenstand tilhørende en annen på et område som klart er merket med kameraovervåking. Gjerningspersonen måtte forstå at bilde/film av vedkommende ville bli eksponert i forbindelse med dette, typisk ved utlevering til politiet. En slik utlevering ville ha utsatt personen for straffeforfølgning, der politiet ville ha hjemmel både for ransaking og pågripelse.

Det var ikke forretningens hensikt å sette personen i «gapestokk», men i øyeblikkets tankesett å avklare hvem gjerningspersonen var, i tillegg til å virke forebyggende. Gjerningspersonen har ved sin handlemåte til dels gitt avkall på den sterke beskyttelsen loven gir, og Facebook-innlegget er derfor ikke en grov krenkelse av personvernet. Publisering av bildet og teksten var klart i forretningens interesse, og det må vises forståelse for at forretningen har en berettiget interesse i å oppklare og forhindre straffbare handlinger mot forretningen, som har vært utsatt for gjentagende vinningskriminalitet. Det er ingen andre rutiner forretningen kunne ha for å avklare gjerningsmannens identitet. Forretningen har ikke tidligere brutt loven. Det er driftsresultatet for 2017 på ca. 1,5 millioner kroner som er det riktige årstallet som skal legges til grunn i vurderingen, ikke driftsresultatet for 2016. Ovennevnte momenter tilsier at gebyr ikke ilegges.

Subsidiært må gebyret fastsettes etter en konkret skjønnsmessig vurdering. Det fastsatte gebyret er for høyt.

Datatilsynets vurdering

Datatilsynet har behandlet saken etter personopplysningsloven 2000, med tilhørende forskrift, jf. personopplysningsloven 2018 § 33. En vurdering etter nytt regelverk ville ikke ført til et gunstigere resultat for virksomheten i denne saken.

Det er ikke lov å utlevere opptak fra kameraovervåking med mindre den avbildede samtykker, adgang til å utlevere følger av lov eller utlevering skjer til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker, jf. personopplysningsloven 2000 § 39.

I denne saken har forretningen utlevert opptak fra kameraovervåkingen ved å publisere et bilde av en person på Facebook. Bildene er egnet til å identifisere personen på bildet, og det er derfor utlevert personopplysninger. Det foreligger derfor et klart brudd på personopplysningsloven 2000 § 39.

Datatilsynet mener det skal ilegges overtredelsesgebyr, og har lagt særlig vekt på at forretningen ved overtredelsen betydelig har krenket grunnleggende interesser knyttet til den personlige integritet og privatlivets fred som loven verner, jf. personopplysningsloven 2000 § 46 annet ledd bokstav a, jf. § 1.

Lovgiver har vurdert kameraovervåking som et særskilt inngrep i personvernet, og derfor er dette spesialregulert. Reglene setter klare grenser for hvordan kameraopptak skal behandles. Reglene for utlevering skal blant annet sikre at opptak med personopplysninger ikke spres slik at inngrepet i personvernet blir større enn nødvendig. Videre sikrer reglene at opptak ikke brukes til selvtekt. Det er opp til politiet å utføre etterforskning. Forretningen har klart krenket disse personverninteressene ved å publisere bilder fra kameraovervåkingen på Facebook for å identifisere den avbildede.

Den avbildede personen kan ikke sies å gi avkall på det vernet personopplysningsloven gir ved å stjele julepynten, slik forretningen anfører. Forretningen kan ved publiseringen som hovedregel ikke vite hva slags person som er på bildet (for eksempel alder), bakgrunnen til personen, om det rent faktisk skjer noe ulovlig eller om det er særlige grunner som ligger til grunn bak handlingen (eksempelvis psykisk helse). Dette er en av grunnene til at loven klart angir at publisering er forbudt. Det er også på det rene at publiseringen har fått konsekvenser for den avbildede og vedkommendes familie. Den avbildede og familien har henvendt seg til Datatilsynet og fortalt at de ved flere anledninger har opplevd at bekjente kommenterer hendelsen fordi vedkommende er gjenkjent på bildet. Hendelsen har derfor vært belastende for familien.

Det kan ikke legges vekt på at Facebook-innlegget ikke ble delt mange ganger og kun lå ute i kort tid. Overtredelsen skyldes ikke et uhell, men utlevering og publisering av bildet var en villet handling. Det er forretningens ansvar å sette seg inn i reglene for kameraopptak når slikt utstyr installeres, inkludert reglene for når et opptak kan utleveres.

Forretningen har publisert bildet på Internett, og spredning på Internett kan ikke kontrolleres, ei heller om bildet deles ytterligere eller hvem som lagrer, kopierer eller gjenbruker det i andre sammenhenger. Disse forholdene er klart klanderverdige.

Tilsynet legger til grunn at A ikke har retningslinjer, instruksjon, opplæring, kontroll eller andre tiltak for å sikre at behandling av opptak gjort ved kameraovervåking skjer på en lovlig måte, jf. § 46 annet ledd bokstav c, og har heller ikke vist til at det foreligger slik internkontroll. Hendelsen kunne i så fall vært unngått, da tilsynet antar at forretningen hadde forholdt seg til disse, og ikke handlet i affekt slik virksomheten anfører.

Det er heller ikke tvilsomt at overtredelsen er begått for å fremme virksomhetens interesser, jf. personopplysningsloven 2000 § 46 annet ledd bokstav d. Publiseringen av bildet henger sammen med vern av virksomhetens verdier. Det kan derfor ikke utelukkes at virksomheten har hatt, eller kunne fått en fordel av overtredelsen, jf. § 46 annet ledd bokstav e.

Tilsynet har også lagt vekt på overtrederens økonomiske evne, jf. personopplysningsloven 2000 § 46 annet ledd bokstav h. Dette er særlig relevant for vurderingen av utmålingen av gebyrets størrelse. Virksomheten hadde driftsinntekter på kr 11.849.000 i 2017. Resultat lå på kr. 2.042.000, og forretningen har evne til å bære en økonomisk sanksjon av en viss størrelse. De andre momentene i personopplysningsloven 2000 § 46 annet ledd gjør seg ikke gjeldende i denne saken.

Vi er etter dette kommet til at overtredelsesgebyr bør ilegges. Datatilsynet kan ilegge gebyr på inntil 10 ganger folketrygdens grunnbeløp, og ved vurderingen av størrelsen skal de samme momentene som ved vurderingen av om gebyr skal ilegges, tillegges særlig vekt.

Forholdene påpekt ovenfor taler for et gebyr av en viss størrelse. Gebyret bør settes så høyt at det får virkning også utover den konkrete saken. Samtidig må gebyrets størrelse stå i et rimelig forhold til overtredelsen.

Etter en helhetsvurdering av overtredelsens art og overtreders økonomiske evne, har tilsynet kommet til at et overtredelsesgebyr på 50 000 kroner er passende. Dette er også i tråd med vår forvaltningspraksis for publisering av bilder fra kameraovervåking, se blant annet Personvernnemndas avgjørelse PVN-2017-16. Det foreligger ikke forhold som tilsier fravikelse av denne praksisen.

Personvernnemndas vurdering

Den handlingen som Datatilsynet i vedtak 21. januar 2019 har ilagt overtredelsesgebyr for er begått i desember 2017. På handlingstidspunktet gjaldt personopplysningsloven 2000. Ny lov om behandling av personopplysninger (personopplysningloven 2018) trådte i kraft 20. juli 2018. Fra samme tidspunkt ble personopplysningsloven 2000 opphevet.

Etter personopplysningsloven 2018 § 33 skal de materielle reglene om behandling av personopplysninger som gjaldt på handlingstidspunktet legges til grunn når det treffes vedtak om overtredelsesgebyr, med mindre lovgivningen på tidspunktet for avgjørelsen fører til et gunstigere resultat for den behandlingsansvarlige.

Personopplysningsloven 2000 § 39 lyder:

«Personopplysninger som er innsamlet ved opptak gjort ved kameraovervåking, kan bare utleveres til andre enn den behandlingsansvarlige dersom den som er avbildet samtykker eller utleveringsadgangen følger av lov. Opptak kan likevel utleveres til politiet ved etterforskning av straffbare handlinger eller ulykker hvis ikke lovbestemt taushetsplikt er til hinder.»

Loven oppstilte med andre ord særskilte krav til behandlingsgrunnlaget for utlevering av personopplysninger når personopplysningene var samlet inn ved kameraovervåking, se PVN-2017-16. Det var etter § 39 ikke lov å utlevere opptak fra kameraovervåking med mindre den avbildede samtykket, adgangen til å utlevere fulgte av lov eller utlevering skjedde til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. Dette gjaldt uavhengig av om personopplysningene som utleveres var sensitive eller ikke.

Det er uomtvistet at A verken hadde samtykke eller lovhjemmel til å publisere det aktuelle bildet på Facebook. Virksomheten har dermed brutt personopplysningsloven 2000 § 39, forutsatt at bildet som ble publisert representerer en personopplysning.

Personopplysningsloven 2018 og GDPR har ingen særskilte regler om kameraovervåking. Behandling av personopplysninger som skjer ved kameraovervåking reguleres etter ny lov av forordningens alminnelige regler, jf. Prop. 56 LS (2017-2018) kapittel 18.2. Det innebærer at den behandlingsansvarlige kan levere ut personopplysninger innsamlet ved kameraovervåking dersom det foreligger behandlingsgrunnlag i GDPR artikkel 6.

Det kan reises spørsmål om kameraovervåking kan innebære behandling av opplysninger om straffedommer og lovovertredelser, jf. GDPR artikkel 10. Slike opplysninger kan bare behandles under en offentlig myndighets kontroll eller i medhold av nasjonale lovbestemmelser. Departementet uttaler i Prop. 56 LS (2017-2018) pkt. 18.3 følgende om dette:

«Forordningen artikkel 10 omfatter personopplysninger om «personopplysninger om straffedommer og lovovertredelser eller tilknyttede sikkerhetstiltak». Det kan her spørres om «lovovertredelser» («offences») må forstås slik at kameraovervåking av en faktisk handling som kan innebære en lovovertredelse, omfattes. I så fall må kameraovervåking som fanger opp eller som tar sikte på å fange opp slike handlinger, enten utføres under kontroll av en offentlig myndighet eller i medhold av nasjonal rett.

Som nevnt i punkt 8.2 er virkeområdet til forordningen artikkel 10 uklart, og det er blant annet uklart om bestemmelsen omfatter mistanke om lovovertredelser. Det er imidlertid etter departementets syn ikke holdepunkter for at bestemmelsen omfatter kameraovervåking som kun fanger opp faktiske handlinger som kan innebære lovovertredelser, uten at det behandles opplysninger om mistanke, siktelse, dom eller en annen form for konstatering av at det er skjedd en lovovertredelse. Departementet legger derfor til grunn at artikkel 10 ikke gjør det nødvendig med nasjonale lovbestemmelser som tillater kameraovervåking som avdekker eller som har til formål å avdekke straffbare handlinger.»

Nemnda legger tilsvarende forståelse av loven til grunn og bemerker at dette må bety at en behandlingsansvarlig som lovlig har iverksatt kameraovervåking og mener å ha opptak av en eller flere personer som begår en straffbar handling, normalt også vil ha behandlingsgrunnlag i GDPR artikkel 6 nr. 1 bokstav f (berettiget interesse) for å utlevere opptaket til politiet sammen med en anmeldelse. Dette må gjelde selv om den behandlingsansvarlige ved denne utleveringen også vil utlevere opplysninger om (bildeopptak av) hvem han mistenker har begått den straffbare handlingen. Da må også annen utlevering av personopplysninger innsamlet ved kameraovervåking være regulert av de alminnelige reglene i GDPR artikkel 5 og 6, og ikke omfattet av forbudet i artikkel 10, selv om det kombineres med opplysninger om at noen av de avbildede mistenkes for å ha begått straffbare handlinger (som i vårt tilfelle). At behandlingsgrunnlag for utlevering av opplysninger fra kameraovervåking til politiet ved mistanke om et straffbart forhold må søkes i artikkel 6 nr. 1 bokstav f, synes også forutsatt i Personvernrådets «Guidelines 3/2019 on processing of personal data through video devices», avsnitt 57. Begrensningene i adgangen til å behandle denne typen opplysninger etter artikkel 10 nevnes ikke i Personvernrådets veiledning.

De alminnelige reglene om behandlingsgrunnlag følger av GDPR artikkel 6. Artikkel 6. nr. 1 første ledd lyder slik:

«1. Behandlingen er bare lovlig dersom og i den grad minst ett av følgende vilkår er oppfylt:

a) den registrerte har samtykket til behandling av sine personopplysninger for ett eller flere spesifikke formål,

b) behandlingen er nødvendig for å oppfylle en avtale som den registrerte er part i, eller for å gjennomføre tiltak på den registrertes anmodning før en avtaleinngåelse,

c) behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige,

d) behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser,

e) behandlingen er nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet som den behandlingsansvarlige er pålagt,

f) behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger, særlig dersom den registrerte er et barn.»

Etter nemndas vurdering åpner personopplysningsloven 2018 og GDPR dermed for en bredere vurdering av spørsmålet om adgangen til utlevering av personopplysninger innhentet ved kameraopptak enn etter personopplysningsloven 2000. Utlevering er ikke lenger begrenset til situasjoner hvor den avbildede samtykker, adgangen følger av lov eller utlevering skjer til politiet i forbindelse med etterforskning av straffbare handlinger eller ulykker. Etter GDPR kan utlevering også skje med hjemmel i andre behandlingsgrunnlag, for eksempel dersom «behandlingen er nødvendig for formål knyttet til de berettigede interessene som forfølges av den behandlingsansvarlige eller en tredjepart, med mindre den registrertes interesser eller grunnleggende rettigheter og friheter går foran og krever vern av personopplysninger […]», jf. artikkel 6 nr. 1 bokstav f.

Etter nemndas vurdering må det innebære at det er personopplysningsloven 2018 og GDPR som kommer til anvendelse i denne saken, jf. personopplysningsloven 2018 § 33. At GDPR artikkel 83 nr. 5 åpner for et langt høyere overtredelsesgebyr enn personopplysningsloven 2000, endrer ikke denne vurderingen. Også etter GDPR artikkel 83 skal overtredelsesgebyrets størrelse stå i rimelig forhold til overtredelsen og det vil etter nemndas vurdering uansett være nødvendig å se hen til tidligere forvaltningspraksis for utmåling av gebyr i og med at handlingen det eventuelt skal ilegges overtredelsesgebyr for er begått i desember 2017.

Nemnda går etter dette over til den konkrete vurderingen av saken og vil først ta stilling til om det publiserte bildet representerer en personopplysning.

GDPR artikkel 4 nr. 1 definerer «personopplysninger» slik:

«enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet..»

Nemnda er enig med tilsynet i at det publiserte bildet er egnet til å identifisere personen på bildet. Bildekvaliteten er slik at bildet klart kan knyttes til en enkeltperson. Det publiserte bildet, som er tatt bakfra, viser ansiktet til en mannsperson fra høyre side. Personen er avbildet fra knærne og opp, og viser tydelig klesdrakt, skjegg og hårfarge. Ved all bilde- og videoidentifisering er det en forutsetning at man har forhåndskunnskaper om personen i bildet eller videoen. Det er også opplyst at A raskt etter Facebook-publiseringen mottok tips via personlig melding fra andre om hvem personen var. Det er derfor ingen tvil om at bildene anses som personopplysninger som omfattes av reglene i personopplysningsloven 2018 og GDPR, og at publiseringen/utleveringen på Facebook er behandling av personopplysninger i lovens forstand, jf. GDPR artikkel 4 nr. 2.

Nemnda legger til at personopplysningene ble publisert på virksomhetens åpne Facebook-side, noe som klart er omfattet av lovens saklige virkeområde, jf. personopplysningsloven 2018 § 2 og GDPR artikkel 2.

Nemnda går så over til å vurdere om publiseringen var lovlig. Det aktuelle behandlingsgrunnlaget for virksomheten til å utlevere bilde fra kameraovervåkingen er artikkel 6 nr. 1 bokstav f (berettiget interesse).

Artikkel 6 nr. 1 bokstav f gir adgang til å behandle opplysninger på grunnlag av en interesseavveining. For ordens skyld bemerkes at selv om en virksomhet anses å ha hjemmel i denne bestemmelsen til å samle inn personopplysninger ved kameraopptak, kan interesseavveiningen slå annerledes ut når man vurderer adgangen til utlevering. Måten opplysningene utleveres på vil også være av betydning for den interesseavveiningen som skal tas. Nemnda kommer nærmere tilbake til dette nedenfor.

Lovens krav om at behandlingen må være nødvendig for formål knyttet til den behandlingsansvarliges berettigede interesse, innebærer at interessen som ivaretas av den behandlingsansvarlige må være lovlig og reelt begrunnet i virksomheten. Både rettslige, økonomiske eller ikke-materielle interesser kan være berettigede, jf. Personvernrådets «Guidelines 3/2019 on processing of personal data through video devices», avsnitt 18. Nødvendighetsvilkåret innebærer videre et krav om at formålet ikke kan oppnås på en mindre personverninngripende måte.

Den berettigede interessen den behandlingsansvarlige har, skal så veies mot den registrertes interesser og grunnleggende rettigheter og friheter. Dersom disse interessene anses å gå foran og kreve vern av personopplysningene, vil den behandlingsansvarliges berettigede interesse måtte vike.

I tillegg til at kravet til behandlingsgrunnlag i GDPR artikkel 6 må være oppfylt, må behandlingen av opplysningene også oppfylle de grunnleggende prinsippene i GDPR artikkel 5 for behandling av personopplysninger, blant annet at opplysningene skal samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene (formålsbegrensning, jf. bokstav b) og begrenset til det som er adekvate, relevante og nødvendig for formålene de behandles for (dataminimering, jf. bokstav c). Prinsippene i artikkel 5 er relevante for den interesseavveiningen som skal foretas etter artikkel 6 nr. 1 bokstav f.

Forretningen publiserte det aktuelle bildet sammen med den refererte teksten med det formål å få tyveriet oppklart, få den stjålne julepynten levert tilbake, samt i den preventive hensikt å forhindre nye tilsvarende handlinger mot forretningen. Det er ingen tvil om at dette representerer en berettiget interesse for den behandlingsansvarlige. Publiseringen førte også til at tyveriet raskt ble oppklart, gjerningspersonen meldte seg og forholdet ble ryddet opp i uten at politiet ble innblandet.

Det kan stilles spørsmål ved om publiseringen var nødvendig, eller om det samme formålet kunne oppnås på en mindre personverninngripende måte, ved at bildene ble utlevert til politiet sammen med en anmeldelse. Som innvending mot dette synspunktet kan det anføres at det er usikkerhet knyttet til om politiet ville prioritert å etterforske tyveriet og om de ville valgt å sette inn ressurser på å finne ut hvem vedkommende på bildet var.

Uavhengig av konklusjonen av nødvendighetsvurderingen, har nemnda kommet til at den registrertes interesser og grunnleggende rettigheter og friheter i dette tilfellet går foran de berettigede interessene den behandlingsansvarlige har og at publiseringen av bildene fra kameraovervåkingen derfor ikke har behandlingsgrunnlag i artikkel 6 nr. 1 bokstav f.

Nemnda har i denne vurderingen lagt vekt på at publisering av bilder på Facebook/Internett medfører at videre spredning og bruk av personopplysningene ikke kan kontrolleres. En publisering på Facebook innebærer at den som publiserer mister kontrollen over hvem som lagrer, kopierer og/eller gjenbruker bildene. Det gjelder selv om innlegget fjernes etter kort tid, slik tilfellet var i denne saken. En utlevering av opplysninger i form av publisering på Facebook eller andre nettsider, er derfor mer alvorlig enn om utleveringen skjer på annen måte, jf. også nemndas vurdering i PVN-2017-16.

Ved vurderingen av om den registrertes interesser går foran den behandlingsansvarliges interesser, er det også av betydning hvilke rimelige forventninger den registrerte har til hvordan opplysningene behandles, jf. fortalen til GDPR nr. 47 og Personvernrådets «Guidelines 3/2019 on processing of personal data through video devices» avsnitt 35. Overvåkingen var skiltet av forretningen og etter nemndas vurdering måtte den registrerte forvente at bildene fra kameraovervåkingen kunne bli utlevert til politiet i forbindelse med en mulig etterforskning av saken. At bildene skulle publiseres på en offentlig Facebook-side, med de konsekvensene det innebærer, jf. ovenfor om spredningspotensialet, er noe helt annet. Det er politiet som har ansvaret for å etterforske og følge opp straffbare forhold og nemnda deler Datatilsynets vurdering av det ikke er ønskelig med en praksis hvor mistenkte personer kan henges ut på sosiale medier. Dette vil lett kunne utvikle seg til en form for «gapestokk».

Nemnda har forståelse for forretningens synspunkt om at personvernhensynene i noen grad kan gjøre seg mindre gjeldende for personer som velger å begå kriminelle handlinger på områder som er tydelig varslet om kameraovervåking, enn for personer som oppholder seg på slike steder uten å begå kriminelle handlinger. Nemnda mener likevel at de hensynene som er påpekt ovenfor medfører at den registrertes interesse går foran den behandlingsansvarliges interesse i dette tilfellet.

Dette tilsier, som Datatilsynet også har lagt til grunn, at det skal ilegges et overtredelsesgebyr, jf. GDPR artikkel 83.

GDPR artikkel 83 nr. 1 og 2 lyder slik:

«1. Hver tilsynsmyndighet skal sikre at ilegging av overtredelsesgebyr i henhold til denne artikkel for overtredelser av denne forordning nevnt i nr. 4, 5 og 6 i hvert enkelt tilfelle er virkningsfull, står i et rimelig forhold til overtredelsen og virker avskrekkende.

2. Avhengig av omstendighetene i hvert enkelt tilfelle skal overtredelsesgebyr ilegges i tillegg til eller istedenfor tiltakene nevnt i artikkel 58 nr. 2 bokstav a)-h) og j). Når det treffes avgjørelse om hvorvidt det skal ilegges overtredelsesgebyr samt om overtredelsesgebyrets størrelse, skal det i hvert enkelt tilfelle tas behørig hensyn til følgende:

a) karakteren, alvorlighetsgraden og varigheten av overtredelsen, idet det tas hensyn til den berørte behandlingens art, omfang eller formål samt antall registrerte som er berørt, og omfanget av den skade de har lidd,

b) hvorvidt overtredelsen ble begått forsettlig eller uaktsomt,

c) eventuelle tiltak truffet av den behandlingsansvarlige eller databehandleren for å begrense skaden som de registrerte har lidd,

d) den behandlingsansvarliges eller databehandlerens grad av ansvar, idet det tas hensyn til de tekniske og organisatoriske tiltak de har gjennomført i henhold til artikkel 25 og 32,

e) eventuelle relevante tidligere overtredelser begått av den behandlingsansvarlige eller databehandleren,

f) graden av samarbeid med tilsynsmyndigheten for å bøte på overtredelsen og redusere de mulige negative virkningene av den,

g) kategoriene av personopplysninger som er berørt av overtredelsen,

h) på hvilken måte tilsynsmyndigheten fikk kjennskap til overtredelsen, særlig om og eventuelt i hvilken grad den behandlingsansvarlige eller databehandleren har underrettet om overtredelsen,

i) dersom tiltak nevnt i artikkel 58 nr. 2 tidligere er blitt truffet overfor den berørte behandlingsansvarlige eller databehandler med hensyn til samme saksgjenstand, at nevnte tiltak overholdes,

j) overholdelse av godkjente atferdsnormer i henhold til artikkel 40 eller godkjente sertifiseringsmekanismer i henhold til artikkel 42 og

k) enhver annen skjerpende eller formildende faktor ved saken, f.eks. økonomiske fordeler som er oppnådd, eller tap som er unngått, direkte eller indirekte, som følge av overtredelsen.»

Ved utmåling av gebyrets størrelse skal det etter bokstav a blant annet legges vekt på karakteren, alvorlighetsgraden og varigheten av overtredelsen. Nemnda viser til de vurderingene som framkommer ovenfor når det gjelder den interesseavveiningen som er foretatt. Riktignok pågikk publiseringen over en kort periode (2-3 timer), men fordi publisering på Internett medfører at videre spredning og bruk ikke kan kontrolleres, dreier det seg ikke om et bagatellmessig brudd på loven.

Det dreier seg videre om en forsettlig overtredelse fra den som handlet på vegne av forretningen, jf. artikkel 83 bokstav b. Det er virksomhetens, og den som handler på virksomhetens vegnes, ansvar å sette seg inn i reglene for kameraopptak når slikt utstyr installeres. Eventuell uvitenhet om reglene er bare unnskyldelig dersom den er aktsom, jf. prinsippet i straffeloven § 26. I dette tilfellet foreligger det ingen aktsom rettsvillfarelse hos den som har handlet på vegne av virksomheten. Utleveringen skyldes heller ikke forhold utenfor virksomhetens kontroll.

Nemnda er enig med Datatilsynet i at A synes å mangle retningslinjer, opplæring, kontroll eller andre organisatoriske tiltak for å sikre at behandling av personopplysninger innsamlet ved kameraovervåking skjer på en lovlig måte, jf. artikkel 83 bokstav d. Dette er et moment som taler for en følbar reaksjon.

Også virksomhetens økonomiske evne kan være av betydning, selv om det ikke er aktuelt og utnytte det spennet i overtredelsesgebyrets størrelse som følger av artikkel 83 nr. 5. Det er opplyst at virksomheten hadde et driftsresultat i 2017 på ca. 1,5 millioner kroner. Selskapets økonomi er, slik nemnda ser det, ikke et forhold som tilsier verken en økning eller en reduksjon av den etablerte utmålingspraksisen ved tilsvarende overtredelser, på det tidspunktet handlingen fant sted.

Datatilsynet har satt gebyret til 50 000 kroner og har vist til nemndas avgjørelse i PVN-2017-16. Nemnda er enig i at den saken er veiledende også for gebyrfastsettelsen i denne saken.

Overtredelsesgebyret settes etter dette til 50 000 kroner, i tråd med Datatilsynets vedtak.

A har ikke fått medhold i klagen.

Vedtaket er enstemmig.

Vedtak

Datatilsynets vedtak om ileggelse av 50 000 kroner i overtredelsesgebyr opprettholdes.

 

 

Oslo, 11. november 2019

Mari Bø Haugstad

Leder