Datatilsynet truer med bøter

I motsetning til politiet som har latt seg imponere over hvor nyttig Skan-kontrolls operasjonssentral er for dem, er Datatilsynet kritiske. (Foto: Even Rise)

Det er Skan-kontroll AS og Securitas AS som nå har fått midlertidige kontrollrapporter og varsel om vedtak. Førstnevnte blir av Datatilsynet utpekt som den største syndebukken, og varsles om et overtredelsesgebyr på hele 600.000 kroner.

Securitas, som ifølge Datatilsynet aldri har gjennomført risikovurderinger av informasjonssikkerhet ved sin behandling av personopplysninger, slipper unna med 75.000 kroner.

Datatilsynet beskylder Skan-kontroll for å ha en praksis som medfører at sentrale personvernhensyn og alminnelige rettsikkerhetsgarantier settes til side, både for bransjens egne ansatte og deres kunder.

Det kommer frem i en foreløpig kontrollrapport etter et tilsyn hos Skan-kontroll AS 5. juni. Selskapet tilbyr sikkerhetstjenester som tradisjonelle vektertjenester, kontrolltiltak rettet mot ansatte, særlig innen detaljhandelen. Kundene kommer ifølge Datatilsynet i all hovedsak fra matvarehandelen og elektronikkhandelen.

– Vi tar Datatilsynets anmerkninger på største alvor. Det er avgjørende at vi driver vår virksomhet etter de til enhver tid gjeldende lover og forskrifter. Datatilsynets rapport påpeker flere forhold som Skan-kontroll er i gang med å utbedre. Det er også flere av avvikene som er påpekt som allerede er lukket, sier administrerende direktør Jørn Cato Olsen i Skan-kontroll til Aktuell Sikkerhet.

Samtidig minner han om at rapporten er foreløpig.

– Vi har flere innsigelser, sier han.

Datatilsynet sier dette om det ikke ubetydelige overtredelsesgebyret:

- Skan-kontroll AS pålegges å betale et overtredelsesgebyr til statskassen på 600 000 kroner for å ha behandlet personopplysninger på vegne av sine oppdragsgivere uten å etablere databehandleravtaler og uten å sørge for tilfredsstillende informasjonssikkerhet ved behandlingen. Og for videre å ha behandlet disse personopplysningene for eget formål uten behandlingsgrunnlag og uten å etablere tiltak for å sikre at personopplysningslovens øvrige bestemmelser etterleves ved behandlingen.

Jørn Cato Olsen sier til Aktuell Sikkerhet at det foreløpig ikke er tatt stilling til om de kommer til å godta det varslede overtredelsesgebyret. Det kommer de til å bestemme seg for mens de utarbeider tilsvaret som skal være Datatilsynet i hende innen seks uker.

Datatilsynet har i sin vurdering blant annet vektlagt at de mener å kunne forvente at Skan-kontroll setter seg inn i personopplysningsregelverket og at de etablerer gode rutiner for å sikre etterlevelsen av dette. Begrunnelsen for denne oppfatningen er at selskapet behandler store mengder sensitive personopplysninger som en grunnleggende del av sin kjernevirksomhet.

– Vi mener vi har det nødvendige rettslige grunnlaget for behandling og oppbevaring av personopplysninger i form av databehandleravtaler eller konsesjon. Konsesjonen gir oss mulighet til å samle informasjon for å kunne bedrive kriminalitetsforebyggende arbeid, som ivaretar betydelig samfunnsinteresse. Skal man jobbe kunnskapsbasert og forebyggende med vinningskriminaliteten, så må man behandle opplysninger, herunder også personopplysninger. Dette er etter vårt syn avgjørende for hele sikkerhetsbransjen. Dersom Datatilsynets tolkning blir stående, må analysetjenesten slik den fungerer i dag bli endret drastisk, kommenterer Olsen.

- Datatilsynet legger også vekt på at de aktuelle databehandlingene medfører svært inngripende tiltak rettet mot den enkelte. Det vises til at formålet blant annet er å avdeke straffbare handlinger og at behandlingen omfatter sensitive personopplysninger om at noen er mistenkt, siktet eller dømt for en straffbar handling, heter det i varselet om vedtak i den foreløpige kontrollrapporten.

Der hevdes det også at selskapet skal ha behandlet opplysninger videre til egne, nye formål, uten at dette skal være avklart med behandlingsansvarlige, og uten å ha selvstedig behandlingsgrunnlag for denne behandlingen. Datatilsynet hevder også at de blant annet har avdekket alvorlige brudd på lovens bestemmelser om konsesjonsplikt.

- Datatilsynet mener selskapets handlinger og unnlatelser representerer et markert avvik fra forsvarlig handlemåte, og at de derved har opptrådt grovt uaktsomt. Det er tatt hensyn til Skan-kontrolls 2012-resultat på 8.622.000 kroner ved utmålingen av overtredelsesgebyret.

I den foreløpige kontrollrapporten tas det i tillegg forbehold om at enkelte av selskapets kunder også kan være ansvarlige for enkelte av lovbruddene som er avdekket.

Skan-kontroll har fått seks uker på seg til å kommentere den foreløpige kontrollrapportens innhold, og ikke minst listen på seks varslede punkter som de pålegges å rette opp.

Også Securitas har fått tid på seg til å kommentere den foreløpige kontrollrapporten etter kontrollen som Datatilsynet gjennomførte 23. mai.

– Vi har avdekket at selskapet ikke har inngått databehandleravtaler med sine oppdragsgivere. Det betyr at oppdragsgiverne mangler tilfredsstillende kontroll med selskapets gjennomføring av oppdragene, herunder hvordan personopplysningene behandles. Dette medfører en klar og uakseptabel risiko for at opplysningene behandles i strid med personopplysningslovens bestemmelser, som både Securitas og dennes oppdragsgiver er ansvarlig for, skriver Datatilsynet.

Det går blant annet frem av kontrollrapporten at personopplysninger i ”Kontrollsys” aldri blir slettet. Der ligger alle rapporter som er produsert i Securitas-apparatet siden det ble tatt i bruk i 2011. Det viste seg også at Datatilsynet fant utpasseringsrapporter fra så langt tilbake som i 2006. Disse kan inneholde navn, arbeidsgiver, beskrivelse av hva de har tatt med seg ut av butikken og om rapporten innebærer avvik fra butikkens rutiner.

– Vi kan ikke se at Securitas kan påberope seg oppdragsgivers behandlingsgrunnlag når oppdraget er avsluttet, for oppdragsgivere som ikke lenger har et kundeforhold til Securitas eller som i flere tilfeller har opphørt å eksistere. Det må anses som åpenbart at disse opplysningene senest skulle ha vært slettet eller tilbakeført til oppdragsgiver senest i forbindelse med databehandleroppdraget ble avsluttet.

- Securitas mottok den foreløpige rapporten i går, og tar den på alvor. Vi har ikke tatt endelig stilling til rapportens konklusjoner, og går nå gjennom dens faktiske og rettslige sider. I den grad den endelige rapporten fastslår avvik, vil vi selvfølgelig rette opp disse, sier markeds- og kommunikasjonsdirektør Jarle Ramskjær.

Juridisk direktør Cecilie Rønnevik i Datatilsynet oppsummerer de to foreløpige rapportene slik:

– De viser at det er manglende forståelse for hvem som har ansvar for hva, altså at de som kjøper tjenester ikke er klar over hvilket ansvar de har for å styre tjenesteleverandøren. Dette handler om såkalte behandleravtaler der oppdragsgiveren skal ha en skriftlig avtale om hva og hvordan leverandøren, i disse tilfellene Skan-kontroll og Securitas, håndterer ulike personopplysninger. Vi har derfor også sendt brev til mange av kundene deres for å opplyse om dette, sier Rønnevik.

Når det gjelder tilsynet som var hos Skan-kontroll, legger hun til at det der ble avdekket gjenbruk av personopplysninger.

– Vi ser svært alvorlig på at personopplysninger brukes ulovlig videre i kommersiell hensikt, og i mange tilfeller uten at kundene, eller de personene som opplysningene gjelder er klar over det, sier hun.

Les om overvåkingsbildene som utløste drapsalarm, men som ikke var lovlig registrert.

Les om sikkerhetsselskapet som fikk 100.000 kroner i bot

Datatilsynet positive til sporing av demente, skrev Aktuell Sikkerhet i januar, og knyttet det opp mot Skan-kontrolls tidligere introduksjon av den bærbare alarmsenderen med GPS for personbruk, "Besafe”. Dette er en kommersialisering av voldsalarmen som Securinet leverer til politiet.