GDPR: Autentifikation af kamera-overvågede borgere volder problemer

2 kommentarer.  Hop til debatten
GDPR: Autentifikation af kamera-overvågede borgere volder problemer
Illustration: DSB.
Virksomheder ser forskelligt på at identificere og udlevere overvågningsbilleder. En enkelt virksomhed har helt afvist at leve op til kravet.
Reportage4. maj 2018 kl. 10:30
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

»Mød personligt op på vores hovedkontor«, »send et foto af dit kørekort på en ukrypteret mail«, og »er det dig med den brune skuldertaske?« lød nogle af forsøgene på en sikker identifikation af Ingeniørens journalist på overvågningsbilleder. Samtidig nægter en enkelt kamera-ejer, at lovkravet gælder deres kameraer.

Sådan gjorde vi

Ingeniørens journalist har henvendt sig til en række virksomheder, der kameraovervåger deres kunder. Henvendelserne er sket som privatperson for at få indblik i, hvordan en anmodning om indsigt i video-optagelser behandles.

I henvendelserne har vi angivet præcist klokke­slæt samt en beskrivelse af Ingeniørens journalist. Nogle virksomheder har senere bedt om uddybende oplysninger, legitimation og foto.

Ingeniøren har fået udleveret optagelser fra en Netto­-butik, en Irma-butik samt en perron og et S-tog, hvor kameraerne tilhører DSB. Derudover har shoppingcentret Fisketorvet afvist at udlevere optagelser.

Endelig har Ingeniøren søgt indsigt hos politiet, der ejer kameraer på Strøget i København, og hos Sund & Bælt, der overvåger Storebæltsbroen. Politiet gør i et svar opmærksom på, at deres kameraer ikke er omfattet af retten til indsigt, mens Sund & Bælt kun fotograferer nummerplader og ikke personer.

Det er resultatet af en stikprøve, Ingeniøren har foretaget for at finde ud af, om danske virksomheder lever op til de regler om indsigt i videoovervågning, som en afgørelse fra Datatilsynet for et år siden skar ud i pap: Der er meget få undtagelser fra kravet om, at billeder fra tv-overvågning på forlangende skal udleveres til personer, der optræder på dem.

Det bringer os til første virksomhed i stikprøven: storcentret Fisketorvet i København, hvor undertegnede en morgen i oktober bevægede sig ind for at købe et rundstykke.

Artiklen fortsætter efter annoncen

Da Fisketorvet efterfølgende blev bedt om at udlevere billeder af besøget, blev det afslået med henvisning til, at centret ikke var forpligtet til at udlevere oplysningerne. Det til trods for, at Datatilsynets afgørelse fra samme forår fremgik af e-mailen.

Fisketorvets centerchef, Casper Didriksen von der Ahé, ønsker ikke at stille op til interview om sagen. Ingeniøren ville blandt andet gerne vide, hvad der får centret til at fortolke loven på den måde, og om afslaget skyldes, at denne type anmodninger er for ressourcekrævende for Fisketorvet. I en e-mail til Ingeniøren skriver han:

»Som reglerne er, indtil de nye træder i kraft, forholder det sig efter vores opfattelse sådan, at der ikke ifølge persondatalovens ordlyd er pligt til at udlevere personoplysninger. Eksempelvis billeder fra en neutral videoovervågning.«

Remote video URL

Artiklen fortsætter efter annoncen

NETTO, ISLEV STATION, 12.3.2018 kl. 16.43: Et Netto-besøg på omkring fem minutter giver anledning til at blive filmet af syv forskellige kameraer i butikken.

»Der er alene pligt til at oplyse den registrerede, hvorvidt der behandles oplysninger om vedkommende, og i givet fald, hvilke oplysninger der behandles, behandlingens formål, kategorierne af modtagere af oplysningerne, og hvorfra oplysningerne stammer,« fortsætter han.

Intet krav om begrundelse

Det er imidlertid ikke korrekt, vurderer Catrine Søndergaard Byrne, partner og advokat i Labora Legal med speciale i blandt andet persondatalovgivningen:

»Som individ kan man sagtens rette henvendelse, uden at man skal have en særlig god grund. Der er generelt meget få undtagelser fra reglerne. Indsigtsretten er et af de kontrolværktøjer, personen har over for behandling af egne personoplysninger, og dem behøver man ingen årsag til at bruge,« forklarer hun.

Det samme er beskeden fra Datatilsynet, der er tilsynsmyndighed på området:

»Hvis man kan identificere en person på billederne, er det i alle tilfælde personoplysninger, som i udgangspunktet skal udleveres, hvis den registrerede beder om det. Der skal rigtig meget til, for at ingen kan genkende en person på billederne, og hvis det er muligt at identificere personer på optagelsen, er der meget snævre muligheder for undtagelse,« påpeger chefkonsulent i tilsynet Mia Staal.

Ingeniøren har nu sendt Fisketorvets besvarelse til Datatilsynet for at få belyse, hvordan den type sag behandles i tilsynet.

Remote video URL

IRMA, ISLEV STATION, 12.3.2018 kl. 16.36: Ingeniørens journalist køber kaffe i Irma på vej hjem fra arbejde. Den korte indkøbstur giver anledning til et månedlangt arbejde for Coop og et eksternt firma. Resultatet er syv video-filer på en krypteret USB-stick.

I dag er det muligt at straffe overtrædelser af persondataloven med bøder, der i praksis ikke har oversteget 25.000 kr., men muligheden bliver sjældent brugt. Når den nye europæiske persondataforordning, GDPR, træder i kraft i slutningen af denne måned, er der dog større straffe i vente.

»At bryde de registreredes rettigheder er en af de overtrædelser, der kan straffes med bøder på op til 4 pct. af virksomhedens globale omsætning,« fortæller Mia Staal.

Det seneste offentligt tilgængelige regnskab fra centrets ejer viser en nettoomsætning på 239,6 mio. kr., hvilket svarer til et bødemaksimum på 9,6 mio. kr., hvis Datatilsynet efter 25. maj vurderer, at centret har krænket rettighederne for en person, der søger om indsigt.

Hvor store bøderne bliver i praksis for forskellige forseelser er endnu svært at gisne om, oplyser tilsynet. De beror på en konkret vurdering af sagens alvor og omfang. Derudover påvirkes bødeniveauet i Danmark af niveauet i de øvrige EU-lande.

Fisketorvet står da også alene med sin fortolkning af reglerne. Både Coop, Dansk Supermarked og DSB har valgt at give indsigt i video­erne, da de alle påpeger, at det er et lovkrav.

Tekniske problemer

Dermed dog ikke sagt, at de tre virksomheder har besvaret Ingeniørens henvendelser ens. Hos DSB blev billederne identificeret og sendt ud af huset til sløring hos et eksternt videoproduktionsselskab.

Sløringen er et lovkrav, idet billeder af folk betragtes som persondata, der derfor ikke må gives videre til andre. Men det relativt få antal henvendelser betyder, at virksomhederne typisk ikke selv har kompetencerne til at foretage sløringen.

I DSB’s tilfælde afslører en aktindsigt i sagsbehandlingen, at udleveringen næsten måtte opgives på grund af tekniske problemer.

»Jeg har tumlet med det et par timer og må give fortabt,« hedder det blandt andet i en e-mail fra videoproduktionsselskabet til DSB.

Senere lykkedes det dog at sløre videoen, så den kunne udleveres. Det understreger, at video-udlevering er en ny og tidskrævende opgave for virksomhederne, som endnu ikke har en strømlinet måde at håndtere henvendelserne på. Hos DSB var Ingeniørens henvendelse den første, virksomheden nogensinde havde fået, som ikke stammede fra politiet, oplyser selskabet.

Coop behandlede sagen nogenlunde på samme måde som DSB, men her var proceduren planlagt som en del af koncernens forberedelser til GDPR, oplyser Mette Willemoe Wang, direktør for blandt andet jura i Coop.

Remote video URL

DYBBØLSBRO STATION, 2.6.2017 kl. 16.52: En togtur hjem fra arbejde fanges på kamera både på stationen og i toget. En rapport anslog i 2015, at der allerede dengang var op til 17.500 overvågningskameraer i offentlig transport i Danmark.

»Selvom reglerne er nogenlunde de samme, når GDPR træder i kraft, har vi måttet forberede os på blandt andet denne type anmodninger. Dels er der skærpede bøder, og dels er der mulighed for, at flere vil søge,« siger hun.

Coop har derfor i dag en procedure for behandling af de – altså foreløbig ret få – indsigtsanmodninger, de modtager. Hun oplyser ikke, hvor mange sager, der er tale om, men at det er »under en håndfuld i år.«

Identifikation volder problemer

Mest af alt er det imidlertid autentifikationen – altså sikringen af, at du er den person, du ønsker overvågningsbilleder af – der volder problemer. DSB krævede eksempelvis et foto af kørekort samt et vellignende billede i en e-mail – en procedure, Datatilsynet generelt fraråder i sin guide til sikker brug af e-mail, da e-mails som udgangspunkt ikke er krypteret.

Coop udleverede data på en krypteret USB-stick, men kun personligt, for at selskabets jurist ved selvsyn kunne matche Ingeniørens journalist med personen på billederne fra en Irma-butik.

»Det skyldes, at det ligger os meget på sinde, at du er sikret, at vi ikke afleverer dine persondata til andre. Vi har ikke oplevet, at det har givet problemer, fordi vores sager indtil videre alle har været fra københavnsområdet,« siger Mette Willemoe Wang fra Coop.

En mindre striks, men også mindre omstændelig tilgang finderman hos konkurrenten Dansk Supermarked, hvor Ingeniøren havde bedt om en video fra en Netto-butik. Her tilbød koncernen at bringe en USB-stick ud personligt eller at sende det anbefalet. Autentifikationen blev klaret med kørekort og foto i en ukrypteret mail i kombination med et par spørgsmål i en telefonsamtale.

»Er det dig med den brune skuldertaske?,« spurgte medarbejderen blandt andet.

Ingeniøren ville gerne have hørt, hvorfor Dansk Supermarked mener, at det er sikkerhed nok for, at der er tale om den rette person. Koncernen undersøger sagen, men er ikke vendt tilbage inden Ingeniørens deadline.

I Datatilsynet understreger Mia Staal vigtigheden af autentificering:

»Dels skal man give virksomheden oplysninger nok, til at de kan finde en, og dels er det virksom­hedens ansvar at sikre, at de udleverer oplysningerne til den rette,« siger hun.


RETTET den 8/5 kl. 14:20: Tidligere fremgik det ikke af artiklen, at Dansk Supermarked ud over telefonsamtalen havde bedt om kørekort samt foto. Dansk Supermarked har gjort opmærksom på fejlen, som nu er rettet.

2 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
2
27. november 2018 kl. 04:59

Næ, det virker som overvågning der ikker er helt gennemtænkt.

1
26. november 2018 kl. 09:47

Det her virker som lovgivning der ikke er helt gennemtænkt