Høringssvar vedr. udkast til forslag til lov om tv-overvågning og lov om retshåndhævende myndigheders behandling af personoplysninger (Mulighed for deling mellem erhvervsdrivende af billeder fra tv-overvågning af formodede gerningspersoner mv.)
Lovforslaget viderefører persondatalovens kapitel 6 a som nye bestemmelser i TV-overvågningsloven som konsekvensændring af databeskyttelsesforordningen og databeskyttelsesloven, samt indfører en ny hjemmel til at erhvervsdrivende kan dele billeder fra TV-overvågning af formodede gerningspersoner. Bemærkningerne fra IT-Politisk Forening vedrører primært sidstnævnte aspekt af lovforslaget, men vi har også enkelte bemærkninger til konsekvenserne af at persondataloven fra 25. maj 2018 erstattes af databeskyttelsesforordningen.
Deling af billeder fra TV-overvågning
IT-Politisk Forening finder det meget betænkeligt, at erhvervsdrivende alene ud fra egne vurderinger kan videregive billeder af personer, der er mistænkt for butikstyveri eller røveri, til andre erhvervsdrivende. Ud fra lovforslagets bemærkninger skal den erhvervsdrivende foretage en vurdering af, om der foreligger en tilstrækkelig velbegrundet mistanke mod den formodede gerningsperson, og om der er konkrete grunde til at tro, at den eller de formodede gerningspersoner vil begå lignende kriminalitet mod andre erhvervsdrivende. Den erhvervsdrivende skal sågar vurdere i hvilket geografisk område den eller de formodede gerningspersoner vil begå lignende kriminalitet, da denne vurdering har betydning for hvem billederne fra TV-overvågningen eventuelt kan videregives til.
De vurderinger, som den erhvervsdrivende skal foretage for at videregive billeder fra TV-overvågning, er i høj grad politifaglige vurderinger. Når politiet foretager sådanne vurderinger, og eksempelvis træffer afgørelse om at en person skal efterlyses offentligt, sker det under iagttagelse af retsgarantier i bl.a. retsplejeloven og med de krav om saglighed og proportionalitet, som en offentlig myndighed er underlagt. Disse retsgarantier og krav om saglighed og proportionalitet vil ikke nødvendigvis være til stede, når man overlader opgaverne til private virksomheder, og dermed reelt privatiserer dele af politiets arbejde.
Hvis der skal laves en ordning, hvor erhvervsdrivende under passende retsgarantier får adgang til billeder af formodede gerningspersoner fra butikstyverier og røverier i et geografisk område, vil IT-Politisk Forening anbefale, at politiet administrerer en sådan ordning. Erhvervsdrivende vil i forbindelse med anmeldelse af butikstyverier og røverier videregive billeder fra TV-overvågning til politiet via hjemlen i databeskyttelseslovens § 8, og ud fra disse billeder og øvrige forhold ved anmeldelsen, kan politiet vurdere hvorvidt en videregivelse af billederne til andre erhvervsdrivende i et bestemt område er hensigtsmæssigt for efterforskningen og forebyggelse af yderligere kriminalitet, og ikke mindst om denne videregivelse er proportional under behørig hensyntagen til og med passende garantier for den registreredes (den mistænkte persons) rettigheder og frihedsrettigheder.
I modsætning til den enkelte erhvervsdrivende har politiet adgang til billeder fra alle anmeldte butikstyverier og røverier i det relevante geografiske områder, og politiet kan derfor, i modsætning til den enkelte erhvervsdrivende, foretage en reel vurdering af, om der er tale om gerningspersoner der står bag flere butikstyverier eller røverier. Derudover sikres det, at der ikke sker en privatisering af politiets arbejde, hvilket IT-Politisk Forening finder vigtigt af principielle årsager, og at privates behandling af personoplysninger om mulige strafbare forhold begrænses til det som er strengt nødvendigt for anmeldelse til politiet i første omgang og eventuelt forebyggelse af yderligere butikstyverier og røverier, hvis politiet træffer afgørelse om at videregive billeder fra TV-overvågning for at advare erhvervsdrivende i et bestemt geografisk område mod bestemte formodede gerningspersoner.
Behandling af personoplysninger i forbindelse med videregivelse
Det er ud fra lovforslagets bemærkninger ikke fuldstændigt klart hvem der er dataansvarlig i hvilke situationer, når billeder fra TV-overvågning deles med andre erhvervsdrivende.
Den enkelte erhvervsdrivende er dataansvarlig for de personoplysninger, som behandles i forbindelse med TV-overvågning af den erhvervsdrivendes butik eller butikker. Videregivelse af billederne skal ske i et ”lukket system inden for en erhvervsorganisation, erhvervssammenslutning eller lignende”, og den systemansvarlige skal indhente en tilladelse fra Datatilsynet.
Ud fra de specifikke bemærkninger til den foreslåede § 2 c, stk. 2, nr. 4 (side 29) fremgår det, at organisationen m.v. skal være ansvarlig for systemet, men at dette ikke medfører, at organisationen bliver dataansvarlig i databeskyttelsesforordningens forstand. I stedet omtales organisationen m.v. som databehandler, der foretager videregivelsen på vegne af den erhvervsdrivende der udfører TV-overvågning.
Efter IT-Politisk Forenings opfattelse kommer erhvervsorganisationen til at spille en rolle, som mere minder om en dataansvarlig end en databehandler. Opgaven med at vurdere om betingelserne for videregivelse er til stede udføres for den konkrete erhvervsdrivende, som har været udsat for butikstyveri eller røveri. Men når billederne videregives til andre erhvervsdrivende i et bestemt område, udfører erhvervsorganisationen en opgave, der reelt er som selvstændig dataansvarlig.
Når billederne videregives til andre erhvervsdrivende via systemet hos erhvervsorganisationen, antager IT-Politisk Forening, at disse erhvervsdrivende bliver selvstændigt dataansvarlige for den videre behandling. Af de specielle bemærkninger til den foreslåede § 2 c, stk. 2, nr. 4 (side 30) fremgår det, at ”[n]år billederne i systemet er tilgået af en autoriseret hos de erhvervsdrivende, vil de efter de almindelige regler i databeskyttelsesforordningen og den foreslåede databeskyttelseslov kunne benyttes i relevant og nødvendigt omfang hos den erhvervsdrivende i kriminalitetsforbyggende øjemed.”
Der er imidlertid tale om en behandling af personoplysninger vedrørende mulige strafbare forhold, der ifølge artikel 10 i databeskyttelsesforordningen skal have en hjemmel i medlemsstaternes nationale ret, som giver passende garantier for registreredes rettigheder og frihedsrettigheder. Efter IT-Politisk Forenings opfattelse er der derfor behov for langt mere specifikke betingelser for hvordan den erhvervsdrivende må behandle de billeder af formodede gerningspersoner, som den erhvervsdrivende har modtaget via erhvervsorganisationen.
Lovforslagets bemærkninger (side 30) omtaler alene, at det kan være nødvendigt at gøre billederne tilgængelig for ansatte med kundekontakt. I mange butikker er der et stort antal løst tilknyttede medarbejdere (med korte ansættelser) for at sikre bemanding i de ofte lange åbningstider, som specielt dagligvarebutikker har i dag. En løst formuleret hjemmel til at give alle ansatte med kundekontakt adgang til billeder, som er modtaget fra erhvervsorganisationen, kan medføre, at et meget stort antal personer får adgang til disse billeder. Det vil øge risikoen for at der sker en yderligere spredning for eksempel på sociale medier (i strid med databeskyttelsesforordningen og lov om TV-overvågning).
Det er generelt meget uklart hvordan den registreredes rettigheder og frihedsrettigheder skal sikres, og dermed er det tvivlsomt om kravene i databeskyttelsesforordningens artikel 10 er opfyldt.
For eksempel er det ikke klart hvordan billeder af en formodet gerningsperson skal slettes, hvis det efterfølgende viser sig, at den pågældende person ikke har noget med den anmeldte straffelovovertrædelse at gøre. Det er ikke nødvendigvis tilstrækkeligt at slette billederne i systemet hos erhvervsorganisationen, da billederne kan være videregivet til andre erhvervsdrivende, der som selvstændige dataansvarlige har foretaget en yderligere behandling, for eksempel at gøre billederne tilgængelige for et stort antal ansatte med kundekontakt.
Efter IT-Politisk Forenings opfattelse er der også behov for langt mere specifikke kriterier for hvornår billeder fra TV-overvågning i første omgang må videregives til andre erhvervsdrivende. Eftersom videregivelse af personoplysninger om mulige strafbare forhold til private er en meget indgribende behandling af personoplysninger, er det vigtigt at sikre, at der ikke på nogen måde kan være tvivl om sammenhængen mellem den person, som er på billederne, og den pågældende overtrædelse af straffeloven (butikstyveri eller røveri).
En sådan tvivl kan eksempelvis let opstå, hvis billederne fra TV-overvågning ikke direkte viser den pågældende lovovertrædelse eksempelvis butikstyveri, og at personen er udfundet ved at kombinere et måske relativt upræcist signalement (eksempelvis ”en person med sydlandsk udseende”) med en efterfølgende gennemgang af billeder fra TV-overvågning for at se hvem der har været i butikken. Det uklart om sådanne omstændigheder vil opfylde kravene i lovforslaget om, at der på billederne kan identificeres en eller flere person, som formodes at have begået butikstyveri eller røveri.
De upræcise kriterier for videregivelse, herunder formuleringen ”formodes”, fører til en nærliggende risiko for, at almindelige borgere gøres til genstand for en uberettiget mistanke, og at der uberettiget behandles personoplysninger om mulige strafbare forhold hos et måske stort antal andre private erhvervsdrivende vedrørende disse personer.
Det er generelt nødvendigt med langt mere præcise betingelser for videregivelse, som ikke i samme grad overlader betydelige skøn til private erhvervsdrivende, som først og fremmest må formodes at tænke på egne økonomiske interesser frem for borgernes rettigheder og frihedsrettigheder. Disse mere præcise betingelser for videregivelse kan eventuelt fastsættes i en bekendtgørelse med en tilhørende vejledning.
Formuleringen i den foreslåede § 4 c, stk. 2, nr. 3 ”vil begå ligeartet kriminalitet som nævnt i nr. 1 mod den kreds af erhvervsdrivende, som billedet videregives til” indikerer, at det lukkede system efter § 4 c, stk. 2, nr. 4, alene bør bestå af en sammenslutning at erhvervsdrivende inden for den samme branche. Billeder af formodede gerningspersoner bør ikke udbredes til en større personkreds end strengt nødvendigt. Desto større en sammenslutning overvågningsbillederne udbredes til, des større og des mere unødvendig risiko vil videregivelsen indebære for de registrerede. Også på dette punkt er der behov for mere præcise bestemmelser i lovforslaget, således at der overlades færre skøn til private erhvervsdrivende og deres erhvervsorganisationer.
TV-overvågning generelt i forhold til databeskyttelsesforordningen
De resterende bemærkninger i høringssvaret vedrører TV-overvågning generelt og ikke den specifikke hjemmel til videregivelse til andre erhvervsdrivende i den foreslåede § 4 c, stk. 2.
Ifølge lovforslagets bemærkninger er privates adgang til at foretage TV-overvågning som hidtil reguleres af TV-overvågningslovens §§ 1 og 2 samt straffeloven. Hertil vil IT-Politisk Forening tilføje, at selve TV-overvågningen indebærer en behandling af personoplysninger, som er omfattet af databeskyttelsesforordningen.
Præambelbetragtning nr. 91 til forordningens artikel 35 om konsekvensanalyser nævner eksplicit TV-overvågning (”navnlig ved brug af optoelektronisk udstyr”) som en behandling, der kan indebære høj risiko for fysiske personers rettigheder og frihedsrettigheder. Det fremgår direkte af artikel 35, stk. 2, litra c) som nævner ”systematisk overvågning af et offentligt tilgængeligt område”. Udtalelsen fra Artikel 29-arbejdsgruppen af 4. oktober 2017 vedrørende konsekvensanalyser (WP 248) omtaler også TV-overvågning som en behandlingsaktivitet, hvor der typisk skal foretages konsekvensanalyser. Rettigheder og frihedsrettigheder inkluderer i den forbindelse borgernes ret til fri bevægelighed, som i praksis kan blive begrænset, hvis borgerne undlader at besøge bestemte områder (herunder boligområder), fordi der i det pågældende område er en meget intensiv TV-overvågning.
Lovforslaget synes at antage, at det retlige grundlag for behandlingen af personoplysninger i forbindelse med TV-overvågning altid er enten litra c) eller e) i artikel 6, stk. 1 i databeskyttelsesforordningen. Kun disse behandlingsgrundlag giver mulighed for i national ret at indføre specifikke bestemmelser for anvendelsen af forordningen. Derudover skal behandling af personoplysningerne om mulige strafbare forhold selvsagt have en hjemmel i medlemsstaternes nationale ret, jf. databeskyttelsesforordningens artikel 10.
I forhold til den generelle TV-overvågning hos private dataansvarlige vil IT-Politisk Forening stille sig tvivlende over for, om artikel 6, stk. 1, litra c) eller e) kan være det retlige grundlag for behandling i alle situationer. Bestemte virksomheder kan være pålagt at udføre TV-overvågning af den ene eller den anden grund (eksempelvis TV-overvågning i taxaer), hvilket må udgøre en retlig forpligtelse efter litra c). Men for de øvrige private erhvervsdrivende, som ikke er pålagt en sådan retlig forpligtelse, synes det ikke at være rimeligt at forudsætte, at TV-overvågningen er ”udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt”, altså artikel 6, stk. 1, litra e).
Det synes generelt mere rimeligt at antage, at legitim interesse, altså artikel 6, stk. 1, litra f), udgør det retlige grundlag for private erhvervsdrivendes behandling af personoplysninger i forbindelse med TV-overvågning, specielt hvis den erhvervsdrivende vil beskytte sig mod økonomiske tab fra butikstyverier eller røverier. Hvis formålet med TV-overvågning er at beskytte medarbejderne (eksempelvis målrettet TV-overvågning ved kassen i en butik i et område, der er særligt udsat for røverier) kan artikel 6, stk. 1, litra d) også være relevant som behandlingsgrundlag.
Oplysningspligt efter databeskyttelsesforordningens artikel 14
Som det anføres i lovforslagets bemærkninger, vil det generelt ikke være muligt at opfylde oplysningspligten direkte over for den registrerede (individuel underretning). I en sådan situation kræver databeskyttelsesforordningens artikel 14, stk. 5, litra b) imidlertid at ”den dataansvarlige [træffer] passende foranstaltninger for at beskytte den registreredes rettigheder og frihedsrettigheder samt legitime interesser, herunder ved at gøre oplysningerne offentligt tilgængelige.”
Hos de fleste erhvervsdrivende vil det være muligt, at gøre de oplysninger, som fremgår af artikel 14, offentligt tilgængeligt ved tydelig skiltning ved indgangen til den erhvervsdrivendes forretningsområde, eksempelvis en butik. Efter omstændighederne kan denne skiltning eventuelt henvise til en hjemmeside, hvor alle relevante oplysninger efter artikel 14 gives. Denne henvisning til en hjemmeside på skiltet kan suppleres med en QR-kode, så borgere med smartphone ved en simpel scanning umiddelbart kan få adgang til oplysningerne allerede ved indgangen til butikken.
Den nuværende skiltning for TV-overvågning efter kravene i TV-overvågningsloven omfatter typisk alene et piktogram, der viser at der foretages TV-overvågning. Det er ikke tilstrækkeligt til at opfylde kravene i databeskyttelsesforordningens artikel 14. Det er eksempelvis vigtigt, at den registrerede får præcise oplysninger om den dataansvarliges identitet, således at den registrerede kan udnytte sin indsigtsret efter forordningens artikel 15 eller gøre indsigelse mod behandlingen.
Oplysningspligten efter artikel 14 omfatter desuden videregivelse til andre dataansvarlige, jf. artikel 14, stk. 1, litra e). Hvis den erhvervsdrivende indgår i en ordning med deling af billeder fra TV-overvågning via en erhvervsorganisation bør dette oplyses ved tydelig skiltning.