Eksemplene er valgt fordi de representerer mulige bruksområder for Doorkeepers løsning. Samtidig reiser de også problemstillinger som er overførbare for andre virksomheter som skal utvikle lignende løsninger.
Eksemplene vi har valgt å se nærmere på er:
- Kameraovervåking av fasade på et næringsbygg med formål å unngå tyveri
- Kameraovervåking i gatebildet med formål å sikre virksomhetens omdømme
- Bruk av kamera for å detektere ild og røyk på ytterveggene av en stavkirke
Det første eksempelet gjelder en situasjon hvor det i mange tilfeller vil finnes rettslig grunnlag for å sette opp kameraovervåking i dag. I eksempelet drøfter vi derfor hvilken betydning Doorkeeper sin teknologi har for vurderingen av rettslig grunnlag i disse situasjonene.
Det andre eksempelet gjelder et tilfelle hvor det i utgangspunktet ikke er lovlig for private aktører å sette opp kameraovervåking. I eksempelet drøfter vi om Doorkeeper sin teknologi kan gjøre det mulig å bruke kameraovervåking i større utstrekning enn i dag.
I det tredje eksempelet beskriver vi et tilfelle hvor bruk av kamera uten sladding og med løpende opptak ikke vil oppfylle kravet til nødvendighet i vurderingen av det rettslige grunnlag. Deretter drøfter vi om bruk av en type kameraovervåkingsløsning – slik som den Doorkeeper tilbyr – likevel kan oppfylle dette kravet.
Felles for alle eksemplene er at opptak kun lagres midlertidig i et kort intervall, men mindre en forhåndsdefinert hendelse blir detektert.
I det følgende skal vi vurdere Doorkeepers teknologi opp mot «berettiget interesse» som et rettslig grunnlag for overvåkingen og hvilken betydning teknologien har for vurderingen av kravet til nødvendighet når det kommer til rettslig grunnlag (jf. artikkel 6 i personvernforordningen). Felles for eksemplene er at det vurderes å sette opp overvåkningskamera på steder der allmennheten ferdes. Flere momenter i vurderingen vil være felles for disse eksemplene.
En overordnet problemstilling er hvilken betydning Doorkeeper sin teknologi har for utfallet av vurderingen av rettslig grunnlag og om dette skiller seg fra kameraovervåking uten tilsvarende sladdefunksjon og med løpende opptak.
Eksemplene gir ikke en uttømmende behandling av alle momenter som er relevante å ta i betraktning i vurderingen av rettslig grunnlag, men fokuserer på de elementene som vi mener er særlig relevante å vurdere sett hen til Doorkeeper sin teknologi.
For generell informasjon om lovlighet ved bruk av kameraovervåking, se Datatilsynets veileder her.
Eksempel 1: Overvåking av fasade på et næringsbygg med formål å unngå tyveri
Det første brukseksemplet gjelder kameraovervåkning av fasaden på et forretningslokale i en gågate. I dette eksemplet er den behandlingsansvarlige en privat virksomhet som eier lokalet.
Virksomhetens formål med overvåkningen er å forhindre og å varsle om innbrudd. Løsningen skal gjøre dette ved å registrere og sende et varsel hvis noen knuser butikkvinduet og går inn i lokalet. Når tjenesteleverandøren installerer kameraet, vinkler de det mot fasaden. Løsningen er konfigurert slik at menneskeformer sladdes i videostrømmen.
I en normalsituasjon gjøres det ikke opptak i kameraet (med unntak av en tidsbegrenset lagring i hurtigminnet – «cache») eller på plattformen. Opptak vil først aktiveres dersom løsningen registrerer at butikkvinduet er knust.
Vurdering
I mange tilfeller vil bruk av kameraovervåking være tillatt også der det gjøres kontinuerlig opptak og hvor mennesker ikke sladdes fra videostrømmen. Derfor er spørsmålet i dette eksempelet hvorvidt Doorkeepers løsning påvirker vurderingen av det rettslige grunnlaget, og om valget mellom sladding i kamera eller på plattform har betydning for denne vurderingen.
Forebygging av kriminalitet rettet mot virksomheten kan være en berettiget interesse, og forebygging av og varsling om innbrudd og tyveri kan være legitime formål som den behandlingsansvarlige kan forfølge. Denne vurderingen vil likevel være betinget av at faren for slike hendelser er reell – hvis ikke er heller ikke interessen i å beskytte seg mot slike hendelser reell.
Kameraovervåkningen må begrenses til det som er nødvendig i tid og rom. Dersom risikoen for innbrudd kun er reell etter stengetid, kan det ikke overvåkes innenfor virksomhetens åpningstid. Som hovedregel er det kun offentlige myndigheter som kan overvåke et offentlig sted, men det kan likevel være tillatt for private aktører å fange opp en uvesentlig del av offentlig gate dersom det er nødvendig, eksempelvis rett nedenfor butikkens fasade.
I forkant av å installere et overvåkingskamera må den behandlingsansvarlige vurdere andre alternative tiltak. Alternative tiltak som kan være egnet til å oppnå formålet er fysisk sikring, vakthold og andre typer alarmsystemer som ikke innebærer behandling av personopplysninger. Dersom alternative tiltak ikke er egnet, må den behandlingsansvarlige også vurdere hvilken type kamerateknologi som er nødvendig for å oppnå formålet. I dette eksempelet vil det bare være nødvendig å fange opp mennesker når en deteksjon av fasadebrudd har gått.
Siden kameraet fanger opp og varsler om fasadebrudd, kan det være egnet til å oppnå formålet. Dette tilsier at bruken av Doorkeepers løsning kan oppfylle kravet til nødvendighet. Løsningen gjør det også lettere å kun behandle personopplysninger i det omfanget som er nødvendig for å oppnå formålet, siden personer sladdes umiddelbart med mindre de fanges opp når alarm har blitt utløst.
Når kameraet som er rettet mot fasaden befinner seg utenfor butikken, ved en gågate, vil kameraet potensielt fange opp svært mange personer, inkludert forbipasserende. Dette kan til en viss grad begrenses gjennom vinkling og/eller sladding av områder som ikke er nødvendige å overvåke. Likevel, omfanget av registrerte er i alle tilfeller uforutsigbart og kan endre karakter avhengig av tid på døgnet, ukedag, og hvorvidt det er andre virksomheter og arrangementer i nærheten.
I en gågate vil de registrerte ha en viss forventning om å fanges opp av overvåkningskameraer inne i forretningene i åpningstiden, men også til en viss grad i umiddelbar nærhet utenfor på andre tider av døgnet. Dette kan tale for at bruk av overvåkingskamera som er montert utenfor og rettet mot butikken, i en gågate, som utgangspunkt ikke oppleves som særlig inngripende.
Doorkeepers løsning vil også rent faktisk være mindre inngripende for personene som blir fanget opp av kameraet, sammenlignet med kamera hvor det kontinuerlig lagres opptak uten sladding av mennesker. Behandlingen av personopplysninger for de aller fleste som fanges opp av kameraet vil være svært begrenset. Likevel, i dette eksempelet vil Doorkeepers dataminimerende løsning kanskje ikke ha betydelig innvirkning på de registrertes følelse av å bli overvåket og oppfatning av hvor inngripende overvåkningen er. Overvåkning i gågate gjør det mindre sannsynlig at forbipasserende og kunder blir oppmerksomme på typen kamerateknologi selv om det er skiltet med informasjon om hvordan løsningen fungerer. Det vil derfor ikke nødvendigvis være samsvar mellom de registrertes oppfatning og den reelle behandlingen av personopplysninger.
Oppsummering
I dette eksempelet vil det være hensiktsmessig å konfigurere overvåkningskameraet slik at tiltaket i større grad ivaretar kravene til dataminimering. I kravet til nødvendighet ligger det en plikt for den behandlingsansvarlige til å velge den minst inngripende teknologien som er egnet til å oppnå formålet med overvåkningen. Når mer personvernvennlig teknologi blir tilgjengelig, endres også vurderingen av hvilken behandling av personopplysninger som er nødvendig for å oppnå formålet. Teknologien påvirker imidlertid ikke nødvendigvis de registrertes følelse av å bli overvåket, og inngripen i personvernet må derfor vurderes i likhet med andre kameraovervåkingsløsninger når det kommer til opplevelsen av å bli overvåket.
Eksempel 2: Overvåking i gatebildet med formål å verne virksomhetens omdømme
I forlengelsen av det forrige eksempelet, så ønsker virksomheten også å overvåke lenger ut i gågaten. Formålet med dette er å forbygge, oppdage og varsle om uønskede hendelser som ikke direkte retter seg mot virksomheten, men som likevel kan påvirke virksomhetens omdømme og økonomiske interesser. Dette kan omfatte aktiviteter som gjør at området virksomheten ligger i oppfattes som mer utrygt – og derfor mindre attraktivt å oppsøke for potensielle kunder.
I dette eksempelet kan formålet oppnås gjennom at kamerateknologien kan gjenkjenne objekter som våpen (for eksempel store kniver), i tillegg til den generelle forbyggende effekten av synlig kameraovervåking av området.
Vurdering
Spørsmålet er her om Doorkeepers løsning med objektgjenkjenning og sladding av menneskeformer kan gjøre at virksomheten har rettslig grunnlag til å overvåke lenger ut i gaten, for formål av en mer generell karakter.
Å trygge området i nærheten av virksomheten vil – isolert sett – kunne være en berettiget interesse dersom risikoen for uønskede hendelser er reell og forutsatt at virksomheten berøres direkte eller indirekte. Forebygging av uønskede hendelser eller kriminalitet i det offentlige rom er imidlertid en oppgave som er lagt til offentlige myndigheter, hovedsakelig politiet. Dette kan tilsi at å sørge for at orden på et offentlig sted ikke er en berettiget interesse som kan forfølges av private virksomheter, selv om de kan påvirkes negativt av kriminalitet eller andre uønskede hendelser i området.
Hovedregelen er også at bare offentlige myndigheter kan overvåke offentlige steder. Politiet har hjemmel til å bruke kameraovervåkning for politimessige formål, herunder å forebygge og stanse kriminell virksomhet. Doorkeepers løsning kan ikke påvirke vurderingen av om virksomheten har en berettiget interesse eller et berettiget formål med overvåkningen.
Vurderingen, i dette eksemplet, er at kameraovervåkning kan være nødvendig for å oppnå formålet, men at overvåkningen likevel ikke vil være tillatt så lenge formålet med den ikke er legitimt å forfølge for virksomheten.
De registrerte kan ha en forventning om at gaten overvåkes, men da av offentlige myndigheter, ikke av virksomhetene som har lokaler der. Dette kan tilsi at de registrertes rettigheter og interesser uansett vil måtte gå foran virksomhetens interesse i overvåkning.
Oppsummering
Valg av en dataminimerende teknologi vil ikke senke terskelen for hva som er lovlig kameraovervåkning i tilfeller der virksomheten ikke har en berettiget interesse med overvåkningen.
Eksempel 3: Bruk av kamera for å detektere ild og røyk på ytterveggene av en stavkirke
I det siste eksempelet vurderes bruk av kameraovervåking av ytterveggen på en stavkirke med hensikt å kunne utløse alarm ved branntilløp.
I dette eksempelet er formålet med kameraovervåkingen deteksjon av ild og røyk for å raskt kunne slukke en eventuell brann og avverge skader på bygningen. Kameraet vil fungere som en sensor som fanger opp flamme- eller røykmønster, og det vil konfigureres slik at menneskeformer sladdes i videostrømmen. Kameraløsningen kan innrettes slik at sladdingen ikke kan fjernes og uten at videostrømmen mellomlagres («cache»).
Selv om formålet i dette eksempelet ikke er å fange opp personer på videostrømmen, så vil overvåkingen likevel innebære en behandling av personopplysninger som krever et rettslig grunnlag etter personvernforordningen. Dette er fordi personer som beveger seg rundt kirken kan fanges opp av kameraet.
For dette eksempelet kan det være relevant å vurdere ulike rettslige grunnlag. Om det er en offentlig eller privat aktør som er behandlingsansvarlig vil påvirke denne vurderingen. Uavhengig av hvilket rettslig grunnlag en slik behandling er basert på, så er det et krav om at behandlingen skal være «nødvendig», jf. dataminimeringsprinsippet. I det følgende drøfter vi kravet til nødvendighet og deretter si noe om interesseavveiningen (under artikkel 6 nr. 1 bokstav f). Vi legger til grunn at det å slukke brann og avverge skader på en stavkirke er en berettiget interesse i tråd med artikkel 6 nr. 1 bokstav f.
Vurdering
I dette eksempelet er det særlig interessant å vurdere om Doorkeepers løsning kan anses «nødvendig» i et tilfelle der en kameraovervåkingsløsning uten sladding og med løpende opptak ikke vil oppfylle kravet til nødvendighet.
En løsning uten sladding og med lagring av opptak vil i de fleste tilfeller ikke oppfylle kravet til nødvendighet, fordi formålet med rimelighet vil kunne oppnås effektivt med andre og mindre inngripende midler. Som beskrevet i eksemplene ovenfor, så vil Doorkeeper sin teknologi behandle personopplysninger i mindre utstrekning enn en løsning uten de samme sladde-egenskapene og med lagring av opptak. Behandlingen vil på denne måten være mindre inngripende for de registrerte.
Et kamera som ikke har en alarmfunksjon, vil heller ikke være like godt egnet til å oppfylle formålet med behandlingen. Dersom et slikt kamera skal kunne brukes til å oppdage røyk eller ild, så forutsetter det at en eller flere personer kontinuerlig følger med på videostrømmen og klarer å fange opp en eventuell røykutvikling. Dette vil antageligvis ikke være en særlig praktisk løsning, og det vil være svært inngripende for de registrerte.
For formålet å oppdage ild eller røyk, vil en røykvarsler eller en annen sensor være et nærliggende alternativ. Et ild- og røykvarslingssystem som innebærer bruk av kameraovervåkning vil være mer inngripende for de registrerte enn bruk av røykvarsler eller lignende sensorer. Dette er fordi det behandles personopplysninger i kameraovervåkingsløsningen. Dersom Doorkeepers løsning likevel er bedre egnet til å oppnå formålet enn det mindre inngripende alternativ er, så kan kravet til nødvendighet være oppfylt. Et sentralt spørsmål er dermed om Doorkeepers løsning er bedre egnet til å oppdage ild og røyk enn et brannvarslingssystem basert på sensor.
Ifølge Doorkeeper er det vanskelig å styre ild eller røyk inn i en sensor ved brann på en yttervegg. Røykdeteksjon reagerer ofte for sent, fordi røyken først samler seg når brannen er godt i gang eller ferdig brent. Det kan ikke monteres varmedetekterende kabel på vernede bygg, og dette er heller ikke en effektiv måte å oppdage brann på. Ifølge tester Doorkeeper har fått gjennomført, så vil en type sensor med kabel bruke åtte minutter før en alarm utløses, mens for Doorkeepers kameraløsning tar det seks sekunder. Dette kan bety svært mye for å redde bygget. Datatilsynet legger til grunn Doorkeepers beskrivelse av denne funksjonen for vår vurdering.
I dette eksemplet vurderte vi det slik at Doorkeeper sin kameraløsning kan oppfylle nødvendighetskravet, da løsningen kan innebære en betraktelig mer effektiv brannvarsling enn de beskrevne alternativene med røykvarsler eller lignende sensorer. Bruk av en type kamerateknologi slik Doorkeeper beskriver, kan på denne måten oppfylle kravet til nødvendighet i en situasjon der en kameraovervåkingsløsning uten sladding og med løpende opptak trolig ikke vil gjøre det.
Når det kommer til interesseavveiningen, kan det å sikre en stavkirke mot brann vurderes som en tungtveiende interesse. Samtidig vil det kunne oppleves inngripende å bli videoovervåket i forbindelse med besøk til en kirke – hvor de registrerte kan ha lavere forventning til å bli overvåket enn for eksempel i et butikklokale. Likevel, de registrerte kan også ha en forventing om at en stavkirke beskyttes mot brann og andre skader og at dette kan inkludere kameraovervåking. Dataminimeringen i Doorkeeper sin løsning innebærer at den faktiske behandlingen av personopplysninger vil være svært begrenset og dette vil kunne gjøre det enklere å konkludere at det kan settes opp. I dette eksempelet kan dermed dataminimeringen i Doorkeeper sin løsning bidra til at interesseavveiingen slår ut i favør av kameraovervåking.
Oppsummering
Bruk av en type kamerateknologi slik Doorkeeper beskriver det, kan trolig oppfylle kravet til nødvendighet i en situasjon der det blir brukt til å oppdage brann på ytterveggen av en stavkirke. Dette forutsetter at løsningen er bedre egnet til å oppnå formålet enn det mindre inngripende løsninger er, slik som for eksempel en røykvarsler.
Dataminimeringen i Doorkeeper sin kameraovervåkingsløsning gjør at behandlingen av personopplysninger vil være svært begrenset. Interesseavveiningen kan muligens slå ut i favør av kameraovervåking i dette eksempelet.
Hvordan vil valg av utforming påvirke vurderingen av det rettslige grunnlaget?
I alle brukseksemplene vil de juridiske vurderingene kunne påvirkes av hvilken utformingen Doorkeepers løsning har. Deres løsning kan utformes på to forskjellige måter: ved at sladdingen av menneskeformer og andre identifiserende opplysninger enten skjer i kamerahuset eller på en plattform. Den behandlingsansvarlige må vurdere hvilken betydning forskjellene i de ulike løsningene har for hvor inngripende behandlingen av personopplysninger vil være for de registrerte i det konkrete tilfellet.
Selv om de to løsningene kan innrettes med samme nivå av sikkerhet, vil sårbarhetsflaten være større for løsningen med sladding på plattform, i forhold til der hvor sladdingen skjer i kamerahuset. Plattform-løsningen innebærer behandling av personopplysninger i flere ledd enn løsningen med sladding i kamerahus. Dette er fordi at ved sladding på plattform, vil opplysninger overføres fra kameraet til plattformen før de sladdes. En løsning med sladding i kamerahuset – som involverer færre ledd – vil derfor i noen tilfeller kunne vurderes som mindre inngripende enn løsningen med sladding på plattform. Dette er blant annet fordi flere har tilgang til plattformen.
Videre kan det tenkes at dersom de registrerte har kjennskap til løsningene, så vil de oppleve en løsning hvor videostrømmen sladdes i kamerahuset som mindre inngripende, i forhold til en utforming hvor videostrømmen sendes til en plattform før sladdingen bli gjort. Dette forutsetter imidlertid god informasjon til de registrerte og vil derfor trolig ha størst relevans der kameraet er satt opp på et område der den behandlingsansvarlige har en viss kontroll med at man får gitt tilstrekkelig informasjon til de som beveger seg inn på området.
Utformingen av løsningen kan derfor ha betydning for vurderingen av det rettslige grunnlaget. Risikoen for at personopplysningene kan komme til å behandles på en måte som ikke var tilsiktet, vil være et element i helhetsvurderingen når man vurderer hvilke av de to løsningene som skal brukes. Det er den behandlingsansvarlige som må vurdere i det konkrete tilfellet om forskjellen mellom utformingene tilsier at det ene alternativet må velges over den andre.
Særlige kategorier av personopplysninger
En særlig problemstilling ved bruk av kameraovervåking er at det kan være vanskelig å vite i forkant hvilke opplysninger man kommer til å behandle. I alle brukseksemplene er det en risiko for at særlige kategorier med personopplysninger blir behandlet. Som særlige kategorier regnes personopplysninger om etnisk opprinnelse, politisk oppfatning, religion, filosofisk overbevisning eller fagforeningsmedlemskap, samt behandling av genetiske opplysninger og biometriske opplysninger med det formål å entydig identifisere en fysisk person, helseopplysninger eller opplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering (se forordningen artikkel 9).
Før en behandlingsansvarlig setter opp et videokamera, er det viktig å vurdere om den aktuelle behandlingen kan innebære behandling av denne type personopplysninger. Dette er særlig aktuelt for eksempelet hvor det settes opp kamera utenfor en stavkirke der det avholdes gudstjenester. I et slik eksempel vil det være relevant å ta stilling til om det behandles opplysninger om de registrertes tilhørighet til en religion. I tråd med dataminimeringsprinsippet bør den behandlingsansvarlige utforske hvordan kameraet kan vinkles for å – i størst mulig grad – unngå å behandle personopplysninger.
Behandling av særlige kategorier opplysninger er i utgangspunktet forbudt. Dersom man kommer til at særlige kategorier omfattes av behandlingen, må man oppfylle et av unntakene i artikkel 9 andre ledd for at behandlingen skal være lovlig.
Det Europeiske Personvernrådet viser i sin veileder fra 2020 (EDPB Guidelines 3/2019, side 17) til at selv om videoovervåkning er egnet for å samle inn store mengder opplysninger, så vil det ikke alltid innebære behandling av særlige kategorier opplysninger. Dersom videoopptak blir behandlet med hensikt å avdekke særlige kategorier av personopplysninger, så vil artikkel 9 komme til anvendelse.
I august 2022 kom det en dom fra EU-domstolen (C-184/20) som legger opp til en betydelig videre tolkning av hva som anses å være særlige kategorier personopplysninger etter artikkel 9. I den aktuelle saken kom EU-domstolen til at opplysninger om en fysisk persons seksuelle orientering indirekte kunne utledes av informasjon om ektefelles navn, og at dette var omfattet av begrepet «særlige kategorier» i artikkel 9.
Domstolen peker blant annet på at det skal undersøkes om opplysninger som «…. gennem en intellektuel refleksion, som består i sammenstilling eller deduksjon» kan avsløre denne type informasjon (se premiss 120 og 123). Videre viser domstolen til at formålene bak personvernforordningen støtter opp under en bred fortolkning av begrepet «særlige kategorier personopplysninger», idet det «består i at sikre et højt niveau for beskyttelse af fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred» (se premiss 125 og 127). Samtidig synes domstolen å legge stor vekt på konteksten i den aktuelle saken.
Domstolen legger her til grunn at uttrykket «særlige kategorier» i artikkel 9 favner temmelig vidt. Samtidig gir ikke domstolen noen klar veiledning om hvordan den konkrete vurderingen skal foretas eller hvilke utslag vurderingen kan få i andre type situasjoner der personopplysninger behandles. Det er usikkert hvor grensen går for hvilke behandlinger som skal anses å indirekte avsløre særlige kategorier personopplysninger og trigge anvendelsen av artikkel 9. Likevel, dommen er relevant å ta i betraktning når en behandlingsansvarlig vurderer å bruke kameraovervåking. Datatilsynet oppfordrer behandlingsansvarlige til å følge med på rettsutviklingen.