Uppdaterat: 9.11.2021
Dataskyddsbeskrivning
1. Allmänt
Med den här dataskyddsbeskrivningen ges information som krävs enligt EU:s allmänna dataskyddsförordning (nedan dataskyddsförordningen) och den nationella lagstiftningen, dels till den registrerade, dvs. den personuppgiftsansvariges kund eller personal, dels till tillsynsmyndigheten.
Med den här beskrivningen beaktas också Europeiska dataskyddsstyrelsens riktlinjer 3/2019 för behandling av personuppgifter genom videoenheter.
2. Personuppgiftsansvarig och den personuppgiftsansvariges kontaktinformation
Varje samfund i OP Gruppen som utför kameraövervakning
Den personuppgiftsansvariges kontaktperson: OP Gruppens Dataskyddsteam
Telefon: 010 253 0022
E-postadress: dataskydd@op.fi
3. Dataskyddsombudets kontaktinformation
OP Gruppens dataskyddsombud
OP Gruppen
Postadress: PB 308, 00013 OP
E-postadress: tietosuoja@op.fi
4. Registrets namn
Registret för kameraövervakning
Registrerade är de personer som rör sig inom gränserna för det kameraövervakningssystem som används i den personuppgiftsansvariges lokaler, inklusive tillfälliga lokaler. Till de här personerna räknas den personuppgiftsansvariges kunder, arbetstagare och samarbetsparter.
5. Ändamålen med behandlingen av personuppgifter och rättslig grund för behandlingen samt balanstest
5.1 Ändamålen med behandlingen
I den personuppgiftsansvariges verksamhet behandlas konfidentiella uppgifter och ofta även kontanta medel. Hotfulla situationer inträffar regelbundet i OP Gruppens verksamhet. Också enligt arbetarskyddslagen (738/2002) ansvarar arbetsgivaren för sina arbetstagares säkerhet i arbetet. I OP Gruppen tjänar kameraövervakningen således primärt användningsändamål som anknyter till säkerhet.
Nedan förtecknas ändamålen för den personuppgiftsansvariges användning av registrets uppgifter:
- för att trygga den personliga säkerheten för de registrerade, såsom den personuppgiftsansvariges arbetstagare och kunder
- för att övervaka att tjänsteprocesserna fungerar på ett ändamålsenligt och säkert sätt
- för att skydda informationen om och egendom hos den personuppgiftsansvarige och de registrerade, såsom den personuppgiftsansvariges arbetstagare
- för att förhindra och reda ut situationer som äventyrar säkerheten, egendom eller tjänsteprocessen
- riskhantering i anknytning till fysisk säkerhet.
Den registrerades personuppgifter kan användas för att förhindra, avslöja och utreda penningtvätt och finansiering av terrorism samt för att inleda undersökning av penningtvätt och finansiering av terrorism och brott genom vilket egendom eller brottslig vinning som är föremål för penningtvätt eller finansiering av terrorism har erhållits.
5.2 Rättslig grund för behandlingen
De behandlingsåtgärder som räknas upp i beskrivningen utförs på basis av den personuppgiftsansvariges berättigade intresse. Kameraövervakning är nödvändig för att den personuppgiftsansvarige ska kunna förebygga händelser som äventyrar bland annat säkerheten, egendom, produktionsprocesserna och verksamhetens kontinuitet i allmänhet. Den personuppgiftsansvarige har beaktat de lagstadgade särskilda krav som gäller kameraövervakning, till exempel i lagen om integritetsskydd i arbetslivet.
5.3 Balanstest
Berättigat intresse som behandlingsgrund förutsätter att den registrerades intressen och rättigheter beaktas särskilt noggrant. Nedan har resultaten av ett till kameraövervakning anknutet balanstest beskrivits med en indelning som följer anvisningarna från både Finlands dataombudsmans och EU:s dataskyddsmyndighet (t.ex. Anvisning “WP217”).
1. Är berättigat intresse den lämpligaste behandlingsgrunden?
Berättigat intresse är den lämpligaste behandlingsgrunden. Andra behandlingsgrunder, såsom medgivande, lämpar sig inte för allmän kameraövervakning av den personuppgiftsansvariges verksamhetsställen.
2. Uppfylls de grundläggande kraven?
Den personuppgiftsansvariges intresse är berättigat, eftersom det är fråga om att säkra både kundernas och arbetstagarnas säkerhet. Inom finansbranschen används kameraövervakning allmänt, och också kunderna förväntar sig att kameraövervakning används på exempelvis bankernas verksamhetsställen. Ur de registrerades synpunkt sett är det alltså inte fråga om något exceptionellt.
I synnerhet i bankerna är det fråga om platser där det råder en s.k. omedelbar fara (”imminent danger”) som avses i Europeiska dataskyddsstyrelsens riktlinjer 3/2019. Hotfulla situationer inträffar i OP Gruppens verksamhet i regel i kundbetjäningssituationer, det vill säga att det föreligger ett verkligt och omedelbart behov att behandla personuppgifter. Intresset är alltså inte heller spekulativt.
För arbetstagarnas del ska man vid bedömningen av förutsättningarna för kameraövervakning beakta lagen om integritetsskydd i arbetslivet (759/2004) och dess 5:e kapitel. I praktiken får arbetsgivaren utföra kamerabevakning på arbetsplatsen endast: (i) i syfte att trygga den personliga säkerheten för arbetstagare och andra som vistas i lokalerna; (ii) för att skydda egendom; (iii) för att övervaka att produktionsprocesserna fungerar på ett ändamålsenligt sätt eller (iv) för att förhindra och utreda situationer som äventyrar säkerheten, egendom eller produktionsprocesser. Dessa grundläggande krav uppfylls.
3. Är behandling av personuppgifter nödvändig för uppnående av intresset?
OP Gruppen har hundratals verksamhetsställen på olika håll i Finland. Det är i praktiken omöjligt att ersätta övervakningskameror med exempelvis väktare eller låsning, som bägge nämns som alternativ i Europeiska dataskyddsstyrelsens riktlinjer. Utredning av hotande situationer och andra säkerhetsavvikelser är också exaktare med hjälp av inspelningar. Man kan alltså inte nå samma resultat med alternativa metoder. Av samma skäl är s.k. real-time-övervakning inte något tillämpligt alternativ.
4. Väger intresset verkligen tyngre än den registrerades intressen och rättigheter?
Den personuppgiftsansvariges berättigade intresse väger betydligt tyngre än den registrerades intressen och rättigheter. Kameraövervakning används i den personuppgiftsansvariges verksamhetsställen, där hotfulla situationer förekommer. Kameraövervakning används i säkerhetssyfte och övervakningen tjänar också de registrerades intressen och rättigheter. Inspelningarna lagras en begränsad tid, och uppgifter hämtas endast i situationer där man måste reda ut en viss situation t.ex. på begäran av polisen.
Man kan också anse att de registrerade med fog kan förvänta sig att den personuppgiftsansvarige behandlar uppgifter som samlats genom kameraövervakning. Detta konstateras också i Europarådets anvisning 3/2019 (punkt 37). Behandlingen är inte heller oförutsedd eller oväntad ur den registrerades synvinkel.
Kameraövervakning utförs också endast i anknytning till sedvanliga kundtjänst- och arbetssituationer. Syftet med kameraövervakning är alltså inte att behandla vissa grupper av personuppgifter. Också om exempelvis barn skulle komma med på inspelningen, skulle behandlingen ändå inte påverka deras situation negativt. Med andra ord tryggas också sådana utsatta gruppers intressen och rättigheter med kameraövervakning.
Om kameraövervakning inte användes, skulle detta ha menliga inverkningar på de registrerade. Exempelvis brott som utförts eller hotfulla situationer kunde nödvändigtvis inte redas ut på ett tillförlitligt sätt. Genom kameraövervakning kan också brott som eventuellt utförs av registrerade givetvis också redas ut effektivare. Även om detta kan anses ha negativa följder för enskilda registrerade, ska detta inte beaktas då man bedömer den personuppgiftsansvariges berättigade intresse. Med andra ord är denna till en registrerad anknutna negativa följd inte oskälig.
5. Säkerställ tilläggsgarantierna för dataskyddet
Den personuppgiftsansvarige har genomfört de ändamålsenliga tilläggsgarantierna. Förvaringstiden för inspelningar har begränsats och systemen har begränsade åtkomsträttigheter.
Till den del som saken berör uppgifter om arbetstagare, har den behandlats vid samarbetsförfarande.
6. Påvisa verksamhetens lagenlighet och säkerställ öppenheten
Balanstestet som gäller kameraövervakning finns i dataskyddsbeskrivningen för att öppenheten ska vara säkrad.
6. Kategorier av personuppgifter
Registrets datainnehåll består av bild- och ljudupptagningar, som innehåller bild på och eventuellt ljud av den registrerade, inspelade på området för kameraövervakningen, samt information om inspelningstidpunkten.
7. Mottagare och kategorier av mottagare av personuppgifter
Insamlade personuppgifter kan inom OP Gruppen lämnas ut inom de gränser som lagstiftningen tillåter. Dessutom kan personuppgifter lämnas ut till myndigheter, såsom polisen, i lagstadgade fall.
8. Överföring av personuppgifter
Den personuppgiftsansvarige anlitar underleverantörer vid behandlingen av uppgifter, och uppgifter kan överföras utanför EU/EES. Då uppgifter överförs utanför EU/EES används EU-kommissionens standardavtalsklausuler eller någon annan överföringsmekanism som lagstiftningen tillåter. Ytterligare information om internationella överföringar av personuppgifter och Europeiska kommissionens standardavtalsklausuler i OPs webbsida: op.fi/dataskydd.
En del av de underleverantörer som den personuppgiftsansvarige anlitar är andra företag i OP Gruppen. De producerar bl.a. datatekniska och övriga stödtjänster för den personuppgiftsansvarige.
9. Lagringsperiod för personuppgifter eller kriterier för att fastställa lagringsperioden
Personuppgifterna lagras den tid som är nödvändig för att uppnå de ändamål som fastställts för uppgifterna i registret. Uppgifterna om den registrerade raderas automatiskt inom cirka tre månader från inspelningen
Ett undantag från det ovan sagda är att det kan vara nödvändigt att lagra uppgifter som behövs för att reda ut brott längre än så på grund av en myndighets förundersökning/domstolsbehandling.
10. Personuppgiftskällor och uppdatering av personuppgifter
Personuppgifter samlas in då den registrerade rör sig inom gränserna för kameraövervakningssystemet.
11. Den registrerades rättigheter
Den registrerade har rätt att få den personuppgiftsansvariges bekräftelse på om den registrerades personuppgifter behandlas eller inte eller om de har behandlats.
Om den personuppgiftsansvarige behandlar den registrerades personuppgifter, har den registrerade rätt att få informationen i det här dokumentet samt en kopia av de personuppgifter som behandlas eller som har behandlats.
Den personuppgiftsansvarige kan debitera en rimlig administrationsavgift för ytterligare kopior som den registrerade begär.
Granskningsrätten verkställs i regel så, ett den registrerade kan komma till verksamhetsstället för att se inspelningen eller ett sammandrag av den. Den personuppgiftsansvarige överlåter inte sådana delar av inspelningen där det eventuellt syns andra personer. Därför är uppgifterna som överlåts till den registrerade ofta ett antal s.k. stillbilder.
Den registrerade har rätt att be den personuppgiftsansvarige att rätta eller radera sina personuppgifter.
Alla här nämnda begäranden ska sändas till den ovannämnda kontaktpersonen för den personuppgiftsansvarige.
Om den registrerade anser att behandlingen av den registrerades personuppgifter inte är lagenlig, har den registrerade rätt att lämna in ett klagomål till tillsynsmyndigheten.
12. Hur registret är skyddat
Den personuppgiftsansvarige behandlar personuppgifterna på ett tryggt sätt som uppfyller kraven i lagstiftningen. Den personuppgiftsansvarige har noggrant bedömt de eventuella riskerna i anslutning till behandlingen och vidtagit nödvändiga åtgärder för att hantera de här riskerna.
Den personuppgiftsansvarige har skyddat uppgifterna på ett lämpligt sätt tekniskt och organisatoriskt. Registret skyddas med bland annat följande medel:
- begränsat tillträde, passerkontroll/lås
- identifiering av användare
- åtkomsträttigheter
- regler och kontroll för behandlingen
Den personuppgiftsansvarige kräver också att dess underleverantörer på ett tillbörligt sätt skyddar de personuppgifter som behandlas.