SecurityWorldMarket

29.08.2014

75 000 kr i gebyr til Pixima

Datatilsynet har gitt Pixima AS 75 000 kr i gebyr. Grunnen er blant annet at selskapet har brukt personopplysninger til andre formål enn avtalt med oppdragsgiverne, manglende avtaler med disse, for dårlig sikring av opplysninger og brudd på sletteplikten.

Pixima AS hjelper bensinstasjoner å oppklare saker der noen fyller bensin uten å betale for seg. Dette gjør de gjennom å levere videoanalysetjenester til bensinstasjonene. De fleste slike hendelser er ren forglemmelse, men det er likevel noen som ikke gjør opp for seg når de får ettersendt krav for dette. Et slikt tyveri kalles pumpeavstikk. Datatilsynet var på kontroll hos selskapet i januar 2014 for å se på hvordan selskapet håndterer personopplysninger.

Hva fant Datatilsynet under kontrollen?

Pixima behandler personopplysninger om kunder på vegne av ulike bensinstasjoner. De er derfor databehandler for stasjonene. Det betyr at det er bensinstasjonene som er ansvarlig for personopplysningene som samles inn gjennom videoovervåkingen av stasjonene. Opplysningene det dreier seg om er bilde av bilen, skiltnummer og sjåføren.

En slik ansvarsfordeling krever en databehandleravtale. Det er en avtale som regulerer forholdet mellom de to partene, og særlig hvordan databehandleren, i dette tilfellet Pixima, skal håndtere, lagre og slette personopplysninger.

I tillegg til å ikke ha en god nok avtale med stasjonene, har Pixima heller ikke sikret personopplysningene godt nok. De har blant annet sendt informasjon om potensielle lovbrytere i usikrede kanaler, som ukryptert- e-post, og har heller ikke hatt rutiner for når informasjon skal slettes fra systemene.

Har laget eget register av innsamlede opplysninger

Pixima har ikke bare behandlet opplysninger samlet inn fra en rekke ulike bensinstasjoner. De har også opprettet et eget register over alle opplysninger de har samlet inn. Dette registeret har de benyttet for å avsløre gjengangere, det vil si personer som gjentatte ganger stikker av fra bensinregningen.

En slik sammenstilling av opplysninger fra flere enn en oppdragsgiver og videre bruk av disse opplysningene betyr at selskapets i praksis også driver med etterforskning på tvers av kundekretsen sin. Pixima bruker også registeret til å gi råd om stasjonene bør politianmelde noen eller ikke. Etterforskingsvirksomhet krever at en sikrer at alle parter ivaretas på en god måte. Det betyr at særskilte regler og rettsprinsipper må følges. Dette er derfor en oppgave som vi i vårt samfunn har bestemt at skal utføres av politiet.

Hvorfor ser Datatilsynet alvorlig på Piximas praksis?

Mangelfull informasjonssikkerhet, øker risikoen for at opplysninger kan komme på avveier. Her dreier det seg, i en del tilfeller, om opplysninger om straffbare forhold eller politianmeldelser, som krever ekstra beskyttelse. Slike opplysninger skal ikke sendes på e-post. Samtidig skal det være gode rutiner for sletting av slike opplysninger når de er ferdig behandlet.

Pixima sletter heller ikke noen av opplysningene om de som tidligere er tatt for å ikke betale for seg ved ren forglemmelse. Selv om det er lov å lagre opplysninger i en avgrenset periode etter en hendelse, har opplysningene i dette tilfellet blitt lagret på ubestemt tid. Dette strider mot den grunnleggende personverntanken om at man skal ha mulighet til å legge en sak bak seg når man har gjort opp for seg og det ikke har skjedd nye forseelser innen en gitt tidsperiode.

Pixima har 3 ukers klagefrist på vedtaket.

- Kilde: Datatilsynet


Nyheter fra hjemmesiden »
Søk i nyhetsarkivet »  

Leverandører
Endre marked
Global North America Middle East United Kingdom Sweden Norway Denmark
Tilbake til toppen