Overvåkingspolicy, Høstbakken 11

Denne erklæringen definerer bruk, ansvar og hovedaspekter ved bruk av kameraovervåking tilknyttet GDX AS og gjelder lokalene GDX AS disponerer, samt resten av det tilknyttede industriområdet. Kameraovervåking skal sikre verdier, ansatte og besøkende og være en beviskilde ved mulige lovbrudd eller ulykker.

Formål og omfang av denne erklæringen


GDX AS benytter kameraovervåking ved egne lokaler og utearealer, samt utearealene til huseier og leietakere på samme adresse – Dette er for å sikre verdier, bygninger, ansatte, gjester og leietakere.


Denne erklæringen gjelder kun kameraovervåking hvor GDX er behandlingsansvarlig (ansvar for evt. personopplysninger som behandles) og baserer seg på retningslinjer fra den europeiske personvernmyndigheten (EDPB) og det norske Datatilsynet. Erklæringen beskriver systemet, prinsipper for bruk og hvilke tiltak som er iverksatt for å ivareta personopplysningssikkerheten. Her defineres også roller og ansvar ved bruk av kameraovervåkingen, samt behandling av personopplysninger som sammenfaller med dette. Erklæringen omfatter alle kameraer som er satt opp, uavhengig om de er aktive, falske eller til og med defekte.




Systembeskrivelse og områder under overvåking


Det gjøres digitalt videoopptak med høy til middels bildeoppløsning og kameraer med funksjoner som bevegelsesanalyse, skiltgjenkjenning og termisk bilde er tas i bruk. Det gjøres ikke opptak av lyd, men video lagres døgnkontinuerlig i opp til 7 dager. Videomateriale kan lagres i lengre perioder der behovet er godt definert.


Alle innkjøringer til Høstbakken 11, 1793 Tistedal er under kameraovervåking – Lokalene til GDX, varelager og inngangspartier som leder til kontorlokalene er også dekket av flere kameravinkler.


Uteområder – Formål: Å ha en avskrekkende effekt og å sikre bevis hvis uvedkommende tar seg inn på området.

Lokalene til GDX AS ligger i et industriområde nesten midt i et boligfelt. Det er flere leietakere (selskaper) som driver sin virksomhet herfra og flere av disse har store verdier lagret i sine lokaler (i form av varelager og utstyr). Området er stort og uten inngjerding, så det er ikke praktisk mulig å innføre adgangskontroll. Adkomstveier til området overvåkes derfor I samråd med eier, slik at det ved en hendelse kan fanges opp mistenksomme kjøretøy. Personvernet ivaretas ved at innsyn på privat eiendom og tilknyttede offentlige områder sladdes eller ikke er en del av bildeutsnittet. På baksiden av bygget, der privat eiendom er nært opp mot industriområdet/bygget, er det ikke plassert overvåkingsutstyr.


Varelager – Formål: Å ha en avskrekkende effekt og å sikre bevis hvis uvedkommende beveger seg på området. Dokumentasjon iht. lagerbeholdning og forsendelser benyttes også.

Varelageret til GDX har en åpen løsning og lagerlokalene deles med et annet firma. Det er problematisk å holde dørene inn til lageret låst i åpningstiden og det er upraktisk å sette opp fysiske sperringer – Det hender at utenforstående er på besøk i samme bygg og da ansatte kun tidvis er til stede på lageret ønsker GDX å ha kontroll på om noen andre beveger seg inn på lagerområdet når ansatte ikke er tilstede. Ingen av kameravinklene her dekker noe annet enn lageret og pakkeområdet til GDX AS.


Kontorlokaler – Formål: Å ha en avskrekkende effekt og å sikre bevis hvis uvedkommende beveger seg på området samtidig som vi kan demonstrere videosystemer og porttelefon for kunder som er på besøk.

GDX er en distributør av ITV- og porttelefonsystemer, og har derfor behov for å ha overvåking online i våre lokaler. Dette både for tester og demonstrasjoner, men også sikring av verdier. Kameraer som er montert for testing befinner seg på et eget teknisk rom, mens kameraer og porttelefon til demonstrasjonsformål er montert i fellesområdene på kontoret. Utstyret som befinner seg i fellesområdene kan i teorien filme de ansattes arbeidssted, men er enten vendt bort fra disse vinklene eller sladdet.


Andre inneområder og fellesområder – Formål: Å ha en avskrekkende effekt og å sikre bevis hvis uvedkommende beveger seg på området, men også for dokumentering mtp. mottak og avlevering av forsendelser.

GDX sender og mottar varer av høy verdi. Mange av varene blir plassert i fellesområdene våre for at eksterne transportører skal kunne plukke opp eller sette igjen forsendelser. Det er vanskelig å fysisk sikre disse arealene f.eks. med dørlås da leietakere og deres besøkende også skal kunne ferdes her.




Formålsbegrensning


Kameraovervåkningen skal ikke brukes til andre formål enn de som er nevnt over og skal ikke benyttes til følgende formål:

  • Overvåkning av ansattes arbeid eller tilstedeværelse
  • Et undersøkelse-/analyseverktøy med mindre;
    • Det er mistanke om mulige lovbrudd.
    • Dataene som samles inn kan anonymiseres.
    • Et annet behandlingsgrunnlag/rettslig grunnlag

Bruk av kameraovervåkning er av bedriftens berettigede interesse, men GDX AS skal alltid veie bruk av kameraovervåking opp mot personvernet til de som blir filmet.




Særlige kategorier av personopplysninger


GDPR artikkel 9 (Behandling av særlige kategorier av personopplysninger) vil ikke komme til anvendelse med de formål GDX AS legger til grunn for kameraovervåkingen – Selv om overvåkingen vil kunne dekke individer under særlige kategorier (handicap, legning, fagforeningslogoer, religiøse plagg, etnisitet o.l.). Grunnlaget for denne konklusjonen er langvarig praksis, Norges syn på GDPR samt EDPBs retningslinjer.




De registrertes rettigheter


Informasjon om kameraovervåkingen tilknyttet Høstbakken 11 gis ved to tilfeller: Skilt på de fysiske stedene hvor kameraovervåking foregår og gjennom denne erklæringen som publisert på firmaets hjemmesider. Skiltene har en størrelse, plassering og et antall som gjør det lett å få med seg at området er overvåket. Fortrinnsvis er de plassert slik at de er godt synlige når man ferdes i overvåkede områder. Det skal være enkelt og lettfattelig hvilke områder som er overvåket. Inne i bygget vil det for eksempel varsles på nytt hvis overvåkingen fortsetter i nye soner eller rom. For å innfri retten til innsyn kan GDX AS kontaktes per e-post her: post@gdx.no.


Mer informasjon om hvordan personopplysninger behandles hos GDX AS (nettsider, systemer o.l.) finner du her.




Utlevering og overføring (formidling)


All utlevering/overføring av opptak eller personopplysninger til noen utenfor sikkerhetsteamet, vil nøye vurderes etter gjeldende rutiner og samtidig dokumenteres grundig. Ved tvil kontaktes sikkerhetssjef eller personvernombud.


 Personopplysninger som er innsamlet ved kameraovervåking, kan bare utleveres til andre enn den behandlingsansvarlige dersom et av følgende vilkår er oppfylt:

  • Den eller de som er avbildet samtykker,
  • Utleveringen skjer til politiet for etterforskning av mulige straffbare handlinger eller ulykker eller
  • Det ellers følger av lov at utlevering kan gjennomføres.



Revisjon og internkontroll


Det foretas en årlig gjennomgang av bruken av kameraovervåkingen og denne erklæringen. Hensikten er å vurdere:

  • Om det er endringer i behovet for bruk av kameraovervåkning
  • Om bruk av kameraovervåkingen fortsatt oppfyller formålet
  • Om det finnes andre alternativer som helt eller delvis kan erstatte kameraovervåking, og er mindre inngripende på personvernet.


I tillegg vurderes saker fra tidligere gjennomganger, spesielt saker som sikrer fortsatt etterlevelse av gjeldende lovverk og praksis.




Prinsipper


GDX skal implementere personvernvennlige løsninger som følger følgende prinsipper:

  • Blokkering av områder der kameraene kan fange opp registrerte som ikke er relevant for formålet til overvåkningen.
  • Begrensning av sikt til rekreasjonsområder
  • Så langt det lar seg gjøre begrense overvåkning av ansatte
  • Tilgang til opptak er strengt tilgangsbeskyttet og gis kun til de med strengt nødvendig behov
  • Logging av bruk
  • Tilgang til direktesendte bilder skjer i låste rom eller skjermede områder
  • Kryptering av datatrafikk
  • Tidsstyring etter behov



Sikring av overvåkingssystemene


For å ivareta sikkerheten til overvåkingssystemene våre og tilgang til personopplysninger, har GDX implementert tilstrekkelige tekniske og organisatoriske sikkerhetstiltak:

  • Sikring av fysisk lagring
  • Administrative tiltak for å sikre at kun personell med strengt nødvendig behov har tilgang til systemet
  • Alt personell med tilgang har signert på taushetserklæring og gjennomført opplæring
  • Kun systemadministrator kan gi, endre eller ta bort tilgang til systemet
  • GDX skal til enhver tid ha en liste over ansatte med tilgang til systemet
  • Logging av bruk av systemet


Opptak slettes automatisk etter syv dager om ikke annet er spesifisert. Ved mistanke om lovbrudd lagres aktuelle hendelser i inntil 30 dager eller til saken er ferdig behandlet.