Vekterfirma har hemmelig register over mistenkelige kunder

Skan-kontroll har delt opp folk i blant annet «sigøynere», «asiater» og «datojegere».

I dette bygget i Groruddalen i Oslo har Skan-kontroll sitt hovedkontor.

Har du tips til denne saken? Kontakt Aftenpostens journalist her eller send inn tips til vår krypterte varslingstjeneste

Selskapet Skan-kontroll spesialiserer seg på å hindre tyveri i butikker, både fra ansatte og kunder. De har både uniformerte vektere, samt ansatte i sivil som sjekker både butikkers egne ansatte, samt kunder.

På Vestlandet har selskapet også billettkontroller på ferger på oppdrag fra Fjord1.

Datatilsynet var på tilsyn hos selskapet i sommer og kan i en helt fersk rapport avsløre at vekterfirmaet med over 300 ansatte har et hemmelig register over butikktyver og «andre mistenkelige personer».

— De hadde også en svær operasjonssentral hvor de behandlet masse informasjon, forteller Cecilie Rønnevik, fagdirektør i Datatilsynet.

I den foreløpige kontrollrapporten fra tilsynet står det at de «ser alvorlig på de mangler som er avdekket», og at «sentrale personvernhensyn og alminnelige rettssikkerhetsgarantier settes til side, både for bransjens egne ansatte og deres kunder.»

Deler opp i etnisitet

Registeret som Datatilsynet mener er ulovlig, har som formål å gi beskjed til selskapets kunder om mulige trusler, blant annet for å avverge butikktyverier.

Tilsynet skriver at registeret inneholder store mengder opplysninger om personer som selskapet mener har oppført seg mistenkelig i en butikk, som er mistenkt for noe straffbart eller som kan være en del av en kriminell gruppe.

Les også

Flere vektere enn politifolk i Norge

Personer deles også opp i kategorier — blant annet «sigøynere», «asiater» og «datojeger» (folk som jakter på varer som går ut på dato). - De har selv sagt at det ikke er snakk om å registrere etnisitet, men «modus». Selv synes jeg ikke det er noe bedre. Og at man velger å bruke denne type merkelapper sier noe om en kultur og en forståelse av hva som er sensitive opplysninger og lovens krav, sier Rønnevik.

Hun viser også til at firmaet har brukt registeret for bakgrunnssjekk når man skal rekruttere nye ansatte.

— Samfunnet har allerede et system for dette - vandelskontroll, kommenterer hun.

Også personer som blir tatt uten billett på ferger på Vestlandet, kan havne i dette registeret, ifølge Datatilsynet.

Les hele rapporten her:

600.000 i bot

Kilder for registeret er opplysninger fra firmaet selv, kunder, andre sikkerhetsselskaper, tips fra publikum og pressen.

Tilsynet har også funnet en god del andre lovbrudd, men det er særlig dette registeret som gjør at de gir et så høyt overtredelsesgebyr som 600.000 kroner.

Les også

Vekter mister ikke jobben etter å ha latt venn av avdød se overvåkingsbilder

Andre ting Datatilsynet fant hos Skan-kontroll var: For dårlige databehandleravtaler, manglende internkontroll og for dårlig informasjonssikkerhet. — Er det andre enn politiet som har lov til å drive slik Skan-kontroll har gjort?

- Nei. En butikk kan kanskje ha et register for seg selv. Men Skan-kontroll har ikke lov til å sammenstille opplysninger på den måten og ha et eget strafferegister, sier Rønnevik.

Datatilsynet har bare gitt en like høy bot én gang før, og det var til Gjensidige i vår.

- Hvorfor gir dere en så kraftig bot nå?

— Selskapet har fått opplysninger på vegne av kundene, og brukt det uten at de har lov til det.

- Glipp i våre rutiner

Administrerende direktør Jørn Cato Olsen i Skan-kontroll sier til Aftenposten at de «tar Datatilsynets anmerkninger på største alvor» og de vil drive virksomheten etter gjeldende lover og forskrifter.

— Datatilsynets rapport påpeker flere forhold som Skan-kontroll er i gang med å utbedre. Det er også flere av avvikene som er påpekt som allerede er lukket, sier han.

Les også

Vekter stjal studentenes bankkort - dømt for tyveri av 170.000 kroner

Olsen sier også at de har flere innsigelser til rapporten, blant annet at de mener de har lov til å behandle og oppbevare personopplysninger de sitter på.— Vi har ikke tatt stilling til om vi vil godta overtredelsesgebyret som er varslet i den foreløpige rapporten. Det kommer vi tilbake til i vårt tilsvar til Datatilsynet.

Hvorfor de har et register over «mistenkelige kunder» sier Olsen han først vil komme tilbake til i deres tilsvar til Datatilsynet. Om at folk er karakterisert som «sigøynere» eller «asiater» i registeret, svarer han:

- Det har skjedd en glipp i rutinene våre her, og vi vil understreke at vår holdning som organisasjon er at ingen skal forskjellsbehandles eller diskrimineres. Vi har gjennomgått rutinene med vårt personell og praksisen er endret.

Vil at bransjen skal være obs

Cecilie Rønnevik mener at denne avsløringen av Skan-kontroll må føre til at bransjen som bruker slike firmaer, må våkne.

— De tror kanskje at disse firmaene har lov til å gjøre mer enn de kan, og at man kjøper et «privat politi».

Hun sier tilsynet ønsker å skape en bevissthet hos alle som bruker slike tjenester som Skan-kontroll leverer.

- De må ta kontroll med det vekterne faktisk gjøre. De må også kunne svare for hva selskapene gjør. Regelverket er ikke veldig uklart, sier fagdirektøren.

Les også

Dette koster deg 55 kr hver gang

— Mistenker du at andre i vekterbransjen gjør det samme som Skan-kontroll? - Det aner jeg ikke.

Datatilsynet har også sendt brev til over 40 store firmaer som bruker slike tjenester, hvor de peker på ansvaret. Men de har ikke gitt noe overtredelsesgebyr til noen av dem.

Også bot til Securitas

Datatilsynet har også vært på tilsvarende tilsyn hos Securitas. Men de har ikke funnet spor av noe hemmelig register av mistenkelige personer hos dem.

Likevel får Securitas et overtredelsesgebyr på 75.000 kroner, fordi de ikke har hatt på plass såkalte databehandleravtaler. Altså avtaler mellom Securitas og kundene for hvordan personopplysninger skal lagres og brukes.

- Det er alvorlig ikke å ha et rettslig grunnlag på plass, sier fagdirektør Rønnevik hos Datatilsynet.

«Uten slike avtaler oppstår det en uakseptabel risiko for at opplysningene behandles i strid med personopplysningslovens øvrige bestemmelser, uten at dette oppdages av oppdragsgiver, oppdragstager selv eller tilsynsmyndigheten», står det i rapporten.

Securitas får også kritikk for ikke å ha god nok informasjonssikkerhet, og at sletterutinene ikke er gode nok.

Jarle Ramskjær er markeds- og kommunikajonsdirektør i Securitas. Han sier at de tar rapporten på alvor.

— Vi har ikke tatt endelig stilling til rapportens konklusjoner, og går nå igjennom rapportens faktiske og rettslige sider. I den grad den endelige rapporten fastslår avvik, vil vi selvfølgelig rette opp i disse, sier han.

Her kan du lese rapporten om Securitas:

arild@aftenposten.no

twitter: @afaeraas

Les også

Datatilsynet skal snuse på privatetterforskere