Myndir úr eftirlitsmyndavélum afhentar óviðkomandi
Á fundi sínum þann 13. júní sl. komst stjórn Persónuverndar að svohljóðandi niðurstöðu í máli nr. 2005/44:
Grundvöllur málsins og bréfaskipti
Hinn 24. janúar barst Persónuvernd nafnlaus fyrirspurn í tölvupósti um hvort mætti setja tilteknar myndir á netið og segja að þeir sem birtust á myndunum hefðu stolið tölvu. Með tölvupóstinum fylgdi tengill á heimasíðuna www.b2.is (áður www.batman.is) sem er vinsæl afþreyingarsíða. Þegar smellt var á tengilinn mátti sjá myndir úr eftirlitsmyndavélum og á myndunum birtust tveir einstaklingar en yfir myndunum var eftirfarandi texti:
Nýjar upplýsingar: Búið er að fá staðfestingu hver stelpan er en það er eins og enginn viti hvar hún er þannig að það er bara spurning um tíma að finna hana.
Í framhaldinu sendi Persónuvernd bréf til forsvarsmanna [A] og óskaði eftir upplýsingum um það hvernig ákvæði laga og reglna um rafræna vöktun séu uppfyllt við framkvæmd myndavélavöktunar í fyrirtækinu og hvort upplýsingum hafi verið miðlað úr öryggismyndavélum fyrirtækisins í umrætt sinn.
Með bréfi dags. þann 11. mars sl. barst svar frá [B] framkvæmdastjóra [A]. Þar kom fram að [A] hafi ekki á sínum vegum öryggismyndavélar til neinna nota. Honum væri hins vegar kunnugt um að öryggismyndavélar væru í húsinu en þær væru væntanlega á vegum húsfélagsins og [A] hefði engin afskipti af umsjá eða rekstri þeirra myndavéla. Síðan segir nánar í svarbréfinu:
Í framhaldinu hafði starfsmaður Persónuverndar samband við [D] verktaka hjá [A] sem sagðist hafa fengið afhentar myndir úr öryggismyndavél hjá [E]. [D] hafi kallað til lögreglu þegar þjófnaðurinn á fartölvunni hafi uppgötvast en kvað lögregluna ekki hafa "nennt" að bíða eftir myndum úr öryggismyndavélunum og því beðið hann um að koma þeim til lögreglunnar. [D] kvaðst síðan hafa fengið myndir úr öryggismyndavélum á geisladiski afhentar frá [E] til að koma þeim til lögreglunnar, hann hafi hins vegar áður dreift umræddum myndum til vina og kunningja til að kanna hvort þeir þekktu þá er þar birtust.
Í framhaldinu sendi Persónuvernd bréf til [E], dags. 23. mars sl., og rakti málsatvik. Í bréfinu var einkum óskað eftir upplýsingum um það hvort ákvæði 2. mgr. 9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og 4. gr. reglna nr. 888/2004 hafi verið uppfyllt við meðferð persónuupplýsinga úr öryggismyndavélum á vegum félagsins í umrætt sinn.
Þann 30. mars sl. barst Persónuvernd tölvupóstur frá [F] framkvæmdastjóra [E]. Í tölvupóstinum er rekstrarformi og starfsemi [E] lýst ásamt lýsingu á framkvæmd þeirrar rafrænu vöktunar sem fer fram á vegum félagsins. Um þetta segir m.a.:
Í tölvupóstinum kemur einnig fram að 23 öryggismyndavélar séu staðsettar víðs vegar um svæðið, m.a. við innganga í göngugötu, á bílastæði og í kjallara. Um afhendingu myndefnis úr öryggismyndavélunum segir síðan:
Í því tilfelli sem vísað er á í fyrirspurn Persónuverndar var um að ræða þjófnað á fartölvu. [D], verktaki hjá [A], hringdi í öryggisvörð sama dag og þjófnaðurinn átti sér stað og óskaði eftir því að myndir úr öryggismyndavélum yrðu skoðaðar og athugað hvort þjófnaður eða þjófar hefðu náðst á mynd. Við athugun sáust tveir grunsamlegir einstaklingar, sem pössuðu við lýsingu vitnis, á myndavél þeirri sem staðsett er við inngang inn í [H] á sama tíma og þjófnaðurinn átti að hafa átt sér stað. Í framhaldi af því óskaði [D] eftir því að umræddar myndir yrðu vistaðar svo hann gæti afhent lögreglunni efnið. [E] sá ekki ástæðu til að neita þeirri ósk enda féll umrætt tilvik alveg undir þá skilgreiningu hvenær sé rétt að afhenda gögn úr kerfinu. Má segja að með því hafi afskiptum [E] af þessu máli lokið. Hvernig þessar myndir eiga að hafa endað á vefsíðu út í bæ er okkur hulin ráðgáta. Á þeim tæplega fjórum árum sem öryggismyndavélar hafa verið staðsettar í [G} hafa myndir úr þeim aldrei lent í óviðkomandi höndum. Vélarnar, fyrir utan að vera í læstu herbergi, eru varðar af öryggiskóða sem einungis öryggisverðir fyrir utan undirritaðan þekkja og ómögulegt er að vista nokkuð úr kerfinu án þess að hafa áðurnefndan öryggiskóða undir höndum. Einnig vil ég taka fram að aðeins öryggisverðir og undirritaður hafa lykla að vaktherberginu.
Þar sem hluti af framangreindri málsatvikalýsingu kom fram í símtali við [D] var honum sent bréf þar sem atvik málsins voru reifuð, sbr. bréf dags. 22. apríl sl., og honum gefinn frestur til að koma athugasemdum sínum á framfæri. [E] var með sama hætti gefinn kostur á að tjá sig um sömu málsatvikalýsingu, sbr. bréf dags. 20. apríl sl. [E] var síðan með bréfi dags. 31. maí sl. gefinn lokafrestur til athugasemda. Með símbréfi dags. 10. júní sl. kom fram af hálfu stjórnar [E] að félagið hafi ekki talið athugavert að afhenda [D] afrit af myndefni úr öryggismyndavélum í umrætt sinn einkum þar sem hann hafi haft fasta starfsstöð í húsinu. Einnig kom fram að stjórn félagsins hafi gengið úr skugga um að framvegis verði fyllsta öryggis gætt við meðferð efnis og upplýsinga úr öryggismyndavélum á sameiginlegu svæði.
Forsendur og niðurstaða
Í máli þessu liggur fyrir að myndefni úr öryggismyndavélum á vegum [E] hafi verið miðlað til [D] verktaka hjá [A]. Á myndunum birtust myndir af tveimur einstaklingum og í texta sem fylgdi myndunum kom fram að þeir hefðu tekið ferðatölvu ófrjálsri hendi. Hér er því til úrlausnar hvort forsvarsmönnum [E] hafi verið heimil slík miðlun persónuupplýsinga án þess að samþykki viðkomandi eða ákvörðun Persónuverndar þess efnis lægi fyrir.
Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga en einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá.
Persónuupplýsingar teljast vera sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Af skilgreiningunni leiðir að myndefni getur fallið undir hugtakið ef hægt er að bera kennsl á þann eða þá sem þar birtast og segja má að það beri með sér upplýsingar um viðkomandi. Vinnsla persónuupplýsinga er skilgreind sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 1. mgr. sömu greinar. Með vísan til b-liðar 2. gr. tilskipunar nr. 95/46/EB og athugasemda í greinargerð með frumvarpi því er varð síðar að lögum nr. 77/2000 er miðlun persónuupplýsinga talin falla undir hugtakið vinnslu.
Vöktun með eftirlitsmyndavélum sem settar eru upp í öryggis- og eignavörsluskyni er ein tegund rafrænnar vöktunar. Með rafrænni vöktun er átt við vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði, og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði, sbr. 6. tölul. 2. gr. laga nr. 77/2000. Í 1. mgr. 4. gr. segir að rafræn vöktun sé ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi og í 2. mgr. sömu greinar segir að vinnsla persónuupplýsinga sem eigi sér stað í tengslum við rafræna vöktun skuli uppfylla ákvæði laganna.
Samkvæmt 4. tölul. 2. gr. telst ábyrgðaraðili sá sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Fyrir liggur að [E] hefur með höndum þá rafrænu vöktun sem hér um ræðir og telst því ábyrgðaraðili vöktunarinnar og þeirrar vinnslu sem á sér stað í tengslum við hana.
Ekkert hefur komið fram í málinu um annað en að sú rafræna vöktun sem fram fer hjá [E] eigi sér málefnalegan tilgang, fari t.d. fram í öryggis- og eignavörsluskyni. Hér er hins vegar til sérstakrar skoðunar sú miðlun persónuupplýsinga sem urðu til í eftirlitsmyndavélum [E] en skv. ofangreindu þarf slík vinnsla persónuupplýsinga að uppfylla ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og reglur sem settar eru á grundvelli þeirra.
Öll vinnsla persónuupplýsinga, þ.á m. miðlun þeirra, telst lögmæt ef hún fullnægir einhverju af skilyrðum 8. gr. og eftir atvikum 9. gr. laga nr. 77/2000. Vinnsla persónuupplýsinga þarf ennfremur að vera í samræmi við meginreglur 7. gr. laga nr. 77/2000. Af þeim skilyrðum sem greind eru í 1. mgr. 8. gr. laganna kemur helst til álita að ákvæði 7. tölul. taki til þeirrar vinnslu sem hér um ræðir. Þar segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber samkvæmt lögum, vegi þyngra.
Samkvæmt b-lið 8. tölul. 2. gr. teljast upplýsingar um það hvort maður hafi verið grunaður um refsiverðan verknað viðkvæmar persónuupplýsingar. Vinnsla slíkra upplýsinga þarf því einnig að uppfylla eitthvert hinna sérstöku skilyrða sem finna má í 1. mgr. 9. gr. laga nr. 77/2000. Í 2. mgr. 9. gr. laganna segir þó að þrátt fyrir að skilyrði 1. mgr. séu ekki uppfyllt sé heimilt, í tengslum við framkvæmd rafrænnar vöktunar, að safna efni sem verði til við vöktunina, svo sem hljóð- og myndefni, með viðkvæmum persónuupplýsingum ef nánar tilgreind skilyrði séu uppfyllt. Skilyrðin eru eftirfarandi:
2. að það efni sem til verður við vöktunina verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða samkvæmt ákvörðun Persónuverndar; heimilt er þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað en þá skal þess gætt að eyða öllum öðrum eintökum af efninu;
3. að því efni sem safnast við vöktunina verði eytt þegar ekki er lengur málefnaleg ástæða til að varðveita það, nema sérstök heimild Persónuverndar skv. 3. mgr. standi til frekari varðveislu.
Í reglum Persónuverndar, nr. 888/2004 um rafræna vöktun á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði, er að finna ákvæði í 4. gr. um varðveislu, miðlun, eyðingu og aðra meðferð persónuupplýsinga. 3. mgr. 4. gr. hljóðar svo:
Í málinu hefur komið fram að forsvarsmenn [E] hafi afhent [D] upplýsingar (myndefni) úr öryggismyndavélum félagsins. [D] hefur engin slík tengsl við ábyrgðaraðila vinnslunnar þannig að hann hafi haft málefnalega ástæðu til aðgangs að umræddum upplýsingum. Verður því litið svo á að umræddum upplýsingum hafi verið miðlað til óviðkomandi aðila. Samkvæmt skýrum ákvæðum laga og reglna sem hér hafa verið reifuð er ekki heimilt að afhenda slíkar upplýsingar öðrum en lögreglu nema með samþykki hins skráða eða samkvæmt ákvörðun Persónuverndar. Ljóst er að ákvörðun Persónuverndar lá ekki fyrir í umrætt sinn og af lýsingu á málsatvikum verður að leggja til grundvallar að ekki hafi verið aflað samþykkis hinna skráðu.
Með vísan til framangreinds er það niðurstaða Persónuverndar að [E] hafi verið óheimilt að miðla myndefni úr öryggismyndavélum til [D] í umrætt sinn. Þeim tilmælum er beint til ábyrgðaraðila að gæta þess að myndefni úr öryggismyndavélum sé ekki afhent öðrum en lögreglu, nema fyrir liggi samþykki hins skráða eða ákvörðun Persónuverndar, sbr. 2. mgr. 9. gr. laga nr. 77/2000 og 3. mgr. 4. gr. reglna nr. 888/2004.