Reglur nr. 50/2023 um rafræna vöktun
1. gr.
Markmið og gildissvið
Markmið reglna þessara er að stuðla að jafnvægi milli annars vegar einkalífsréttar og hins vegar hagsmuna ábyrgðaraðila af því að tryggja öryggi og hafa eðlilegt eftirlit með starfsmönnum og öðrum sem sæta rafrænni vöktun.
Reglur þessar gilda um rafræna vöktun á almannafæri, svo og á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði, þ. á m. í sameign fjöleignarhúsa eða á sameiginlegri lóð. Reglurnar gilda óháð því hvers konar búnaður er notaður, svo sem eftirlitsmyndavélar, vefmyndavélar, ökuritar, staðsetningarbúnaður eða símvöktunarbúnaður.
2. gr.
Hugtök
Merking hugtaka í reglum þessum er sem hér segir:
1. Rafræn vöktun: Vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer að jafnaði um. Hugtakið tekur til:
a. vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga, og
b. sjónvarpsvöktunar sem fer fram með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.
2. Ábyrgðaraðili: Sá aðili sem ákveður, einn eða í samvinnu við aðra, tilgang og aðferðir við rafræna vöktun.
3. Vöktun með vinnuskilum: Viðvarandi eða reglubundin vöktun sem fer fram í þeim tilgangi að hafa eftirlit með því að starfsmenn fari að fyrirmælum vinnuveitanda og/eða þeim lögum og reglum sem gilda um starfið, svo og eftir atvikum til að meta einstaklingsbundið vinnuframlag eða afköst.
4. Staðsetningarbúnaður: Rafrænn búnaður sem vinnur eða gerir unnt að vinna persónuupplýsingar um staðsetningu og ferðir einstaklinga.
5. Ökuriti: Rafrænn búnaður í ökutæki sem vinnur eða gerir unnt að vinna persónuupplýsingar um ökumenn, þ. á m. um ferðir þeirra og/eða aksturslag.
3. gr.
Tilgangur vöktunar
Rafræn vöktun er ávallt háð því skilyrði að hún fari fram í skýrt tilgreindum, lögmætum og málefnalegum tilgangi, svo sem í þágu öryggis eða eignavörslu. Rafræn vöktun svæðis þar sem takmarkaður hópur fólks fer um að jafnaði er jafnframt háð því skilyrði að hennar sé sérstök þörf, svo sem vegna eðlis þeirrar starfsemi sem þar fer fram.
4. gr.
Meðalhóf
Við ákvörðun um hvort viðhafa skuli rafræna vöktun skal ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum.
Við alla rafræna vöktun skal þess jafnframt gætt að ekki sé gengið lengra en brýna nauðsyn ber til miðað við þann tilgang sem að er stefnt. Gæta skal þess að einkalífsréttur þeirra sem sæta vöktun sé virtur og forðast skal alla óþarfa íhlutun í einkalíf þeirra. Á þetta meðal annars við þegar tekin er ákvörðun um hvort viðhafa skuli rafræna vöktun, um umfang hennar, vinnslu persónuupplýsinga sem verða til við hana, aðgang að þeim og varðveislutíma þeirra.
5. gr.
Vinnsla persónuupplýsinga
Vinnsla persónuupplýsinga sem á sér stað í tengslum við rafræna vöktun skal uppfylla ákvæði laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og ákvæði reglugerðar (ESB) 2016/679.
Heimilt er í tengslum við framkvæmd rafrænnar vöktunar að safna efni sem verður til við vöktunina, svo sem hljóð- og myndefni, með viðkvæmum persónuupplýsingum og upplýsingum um refsiverða háttsemi ef eftirfarandi skilyrði eru uppfyllt:
1. vöktunin sé nauðsynleg og fari fram í öryggis- eða eignavörsluskyni;
2. það efni sem til verður við vöktunina verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða á grundvelli 10. gr. reglna þessara; heimilt er þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað en þá skal þess gætt að eyða öllum öðrum eintökum af efninu;
3. því efni sem safnast við vöktunina verði eytt þegar ekki er lengur málefnaleg ástæða til að varðveita það.
6. gr.
Réttindi hins skráða
Sá sem sætt hefur rafrænni vöktun á rétt á að skoða gögn sem verða til um hann við vöktunina á grundvelli 1. mgr. 15. gr. reglugerðar (ESB) 2016/679, standi önnur ákvæði hennar því ekki í vegi.
Jafnframt á sá sem sætt hefur rafrænni vöktun rétt á afriti af þeim persónuupplýsingum um hann sem verða til við slíka vöktun samkvæmt nánari fyrirmælum 3. mgr. 15. gr. reglugerðar (ESB) 2016/679. Rétturinn til að fá afrit skal þó ekki skerða réttindi og frelsi annarra.
7. gr.
Vöktun með leynd
Vöktun með leynd er óheimil nema hún styðjist við sérstaka lagaheimild eða úrskurð dómara.
8. gr.
Viðvaranir og fræðsla um rafræna vöktun
Ábyrgðaraðili skal gera viðvart um að rafræn vöktun fari fram með merki eða á annan áberandi hátt, þannig að einstaklingum sem eiga að sæta vöktuninni sé ljóst, áður en þeir koma inn á vaktað svæði eða vöktun hefst, að vöktunin er viðhöfð og hver er ábyrgðaraðili hennar.
Viðvörun um rafræna vöktun skal einnig hafa að geyma upplýsingar um hvar megi fá nánari fræðslu um vöktunina, til samræmis við ákvæði 13. gr. reglugerðar (ESB) 2016/679, eða rafrænan tengil á slíka fræðslu.
Ábyrgðaraðili rafrænnar vöktunar skal jafnframt kynna sérstaklega þeim hópum fólks sem að jafnaði fara um hið vaktaða svæði, sbr. 2. mgr. 1. gr. reglna þessara, með sannanlegum hætti þær upplýsingar sem honum ber að veita vegna vöktunarinnar samkvæmt 12.-13. gr. reglugerðar (ESB) 2016/679. Getur þetta til að mynda átt við um starfsfólk á vinnustað, nemendur skóla og eigendur og íbúa fjöleignarhúss.
Persónuvernd útbýr fyrirmynd að merkingum samkvæmt 1. mgr., svo og sérstök eyðublöð fyrir fræðslu og upplýsingar samkvæmt 2. og 3. mgr.
9. gr.
Sérákvæði um viðvaranir og fræðslu um sjónvarpsvöktun
Ábyrgðaraðili sjónvarpsvöktunar skal gera viðvart um að rafræn vöktun fari fram með merki eða á annan áberandi hátt, þannig að einstaklingum sem eiga að sæta vöktuninni sé ljóst, áður en þeir koma inn á vaktað svæði eða vöktun hefst, að vöktunin er viðhöfð og hver er ábyrgðaraðili hennar.
Viðvörun um rafræna sjónvarpsvöktun skal einnig hafa að geyma upplýsingar um hvar megi fá nánari fræðslu um vöktunina eða rafrænan tengil á slíka fræðslu. Skal hún að lágmarki innihalda eftirtaldar upplýsingar:
1. heiti og samskiptaupplýsingar ábyrgðaraðilans og, eftir atvikum, fulltrúa hans,
2. samskiptaupplýsingar persónuverndarfulltrúa, ef við á,
3. upplýsingar um tilgang vöktunarinnar,
4. upplýsingar um að vöktunarefni sé ekki varðveitt,
5. hverjir eða hvaða hópar hafa aðgang að því vöktunarefni sem streymt er,
6. upplýsingar um réttinn til að leggja fram kvörtun hjá Persónuvernd vegna vöktunarinnar.
Ábyrgðaraðili sjónvarpsvöktunar skal jafnframt kynna sérstaklega þeim hópum fólks sem að jafnaði fara um hið vaktaða svæði, sbr. 2. mgr. 1. gr. reglna þessara, með sannanlegum hætti þær upplýsingar sem honum ber að veita vegna vöktunarinnar samkvæmt þessu ákvæði. Getur þetta til að mynda átt við um starfsfólk á vinnustað, nemendur skóla og eigendur og íbúa fjöleignarhúss.
Persónuvernd útbýr fyrirmynd að merkingum samkvæmt 1. mgr., svo og sérstök eyðublöð fyrir fræðslu og upplýsingar samkvæmt 2. og 3. mgr.
10. gr.
Miðlun persónuupplýsinga sem verða til við rafræna vöktun
Eingöngu er heimilt að miðla persónuupplýsingum sem verða til við rafræna vöktun í eftirfarandi tilvikum:
1. hinir skráðu samþykkja það og samþykkið uppfyllir kröfur 10. gr. laga nr. 90/2018, sbr. 7. gr. reglugerðar (ESB) 2016/679;
2. upplýsingarnar varða slys eða meintan refsiverðan verknað og eru afhentar lögreglu;
3. mælt er fyrir um miðlun upplýsinganna í lögum;
4. upplýsingarnar eru nauðsynlegar einum eða fleiri hinna skráðu til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja, t.d. þegar tryggingafélag tekur afstöðu til bótaskyldu;
5. ákvörðun Persónuverndar um að heimila miðlun upplýsinganna liggur fyrir.
11. gr.
Varðveisla persónuupplýsinga sem verða til við rafræna vöktun
Óheimilt er að varðveita persónuupplýsingar sem verða til við rafræna vöktun nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar.
Persónuupplýsingum sem safnast við rafræna vöktun skal eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær. Málefnaleg ástæða til varðveislu upplýsinga getur meðal annars byggst á fyrirmælum í lögum eða því að ábyrgðaraðili vinni enn með þær í samræmi við upphaflegan tilgang með öflun þeirra. Upplýsingar sem verða til við rafræna vöktun má þó ekki varðveita lengur en í 30 daga nema lög heimili eða eitthvað af eftirtöldu eigi við:
1. upplýsingarnar geta skipt máli fyrir öryggi ríkisins og bandamanna þess, samskipti við erlend ríki eða aðra mikilvæga þjóðaröryggishagsmuni;
2. hinir skráðu samþykkja lengri varðveislutíma og samþykkið uppfyllir kröfur 10. gr. laga nr. 90/2018, sbr. 7. gr. reglugerðar (ESB) 2016/679;
3. upplýsingarnar verða til við aðgerðaskráningu eða eru geymdar á öryggisafritum;
4. upplýsingarnar eru nauðsynlegar til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja;
5. Persónuvernd heimilar sérstaklega eða mælir fyrir um lengri varðveislutíma.
12. gr.
Vöktun með vinnuskilum
Vöktun með vinnuskilum er háð því að hennar sé sérstök þörf, svo sem vegna þess að:
1. ekki sé unnt að koma við verkstjórn með öðrum hætti;
2. hún sé nauðsynleg vegna ákvæða kjarasamnings eða annars konar samkomulags um launakjör, einkum þegar laun eru byggð á afkastatengdu, tímamældu launakerfi.
3. án vöktunarinnar sé ekki unnt að tryggja öryggi á viðkomandi svæði, svo sem í ljósi laga og sjónarmiða um hollustuhætti og mengunarvarnir.
Óheimilt er að hefja vöktun með vinnuskilum nema að undangengnu mati á áhrifum á persónuvernd, sbr. 7. tölul. 3. gr. auglýsingar nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd.
13. gr.
Vöktun með ferðum manna
Notkun ökurita eða staðsetningarbúnaðar í því skyni að fylgjast með ferðum eða staðsetningu einstaklinga er háð því skilyrði að hennar sé sérstök þörf til að ná lögmætum og málefnalegum tilgangi, t.d. til að tryggja gæði þjónustu eða í þágu umhverfis- eða öryggissjónarmiða.
Ef í ökutæki sem heimilt er að nota í einkaerindum er ökuriti eða staðsetningarbúnaður skal vera unnt að slökkva á búnaðinum. Skal hinn skráði upplýstur um það með sannanlegum hætti.
Um viðvaranir og fræðslu fer að öðru leyti eftir ákvæðum 8. gr. reglna þessara eftir því sem við á.
14. gr.
Heimild og brottfall regla
Reglur þessar eru settar samkvæmt heimild í 5. mgr. 14. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og öðlast þegar gildi.
Samhliða gildistöku reglna þessara falla úr gildi reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.
Persónuvernd, 10. janúar 2023,
Ólafur Garðarsson Helga Þórisdóttir