Álit
Mál nr. 2014/1453
Hinn 2. febrúar 2015 samþykkti stjórn Persónuverndar, með vísun til 5. tölul. 3. mgr. 37. gr. laga nr. 77/2000, svohljóðandi álit í máli nr. 2014/1453:
1.
Tildrög máls og bréfaskipti
Í október 2014 birtist myndband af bílveltu í bílakjallaranum við Höfðatorg víða í fjölmiðlum. Umrætt myndskeið sýnir atvik sem átti sér stað þann 17. júlí 2011 og var myndbandið því rúmlega þriggja ára gamalt þegar það var birt. Af þessu tilefni ákvað Persónuvernd að hefja frumkvæðisathugun á lögmæti meðferðar umræddrar myndbandsupptöku.
Með bréfi, dags. 23. október 2014, tilkynnti Persónuvernd framkvæmdastjóra Contra ehf. um málið og óskaði eftir skýringum á því hvers vegna umrætt myndefni, sem aflað hefði verið við rafræna vöktun, væri enn til í fórum félagsins og hvers vegna því hefði ekki verið eytt eftir að aðkomu lögreglu að málinu lauk, í samræmi við fyrirmæli 2. mgr. 7. gr. reglna nr. 837/2006, um rafræna vöktun og meðferð myndefnis sem safnast við rafræna vöktun. Þá óskaði stofnunin einnig eftir afriti af reglum félagsins um rafræna vöktun, sbr. 10. gr. sömu reglna. Ef slíkar reglur væru ekki fyrir hendi óskaði stofnunin eftir afriti af því fræðsluefni sem félagið veitti þeim sem sættu umræddri vöktun, sbr. einnig 10. gr. sömu reglna. Loks óskaði stofnunin eftir að henni bærist afrit af öryggisráðstöfunum ábyrgðaraðila til samræmis við 11. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Með bréfi, dags. 14. nóvember 2014, veitti [lögmaður A], fyrir hönd HTO ehf. og Rekstrarfélagsins H1 skýringar. Í upphafi bréfsins er þess getið að eigandi fasteignarinnar að Katrínartúni 2 (Höfðatorgi) sé félagið HTO ehf. Það félag sé í eigu FAST-1 slhf. en að félagið Contra ehf. hafi hvorki aðkomu að daglegum rekstri fasteignarinnar né hafi það aðkomu að öryggismyndavélum eða vöktun eignarinnar. Engu að síður væri framkvæmdastjóri Contra ehf. jafnframt framkvæmdastjóri HTO ehf., samkvæmt þjónustusamningi milli FAST-1 slhf. og Contra ehf., og því hefði bréf Persónuverndar komist í réttar hendur. Þá sagði jafnframt að öryggiskerfi, þ.m.t. öryggismyndvélar, væri bæði rekið af HTO ehf. vegna bílakjallara og einnig af Rekstrarfélagi H1, en það félag færi með sameiginlegan rekstur leigutaka í Katrínartúni 2. Hefðu báðir fyrrnefndir aðilar falið [lögmanni A] að svara erindi Persónuverndar.
Í bréfi HTO ehf. og Rekstrarfélagsins H1 kom fram að félögin teldu ekki augljóst að umrætt myndband fæli í sér persónuupplýsingar, þar sem andlit og bílnúmer væru illgreinanleg á myndbandsupptökunni. Þá er bent á að ákveðnum öryggisráðstöfunum sé fylgt við vöktun bílakjallarans og ekkert efni sé geymt lengur en í 14 daga, nema sérstaklega standi á. Þá segir að einungis aðilar sem hafi aðgangskóða geti nálgast upptekið efni en einungis tveir aðilar hefðu slíkan aðgang – [B], , og Öryggismiðstöðin. Hvað viðkemur verklagsreglum um rafræna vöktun segir í bréfinu að þó svo að ströngum verklagsreglum hafi verið fylgt hafi slíkar reglur ekki verið ritaðar niður, en slíkt standi til bóta. Varðandi fræðslu til þeirra sem sættu vöktuninni er tekið fram að umrædd vöktun hafi náð til nær allra þeirra sem leið ættu um bílakjallarann. Þar sé víðsvegar að finna merkingar um vöktunina sem ættu ekki að fara framhjá þeim sem eiga leið um svæðið. Loks er þess getið í bréfi félaganna, varðandi það hvers vegna félagið hefði í fórum sínum rúmlega þriggja ára gamalt myndband úr eftirlitsmyndavélakerfum þeirra, að fyrirsvarsmenn félaganna höfðu ekki vitneskju um að umrætt myndefni væri í fórum félaganna og vissu ekki um tilvist þess fyrr en við birtingu þess á Facebook. Samkvæmt upplýsingum frá Öryggismiðstöðinni hefði atvikum verið þannig háttað að óskað var aðkomu lögreglu vegna bílveltunnar, sem sýnd var á myndbandsupptökunni, og starfsmaður Öryggismiðstöðvarinnar hefði afhent lögreglu afrit af myndefni samkvæmt ósk þar um. Þá er tekið fram að þáverandi eigandi fasteignarinnar var Eykt ehf. en félögin hafa ekki upplýsingar um hvort því félagi eða starfsmönnum þessi hafi einnig verið afhent afrit af upptökunum. Loks er tekið fram að birting umsjónarmanns fasteignarinnar á myndbandinu, á sinni persónulegu Facebook síðu þann 22. október 2014, hafi verið án vitneskju og vilja vinnuveitanda hans og hafði engin tengsl við starfsskyldur hans sem umsjónarmanns.
Með tölvubréfi, dags. 12. janúar 2015, óskaði Persónuvernd staðfestir á því frá lögmanni ábyrgðaraðila að félögin HTO ehf. og Rekstrarfélagið H1 ehf. litu á sig sameiginlega sem ábyrgðaraðila. Með símtali þann 2. febrúar 2015 staðfesti lögmaður félaganna, með vísan til svarbréfs síns frá 14. nóvember 2014, að svo væri.
2.
Forsendur og niðurstaða
2.1.
Þau lög, sem Persónuvernd framfylgir og starfar eftir, þ.e. lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, gilda um vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.
Samkvæmt 6. tölul. 2. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er með „rafrænni vöktun“ í lögunum átt við vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði. Í ákvæðinu kemur einnig fram að vöktun falli undir lögin hvort sem hún fer fram á almannafæri eða á svæði, sem takmarkaður hópur fólks fer um að jafnaði, og óháð því hvort um sé að ræða:
1. vöktun sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga eða
2. sjónvarpsvöktun sem fer fram með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.
Í ljósi ofangreinds telst vöktun með eftirlitsmyndavélum, líkt og um er að ræða hér, til rafrænnar vöktunar í skilningi laga nr. 77/2000. Í því myndbandi sem hér um ræðir má sjá tvo einstaklinga ásamt bifreið. Þrátt fyrir að bílnúmer bifreiðarinnar og andlit séu illgreinanleg eru engu að síður líkur á því að þeir sem þekkja til atviksins, eða einstaklinganna sem um ræðir, geti borið kennsl á þá í umræddu myndbandi. Með vísan til framangreinds fellur vinnsla, þ.m.t. birting myndbandsupptökunnar, undir gildissvið laga nr. 77/2000.
2.2.
Samkvæmt 1. mgr. 4. gr. laga nr. 77/2000 er rafræn vöktun ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi, s.s. í öryggis- eða eignavörsluskyni. Rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram. Um slíka vöktun hefur Persónuvernd sett reglur nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem til verða við rafræna vöktun, sbr. 5. mgr. 37. gr. laga nr. 77/2000.
Sú vinnsla, sem fram fer í tengslum við vöktun, verður, eins og önnur vinnsla persónuupplýsinga, að styðjast við eitthvert af skilyrðum 8. gr. og eftir atvikum 9. gr. laga nr. 77/2000. Sé um að ræða rafræna vöktun, þar sem unnið er með viðkvæmar persónuupplýsingar, reynir einnig á hvort kröfum 2. mgr. 9. gr. sé fullnægt. Þar er kveðið á um að heimilt sé, í tengslum við framkvæmd rafrænnar vöktunar, að safna efni með slíkum persónuupplýsingum, sem verður til við vöktunina, að því gefnu að:
1. vöktunin sé nauðsynleg og fari fram í öryggis- og eignavörsluskyni;
2. það efni, sem til verður við vöktunina, verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða samkvæmt ákvörðun Persónuverndar; heimilt sé þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað, en þá skuli þess gætt að eyða öllum öðrum eintökum af efninu; og
3. því efni, sem safnast við vöktunina, verði eytt þegar ekki er lengur málefnaleg ástæða til að varðveita það, nema sérstök heimild Persónuverndar standi til frekari varðveislu, sbr. og 2. mgr. 7. gr. reglna nr. 837/2006.
Á þeim sjónarmiðum um meðalhóf og áreiðanleika við vinnslu persónuupplýsinga, sem hér hafa verið rakin, er byggt í 2. tölul. 2. mgr. 9. gr. laga nr. 77/2000 en samkvæmt ákvæðinu getur tiltekin vinnsla vegna rafrænnar vöktunar verið heimil enda þótt ekkert af ákvæðum 1. mgr. sé uppfyllt. Það er þó háð þeim skilyrðum sem þar greinir, þ. á m. því skilyrði að myndefni, sem til verður við vöktun verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða samkvæmt ákvörðun Persónuverndar. Heimilt er þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað, en þá skal þess gætt að eyða öllum öðrum eintökum af efninu. Að baki þessu ákvæði býr m.a. sú grunnregla íslensks réttar að uppljóstran sakamála og refsivarsla er á hendi lögreglu og að það er ekki á valdi einstaklinga eða fyrirtækja að taka með einhverjum hætti að sér þetta hlutverk ríkisvaldsins. Ákvæði 2. mgr. 9. gr. laganna er og sett með tilliti til þeirra sjónarmiða sem liggja til grundvallar meginreglu 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um áreiðanleika vinnslu, en myndefni sem einn aðili telur veita tilefni til ályktunar um lögbrot felur ekki ávallt í sér staðfestingu á að brot hafi í raun verið framið og getur við nánari rannsókn oft reynst óáreiðanlegt.
Þá er jafnframt óheimilt að varðveita upplýsingar sem verða til við rafræna vöktun lengur en í 90 daga nema lög heimili sbr. 2. mgr. 7. gr. reglna nr. 837/2006. Ekki liggur fyrir að undantekningar ákvæðisins sem heimila lengri varðveislutíma, s.s. að varðveita hafi þurft upptöku vegna fyrirliggjandi réttarágreinings, eigi við í umræddu tilviki.
2.3.
Í máli þessu liggur fyrir að myndband úr öryggismyndavélum af bílveltu í bílakjallaranum við Höfðatorg var birt á netinu þann 22. október 2014. Af myndbandinu má ráða að atvikið sem sýnt er átti sér stað þann 17. júlí 2011. Myndbandið er því rúmlega þriggja ára gamalt og felur auk þess upplýsingar um það hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, sbr. b-lið 8. tölul. 2. gr. laga nr. 77/2000, sem teljast viðkvæmar persónuupplýsingar. Fjölmiðlaumfjöllun um málið greindi frá því að [B], , að höfðu samráði við [C], hefði birt umrætt myndband á netinu, upphaflega á vefsíðunni www.youtube.com og síðar Facebook síðu sinni. Í kjölfarið var myndbandið einnig birt á vefsíðum allra stærri fjölmiðla landsins, sbr. fréttir á heimasíðunum www.visir.is, www.mbl.is, www.dv.is, www.kjarninn.is, www.pressan.is, frá 22. október 2014. Í fyrrnefndum fjölmiðlum mátti einnig finna lýsingar af atvikinu og því eignatjóni sem varð, af hálfu [B], ásamt upplýsingum um ætlaðar fyrirætlanir ökumanns og heilsufarsástand hans.
Í ljósi alls framangreinds er það mat Persónuverndar að umrædd varðveisla og miðlun myndbandsupptöku úr eftirlitsmyndavélakerfi HTO ehf. og Rekstrarfélags H1 ehf. hafi ekki samrýmst lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga og reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem safnast við rafræna vöktun.
Að lokum bendir Persónuvernd á ákvæði 10. gr. reglna nr. 837/2006. Þar segir að ábyrgðaraðili að rafrænni vöktun skuli setja sér sérstakar reglur um vöktunina, eða veita fræðslu til þeirra sem sæta vöktun. Í svarbréfi HTO ehf. og Rekstrarfélagsins H1 kemur fram að slíkar reglur séu ekki til staðar. Þá bárust stofnuninni ekki afrit af öryggisráðstöfunum ábyrgðaraðila samkvæmt 11. gr. laga nr. 77/2000, eins og óskað var eftir með bréfi stofnunarinnar, dags. 23. október 2014. Í 11. gr. segir að ábyrgðaraðila beri að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Stofnunin hefur eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum, s.s. með nýrri frumkvæðisathugun síðar eða úttekt á öryggi persónuupplýsinga, telji stofnunin tilefni til þess.
Á l i t s o r ð
Varðveisla og miðlun myndbandsupptöku úr eftirlitsmyndavélakerfi úr bílakjallara við Höfðatorg þann 22. október 2014 samrýmdist ekki ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og reglna nr. 837/2006, um rafræna vöktun og meðferð myndefnis sem safnast við rafræna vöktun.