Huppuís ehf. sektað vegna vöktunar með eftirlitsmyndavélum í starfsmannarými
Mál nr. 2020010545
Persónuvernd hefur lagt stjórnvaldssekt, að fjárhæð 5.000.000 krónur, á Huppuís ehf. vegna rafrænnar vöktunar í einni af fimm ísbúðum fyrirtækisins.
Upphaf málsins má rekja til kvörtunar þáverandi starfsmanns ísbúðarinnar yfir rafrænni vöktun í rými sem starfsmenn, sem margir eru undir lögaldri, nota til að hafa fataskipti og klæðast einkennisfatnaði búðarinnar. Þá var einnig kvartað yfir að merkingum um rafræna vöktun hafi verið ábótavant og að starfsmönnum ísbúðarinnar hafi ekki verið tilkynnt um vöktunina eða þeir fengið fræðslu um réttindi sín varðandi hana.
Var niðurstaða Persónuverndar sú að vinnsla persónuupplýsinga sem fólst í vöktuninni hafi ekki stuðst við fullnægjandi heimild til vinnslu samkvæmt persónuverndarlögum og hvorki hafi verið gætt að gagnsæiskröfu né meðalhófskröfu laganna. Þá er það niðurstaða Persónuverndar að ekki hafi verið gert glögglega viðvart um vöktun með merki eða á annan hátt og að fræðsluskyldu gagnvart starfsmönnum hafi ekki verið gætt. Loks er það niðurstaða Persónuverndar að Huppuís ehf. hafi brotið gegn 5. tölul. 1. mgr. 41. gr. laga nr. 90/2018 sem fjallar um aðgang Persónuverndar að gögnum, á meðan rannsókn málsins stóð.
Var því 5.000.000 kr. stjórnvaldssekt lögð á Huppuís ehf.
Við ákvörðun sektarinnar var meðal annars litið til þess að umrædd brot voru mörg og beindust gegn einstaklingum undir lögaldri, sem njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni. Einnig var litið til þess að atvinnurekendur bera fulla ábyrgð á því að rekstur þeirra samrýmist settum lögum og reglum á hverjum tíma og væri þannig skylt að tryggja viðunandi starfsumhverfi og réttindi starfsmanna sinna. Huppuís gæti því ekki borið fyrir sig vanþekkingu á lögum og reglum er það varðar. Þá mat Persónuvernd það til þyngingar að brot Huppuíss vörðuðu hagsmuni barns.
Þá var lagt fyrir Huppuís ehf. að stöðva umrædda vöktun og eyða uppteknu efni úr þeirri eftirlitsmyndavél. Enn fremur var lagt fyrir fyrirtækið að yfirfara og uppfæra verklagsreglur og fræðslu sem starfsmönnum er veitt vegna vöktunarinnar til samræmis við lög nr. 90/2018 og reglugerð (ESB) 2016/679.
Úrskurður
Hinn 15. júní 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010545 (áður nr. 2018122104):
I.
Málsmeðferð
1.
Kvörtun
Hinn 28. nóvember 2018 barst Persónuvernd kvörtun frá [A], fyrir hönd ólögráða dóttur sinnar, [B] (hér eftir nefnd kvartandi), yfir rafrænni vöktun í ísbúðinni Huppu [...]. Nánar tiltekið er kvartað yfir því að rafræn vöktun hafi farið fram í rými ísbúðarinnar þar sem starfsmenn, sem margir séu undir lögaldri, hafi fataskipti. Einnig lýtur kvörtunin að því að merkingum um rafræna vöktun hafi verið ábótavant og að starfsmönnum ísbúðarinnar hafi ekki verið tilkynnt um vöktunina eða þeir fræddir um réttindi sín varðandi hana.
2.
Yfirlit yfir meðferð máls
Með bréfi, dags. 22. janúar 2019, var Ískú ehf., eignarhaldsaðila Huppuíss ehf., boðið að koma á framfæri skýringum vegna kvörtunarinnar. Hinn 28. s.m. höfðu forsvarsmenn Ískú ehf. samband við Persónuvernd símleiðis og óskuðu eftir upplýsingum um málsmeðferð og buðust til að senda myndir af eftirlitsmyndavélunum ásamt merkingum um vöktunina sem Persónuvernd þáði. Þá var Persónuvernd boðið að koma á staðinn og skoða aðstæður. Þar sem hvorki svarbréf né umræddar myndir höfðu borist frá Ískú ehf., fyrir uppgefinn frest var erindi Persónuverndar ítrekað með bréfi, dags. 26. febrúar s.á. Svarað var með bréfi, dags. 7. mars s.á. Þar sem Persónuvernd taldi erindi sínu, dags. 22. janúar 2019, enn ósvarað með fullnægjandi hætti var Ískú ehf. send ítrekun þess efnis með bréfi, dags. 12. mars s.á., og aftur með bréfi, dags. 2. júlí s.á. Þá var, með símtali 18. s.m., áréttuð beiðni stofnunarinnar um upplýsingar um það hvernig staðið hefði verið að fræðslu starfsmanna. Jafnframt óskaði Persónuvernd eftir ljósmyndum af staðsetningu myndavélanna ásamt skjáskoti af sjónsviði hverrar vélar og myndum af merkingum um rafræna vöktun í búðinni. Hinn 6. ágúst 2019 bárust stofnuninni skjáskot úr tveimur af fimm eftirlitsmyndavélum búðarinnar án skýringa. Hinn 27. og 28. ágúst 2019 fóru starfsmenn Persónuverndar í vettvangsathugun í ísbúðina [...] og lögðu spurningar fyrir forsvarsmenn ísbúðarinnar vegna málsins.
Í ljósi vettvangsathugunar Persónuverndar og þeirra upplýsinga sem þar komu fram taldi Persónuvernd þörf á nánari upplýsingum frá kvartanda um aðstöðu starfsmanna til fataskipta í ísbúðinni og hafði stofnunin samband við hana símleiðis þann 15. október 2019. Í símtalinu staðfesti kvartandi m.a. að ógerlegt hefði verið fyrir starfsmenn að hafa fataskipti inni á salerni starfsmanna sökum þrengsla.
Með bréfi, dags. 4. nóvember 2020, var Ískú ehf. gefinn kostur á andmælum vegna hugsanlegrar álagningar stjórnvaldssektar á fyrirtækið vegna málsins. Svarað var með tölvupósti 9. s.m. Í ljósi þeirra svara sem fram komu í fyrrgreindum tölvupósti hringdi Persónuvernd 30. s.m. í forsvarsaðila Ískú ehf. og brýndi fyrir þeim mikilvægi þess að fyrirtækið nýtti sér andmælarétt sinn til þess að setja fram sjónarmið sín vegna mögulegrar álagningar stjórnvaldssektar. Hinn 11. desember s.á. hafði lögmaður Ískú ehf. samband símleiðis við Persónuvernd og óskaði upplýsinga um málið. Hinn 14. s.m. barst Persónuvernd svarbréf frá Ískú ehf.
Þar sem kvartandi hafði orðið lögráða undir rekstri málsins hafði Persónuvernd samband við hana símleiðis 20. apríl 2021 og óskaði afstöðu hennar til áframhaldandi málareksturs. Kvartandi staðfesti við Persónuvernd vilja sinn til að vinnslu málsins yrði fram haldið.
Í ljósi þess að bréfum stofnunarinnar hafði framan af verið beint að Ískú ehf., sem er eigandi Huppuíss ehf., sendi Persónuvernd Huppuís ehf. bréf, dags. 21. apríl 2021, þar sem óskað var staðfestingar á eignarhaldi Huppuísbúða, og var Huppuís ehf. jafnframt gefinn kostur á að koma að frekari andmælum vegna málsins. Í svari Huppuíss ehf., sem barst 7. maí 2021, er staðfest að Ískú ehf. sé eitt eigandi alls hlutafjár Huppuíss ehf., sem er sá lögaðili sem á og rekur ísbúð Huppu í [...]. Af því tilefni sjái forsvarsaðilar Huppuíss ehf. ekki tilefni til þess að koma að frekari andmælum og vísa til framkominna andmæla frá Ískú ehf. í málinu. Verður því hér eftir vísað til lögaðilans Huppuíss ehf. sem eiganda og rekstraraðila ísbúðarinnar.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna og upplýsinga, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð máls þessa hefur dregist vegna mikilla anna hjá Persónuvernd og vegna tafa á svörum frá Huppuís ehf.
3.
Sjónarmið kvartanda
Kvartandi byggir kvörtun sína einkum á því að rafræn vöktun fari fram í rými ísbúðarinnar þar sem starfsmenn, sem margir séu undir lögaldri, hafi fataskipti. Einnig er vísað til þess að starfsmönnum ísbúðarinnar hafi ekki verið tilkynnt um vöktunina eða þeir fræddir um réttindi sín varðandi hana. Þá bendir kvartandi á að merkingar um vöktunina hafi verið ófullnægjandi.Í kvörtuninni kemur fram að þess sé krafist að starfsmenn Huppuíss ehf. klæðist fatnaði sem fyrirtækið leggi þeim til. Aðstaðan sem starfsmenn hafi til fataskipta sé í reynd ræstiklefi þar sem miklu magni efna og búnaðar fyrir ræstingu hafi verið komið fyrir. Ekkert rými eða lokað afdrep sé því fyrir starfsmenn, sem séu ólögráða táningsstúlkur, til að hafa fataskipti. Þær eigi því ekki annars úrkosti en að hafa fataskipti í almenna starfsmannarýminu (millirými) þar sem ein hinna fimm eftirlitsmyndavéla sé staðsett. Að lokum kemur fram að það hafi valdið kvartanda vanlíðan að verða þess áskynja að hún væri undir rafrænu eftirliti þar sem hún hefði fataskipti.
Í samtali kvartanda við Persónuvernd hinn 15. október 2019 kom fram að enginn nýtilegur búningsklefi eða aflokað afdrep hefði verið til staðar þegar hún lagði fram kvörtunina hjá Persónuvernd og þangað til henni var sagt upp störfum í kjölfar kvörtunarinnar þann 15. febrúar s.á. Baka til í ísbúðinni hefði verið þvottahús með litlu klósetti en þar hefði ekki verið mögulegt að skipta um föt sökum þrengsla vegna þeirra áhalda og efna sem þar voru geymd til þrifa. Þá áréttaði kvartandi að hún hefði engar athugasemdir gert við að eftirlitsmyndavélum væri beint að sjóðvél og veitingasal.
4.
Vettvangsathuganir Persónuverndar
Með bréfi, dags. 23. ágúst 2019, var Huppuís ehf. tilkynnt um fyrirhugaða vettvangsathugun Persónuverndar þriðjudaginn 27. s.m. í ísbúð Huppu [...]. Í tilkynningunni kom fram að mikilvægt væri að forsvarsaðili ísbúðarinnar væri á staðnum og gæti sýnt starfsmönnum Persónuverndar aðstæður í ísbúðinni, meðal annars upptökur úr eftirlitsmyndavélum. Jafnframt var óskað staðfestingar á því hver tæki á móti starfsmönnum stofnunarinnar. Svarað var með tölvupósti 26. s.m. og staðfest að [C], annar forsvarsmanna fyrirtækisins, tæki á móti starfsmönnum Persónuverndar. Hinn 27. ágúst 2019 fóru þrír starfsmenn Persónuverndar í vettvangsathugun og tók [C] á móti þeim. Strax við upphaf vettvangsathugunarinnar varð ljóst að ógerlegt væri að sýna starfsmönnum Persónuverndar sjónsvið eða upptökur úr eftirlitsmyndavélunum, þar sem engin tölva var í ísbúðinni til þess að skoða efnið. Urðu starfsmenn Persónuverndar því frá að hverfa. Huppuís ehf. var tilkynnt að Persónuvernd myndi koma aftur að sólarhring liðnum og enn var ítrekuð krafa Persónuverndar um að tryggt yrði að starfsmenn stofnunarinnar gætu skoðað sjónsvið og upptekið efni úr eftirlitsmyndavélunum. Til þess að tryggja enn frekar aðgang Persónuverndar að myndefninu var hringt í forsvarsmann Huppuíss ehf. klukkutíma áður en seinni vettvangsathugunin hófst. Staðfesti hann að vélarnar væru klárar og efni þeirra aðgengilegt. [D], einnig forsvarsmaður Huppuíss ehf., tók á móti starfsmönnum Persónuverndar í ísbúðinni 28. ágúst 2019. Enn og aftur reyndist ógerlegt að skoða sjónsvið og efni úr eftirlitsmyndavélunum, nú þar sem lykilorð vélanna hafði glatast. Athugunin fór þó fram að öðru leyti og svaraði [D] spurningum Persónuverndar. Í vettvangsathuguninni voru staðsetning eftirlitsmyndavéla, merkingar um rafræna vöktun og aðstaða starfsmanna til fataskipta sérstaklega skoðuð. Þá var meðal annars spurt um fræðslu til starfsmanna um hina rafrænu vöktun.
Í ísbúðinni reyndust vera fimm eftirlitsmyndavélar. Tvær voru uppsettar af öryggisfyrirtækinu Securitas hf. (Securitas) og er myndefni úr þeim aðeins aðgengilegt hjá því fyrirtæki. Ein myndavél var í veitingasal sem beint var að afgreiðsluborði og inngangi verslunarinnar. Þá voru tvær myndavélar í millirými ísbúðarinnar. Annarri þeirra var beint að afgreiðsluborðinu en hinni að millirými og lager.
Millirými er það rými sem er til hliðar við afgreiðslu ísbúðarinnar og gengið er inn í úr veitingasal. Það tengir saman veitingasal, afgreiðslu, lager og ræstiklefa. Þar er einnig staðsett handlaug fyrir starfsmenn.
Aðgangur að efni eftirlitsmyndavélanna þriggja sem eigendurnir höfðu sjálfir sett upp var, að þeirra sögn, bundinn við þá eina, þ.e. forsvarsmenn fyrirtækisins, [C]og [D]. Þá kváðu þeir engan fjaraðgang vera að upptökukerfinu en hreyfiskynjari væri tengdur öryggismyndavélum Securitas og ef skynjarinn væri ræstur fengi Securitas tilkynningu um það. Eigendurnir fengju jafnframt samhliða tilkynningu í tölvupósti ásamt mynd úr eftirlitsmyndavél Securitas. Þá kváðu þeir vöktunina vera framkvæmda í öryggis- og eignavörsluskyni. Forsvarsmaður fyrirtækisins staðfesti við starfsmenn Persónuverndar að efnið væri varðveitt í 2-3 vikur en því síðan eytt.
Engar merkingar um rafræna vöktun reyndust vera við inngang ísbúðarinnar eða í veitingasal þar sem viðskiptavinir dvelja. Í starfsmannarými höfðu verið settar upp merkingar um rafræna vöktun í tveimur útprentuðum A4-blöðum sem var að finna við inngang úr sal inn í millirými. Þar stóð að um væri að ræða vaktað svæði. Ekki var tilgreint á blöðunum hver væri ábyrgðaraðili vöktunarinnar eða frekari upplýsingar um hana veittar. Í vettvangsathuguninni kom fram að þegar myndavélarnar voru settar upp haustið 2018 hefði ekki gefist tími til að fræða starfsfólk um vöktunina. Það hefði því farist fyrir og ekki hefði verið hugað sérstaklega að slíkri fræðslu frá uppsetningu eftirlitsmyndavélanna. Einnig var upplýst um að engar reglur eða skrifleg fræðsla um vöktunina væri til hjá fyrirtækinu, svo sem í starfsmannahandbók.
Að lokum var starfsmönnum Persónuverndar vísað á „búningsklefa starfsfólks“ sem reyndist lítill ræstingaklefi með renndum hlera sem smíðaður hafði verið framan við þrönga salernisaðstöðu í millirými ísbúðarinnar, en klefi þessi hafði að geyma mikið magn af efnum og áhöldum til þrifa. Eigandinn kvað afdrep þetta vera búningsklefa starfsfólks, þar sem því gæfist færi á að loka að sér með rennihurð til að hafa fataskipti.
Hinn 29. ágúst 2019 bárust Persónuvernd skjáskot frá Huppuís ehf. úr þremur af fimm eftirlitsmyndavélum ísbúðarinnar, þ.e. þeim vélum sem ekki voru reknar af Securitas.
5.
Sjónarmið Huppuíss ehf.
Huppuís ehf. byggir á því að rafræn vöktun fari fram með fimm eftirlitsmyndavélum í ísbúðinni. Tvær þeirra séu tengdar öryggiskerfi Securitas sem einungis fari í gang við skynjun hreyfingar eftir lokun ísbúðarinnar. Hinar þrjár hafi þeir sjálfir sett upp og sé beint að afgreiðslu, veitingarými og að millirými ísbúðarinnar. Tilgangurinn með hinni rafrænu vöktun sé öryggis- og eignavarsla, einkum til að tryggja öryggi og hagsmuni starfsfólks og viðskiptavina. Eftirlitsmyndavél í millirými ísbúðarinnar sé ætlað að vakta starfsmanna- og lagerinngang sem oft og tíðum sé ólæstur. Huppuís ehf. hafnar því að vöktun fari fram í því rými sem forsvarsmenn kalla „búningsklefa starfsmanna“en kvartandi kallar ræstingaklefa. Það rými sé geymslurými fyrir fatnað og hreinsiefni. Ekkert sérstakt starfsmannarými sé í ísbúðinni enda krefjist starfsemin þess ekki. Eingöngu sé krafist að starfsmenn klæðist bolum og höfuðböndum við störf sín í búðinni. Kjósi starfsmenn að hafa fataskipti á staðnum geti þeir gert það inni á salerni ísbúðarinnar sem sé nægilega rúmgott. Þá tekur sérstaklega fram að enginn starfsmanna ísbúðarinnar sé undir 15 ára aldri og að mati fyrirtækisins hafi því allir starfsmenn fullan skilning á hvað felist í rafrænni vöktun og hver tilgangur hennar sé. Huppuís ehf. telji því fullnægjandi að starfsmenn samþykki sjálfir vöktunina hér eftir og veiti þannig heimild fyrir henni án aðkomu forsjáraðila.Hvað merkingar og fræðslu varðar hélt Huppuís ehf. því fram í bréfi sínu, dags. 7. mars 2019, að upplýsingar um rafræna vöktun héngu uppi á greinargóðum stað í hverri búð. Í bréfi lögmanns ísbúðarinnar, dags. 14. desember 2020, fellst Huppuís ehf. hins vegar á að hvoru tveggja merkingum og fræðslu starfsmanna hafi verið ábótavant.
Undir rekstri málsins hjá Persónuvernd kveðst Huppuís ehf. hafa gert úrbætur sem felist meðal annars í því að bæta merkingar í ísbúðinni og setja ákvæði um rafræna vöktun og réttindi einstaklinga vegna hennar inn í ráðningarsamning starfsmanna. Eftirleiðis verði starfsmenn beðnir um að samþykkja vöktunina sérstaklega með undirritun sinni á ráðningarsamning, staðfesta að þeim hafi verið kynnt ákvæði um rafræna vöktun og réttindi þeirra þar að lútandi og geri ekki athugasemdir við vöktunina. Starfsmönnum sem þegar hafi verið ráðnir, sem hvorki séu meðvitaðir um vöktunina né réttindi sín, verði veitt skrifleg fræðsla um hvort tveggja. Með framangreindum breytingum telur Huppuís ehf. að fyrirtækið hafi þegar uppfyllt skilyrði laga nr. 90/2018, reglugerðar (ESB) 2016/679 og reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, hvað varðar fræðslu- og upplýsingaskyldu.
6.
Andmælaferli vegna mögulegrar álagningar sekta
Í bréfi Persónuverndar til Huppuíss ehf., dags. 4. nóvember 2020, var farið yfir einstaka liði 47. gr. laga nr. 90/2018 þar sem fjallað er um sjónarmið sem líta ber til við ákvörðun um hvort lögð verði á stjórnvaldssekt og hver fjárhæð hennar skuli vera. Var Huppuís ehf. veitt færi á að koma sjónarmiðum sínum á framfæri hvað það varðar. Í svarbréfi sínu, dags. 14. desember s.á., vísar Huppuís ehf. til þess, hvað varðar eðli, umfang og tilgang vinnslunnar, að tilgangur vöktunarinnar hafi fyrst og fremst verið að vernda eignir fyrirtækisins og öryggi og heilsu starfsfólks. Forsvarsmenn Huppuíss ehf. hafi verið í góðri trú, en ekki verið meðvitaðir um allar þær reglur og skilyrði sem þeim hafi borið að uppfylla. Allt starfsfólk ísbúðarinnar hafi vitað af vöktuninni enda hafi hún ekki farið fram með leynd og enginn hafi gert athugasemdir við hana áður. Þá hafi enginn starfsmaður orðið fyrir nokkru tjóni vegna vöktunarinnar.
Huppuís ehf. fellst á það með Persónuvernd að merkingum og fræðslu um hina rafrænu vöktun, er fram fari í ísbúðinni, hafi verið ábótavant. Hins vegar halda þeir því fram að gáleysi og vanþekkingu hafi verið um að kenna. Fyrirtækið hafi brugðist við ábendingum Persónuverndar og telji sig nú uppfylla öll skilyrði vegna vöktunarinnar. Þá hafi fyrirtækið ekki áður gerst brotlegt við persónuverndarlög. Meðal úrbóta sem gerðar hafi verið í kjölfar kvörtunarinnar sé að bætt hafi verið úr merkingum og ákvæðum um rafræna vöktun hafi verið bætt inn í ráðningarsamninga, ásamt upplýsingum um réttindi starfsmanna varðandi hana. Einnig sé fyrirhugað að upplýsa og fræða þá starfsmenn, sem ekki séu meðvitaðir um eða hafi ekki kynnt sér réttindi sín vegna vöktunarinnar, svo sem áður kom fram. Þá hafi verið gerðar ráðstafanir svo veita megi aðgang að myndefni eftirlitsmyndavélanna þegar þess kann að verða krafist.
Hvað ábyrgð ábyrgðaraðila með hliðsjón af tæknilegum og skipulagslegum ráðstöfunum varðar kveðst Huppuís ehf. ávallt vista allt upptekið efni sem til verði við rafræna vöktun á læstu svæði sem einungis sé aðgengilegt forsvarsmönnum ísbúðarinnar. Ekkert hins upptekna efnis hafi verið unnið, birt eða afhent öðrum.
Forsvarsmenn Huppuíss ehf. harma og biðjast velvirðingar á því að hafa ekki sýnt góða samvinnu og brugðist fyrr og ítarlegar við fyrirspurnum og ábendingum Persónuverndar, né heldur fylgt fyrirmælum stofnunarinnar um úrbætur fyrr, en það hafi verið vegna vanþekkingar á reglum um rafræna vöktun. Þá hafi forsvarsmenn Huppuíss ehf. ekki fyllilega skilið ábendingar og tilmæli Persónuverndar fyrr en þeir leituðu aðstoðar lögmanns. Fyrirtækið harmar einnig að ekki hafi verið mögulegt að verða við beiðni Persónuverndar um aðgang að myndavélunum líkt og fyrirtækinu beri skylda til.
Þá vísar Huppuís ehf. til þess að hin rafræna vöktun hafi ekki verið til þess að auka hagnað eða komast hjá tapi á neinn hátt. Þvert á móti fylgi henni nokkur kostnaður. Engin skylda sé til að viðhafa vöktun í ísbúðinni en henni sé meðal annars ætlað að tryggja öryggi starfsfólks.
Í ljósi framkominna upplýsinga um að bætt hefði verið úr skorti á fræðslu starfsmanna um hina rafrænu vöktun er fram fór í ísbúðinni Huppu [...] óskaði Persónuvernd, með símtali hinn 8. janúar 2021, eftir afriti af ráðningarsamningi starfsmanna í afgreiðslu ísbúðarinnar, ásamt upplýsingum um fræðslu til þeirra vegna vöktunarinnar. Afrit ráðningarsamnings barst Persónuvernd með tölvupósti 11. s.m., án skýringa eða upplýsinga um fræðslu starfsmanna um rafræna vöktun. Óskaði Persónuvernd eftir því, með símtali sama dag, að staðfest yrði að um ráðningarsamning starfsmanna afgreiðslu ísbúðarinnar væri að ræða auk þess sem ítrekuð var ósk stofnunarinnar um að henni bærust upplýsingar um úrbætur á fræðslu starfsmanna um vöktunina. Svör Huppuíss ehf. bárust með tölvupósti þann 12. s.m., ásamt nýjum ráðningarsamningi og verklagsreglum um fræðslu til starfsmanna vegna rafrænnar vöktunar.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar. Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Rafræn vöktun er vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði, sbr. 9. tölul. 3. gr. laga nr. 90/2018. Hugtakið tekur m.a. til vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga.
Mál þetta lýtur að rafrænni vöktun með eftirlitsmyndavélum á vegum fyrirtækisins Huppuíss ehf. í ísbúðinni Huppu [...]. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Huppuís ehf. vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
2.1.
Lagaumhverfi
Til að rafræn vöktun sé heimil verður að vera fullnægt skilyrði 1. mgr. 14. gr. laga nr. 90/2018 um að hún fari fram í málefnalegum tilgangi. Rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram, sbr. sama ákvæði. Eins og fram er komið er um að ræða rafræna vöktun sem leiðir til vinnslu persónuupplýsinga. Svo að vinnsla slíkra upplýsinga sé heimil verður einhverju þeirra skilyrða, sem kveðið er á um í 9. gr. laga nr. 90/2018, að vera fullnægt, sbr. einnig 6. gr. reglugerðar (ESB) 2016/679. Sé unnið með viðkvæmar persónuupplýsingar þarf einnig að vera fullnægt einhverri af viðbótarkröfunum samkvæmt 11. gr. laganna, sbr. 9. gr. reglugerðarinnar. Myndefni sem sýnir börn hafa fataskipti, eins og hér um ræðir, fellur ekki undir skilgreiningu 3. tölul. 3. gr. laga nr. 90/2018, sbr. upphaf reglugerðarákvæðisins, á því hvað teljist viðkvæmar persónuupplýsingar. Engu að síður er ljóst að í vöktuninni felst veruleg íhlutun í einkalífsréttindi starfsmanna. Sjá nánari umfjöllun um eðli brotsins í kafla 3, lið a.
Í því tilviki sem hér um ræðir reynir því einkum á 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn. Til þess að umrædd heimild geti átt við þarf þremur skilyrðum að vera fullnægt. Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir. Í öðru lagi er áskilið að vinnslan sé nauðsynleg í þágu þeirra hagsmuna. Í þriðja lagi mega hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hinir lögmætu hagsmunir sem vísað er til. Sé hinn skráði barn er lögð enn ríkari áhersla á framangreint hagsmunamat og eins þurfa hagsmunir ábyrgðaraðila að vera enn meira knýjandi svo að vinnslan geti talist uppfylla umrætt skilyrði.
Meðferð persónuupplýsinga sem til verða í tengslum við vöktun verður, auk framangreinds, m.a. að samrýmast meginreglum 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, þ. á m. um að þess skuli gætt við vinnslu persónuupplýsinga að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins) og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
Með stoð í 5. mgr. 37. gr. eldri persónuverndarlaga, nr. 77/2000, setti Persónuvernd reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, en reglurnar sækja nú stoð í 5. mgr. 14. gr. laga nr. 90/2018. Samkvæmt 4. gr. reglnanna verður rafræn vöktun að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, svo sem í þágu öryggis eða eignavörslu. Í 4. mgr. 14. gr. laganna kemur fram að þegar rafræn vöktun fer fram á vinnustað eða á almannafæri skuli með merki eða á annan áberandi hátt gera glögglega viðvart um vöktunina og hver sé ábyrgðaraðili. Auk þess segir í 5. gr. fyrrgreindra reglna að við alla rafræna vöktun skuli þess gætt að ganga ekki lengra en brýna nauðsyn beri til miðað við þann tilgang sem að er stefnt. Einnig skuli gæta þess að virða einkalífsrétt þeirra sem sæta vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Við ákvörðun um hvort viðhafa skuli rafræna vöktun skuli því ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum.
Í 10. gr. reglna nr. 837/2006 er mælt fyrir um skyldu ábyrgðaraðila að rafrænni vöktun til að setja reglur um vöktunina eða veita fræðslu til þeirra sem henni sæta. Samkvæmt 2. mgr. ákvæðisins skulu slíkar reglur eða fræðsla taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast og hversu lengi þær verði varðveittar. Þá kemur fram í 3. mgr. sömu greinar að meðal annars skuli tilgreina í reglum eða fræðslu hvaða búnaður er notaður, t.d. stafrænar myndavélar eða hljóðupptökutæki, og tilgreina rétt viðkomandi til að fá að vita hvaða upplýsingar verða til um hann og til að fá upplýsingar leiðréttar eða þeim eytt, sbr. og 12. gr. reglnanna. Þá skuli greina frá rétti til að andmæla vöktuninni og hverjar geti verið afleiðingar þess, auk annarra atriða, að því marki sem þörf krefur með hliðsjón af aðstæðum hverju sinni, svo að starfsmenn geti gætt hagsmuna sinna.
2.2
Rafræn vöktun í millirými
Mál þetta lýtur að rafrænni vöktun í ísbúð Huppu [...], einkum vöktun í millirými ísbúðarinnar þar sem kvartandi taldi sig knúna til að hafa fataskipti sökum aðstöðuleysis.Ef byggja á vinnslu persónuupplýsinga á grundvelli lögmætra hagsmuna samkvæmt 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þarf sem fyrr segir að uppfylla þrjú skilyrði, sem rakin voru í kafla II.2.1 hér að framan.
Meðalhófsregla persónuverndarlaganna kveður á um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu nægjanlegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. einnig c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Til að heimilt sé að setja upp eftirlitsmyndavélar á vinnustöðum þarf að uppfylla tiltekin skilyrði. Sá vinnuveitandi sem ber ábyrgð á vöktuninni þarf að ákveða í hvaða tilgangi hann viðhefur vöktunina. Tilgangurinn verður að vera skýr, málefnalegur og lögmætur, t.d. að koma í veg fyrir þjófnað eða að tryggja öryggi manna og muna. Þá er til þess að líta að Persónuvernd hefur talið óheimilt að setja upp eftirlitsmyndavélar á kaffistofum starfsmanna þar sem lögbundinn hvíldartími er nýttur, auk þess sem almennt telst ekki málefnalegt að vakta búnings- og/eða salernisaðstöðu starfsmanna eða sambærileg rými. Hefur Persónuvernd talið að virða beri rétt starfsmanna til að halda út af fyrir sig persónulegum aðstæðum og félagslegum innbyrðis tengslum. Þá þarf vinnslan að vera nauðsynleg í þágu umræddra hagsmuna.
Í kafla 3.1.2 í leiðbeiningum Evrópska persónuverndarráðsins nr. 3/2019, um vinnslu persónuupplýsinga með myndupptökubúnaði, sem gefnar voru út á grundvelli e-liðar 1. mgr. 70. gr. reglugerðar (ESB) 2016/679, kemur meðal annars fram að áður en ábyrgðaraðili ræðst í uppsetningu á eftirlitsmyndavél skuli hann ávallt meta hvort vinnslan sé viðeigandi og nauðsynleg í þágu tilgangsins. Einnig skuli hann kanna hvort mögulegt sé að ná sama markmiði með öðrum og vægari aðferðum. Vöktun með eftirlitsmyndavélum megi eingöngu viðhafa ef yfirlýstu markmiði verði ekki náð með öðrum og vægari leiðum sem hafi í för með sér minna inngrip og áhrif á grundvallaréttindi og frelsi hinna skráðu. Það er ábyrgðaraðili sem ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðarinnar, og hann þarf jafnframt að geta sýnt fram á það, sbr. 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.
Grundvallaréttindi og frelsi einstaklinga eru meðal annars varin í stjórnarskrá lýðveldisins Íslands. Í 71. gr. stjórnarskrárinnar nr. 33/1944, sbr. stjórnarskipunarlög nr. 97/1995, er fjallað um friðhelgi einkalífs. Þar segir í 1. mgr. að allir skuli njóta friðhelgi einkalífs, heimilis og fjölskyldu.
Af gögnum málsins, sbr. einnig vettvangsathugun Persónuverndar, verður ekki ráðið að tilgangur vöktunarinnar hafi verið yfirlýstur eða skýr. Í bréfi Huppuíss ehf. kemur þó fram að starfsmannainngangur og lagerinngangur sem tengjast millirými séu oft og tíðum ólæstir. Tilgangur vöktunar í millirými sé að verja það gegn óviðkomandi aðgangi og innbrotum.
Fyrir liggur að fimm eftirlitsmyndavélar eru í ísbúð Huppu [...] sem telja verður yfirgripsmikla vöktun þegar litið er til stærðar búðarinnar. Þá liggur fyrir að starfsmenn gátu ekki haft fataskipti á salerni starfsmanna vegna aðstöðuleysis og þrengsla og að millirými ísbúðarinnar var af þeim sökum nýtt til slíks, en ábyrgðaraðili gerði kröfu um að starfsmenn klæddust tilteknum vinnufatnaði við störf sín. Staðfest var í vettvangsathugun að salernisaðstaða starfsmanna var bæði lítil og hlaðin efnum og varningi og því erfitt að athafna sig þar inni. Salernisaðstaða viðskiptamanna í veitingasal ísbúðarinnar var skoðuð og var hún rúmgóð. Hins vegar þykir alla jafna eðlilegt að starfsmenn sem vinna með matvæli hafi salernisaðstöðu sem sé aðgreind frá aðgangi viðskiptamanna. Þá liggur ekki fyrir í málinu að starfsmenn hafi fengið fyrirmæli um að þeim bæri að hafa fataskipti í salernisaðstöðu viðskiptamanna ísbúðarinnar. Skýringar Huppuíss ehf. voru misvísandi um hvaða rými starfsmenn hefðu til fataskipta. Í vettvangsathugun vísaði forsvarsmaður Huppuíss ehf. starfsmönnum Persónuverndar á frambyggðan ræstiklefa þegar þeir óskuðu eftir því að skoða aðstöðu starfsmanna ísbúðarinnar til fataskipta og vísaði forsvarsmaðurinn til umrædds rýmis sem „búningsklefa starfsmanna“. Síðar kom fram í skýringum fyrirtækisins að engin sérstök aðstaða starfsmanna væri í ísbúðinni til fataskipta þar sem lög krefðust þess ekki.
Huppuís ehf. kann að hafa lögmæta hagsmuni af rafrænni vöktun í eignar- og öryggisvörsluskyni en með hliðsjón af aðstæðum í ísbúðinni og aðstöðuleysi starfsmanna til fataskipta bar fyrirtækinu að vega og meta hagsmuni þess af vöktuninni á móti hagsmunum starfsmanna sinna undir lögræðisaldri til þess að njóta næðis við fataskipti. Slíkt hagsmunamat er enn mikilvægara í ljósi þess að persónuupplýsingar barna eiga að njóta sérstakrar verndar og þurfa hagsmunir ábyrgðaraðila við þær aðstæður sem fyrr segir að vera enn meira knýjandi. Ekki liggur fyrir í málinu að slíkt hagsmunamat hafi farið fram eða hverjir þeir knýjandi hagsmunir ábyrgðaraðila séu sem kunni að vera undir í málinu eða hvort vinnslan hafi verið nauðsynleg í þágu þeirra hagsmuna. Það er mat Persónuverndar að hér hafi hagsmunir starfsmannanna átt að vega þyngra, þar sem börn eru oft berskjaldaðir einstaklingar og aðstöðumunur vinnuveitenda og starfsmanna undir lögræðisaldri er mikill. Verður því ekki talið að umrædd vöktun geti byggst á 6. tölul. 9. gr. laga 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar.
Þá hefur Huppuís ehf. ekki sýnt fram á að markmiði vöktunarinnar verði ekki náð með öðrum og vægari úrræðum, svo sem með því að afmarka tiltekið rými til fataskipta sem vöktunin næði ekki til eða með því að vakta eingöngu lagerherbergi. Ekki verður annað séð en að vinnsla persónuupplýsinga starfsmanna Huppuíss ehf. með rafrænni vöktun í millirými hafi verið umfram það sem nauðsynlegt var og samrýmdist hún því ekki meðalhófsreglu 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 5. gr. reglugerðarinnar.
2.3
Fræðsla og viðvaranir um rafræna vöktun
Ein af meginreglum persónuverndarlaga um vinnslu persónuupplýsinga er að þess skuli gætt að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. einnig a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Til að meta hvort skilyrðið um gagnsæi hafi verið uppfyllt þarf því að líta til ákvæða um fræðsluskyldu.Um fræðsluskyldu, gagnsæi og rétt hins skráða til upplýsinga er fjallað í 17. gr. laga nr. 90/2018. Segir í 1. mgr. ákvæðisins að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynningar til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðar (ESB) 2016/679 svo að hann geti neytt upplýsingaréttar síns og réttar til aðgangs. Í 2. mgr. sömu greinar, sbr. einnig 12. og 13. gr. reglugerðarinnar, kemur fram að hinn skráði eigi rétt til upplýsinga um vinnslu, hvort sem persónuupplýsinga er aflað hjá honum sjálfum eða ekki, svo og rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 13.-15. gr. reglugerðarinnar með þeim undantekningum sem greinir í 3. mgr.
Í 10. gr. reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun er fjallað um fræðslu- og upplýsingaskyldu. Þar kemur m.a. fram að ábyrgðaraðili að rafrænni vöktun skuli setja reglur og/eða veita fræðslu til þeirra sem henni sæta. Áður en slíkum reglum er beitt skuli kynna þær með sannanlegum hætti, svo sem við gerð ráðningarsamnings. Einnig kemur fram að framangreindar reglur eða fræðsla skuli taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnist og hversu lengi þær verði varðveittar. Þá eru í ákvæðinu tilgreind atriði í átta töluliðum sem einnig ber að fræða um.
Í kvörtun er því lýst að kvartanda hafi ekki verið tilkynnt um eða hún fengið fræðslu um vöktunina í ísbúðinni og að uppgötvun hennar á því að vöktun færi fram í millirými ísbúðarinnar, þar sem hún hafði fataskipti, hafi valdið henni vanlíðan. Aðspurður í vettvangsathugun Persónuverndar kvaðst forsvarsmaður Huppuíss ehf. ekki hafa sinnt fræðsluskyldu sinni gagnvart starfsmönnum ísbúðarinnar sökum anna. Því hefði starfsmönnum ísbúðarinnar Huppu [...] ekki verið tilkynnt um að vöktun færi fram né hver tilgangur hennar væri eða um rétt sinn til að skoða efni sem yrði til um þá við vöktunina. Þá var ekki fullt samræmi í fullyrðingum Huppuíss ehf. Annars vegar var því haldið fram að allir starfsmenn hefðu vitað af vöktuninni og hins vegar að þeir starfsmenn sem ekki væru meðvitaðir um vöktunina eða réttindi sín fengju tilhlýðilega fræðslu. Persónuvernd lítur það sérstaklega alvarlegum augum að ábyrgðaraðili hafi vanrækt skyldur sínar við vinnslu persónuupplýsinga ólögráða einstaklinga, en samkvæmt reglugerð (ESB) 2016/679 njóta persónuupplýsingar barna sérstakrar verndar þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og viðkomandi verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga.
Af framangreindu er ljóst að Huppuís ehf. rækti ekki fræðsluskyldu sína gagnvart starfsmönnum sínum undir lögræðisaldri og telst sú vanræksla alvarleg að mati Persónuverndar. Verður vinnslan því ekki talin samrýmast 17. gr. laga nr. 90/2018, sbr. einnig 13. gr. reglugerðarinnar eða meginreglu laga nr. 90/2018 um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna, sbr. einnig a-lið 1. mgr. 5. gr. reglugerðarinnar. Þá samrýmist umrædd vöktun heldur ekki 10. gr. reglna nr. 837/2006.
Svo sem áður segir kemur fram í 4. mgr. 14. gr. laga nr. 90/2018 að þegar rafræn vöktun fer fram á vinnustað eða á almannafæri skuli með merki eða á annan áberandi hátt gera glögglega viðvart um þá vöktun og hver sé ábyrgðaraðili. Í bréfi Huppuíss ehf. dags. 7. mars 2019 er því lýst að upplýsingar um rafræna vöktun hafi hangið uppi á áberandi stað í hverri búð. Vettvangsathugun Persónuverndar leiddi þó í ljós að engar merkingar um rafræna vöktun var að finna við inngang ísbúðarinnar né í veitingasal hennar. Þá voru merkingar á vinnusvæði starfsmanna ófullnægjandi þar sem þær uppfylltu ekki fyrrgreindar kröfur persónuverndarlaga um að gera skuli glögglega viðvart um vöktunina á áberandi hátt og hver sé ábyrgðaraðili hennar. Í þessu sambandi skal tekið fram að þótt ekki sé gerð krafa um að staðsetning hverrar og einnar eftirlitsmyndavélar sé auðkennd þarf ávallt að vera ljóst að tiltekið svæði sé vaktað og hver sé ábyrgðaraðili vöktunarinnar. Vöktun með leynd er óheimil nema hún styðjist við lagaheimild eða úrskurð dómara, sbr. einnig 3. gr. reglna Persónuverndar um rafræna vöktun. Er það því mat Persónuverndar að ábyrgðaraðili hafi einnig vanrækt að merkja á áberandi hátt og gera glögglega viðvart um þá vöktun sem fór fram í ísbúðinni.
Verður með hliðsjón af framangreindu ekki talið að Huppuís ehf. hafi fullnægt skyldum sínum samkvæmt 4. mgr. 14. gr. laga nr. 90/2018.
Í skýringum sínum undir rekstri málsins vísar Huppuís ehf. til þess að gerðar hafi verið úrbætur og nú sé óskað undirritaðs samþykkis starfsmanna fyrir rafrænu vöktuninni. Persónuvernd áréttar að samþykki starfsmanns telst almennt ekki fullnægjandi heimild fyrir vinnslu persónuupplýsinga um þá af hálfu vinnuveitanda í ljósi aðstöðumunar aðila, þar sem samþykkið getur við þær aðstæður almennt ekki samrýmst því skilyrði að teljast óþvingað, sbr. skilgreiningu í 8. tölul. 3. gr. laga nr. 90/2018. Þá er á það bent að í lögum nr. 90/2018, reglum nr. 837/2006 og reglugerð (ESB) 2016/679 er ekki gerð krafa um samþykki hins skráða fyrir rafrænni vöktun. Byggi rafræn vöktun á nauðsyn vegna lögmætra hagsmuna þurfa hinir lögmætu hagsmunir að vera skýrir og málefnalegir, einnig verður raunverulegt mat á nauðsyn vinnslunnar að fara fram þar sem metið er hvort önnur og vægari úrræði séu tæk til að ná sama markmiði, auk þess sem framkvæma þarf mat á hagsmunum aðila þar sem tekið er tillit til þess ef um börn er að ræða. Þá er einnig á það bent að ósamræmis gætir í upplýsingum Huppuíss ehf. um það hverjir hafi aðgang að myndefni því sem verður til við vöktunina. Nánar tiltekið ber upplýsingum í bréfi ábyrgðaraðila, upplýsingum í ráðningarsamningum og verklagsreglum um rafræna vöktun í ísbúðinni ekki saman um þá aðila sem aðgang hafa að efninu. Ýmist er þar nefndur framkvæmdastjóri einn eða framkvæmdastjóri, starfsmannastjóri og rekstrarstjóri sem þeir aðilar sem aðgang hafi að umræddu efni.
Í 42. gr. laga nr. 90/2018, sbr. einnig 2. mgr. 58. gr. reglugerðarinnar, er fjallað um fyrirmæli Persónuverndar um ráðstafanir til úrbóta. Í 6. tölul. 42. gr. laganna segir nánar tiltekið að Persónuvernd geti mælt fyrir um slíkar ráðstafanir, þar á meðal takmarkað eða bannað vinnslu tímabundið eða til frambúðar, sbr. f-lið 2. mgr. 58. gr. reglugerðarinnar.
Með vísan til framangreinds er lagt fyrir Huppuís ehf. að stöðva rafræna vöktun í millirými ísbúðarinnar á meðan önnur og viðunandi aðstaða til fataskipta starfsmanna hefur ekki verið útbúin og eyða uppteknu efni úr þeirri eftirlitsmyndavél sem þar er að finna. Enn fremur er lagt fyrir Huppuís ehf. að yfirfara og uppfæra verklagsreglur og fræðslu sem starfsmönnum er veitt vegna vöktunarinnar til samræmis við lög nr. 90/2018 og reglugerð (ESB) 2016/679. Skal Huppuís ehf. senda Persónuvernd staðfestingu á því að farið hafi verið að fyrirmælum stofnunarinnar, ásamt afriti af uppfærðum verklagsreglum og upplýsingum um fyrirkomulag og inntak fræðslunnar, fyrir 1. september 2021.
3.
Sjónarmið við beitingu viðurlaga
Að framangreindu virtu kemur til skoðunar hvort leggja skuli stjórnvaldssekt á Huppuís ehf., sbr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679. Við ákvörðun þar að lútandi og um fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða í óhag. Samkvæmt 1. mgr. 47. gr. laganna ber nánar tiltekið að taka tilhlýðilegt tillit til eftirfarandi þátta þegar ákveðið er hvort beita skuli stjórnvaldssekt og þegar fjárhæð sektarinnar er ákveðin:a. Hvers eðlis, hversu alvarlegt og hversu langvarandi brotið er
Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brotið var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir. Um er að ræða vinnslu á almennum persónuupplýsingum, en jafnframt er ljóst að vinnslan felur í sér verulega íhlutun í einkalífsréttindi starfsmanna. Vöktunin hófst árið 2018 og varðaði alla starfsmenn Huppuíss ehf. Þá var merkingum og fræðslu um vöktunina einnig ábótavant.Tilgangur vöktunar millirýmisins er öryggis- og eignavarsla. Í ljósi þess að margir starfsmenn ísbúðarinnar eru undir lögræðisaldri verður að gera sérstaklega ríkar kröfur til þess að kannaðar séu aðrar og vægari leiðir að sama markmiði. Í ísbúðinni eru fjórar aðrar eftirlitsmyndavélar sem einnig er ætlað að gæta öryggis og eignavörslu í ísbúðinni. Ekkert hefur komið fram í máli þessu um að kannað hafi verið hvort ná mætti markmiði vöktunarinnar með öðrum og vægari úrræðum en eftirlitsmyndavél í millirými og vísast í því samhengi til fyrri umfjöllunar.
b. Hvort brotið var framið af ásetningi eða af gáleysi
Samkvæmt 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvort brot hafi verið framið af ásetningi eða gáleysi. Huppuís ehf. ber því við að brotin hafi verið framin af gáleysi og vegna vanþekkingar á þeim lögum og reglum sem gilda um rafræna vöktun á vinnustað.Atvinnurekendur bera fulla ábyrgð á að rekstur þeirra samrýmist settum lögum og reglum á hverjum tíma. Persónuvernd getur því ekki fallist á það að atvinnurekandi geti borið við lögvillu, þ.e. vanþekkingu á tilvist eða efni réttarreglna, misskilningi eða rangri túlkun á efni eða réttaráhrifum þeirra laga eða reglna er varða starfsumhverfi starfsmanna sinna. Þá er sérstaklega litið til aldurs starfsmanna Huppuíss ehf.
c. Aðgerðir sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga
Samkvæmt 3. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þeirra aðgerða sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga. Ekki liggur fyrir að kvartandi hafi orðið fyrir beinu tjóni vegna vöktunarinnar. Þess ber þó að geta að kvartanda var sagt upp störfum sínum hjá Huppuís ehf. í kjölfar kvörtunar til Persónuverndar, og að hennar sögn af þeirri ástæðu.d. Ábyrgð ábyrgðaraðila eða vinnsluaðila með hliðsjón af tæknilegum og skipulagslegum ráðstöfunum
Samkvæmt 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana sem þeir hafa komið til framkvæmda.Í því tilviki sem hér um ræðir verður ekki annað séð en að Huppuís ehf. beri óskerta ábyrgð á umræddri vöktun.
e. Fyrri brot ábyrgðaraðila sem máli skipta, ef einhver eru
Samkvæmt 5. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. e-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fyrri brota ábyrgðaraðila eða vinnsluaðila sem máli skipta, ef einhver eru.Ekki liggur fyrir að Huppuís ehf. hafi áður gerst sekt um brot gegn persónuverndarlöggjöfinni.
f. Umfang samvinnu við Persónuvernd
Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess. Fyrir liggur að erfiðlega gekk að afla gagna og upplýsinga um málið hjá Huppuís ehf. þrátt fyrir mörg ítrekunarbréf og símtöl þar um. Þá urðu starfsmenn Persónuverndar frá að hverfa eftir tvær vettvangsathuganir í húsakynnum ísbúðar Huppu [...], án þess að hafa verið veittur aðgangur að öllum umbeðnum gögnum.Samkvæmt 5. tölul. 1. mgr. 41. gr. laga nr. 90/2018 hefur Persónuvernd heimildir til að fá hjá ábyrgðaraðila aðgang að öllum þeim gögnum, þar á meðal persónuupplýsingum, sem nauðsynleg eru við framkvæmd laganna. Þá hefur Persónuvernd, samkvæmt 6. tölul. sama ákvæðis, heimildir til aðgangs að húsnæði þar sem vinnsla persónuupplýsinga fer fram eða gögn eru varðveitt, þ.m.t. hvers kyns gagnavinnslubúnaður, og getur Persónuvernd framkvæmt hverja þá prófun eða eftirlitsaðgerð sem hún telur nauðsynlega og krafist nauðsynlegrar aðstoðar starfsfólks á slíkum vettvangi til að framkvæma prófun eða eftirlit.
Persónuvernd telur það ámælisvert af Huppuís ehf. að hafa ekki tryggt Persónuvernd aðgang að umbeðnum upplýsingum og gögnum í umræddum vettvangsathugunum, sem og almennt við rekstur málsins, og er það metið til þyngingar við ákvörðun um sekt.
g. Hvaða flokka persónuupplýsinga brotið hafði áhrif á
Samkvæmt 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvaða flokka persónuupplýsinga brotið hafði áhrif á. Hér er m.a. um að ræða myndefni, þ. á m. af börnum að hafa fataskipti. Slíkar upplýsingar teljast til almennra persónuupplýsinga í skilningi 2. tölul. 3. gr. laga nr. 90/2018. Þá er til þess að líta að svo sem áður kom fram njóta persónuupplýsingar barna sérstakrar verndar samkvæmt reglugerð (ESB) 2016/679 þar sem þau kunna að vera síður meðvituð um áhættu, afleiðingar og viðkomandi verndarráðstafanir og réttindi sín í tengslum við vinnslu persónuupplýsinga.h. Með hvaða hætti eftirlitsstjórnvaldinu var gert kunnugt um brot
Samkvæmt 8. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. h-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess með hvaða hætti eftirlitsstjórnvaldinu var gert kunnugt um brotið. Fyrir liggur að þáverandi starfsmaður Huppuíss ehf. lagði fram kvörtun hjá Persónuvernd.i. Fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta
Samkvæmt 9. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. i-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta á grundvelli 42. gr. laganna. Persónuvernd lagði til úrbætur á merkingum og fræðslu til starfsmanna í vettvangsathugunum 27. og 28. ágúst 2019 en ekki voru gefin formleg fyrirmæli þar að lútandi. Staðfesting á því að farið hefði verið að tilmælunum að einhverju leyti barst á meðan málið var til meðferðar.j. Aðrir íþyngjandi eða mildandi þættir sem varða kringumstæður málsins
Samkvæmt 11. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. k-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til annarra íþyngjandi eða mildandi þátta en þeirra sem taldir eru upp fyrr í ákvæðinu, sem varða kringumstæður málsins, svo sem hagnaðar sem fékkst eða taps sem komist var hjá, með beinum eða óbeinum hætti, vegna brots. Ekki er um slíka þætti að ræða.4.
Niðurstaða
Eins og rakið er að framan í kafla II.2 um lögmæti vinnslu liggur fyrir að vinnsla Huppuíss ehf. braut gegn 9. gr., 1. og 3. tölul. 1. mgr. 8. gr., 4. mgr. 14. gr. og 1. og 2. mgr. 17. gr. laga nr. 90/2018 og einnig 10. gr. reglna nr. 837/2006, sbr. 1. mgr. 6. gr., a- og c-liði 1. mgr. 5. gr., 1. mgr. 12. gr. og 1. og 2. mgr. 13. gr. reglugerðar (ESB) 2016/679. Þá braut Huppuís ehf. gegn 5. tölul. 1. mgr. 41. gr. laga nr. 90/2018, sbr. a- og e-liði 1. mgr. 58. gr. reglugerðarinnar, þar sem fjallað er um aðgang Persónuverndar að gögnum, á meðan á rannsókn málsins stóð.Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679, getur Persónuvernd lagt stjórnarvaldssektir á hvern þann ábyrgðaraðila eða vinnsluaðila skv. 4. mgr. ákvæðisins sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar og laganna sem talin eru upp í 2. og 3. mgr. ákvæðisins.
Í 1., 2. og 4. tölul. 3. mgr. 46. gr. laga nr. 90/2018, sbr. a-, b- og e-lið 5. mgr. 83. gr. reglugerðarinnar, kemur fram að brot gegn 1. mgr. 6. gr., a- og c-lið 1. mgr. 5. gr. og 1. og 2. mgr. 13. gr. reglugerðarinnar, sem og brot gegn 5. tölul. 1. mgr. 41. gr. laga nr. 90/2018, sbr. a- og e-lið 1. mgr. 58. gr. reglugerðarinnar, geti varðað stjórnvaldssektum.
Með hliðsjón af framangreindu, þ.e. að Huppuís ehf. braut gegn mörgum ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sem og reglugerð (ESB) 2016/679, þar á meðal heimildarákvæðum og meginreglum um vinnslu persónuupplýsinga, þykir rétt að leggja á fyrirtækið stjórnvaldssekt. Þá metur Persónuvernd það til þyngingar við ákvörðun viðurlaga að brot Huppuíss ehf. vörðuðu hagsmuni barns.
Um fjárhæð stjórnvaldssektar vegna brota gegn fyrrgreindum ákvæðum fer samkvæmt framansögðu eftir 3. mgr. 46. gr. laga nr. 90/2018, sbr. 5. mgr. 83. gr. reglugerðar (ESB) 2016/679. Stjórnvaldssektir samkvæmt 3. mgr. ákvæðisins geta numið frá 100 þúsund kr. til 2,4 milljarða kr. eða ef um er að ræða fyrirtæki allt að 4% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra, og hefur sekt verið ákveðin samkvæmt því.
Með tilliti til þeirra sjónarmiða sem rakin eru að framan um ákvörðun viðurlaga þykir stjórnvaldssekt vera hæfilega ákveðin 5.000.000 krónur.
Í 42. gr. laga nr. 90/2018, sbr. einnig 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er fjallað um fyrirmæli Persónuverndar um ráðstafanir til úrbóta. Í 6. tölul. 42. gr. laganna segir að Persónuvernd geti mælt fyrir um ráðstafanir til úrbóta, þar á meðal takmarkað eða bannað vinnslu tímabundið eða til frambúðar, sbr. f-lið 2. mgr. 58. gr. reglugerðarinnar.
Með vísan til framangreinds er lagt fyrir Huppuís ehf. að stöðva rafræna vöktun í millirými ísbúðarinnar, milli lagers og afgreiðslu, á meðan ekki hefur verið útbúin önnur aðstaða fyrir starfsfólk til að hafa fataskipti í, og eyða öllu myndefni sem til hefur orðið við þá vöktun.
Þá er einnig lagt fyrir Huppuís ehf., með vísan til 4. tölul. 42. gr. laga nr. 90/2018, að uppfæra verklagsreglur um vinnslu persónuupplýsinga og fræðslu starfsmanna, sem og fræðslu í ráðningarsamningum starfsmanna ísbúðarinnar, og færa til samræmis við lög nr. 90/2018, reglugerð (ESB) 2016/679 og reglur 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.
Skal Persónuvernd berast staðfesting á því að framangreindum fyrirmælum hafi verið fylgt, ásamt afriti af uppfærðum verklagsreglum, upplýsingum um fyrirkomulag og inntak fræðslu til starfsmanna, og afriti af ráðningarsamningi starfsmanna ísbúðarinnar, eigi síðar en 1. september 2021.
Ú r s k u r ð a r o r ð:
Vinnsla Huppuíss ehf. á persónuupplýsingum um [B] í tengslum við rafræna vöktun í ísbúð Huppu [...] samrýmdist ekki 9. gr. laga nr. 90/2018, um heimildir fyrir vinnslu persónuupplýsinga; meginreglu 1. tölul. 1. mgr. 8. gr. laganna, um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða; meginreglu 3. tölul. 1. mgr. 8. gr. laganna, um að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar; ákvæði 4. mgr. 14. gr. um að gera skuli glögglega viðvart um vöktun með merki eða á annan hátt; sem og 1. og 2. mgr. 17. gr. laga nr. 90/2018 og 10. gr. reglna nr. 837/2006, um fræðsluskyldu ábyrgðaraðila gagnvart hinum skráða, sbr. einnig 1. mgr. 6. gr., a- og c-liði 1. mgr. 5. gr., 1. mgr. 12. gr. og 1. og 2. mgr. 13. gr. reglugerðar (ESB) 2016/679.Þá braut Huppuís ehf. gegn 5. tölul. 1. mgr. 41. gr. laga nr. 90/2018, sem fjallar um aðgang Persónuverndar að gögnum, á meðan á rannsókn málsins stóð. Er 5.000.000 króna stjórnvaldssekt lögð á Huppuís ehf. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu úrskurðar þessa, sbr. 6. mgr. 46. gr. laga nr. 90/2018.
Í samræmi við þessa niðurstöðu, og með vísan til 6. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Huppuís ehf. að stöðva rafræna vöktun í millirými ísbúðarinnar, á meðan ekki hefur verið útbúin önnur aðstaða fyrir starfsfólk til að hafa fataskipti í, og eyða öllu myndefni sem til varð við vöktun þess rýmis. Með vísan til 4. tölul. sama ákvæðis er jafnframt lagt fyrir Huppuís ehf. að uppfæra verklagsreglur um vinnslu persónuupplýsinga og fræðslu starfsmanna, sem og fræðslu í ráðningarsamningum starfsmanna ísbúðarinnar, og færa til samræmis við lög nr. 90/2018, reglugerð (ESB) 2016/679 og reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.
Skal Huppuís ehf. senda Persónuvernd staðfestingu á því að farið hafi verið að fyrirmælum stofnunarinnar, ásamt afriti af uppfærðum verklagsreglum, upplýsingum um fyrirkomulag og inntak fræðslu starfsmanna, og afriti af ráðningarsamningi starfsmanna ísbúðarinnar, fyrir 1. september 2021.
Persónuvernd, 15. júní 2021
Ólafur Garðarsson
starfandi formaður
Björn Geirsson Vilhelmína Haraldsdóttir
Þorvarður Kári Ólafsson