Úrskurður vegna mynda af meintum búðaþjófum hjá Norvík hf.
Úrskurður
Hinn 16. desember 2010 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2010/637:
I.
Málavextir og bréfaskipti
1.
Þann 30. apríl og 26. júní 2010 bárust Persónuvernd kvartanir einstaklinga yfir notkun mynda af þeim í Nóatúnsverslunum. Athugun Persónuverndar á málum þessara kvartenda leiddi ekki í ljós að unnið hefði verið með myndir af þeim. Voru því ekki talin efni til frekari umfjöllunar um þeirra mál. Við meðferð málanna hafði hins vegar komið í ljós að í umræddum verslunum var umtalsvert magn mynda af fólki sem talið var hafa tekið vörur ófrjálsri hendi. Í vettvangsheimsókn í Nóatúnsverslun að Hringbraut 121 reyndust allmargar myndir vera hengdar upp á veggi og í Nóatúni 18 var fjöldi mynda í harðspjaldamöppum. Myndirnar voru sagðar hafa komið frá Norvík hf. Af tilefni framangreinds var ákveðið að fjalla frekar um miðlun Norvíkur hf. á myndum af meintum þjófum. Er því um frumkvæðismál að ræða sem afmarkast við umrædda miðlun en lýtur ekki að öðrum atriðum, s.s. því hvort vöktunin og vinnslan sjálf hafi samrýmist lögum nr. 77/2000 eða hvort ákvæði þeirra hafi verið uppfyllt að öðru leyti.
2.
Persónuvernd óskaði eftir skýringum frá Norvík hf. með bréfi, dags. 19. ágúst 2010. Hinn 27. september s.á. barst stofnuninni svar Norvíkur hf., dags. 22. september 2010. Í því segir m.a.:
„Norvik hf. rekur öryggisdeild sem sér m.a. um rekstur öryggismyndavélakerfa í öllum verslunum félagsins og meðferð efnis úr þeim. Kostir þessa fyrirkomulags, samanborið við t.d. sjálfstæðan rekstur myndavélakerfis í hverri verslun félagsins eru, að mati þess, einkum þeir er tryggt er samræmi í umgengni um umræddan búnað, öryggi þess myndefnis sem unnið er með í honum og jafnræði í ákvörðunum um hvernig farið verði með slíkt myndefni, svo sem hvaða myndefni sé geymt og flutt í hendur lögreglu og hvaða myndefni sé þegar eytt.
-Norvik hf. hefur engu myndefni dreift til starfsfólks í verslunum sínum úr öryggismyndavélumakerfum sínum nema af fólki sem beinlínis hefur verið staðið að þjófnaði, þ.e. annað hvort gripið við iðju sína eða verknaðurinn hefur náðst óyggjandi á upptöku. Öllu myndefni sem sýnir ekki skýrt og órækt að þjófnaður hafi átt sér stað er ekki unnið frekar heldur eytt.
-Öryggisdeild Norvik hf. hefur það hlutverk að reyna að stemma stigu við þá geypilegu blóðtöku sem rekstur verslana Norvikur hf. verður fyrir af völdum þjófnaðar. Sá kostnaður sem félagið - og þar með viðskiptavinir þess - verða fyrir árlega af völdum þjófnaðar hleypur á tugum miljóna króna. Í rekstri verslana Norvikur hf. hefur sú staðreynd komið í ljós að stærstur hluti þess þjófnaðar sem tekst að upplýsa er framinn af fámennum hópi fólks. Með öðrum orðum er síbrotafólk stærsta ógnin við það eignavörsluhlutverk sem öryggisdeild Norvikur hf. þjónar. Af þessum sökum hefur Norvik hf. talið það rúmast innan þess lögmæta tilgangs sem öryggismyndavélakerfi er rekið í að gera starfsfólki í verslunum félagsins aðvart um það fólk sem ítrekað hefur verið beinlínis staðið að þjófnaði í verslunum félagsins. Þrátt fyrir þessa afstöðu félagsins og þá fjárhagslegu hagsmuni sem verið er að reyna að bjarga með umræddum aðgerðum þá hefur Norvik hf. ákveðið að leggja af þessa miðlun upplýsinga til starfsmanna í verslunum sínum. Er það gert með hliðsjón af ákvörðun Persónuverndar 13. september 2005 máli 2005/107 sem Norvik hf. hefur nú kynnt sér, enda metur félagið þá hagsmuni sína, að enginn efi leiki á því að meðferð upplýsinga um fólk í verslunum félagsins sé lögmæt, ríkari þeim hagsmunum að stemma stigu við þjófnaði úr verslununum. Því hafa allar myndir sem hafa verið teknar úr öyggismyndavélakerfum Norvikur og dreift til starfsfólks í verslunum félagsins, nú verið fjarlægðar úr verslununum og þeim eytt.[...]“
Með bréfi til Norvíkur, dags. 15. október 2010, óskaði Persónuvernd nánari svara og upplýsinga um vinnsluna, þ. á m. um hver væri ábyrgðaraðili. Þann 10. nóvember s.á. barst Persónuvernd svarbréf Norvíkur, dags. 8. nóvember. Í bréfinu segir m.a.:
„[...]sú söfnun persónuupplýsinga sem felst í vinnslu myndefnis úr öryggismyndavélum félagsins fer ekki lengur fram með sama hætti. Að svo miklu leyti sem myndefnið kann að gefa tilefni til að gruna eða kæra hinn skráða, fyrir þjófnað eða annan refsiverðan verknað, þá er áfram um að ræða vinnslu viðkvæmra persónuupplýsinga. Þessi vinnsla fer hins vegar ekki fram með sama hætti og áður, þar sem Norvík hf. hefur nú lagt af þann þátt í vinnslunni sem fólst í að miðla upplýsingum frá öryggisdeild til starfsmanna í verslunum félagsins. [...] er Norvík hf. nú að hefja samstarf við öryggisfyrirtækið Öryggisfélagið ehf. um staðbundna gæslu, einkum utan hefðbundins opnunartíma, í verslunum félagsins sem opnar eru allan sólarhringinn. Verður skoðun á upptökum vegna gruns um afbrot, sem kunna að koma upp þar sem þessi þjónustuaðili sér um öryggisgæslu, útvistað til hans. Öryggisfélagið mun því að þessu leyti verða vinnsluaðili í skilningi laga um persónuvernd. Þegar skrifað hefur verið undir vinnslusamning um þetta fyrirkomulag verður hann sendur Persónuvernd til upplýsingar.“
Í bréfinu er einnig að finna lýsingu á því hvernig upplýsingarnar eru notaðar. Um það segir m.a.:
„Verslunarstjóri í sérhverri verslun hefur aðgang að skjá sem sýnir lifandi myndir úr myndavélum í hans verslun, í þeim tilgangi að geta haft yfirsýn yfir það sem þar á sér stað hverju sinni, sjá þegar viðskiptavinur kemur inn í verslunina o.s.frv. Engin viðvarandi eða reglulega endurtekin vöktun á sér stað með þessum aðgangi verslunarstjóranna og hann er ekki nýttur til neins konar eftirlits með einstaklingum, sbr. 1. tl. 2. gr. reglna Persónuverndar um rafræna vöktun. Verslunarstjórar hafa hvorki aðgang að myndefni sem safnað er né taka þátt í vinnslu þess. Myndefnið skráist með stafrænum hætti í þar til gerðan upptökubúnað sem öryggisdeild vistar í hverri verslun fyrir sig. Beitt er öryggisráðstöfunum til að tryggja ytra öryggi búnaðarins, auk þess sem beitt er aðgangsstýringu til að takmarka aðgengi að efni á honum við starfsmenn öryggisdeildar. Umrætt myndefni er svo eingöngu unnið í hefðbundnu öryggis- og eignavörsluskyni, þ.e. til þess að greina hvort afbrot hafi átt sér stað, hvort náðst hafi upptökur af þeim sem grunaður/-ir sé/u um viðkomandi verknað, koma þeim gögnum með kæru til lögreglu og leggja fram sem sönnunargögn, eftir atvikum í bótamáli eða til stuðnings bótakröfu í opinberu máli.“
Í bréfinu er einnig að finna svar um hver sé ábyrgðaraðili. Um það segir m.a.:
„Öll þau félög sem talin eru upp undir þessum staflið í bréfi Persónuverndar eru að fullu í eigu Norvíkur hf. og er því ekki um að ræða rekstur sjálfstæðra félaga hvað varðar vinnslu persónuupplýsinga. Norvík hf. er því eitt ábyrgðaraðili, í skilningi 4. tölul. 2. gr. laga nr. 77/2000, allrar vinnslu upplýsinga úr og í tengslum við öryggismyndavélakerfi sem sett eru upp í verslunum umræddra dótturfélaga þess.[...]
Umrædd dótturfélög Norvíkur hf. koma ekki að ákvörðunum öryggisdeildar Norvíkur hf. varðandi vinnsluna, svo sem um „tilgang vinnslu persónuupplýsinga[nna], þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna“. Slíkar ákvarðanir eru alfarið og eingöngu teknar af öryggisdeild Norvíkur hf. Ekkert umræddra dótturfélaga koma að umræddri vinnslu, hvorki sem ábyrgðaraðilar né sem vinnsluaðilar. Norvík hf. hefur því enga vinnslusamninga gert við umrædd félög um að þau taki þátt í vinnslu persónuupplýsinga.[...]
Engin miðlun myndefnis úr umræddu eftirlitsmyndavélakerfi, eða upplýsingum um mál í tilefni af slíku, hefur verið miðlað til annarra félaga en þeirra sem eru í eigu Norvíkur hf. Hins vegar munu öryggisverðir Öryggisfélagsins ehf., sem eru við öryggisgæslu í verslunum þar sem öryggisdeild er með myndavélakerfi, fá aðgang á meðan gæslu stendur að upptökum úr myndavélum viðkomandi verslunar, í þeim tilgangi að geta sinnt öryggisgæsluhlutverki sínu, sbr. lið staflið a hér að framan. Loks skal bent á að einum starfsmanni öryggisdeildarinnar, sem sér um vöktun öryggismyndavéla í verslunum Byko í Kauptúni og Intersport, Elko, og Krónunni Lindum, eru greidd laun að hluta beint frá Byko og að hluta beint frá Kaupás. Allt að einu er um að ræða fullgildan starfsmann deildarinnar, hann er ráðinn af forstöðumanni sem hefur einn yfir honum boðvald og hann ber allar sömu starfsskyldur og sömu trúnaðar- og þagnarskyldur til Norvíkur hf. og öryggisdeildarinnar og aðrir starfsmenn deildarinnar, þrátt fyrir að launagreiðslur renni til hans ekki frá Norvík hf. beint heldur frá öðrum félögum innan samstæðunnar.“
Í bréfinu er einnig að finna afstöðu til lögmætis vinnslu. Um það segir m.a.:
„Hvað varðar lögmæti vinnslunnar vill Norvík hf. nota þetta tækifæri til að ítreka að vinnsla myndefnis úr öryggismyndavélakerfi öryggisdeildar þess fer alfarið og eingöngu fram í hefðbundnu öryggis- og eignavörsluskyni og að við vinnsluna er þess gætt að fylgt sé reglum um meðferð persónuupplýsinga, sbr. 7. gr. laga um persónuvernd. Hvað varðar heimild fyrir umræddri vinnslu er, eins og fram kemur í bréfi Persónuverndar, byggt á 2. mgr. 9. gr. laganna. Telur Norvík hf. ljóst að uppfyllt séu skilyrði ákvæðisins, enda eru skilyrði 1.-3. tl. ákvæðisins uppfyllt:
1. Vöktunin er nauðsynleg og fer fram í öryggis- og eignavörsluskyni;
2. það efni sem til verður við vöktunina er ekki afhent öðrum eða unnið frekar, nema hvað lögreglu er afhent efni með upplýsingum um refsiverðan verknað; og
3. því efni sem safnast við vöktunina er eytt án tafar þegar ekki er lengur málefnaleg ástæða til að varðveita það.
Enn fremur fer Norvík hf. við framkvæmd vinnslunnar eftir reglum Persónuverndar um rafræna vöktun. Að lokum, varðandi lögmæti vinnslunnar og þau skilyrði sem henni eru sett í lögum um persónuvernd, skal ítrekað að Norvík vinnur nú að skjalfestingu öryggiskerfis síns, í samræmi við 11. og 12. gr. laga nr. 77/2000 um persónuvernd og reglur nr. 299/2001 um öryggi persónuupplýsinga.“
Hinn 3. desember 2010 sendi Persónuvernd Norvík hf. bréf þar sem óskað var skýrari svara um miðlun mynda af grunuðu fólki frá Norvík hf. til annarra aðila. Svar Norvíkur hf. barst Persónuvernd hinn 14. desember 2010. Í því segir m.a.:
„...eru neðangreind félög með rekstur á Íslandi alfarið í eigu Norvíkur hf. sem sér um öryggis-, bókhalds-, launa- tölvu- og fjármál þessara félaga:
* Kaupás hf. - 711298-2239
* Byko ehf. - kt. 460169-3219
* Bakkinn vöruhótel ehf. - kt. 650808-1770
* Axent ehf. - kt. 500894-2299
* EXPO ehf. - kt. 500399-2019
Undir kt. Kaupáss hf. eru reknar verslanir Krónunnar, Nóatúns, 11-11, og Kjarval. Undir kt. Byko ehf. eru reknar verslanir Byko, Elko, Intersport, og Húsgagnahallarinnar. [...]Öryggisdeild Norvíkur sendi myndi af grunuðu fólki á allar verslanir sem heyra undir kennitölur Kaupáss og Byko, en hefur nú lagt það verklag af.“
II.
Forsendur og niðurstaða
1.
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og handvirka vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, sbr. 1. tölul. 2. gr. laganna. Vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna.
Af framangreindu er ljóst að miðlun mynda af einstaklingum, þ.e. mynda sem teknar hafa verið við rafræna vöktun, og taldar eru bera með sér að viðkomandi hafi tekið vörur ófrjálsri hendi, er rafræn vinnsla viðkvæmra persónuupplýsinga. Hún fellur undir gildissvið laga nr. 77/2000.
2.
Í bréfi Norvikur hf., dags. 15. október 2010, er að finna eftirfarandi yfirlýsingu: „Norvík hf. er því eitt ábyrgðaraðili, í skilningi 4. tölul. 2. gr. laga nr. 77/2000, allrar vinnslu upplýsinga úr og í tengslum við öryggismyndavéla kerfi sem sett eru upp í verslunum umræddra dótturfélaga þess.“
Samkvæmt 4. tölul. 2. gr. laga nr. 77/2000 telst ábyrgðaraðili að vinnslu persónuupplýsinga vera sá sem ákveður tilgang vinnslunnar, þann útbúnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Í athugasemdum er fylgdu frumvarpi því er varð að lögum nr. 77/2000 segir að átt sé við þann sem hefur ákvörðunarvald um vinnslu persónuupplýsinga og að jafnvel þótt slíkur aðili feli öðrum meðferð upplýsinganna beri hann ábyrgðina, svo fremi hann hafi áfram ákvörðunarvaldið. Með vísun til framangreinds lítur Persónuvernd svo á að Norvík hf. beri ábyrgð á þeirri vinnslu sem um ræðir í máli þessu en ekki aðrir aðilar, þ. á m. þau félög sem Norvík hf. miðlaði persónupplýsingunum til, þ.e. Kaupás hf. og Byko ehf.
3.
Ljóst er að hverjum ábyrgðaraðila er heimilt að verja hendur sínar með því að viðhafa almennt eftirlit í þágu öryggis og eignavörslu, s.s. með notkun eftirlitsmyndavéla, og getur eftir því sem þörf krefur miðlað til lögreglu upplýsingum um refsivert afhæfi, slys o.þ.h. Mál þetta lýtur að hins vegar að miðlun slíkra upplýsinga frá Norvík hf. til tveggja annarra hlutafélaga, n.t.t. til Kaupáss hf. (sem rekur verslanir Krónunnar, Nóatúns, 11-11, og Kjarval) og Byko ehf (sem rekur verslanir Byko, Elko, Intersport, og Húsgagnahallarinnar).
Kveðið er á um heimildir fyrir vinnslu persónuupplýsinga í 8. gr. laga nr. 77/2000 og þurfa skilyrði þeirrar greinar að vera uppfyllt svo að vinnsla sé heimil. Ef um viðkvæmar persónuupplýsingar er að ræða þurfa einnig að vera uppfyllt skilyrði 9. gr. laganna. Hugtakið viðkvæmar persónuupplýsingar er skilgreint í 8. tölul. 2. gr. laganna. Meðal þess sem telst til viðkvæmra upplýsinga eru upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað. Myndefni, sem verður til í eftirlitsmyndavélum og sýnir meinta, refsiverða háttsemi, telst því til viðkvæmra persónuupplýsinga samkvæmt lögum nr. 77/2000.
Af framangreindu leiðir að miðlun umræddra mynda þarf að samrýmast ákvæði 9. gr. laganna. Ekki liggur fyrir að umrædd miðlun persónuupplýsinga hafi átt sér stoð í neinu af heimildarákvæðum 1. mgr. 9. gr. laga nr. 77/2000. Samkvæmt 2. mgr. 9. gr. getur vinnsla vegna rafrænnar vöktunar hins vegar verið heimil enda þótt ekkert af ákvæðum 1. mgr. sé uppfyllt. Það er þó háð þeim skilyrðum sem þar greinir, þ. á m. því skilyrði að myndefni, sem til verður við vöktun verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða samkvæmt ákvörðun Persónuverndar. Heimilt er þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað, en þá skal þess gætt að eyða öllum öðrum eintökum af efninu. Að baki þessu ákvæði býr m.a. sú grunnregla íslensks réttar að uppljóstran sakamála og refsivarsla er á hendi lögreglu og það er t.d. ekki á valdi einstakra hlutafélaga að taka með einhverjum hætti að sér þetta hlutverk ríkisvaldsins. Ákvæði 2. mgr. 9. gr. laganna er og sett með tilliti til þeirra sjónarmiða sem liggja til grundvallar meginreglu 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um áreiðanleika vinnslu, en myndefni sem einn aðili telur veita tilefni til ályktunar um þjófnað eða lögbrot annars felur ekki ávallt í sér staðfestingu á að brot hafi í raun verið framið og getur við nánari rannsókn oft reynst óáreiðanlegt.
Samkvæmt framangreindu skorti Norvík hf. heimild til að miðla til Kaupáss hf. og Byko ehf. myndum af einstaklingum sem félagið taldi bera með upplýsingar um meinta þjófnaði þeirra.
Ú r s k u r ð a r o r ð:
Norvík hf. var óheimilt að miðla viðkvæmum persónuupplýsingum, þ.e. myndum af meintum þjófum, til annarra - þ.e. til Kaupáss hf og Byko ehf.