Rafræn vöktun á Hrafnistu - mál nr. 2003/69
Stéttarfélag óskaði eftir því að Persónuvernd kannaði hvort framkvæmd rafrænnar vöktunar á dvalarheimili, og vinnsla viðkvæmra persónuupplýsinga í tengslum við hana, hafi samrýmst ákvæðum laga um persónuvernd. Tilefnið var sagt vera að til félagsins hafi leitað starfsmaður dvalarheimilisins, og skýrt svo frá að hún hafi verið tekin til yfirheyrslu af starfsmönnum öryggisþjónustu vegna gruns um refsiverðan verknað.
Persónuvernd komst að þeirri niðurstöðu að vinnsla viðkvæmra persónuupplýsinga um starfsmanninn í tengslum við rafræna vöktun á dvalarheimilinu hafi verið ólögmæt.
Hinn 2. september 2003 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2003/69:
Úrlausnarefni
Atvik máls
1.
Með bréfi, dags. 23. janúar 2003, óskaði Karl Ó Karlsson, lögmaður Eflingar-stéttarfélags, eftir því að Persónuvernd kannaði hvort framkvæmd rafrænnar vöktunar á dvalarheimilinu Hrafnistu í Reykjavík, og vinnsla viðkvæmra persónuupplýsinga í tengslum við hana, hafi samrýmst ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum [pul]. Segir að tilefnið sé að til félagsins hafi leitað NN, starfsmaður Hrafnistu, og skýrt svo frá að hún hafi, þann 22. janúar 2003, verið tekin til yfirheyrslu af starfsmönnum Meton hf. vegna gruns um refsiverðan verknað. Þann 23. janúar 2003 móttók Persónuvernd tilkynningu um vinnsluna, sbr. 31. gr. pul.
Með bréfi, dags. 19. febrúar 2003 var erindið kynnt Sveini Skúlasyni, forstjóra Hrafnistu, og skýringa óskað. Svarbréf lögmanns Hrafnistu er dags. 21. mars 2003. Því fylgdi eintak af samningi Hrafnistu og Meton ehf. frá 22. janúar 2003 um öryggisþjónustu. Einnig fylgdi greinargerð, dags. 27. febrúar 2003, frá starfsmönnum Meton ehf. um samskipti þeirra og NN. Með bréfi dags. 29. apríl sl. var Eflingu-stéttarfélagi gefinn kostur á að tjá sig um efni ofangreindra gagna. Er svarbréf lögmanns félagsins dags. 4. júní 2003. Með bréfi, dags. 17. júlí sl., óskaði Persónuvernd nánari upplýsinga um það hvaða fræðslu starfsmenn fengu áður en umrædd vöktun hófst og eintak af tilgreindu fréttabréfi Hrafnistu til starfsmanna þar sem sagt var að vöktunin hefði verið kynnt. Eintak fréttabréfsins barst Persónuvernd með bréfi lögmanns Hrafnistu, dags. 7. ágúst sl. Því fylgdi jafnframt afrit af fundargerð framkvæmdastjórnarfundar frá 16. ágúst 2002 þar sem bókuð er ákvörðun um uppsetningu eftirlitsmyndavélakerfis.
Samkvæmt fyrirliggjandi gögnum eru atvik máls þessa þau að haustið 2002 létu forsvarsmenn Hrafnistu í Reykjavík setja upp eftirlitsmyndavélar í húsakynnum dvalarheimilisins til að koma í veg fyrir og upplýsa um þjófnaði eða önnur afbrot; en fram kom í bréfi lögmanns Hrafnistu, dags. 21. mars sl., að nokkuð hefði borið á því að verðmæti hyrfu frá heimilismönnum. Er eftirlitsmyndavélunum lýst svo að þær séu af stafrænni gerð og taki upp myndefni á tölvudisk. Myndefni eyðist sjálfkrafa eftir 30 daga, þegar tekið sé tekið yfir eldri upptökur. Ef upp komi atvik sem talið sé nauðsynlegt að skoða nánar sé hægt að taka afrit af því á geisladisk, en Hrafnista hafi sjálf ekki haft nauðsynlegan búnað til slíks. Eftir uppsetningu eftirlitsmyndavélanna hafi engin tilvik komið upp sem hafi gefið tilefni til afritunar fyrr en atvik máls þessa áttu sér stað. Það var þegar einn heimilismaður á Hrafnistu saknaði verðmæta úr herbergi sínu í tvígang, þann 6. janúar 2003 og 15. janúar 2003. Til að skoða upptökur úr þeirri myndavél sem staðsett var á gangi þessa heimilismanns var haft samband við öryggisfyrirtækið Meton ehf. Þann 22. janúar gerði Hrafnista síðan skriflegan samning við fyrirtækið, en í þeim samningi segir m.a. að verktaki [þ.e. Meton ehf.] taki að sér öryggisráðgjöf og vinnu sem snúi að því að fara yfir og taka efni eða gögn út úr eftirlitsmyndavélakerfi verkkaupa [þ.e. Hrafnistu]. Þá skuli Meton sjá um að útbúa og leggja fram kærur til lögreglu fyrir hönd Hrafnistu komi upp slík tilvik og að verkkaupi heimili, fyrir sitt leyti, að verktaki ræði við starfsfólk og/eða heimilisfólk um málefni sem tengjast kunna störfum verktaka.
Þann 22. janúar 2003 bað deildarstjóri NN, starfsmanns á Hrafnistu, hana um að ræða við tvo menn frá Meton ehf. vegna framangreindra atvika Er þessu lýst svo í bréfi lögmanns Eflingar-stéttarfélags, dags. 23. janúar 2003:
Fulltrúar Eflingar-stéttarfélags ræddu við starfsmanninn og umræddan deildarstjóra á fundi í dag. Á fundinum staðfesti starfsmaðurinn ofangreinda frásögn [...]. Upplýsti deildarstjórinn að það væri rétt að hún hafi beðið starfsmanninn um að ræða við nefnda menn frá Meton ehf. og að starfsmaðurinn hafi farið á brott með þeim. Tilefnið hafi verið það að vistmaður hafi kært hvarf á peningum og við skoðun á myndefni hafi þótt ástæða til að ræða við starfsmanninn. Kvaðst deildarstjórinn ekki vita hvað hafi komið fram í "viðtalinu". Hún hafi sjálf ekki séð myndefnið, enda hefðu einungis starfsmenn Meton ehf. aðgang að því."
Í bréfi lögmanns Hrafnistu, dags. 21. mars sl., segir hins vegar að NN hafi aðspurð samþykkt að ræða við starfsmenn Meton ehf. Skrifstofa deildarstjóra hafi verið upptekin og ekki á staðnum verið önnur aðstaða þar sem hægt var að ræða við hana í einrúmi. Því hafi aðilar ákveðið sameiginlega að fara á starfsstöð Meton ehf. Í greinargerð starfsmanna Meton ehf., dags. 27. febrúar sl., segir að NN hafi haft um þetta val og kosið frekar að fara í starfsstöð Meton ehf. Upplýst er af hálfu lögmanns Hrafnistu að Meton ehf. hefur afhent lögreglu öll þau gögn sem unnin voru úr eftirlitsmyndavélum Hrafnistu og að þangað hafi meintur þjófnaður verið kærður.
Sjónarmið málsaðila
Í bréfum sínum, dags. 23. janúar og 4. júní 2003, segir lögmaður Eflingar-stéttarfélags að félagið geri engar athugasemdir við nauðsyn rafrænnar vöktunar með notkun eftirlitsmyndavéla á Hrafnistu í öryggis- og eignavörsluskyni. Tilefni erindisins til Persónuverndar sé hins vegar það mat Eflingar-stéttarfélags að Hrafnista hafi brotið gegn ákvæðum laganna um meðferð viðkvæmra persónuupplýsinga sem til verði í tengslum við vöktunina. Vísar lögmaðurinn til þess að þegar starfsmenn Meton ehf. yfirheyrðu starfsmann Hrafnistu þann 22. janúar 2003, hafi engin fræðsla verið veitt starfsmönnum Hrafnistu um tilvist þessa fyrirtækis eða hvaða tilgangi það þjónaði. Fræðslan hafi ekki verið veitt fyrr en eftir umrætt atvik og hafi samningur Hrafnistu og Metons ehf. ekki verið gerður fyrr en sama dag og starfsmaðurinn var tekinn til yfirheyrslu. Þá segir í bréfi lögmannsins, dags. 4. júní 2003:
Hrafnista, sem ábyrgðarmaður hinnar rafrænu vinnslu, ber fulla ábyrgð á Meton ehf. sem vinnsluaðila upplýsinganna samkvæmt 13. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Það samrýmist ekki tilgangi laganna að vinnsluaðila sé með samningi, að ekki sé talað um eftirásamningi, veitt óskilyrt leyfi til þess að ganga að starfsmönnum ábyrgðaraðila og yfirheyra á grundvelli viðkvæmra persónuupplýsinga sem vinnsluaðili hefur undir höndum. Eigi að heimila vinnsluaðila viðkvæmra persónuupplýsinga að rannsaka og vinna úr þeim persónuupplýsingum verður slík heimild að mati Eflingar-stéttarfélags að byggja á skýrum og skilyrtum grunni; grunni sem Persónuvernd verður að móta eða leggja blessun sína yfir og sem verður að innibera það m.a. að starfsmaður sé ekki kallaður til yfirheyrslu eða viðtals nema að viðstöddum trúnaðarmanni eða öðrum aðila sem starfsmaður kýs að hafa viðstaddan. Í því sambandi bendir Efling-stéttarfélag á þær heimildir sem Persónuvernd eru veittar skv. ákvæði 5. mgr. 37. gr. laga um persónuvernd og meðferð persónuupplýsinga."
Í bréfi sínu til forsvarsmanna Hrafnistu, dags. 19. febrúar sl., óskaði Persónuvernd þess m.a. að upplýst yrði hvernig staðið hefði verið að kynningu og fræðslu til starfsmanna, sbr. 20. gr. pul. Um þetta atriði segir í bréfi lögmanns Hrafnistu, dags. 21. mars sl.:
Áður en fundir þessir voru haldnir hafði forstjóri Hrafnistu einnig samband við Persónuvernd símleiðis og fékk þar leiðbeiningar um hvernig haga ætti kynningu á þessu máli meðal heimilismanna og starfsmanna. Var þeim leiðbeiningum fylgt.
Auk þessa var í fréttabréfi Hrafnistu, sem m.a. er sent út með launaseðlum til starfsmanna, birt sérstök tilkynning um væntanlega uppsetningu eftirlitsmyndavélanna. Við allar inngöngudyr Hrafnistu var einnig settur upp límmiði þar sem fram kemur að eftirlitsmyndavélar séu í húsinu.
Með hliðsjón af ofangreindu telur umbjóðandi okkar að hann hefur fullnægt skilyrðum ... laga um persónuvernd um að láta hinn skráða vita um vinnslu persónuupplýsinga og setja upp viðvörun um rafræna vöktun."
Persónuvernd taldi þörf nánari lýsingar á inntaki þeirrar fræðslu sem fram fór og óskaði, með bréfi dags. 17. júlí 2003, eftir afriti af þeim gögnum sem notuð voru við fræðsluna og eintaki af framangreindu fréttabréfi. Í svarbréfi lögmanns Hrafnistu, dags. 7. ágúst sl., segir að engin eiginleg kynningargögn séu til frá kynningafundi með starfsmönnum. Í fréttabréfi Hrafnistu frá október 2002, sem sent var öllum starfsmönnum, segir að ákveðið hafi verið að setja upp myndavélar á öllum göngum og við allar dyr Hrafnistu í Reykjavík. Þá segir:
Um þá vinnslu persónuupplýsinga, sem fram fór með afritun upptöku af tölvudiski í janúar 2003, segir svo í bréfi lögmannsins Hrafnistu frá 21. mars sl.:
Lögmaðurinn mótmælir því að fram hafi farið "yfirheyrsla" yfir starfsmanninum. Að fengnu samþykki starfsmannsins hafi starfsmenn Metons ehf. rætt við hana um efni þeirrar upptöku sem til var af herbergi viðkomandi heimilismanns Hrafnistu og spurt um ýmis atriði. Til þessa hafi þeir haft heimild samkvæmt samningi Metons ehf. og Hrafnistu. Hafi starfsmanninum sjálfum verið umhugað um að þetta samtal færi fram annars staðar en á Hrafnistu til að þær vektu ekki eftirtekt. Telur lögmaðurinn með hliðsjón af framangreindu að umbjóðandi sinn hafi, við uppsetningu og kynningu á rafrænni vöktun á Hrafnistu, svo og við vinnslu þess myndefnis sem þannig verði til, fylgt í alla staði ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Fyrir liggur greinargerð frá starfsmönnum Meton ehf. til forsvarsmanna Hrafnistu, dags. 27. febrúar 2003. Þar segir að þau gögn sem unnin voru úr eftirlitskerfi Hrafnistu hafi öll verið send lögreglu til viðeigandi meðferðar og að ekkert þeirra gagna eða afrit þeirra hafi orðið eftir í vörslu Meton ehf. eða starfsmanna þess. Hins vegar blandi lögmaður Eflingar-stéttarfélags saman tvennu sem varði persónuvernd, það er annars vegar vinnslu og meðhöndlun viðkvæmra persónuupplýsinga og starfsmannamálefnum hins vegar, s.s. um það hvar og hverjir ræða við starfsmenn Hrafnistu um starfsmannatengd málefni.
Niðurstaða
Varðandi þær athugasemdir sem fram hafa komið varðandi yfirheyrslu Meton ehf. yfir starfsmanni á Hrafnistu skal minnt á þá meginreglu íslenskrar réttarskipunar að það er hlutverk lögreglu að vinna að uppljóstran brota, stöðva ólögmæta háttsemi og fylgja málum eftir í samræmi við ákvæði laga um meðferð opinberra mála eða eftir öðrum lögum, sbr. 2. tl. 1. gr. lögreglulaga nr. 90/1996. Samkvæmt lögum um meðferð opinberra mála nr. 19/1991 (oml) fer lögreglan með rannsókn opinberra mála nema öðruvísi sé mælt fyrir í öðrum lögum. Samkvæmt 37. gr. laga nr. 77/2000 er það hlutverk Persónuverndar að hafa eftirlit með framkvæmd þeirra laga. Eftirlit með framkvæmd oml. fellur hins vegar utan verksviðs hennar. Mun álit Persónuverndar því einskorðast við það hvort um hafi verið að ræða lögmæta vinnslu persónuupplýsinga í skilningi pul.
Undir lög nr. 77/2000 um persónuvernd og vinnslu persónuupplýsinga fellur vinnsla persónuupplýsinga. Með "persónuupplýsingum" er þá, sbr. 1. tl. 1. mgr. 2. gr., átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Þá er "vinnsla" slíkra upplýsinga skilgreind sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 1. mgr. sömu greinar.
Notkun eftirlitsmyndavéla er ein tegund rafrænnar vöktunar, en við slíka vöktun getur átt sér stað vinnla persónuupplýsinga. Það ræðst einkum af því hvers konar búnaður er notaður hvort vöktunin leiðir eða getur leitt til söfnunar eða annars konar vinnslu persónuupplýsinga. Tekið skal fram að með lögum nr. 46/2003, sem samþykkt voru á Alþingi þann 14. mars 2003, var að nokkru breytt ákvæðum laganna um vöktun en í úrskurði þessum er byggt á lögunum eins og þau voru á þeim tíma þegar umræddur atburður átti sér stað. Með rafrænni vöktun var þá átt við vöktun sem var viðvarandi eða endurtekin reglulega og fól í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði, sbr. 6. tölul. 1. mgr. 2. gr. laganna. Þá var, samkvæmt 2. mgr. 8. gr. pul, eins og hún var á sama tíma, heimilt að viðhafa rafræna vöktun á svæði þar sem takmarkaður hópur fólks fór um að jafnaði, væri hennar sérstök þörf vegna eðlis þeirrar starfsemi sem þar fór fram.
Fyrir liggur að síðsumars árið 2002 voru teknar í notkun stafrænar eftirlitsmyndavélar á Hrafnistu. Þær taka upp myndefni sem varðveitt er á tölvudisk í 30 daga en eyðist þá þegar tekið er yfir eldra efni. Tæknilega séð var frá upphafi unnt að afrita upptökur yfir á tölvudiski með sérstökum búnaði, en ekki liggur fyrir að það hafi verið gert fyrr en í janúar 2003. Slík vöktun telst vera vinnsla persónuupplýsinga, eðli sínu samkvæmt. Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju þeirra almennu skilyrða sem kveðið er á um í 1. mgr. 8. gr. laganna. Hún þarf einnig að eiga sér stoð í einhverju af skilyrðum 1. mgr. 9. gr. fari fram vinnsla viðkvæmra persónuupplýsinga, en það eru t.d. upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað sbr. b. lið 8. tl. 2. gr. pul. Öll vinnsla þarf að uppfylla meginreglur 7. gr. laganna um gæði gagna og vinnslu. Í því felst m.a. að við meðferð persónuupplýsinga skal þess gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti. Þá er það forsenda lögmæti vinnslu að hinn skráði hafi fengið þá fræðslu sem kveðið er á um í 20. gr. pul. og að uppfyllt hafi verið ýmis önnur skilyrði laganna, þ. á m. um tilkynningaskyldu skv. 31. gr. og um gerð samnings við vinnsluaðila, skv. 13. gr. sömu laga.
Er þá næst til skoðunar hvort þessum skilyrðum hafi verið fullnægt:
Fræðsluskylda
Lögmaður Eflingar-stéttarfélags hefur m.a. vísað til þess að þegar starfsmaðurinn hafi verið "yfirheyrður" af fulltrúum Metons ehf. hafi engin kynning átt sér stað gagnvart starfsmönnum á tilvist þessa fyrirtækis eða hvaða tilgangi það þjónaði. Slík kynning hafi fyrst farið fram eftir atvikið þann 22. janúar 2003.
Um þetta segir í bréfi lögmanns Hrafnistu, dags. 21. mars. sl., að haldinn hafi verið fundur með starfsmönnum þann 26. ágúst 2002. Þar hafi forstjóri Hrafnistu kynnt fyrir starfsmönnum áform um að setja upp eftirlitsmyndavélar og í hvaða tilgangi. Fram hafi komið að "hvorki yfirmenn né aðrir starfsmenn Hrafnistu myndu hafa aðgang að myndefninu heldur yrði gerður samningur við utanaðkomandi öryggisfyrirtæki um úrvinnslu gagna gerðist þess þörf". Í fréttabréfi Hrafnistu frá október 2002, þar sem vöktunin var kynnt öllum starfsmönnum, segir að öryggisfyrirtæki muni sjá um tölvuna, að starfsmenn Hrafnistu muni ekki hafa aðgang að gögnum úr henni og að gögn verði afhent lögreglu komi fram grunur um þjófnað.
Um það hvort fræðslan hafi verið í samræmi við 20. gr. pul. skal tekið fram að af gögnum málsins er ljóst að frá því um haustið 2002 fór með notkun eftirlitsmyndavéla fram vinnsla persónuupplýsinga í skilningi laganna. Á þeim sem ber ábyrgð á slíkri vinnslu, í þessu tilviki Hrafnistu, hvílir m.a. sú skylda að upplýsa hinn skráða um þau atriði sem tilgreind eru í 20. gr. pul. Segir þar m.a. að hinn skráði skuli fá upplýsingar um tilgang vinnslunnar, svo og aðrar upplýsingar að því marki sem nauðsyn krefur, með hliðsjón af þeim aðstæðum sem ríkja við vinnsluna, svo hinn skráði geti gætt hagsmuna sinna. Er í því skyni nefnt að hann skuli m.a. fá fræðslu um viðtakendur persónuupplýsinganna. Ákvæðið er að nokkru samhljóða ákvæði 16. gr. pul þar sem kveðið er á um rétt hins skráða til almennrar vitneskju um vinnslu persónuupplýsinga, en samkvæmt því ákvæði ber ábyrgðaraðila að upplýsa um viðtakendur þeirra persónuupplýsinga sem unnið er með á hans vegum. Í athugasemdum við 16. gr. frumvarpsins, er varð að lögum nr. 77/2000, er tekið fram að ekki sé þörf á að nafngreina einstaka viðtakendur upplýsinganna, heldur einungis að tilgreina tegund eða flokka viðtakenda. Verður við það að miða að hið sama eigi við um skyldu ábyrgðaraðila hér að lútandi samkvæmt 20. gr. pul. Þó svo að á þessum tíma hafi ekki legið fyrir nafn þess fyrirtækis sem sjá myndi um vinnsluna, verður því við það miðað að Hrafnista hafi fullnægt þeim þætti fræðsluskyldu sinnar að upplýsa um viðtakendur upplýsinganna.
Starfsmenn Hrafnistu voru hins vegar ekki upplýstir um að öryggisfyrirtæki yrði veitt heimild til að "ræða við starfsfólk og/eða heimilisfólk um málefni sem tengjast kynnu störfum verktaka ...", eins og segir í 5. gr. verksamnings Hrafnistu og Metons ehf. frá 22. janúar 2003. Á grundvelli þessa ákvæðis ræddu starfsmenn Metons ehf. við NN á starfsstöð fyrirtækisins í Kópavogi þann sama dag. Verður við það að miða að NN hafi þá enga vitneskju haft um hvort slíkt fyrirtæki hefði til þess heimild að lögum að "yfirheyra" hana vegna gruns um refsiverðan verknað, né að öðru leyti haft forsendur til þess að geta gætt hagsmuna sinna. Verður því ekki séð að forsvarsmenn Hrafnistu hafi uppfyllt þá skyldu sína að tryggja að hinn skráði hefði fengið þá fræðslu um vinnsluna sem honum voru nauðsynlegar, með hliðsjón af þeim sérstöku aðstæðum sem ríktu við vinnsluna, svo að hann gæti gætt hagsmuna sinna, sbr. 3. tl. 1. mgr. 20. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.
Tilkynningarskylda
Hér að framan hefur verið fjallað um þá forsendu lögmæti vinnslu að hinn skráði hafi fengið þá fræðslu sem kveðið er á um í 20. gr. pul. Að auki þarf ábyrgðaraðili að uppfylla fleiri ákvæði laganna þar á meðal varðandi tilkynningaskyldu til Persónuverndar. Samkvæmt 1. mgr. 31. gr. pul. skal sérhver ábyrgðaraðili persónuupplýsinga sem beitir rafrænni tækni við vinnslu persónuupplýsinga tilkynna Persónuvernd um vinnsluna, áður en hún hefst. Samkvæmt 3. mgr. 31. gr. getur Persónuvernd ákveðið að vissar tegundir vinnslu almennra persónuupplýsinga skuli undanþegnar tilkynningarskyldu eða að um þær gildi einfaldari tilkynningarskylda. Persónuvernd hefur á grundvelli þessa ákvæðis sett reglur nr. 90/2001, um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga. Þar er að finna ýmsar undanþágur frá tilkynningarskyldunni en samkvæmt 5. tl. 5. gr. þeirra er þó skylt að tilkynna til Persónuverndar um rafræna vöktun sem er að hluta til eða að öllu leyti stafræn eða unnin þannig að finna megi í safni mynda/hljóða upplýsingar um tilgreinda menn. Af 3. mgr. 4. gr. reglnanna leiðir að ábyrgðaraðila er óheimilt að hefja tilkynningarskylda vinnslu fyrr en honum berst staðfesting frá Persónuvernd um móttöku tilkynningar um vinnsluna eða ef liðnir eru 10 dagar frá því að hann sendi tilkynninguna.
Eftirlitsmyndavélar voru settar upp á Hrafnistu og myndefni skoðað þegar grunur vaknaði um refsiverðan verknað á dvalarheimilinu. Var fyrirtækinu Meton ehf. falið að tilkynna til Persónuverndar um þessa vinnslu og móttók stofnunin tilkynningu um vinnsluna þann 23. janúar 2003. Hins vegar liggur fyrir að umræddar myndavélar höfðu þegar verið settar upp í ágúst 2002 og að áður en tilkynningin var send til Persónuverndar hafði myndefni verið safnað og m.a. skoðað sérstaklega vegna gruns um refsiverðan verknað á dvalarheimilinu. Verður því ekki séð að Hrafnista hafi uppfyllt skyldu sína skv. 31. gr. pul., sbr. og 4. og 5. gr. reglna nr. 90/2001, um tilkynningarskylda og leyfisskylda vinnslu persónuupplýsinga.
Gerð samnings við vinnsluaðila
Samkvæmt 13. gr. pul. um trúnaðarskyldu vinnsluaðila við meðferð persónuupplýsinga er ábyrgðaraðila heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laganna. Slíkt er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit skv. 12. gr. sömu laga. Í slíkum samningi skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og gilda ákvæði pul. um skyldur ábyrgðaraðila einnig um þá vinnslu sem vinnsluaðili annast.
Fyrir liggur að í janúar 2003 var myndefni skoðað sérstaklega vegna gruns um refsiverðan verknað á dvalarheimilinu fyrr í sama mánuði. Með notkun eftirlitsmyndavéla og söfnun og skoðun myndefnis í tengslum við hana fór fram vinnsla persónuupplýsinga. Þá vinnslu önnuðust starfsmenn Meton ehf. auk þess sem þeir "yfirheyrðu" starfsmann sem grunaður var um refsiverðan verknað. Ekki liggur hins vegar fyrir að gerður hafi verið samningur milli Hrafnistu og þessa fyrirtækis fyrr en þann 22. janúar 2003. Verður því ekki séð að uppfyllt hafi verið ákvæði 13. gr. laga nr. 77/2000 um gerð vinnslusamnings.
Með vísun til alls framangreinds, og með hliðsjón af því hvernig hér stóð á og þá sérstaklega að teknu tilliti til aðstöðu NN þegar umrædd "yfirheyrsla" fór fram, er það niðurstaða Persónuverndar að tilgreind vinnsla viðkvæmra persónuupplýsinga um hana í tengslum við framkvæmd rafrænnar vöktunar á dvalarheimilinu Hrafnistu í Reykjavík, hafi ekki samrýmst ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum.
Ú R S K U R Ð A R O R Ð
Vinnsla viðkvæmra persónuupplýsinga um NN í tengslum við rafræna vöktun á dvalarheimilinu Hrafnistu í Reykjavík var ólögmæt.