Úrlausnir

Bannlisti hjá IKEA

31.8.2016

Persónuvernd hefur úrskurðað að vinnsla IKEA á persónuupplýsingum um kvartanda, sem fólst í skráningu hans á lista yfir einstaklinga sem ekki eru velkomnir í verslun fyrirtækisins, hafi ekki samrýmst lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Er IKEA gert að afmá persónuupplýsingar um kvartanda af listanum.

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 23. ágúst 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/253:

 

I.

Málsmeðferð

1.

Tildrög máls

Þann 5. febrúar 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) vegna skráningar persónuupplýsinga um hann á lista IKEA yfir einstaklinga sem eru í viðskipta- og komubanni í verslun fyrirtækisins á Íslandi, og vegna ummæla [B], fjármálastjóra [fyrirtækisins], um mál kvartanda í fjölmiðlum. Í kvörtuninni segir m.a. að kvartandi hafi fengið upplýsingar frá framkvæmdastjóra IKEA um að hann væri á þessum lista vegna atviks sem átti sér stað í versluninni þann [...] sama ár. IKEA hafi kært atvikið til lögreglu en ekki hafi verið gefin út ákæra vegna málsins og kvartandi hafi því hvorki verið sakfelldur né farið á sakaskrá vegna atviksins. Kvartandi bendir á að ekkert eftirlit sé með þeim trúnaðarupplýsingum sem skráðar séu á listann og hinir skráðu hafi enga möguleika á því að vita hvernig þessi listi sé geymdur, hverjir sjái hann og hvaða upplýsingar séu á honum.

Tilefni kvörtunarinnar má rekja til ummæla sem höfð voru eftir fyrrnefndum fjármálastjóra [fyrirtækisins], í viðtali við hann sem birtist í [...] þann [...]. Fjármálstjórinn hafi þar tjáð sig um mál kvartanda, sem þá var til meðferðar hjá lögreglu, greint frá því hvaða dag málið kom upp í verslun IKEA og einnig tjáð sig um sambýliskonu kvartanda, sem ekki hafi verið kærð í málinu. [B] hafi þannig veitt persónuupplýsingar sem gátu leitt til þess að þeir sem voru í verslun IKEA þennan dag þekktu kvartanda og sambýliskonu hans. Í viðtalinu hafi meðal annars komið fram að 45 einstaklingar væru á ævilöngum bannlista hjá IKEA vegna þjófnaðar. Kvartandi hafi sent framkvæmdastjóra [fyrirtækisins], [C], tölvupóst og gert athugasemd við fréttina og orð [B] um kvartanda og sambýliskonu hans, gagnrýnt málsmeðferðina af þeirra hálfu og spurt hvort hann væri á listanum. [C] hafi staðfest það og upplýst að öryggisverðir myndu vísa kvartanda út ef hann kæmi inn í verslunina.

Að sögn kvartanda voru málsatvik þau að hann, ásamt sambýliskonu sinni, var umræddan dag að skanna inn vörur í sjálfsafgreiðslukassa í verslun IKEA þegar vinafólk þeirra gaf sig á tal við þau. Að samtalinu loknu tók kvartandi poka með vörum og gekk frá kassanum án þess að hafa greitt fyrir þær. Kvartandi segir að um hrein og klár mistök hafi verið að ræða af hans hálfu. Þegar hann hafi verið stöðvaður af öryggisverði hafi hann áttað sig á mistökunum og boðist til að greiða fyrir vörurnar. Öryggisvörðurinn hafi hins vegar stöðvað hann og lögregla hafi verið kölluð til. Nokkrum dögum eftir þetta atvik hafi kvartandi fengið bréf frá saksóknara um að háttsemi hans varðaði við 1. mgr. 244. gr. almennra hegningarlaga, nr. 19/1940, en að fallið [yrði] frá saksókn með vísan til a-liðar 3. mgr. 146. gr. laga nr. 88/2008, um meðferð sakamála. Kvartandi segist saklaus af ásökunum IKEA og að myndbandsupptökur úr versluninni, sem lögregla hafi fengið, staðfesti frásögn hans.

 

2.

Bréfaskipti

Með bréfi, dags. 3. mars 2016, var IKEA boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í tveimur svarbréfum Lögmáls, f.h. IKEA, dags. 7. apríl 2016, kemur fram að öryggisdeild IKEA haldi lista yfir einstaklinga sem séu ekki velkomnir í verslunina vegna þess að þeir hafi verið staðnir að þjófnaði, hafi gert tilraun til þjófnaðar, framið skemmdarverk í versluninni, haft þar í frammi ógnandi hegðun eða farið fram með ofbeldi. Þá séu dæmi um að öryggisdeildin hafi fært á listann einstaklinga sem hún telji ástæðu til að fylgjast náið með ef þeir koma í verslunina. Á listann sé skráð nafn viðkomandi ásamt kennitölu og ástæðu þess að viðkomandi er á listanum. Þá fylgi slíkri skráningu mynd, sé hún til á Facebook-síðu viðkomandi einstaklings.

Í svarbréfi Lögmáls, f.h. IKEA, segir að fyrirtækið hafi málefnalegar ástæður til að safna þessum upplýsingum saman. Er vísað til þess að þannig sé spornað gegn þjófnaði úr versluninni, komið í veg fyrir að skemmdarverk séu þar unnin á dýrmætum verslunarvarningi og reynt að fyrirbyggja að gestir verði fyrir ofbeldi. Um sé að ræða stærstu smásöluverslun landsins og virkt eftirlit hafi fælingarmátt gagnvart aðilum sem kunni að hafa ofbeldisglæpi í hyggju. Fyrirtækið telji brýna hagsmuni þess sjálfs, sem og verslunargesta, standa til þess að listinn sé haldinn og að eftirlit í versluninni sé virkt. Upplýsingunum sé eingöngu safnað í framangreindum tilgangi, auk þess sem  söfnun þeirra sé til verndar lögmætum hagsmunum fyrirtækisins, meðal annars af því að ráða því sjálft hverjir gangi um verslunina. Upplýsingarnar einskorðist við það sem nægilegt sé til þess að lögmætu markmiði með söfnun upplýsinganna verði náð. Einungis séu áreiðanlegar upplýsingar á listanum en skráning á hann sæti reglulegri endurskoðun öryggisdeildar fyrirtækisins. Dæmi séu um að nöfn einstaklinga hafi verið afmáð þegar ekki hafi lengur verið talin þörf á að vera á verði gagnvart þeim. Í bréfinu er því jafnframt mótmælt að ráða megi af orðum [B] í [...] að kvartandi sé aðili að tilteknu máli sem upp hafi komið í versluninni.

Einnig er upplýst í bréfi Lögmáls, f.h. IKEA, að einungis starfsmenn öryggisdeildar fyrirtækisins hafi aðgang að listanum. Öll meðferð öryggisdeildarinnar á upplýsingunum sé vönduð og fyllsta öryggis gætt til þess að þær verði ekki aðgengilegar óviðkomandi aðilum [...].

Þeim sem skráðir séu á umræddan lista sé tilkynnt um það, verði starfsmenn öryggisdeildarinnar varir við þá í versluninni, en IKEA telji 20. og 21. gr. laga nr. 77/2000, um fræðsluskyldu ábyrgðaraðila gagnvart hinum skráða, ekki eiga við í málinu þar sem upplýsinganna hafi hvorki verið aflað frá hinum skráða né frá öðrum. Á listanum séu einungis upplýsingar um vitneskju IKEA um hegðun hinna skráðu í versluninni. Þá leiði það af eðli máls að IKEA beri ekki að tilkynna hinum skráðu um skráninguna hafi öryggisdeildin af sérstöku tilefni skráð viðkomandi á listann til þess að geta fylgst sérstaklega með þeim í versluninni umfram aðra gesti. Að lokum segir í bréfi Lögmáls, f.h. IKEA, að fyrirtækið hafi ekki sett sérstakar reglur um hvernig fara skuli með beiðni um leiðréttingu eða eyðingu af listanum.

Með bréfi, dags. 10. júní 2016, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar IKEA til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi kvartanda, dags. 27. júní 2016, segir m.a. að kvartandi hafi ávallt neitað því að hafa framið þjófnaðarbrot og að hvorki lögregla né IKEA hafi sannað að hann hafi brotið lög af ásetningi. Þá sé það íþyngjandi fyrir þá sem skráðir séu á umræddan lista að fá ekki tilkynningu um það við skráningu heldur eingöngu þegar þeir mæti í verslunina og sé vísað út. Kvartandi gerir jafnframt athugasemd við að ekkert ytra eftirlit sé með starfsháttum öryggisdeildar IKEA, einkum í ljósi þess að fyrirtækið geri ekki greinarmun á mistökum og þjófnaði af ásetningi. Þá geti skráning á listann fyrir lífstíð ekki talist eðlileg þar sem nokkur fjöldi starfsmanna IKEA hafi aðgang að listanum og ljóst sé að æra og mannorð einstaklinga sem skráðir séu á hann sé í hættu. Jafnframt hafi þeir einstaklingar, sem brjóti af sér af ásetningi í versluninni, engan möguleika á betrun.

 

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.

Í blaðaviðtali við fjármálastjóra [fyrirtækisins] frá [...], sem vitnað er til í kvörtuninni, er að finna ummæli fjármálastjórans um það atvik sem kvörtunin lýtur að. Hvorki kvartandi né sambýliskona hans eru nafngreind í umræddu viðtali heldur er einungis minnst á dagsetningu tiltekins atviks sem greint er frá á ópersónugreinanlegan máta. Það er mat Persónuverndar að þær upplýsingar sem veittar eru um málið í viðtalinu séu ekki persónugreinanlegar og falli því utan gildissviðs laga nr. 77/2000, eins og það er skilgreint í 1. mgr. 3. gr. þeirra. Hins vegar er ljóst af öllu framangreindu að vinnsla IKEA á persónuupplýsingum um kvartanda, sem skráðar voru á lista fyrirtækisins yfir einstaklinga sem ekki eru velkomnir í verslun þess, fellur undir gildissvið laga nr. 77/2000. Eftirfarandi úrlausn Persónuverndar tekur því eingöngu til þeirrar vinnslu.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst IKEA vera ábyrg[ð]araðili að umræddri vinnslu.

 

2.

Lögmæti vinnslu

Svo að vinna megi með persónuupplýsingar verður ávallt að vera fullnægt einhverri af kröfum 1. mgr. 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga jafnframt að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 9. gr. laganna. Samkvæmt b-lið 8. tölul. 2. gr. laga nr. 77/2000 teljast upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað til viðkvæmra persónuupplýsinga.

Það ákvæði 8. gr. laganna sem einkum reynir á í tengslum við þá vinnslu persónuupplýsinga sem hér um ræðir er 7. tölul. 1. mgr. 8. gr. þeirra en þar segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Telja verður að IKEA hafi lögmæta hagsmuni af því að halda uppi almennu eftirliti í verslun sinni í þágu öryggis og eignavörslu. Slíkt eftirlit verður þó að samrýmast öðrum ákvæðum laga nr. 77/2000 og reglum settum samkvæmt þeim. Þá kemur jafnframt til skoðunar hvort vinnslan sem um ræðir getur stuðst við eitthvert skilyrðanna í 1. mgr. 9. gr. laganna. Kemur þá einkum til skoðunar 7. tölul. 1. mgr. 9. gr. sem heimilar vinnslu viðkvæmra persónuupplýsinga sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Ljóst er að viðkvæmum persónuupplýsingum verður ekki safnað með stoð í þessu ákvæði laganna nema vinnslan teljist nauðsynleg vegna tiltekinna réttarkrafna. Svo er ekki í þessu tilviki. Þá verður ekki séð að önnur skilyrði 1. mgr. 9. gr. laga nr. 77/2000 hafi verið uppfyllt. Skorti IKEA því heimild í 9. gr. laga nr. 77/2000 til þess að skrá á umræddan lista upplýsingar um að kvartandi væri grunaður um refsiverðan verknað.

Öll vinnsla persónuupplýsinga þarf jafnframt að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er m.a. mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.), og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.).

Til þess að skilyrði 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um sanngirni teljist uppfyllt verður hinn skráði að geta fengið vitneskju um þá vinnslu persónuupplýsinga um hann, sem á sér stað. Auk þess verður hann að eiga, þegar söfnun upplýsinganna á sér stað, kost á fullnægjandi upplýsingum um vinnubrögð, vinnuferli og annað er lýtur að vinnslunni. Af málsgögnum verður hins vegar ráðið að IKEA tilkynni þeim, sem skráðir eru á listann, ekki um skráninguna nema starfsmenn verði þeirra varir í versluninni. Í 1. tölul. 1. mgr. 7. gr. laganna felst einnig krafa um að persónuupplýsingar séu ávallt unnar á málefnalegan hátt. Í svarbréfum IKEA, dags. 7. apríl 2016, kemur fram að á listann séu skráðir einstaklingar sem hafa verið staðnir að þjófnaði í versluninni, hafi gert tilraun til þjófnaðar, framið skemmdarverk í versluninni, haft þar í frammi ógnandi hegðun eða farið fram með ofbeldi. Þá séu dæmi um að öryggisdeildin hafi fært á listann einstaklinga sem hún telur ástæðu til að fylgjast náið með ef þeir koma í verslunina. Þrátt fyrir að IKEA geti átt lögmæta hagsmuni af því að halda uppi eftirliti í verslun sinni í þágu öryggis og eignavörslu, sbr. framangreint, telur Persónuvernd það ekki samræmast kröfu 1. tölul. 1. mgr. 7. gr. laganna um málefnalega vinnslu að skrá einstakling á lista af þessu tagi á grundvelli mats starfsmanna IKEA, án vitundar hins skráða.

Þá verður að skýra skilyrði 4. tölul. 1. mgr. 7. gr. um áreiðanleika persónuupplýsinga með hliðsjón af því að málsatvik, sem einn maður telur veita tilefni til ályktunar um lögbrot eða þjófnað annars, fela ekki ávallt í sér staðfestingu á að brot hafi í raun verið framið. Upplýsingar um meintan þjófnað, sem byggjast á mati starfsmanna IKEA, kunna þannig í ákveðnum tilvikum að reynast óáreiðanlegar. Í tilviki kvartanda er ágreiningur um hvort hann gerðist sekur um þjófnaðarbrot, en það er hlutverk dómstóla að skera úr um slíkan ágreining. Eins og fram hefur komið liggur ekki fyrir dómur um sekt kvartanda.

Með vísan til alls framangreinds telur Persónuvernd að skráning IKEA á persónuupplýsingum um kvartanda á lista yfir einstaklinga, sem ekki eru velkomnir í verslun fyrirtækisins, hafi ekki samrýmst 9. gr., sem og 1. og 4. tölul. 7. gr. laga nr. 77/2000.

Í 1. mgr. 25. gr. laga nr. 77/2000 kemur fram að ef skráðar hafi verið persónuupplýsingar sem eru rangar, villandi eða ófullkomnar, eða persónuupplýsingar hafi verið skráðar án tilskilinnar heimildar, skuli ábyrgðaraðili sjá til þess að upplýsingarnar verði leiðréttar, þeim eytt eða við þær aukið ef umræddur annmarki getur haft áhrif á hagsmuni hins skráða. Eins og að framan er rakið hafði IKEA ekki heimild í 9. gr. laga nr. 77/2000 til að skrá upplýsingar um kvartanda á lista yfir einstaklinga sem ekki eru velkomnir í verslun fyrirtækisins. Ber IKEA því að eyða öllum persónuupplýsingum um kvartanda af listanum.

 

Ú r s k u r ð a r o r ð:

Vinnsla IKEA á persónuupplýsingum um kvartanda samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. IKEA skal, eigi síðar en 20. september 2016, senda Persónuvernd staðfestingu á því að persónuupplýsingar kvartanda hafi verið afmáðar af lista yfir einstaklinga sem ekki eru velkomnir í verslun fyrirtækisins.



Var efnið hjálplegt? Nei