Rafræn vöktun af hálfu Krónunnar

Mál nr. 2023010073

21.11.2024

Úrskurður

Persónuverndar 5. nóvember 2024 um kvörtun yfir rafrænni vöktun af hálfu Krónunnar í máli nr. 2023010073:

Málsmeðferð

1. Hinn 4. janúar 2023 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir rafrænni vöktun af hálfu Krónunnar ehf. (hér eftir Krónan). Nánar tiltekið var kvartað yfir heimild Krónunnar til rafrænnar vöktunar á almannafæri og umfangi vöktunar við verslanir félagsins í Grafarholti og Garðabæ. Jafnframt laut kvörtun að því að Krónan uppfyllti ekki fræðsluskyldu sína vegna vöktunarinnar samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679.
2. Persónuvernd bauð Krónunni að tjá sig um kvörtunina með bréfi, dags. 17. febrúar 2023, og bárust svör frá Festi hf., móðurfélagi Krónunnar, 12. apríl s.á. Með tölvupósti, dags. 19. september s.á., óskaði Persónuvernd nánari upplýsinga varðandi uppfærðar merkingar um rafræna vöktun og barst svar þess efni 20. s.m. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Krónunnar með bréfi, dags. 27. s.m., og bárust þau með tölvupósti 18. október s.á.
3. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
   
   

   Ágreiningsefni

4. Ágreiningur er um það hvort umfang rafrænnar vöktunar Krónunnar með notkun eftirlitsmyndavéla í kringum verslanir félagsins í Grafarholti og Garðabæ samræmist ákvæði 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. 6. gr. reglugerðar (ESB) 2016/679, um vinnsluheimild. Einnig er ágreiningur um hvort vöktunin sé lögmæt, sanngjörn og gagnsæ, sbr. 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar, og hvort hún sé nægileg, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. 1. mgr. 8. gr. laganna, sbr. c-lið 1. mgr. 5. gr. reglugerðarinnar. Loks er ágreiningur um hvort merkingar um vöktunina eru á öllum þeim svæðum sem vöktunin nær til, hvort hinum skráða er gert viðvart um vöktunina áður en hann fer inn á vaktað svæði og hvort fræðsla til hans uppfyllir kröfur laga nr. 90/2018 og reglugerðar (ESB) 2016/679.
   
   

   Atvik máls og fyrirliggjandi gögn

5. Samkvæmt svarbréfi Krónunnar, dags. 12. apríl 2023, er Festi fasteignir ehf., dótturfélag Festi hf. og systurfélag Krónunnar, eigandi fasteignarinnar að Akrabraut 1 í Garðabæ. Afnotaréttindi Krónunnar á fasteign og tilheyrandi lóðarréttindum byggist á leigusamningi um viðkomandi eign. Í bréfinu segir að í afmörkuðum hluta sömu fasteignar reki félagið Brauð&Co ehf. sína starfsemi og hafi engar athugasemdir verið gerðar af hálfu þess félags vegna rafrænnar vöktunar Krónunnar með notkun eftirlitsmyndavéla á svæðinu. Einnig segir í svarbréfi Krónunnar að afnotaréttindi vegna verslunar félagsins í Grafarholti byggist á leigusamningi við eiganda viðkomandi fasteignar, Gullhamra veitingahús ehf., og að í afmörkuðum hluta fasteignarinnar sé Lyfja hf. einnig með starfsemi. Tekið er fram að eftirlitsmyndavélar Krónunnar beinist hvorki að inngangi þeirrar verslunar né að bílastæðum fyrir framan inngang Lyfju hf. Engar athugasemdir hafi verið gerðar af hálfu eiganda fasteignarinnar eða annarra rekstraraðila vegna rafrænnar vöktunar Krónunnar með notkun eftirlitsmyndavéla á svæðinu.
6. Meðfylgjandi svarbréfi Krónunnar ehf., dags. 12. apríl 2023, voru eftirfarandi gögn:
   
   i. Skjáskot úr fjórum eftirlitsmyndavélum á útisvæði verslunar Krónunnar í Grafarholti. Samkvæmt skjáskotunum nær sjónsvið eftirlitsmyndavélanna að inn- og útgöngum verslunarinnar, bílastæðum fyrir framan verslunina og að vörumóttöku og starfsmannainngangi á hlið verslunarinnar. Samkvæmt skjáskotunum er sjónsvið myndavélanna takmarkað við bílastæði og athafnasvæði félagsins með skyggingu sjónsviðs utan þess svæðis.
   
   ii. Skjáskot úr sex eftirlitsmyndavélum á útisvæði verslunar Krónunnar í Garðabæ. Samkvæmt skjáskotunum nær sjónsvið eftirlitsmyndavélanna að inn- og útgöngum verslunarinnar, bílastæðum fyrir framan verslunina og að vörumóttöku og starfsmannainngangi á hlið verslunarinnar. Samkvæmt skjáskotunum er sjónsvið myndavélanna takmarkað við bílastæði og athafnasvæði félagsins með skyggingu sjónsviðs utan þess svæðis.
   
   iii. Afrit af merkingum sem finna má við inngang verslana Krónunnar í Grafarholti og Garðabæ og við vörumóttöku beggja verslana. Á merkingunum kemur fram að öryggismyndavélar séu staðsettar inni í verslun og á útisvæði. Neðst á merkingunum er að finna QR-kóða sem leiðir inn á persónuverndarstefnu Krónunnar. Í þeirri útgáfu stefnunnar, sem í gildi var þegar atvik málsins urðu og dagsett er 12. júlí 2019, var aðeins að finna upplýsingar um að myndavélaeftirlit kynni að fara fram í verslunum Krónunnar og að vinnslan væri byggð á lögmætum hagsmunum félagsins, enda færi hún fram í eigna- og öryggisvörsluskyni. Hins vegar var ekki upplýst um að rafræn vöktun væri viðhöfð á athafnasvæði og bílastæðum utandyra. Þá var ekki að finna upplýsingar um viðtakendur persónuupplýsinga, þ.e. vegna rafrænnar vöktunar, eða varðveislutíma efnis sem safnast með notkun eftirlitsmyndavéla. Persónuverndarstefna Krónunnar var hins vegar uppfærð 12. apríl 2023 og er þar nú að finna fræðslu um tilgang rafrænnar vöktunar og að vöktunin sé byggð á lögmætum hagsmunum Krónunnar, fræðslu varðandi réttindi einstaklinga tengd því efni sem til verður við rafræna vöktun og samskiptaupplýsingum persónuverndarfulltrúa, viðtakendum persónuupplýsinga vegna rafrænnar vöktunar, varðveislutíma efnis sem til verður við rafræna vöktun, hvar hægt sé að fá nánari upplýsingar um vinnslu persónuupplýsinga og réttinn til þess að leggja fram kvörtun hjá Persónuvernd.
   
   iv. Myndir af merkingum sem Krónan hafði í hyggju að setja upp á útisvæðum við verslanir í Garðabæ og Grafarholti í apríl eða maí 2023, ásamt mynd í dæmaskyni af fyrirhugaðri staðsetningu merkinga á útisvæðum verslananna.
   
   Með tölvupósti, dags. 19. september s.á., óskaði Persónuvernd nánari upplýsinga varðandi uppfærðar merkingar um rafræna vöktun. Svar barst frá Krónunni 20. s.m. ásamt eftirfarandi gögnum:
   
   v. Mynd af merkingum um rafræna vöktun við innkeyrslu á bílaplan Krónunnar í Garðabæ og tvær myndir af merkingum um rafræna vöktun við innkeyrslu á bílaplan Krónunnar í Grafarholti. Á merkingunum kemur fram tilkynning um eftirlit öryggismyndavéla, hver ábyrgðaraðili vöktunar er og QR-kóði sem leiðir inn á uppfærða persónuverndarstefnu Krónunnar, sbr. umfjöllun í lið iii hér að framan.
   
   

   Sjónarmið aðila

   Helstu sjónarmið kvartanda

7. Kvartandi vísar til þess að eftirlitsmyndavélar tilgreindra verslana Krónunnar nái yfir stórt og opið almenningsrými og það sé ekki í samræmi við upplýsingar sem veittar séu í persónuverndarstefnu félagsins, en þar komi aðeins fram að eftirlitsmyndavélar kunni að vera í verslunum Krónunnar. Að mati kvartanda verði ekki með nokkru móti séð að hagsmunir Krónunnar um öryggis- og eignavörslu vegi þyngra en hagsmunir þeirra einstaklinga sem eigi leið framhjá verslununum án þess að nýta sér þjónustu þeirra og að gera þurfi meiri kröfur til rafræns eftirlits í slíkum tilvikum.
8. Kvartandi byggir einnig á því að Krónan hafi ekki sinnt fræðsluskyldu sinni, samkvæmt 2. mgr. 17. gr. laga nr. 90/2018, sbr. 13. og 14. gr. reglugerðar (ESB) 2016/679, þar sem almenningi sé ekki með fullnægjandi hætti gerð grein fyrir rafrænni vöktun í persónuverndarstefnu Krónunnar. Þá séu engar upplýsingar um vöktunina á merkingum á útisvæði í kringum verslanirnar, umfram merkingar sem bendi á að eftirlitsmyndavélar séu á svæðinu.
   
   

   Helstu sjónarmið Krónunnar

9. Í svarbréfi Krónunnar er byggt á því að rafræn vöktun með notkun eftirlitsmyndavéla sé nauðsynleg vegna lögmætra hagsmuna félagsins og sé heimil á grundvelli 6. tölul. 9. gr. laga nr. 90/2018. Tilgangur vöktunarinnar sé í þágu öryggis- og eignavörslu og lagt hafi verið mat á hagsmuni Krónunnar, starfsmanna félagsins sem og viðskiptavina af því að rafræn vöktun væri viðhöfð, þ.m.t. á útisvæði við verslanir Krónunnar. Vinnslan hafi meðal annars verið talin nauðsynleg til að hægt væri að varpa ljósi á málsatvik í málum sem kynnu að tengjast refsiverðri háttsemi, muna- eða líkamstjóni og skemmdarverkum á svæði verslunarinnar.
10. Í svörum Krónunnar kemur einnig fram að rafræn vöktun fari fram í skýrum og málefnalegum tilgangi og ekki sé gengið lengra við vöktunina en þörf krefur miðað við þann tilgang sem stefnt er að, sbr. 2. og 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018. Aðgangur að myndefni sem safnast við vöktunina sé takmarkaður við starfsmenn sem slíkan aðgang þurfi vegna starfa sinna og myndefnið sé ekki skoðað nema tilefni sé til og í samræmi við skilgreindar verklagsreglur, til dæmis ef beiðni berst frá lögreglu eða vátryggingafélagi eða vegna undirbúnings kæru til lögreglu vegna þjófnaðarmála.
11. Hvað varðar fræðsluskyldu félagsins vegna eftirlitsmyndavélanna vísar Krónan til þess að myndavélarnar séu vel sýnilegar öllum sem um svæðið fara og merkingar séu við innganga og við vörumóttöku tilgreindra verslana. Á merkingum við innganga komi fram hver ábyrgðaraðili vöktunar sé auk QR-kóða sem vísi á persónuverndarstefnu Krónunnar, sbr. nánari umfjöllun í lið iii. í efnisgrein 6. Tekið var fram að vinna stæði yfir við að bæta merkingar um rafræna vöktun á útisvæðum við verslanir Krónunnar. Með tölvupósti til Persónuverndar, dags. 20. september 2023, greindi Krónan frá því að merkingum um rafræna vöktun hefði verið komið upp á ljósastaura á útisvæði tilgreindra verslana og sendi jafnframt fjórar myndir af merkingunum, sbr. umfjöllun í lið v. í efnisgrein 6.
    
    

    Forsendur og niðurstaða

    Lagaumhverfi

12. Mál þetta varðar vinnslu persónuupplýsinga í tengslum við rafræna vöktun á vegum Krónunnar með notkun eftirlitsmyndavéla við verslanir félagsins í Grafarholti og Garðabæ. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, sbr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.
13. Krónan telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
14. Öll vinnsla persónuupplýsinga verður að byggjast á heimild í 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt sérákvæðum um rafræna vöktun í 14. gr. laganna verður slík vöktun jafnframt að fara fram í málefnalegum tilgangi auk þess sem rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram, sbr. 1. mgr. greinarinnar. Að þessum ákvæðum virtum hefur almennt verið talið að rafræn vöktun sé heimil teljist hún nauðsynleg vegna lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða, sbr. 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðarinnar.
15. Sé vinnsla persónuupplýsinga byggð á framangreindu heimildarákvæði 9. gr. laganna er þó gerður áskilnaður um hagsmunamat, þar sem hinir lögmætu hagsmunir af því að vinnslan fari fram eru vegnir andspænis hagsmunum hins skráða og hefur í framkvæmd einkum verið hugað að fjórum þáttum við matið. Í fyrsta lagi er litið til eðlis hinna lögmætu hagsmuna ábyrgðaraðila. Í öðru lagi er litið til áhrifa vinnslunnar á hinn skráða. Í því tilliti getur eðli upplýsinga sem unnar eru og vinnsluaðferð meðal annars haft þýðingu. Í þriðja lagi hefur þýðingu við hagsmunamatið hvort ábyrgðaraðili gætir að öðrum ákvæðum persónuverndarlöggjafarinnar við vinnsluna, svo sem varðandi meðalhóf. Slíkt getur enda veitt vísbendingu um áhrif vinnslunnar á hinn skráða. Í fjórða lagi geta viðbótarráðstafanir sem ábyrgðaraðili gerir í tengslum við vinnsluna haft þýðingu við hagsmunamatið.
16. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679 og þarf ábyrgðaraðili að geta sýnt fram á það, sbr. 2. mgr. ákvæðanna. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins, og að þær nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins.
17. Framangreind meginregla um gagnsæi við vinnslu persónuupplýsinga felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða og eru kröfur þar að lútandi nánar útfærðar í persónuverndarlöggjöfinni. Hvað snertir rafræna vöktun er að finna reglu um slíka fræðslu í 4. mgr. 14. gr. laga nr. 90/2018, þess efnis að glögglega skuli gera viðvart um rafræna vöktun sem fram fer á vinnustað eða á almannafæri með merki eða á annan áberandi hátt og hver ábyrgðaraðili vöktunar er. Einnig er að líta til 1. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr. 90/2018, sem kveður á um að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að láta skráðum einstaklingi í té þær upplýsingar sem í 13. reglugerðarinnar greinir og skulu upplýsingar veittar skriflega eða á annan hátt, t.d. á rafrænu formi. Í leiðbeiningum Evrópska persónuverndarráðsins frá 29. janúar 2020 nr. 3/2019 (útgáfu 2) um vinnslu persónuupplýsinga við rafræna vöktun er áréttað mikilvægi þess að hinum skráða sé með skýrum viðvörunarmerkjum gerð grein fyrir því að rafræn vöktun fari fram, svo og til hvaða svæða hún nái. Jafnframt er tekið fram að frekari fræðslu megi veita með öðrum hætti en slíkum viðvörunarmerkjum, en að hún þurfi eftir sem áður að vera fyrir hendi og aðgengileg.
18. Um efni fræðslu og tímamark veitingu hennar, í tengslum við rafræna vöktun, fer eftir ákvæðum 13. gr. reglugerðarinnar, sbr. fyrrgreindar leiðbeiningar Evrópska persónuverndarráðsins. Samkvæmt ákvæðinu skal ábyrgðaraðili skýra hinum skráða frá því, við söfnun persónuupplýsinga, hver ábyrgðaraðili vinnslu er, samskiptaupplýsingum persónuverndarfulltrúa ef við á, tilgangi vinnslunnar og lagagrundvelli, viðtakendum eða flokkum viðtakenda persónuupplýsinganna og ef heimild til vinnslu byggist á því að hún sé nauðsynleg vegna lögmætra hagsmuna, hvaða lögmætu hagsmunir það eru.
19. Atvik máls þessa áttu sér stað í gildistíð reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Reglur nr. 837/2006 hafa nú verið leystar af hólmi með reglum nr. 50/2023 um rafræna vöktun sem geyma hliðstæð ákvæði og hinar eldri reglur. Í 10. gr. reglna nr. 837/2006 var að finna ákvæði um fræðslu- og upplýsingaskyldu ábyrgðaraðila að rafrænni vöktun þar sem mælt er fyrir um að veita beri þeim sem sæta rafrænni vöktun fræðslu meðal annars um tilgang vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast við rafræna vöktun og hversu lengi þær verði varðveittar.
    
    

    Niðurstaða

20. Hvað viðkemur heimild Krónunnar til rafrænnar vöktunar með notkun eftirlitsmyndavéla á útisvæði í kringum tilgreindar verslanir félagsins, á grundvelli þess að það hafi verið nauðsynlegt vegna lögmætra hagsmuna Krónunnar við öryggis- og eignavörslu, er að líta til þeirra skilyrða vinnsluheimilda sem eru rakin í efnisgrein 15. Að virtu því sem fram kemur í efnisgrein 9, meðal annars varðandi mat Krónunnar á nauðsyn vöktunarinnar andspænis hagsmunum hinna skráðu, aðgengi að myndefni sem safnast við vöktunina, sbr. umfjöllun í efnisgrein 10, og með hliðsjón af sjónsviði eftirlitsmyndavéla á útisvæði verslunar Krónunnar í Grafarholti og Garðabæ, sbr. umfjöllun í lið i. og ii. í efnisgrein 6, telur Persónuvernd sýnt fram á að lögmætir hagsmunir hafi verið af umræddri vinnslu persónuupplýsinga og að hún hafi verið nauðsynleg í þágu þeirra hagsmuna. Verður ekki séð að hagsmunir eða grundvallarréttindi og frelsi kvartanda, sem krefjast verndar persónuupplýsinga, hafi vegið þyngra en hagsmunirnir Krónunnar af vinnslunni. Með hliðsjón af öllu því sem hér hefur verið rakið er það niðurstaða Persónuverndar að vinnslan hafi byggst á vinnsluheimild 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
21. Með hliðsjón af framlögðum skjáskotum af sjónsviði eftirlitsmyndavéla á útisvæði verslunar Krónunnar í Grafarholti og Garðabæ telur Persónuvernd vinnsluna einnig hafa uppfyllt meginregluna um lágmörkun gagna, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
22. Kemur næst til skoðunar hvort Krónan hafi tryggt gagnsæi vinnslunnar og veitt kvartanda fræðslu í samræmi við viðeigandi ákvæði laga nr. 90/2018, reglugerðar (ESB) 2016/679 og reglna nr. 837/2006, sbr. framangreinda umfjöllun í efnisgreinum 17-19. Að mati Persónuverndar þykir ljóst að á þeim tíma sem atvik málsins áttu sér stað skorti á að einstaklingum sem áttu að sæta rafrænni vöktun, þ.m.t. kvartanda, væri í gert viðvart, áður en þeir komu inn á vaktað svæði eða vöktun hófst, um að rafræn vöktun færi fram á bílastæðum verslana Krónunnar í Grafarholti og Garðabæ, sbr. umfjöllun í lið iii. í efnisgrein 6, sbr. jafnframt efnisgrein 11. Þá skorti einnig á að hinum skráðu væru veittar upplýsingar, í þágildandi persónuverndarstefnu Krónunnar, um að rafræn vöktun væri viðhöfð á athafnasvæði og bílastæðum utandyra, upplýsingar um viðtakendur persónuupplýsinga, þ.e. vegna rafrænnar vöktunar almennt, og varðveislutíma efnis sem safnast með notkun eftirlitsmyndavéla, sbr. umfjöllun í lið iii. í efnisgrein 6.
23. Með vísan til framangreinds og að fyrirliggjandi gögnum virtum verður ekki talið að Krónan hafi sinnt fræðsluskyldu sinni gagnvart kvartanda samkvæmt 17. gr. laga nr. 90/2018, sbr. einnig 12. og 13. gr. reglugerðar (ESB) 2016/670 og 10. gr. reglna nr. 837/2006. Er í því sambandi litið til þess að fræðslan var efnislega ófullnægjandi og merkingar voru ekki staðsettar þannig að kvartandi gæti kynnt sér efni fræðslunnar við söfnun persónuupplýsinga hans. Að þessu gættu hefur félagið því ekki sýnt fram á að hafa tryggt gagnsæi við þá vinnslu persónuupplýsinga sem hér er til umfjöllunar, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar. Í ljósi þeirra breytinga sem Krónan hefur nú gert á persónuverndarstefnu sinni og merkingum um umrædda vöktun kemur hins vegar ekki til álita að gefa félaginu fyrirmæli um úrbætur á grundvelli 4. tölul. 42. gr. laganna.
    
    

    Ákvörðun um beitingu valdheimilda

24. Persónuvernd getur lagt stjórnvaldssektir á þá sem brjóta, af ásetningi eða gáleysi, gegn einhverju þeirra ákvæða reglugerðar (ESB) 2016/679 sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 1. og 5. mgr. þeirrar lagagreinar. Samkvæmt 1. og 2. tölul. 3. mgr. 46. gr. eru þar á meðal ákvæði um grundvallarreglur vinnslu, meðal annars samkvæmt a-lið 1. mgr. 5. gr. reglugerðarinnar, og um réttindi skráðra einstaklinga, meðal annars samkvæmt 12. og 13. gr. reglugerðarinnar.
25. Við ákvörðun um hvort framangreindum ákvæðum um sektarheimild skal beitt, sem og um fjárhæð sektar, ber að líta til 1. mgr. 47. gr. laga nr. 90/2018 þar sem kveðið er á um þau atriði sem ýmist geta verið metin hlutaðeigandi til málsbóta eða honum í óhag. Meðal þeirra atriða sem líta ber til er hvers eðlis, hversu alvarlegt og langvarandi brotið er, með tilliti til eðlis, umfangs eða tilgangs vinnslunnar og fjölda skráðra einstaklinga og hversu alvarlegu tjóni þeir urðu fyrir (1. tölul). Að virtum þeim sjónarmiðum sem tilgreind eru í tilvísuðu ákvæði og málsatvikum öllum, svo og að teknu tilliti til reglna um meðalhóf, sbr. 1. mgr. 83. gr. reglugerðar (ESB) 2016/679 og 12. gr. stjórnsýslulaga nr. 37/1993, þykja ekki næg efni til að leggja stjórnvaldssekt á Krónuna vegna þeirra brota félagsins gegn persónuverndarlöggjöfinni sem rakin voru í efnisgreinum 22 og 23 hér að framan. Rétt þykir þó að veita Krónunni áminningu, sbr. 2. tölul. 42. gr. laganna, vegna fyrrgreindra brota.

Ú r s k u r ð a r o r ð:

Merkingar og fræðsla Krónunnar ehf. um rafræna vöktun við verslanir félagsins í Grafarholti og Garðabæ samræmdust ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Krónunni ehf. er veitt áminning, sbr. 2. tölul. 42. gr. laga nr. 90/2018, vegna þeirra brota.

Persónuvernd, 5. nóvember 2024

Edda Þuríður Hauksdóttir                            Harpa Halldórsdóttir