Rafræn vöktun í verslun Hagkaups
Mál nr. 2021102007
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir því að upptökur úr eftirlitsmyndavélakerfi í tiltekinni verslun Hagkaups hafi verið skoðaðar og notaðar í tengslum við ágreining málsaðila um greiðslur fyrir verktakavinnu kvartanda fyrir fyrirtækið. Þá var einnig kvartað yfir því að verslunarstjóri í umræddri verslun hafi skráð hjá sér komu- og brottfarartíma kvartanda á verkstað á því tímabili sem verkið var unnið.
Niðurstaða Persónuverndar var að Hagkaup hafi átt lögmæta hagsmuni af því að skrá hjá sér komu- og brottfarartíma kvartanda þar sem málsaðilar höfðu samið um greiðslu verksins í tímavinnu og uppgjör þess byggði á fjölda unninna vinnustunda.
Hins vegar var það einnig niðurstaða Persónuverndar að Hagkaup hafi ekki sýnt fram á að það efni sem safnaðist með notkun eftirlitsmyndavéla hafi í umrætt sinn ekki verið notað í öðrum tilgangi eða að tilgangurinn hafi verið sá sami og tilgangur rafrænnar vöktunar var ákveðinn í upphafi, þ.e. í öryggis- og eignavörsluskyni. Þá taldi Persónuvernd að Hagkaup hafi verið skylt, á grundvelli fræðsluskyldu persónuverndarlaga og þágildandi reglna um rafræna vöktun, að upplýsa kvartanda sérstaklega um eftirlitsmyndavélarnar umfram þær almennu merkingar sem var að finna við innganga umræddrar verslunar.
Úrskurður
um kvörtun yfir rafrænni vöktun í verslun Hagkaups [...], í máli nr. 2021102007:
Málsmeðferð
1 Hinn 14. október 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir rafrænni vöktun af hálfu Hagkaups í verslun fyrirtækisins [...] í febrúarmánuði [ártal].
2 Persónuvernd bauð Hagkaup að tjá sig um kvörtunina með bréfi, dags. 21. febrúar 2022, og bárust svör fyrirtækisins með bréfi, dags. 13. mars s.á. Kvartanda var veittur kostur á að koma á framfæri athugasemdum við svör Hagkaups með bréfi, dags. 27. september s.á., og bárust þær 31. október s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
3 Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
Ágreiningsefni
4 Ágreiningur er um heimild Hagkaups til vinnslu persónuupplýsinga um kvartanda sem urðu til í tengslum við rafræna vöktun í verslun fyrirtækisins [...]. Nánar tiltekið er kvartað yfir því að upptökur úr eftirlitsmyndavélakerfi verslunarinnar frá tilteknu tímabili hafi verið skoðaðar og notaðar í tengslum við ágreining málsaðila um greiðslur fyrir tiltekna vinnu kvartanda fyrir fyrirtækið. Þá er einnig kvartað yfir því að verslunarstjóri fyrirtækisins hafi skráð hjá sér komu- og brottfarartíma kvartanda á verkstað.
Fyrirliggjandi gögn
5 Eftirfarandi gögn bárust með svarbréfi Hagkaups, dags. 13. mars 2022:
- Útdráttur úr vinnsluskrá Hagkaups, dags. 9. október 2017. Í vinnsluskránni kemur fram að tilgangur rafrænnar vöktunar sé í öryggis- og eignavörsluskyni og að heimild fyrir vinnslu persónuupplýsinga byggi á lögmætum hagsmunum.
- Myndir af merkingum þar sem gert er aðvart um rafræna vöktun í verslun Hagkaups [...]. Um er að ræða hefðbundnar merkingar frá Securitas um vaktað svæði.
Sjónarmið aðila
Sjónarmið kvartanda
6 Kvartandi byggir á því að forsvarsmenn Hagkaups hafi viðhaft bæði vöktun og rafræna vöktun með honum en hann tók að sér verktöku fyrir fyrirtækið og vann að verkefni í verslun fyrirtækisins [...] í febrúarmánuði [ártal]. Ágreiningur hafi verið uppi um tímaskráningar kvartanda vegna verktökunnar.
7 Kvartandi telur að umrædd rafræn vöktun hafi verið með leynd og með öllu óheimil. Jafnframt telur kvartandi að hvers konar skoðun myndefnis sem safnaðist við rafræna vöktun hafi verið óheimil. Ekki verði séð að mati kvartanda að nein skilyrði rafrænnar vöktunar hafi verið uppfyllt enda tilgangurinn með vöktuninni óskýr og hún ekki byggð á málefnalegum forsendum. Kvartandi heldur því fram að ströng undanþáguskilyrði fyrir vöktun vegna vinnuskila geti ekki hafa átt við í umræddu máli af þeirri ástæðu að verkstjórn var af hálfu fyrirtækisins á staðnum.
8 Kvartandi telur að fræðsluskylda Hagkaups hafi á engan hátt verið uppfyllt enda hafði hann hvorki aðgang að starfsmannahandbók né nýliðanámskeiðum. Þá hafi hann ekki verið upplýstur um að vöktun væri viðhöfð gagnvart störfum hans.
Sjónarmið Hagkaups
9 Samkvæmt svörum Hagkaups hafi fyrirtækið, eftir árangurslausar tilraunir til að ná sáttum varðandi reikninga sem kvartandi gaf út vegna vinnu sinnar, tekið saman og sent kvartanda yfirlit yfir misræmi milli útgefinna reikninga og gagna um raunverulega verktöku. Umrætt yfirlit hafi verið byggt á veitingahúsareikningum kvartanda og skráningu verslunarstjóra á komu- og brottfarartímum kvartanda. Hagkaup vísar til þess að vegna réttarágreinings við kvartanda um upphæð útgefinna reikninga, staðhæfinga hans um rangar upplýsingar og hótana um innheimtumál hafi stjórnendur fyrirtækisins óskað eftir því að öryggisdeild fyrirtækisins myndi sannreyna yfirlitið með því að skoða tilvikabundin dæmi úr því og bera saman við upptökur úr eftirlitsmyndavélakerfi. Kvartanda var tilkynnt um þessa vinnslu með tölvupósti frá framkvæmdarstjóra fyrirtækisins í apríl [ártal].
10 Hagkaup byggir á að rafræn vöktun í verslun fyrirtækisins fari fram í öryggis- og eignavörsluskyni og þær eftirlitsmyndavélar sem notast var við upptökur úr séu í almennum rýmum verslunarinnar. Engar eftirlitsmyndavélar séu á kaffiaðstöðu starfsmanna og slík svæði ekki vöktuð með eftirlitsmyndavélum. Fyrirtækið vísar til þess að sú vinnsla persónuupplýsinga sem kvörtun lýtur að sé byggð á 6. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og uppfylli skilyrði 1. og 2. tölul. 1. mgr. 8. gr. laganna. Vinnslan hafi nánar tiltekið verið nauðsynleg til að gæta þeirra lögmætu hagsmuna fyrirtækisins að geta stofnað, haft uppi og eftir atvikum varið réttarkröfur sínar, einkum í dómsmáli, vegna þess réttarágreinings sem reis milli aðila að viðkomandi verktakasamningi.
11 Hvað varðar fræðslu til kvartanda kemur fram í skýringum Hagkaups að engri sérstakri viðbótarfræðslu hafi verið beint sérstaklega að kvartanda umfram þá sem er lögboðin, það er þá fræðslu sem felst í glöggum merkingum um þá vöktun sem fram fer í versluninni.
Forsendur og niðurstaða
Afmörkun máls og lagaumhverfi
12 Mál þetta lýtur að vinnslu persónuupplýsinga sem urðu til við rafræna vöktun í verslun Hagkaups [...] og hvort fyrirtækinu hafi verið heimilt að skoða upptökur úr eftirlitsmyndavélakerfi verslunarinnar í tengslum við ágreining við kvartanda um verktakagreiðslur. Málið snýr einnig að vinnslu persónuupplýsinga sem fólst í því að verslunarstjóri tiltekinnar verslunar fyrirtækisins skráði komu- og brottfarartíma kvartanda á verkstað. Varðar málið því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna. Hagkaup telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
13 Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.
14 Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-liðar reglugerðarákvæðisins, að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins, og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins.
15 Rafræn vöktun er ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi, sbr. 1. mgr. 14. gr. laga nr. 90/2018, og uppfylli eitthvert heimildarákvæða 9. gr. laganna og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Atvik þessa máls áttu sér stað í gildistíð reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, en reglurnar voru settar samkvæmt heimild í eldri persónuverndarlögum, nr. 77/2000, sbr. síðar 5. mgr. 14. gr. laga nr. 90/2018. Nýjar reglur um rafræna vöktun, reglur nr. 50/2023, tóku gildi þann 10. janúar 2023. Þar sem mál þetta lýtur að atvikum sem áttu sér stað í gildistíð reglna nr. 837/2006 mun umfjöllun og efni þessa úrskurðar taka mið af framangreindum reglum þegar það á við, en ekki er um efnislegar breytingar að ræða á þeim reglum sem nú reynir á, enda voru reglur nr. 837/2006 byggðar á lögum um persónuvernd og vinnslu persónuupplýsinga líkt og núgildandi reglur. Einnig verður litið til þeirra ákvæða laga nr. 90/2018 og reglugerðar (ESB) 2016/679 sem við eiga hverju sinni.
16 Reglur nr. 837/2006 tóku til rafrænnar vöktunar sem fram fer á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði, sbr. 2. mgr. 1. gr. reglnanna. Rafræn vöktun verður að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, s.s. í þágu öryggis- eða eignavörslu, sbr. 4. gr. reglnanna.
17 Samkvæmt 7. gr. reglnanna er óheimilt að varðveita persónuupplýsingar sem til verða við rafræna vöktun nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar. Þá má aðeins nota persónuupplýsingar sem verða til við rafræna vöktun í þágu tilgangs með söfnun þeirra og aðeins að því marki sem þess gerist þörf í þágu tilgangsins. Þær má ekki vinna með eða afhenda öðrum nema með samþykki hins skráða eða samkvæmt ákvörðun Persónuverndar, sbr. 3. mgr. ákvæðisins.
18 Í 1. mgr. 17. gr. laga nr. 90/2018 er lögð skylda á ábyrgðaraðila til að gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynningar til skráðs einstaklings, sbr. 12. gr. reglugerðar (ESB) 2016/679. Þá á hinn skráði rétt til upplýsinga um vinnslu, hvort sem persónuupplýsinga er aflað hjá honum sjálfum eða ekki, skv. 2. mgr. 17. gr. laga nr. 90/2018. Þessi fræðsluskylda ábyrgðaraðila gagnvart hinum skráða er enn fremur tryggð í 13. gr. reglugerðar (ESB) 2016/679.
19 Í 10. gr. reglna nr. 837/2006 er fræðsluskylda ábyrgðaraðila útfærð enn frekar, en í ákvæðinu er kveðið á um fræðslu sem veita ber þeim sem sæta rafrænni vöktun. Segir þar að þeim skuli veitt fræðsla um tilgang vöktunar, hverjir hafi eða kunni að fá aðgang að þeim upplýsingum sem safnast og hversu lengi þær verði varðveittar. Kynna skal slíkar reglur með sannanlegum hætti, t.d. við gerð ráðningarsamnings.
Skráning Hagkaups á komu- og brottfarartíma kvartanda
20 Að mati Persónuverndar verður talið að Hagkaup geti átt lögmæta hagsmuni af því að skrá hjá sér komu- og brottfaratíma kvartanda á verkstað vegna verks sem hann vann fyrir fyrirtækið þar sem málsaðilar höfðu samið um greiðslu verksins í tímavinnu og uppgjör þess byggði á fjölda unninna vinnustunda. Umrædd skráning verslunarstjóra telst lögmætt og málefnalegt eftirlit með samningi málsaðila og ekki verður talið að hagsmunir eða grundvallarréttindi og frelsi kvartanda hafi vegið þyngra umrætt sinn. Er því mat Persónuverndar að vinnslan geti stuðst við 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
21 Framangreind meginregla laga nr. 90/2018 um sanngjarna og gagnsæja vinnslu persónuupplýsinga, sbr. umfjöllun í efnisgrein 14, felur meðal annars í sér að einstaklingum á að vera ljóst þegar persónuupplýsingum um þá er safnað, þær notaðar, skoðaðar eða unnar á annan hátt. Einnig á þeim að vera ljóst að hvaða marki persónuupplýsingar eru eða munu vera unnar. Til að meta hvort skilyrðin um sanngirni og gagnsæi hafi verið uppfyllt þarf því að líta til ákvæða um fræðsluskyldu. Um fræðsluskyldu, gagnsæi og rétt hins skráða til upplýsinga er fjallað í 1. og 2. mgr. 17. gr. laga nr. 90/2018, sbr. einnig 13. og 14. gr. reglugerðar (ESB) 216/679.
22 Ljóst er að upplýsingar um komu- og brottfarartíma kvartanda á verkstað urðu til hjá ábyrgðaraðila sjálfum, þ.e. Hagkaup. Upplýsinganna var þannig ekki aflað hjá kvartanda eða með aðkomu hans, eða annars staðar frá eða fyrir tilstilli annarra heimilda. Það er því mat Persónuverndar að ekki hafi verið til staðar slíkar aðstæður sem gætu virkjað fræðsluskyldu gagnvart kvartanda á grundvelli 13. og 14. gr. reglugerðarinnar.
23 Niðurstaða Persónuverndar er því sú að skráning Hagkaups á komu- og brottfarartíma kvartanda á verkstað hafi verið í samræmi við 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a- lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Þá liggur ekki fyrir annað en að umrædd vinnsla hafi einnig verið í samræmi við 2. og 3. tölul. lagaákvæðisins, sbr. b- og c-liði reglugerðarákvæðisins.
Rafræn vöktun í verslun Hagkaups [...]og skoðun á myndefni vegna ágreinings aðila
24 Samkvæmt sérákvæðum um rafræna vöktun í 14. gr. laga nr. 90/2018 verður slík vöktun að fara fram í málefnalegum tilgangi auk þess sem rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram, sbr. 1. mgr. greinarinnar. Að því skilyrði virtu hefur almennt verið talið að rafræn vöktun sé heimil teljist hún nauðsynleg vegna lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallar réttindi og frelsi hins skráða, sbr. 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þannig getur vinnsla persónuupplýsinga, sem fram fer með rafrænni vöktun í þeim tilgangi að gæta öryggis- og eignavörslu, verið talin heimil á grundvelli lögmætra hagsmuna. Óheimilt er hins vegar að nýta það efni sem safnast við vöktunina í öðrum og ósamrýmanlegum tilgangi nema hinir skráðu hafi verið fræddir um breyttan tilgang áður og önnur skilyrði laganna séu jafnframt uppfyllt.
25 Í ábyrgðarskyldu persónuverndarlöggjafarinnar felst einnig að ábyrgðaraðili þarf að gæta þess, og geta sýnt fram á, að við vinnslu persónuupplýsinga sé farið að öllum meginreglum löggjafarinnar, þ. á m. að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. 1. mgr. og 2. mgr. 8. gr. laga nr. 90/2018 og b- lið 1. mgr. og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679. Þá ætti tilgangur með vinnslu persónuupplýsinga að liggja fyrir við söfnun þeirra og áður en vinnsla hefst.
26 Í 50. lið formálsorða reglugerðarinnar segir ennfremur að heimila ætti vinnslu persónuupplýsinga í öðrum tilgangi en þeim sem var upphaflega markmiðið með söfnun þeirra því aðeins að vinnslan samrýmist þeim tilgangi sem var forsenda söfnunarinnar í upphafi. Frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst þó ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt. Til þess að ganga úr skugga um hvort tilgangur með frekari vinnslu samrýmist þeim tilgangi sem var forsenda söfnunarinnar í upphafi ætti ábyrgðaraðilinn, þegar hann hefur fullnægt öllum kröfum um lögmæti vinnslunnar í upphafi, að taka tillit til meðal annars hvers kyns tengsla milli þessa tilgangs og tilgangsins með fyrirhugaðri frekari vinnslu, þess í hvaða samhengi persónuupplýsingunum var safnað, einkum eðlilegra væntinga skráðra einstaklinga um frekari notkun þeirra á grundvelli tengsla þeirra við ábyrgðaraðilann, eðlis persónuupplýsinganna, afleiðinga fyrirhugaðrar frekari vinnslu þeirra fyrir skráða einstaklinga og þess hvort viðeigandi verndarráðstafanir hafi verið eða séu gerðar, bæði í upphaflegu vinnsluaðgerðunum og fyrirhuguðum frekari aðgerðum.
27 Með vísan til alls framangreinds og fyrirliggjandi gagna verður að mati Persónuverndar ekki talið að Hagkaup hafi sýnt fram á að það efni sem safnaðist með notkun eftirlitsmyndavéla í verslun fyrirtækisins hafi umrætt sinn ekki verið notað í öðrum tilgangi eða að tilgangurinn hafi verið sá sami og tilgangur rafrænnar vöktunar var ákveðinn í upphafi, þ.e. í öryggis- og eignavörsluskyni. Þá er það einnig mat Persónuverndar að kvartandi hafi ekki verið upplýstur um breyttan tilgang fyrr en eftir að umrædd vinnsla persónuupplýsinga hans hafði þegar átt sér stað.
28 Er því niðurstaða Persónuverndar að umrædd vinnsla á persónuupplýsingum kvartanda hafi ekki verið í samræmi við 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Þá er það einnig niðurstaða Persónuverndar að vinnslan hafi ekki verið í samræmi við 3. mgr. 7. gr. reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.
29 Hvað varðar gagnsæi og fræðslu til kvartanda varðandi þá rafrænu vöktun sem fram fór í umræddri verslun Hagkaups fela ákvæði laga nr. 90/2018 og reglugerðar (ESB) 2016/679 í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi, sbr. framangreinda umfjöllun í efnisgreinum 14 og 21. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða. Hvað snertir rafræna vöktun er að finna reglu um slíka fræðslu í 4. mgr. 14. gr. laga nr. 90/2018, þess efnis að glögglega skuli gera viðvart um rafræna vöktun sem fram fer á vinnustað eða á almannafæri með merki eða á annan áberandi hátt og hver ábyrgðaraðili vöktunar er. Einnig er að líta til ákvæða 1. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laganna, sem kveður á um að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að láta skráðum einstaklingi í té þær upplýsingar sem í 13. og 14. gr. reglugerðarinnar greinir og skulu upplýsingar veittar skriflega eða á annan hátt, t.d. á rafrænu formi.
30 Um efni fræðslu, í tengslum við rafræna vöktun, fer eftir ákvæðum 13. gr. reglugerðarinnar en samkvæmt ákvæðinu skal ábyrgðaraðili skýra hinum skráða frá því hver ábyrgðaraðili vinnslu er, samskiptaupplýsingum persónuverndarfulltrúa ef við á, tilgangi vinnslunnar og lagagrundvelli, viðtakendum eða flokkum viðtakenda persónuupplýsinganna og ef heimild til vinnslu byggist á því að hún sé nauðsynleg vegna lögmætra hagsmuna og hvaða lögmætu hagsmunir það eru.
31 Líkt og fram kemur í fyrri umfjöllun í efnisgrein 19 var fræðsluskylda ábyrgðaraðila í tengslum við rafræna vöktun útfærð nánar í 10. gr. reglna nr. 837/2006. Í ákvæðinu kemur meðal annars fram að ábyrgðaraðili að rafrænni vöktun skuli setja reglur og/eða veita fræðslu til þeirra sem henni sæta. Áður en slíkum reglum er beitt skuli kynna þær með sannanlegum hætti, svo sem við gerð ráðningarsamnings. Einnig kemur fram að framangreindar reglur eða fræðsla skuli taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnist og hversu lengi þær verði varðveittar. Þá eru í ákvæðinu tilgreind atriði í átta töluliðum sem einnig ber að fræða um.
32 Samkvæmt fyrirliggjandi myndum af merkingum um rafræna vöktun í verslun Hagkaups, sbr. efnisgrein 5, skortir m.a. upplýsingar um ábyrgðaraðila vöktunarinnar, tilgang hennar og lagagrundvöll. Þá liggur ekkert fyrir um að Hagkaup hafi veitt kvartanda upplýsingar um vinnslu persónuupplýsinga sem verða til við rafræna vöktun með öðrum hætti en samkvæmt skýringum málsaðila, sbr. umfjöllun í efnisgreinum 8 og 11, var kvartandi hvorki upplýstur sérstaklega um rafrænu vöktunina né hlaut hann viðbótarfræðslu af hálfu Hagkaups, til að mynda með aðgangi að starfsmannahandbók eða nýliðanámskeiðum. Í þessu sambandi ber að líta til þess að kvartandi fór að jafnaði um hið vaktaða svæði, yfir nokkuð langt tímabil, í skilningi 2. mgr. 1. gr. reglna nr. 837/2006. Að mati Persónuverndar bar Hagkaup því að fræða kvartanda sérstaklega um rafrænu vöktunina, umfram þær almennu merkingar um rafræna vöktun sem var að finna við innganga verslunarinnar.
33 Með vísan til framangreinds og fyrirliggjandi gagna verður ekki talið að Hagkaup hafi tryggt gagnsæi við tilgreinda vinnslu persónuupplýsinga, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, eða sinnt fræðsluskyldu sinni gagnvart kvartanda samkvæmt 17. gr. laga nr. 90/2018, sbr. einnig 12. og 13. gr. reglugerðar (ESB) 2016/679 og 10. gr. reglna nr. 837/2006.
Ú r s k u r ð a r o r ð:
Skráning Hagkaups á komu- og brottfarartíma kvartanda vegna samnings málsaðila um verktöku í tímavinnu samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Skoðun Hagkaups á persónuupplýsingum kvartanda sem söfnuðust við rafræna vöktun samrýmdist ekki 2. tölul. 8. gr. laga nr. 90/2018, sbr. b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, og 3. mgr. 7. gr. reglna nr. 837/2006.
Merkingar og fræðsla Hagkaups til kvartanda um rafræna vöktun samrýmdist ekki 1. tölul. 8. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. einnig 17. gr. laga nr. 90/2108, sbr. 12. og 13. gr. reglugerðar (ESB) 2016/679, og 10. gr. reglna nr. 837/2006.
Persónuvernd, 12. júlí 2024
Edda Þuríður Hauksdóttir Stefán Snær Stefánsson