Úrskurður um miðlun efnis úr eftirlitsmyndavél
Mál nr. 2017/735
Persónuvernd hefur úrskurðað um að miðlun upplýsinga úr eftirlitsmyndavél KFC ehf. hafi verið óheimil.
Úrskurður
Á fundi stjórnar Persónuverndar þann 28. september 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/735:
I.
Málsmeðferð
1.
Tildrög máls – Kvörtun
Þann 10. maí 2017 barst Persónuvernd kvörtun frá [A] hdl. f.h. [B] (hér eftir nefnd „kvartandi“), vegna vinnslu persónuupplýsinga um hana sem áttu uppruna sinn í öryggismyndavélakerfi KFC ehf. Í kvörtun segir að kvartandi hafi tekið úlpu í misgripum á einum af veitingastöðum fyrirtækisins. Hafi hún haldið að úlpan tilheyrði syni sínum þar sem hún hafi líkst úlpu hans, en síðar hafi komið í ljós að hann hefði komið úlpulaus inn á staðinn. Einnig segir m.a. að nafngreindur maður hafi fengið aðgang að öryggismyndavélakerfi fyrirtækisins, tekið myndir á símann sinn og sett færslu á Facebook þess efnis að kvartandi væri þjófur og að hún hefði stolið úlpu sonar hans. Þá segir að kvartandi hafi ekki áttað sig á mistökum sínum fyrr en nokkru síðar þegar henni hafi farið að berast símtöl og skilaboð vegna birtingar umræddra mynda og Facebook-færslunnar. Hafi færslunni verið deilt um 150 sinnum og hún orðið fyrir óvæginni umfjöllun í athugasemdum við færsluna.
Lýst er þeirri afstöðu í kvörtun að KFC ehf. hafi brotið freklega gegn lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga með veitingu umrædds aðgangs að myndefni úr öryggismyndavélakerfi. Hafi með því verið brotið gegn 2. tölul. 2. mgr. 9. gr. laga nr. 77/2000 sem eingöngu heimili að lögreglu sé afhent slíkt myndefni og hér um ræðir, en hún taki síðan ákvörðun um hugsanlega myndbirtingu á Netinu ef nauðsyn þyki. Þá sé jafnframt ljóst að brot KFC ehf. hafi leitt af sér brot gegn friðhelgi einkalífs kvartanda og ærumeiðingar. Sé um að ræða mjög alvarlegt mál og sé þess óskað að Persónuvernd taki málið til skoðunar.
2.
Bréfaskipti
Með bréfi, dags. 14. júní 2017, var KFC ehf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svar barst með bréfi, dags. 26. s.m. Þar segir m.a. að faðir þess sem átti úlpuna hafi gengið hart eftir því að fá aðgang að öryggismyndavélum fyrirtækisins til að komast að því hvað orðið hefði um hana. Stjórnandi á vakt hafi á endanum orðið við þeirri beiðni og veitt viðkomandi aðgang að upplýsingunum. Hann hafi þá tekið myndir af skjá myndavélakerfisins, þar sem kvartandi sést taka úlpuna. Hafi honum verið tjáð að hann mætti undir engum kringumstæðum birta myndirnar opinberlega heldur væru þær eingöngu fyrir lögregluna sem hann hafi sagst vera á leiðinni til. Hann hafi hins vegar birt myndirnar á Facebook, en fyrirtækið hafi strax haft samband við hann með Facebook-skilaboðum þar sem honum hafi verið tjáð að hann væri að brjóta lög og yrði að taka efnið út. Ekki hafi borist svar fyrr en um fjórum klukkustundum síðar þar sem hann hafi sagt málið leyst þar sem úlpunni hefði verið skilað.
Að auki segir í bréfi KFC ehf. að fyrirtækið harmi þennan atburð og að í kjölfar hans hafi verið skerpt á vinnureglum um öryggismyndavélakerfi þess. Þá hafi verið send út tilkynning til allra sem hafi aðgang að öryggismyndavélakerfunum, en þar segi m.a. að ekki megi undir neinum kringumstæðum veita utanaðkomandi aðilum aðgang að þeim og að alls ekki megi afhenda, afrita eða dreifa vöktunarefni.
Með bréfi, dags. 19. júlí 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar KFC ehf. Svar barst með tölvupósti þann 24. ágúst s.á., en þar ítrekar kvartandi fyrri athugasemdir.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir gildissvið laga nr. 77/2000 og þar með valdsvið Persónuverndar, sbr. 37. gr. laganna.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst KFC ehf. vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Um rafræna vöktun, s.s. með eftirlitsmyndavélum, er m.a. fjallað í 1. mgr. 4. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en þar segir að rafræn vöktun sé ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi. Rafræn vöktun svæðis þar sem takmarkaður hópur fólks fer um að jafnaði sé jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram.
Í reglum Persónuverndar nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, með síðari breytingum, sem settar eru með stoð í 5. mgr. 37. gr. laga nr. 77/2000, er útfært nánar hvenær rafræn vöktun er heimil. Í 4. gr. reglnanna segir að rafræn vöktun verði að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, s.s. í þágu öryggis og eignavörslu. Þá segir í 5. gr. reglnanna:
„Við alla rafræna vöktun skal þess gætt að ganga ekki lengra en brýna nauðsyn ber til miðað við þann tilgang sem að er stefnt. Skal gæta þess að virða einkalífsrétt þeirra sem sæta vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Við ákvörðun um hvort viðhafa skuli rafræna vöktun skal því ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum.“
Í 2. mgr. 9. gr. laga nr. 77/2000 er fjallað um varðveislu vöktunarefnis með viðkvæmum persónuupplýsingum, s.s. upplýsingum um refsiverða háttsemi, sbr. b-lið 8. tölul. 2. gr. laganna. Þar kemur fram að söfnun slíks efnis sé háð eftirfarandi skilyrðum:
a. að vöktunin sé nauðsynleg og fari fram í öryggis- og eignavörsluskyni;
b. að það efni, sem til verður við vöktunina, verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða samkvæmt ákvörðun Persónuverndar; heimilt er þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað, en þá skal þess gætt að eyða öllum öðrum eintökum af efninu;
c. að því efni, sem safnast við vöktunina, verði eytt þegar ekki er lengur málefnaleg ástæða til að varðveita það.
Kröfur 2. mgr. 9. gr. laga nr. 77/2000 eru nánar útfærðar í 7. gr. reglna nr. 837/2006. Í 3. mgr. þeirrar greinar segir að persónuupplýsingar sem verða til við rafræna vöktun megi aðeins nota í þágu tilgangsins með söfnun þeirra og aðeins að því marki sem þess gerist þörf í þágu tilgangsins. Þá eru áréttaðar þær kröfur 2. mgr. 9. gr. laganna að ekki megi vinna með upplýsingarnar eða afhenda öðrum nema með samþykki hins skráða eða samkvæmt ákvörðun Persónuverndar en þó sé heimilt að afhenda lögreglu upplýsingar um slys eða refsiverðan verknað.
Í málinu liggur fyrir að starfsmaður KFC ehf. veitti tilteknum einstaklingi aðgang að umræddu myndefni en ekki lögreglu. Þá liggur fyrir að samþykkis kvartanda var ekki aflað. Er því ljóst að ábyrgðaraðili vinnslunnar, KFC ehf., fór ekki að framangreindum ákvæðum laga nr. 77/2000, og reglum settum á grundvelli þeirra, þegar hann veitti öðrum en lögreglu aðgang að umræddum upptökum. Með vísan til 1. mgr. 40. gr. laga nr. 77/2000 er lagt fyrir fyrirtækið að senda Persónuvernd verklagsreglur um hvernig það muni tryggja að óviðkomandi verði ekki veittur aðgangur að efni sem safnast við rafræna vöktun þess. Skulu reglurnar hafa borist stofnuninni eigi síðar en 15. nóvember 2017.
Ú r s k u r ð a r o r ð:
Meðferð KFC ehf. á upptöku úr öryggismyndavélakerfi á veitingastað fyrirtækisins í Mosfellsbæ, þar sem sjá má kvartanda í máli þessu, var ekki í samræmi við lög nr. 77/2000 eða reglur nr. 837/2006.
Eigi síðar en 15. nóvember 2017 skal KFC ehf. senda Persónuvernd verklagsreglur um hvernig fyrirtækið muni tryggja að óviðkomandi verði ekki veittur aðgangur að efni sem safnast við rafræna vöktun þess.