Úrskurður um notkun Strætó bs. á ökuritum í bifreiðum fyrir akstursþjónustu fatlaðra og hreyfihamlaðra
Mál nr. 2016/1588
Persónuvernd hefur úrskurðað að notkun Strætó bs. á ökuritum í bifreiðum, sem notaðar eru fyrir akstursþjónustu fatlaðra og hreyfihamlaðra, auk miðlunar á upplýsingum til notenda akstursþjónustunnar, sé heimil. Fræðsla til kvartenda samrýmdist aftur á móti ekki lögum nr. 77/2000 og reglum nr. 837/2006
Úrskurður
Á fundi stjórnar Persónuverndar þann 20. nóvember 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1588:
I.
Málsmeðferð
1.
Tildrög máls
Þann 8. nóvember 2016 barst Persónuvernd kvörtun frá [A], [B], [C], [D] og [E] (hér eftir nefndir kvartendur) yfir vinnslu persónuupplýsinga um þá hjá Strætó bs. Kvartendur eru verktakar hjá Strætó bs. og sinna akstri fatlaðra og hreyfihamlaðra. Í kvörtuninni segir meðal annars að Strætó bs. hafi í notkun snjallsímaforrit, sem sýni notendum ferðaþjónustu fyrir fatlaða og hreyfihamlaða hvar bifreiðin sé staðsett hverju sinni. Forritið sem um ræðir er tengt GPS-staðsetningu í spjaldtölvum sem Strætó bs. lætur bifreiðastjórum í té, til að sýna þeim hvern eigi að sækja, hvert, og hvert viðkomandi eigi að fara. Kvartendur fullyrða að þeir hafi ekki gefið samþykki sitt fyrir notkun forritsins, auk þess sem Strætó bs. hafi ekki upplýst um það í útboðsgögnum að nota ætti slíkt forrit. Þá hafi Strætó bs. ekki kynnt bifreiðastjórum forritið eða sýnt fram á notagildi þess. Telja kvartendur að brotið sé gegn friðhelgi einkalífs þeirra með notkun forritsins, þar sem notendur ferðaþjónustunnar geti séð hvar bifreiðastjórinn stoppar á milli ferða og geti þar með fylgst með ferðum hans.
2.
Bréfaskipti
2.1.
Með bréfi, dags. 1. febrúar 2017, var Strætó bs. boðið að koma á framfæri skýringum vegna kvörtunarinnar. Í svarbréfi Strætó bs., dags. 13. febrúar 2017, kemur meðal annars fram að Strætó bs. sjái, fyrir hönd sveitarfélaga á höfuðborgarsvæðinu, um akstur fatlaðs fólks og fatlaðra skólabarna. Notendur panti ferð annaðhvort með því að hringja eða senda tölvupóst til þjónustuvers Strætó. Allar ferðir séu settar inn í tölvukerfi, sem síðan raði niður ferðum á bifreiðarnar. Þá vísar Strætó bs. til tiltekinnar greinar í samningsgögnum, þar sem fram kemur að Strætó bs. leggi til tölvur, GPS-tæki og annan þess háttar búnað sem Strætó bs. ákveði að séu í rekstrarvögnunum hverju sinni. Þá segir að við uppsetningu hafi hverjum og einum bjóðanda verið kennt á tölvuna og farið yfir tilgang og markmið hennar. Loks segir að engin vinnsla persónuupplýsinga eigi sér stað, heldur eingöngu vinnsla upplýsinga um rauntímastaðsetningu bifreiðar fyrir þá notendur sem viðkomandi bifreið mun sækja ásamt áætluðum komutíma. Hafi það því verið mat Strætó bs. á sínum tíma að nægjanlegt væri að upplýsa akstursaðila um hvernig uppgjör væri framkvæmt, þ.e. á grundvelli rauntímaupplýsinga um feril og tíma bifreiðar.
2.2.
Með bréfi, dags. 15. maí 2017, var kvartendum boðið að koma á framfæri athugasemdum sínum við fram komnar skýringar Strætó bs. Í svarbréfi kvartenda, dags. 26. maí 2017, segir meðal annars að þeir telji óeðlilegt að Strætó bs. geymi upplýsingar um akstursferil hvers og eins bifreiðarstjóra, án þess að hafa kynnt slíka ferilvöktun og öflun persónuupplýsinga og fengið til þess fyrirfram gefið samþykki. Kvartendur mótmæli ennfremur staðhæfingu Strætó bs. um að engin vinnsla persónuupplýsinga eigi sér stað. Þá segir að kvörtunin snúi sömuleiðis að akstursferlaforriti sem notendur þjónustunnar hafi aðgang að, sem er beintengt við staðsetningartæki spjaldtölvunnar, og veiti því þriðja manni aðgang að ferilvöktun Strætó bs. Hægt sé að sjá, 30 mínútum fyrir hverja bókaða ferð, hve langt sé í bifreiðina og hvar hún sé staðsett. Með þessu sé hægt að sjá hvert bifreiðin keyri á mjög löngum tíma. Taka kvartendur fram að þeir geti ekki séð að notendur þjónustunnar hafi hag af því að fá þessar upplýsingar vegna uppgjörs Strætó bs. við notendann. Sé að mati kvartenda yfirleitt ekki að sjá að Strætó bs. þurfi á akstursferilvöktun að halda vegna uppgjörs, hvort sem það er vegna uppgjörs við akstursaðila eða notendur þjónustunnar. Þá er vísað til þess að bifreiðastjórar hafi ítrekað þurft að svara fyrir tiltekið leiðarval og að með því sé vegið að friðhelgi einkalífs þeirra. Miðlun persónuupplýsinganna um þá til þriðja aðila, þ.e. notenda þjónustunnar, sé óheimil.
2.3.
Með bréfi, dags. 15. maí 2017, sem ítrekað var með bréfi, dags. 23. júní 2017, óskaði Persónuvernd eftir nánari skýringum Strætó bs. varðandi hvaða heimild í 1. mgr. 8. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, umrædd vinnsla væri studd við. Í bréfi Persónuverndar var jafnframt vísað til þess að vinnsla upplýsinga um hvar tilteknir bílar væru staðsettir og rauntímavöktun á ökuferli þeirra, ásamt upplýsingum um hver æki tilteknum bíl, gæti talist til vinnslu persónuupplýsinga, jafnvel þótt viðkomandi upplýsingar væru ekki aðgengilegar öðrum en starfsmönnum Strætó bs. vegna uppgjörs. Í svarbréfi Strætó bs., dags. 6. júlí 2017, kemur meðal annars fram að í gegnum aksturstölvu fari fram eftirlit með akstursferli bíla, sem sýni akstursleið og tíma. Segir að í samningsgögnum, sem kvartendum hafi verið afhent, hafi kerfinu meðal annars verið lýst, sem og eftirliti og þjónustu. Öllum þeim sem buðu í verkið hafi verið ljóst að uppgjör færi fram í gegnum kerfi sem héldi utan um ferðir, staðsetningu og tímalengd ferða. Ekki hafi verið skilyrði að þeir sem störfuðu við akstursþjónustuna hefðu hreina sakaskrá og hafi Strætó bs. því talið nauðsynlegt að hægt væri að fylgjast með því hver æki hvaða bifreið í þeim tilgangi að geta brugðist við tilvikum sem upp gætu komið, þar sem tengja þyrfti saman ferð og bílstjóra. Þá segir að Strætó bs. telji staðsetningarmöguleikann mikilvægt öryggistæki til þess að hægt sé að bregðast strax við ef eitthvað kemur upp í þjónustunni. Því sé þessi búnaður í kerfinu nauðsynlegur til að hægt sé að sinna þjónustunni á öruggan og skilvirkan hátt. Þá er tekið fram að enginn þriðji aðili fái upplýsingar um ökuferil ökutækis heldur aðeins starfsmenn Strætó bs. og notandi þjónustunnar. Upplýsingar um staðsetningu bíls hverfi um leið og ferð hefjist. Eigi engin vinnsla persónuupplýsinga sér stað önnur en sú sem telst nauðsynleg vegna þjónustunnar og tengist rauntímaeftirliti bifreiðar.
Með bréfi, dags. 20. júlí 2017, var kvartendum boðið að koma á framfæri athugasemdum sínum við fram komnar skýringar Strætó bs. Í svarbréfi kvartenda, dags. 9. ágúst 2017, er meðal annars ítrekað að akstursaðilar hafi aldrei samþykkt akstursferilvöktunina eða veitt Strætó bs. heimild til að veita þriðja aðila upplýsingar um akstursferil þeirra.
Með bréfi, dags. 26. september 2017, óskaði Persónuvernd enn eftir nánari skýringum Strætó bs. á því við hvaða heimild í lögum nr. 77/2000 miðlun persónuupplýsinga um kvartendur til þriðja aðila, þ.e. notenda akstursþjónustunnar, væri studd. Engin svör bárust.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.
Notkun ökurita til ferilvöktunar á ökutækjum, eins og hér um ræðir, telst rafræn vöktun, sbr. 6. tölul. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þar er hugtakið rafræn vöktun skilgreint sem vöktun sem er viðvarandi og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði.
Af framangreindu er ljóst að sú vöktun sem Strætó bs. viðhefur er í eðli sínu rafræn vöktun og þar með rafræn vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Jafnframt er ljóst að það heyrir undir valdsvið Persónuverndar að úrskurða um ágreining um umrædda vöktun og vinnslu, sbr. 37. gr. laganna.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Strætó bs. vera ábyrgðaraðili að umræddri vinnslu.
2.
Lagaumhverfi
Til að rafræn vöktun sé heimil verður að vera fullnægt skilyrðum 1. mgr. 4. gr. laga nr. 77/2000. Þar er kveðið á um að rafræn vöktun sé ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi. Einnig verður meðal annars að gæta að því við rafræna vöktun að með merki eða á annan áberandi hátt sé gert glögglega viðvart um vöktunina og hver sé ábyrgðaraðili, sbr. 24. gr. laganna.
Hér er um að ræða rafræna vöktun sem leiðir til vinnslu persónuupplýsinga. Svo að vinnsla slíkra upplýsinga, þ. á m. miðlun til þriðja aðila, sé heimil verður einhverju þeirra skilyrða, sem kveðið er á um í 8. gr. laga nr. 77/2000, að vera fullnægt. Af atvikum máls má ráða að ósannað er að samþykki kvartenda fyrir þeirri vinnslu persónuupplýsinga, sem hér um ræðir, hafi legið fyrir. Heimild til vinnslunnar getur því ekki grundvallast á 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Það ákvæði 8. gr. laganna, sem hér kemur einkum til álita, er 7. tölul. 1. mgr., þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.
Að auki þarf, sem ávallt við vinnslu persónuupplýsinga og rafræna vöktun, að vera fullnægt öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000, sbr. 1. mgr. 4. gr. sömu laga. Í því felst meðal annars að vinnsla skal vera sanngjörn, málefnaleg og lögmæt og samrýmast vönduðum vinnsluháttum (1. tölul. 1. mgr. 7. gr.); að upplýsingar skulu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul. sömu málsgreinar); að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslu ( 3. tölul.); og að þær skulu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Með stoð í 5. mgr. 37. gr. laga nr. 77/2000 hefur Persónuvernd sett reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Þær hafa meðal annars að geyma ákvæði um ökurita og rafrænan staðsetningarbúnað. Samkvæmt 4. gr. þeirra reglna verður rafræn vöktun að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, s.s. í þágu öryggis eða eignavörslu. Þá segir í 5. gr. reglnanna að við alla rafræna vöktun skuli þess gætt að ganga ekki lengra en brýna nauðsyn ber til miðað við þann tilgang sem að er stefnt. Skuli gæta þess að virða einkalífsrétt þeirra sem sæta vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Við ákvörðun um hvort viðhafa skuli rafræna vöktun skuli því ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum.
Í 10. gr. reglnanna er mælt fyrir um skyldu ábyrgðaraðila að rafrænni vöktun til að setja reglur um vöktunina eða veita fræðslu til þeirra sem henni sæta. Samkvæmt 2. mgr. ákvæðisins skulu slíkar reglur eða fræðsla taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast og hversu lengi þær verði varðveittar. Þá kemur fram í 3. mgr. að meðal annars skuli tilgreina í reglum eða fræðslu hvaða búnaður er notaður, til dæmis stafrænar eftirlitsmyndavélar, og kveða á um rétt viðkomandi til að fá að vita hvaða upplýsingar verða til um hann og til að fá upplýsingar leiðrétt eða þeim eytt, sbr. og 12. gr. reglnanna.
3.
Niðurstaða
Í máli þessu er annars vegar kvartað yfir þeirri rafrænu vöktun sem fram fer með rafrænum staðsetningarbúnaði án heimildar og hins vegar miðlun Strætó bs. á persónuupplýsingum kvartenda til þriðju aðila, þ.e. notenda þjónustunnar.
Hvað varðar þá vinnslu persónuupplýsinga, sem fram fer með notkun ökurita, kemur fram í gögnum málsins að umræddir ökuritar þjóni þeim tilgangi að auka gæði og öryggi í akstursþjónustu við fatlaða og hreyfihamlaða. Þá telur Persónuvernd að ætla megi að vægi geti haft fyrir notendur þjónustunnar, sem eru fatlaðir og hreyfihamlaðir einstaklingar, að undirbúa komu bifreiðanna. Telur Persónuvernd því málefnalegar ástæður liggi fyrir miðlun Strætó bs. á umræddum upplýsingum til notenda þjónustunnar. Persónuvernd telur því í ljósi þessa að kröfum fyrrnefndra ákvæða 1. mgr. 4. gr. laga nr. 77/2000 og 8. gr. reglna nr. 837/2006 geti talist fullnægt við þá vöktun sem fram fer með notkun ökuritanna. Þá telur Persónuvernd að vinnsla, þ. á m. miðlun, persónuupplýsinga í því sambandi geti talist heimil á grundvelli lögmætra hagsmuna sem vegi þyngra en réttindi og frelsi hins skráða, sbr. áðurgreint ákvæði 7. tölul. 1. mgr. 8. gr. laganna.
Þá er einnig kvartað yfir því að Strætó bs. hafi ekki rækt fræðsluskyldu sína gagnvart kvartendum, hvað varðar rafræna vöktun, sem fram fer með notkun ökurita. Í 20. gr. laga nr. 77/2000 segir meðal annars að þegar ábyrgðaraðili aflar persónuupplýsinga hjá hinum skráða sjálfum skuli hann meðal annars veita hinum skráða upplýsingar, að því marki sem þær eru nauðsynlegar með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna. Í 10. gr. reglna nr. 837/2006 um rafræna vöktun er sömuleiðis að finna ákvæði um fræðslu sem veita ber þeim sem sæta rafrænni vöktun. Þar segir meðal annars að veita skuli fræðslu til þeirra sem henni sæta. Ekki verður aftur á móti séð að veitt hafi verið fræðsla um þau atriði sem þar koma fram. Telur því Persónuvernd að ekki hafi verið farið að kröfum laga nr. 77/2000 og reglna nr. 837/2006 við umrædda vöktun. Með vísan til 1. mgr. 40. gr. laga nr. 77/2000 er hér með lagt fyrir Strætó bs. að veita slíka fræðslu, en hún getur verið í formi reglna sem kynntar eru hlutaðeigandi.
Meðferð þessa máls hefur dregist vegna mikilla anna hjá stofnuninni.
Ú r s k u r ð a r o r ð:
Notkun Strætó bs. á ökuritum í bifreiðum, sem kvartendur nota við störf sín, og miðlun Strætó bs. á upplýsingum til notenda akstursþjónustu fatlaðra og hreyfihamlaðra, er heimil.
Fræðsla Strætó bs. til kvartenda um notkun ökuritanna, samrýmdist ekki lögum nr. 77/2000 og reglum nr. 837/2006. Skal Strætó bs. gera úrbætur á fræðslunni þannig að hún samrýmist kröfum laganna og reglnanna. Staðfesting á að þær úrbætur hafi verið gerðar skal hafa borist Persónuvernd eigi síðar en 15. desember 2017.