Úrlausnir

Úrskurður um rafræna vöktun í einni af verslunum Krónunnar

Mál nr. 2017/1049

30.4.2018

Persónuvernd hefur úrskurðað í máli af tilefni kvörtunar yfir rafrænni vöktun í einni af verslunum Krónunnar ehf. Nánar tiltekið var kvartað yfir vöktun með vinnuskilum, sem og í eineltistilgangi. Samkvæmt skýringum Krónunnar ehf. hafði verið rætt við hlutaðeigandi verslunarstjóra án þess að nokkuð kæmi í ljós sem staðfesti að vöktun sem þessi hefði verið viðhöfð. Þá lá fyrir að starfsmenn höfðu verið fræddir um vöktunina. Taldi Persónuvernd að hún gæti ekki, með þeim úrræðum sem henni væru búin, skorið úr um hver málsatvik hefðu raunverulega verið. Þá var að öðru leyti komist að þeirri niðurstöðu að vöktunin hefði samrýmst lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Úrskurður

Á fundi stjórnar Persónuverndar hinn 30. apríl 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/1049:

I.

Málsmeðferð

1.

Tildrög máls

Persónuvernd hefur borist kvörtun, dags. 14. júlí 2017, frá [A] (hér eftir nefndur „kvartandi“) yfir rafrænni vöktun í verslun Krónunnar ehf. við […]. Segir að verslunarstjóri hafi ítrekað notað eftirlitsmyndavélar til að fylgjast með kvartanda og hafi sagt öðrum starfsmönnum hvernig hann væri í vinnu og talað illa um hann.

2.

Skýringar fyrir hönd Krónunnar ehf.

Athugasemdir kvartanda við þær

Með bréfi til Festis hf., móðurfélags Krónunnar ehf., dags. 20. október 2017, óskaði Persónuvernd skýringa af tilefni kvörtunarinnar og veitti kost á athugasemdum. Meðal þess sem óskað var að upplýst yrði var hvort um ræddi vöktun með vinnuskilum starfsmanna, hvort og þá hvernig starfsmönnum hefði verið veitt fræðsla um vöktunina, til hvaða svæðis vöktunin næði og hvar myndavélar væru staðsettar. Svarað var með bréfi, dags. 3. nóvember 2017. Þar segir meðal annars að öryggismyndavélar í umræddri verslun hafi verið settar upp í öryggis- og eignavörsluskyni, sbr. 1. tölul. 2. mgr. 9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Segir í því sambandi að talsvert sé um þjófnaðarmál í verslunum Krónunnar ehf. og hafi myndavélakerfi verið notuð til að upplýsa mál vegna þjófnaðar, skemmdarverka og tjóns af öðru tagi. Kerfið sé mikilvæg forvörn og sé reynt að hafa það sýnilegt og upplýsa um að vöktun eigi sér stað. Jafnframt sé myndavélum ætlað að vernda og tryggja öryggi starfsmanna, sér í lagi við afgreiðslukassa og í sjóðsherbergi.

Einnig segir í bréfinu að sérstök öryggis- og eftilitsdeild hafi umsjón með öryggismálum allra verslana, þ.m.t. eftirlits- og myndavélakerfum. Að minnsta kosti árlega haldi öryggis- og eftirlitsdeild öryggisnámskeið í hverri verslun þar sem meðal annars sé fjallað um slík kerfi. Fræðsla þar að lútandi sé jafnframt veitt á nýliðanámskeiðum sem haldin séu fyrir nýja starfsmenn áður en þeir hefji störf, en fyrir liggi að kvartandi hafi setið slíkt námskeið. Að auki hljóti verslunarstjórar sérstaka persónulega þjálfun hjá öryggis- og eftirlitsdeild þar sem farið sé yfir öll helstu öryggismál í þeirri verslun sem viðkomandi stýri.

Tekið er fram í bréfinu að veitt sé skýr fræðsla um rafræna vöktun í öllum verslunum Krónunnar ehf., sem og að í umræddri verslun fyrirtækisins séu myndavélar staðsettar á afgreiðslusvæði, í verslunarrými, sjóðsherbergi, vörumóttöku og lager, sem og við inn- og útganga. Þá segir að Krónan ehf. hafi komið sér upp sérstökum ferlum til að taka á vandamálum sem komi upp milli starfsmanna og stjórnenda í hverri verslun, en veggspjöld með upplýsingum um þessa ferla hangi meðal annars uppi í starfsmannarýmum. Sér í lagi hafi verið lögð áhersla á að eineltismál séu tilkynnt, sérstaklega þar sem fyrirtækið líði ekki einelti. Engin tilkynning hafi borist starfsmannahaldi þess um þá hegðun sem lýst sé í kvörtun. Þar sem starfsmannahald hafi því ekki fengið upplýsingar um málsatvik hafi það ekki haft tilefni eða ástæðu til að kanna grundvöll kvörtunarinnar.

Með bréfi, dags. 14. nóvember 2017, ítrekuðu með bréfi, dags. 8. desember s.á., veitti Persónuvernd kvartanda færi á að tjá sig um framangreindar skýringar Festis hf. Svör bárust frá honum í tölvupósti hinn 15. desember 2017, en nánar tiltekið var þar um að ræða áframsendingu á athugasemdum hans hinn 15. nóvember s.á. til yfirmanna hjá Festi hf. Segir þar að kvartanda sé vel kunnugt um tilgang öryggismyndavéla í verslunum Krónunnar ehf. og sé það ástæða kvörtunar hans til Persónuverndar. Myndavélarnar hafi verið notaðar gegn honum í starfi í þeim tilgangi að hæðast að honum og baknaga hann, sér í lagi við aðra starfsmenn, og telji hann ljóst að þær séu ekki ætlaðar til þess. Verslunarstjóri hafi margsinnis komið og sett út á vinnubrögð hans vegna þess að hann hafi notað þær til að fylgjast með honum, en að auki hafi hann gert grín að sér. Að lokum hafi kvartandi ekki séð sér fært að vinna hjá Krónunni ehf. lengur og hætt störfum enda mikill streituvaldur að stöðugt sé fylgst með starfsmanni með öryggismyndavélum til að leggja hann í einelti og ræða um hann hæðnislega við annað starfsfólk, en þannig hafi öryggismyndavélakerfið í umræddri verslun verið notað gagnvart kvartanda.

3.

Frekari skýringar fyrir hönd Krónunnar ehf.

Persónuvernd taldi þörf frekari skýringa frá Festi hf. og var þeirra óskað með bréfi, dags. 14. febrúar 2018. Meðal annars var þess óskað að upplýst yrði hvernig aðgangi að eftirlitsmyndavélakerfi umræddrar verslunar væri háttað; hversu lengi persónuupplýsingar, sem til yrðu við vöktunina, væru varðveittar; og hvernig öryggi upplýsinganna væri tryggt. Svarað var með bréfi, dags. 28. febrúar 2018. Þar segir að aðgang að myndefni úr eftilritsmyndavélakerfum Krónunnar ehf. hafi eingöngu verslunarstjóri hverrar verslunar og starfsmenn eftirlitsdeildar, en þeir séu þeir einu sem geti tekið upptökur úr kerfinu. Myndefni sé varðveitt í 40 daga og eyðist sjálfkrafa eftir það. Að auki sé aðgangi að hugbúnaði til að skoða efni úr myndþjóni stýrt með notandanafni og lykilorði. Hver starfsmaður hafi einkvæmt notandanafn og lykilorð til fá aðgang að því kerfi þar sem myndefnið sé varðveitt, þ.e. netkerfi Festis hf., og sjái kerfisstjóri um að stofna nýja notendur og setja lykilorðareglur í samráði við forstöðumann upplýsingatæknisviðs og í samræmi við gildandi öryggisstefnu. Þá er vísað til þess til séu skrifleg gögn um öryggi persónuupplýsinga hjá dótturfélögum Festis hf. frá því að þau voru hluti af samstæðu Norvik hf., en afrit af þeim fylgdi með umræddu bréfi. Segir þar einnig að til standi að ráðast í umfangsmikla vinnu vegna innleiðingar á nýrri persónuverndarlöggjöf, en í því felist meðal annars endurnýjun á umræddum gögnum.

Í bréfi til Festis hf., dags. 20. apríl 2018, vísaði Persónuvernd til þess sem greinir í framangreindu bréfi félagsins, dags. 3. nóvember 2017, um að ekki hafi verið talið tilefni til könnunar á þeim atvikum sem lýst er í kvörtun. Einnig vísaði stofnunin til þess að með viðtöku Krónunnar ehf. á áðurnefndu bréfi stofnunarinnar, dags. 20. október 2017, sem fylgdi með kvörtuninni, hefði fyrirtækinu borist vitneskja um málsatvik eins og þau horfðu við kvartanda. Þá lægi fyrir að hinn 30. nóvember 2017 hefði kvartandi tilkynnt þau sérstaklega til yfirmanna hjá Festi hf. Í ljósi þessa óskaði Persónuvernd þess að upplýst yrði hvort sú vitneskja þar að lútandi, sem barst með viðtöku umræddra skjala, hefði orðið tilefni til könnunar á því sérstaklega hvernig notkun eftirlitsmyndavélakerfis í umræddri verslun væri háttað, þ. á m. málsatvikum hvað varðaði kvartanda og notkun verslunarstjóra á myndefni þar sem hann kæmi fyrir. Jafnframt var þess óskað að fram kæmi hvernig Festi hf. teldi notkun á því myndefni hafa horft við ákvæðum laga nr. 77/2000, sbr. einkum 4. gr. þeirra laga, sem og reglum nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, sbr. 5. mgr. 37. gr. laganna.

Svarað var með bréfi, dags. 23. apríl 2018. Þar segir meðal annars að málsatvik hafi verið könnuð og rætt við verslunarstjóra í umræddri verslun um atvik eins og þau horfa við kvartanda. Við þessa könnun á málsatvikum hafi ekkert komið fram sem bendi til þess að brotið hafi verið gegn ákvæðum laga nr. 77/2000 og reglna nr. 837/2006 með notkun á myndefni úr eftirlitsmyndavélum. Einnig hafi verið farið sérstaklega yfir reglur sem gildi um notkun eftirlitsmyndavélakerfa á fundum með verslunarstjórum Krónunnar ehf. með það að sjónarmiði að atvik, eins og lýst er í kvörtun, komi ekki upp. Jafnframt hafi eftirlitsdeild Festis hf. verið upplýst um kvörtunina og verklag tengt eftirlitsmyndavélakerfum yfirfarið. Í ljósi þess að kvartandi hafi aftur hafið störf í umræddri verslun megi draga þá ályktun að hann geri ekki athugasemdir við notkun eftirlitsmyndavélakerfa í versluninni eins og þeim sé háttað.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

Rafræn vöktun er vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði, sbr. 6. tölul. 2. gr. laga nr. 77/2000. Hugtakið tekur til vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga og sjónvarpsvöktunar sem fram fer með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.

Af framangreindu er ljóst að myndavélaeftirlit það sem Krónan hf. viðhefur í verslun sinni við […], er í eðli sínu rafræn vöktun og rafræn vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Jafnframt er ljóst að það heyrir undir valdsvið Persónuverndar að úrskurða um ágreining um umrædda vöktun og vinnslu, sbr. 37. gr. laganna.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Krónan ehf. vera ábyrgðaraðili að umræddri vinnslu.

2.

Lagaumhverfi

Til að rafræn vöktun sé heimil verður að vera fullnægt skilyrðum 1. mgr. 4. gr. laga nr. 77/2000. Þar er kveðið á um að rafræn vöktun sé ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi. Rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, sé jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram. Einnig verður meðal annars að gæta að því við rafræna vöktun að með merki eða á annan áberandi hátt sé gert glögglega viðvart um vöktunina og hver sé ábyrgðaraðili, sbr. 24. gr. laganna.

Eins og fram hefur komið er hér um að ræða rafræna vöktun sem leiðir til vinnslu persónuupplýsinga. Svo að vinnsla slíkra upplýsinga sé heimil verður einhverju þeirra skilyrða, sem kveðið er á um í 8. gr. laga nr. 77/2000, að vera fullnægt. Að því marki sem hér kann að vera um viðkvæmar persónuupplýsingar að ræða verður einnig að líta til 9. gr. laganna, en þar er mælt fyrir um viðbótarskilyrði fyrir vinnslu slíkra upplýsinga. Þarf vinnslan þá að fullnægja einhverju þeirra skilyrða, auk einhvers skilyrðanna í 8. gr. laganna. Ætla verður að umrædd vöktun geti haft í för með sér söfnun myndefnis með viðkvæmum persónuupplýsingum, s.s. ef tekin eru upp atvik þar sem grunur er uppi um refsiverða háttsemi, en upplýsingar þar að lútandi eru viðkvæmar, sbr. a-lið 8. tölul. 2. gr. laga nr. 77/2000.

Það ákvæði 8. gr. laganna, sem hér kemur einkum til álita, er 7. tölul. 1. mgr., þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Af ákvæðum 9. gr. laganna kemur einkum til álita 7. tölul. 1. mgr. um heimild til vinnslu viðkvæmra persónuupplýsinga sem nauðsynleg er til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.

Að auki þarf, sem ávallt við vinnslu persónuupplýsinga og rafræna vöktun, að vera fullnægt öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000, sbr. 1. mgr. 4. gr. sömu laga. Í því felst meðal annars að vinnsla skal vera sanngjörn, málefnaleg og lögmæt og samrýmast vönduðum vinnsluháttum (1. tölul. 1. mgr. 7. gr.); að upplýsingar skulu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul. sömu málsgreinar); að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslu ( 3. tölul.); og að þær skulu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við þann tilgang (5. tölul.).

Með stoð í 5. mgr. 37. gr. laga nr. 77/2000 hefur Persónuvernd sett reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Samkvæmt 4. gr. þeirra reglna verður rafræn vöktun að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, s.s. í þágu öryggis eða eignavörslu. Að auki segir í 5. gr. reglnanna að við alla rafræna vöktun skuli þess gætt að ganga ekki lengra en brýna nauðsyn ber til miðað við þann tilgang sem að er stefnt. Skuli gæta þess að virða einkalífsrétt þeirra sem sæta vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Við ákvörðun um hvort viðhafa skuli rafræna vöktun skuli því ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum. Þá er í 6. gr. reglnanna mælt fyrir um það skilyrði fyrir vöktun til að mæla vinnu og afköst starfsmanna að hennar sé sérstök þörf, s.s. vegna þess að ekki sé unnt að koma við verkstjórn með öðrum hætti; að án vöktunarinnar sé ekki unnt að tryggja öryggi á viðkomandi svæði, s.s. í ljósi laga og sjónarmiða um hollustuhætti og mengunarvarnir; eða að hún sé nauðsynleg vegna ákvæða kjarasamnings eða annars konar samkomulags um launakjör, s.s. þegar laun eru byggð á afkastatengndu, tímamældu launakerfi. Ljóst er þegar litið er til meðal annars framangreindra ákvæða að reynist rafræn vöktun vera nauðsynleg á ekki að skoða vöktunarefni nema að því marki sem málefnalegar ástæður gefa tilefni til, sem og að ríkar ástæður þyrfti til ef slíkt ætti að gera til að hafa eftirlit með vinnuskilum starfsmanna. Þá er ljóst ekki eiga fleiri að hafa aðgang að vöktunarefni en þess þurfa.

Um varðveislutíma vöktunarefnis er fjallað í 7. gr. reglna nr. 837/2006. Segir þar að persónuupplýsingum, sem safnast við rafræna vöktun, skuli eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær. Þá kemur meðal annars fram að upplýsingar skulu ekki varðveittar lengur en 90 daga nema lög heimili eða við eigi einhver þeirra undantekninga sem tilgreindar eru í ákvæðinu.

Í 10. gr. reglnanna er mælt fyrir um skyldu ábyrgðaraðila að rafrænni vöktun til að setja reglur um vöktunina eða veita fræðslu til þeirra sem henni sæta. Samkvæmt 2. mgr. ákvæðisins skulu slíkar reglur eða fræðsla taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast og hversu lengi þær verði varðveittar. Þá kemur fram í 3. mgr. að meðal annars skal tilgreina í reglum eða fræðslu hvaða búnaður er notaður, t.d. stafrænar eftirlitsmyndavélar, og rétt viðkomandi til að fá að vita hvaða upplýsingar verða til um hann og til að fá upplýsingar leiðréttar eða þeim eytt, sbr. og 12. gr. reglnanna.

3.

Niðurstaða

Samkvæmt kvörtun hefur myndefni úr eftirlitsmyndavélum Krónunnar hf., þar sem kvartandi í málinu kemur fyrir, verið notað til að fylgjast með vinnuskilum hans og verður af kvörtuninni ráðin sú afstaða kvartanda að til slíks eftirlits hafi ekki gefist nægar ástæður. Að auki er því lýst í kvörtun að myndefni af kvartanda hafi einnig verið skoðað án þess að nokkurt málefnalegt tilefni hafi gefist til þess. Ljóst er að notkun vöktunarefnis eins og að framan greinir teldist fela í sér brot á lögum nr. 77/2000 og reglum nr. 837/2006, sbr. einkum 3. tölul. 1. mgr. 8. gr. laganna og 5. gr. reglnanna. Til þess er hins vegar jafnframt að líta að uppi er ágreiningur um hvort þau málsatvik í kvörtun sem þar er lýst hafi raunverulega átt sér stað. Getur Persónuvernd ekki, með þeim úrræðum sem henni eru búin, leyst úr þeim ágreiningi. Þá liggur að öðru leyti ekki fyrir að við framkvæmd umræddrar vöktunar verið hafi brotið gegn lögum og reglum. Samkvæmt því er niðurstaða Persónuverndar sú að hún hafi samrýmst ákvæðum laga nr. 77/2000 og reglna nr. 837/2006.

Ú r s k u r ð a r o r ð:

Rafræn vöktun með eftirlitsmyndavélum í verslun Krónunnar ehf. samrýmist lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og reglum nr. 837/2006 um rafræna vöktun og vinnslu persónuupplýsinga sem til verða við rafræna vöktun.



Var efnið hjálplegt? Nei