Úrskurður um rafræna vöktun með eftirlitsmyndavélum
Mál nr. 2016/1517
Persónuvernd hefur úrskurðað að rafræn vöktun með hljóðupptökum á vegum Twill ehf., hafi ekki samrýmst lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og reglum nr. 837/2006 um rafræna vöktun. Þá var kvartendum ekki veitt lögboðin fræðsla í samræmi við lög nr. 77/2000 og reglur nr. 837/2006.
Úrskurður
Á fundi stjórnar Persónuverndar þann 16. október 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1517.
I.
Málsmeðferð
1.
Tildrög máls
Þann 20. október 2016 barst Persónuvernd kvörtun frá [A] og [B], fyrrverandi starfsmönnum Twill ehf., (hér eftir nefndar kvartendur), vegna notkunar eftirlitsmyndavéla í versluninni Twill. Í kvörtuninni segir m.a.:
„Að rekstraraðilar Twill séu að taka upp bæði hljóð og mynd, sem nær nánast yfir alla verslunina. Ekki voru starfsmenn upplýstir um að upptaka á mynd og hljóði væri í gangi á vinnutíma. Myndavélakerfi var sett upp eftir innbrot og var það eingöngu ætlað sem öryggisbúnaður. Enginn fundur var haldinn til að tilkynna starfsfólki að upptaka á hljóði væri í gangi né að starfsmenn væru í mynd alls staðar í versluninni og engar merkingar eru í búðinni um að einhverskonar upptökur séu í gangi. Ég er ekki viss um hversu lengi eigendur Twill hafa tekið upp hljóð og myndefni af starfsmönnum sínum en myndavélakerfið hefur verið uppi í rúm 2 ár.“
Þá kemur fram í kvörtuninni að uppi sé rökstuddur grunur um að fleiri en einn séu að hlusta og horfa á upptökurnar. Í því sambandi sé heldur ekki vitað hvort öryggi þeirra upplýsinga sem þar komi fram sé tryggt með nægilegum hætti, þannig að aðrir óviðkomandi hafi ekki fengið aðgang að upptökunum.
2.
Bréfaskipti
Með bréfi, dags. 1. febrúar 2017, var Twill ehf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi Twill ehf., dags. 20. febrúar 2017, kemur meðal annars fram að eftirlitsmyndavélakerfið hafi verið sett upp eftir að innbrot hafi verið framið í verslun félagsins. Kerfið hafi áhrif á fjárhæð iðgjalda, og þá sé vörurýrnun mikil í verslunum á Íslandi.
Jafnframt segir að starfsfólki hafi verið greint frá eftirlitsmyndavélakerfinu enda dyljist uppsetning þess engum. Einnig hafi verið settur límmiði í glugga með tilkynningu um að eftirlitsmyndavélakerfi væri í versluninni. Þá séu myndavélarnar mjög áberandi og fari ekki framhjá neinum. Flestum sé ljóst hvaða hlutverki myndavélarnar gegni og komi það skýrt fram að þetta séu myndavélar með hljóði. Um frekari fræðslu hafi ekki verið að ræða enda vandséð með hvaða hætti hún hefði átt að vera.
Þá kemur enn fremur fram að myndir og hljóð úr eftirlitmyndavélunum fari inn á svokallaða „loop-diska“ og eyðist efni þeirra út sjálfkrafa að liðnum þremur vikum frá upptöku. Forsvarsmenn Twill ehf. séu þeir einu sem hafi aðgang að diskunum.
Með bréfi, dags. 17. maí 2017, var kvartendum boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Twill ehf. til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi [X] hdl. f.h. kvartenda, dags 29. maí 2017, segir að forsvarsmenn verslunarinnar hafi aldrei talað um að verið væri að taka bæði hljóð og mynd af starfsmönnum. Þá sé því hafnað að kvartendum hafi verið sagt frá eftirlitsmyndavélakerfinu, hvorki hafi það verið gert á starfsmannafundum né á öðrum tímum. Jafnframt hafni kvartendur því að í glugga hafi verið áberandi límmiði sem hafi gefið það örugglega til kynna hvað væri um að vera. Engar merkingar hafi verið í búðinni sem gæfu til kynna að starfsmenn eða viðskiptamenn væru í mynd.
Þann 11. október 2017 fóru fulltrúar Persónuverndar í vettvangsskoðun í verslun Twill ehf. og hittu þar fyrir eigendur verslunarinnar. Í verslunarrýminu voru staðsettar þrjár myndavélar og fengu fulltrúar stofnunarinnar aðgang að tölvu þar sem skoða mátti vöktunarefni.
Greinilegt var að myndavélakerfið var með hljóðupptökum, en þar mátti greina samtöl og önnur hljóð sem bárust frá verslunarrýminu. Aðspurðir kváðust eigendurnir ekki hafa lagt sérstakt mat á það hvort nauðsynlegt væri að taka upp hljóð. Slík upptaka væri innbyggð í kerfið sem keypt hefði verið frá öryggisþjónustufyrirtæki.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna, og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.
Rafræn vöktun er vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði, og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði, sbr. 6. tölul. 2. gr. laga nr. 77/2000. Hugtakið tekur til vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga og sjónvarpsvöktunar sem fram fer með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.
Af framangreindu er ljóst að myndavélaeftirlit það sem Twill ehf. viðhefur er í eðli sínu rafræn vöktun og rafræn vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Jafnframt er ljóst að það heyrir undir valdsvið Persónuverndar að fjalla um þá vöktun og vinnslu, sbr. 37. gr. laganna.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Twill ehf. vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vöktunar
Til að rafræn vöktun sé heimil verður að vera fullnægt skilyrðum 1. mgr. 4. gr. laga nr. 77/2000. Þar er kveðið á um að rafræn vöktun sé ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi. Rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, sé jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram. Einnig verður meðal annars að gæta að því við rafræna vöktun að með merki eða á annan áberandi hátt sé gert glögglega viðvart um vöktunina og hver sé ábyrgðaraðili, sbr. 24. gr. laganna.
Eins og fram hefur komið er hér um að ræða rafræna vöktun sem leiðir til vinnslu persónuupplýsinga. Svo að vinnsla slíkra upplýsinga sé heimil verður einhverju þeirra skilyrða, sem kveðið er á um í 8. gr. laga nr. 77/2000, að vera fullnægt. Að því marki sem hér kann að vera um viðkvæmar persónuupplýsingar að ræða verður einnig að líta til 9. gr. laganna, en þar er mælt fyrir um viðbótarskilyrði fyrir vinnslu slíkra upplýsinga. Þarf vinnslan þá að fullnægja einhverju þeirra skilyrða, auk einhvers skilyrðanna í 8. gr. laganna. Ætla verður að umrædd vöktun geti haft í för með sér söfnun efnis með viðkvæmum persónuupplýsingum, s.s. ef tekin eru upp atvik þar sem grunur er uppi um refsiverða háttsemi, en upplýsingar þar að lútandi eru viðkvæmar, sbr. a-lið 8. tölul. 2. gr. laga nr. 77/2000.
Það ákvæði 8. gr. laganna, sem hér kemur einkum til álita, er 7. tölul. 1. mgr., þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Af ákvæðum 9. gr. laganna kemur einkum til álita 7. tölul. 1. mgr. sem heimilar vinnslu viðkvæmra persónuupplýsinga sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Þá ber einnig að nefna 2. mgr. 9. gr. sem heimilar söfnun efnis sem verður til við rafræna vöktun, svo sem hljóð- og myndefni, með viðkvæmum persónuupplýsingum að uppfylltum nánar tilgreindum skilyrðum, s.s. að vöktunin sé nauðsynleg og fari fram í öryggis-og eignavörsluskyni.
Að auki þarf, sem ávallt við vinnslu persónuupplýsinga og rafræna vöktun, að vera fullnægt öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000, sbr. 1. mgr. 4. gr. sömu laga. Í því felst meðal annars að vinnsla skal vera sanngjörn, málefnaleg og lögmæt og samrýmast vönduðum vinnsluháttum (1. tölul. 1. mgr. 7. gr.); að upplýsingar skulu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul. sömu málsgreinar); að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslu ( 3. tölul.); og að þær skulu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Með stoð í 5. mgr. 37. gr. laga nr. 77/2000 hefur Persónuvernd sett reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Samkvæmt 4. gr. þeirra reglna verður rafræn vöktun að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, s.s. í þágu öryggis eða eignavörslu. Þá segir í 5. gr. reglnanna að við alla rafræna vöktun skuli þess gætt að ganga ekki lengra en brýna nauðsyn ber til miðað við þann tilgang sem að er stefnt. Skuli gæta þess að virða einkalífsrétt þeirra sem sæta vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Við ákvörðun um hvort viðhafa skuli rafræna vöktun skuli því ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum.
Eins og rakið hefur verið hér að ofan setti Twill ehf. upp eftirlitsmyndavélakerfi í verslun félagsins eftir að innbrot hafði verið framið í versluninni. Heimild til rafrænnar vöktunar í öryggis- og eignavörsluskyni, og söfnun myndefnis í tengslum við framkvæmd hennar, á sér stoð í 2. mgr. 9. gr. laga nr. 77/2000. Öryggis- og eignavörslutilgangur er einnig almennt talinn málefnalegur, sbr. t.d. 4. gr. reglna nr. 837/2006, og teljast hagsmunir sem honum er ætlað að vernda vera lögmætir.
Til þess er hins vegar að líta að eftirlitsmyndakerfið í verslun Twill ehf. greinir bæði mynd og hljóð. Þetta er staðfest annars vegar í bréfi Twill ehf., dags. 20. febrúar 2017, þar sem m.a. kemur fram að myndavélarnar eru með hljóði, og hins vegar í vettvangsskoðun Persónuverndar þann 11. október 2017. Það leiðir af fyrrgreindum 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000 að við meðferð persónuupplýsinga skal þess gætt að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Þá mælir 5. gr. reglnanna um rafræna vöktun fyrir um að við alla rafræna vöktun skuli þess gætt að ganga ekki lengra en brýna nauðsyn ber til miðað við þann tilgang sem að er stefnt. Engin gögn hafa verið lögð fram í málinu sem sýna fram á að nauðsynlegt hafi verið að viðhafa myndavélaeftirlit með hljóðupptökum. Þá liggur ekki fyrir að Twill ehf. hafi, við ákvörðun um hvort viðhafa skuli rafræna vöktun, gengið úr skugga um hvort markmiðinu með slíkri vöktun væri unnt að ná með öðrum og vægari úrræðum, sbr. 5. gr. reglna um rafræna vöktun. Með hliðsjón af þessu og með vísan til alls framangreinds telur Persónuvernd að vöktun á vegum Twill ehf. samrýmist ekki 7. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og 5. gr. reglna nr. 837/2006 um rafræna vöktun.
3.
Fræðsla til hinna skráðu
Í 20. gr. laga nr. 77/2000 segir meðal annars að þegar ábyrgðaraðili afli persónuupplýsinga hjá hinum skráða sjálfum skuli hann fræða hinn skráða um þau atriði sem hann þarf að vita, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna. Í 10. gr. reglna nr. 837/2006 um rafræna vöktun er sömuleiðis að finna ákvæði um fræðslu sem veita ber þeim sem sæta rafrænni vöktun. Segir þar m.a. að þeim skuli veitt fræðsla um tilgang vöktunar, hverjir hafi eða kunni að fá aðgang að þeim upplýsingum sem safnast og hversu lengi þær verði varðveittar, sem og að tilgreina skuli hvaða búnaður er notaður, t.d. stafrænar eftirlitsmyndavélar eða hljóðupptæki, og rétt viðkomandi til að fá að vita hvaða upplýsingar verða til um hann og til að fá upplýsingar leiðréttar eða þeim eytt. Þá er til þess að líta að samkvæmt 24. gr. laga nr. 77/2000 skal, þegar rafræn vöktun fer fram á vinnustað eða á almannafæri, gera glögglega viðvart um þá vöktun og hver sé ábyrgðaraðili með merki eða á annan áberandi hátt.
Í máli þessu liggja ekki fyrir gögn um að veitt hafi verið lögboðin fræðsla í samræmi við framangreint þrátt fyrir að ábyrgðaraðili umræddrar vöktunar og vinnslu, Twill ehf., hafi verið beðinn um gögn þar að lútandi. Ber að líta svo á að það falli í hlut ábyrgðaraðila vöktunar að tryggja sönnun um veitingu fræðslu. Þar sem þá sönnun skortir er það niðurstaða Persónuverndar að við vöktun hjá Twill ehf. hafi ekki verið farið að fyrrnefndum kröfum laga og reglna þar að lútandi.
4.
Niðurstaða
Með vísan til framangreinds er niðurstaða Persónuverndar sú að rafræn vöktun með myndupptöku samrýmist lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og reglum nr. 837/2006 um rafræna vöktun. Persónuvernd telur hins vegar að rafræn vöktun með hljóðupptökum hjá Twill ehf. samrýmist ekki lögum nr. 77/2000 og reglum nr. 837/2006 um rafræna vöktun. Með vísan til 1. mgr. 40. gr. laganna er lagt fyrir fyrirtækið að láta af þeirri vöktun. Skal staðfesting þess efnis að það hafi verið gert berast Persónuvernd eigi síðar en 1. nóvember 2017.
Jafnframt er það niðurstaða Persónuverndar að kvartendum hafi ekki verið veitt lögboðin fræðsla í samræmi við lög nr. 77/2000 og reglur nr. 837/2006. Lagt er fyrir Twill ehf. að veita starfsmönnum sínum fræðslu um þá rafrænu vöktun sem það ber ábyrgð á og fer fram í verslun félagsins. Skal staðfesting þess efnis að það hafi verið gert berast Persónuvernd eigi síðar en 1. nóvember 2017.
Meðferð þessa máls hefur dregist vegna mikilla anna hjá stofnuninni.
Ú r s k u r ð a r o r ð:
Rafræn vöktun með hljóðupptökum á vegum Twill ehf., samrýmist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og reglum nr. 837/2006 um rafræna vöktun. Skal Twill ehf. láta af þeirri vöktun og staðfesta eigi síðar en 1. nóvember 2017 að það hafi verið gert.
Kvartendum var ekki veitt lögboðin fræðsla í samræmi við lög nr. 77/2000 og reglur nr. 837/2006. Skal Twill ehf. veita starfsmönnum sínum fræðslu um þá rafrænu vöktun sem það ber ábyrgð á og fer fram í verslun félagsins og staðfesta eigi síðar en 1. nóvember 2017 að það hafi verið gert.