Vöktun með vinnuskilum starfsmanns á veitingastaðnum Subway
Mál nr. 2021051091
Rafræn vöktun, þ. á m. vöktun með eftirlitsmyndavélum, verður að fara fram í skýrum og málefnalegum tilgangi, svo sem í þágu öryggis- og eignavörslu. Þá ber ávallt að gæta þess að ganga ekki lengra við vöktunina heldur en þörf krefur miðað við þann tilgang sem stefnt er að.
Sérstök þörf þarf að vera svo að vöktun með vinnuskilum, þ.e. vöktun með vinnuframlagi starfsmanna, sé heimil, til dæmis að ekki sé unnt að koma við verkstjórn með öðrum hætti, vöktunin sé nauðsynleg vegna ákvæða kjarasamnings eða annars konar samkomulags um launakjör, einkum þegar laun eru byggð á afkastatengdu, tímamældu launakerfi eða að án vöktunarinnar sé ekki unnt að tryggja öryggi á viðkomandi svæði, svo sem í ljósi laga og sjónarmiða um hollustuhætti og mengunarvarnir. Þá þarf að framkvæma mat á áhrifum á persónuvernd áður en vöktun með vinnuskilum hefst.
----
Persónuvernd lagði stjórnvaldssekt, að upphæð 1.500.000 króna á Stjörnuna ehf., rekstraraðila Subway á Íslandi, vegna rafrænnar vöktunar. Starfsmaður Subway kvartaði yfir vöktun fyrirtækisins með vinnuskilum hans en einnig yfir því að hann hefði ekki verið fræddur um vöktunina og réttindi sín vegna hennar. Gögn sem fylgdu kvörtun sýndu að verslunarstjóri staðarins hefði í tilgreint sinn tekið fjölda skjáskota af kvartanda úr eftirlitsmyndavélum staðarins og skráð á þau hvað kvartandi aðhafðist á hverjum tíma. Niðurstaða Persónuverndar var sú að rafræn vöktun Stjörnunnar ehf. hefði ekki samrýmst yfirlýstum tilgangi með vöktuninni og að um vöktun með vinnuskilum hefði verið að ræða. Þá var það jafnframt niðurstaða Persónuverndar að merkingar og fræðsla Stjörnunnar ehf. samrýmdust ekki lögum um persónuvernd og vinnslu persónuupplýsinga. Viss atriði voru metin Stjörnunni ehf. til málsbóta en í ljósi misvísandi svara fyrirtækisins um þá þætti sem Persónuvernd óskaði sérstaklega upplýsinga um og þeirrar huglægu afstöðu ábyrgðaraðaðilans þegar brot átti sér stað var komist að þeirri niðurstöðu um sektarálagningu sem fyrr greinir.
Úrskurður
um kvörtun yfir rafrænni vöktun á veitingastaðnum Subway […] í máli nr. 2021051091:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 4. maí 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir rafrænni vöktun með vinnuskilum hans á veitingastaðnum Subway […].
Nánar tiltekið var kvartað yfir því að verslunarstjóri Subway […] fylgdist með starfsmönnum heiman frá sér og gerði athugasemdir við vinnulag þeirra. Athugasemdirnar setti hann annars vegar fram með símtali á starfsstöð og hins vegar með textafærslum á útprentuð tímastimpluð skjáskot úr eftirlitsmyndavélum staðarins. Auk framangreinds var kvartað yfir því að starfsmenn hefðu ekki verið fræddir sérstaklega um vöktunina.
Með bréfi, dags. 28. júlí 2021, var rekstraraðila Subway, Stjörnunni ehf., tilkynnt um framkomna kvörtun og boðið að tjá sig um hana. Svarað var af hálfu Stjörnunnar ehf. með bréfi dags. 9. september s.á. Hinn 10. desember s.á. ítrekaði Persónuvernd beiðni sína um að fyrirtækið sendi stofnuninni vinnsluskrá þess og barst svar þess með tölvupósti 16. s.m. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Stjörnunnar ehf. með bréfi, dags. 16. maí 2022, og bárust þær með tölvupósti þann 22. júlí s.á. Með bréfi, dags. 25. nóvember s.á., var fyrirtækinu gefinn kostur á andmælum vegna hugsanlegrar álagningar stjórnvaldssektar á fyrirtækið vegna málsins. Bárust svör fyrirtækisins með bréfi, dags. 13. janúar 2023.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó svo að ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur dregist vegna tafa á svörum málsaðila og anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Kvartandi byggir á því að yfirmaður hans sem sé verslunarstjóri Subway […] hafi fylgst með honum í rauntíma, utan starfsstöðvar, þ. á m. frá heimili sínu, í gegnum eftirlitsmyndavélakerfi veitingastaðarins. Hann hafi síðan hringt á veitingastaðinn og gert athugasemdir við vinnulag kvartanda út frá myndefninu. Vöktunin hafi verið stöðug og aðfinnslur borist reglulega. Kvartandi hafi þó fyrst talið sig geta staðfest vöktun vinnuskila með gögnum þegar yfirmaður hans hafi afhent honum nokkur skjáskot með skráðum lýsingum á athöfnum hans. Frá því að kvartandi hóf störf hjá fyrirtækinu í júní 2020 og til starfsloka í maí 2021 hafi verslunarstjórinn fylgst með starfsfólki staðarins með þessum hætti. Ekki hafi verið um einstakt tilvik að ræða og hafi vöktun verslunarstjórans valdið kvartanda miklum kvíða og vanlíðan sem hafi að endingu leitt til þess að hann hafi látið af störfum. Þá telur kvartandi að misnotkun vöktunarkerfisins með framangreindum hætti hafi verið kerfisbundið vandamál sem ekki sé eingöngu bundið við starfsstöð hans heldur fari fram á öðrum veitingastöðum Subway á Íslandi. Að lokum byggir kvartandi á því að hann hafi ekki hlotið fræðslu um vöktunina.
3.
Sjónarmið Stjörnunnar ehf.
Af hálfu, rekstraraðila Subway á Íslandi, Stjörnunnar ehf., er á því byggt að fjórar eftirlitsmyndavélar hafi verið settar upp á starfsstöð Subway […] í þágu öryggis- og eignavörslu. Tilgangur vöktunarinnar sé málefnalegur, meðalhófs hafi verið gætt við notkun eftirlitsmyndavélakerfisins og það hafi ekki verið nýtt til verkstýringar starfsmanna eða til eftirlits með vinnuskilum. Verslunarstjóri hvers veitingastaðar hafi aðgang að myndefni úr eftirlitsmyndavélum viðkomandi staðar auk tveggja rekstrarstjóra sem aðgang hafi að myndefni allra staða fyrirtækisins. Um myndupptöku án hljóðs sé að ræða en einnig megi fylgjast með myndefni í rauntíma.
Svör Stjörnunnar ehf. bárust Persónuvernd með tveimur bréfum, dags. 9. september 2021 og 13. janúar 2023, þar sem skýringar fyrirtækisins um tilgang vöktunar verslunarstjórans eru misvísandi.
Í fyrra bréfi Stjörnunnar ehf. er háttsemi verslunarstjórans skýrð sem mistök og að hann hafi farið út fyrir yfirlýstan tilgang vöktunarinnar og nýtt myndefnið til þess að fylgjast með vinnuskilum starfsmanna án samþykkis eða vitundar forsvarsmanna fyrirtækisins. Strax hafi verið brugðist við til að koma í veg fyrir að slíkt endurtæki sig.
Í síðara bréfi fyrirtækisins er því alfarið hafnað að yfirmaður kvartanda hjá Subway […] hafi fylgst með starfsfólki í rauntíma í gegnum eftirlitsmyndavélakerfi veitingastaðarins með reglubundnum hætti og gert athugasemdir við vinnulag þess og háttsemi. Er fullyrt að um einstakt tilvik hafi verið að ræða þar sem verslunarstjórinn hafi skoðað efni eftirlitsmyndavélakerfisins umræddan dag af ótta við að brauðin væru að klárast. Heldur Stjarnan ehf. því fram að um gæðaeftirlit verslunarstjórans hafi verið að ræða en ekki vöktun með starfsfólki. Við það eftirlit hafi hann tekið eftir að röð hefði myndast í afgreiðslu veitingastaðarins. Fimm mínútum síðar hafi staðan verið óbreytt og hafi hann þá hringt á starfsstöðina og óskað eftir að kvartandi, sem hafi verið staddur á hvíldarsvæði, færi einnig fram að afgreiða viðskiptavini. Þar sem kvartandi hafi viljað ræða málin frekar hafi verið brugðið á það ráð að fara með kvartanda í gegnum myndavélaupptökurnar.
Stjarnan ehf. hafnar því einnig að brotin hafi staðið yfir frá júní 2020 til maí 2021 eins og kvartandi byggir á. Þá hafnar Stjarnan ehf. því að eftirlit eins og hér um ræðir sé viðhaft á öllum Subway-stöðum fyrirtækisins enda um einstakt gáleysisbrot verslunarstjóra Subway […] að ræða. Þá kemur fram í svörum Stjörnunnar ehf. að umrætt atvik hafi átt sér stað 1. maí 2021 sem hafi verið síðasti dagur kvartanda hjá fyrirtækinu en fyrir atvikið hafi hann sjálfur óskað eftir að láta af störfum.
Hvað fræðsluskyldu ábyrgðaraðila varðar segir í skýringum Stjörnunnar ehf. að þar sem ekki hafi verið um kerfisbundna söfnun upplýsinga að ræða hafi ekki verið horft til fræðsluskyldu umfram það að settar væru upp merkingar um eftirlitsmyndavélarnar á veitingastöðum fyrirtækisins. Hins vegar hafi í kjölfar máls þessa orðið ljóst að bæta þyrfti fræðslu starfsmanna og útbúa viðunandi skjöl. Í kjölfar kvörtunarinnar hafi verið brugðist við með því að uppfæra merkingar, upplýsingar og fræðslu um vöktunina og hún hafi m.a. verið sett á þjálfunarlista nýrra starfsmanna.
Líkt og fram hefur komið óskaði Persónuvernd eftir að Stjarnan ehf. sendi stofnuninni afrit af vinnsluskrá fyrirtækisins. Í svörum Stjörnunnar ehf. var því hins vegar lýst að fyrirtækið hefði ekki haldið skrá yfir vinnslustarfsemi sína þar sem það hefði talið fjölda starfsmanna undir viðmiðunarmörkum.
Með bréfi, dags. 25. nóvember 2022 veitti Persónuvernd Stjörnunni ehf. andmælarétt vegna fyrirhugaðrar álagningar stjórnvaldssektar. Var fyrirtækinu sérstaklega boðið að koma á framfæri skýringum sínum og andmælum um upptalningu 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, þ.e. á þeim atriðum sem tillit er tekið til við ákvörðun Persónuverndar um hvort leggja skuli á stjórnvaldssekt og hver fjárhæð hennar skuli vera. Um skýringar Stjörnunnar ehf. vísast til þess sem fram kemur hér að framan.
II.
Forsendur og niðurstaða
1.
Afmörkun – Ábyrgðaraðili
Mál þetta afmarkast við vinnslu persónuupplýsinga við rafræna vöktun á veitingastaðnum Subway […] og kemur því ekki til skoðunar, að svo stöddu, rafræn vöktun og vinnsla persónuupplýsinga á öðrum Subway-veitingastöðum Stjörnunnar ehf.
Rafræn vöktun er vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði, sbr. 9 tölul. 3. gr. laga nr. 90/2018. Hugtakið tekur til vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga og sjónvarpsvöktunar sem fram fer með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.
Mál þetta lýtur að rafrænni vöktun með eftirlitsmyndavélum á veitingastaðnum Subway […]. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Stjarnan ehf. vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
2.1
Lagaumhverfi
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins, að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðisins, og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins.
Atvik máls þessa áttu sér stað í gildistíð reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Reglur nr. 837/2006 hafa nú verið leystar af hólmi með reglum nr. 50/2023 um rafræna vöktun sem geyma hliðstæð ákvæði og hinar eldri reglur. Þar sem atvik þau er hér eru til skoðunar urðu í gildistíð eldri reglnanna verður á þeim byggt í úrskurði þessum en fyrirmæli, sbr. kafla hér á eftir, eru veitt samkvæmt hinum nýju reglum í samræmi við almennar reglur um lagaskil.
2.2
Rafræn vöktun á Subway […]
Rafræn vöktun er ávallt háð því að hún fari fram í málefnalegum tilgangi, sbr. 1. mgr. 14. gr. laga nr. 90/2018, og uppfylli eitthvert heimildarákvæða 9. gr. laganna og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Almennt hefur verið talið að vöktun í þágu öryggis- og eignavörslu sé heimil að nánari skilyrðum laganna uppfylltum og að hún geti stuðst við 6. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
Það er hlutverk ábyrgðaraðila að ákveða lögmætan og málefnalegan tilgang vinnslu persónuupplýsinga og að tryggja að þær séu unnar með lögmætum hætti og eingöngu í skýrt tilgreindum tilgangi, sbr. 1. og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a- og b- lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Til að vinnsla persónuupplýsinga sé lögmæt þarf tilgangur hennar og vinnsluheimild að liggja fyrir áður en vinnsla hefst. Þá ber ábyrgðaraðili ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679 og skal geta sýnt fram á það.
Samkvæmt misvísandi svörum Stjörnunnar ehf. var tilgangur vinnslunnar ýmist sagður í þágu öryggis- og eignavörslu eða gæðaeftirlits. Í bréfi sínu, dags. 9. september 2021, hefur Stjarnan ehf. þó viðurkennt að um mistök verslunarstjórans hafi verið að ræða og að hann hafi farið út fyrir yfirlýstan tilgang vöktunarinnar og nýtt myndefnið til þess að fylgjast með starfsfólki sínu án samþykkis eða vitundar forsvarsmanna veitingastaðarins. Einnig hefur komið fram að gripið hafi verið til úrræða til að koma í veg fyrir að sambærilegt atvik endurtaki sig. Í síðara bréfi Stjörnunnar ehf. til Persónuverndar, dags. 13. janúar 2023, voru athafnir verslunarstjórans í umrætt sinn skýrðar sem gæðaeftirlit. Af skýringum Stjörnunnar ehf., hvort heldur sem tillit er tekið til fyrri eða síðari skýringa hennar, er ljóst að skoðun verslunarstjórans á myndefni úr eftirlitsmyndavélunum fellur ekki undir yfirlýstan tilgang vöktunarinnar hjá fyrirtækinu, þ.e. öryggis- og eignavörslu.
Þá liggur fyrir að í umrætt sinn skoðaði verslunarstjórinn efni eftirlitsmyndavéla staðarins í tvígang á fimm mínútna tímabili, tók skjáskot og skráði við myndirnar athugasemdir sínar við verklag og hegðun kvartanda við vinnu sína. Að framangreindu virtu fól umrædd skoðun í sér að verslunarstjórinn fylgdist með vinnuframlagi starfsmanns. Telst slík vöktun vera vöktun með vinnuskilum sem er eingöngu heimil í ákveðnum tilvikum, svo sem ef ekki er unnt að koma við verkstjórn með öðrum hætti, ef slík vöktun er nauðsynleg vegna ákvæða kjarasamnings eða annars konar samkomulags um launakjör, einkum þegar laun eru byggð á afkastatengdu, tímamældu launakerfi, eða ef án vöktunarinnar er ekki unnt að tryggja öryggi á viðkomandi svæði, svo sem í ljósi laga og sjónarmiða um hollustuhætti og mengunarvarnir, sbr. 6. gr. reglna nr. 837/2006.
Rafræn vöktun verður ávallt að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, svo sem í þágu öryggis eða eignavörslu, sbr. 4. gr. reglna nr. 837/2006 en einnig 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Þá skal þess gætt við alla rafræna vöktun að ganga ekki lengra en brýna nauðsyn ber til miðað við þann tilgang sem að er stefnt. Skal gæta þess að virða einkalífsrétt þeirra sem sæta vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Við ákvörðun um hvort viðhafa skuli rafræna vöktun skal því ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum, sbr. 5. gr. sömu reglna. Stjarnan ehf. hefur ekki sýnt fram á að skilyrði fyrir vöktun með vinnuskilum hafi verið uppfyllt, sbr. 6. gr. reglna nr. 837/2006. Þá hefur Stjarnan ehf. ekki sýnt fram á að gæðaeftirlit hafi verið yfirlýstur tilgangur með vöktuninni eða að markmiðum gæðaeftirlits verði ekki náð með öðrum og vægari úrræðum. Telst framangreindur tilgangur því ekki hafa verið yfirlýstur, skýr eða málefnalegur, sbr. 1. mgr. 14. gr. og 4. gr. reglna nr. 837/2006 en einnig 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Að framangreindu virtu stóð ekki heimild til vinnslunnar samkvæmt 9. gr. og 1. mgr. 14. gr. laga nr. 90/2018, sbr., einnig 1. mgr. 6. gr. reglugerðar (ESB) 2016/679) og 4. gr. reglna nr. 837/2006 enda uppfyllti Stjarnan ehf. ekki kröfur sérákvæðis um vöktun með vinnuskilum, sbr. 6. gr. reglnanna. Þá telur Persónuvernd að koma hefði mátt við vægari raunhæfum úrræðum við gæðaeftirlit, svo sem með staðbundinni verkstjórn. Þegar af þeirri ástæðu er það mat Persónuverndar að rafræn vöktun Stjörnunnar ehf., eins og hér háttar til, hafi ekki samrýmst lögum nr. 90/2018, sbr. reglugerð (ESB) 2016/679, og reglum nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.
Persónuvernd gerir ekki athugasemd við að Stjarnan ehf. notist við rafræna vöktun í þágu þess yfirlýsta tilgangs með vöktuninni að tryggja öryggi og eignavörslu, að ákvæðum laganna, reglugerðarinnar og reglunum uppfylltum.
2.3
Gagnsæi, fræðsla og merkingar
Í kvörtun er vikið að því að kvartandi hafi ekki, sem starfsmaður Subway […], fengið sérstaka fræðslu um þá rafrænu vöktun sem fram fór á starfsstöð hans.
Persónuupplýsingar skulu unnar með sanngjörnum og gagnsæjum hætti gagnvart skráðum einstaklingum, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Krafan um sanngjarna og gagnsæja vinnslu persónuupplýsinga felur meðal annars í sér að einstaklingum á að vera ljóst þegar persónuupplýsingum um þá er safnað, þær notaðar, skoðaðar eða unnar á annan hátt. Einnig á þeim að vera ljóst að hvaða marki persónuupplýsingar eru eða munu vera unnar. Hvers kyns upplýsingar og samskipti, sem tengjast vinnslunni, skulu jafnframt vera auðveldlega aðgengileg og á auðskiljanlegu og skýru máli. Á þetta einkum við um upplýsingar til skráðra einstaklinga um meðal annars hver ábyrgðaraðilinn er og tilgangurinn með vinnslunni. Þá skal gera einstaklingum ljósa áhættu, reglur, verndarráðstafanir og réttindi í tengslum við vinnslu persónuupplýsinga og hvernig þeir geta neytt réttar síns í tengslum við vinnsluna.
Um rafræna vöktun gilda auk þess almennar kröfur um fræðslu um vinnslu persónuupplýsinga, sbr. einkum 13. gr. reglugerðar (ESB) 2016/679 og 2. mgr. 17. gr. laga nr. 90/2018, um fræðsluskyldu gagnvart starfsmönnum. Af ákvæðunum leiðir að veita ber fræðslu áður en hlutaðeigandi einstaklingur sætir vöktun og þarf hún að gefa skýra mynd af vöktuninni, þ. á m. tilgangi hennar, hvernig hún fari fram, hvernig aðgangi að vöktunarefni sé háttað og hversu lengi það sé varðveitt, sbr. 10. gr. reglna nr. 837/2006, sbr. nú 8. gr. reglna nr. 50/2023. Persónuvernd hefur gefið út leiðbeiningar og sniðmát fyrir merkingar vegna rafrænnar vöktunar sem byggjast á leiðbeiningum Evrópska persónuverndarráðsins nr. 3/2019 um rafræna vöktun og merkingar vegna hennar.
Í 4. mgr. 14. gr. laga nr. 90/2018 er jafnframt mælt fyrir um að þegar rafræn vöktun fari fram á vinnustað eða á almannafæri skuli með merki eða á annan áberandi hátt gera glögglega viðvart um vöktunina og hver sé ábyrgðaraðili hennar.
Af gögnum málsins má ráða að kvartandi hafi ekki hlotið fullnægjandi fræðslu um vöktunina eða hver réttur hans væri vegna hennar. Í skýringum Stjörnunnar ehf. varðandi fræðslu kemur fram að fyrirtækið hafi talið uppsetningu merkja um vöktunina fullnægja skilyrðum laganna.
Með svörum Stjörnunnar ehf. fylgdu myndir af merkingum á veitingastaðnum Subway […]. Á merkingunum, sem eru staðsettar við og á hurðum staðarins, stendur „CCTV myndeftirlitskerfi Securitas“. Ekki kemur fram á merkingunum hver ábyrgðaraðili vöktunarinnar er líkt og kveðið er á um í 4. mgr. 14. gr. laga nr. 90/2018.
Af framangreindu virtu er ljóst að Stjarnan ehf. rækti ekki fræðsluskyldu sína gagnvart kvartanda samkvæmt 17. gr. laga nr. 90/2018, sbr. einnig 12.-13. gr. reglugerðarinnar og 10. gr. þágildandi reglna nr. 837/2006. Auk þess uppfylltu merkingar Stjörnunnar ehf. um rafræna vöktun ekki skilyrði 4. mgr. 14. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Þegar af þeirri ástæðu gat vinnslan ekki uppfyllt kröfur 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 um að hún færi fram með sanngjörnum og gagnsæjum hætti gagnvart kvartanda.
Það er því niðurstaða Persónuverndar að vöktunin samrýmdist ekki lögum nr. 90/2018 og reglugerð (ESB) 2016/679.
3.
Vinnsluskrá
Í tengslum við rannsókn málsins kom í ljós að Stjarnan ehf. hélt ekki vinnsluskrá um starfsemi sína. Persónuvernd áréttar að þegar fyrirtæki vinna með viðkvæmar persónuupplýsingar starfsmanna sinna, svo sem um stéttarfélagsaðild, eða þegar vinnslan telst ekki tilfallandi, skulu þau halda skrá yfir vinnslustarfsemi sína til samræmis við 26. gr. laga nr. 90/2018 og 30. gr. reglugerðar (ESB) 2016/679. Eins og hér háttar til verður í III. hluta úrskurðar þessa, þar sem fjallað er um beitingu viðurlaga, hins vegar ekki talin þörf á að líta til athafnaleysis Stjörnunnar ehf. vegna framangreinds.
4.
Fyrirmæli
Með vísan til alls framangreinds og með heimild í 4., 6. og 7. tölul. 42. gr. laga nr. 90/2018, sbr. d-, f- og g-lið 2. mgr. 58. gr. reglugerðarinnar, er hér með lagt fyrir Stjörnuna ehf. að eyða öllum skjáskotum af kvartanda við vinnu sína, séu slík skjáskot til og varðveitt hjá fyrirtækinu eða starfsmönnum þess. Einnig skal Stjarnan ehf. færa merkingar og fræðslu til samræmis við lög nr. 90/2018, reglugerð (ESB) 2016/679 og núgildandi reglur nr. 50/2023 um rafræna vöktun. Þar á meðal með því að skrá og fræða starfsmenn sína um tilgang umræddrar vöktunar og réttindi þeirra vegna hennar.
Þá er auk þess lagt fyrir Subway að útbúa og halda skrá yfir vinnslustarfsemi sína til samræmis, sbr. 26. gr. laga nr. 90/2018 og 30. gr. reglugerðar (ESB) 2016/679.
Skal Persónuvernd berast staðfesting á því að þessum fyrirmælum hafi verið fylgt, ásamt afriti af merkingum, fræðsluefni og vinnsluskrá, eigi síðar en 12. apríl 2024.
III.
Beiting viðurlaga
1.
Sjónarmið við beitingu viðurlaga
Að öllu framangreindu virtu kemur til skoðunar hvort leggja skuli stjórnvaldssekt á Stjörnuna ehf. á grundvelli 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679. Eins og fram kemur í 1. mgr. 46. gr. laganna getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila eða vinnsluaðila samkvæmt 4. mgr. ákvæðisins sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar og laganna sem talin eru upp í 2. og 3. mgr. þess.
Nánar tiltekið kemur hér til skoðunar hvort sekta beri Stjörnuna ehf. fyrir brot gegn a-c-liðum 1. mgr. 5. gr., 6. gr. og 12. og 13. gr. reglugerðar (ESB) 2016/679, sbr. sektarheimild í 1. og 2. tölul. 3. mgr. 46. gr. laga nr. 90/2018 og a- og b-liðum 5. mgr. 83. gr. reglugerðarinnar.
Við ákvörðun um álagningu og fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag. Með hliðsjón af þessum ákvæðum og málsatvikum öllum telur Persónuvernd að eftirfarandi atriði hafi helst áhrif á mat við ákvörðun um stjórnvaldssekt í þessu máli:
a. Hvers eðlis, hversu alvarlegt og hversu langvarandi brotið er
Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679), ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brotið var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir.
Í þessu sambandi skal tekið fram að málið tekur aðeins til starfsstöðvar Subway […] og er ljóst að vöktun þar tekur til tiltölulega fárra einstaklinga. Jafnframt liggur ekki fyrir að tjón hafi orðið vegna umræddrar vinnslu þótt ekki sé hægt að útiloka það með hliðsjón af þeim svörum kvartanda að vöktunin hafi valdið honum verulegri vanlíðan sem m.a. hafi leitt til þess að hann hafi hætt störfum hjá fyrirtækinu. Ekki liggur þó fyrir að kvartandi hafi orðið fyrir beinu tjóni vegna vöktunarinnar.
Af hálfu kvartanda hefur komið fram að vöktun með vinnuskilum hans hafi staðið yfir allan tímann sem hann starfaði á Subway […], eða í um eitt ár. Af svörum Stjörnunnar ehf. og gögnum málsins er ekki hægt að útiloka að brotin hafi átt sér stað lengur. Þótt leiða megi líkur að því, með vísan til málsgagna, að vöktunin hafi staðið yfir með sambærilegum hætti í lengri tíma verður það ekki fullyrt svo að víst sé og því verður við sektarákvörðun miðað við að um eitt sannað tilvik hafi verið að ræða þar sem vöktun tók til vinnuskila. Þá liggur ekki fyrir hvort vöktun fari fram með slíkum hætti á öðrum starfstöðvum fyrirtækisins. Það hefur hins vegar vægi að vinnsla vegna vöktunar með vinnuskilum fól í sér íþyngjandi eftirlit með viðkomandi starfsmanni og telst það vera Stjörnunni ehf. í óhag.
b. Huglæg afstaða
Samkvæmt 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvort brot hafi verið framið af ásetningi eða gáleysi.
Stjarnan ehf. hefur haldið því fram að um gáleysisbrot hafi verið að ræða þegar verslunarstjórinn skoðaði upptekið efni af kvartanda og að hann hafi verið að viðhafa gæðaeftirlit. Hvað það snertir skal tekið fram að um langt skeið hafa verið í gildi reglur um hvernig rafrænni vöktun á vinnustöðum má vera háttað og að yfirmönnum þar ætti almennt að vera það kunnugt. Jafnvel þótt þeir viti ekki að sérstaklega er fjallað um vöktun með vinnuskilum í slíkum reglum mætti ætla að í aðdraganda notkunar myndefnis eins og hér um ræðir kynnu að vakna upp spurningar um heimildir í þeim efnum, óháð því hvort litið sé á notkunina sem einhvers konar gæðaeftirlit. Þá er það á ábyrgð fyrirtækja að veita starfsmönnum, sem hafa aðgang að vöktunarefni, fræðslu um hvernig nýta má þann aðgang.
Í ljósi framangreinds má telja það ámælisvert gáleysi að myndefni úr eftirlitsmyndavélum Stjörnunnar ehf. […] hafi verið notað með þeim hætti sem raun ber vitni. Ekki verður hins vegar fullyrt að um ásetning til brots hafi verið að ræða, en engu að síður verður huglæg afstaða þegar brot átti sér stað talin hafa íþyngjandi áhrif í máli þessu.
c. Umfang samvinnu við Persónuvernd
Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess.
Fyrir liggur í máli þessu að svör Stjörnunnar ehf. voru misvísandi varðandi þá þætti sem Persónuvernd óskaði sérstaklega upplýsinga um. Er það litið alvarlegum augum og metið til íþyngjandi þáttar í málinu.
2.
Niðurstaða um álagningu og fjárhæð sektar
Eins og rakið er í kafla II.2 í úrskurði þessum, sbr. einnig kafla I.1 hér að framan, braut Stjarnan ehf. gegn a-c-liðum 1. mgr. 5. gr., 6. gr. og 12. og 13. gr. reglugerðar (ESB) 2016/679. Fram kemur í 1. og 2. tölul. 3. mgr. 46. gr. laga nr. 90/2018, sbr. a- og b-liði 5. mgr. 83. gr. reglugerðarinnar, að brot gegn þessum ákvæðum geta varðað stjórnvaldssektum. Með vísan til þessa og að öllu framangreindu virtu hefur Persónuvernd nú ákveðið að leggja slíka sekt á fyrirtækið.
Við ákvörðun sektarfjárhæðar ber sérstaklega að líta til þess að vinnsla vegna vöktunar með vinnuskilum fól í sér íþyngjandi eftirlit með viðkomandi starfsmanni, að notkun vöktunarefnis í þágu slíks eftirlits fól í sér ámælisvert gáleysi og að fyrirtækið veitti misvísandi skýringar við meðferð málsins, en auk þess liggur fyrir að velta fyrirtækisins er fremur há, eða 1.914.694.436 krónur samkvæmt síðasta birtum ársreikningi, þ.e. fyrir árið 2022. Jafnframt verður hins vegar að líta til þess að miðað við gögn málsins fór vöktun í umræddum tilgangi aðeins fram á einni starfsstöð fyrirtækisins, að vöktun þar tók til tiltölulega fárra einstaklinga, að ekki liggur fyrir beint tjón vegna vöktunarinnar og að um ræddi eitt sannað tilvik þar sem vöktun tók til vinnuskila.
Með tilliti til þessara sjónarmiða, svo og með hliðsjón af fyrri úrskurðum Persónuverndar um rafræna vöktun, þykir stjórnvaldssekt vera hæfilega ákveðin 1.500.000 króna og skal hún greidd innan mánaðar frá dagsetningu þessa úrskurðar, sbr. 6. mgr. 46. gr. laga nr. 90/2018.
Ú r s k u r ð a r o r ð:
Rafræn vöktun Stjörnunnar ehf. á veitingastaðnum Subway […] samrýmdist ekki 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, um heimildir fyrir vinnslu persónuupplýsinga; meginreglu 1. tölul. 1. mgr. 8. gr. laganna, sbr. einnig a-lið 1. mgr. 5. gr. reglugerðarinnar, um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða; meginreglu 2. tölul. 1. mgr. 8. gr. laganna, sbr. b-lið 1. mgr. 5. gr. reglugerðarinnar, um að persónuupplýsingar skuli fengnar í skýrt tilgreindum og lögmætum tilgangi og ekki unnar frekar á þann hátt að ósamrýmanlegt sé þeim tilgangi, sbr. einnig 1. mgr. 14. gr. laganna og 4. gr. reglna nr. 837/2006; meginreglu 3. tölul. 1. mgr. 8. gr. laganna, sbr. einnig c-lið 1. mgr. 5. gr. reglugerðarinnar, um að persónuupplýsingar skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. einnig 5. gr. reglna nr. 837/2006; ákvæði 4. mgr. 14. gr. laganna um að gera skuli glögglega viðvart um vöktun og hver sé ábyrgðaraðili hennar með merki eða á annan hátt; og 1. og 2. mgr. 17. gr. laganna og 10. gr. reglna nr. 837/2006, sbr. 12.-13. gr. reglugerðarinnar, um fræðsluskyldu ábyrgðaraðila.
Lögð er á 1.500.000 króna stjórnvaldssekt á Stjörnuna ehf. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu úrskurðar þessa, sbr. 6. mgr. 46. gr. laga nr. 90/2018.
Í samræmi við þessa niðurstöðu, og með vísan til 4., 6. og 7. tölul. 42. gr. laga nr. 90/2018 og d-, f- og g-liðar 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir Stjörnuna ehf. að eyða skjáskotum af kvartanda, að setja upp upp merkingar um rafræna vöktun í sölustöðum Subway til samræmis við 4. mgr. 14. gr. laga nr. 90/2018 og 8. gr. reglna nr. 50/2023 um rafræna vöktun. Að því marki sem merkingar geyma ekki upplýsingar um þau atriði sem upplýsa ber skráða einstaklinga um, þ. á m. starfsmenn skv. 13. gr. reglugerðar (ESB) 2016/679 skal Stjarnan ehf., veita þær á annan hátt, svo sem á vefsíðu sinni og í ráðningarsamningi. Þá er lagt fyrir Stjörnuna ehf. að útbúa og halda skrá yfir vinnslustarfsemi sína til samræmis við lögin og reglugerðina.
Stjarnan ehf. skal senda Persónuvernd staðfestingu á því að framangreindum fyrirmælum hafi verið fylgt, ásamt afriti af merkingum og öðru fræðsluefni auk vinnsluskrár, eigi síðar en 12. apríl 2024.
Persónuvernd, 12. mars 2024
Ólafur Garðarsson
formaður
Árnína Steinunn Kristjánsdóttir Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson