FBG ráðgjöf ehf.
Eftirlitsmyndavélar
Kröfur persónuverndarlaga
Í mjög svo tæknivæddu samfélagi okkar í dag þykir það sjálfsagt mál að nýta tæknina til hins ýtrasta. Færa mætti rök fyrir því að hvert sem við förum, í hvaða erindagjörðum sem er, þá séum við undir rafrænu eftirliti eftirlitsmyndavéla.
En vitum við, sem eftirlitið beinist að, í hvaða tilgangi slíkt eftirlit er og vitum við eitthvað hverjir það eru sem fylgjast með okkur og hvað verður um myndefnið?
Rafræn vöktun er alltumlykjandi í þjóðfélagi okkar í dag, sama hvað okkur kann að finnast um það, eða hvað? Nei, okkur eru tryggð ákveðin grundvallarréttindi í lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, reglugerð Evrópuþingsins og ráðsins 2016/679 og reglum nr. 50/2023 um rafræna vöktun, sem settar eru með stoð í persónuverndarlögum.
En hvað höfum við að gera með grundvallarréttindi ef við hvorki þekkjum þau né virðum þau? Hvað með þá sem beina eftirlitinu að okkur? Virða þeir grundvallarréttindi þeirra sem eftirlitið beinist að? Í meistararitgerð minni, í lögfræði við Háskólann á Bifröst, sem ber heitið ,,Notkun ábyrgðaraðila á eftirlitsmyndavélum og kröfur persónuverndarlaga þar að lútandi” komst ég að þeirri niðurstöðu að ábyrgðaraðilar brjóta gegn lögum um persónuvernd og þar með grundvallarréttindum hinna skráðu til einkalífsverndar með því að fara ekki eftir þeim kröfum sem lögin gera til þeirra um fræðslu til handa þeim sem eftirlitið beinist að.
En hver skyldi ástæðan vera fyrir því að þeir sem taka ákvörðun um að nýta eftirlitsmyndavélar, eða eftir atvikum annan búnað til rafræns eftirlits, til eftirlits, sem oftast er vegna lögmætra hagsmuna þeirra, en fylgja ekki þeim reglum sem settar hafa verið um slíkt eftirlit?
Einn ábyrgðaraðili sem ég hafði samband við og bauð aðstoð við að setja upp löglegar merkingar og fræðslu sagði einfaldlega ,,Ég hef bara ekki áhuga á því”. Aðrir bera við þekkingarleysi og því að eftirlitsstjórnvaldið Persónuvernd hafi ekki leiðbeint og leiðbeini ekki nægilega vel þegar eftir því er leitað. En flestir átta sig fljótt á því að slíkt gengur ekki til lengdar. Ábyrgðin er nefnilega mikil.
Persónuvernd getur lagt stjórnvaldssektir á aðila sem brjóta gegn lögunum en slíkar sektir geta numið frá 100 þúsund kr. til 2,4 milljarða kr. eða ef um er að ræða fyrirtæki (lögaðila) allt að 4% af árlegri heildarveltu fyrirtækisins. Ef við skoðum ársveltu lögaðilans sem sagðist ekki hafa áhuga á því að fylgja lögunum, þá sjáum við að veltan er 302.374.244 kr. á árinu 2023. Sektin gæti því numið rúmum 12 milljónum kr. ef brotið væri alvarlegt og engar málsbætur væru. Hagnaður félagsins var um 10 milljónir kr.
Í úrskurði Persónuverndar í máli nr. 2021020431 frá 6.9.2023 sektaði Persónuvernd Háskóla Íslands um 1.500.000 kr. vegna ófullnægjandi merkinga og fræðslu um að rafrænt eftirlit væri viðhaft. Háskóli Íslands hefur síðan lagfært merkingar og sett upp viðunandi fræðslu.
Í úrskurði Persónuverndar í máli nr. 2021071520 frá 17.10.2023 sektaði Persónuvernd Íþrótta- og sýningahöllina hf. um 3.500.000 kr. vegna rafrænnar vöktunar í Laugardalshöll. Við ákvörðun fjárhæðar sektarinnar var sérstaklega litið til þess að brotið var gegn grundvallarréttindum barna og unnið með viðkvæmar persónuupplýsingar án viðeigandi heimildar auk þess hve vöktunin var umfangsmikil. Laugardalshöll hefur síðan lagfært merkingar og sett upp viðunandi fræðslu.
Í úrskurði Persónuverndar í máli nr. 2021051091 frá 20.3.2024 sektaði Persónuvernd Stjörnuna ehf., rekstraraðila Subway á Íslandi, um 1.500.000 kr. vegna rafrænnar vöktunar. Subway hefur ekki lagfært merkingar né sett upp viðunandi fræðslu, síðast þegar að var gáð.
Eins og framangreint leiðir í ljós, þá er það sérstakt rannsóknarefni af hverju ábyrgðaraðilar eru ekki duglegri að fylgja lögunum og af hverju eftirlitsstjórnvaldið er ekki duglegra að tryggja að þeir geri það. Hugsanlega fer höfundur í það verkefni síðar.
Hvað þarf að gera?
Fyrir þá sem hafa nennt að lesa svona langt, þá er komið að því sem málið snýst um. Hvað þarf eiginlega að gera til þess að uppfylla kröfur persónuverndarlaga vegna rafrænnar vöktunar með eftirlitsmyndavélum?
Ferlið
Þú þarft að setja upp límmiða og/eða skilti áður en sá sem eftirlitið beinist að gengur inn í sjónsvið myndavélarinnar. Þar þarf að koma fram að vöktun sé viðhöfð, hver sé ábyrgðaraðili hennar og hvar megi nálgast viðbótarupplýsingar.
Viðbótarfræðslan - sniðugast er að nota QR kóða og vista hana á vefsíðu þinni - og hafa hana útprentaða t.d. í afgreiðslu. Þessar upplýsingar skulu vera skv. 13. gr. persónuverndarreglugerðarinnar, sbr. 2. mgr. 8. gr. reglna nr. 50/2023 um rafræna vöktun. Þá skal kynna sérstaklega þeim hópum fólks sem að jafnaði fara um hið vaktaða svæði, með sannanlegum hætti, þær upplýsingar sem ber að veita vegna vöktunarinnar skv. 12.-13. gr. persónuverndarreglugerðarinnar. Þetta getur t.d. átt við um starfsfólk, nemendur, eigendur og íbúa fjölbýlishúsa.
Þá þurfa upplýsingar um rafræna vöktun að koma fram í persónuverndarstefnu og vísa þá sérstaklega til viðbótarupplýsinganna sem veittar eru vegna vöktunarinnar.
Ef eitthvað að þessu reynist flókið, þá er ekkert mál að hafa samband við okkur og við leysum málið farsællega fyrir þig, þannig að þitt fyrirtæki, húsfélag eða Teslan uppfylli kröfur persónuverndarlaga.
Hjá okkur færðu bæði límmiða og skilti, sérhannað fyrir þig. Þá útbúum við einnig viðbótarupplýsingarnar og getum vistað þær fyrir þig á okkar vef ef þörf krefur. Ef þig vantar persónvuerndarstefnu og vefkökustefnu, þá græjum við það líka.
Niðurstaðan
Það er ömurlegt að vita til þess að eftirlitsmyndavélar séu misnotaðar t.d. í þeim tilgangi að vakta vinnuskil starfsmanna, sbr. úrskurð Persónuverndar vegna Stjörnunnar. Það eru sniðmát bæði fyrir merkingar og fræðslu á vefsvæði Persónuverndar. Okkar þjónusta og annarra er í boði. Það eru ekki haldbær rök að bera við þekkingarleysi, það þarf bara að ganga í verkið og gerast fyrirmyndar ábyrgðaraðili í Persónuvernd. Við erum til þjónustu reiðubúin.
skrifstofutímar
Daglega frá – 09:00 am til 17:00 pm
FBG ráðgjöf ehf.
Hafa samband
Heimilisfang
779-0900
fbg@fbg.is