Persónuvernd
Rafrænt eftirlit
Rafræn vöktun
Rafræn vöktun t.d. með eftirlitsmyndavélum, vefmyndavélum, ökuritum, staðsetningarbúnaði eða símvöktunarbúnaði á sér stað víða í okkar samfélagi. Í slíkri vöktun felst að eftirlit er haft með einstaklingum með fjarstýrðum eða sjálvirkum búnaði, annaðhvort á almannafæri eða á svæði þar sem takmarkaður hópur fólks fer um að jafnaði.
Hugtakið sem slíkt tekur því til vöktunar sem leiðir eða á að leiða til vinnslu persónuupplýsinga og vöktunar sem fer fram með myndavélum eða öðrum samsvarandi búnaði, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.
Markmið reglna nr. 50/2023 um rafræna vöktun er því að stuðla að jafnvægi á milli einkalífsréttar og hagsmuna ábyrgðaraðila rafrænu vöktunarinnar sem felast í því að tryggja öryggi og hafa eðlilegt eftirlit með starfsmönnum og öðrum sem sæta slíkri vöktun.
Rafræn vöktun er aðeins heimil að uppfylltu því skilyrði að hún fari fram í skýrt tilgreindum, lögmætum og málefnalegum tilgangi, t.d. í þágu öryggis eða eignavörslu. Að auki er vöktun svæðis sem takmarkaður hópur fólks fer að jafnaði um, háður því skilyrði að hennar sé sérstök þörf, t.d. vegna eðlis þeirrar starfsemi sem fer þar fram.
Af þessu leiðir að þegar tekin er ákvörðun um að viðhafa rafræna vöktun skal ávallt hafa í huga hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum. Þá skal sérstaklega gætt að því að ekki sé gengið lengra en nauðsynlegt er, miðað við þann tilgang sem að er stefnt með vöktuninni. Virða skal einkalífsrétt þeirra sem sæta vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Þetta á m.a. við þegar tekin er ákvörðun um hvort viðhafa skuli rafræna vöktun, um umfang hennar, vinnslu persónuupplýsinga sem verða til við hana, aðgang að þeim og varðveislutíma þeirra.
Sú vinnsla persónuupplýsinga sem á sér stað við rafræna vöktun skal uppfylla ákvæði laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga og ákvæði reglugerðar Evrópuþingsins og ráðsins nr. 2016/679.
Í tengslum við framkvæmd rafrænnar vöktunar er heimilt að safna efni sem verður til við vöktunina, t.d. hljóð- og myndefni, með viðkvæmum persónuupplýsingum og upplýsingum um refsiverða háttsemi ef efninu er eytt þegar ekki er lengur málefnaleg ástæða til varðveislu þess og eftirfarandi skilyrði eru uppfyllt:
Að vöktunin sé nauðsynleg og fari fram í öryggis- og eignavörsluskyni. Það efni sem verður til við vöktunina verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptakan er af eða á grundvelli þess að mælt sé fyrir um miðlunina í lögum, upplýsingarnar varði slys eða meintan refsiverðan verknað, til afmörkunar eða framsetningu og varnar kröfu vegna dómsmáls eða annarra laganauðsynja eða þegar ákvörðun Persónuverndar um heimild til miðlunar persónuupplýsinganna liggur fyrir.
Þeim sem viðhefur rafræna vöktun er skylt að gera viðvart um að rafræn vöktun fari fram. Slíkt skal gert þannig að einstaklingum sem sæta vöktuninni sé það ljóst áður en þeir koma inn á vaktað svæði eða vöktun hefst, að vöktun sé viðhöfð og hver sé ábyrgðaraðili hennar. Slík viðvörun skal einnig innihalda upplýsingar um hvar megi nálgast nánari fræðslu um vöktunina og rafrænan tengil á slíka fræðslu. Þá er einnig skylt að kynna sérstaklega, þeim hópum fólks sem fara um hið vaktaða svæði, með sannanlegum hætti þær upplýsingar sem ber að veita vegna vöktunarinnar.
Samantekt
Ábyrgðaraðili rafrænnar vöktunar ber fræðsluskyldu gagnvart þeim skráðu. Tilgangurinn þarf að vera skýr, lögmætur og málefnalegur. Áður en til vöktunarinnar kemur þarf að hafa verið gengið úr skugga um hvort unnt hafi verið að ná markmiðinu með vöktuninni með öðrum og vægari raunhæfum úrræðum. Við vöktunina skal þess gætt að ekki sé gengið lengra en brýna nauðsyn ber til miðað við tilganginn sem að er stefnt. Þá ber að geta þess að Persónuvernd getur skv. 1. mgr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) nr. 2016/679 lagt stjórnvaldssekt á hvern þann ábyrgðaraðila eða vinnsluaðila, skv. 4. mgr. ákvæðisins, sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. ákvæðisins. Um fjárhæð stjórnvaldssektar vegna slíkra brota er farið eftir 3. mgr. 46. gr. laga nr. 90/2018, sbr. 5. mgr. 83. gr. reglugerðar (ESB) nr. 2016/679. Stjórnvaldssektir skv. 3. mgr. ákvæðisins geta numið frá 100 þúsund kr. til 2,4 milljarða kr. eða ef um er að ræða fyrirtæki allt að 4% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra.
úrlausnir
Í úrskurði sínum um kvörtun yfir notkun á ökurita í bifreið hjá Íslandspósti í máli nr. 2022050836 komst Persónuvernd að þeirri niðurstöðu að vinnsla Íslandspósts á persónuupplýsingum kvartanda í aðdraganda uppsagnar hans hafi ekki samrýmst upphaflegum tilgangi með notkun ökuritans. Þá hafði kvartandi ekki fengið lögbundna fræðslu um breyttan tilgang með notkun ökuritans áður en vinnslan átti sér stað. Notkun ökurita í bifreiðum sem starfsmenn fyrirtækja hafa til afnota þarf að samræmast skýrt tilgreindum og yfirlýstum tilgangi þeirra. Ef tilgangurinn breytist ber viðkomandi fyrirtæki að fræða starfsfólk sitt um breyttan tilgang áður en vinnsla persónuupplýsinga á sér stað.
Í úrskurði sínum um kvörtun yfir notkun eftirlitsmyndavéla innan og utan bygginga Háskóla Íslands í máli nr. 2021020431 komst Persónuvernd að þeirri niðurstöðu að merkingar á gluggum innganga tilgreindra bygginga væru með þeim hætti að einstaklingum sem sæta eigi vöktuninni geti ekki verið ljóst að vöktun sé viðhöfð áður en þeir koma inn á vaktað svæði eða vöktun hefst. Inngangarnir eru allir innan sjónsviðs eftirlitsmyndavélanna. Það sama átti við um merkingar á útisvæðum, þær eru ekki staðsettar þannig að einstaklingum sem eigi að sæta vöktun sé ljóst, áður en þeir koma inn á vaktað svæði eða vöktun hefst, að vöktunin sé viðhöfð. Þá voru ekki veittar aðrar upplýsingar en að rafræn vöktun færi fram auk þess sem ekki var ljóst á hverra vegum vöktunin væri en af þessu leiddi að lögbundin fræðsla var ófullnægjandi. Í ljósi umfangs eftirlitsmyndavélakerfisins, fjölda hinna skráðu og tímalengd brots var HÍ sektaður um 1.500.000 kr.
Ferlið
Ef vöktun er hafin, hafa þá samband við okkur og fá aðstoð við að uppfylla kröfur laganna og reglugerðarinnar.
Hafa einkalífsverndina ávallt í huga og viðhafa eins lítið eftirlit og mögulegt er miðað við aðstæður hverju sinni.
Fá ráðgjöf og eftir atvikum námskeið um persónuvernd fyrir starfsfólk.
Niðurstaðan
Þrátt fyrir að ákvæði persónuverndarlaganna og reglugerðarinnar líti út fyrir að vera flókin, óskýr og tormelt þá eru markmið þeirra og tilgangur skýr. Markmiðið er farið sé með persónuupplýsingar til samræmis við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs ásamt því að tryggja áreiðanleika og gæði slíkra upplýsinga og frjálst flæði þeirra á innri markaði Evrópska efnahagssvæðisins. Af því leiðir að allir sem viðhafa rafræna vöktun af einhverju tagi ættu að leita sér ráðgjafar um það hvort þeir uppfylli þær kröfur og skyldur sem á þá eru lagðar skv. lögunum og reglugerðinni til verndar hinum skráðu.
Verðdæmi
Ráðgjöf vegna rafrænnar vöktunar
Mjög misjafnt getur verið hvernig einstaklingar og fyrirtæki viðhafa rafræna vöktun. En raunhæft er að gera ráð fyrir að til þess að uppfylla skilyrði laganna þar um geti kostnaður við slíka ráðgjöf eftir atvikum verið frá 100.000 kr. án vsk.
skrifstofutímar
Alla virka daga frá – 09:00 til 17:00.
Bóka þarf tíma með tölvupósti.
FBG ráðgjöf ehf.
kt.: 450917-0440
Vsk.: 129215
Hafa samband
Heimilisfang: Súðarvogur 2E.
Sími: 779-0900
Netfang: fbg@fbg.is