Vinnsla persónuupplýsinga í þágu eftirlits hjá Ikea

Mál nr. 2016/1214

30.5.2017

Ákvörðun

 

Þann 18. maí 2017 tók stjórn Persónuverndar eftirfarandi ákvörðun í máli nr. 2016/1214:

 

I.

Málsmeðferð

1.1.

Tildrög máls

Persónuvernd ákvað að hefja frumkvæðisathugun á því hvort vinnsla persónuupplýsinga í þágu eftirlits IKEA með þeim sem sækja verslun fyrirtækisins samrýmdist lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og reglum settum með stoð í þeim. Ákvörðunin var tekin í tilefni af úrskurði Persónuverndar í máli nr. 2016/253, sem kveðinn var upp 23. ágúst 2016, og fjölmiðlaumfjöllun um öryggisráðstafanir og eftirlit á vegum IKEA. Var IKEA tilkynnt um frumkvæðisathugunina með bréfi dagsettu 26. október 2016.

 

1.2.

Bréf Persónuverndar

Í fyrrnefndu bréfi Persónuverndar var þess sérstaklega leitað svara við eftirfarandi spurningum:

 

1.   Hvers konar eftirlit viðhefur IKEA gagnvart þeim einstaklingum sem sækja verslun fyrirtækisins og hver er tilgangur eftirlitsins?

2.   Hvernig eru þær persónuupplýsingar, sem safnast við eftirlit á vegum fyrirtækisins, notaðar?

3.   Hvernig er meðferð upplýsinganna háttað, hverjir hafa aðgang að þeim og hvernig er öryggi upplýsinganna tryggt?

4.   Hvernig samræmist eftirlitið, og sú vinnsla persónuupplýsinga sem því fylgir, ákvæðum 7. gr. laga nr. 77/2000?

5.   Á hvaða heimild í 1. mgr. 8. gr., og eftir atvikum 1. mgr. 9. gr. laga nr. 77/2000 byggist vinnsla persónuupplýsinga í þágu eftirlitsins?

6.   Hvernig sinnir IKEA fræðsluskyldu sinni gagnvart þeim sem eftirlitinu sæta hverju sinni, sbr. 20. og 21. gr. laga nr. 77/2000?

7.   Hvernig er merkingum og viðvörunum háttað þegar um er að ræða rafræna vöktun, svo sem með eftirlitsmyndavélum (sbr. m.a. 24. gr. laga nr. 77/2000), og hversu lengi eru upptökur úr eftirlitsmyndavélum geymdar?

 

Samkvæmt fréttaumfjöllun sumarið 2016 hafði IKEA sett upp innrauða myndavél við aðkomu að versluninni sem skannaði númeraplötur bifreiða og gæfi merki þegar hún næmi þekkt númer hjá fólki sem væri í komubanni í versluninni. Óskaði Persónuvernd þess sérstaklega að IKEA veitti upplýsingar um þá vöktun sem fram færi með myndavélinni. Þá var óskað eftir upplýsingum um staðsetningu vélarinnar og sjónsvið með tilliti til lóðarmarka IKEA; hver væri virkni vélarinnar/kerfisins og hvernig IKEA nýtti upplýsingar um þau bílnúmer sem myndavélin næmi; hvaðan IKEA fengi upplýsingar um bílnúmer þeirra sem væru í komubanni, og eftir atvikum annarra gesta; og á hvaða heimild í 1. mgr. 8. gr. laga nr. 77/2000 öflun upplýsinga um bílnúmer einstaklinga væri byggð.

 

Í sama bréfi var IKEA tilkynnt um að Persónuvernd hefði borist ábending vegna óskalista sem einstaklingar gætu búið til á vefsíðu IKEA, en ábendingin sneri að því að listarnir birtust í niðurstöðum leitarvéla á netinu þegar nafn viðkomandi einstaklinga væri slegið inn. Þá væri óskað eftir að þeir sem byggju til óskalista gæfu upp kennitölu sína við skráninguna. Persónuvernd beindi þeim tilmælum til IKEA að yfirfara skráningarferli vegna óskalistanna með hliðsjón af heimildarákvæðum 1. mgr. 8. gr. laga nr. 77/2000, ákvæði 10. gr. laganna um notkun kennitölu, og 20. gr. þeirra um fræðsluskyldu ábyrgðaraðila þegar persónuupplýsinga er aflað hjá hinum skráða. Óskaði Persónuvernd jafnframt eftir afriti af þeirri fræðslu sem IKEA veitti þeim sem byggju til óskalista á vefsíðu fyrirtækisins.

 

Með bréfi, dags. 19. janúar 2017, óskaði Persónuvernd eftir upplýsingum um hvort verklagi við skráningu á lista IKEA yfir einstaklinga sem taldir voru óæskilegir í versluninni, sem og fræðslu gagnvart hinum skráðu, hefði verið breytt eftir uppkvaðningu fyrrgreinds úrskurðar Persónuverndar frá 23. ágúst 2016. Þá var óskað eftir upplýsingum í tilefni ábendingar um að viðskiptavinir sem fengju lánaðar kerrur hjá IKEA væru beðnir um að gefa upp kreditkortanúmer sitt auk þess sem afrit væri tekið af ökuskírteini þeirra. Óskaði Persónuvernd nánar tiltekið eftir upplýsingum um hvernig varðveislu kortaupplýsinga væri háttað og við hvaða aðstæður þær væru skráðar; á grundvelli hvaða heimildar í 1. mgr. 8. gr. laga nr. 77/2000 það væri gert; hversu lengi kortaupplýsingar og afrit af ökuskírteinum væru varðveitt; og hvernig brugðist væri við beiðnum viðskiptavina um að þessum upplýsingum yrði eytt.

 

1.3.

Svarbréf IKEA

Í svarbréfum Lögmáls ehf. f.h. IKEA, dags. 16. nóvember 2016 og 1. febrúar 2017, kom fram að tilgangur öryggiseftirlits IKEA og skráningar persónuupplýsinga einstaklinga væri einungis að vernda hagsmuni IKEA og Rekstrarfélags Kauptúns gagnvart hugsanlegu ólögmætu athæfi. Tilgangurinn væri skýr og málefnalegur og upplýsingaöflunin væri ætluð til verndar lögmætum hagsmunum, meðal annars hagsmunum IKEA af því að ráða því hverjir gengju um verslunina. Upplýsingarnar einskorðuðust við það sem nægjanlegt væri til að ná fyrrgreindu markmiði.

 

Í öryggisdeild IKEA væru 11 starfsmenn sem sinntu öryggisgæslu allan sólarhringinn. Til skamms tíma hefði verið í gildi samkomulag rekstraraðila í Kauptúni um sameiginlega öryggisgæslu sem starfsmenn IKEA hefðu sinnt í skjóli starfsleyfis frá ríkislögreglustjóra til að annast öryggisþjónustu í atvinnuskyni, sbr. lög um öryggisþjónustu nr. 58/1997 og reglugerð um öryggisþjónustu nr. 340/1997. Aðrir rekstaraðilar greiddu IKEA ekki lengur fyrir öryggisgæslu samkvæmt samkomulaginu en fyrirtækið sinnti því allt að einu fyrir svæðið í heild sinni og gerði jafnframt ráð fyrir að öryggisgæsla á svæðinu yrði endurskoðuð vegna komu COSTCO-verslunarkeðjunnar á svæðið.

 

Upplýst var að eftirlit öryggisdeildar IKEA fælist í myndeftirliti og göngueftirliti starfsmanna í verslun og við afgreiðslukassa, auk þess sem sérstakt eftirlit væri í skiladeild. Þá héldi öryggisdeildin sérstakan lista yfir einstaklinga sem taldir væru óæskilegir í versluninni. Notast væri við myndavélakerfi frá Milestone, en IKEA hefði afnot af kerfinu fyrir milligöngu Öryggismiðstöðvar Íslands hf. Upptökuvélar væru staðsettar vítt og breitt í versluninni og væru þær ýmist fastar eða þannig gerðar að starfsmaður öryggisdeildar gæti breytt sjónsviði þeirra. Fastar upptökuvélar væru fyrir ofan afgreiðslukassa og í skiladeild. Tvær upptökuvélar væru á þaki verslunarhússins og upptökuvél væri einnig við innkeyrslu að lóð IKEA og tæki hún upp umferð bifreiða um hringtorg sem þar er en öll umferð inn í Kauptún fari um það. Sú vél gæti greint bílnúmer í myrkri. Starfsmenn öryggisdeildar gætu fylgst beint með umferð manna með því að horfa á skjái sem tengdir væru eftirlitskerfinu. Allar upptökur væru auk þess geymdar í tvær vikur og eingöngu starfsmenn öryggisdeildarinnar hefðu aðgang að þeim. Þeir skoðuðu upptökurnar eingöngu ef sérstakt tilefni gæfist til þess og væru þær þá afhentar lögreglu. Öryggisdeildin nýtti ekki sérstaklega eða skráði niður þau bílnúmer sem upptökuvélin við hringtorgið næmi. Þá væri tilgreint með áberandi merkingum að myndavélaeftirlit væri á svæðinu.

 

Hvað varðar fyrrnefndan lista yfir einstaklinga sem taldir eru óæskilegir í verslun IKEA kemur fram í bréfum Lögmáls ehf. að um 30 einstaklingar séu á listanum. Tilgangur skráningarinnar sé að sporna gegn þjófnaði, koma í veg fyrir skemmdarverk og fyrirbyggja að gestir verði fyrir ofbeldi. Eftirlitið hafi jafnframt fælingarmátt gagnvart þeim sem kunni að hafa glæpi í hyggju. Hinum skráðu einstaklingum sé tilkynnt um skráninguna verði starfsmenn þess varir að þeir komi í verslunina, og sé þeim þá gert að yfirgefa hana. Einungis séu áreiðanlegar upplýsingar á listanum og þar séu aðeins skráðir þeir sem staðnir hafi verið að þjófnaði í versluninni, hafi gert þar tilraun til þjófnaðar, framið skemmdarverk, haft í frammi ógnandi hegðun eða farið fram með ofbeldi, auk þess sem dæmi séu um að öryggisdeildin hafi fært á listann einstaklinga sem hún telji ástæðu til að fylgjast náið með ef þeir komi í verslunina. Skráning á listann sæti reglulegri endurskoðun öryggisdeildar og dæmi séu um að nöfn einstaklinga hafi verið afmáð þegar öryggisdeildin hafi ekki lengur talið þörf fyrir að vera á verði gagnvart viðkomandi. Þá kemur fram að öryggisdeildin hafi skráð hjá sér bílnúmer einstaklinga á listanum ef starfsmenn deildarinnar hafi séð viðkomandi koma á bifreið. Engar breytingar hafi verið gerðar á verklagi við skráningu á listann eða fræðslu gagnvart hinum skráðu frá því að úrskurður Persónuverndar frá 23. ágúst 2016 var kveðinn upp.

 

Um fræðslu gagnvart hinum skráðu segir að persónuupplýsinga sé ekki aflað frá öðrum og því eigi 21. gr. laga nr. 77/2000, um fræðslu gagnvart hinum skráða, ekki við. Þá leiði það af eðli máls að IKEA beri ekki að tilkynna hinum skráðu um skráninguna hafi öryggisdeildin af sérstöku tilefni skráð viðkomandi á listann til þess að geta fylgst sérstaklega með þeim í versluninni umfram aðra gesti.

 

Um óskalista viðskiptavina á vefsíðu IKEA segir að fyrirtækið hafi þegar látið gera þær breytingar að óskalistar séu ekki lengur öllum sýnilegir á leitarvélum eða á heimasíðu IKEA. Enginn sjái nú listann nema notandinn sjálfur og þeir sem hann ákveði að veita aðgang að listanum með því að upplýsa um aðgangsorð. Á vefsíðunni komi fram að óskalistinn sé lokaður og ekki aðgengilegur öðrum. Ef viðkomandi einstaklingur vilji deila listanum með einhverjum þurfi hann að gefa honum upp aðgangsorð sitt og lykilorð.

 

Að lokum eru veittar upplýsingar um vinnslu persónuupplýsinga í tengslum við lán á kerrum til viðskipavina. Fram kemur að við lán á kerru þurfi viðskiptavinur að framvísa gildu íslensku ökuskírteini og gildu íslensku VISA- eða Mastercard-kreditkorti. Viðskiptavinurinn fylli út leigusamning og leggi fram skila- og tjónstryggingu sem skráist sem biðfærsla á kreditkort hans. Samningurinn ásamt framhlið ökuskírteinis og kreditkorts sé skannaður inn og geymdur á meðan leigt er. Við skil á kerrunni skrái starfsmaður lengd leigutímans en sé hann styttri en tvær klukkustundir þurfi ekkert að greiða fyrir leiguna. Sé kerran í sama ásigkomulagi og fyrir leiguna hafi starfsmaðurinn samband við kreditkortafyrirtækið með tölvupósti og tilkynni um afturköllun á skila- og tjónstryggingunni. Samningnum sé í kjölfarið eytt.

 

1.4.

Vettvangsathugun Persónuverndar

Með bréfi, dags. 20. mars 2017, var IKEA tilkynnt um fyrirhugaða vettvangsathugun Persónuverndar. Vettvangsathugunin fór fram í húsakynnum IKEA 22. mars 2017, að viðstöddum öryggisstjóra, aðstoðaröryggisstjóra og lögmanni fyrirtækisins. Í vettvangsathuguninni kom meðal annars fram að um eitt hundrað upptökuvélar væru uppsettar og tengdar öryggiskerfi IKEA en flestar væru þær innanhúss. Nokkrar þeirra væru óvirkar. Sex upptökuvélar væru utan á verslunarbyggingu IKEA við Kauptún 4, þar af fimm vélar með fast sjónsvið og ein vél með breytilegt sjónsvið sem hægt væri að stýra með stýripinna úr herbergi öryggisdeildarinnar, en síðarnefnda vélin væri á þaki hússins og yfirleitt beint að bílaplani verslunarinnar. Ein vél væri í lagerhúsnæði IKEA við Kauptún 3 og væri henni beint að bílastæði þar sem kerrur væru geymdar. Þá væru tvær vélar festar á ljósastaur við hringtorg þar sem ekið er inn í Kauptún. Önnur þeirra væri með fast sjónsvið og gæti numið bílnúmer þeirra bíla sem ekið væri um hringtorgið. Við hana væri innrauð lýsing til þess að vélin gæti numið bílnúmer í myrkri. Hin vélin væri með breytilegt sjónsvið sem hægt væri að stilla handvirkt með stýripinna. Fram kom að síðastnefndu vélinni væri almennt beint að verslun IKEA á daginn en að hringtorginu á kvöldin, og eftir atvikum væri hún notuð til að fylgjast með umferð inn í Kauptúnið að nóttu til. Þá væri vélinni beint að jólageit IKEA þegar hún væri sett upp fyrir jólin. Upplýst var að báðar vélarnar sem hægt væri að stýra með stýripinna hefðu 360° sjónsvið. Vélarnar mætti þannig einnig nýta til eftirlits með nærliggjandi lóðum, en IKEA hefði meðal annars með höndum snjómokstur á nokkrum öðrum lóðum í Kauptúni.

 

Persónuvernd skoðaði sérstaklega fyrrnefndan lista yfir einstaklinga sem taldir eru óæskilegir í verslun IKEA. Breytingar höfðu verið gerðar á fyrirkomulagi listans frá því sem upplýst var um í máli nr. 2016/253 hjá Persónuvernd, sem áður var nefnt. Listinn var nú vistaður í Milestone-kerfinu og var þar að finna yfirlit yfir hvern einstakling á listanum. Misjafnt var hversu miklar upplýsingar voru skráðar um hvern einstakling en til dæmis voru skráðar upplýsingar um nafn viðkomandi, tímabil brots, lýsingu á broti og eftir atvikum nákvæmar lýsingar á heimsóknum einstaklinga í verslunina. Þá voru skráð þekkt bílnúmer einstaklinga á listanum. Fram kom að engar myndir af einstaklingunum væru vistaðar.

 

Skráning bílnúmera við fyrrnefnt hringtorg var sérstaklega skoðuð. Sjá mátti að öryggiskerfi IKEA skráði sjálfkrafa bílnúmer þeirra sem óku um hringtorgið en upplýst var að bílnúmerin væru vistuð í kerfinu og geymd í eina viku. Kerfið væri ekki tengt við upplýsingar úr ökutækjaskrá. Hins vegar væri það tengt við fyrrnefndan lista yfir einstaklinga í komubanni í verslunina, og kom fram að þegar upptökuvélin greindi eitt þeirra bílnúmera sem þar væri vistað fengi öryggisstjóri eða aðstoðaröryggisstjóri IKEA sjálfkrafa sendan tölvupóst með fyrrnefndu yfirliti yfir viðkomandi einstakling sem bílnúmerið væri tengt við. Þeir gætu þá gefið starfsmönnum öryggisdeildar fyrirmæli um að fylgst yrði með einstaklingnum í gegnum myndavélakerfið þar til honum yrði vísað út úr versluninni. Öryggisstjóri og aðstoðaröryggisstjóri væru einu starfsmenn fyrirtækisins sem gætu búið til yfirlit yfir einstaklinga og fært inn á listann. Þá fengju aðeins þeir sendar tilkynningar með fyrrgreindum hætti.

 

Að lokum voru merkingar um rafræna vöktun skoðaðar. Slíkar merkingar voru meðal annars við innganga í verslunina og við afgreiðslukassa á neðri hæð. Þá voru áberandi skilti í skiladeild verslunarinnar auk þess sem merkingar var víða að finna í hillum í versluninni, einkum á neðri hæð hennar.

 

II.

Ákvörðun Persónuverndar

 2.1.

Gildissvið laga nr. 77/2000

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.

Rafræn vöktun er vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði, sbr. 6. tölul. 2. gr. laga nr. 77/2000. Hugtakið tekur til vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga og sjónvarpsvöktunar sem fram fer með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.

 

Af framangreindu er ljóst að sú vinnsla persónuupplýsinga, sem fram fer í þágu þess eftirlits IKEA sem að framan er lýst, fellur undir gildissvið laga nr. 77/2000.

 

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Miklatorg hf., rekstraraðili IKEA, vera ábyrgðaraðili að umræddri vinnslu.

 

2.2.

Lögmæti vinnslu

Til þess að rafræn vöktun sé heimil verður að vera fullnægt skilyrðum 1. mgr. 4. gr. laga nr. 77/2000. Þar er kveðið á um að rafræn vöktun sé ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi. Rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fari um að jafnaði, sé jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram.

 

Í máli þessu er um að ræða rafræna vöktun sem leiðir til vinnslu persónuupplýsinga. Svo að slík vinnsla sé heimil verður einhverju þeirra skilyrða, sem kveðið er á um í 8. gr. laga nr. 77/2000, að vera fullnægt. Þá verður vinnsla viðkvæmra persónuupplýsinga, svo sem upplýsinga um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, sbr. b-lið 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna.

 

Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli afmá eða leiðrétta (4. tölul.); og að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

 

Með stoð í 5. mgr. 37. gr. laga nr. 77/2000 hefur Persónuvernd sett reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Samkvæmt 4. gr. þeirra reglna verður rafræn vöktun að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, s.s. í þágu öryggis eða eignavörslu. Þá segir í 5. gr. reglnanna að við alla rafræna vöktun skuli þess gætt að ganga ekki lengra en brýna nauðsyn ber til miðað við þann tilgang sem að er stefnt. Gæta skuli þess að virða einkalífsrétt þeirra sem sæta vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Við ákvörðun um hvort viðhafa skuli rafræna vöktun skuli því ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum.

 

2.2.1.

Rafræn vöktun með eftirlitsmyndavélum utanhúss

Í vettvangsathugun Persónuverndar mátti sjá að eftirlitsmyndavélar sem vakta svæði utandyra voru staðsettar á nokkrum stöðum, þ.e. á þaki og útveggjum verslunarhússins við Kauptún 4, á staur við hringtorg þar sem ekið er inn í Kauptún, og í lagerhúsnæði IKEA við Kauptún 3. Vettvangsathugunin leiddi í ljós að sjónsvið nokkurra eftirlitsmyndavéla, þ.e. véla sem festar eru á verslunarhúsið við Kauptún 4 og véla sem staðsettar eru við hringtorg þar sem ekið er inn í Kauptún, nær yfir svæði utan lóðar IKEA, þ.e. svæði á almannafæri og lóðir annarra fyrirtækja í nágrenninu. Í málinu liggur ekki fyrir staðfesting á því að viðkomandi fyrirtæki hafi samþykkt vöktunina.

 

Persónuvernd telur að almennt megi líta svo á að ábyrgðaraðila sé heimil vöktun á yfirráðasvæði sínu, þ.e. innan lóðar sinnar, að því gefnu að vöktunin samrýmist lögum nr. 77/2000 og reglum settum með stoð í þeim. Rafræn vöktun á almannafæri skuli hins vegar einungis vera á hendi lögreglu.

 

Það er mat Persónuverndar að rafræn vöktun á yfirráðasvæði IKEA, þ.e. innan lóðamarka, nægi til þess að tryggja öryggi og eignavörslu á svæðinu. Rafræn vöktun utan lóðamarka samrýmist hins vegar ekki fyrrnefndri 5. gr. reglna nr. 837/2006, sbr. einnig 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Breyting á sjónarhorni, staðsetningu og stillingum eftirlitsmyndavélanna, þannig að þær sýni ekki svæði utan lóðamarka IKEA, myndi koma í veg fyrir óþarfa íhlutun í einkalíf þeirra sem eiga leið um það svæði, án þess að standa í vegi fyrir því að tilgangi vöktunarinnar verði náð.

 

Með vísan til framangreinds telur Persónuvernd að rafræn vöktun IKEA á svæðum utan yfirráðasvæðis IKEA við Kauptún 3 og 4 samrýmist ekki ákvæðum laga nr. 77/2000 og reglum nr. 837/2006, um rafræna vöktun. Beinir stofnunin þeim fyrirmælum til ábyrgðaraðila að sjónarhorni, staðsetningu og stillingum eftirlitsmyndavéla skuli breytt þannig að ekki sé hægt að nota þær til að vakta svæði á almannafæri eða lóðir annarra fyrirtækja í nágrenninu.

 

2.2.2.

Skráning bílnúmera

Eins og áður kom fram er eftirlitsmyndavél, sem getur numið og skráð bílnúmer, staðsett við hringtorg þar sem ekið er inn í Kauptún. Hringtorgið er utan lóðamarka IKEA og um vöktunina gilda því öll þau sjónarmið sem rakin eru í kafla 2.2.1. hér að framan.

 

Að auki er það mat Persónuverndar að sérstök vöktun og skráning bílnúmera þeirra sem aka inn á lóð IKEA feli í sér vöktun sem gengur lengra en brýna nauðsyn ber til í þeim tilgangi að tryggja öryggi og eignavörslu á yfirráðasvæði IKEA, sbr. 5. gr. reglna nr. 837/2006, sem og 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000. Markmiði vöktunarinnar megi ná með vægari úrræðum, svo sem með hefðbundinni myndbandsupptöku sem sýnir bílnúmer án þess að þau séu sérstaklega skráð.

 

Með vísan til framangreinds telur Persónuvernd að sérstök vöktun og skráning bílnúmera, sbr. framangreint, samrýmist ekki lögum nr. 77/2000. Er lagt fyrir IKEA að stöðva slíka vöktun.

 

2.2.3.

Rafræn vöktun með eftirlitsmyndavélum innanhúss

Í vettvangsathugun Persónuverndar voru eftirlitsmyndavélar í verslunarhúsnæði IKEA skoðaðar og meðal annars kannað hvort merkingar uppfylltu skilyrði 24. gr. laga nr. 77/2000, þar sem fram kemur að þegar rafræn vöktun fari fram á vinnustað eða á almannafæri skuli með merki eða á annan áberandi hátt gera glögglega viðvart um þá vöktun og hver sé ábyrgðaraðili. Eins og áður var rakið mátti sjá skilti sem gerðu viðvart um vöktunina við innganga í verslunina, auk þess sem merkingar var að finna við kassa, í skiladeild og í hillum verslunarinnar. Ekki þykir tilefni til að gera athugasemdir við framkvæmd vöktunar eða merkingar í verslunarhúsnæði IKEA.

 

2.2.4.

Vinnsla persónuupplýsinga í tengslum við lista yfir einstaklinga í komubanni í verslun

Persónuvernd hefur áður fjallað um réttmæti skráningar tiltekins einstaklings á lista yfir einstaklinga í komubanni í verslun IKEA, sbr. úrskurð Persónuverndar frá 23. ágúst 2016 í máli nr. 2016/253. Eins og fram kemur í tilgreindum úrskurði kemur einkum til greina að styðja skráningu á listann við heimild í 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, sem heimilar vinnslu almennra persónuupplýsinga sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Persónuvernd telur að IKEA geti haft lögmæta hagsmuni af því að halda uppi almennu eftirliti í verslun sinni í þágu öryggis og eignavörslu, en slíkt eftirlit verður þó að samrýmast öðrum ákvæðum laga nr. 77/2000 og reglum settum samkvæmt þeim. Í máli þessu hefur IKEA upplýst að á listann séu þeir skráðir sem staðnir hafi verið að þjófnaði í versluninni, hafi gert þar tilraun til þjófnaðar, framið skemmdarverk, haft í frammi ógnandi hegðun eða farið fram með ofbeldi, auk þess sem dæmi séu um að öryggisdeildin hafi fært á listann einstaklinga sem hún telji ástæðu til að fylgjast náið með ef þeir komi í verslunina. Samkvæmt þessu er ljóst að þeir sem skráðir eru á listann eru í flestum tilvikum grunaðir, kærðir, ákærðir eða dæmdir fyrir refsiverðan verknað og er það í samræmi við þær skráningar sem starfsmenn Persónuverndar skoðuðu í vettvangsathugun hjá IKEA.

 

Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað teljast til viðkvæmra persónuupplýsinga, sbr. b-lið 2. gr. laga nr. 77/2000. Af því leiðir að skráning slíkra upplýsinga þarf, auk framangreinds, að styðjast við heimild í 1. mgr. 9. gr. laganna. Kemur þá einkum til skoðunar 7. tölul. 1. mgr. 9. gr. sem heimilar vinnslu viðkvæmra persónuupplýsinga sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Ljóst er að viðkvæmum persónuupplýsingum verður ekki safnað með stoð í þessu ákvæði laganna nema vinnslan teljist nauðsynleg vegna tiltekinna réttarkrafna. Svo er ekki í þessu tilviki, enda er umræddur listi vistaður hjá öryggisdeild IKEA og einkum nýttur af starfsmönnum deildarinnar við eftirlit í verslun fyrirtækisins. Getur 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000 því ekki rennt stoðum undir umrædda vinnslu. Þá verður ekki séð að önnur skilyrði sömu málsgreinar séu uppfyllt.

 

Sem áður segir þarf öll vinnsla persónuupplýsinga jafnframt að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Til þess að skilyrði 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um sanngirni teljist uppfyllt verður hinn skráði að geta fengið vitneskju um þá vinnslu persónuupplýsinga um hann sem á sér stað. Auk þess verður hann að eiga, þegar söfnun upplýsinganna á sér stað, kost á fullnægjandi upplýsingum um vinnubrögð, vinnuferli og annað er lýtur að vinnslunni. Af málsgögnum verður hins vegar ráðið að IKEA tilkynni þeim, sem skráðir eru á listann, ekki um skráninguna nema starfsmenn verði þeirra varir í versluninni. Í 1. tölul. 1. mgr. 7. gr. laganna felst einnig krafa um að persónuupplýsingar séu ávallt unnar á málefnalegan hátt. Þrátt fyrir að IKEA geti átt lögmæta hagsmuni af því að halda uppi eftirliti í verslun sinni í þágu öryggis og eignavörslu, sbr. framangreint, telur Persónuvernd það ekki samræmast kröfu 1. tölul. 1. mgr. 7. gr. laganna um málefnalega vinnslu að skrá einstaklinga á lista af þessu tagi á grundvelli mats starfsmanna IKEA, án vitundar hinna skráðu.

Þá verður að skýra skilyrði 4. tölul. 1. mgr. 7. gr. um áreiðanleika persónuupplýsinga með hliðsjón af því að málsatvik, sem einn maður telur veita tilefni til ályktunar um lögbrot eða þjófnað annars, fela ekki ávallt í sér staðfestingu á að brot hafi í raun verið framið. Upplýsingar um meintan þjófnað, sem byggjast á mati starfsmanna IKEA, kunna þannig að reynast óáreiðanlegar.

Með vísan til alls framangreinds telur Persónuvernd að umrædd skráning IKEA á upplýsingum samrýmist ekki 1. mgr. 9. gr. laga nr. 77/2000. Þá sé meðferð persónuupplýsinga við skráninguna og fræðsla gagnvart hinum skráða ekki í samræmi við 1. og 4. tölul. 7. gr. laganna.

 

2.2.5.

Skráning og vinnsla persónuupplýsinga vegna láns á kerrum

Afritun framhliðar ökuskírteinis og kreditkorts einstaklinga sem fá lánaða kerru hjá IKEA telst til vinnslu almennra persónuupplýsinga sem styðjast þarf við heimild í 1. mgr. 8. gr. laga nr. 77/2000. Koma þar einkum til skoðunar 1. tölul. ákvæðisins, sem heimilar vinnslu á grundvelli samþykkis hins skráða, 2. tölul. sem heimilar vinnslu sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, og 7. tölul. sem heimilar vinnslu sé hún nauðsynleg til að ábyrgðaraðili geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.

 

Lán á kerrum til viðskiptavina IKEA felur í sér að fyrirtækið felur tilteknum einstaklingi umráð kerrunnar í stuttan tíma gegn skila- og tjónstryggingu. Telja verður að IKEA geti haft lögmæta hagsmuni af því að varðveita upplýsingar um lántakann, þar á meðal þær upplýsingar sem birtar eru á framhlið ökuskírteinis, og að afritun hennar geti því samrýmst 7. tölul. 1. mgr. 8. gr. laganna. Með hliðsjón af því að greiða þarf fyrir afnot af kerru fari lánstíminn yfir tvær klukkustundir má telja að hið sama geti átt við um afritun framhliðar kreditkorts sem lántaki leggur fram við samningsgerðina.

 

Samkvæmt 1. mgr. 26. greinar laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, skal eyða persónuupplýsingum þegar ekki er lengur málefnaleg ástæða til að varðveita þær. Í gögnum málsins kemur fram að framhlið ökuskírteinis og kreditkorts sé skönnuð með samningi um lán á kerru. Samningnum sé eytt hafi kerrunni verið skilað í sama ásigkomulagi og fyrir lánið. Að því gefnu að öllum afritum af ökuskírteinum og kreditkortum lántaka sé eytt með samningnum er það mat Persónuverndar að vinnslan geti samrýmst fyrrgreindu ákvæði laganna. Þá er slík framkvæmd jafnframt í samræmi við 1. og 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000.

2.2.6.

Vinnsla persónuupplýsinga í tengslum við óskalista á vefsíðu

Samkvæmt gögnum málsins hafa þær breytingar nú verið gerðar á fyrirkomulagi óskalista viðskiptavina á vefsíðu IKEA að listarnir eru ekki lengur sýnilegir á leitarvélum á Netinu né á heimasíðu IKEA. Jafnframt hefur komið fram í málinu að notendur óskalistanna fá fræðslu frá IKEA um að óskalistinn sé lokaður og ekki aðgengilegur öðrum. Ef þeir vilji deila listanum með öðrum þurfi þeir að gefa viðkomandi upp aðgangsorð sitt og lykilorð.

 

Persónuvernd gerir ekki athugasemdir við vinnslu persónuupplýsinga í tengslum við óskalista á vefsíðu IKEA.

 

3.

Niðurstaða

Rafræn vöktun IKEA á lóðum fyrirtækisins við Kauptún 3 og 4, utan lóðamarka, samrýmist ekki ákvæðum laga nr. 77/2000 og reglna nr. 837/2006 um rafræna vöktun. Persónuvernd beinir þeim fyrirmælum til IKEA að breyta sjónarhorni, staðsetningu og stillingum eftirlitsmyndavéla þannig að ekki sé hægt að nota þær til að vakta svæði á almannafæri eða nærliggjandi lóðir. Skal IKEA, eigi síðar en 19. júní 2017, senda Persónuvernd skriflega lýsingu á því hvernig tryggt verður að rafræn vöktun utandyra nái ekki til annarra svæða en yfirráðasvæða IKEA.

 

Sérstök vöktun og skráning IKEA á bílnúmerum viðskiptavina sinna og annarra samrýmist ekki lögum nr. 77/2000. Skal IKEA, eigi síðar en 19. júní 2017, senda Persónuvernd skriflega staðfestingu á að slíkri vöktun hafi verið hætt.

 

Rafræn vöktun með eftirlitsmyndavélum í verslunarhúsnæði IKEA við Kauptún 4 samrýmist lögum nr. 77/2000.

 

Skráning IKEA á upplýsingum um einstaklinga á lista yfir þá sem fyrirtækið telur óæskilega í versluninni samrýmist ekki lögum nr. 77/2000. Skal IKEA, eigi síðar en 19. júní 2017, senda Persónuvernd skriflega lýsingu á því hvernig fyrirtækið hyggst tryggja að vinnsla persónuupplýsinga um þá einstaklinga, sem fyrirtækið telur óæskilega í versluninni, samrýmist lögunum.

 

Afritun framhliðar ökuskírteinis og kreditkorts einstaklinga sem fá lánaða kerru hjá IKEA samrýmist lögum nr. 77/2000, að því gefnu að afritunum sé eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þau, sbr. 1. mgr. 26. gr. laga nr. 77/2000.

 

Vinnsla persónuupplýsinga í tengslum við skráningu óskalista á vefsíðu IKEA samrýmist lögum nr. 77/2000.