Rafræn skrá yfir hnupl í verslunum
22. maí 2006
Persónuvernd barst erindi öryggisdeildar fyrirtækis sem hyggst halda rafræna skrá um hnupl í verslunum sínum, í því skyni að halda utan um málin í tengslum við samskipti við lögreglu og vegna hugsanlegra málaferla.
Í svarbréfi Persónuverndar kemur fram að slík skráning geti talist nauðsynlegur og eðlilegur þáttur í starfsemi fyrirtækisins, en þó verði að uppfylla ýmis skilyrði laga um persónuvernd. Síðan eru veittar nánari leiðbeiningar um gerð vinnslusamnings, varðveislutíma, öryggisráðstafanir, tilkynningarskyldu og fræðsluskyldu.
Þá er sérstaklega tekið fram, í tilefni þess að upphaflega hafði fyrirtækið vikið að því að skráin kynni að verða notuð til samkeyrslu við nöfn starfsumsækjenda, að engin afstaða hefði verið tekin til slíkrar notkunar og eðlilegt væri að Persónuvernd bærist sérstök umsókn um slíka vinnslu þar sem þau not væru rökstudd sérstaklega.
Efni: Rafræn þjófnaðaskrá hjá öryggisdeild A hf.
Erindi A hf.
Bréfaskipti
1.
Persónuvernd hefur borist erindi B, f.h. öryggisdeildar A hf., dags. 25. apríl 2006, um rafræna vinnslu persónuupplýsinga um þjófnaðatilvik.
Um markmið og framkvæmd vinnslunnar segir m.a.:
"Þegar viðskiptavinir eða starfsfólk verslana umbjóðanda míns [A hf.] verður uppvíst að þjófnaði í einhverri verslana félagsins eru upplýsingar um viðkomandi skráðar á þar til gert upplýsingaeyðublað. Eyðublað þetta er fyrst og fremst útfyllt til hagræðis fyrir lögreglu, sem óskar stundum eftir afriti.
Eyðublaðið er síðar afhent öryggisdeild umbjóðanda míns, sem heldur utan um öll þjófnaðarmál er upp koma í verslunum umbjóðanda míns, fylgir þeim eftir hjá lögreglu og eftir atvikum hjá dómstólum. Stefna verslana A er að kæra öll þjófnaðarmál. Eru framangreind eyðublöð því geymd í þar til gerðri möppu þar sem unnt [er] að ganga að þeim vísum þegar frekari upplýsinga um málið er óskað af lögreglu, eða upplýsingar berast um að ákæra verði gefin út í málinu og félaginu veittur sá kostur að koma að bótakröfu í málinu.
Starfsmenn öryggisdeildar umbjóðanda míns hafa einir aðgang að þessum eyðublöðum og hafa vitneskju um öll þjófnaðarmál sem upp koma í verslunum hans. Þeir eru tengiliðir við lögreglu og sjá um að fylgja málum þessum eftir. Umrædd eyðublöð eru geymd í óákveðinn tíma, þar sem óvíst er hvenær málum lyktar hjá lögreglu. Málshraði hjá lögreglu er misjafn og oft kemur fyrir að upplýsingabeiðni berst frá lögreglu um allt að nokkurra ára gömul mál. Öryggisdeildinni er því nauðsynlegt að halda utan um öll þjófnaðarmál til upplýsinga fyrir lögreglu og til að gæta réttar síns í hugsanlegu refsimáli vegna þeirra."
Um varðveislutíma upplýsinganna segir m.a.:
"[...] Sú rafræna vinnsla sem nú er óskað eftir að heimiluð verði gerir umbjóðanda mínum kleift að halda utan um öll mál sem upp hafa komið á fimm ára tímabili. Slík skrá er þannig nauðsynleg til að umbjóðanda mínum sé kleift að halda uppi rétti sínum gagnvart þeim sem ákærðir eru fyrir þjófnað í einhverri af verslunum hans[...]"
Á umrædd upplýsingaeyðublöð eru eftirfarandi persónuupplýsingar skráðar:
"Nafn grunaðs, heimilisfang, kennitala, símanúmer, starfsheiti og númer skilríkja sem hann framvísar. Einnig eru skráðar upplýsingar um nöfn vitna sem og nafn þess starfsmanns sem fyllir út viðkomandi eyðublað ásamt númer þess lögregluþjóns sem kom á vettvang."
Um öryggisráðstafanir er fjallað í drögum að verklagsreglum öryggisdeildar A hf. um rafræna skrá vegna þjófnaðatilvika. Þar segir m.a. :
"Skrá skal varðveitt í ónettengdri tölvu öryggisstjóra öryggisdeildar [A]. Viðhafa skal ýtrustu öryggisráðstafanir við varðveislu skrárinnar.
Óheimilt er að afrita skrána. Bann þetta tekur til afritunar skrá[ri]nnar í heild sinni sem og afritun upplýsinga um einstök þjófnaðartilvik (4. gr.).
Öryggisstjóri öryggisdeildar [A] hefur yfirumsjón með öllum öryggismálum [A] og ber ábyrgð á að reglum þessum sé fylgt eftir (5. gr.).
Gera skal ráðstafanir til þess að verja þann tækjabúnað sem geymir skrárnar gegn skemmdum, t.d. af völdum: Þjófnaðar, eldsvoða, reyks, vatns og titrings.
Tækjabúnaði skal viðhaldið samkvæmt leiðbeiningum framleiðanda og þjónustuaðila hans. Gera skal sérstakar ráðstafanir þegar tækjabúnaður er sendur til viðgerða fyrir utan umráðasvæði öryggisdeildar [A], til þess að leynd og réttleiki skrárinnar sé tryggður.
Áður en tækjabúnaður er endurnýttur eða honum fargað skal tryggja að öllum gögnum á honum hafi verið eytt þannig að þau verði ekki aðgengileg óviðkomandi (6. gr.)."
2.
Með bréfi dags. 10. maí sl. óskaði Persónuvernd nánari upplýsinga varðandi stöðu umræddra verslana gagnvart A, einkum um fyrirkomulag og lögmæti miðlunar umræddra upplýsinga frá viðkomandi verslunum til A, þ.e.a.s. þeirra verslana sem eru sjálfstæðar lögpersónur og hafa stöðu ábyrgðarðila í skilningi 4. tl. 2. gr. laga nr. 77/2000.
Í svarbréfi D hdl. f.h. öryggisdeildar A, dags. 19. maí sl., er þessu svarað. Þar segir m.a.:
"[A] er verslunarfyrirtæki sem á og starfrækir verslanir undir nöfnum firmanna [. . .], [. . .],[. . .], [. . .]. og verslunarinnar [. . .] Auk þessa eiga [A] að fullu dótturfélögin [. . .], sem rekur verslunina [. . .], [. . .], sem rekur verslun [. . .], og [. . .], sem rekur verslanir [. . .] og [. . .]. Líkt og fram hefur komið í samskiptum umbjóðanda míns við stofnuna er öryggiseftirliti fyrir allar þessar verslanir og fyrirtæki sinnt af öryggisdeild [A].
Öryggisdeild [A] hefur með höndum alla vinnslu persónuupplýsinga sem verða til við rafræna vöktun hjá fyrirtækjum [A], og er þannig vinnsluaðili fyrir framangreind dótturfélög í skilningi 5. tl. 2. gr. laga nr. 77/2000. Að auki fylgir öryggisdeild [A] eftir þjófnaðarmálum sem og öðrum refsimálum sem upp koma í daglegum rekstri fyrirtækja [A]. Telji Persónuvernd að gera skuli þjónustusamninga milli [A] og þeirra fyrirtækja sem eru sjálfstæðar lögpersónur, þ.e.a.s. dótturfélaganna [. . .]verður það gert.
Með bréfi dags. 10. nóvember 2005, sendi undirritaður til stofnunarinnar lögfræðilega úttekt á öryggisdeild [A] svo og drög að verklagsreglum öryggisdeildarinnar og reglum um rafræna skrá vegna þjófnaðartilvika. Með bréfi stofnunarinnar dags. 25. apríl sl. óskaði undirritaður eftir formlegri heimild til handa umbjóðanda mínum, [A], til starfrækslu rafrænnar skrár vegna þjófnaðartilvika. Skrá þessi myndi geyma upplýsingar af eyðublöðum sem útfyllt eru þegar viðskiptavinur eða starfsmaður félagsins ([A]/firma/dótturfélaga) verður uppvís að þjófnaði í einhverri verslun þess. Tilgangur slíkrar skrár yrði að gæta lögmætra hagsmuna félagsins, m.a. í tengslum við hugsanlega rannsókn lögreglu og dómsmála í framhaldi af ákæru. [A] telja vinnslu slíkrar skrár nauðsynlega svo félagið geti afmarkað og sett fram bótakröfu í slíkum málum og aðstoðað lögreglu við að upplýsa umrædd þjóafnaðartilvik.
Umrædda skrá yrði einungis að finna á einni tölvu innan öryggisdeildar [A]. Aðgangur að umræddri tölvu yrði takmarkaður með lykilorði sem forstjóri [A] og yfirmaður öryggisdeildar félagsins hefur einir vitneskju um. Ennfremur yrði unnt að rekja hverja einstaka uppflettingu í skránni á einfaldan hátt."
Svar Persónuverndar
1.
Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga en einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá.
Persónuupplýsingar teljast vera sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Af ofangreindu er ljóst að þær upplýsingar sem ætlunin er að færa í hina rafrænu þjófnaðaskrá, sem um ræðir í máli þessu, teljast persónuupplýsingar í skilningi framangreindra laga og falla þar með undir verndarsvið þeirra.
2.
Upplýsingar um það hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan teljast til viðkvæmra persónuupplýsinga í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. b-lið 8. tölul. 2. gr. laganna. Vinnsla slíkra persónuupplýsinga er því aðeins heimil að uppfyllt sé eitthvert skilyrða 1. mgr. 8. gr. laga nr. 77/2000 og ennfremur eitthvert skilyrða 1. mgr. 9. gr. laganna.
Samkvæmt 7. tl. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber samkvæmt lögum, vegi þyngra. Þá segir í 7. tl. 1. mgr. 9. gr. laga nr. 77/2000 að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.
Af hálfu A hefur fyrirhugaðri vinnslu verið lýst svo að hún taki til þess þegar viðskiptavinir eða starfsfólk verslana félagsins verði uppvíst að þjófnaði í einhverri verslana þess. Upplýsingar séu skráðar á þar til gerð upplýsingaeyðublöð sem séu afhent öryggisdeild A. Hún haldi utan um öll þjófnaðarmál er upp koma í verslunum félagsins, starfsmenn hennar séu tengiliðir við lögreglu og sjái um að fylgja málum eftir. Félaginu sé nauðsynlegt að halda utan um öll þjófnaðarmál m.a. til að gæta réttar síns í hugsanlegum málaferlum vegna þeirra.
Að mati Persónuverndar á slík vinnsla sér stoð í framangreindum töluliðum 1. mgr. 8. gr. og 1. mgr. 9. gr. laganna nr. 77/2000, og getur talist vera nauðsynlegur og eðlilegur þáttur í starfsemi viðkomandi aðila.
Enda þótt vinnsla sé heimil samkvæmt framangreindu þarf hún að uppfylla ýmis önnur skilyrði laga nr. 77/2000. Þykir Persónuvernd, í samræmi við leiðbeiningarhlutverk hennar, rétt að minna á eftirfarandi:
1. Gerð vinnslusamnings
Hugtakið ábyrgðaraðili er skilgreint í 4. tölul. 2. gr. laga nr. 77/2000 sem sá aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Vinnsluaðili er hins vegar sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila (5. tölul. 2. gr. laga nr. 77/2000). Feli ábyrgðaraðili vinnsluaðila að annast tiltekna vinnslu persónuupplýsinga fyrir sig skal gerður skriflegur samningur um slíka vinnslu, sbr. 13. gr. laga nr. 77/2000.
Af hálfu A hefur því verið lýst yfir að félagið hafi sjálft með höndum vinnslu persónuupplýsinga sem tengjast þjófnaðartilvikum í eigin verslunum en það sé vinnsluaðili fyrir tiltekin dótturfélög þess. Er því skilyrði að A geri vinnslusamninga við þá aðila sem það annast umrædda vinnslu fyrir, þ.e. þeirra fyrirtækja sem eru sjálfstæðar lögpersónur og hafa stöðu ábyrgðarðila í skilningi 4. tl. 2. gr. laga nr. 77/2000. Skulu slíkir samningar uppfylla öll skilyrði 13. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Skal í vinnslusamningi m.a. koma hvernig vinnsluaðilinn, þ.e. A, muni halda gögnum viðkomandi ábyrgðaraðila aðskildum frá gögnum annarra ábyrgðaraðila.
2. Varðveislutími
Öll vinnsla persónuupplýsinga verður að uppfylla þær meginreglur sem taldar eru upp í 7. gr. laga nr. 77/2000. Þar er m.a. að finna þann skilmála að upplýsingar séu ekki varðveittar á persónugreinanlegu formi lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Í samræmi við framangreint skulu upplýsingar um þjófnaðatilvik ekki varðveittar lengur en hlutaðeigandi ábyrgðaraðilum er nauðsynlegt til að fylgja eftir málum hjá lögreglu og eftir atvikum til að afmarka og setja fram kröfur í hugsanlegum málaferlum. Fellst Persónuvernd á það með A, að hæfilegur hámarksvarðveislutími umræddra upplýsinga verði 5 ár og bendir á að nota má tæknibúnað til að tryggja að úr skráningarkerfi eyðist sjálfkrafa allar slíkar upplýsingar þegar þeim aldri er náð.
3. Öryggisráðstafanir
Að framan hefur þegar komið fram að öll vinnsla persónuupplýsinga verður að uppfylla meginreglur 7. gr. laga nr. 77/2000. Þar er m.a. að finna skilmála um að viðeigandi öryggis skuli gætt (2. tölul.). Í samræmi við það minnir Persónuvernd á mikilvægi þess að viðhafa ýmsar öryggisráðstafanir. Er t.d. nauðsynlegt að setja reglur um aðgangsstýringar og viðhafa aðgerðaskráningu, bæði til að tryggja að engir aðrir starfsmenn A en þeir sem þess þurfa nauðsynlega starfs síns vegna hafi aðgang að upplýsingunum og til að hvenær sem er verði unnt að ganga úr skugga um að eftir þeim reglum sé farið. Er og minnt á skyldu ábyrgðaraðila til að gera aðrar hefðbundnar tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn óleyfilegum aðgangi í samræmi við 11. og 12. gr. laga nr. 77/2000.
4. Tilkynningarskylda
Minnt er á að umrædda vinnslu ber að tilkynna Persónuverndar í samræmi við 6. gr. reglna nr. 698/2004 um tilkynningarskylda- og leyfisskylda vinnslu persónuupplýsinga, en slíka tilkynningu má senda rafrænt beint af heimasíðu Persónuverndar (www.personuvernd.is).
5. Fræðsluskylda ábyrgðaraðila
Í III. kafla laga nr. 77/2000 er að finna fyrirmæli um fræðsluskyldu ábyrgðaraðila. Er hér sérstaklega minnt á ákvæði 20. gr. laganna. Í ljósi þess að umræddra upplýsinga er, að því er fram kemur í gögnum málsins, að jafnaði aflað með notkun vöktunarbúnaðar er sérstök ástæða til að minna á fyrirmæli 24. gr. um það að þegar rafræn vöktun fer fram á vinnustað eða á almannafæri skuli með merki eða á annan áberandi hátt gera glögglega viðvart um þá vöktun og hver sé ábyrgðaraðili.
Annað
Í tilefni þess að í upphaflegu erindi A er vikið að því að rafræn skrá félagsins kunni að verða notuð þannig að upplýsingar úr henni verði samkeyrðar við nafn og kennitölu umsækjanda um starf í einhverri af verslunum félagsins, skal tekið fram að hér hefur engin afstaða verið tekið til slíkrar notkunar, enda þykir eðlilegt að Persónuvernd berist sérstök umsókn um slíka vinnslu þar sem fyrirhuguð not eru rökstudd sérstaklega.