Rafræn vöktun af hálfu Íþrótta- og sýningahallarinnar hf. í Laugardalshöll

Mál nr. 2021071520

7.2.2023

Ákvörðun

vegna frumkvæðisathugunar á rafrænni vöktun af hálfu Íþrótta- og sýningahallarinnar hf. í máli nr. 2021071520:

I.
Málsmeðferð
1.
Tildrög máls – Málsmeðferð

Í júlí 2021 birtust af því fréttir að fundist hefðu virkar eftirlitsmyndavélar í rými Laugardalshallar þar sem börn, sem tóku þátt í knattspyrnumótinu Rey Cup, höfðu gistiaðstöðu. Í tilefni af þessu ákvað Persónuvernd að hefja athugun á því hvort vöktunin og vinnsla persónuupplýsinga vegna hennar samrýmdist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Nánar tiltekið var málið afmarkað við vinnslu persónuupplýsinga við rafræna vöktun í Laugardalshöll þegar aðrir en rekstraraðili hússins, Íþrótta- og sýningahöllin hf. (hér eftir Íþrótta- og sýningahöllin), fá húsið til afnota í tengslum við viðburðahald. Takmarkaðist frumkvæðisathugunin því ekki við vinnslu persónuupplýsinga sem til urðu við rafræna vöktun á umræddu knattspyrnumóti.

Með bréfi, dags. 30. ágúst 2021, ítrekuðu með bréfi, dags. 17. febrúar 2022, tilkynnti Persónuvernd Íþrótta- og sýningahöllinni um frumkvæðisathugun stofnunarinnar og bauð félaginu að koma á framfæri skýringum. Óskaði Persónuvernd sérstaklega eftir nánari upplýsingum um tilhögun rafrænnar vöktunar í Laugardalshöll og um lögmæti vinnslu persónuupplýsinga sem til verða við vöktunina, þ.m.t. vegna vinnslu viðkvæmra persónuupplýsinga, með hliðsjón af því að fjöldabólusetning gegn Covid-19 var framkvæmd í Laugardalshöll. Íþrótta- og sýningahöllin svaraði með bréfi dags. 7. mars 2022. Með bréfi, dags. 18. maí 2022, tilkynnti Persónuvernd Íþrótta- og sýningahöllinni að stofnunin hygðist framkvæma vettvangsathugun og var hún gerð þann 19. s.m. Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna þótt ekki sé gerð grein fyrir öllu efni þeirra í ákvörðun þessari.

2.
Sjónarmið Íþrótta- og sýningahallarinnar

Af hálfu Íþrótta- og sýningahallarinnar hefur komið fram að engar eftirlitsmyndavélar séu faldar í húsnæði Laugardalshallar. Allar myndavélar séu sýnilegar öllum þeim sem komi inn í rými byggingarinnar, auk þess sem vel sé merkt í húsnæðinu, bæði utandyra og innandyra, að það sé vaktað með eftirlitsmyndavélum. Utanhúss sé sjónsvið eftirlitsmyndavélanna umhverfis bygginguna markað við bílastæði en í samráði við lögreglu hafi sjónsvið nokkurra eftirlitsmyndavéla verið stillt þannig að það nái út fyrir lóðarmörk. Þá séu allar vélar á föstum linsum og því ekki hægt að fjarstýra sjónarhornum þeirra. Myndefni sé varðveitt á upptökutæki sem staðsett sé í læstum skáp í tæknirými í 90 daga og eyðist sjálfkrafa eftir þann tíma.

Í kjölfar þess máls sem upp kom á knattspyrnumótinu Rey Cup hafi farið fram endurskoðun á merkingum um eftirlitsmyndavélar í húsnæði Laugardalshallar og sé það í höndum viðburðarhaldara að skyggja fyrir myndavélar ef talin er þörf á. Upplýsingar um húsreglur séu afhentar viðburðarhöldurum en í 4. gr. reglnanna segi: „Í húsnæði Laugardalshallar eru virkar eftirlitsvélar, inni sem úti. Upptaka er geymd í allt að 90 daga og einungis afhent gögn að beiðni lögreglu. Leigutaka er bent á að kynna sér staðsetningar myndavéla og fyrirkomulag á sínum viðburði með tilliti til persónuverndar.“

Viðburðarhöldurum sé einungis gefinn kostur á að aftengja rafræna vöktun á stöku svæðum en ekki á öllu eftirlitsmyndavélakerfi hússins. Þá sé viðburðarhöldurum ekki veittur aðgangur að myndefni úr eftirlitsmyndavélum.

Eftirlitsmyndavélakerfi Laugardalshallar sé ávallt notað í þeim tilgangi að fylgjast með öryggi húsnæðisins, svo sem húseignum, húsbúnaði, ljósum, vatnsleka, sem og öðru sem fylgjast þurfi með. Húsverðir hafi aðgang að skjá í afgreiðslu þar sem einungis sé hægt að sjá rauntímamyndir. Framkvæmdastjóri Íþrótta- og sýningahallarinnar hafi yfirumsjón með og beri ábyrgð á eftirlitsmyndavélakerfinu og hann hafi einn aðgang að upptökum. Þá séu upptökur einungis skoðaðar á grundvelli skriflegra beiðna lögreglu.

Af hálfu Íþrótta- og sýningahallarinnar er því ekki svarað hvaða vinnsluheimild vinnsla persónuupplýsinga vegna vöktunarinnar er talin styðjast við, þ. á m. hvaða heimild fyrir vinnslu viðkvæmra persónuupplýsinga byggt er á. Óskaði þó Persónuvernd sérstaklega eftir upplýsingum þar að lútandi.

3.
Vettvangsathugun Persónuverndar

Með bréfi, dags. 18. maí 2022, var Íþrótta- og sýningahöllinni tilkynnt um fyrirhugaða vettvangsathugun Persónuverndar í Laugardalshöll. Í tilkynningunni kom fram að Persónuvernd færi fram á að við athugunina yrði viðstaddur starfsmaður sem gæti veitt starfsmönnum Persónuverndar aðgang að öllum eftirlitsmyndavélum hússins og þeim kerfum þar sem gögn úr myndavélunum væru vistuð, svör um fyrirkomulag vöktunar, fræðslu um hana og annað sem máli gæti skipt. Hinn 19. maí 2022 framkvæmdu tveir starfsmenn Persónuverndar vettvangsathugunina og tók framkvæmdastjóri Íþrótta- og sýningahallarinnar á móti þeim.

Í Laugardalshöll reyndust vera um 50 eftirlitsmyndavélar, í nánast öllum rýmum hússins utan salerna, búningsklefa og skrifstofurýma starfsmanna. Einfaldar merkingar voru víða en á þær skorti upplýsingar um ábyrgðaraðila vöktunarinnar.

 

II.
Forsendur og niðurstaða
1.
Afmörkun – Gildissvið – Ábyrgðaraðili

Sem fyrr greinir afmarkast mál þetta við vinnslu persónuupplýsinga við rafræna vöktun í Laugardalshöll þegar aðrir en rekstraraðili hússins, Íþrótta- og sýningahöllin, fá húsið til afnota í tengslum við viðburðahald.

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar. Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, þar með talin söfnun, varðveisla, skoðun, miðlun með framsendingu og eyðing, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Rafræn vöktun er vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði, sbr. 9. tölul. 3. gr. laga nr. 90/2018. Hugtakið tekur m.a. til vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga.

Mál þetta lýtur að rafrænni vöktun með eftirlitsmyndavélum í Laugardalshöll. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Af gögnum málsins má ráða að Íþrótta- og sýningahöllin taki ákvörðun um rafræna vöktun í Laugardalshöll. Eins og hér háttar til telst Íþrótta- og sýningahöllin því vera ábyrgðaraðili að umræddri vinnslu.

2.
Lagaumhverfi

Öll vinnsla persónuupplýsinga verður að byggjast á heimild í 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Í því tilviki sem hér um ræðir reynir einkum á 6. tölul. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji aðili gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn.

Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna og 2. mgr. 9. gr. reglugerðarinnar. Kemur 6. tölul. lagaákvæðisins einkum til skoðunar í þessu sambandi en samkvæmt ákvæðinu getur vinnsla viðkvæmra persónuupplýsinga verið heimil sé hún nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur. Vísast í því sambandi til úrskurðar Persónuverndar frá 25. júní 2013 í máli nr. 2013/229, þar sem reyndi á skýringu hliðstæðs ákvæðis í lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Samkvæmt b-lið 3. tölul. 3. gr. laganna eru heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. um heilbrigðisþjónustu sem hann hefur fengið, viðkvæmar persónuupplýsingar. Að mati Persónuverndar er ljóst að slíkra upplýsinga hefur verið aflað með rafrænni vöktun í Laugardalshöll, enda liggur meðal annars fyrir að fjöldi fólks þáði þar heilbrigðisþjónustu þegar fjöldabólusetningar vegna Covid-19 fóru þar fram á vegum Heilsugæslu höfuðborgarsvæðisins. Samkvæmt því verður lagt til grundvallar að Íþrótta- og sýningahöllin vinni m.a. með viðkvæmar persónuupplýsingar í tengslum við vöktunina.

Til viðbótar við framangreint verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679, þ. á m. um að þess skuli gætt við vinnslu persónuupplýsinga að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins), að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.) og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Samkvæmt 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar ber ábyrgðaraðili ábyrgð á því að vinnsla persónuupplýsinga samrýmist ávallt meginreglunum og skal geta sýnt fram á það.

Til að rafræn vöktun sé heimil verður jafnframt að vera fullnægt skilyrði 1. mgr. 14. gr. laga nr. 90/2018 um að hún fari fram í málefnalegum tilgangi. Þá er sérstaka reglu um fræðslu varðandi rafræna vöktun að finna í 4. mgr. ákvæðisins, þess efnis að með merki eða á annan áberandi hátt skuli gera glögglega viðvart um rafræna vöktun á vinnustað eða á almannafæri og hver ábyrgðaraðili vöktunarinnar er.

Að auki ber að líta til hinna almennu ákvæða um fræðslu sem veita ber hinum skráða um vinnslu persónuupplýsinga. Vísast í því sambandi til 1. mgr. 12. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 17. gr. laga nr. 90/2018, en samkvæmt umræddu ákvæði reglugerðarinnar ber ábyrgðaraðila að gera viðeigandi ráðstafanir til að láta skráðum einstaklingi í té þær upplýsingar sem í 13. reglugerðarinnar greinir og skulu upplýsingar veittar skriflega eða á annan hátt, t.d. á rafrænu formi.

Í 13. gr. reglugerðarinnar er nánar tiltekið fjallað um fræðslu og upplýsingar sem ábyrgðaraðila ber að veita hinum skráða þegar persónuupplýsinga er aflað hjá honum sjálfum, þ.m.t. við rafræna vöktun, sbr. 2. útgáfu leiðbeininga Evrópska persónuverndarráðsins nr. 3/2019 sem birt var 29. janúar 2020. Kemur meðal annars fram í ákvæðinu að skýra ber hinum skráða frá því hver ábyrgðaraðilinn er, samskiptaupplýsingum persónuverndarfulltrúa ef við á, tilgangi vinnslunnar og lagagrundvelli, viðtakendum eða flokkum viðtakenda persónuupplýsinga og, ef heimild til vinnslu byggist á því að hún sé nauðsynleg vegna lögmætra hagsmuna, hvaða lögmætu hagsmunir það eru.

Í framangreindum leiðbeiningum Evrópska persónuverndarráðsins er áréttað mikilvægi þess að hinum skráða sé með skýrum viðvörunarmerkjum gerð grein fyrir því að rafræn vöktun fari fram, svo og til hvaða svæða hún nái. Jafnframt er tekið fram að frekari fræðslu samkvæmt 13. gr. reglugerðarinnar megi veita með öðrum hætti en slíkum viðvörunarmerkjum, en að hún þurfi eftir sem áður að vera fyrir hendi og aðgengileg.

Mál þetta hófst og var rannsakað í gildistíð reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Samkvæmt 4. gr. þeirra reglna varð rafræn vöktun að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, svo sem í þágu öryggis eða eignavörslu. Þá sagði í 5. gr. reglnanna að við alla rafræna vöktun skyldi þess gætt að ganga ekki lengra en brýna nauðsyn bæri til miðað við þann tilgang sem að væri stefnt, svo og að virða skyldi einkalífsrétt þeirra sem sættu vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Við ákvörðun um hvort viðhafa skyldi rafræna vöktun skyldi því ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun væri unnt að ná með öðrum og vægari raunhæfum úrræðum. Reglur nr. 837/2006 hafa nú verið leystar af hólmi með reglum nr. 50/2023 um rafræna vöktun sem geyma hliðstæð ákvæði og hinar eldri reglur. Fyrirmæli í ákvörðun þessari, sbr. kafla 3.4., eru veitt samkvæmt hinum nýju reglum í samræmi við almennar reglur um lagaskil.

3
Niðurstaða
3.1
Vinnsluheimild, skilyrði fyrir vinnslu viðkvæmra persónuupplýsinga og meðalhóf

Sem fyrr greinir er vinnsla persónuupplýsinga, þar með talið fyrir tilstilli rafrænnar vöktunar, háð því að hún fari fram á grundvelli heimildar samkvæmt. 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Eins og háttar til í fyrirliggjandi máli reynir einkum á hvort vinnsla persónuupplýsinga fyrir tilstilli rafrænnar vöktunar á viðburðum sem haldnir eru í Laugardalshöll styðjist við 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins. Ljóst er af lögmætisreglu 1. tölul. 1. mgr. 8. gr. laganna og a-liðar 1. mgr. 5. gr. reglugerðarinnar, sbr. einnig ábyrgðarskyldu samkvæmt 2. mgr. sömu ákvæða, að Íþrótta- og sýningahöllin þarf að geta sýnt fram á að öllum skilyrðum vinnsluheimildarinnar sé fullnægt.

Til að vinnsla persónuupplýsinga geti byggst á tilvitnaðri vinnsluheimild þarf þremur lögbundnum skilyrðum að vera fullnægt. Í fyrsta lagi þurfa að vera til staðar lögmætir hagsmunir ábyrgðaraðila eða þriðja manns. Í framkvæmd sinni hefur Persónuvernd litið svo á að eignavörslu- og öryggishagsmunir geti fallið þar undir.

Í öðru lagi þarf vinnslan að vera nauðsynleg í þágu hinna lögmætu hagsmuna. Ljóst er af lögskýringargögnum að ríkar kröfur verður jafnan að gera til nauðsynjar einkum þegar unnið er með persónuupplýsingar barna.

Í þriðja lagi áskilja heimildarákvæðin að hinir lögmætu hagsmunir sem vísað er til vegi þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga. Vega einkalífshagsmunir barna sérstaklega þungt í þessu tilliti.

Af hálfu Íþrótta- og sýningahallarinnar hefur komið fram að tilgangur rafrænnar vöktunar sé að tryggja öryggi Laugardalshallar og eigna sem þar er að finna. Fyrir liggur að húsið er mjög vinsæll staður fyrir viðburðahald og með þeim stærstu á landinu, en húsnæðið rúmar nokkur þúsund manns. Þá liggur fyrir að þar fer fram afar fjölbreytt starfsemi, t.a.m. tónleikar, ráðstefnur, veislur og íþróttaviðburðir barna og fullorðinna. Í ljósi þess má telja líkur á lögmætum hagsmunum af umræddri vöktun vegna öryggis- og eignavörslu þannig að fyrsta skilyrði heimildarákvæðanna sé fullnægt.

Þá verður að mati Persónuverndar ekki séð að unnt væri að tryggja framangreinda hagsmuni á fullnægjandi hátt með öðrum og vægari úrræðum en með rafrænni vöktun með notkun eftirlitsmyndavéla, meðal annars með hliðsjón af stærð hússins. Samkvæmt því má leggja til grundvallar að skilyrði heimildarákvæðanna um nauðsyn sé fullnægt, og að þar með sé jafnframt sýnt fram á að vinnslan samrýmist að þessu leyti áskilnaði 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679 og 5. gr. reglna nr. 837/2006 um meðalhóf við vinnslu persónuupplýsinga í tengslum við rafræna vöktun.

Af þriðja skilyrði heimildarákvæðanna leiðir að Íþrótta- og sýningahöllinni ber að vega eignavörslu- og öryggishagsmuni sína gagnvart hagsmunum þeirra skráðu einstaklinga sem heimsækja Laugardalshöll. Í þessu samhengi verður að horfa til þess að húsnæði Laugardalshallarinnar er leigt út í fjölbreyttum tilgangi, eins og fram hefur komið, meðal annars fyrir íþróttaviðburði barna og ungmenna og í einhverjum tilvikum er húsið þá jafnframt notað sem gistiaðstaða iðkenda. Þá var í Laugardalshöll framkvæmd fjöldabólusetning vegna Covid-19, eins og áður hefur verið bent á.

Í ljósi hinnar fjölbreyttu starfsemi sem fram fer í Laugardalshöll verður tvíþætt krafa leidd af skilyrði heimildarákvæðanna um framkvæmd hagsmunamats. Þannig bar Íþrótta- og sýningahöllinni annars vegar að framkvæma hagsmunamat í tengslum við almenna notkun hússins. Hins vegar geta viðburðir kallað á að framkvæmt sé sérstakt hagsmunamat sem tekur mið af þeirri starfssemi sem fram fer í húsinu hverju sinni. Af því er ljóst að Íþrótta- og sýningahöllin getur þurft að kalla eftir upplýsingum frá leigutökum um fyrirhugaða notkun Laugardalshallar, í því skyni að félagið geti í reynd framkvæmt hið sérstaka hagsmunamat vegna einstaka viðburða. Í þessu sambandi bendir Persónuvernd sérstaklega á að hagsmunir þeirra skráðu einstaklinga sem heimsækja Laugardalshöll kunna í einhverjum tilvikum að vega þyngra en hagsmunir Íþrótta- og sýningahallarinnar af umræddri vinnslu. Getur það til að mynda átt við þegar húsnæðið er leigt út sem gistirými fyrir börn.

Í máli þessu liggur hvorki fyrir að Íþrótta- og sýningahöllin hafi vegið eignavörslu- og öryggishagsmuni sína gagnvart einkalífshagsmunum gesta Laugardalshallar með almennum hætti í tengslum við rafræna vöktun né að slíkt mat sé framkvæmt í tengslum við sérstaka viðburði. Er samkvæmt því ekki unnt að líta svo á að vinnsla persónuupplýsinga sem til verða við rafræna vöktun þegar Laugardalshöll er leigð út til viðburðarhalds fullnægi síðasta skilyrði 6. tölul. 9. gr. laga nr. 90/2018 og f-liðar 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.

Af framangreindu leiðir að Íþrótta- og sýningahöllin hefur ekki sýnt fram á að vinnsla persónuupplýsinga sem til verða við rafræna vöktun í Laugardalshöll, þegar aðrir fá húsið til afnota, styðjist við heimild samkvæmt 9. gr. laga nr. 90/2018 og 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Þegar af þeirri ástæðu gerist ekki þörf á að fjalla um hvort vinnsla viðkvæmra persónuupplýsinga sem til verða við rafræna vöktun í Laugardalshöll samrýmist ákvæðum 1. mgr. 11. gr. laganna og 2. mgr. 9. gr. reglugerðarinnar.

3.2.
Skilyrði um málefnalegan tilgang

Fyrir liggur að engar myndavélar eru staðsettar á salernum og búningsklefum í Laugardalshöll. Hins vegar liggur fyrir að flest önnur rými hússins eru vöktuð, þar með talið þegar nýting þeirra getur talist óhefðbundin og þar fer fram viðkvæm starfsemi, líkt og veiting heilbrigðisþjónustu og hýsing barna á íþróttamótum.

Rafræn vöktun er sem fyrr segir háð því skilyrði að hún fari fram í málefnalegum tilgangi. Í framkvæmd sinni hefur Persónuvernd litið svo á að eignavörslu- og öryggistilgangur geti verið málefnalegur en almennt teljist hins vegar ekki málefnalegt að vakta búnings- og/eða salernisaðstöðu eða sambærileg rými í þeim tilgangi. Til dæmis má benda á úrskurð stofnunarinnar frá 15. júní 2021 í máli nr. 2020010545 í þessu samhengi. Byggist þessi afstaða meðal annars á því að við slíkar aðstæður þoka eignavörslu- og öryggishagsmunir ábyrgðaraðila fyrir einkalífshagsmunum hinna skráðu, svo sem fjallað var um í kafla 3.1.

Sama sjónarmið á við þegar notkun rýma, þar sem fram fer rafræn vöktun, breytist úr því að vera almenn, t.d. að þar fari fram íþróttaviðburðir, tónleikar eða aðrir svipaðir viðburðir, yfir í að þar fari fram viðkvæmari starfsemi sem kallar á ríkari einkalífsvernd hinna skráðu, svo sem viðburðir af því tagi sem títt hefur verið vísað til í þessari ákvörðun.

Að þessu gættu, og að teknu tilliti til þess að fyrir liggur í gögnum málsins að rafræn vöktun hefur átt sér stað í Laugardalshöll við nærgöngular aðstæður eða viðburði, verður ekki talið að Íþrótta- og sýningahöllin hafi sýnt fram á að gætt hafi verið að reglunni um málefnalegan tilgang vinnslu persónuupplýsinga, sbr. 2. tölul. 1. mgr. og 2. mgr. 8. gr. laga nr. 90/2018 og b-lið 2. tölul. 1. mgr. og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, 1. mgr. 14. gr. laganna, svo og 4. gr. reglna nr. 837/2006.

3.3.
Gagnsæi, fræðsla og merkingar

Eins og fyrr greinir leiddi vettvangsathugun Persónuverndar í ljós að á merkingar um rafræna vöktun af hálfu Íþrótta- og sýningahallarinnar í Laugardalshöll skortir upplýsingar um ábyrgðaraðila vöktunarinnar. Merkingar og fræðsla Íþrótta- og sýningahallarinnar samrýmast að þessu leyti ekki ákvæði 4. mgr. 14. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Þá liggur ekkert fyrir um það í gögnum málsins að Íþrótta- og sýningahöllin veiti skráðum einstaklingum upplýsingar um vinnslu persónuupplýsinga sem til verða við rafræna vöktun til samræmis við 13. gr. reglugerðar (ESB) 2016/679, sbr. 2. mgr. 17. gr. laga nr. 90/2018, svo sem með því að birta persónuverndarstefnu á vef Laugardalshallar eða á annan hátt.

Þegar litið er til framangreinds verður ekki talið að Íþrótta- og sýningahöllin hafi sýnt fram á að gætt hafi verið að meginreglu persónuverndarlöggjafarinnar um gagnsæi, sbr. 1. tölul 1. mgr. og 2. mgr. 8. gr. laga nr. 90/2018 og a-lið 1. mgr. og 2. mgr. 5. gr. reglugerðarinnar, vegna vinnslu persónuupplýsinga sem til verða við rafræna vöktun á viðburðum í Laugardalshöll.

3.4.
Fyrirmæli

Með vísan til alls framangreinds og með heimild í 4. tölul. 42. gr. laga nr. 90/2018 er hér með lagt fyrir Íþrótta- og sýningahöllina að láta af rafrænni vöktun í Laugardalshöll nema ef mat samkvæmt 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 leiðir í ljós að eignavörslu- og öryggishagsmunir félagsins gangi framar einkalífshagsmunum gesta hússins, þar með talið á einstaka viðburðum sem þar eru haldnir.

Með vísan til sömu heimildar er jafnframt lagt fyrir Íþrótta- og sýningahöllina að uppfæra og setja upp merkingar um rafræna vöktun í Laugardalshöll til samræmis við 4. mgr. 14. gr. laga nr. 90/2018 og 8. gr. reglna nr. 50/2023 um rafræna vöktun. Að því marki sem merkingar geyma ekki upplýsingar um þau atriði sem upplýsa ber skráða einstaklinga um samkvæmt 13. gr. reglugerðar (ESB) 2016/679 skal Íþrótta- og sýningahöllin veita þær á annan hátt, svo sem á vefsíðu sinni.

Skal Persónuvernd berast staðfesting á því að framangreindum fyrirmælum hafi verið fylgt, ásamt afriti af merkingum og öðru fræðsluefni, eigi síðar en 7. mars 2023.

Með hliðsjón af framangreindri niðurstöðu getur umrædd vinnsla persónuupplýsinga einnig varðað sektum samkvæmt 1. tölul. 2. mgr. og 1. og 2. tölul. 3. mgr. 46. gr. laga nr. 90/2018. Mun Persónuvernd taka það til sérstakrar skoðunar hvort leggja eigi sekt á Íþrótta- og sýningahöllina vegna brota á reglugerð (ESB) 2016/679 samkvæmt þessari ákvörðun og verður félaginu veittur sérstakur andmælaréttur þar að lútandi.

Á k v ö r ð u n a r o r ð:

Vinnsla persónuupplýsinga sem til verða við rafræna vöktun Íþrótta- og sýningahallarinnar hf. í Laugardalshöll, sem fram fer þegar aðrir fá húsið til afnota í tengslum við viðburðahald, samrýmist ekki ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679 um vinnsluheimildir.

Vinnsla persónuupplýsinga sem til verða við rafræna vöktun Íþrótta- og sýningahallarinnar hf. í Laugardalshöll, sem fram fer þegar aðrir fá húsið til afnota í tengslum við viðburðahald, samrýmist ekki meginreglu laga nr. 90/2018 og reglugerðar (ESB) 2016/679 um málefnalegan tilgang.

Vinnsla persónuupplýsinga sem til verða við rafræna vöktun Íþrótta- og sýningahallarinnar hf. í Laugardalshöll, sem fram fer þegar aðrir fá húsið til afnota í tengslum við viðburðahald, samrýmist ekki meginreglu laga nr. 90/2018 og reglugerðar (ESB) 2016/679 um gagnsæi þar sem félagið brýtur gegn fræðsluskyldu og skyldu til að gera viðvart um vöktunina með merkingum.

Lagt er fyrir Íþrótta- og sýningahöllina hf. að láta af rafrænni vöktun í Laugardalshöll nema ef mat samkvæmt 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 leiðir í ljós að eignavörslu- og öryggishagsmunir félagsins gangi framar einkalífshagsmunum gesta hússins, þar með talið á einstaka viðburðum sem þar eru haldnir.

Lagt er fyrir Íþrótta- og sýningahöllina hf. að uppfæra og setja upp merkingar um rafræna vöktun í Laugardalshöll til samræmis við 4. mgr. 14. gr. laga nr. 90/2018 og 8. gr. reglna nr. 50/2023 um rafræna vöktun. Að því marki sem merkingar geyma ekki upplýsingar um þau atriði sem upplýsa ber skráða einstaklinga um samkvæmt 13. gr. reglugerðar (ESB) 2016/679 skal Íþrótta- og sýningahöllin veita þær á annan hátt.

Skal Íþrótta- og sýningahöllin hf. senda Persónuvernd staðfestingu á því að farið hafi verið að fyrirmælum stofnunarinnar, ásamt afriti af merkingum og öðru fræðsluefni, eigi síðar en 7. mars 2023.

Persónuvernd, 7. febrúar 2023

Ólafur Garðarsson

formaður

 

Björn Geirsson              Sindri M. Stephensen

Vilhelmína Haraldsdóttir                   Þorvarður Kári Ólafsson