Notkun ökurita hjá Mannvirkjastofnun

Mál nr. 2018/1253

10.9.2019

Úrskurður

Á fundi stjórnar Persónuverndar hinn 29. ágúst 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2018/1253:

I.

Málsmeðferð

1.

Upphaf máls

Hinn 11. júlí 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur „kvartandi“) yfir notkun ökurita í bifreið hjá Mannvirkjastofnun. Nánar tiltekið er kvartað yfir því að ökuriti hafi verið tekinn í notkun í bifreið sem starfsmenn Mannvirkjastofnunar noti í störfum sínum hjá stofnuninni. Í kvörtun kemur fram að kvartandi telji starfsmenn ekki hafa fengið fullnægjandi fræðslu um notkun ökuritans og að verið sé að nota upplýsingar úr ökurita umfram yfirlýstan tilgang hans. Þannig sé verið að fylgjast með ferðum bifreiðarinnar í tíma og ótíma án þess að þörf sé á. Jafnframt er kvartað yfir því hvernig var staðið að ákvörðun um ísetningu ökurita og með hvaða hætti ákvörðunin hafi verið tekin.

Í tölvupósti til starfsmanna Mannvirkjastofnunar þann 10. janúar 2018 var greint frá því að á næstu dögum yrði settur upp ökuriti í tiltekna bifreið Mannvirkjastofnunar […]. Segir jafnframt að tilkynning hafi verið send til Persónuverndar, en slík tilkynning sé ein af forsendum fyrir heimild fyrir notkun ökurita, ásamt því að upplýsa starfsmenn um notkunina sem gert sé í umræddum tölvupósti. Einnig muni þetta verða rætt á næsta starfsmannafundi. Í tölvupóstinum kemur fram að þjónustuaðili ökuritans sé fyrirtækið Klappir Grænar Lausnir hf. Þá segir að tilgangur vöktunar sé að fá upplýsingar um notkun bifreiðarinnar, fá vöktun á ástandi bílvélar, fá tilkynningar um þörf á smurþjónustu, þjónustuskoðanir og lögbundna aðalskoðun. Þá komi einnig fram upplýsingar um eyðslu bifreiðarinnar og bilanagreiningu, komi upp aðvörunarljós. Auk þess megi sjá aksturshraða og það sem kallað sé gæðaakstur, þ.e. hröðun og bremsunotkun. Í tölvupóstinum segir jafnframt að gögn um notkun, bæði kílómetra og eldsneytisnotkun, séu sett sjálfvirkt inn í yfirlit vegna færslu á grænu bókhaldi stofnunarinnar en þar komi fram upplýsingar um vistspor. Þá kemur fram að þar sem starfsmenn hafi ekki heimild til að nota bifreiðina til einkanota sé þeim óheimilt að aftengja búnaðinn. Loks segir um aðgang að upplýsingum að hann verði eingöngu hjá skrifstofustjóra þar sem hann fái einn aðgang að þeim hugbúnaði sem tengist ökuritanum. Upplýsingar sem settar séu í grænt bókhald séu öllum aðgengilegar eftir útgáfu þess sem sé árlega. Aðgangur að upplýsingum í kerfinu verði til þriggja ára en þá sé hann þurrkaður út af þjónustuaðila.

2.

Bréfaskipti

2.1 Svör Mannvirkjastofnunar

Með bréfi, dags. 5. september 2018, var Mannvirkjastofnun boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 19. september s.á. Þar segir að Mannvirkjastofnun telji notkun umrædds ökurita vera í fullu samræmi við ákvæði reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Tilgangur rafrænnar vöktunar með ökurita, sem staðsettur sé í bifreið Mannvirkjastofnunar, sé að fá upplýsingar um notkun bifreiðarinnar, ástand hennar, eldsneytiseyðslu, bilanir, staðsetningu hennar og akstursleið sem og aksturshraða og gæðaakstur. Þá séu gögn um eldsneytisnotkun og ekna kílómetra sett inn í yfirlit vegna færslu á grænu bókhaldi stofnunarinnar. Í bréfinu segir jafnframt að rafræn vöktun í bifreið sé nauðsynleg til að Mannvirkjastofnun geti vaktað nýtingu opinbers fjár, sérstaklega hvað varði eftirlit með ferðum starfsmanna sem myndi grundvöll fyrir greiðslu dagpeninga. Einnig sé mikilvægt að fyrir liggi upplýsingar um aksturshraða og staðsetningu bifreiðar ef slys verði við akstur, til dæmis vegna skaðabótakrafna. Þá hafi stofnunin orðið vör við óheimila notkun bifreiðarinnar, þ.e. notkun utan vinnutíma, sem og að ferðir séu ekki rétt skráðar, með tilliti til dagpeninga. Ekki verði séð að önnur og vægari úrræði séu til þess fallin að ná sama markmiði og niðurstöðum og rafræn vöktun með ökurita. Í bréfi stofnunarinnar kemur auk þess fram að gögn úr ökurita séu ekki persónugreinanleg án þess að þau séu borin saman við það hver hafi bókað bifreiðina í hvert skipti, en mögulegt sé að aka bifreiðinni án þess að það hafi verið bókað sérstaklega.

Þá segir að gögn úr ökuritanum séu ekki vistuð hjá Mannvirkjastofnun heldur þjónustuaðila ökuritans sem sé fyrirtækið Klappir Grænar Lausnir hf. Aðgangur að upplýsingum í kerfinu hjá þjónustuaðila sé í 3 ár en Mannvirkjastofnun hafi óskað eftir því að gögnum verði eytt eftir 90 daga í samræmi við 7. gr. reglna um rafræna vöktun. Varðandi fræðslu til starfsmanna segir að í tölvupósti, dags. 10. janúar 2018, hafi starfsmönnum verið tilkynnt um að ökuriti yrði settur í bifreiðina, málið hafi þá verið rætt á starfsmannafundi 30. janúar s.á. og auk þess sé að finna upplýsingar um hann í starfsmannahandbók stofnunarinnar. Miði sem gefur til kynna að ökuriti sé í bifreiðinni hafi verið settur í hana um leið og ökuritinn. Með greindum tölvupósti hafi starfsmenn verið upplýstir um tilgang vöktunar, hvaða upplýsingar kæmu frá ökurita, hverjir hefðu aðgang að upplýsingunum og hversu lengi þær yrðu varðveittar. Að lokum segir í bréfi Mannvirkjastofnunar að hvorki hafi komið fram, í fyrrgreindum tölvupósti né á starfsmannafundi, að nota ætti ökuritann til að fylgjast með ferðum starfsmanna líkt og kvartandi haldi fram í kvörtun sinni. Mannvirkjastofnun telji þá notkun að sjá hvar bifreið sé stödd hverju sinni og hvert henni hafi verið ekið vera eðlilega og málefnalega og í fullu samræmi við að skýrt sé að ekki sé heimilt að nota bifreiðina utan vinnutíma. Starfsmenn hafi fengið upplýsingar um fyrrgreint og um að tilgangur vöktunarinnar væri m.a. að fá upplýsingar um notkun bifreiðar, staðsetningu og hvert henni hafi verið ekið.

2.2 Frekari skýringar Mannvirkjastofnunar, vinnslusamningur og vinnsluskrá

Með bréfi, dags. 17. október 2018, var óskað frekari upplýsinga frá Mannvirkjastofnun. Nánar tiltekið var óskað upplýsinga um hvort gerður hefði verið vinnslusamningur við Klappir Grænar Lausnir hf., sbr. 3. mgr. 25. gr. laga nr. 90/2018, og hefði slíkur samningur verið gerður var óskað eftir afriti af honum. Þá var óskað upplýsinga um hvort gerð hefði verið skrá yfir vinnslu persónuupplýsinga, sbr. 26. gr. laga nr. 90/2018, og ef svo væri, hvað kæmi fram í henni varðandi skráningu upplýsinga úr ökurita. Svar Mannvirkjastofnunar barst með bréfi, dags. 24. október 2018. Í svarbréfinu segir að ákvörðun um að hefja notkun ökurita í bifreiðum Mannvirkjastofnunar hafi verið tekin í janúar 2018, áður en lög nr. 90/2018 tóku gildi. Af þeim sökum hafi ekki verið gerður vinnslusamningur við Klappir Grænar Lausnir hf. en stofnunin vinni að því að endurskoða samninga við birgja og þjónustuaðila með það að markmiði að kanna í hvaða tilfellum þurfi að gera vinnslusamning. Ekki hafi komið til skoðunar hvort gera ætti vinnslusamning við Klappir Grænar Lausnir hf. þar sem fyrirtækið vinni ekki með persónuupplýsingar frá Mannvirkjastofnun, heldur aðeins skráningu yfir ökuferil bifreiðar, án þess að rekja megi hvaða starfsmaður noti bifreiðina á hvaða tíma. Þá hafi Mannvirkjastofnun sent Klöppum Grænum Lausnum hf. erindi þar sem óskað hafi verið eftir því að upplýsingum úr ökurita verði eytt eftir 90 daga skv. ákvæðum 7. gr. reglna nr. 837/2006. Svar Klappa Grænna Lausna hf. hafi verið að þar sem ekki væri um að ræða persónuupplýsingar teldi fyrirtækið sér ekki skylt að eyða upplýsingunum eftir 90 daga. Mannvirkjastofnun leiti því leiða til að hægt verði að takmarka aðgang stofnunarinnar að gögnum við 90 daga tímabil. Afrit af drögum vinnsluskrár var sent Persónuvernd með tölvupósti í formi Excel-skjals. Um vinnsluskrána segir í svari Mannvirkjastofnunar að hún sé langt komin og í henni sé fjallað um upplýsingar úr ökurita. Í drögum að vinnsluskránni sjálfri kemur meðal annars fram að skrifstofustjóri sé ábyrgur innan stofnunarinnar fyrir vinnslu persónuupplýsinga úr ökurita og flokkar hinna skráðu séu starfsmenn. Þá kemur einnig fram að markmið vinnslunnar sé viðhald og eftirlit og að upplýsingarnar komi frá ökurita. Flokkar persónuupplýsinga eru sagðir vera ökuhegðun og staðsetning en við þann dálk er athugasemd þar sem segir að ekki sé hægt að sjá í ökurita hver keyri bifreiðina en hægt sé að samkeyra það við Outlook þar sem bifreiðin er bókuð. Jafnframt kemur fram í vinnsluskránni að viðtakendur séu tryggingafélög og að heimild til vinnslu sé í f-lið 6. gr. laga nr. 90/2018; nauðsynlegt eftirlit með eignum; viðhaldsþörf, umgengni, notkun. Um fyrirhugaða tímafresti vegna eyðingar segir að gögnum verði eytt eftir 90 daga samkvæmt reglum Persónuverndar og eru Klappir Grænar lausnir hf. skráðar sem vinnsluaðili í vinnsluskránni.

Að lokum segir í svarbréfi Mannvirkjastofnunar að í vinnsluskrá sé talið að upplýsingar úr ökurita teljist eingöngu persónugreinanlegar ef þær séu bornar saman við upplýsingar um það hver hafi bókað bifreiðina í hvert skipti. Því séu Klappir Grænar Lausnir hf. ekki taldar vinna með persónuupplýsingar, þar sem fyrirtækið hafi ekki aðgang að upplýsingum um bókanir bifreiðarinnar. Aftur á móti sé talið mögulegt að ef um slys eða tjón sé að ræða geti tryggingarfélög fengið upplýsingar úr ökurita en þá liggi væntanlega fyrir hver hafi ekið bifreiðinni og verði þær því persónugreinanlegar af þeim sökum.

2.3 Svör kvartanda

Með bréfi, dags. 20. nóvember 2018, var kvartanda veitt færi á athugasemdum við framangreindar skýringar Mannvirkjastofnunar. Svar barst með bréfi, dags. 2. janúar 2019. Í svarbréfi kvartanda kemur fram að af svörum Mannvirkjastofnunar sé skýrt að verið sé að fylgjast með ferðum starfsmanna. Þó sé einungis verið að fylgjast með ferðum sumra, þ.e. þeirra sem nota bifreið stofnunarinnar. Ekki sé fylgst með ferðum þeirra starfsmanna sem kjósi að nota eigin bifreiðar. Kvartandi bendir á að miðað við notkun umræddrar bifreiðar sé í […] tilfella um að ræða notkun hans á bifreiðinni. Þá hafi skrifstofustjóri óheftan aðgang að upplýsingum um notkun ökuritans hjá Klöppum Grænum Lausnum hf. og bókunum bifreiðarinnar og því séu gögnin persónugreinanleg þegar hann beri þetta saman. Einnig segir að þegar farið sé í þennan gagnagrunn og ferðir starfsmanna skoðaðar sé það gert án þess að sá sem sæti vöktun sé viðstaddur eða látinn vita. Kvartandi bendir á að þó að fram komi í tölvupósti til starfsmanna, dags. 10. janúar 2018, að hægt sé að sjá hvar bifreið sé hverju sinni og hvert henni hafi verið ekið hafi ekki komið fram, hvorki í tölvupóstinum né á starfsmannafundi, að nota ætti gögnin til að ákvarða dagpeninga starfsmanna. Þá telur kvartandi að starfsmannastjóri sé oft að fylgjast með ferðum bifreiðarinnar og þá starfsmanna í rauntíma. Að öðru leyti eru ítrekuð þau sjónarmið sem fram komu í kvörtun, dags. 11. júlí 2018.

2.4 Frekari skýringar Mannvirkjastofnunar

Með bréfi, dags. 22. maí 2019, var óskað frekari upplýsinga frá Mannvirkjastofnun. Þar sem málið hafði dregist vegna anna hjá Persónuvernd var óskað upplýsinga um hvort ökuriti væri enn til staðar í umræddri bifreið, hvort búið væri að gera vinnslusamning við Klappir Grænar Lausnir hf., sbr. 3. mgr. 25. gr. laga nr. 90/2018, og hefði slíkur samningur verið gerður var óskað eftir afriti af honum. Þá var óskað upplýsinga um hvernig varðveislu upplýsinga úr ökurita væri háttað, nánar tiltekið hvar og hversu lengi upplýsingar sem safnast úr ökurita væru vistaðar. Jafnframt var óskað upplýsinga um hvernig varðveislu á skrá yfir hvaða starfsmaður notaði bifreiðina á hverjum tíma væri háttað. Svar Mannvirkjastofnunar barst með bréfi, dags. 6. júní 2019. Í svarbréfinu segir að ökuriti hafi ekki verið tengdur við bifreið stofnunarinnar í nokkrar vikur en fyrirhugað sé að selja umrædda bifreið á næstunni. Ný bifreið hafi verið keypt á árinu og stefnt sé að því að hafa ökuritann í þeirri bifreið. Í bréfinu er ítrekað fyrra svar Mannvirkjastofnunar um að ekki hafi komið til skoðunar að gera vinnslusamning við Klappir Grænar lausnir hf. þar sem fyrirtækið vinni ekki með persónuupplýsingar, heldur aðeins skráningu yfir ökuferil bifreiðarinnar án þess að rekja megi hvaða starfsmaður noti bifreiðina á hverjum tíma. Segir jafnframt að á hinn bóginn hafi Mannvirkjastofnun samþykkt rafræna notkunarskilmála (e. Data Processing Addendum and Service Terms) hjá Klöppum Grænum Lausnum hf. vegna notkunar ökurita.

Í svarbréfinu segir að um varðveislu upplýsinga úr ökurita fari eftir fyrrgreindum rafrænum notkunarskilmálum hjá Klöppum Grænum Lausnum hf. Þá segir að ekki liggi fyrir skrá yfir hvaða starfsmaður noti bifreiðina á hverjum tíma heldur einungis yfir þann aðila sem taki frá bifreiðina til afnota fyrir sig eða annan starfsmann stofnunarinnar. Segir að þegar starfsmaður eða yfirmaður viðkomandi starfsmanns óski eftir að hafa til afnota bifreið Mannvirkjastofnunar vegna vinnu panti hann bifreiðina í gegnum dagatal í tölvupóstforritinu Outlook. Einnig kemur fram í svarbréfinu að nýlega hafi verið samþykktar verklagsreglur um akstur bifreiðar Mannvirkjastofnunar. Samkvæmt vinnufyrirkomulagi sé starfsmönnum sem hafi aðgang að upplýsingum úr ökurita óheimilt að skoða upplýsingar sem eru eldri en 90 daga úr dagatali Outlook þar sem bókun bifreiðar fari fram til samanburðar við gögn úr ökurita. Þá segir að starfsmenn sem hafi aðgang að gögnum úr ökurita hafi hingað til ekki notað upplýsingar úr dagatali í Outlook lengra aftur í tímann en einn mánuð. Að lokum segir að með því verklagi sem nú sé viðhaft sé engin hætta á vinnslu persónugreinanlegra gagna lengur en í 90 daga.

Með tölvupósti hinn 12. júní 2019 kom Mannvirkjastofnun á framfæri enn frekari athugasemdum. Í tölvupóstinum segir að starfsmenn sem skrá bókun á bifreið í Outlook geti, ef þeir kjósi, eytt færslunni og sé hún þá fallin úr kerfinu og sé þá öllum ósýnileg. Jafnframt kemur fram að aðrir starfsmenn geti ekki eytt færslum sem þeir hafi ekki stofnað.

II.

Forsendur og niðurstaða

1.

Lagaskil

Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sem í gildi voru þegar kvörtun í máli þessu barst Persónuvernd, voru leyst af hólmi með lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sem tóku gildi hinn 15. júlí 2018. Þau lögfestu jafnframt persónuverndarreglugerðina, (ESB) 2016/679, eins og hún var aðlöguð og tekin upp í EES-samninginn.

Þar sem kvörtun þessi beinist að ástandi sem er enn til staðar í gildistíð nýrra laga, þ.e. rafrænni vöktun hjá Mannvirkjastofnun, auk þess sem þær reglur laga um persónuvernd sem á reynir hafa ekki breyst efnislega, verður leyst úr málinu á grundvelli laga nr. 90/2018.

2.

Gildissvið – Ábyrgðaraðili - Afmörkun

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar. Í athugasemdum við ákvæðið í frumvarpi að lögum nr. 90/2018 segir að hugtakið persónuupplýsingar sé víðfeðmt og taki til allra upplýsinga, álita og umsagna, sem beint eða óbeint mætti tengja tilteknum einstaklingi. Sérstaklega er vísað til 26. liðs í formála reglugerðarinnar þar sem segir meðal annars að meginreglur um persónuvernd ættu að gilda um hvers kyns upplýsingar varðandi persónugreindan eða persónugreinanlegan einstakling. Einnig segir að persónuupplýsingar sem hafi verið færðar undir gerviauðkenni sem kunni að vera hægt að rekja til einstaklings með notkun viðbótarupplýsinga skuli teljast upplýsingar um persónugreinanlegan einstakling. Taka verði mið af öllum þeim aðferðum sem ástæða sé til að ætla að annaðhvort ábyrgðaraðili eða annar aðili geti beitt til að bera kennsl á viðkomandi einstakling með beinum eða óbeinum hætti. Einstaklingar geta þannig verið auðkenndir á grundvelli breytna sem samanlagðar gefa til kynna hver á í hlut þó svo að engin ein þeirra nægi til þess, ein og sér. Þá var í dómi Evrópudómstólsins frá 19. október 2016 í máli nr. C-582/14 (Breyer gegn Þýskalandi) staðfest sú túlkun að um persónuupplýsingar geti verið að ræða þótt aðili sem býr yfir tilteknum upplýsingum geti þurft viðbótargögn frá þriðja aðila til að gera upplýsingarnar persónugreinanlegar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að rafrænni vöktun hjá Mannvirkjastofnun þar sem ökuriti í bifreið Mannvirkjastofnunar safnar rafrænum gögnum um ökutæki fyrirtækisins sem síðan eru vistaðar hjá þjónustuaðilanum Klöppum Grænum Lausnum hf. Mannvirkjastofnun hefur aðgang að upplýsingum sem verða til úr ökurita í gegnum aðgang hjá Klöppum Grænum Lausnum hf. Hjá Mannvirkjastofnun eru jafnframt upplýsingar í tölvupóstforritinu Outlook um hvaða starfsmaður bókar umrædda bifreið í hvert skipti. Með vísan til þess er það mat Persónuverndar að unnt sé að rekja þær upplýsingar sem verða til í ökurita bifreiðarinnar til tiltekinna einstaklinga. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Það fellur hins vegar ekki undir verksvið Persónuverndar að taka afstöðu til álitaefna um hvernig ákvörðun um notkun ökurita var tekin hjá Mannvirkjastofnun. Tekur úrskurður þessi því ekki til þess atriðis.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Mannvirkjastofnun vera ábyrgðaraðili að umræddri vinnslu.

3.

Lagaumhverfi

Notkun ökurita til ferilvöktunar á ökutækjum telst fela í sér rafræna vöktun, sbr. 9. tölul. 3. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Þar er hugtakið rafræn vöktun skilgreint sem vöktun sem er viðvarandi og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði.

Til að rafræn vöktun sé heimil verður að vera fullnægt skilyrðum 1. mgr. 14. gr. laga nr. 90/2018. Þar er kveðið á um að rafræn vöktun sé ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi. Rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram. Sem endranær verður vinnsla persónuupplýsinga, sem fram fer í tengslum við rafræna vöktun, ávallt að fullnægja einhverju af skilyrðum 9. gr. laga nr. 90/2018, svo sem að vinnsla sé heimil sé hún nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul., eða á grundvelli lögmætra hagsmuna sem vegi þyngra en réttindi og frelsi hins skráða, sbr. fyrrgreint ákvæði 6. tölul.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.) og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.).

Reglur um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, nr. 837/2006, voru settar á grundvelli 5. mgr. 37. gr. eldri laga nr. 77/2000 en halda gildi sínu með stoð í lögum nr. 90/2018, sbr. 5. mgr. 14. gr. þeirra. Reglurnar gilda um rafræna vöktun sem fram fer á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði, sbr. 2. mgr. 1. gr. reglnanna. Reglurnar hafa meðal annars að geyma ákvæði um rafrænan staðsetningarbúnað. Hugtakið rafrænn staðsetningarbúnaður er í 8. tölul. 2. gr. reglnanna, sbr. reglur nr. 394/2008, skilgreindur sem rafrænn búnaður sem vinnur eða gerir unnt að vinna persónuupplýsingar um staðsetningu og ferðir einstaklinga.

Samkvæmt 8. gr. reglnanna er notkun ökurita eða rafræns staðsetningarbúnaðar í þeim tilgangi að fylgjast með ferðum einstaklinga háð því skilyrði að hennar sé sérstök þörf til að ná lögmætum og málefnalegum tilgangi. Í 7. gr. reglnanna er kveðið á um að persónuupplýsingum sem safnast við rafræna vöktun skuli eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær. Upplýsingarnar má þó ekki varðveita lengur en í 90 daga nema lög heimili.

Í 10. gr. reglnanna er mælt fyrir um skyldu ábyrgðaraðila að rafrænni vöktun til að setja reglur um vöktunina eða veita fræðslu til þeirra sem henni sæta. Samkvæmt 2. mgr. ákvæðisins skulu slíkar reglur eða fræðsla taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast og hversu lengi þær verði varðveittar. Þá kemur fram í 3. mgr. 10. gr. að meðal annars skuli tilgreina í reglum eða fræðslu hvaða búnaður er notaður og rétt viðkomandi til að fá að vita hvaða upplýsingar verða til um hann og til að fá upplýsingar leiðréttar eða þeim eytt, sbr. og 12. gr. reglnanna.

4.

Niðurstaða

4.1 Skyldur ábyrgðaraðila, vinnsluskrá og vinnslusamningur

Af hálfu Mannvirkjastofnunar hefur því verið haldið fram að stofnunin hafi ekki gert vinnslusamning við þjónustuaðilann, Klappir Grænar Lausnir hf., þar sem stofnunin telji að þjónustuaðilinn vinni ekki með persónuupplýsingar. Samkvæmt því sem að framan er rakið er ljóst að um persónugreinanlegar upplýsingar er að ræða, sem þjónustuaðilinn Klappir Grænar Lausnir hf. vinnur fyrir Mannvirkjastofnun með vistun og úrvinnslu upplýsinga sem safnast við notkun ökurita.

Sem fyrr segir barst erindi kvartanda Persónuvernd í tíð eldri laga nr. 77/2000 en ný lög nr. 90/2018 tóku gildi 15. júlí s.á. Samkvæmt 13. gr. laga nr. 77/2000 var ábyrgðaraðila heimilt að semja við annan aðila um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann bar ábyrgð á. Ef svo væri gert skyldi það gert með skriflegum samningi þar sem fram kæmi meðal annars að vinnsluaðila væri einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila giltu einnig um þá vinnslu sem vinnsluaðili annaðist. Við gildistöku nýrra laga varð engin breyting á þeirri skyldu ábyrgðaraðila að vinnsla af hálfu vinnsluaðila skyldi eingöngu fara fram á grundvelli samnings þar um, sbr. 3. mgr. 25. gr. laga nr. 90/2018. Af framangreindu er ljóst að Mannvirkjastofnun bar skylda til að gera vinnslusamning við Klappir Grænar Lausnir hf. á þeim tíma er kvörtun barst, þ.e. í tíð eldri laga, en það var ekki gert.

Þrátt fyrir að í svörum Mannvirkjastofnunar sé fullyrt að stofnunin hafi ekki gert vinnslusamning við Klappir Grænar Lausnir hf. segir í svarbréfi, dags. 6. júní 2019, að samþykktir hafi verið rafrænir notkunarskilmálar við fyrirtækið vegna notkunar ökurita. Um er að ræða tvö skjöl á ensku. Annars vegar skjal sem ber heitið Data Processing Addendum, sem þýða mætti sem viðauka um vinnslu persónuupplýsinga, og hins vegar Service Terms eða þjónustuskilmála. Í 10. gr. þjónustuskilmálanna segir að báðir samningsaðilar skuli vinna eftir viðeigandi lögum er varða vinnslu persónuupplýsinga. Þá segir að um vinnslu Klappa Grænna Lausna hf. á persónuupplýsingum fyrir hönd viðskiptavinar skuli sjá nánari ákvæði þar um í viðauka um vinnslu persónuupplýsinga. Við skoðun Persónuverndar á fyrrnefnda skjalinu, þ.e. viðauka um vinnslu persónuupplýsinga, er ekki annað að sjá en að þjónustuaðilinn Klappir Grænar Lausnir hf. líti á sig sem vinnsluaðila (e. processor), sbr. ákvæði 2.1 í viðaukanum. Meðal annars segir í kafla 3 í viðauka um vinnslu persónuupplýsinga að fyrirtækið vinni persónuupplýsingar eingöngu samkvæmt fyrirmælum viðskiptavinar og að viðskiptavinur skuli tryggja að fyrirmæli hans séu í samræmi við lög, reglur og reglugerðir um persónuupplýsingar. Þá er er einnig til þess að líta að Mannvirkjastofnun tiltekur Klappir Grænar Lausnir hf. sem vinnsluaðila í vinnsluskrá sinni.

Að teknu tilliti til innihalds og ákvæða fyrrgreinds viðauka er að mati Persónuverndar ekki hægt að draga aðra ályktun en að um vinnslusamning sé að ræða í raun þar sem Klappir Grænar Lausnir hf. teljist til vinnsluaðila og Mannvirkjastofnun til ábyrgðaraðila, enda er það Mannvirkjastofnun sem tekur ákvarðanir um vinnslu persónuupplýsinganna eins og hér háttar til. Ljóst er þó að fyrrgreindur viðauki uppfyllir ekki öll þau skilyrði sem gerð eru til vinnslusamninga í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Að mati Persónuverndar er verulega ámælisvert að opinber stofnun samþykki skilmála um vinnslu persónuupplýsinga við vinnsluaðila án þess að gera sér grein fyrir að stofnunin sé ábyrgðaraðili sem ber ríkar skyldur samkvæmt lögum um vinnslu persónuupplýsinga. Þá er það jafnframt talið ámælisvert að Mannvirkjastofnun telji að ekki sé unnið með persónugreinanlegar upplýsingar þegar umræddar upplýsingar eru það í reynd, og raunar taldar fram sem slíkar í vinnsluskrá stofnunarinnar, ásamt því að samþykktir eru skilmálar er varða vinnslu persónuupplýsinga.

Er Mannvirkjastofnun leiðbeint um að útbúa nýjan vinnslusamning við Klappir Grænar Lausnir hf. sem uppfyllir að öllu leyti skilyrði laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. 28. gr. reglugerðar (ESB) 2016/679. Meðal annars skal huga að því að skýra nánar hlutverk Mannvirkjastofnunar sem ábyrgðaraðila og hlutverk vinnsluaðila, ásamt því að kveða á um varðveislutíma gagna. Skal Mannvirkjastofnun senda Persónuvernd afrit uppfærðs vinnslusamnings sem staðfestingu á því að farið hafi verið að þessum fyrirmælum eigi síðar en 1. október 2019.

4.2 Ísetning ökurita og fræðsla

Samkvæmt gögnum málsins þjónar umræddur rafrænn staðsetningarbúnaðar þeim tilgangi að fá upplýsingar um notkun bifreiðar, ástand hennar, eldsneytiseyðslu, bilanir, staðsetningu hennar og akstursleið sem og aksturshraða og gæðaakstur. Þá eru gögn um eldsneytisnotkun og ekna kílómetra sett inn í yfirlit vegna færslu á grænu bókhaldi stofnunarinnar. Af hálfu Mannvirkjastofnunar hefur komið fram að vöktunin þjóni jafnframt þeim tilgangi að vakta nýtingu opinbers fjár, sérstaklega hvað varði eftirlit með ferðum starfsmanna sem myndi grundvöll fyrir greiðslu dagpeninga.

Persónuvernd telur í ljósi framangreinds tilgangs að kröfum fyrrnefndra ákvæða 1. mgr. 14. gr. laga nr. 90/2018 og 8. gr. reglna nr. 837/2006 geti talist fullnægt við þá vöktun sem fram fer með notkun ökurita. Þá telur Persónuvernd að vinnsla persónuupplýsinga í þeim tilgangi að vakta nýtingu opinbers fjár og mynda grundvöll fyrir greiðslu dagpeninga starfsmanna, þ.e. stjórnvaldsákvörðun af hálfu Mannvirkjastofnunar, geti talist heimil á grundvelli 5. tölul. 9. gr. laga nr. 90/2018 þar sem segir að vinnsla sé heimil sé hún nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með. Hvað varðar þann tilgang að fá upplýsingar um notkun bifreiðar, ástand og akstursnýtingu telur Persónuvernd að þrátt fyrir að stjórnvöld geti almennt ekki byggt á lögmætum hagsmunum sem heimild til vinnslu persónuupplýsinga geti í einhverjum tilvikum verið byggt á þeirri heimild þegar um er að ræða vinnslu persónuupplýsinga sem ekki fer fram í tengslum við lögbundin störf stjórnvalda. Getur það eftir atvikum átt við rafræna vöktun. Í ljósi framangreinds er því talið að fyrrgreind vinnsla geti talist heimil á grundvelli lögmætra hagsmuna sem vegi þyngra en réttindi og frelsi hins skráða, sbr. 6. tölul. 9. gr. laganna. Að framangreindu virtu er niðurstaða Persónuverndar sú að sú aðgerð Mannvirkjastofnunar að setja ökurita í bifreið stofnunarinnar með þeim tilgangi sem að framan er lýst samrýmist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Hvað fræðslu varðar er til þess að líta að starfsmönnum Mannvirkjastofnunar var greint frá fyrirhugaðri vöktun með ökuritum í tölvupósti hinn 10. janúar 2018 og á starfsmannafundi 30. s.m. Fallast má á að í tölvupóstinum hafi verið greint frá tilgangi vöktunarinnar að mestu, m.a. hvað varðar að fá upplýsingar um notkun bifreiðar, ástand hennar, eldsneytiseyðslu, bilanir, staðsetningu hennar og akstursleið sem og aksturshraða og gæðaakstur. Af svörum Mannvirkjastofnunar má hins vegar ráða að vöktun með ökurita þjóni jafnframt þeim tilgangi að vakta nýtingu opinbers fjár, sérstaklega hvað varði eftirlit með ferðum starfsmanna sem myndi grundvöll fyrir greiðslu dagpeninga. Í fyrrgreindum tölvupósti var hvergi vikið að fyrrgreindu atriði þrátt fyrir að fram komi að hægt sé að sjá hvar bifreiðin sé stödd hverju sinni og hvert henni hefur verið ekið. Verður með hliðsjón af framangreindu ekki talið að Mannvirkjastofnun hafi veitt starfsmönnum sínum fullnægjandi fræðslu um umrædda vöktun og vinnslu henni tengda í samræmi við 10. gr. reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

4.3 Varðveisla upplýsinga sem verða til við notkun ökurita

Fyrir liggur að upplýsingar úr ökurita Mannvirkjastofnunar eru varðveittar hjá vinnsluaðila stofnunarinnar, Klöppum Grænum Lausnum hf., í þrjú ár frá því að upplýsingarnar verða til. Á þeim tíma hafa til þess bærir starfsmenn Mannvirkjastofnunar aðgang að upplýsingunum þrátt fyrir að samkvæmt vinnufyrirkomulagi sé starfsmanni óheimilt að bera saman upplýsingar þaðan, sem eru eldri en 90 daga, við dagatal í Outlook þar sem bókun bifreiðar er skráð. Mannvirkjastofnun hefur þannig aðgang að upplýsingum sem safnast úr ökurita ásamt því að búa yfir þeim viðbótargögnum sem þarf til þess að gera upplýsingar úr ökurita persónugreinanlegar, þ.e. upplýsingum um hvaða starfsmaður pantar umrædda bifreið á hverjum tíma, í allt að þrjú ár. Þá má telja öruggt að í þeim tilfellum sem vinnuferðir liggja til grundvallar greiðslu dagpeninga séu einnig til skráðar upplýsingar um slíkar greiðslur, miðað við almennt verklag á vegum opinberra aðila.

Samkvæmt 7. gr. reglna nr. 837/2006 er gert ráð fyrir að persónuupplýsingum sem safnast við rafræna vöktun skuli eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær og að ekki megi varðveita þær lengur en í 90 daga nema lög heimili. Um slíka lagaheimild er ekki að ræða í máli þessu. Í ljósi framangreinds verður því talið að varðveislutími Mannvirkjastofnunar á þeim upplýsingum sem safnast við rafræna vöktun með ökurita og varðveittar eru lengur en í 90 daga samrýmist ekki lögum nr. 90/2018 og reglum nr. 837/2006.

Með vísan til 7. tölul. 42. gr. laga nr. 90/2018 er hér með lagt fyrir Mannvirkjastofnun að gera ráðstafanir til að þess að öllum gögnum sem safnast við rafræna vöktun með ökurita í bifreið stofnunarinnar verði eytt að 90 daga varðveislutíma liðnum. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 1. október 2019.

Meðferð þessa máls hefur tafist vegna mikilla anna hjá Persónuvernd.

Ú r s k u r ð a r o r ð:

Vinnsla persónuupplýsinga tengd notkun Mannvirkjastofnunar á ökurita í bifreið stofnunarinnar samrýmist lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, að undanskildu því að tímalengd varðveislu gagna samrýmist ekki 7. gr. reglna nr. 837/2006 um rafræna vöktun og vinnslu persónuupplýsinga sem verða til við rafræna vöktun.

Fræðsla um framangreinda vöktun samrýmdist ekki reglum nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

Lagt er fyrir Mannvirkjastofnun að gera ráðstafanir til að þess að öllum gögnum sem safnast við rafræna vöktun með ökurita í bifreið stofnunarinnar verði eytt að 90 daga varðveislutíma liðnum. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 1. október 2019.

Lagt er fyrir Mannvirkjastofnun að senda Persónuvernd uppfærðan vinnslusamning við Klappir Grænar Lausnir hf. sem uppfyllir að öllu leyti þær kröfur sem gerðar eru í 25. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018, sbr. 28. gr. reglugerðar (ESB) 2016/679, eigi síðar en 1. október 2019.

Í Persónuvernd, 29. ágúst 2019

Björg Thorarensen
formaður

Ólafur Garðarsson                               Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson