Rafræn vöktun í Búnaðarbankanum - mál nr. 2002/579

8.8.2003

Hinn 8. ágúst 2003 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2002/579:

I.
Málavextir

Með bréfi, dags. 29. nóvember 2002, óskaði Einar Þór Sverrisson, hdl. fh. NN, eftir því að Persónuvernd kannaði hvort framkvæmd rafrænnar vöktunar hjá Búnaðarbanka Íslands hafi verið í samræmi við ákvæði laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum. Tilefnið var að kvöldið 25. september og aðfararnótt 26. september 2002 höfðu, með notkun viðbótarmyndavéla sem settar höfðu verði upp á tilteknum skrifstofum í Búnaðarbankanum, náðst myndir af NN, sem þá starfaði þar sem vaktmaður. Myndirnar leiddu til þess að á hann féll grunur um refsivert brot og honum var sagt upp störfum. Var verknaðurinn kærður til lögreglu.

Af fengnu framangreindu erindi óskaði Persónuvernd með bréfi, dags. 17. desember 2002, skýringa Búnaðarbankans. Svarbréf Búnaðarbanka Íslands er dags. 7. febrúar 2003. Því fylgdi m.a. eintak af verklagsreglum bankans vegna öryggismyndavélakerfa, afrit úr öryggishandbók útgefinni af Öryggisnefnd banka og sparisjóða, afrit af tölvupósti frá Verkfræðistofu Snorra Ingimarssonar og ljósrit úr DV frá 1. október 2002. Fram kom að verkfræðistofan hannaði það öryggismyndavélakerfi sem Búnaðarbankinn notar og var sett upp árið 2001. Með bréfi, dags. 18. febrúar 2003, var Einari Þór Sverrissyni, hdl., kynnt svarbréf Búnaðarbanka Íslands og ofangreind fylgigögn og honum gefinn kostur á að tjá sig um þær skýringar sem þar koma fram og eftir atvikum koma að frekari upplýsingum. Hann svaraði með bréfi, dags. 10. mars 2003. Með bréfi, dags. 16. maí 2003, óskaði Persónuvernd nánari skýringa frá Búnaðarbankanum um hvernig uppfyllt hafi verið fræðsluskylda gagnvart starfsmönnun, sbr. 20. gr. laga nr. 77/2000. Persónuvernd sendi afrit þess bréfs til Einars Þórs Sverrissonar, hdl. Svarbréf Búnaðarbankans er dags. 20. júní 2003. Persónuvernd sendi það Einari Þór Sverrissyni, hdl., til kynningar með bréfi dags. 1. júlí s.á. og gaf honum kost á að tjá sig um það og eftir atvikum koma að frekari upplýsingum. Hann svaraði með bréfi dags. 7. júlí. Með bréfi, dags. 9. júlí sl., var Búnaðarbanka Íslands gefinn kostur á að tjá sig um það og svaraði bankinn með bréfi dags. 18. júlí 2003.

  II.
Nánar um bréfaskipti
og sjónarmið málsaðila

Í bréfum sínum til Persónuverndar, dags. 29. nóvember 2002 og 10. mars 2003 vísar Einar Þór Sverrisson, hdl., til þess að vaktmaðurinn telji að ekki hafi verið rétt staðið að framkvæmd rafrænnar vöktunar í Búnaðarbankanum. Í 24. gr. laga nr. 77/2000 sé áskilið að þegar rafræn vöktun fari fram á vinnustað eða á almannafæri skuli með merki eða á annan áberandi hátt gera glögglega viðvart um vöktunina og hver sé ábyrgðaraðili hennar. Samkvæmt upplýsingum vaktmannsins hafi ekki verið staðið rétt að þessu hjá Búnaðarbankanum. Er því mótmælt að einhvers konar neyðarréttur réttlæti uppsetningu auka öryggismyndavéla innan bankans. Breyti engu þótt þær hafi verið inni á einkaskrifstofum, því starfsvettvangur vaktmannsins hafi einnig verið þar. Hafi hann því átt skýlausa kröfu til að vera látinn vita af vélunum en það hafi ekki verið gert. Einhvers konar neyðarréttur geti ekki réttlætt að myndavélum sé komið upp utan ramma laga sem ætlað sé að vernda rétt einstaklinga til friðhelgi, en ekki óskilgreinda hagsmuni bankastofnana. Þá er því mótmælt að ummæli vaktmannsins, sem hann lét hafa eftir sér í lögregluskýrslu eftir að hafa vakað í 36 klst., geti orðið grundvöllur þess að aðili sem brýtur gegn lögum nr. 77/2000 komist upp með það. Önnur sjónarmið megi ekki komast að í málinu, enda ekki lagaskilyrði til þess og ljóst, af svari Búnaðarbanka Íslands, dags 7. febrúar sl., að grunur vaktmannsins um að bankinn hafi gerst brotlegur við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, hafi verið á rökum reistur.

Geta má þess að hinn 21. október 2002 hafði vaktmaðurinn símleiðis samband við Persónuvernd og ræddi almennt um gildandi reglur um myndavélaeftirlit. Sagði hann að starfsmenn bankans vissu almennt ekki að þar færi fram rafræn vöktun með eftirlitsmyndavélum, en að hins vegar hefði hann sjálfur vitað af vöktuninni og einnig því að grunur léki á að hann læki upplýsingum til Norðurljósa. Sagðist hann þess vegna hafa "sett á svið leikþátt" þegar hann var á næturvakt, m.a. hafi hann tekið skjöl og ljósritað þau (eða þóst ljósrita þau). Í framhaldi af þessu hafi honum verið sagt upp störfum að ósekju.

Í bréfi Búnaðarbanka Íslands, dags. 7. febrúar 2003, segir að sú rafræna vöktun sem þar fari fram með notkun öryggismyndavéla eigi sér annars vegar þann tilgang að gefa aukna yfirsýn yfir húsnæðið með áhorfi á skjái og hins vegar að safna upplýsingum sem nota megi vakni grunur um afbrot. Strangar reglur gildi um skoðun á vistuðu myndefni en það eyðist sjálfkrafa eftir 20 - 30 daga. Í bankanum séu varðveittar persónuupplýsingar um fjárhag einstaklinga og fyrirtækja sem vernda beri samkvæmt lögum um fjármálafyrirtæki, lögum um persónuvernd og reglum Persónuverndar nr. 299/2001. Segi þar í 6. gr. að í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum óheimils aðgangs, skuli ábyrgðaraðili grípa til þeirra öryggisráðstafana sem við eigi hverju sinni, t.d. með því að stýra aðgangi að húsnæði með úthlutun lykla, aðgangskorta o.þ.h. og með því að viðhafa öryggisvörslu, t.d. með öryggisvörðum, viðvörunarkerfum eða rafrænni vöktun. Öryggismyndavélakerfi bankans sé m.a. liður í framangreindu. Þá segir:

"Vegna ríkra viðskiptahagsmuna bankans og í því skyni að verja einn af hornsteinum hans, bankaleyndina, var viðbótarmyndavélum komið fyrir í ágúst sl. á lokuðum skrifstofum þaðan sem talið var að trúnaðarupplýsingar hefðu horfið. Myndavélunum var beint að skrifborðum viðkomandi starfsmanna þannig að allrar hreyfingar á og við skrifborðin voru tekin upp utan venjulegs vinnutíma. Eftir handtöku vaktmannsins í september voru umræddar viðbótarmyndavélar [..] teknar niður.

Afrit af upptökum nokkurra öryggismyndavéla af tilteknum ferðum umrædds fyrrverandi vaktmanns bankans á kvöldvakt þann 25. september og næturvakt hans þann 26. september hafa verið afhent Lögreglunni í Reykjavík að hennar beiðni. Innri endurskoðandi bankans varðveitir jafnframt afrit þessara upptaka með tryggum hætti meðan rannsókn umrædds máls stendur yfir."

 

Varðandi vitneskju vaktmannsins um umræddar myndavélar er m.a. vísað til frásagnar í dagblaðinu DV þann 1. október 2002 þar sem fram komi að honum hafi verið kunnugt um umræddar myndavélar og að hann hafi "sett upp leikrit" þegar hann stundaði, að mati bankans, annarlega og saknæma iðju. Þá segir að við alla innganga í byggingar bankans séu skýrar merkingar um að vöktun með öryggismyndavélum eigi sér stað.

Með bréfi, dags. 16. maí 2003, óskaði Persónuvernd nánari skýringa frá Búnaðarbankanum um hvernig staðið uppfyllt hafi verið fræðsluskylda gagnvart starfsmönnun, sbr. 20. gr. laga 77/2000. Í svarbréfi Búnaðarbankans, dags. 20. júní sl., segir m.a.:

"Umrædd rafræn vöktun var framkvæmd með þeim hætti að komið var fyrir myndavélum inná skrifstofum bankastjóra og nokkurra framkvæmdastjóra Kaupþings Búnaðarbanka hf. þar sem talið var að trúnaðarupplýsingar hefðu horfið. Myndavélunum var m.a. komið fyrir að tillögu lögreglumanns Lögreglunnar í Reykjavík í samtali við þáverandi aðallögfræðing bankans en bankinn hafði grun um að einhver væri að afhenda trúnaðargögn úr bankanum og brjóta þar með starfsreglur bankans um vörslu bankagagna og 43. gr. laga nr. 113/1996, um viðskiptabanka og sparisjóði (nú 58. gr. laga nr. 161/2002, um fjármálafyrirtæki).

Myndavélunum var eingöngu beint að skrifborðum bankastjóra og framkvæmdastjóra og tóku því ekki myndir af öðrum en þeim sem störfuðu við skrifborðin. Takmarkaður hópur hafði heimild og erindi að því svæði sem var rafrænt vaktað og höfðu allir þeir sem störfuðu á hinu vaktaða svæði vitneskju um hina rafrænu vöktun. Myndavélarnar voru aðeins í gangi utan hefðbundins opnunartíma bankans og átti því enginn erindi að hinu vaktaða svæði nema í ólögmætum tilgangi.
...
Í ljósi tilgangs vöktunarinnar var nauðsynlegt að tilkynna eingöngu þeim starfsmönnum sem heimilt var að starfa á því takmarkaða svæði sem var rafrænt vaktað um vöktunina, ella hefði tilgangi rannsóknarinnar ekki verið náð. Tilkynningin var því gerð munnlega án frekari auglýsingar."

Afrit framangreinds bréfs var sent Einari Þór Sverrissyni, hdl., til kynningar með bréfi, dags. 1. júlí s.á., og honum gefinn kostur á að tjá sig og eftir atvikum koma að frekari upplýsingum. Hann svaraði með bréfi dags. 7. júlí. Þar segir m.a.:

"Í bréfi bankans kemur fram, að myndavélunum hafi einungis verið beint að skrifborðum bankastjóra og framkvæmdastjóra og því hafi þær ekki tekið myndir af öðrum en þeim sem við þau störfuðu. Við þessa fullyrðingu hefur umbjóðandi minn það við að athuga, að í starfsskyldum hans fólst að ganga um allt hið vaktaða svæði, þ.m.t. upp að skrifborðum viðkomandi aðila innan bankans. Ljóst er því að verið var að taka myndir af honum við skyldustörf sín, án þess að hann hefði vitneskju um það. Slíkt er í beinni andstöðu við ákvæði laga nr. 77/2000. Þeirri fullyrðingu er því mótmælt sem rangri að allir sem störfuðu á hinu vaktaða svæði hafi haft vitneskju um hina rafrænu vöktun. Umbjóðandi minn var einn af þeim sem á grundvelli starfs síns vann á hinu vaktaða svæði, en enginn upplýsti hann um hinar földu myndavélar. Af bréfi bankans má ráða að umbjóðandi minn hafi verið á svæðinu ólögmætum tilgangi. Því er mótmælt sem alröngu, enda hafði hann starfsskyldur til að fara inn á svæðið. Ákvæðum 20. gr. laga nr. 77/2000 var því í engu fullnægt, gagnvart umbjóðanda mínum. Með vísan til þessa er því sú ályktun bankans röng, að ekki hafi borið að tilkynna umbjóðanda mínum um vöktunina, þar sem hans starfssvæði var m.a. á svæði myndavélanna. Hér sem hingað til virðist tilgangur bankans hafa helgað meðal hans, en slíkt er í skýrri andstöðu við ákvæði laga nr. 77/2000."

 

Með bréfi, dags. 9. júlí 2003 gaf Persónuvernd Búnaðarbanka Íslands kost á að tjá sig um framangreint og afmarka frekar starfsskyldur vaktmanns og vinnusvæði. Var óskað starfslýsingar, ef til væri. Bankinn svaraði með bréfi, dags. 18. júlí 2003. Þar segir m.a. að ekki liggi fyrir starfslýsing fyrir vaktmenn en að Verkfræðistofa Snorra Ingimarssonar hafi unnið handbók vaktmanna fyrir nokkrum árum. Þar segi að vaktmenn skuli fara í svokallað frágangseftirlit, þar sem vandlega skuli fara yfir öll tæki og búnað og athuga að slökkt sé á því sem eigi að vera slökkt á. Öll herbergi skuli yfirfarin, þ.e. hvort gluggar séu lokaðir, eldtraustar geymslur og lausir skápar lokaðir og millihurðum lokað. Þá segir:

"Í vinnuhandbók vaktmanna er ekkert kveðið á um skrifborð starfsmanna enda gildir sú meginregla hjá vaktmönnum sem og öðrum starfsmönnum bankans að óheimilt sé með öllu að eiga við skrifborð annarra starfsmanna en þeirra eigin, enda samræmist það ekki meginreglu bankans um meðferð trúnaðarskjala, þ.e. að starfsmönnum er óheimilt að afla sér eða skýra óviðkomandi aðilum frá málefnum bankans, viðskiptum einstakra aðila, stofnana eða fyrirtækja við hann, svo og skuldum þeirra eða eignum.

Eins og fram kemur í bréfi Einars Þórs Sverrissonar, hdl. til Persónuverndar, dags. 7. júlí 2003, var Kaupþing Búnaðarbanki hf. að kljást við innanhúsvandamál, þ.e. að grunur lék á því að starfsmaður bankans sem hafði aðgang að öllum svæðum bankans væri að fara inn á svæði sem honum var óheimilt að fara, þ.e. við skrifborð framkvæmdastjóra og bankastjóra og afla gagna með ólögmætum hætti. Eins og fram kom í bréfi Kaupþings Búnaðarbanka hf. dags. 2. júní sl., þá var komið fyrir myndavélum á skrifstofum framkvæmdastjóra og bankastjóra sem vöktuðu rafrænt skrifborð og þröngt og afmarkað svæði bakvið þau. Í samræmi við framangreint hlutverk vaktmanns í þeim herbergjum sem um ræðir áttu hvorki vaktmenn né aðrir starfsmenn en þeir sem höfðu vitneskju um hina rafrænu vöktun erindi að hinu vaktaða svæði nema í ólögmætum tilgangi.

Í ljósi framangreinds mótmælir Kaupþing Búnaðarbanki hf. rangri fullyrðingu Einars Þórs Sverrissonar hdl. þess efnis að vaktmönnum beri að ganga upp að skrifborðum og að bankinn hafi brotið gegn ákvæðum laga nr. 77/2000, um persónuvernd."   III.
Forsendur og niðurstaða

Fyrir liggur að Búnaðarbankinn kom myndavélum fyrir á lokuðum skrifstofum, þaðan sem talið var að trúnaðarupplýsingar hefðu horfið, og aflaði þannig mynda af ferðum vaktmannsins þegar hann var á kvöldvakt þann 25. september og næturvakt þann 26. september 2002, en myndirnar voru taldar bera með sér upplýsingar um refsiverðan verknað.

Sjónvarpsvöktun er ein tegund rafrænnar vöktunar. Með rafrænni vöktun er átt við vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði, sbr. 6. tölul. 1. mgr. 2. gr. laga nr. 77/2000. Vinnsla persónuupplýsinga er skilgreind sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 1. mgr. sömu greinar. Vinnsla myndefnis sem til verður við rafræna vöktun telst vera vinnsla persónuupplýsinga í þessum skilningi og fer um hana samkvæmt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Geta má þess að með lögum nr. 46/2003, sem samþykkt voru á Alþingi þann 14. mars 2003, var að nokkru breytt ákvæðum laganna um slíka vöktun en í úrskurði þessum er byggt á lögunum eins og þau voru á þeim tíma þegar umræddur atburður átti sér stað.

  1.
Lögmæti vöktunarinnar

Samkvæmt 2. mgr. 8. gr. laga nr. 77/2000, eins og hún var á þeim tíma er atvik máls þessa áttu sér stað, var rafræn vöktun staðar þar sem takmarkaður hópur fólks færi um að jafnaði heimil væri hennar sérstök þörf vegna eðlis þeirrar starfsemi sem þar færi fram. Öll myndavélavöktun þarf að uppfylla 24. gr. laganna um að merkja skuli eða gera á annan áberandi hátt glögglega viðvart um vöktunina og hver sé ábyrgðaraðili hennar. Ekki er um það deilt að við alla innganga Búnaðarbankans var að finna slíkar viðvaranir. Ákvæði 24. gr. áskilur hins vegar ekki að gert sé viðvart um staðsetningu eða fjölda myndavéla. Verður því ekki fullyrt að Búnaðarbankinn hafi brotið gegn 24. gr. þótt ekki hafi verið sett upp sérstök merki í öllum vistarverum bankans. Af frumvarpsathugasemdum með þessu ákvæði verður hins vegar ráðið að ákvæðið á einkum við þegar engin bein tengsl verða milli ábyrgðaraðila og hins skráða. Þegar slíkum tengslum er hins vegar til að dreifa, og um er ræða vöktun sem telst vera vinnsla persónuupplýsinga, þarf einnig að uppfylla hina almennu reglu 20. gr. um einstaklingsbundnar viðvaranir. Tilgangur slíkra viðvarana er m.a. að gefa hinum skráða kost á að gæta hagsmuna sinna. Ekki er ágreiningur um að þeim viðbótarmyndavélum sem um er deilt í máli þessu var beint að tilteknum skrifborðum í bankanum. Þá er óumdeilt að þeim sem unnu við þessi borð var munnlega gerð grein fyrir vöktuninni og tilgangi hennar. Ákvæði laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, áskilja ekki að sérstakt form sé viðhaft við slíka fræðslu. Verður því að telja að um lögmæta vöktun hafi verið að ræða, að því er varðar framkvæmdastjóra og bankastjóra, þ.e. þá sem unnu við hin vöktuðu skrifborð.

Hins vegar er ljóst að eðli málsins samkvæmt mátti ætla að aðrir starfsmenn en umræddir framkvæmdastjórar og bankastjórar færu um hið vaktaða svæði, þ. á m. ræstingafólk og vaktmenn. Af gögnum málsins verður hins vegar ekki ráðið að þessir starfsmenn hafi verið fræddir um umrædda uppsetningu nýrra véla á lokuðum skrifstofum. Er þá til skoðunar hvort að gagnvart þeim hafi verið um leynda vöktun að ræða. Varðandi vöktun með leynd skal minnt á þá meginreglu íslenskrar réttarskipunar að það er hlutverk lögreglu að vinna að uppljóstran brota, stöðva ólögmæta háttsemi og fylgja málum eftir í samræmi við ákvæði laga um meðferð opinberra mála eða eftir öðrum lögum, sbr. 2. tl. 1. gr. lögreglulaga nr. 90/1996. Samkvæmt 1. mgr. 66. gr. laga um meðferð opinberra mála nr. 19/1991 (oml.) fer lögreglan með rannsókn opinberra mála nema öðruvísi sé mælt fyrir í öðrum lögum. Í 86. gr. oml. er mælt fyrir um töku mynda í þágu rannsóknar og er hún, skv. 87. gr. sömu laga, háð leyfi dómara nema um sé að ræða töku mynda á almannafæri. Lögreglu kann, að skýrum skilyrðum uppfylltum, að vera heimil leynileg myndataka í þágu rannsóknar, en hvergi eru í lögum sambærilegar heimildir fyrir aðra til leynilegrar myndatöku.

Þótt í bréfi Búnaðarbankans, dags. 20. júní sl., segi að myndavélunum hafi verið komið fyrir að tillögu lögreglunnar í Reykjavík stendur eftir það álitaefni hvort umrædd vöktun hafi samrýmst ákvæðum oml. Samkvæmt 1. mgr. 37. gr. laga nr. 77/2000 er hlutverk Persónuverndar að annast eftirlit með framkvæmd þeirra laga og reglna sem settar hafa verið samkvæmt þeim. Eftirlit með framkvæmd laga um meðferð opinberra mála fellur utan verkahrings Persónuverndar og tekur hún þar af leiðandi ekki afstöðu til þess álitaefnis.

Eins og áður segir mátti bankinn, eðli málsins samkvæmt, ætla að aðrir starfsmenn en umræddir framkvæmdastjórar og bankastjórar færu um hið vaktaða svæði, þ. á m. ræstingafólk og vaktfólk. Ekki liggur fyrir að gagnvart þessu fólki hafi bankinn uppfyllt fræðsluskyldu sína samkvæmt 1. mgr. 20. gr. laga nr. 77/2000. Í þessu máli er hins vegar aðeins til úrlausnar mál NN, og er tilefni þess það þegar tilteknar myndavélar, sem settar höfðu verið upp á sérstökum skrifstofum í Búnaðarbankanum náðu, kvöldið 25. september og aðfaranótt 26. september 2002, myndum af honum sem taldar voru bera með sér upplýsingar um refsiverðan verknað. Í lögregluskýrslu sem tekin var af vaktmanninum þann, 26. september 2002, segir eftirfarandi: "Mætti taldi líkur á því að þetta skjal lægi þarna á borði Árna Tómassonar bankastjóra á 4. hæð líklega sem gildra eða prófsteinn hvort hann tæki skjalið ef settar hefðu verið upp fleiri öryggismyndavélar en búið var að tilkynna mætta að það væri í bígerð. Mætti segist sjálfur hafa viljað prófa hvort öryggismyndavélar hefðu verið settar upp þarna í nágrenninu eða inni á skrifstofu bankastjóra." Þessi skýring á málsatvikum er síðan áréttuð í símtali vaktmannsins við starfsmann Persónuverndar hinn 21. október 2002. Lýsing vaktmannsins á atvikum máls hefur hvorki verið dregin til baka né véfengd. Hins vegar segir í bréfi lögmanns hans, dags 10 mars 2003, að ummæli umbjóðanda hans í lögregluskýrslu geti ekki orðið grundvöllur þess að aðili sem brýtur gegn lögum nr. 77/2000 komist upp með það. Það er aftur á móti mat Persónuverndar að umrædd lýsing á málsatvikum hafi þýðingu varðandi úrlausn málsins. Verður þannig lagt til grundvallar að vaktmaðurinn hafi, í samræmi við fyrrgreind málsatvik, haft eða mátt hafa vitneskju um staðsetningu myndavélanna í umræddum herbergjum og um þá rafrænu vöktun sem viðhöfð var með þeim. Kemur því til skoðunar ákvæði 2. mgr. 20. gr. þar sem segir að ákvæði 1. mgr. um fræðsluskyldu eigi ekki við hafi hinn skráði þegar fengið vitneskju um þau atriði sem fræða skal um. Með vísun til þess verður umrædd vöktun ekki talin ólögmæt á þeirri forsendu að bankinn hafi ekki veitt vaktmanninum fræðslu í samræmi við 1. mgr. 20. gr. laga nr. 77/2000.

Telja má uppsetningu umræddra eftirlitsmyndavéla hafa verið eðlilegan lið í að uppfylla ákvæði 11. og 12. gr. laga nr. 77/2000 og reglur 299/2001 um öryggi persónuupplýsinga og hafi þannig haft málefnalegan og lögmætan tilgang í skilningi 1. og 2. tl. 7. gr. laga nr. 77/2000. Samkvæmt 2. mgr. 8. gr. laganna, eins og þau voru á þessum tíma, var heimil rafræn vöktun staðar þar sem takmarkaður hópur fólks færi að jafnaði um ef hennar væri sérstök þörf vegna eðlis þeirrar starfsemi sem þar færi fram, enda væri skilyrðum laga nr. 77/2000 um fræðsluskyldu fullnægt, sbr. 24. gr. og eftir atvikum 20. gr. Persónuvernd telur að þessum skilyrðum hafi verið fullnægt eins og hér stóð á. Óumdeilt er að við alla innganga Búnaðarbankans voru viðvaranir um að hann væri vaktaður, en ákvæðið áskilur ekki að gert sé viðvart um staðsetningu eða fjölda myndavéla. Þeir sem unnu við þau skrifborð sem viðbótarmyndavélum var beint að, framkvæmdastjórar og bankastjórar, höfðu fengið fræðslu í samræmi við ákvæði 1. mgr. 20. gr. laganna. Þá er það mat Persónuverndar að vaktmaðurinn hafi haft eða mátt hafa vitneskju um tilvist umræddra véla og því hafi fræðsluskylda samkvæmt 1. mgr. 20. gr. laganna ekki tekið til hans. Eins og máli þessu er háttað og með vísun til framangreinds telur Persónuvernd, að ekki verði fullyrt að sú vöktun sem mál þetta varðar - þ.e. vöktun sem átti sér stað með notkun viðbótarmyndavéla sem settar höfðu verði upp á tilteknum skrifstofum í Búnaðarbankanum og náðu, kvöldið 25. september og aðfararnótt 26. september 2002, myndum af NN, sem þá starfaði þar sem vaktmaður - hafi ekki farið í bága við ákvæði laga nr. 77/2000.

  2.
Lögmæti vinnslunnar

Eins og áður segir telst vinnsla myndefnis sem til verður við rafræna vöktun vera vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Svo að vinnsla persónuupplýsinga sé heimil verður hún að fullnægja einhverju af skilyrðum 8. og/eða 9. gr. þeirra laga. Vinnsla almennra upplýsinga þarf að uppfylla ákvæði 8. gr. en vinnsla viðkvæmra upplýsinga þarf einnig að uppfylla eitthvert af skilyrðum 9. gr. Upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað teljast vera viðkvæmar persónuupplýsingar, sbr. b. lið 8. tl. 2. gr. laganna. Myndefni sem verður til í eftirlitsmyndavélum af refsiverðum verknaði manns telst því til viðkvæmra persónuupplýsinga samkvæmt lögum nr. 77/2000. Af því leiðir að sú vinnsla sem hér um ræðir telst ekki lögmæt nema hún hafi bæði uppfyllt eitthvert af skilyrðum 8. gr. og 9. gr. laga nr. 77/2000.

Samkvæmt 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Í athugasemdum við 8. gr. frumvarps þess, er varð að lögum nr. 77/2000, segir svo um þetta ákvæði: "Í 3. tölul. kemur fram að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Þetta ákvæði byggist á c-lið 7. gr. tilskipunar ESB. Með lagaskyldu er átt við hvers konar skyldu sem leiðir af lagasetningu, m.a. skyldur samkvæmt reglugerðum eða öðrum stjórnvaldsfyrirmælum sem eiga sér stoð í lögum".

Samkvæmt 43. gr. laga nr. 113/1996, um viðskiptabanka og sparisjóði, sem í gildi voru þegar atburðir máls þessa áttu sér stað, voru allir starfsmenn viðskiptabanka og sparisjóða bundnir þagnarskyldu um allt það er varðaði hagi viðskiptamanna hlutaðeigandi stofnunar og önnur þau atriði sem þeir fengu vitneskju um í starfi sínu og leynt áttu að fara samkv. lögum eða eðli máls, sbr. nú 58. gr. laga nr. 161/2002, um fjármálafyrirtæki. Með vísun til þessarar skyldu telur Persónuvernd framangreindu skilyrði 3. tl. 8. gr. vera fullnægt.

Samkvæmt 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Í athugasemdum við 9. gr. frumvarps þess er varð að lögum nr. 77/2000 segir m.a. um þetta ákvæði: "Ákvæðið byggist á e-lið, i.f., 8. gr. tilskipunar ESB. Vinnuveitanda getur t.d. verið nauðsynlegt að vinna upplýsingar um heilsufar starfsmanns til að geta sýnt fram á lögmætar forsendur fyrir uppsögn. Það er ekki skilyrði að málið verði lagt fyrir dómstóla heldur nægir að vinnslan sé nauðsynleg til að styðja kröfu fullnægjandi rökum. Vinnsla viðkvæmra persónuupplýsinga í þessum tilgangi telst hins vegar því aðeins vera lögleg að krafan verði hvorki afmörkuð né staðreynd með öðrum hætti."

Fyrir liggur í máli þessu að með umræddri vinnslu náðust myndir sem leiddu til þess að vaktmanninum var sagt upp störfum. Er ljóst að hefði komið til málareksturs vegna meintrar ólögmætrar uppsagnar hefði bankanum, án slíkra gagna, getað reynst torvelt að sanna brottrekstrarsök. Í ljósi framangreindrar atburðarásar, þ. á m. þess hvernig bankinn brást við gagnvart lögreglu, og þess hvernig hér stóð á að öðru leyti, telst vinnslan hafa átt sér stoð í 7. tölul. 1. mgr. 9. gr.

Með vísun til framangreinds telur Persónuvernd að um lögmæta vinnslu í skilningi laga nr. 77/2000 hafi verið að ræða, enda hafi hún uppfyllt skilyrði 7. gr. laganna. Samkvæmt því ákvæði má vinnsla persónuupplýsinga aldrei verða meiri að umfangi en nauðsyn krefur hverju sinni. Verði tilgreindu markmiði náð með beitingu annarra viðurhlutaminni ráðstafana, skal þeim beitt, sbr. 3. tölul. 1. mgr. 7. gr. laganna. Ljóst er að taka mynda af fólki er í eðli sínu afar viðkvæms eðlis og getur falið í sér mikla ógn við friðhelgi einkalífs þess. Við mat á því hvort vinnsla mynda af manni sem bera með sér viðkvæmar persónuupplýsingar sé heimil samkvæmt lögum nr. 77/2000, vegast á annars vegar sjónarmiðið um friðhelgi einkalífs og hins vegar hagsmunir ábyrgðaraðila, hér Búnaðarbankans og viðskiptavina hans, af því að vinnslan fari fram. Að mati Persónuverndar fór notkun eftirlitsmyndavéla, eins og hér stóð á, ekki í bága við framangreint ákvæði. Þá er það skoðun Persónuverndar að vinnslan hafi átt sér málefnalegan tilgang í skilningi 1. og 2. tl. 7. gr. pul., og, með vísun til þess sem fram hefur komið um hvernig bankinn eyðir myndefni, séu uppfyllt skilyrði 3., 4. og 5. tl. sömu greinar.

Með vísun til framangreinds telur Persónuvernd að umrædd vinnsla, eins og henni er lýst í gögnum málsins, hafi ekki farið í bága við ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Ú r s k u r ð a r o r ð

Rafræn vöktun með notkun myndavéla á lokuðum skrifstofum í Búnaðarbankanum, og eftirfarandi vinnsla þeirra upplýsinga sem þannig var aflað um NN, með þeim hætti sem greinir í máli þessu, fór ekki í bága við ákvæði laga nr. 77/2000.