Skráning á upplýsingum um hnupl
Persónuvernd vísar til fyrri bréfaskipta um skráningu öryggisdeildar A á upplýsingum um búðarhnupl í verslunum sem falla undir rekstur félagsins.
Um heimsókn 24. janúar 2005
Eins og boðað var með bréfi Persónuverndar, dags. 18. janúar sl., heimsóttu starfsmenn stofnunarinnar öryggisdeild A þann 24. sama mánaðar. Af hálfu A tóku B öryggisstjóri, D hdl. og E hdl. á móti starfsmönnum Persónuverndar. Í heimsókninni kom fram að upplýsingar um búðarhnupl eru ekki varðveittar á rafrænu formi heldur aðeins færðar á eyðublöð sem er raðað í möppur eftir dagsetningum. Málsnúmer er skráð í hægra horn hvers skjals en aðspurður kvað öryggisstjórinn ekki vera til yfirlitsskrá sem tengi saman málsnúmer og einstaklinga. Tilgangurinn með málsnúmeri var aðeins sagður sá að halda saman skjölum sem tilheyra sama máli, t.d. þegar gögn berast frá lögreglu s.s. um niðurfellingu máls. Skoðuðu fulltrúar Persónuverndar þessar möppur. Þær eru geymdar í opinni hillu hjá öryggisdeildinni (u.þ.b. 20 möppur). Var m.a. skoðuð elsta mappan, sem inniheldur upplýsingar sem ná allt til ársins 1990, og mappa sem hefur að geyma nýjustu upplýsingarnar. Engum upplýsingum hefur verið eytt. Fram kom að upplýsingar um u.þ.b. 3 þjófnaðartilvik berast öryggisdeildinni á degi hverjum.
Í möppunum eru upplýsingar frá öllum útsölustöðum sem heyra undir A. þ. á m. frá . . . Þá hefur öryggisdeildin gert samning um öryggiseftirlit fyrir F auk þess sem fram kom að öryggisverðir G í . . . sjá um að koma til A eyðublöðum þegar þeir hafa afskipti af málum þar sem varða fyrirtæki A.
Fram kom að alla jafna er aðeins fyllt út eitt eyðublað vegna hvers máls, en titill blaðsins er: "Upplýsingar vegna gruns um þjófnað". Á það eru skráðar upplýsingar um: Útsölustað, dagsetn. og tíma, nafn, heimilisfang, póstnúmer, sveitarfélag, kennitölu, símanúmer, starf viðkomandi, hvaða skilríkjum var framvísað, málsatvik, verðmæti þess sem talið er að hafi verið tekið ófrjálsri hendi, hvort gengist hafi verið við broti, hvort og hvenær hringt hafi verið í lögreglu - og hvenær hún kom, númer lögregluþjóns og frekari athugasemdir s.s. um númer myndbandsspólu hafi þjófnaður náðst á mynd. Hjá eyðublöðum eru, eftir atvikum, geymd ýmis önnur skjöl, t.d. svarbréf frá lögreglu (tilkynning um móttöku erindis, niðurfellingu máls) og kröfubréf.
Öll tilvik eru skráð, jafnvel þótt um ósakhæfa einstaklinga sé að ræða. Meðal annars sáu fulltúar Persónuvernda upplýsingar um tilvik frá 21. nóvember sl. varðandi tvær 12 ára stúlkur. Þá kom fram að engin lágmarksupphæð er skilyrði skráningar, en finna mátti m.a. upplýsingar um tilvik þar sem talið var að stolið hafði verið vörum að verðmæti 72 kr.
Í heimsókninni var rætt í hvaða tilgangi umræddum upplýsingum er safnað. Af hálfu A kom fram að það sé annars vegar til að fylgja eftir málum og bótakröfum en hins vegar gert til að meta starfsumsóknir. Sé það einkum gert við ráðningar starfsmanna sem fá aðgang að öryggiskerfum viðkomandi verslana, t.d. sjóðsstjóra, og þeirra sem vinna á kassa. Þá kom fram að yfirleitt er aðeins nýjasta mappan yfirfarin í þessum tilgangi og að ekki er óskað eftir upplýsingum úr sakaskrá þeirra sem sækja um störf.
Loks kom fram að eyðublöð eru varðveitt hjá öryggisdeild A en afrit ekki send til lögreglu nema þess sé sérstaklega óskað. Sama á við þegar mynd næst af þjófnaði. Þá er númer myndbandsspólu sett á viðkomandi eyðublað og spólan geymd hjá öryggisdeildinni.
Umfjöllun stjórnar Persónuverndar
þann 25. janúar 2005
Persónuvernd hefur fyrst og fremst það hlutverk að hafa eftirlit með framkvæmd laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Efnislegt gildissvið laganna er afmarkað í 1. mgr. 3. gr. laganna. Þar segir að lögin gildi um sérhverja rafræna vinnslu persónuupplýsinga og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Eru hér lögð til grundvallar sömu sjónarmið og birtast í 3. gr. tilskipunar 95/46/ESB, sbr. 15. lið formálans, en miðað er við að gildissviðið hennar taki til meðferðar persónuupplýsinga sem er rafræn í heild eða að hluta, svo og til handunninnar meðferðar ef persónuupplýsingarnar eru eða eiga að verða hluti af skrá. Í því tilviki sem hér um ræðir verður, af því sem fram kom í framangreindri eftirlitsheimsókn, ekki annað ráðið en að um sé að ræða handvirka vinnslu persónuupplýsinga. Slík vinnsla fellur hins vegar utan gildissviðs laganna nema upplýsingar séu, eða eigi að verða, hluti af skrá. Ekki kom fram að umræddar upplýsingar hjá A séu varðveittar sem skrá, í skilningi laganna, né að þeim sé ætlað að verða hluti af slíkri skrá.
Með vísun til framangreinds var niðurstaða stjórnar Persónuverndar sú, þegar hún fjallaði um mál þetta á fundi sínum þann 25. f.m., að umrædd vinnsla öryggisdeildar A á upplýsingum um búðarhnupl í verslunum falli utan gildissviðs laga nr. 77/2000. Var því í fyrsta lagi ákveðið að falla frá boðaðri úttekt, sbr. bréf Persónuverndar dags. 18. janúar sl. Í öðru lagi var ákveðið að leiðbeina félaginu, hyggist það framkvæma breytingar á fyrirkomulagi vinnslu umræddra upplýsinga, verði fyrst að fara fram sérstök lögfræðileg könnun á því hvort breytt vinnsla muni falli undir gildissvið laganr. 77/2000. Reynist svo vera verður og að kanna hvort hún fái samrýmst ákvæðum laganna, einkum ákvæðum 7., 8. og 9. gr.
Að lokum skal tekið fram að meðan ekki liggur fyrir ákvörðun félagsins um slíkar breytingar og meðan það hefur ekki sjálft framkvæmt það lögfræðilega mat sem hér að framan greinir eru ekki efni til að persónuvernd skoði frekar þau drög að verklagsreglum sem henni bárust með bréfi yðar, dags. 10. nóvember síðastliðinn.