Úrlausnir

Rafræn vöktun af hálfu Brynju leigufélags ses.

6.6.2024

Við rafræna vöktun þarf tilgangur vöktunar að vera skýr, málefnalegur og lögmætur, t.d. að koma í veg fyrir þjófnað eða að tryggja öryggi manna og eigna. Gæta þarf meðalhófs og ekki má ganga lengra en þörf krefur til að forðast óþarfa íhlutun í einkalíf þeirra sem sæta vöktuninni. Þá er einnig nauðsynlegt að þeir sem sæta vöktun séu fræddir um vöktunina og verða viðeigandi merkingar að vera til staðar.

Í þessu tilviki voru merkingar og fræðsla um rafræna vöktun í og við fjölbýlishús Brynju leigufélags ses. að Hátúni 10 að mestu leyti með þeim hætti að samrýmist skyldum félagsins samkvæmt reglum persónuverndarlaganna. Þá var vinnslan ekki talin fara í bága við reglur persónuverndarlaga um öryggi við vinnslu persónuupplýsinga. Hins vegar var ekki talið að Brynja leigufélag ses. hefði sýnt fram á að heimilt væri að varðveita það myndefni sem safnast við vöktunina umfram 30 daga meginreglu 11. gr. reglna um rafræna vöktun nr. 50/2023.

----

Persónuvernd hefur komist að niðurstöðu vegna frumkvæðisathugunar varðandi rafræna vöktun af hálfu Brynju leigufélags ses. við fjölbýlishús félagsins að Hátúni 10. Upphaf málsins má rekja til þess að í árslok 2021 barst Persónuvernd ábending um rafræna vöktun við umrædd fjölbýlishús. Í kjölfar ábendingarinnar óskaði Persónuvernd upplýsinga frá Brynju leigufélagi ses. um hvernig rafrænni vöktun við fjölbýlishúsin væri háttað og hvernig hinum skráðu væri gert viðvart um vöktunina. Með hliðsjón af svörum félagsins taldi Persónuvernd ekki tilefni til frekari athugunar að svo stöddu en beindi því engu að síður til félagsins að gæta að því að merkingar og fræðsla vegna rafrænnar vöktunar væri í samræmi við ákvæði persónuverndarlöggjafarinnar. Jafnframt upplýsti Persónuvernd um að ef nýjar upplýsingar kæmu fram, til dæmis ef kvörtun bærist frá einstaklingi vegna rafrænnar vöktunar á vegum félagsins, kynni málið að verða tekið upp að nýju. Í október 2023 barst Persónuvernd svo kvörtun yfir rafrænni vöktun félagsins við umrædd fjölbýlishús.

Niðurstaða Persónuverndar var að merkingar og fræðsla um rafræna vöktun í og við fjölbýlishús Brynju leigufélags ses. að Hátúni 10, 10a og 10b væri að mestu leyti með þeim hætti að samrýmist skyldum félagsins samkvæmt ákvæðum persónuverndarlöggjafarinnar um gagnsæi og fræðslu. Þó skortir á að einstaklingum sem eiga að sæta vöktuninni sé í öllum tilvikum gert viðvart, áður en þeir koma inn á vaktað svæði eða vöktun hefst, um að rafræn vöktun fari fram. Var lagt fyrir Brynju leigufélag ses. að uppfæra merkingar og fræðslu til samræmis við gildandi reglur um rafræna vöktun. Einnig var niðurstaða Persónuverndar að Brynja leigufélag ses. hafi ekki sýnt fram á að eitthvert þeirra skilyrða sem tiltekin eru í 11. gr. reglna nr. 50/2023, sem réttlætt geta lengri varðveislutíma persónuupplýsinga sem verða til við rafræna vöktun, umfram 30 daga meginreglu ákvæðisins, séu uppfyllt varðandi það myndefni sem safnast við vöktun félagsins og því lagt fyrir félagið að stytta varðveislutíma persónuupplýsinganna til samræmis við gildandi reglur. 

Ákvörðun


vegna frumkvæðisathugunar á rafrænni vöktun af hálfu Brynju leigufélags ses. í máli nr. 2024020356:

Málsmeðferð

1. Persónuvernd tilkynnti Brynju leigufélagi ses., með bréfi 21. febrúar 2024, að stofnunin hefði hafið frumkvæðisathugun á vinnslu persónuupplýsinga hjá félaginu, í tengslum við rafræna vöktun við fjölbýlishús þess að Hátúni 10 í Reykjavík, sbr. 3. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

2. Við ákvörðun um að hefja ofangreinda frumkvæðisathugun var litið til þess að í árslok 2021 barst Persónuvernd ábending um rafræna vöktun við umrædd fjölbýlishús. Í kjölfar ábendingarinnar óskaði Persónuvernd upplýsinga frá Brynju leigufélagi ses. um hvernig rafrænni vöktun við fjölbýlishúsin væri háttað og hvernig hinum skráðu væri gert viðvart um vöktunina. Í svörum félagsins kom meðal annars fram að vöktun væri fyrst og fremst við innganga húsanna, við lyftu á fyrstu hæð, í bílageymslu og á göngum tengibyggingar. Vöktun færi fram í öryggis- og eignavörslutilgangi og merkingar um vöktunina væru við innganga í húsin og hurðir í tengibyggingu. Að þessum svörum virtum taldi Persónuvernd ekki tilefni til frekari athugunar að svo stöddu en beindi því engu að síður til félagsins að gæta að því að merkingar og fræðsla vegna rafrænnar vöktunar væri í samræmi við ákvæði laga nr. 90/2018 og reglugerð (ESB) 2016/679. Jafnframt upplýsti Persónuvernd um að ef nýjar upplýsingar kæmu fram, til dæmis ef kvörtun bærist frá einstaklingi eða fleiri ábendingar bærust vegna rafrænnar vöktunar á vegum félagsins, kynni málið að verða tekið upp að nýju, í heild sinni eða að hluta. Í október 2023 barst Persónuvernd svo kvörtun yfir rafrænni vöktun félagsins við umrædd fjölbýlishús. Með vísan til þess að kvartandinn bjó þá ekki lengur að Hátúni 10, sem og til ákvæða 3. málsl. 2. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 28. gr. reglna nr. 1150/2023 um málsmeðferð Persónuverndar, ákvað stofnunin að taka kvörtunina ekki til frekari rannsóknar.

3. Með fyrrgreindu bréfi 21. febrúar 2024 óskaði Persónuvernd upplýsinga frá Brynju leigufélagi ses. og bauð félaginu að koma á framfæri skýringum. Félagið svaraði með bréfi 4. mars s.á. Með bréfi 5. s.m. tilkynnti Persónuvernd félaginu að stofnunin hygðist framkvæma vettvangsathugun og var hún gerð 7. s.m. Með bréfi sama dag tilkynnti Persónuvernd félaginu um niðurstöður vettvangsathugunarinnar og veitti því kost á að tjá sig um þær. Jafnframt óskaði Persónuvernd frekari upplýsinga um eftirlitsmyndavél sem staðsett er á svölum íbúðar á þriðju hæð að Hátúni 10b. Svar barst frá Brynju leigufélagi ses. 14. s.m., þar sem ekki voru gerðar athugasemdir við niðurstöður vettvangsathugunar Persónuverndar og frekari upplýsingar veittar varðandi tilgreinda eftirlitsmyndavél. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.

Álitamál

4. Frumkvæðisathugun þessi lýtur að rafrænni vöktun á vegum Brynju leigufélags ses. við fjölbýlishús félagsins að Hátúni 10. Nánar tiltekið lýtur athugunin að því hvort merkingar um vöktunina eru á öllum þeim svæðum sem vöktunin nær til, hvort hinum skráða er gert viðvart um vöktunina áður en hann fer inn á vaktað svæði og hvort fræðsla til hans uppfyllir kröfur laga. Einnig var athugað hvort aðgangur að myndefni og öðrum persónuupplýsingum sem safnast við vöktunina uppfyllti kröfur persónuverndarlaga um öryggi persónuupplýsinga.

Fyrirliggjandi gögn

5. Meðfylgjandi svarbréfi Brynju leigufélags ses. 4. mars 2024 voru eftirfarandi gögn:

  1. Skjáskot af yfirlitsskjá eftirlitsmyndavéla sem vaktmenn leigufélagsins hafa aðgang að.
  2. Teikning með staðsetningu eftirlitsmyndavéla á jarðhæð og kjallara í Hátúni 10.
  3. Afrit af eyðublaði þar sem vaktmenn leigufélagsins staðfesta að hafa kynnt nýjum leigjendum fræðsluefni vegna rafrænnar vöktunar í upphafi leigu.
  4. Afrit af QR-kóða vegna rafrænnar vöktunar.
  5. Texti af vefsíðu Brynju leigufélags ses. sem tengist QR-kóða á merkingum um rafræna vöktun. Á vefsíðunni koma meðal annars fram upplýsingar um ábyrgðaraðila, samskiptaupplýsingar ef óskað er frekari upplýsinga um réttindi einstaklinga í tengslum við rafræna vöktun og að rafræn vöktun af hálfu félagsins fari fram í öryggis- og eignavörsluskyni. Þá segir að upplýsingar sem verði til við rafræna vöktun séu ekki varðveittar lengur en í 90 daga og að aðgangur að upplýsingum sé takmarkaður við sérvalda starfsmenn.

Í kjölfar vettvangsathugunar Persónuverndar barst stofnuninni einnig:

  1. Skjáskot úr eftirlitsmyndavél á svölum íbúðar 307 að Hátúni 10b.

Niðurstöður vettvangsathugunar

6. Vettvangsathugun Persónuverndar 7. mars 2024 leiddi í ljós að við fjölbýlishús Brynju leigufélags ses. að Hátúni 10 eru merkingar um rafræna vöktun á öllum þeim svæðum innandyra sem vöktunin nær til, að frátalinni einni eftirlitsmyndavél við inngang í bílakjallara í Hátúni 10b. Þá hefur QR-kóða verið bætt á allar merkingar um rafræna vöktun sem leiðir á vefsíðu þar sem veitt er nánari fræðsla um rafræna vöktun.

7. Vettvangsathugunin leiddi einnig í ljós að merkingar vantar sem gera viðvart um rafræna vöktun eftirlitsmyndavélar, sem staðsett er á svölum íbúðar á þriðju hæð í Hátúni 10b, en sjónsvið hennar nær yfir bílastæði við Hátún 10a og að hluta yfir útisvæði við Hátún 10 og 10b. Starfsmenn Brynju leigufélags ses. tilkynntu að fyrirhugað væri að setja skilti á ljósastaur við innkeyrslu inn á bílastæðið þar sem gert er viðvart um að rafræn vöktun fari fram.

8. Þá leiddi vettvangsathugunin í ljós að merkingar um rafræna vöktun, meðal annars við anddyri inngangs að Hátúni 10 og við ruslageymslu á útisvæði við bílakjallara, eru innan sjónsviðs eftirlitsmyndavéla. Merkingar á þessum svæðum eru því ekki staðsettar þannig að einstaklingum sem eiga að sæta vöktun sé ljóst, áður en þeir koma inn vaktað svæði eða vöktun hefst, að vöktun sé viðhöfð.

Sjónarmið Brynju leigufélags ses.

9. Samkvæmt svörum Brynju leigufélags ses. eru merkingar við alla inn- og útganga í Hátúni 10, 10a og 10b þar sem skýrt komi fram að svæðið sé rafrænt vaktað og að félagið sé ábyrgðaraðili vöktunar. Einnig hafi verið útbúið kynningarefni um rafræna vöktun sem tengist QR-kóða við inn- og útganga í Hátúni 10, 10a og 10b. Þá muni vaktmenn félagsins framvegis kynna öllum nýjum leigjendum í fjölbýlishúsum þess fræðsluefni um rafræna vöktun um leið og gengið sé frá afhendingu á geymslum og ýmsum öðrum atriðum. Jafnframt sé stefnt að því að breyta persónuverndarstefnu á vefsíðu félagsins varðandi þau atriði sem lúta að rafrænni vöktun, til samræmis við reglur nr. 50/2023 um rafræna vöktun.

10. Í svarbréfi Brynju leigufélags ses. kom einnig fram að fimm starfsmenn sem gegna stöðu vaktamanna fjölbýlishúsanna og einn starfsmaður á skrifstofu félagsins hafi aðgang að því myndefni sem safnast við rafræna vöktun. Tölvukerfið sem tengist öryggismyndavélunum bjóði hins vegar ekki upp á að hægt sé að rekja hvaða vaktmaður skoði tilteknar upplýsingar og hvenær, en starfsstöð þeirra sé læst og óviðkomandi aðilar hafi ekki aðgang að stýribúnaði myndavélanna. Myndefni sem safnast við rafræna vöktun er hins vegar aðeins geymt á einni tölvu sem er tengd öryggismyndavélunum en ekki í skýjaþjónustu eða á netþjóni.

 

Forsendur og niðurstaða

Lagaumhverfi

11. Mál þetta varðar vinnslu persónuupplýsinga í tengslum við rafræna vöktun á vegum Brynju leigufélags ses. með eftirlitsmyndavélum í fjölbýlishúsum að Hátúni 10. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.

12. Brynja leigufélag ses. telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

13. Öll vinnsla persónuupplýsinga verður að byggjast á heimild í 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt sérákvæðum um rafræna vöktun í 14. gr. laganna verður slík vöktun að fara fram í málefnalegum tilgangi auk þess sem rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram, sbr. 1. mgr. greinarinnar. Að þessum ákvæðum virtum hefur almennt verið talið að rafræn vöktun sé heimil teljist hún nauðsynleg vegna lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða, sbr. 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðarinnar.

14. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins, og að þær séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.

15. Framangreind meginregla um gagnsæi við vinnslu persónuupplýsinga felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða. Hvað snertir rafræna vöktun er að finna reglu um slíka fræðslu í 4. mgr. 14. gr. laga nr. 90/2018, þess efnis að glögglega skuli gera viðvart um rafræna vöktun sem fram fer á vinnustað eða á almannafæri með merki eða á annan áberandi hátt og hver ábyrgðaraðili vöktunar er. Einnig er að líta til 1. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr. 90/2018, sem kveður á um að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að láta skráðum einstaklingi í té þær upplýsingar sem í 13. og 14. gr. reglugerðarinnar greinir og skulu upplýsingar veittar skriflega eða á annan hátt, t.d. á rafrænu formi. Í leiðbeiningum Evrópska persónuverndarráðsins frá 29. janúar 2020 nr. 3/2019 (útgáfu 2) um vinnslu persónuupplýsinga við rafræna vöktun er áréttað mikilvægi þess að hinum skráða sé með skýrum viðvörunarmerkjum gerð grein fyrir því að rafræn vöktun fari fram, svo og til hvaða svæða hún nái. Jafnframt er tekið fram að frekari fræðslu megi veita með öðrum hætti en slíkum viðvörunarmerkjum, en að hún þurfi eftir sem áður að vera fyrir hendi og aðgengileg.

16. Um efni fræðslu, í tengslum við rafræna vöktun, fer eftir ákvæðum 13. gr. reglugerðarinnar, sbr. fyrrgreindar leiðbeiningar Evrópska persónuverndarráðsins. Samkvæmt henni skal ábyrgðaraðili skýra hinum skráða frá því hver ábyrgðaraðili vinnslu er, samskiptaupplýsingum persónuverndarfulltrúa ef við á, tilgangi vinnslunnar og lagagrundvelli, viðtakendum eða flokkum viðtakenda persónuupplýsinganna og ef heimild til vinnslu byggist á því að hún sé nauðsynleg vegna lögmætra hagsmuna, hvaða lögmætu hagsmunir það eru.

17. Þá gilda reglur Persónuverndar nr. 50/2023, um rafræna vöktun, um vöktun á almannafæri, á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði, þar á meðal í sameign fjöleignarhúsa eða á sameiginlegri lóð. Í 8. gr. reglnanna er mælt fyrir um viðvaranir og fræðslu um rafræna vöktun. Segir þar m.a. í 3. mgr. að ábyrgðaraðili rafrænnar vöktunar skuli kynna sérstaklega þeim hópum fólks sem að jafnaði fara um hið vaktaða svæði með sannanlegum hætti þær upplýsingar sem honum ber að veita vegna vöktunarinnar samkvæmt 12.-13. gr. reglugerðar (ESB) 2016/679. Í 11. gr. reglnanna eru svo ákvæði um varðveislu persónuupplýsinga sem verða til við rafræna vöktun. Samkvæmt þeim er óheimilt að varðveita persónuupplýsingar sem verða til við rafræna vöktun nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar. Persónuupplýsingum sem safnast við rafræna vöktun skal eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær en þó skal ekki varðveita þær lengur en í 30 daga nema lög heimili eða eitthvað af þeim skilyrðum sem talin eru upp í 1.-5. tölul. 11. gr. eigi við.

18. Ákvæði um upplýsingaöryggi eru í 1. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 32. gr. reglugerðar (ESB) 2016/679. Þar segir að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga. Þá segir í 2. mgr. 32. gr. reglugerðarinnar að þegar viðunandi öryggi er metið skuli einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar, meðal annars, að veittur sé aðgangur að þeim í leyfisleysi. Í 3. tölul. 7. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, sem Persónuvernd setti í gildistíð laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en gilda eftir því sem við á, sbr. ákvæði II til bráðabirgða í lögum nr. 90/2018, er það nefnt sem dæmi um öryggisráðstöfun að stýra aðgangi að búnaði með úthlutun aðgangs- eða lykilorða og tryggja rekjanleika uppflettinga og vinnsluaðgerða.

19. Atvikaskráning (aðgerðarskráning) er öryggisráðstöfun sem er til þess fallin að tryggja rekjanleika og getur haft varnaðaráhrif gegn óheimilum og ólögmætum aðgangi að persónuupplýsingum. Vöktun atvikaskráningar er enn fremur til þess fallin að tryggja eftirlit með aðgangi og annarri vinnslu persónuupplýsinga og koma auga á ef eitthvað óeðlilegt er í gangi. Því fyrr sem vart verður við óeðlileg atvik, því fyrr er hægt að grípa til viðeigandi ráðstafana, t.d. að loka fyrir aðgang eða umferð um tiltekið kerfi. Loks verður að telja að fullnægjandi atvikaskráning auðveldi ábyrgðar- og vinnsluaðilum að greina öryggisatvik og leggja mat á þær öryggisráðstafanir sem voru viðhafðar í aðdraganda þess, sem gerir þeim svo betur fært að gera viðeigandi ráðstafanir til að koma í veg fyrir að slík atvik endurtaki sig. Af þessu má sjá að atvikaskráning þjónar þýðingarmiklu hlutverki bæði í þágu upplýsingaöryggis og við skjalfestingu, til að hægt sé að sýna fram á hvað gerðist og af hverju.

Niðurstaða

20. Með hliðsjón af vettvangsathugun Persónuverndar, sbr. umfjöllun í efnisgreinum 6-8, er það niðurstaða Persónuverndar að merkingar og fræðsla um rafræna vöktun í og við fjölbýlishús félagsins að Hátúni 10, 10a og 10b sé nú að mestu leyti með þeim hætti að samrýmist skyldum Brynju leigufélags ses. samkvæmt 4. mgr. 14. gr. laga nr. 90/2018 og 1. mgr. 12. gr. og 13. gr. reglugerðar (ESB) 2016/679, sbr. 1. og 2. mgr. 17. gr. laga nr. 90/2018, sbr. og 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar. Þó skortir á að einstaklingum sem eiga að sæta vöktuninni sé í öllum tilvikum gert viðvart, áður en þeir koma inn á vaktað svæði eða vöktun hefst, um að rafræn vöktun fari fram, sbr. umfjöllun í efnisgrein 8.

21. Það er einnig niðurstaða Persónuverndar að Brynja leigufélag ses. hafi ekki sýnt fram á að eitthvert þeirra skilyrða sem tiltekin eru í 11. gr. reglna nr. 50/2023, sem réttlætt geta lengri varðveislutíma persónuupplýsinga sem verða til við rafræna vöktun, umfram 30 daga meginreglu ákvæðisins, séu uppfyllt varðandi það myndefni sem safnast við vöktun félagsins, í samræmi við ábyrgðarskyldur þess samkvæmt 5. tölul. 1. mgr. og 2. mgr. 8. gr. laga nr. 90/2018, sbr. e-lið 1. mgr. og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679.

22. Hvað varðar þær ráðstafanir sem Brynja leigufélag ses. viðhefur til að tryggja öryggi persónuupplýsinga sem verða til við vöktunina kemur fram í svörum félagsins að myndefnið er einvörðungu varðveitt á einni tölvu á læstri starfsstöð og er aðeins aðgengilegt þeim fimm starfsmönnum sem gegna stöðu vaktmanna fjölbýlishúsanna, sem og einum starfsmanni á skrifstofu félagsins. Ekki hefur þó verið sýnt fram á frekari aðgangsstýringu, svo sem með auðkenningu við innskráningu í viðkomandi tölvukerfi. Með vísan til fyrri umfjöllunar, sbr. efnisgrein 18-19, er það mat Persónuverndar að viðeigandi aðgangsstýringar séu til þess fallnar að tryggja betur öryggi persónuupplýsinganna sem verða til við vöktunina. Eins og atvikum er hér háttað og þar sem vöktunin nær eingöngu til sameiginlegra svæða í og við fjölbýlishús félagsins verður þó að mati Persónuverndar ekki talið að vinnslan brjóti gegn 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar.

Fyrirmæli

23. Með vísan til fyrri umfjöllunar, sbr. efnisgrein 15-17, og með heimild í 4. tölul. 42. gr. laga nr. 90/2018 er hér með lagt fyrir Brynju leigufélags ses. að uppfæra og setja upp merkingar um rafræna vöktun í byggingum og á útisvæðum við Hátún 10, 10a og 10b þannig að einstaklingum sem eiga að sæta vöktuninni megi í öllum tilvikum vera ljóst, áður en þeir koma inn á vaktað svæði eða vöktun hefst, að vöktunin er viðhöfð.

24. Með heimild í 4. tölul. 42. gr. laga nr. 90/2018 er einnig er lagt fyrir Brynju leigufélag ses. að stytta varðveislutíma persónuupplýsinga sem til verða við umrædda vöktun, sbr. 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og 11. gr. reglna nr. 50/2023, sbr. framangreinda umfjöllun í síðasta málslið 17. efnisgreinar.

25. Brynja leigufélag ses. skal senda Persónuvernd staðfestingu á því að farið hafi verið að þessum fyrirmælum eigi síðar en 4. júlí 2024.

Ákvörðun um álagningu stjórnvaldssektar

26. Persónuvernd getur lagt stjórnvaldssektir á þá sem brjóta, af ásetningi eða gáleysi, gegn einhverju þeirra ákvæða reglugerðar (ESB) 2016/679 sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 1. og 5. mgr. þeirrar lagagreinar. Samkvæmt 1. og 2. tölul. 3. mgr. 46. gr. eru þar á meðal ákvæði um grundvallarreglur vinnslu, m.a. samkvæmt 5. gr. reglugerðarinnar, og um réttindi skráðra einstaklinga, m.a. samkvæmt 12. og 13. gr. reglugerðarinnar.

27. Við ákvörðun um hvort framangreindum ákvæðum um sektarheimild skal beitt, sem og um fjárhæð sektar, ber að líta til 1. mgr. 47. gr. laga nr. 90/2018 þar sem kveðið er á um þau atriði sem ýmist geta verið metin hlutaðeigandi til málsbóta eða honum í óhag. Meðal þeirra atriða sem líta ber til er hvers eðlis, hversu alvarlegt og langvarandi brotið er, með tilliti til eðlis, umfangs eða tilgangs vinnslunnar og fjölda skráðra einstaklinga og hversu alvarlegu tjóni þeir urðu fyrir (1. tölul.); hvort brotið var framið af ásetningi eða af gáleysi (2. tölul.); umfang samvinnu við Persónuvernd til þess að bæta úr broti og draga úr mögulegum skaðlegum áhrifum þess (6. tölul.); og aðrir íþyngjandi eða mildandi þættir sem varða kringumstæður málsins (11. tölul.). Eins og hér háttar til koma að mati Persónuverndar aðrir töluliðir lagaákvæðisins ekki til skoðunar.

28. Með hliðsjón af framangreindum ákvæðum 1. mgr. 47. gr. laga nr. 90/2018 er til þess að líta að vöktun á vegum Brynju leigufélags ses. í Hátúni 10, 10a og 10b fer fram við bílastæði, útisvæði og innganga að heimilum einstaklinga og að rafræn vöktun er í eðli sínu talsvert inngrip í friðhelgi einkalífs þeirra einstaklinga sem henni sæta. Á hinn bóginn er einnig til þess að líta að vöktunin fer fram í lögmætum og málefnalegum tilgangi, þ.e. í þágu öryggis- og eignavörslu, og að við vettvangsathugun Persónuverndar voru merkingar og fræðsla á nær öllum þeim svæðum sem vöktunin nær til sem fullnægðu kröfum laga nr. 90/2018 og reglugerðar (ESB) 2016/679 um fræðslu, sbr. fyrri umfjöllun í efnisgreinum 15-17. Þá hefur Brynja leigufélag ses. bætt við QR-kóða á allar merkingar um rafræna vöktun þar sem hinir skráðu geta nú nálgast frekari fræðslu um rafræna vöktun, auk þess sem vaktmenn félagsins munu framvegis kynna öllum nýjum leigjendum í fjölbýlishúsum þess fræðsluefni um rafræna vöktun. Þrátt fyrir að Persónuvernd telji félagið ekki hafa sýnt fram á að hafa viðhaft fullnægjandi öryggisráðstafanir er jafnframt til þess að líta að ekkert hefur komið fram um öryggisbrest eða tjón hinna skráðu.

29. Þegar framangreind atriði eru virt í heild sinni telur Persónuvernd ekki vera forsendur til álagningar stjórnvaldssektar í málinu.

Á k v ö r ð u n a r o r ð:

Merkingar og fræðsla ábyrgðaraðilans Brynju leigufélags ses. um rafræna vöktun í Hátúni 10, 10a og 10b samrýmdust ekki að öllu leyti lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679 og reglum nr. 50/2023.

Með heimild í 4. tölul. 42. gr. laga nr. 90/2018 er lagt fyrir Brynju leigufélag ses. að uppfæra og setja upp viðeigandi merkingar um rafræna vöktun í byggingum og á útisvæðum við Hátún 10, 10a og 10b og að stytta varðveislutíma persónuupplýsinga sem til verða við vöktunina, til samræmis við 11. gr. reglna nr. 50/2023 um rafræna vöktun.

Brynja leigufélag ses. skal senda Persónuvernd staðfestingu á því að farið hafi verið að þessum fyrirmælum eigi síðar en 4. júlí 2024.

Persónuvernd, 6. júní 2024

Ólafur Garðarsson
formaður

 

Árnína Steinunn Kristjánsdóttir                      Björn Geirsson

 

Þorvarður Kári ÓlafssonVar efnið hjálplegt? Nei