Birting upptöku úr eftirlitsmyndavél

Reykjavík, 23. október 2014

1.

Persónuvernd vísar til frétta í fjölmiðlum í gær vegna myndbands úr öryggismyndavélum af bílveltu í bílakjallaranum við Höfðatorg. Í frétt á heimasíðunni www.visir.is, frá 22. október 2014, er að finna viðtal við A, umsjónarmann fasteigna við Höfðatorg, þar sem fram kemur að ákveðið var, að höfðu samráði við tryggingastjóra, að birta umrætt myndband eftir „margar áskoranir“ þess efnis. Í frétt af heimasíðunni www.mbl.is, frá 22. október sl., var myndbandið einnig birt ásamt viðtali við A þar sem hann m.a. lýsir eignatjóni sem varð og tekur fram að ökumaður hafi sennilega verið í annarlegu ástandi. Í frétt á heimasíðu DV, www.dv.is, frá 22. október, má finna frekari lýsingar af atvikinu af hálfu A ásamt ætluðum fyrirætlunum einstaklings sem birtist á myndbandinu. Í frétt af  heimasíðu fréttamiðilsins Kjarnarns, www.kjarninn.is, frá 22. október 2014, er vísað í Facebook-færslu A þar sem umrætt myndband birtist. Þá má ráða af myndbandinu að því var upphaflega hlaðið inn á netið á heimasíðu Youtube, www.youtube.com, og birt þar þann 22. október af A. Þá birtist myndbandið einnig á vef Pressunnar, www.pressan.is, þann 22. október sl.

Af myndbandinu má ráða að atvikið sem sýnt er átti sér stað þann 17. júlí 2011 og er myndbandið því rúmlega þriggja ára gamalt.

Ljóst er að umrætt myndband hefur fengið gríðarlega umfjöllun og er m.a. mest lesna fréttin á vef Mbl.is og Kjarnans, þann 22. október sl., auk þess sem tæplega 455.000 manns hafa horft á myndbandið á vefsíðu YouTube.

Í ljósi framangreinds vill Persónuvernd koma á framfæri eftirfarandi atriðum varðandi meðferð persónuupplýsinga sem safnað er með rafrænni vöktun.

 

2.

Samkvæmt 6. tölul. 2. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er með „rafrænni vöktun“ í lögunum átt við vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði. Í ákvæðinu kemur einnig fram að vöktun falli undir lögin hvort sem hún fer fram á almannafæri eða á svæði, sem takmarkaður hópur fólks fer um að jafnaði, og óháð því hvort um sé að ræða:

1.   vöktun sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga eða

2.   sjónvarpsvöktun sem fer fram með notkun sjónvarpsmyndavéla, vefmyndavéla eða annars samsvarandi búnaðar, án þess að fram fari söfnun myndefnis eða aðrar aðgerðir sem jafngilda vinnslu persónuupplýsinga.

Í ljósi ofangreinds telst vöktun með eftirlitsmyndavélum, líkt og um er að ræða hér, til rafrænnar vöktunar í skilningi laga nr. 77/2000.

Samkvæmt 1. mgr. 4. gr. laga nr. 77/2000 er rafræn vöktun ávallt háð því skilyrði að hún fari fram í málefnalegum tilgangi, s.s. í öryggis- eða eignavörsluskyni. Rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram. Um slíka vöktun hefur Persónuvernd sett reglur nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem til verða við rafræna vöktun, sbr. 5. mgr. 37. gr. laga nr. 77/2000.

Sú vinnsla, sem fram fer í tengslum við  vöktun, verður, eins og önnur vinnsla persónuupplýsinga, að styðjast við eitthvert af skilyrðum 8. gr. og eftir atvikum 9. gr. laga nr. 77/2000. Sé um að ræða rafræna vöktun, þar sem unnið er með viðkvæmar persónuupplýsingar, reynir einnig á hvort kröfum 2. mgr. 9. gr. sé fullnægt. Þar er kveðið á um að heimilt sé, í tengslum við framkvæmd rafrænnar vöktunar, að safna efni með slíkum persónuupplýsingum, sem verður til við vöktunina, að því gefnu að:

1.   vöktunin sé nauðsynleg og fari fram í öryggis- og eignavörsluskyni;

2.   það efni, sem til verður við vöktunina,verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða samkvæmt ákvörðun Persónuverndar; heimilt sé þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað, en þá skuli þess gætt að eyða öllum öðrum eintökum af efninu; og

3.   því efni, sem safnast við vöktunina, verði eytt þegar ekki er lengur málefnaleg ástæða til að varðveita það, nema sérstök heimild Persónuverndar standi til frekari varðveislu, sbr. og 2. mgr. 7. gr. reglna nr. 837/2006.

Á þeim sjónarmiðum um meðalhóf og áreiðanleika við vinnslu persónuupplýsinga, sem hér hafa verið rakin, er byggt í 2. tölul. 2. mgr. 9. gr. laga nr. 77/2000 en samkvæmt ákvæðinu getur tiltekin vinnsla vegna rafrænnar vöktunar verið heimil enda þótt ekkert af ákvæðum 1. mgr. sé uppfyllt. Það er þó háð þeim skilyrðum sem þar greinir, þ. á m. því skilyrði að myndefni, sem til verður við vöktun verði ekki afhent öðrum eða unnið frekar nema með samþykki þess sem upptaka er af eða samkvæmt ákvörðun Persónuverndar. Heimilt er þó að afhenda lögreglu efni með upplýsingum um slys eða refsiverðan verknað, en þá skal þess gætt að eyða öllum öðrum eintökum af efninu. Að baki þessu ákvæði býr m.a. sú grunnregla íslensks réttar að uppljóstran sakamála og refsivarsla er á hendi lögreglu og að það er ekki á valdi einstaklinga eða fyrirtækja að taka með einhverjum hætti að sér þetta hlutverk ríkisvaldsins. Ákvæði 2. mgr. 9. gr. laganna er og sett með tilliti til þeirra sjónarmiða sem liggja til grundvallar meginreglu 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um áreiðanleika vinnslu, en myndefni sem einn aðili telur veita tilefni til ályktunar um lögbrot felur ekki ávallt í sér staðfestingu á að brot hafi í raun verið framið og getur við nánari rannsókn oft reynst óáreiðanlegt.

Þess skal auk þess ávallt gætt við vinnslu persónuupplýsinga að ekki sé unnið með meira af slíkum upplýsingum en nauðsyn krefur, sbr. 3. tölul. 1. mgr. 7. gr. laga nr. 77/2000, sbr. og 5. gr. reglna nr. 837/2006 sem hefur að geyma sams konar reglu um meðalhóf. Í ljósi þessa má myndefni, sem heimilt er að varðveita, ekki vera aðgengilegt öðrum en þeim sem nauðsynlega þurfa á aðgangi að því að halda.

Þá er óheimilt að varðveita upplýsingar sem verða til við rafræna vöktun lengur en í 90 daga nema lög heimili, sbr. 2. mgr. 7. gr. reglna nr. 837/2006. Ekki liggur fyrir að undantekningar ákvæðisins sem heimila lengri varðveislutíma, s.s. að varðveita hafi þurft upptöku vegna fyrirliggjandi réttarágreinings, eigi við í umræddu tilviki.

Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og reglur nr. 837/2006, um rafræna vöktun, er unnt að nálgast á heimasíðu Persónuverndar (www.personuvernd.is) undir hnappinum „Lög og reglur“.

 

3.

Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklinga, látins eða lifandi. Á umræddu myndbandi má sjá tvo einstaklinga ásamt bifreið. Þrátt fyrir að bílnúmer bifreiðarinnar sé illgreinanlegt eru engu að síður líkur á því að þeir sem þekkja til atviksins, eða einstaklingana sem um ræðir, geti borið kennsl á þá í umræddu myndbandi.

Í samræmi við framangreint er áréttað að miðlun efnis með viðkvæmum persónuupplýsingum sem verður til við myndbandsupptöku úr eftirlitsmyndavél er eingöngu heimil til lögreglu. Annars konar miðlun, t.d. birting slíkra mynda á Netinu eins og hér um ræðir, er því óheimil samkvæmt lögum nr. 77/2000 og reglum settum á grundvelli þeirra. Þá er áréttað að varðveisla vöktunarefnis umfram 90 daga er almennt óheimil eins og fyrr er rakið.

Samkvæmt 41. gr. laga nr. 77/2000, um Persónuvernd og meðferð persónuupplýsinga, getur stofnunin mælt fyrir um stöðvun vinnslu persónuupplýsinga, mælt fyrir um að persónuupplýsingar verði afmáðar eða skrám eytt, bannað frekari notkun upplýsinga eða lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslunnar. Ef ekki er farið að fyrirmælum Persónuverndar getur stofnunin ákveðið að leggja dagsektir á þann sem fyrirmæli hennar beinast að, sbr. 1. mgr. 41. gr. laganna.

Persónuvernd óskar nú skýringa um eftirfarandi:

a) hvers vegna félagið hefur í fórum sínum rúmlega þriggja ára gamalt myndband úr eftirlitsmyndavélakerfi félagsins og

b) hvers vegna umræddu myndbandi hafi ekki verið eytt eftir að aðkomu lögreglu að málinu lauk.

Þá hefur stofnunin ákveðið að óska eftir afriti af reglum félagsins um rafræna vöktun, sbr. 10. gr. reglna nr. 837/2006. Hafi félagið ekki sett sér sérstakar reglur um vöktunina óskar stofnunin eftir að sér berist afrit af þeirri fræðslu sem félagið veitir þeim sem sæta vöktuninni, sbr. 10. gr. sömu reglna. Þá óskar stofnunin jafnframt eftir að henni berist afrit af öryggisráðstöfunum ábyrgðaraðila að vinnslu persónuupplýsinga samkvæmt 11. gr. laga nr. 77/2000, en samkvæmt ákvæðinu ber ábyrgðaraðila að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.

Þess er óskað að svör berist eigi síðar en 5. nóvember nk.

Loks er vakin athygli á því að bréf þetta verður birt á heimasíðu Persónuverndar eftir að það hefur sannanlega borist móttakanda. Er það í samræmi við almenna framkvæmd stofnunarinnar og einnig vegna þeirrar víðtæku útbreiðslu og umfjöllunar sem umrætt myndband hefur fengið.