Ákvörðun

vegna frumkvæðisathugunar á vinnslu persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum Akraneskaupstaðar í máli nr. 2024091359:

Málsmeðferð

1. Persónuvernd tilkynnti Akraneskaupstað að stofnunin hefði ákveðið að hefja frumkvæðisathugun á vinnslu persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum sem sveitarfélagið rekur, með bréfi, dags. 16. september 2024.

2. Við ákvörðun um að hefja frumkvæðisathugunina var litið til þess að Persónuvernd bárust á árinu 2024 ábendingar um vinnslu persónuupplýsinga í tengslum við rafræna vöktun af hálfu sveitarfélaga sem lutu meðal annars að rafrænni vöktun sem fram fer í sundlaugum. Ákvörðun um að hefja frumkvæðisathugunina byggist á 1. og 3. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 30. gr. reglna nr. 1150/2023 um málsmeðferð Persónuverndar.

Rannsókn máls

3. Með fyrrgreindu bréfi 16. september 2024 óskaði Persónuvernd upplýsinga frá Akraneskaupstað um hvernig merkingum um rafræna vöktun er háttað við sundlaugar sem sveitarfélagið rekur og hvernig hinum skráðu er veitt fræðsla um rafræna vöktun sem þar fer fram, til samræmis við 13. gr. reglugerðar (ESB) 2016/679. Einnig óskaði Persónuvernd upplýsinga um hvort aðgangi að myndefni er stýrt með lykilorðum og hvort notkun aðgangs er skráð þannig að rekja má hvaða starfsmaður skoðar tilteknar upplýsingar og hvenær. Jafnframt var óskað eftir skjáskoti úr öllum eftirlitsmyndavélum í sundlaugum Akraneskaupstaðar, myndum af merkingum um rafræna vöktun og upplýsingum um staðsetningu merkinga. Svör Akraneskaupstaðar, ásamt fylgigögnum, bárust Persónuvernd með tölvupósti 1. október s.á.

4. Með bréfi, dags. 22. október 2024, tilkynnti Persónuvernd Akraneskaupstað að stofnunin hygðist framkvæma vettvangsathugun og var hún gerð 6. nóvember s.á. Með tölvupósti 7 s.m. tilkynnti Persónuvernd Akraneskaupstað um niðurstöður vettvangsathugunarinnar og veitti sveitarfélaginu kost á að tjá sig um þær. Jafnframt óskaði Persónuvernd frekari upplýsinga um aðgerðaskráningu vegna skoðunar myndefnis úr eftirlitsmyndavélum og um fræðslu vegna rafrænnar vöktunar. Persónuvernd ítrekaði beiðnina með tölvupósti 6. janúar 2025 og barst svar Akraneskaupstaðar með tölvupósti 15. s.m.

5. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.

Álitamál

6. Frumkvæðisathugun Persónuverndar laut að rafrænni vöktun af hálfu Akraneskaupstaðar í sundlaugum sem sveitarfélagið rekur, þ.e. Bjarnalaug og Jaðarsbakkalaug. Beindist athugunin að því hvort merkingar um hina rafrænu vöktun eru á öllum þeim svæðum sem vöktunin nær til, hvort hinum skráðu er gert viðvart um vöktuninaáður en þeir fara inn á vaktað svæði og hvort fræðsla til hinna skráðu uppfyllir kröfur laga. Einnig var kannað hvort aðgangur að myndefni og öðrum persónuupplýsingum sem safnast við vöktunina uppfyllir kröfur persónuverndarlöggjafarinnar um öryggi persónuupplýsinga.

Fyrirliggjandi gögn

7. Með svarbréfi Akraneskaupstaðar, dags. 1. október 2024, fylgdu eftirfarandi gögn:

i. Skjáskot úr öllum eftirlitsmyndavélum í Bjarnalaug. Samkvæmt skjáskotunum nær sjónsvið eftirlitsmyndavéla til afgreiðslu, innilaugar og heitapotts á útisvæði.

ii. Skjáskot úr öllum eftirlitsmyndavélum í Jaðarsbakkalaug. Samkvæmt skjáskotunum eru eftirlitsmyndavélar við inngang sundlaugarbyggingarinnar, við afgreiðslu og við skóhillu. Sjónsvið eftirlitsmyndavéla á sundlaugarsvæði nær til sundlauga, heitapotta og rennibrautar. Í sundlaugunum eru jafnframt botnvélar og nær sjónsvið þeirra undir yfirborð sundlauganna. Þá eru einnig eftirlitsmyndavélar í íþróttasal og tækjasal.

iii. Myndir af merkingum um rafræna vöktun í sundlaugum Akraneskaupstaðar. Myndirnar sýna staðsetningu allra merkinga um rafræna vöktun. Á merkingunum kemur fram að Akraneskaupstaður sé ábyrgðaraðili vöktunarinnar, að vöktunin fari fram til að gæta lögmætra hagsmuna Akraneskaupstaðar af öryggis- og eignavörslu, að upptökur séu varðveittar að hámarki í 30 daga og séu ekki afhentar öðrum en lögreglu. Einnig kemur fram að þeir sem sæti vöktuninni geti átt ýmis réttindi, t.d. rétt til eyðingar og rétt til aðgangs að því efni sem safnast hefur við vöktunina, og að frekari upplýsingar megi nálgast hjá persónuverndarfulltrúa Akraneskaupstaðar, personuvernd[hja]akranes.is.

iv. Reglur Akraneskaupstaðar um rafræna vöktun öryggismyndavéla. Reglurnar eru kynntar þeim sem vöktunin hefur áhrif á, þ.m.t. starfsmönnum sveitarfélagsins, sbr. 2. mgr. 1. gr. reglnanna. Í reglunum er meðal annars að finna umfjöllun um tilgang vöktunarinnar, sem er að varna því að eignir í eigu Akraneskaupstaðar séu skemmdar og að farið sé um byggingar og aðrar eignir í leyfisleysi og til að stuðla að öryggi á þeim svæðum sem eru vöktuð. Í reglunum er jafnframt að finna samskiptaupplýsingar persónuverndarfulltrúa Akraneskaupstaðar, upplýsingar um skoðun og viðtakendur myndefnis sem verður til við rafræna vöktun og varðveislutíma. Þá tilgreina reglurnar að athugasemdum við framkvæmd vöktunarinnar megi beina til persónuverndarfulltrúa sveitarfélagsins og að ágreiningi megi vísa til úrlausnar Persónuverndar. Í persónuverndarstefnu Akraneskaupstaðar er einnig að finna fræðslu varðandi réttindi einstaklinga í tengslum við vinnslu persónuupplýsinga og réttinn til þess að leggja fram kvörtun hjá Persónuvernd.

Niðurstöður vettvangsathugunar

8. Vettvangsathugun Persónuverndar í Bjarnalaug og Jaðarsbakkalaug 6. nóvember 2024 leiddi í ljós að merkingar um rafræna vöktun eru á öllum þeim svæðum sem vöktunin nær til. Merkingar eru við alla innganga áður en gengið er inn í sundlaugarbyggingarnar og er hinum skráðu þannig gert viðvart um að rafræn vöktun sé viðhöfð áður en þeir koma inn á vaktað svæði.

9. Á merkingunum er að finna tengiliðaupplýsingar Akraneskaupstaðar, upplýsingar um tilgang vöktunar, varðveislutíma og réttindi einstaklinga. Þá er vísað til þess að frekari upplýsingar megi nálgast hjá persónuverndarfulltrúa sveitarfélagsins, personuvernd[hja]akranes.is.Persónuvernd beindi því til sveitarfélagsins að æskilegt væri að merkingar um rafræna vöktun vísuðu hinum skráða á hvar mætti nálgast fræðslu, með virkum hætti, svo sem með hlekk á vefsíðu eða með öðrum aðgengilegum hætti. Kvaðst sveitarfélagið ætla að bæta úr merkingunum að þessu leyti.

10. Í vettvangsathuguninni varð einnig ljóst að Akraneskaupstaður hefur umsjón með eftirlitsmyndavélakerfi sundlauganna og notast við upptökukerfið Avigilon frá Securitas. Eingöngu kerfisstjóri hefur aðgang að kerfinu. Upptökur eru varðveittar í 10 daga á lokuðu neti. Upptökur frá íþróttamannvirkjum (þ.m.t. sundlaugum), skólum og dvalarheimilum sveitarfélagsins eru varðveittar á aðskildum netþjónum. Sé þörf á að skoða upptökur sendir kerfisstjóri afrit á forstöðumann íþróttamannvirkja í gegnum aðgangsstýrt innra svæði.

Sjónarmið Akraneskaupstaðar

11. Í svari Akraneskaupstaðar 1. október 2024 er tekið fram að hinum skráðu sé tilkynnt um rafræna vöktun í sundlaugum sveitarfélagsins með skiltum við innganga sundlauganna. Skiltin hafi að geyma tilskildar upplýsingar um vöktunina, sbr. umfjöllun í efnisgrein 7 (iii). Á skiltunum komi einnig fram hvernig hægt sé að óska eftir frekari upplýsingum um vöktunina eða koma með ábendingar þar um. Að auki sé á nokkrum stöðum innandyra áminning um að vöktun fari fram. Þá hafi sveitarfélagið sett reglur um rafræna vöktun, sbr. umfjöllun í efnisgrein 7(iv).

12. Vísað er til þess að upptökur úr eftirlitsmyndavélum séu varðveittar í allt að 30 daga samkvæmt reglum sveitarfélagsins um rafræna vöktun. Upptökur séu vistaðar á lokuðum netþjóni sem hýstur sé í vottuðum hýsingarsal. Eingöngu kerfisstjóri Akraneskaupstaðar hafi aðgang að upptökunum. Í svari sveitarfélagsins 15. janúar 2025 segir enn fremur að skoðun myndefnis, sem verður til við rafræna vöktun, sé ekki skráð í kerfinu og ekki sé haldin skráningarbók.

13. Akraneskaupstaður gerir ekki athugasemdir við niðurstöður vettvangsathugunar Persónuverndar. Sveitarfélagið áréttar að reglur um rafræna vöktun hafi verið settar inn á heimasíðu sveitarfélagsins og til standi að uppfæra allar merkingar um rafræna vöktun þannig að þær vísi á reglurnar með rafrænum tengil á vefsíðuna.

Forsendur og niðurstaða

Lagaumhverfi

14. Mál þetta varðar vinnslu persónuupplýsinga í tengslum við rafræna vöktun á vegum Akraneskaupstaðar með eftirlitsmyndavélum í Bjarnalaug og Jaðarsbakkalaug. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.

15. Sveitarfélagið Akraneskaupstaður telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

16. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Hefur almennt verið talið að rafræn vöktun sé heimil teljist hún nauðsynleg vegna lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða, sbr. 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðarinnar. Samkvæmt sérákvæðum um rafræna vöktun í 14. gr. laganna verður slík vöktun jafnframt að fara fram í málefnalegum tilgangi auk þess sem rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram, sbr. 1. mgr. greinarinnar.

17. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins, og að þær séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.

18. Framangreind meginregla um gagnsæi við vinnslu persónuupplýsinga felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða. Hvað snertir rafræna vöktun er að finna reglu um slíka fræðslu í 4. mgr. 14. gr. laga nr. 90/2018, þess efnis að glögglega skuli gera viðvart um rafræna vöktun sem fram fer á vinnustað eða á almannafæri með merki eða á annan áberandi hátt og hver ábyrgðaraðili vöktunar er. Einnig er að líta til 1. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr. 90/2018, sem kveður á um að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að láta skráðum einstaklingi í té þær upplýsingar sem í 13. og 14. gr. reglugerðarinnar greinir og skulu upplýsingar veittar skriflega eða á annan hátt, t.d. á rafrænu formi. Í leiðbeiningum Evrópska persónuverndarráðsins frá 29. janúar 2020 nr. 3/2019 (útgáfu 2) um vinnslu persónuupplýsinga við rafræna vöktun er áréttað mikilvægi þess að hinum skráða sé með skýrum viðvörunarmerkjum gerð grein fyrir því að rafræn vöktun fari fram, svo og til hvaða svæða hún nái. Jafnframt er tekið fram að frekari fræðslu megi veita með öðrum hætti en slíkum viðvörunarmerkjum, en að hún þurfi eftir sem áður að vera fyrir hendi og aðgengileg.

19. Um efni fræðslu, í tengslum við rafræna vöktun, fer eftir ákvæðum 13. gr. reglugerðarinnar, sbr. fyrrgreindar leiðbeiningar Evrópska persónuverndarráðsins. Skal ábyrgðaraðili meðal annars skýra hinum skráða frá því hver ábyrgðaraðili vinnslu er, samskiptaupplýsingum persónuverndarfulltrúa ef við á og réttinn til að leggja fram kvörtun hjá eftirlitsyfirvaldi, tilgangi vinnslunnar og lagagrundvelli, varðveislutíma persónuupplýsinga, viðtakendum eða flokkum viðtakenda persónuupplýsinganna og ef heimild til vinnslu byggist á því að hún sé nauðsynleg vegna lögmætra hagsmuna, hvaða lögmætu hagsmunir það eru, sbr. 1. og 2. mgr. ákvæðisins.

20. Þá gilda reglur Persónuverndar nr. 50/2023, um rafræna vöktun, um vöktun á almannafæri, á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði, þar á meðal í sameign fjöleignarhúsa eða á sameiginlegri lóð. Í 8. gr. reglnanna er mælt fyrir um viðvaranir og fræðslu um rafræna vöktun. Segir þar meðal annars í 3. mgr. að ábyrgðaraðili rafrænnar vöktunar skuli kynna sérstaklega þeim hópum fólks sem að jafnaði fara um hið vaktaða svæði með sannanlegum hætti þær upplýsingar sem honum ber að veita vegna vöktunarinnar samkvæmt 12.-13. gr. reglugerðar (ESB) 2016/679. Í 11. gr. reglnanna eru svo ákvæði um varðveislu persónuupplýsinga sem verða til við rafræna vöktun. Samkvæmt þeim er óheimilt að varðveita persónuupplýsingar sem verða til við rafræna vöktun nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar. Persónuupplýsingum sem safnast við rafræna vöktun skal eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær en þó skal ekki varðveita þær lengur en í 30 daga nema lög heimili eða eitthvað af þeim skilyrðum sem talin eru upp í 1.-5. tölul. ákvæðisins eigi við.

21. Ákvæði um upplýsingaöryggi eru í 1. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 32. gr. reglugerðar (ESB) 2016/679. Þar segir að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga. Þá segir í 2. mgr. 32. gr. reglugerðarinnar að þegar viðunandi öryggi er metið skuli einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar, meðal annars, að veittur sé aðgangur að þeim í leyfisleysi. Í 3. tölul. 7. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, sem Persónuvernd setti í gildistíð laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en gilda eftir því sem við á, sbr. ákvæði II til bráðabirgða í lögum nr. 90/2018, er það nefnt sem dæmi um öryggisráðstöfun að stýra aðgangi að búnaði með úthlutun aðgangs- eða lykilorða og tryggja rekjanleika uppflettinga og vinnsluaðgerða.

22. Aðgerðaskráning er öryggisráðstöfun sem er til þess fallin að tryggja rekjanleika og getur haft varnaðaráhrif gegn óheimilum og ólögmætum aðgangi að persónuupplýsingum. Vöktun aðgerðaskráningar er enn fremur til þess fallin að tryggja eftirlit með aðgangi og annarri vinnslu persónuupplýsinga og greina hugsanleg frávik. Því fyrr sem vart verður við óeðlileg atvik, því fyrr er hægt að grípa til viðeigandi ráðstafana, t.d. með því að loka fyrir aðgang eða umferð um tiltekið kerfi. Loks verður að telja að fullnægjandi aðgerðaskráning auðveldi ábyrgðar- og vinnsluaðilum að greina öryggisatvik og leggja mat á þær öryggisráðstafanir sem voru viðhafðar í aðdraganda þess, sem gerir þeim svo betur fært að gera viðeigandi ráðstafanir til að koma í veg fyrir að slík atvik endurtaki sig. Af þessu má sjá að aðgerðaskráning þjónar þýðingarmiklu hlutverki bæði í þágu upplýsingaöryggis og við skjalfestingu.

Niðurstaða

23. Með hliðsjón af fyrirliggjandi gögnum og niðurstöðu vettvangsathugunar, sbr. framangreinda umfjöllun í efnisgreinum 7-10, er það niðurstaða Persónuverndar að merkingar og fræðsla um rafræna vöktun í sundlaugum Akraneskaupstaðar sé að mestu leyti í samræmi við skyldur sveitarfélagsins samkvæmt 4. mgr. 14. gr. laga nr. 90/2018 og 1. mgr. 12. gr. og 13. gr. reglugerðar (ESB) 2016/679, sbr. 1. og 2. mgr. 17. gr. laga nr. 90/2018, sbr. og 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, sbr. framangreinda umfjöllun í efnisgreinum 16-20. Þó skortir á að einstaklingum sem eiga að sæta vöktuninni sé tilkynnt um réttinn til að leggja fram kvörtun hjá eftirlitsyfirvaldi, sbr. d-lið 2. mgr. 13. gr. reglugerðarinnar. Þá skortir jafnframt á að fræðsla um rafræna vöktun innihaldi upplýsingar um réttindi hinna skráðu, í samræmi við b-lið sama regluákvæðis, en slíkar upplýsingar er ekki að finna í reglum sveitarfélagsins um rafræna vöktun, sbr. umfjöllun í efnisgrein 7 (iv).

24. Í samræmi við 2. mgr. 8. gr. reglna nr. 50/2023 skal viðvörun um rafræna vöktun hafa að geyma upplýsingar um hvar megi fá nánari fræðslu um vöktunina, til samræmis við ákvæði 13. gr. reglugerðar (ESB) 2016/679, eða rafrænan tengil á slíka fræðslu. Á merkingum Akraneskaupstaðar um rafræna vöktun er vísað til þess að nánari upplýsingar um réttindi einstaklinga í tengslum við vöktunina megi nálgast hjá persónuverndarfulltrúa, personuvernd[hja]akranes.is. Í fræðsluskyldu ábyrgðaraðila felst að grípa þarf til virkra aðgerða til að koma viðeigandi upplýsingum á framfæri við hinn skráða, sbr. einkum 1. tölul. 1. mgr. 8. gr. og 2. mgr. 17. gr. laga nr. 90/2018, og a-lið 1. mgr. 5. gr. og 13. gr. reglugerðar (ESB) 2016/679. Það má t.a.m. gera með því að beina hinum skráða með virkum hætti að upplýsingunum, s.s. með því að vísa með rafrænum tengil eða QR-kóða á vefsíðu ábyrgðaraðila þar sem finna má fræðsluna. Er sú túlkun í samræmi við leiðbeiningar um gagnsæi (WP260 rev. 01 frá 11. apríl 2018) sem Evrópska persónuverndarráðið staðfesti á fyrsta fundi sínum 25. maí 2018, sbr. efnisgrein 33 í leiðbeiningunum.

25. Líkt og fram kemur í framangreindri umfjöllun í efnisgreinum 9 og 13, beindi Persónuvernd því til Akraneskaupstaðar að æskilegt væri að merkingar um rafræna vöktun vísuðu hinum skráða á hvar mætti nálgast nánari fræðslu um vöktunina og hefur Akraneskaupstaður þegar hafið vinnu við að uppfæra merkingarnar sem munu vísa á heimasíðu sveitarfélagsins þar sem finna má reglur sveitarfélagsins um rafræna vöktun. Persónuvernd beinir því jafnframt til Akraneskaupstaðar að gæta þess að kynna þeim sem að jafnaði fara um hið vaktaða svæði, þ.m.t. starfsfólki, með sannanlegum hætti þær upplýsingar sem ber að veita vegna vöktunarinnar samkvæmt 12.-13. gr. reglugerðarinnar, sbr. einnig 3. mgr. 8. gr. reglna nr. 50/2023.

26. Hvað varðar þær ráðstafanir sem Akraneskaupstaður viðhefur til að tryggja öryggi persónuupplýsinga sem verða til við rafræna vöktun kemur fram í svörum sveitarfélagsins og fyrirliggjandi gögnum að myndefnið sem verður til við vöktunina sé einungis aðgengilegt kerfisstjóra, skoðun á myndefni fari eingöngu fram í gegnum aðgangsstýrt innra svæði og sé almennt varðveitt í 10 daga, á sér netþjóni og lokuðu neti, en að hámarki í 30 daga, sbr. framangreinda umfjöllun í efnisgreinum 10 og 12. Ekki sé þó viðhöfð aðgerðaskráning hvað skoðun á myndefni varðar. Með vísan til fyrri umfjöllunar, sbr. efnisgrein 22, er það mat Persónuverndar að aðgerðaskráning sé til þess fallin að tryggja betur öryggi persónuupplýsinga sem verða til við rafræna vöktun í sundlaugum Akraneskaupstaðar. Með hliðsjón af öðrum öryggisráðstöfunum og eins og atvikum er hér háttað verður þó að mati Persónuverndar ekki talið að vinnslan brjóti gegn 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar.Tekið skal fram að í þessu máli náði rannsókn Persónuverndar aðeins til þess hver varðveislutími persónuupplýsinga væri og hvort aðgangsstýring og aðgerðarskráning væri viðhöfð og er því ekki tekin afstaða til upplýsingaöryggis varðandi aðra áhættuþætti.

Fyrirmæli

27. Með vísan til fyrri umfjöllunar, sbr. efnisgreinar 23-25, og með heimild í 4. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Akraneskaupstað að uppfæra merkingar um rafræna vöktun í sundlaugum sveitafélagsins þannig að merkingar vísi með virkum hætti hvar nálgast megi nánari fræðslu um vöktunina. Þá er sveitarfélaginu jafnframt gert að uppfæra fræðslu um rafræna vöktun og gæta þess að hún innihaldi umfjöllun um réttindi skráðra einstaklinga.

28. Akraneskaupstaður skal senda Persónuvernd staðfestingu á því að farið hafi verið að þessum fyrirmælum eigi síðan en 12. mars 2025.

Á k v ö r ð u n a r o r ð:

Merkingar og fræðsla Akraneskaupstaðar um rafræna vöktun í sundlaugum sem sveitarfélagið rekur samrýmdust ekki að öllu leyti lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679 og reglum nr. 50/2023.

Með heimild í 4. tölul. 42. gr. laga nr. 90/2018 er lagt fyrir Akraneskaupstað að uppfæra merkingar og fræðslu um rafræna vöktun í sundlaugum sveitarfélagsins til samræmis við 2. mgr. 8. gr. reglna nr. 50/2023 um rafræna vöktun.

Persónuvernd, 12. febrúar 2025

Edda Þuríður Hauksdóttir
Harpa Halldórsdóttir