Ákvörðun

vegna frumkvæðisathugunar á vinnslu persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum Akureyrarbæjar í máli nr. 2024091358:

Málsmeðferð

1. Persónuvernd tilkynnti Akureyrarbæ að stofnunin hefði ákveðið að hefja frumkvæðisathugun á vinnslu persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum sem sveitarfélagið rekur, með bréfi dags. 16. september 2024.

2. Við ákvörðun um að hefja frumkvæðisathugunina var litið til þess að Persónuvernd bárust á árinu 2024 ábendingar um vinnslu persónuupplýsinga í tengslum við rafræna vöktun af hálfu sveitarfélaga sem lutu meðal annars að rafrænni vöktun sem fram fer í sundlaugum. Ákvörðun um að hefja frumkvæðisathugunina byggist á 1. og 3. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 30. gr. reglna nr. 1150/2023 um málsmeðferð Persónuverndar.

Rannsókn máls

3. Með fyrrgreindu bréfi 16. september 2024 óskaði Persónuvernd upplýsinga frá Akureyrarbæ um hvernig merkingum um rafræna vöktun er háttað við sundlaugar sem sveitarfélagið rekur og hvernig hinum skráðu er veitt fræðsla um rafræna vöktun sem þar fer fram, til samræmis við 13. gr. reglugerðar (ESB) 2016/679. Einnig óskaði Persónuvernd upplýsinga um hvort aðgangi að myndefni er stýrt með lykilorðum og hvort notkun aðgangs er skráð þannig að rekja má hvaða starfsmaður skoðar tilteknar upplýsingar og hvenær. Jafnframt var óskað eftir skjáskoti úr öllum eftirlitsmyndavélum í sundlaugum Akureyrarbæjar, myndum af merkingum um rafræna vöktun og upplýsingum um staðsetningu merkinga. Svör Akureyrarbæjar, ásamt fylgigögnum, bárust Persónuvernd með tölvupósti 10. október s.á.

4. Með bréfi 16. október 2024 tilkynnti Persónuvernd Akureyrarbæ að stofnunin hygðist framkvæma vettvangsathugun og var hún gerð 25. s.m. Með tölvupósti sama dag tilkynnti Persónuvernd Akureyrarbæ um niðurstöður vettvangsathugunarinnar og veitti sveitarfélaginu kost á að tjá sig um þær. Jafnframt óskaði Persónuvernd frekari upplýsinga um aðgerðaskráningu vegna skoðunar myndefnis úr eftirlitsmyndavélum og um merkingar um rafræna vöktun. Barst svar Akureyrarbæjar með tölvupósti 5. nóvember s.á.

5. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.

Álitamál

6. Frumkvæðisathugun Persónuverndar laut að rafrænni vöktun af hálfu Akureyrarbæjar í sundlaugum sem sveitarfélagið rekur, þ.e. Sundlaug Akureyrar, Glerárlaug og Sundlaug Hríseyjar. Engar eftirlitsmyndavélar eru í Sundlaug Grímseyjar og var hún því ekki til skoðunar. Beindist athugunin að því hvort merkingar um hina rafrænu vöktun eru á öllum þeim svæðum sem vöktunin nær til, hvort hinum skráðu er gert viðvart um vöktunina áður en þeir fara inn á vaktað svæði og hvort fræðsla til hinna skráðu uppfyllir kröfur laga. Einnig var kannað hvort aðgangur að myndefni og öðrum persónuupplýsingum sem safnast við vöktunina uppfyllir kröfur persónuverndarlöggjafarinnar um öryggi persónuupplýsinga.

Fyrirliggjandi gögn

7. Með svarbréfi Akureyrarbæjar, dags. 10. október 2024, fylgdu eftirfarandi gögn:

i. Skjáskot úr öllum eftirlitsmyndavélum í Sundlaug Akureyrar.Samkvæmt skjáskotunum eru eftirlitsmyndavélar í anddyri sundlaugarbyggingarinnar og við inngang íþróttahúss, og nær sjónsvið þeirra til skóhilla fyrir utan búningsklefa. Sjónsvið eftirlitsmyndavéla á sundlaugarsvæði nær til innilaugar, pottasvæðis innandyra, sem og til sundlauga, vaðlauga og potta utandyra.Í sundlaugunum eru jafnframt botnvélar og nær sjónsvið þeirra undir yfirborð sundlauganna. Þá eru rennibrautir einnig vaktaðar með eftirlitsmyndavélum sem og svæði fyrir sólbaðsbekki og ærslabelgi í sundlaugagarði.

ii. Skjáskot úr öllum eftirlitsmyndavélum í Glerárlaug. Samkvæmt skjáskotunum nær sjónsvið eftirlitsmyndavéla við inngang sundlaugar til afgreiðslu og skóhillu. Sjónsvið eftirlitsmyndavéla á sundlaugarsvæði nær til innilaugar og potta á útisvæði.

iii. Skjáskot úr öllum eftirlitsmyndavélum í Sundlaug Hríseyjar.Samkvæmt skjáskotunum nær sjónsvið eftirlitsmyndavéla til bekkja á útisvæði, potta, barnalaugar og sundlauga, þ.m.t. undir yfirborð sundlauga.

iv. Myndir af merkingum um rafræna vöktun ísundlaugum Akureyrarbæjar. Á yfirlitsmynd af Sundlaug Akureyrar, Glerárlaug og Sundlaug Hríseyjar má sjá staðsetningu allra merkinga um rafræna vöktun. Einnig fylgja með myndir af einstaka merkingum. Á merkingunum kemur fram að Akureyrarbær sé ábyrgðaraðili vöktunarinnar, tilgangur hennar sé öryggis- og eignavarsla, að upptökur séu varðveittar að hámarki í 30 daga og séu ekki afhentar þriðja aðila öðrum en lögreglu. Einnig kemur fram að einstaklingar eigi rétt á aðgangi að persónuupplýsingum sem um þá er aflað og að nánari upplýsingar megi nálgast á eftirfarandi vefslóð,https://www.akureyri.is/is/stjornkerfi/stjornsysla/reglur-og-samthykktir/annad.Á merkingunum er jafnframt QR-kóði sem leiðir inn á reglur Akureyrarbæjar um rafræna vöktun öryggismyndavéla.

v. Reglur Akureyrarbæjar um rafræna vöktun öryggismyndavéla. Reglurnar tilgreina meðal annars lagagrundvöll rafrænnar vöktunar og tilgang hennar. Nánar tiltekið kemur fram að rafræn vöktun fari fram til að gæta lögmætra hagsmuna Akureyrarbæjar með vísan til öryggis- og eignarvörslu, sbr. 2. og 4. gr. reglnanna. Í reglunum er jafnframt að finna samskiptaupplýsingar persónuverndarfulltrúa Akureyrarbæjar, upplýsingar um skoðun myndefnis sem verður til við rafræna vöktun og viðtakendur persónuupplýsinga vegna vöktunarinnar, varðveislutíma myndefnis og hvar megi finna fræðslu um vöktunina. Í persónuverndarstefnu Akureyrarbæjar er jafnframt að finna fræðslu varðandi réttindi einstaklinga í tengslum við vinnslu persónuupplýsinga og réttinn til að leggja fram kvörtun hjá Persónuvernd.

vi. Fræðsla til starfsfólks sundlauga Akureyrarbæjar vegna rafrænnar vöktunar í sundlaugum. Í fræðslunni kemur fram að sjónsvið eftirlitmyndavéla nái til svæða þar sem starfsfólks er við vinnu. Farið er yfir tilgang vöktunarinnar og lagagrundvöll hennar, varðveislutíma myndefnis og mögulega viðtakendur. Að auki er að finna upplýsingar um réttindi hinna skráðu, þ.m.t. réttinn til að leggja fram kvörtun hjá Persónuvernd.

8. Í kjölfar vettvangsathugunar Persónuverndar barst stofnuninni einnig:

i. Afrit af aðgerðaskráningu sem sýnir hvernig skoðun á myndefni úr eftirlitsmyndavélum í sundlaugum Akureyrarbæjar er skráð. Skráningin hefur að geyma upplýsingar um staðsetningu (þá sundlaug sem um ræðir), dagsetningu skoðunar, dagsetningu upptöku, tímasetningu atburðar, hvort upptakan verði varðveitt, hver skoði upptökuna, tilgang skoðunar, hvaða myndavélar eru skoðaðar, niðurstöðu og aðila máls.

ii. Mynd til staðfestingar á því að merking um rafræna vöktun hafi verið sett upp við inngang að sundlaugarsvæði Sundlaugar Akureyrarbæjar frá líkamsræktarstöð World Class.

Niðurstöður vettvangsathugunar

9. Vettvangsathugun Persónuverndar í Sundlaug Akureyrar 25. október 2024 leiddi í ljós að merkingar um rafræna vöktun eru staðsettar við aðalinngang sundlaugarinnar, starfsmannainngang, íþróttahús Brekkuskóla, Íþróttahöllina og við inngang að sundlaugargarði. Að auki er merking um rafræna vöktun áður en ekið er inn á sameiginlegt bílastæði Sundlaugar Akureyrar og Brekkuskóla og er það vaktað af Brekkuskóla. Þá leiddi athugunin í ljós að engin merking var við inngang sundlaugarinnar frá búningsklefum líkamsræktarstöðvar World Class. Líkt og fram kemur í efnisgrein 8 (ii) hefur slík merking nú verið sett upp.

10. Ekki var farið í vettvangsathugun í Glerárlaug og Sundlaug Hríseyjar en af fyrirliggjandi skjáskotum af sjónsviði eftirlitsmyndavélanna og myndum af merkingum um rafræna vöktun verður ráðið að hinum skráðu er gert viðvart um að vöktun sé viðhöfð, áður en þeir fara inn á vaktað svæði.

11. Þá leiddi vettvangsathugunin í ljós að Öryggismiðstöðin hefur umsjón með eftirlitsmyndavélakerfi sundlauga Akureyrarbæjar og heldur utan um aðgerðaskrár vegna skoðunar á myndefni. Eingöngu forstöðumaður og verkefnastjóri rekstrar sundlauga Akureyrarbæjar hafa aðgang að myndefni.

Sjónarmið Akureyrarbæjar

12. Í svari Akureyrarbæjar 10. október 2024 er tekið fram að sveitarfélagið tryggi að hinum skráðu sé gert viðvart um rafræna vöktun í sundlaugum sveitarfélagsins áður en þeir fara inn á vaktað svæði. Merkingar um rafræna vöktun séu á áberandi skiltum og þar sé að finna tilskildar upplýsingar, sbr. efnisgrein 7 (iv). Á skiltunum sé QR-kóði sem leiði inn á fræðslu um rafræna vöktun á vegum Akureyrarbæjar. Starfsfólki sundlauga sveitarfélagsins sé jafnframt veitt fræðsla um vöktunina, sbr. efnisgrein 7 (vi).

13. Þá er tekið fram starfsfólk sem sinni öryggisgæslu geti fylgst með rauntímavöktun myndavéla á skjá. Eingöngu forstöðumaður sundlauga Akureyrar og verkefnastjóri rekstrar hafi hins vegar aðgang að myndavélakerfi. Til að komast inn í kerfið þurfi þau að skrá sig inn með lykilorði. Myndaefni sé varðveitt í 30 daga og því síðan eytt. Samkvæmt reglunum Akureyjarbæjar um rafræna vöktun sé skoðun á myndefni ávallt skráð og skulu forstöðumaður og verkefnastjóri rekstrar báðir vera viðstaddir slíka skoðun. Lýsing á skráningu myndefnis fylgdi með svari sveitarfélagsins 5. nóvember 2024, sbr. efnisgrein 8 (i). Í svari sveitarfélagsins kemur jafnframt fram að ekki séu gerðar athugasemdir við niðurstöður vettvangsathugunar Persónuverndar.

Forsendur og niðurstaða

Lagaumhverfi

14. Mál þetta varðar vinnslu persónuupplýsinga í tengslum við rafræna vöktun á vegum Akureyrarbæjar með eftirlitsmyndavélum í Sundlaug Akureyrar, Glerárlaug og Sundlaug Hríseyjar. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.

15. Sveitarfélagið Akureyrarbær telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

16. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Hefur almennt verið talið að rafræn vöktun sé heimil teljist hún nauðsynleg vegna lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða, sbr. 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðarinnar. Samkvæmt sérákvæðum um rafræna vöktun í 14. gr. laganna verður slík vöktun jafnframt að fara fram í málefnalegum tilgangi auk þess sem rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram, sbr. 1. mgr. greinarinnar.

17. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins, og að þær séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.

18. Framangreind meginregla um gagnsæi við vinnslu persónuupplýsinga felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða. Hvað snertir rafræna vöktun er að finna reglu um slíka fræðslu í 4. mgr. 14. gr. laga nr. 90/2018, þess efnis að glögglega skuli gera viðvart um rafræna vöktun sem fram fer á vinnustað eða á almannafæri með merki eða á annan áberandi hátt og hver ábyrgðaraðili vöktunar er. Einnig er að líta til 1. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr. 90/2018, sem kveður á um að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að láta skráðum einstaklingi í té þær upplýsingar sem í 13. og 14. gr. reglugerðarinnar greinir og skulu upplýsingar veittar skriflega eða á annan hátt, t.d. á rafrænu formi. Í leiðbeiningum Evrópska persónuverndarráðsins frá 29. janúar 2020 nr. 3/2019 (útgáfu 2) um vinnslu persónuupplýsinga við rafræna vöktun er áréttað mikilvægi þess að hinum skráða sé með skýrum viðvörunarmerkjum gerð grein fyrir því að rafræn vöktun fari fram, svo og til hvaða svæða hún nái. Jafnframt er tekið fram að frekari fræðslu megi veita með öðrum hætti en slíkum viðvörunarmerkjum, en að hún þurfi eftir sem áður að vera fyrir hendi og aðgengileg.

19. Um efni fræðslu, í tengslum við rafræna vöktun, fer eftir ákvæðum 13. gr. reglugerðarinnar, sbr. fyrrgreindar leiðbeiningar Evrópska persónuverndarráðsins. Skal ábyrgðaraðili meðal annars skýra hinum skráða frá því hver ábyrgðaraðili vinnslu er, samskiptaupplýsingum persónuverndarfulltrúa ef við á og réttinn til að leggja fram kvörtun hjá eftirlitsyfirvaldi, tilgangi vinnslunnar og lagagrundvelli, varðveislutíma persónuupplýsinga, viðtakendum eða flokkum viðtakenda persónuupplýsinganna og ef heimild til vinnslu byggist á því að hún sé nauðsynleg vegna lögmætra hagsmuna, hvaða lögmætu hagsmunir það eru, sbr. 1. og 2. mgr. ákvæðisins.

20. Þá gilda reglur Persónuverndar nr. 50/2023, um rafræna vöktun, um vöktun á almannafæri, á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði, þar á meðal í sameign fjöleignarhúsa eða á sameiginlegri lóð. Í 8. gr. reglnanna er mælt fyrir um viðvaranir og fræðslu um rafræna vöktun. Segir þar meðal annars í 3. mgr. að ábyrgðaraðili rafrænnar vöktunar skuli kynna sérstaklega þeim hópum fólks sem að jafnaði fara um hið vaktaða svæði með sannanlegum hætti þær upplýsingar sem honum ber að veita vegna vöktunarinnar samkvæmt 12.-13. gr. reglugerðar (ESB) 2016/679. Í 11. gr. reglnanna eru svo ákvæði um varðveislu persónuupplýsinga sem verða til við rafræna vöktun. Samkvæmt þeim er óheimilt að varðveita persónuupplýsingar sem verða til við rafræna vöktun nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar. Persónuupplýsingum sem safnast við rafræna vöktun skal eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær en þó skal ekki varðveita þær lengur en í 30 daga nema lög heimili eða eitthvað af þeim skilyrðum sem talin eru upp í 1.-5. tölul. ákvæðisins eigi við.

21. Ákvæði um upplýsingaöryggi eru í 1. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 32. gr. reglugerðar (ESB) 2016/679. Þar segir að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga. Þá segir í 2. mgr. 32. gr. reglugerðarinnar að þegar viðunandi öryggi er metið skuli einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar, meðal annars, að veittur sé aðgangur að þeim í leyfisleysi. Í 3. tölul. 7. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, sem Persónuvernd setti í gildistíð laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en gilda eftir því sem við á, sbr. ákvæði II til bráðabirgða í lögum nr. 90/2018, er það nefnt sem dæmi um öryggisráðstöfun að stýra aðgangi að búnaði með úthlutun aðgangs- eða lykilorða og tryggja rekjanleika uppflettinga og vinnsluaðgerða.

22. Aðgerðaskráning er öryggisráðstöfun sem er til þess fallin að tryggja rekjanleika og getur haft varnaðaráhrif gegn óheimilum og ólögmætum aðgangi að persónuupplýsingum. Vöktun aðgerðaskráningar er enn fremur til þess fallin að tryggja eftirlit með aðgangi og annarri vinnslu persónuupplýsinga og greina hugsanleg frávik. Því fyrr sem vart verður við óeðlileg atvik, því fyrr er hægt að grípa til viðeigandi ráðstafana, t.d. með því að loka fyrir aðgang eða umferð um tiltekið kerfi. Loks verður að telja að fullnægjandi aðgerðaskráning auðveldi ábyrgðar- og vinnsluaðilum að greina öryggisatvik og leggja mat á þær öryggisráðstafanir sem voru viðhafðar í aðdraganda þess, sem gerir þeim svo betur fært að gera viðeigandi ráðstafanir til að koma í veg fyrir að slík atvik endurtaki sig. Af þessu má sjá að aðgerðaskráning þjónar þýðingarmiklu hlutverki bæði í þágu upplýsingaöryggis og við skjalfestingu.

Niðurstaða

23. Með hliðsjón af öllum fyrirliggjandi gögnum og niðurstöðu vettvangsathugunar, sbr. framangreinda umfjöllun í efnisgreinum 7-11, er það niðurstaða Persónuverndar að merkingar og fræðsla um rafræna vöktun í sundlaugum Akureyrarbæjar sé með þeim hætti að samrýmast skyldum sveitarfélagsins samkvæmt 4. mgr. 14. gr. laga nr. 90/2018 og 1. mgr. 12. gr. og 13. gr. reglugerðar (ESB) 2016/679, sbr. 1. og 2. mgr. 17. gr. laga nr. 90/2018, sbr. og 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, sbr. framangreinda umfjöllun í efnisgreinum 16-20.

24. Hvað varðar þær ráðstafanir sem Akureyrarbær viðhefur til að tryggja öryggi persónuupplýsinga sem verða til við vöktunina kemur fram í fyrirliggjandi gögnum að myndefnið sem verður til við vöktunina sé einungis aðgengilegt forstöðumanni og verkefnastjóra rekstrar sundlauga sveitarfélagsins, að myndefninu sé eytt eftir að hámarki 30 daga og að viðeigandi aðgangsstýring og aðgerðaskráning sé viðhöfð, sbr. framangreinda umfjöllun í efnisgreinum 8 (i) og 13. Það er því einnig niðurstaða Persónuverndar að vinnslan sé í samræmi við 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar.Tekið skal fram að í þessu máli náði rannsókn Persónuverndar aðeins til þess hver varðveislutími persónuupplýsinga væri og hvort aðgangsstýring og aðgerðarskráning væri viðhöfð og er því ekki tekin afstaða til upplýsingaöryggis varðandi aðra áhættuþætti.

Á k v ö r ð u n a r o r ð:

Vinnsla persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum Akureyrarbæjar samrýmist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679 og reglum nr. 50/2023.

Persónuvernd, 12. febrúar 2025

Edda Þuríður Hauksdóttir
Harpa Halldórsdóttir