Ákvörðun

vegna frumkvæðisathugunar á vinnslu persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum Árborgar í máli nr. 2025020650 (áður 2024091362):

Málsmeðferð

1. Persónuvernd tilkynnti sveitarfélaginu Árborg að stofnunin hefði ákveðið að hefja frumkvæðisathugun á vinnslu persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum sem sveitarfélagið rekur, með bréfi, dags. 16. september 2024.

2. Við ákvörðun um að hefja frumkvæðisathugunina var litið til þess að Persónuvernd bárust á árinu 2024 ábendingar um vinnslu persónuupplýsinga í tengslum við rafræna vöktun af hálfu sveitarfélaga sem lutu meðal annars að rafrænni vöktun sem fram fer í sundlaugum. Ákvörðun um að hefja frumkvæðisathugunina byggist á 1. og 3. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 30. gr. reglna nr. 1150/2023 um málsmeðferð Persónuverndar.

Rannsókn máls

3. Með fyrrgreindu bréfi 16. september 2024 óskaði Persónuvernd upplýsinga frá Árborg um hvernig merkingum um rafræna vöktun er háttað við sundlaugar sem sveitarfélagið rekur og hvernig hinum skráðu er veitt fræðsla um rafræna vöktun á vegum Árborgar, til samræmis við 13. gr. reglugerðar (ESB) 2016/679. Einnig óskaði Persónuvernd upplýsinga um hvort aðgangi að myndefni er stýrt með lykilorðum og hvort notkun aðgangs er skráð þannig að rekja má hvaða starfsmaður skoðar tilteknar upplýsingar og hvenær. Jafnframt var óskað eftir skjáskoti úr öllum eftirlitsmyndavélum í sundlaugum Árborgar, myndum af merkingum um rafræna vöktun og upplýsingum um staðsetningu merkinga. Svör f.h. Árborgar, ásamt fylgigögnum, bárust Persónuvernd með tölvupósti 7. október s.á.

4. Með bréfi 22. október 2024 tilkynnti Persónuvernd Árborg að stofnunin hygðist framkvæma vettvangsathugun og var hún gerð 5. nóvember s.á. Með bréfi, dags. 6. s.m., tilkynnti Persónuvernd Árborg um niðurstöður vettvangsathugunarinnar og veitti sveitarfélaginu kost á að tjá sig um þær. Svar barst frá Árborg 20. nóvember s.á. þar sem gerðar voru athugasemdir við orðalag í niðurstöðu Persónuverndar varðandi vettvangsathugunina.

5. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.

Álitamál

6. Frumkvæðisathugun Persónuverndar laut að rafrænni vöktun af hálfu Árborgar í sundlaugum sem sveitarfélagið rekur, þ.e. Sundhöll Selfoss og Sundlaug Stokkseyrar. Beindist athugunin að því hvort merkingar um hina rafrænu vöktun eru á öllum þeim svæðum sem vöktunin nær til, hvort hinum skráðu er gert viðvart um vöktunina áður en þeir fara inn á vaktað svæði og hvort fræðsla til hinna skráðu uppfyllir kröfur laga. Einnig var kannað hvort aðgangur að myndefni og öðrum persónuupplýsingum sem safnast við vöktunina uppfyllir kröfur persónuverndarlöggjafarinnar um öryggi persónuupplýsinga.

Fyrirliggjandi gögn

7. Með svarbréfi Árborgar, dags. 7. október 2024, fylgdu eftirfarandi gögn:

i. Skjáskot úr öllum eftirlitsmyndavélum í Sundhöll Selfoss. Samkvæmt skjáskotunum nær sjónsvið eftirlitsmyndavélanna yfir afgreiðslusvæði, norður- og suðurgang Sundhallarinnar, þar sem fjölnotaklefar eru m.a. staðsettir, og yfir skóhillur við karla- og kvennabúningsklefa. Einnig nær sjónsvið eftirlitsmyndavélanna yfir innilaugar og útisvæði sundlauga og pottasvæðis Sundhallarinnar. Í sundlaugunum eru jafnframt botnvélar og nær sjónsvið þeirra undir yfirborð sundlauganna. Samkvæmt svörum sveitarfélagsins eru engar eftirlitsmyndavélar á bílastæðum og engin eftirlitsmyndavél beinir sjónsviði að inngangi almennings eða starfsmanna inn í bygginguna.

ii. Skjáskot úr öllum eftirlitsmyndavélum í Sundlaug Stokkseyrar. Samkvæmt skjáskotunum nær sjónsvið eftirlitsmyndavélanna yfir útisvæði sundlauga og pottasvæðis. Samkvæmt svörum sveitarfélagsins eru engar eftirlitsmyndavélar á bílastæðum og engin eftirlitsmyndavél beinir sjónsviði að inngangi almennings eða starfsmanna inn í bygginguna.

iii. Myndir af merkingum um rafræna vöktun í Sundhöll Selfoss og Sundlaug Stokkseyrar. Samkvæmt myndum úr Sundhöll Selfoss er merking um myndavélaeftirlit á afgreiðsluborði og á skjá við inngang í búningsklefa. Hinum skráðu er því ekki gert viðvart um rafræna vöktun áður en þeir fara inn á vaktað svæði Sundhallar Selfoss, þar sem sjónsvið einnar eftirlitsmyndavélar nær yfir afgreiðslusvæðið fram að inngangi inn í bygginguna. Á merkingunum eru eingöngu veittar upplýsingar um að svæðið sé vaktað. Í Sundlaug Stokkseyrar er merking í glugga í anddyri, þar sem gengið er inn í bygginguna, um að myndavélaeftirlit fari fram. Hinum skráðu er því gert viðvart um rafræna vöktun áður en þeir fara inn á vaktað svæði Sundlaugar Stokkseyris. Framangreind merking í anddyri byggingarinnar er hins vegar frá Öryggismiðstöðinni þar sem aðeins er gert viðvart um myndavélaeftirlit.

8. Í kjölfar vettvangsathugunar Persónuverndar barst stofnuninni einnig:

i. Mynd af uppfærðri merkingu um rafræna vöktun á inngangi starfsmanna í Sundhöll Selfoss.

ii. Myndir af uppfærðum merkingum um rafræna vöktun í Sundlaug Stokkseyrar.

iii. Afrit af svörum frá Árvirkjanum ehf., þjónustuaðila eftirlitsmyndavélakerfis Sundhallar Selfoss, varðandi aðgerðarskráningu og varðveislu myndefnis sem safnast við rafræna vöktun. Samkvæmt svörum Árvirkjans ehf. geymast upptökur úr eftirlitsmyndavélakerfi í Sundhöll Selfoss í 8 daga en í 14 daga í Sundlaug Stokkseyrar.

iv. Afrit af aðgerðarskráningu sem til verður við skoðun myndefnis um rafræna vöktun. Samkvæmt aðgerðarskráningunni er skráð hvaða starfsmaður skráir sig inn í eftirlitsmyndavélakerfið og á hvaða tíma.

v. Afrit af fræðsluefni til starfsmanna vegna rafrænnar vöktunar.

Niðurstöður vettvangsathugunar

9. Vettvangsathugun Persónuverndar í Sundhöll Selfoss 5. nóvember 2024 leiddi í ljós að uppfærðum merkingum um rafræna vöktun hefur verið komið fyrir á öllum þeim svæðum sem vöktunin nær til. Engar eftirlitsmyndavélar eru á bílastæði Sundhallarinnar og engin eftirlitsmyndavél beinir sjónsviði sínu að inngangi inn í bygginguna. Merkingar um rafræna vöktun er nú að finna á glugga í anddyri þar sem gengið er inn í bygginguna og hinum skráðu þannig gert viðvart um að rafræn vöktun sé viðhöfð áður en þeir koma inn á vaktað svæði.

10. Vettvangsathugunin leiddi einnig í ljós að merkingar um rafræna vöktun hafa verið uppfærðar, á þann hátt að nú koma fram á öllum merkingum upplýsingar um ábyrgðaraðila vöktunarinnar. Jafnframt hefur QR-kóða verið bætt við merkingarnar sem leiðir inn á vefsíðu þar sem veitt er nánari fræðsla um rafræna vöktun. Á vefsíðunni er að finna fræðslu um tilgang og lagagrundvöll vinnslu persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum sveitarfélagsins, viðtakendum persónuupplýsinga vegna rafrænnar vöktunar, varðveislutíma efnis sem til verður við rafræna vöktun, fræðslu varðandi réttindi einstaklinga tengd því efni sem til verður við vöktunina, samskiptaupplýsingum persónuverndarfulltrúa þar sem hægt sé að fá nánari upplýsingar um vinnslu persónuupplýsinga og réttinn til þess að leggja fram kvörtun hjá Persónuvernd.

Sjónarmið Árborgar

11. Í svarbréfi Árborgar 7. október 2024 segir að hinum skráðu sé gert viðvart um rafræna vöktun áður en þeir fara inn á vaktað svæði í Sundlaug Stokkseyris en ekki í Sundhöll Selfoss. Greint er frá því að merkingar innihaldi ekki upplýsingar um hver ábyrgðaraðili vöktunarinnar er eða QR-kóða eða vefsíðu þar sem finna megi frekari upplýsingar um vöktunina. Eiginlegri fræðslu til hinna skráðu um rafræna vöktun sé því ekki til að dreifa í sundlaugum sveitarfélagsins. Vísað er til þess að á vefsíðu sveitarfélagsins megi finna almenna persónuverndaryfirlýsingu þar sem komið er inn á að sveitarfélagið vinni með persónuupplýsingar í öryggis- og eignavörsluskyni. Frekari upplýsingar til hinna skráðu séu þó ekki veittar og fræðslan því ekki í samræmi við 13. gr. reglugerðar (ESB) 2016/679. Jafnframt segir í svörum Árborgar að vinna sé hafin hjá sveitarfélaginu við að uppfæra merkingar og fræðslu til hinna skráðu í samræmi við framangreint ákvæði reglugerðarinnar.

12. Hvað varðar aðgangsstýringar að myndefni sem til verður við rafræna vöktun segir í svarbréfi Árborgar að forstöðumaður sundstaða Árborgar og vaktstjóri hafi aðgang að myndefninu. Auk þess hafi þjónustuaðila eftirlitsmyndavélakerfisins, Árvirkinn ehf., aðgang að myndefninu vegna þjónustu við kerfið. Til þess að skoða myndefnið þurfi að auðkenna sig með lykilorði og aðgerðarskráning verði til þar sem hægt er að sjá hvaða notandi skráði sig inn og á hvaða tíma. Þá sé í gildi tiltekið verklag um skoðun á myndefni sem til verður við rafræna vöktun og starfsmaður þurfi ávallt að vera viðstaddur ef forstöðumaður eða vaktstjóri telji tilefni til skoðunar þess.

Forsendur og niðurstaða

Lagaumhverfi

13. Mál þetta varðar vinnslu persónuupplýsinga í tengslum við rafræna vöktun á vegum Árborgar með eftirlitsmyndavélum í Sundhöll Selfoss og Sundlaug Stokkseyrar. Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.

14. Sveitarfélagið Árborg telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

15. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Hefur almennt verið talið að rafræn vöktun sé heimil teljist hún nauðsynleg vegna lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða, sbr. 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðarinnar. Samkvæmt sérákvæðum um rafræna vöktun í 14. gr. laganna verður slík vöktun jafnframt að fara fram í málefnalegum tilgangi auk þess sem rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram, sbr. 1. mgr. greinarinnar.

16. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins, og að þær séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.

17. Framangreind meginregla um gagnsæi við vinnslu persónuupplýsinga felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða. Hvað snertir rafræna vöktun er að finna sérreglu um slíka fræðslu í 4. mgr. 14. gr. laga nr. 90/2018, þess efnis að glögglega skuli gera viðvart um rafræna vöktun sem fram fer á vinnustað eða á almannafæri með merki eða á annan áberandi hátt og hver ábyrgðaraðili vöktunar er. Einnig er að líta til 1. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr. 90/2018, sem kveður á um að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að láta skráðum einstaklingi í té þær upplýsingar sem í 13. og 14. gr. reglugerðarinnar greinir og skulu upplýsingar veittar skriflega eða á annan hátt, t.d. á rafrænu formi. Í leiðbeiningum Evrópska persónuverndarráðsins frá 29. janúar 2020 nr. 3/2019 (útgáfu 2) um vinnslu persónuupplýsinga við rafræna vöktun er áréttað mikilvægi þess að hinum skráða sé með skýrum viðvörunarmerkjum gerð grein fyrir því að rafræn vöktun fari fram, svo og til hvaða svæða hún nái. Jafnframt er tekið fram að frekari fræðslu megi veita með öðrum hætti en slíkum viðvörunarmerkjum, en að hún þurfi eftir sem áður að vera fyrir hendi og aðgengileg.

18. Um efni fræðslu, í tengslum við rafræna vöktun, fer eftir ákvæðum 13. gr. reglugerðarinnar, sbr. fyrrgreindar leiðbeiningar Evrópska persónuverndarráðsins. Skal ábyrgðaraðili meðal annars skýra hinum skráða frá því hver ábyrgðaraðili vinnslu er, samskiptaupplýsingum persónuverndarfulltrúa ef við á og réttinn til að leggja fram kvörtun hjá eftirlitsyfirvaldi, tilgangi vinnslunnar og lagagrundvelli, varðveislutíma persónuupplýsinga, viðtakendum eða flokkum viðtakenda persónuupplýsinganna og ef heimild til vinnslu byggist á því að hún sé nauðsynleg vegna lögmætra hagsmuna, hvaða lögmætu hagsmunir það eru, sbr. 1. og 2. mgr. ákvæðisins.

19. Þá gilda reglur Persónuverndar nr. 50/2023, um rafræna vöktun, um vöktun á almannafæri, á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði, þar á meðal í sameign fjöleignarhúsa eða á sameiginlegri lóð. Í 8. gr. reglnanna er mælt fyrir um viðvaranir og fræðslu um rafræna vöktun. Segir þar m.a. í 3. mgr. að ábyrgðaraðili rafrænnar vöktunar skuli kynna sérstaklega þeim hópum fólks sem að jafnaði fara um hið vaktaða svæði með sannanlegum hætti þær upplýsingar sem honum ber að veita vegna vöktunarinnar samkvæmt 12.-13. gr. reglugerðar (ESB) 2016/679. Í 11. gr. reglnanna eru svo ákvæði um varðveislu persónuupplýsinga sem verða til við rafræna vöktun. Samkvæmt þeim er óheimilt að varðveita persónuupplýsingar sem verða til við rafræna vöktun nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar. Persónuupplýsingum sem safnast við rafræna vöktun skal eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær en þó skal ekki varðveita þær lengur en í 30 daga nema lög heimili eða eitthvað af þeim skilyrðum sem talin eru upp í 1.-5. tölul. ákvæðisins eigi við.

20. Ákvæði um upplýsingaöryggi eru í 1. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 32. gr. reglugerðar (ESB) 2016/679. Þar segir að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga. Þá segir í 2. mgr. 32. gr. reglugerðarinnar að þegar viðunandi öryggi er metið skuli einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar, meðal annars, að veittur sé aðgangur að þeim í leyfisleysi. Í 3. tölul. 7. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, sem Persónuvernd setti í gildistíð laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en gilda eftir því sem við á, sbr. ákvæði II til bráðabirgða í lögum nr. 90/2018, er það nefnt sem dæmi um öryggisráðstöfun að stýra aðgangi að búnaði með úthlutun aðgangs- eða lykilorða og tryggja rekjanleika uppflettinga og vinnsluaðgerða.

21. Atvikaskráning (aðgerðarskráning) er öryggisráðstöfun sem er til þess fallin að tryggja rekjanleika og getur haft varnaðaráhrif gegn óheimilum og ólögmætum aðgangi að persónuupplýsingum. Vöktun atvikaskráningar er enn fremur til þess fallin að tryggja eftirlit með aðgangi og annarri vinnslu persónuupplýsinga og greina hugsanleg frávik. Því fyrr sem vart verður við óeðlileg atvik, því fyrr er hægt að grípa til viðeigandi ráðstafana, t.d. með því að loka fyrir aðgang eða umferð um tiltekið kerfi. Loks verður að telja að fullnægjandi atvikaskráning auðveldi ábyrgðar- og vinnsluaðilum að greina öryggisatvik og leggja mat á þær öryggisráðstafanir sem voru viðhafðar í aðdraganda þess, sem gerir þeim svo betur fært að gera viðeigandi ráðstafanir til að koma í veg fyrir að slík atvik endurtaki sig. Af þessu má ráða að atvikaskráning þjónar þýðingarmiklu hlutverki bæði í þágu upplýsingaöryggis og við skjalfestingu.

Niðurstaða

22. Þegar frumkvæðisathugun Persónuverndar á vinnslu persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum Árborgar hófst, 16. september 2024, þykir að mati Persónuverndar ljóst að á þeim tíma skorti á að einstaklingum sem áttu að sæta rafrænni vöktun væri gert viðvart, áður en þeir komu inn á vaktað svæði eða vöktun hófst, um að rafræn vöktun færi fram í Sundhöll Selfoss, sbr. umfjöllun í efnisgrein 7 (i.) og (iii.) og efnisgrein 11. Þá skorti jafnframt á að hinum skráðu væru veittar upplýsingar um hver væri ábyrgðaraðili vöktunar í Sundhöll Selfoss og Sundlaug Stokkseyrar og hvar mætti fá nánari fræðslu um hana, til samræmis við 13. gr. reglugerðar (ESB) 2016/679, eða rafrænan tengil á slíka fræðslu, sbr. fyrrgreinda umfjöllun í efnisgrein 7 (iii.), sbr. og efnisgrein 11.

23. Með vísan til framangreinds og að virtum fyrirliggjandi gögnum verður ekki talið að Árborg hafi, fram að upphafi frumkvæðisathugunar Persónuverndar, sinnt fræðsluskyldu sinni til hinna skráðu, samkvæmt 4. mgr. 14. gr. og 1. og 2. mgr. 17. gr. laga nr. 90/2018, sbr. einnig 12. gr. og 13. gr. reglugerðar (ESB) 2016/679 og 8. gr. reglna nr. 50/2023 um rafræna vöktun. Er í því sambandi litið til þess að fræðslan var á þeim tíma efnislega ófullnægjandi, bæði í Sundhöll Selfoss og Sundlaug Stokkseyrar. Þá voru merkingar í Sundhöll Selfoss ekki staðsettar á þann hátt að hinum skráðu væri gert viðvart um vöktunina áður en þeir fóru inn á vaktað svæði. Að þessu gættu hefur Árborg því ekki sýnt fram á að hafa tryggt gagnsæi við þá vinnslu persónuupplýsinga sem hér er til umfjöllunar, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar.

24. Með hliðsjón af vettvangsathugun Persónuverndar, sbr. umfjöllun í efnisgreinum 9 og 10 og þeim gögnum sem bárust frá Árborg í kjölfar hennar, sbr. umfjöllun efnisgrein 8 (iv.) og (v.), er það hins vegar einnig niðurstaða Persónuverndar að merkingar og fræðsla um rafræna vöktun í sundlaugum Árborgar sé nú með þeim hætti að samrýmist skyldum sveitarfélagsins samkvæmt 4. mgr. 14. gr. laga nr. 90/2018 og 1. mgr. 12. gr. og 13. gr. reglugerðar (ESB) 2016/679, sbr. 1. og 2. mgr. 17. gr. laga nr. 90/2018 og 8. gr. reglna nr. 50/2023 um rafræna vöktun, sbr. og 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar. Í ljósi þess kemur ekki til álita að gefa félaginu fyrirmæli um úrbætur á grundvelli 4. tölul. 42. gr. laganna.

25. Hvað varðar þær ráðstafanir sem Árborg viðhefur til að tryggja öryggi persónuupplýsinga sem verða til við rafræna vöktun kemur fram í svörum sveitarfélagsins og fyrirliggjandi gögnum að myndefnið sem verður til við vöktunina sé einungis aðgengilegt forstöðumanni sundstaða sveitarfélagsins og vaktstjóra, því sé eytt eftir 8-14 daga og að viðeigandi aðgangsstýring sé viðhöfð, sbr. framangreinda umfjöllun í efnisgrein 8 (vi.) og (vii.) og efnisgrein 12. Það er því einnig niðurstaða Persónuverndar að vinnslan sé að þessu leyti í samræmi við 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar. Tekið skal fram að í þessu máli náði rannsókn Persónuverndar aðeins til þess hver varðveislutími persónuupplýsinga væri og hvort aðgangsstýring og aðgerðarskráning væri viðhöfð og er því ekki tekin afstaða til upplýsingaöryggis varðandi aðra áhættuþætti.

Ákvörðun um beitingu valdheimilda

26. Persónuvernd getur lagt stjórnvaldssektir á þá sem brjóta, af ásetningi eða gáleysi, gegn einhverju þeirra ákvæða reglugerðar (ESB) 2016/679 sem talin eru upp í 2. og 3. mgr. 46. gr. laga nr. 90/2018, sbr. 1. og 5. mgr. þeirrar lagagreinar. Samkvæmt 1. og 2. tölul. 3. mgr. 46. gr. eru þar á meðal ákvæði um grundvallarreglur vinnslu, meðal annars samkvæmt a-lið 1. mgr. 5. gr. reglugerðarinnar, og um réttindi skráðra einstaklinga, meðal annars samkvæmt 12. og 13. gr. reglugerðarinnar.

27. Við ákvörðun um hvort framangreindum ákvæðum um sektarheimild skal beitt, sem og um fjárhæð sektar, ber að líta til 1. mgr. 47. gr. laga nr. 90/2018 þar sem kveðið er á um þau atriði sem ýmist geta verið metin hlutaðeigandi til málsbóta eða honum í óhag. Eins og háttar til í fyrirliggjandi máli telur Persónuvernd verða að líta til þess að umfang rafrænnar vöktunar er fremur takmarkað í sundlaugum Árborgar, sbr. 1. tölul. ákvæðisins, svo og þess að sveitarfélagið hefur greiðlega svarað erindum Persónuverndar, gengist við brotum gegn persónuverndarlöggjöfinni og hefur nú gert nauðsynlegar úrbætur, sbr. 3. og 6. tölul. sama ákvæðis. Að þessu virtu, og að gættum öðrum lögmæltum sjónarmiðum og málsatvikum í heild, svo og að teknu tilliti til reglna um meðalhóf, sbr. 1. mgr. 83. gr. reglugerðar (ESB) 2016/679 og 12. gr. stjórnsýslulaga nr. 37/1993, þykja ekki næg efni til að leggja stjórnvaldssekt á Árborg vegna þeirra brota sveitarfélagsins gegn persónuverndarlöggjöfinni sem rakin voru í efnisgreinum 22 og 23 hér að framan. Rétt þykir þó að veita sveitarfélaginu Árborg áminningu, sbr. 2. tölul. 42. gr. laganna, vegna fyrrgreindra brota.

Á k v ö r ð u n a r o r ð:

28. Merkingar og fræðsla sveitarfélagsins Árborgar um rafræna vöktun í sundlaugum sveitarfélagsins var ekki í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679 og reglur nr. 50/2023 um rafræna vöktun. Árborg er veitt áminning, sbr. 2. tölul. 42. gr. laga nr. 90/2018, vegna framangreinds brots.

29. Merkingar og fræðsla sveitarfélagsins Árborgar um rafræna vöktun í sundlaugum sveitarfélagsins samrýmist nú lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679 og reglum nr. 50/2023 um rafræna vöktun.

30. Vinnsla sveitarfélagsins Árborgar á persónuupplýsingum sem verða til við rafræna vöktun í sundlaugum sveitarfélagsins samrýmist ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerðar (ESB) 2016/679 og reglna nr. 50/2023 um rafræna vöktun, um varðveislutíma og öryggi við vinnslu persónuupplýsinga, að því er varðar aðgangsstýringu og aðgerðarskráningu.

Persónuvernd, 11. febrúar 2025

Ólafur Garðarsson
formaður

Árnína Steinunn Kristjánsdóttir
Björn Geirsson
Vilhelmína Haraldsdóttir
Þorvarður Kári Ólafsson