Persónuvernd hefur tekið ákvörðun vegna frumkvæðisathugunar á vinnslu persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum Mosfellsbæjar (Lágafellslaug og Varmárlaug). Beindist athugunin að því hvort merkingar og fræðsla um rafræna vöktun samrýmdist kröfum persónuverndarlöggjafarinnar og hvort aðgangur að myndefni og öðrum persónuupplýsingum sem safnast við vöktunina uppfyllti kröfur löggjafarinnar um öryggi persónuupplýsinga.

Í ákvörðuninni er komist að þeirri niðurstöðu að merkingar og fræðsla um rafræna vöktun í sundlaugum Mosfellsbæjar samrýmist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679 og reglum nr. 50/2023 um rafræna vöktun. Einnig var það niðurstaða Persónuverndar að þær ráðstafanir sem Mosfellsbær viðhefur til að tryggja öryggi persónuupplýsinga sem verða til við vöktunina væru í samræmi við ákvæði laga nr. 90/2018 og reglugerðar (ESB) 2016/679. Rannsókn Persónuverndar er laut að öryggi persónuupplýsinga var þó afmörkuð við það hver varðveislutími upplýsinganna væri og hvort aðgangsstýring og aðgerðarskráning væri viðhöfð.

Ákvörðun

vegna frumkvæðisathugunar á vinnslu persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum Mosfellsbæjar í máli nr. 2025020651 (áður 2024091360):

Málsmeðferð

1. Persónuvernd tilkynnti Mosfellsbæ að stofnunin hefði ákveðið að hefja frumkvæðisathugun á vinnslu persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum sem sveitarfélagið rekur, með bréfi 16. september 2024.

2. Við ákvörðun um að hefja frumkvæðisathugunina var litið til þess að Persónuvernd bárust á árinu 2024 ábendingar um vinnslu persónuupplýsinga í tengslum við rafræna vöktun af hálfu sveitarfélaga sem lutu meðal annars að rafrænni vöktun sem fram fer í sundlaugum. Ákvörðun um að hefja frumkvæðisathugunina byggist á 1. og 3. mgr. 39. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 30. gr. reglna nr. 1150/2023 um málsmeðferð Persónuverndar.

Rannsókn máls

3. Með fyrrgreindu bréfi 16. september 2024 óskaði Persónuvernd upplýsinga frá Mosfellsbæ um hvernig merkingum um rafræna vöktun er háttað við sundlaugar sem sveitarfélagið rekur og hvernig hinum skráðu er veitt fræðsla um rafræna vöktun á vegum Mosfellsbæjar, til samræmis við 13. gr. reglugerðar (ESB) 2016/679. Einnig óskaði Persónuvernd upplýsinga um hvort aðgangi þeirra sem hafa aðgang að myndefni er stýrt með lykilorðum og hvort notkun aðgangs er skráð þannig að rekja má hvaða starfsmaður skoðar tilteknar upplýsingar og hvenær. Jafnframt var óskað eftir skjáskoti úr öllum eftirlitsmyndavélum í sundlaugum Mosfellsbæjar, myndum af merkingum um rafræna vöktun og upplýsingum um staðsetningu merkinga. Svör Mosfellsbæjar, ásamt fylgigögnum, bárust Persónuvernd með tölvupósti 1. október s.á.

4. Með bréfi 16. október 2024 tilkynnti Persónuvernd Mosfellsbæ að stofnunin hygðist framkvæma vettvangsathugun og var hún gerð 22. s.m. Með bréfi sama dag tilkynnti Persónuvernd Mosfellsbæ um niðurstöður vettvangsathugunarinnar og veitti sveitarfélaginu kost á að tjá sig um þær. Jafnframt óskaði Persónuvernd frekari upplýsinga um aðgerðarskráningu varðandi skoðun myndefnis úr eftirlitsmyndavélum Lágafellslaugar auk upplýsinga um merkingar um rafræna vöktun á hurð frá starfsmannainngangi sundlaugarinnar. Svar barst frá Mosfellsbæ 15. nóvember s.á. þar sem ekki voru gerðar athugasemdir við niðurstöður vettvangsathugunar Persónuverndar og frekari upplýsingar veittar varðandi umbeðin atriði. Hinn 18. desember óskaði Persónuvernd loks eftir myndum af merkingum um rafræna vöktun við inngang íþróttamiðstöðvarinnar að Varmá og bárust umbeðin gögn frá Mosfellsbæ 20. s.m.

5. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.

Álitamál

6. Frumkvæðisathugun Persónuverndar laut að rafrænni vöktun af hálfu Mosfellsbæjar í sundlaugum sem sveitarfélagið rekur, þ.e. Lágafellslaug og Varmárlaug. Beindist athugunin að því hvort merkingar um hina rafrænu vöktun eru á öllum þeim svæðum sem vöktunin nær til, hvort hinum skráðu er gert viðvart um vöktunina áður en þeir fara inn á vaktað svæði og hvort fræðsla til hinna skráðu uppfyllir kröfur laga. Einnig var kannað hvort aðgangur að myndefni og öðrum persónuupplýsingum sem safnast við vöktunina uppfyllir kröfur persónuverndarlaga um öryggi persónuupplýsinga.

Fyrirliggjandi gögn

7. Með svarbréfi Mosfellsbæjar, dags. 1. október og 20. desember 2024, fylgdu eftirfarandi gögn:

i. Skjáskot úr öllum eftirlitsmyndavélum við Lágafellslaug. Samkvæmt skjáskotunum nær sjónsvið eftirlitsmyndavélanna yfir afgreiðslusvæði sundlaugarinnar, inngang sem leiðir að búningsklefum sundlaugarinnar og skóhillu, inngang þar sem gengið er inn í líkamsræktarstöð WorldClass og tækjasal líkamsræktarstöðvarinnar. Einnig nær sjónsvið eftirlitsmyndavélanna yfir innilaugar og útisvæði sundlauga og pottasvæðis Lágafellslaugar. Í sundlaugunum eru jafnframt botnvélar og nær sjónsvið þeirra undir yfirborð sundlauganna. Samkvæmt svörum Mosfellsbæjar eru engar eftirlitsmyndavélar á bílastæðum og engin eftirlitsmyndavél beinir sjónsviði að inngangi almennings eða starfsmanna inn í sundlaugarbygginguna.

ii. Skjáskot úr öllum eftirlitsmyndavélum við Varmárlaug (Íþróttamiðstöðinni að Varmá). Samkvæmt skjáskotunum nær sjónsvið eftirlitsmyndavélanna yfir anddyri, afgreiðslu og útisvæði sundlaugarinnar. Í sundlauginni eru jafnframt botnvélar og nær sjónsvið þeirra undir yfirborð sundlaugarinnar. Einnig nær sjónsvið eftirlitsmyndavélanna yfir tröppur á göngum íþróttamiðstöðvarinnar, handbolta- og fótboltasal, fimleikasal og bardagasal Aftureldingar. Samkvæmt svörum Mosfellsbæjar eru engar eftirlitsmyndavélar á bílastæðum og engin eftirlitsmyndavél beinir sjónsviði að inngangi almennings, starfsmanna eða skólabarna inn í íþróttamiðstöðina.

iii. Myndir af merkingum um rafræna vöktun í Lágafellslaug. Merkingar er meðal annars að finna á glerhurð inngangs inn í sundlaugarbygginguna, við inngang þar sem gengið er inn í búningsklefa og íþróttasal og við útgang út á útisvæði sundlaugarinnar.

iv. Myndir af merkingum um rafræna vöktun í Varmárlaug (Íþróttamiðstöðinni að Varmá). Merkingar er meðal annars að finna á hurð aðalinngangs inn í bygginguna, á hurð hliðarinngangs byggingarinnar og á inngangi sem snýr að Varmárskóla. Einnig eru merkingar á hurðum inn í alla íþróttasali Aftureldingar og áður en komið er inn í sjónsvið eftirlitsmyndavéla sem ná yfir tröppur á göngum íþróttamiðstöðvarinnar. Hinum skráðu er því gert viðvart um rafræna vöktun áður en þeir fara inn á vaktað svæði Varmárlaugar (Íþróttamiðstöðvarinnar að Varmá).

v. Á merkingum um rafræna vöktun í Lágafellslaug og Varmárlaug (Íþróttamiðstöðinni að Varmá) koma fram upplýsingar um ábyrgðaraðila vöktunarinnar, tilgang vinnslunnar og upplýsingar um hvar megi fá nánari fræðslu um vöktunina, þ. á m. upplýsingar um vefslóð sem leiðir inn á persónuverndarstefnu Mosfellsbæjar. Neðst á merkingunum er einnig að finna QR-kóða sem leiðir inn á vefsíðu með verklagsreglum Mosfellsbæjar um rafræna vöktun. Í verklagsreglunum koma meðal annars fram upplýsingar um að vinnslan sé byggð á lögmætum hagsmunum, hver tilgangur vöktunar og lagagrundvöllur hennar er, samskiptaupplýsingum persónuverndarfulltrúa, viðtakendum persónuupplýsinga vegna rafrænnar vöktunar, varðveislutíma efnis sem til verður við rafræna vöktun og hvar hægt sé að fá nánari upplýsingar um vinnslu persónuupplýsinga í tengslum við rafræna vöktun. Í persónuverndarstefnu Mosfellsbæjar er jafnframt að finna fræðslu varðandi réttindi einstaklinga í tengslum við vinnslu persónuupplýsinga og réttinn til þess að leggja fram kvörtun hjá Persónuvernd.

8. Í kjölfar vettvangsathugunar Persónuverndar í Lágafellslaug barst stofnuninni einnig:

i. Afrit af aðgerðarskráningu sem sýnir hvernig skoðun á myndefni úr eftirlitsmyndavélum í sundlaugum Mosfellsbæjar er skráð, ásamt skýrslu sem gerð var í tilefni af skoðun á myndefni tiltekið sinn í dæmaskyni. Skráningin hefur meðal annars að geyma upplýsingar um dagsetningu skoðunar, dagsetningu upptöku, tímasetningu atburðar og hægt að aðgreina innskráningar í kerfið eftir þeim sem hafa aðgang að kerfinu.

ii. Mynd til staðfestingar því að merkingar um rafræna vöktun hafa verið settar upp á hurð frá starfsmannaaðstöðu Lágafellslaugar inn á vaktað svæði.

Niðurstöður vettvangsathugunar

9. Vettvangsathugun Persónuverndar í Lágafellslaug 22. október 2024 leiddi í ljós að merkingar um rafræna vöktun eru á öllum þeim svæðum innandyra sem vöktunin nær til. Engar eftirlitsmyndavélar eru á bílastæðum og engin eftirlitsmyndavél beinir sjónsviði sínu að inngangi sundlaugarbyggingarinnar. Merkingar um rafræna vöktun er að finna á glerhurð inngangs sundlaugarbyggingarinnar og er hinum skráðu þannig gert viðvart um að rafræn vöktun sé viðhöfð áður en þeir koma inn á vaktað svæði. Engar eftirlitsmyndavélar eru sem vísa beint á starfsmannainngang að byggingunni. Merkingar um rafræna vöktun vantar hins vegar til starfsmanna, þar sem gert er viðvart um að vöktun sé viðhöfð, áður en þeir fara inn á vaktað svæði byggingarinnar ef þeir koma inn í bygginguna í gegnum starfsmannainngang.

10. Þá leiddi vettvangsathugunin í ljós að á öllum merkingum um rafræna vöktun í Lágafellslaug koma fram upplýsingar um ábyrgðaraðila vöktunarinnar, tilgang vinnslunnar og upplýsingar um hvar megi fá nánari fræðslu um vöktunina, sbr. umfjöllun í efnisgrein 7 (v.) Þá er QR-kóði á öllum merkingum sem leiðir inn á vefsíðu með verklagsreglum Mosfellsbæjar um rafræna vöktun virkur þar sem veitt er nánari fræðsla um rafræna vöktun, sbr. einnig umfjöllum í efnisgrein 7 (v.)

11. Ekki var farið í vettvangsathugun í Varmárlaug (Íþróttamiðstöðina að Varmá) en af fyrirliggjandi skjáskotum af sjónsviði eftirlitsmyndavélanna og myndum af merkingum um rafræna vöktun verður ráðið að hinum skráða er gert viðvart um að vöktun sé viðhöfð, áður en þeir fara inn á vaktað svæði byggingarinnar, sbr. umfjöllun í efnisgrein 7 (iv) og (v).

Sjónarmið Mosfellsbæjar

12. Í svarbréfi Mosfellsbæjar 1. október 2024 segir að merkingar um rafræna vöktun í sundlaugum Mosfellsbæjar hafi verið uppfærðar með hliðsjón af sniðmáti Persónuverndar og að hinum skráðu sé veitt fræðsla í samræmi við ákvæði persónuverndarlöggjafarinnar. Vísað er til þess að eftirlitsmyndavélar séu einungis settar upp hjá stofnunum sveitarfélagsins þegar það er talið nauðsynlegt að viðhafa vöktun á grundvelli öryggis og/eða eignavörslu.

13. Hvað varðar aðgengi að myndefni sem til verður við rafræna vöktun segir í svarbréfi Mosfellsbæjar að upptökur séu vistaðar á búnaði í eigu sveitarfélagsins og eingöngu forstöðumaður sundlauga hafi lykilorð til að nálgast upptökurnar. Innskráningar í kerfið séu skráðar og megi rekja beint til starfsmannsins þar sem hann sé sá eini sem búi yfir lykilorðinu. Auk þess hafi þjónustuaðili eftirlitsmyndavélakerfisins, Vörn ehf., aðgang að kerfinu vegna þjónustu við það. Þá sé í gildi tiltekið verklag sem kveður á um að myndefni skuli aldrei skoðað nema tveir starfsmenn séu viðstaddir og skrásetja skal að skoðun hafi farið fram og í hvaða tilgangi. Jafnframt tryggi Mosfellsbær eyðingu eða yfirskrift á myndefninu þegar 30 daga varðveislu er náð.

Forsendur og niðurstaða

Lagaumhverfi

14. Mál þetta varðar vinnslu persónuupplýsinga í tengslum við rafræna vöktun á vegum Mosfellsbæjar með eftirlitsmyndavélum í Lágafellslaug og Varmárlaug (Íþróttamiðstöðinni að Varmá). Varðar það því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.

15. Sveitarfélagið Mosfellsbær telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

16. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Hefur almennt verið talið að rafræn vöktun sé heimil teljist hún nauðsynleg vegna lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða, sbr. 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðarinnar. Samkvæmt sérákvæðum um rafræna vöktun í 14. gr. laganna verður slík vöktun að fara fram í málefnalegum tilgangi auk þess sem rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram, sbr. 1. mgr. greinarinnar.

17. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins, og að þær séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.

18. Framangreind meginregla um gagnsæi við vinnslu persónuupplýsinga felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða. Hvað snertir rafræna vöktun er að finna reglu um slíka fræðslu í 4. mgr. 14. gr. laga nr. 90/2018, þess efnis að glögglega skuli gera viðvart um rafræna vöktun sem fram fer á vinnustað eða á almannafæri með merki eða á annan áberandi hátt og hver ábyrgðaraðili vöktunar er. Einnig er að líta til 1. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr. 90/2018, sem kveður á um að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að láta skráðum einstaklingi í té þær upplýsingar sem í 13. og 14. gr. reglugerðarinnar greinir og skulu upplýsingar veittar skriflega eða á annan hátt, t.d. á rafrænu formi. Í leiðbeiningum Evrópska persónuverndarráðsins frá 29. janúar 2020 nr. 3/2019 (útgáfu 2) um vinnslu persónuupplýsinga við rafræna vöktun er áréttað mikilvægi þess að hinum skráða sé með skýrum viðvörunarmerkjum gerð grein fyrir því að rafræn vöktun fari fram, svo og til hvaða svæða hún nái. Jafnframt er tekið fram að frekari fræðslu megi veita með öðrum hætti en slíkum viðvörunarmerkjum, en að hún þurfi eftir sem áður að vera fyrir hendi og aðgengileg.

19. Um efni fræðslu, í tengslum við rafræna vöktun, fer eftir ákvæðum 13. gr. reglugerðarinnar, sbr. fyrrgreindar leiðbeiningar Evrópska persónuverndarráðsins. Samkvæmt henni skal ábyrgðaraðili skýra hinum skráða frá því hver ábyrgðaraðili vinnslu er, samskiptaupplýsingum persónuverndarfulltrúa ef við á, tilgangi vinnslunnar og lagagrundvelli, viðtakendum eða flokkum viðtakenda persónuupplýsinganna og ef heimild til vinnslu byggist á því að hún sé nauðsynleg vegna lögmætra hagsmuna, hvaða lögmætu hagsmunir það eru, sbr. 1. og 2. mgr. ákvæðisins.

20. Þá gilda reglur Persónuverndar nr. 50/2023 um rafræna vöktun, um vöktun á almannafæri, á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði, þar á meðal í sameign fjöleignarhúsa eða á sameiginlegri lóð. Í 8. gr. reglnanna er mælt fyrir um viðvaranir og fræðslu um rafræna vöktun. Segir þar m.a. í 3. mgr. að ábyrgðaraðili rafrænnar vöktunar skuli kynna sérstaklega þeim hópum fólks sem að jafnaði fara um hið vaktaða svæði með sannanlegum hætti þær upplýsingar sem honum ber að veita vegna vöktunarinnar samkvæmt 12.-13. gr. reglugerðar (ESB) 2016/679. Í 11. gr. reglnanna eru svo ákvæði um varðveislu persónuupplýsinga sem verða til við rafræna vöktun. Samkvæmt þeim er óheimilt að varðveita persónuupplýsingar sem verða til við rafræna vöktun nema það sé nauðsynlegt í ljósi tilgangs vöktunarinnar. Persónuupplýsingum sem safnast við rafræna vöktun skal eytt þegar ekki er lengur málefnaleg ástæða til að varðveita þær en þó skal ekki varðveita þær lengur en í 30 daga nema lög heimili eða eitthvað af þeim skilyrðum sem talin eru upp í 1.-5. tölul. ákvæðisins eigi við.

21. Ákvæði um upplýsingaöryggi eru í 1. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 32. gr. reglugerðar (ESB) 2016/679. Þar segir að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga. Þá segir í 2. mgr. 32. gr. reglugerðarinnar að þegar viðunandi öryggi er metið skuli einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar, meðal annars, að veittur sé aðgangur að þeim í leyfisleysi. Í 3. tölul. 7. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, sem Persónuvernd setti í gildistíð laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en gilda eftir því sem við á, sbr. ákvæði II til bráðabirgða í lögum nr. 90/2018, er það nefnt sem dæmi um öryggisráðstöfun að stýra aðgangi að búnaði með úthlutun aðgangs- eða lykilorða og tryggja rekjanleika uppflettinga og vinnsluaðgerða.

22. Atvikaskráning (aðgerðarskráning) er öryggisráðstöfun sem er til þess fallin að tryggja rekjanleika og getur haft varnaðaráhrif gegn óheimilum og ólögmætum aðgangi að persónuupplýsingum. Vöktun atvikaskráningar er enn fremur til þess fallin að tryggja eftirlit með aðgangi og annarri vinnslu persónuupplýsinga og greina hugsanleg frávik. Því fyrr sem vart verður við óeðlileg atvik, því fyrr er hægt að grípa til viðeigandi ráðstafana, t.d. með því að loka fyrir aðgang eða umferð um tiltekið kerfi. Loks verður að telja að fullnægjandi atvikaskráning auðveldi ábyrgðar- og vinnsluaðilum að greina öryggisatvik og leggja mat á þær öryggisráðstafanir sem voru viðhafðar í aðdraganda þess, sem gerir þeim svo betur fært að gera viðeigandi ráðstafanir til að koma í veg fyrir að slík atvik endurtaki sig. Af þessu má ráða að atvikaskráning þjónar þýðingarmiklu hlutverki bæði í þágu upplýsingaöryggis og við skjalfestingu.

Niðurstaða

23. Með hliðsjón af öllum fyrirliggjandi gögnum og niðurstöðu vettvangsathugunar, sbr. framangreinda umfjöllun í efnisgreinum 7-11, er það niðurstaða Persónuverndar að merkingar og fræðsla um rafræna vöktun í sundlaugum Mosfellsbæjar sé með þeim hætti að samrýmist skyldum sveitarfélagsins samkvæmt 4. mgr. 14. gr. laga nr. 90/2018 og 1. mgr. 12. gr. og 13. gr. reglugerðar (ESB) 2016/679, sbr. 1. og 2. mgr. 17. gr. laga nr. 90/2018, sbr. og 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar, sbr. umfjöllun í efnisgreinum 16-20.

24. Hvað varðar þær ráðstafanir sem Mosfellsbær viðhefur til að tryggja öryggi persónuupplýsinga sem verða til við vöktunina kemur fram í svörum sveitarfélagsins og fyrirliggjandi gögnum að myndefnið sem verður til við vöktunina sé einungis aðgengilegt forstöðumanni sundlauga sveitarfélagsins, að myndefninu sé eytt eða það yfirskrifað eftir að hámarki 30 daga og að viðeigandi aðgangsstýring sé viðhöfð, sbr. umfjöllun í efnisgrein 8 (i.) og efnisgrein 13. Það er því einnig niðurstaða Persónuverndar að vinnslan sé í samræmi við 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sbr. og 1. mgr. 27. gr. laganna og 32. gr. reglugerðarinnar. Tekið skal fram að í þessu máli náði rannsókn Persónuverndar aðeins til þess hver varðveislutími persónuupplýsinga væri og hvort aðgangsstýring og aðgerðarskráning væri viðhöfð og er því ekki tekin afstaða til upplýsingaöryggis varðandi aðra áhættuþætti.

Á k v ö r ð u n a r o r ð:

25. Vinnsla persónuupplýsinga í tengslum við rafræna vöktun í sundlaugum Mosfellsbæja samrýmist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679 og reglum nr. 50/2023 um rafræna vöktun.

Persónuvernd, 11. febrúar 2025

Bjarni Freyr Rúnarsson
Edda Þuríður Hauksdóttir