Fara beint í efnið
Persónuvernd Forsíða
Persónuvernd Forsíða

Persónuvernd

06.09.2023

Sekt á hendur Háskóla Íslands vegna rafrænnar vöktunar

Mál númer 2021020431

Persónuvernd hefur lagt stjórnvaldssekt, að upphæð 1.500.000 króna, á Háskóla Íslands vegna rafrænnar vöktunar. Kvartað var yfir eftirlitsmyndavélum innan og utan bygginga Háskóla Íslands og að engar merkingar væru sjáanlegar sem gæfu til kynna að rafrænt eftirlit væri fyrir hendi. Einnig var kvartað yfir því að ekki hefði farið fram kynning á tilgangi, eðli, umfangi, vistun eða öðru sem lýtur að vöktuninni. Niðurstaða Persónuverndar var sú að merkingar og fræðsla Háskóla Íslands um rafræna vöktun í og við byggingar háskólans samrýmdust ekki lögum um persónuvernd og vinnslu persónuupplýsinga. Viss atriði voru metin Háskóla Íslands til málsbóta en í ljósi umfangs eftirlitsmyndavélakerfisins, fjölda hinna skráðu og tímalengd brots var hins vegar komist að þeirri niðurstöðu um sektarálagningu sem fyrr greinir.

Úrskurður

Hinn 6. september 2023 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2021020431.

I.

Málsmeðferð

  1. Tildrög máls

Hinn 15. febrúar 2021 barst Persónuvernd kvörtun frá [A](hér eftir kvartandi) yfir eftirlitsmyndavélum innan og utan bygginga Háskóla Íslands.

Með bréfi, dags. 23. júní 2021, var Háskóla Íslands boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 10. ágúst s.á. Með bréfi, dags. 5. október s.á., var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið Háskóla Íslands. Bárust athugasemdir kvartanda með bréfi, dags. 1. nóvember s.á. Með bréfi, dags. 14. mars 2023, tilkynnti Persónuvernd Háskóla Íslands um fyrirhugaða vettvangsathugun stofnunarinnar í þeim tilgangi að kanna hvernig sjónsvið eftirlitsmyndavéla á vegum Háskóla Íslands væri afmarkað og hvernig merkingum um rafræna vöktun væri háttað. Vettvangsathugunin fór fram 19. apríl s.á. og með bréfi, dags. 8. maí s.á., var Háskóla Íslands veittur kostur á að tjá sig um niðurstöður vettvangsathugunarinnar. Með bréfi, dags. 26. s.m., staðfesti Háskóli Íslands að ekki væru gerðar athugasemdir við niðurstöður Persónuverndar. Loks var Háskóla Íslands sent bréf, dags. 26. júní 2023, þar sem tilkynnt var að Persónuvernd teldi að tilefni gæti gefist til að leggja stjórnvaldssekt á Háskóla Íslands og háskólanum veittur andmælaréttur um það atriði. Svarað var af hálfu Háskóla Íslands með bréfi, dags. 18. júlí sá.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.

Sjónarmið kvartanda

Í máli kvartanda hefur komið fram að fjölmargar eftirlitsmyndavélar hafi verið settar upp í og við byggingar Háskóla Íslands, bæði utan- og innandyra. Engar merkingar séu sjáanlegar sem gefi til kynna að rafrænt eftirlit sé fyrir hendi og ekki hafi farið fram kynning á tilgangi, eðli, umfangi, vistun eða öðru sem lýtur að vöktuninni.

3.

Sjónarmið Háskóla Íslands

Í svörum Háskóla Íslands hefur komið fram að í byggingum skólans séu samtals 97 öryggismyndavélar, 75 innandyra og 22 utandyra. Sjónsvið myndavélanna nái í flestum tilfellum yfir innganga en á fáeinum stöðum sé fylgst með stærra svæði, svo sem rektorsgangi í Aðalbyggingu. Myndavélum utandyra sé beint að starfsemi Háskóla Íslands, svo sem inngöngum í byggingar, gámasvæðum og bílastæðum. Engum myndavélum sé beint að almannasvæðum utan lóða skólans og myndefnið sé aðeins notað þegar upplýsa þurfi um atburði, svo sem vegna þjófnaðar, óhappa eða skemmdarverka. Einnig kemur fram að í örfáum tilfellum séu skjáir með lifandi efni frá myndavél í afgreiðslu eða inngangi þar sem aðgengi er takmarkað og starfsmenn þurfa að taka á móti fólki. Þá er vísað til þess að rafræn vöktun Háskóla Íslands fari fram í þágu öryggis og eignavörslu. Upplýsingar um myndavélarnar séu á hurðum og við innganga þeirra bygginga þar sem þær séu staðsettar. Jafnframt hafi upplýsingar um myndavélarnar verið sendar á starfsfólk og nemendur í vikulegu fréttabréfi rektors. Eftir að erindi Persónuverndar hafi borist hafi verið framkvæmt mat á áhrifum vöktunarinnar á persónuvernd.

4.

Vettvangsathugun 19. apríl 2023

Persónuvernd gerði vettvangsathugun vegna rannsóknar málsins á svæði Háskóla Íslands 19. apríl 2023. Tilgangur athugunarinnar var að kanna hvernig sjónsvið eftirlitsmyndavéla á vegum Háskóla Íslands væri afmarkað og hvernig merkingum um rafræna vöktun væri háttað. Viðstaddir voru tveir starfsmenn Persónuverndar og einn starfsmaður Háskóla Íslands. Í upphafi vettvangsathugunar Persónuverndar voru skoðaðir yfirlitsskjáir eftirlitsmyndavéla, þ.e. yfirlitskerfi þar sem upptekið efni er vistað, í þeim tilgangi að skoða umfang og sjónsvið eftirlitsmyndavéla. Í framhaldinu voru með tilvikabundum hætti skoðaðar nánar eftirlitsmyndavélar og merkingar um rafræna vöktun í og á útisvæði við sex byggingar Háskóla Íslands. Starfsmenn Persónuverndar skráðu niður upplýsingar og tóku ljósmyndir. Að lokinni vettvangsathugun óskaði Persónuvernd eftir skjáskoti úr öllum þeim eftirlitsmyndavélum sem höfðu verið nánar skoðaðar. Með tölvupósti 24. apríl 2023 bárust Persónuvernd 25 skjáskot úr umræddum eftirlitsmyndavélum.

Vettvangsathugunin leiddi í ljós að merkingar um rafræna vöktun voru staðsettar á gluggum á inngöngum tilgreindra bygginga en inngangarnir eru allir innan sjónsviðs eftirlitsmyndavélanna. Með vísan til þess var það niðurstaða Persónuverndar að einstaklingum sem eiga að sæta vöktuninni geti ekki verið ljóst að vöktun sé viðhöfð áður en þeir koma inn á vaktað svæði eða vöktun hefst. Einnig voru merkingar á útisvæðum ekki staðsettar þannig að einstaklingum sem eiga að sæta vöktun sé ljóst, áður en þeir koma inn á vaktað svæði eða vöktun hefst, að vöktunin sé viðhöfð. Þá voru jafnan ekki veittar aðrar upplýsingar en að rafræn vöktun færi fram auk þess sem ekki mátti alltaf ráða af merkingum að vöktunin færi fram á vegum Háskóla Íslands. Fræðslan þótti að þessu leyti ófullnægjandi.

II.

Forsendur og niðurstaða

  1. Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Mál þetta lýtur að rafrænni vöktun með eftirlitsmyndavélum. Rafræn vöktun er vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði, sbr. 9. tölul. 3. gr. laga nr. 90/2018. Hugtakið tekur meðal annars til vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga.

Af framangreindu er ljóst að myndavélaeftirlit það sem Háskóli Íslands viðhefur er í eðli sínu rafræn vöktun og sjálfvirk vinnsla persónuupplýsinga í skilningi laga nr. 90/2018. Jafnframt er ljóst að það heyrir undir valdsvið Persónuverndar að úrskurða um ágreining um umrædda vöktun og vinnslu, sbr. 2. mgr. 39. gr. laganna.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Eins og hér háttar til telst Háskóli Íslands vera ábyrgðaraðili að umræddri vinnslu.

2.Lögmæti vinnslu og niðurstaða

Til að rafræn vöktun sé heimil verður hún að fara fram í málefnalegum tilgangi auk þess sem rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, er háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram, sbr. 1. mgr. 14. gr. laga nr. 90/2018. Samkvæmt 2. mgr. sömu lagagreinar skal vinnsla persónuupplýsinga í tengslum við rafræna vöktun uppfylla önnur ákvæði laganna.

Öll vinnsla persónuupplýsinga verður að byggjast á heimild í 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Almennt hefur verið talið að rafræn vöktun sé heimil teljist hún nauðsynleg vegna lögmætra hagsmuna sem vega þyngra en hagsmunir eða grundvallarréttindi og frelsi hins skráða, sbr. 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðarinnar.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar. Þessi krafa felur meðal annars í sér að einstaklingum á að vera það ljóst þegar persónuupplýsingum um þá er safnað eða þær notaðar, skoðaðar eða unnar á annan hátt, að hvaða marki þær eru eða munu verða unnar og í hvaða tilgangi. Til þess að vinnsla persónuupplýsinga fullnægi þessari kröfu þurfa ábyrgðaraðilar að gera sérstakar ráðstafanir sem lúta að fræðslu til hins skráða.

Hvað snertir rafræna vöktun er að finna reglu um slíka fræðslu í 4. mgr. 14. gr. laga nr. 90/2018, þess efnis að glögglega skuli gera viðvart um rafræna vöktun sem fram fer á vinnustað eða á almannafæri með merki eða á annan áberandi hátt og hver ábyrgðaraðili vöktunar er. Reglugerð (ESB) 2016/679 hefur ekki að geyma sambærilegt ákvæði en meðal þeirra ákvæða sem þar reynir á er 1. mgr. 12. gr. reglugerðarinnar, sbr. 1. mgr. 17. gr. laga nr. 90/2018, sem kveður á um að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að láta skráðum einstaklingi í té þær upplýsingar sem í 13. og 14. gr. reglugerðarinnar greinir og skulu upplýsingar veittar skriflega eða á annan hátt, t.d. á rafrænu formi. Í tengslum við rafræna vöktun ber um fræðslu að líta til 13. gr. reglugerðarinnar, um upplýsingar sem ber að veita við öflun persónuupplýsinga hjá skráðum einstaklingi, eins og fram kemur í leiðbeiningum Evrópska persónuverndarráðsins frá 29. janúar 2020 nr. 3/2019 (útgáfu 2) um vinnslu persónuupplýsinga við rafræna vöktun. Í leiðbeiningunum er áréttað mikilvægi þess að hinum skráða sé með skýrum viðvörunarmerkjum gerð grein fyrir því að rafræn vöktun fari fram, svo og til hvaða svæða hún nái. Jafnframt er tekið fram að frekari fræðslu samkvæmt 13. gr. reglugerðarinnar megi veita með öðrum hætti en slíkum viðvörunarmerkjum, en að hún þurfi eftir sem áður að vera fyrir hendi og aðgengileg.

Samkvæmt 13. gr. reglugerðarinnar skal ábyrgðaraðili, þegar persónuupplýsinga er aflað hjá hinum skráða sjálfum, skýra honum frá því hver ábyrgðaraðilinn er, samskiptaupplýsingum persónuverndarfulltrúa ef við á, tilgangi vinnslunnar og lagagrundvelli, viðtakendum eða flokkum viðtakenda persónuupplýsinganna og ef heimild til vinnslu byggist á því að hún sé nauðsynleg vegna lögmætra hagsmuna, hvaða lögmætu hagsmunir það eru.

Sem fyrr greinir var það niðurstaða vettvangsathugunar Persónuverndar að merkingar um rafræna vöktun á vegum Háskóla Íslands væru með þeim hætti að einstaklingum sem eiga að sæta vöktuninni gæti ekki verið ljóst að vöktun væri viðhöfð áður en þeir kæmu inn á vaktað svæði eða vöktun hæfist. Niðurstaða vettvangsathugunarinnar var einnig sú að á merkingar um rafræna vöktun af hálfu Háskóla Íslands skorti upplýsingar um ábyrgðaraðila vöktunarinnar. Háskóli Íslands hefur vísað til þess að upplýsingar um öryggismyndavélarnar hafi verið sendar starfsfólki og nemendum í vikulegu fréttabréfi rektors. Meginatriði í tilvísuðu fréttabréfi rektors snéru hins vegar að upplýsingum um samstarfsnet evrópskra háskóla. Í 4. málslið af 6 voru veittar upplýsingar um að vegna ítrekaðra innbrota í byggingar Háskóla Íslands hefði verið tekin ákvörðun um aukna notkun aðgangskorta og fjölgun öryggismyndavéla. Annað kom ekki fram um eðli, umfang, eða annað sem laut að rafrænni vöktun af hálfu Háskóla Íslands. Þá liggur ekkert fyrir um að Háskóli Íslands hafi veitt skráðum einstaklingum upplýsingar um vinnslu persónuupplýsinga sem verða til við rafræna vöktun með öðrum hætti. Með hliðsjón af því sem hér hefur verið rakið samrýmast merkingar og fræðsla Háskóla Íslands vegna rafrænnar vöktunar ekki ákvæðum 4. mgr. 14. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og 1. mgr. 12. gr. og 13. gr. reglugerðar (ESB) 2016/679, sbr. 1. og 2. mgr. 17. gr. laganna, sbr. og 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar.

3.

Fyrirmæli

Með vísan til alls framangreinds og með heimild í 4. tölul. 42. gr. laga nr. 90/2018 er hér með lagt fyrir Háskóla Íslands að uppfæra og setja upp merkingar um rafræna vöktun í byggingum og á útisvæðum háskólans til samræmis við 4. mgr. 14. gr. laga nr. 90/2018 og 8. gr. reglna nr. 50/2023 um rafræna vöktun. Að því marki sem merkingar geyma ekki upplýsingar um þau atriði sem upplýsa ber skráða einstaklinga um samkvæmt 13. gr. reglugerðar (ESB) 2016/679 skal Háskóli Íslands veita þær á annan hátt, svo sem á vefsíðu sinni.

Skal Persónuvernd berast staðfesting á því að þessum fyrirmælum hafi verið fylgt, ásamt afriti af merkingum og öðru fræðsluefni, eigi síðar en 6. október 2023.

III.

Beiting viðurlaga

  1. Sjónarmið um beitingu viðurlaga

Kemur næst til skoðunar hvort beita skuli Háskóla Íslands stjórnvaldssektum vegna framangreindra brota, sbr. 46. gr. laga nr. 90/2018, sbr. einnig 83. gr. reglugerðar (ESB) 2016/679.

Nánar tiltekið kemur hér til skoðunar hvort leggja skuli sekt á Háskóla Íslands fyrir brot gegn áðurnefndum ákvæðum a-liðar 1. mgr. 5. gr. og 1. mgr. 12. gr. og 13. gr. reglugerðar (ESB) 2016/679, sbr. sektarheimild í 1. mgr. og 1. og 2. tölul. 3. mgr. 46. gr. laga nr. 90/2018, sbr. 2. mgr. og a- og b-lið 5. mgr. 83. gr. reglugerðarinnar.

Við ákvörðun þar að lútandi og um fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag. Með hliðsjón af þessum ákvæðum telur Persónuvernd að eftirfarandi atriði komi helst til skoðunar í þessu máli.

a. Hvers eðlis, hversu alvarlegt og hversu langvarandi brotið er

Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brotið var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir.

Eins og hér háttar til telst Háskóli Íslands hafa brotið gegn ákvæðum reglugerðar (ESB) 2016/679 sem falla undir 3. mgr. 46. gr. laga nr. 90/2018 og teljast alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, að teknu tilliti til samanburðar við hámarksfjárhæð sekta samkvæmt 2. mgr. 46. gr. laganna.

Þá liggur fyrir að fjöldi hinna skráðu er allmikill en nemendur Háskóla Íslands voru að meðaltali um 15.000 á ári á árunum 2021-2023 og starfsmenn háskólans að meðaltali um 4.900 á ári á árunum 2021-2022, samkvæmt upplýsingum á vefsíðu Háskóla Íslands. Þá stendur Háskóli Íslands einnig fyrir hundruðum viðburða á ári hverju og því ljóst að fjöldi hinna skráðu sem brotið nær til er mun fleiri en fjöldi nemenda og starfsfólks háskólans.

Einnig er umfang eftirlitsmyndavélakerfis Háskóla Íslands mikið en samtals eru 97 eftirlitsmyndavélar á háskólasvæðinu. Jafnframt liggur fyrir að vinnsla persónuupplýsinga með rafrænni vöktun á háskólasvæðinu hefur staðið yfir í fjölda ára.

Með vísan til framangreinds verður að telja sjónarmið um umfang vinnslu, fjölda hinna skráðu og tímalengd brots hafa íþyngjandi áhrif við beitingu sektarheimildar.

b. Aðgerðir sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga

Samkvæmt 3. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þeirra aðgerða sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga.

Í byggingum og á útisvæði Háskóla Íslands eru merkingar um rafræna vöktun, þrátt fyrir að þær séu ófullnægjandi, og telst það Háskóla Íslands til málsbóta við sektarákvörðun. Á hinn bóginn er einnig til þess að líta að merkingum og fræðslu var ábótavant við vettvangsathugun Persónuverndar í apríl sl., tæplega tveimur árum eftir að háskólanum var gert viðvart um framkomna kvörtun.

c. Umfang samvinnu við Persónuvernd

Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess.

Fyrir liggur að Háskóli Íslands hefur svarað erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti. Jafnframt hafði háskólinn fulla samvinnu við Persónuvernd við framkvæmd vettvangsathugunar auk þess sem hafist hefur verið handa við að útbúa fullnægjandi merkingar sem gera hinum skráða viðvart um rafræna vöktun áður en hann kemur inn á sjónsvið myndavélanna. Telst framangreint Háskóla Íslands til málsbóta.

2. Niðurstaða um álagningu og fjárhæð sektar

Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679, getur Persónuvernd lagt stjórnarvaldssekt á hvern þann ábyrgðaraðila eða vinnsluaðila samkvæmt 4. mgr. ákvæðisins sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. ákvæðisins.

Sem fyrr greinir er það niðurstaða Persónuverndar að Háskóli Íslands hafi brotið gegn a-lið 1. mgr. 5. gr., 1. mgr. 12. gr. og 13. gr. reglugerðarinnar og varða þau brot stjórnvaldssektum samkvæmt 1. og 2. tölul. 3. mgr. 46. gr. laga nr. 90/2018, sbr. a- og b-lið 5. mgr. 83. gr. reglugerðarinnar.

Með hliðsjón af því sem rakið er í kafla III. 1. hér á undan er það niðurstaða Persónuverndar að leggja beri stjórnvaldssekt á Háskóla Íslands. Til þess er helst að líta að vöktun á vegum Háskóla Íslands er mjög umfangsmikil og mikill fjöldi fólks á að jafnaði leið um svæðið hverju sinni. Þá er rafræn vöktun í eðli sínu talsvert inngrip í friðhelgi einkalífs þeirra einstaklinga sem henni sæta. Jafnframt er litið til þess að þrátt fyrir að Háskóla Íslands hafi fyrst verið gert viðvart um kvörtunina í júní 2021, var merkingum og fræðslu ábótavant tæpum tveimur árum síðar, við vettvangsathugun Persónuverndar í apríl 2023.

Um fjárhæð stjórnvaldssektar vegna brota gegn fyrrgreindum ákvæðum fer sem fyrr segir eftir 3. mgr. 46. gr. laga nr. 90/2018, sbr. 5. mgr. 83. gr. reglugerðar (ESB) 2016/679. Stjórnvaldssektir samkvæmt 3. mgr. lagaákvæðisins geta numið frá 100 þúsund kr. til 2,4 milljarða kr. eða ef um er að ræða fyrirtæki allt að 4% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra.

Með tilliti til þeirra sjónarmiða sem hér hafa verið rakin þykir stjórnvaldssekt vera hæfilega ákveðin 1.500.000 krónur. Við ákvörðun um fjárhæð sektar hefur jafnframt verið tekið tillit til þess að Háskóli Íslands er opinber aðili sem starfar ekki í fjárhagslegum tilgangi heldur í þágu samfélagsins.

Ú r s k u r ð a r o r ð:

Merkingar og fræðsla Háskóla Íslands um rafræna vöktun í og við byggingar háskólans samrýmdust ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Lögð er 1.500.000 króna stjórnvaldssekt á Háskóla Íslands. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu úrskurðar þessa, sbr. 6. mgr. 46. gr. laga nr. 90/2018.

Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir Háskóla Íslands að uppfæra og setja upp merkingar um rafræna vöktun í byggingum og á útisvæðum háskólans til samræmis við 4. mgr. 14. gr. laga nr. 90/2018 og 8. gr. reglna nr. 50/2023 um rafræna vöktun. Að því marki sem merkingar geyma ekki upplýsingar um þau atriði sem upplýsa ber skráða einstaklinga um samkvæmt 13. gr. reglugerðar (ESB) 2016/679 skal Háskóli Íslands veita þær á annan hátt, svo sem á vefsíðu sinni.

Háskóli Íslands skal senda Persónuvernd staðfestingu á því að framangreindum fyrirmælum hafi verið fylgt, ásamt afriti af merkingum og öðru fræðsluefni, eigi síðar en 6. október 2023.

Persónuvernd, 6. september 2023

Ólafur Garðarsson

formaður

Árnína Steinunn Kristjánsdóttir Björn Geirsson

Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson

Persónuvernd

Hafa samband

postur@personuvernd.is

Sími: 510 9600

Afgreiðslu­tími

Virka daga frá 9 til 12 og 13 til 15

Símatími lögfræðinga er alla fimmtudaga frá 9 til 12

Stað­setning

Laugarvegur 166, 4. hæð

105 Reykjavík, Ísland

Kennitala: 560800-2820