17.10.2023
Sekt á hendur Íþrótta- og sýningahöllinni hf. vegna rafrænnar vöktunar í Laugardalshöll
Mál númer 2021071520
Persónuvernd hefur lagt fyrir Íþrótta- og sýningahöllina hf. að greiða 3.500.000 krónur í stjórnvaldssekt vegna rafrænnar vöktunar í Laugardalshöll, í samræmi við ákvörðun stofnunarinnar frá 7. febrúar 2023. Við ákvörðun um hvort leggja skyldi á sekt og hver fjárhæð hennar skyldi vera var m.a. litið til þess að brotið var á persónuvernd barna og unnið með viðkvæmar persónuupplýsingar án viðeigandi heimildar auk þess sem vöktunin var umfangsmikil hvað varðar tíma og fjölda hinna skráðu.
Ákvörðun
Hinn 17. október 2023 tók Persónuvernd svohljóðandi ákvörðun í máli nr. 2021071520 um beitingu stjórnsýsluviðurlaga vegna rafrænnar vöktunar af hálfu Íþrótta- og sýningahallarinnar hf. í Laugardalshöll.
I.
Málsmeðferð1.
Tildrög máls
Hinn 7. febrúar 2023 tók Persónuvernd ákvörðun vegna frumkvæðisathugunar á vinnslu persónuupplýsinga við rafræna vöktun í Laugardalshöll.
Í ákvörðuninni var komist að þeirri niðurstöðu að vinnsla persónuupplýsinga, sem verða til við rafræna vöktun Íþrótta- og sýningahallarinnar hf. í Laugardalshöll, sem fer fram þegar aðrir fá húsið til afnota í tengslum við viðburðarhald, samrýmdist ekki ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679 um vinnsluheimildir, málefnalegan tilgang, gagnsæi og tilkynningar- og fræðsluskyldu.
Eins og greinir í fyrri ákvörðun Persónuverndar í málinu var tekið til skoðunar hvort leggja ætti stjórnvaldssekt á Íþrótta- og sýningahöllina hf. á grundvelli 46. gr. laga nr. 90/2018 vegna fyrrgreindra brota. Með bréfi Persónuverndar, dags. 13. mars 2023, var félaginu veittur andmælaréttur þar að lútandi. Í bréfinu voru rakin helstu sjónarmið sem Persónuvernd taldi hafa þýðingu fyrir álagningu stjórnvaldssektar og fjárhæð hennar, sbr. 1. mgr. 47. gr. laga nr. 90/2018 og 2. mgr. 83. gr. reglugerðarinnar. Að virtum þeim sjónarmiðum taldi Persónuvernd koma til álita að leggja stjórnvaldssekt á Íþrótta- og sýningahöllina hf. og að fjárhæð hennar gæti numið allt að 3.500.000 krónum. Svarað var af hálfu félagsins með bréfi, dags. 11. apríl 2023.
2.
Sjónarmið Íþrótta- og sýningahallarinnar hf.
Íþrótta- og sýningahöllin hf. telur ekki vera tilefni til að leggja á stjórnvaldssekt í málinu en ef sekt verði lögð á skuli hún vera mun lægri en Persónuvernd boðaði í bréfi sínu. Félagið vísar til þess að öryggismyndavélar við Laugardalshöll hafi upphaflega verið settar upp að beiðni lögreglu vegna öryggissjónarmiða í tengslum við NATO-fund sem fram fór í húsinu árið 2007. Í kjölfarið hafi verið haldinn þjóðfundur og hafi öryggismyndavélakerfið verið mikilvægur þáttur í því að tryggja öryggi fólks á þessum viðburðum. Allt frá því hafi öryggismyndavélakerfið verið einn mikilvægasti þátturinn í gæslu og öryggismálum á viðburðum og þá sérstaklega þegar mikill fjöldi manns er í húsinu. Myndavélar í Laugardalshöll hafi ávallt verið sýnilegar þeim sem eru í rýmum hússins og aldrei hafi verið reynt að fela það að rafræn vöktun fari fram í húsinu. Þá hafi húsið ávallt verið vel merkt að utan með upplýsingum um að það sé vaktað með öryggismyndavélum og innandyra hafi jafnframt alltaf verið merkingar með sömu upplýsingum. Enn fremur hafi húsreglur ávallt verið afhentar viðburðarhöldurum og þeim gert skylt að kynna sér þau gögn. Þar hafi meðal annars komið fram upplýsingar um rafræna vöktun í húsinu.
Íþrótta- og sýningahöllin hf. bendir á að Persónuvernd hafi gefið út nýjar reglur um rafræna vöktun í janúar 2023, sem hafi gefið tilefni til endurskoðunar á skyldum ábyrgðaraðila í því sambandi. Telur félagið að taka beri tillit til þess við mat á því hvort sekt verði lögð á að skýrleiki regluumhverfisins hafi að þessu leyti verið aukinn frá þeim tíma sem málið hafi verið til skoðunar.
Íþrótta- og sýningahöllin hf. byggir jafnframt á því að rafræn vöktun af hálfu félagsins sé afar mikilvægur liður í öryggis- og rýmingaráætlun Laugardalshallar. Það sé grundvallarforsenda fyrir hraðri rýmingu hússins í neyðartilvikum að hægt sé að fylgjast með flæði og fjölda fólks í rýmum hússins. Þá hvíli á félaginu skyldur samkvæmt lögum um brunavarnir. Húsið sé hannað fyrir viðburði sem allt að tíu þúsund manns geti sótt og því sé ljóst að ekki sé hægt að tryggja öryggi allra gesta nema með góðu eftirliti. Sömu sjónarmið eigi við um viðburði þar sem börn komi saman sem og þegar heilbrigðisþjónusta fari fram í húsnæðinu. Telur félagið að öryggissjónarmið á fjölmennum samkomum og vinnsluheimildir á þeim grunni hafi ekki fengið fullnægjandi vægi í ákvörðun Persónuverndar og vísar í því sambandi til rannsóknarskyldu stjórnvalda.
Íþrótta- og sýningahöllin hf. byggir enn fremur á því að samkvæmt ákvæði 1. mgr. 46. gr. laga nr. 90/2018 sé Persónuvernd heimilt en ekki skylt að leggja á stjórnvaldssektir. Hvað varðar þau atriði sem eru tilgreind í 47. gr. laganna vísar félagið til þess að ekkert fjárhagslegt tjón hafi orðið í tengslum við rafræna vöktun í Laugardalshöll og að félagið hafi verið samvinnuþýtt við málsmeðferð stofnunarinnar. Félagið leggi áherslu á að persónuvernd og upplýsingaöryggi séu í viðunandi horfi og í samræmi við þær kröfur sem gerðar séu. Þá hafi enginn ásetningur staðið til brotanna og eigi saknæmi því ekki að hafa áhrif á ákvörðun um stjórnvaldssekt.
Félagið áréttar að myndefni, sem varð til við rafræna vöktun, hafi aldrei verið skoðað og því eytt sjálfkrafa 90 dögum eftir upptöku þess en upptökum frá umræddum íþróttaviðburði, þ.e. Rey Cup, hafi hins vegar verið eytt innan 30 daga frá upptöku þess. Þá telur félagið skipta máli að þegar bólusetningar vegna Covid-19 hafi farið fram í húsnæðinu hafi ekki verið rafmagn á öryggismyndavélakerfinu nema að mjög takmörkuðu leyti. Málið hafi því ekki varðað eins marga einstaklinga og mat Persónuverndar hafi gefið til kynna. Enn fremur liggi ekki fyrir að rafræn vöktun í Laugardalshöll hafi leitt til þess að viðkvæmar persónuupplýsingar hafi verið unnar, eins og Persónuvernd hafi lagt til grundvallar í niðurstöðu sinni.
Loks vísar Íþrótta- og sýningahöllin hf. til þess að félagið hafi lagt allt kapp á fylgni við fyrirmæli, sem Persónuverndar veitti því með fyrrgreindri ákvörðun, og hafi átt í góðum samskiptum við stofnunina í þeim tilgangi.
II.
Forsendur og niðurstaða
1.
Afmörkun ákvörðunar
Líkt og að framan greinir hefur Persónuvernd þegar komist að rökstuddri niðurstöðu og tekið bindandi ákvörðun um að sú vinnsla persónuupplýsinga sem varð til við rafræna vöktun Íþrótta- og sýningahallarinnar hf. í Laugardalshöll hafi ekki samrýmst lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679. Ákvörðun þessi lýtur því einvörðungu að því hvort leggja eigi sekt á Íþrótta og sýningahöllina hf. vegna þeirra brota sem Persónuvernd hefur þegar komist að niðurstöðu um og, ef svo er, hver fjárhæð hennar eigi að vera. Um forsendur fyrir ákvörðun Persónuverndar nú vísast í meginatriðum til fyrri ákvörðunar stofnunarinnar í sama máli.
2.
Lagaumhverfi og sjónarmið um beitingu viðurlaga
Samkvæmt 1. mgr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679, getur Persónuvernd lagt stjórnvaldssekt á hvern þann ábyrgðaraðila sem brýtur gegn einhverju þeirra ákvæða reglugerðarinnar sem talin eru upp í 2. og 3. mgr. sömu lagagreinar.
Persónuvernd hefur, sem fyrr segir, þegar komist að niðurstöðu um að Íþrótta- og sýningahöllin hf. hafi brotið gegn 1. og 2. tölul. 1. mgr. og 2. mgr. 8. gr., 9. gr. og 2. mgr. 17. gr. laga nr. 90/2018, sbr. a- og b-lið 1. mgr. og 2. mgr. 5. gr., 1. mgr. 6. gr. og 13. gr. reglugerðar (ESB) 2016/679 og falla þau brot undir sektarheimildir í 1. og 2. tölul. 3. mgr. 46. gr. laganna, sbr. a- og b-lið 5. mgr. 83. gr. reglugerðarinnar. Með hliðsjón af athugasemdum Íþrótta- og sýningahallarinnar hf., sem lúta að skýrleika regluumhverfisins áður en nýjar reglur um rafræna vöktun tóku gildi, vill Persónuvernd benda á að þágildandi reglur um rafræna vöktun höfðu að geyma hliðstæð ákvæði og hafa uppfærðar reglur því ekki áhrif á mat á því hvort leggja eigi sekt á félagið eða hver fjárhæð hennar eigi að vera.
Við ákvörðun um hvort beita skal stjórnvaldssekt og hver fjárhæð hennar skal vera, skal tekið tillit til þeirra þátta sem taldir eru upp í 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Með hliðsjón af þessum ákvæðum og málsatvikum öllum telur Persónuvernd að eftirfarandi atriði hafi helst áhrif á mat við ákvörðun um stjórnvaldssekt í þessu máli.
a. Hvers eðlis, hversu alvarlegt og hversu langvarandi brotið var og flokkar persónuupplýsinga
Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brotið var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir. Samkvæmt 7. tölul. lagaákvæðisins, sbr. g-lið reglugerðarákvæðisins, ber einnig að líta til þess hvaða flokka persónuupplýsinga brotið hafði áhrif á.
Eins og hér háttar til telst Íþrótta- og sýningahöllin hf. hafa brotið gegn ákvæðum reglugerðar (ESB) 2016/679 sem falla undir 3. mgr. 46. gr. laga nr. 90/2018 og teljast alvarleg, sbr. 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, að teknu tilliti til samanburðar við hámarksfjárhæð sekta samkvæmt 2. mgr. 46. gr. laganna.
Fyrir liggur að rafræn vöktun, sem var til skoðunar í málinu, fór m.a. fram við nærgöngular aðstæður, þ.e. í rýmum þar sem börn og ungmenni höfðu gistiaðstöðu, en persónuupplýsingar barna njóta sérstakrar verndar samkvæmt persónuverndarlöggjöfinni. Rafræn vöktun fór einnig fram við veitingu heilbrigðisþjónustu þegar fjöldabólusetning vegna Covid-19 fór fram í Laugardalshöll. Þó svo að rafræn vöktun hafi að einhverju leyti verið takmörkuð þegar fjöldabólusetningin fór fram í húsinu verður að mati Persónuverndar að horfa til þess að rafræn vöktun fór engu að síður fram og ljóst að um vinnslu viðkvæmra persónuupplýsinga er að ræða.
Þá liggur fyrir að Laugardalshöll er bæði stór og vinsæll staður fyrir viðburðarhald og því ljóst að vöktunin nær alla jafna til mikils fjölda skráðra einstaklinga Enn fremur er ljóst að vöktunin hefur staðið yfir árum saman eða a.m.k. frá árinu 2008. Að því virtu telst umrædd vinnsla persónuupplýsinga hafa verið umfangsmikil hvað varðar bæði tíma og fjölda skráðra einstaklinga. Tímabundin takmörkun á vöktuninni vegna rafmagnsleysis hefur ekki áhrif á það mat.
Með vísan til framangreinds verður að telja að sjónarmið um eðli og umfang vinnslu og flokka persónuupplýsinga hafi íþyngjandi áhrif við beitingu sektarheimildar. Að áliti Persónuverndar hefur það ekki áhrif á þetta mat að Íþrótta- og sýningahöllin hf. hafi viðhaft þá rafrænu vöktun sem hér er til skoðunar á grundvelli öryggissjónarmiða enda hafa þegar verið færð rök fyrir þeirri niðurstöðu að vinnsla persónuupplýsinga, sem urðu til við vöktunina, hafi ekki byggst á viðeigandi vinnsluheimild eða verið í samræmi við meginreglu persónuverndarlöggjafarinnar um málefnalegan tilgang. Á hinn bóginn er til þess að líta að rafræn vöktun í og við Laugardalshöll beinist alla jafna ekki að börnum og ungmennum við nærgöngular aðstæður eða að einstaklingum þegar þeir sækja sér heilbrigðisþjónustu heldur var um sérstök tilvik að ræða.
Ekkert fjárhagslegt tjón virðist hafa orðið vegna umræddra brota Íþrótta- og sýningahallarinnar hf. og telst það félaginu til málsbóta. Með hliðsjón af atvikum öllum, m.a. því að brotið var á persónuvernd barna og unnið með viðkvæmar persónuupplýsingar án viðeigandi vinnsluheimildar, er það þó mat Persónuverndar að þetta atriði hafi lítið vægi við ákvörðun um beitingu sektarheimildar.
b. Aðgerðir sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga
Samkvæmt 3. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þeirra aðgerða sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga.
Í og við Laugardalshöll voru, á þeim tíma sem um ræðir, merkingar um rafræna vöktun þrátt fyrir að þær hafi verið ófullnægjandi og telst það Íþrótta- og sýningahöllinni hf. til málsbóta við sektarákvörðun.
c. Umfang samvinnu við Persónuvernd
Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess.
Íþrótta- og sýningahöllin hefur svarað erindum Persónuverndar við meðferð málsins með skýrum og greinargóðum hætti. Jafnframt hafði félagið fulla samvinnu við Persónuvernd við framkvæmd vettvangsathugunar. Þar að auki hefur Íþrótta- og sýningahöllin þegar fylgt fyrirmælum Persónuverndar samkvæmt fyrri ákvörðun í málinu að hluta til. Telst framangreint vera félaginu til málsbóta.
3.
Niðurstaða um álagningu og fjárhæð sektar
Með hliðsjón af því sem hér hefur verið rakið er það niðurstaða Persónuverndar að leggja beri stjórnvaldssekt á Íþrótta- og sýningahöllina hf. Vegur þar þyngst að brotið var á persónuvernd barna og að unnið var með viðkvæmar persónuupplýsingar án viðeigandi heimildar auk þess sem vöktunin var umfangsmikil hvað varðar tíma og fjölda hinna skráðu. Þá er til þess að líta að rafræn vöktun er í eðli sínu talsvert inngrip í friðhelgi einkalífs þeirra einstaklinga sem henni sæta.
Um fjárhæð stjórnvaldssektar vegna umræddra brota fer, sem fyrr segir, eftir 3. mgr. 46. gr. laga nr. 90/2018, sbr. 5. mgr. 83. gr. reglugerðar (ESB) 2016/679. Stjórnvaldssektir samkvæmt þeim ákvæðum geta numið frá 100.000 krónum til 2,4 milljarða króna eða, ef um er að ræða fyrirtæki, allt að 4% af árlegri heildarveltu fyrirtækisins á heimsvísu á næstliðnu fjárhagsári, hvort heldur er hærra. Samkvæmt síðasta birta ársreikningi frá félaginu, þ.e. fyrir árið 2022, var heildarvelta þess 606.735.894 krónur.
Að öllu framangreindu virtu og með hliðsjón af fyrri ákvörðunum Persónuverndar sem lúta að rafrænni vöktun þykir stjórnvaldssekt vera hæfilega ákveðin 3.500.000 krónur.
Persónuvernd, 17. október 2023
Ólafur Garðarsson
formaður
Árnína Steinunn Kristjánsdóttir Björn Geirsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson