Úrlausnir

Vinnsla hjá lögreglu í tengslum við samantekt um mótmæli

4.3.2015

Persónuvernd hefur afgreitt fimm mál í tengslum við vinnslu persónuupplýsinga hjá Lögreglunni á höfuðborgarsvæðinu í þágu skýrslu um samantekt á skipulagi lögreglu í mótmælunum 2008-2011. Í fyrsta lagi er um að ræða ákvörðun um öryggi persónuupplýsinga sem finna má í fyrrnefdri samantekt, en stofnunin tók það mál upp að eigin frumvkæði. Í öðru lagi er um að ræða úrskurði í fjórum kvörtunarmálum sem öll lúta að heimild lögreglunnar til skráningar og miðlunar persónuupplýsinga um annars vegar tvo kvartendur, sem voru viðstaddir þau mótmæli sem samantekt lögreglu lýtur að, og hins vegar tvo lögreglumenn, sem voru við störf í mótmælunum.
Niðurstaða Persónuverndar í frumkvæðismáli, sem laut að öryggi vinnslu persónuupplýsinga í samantekt lögreglu á skipulagi við mótmælin 2008-2011, er sú að öryggi hafi ekki verið nægilega tryggt. Niðurstaða Persónuverndar í fyrrnefndum kvörtunarmálum er sú að skráning persónuupplýsinga um kvartendur í upplýsingakerfi lögreglu, LÖKE, hafi verið heimil. Þá er skráning persónuupplýsinga í þágu samantekarinnar talin heimil hvað varðar þá kvartendur sem störfuðu sem lögreglumenn fyrir lögregluna en óheimil hvað varðar þá kvartendur sem voru viðstaddir mótmælin. Loks var miðlun persónuupplýsinga um kvartendur, sem bar að afmá samkvæmt úrskurði úrskurðarnefndar um upplýsingamál, ekki talin samrýmast lögum nr. 77/2000.

Eftirfarandi eru útdrættir úr fyrrnefndum málum:

Ákvörðun í máli nr. 2014/1470:
Persónuvernd hefur tekið ákvörðun í frumkvæðismáli sem laut að öryggi við vinnslu persónuupplýsinga hjá Lögreglunni á höfuðborgarsvæðinu sem unnar voru í tengslum við gerð skýrslu um samantekt á skipulagi lögreglu við mótmælin 2008-2011. Frumkvæðisathugun Persónuverndar beindist ekki að lögmæti umræddrar vinnslu persónuupplýsinga en stofnunin hefur hins vegar, með úrskurðum í málum nr. 2014/1474, 2014/1541, 2014/1681 og 2014/1715, frá 25. febrúar 2015, komist að niðurstöðum þar að lútandi varðandi vinnslu um viðkomandi kvartendur.

Persónuvernd óskaði skýringa um nánar tilgreind atriði er lutu að öryggi þeirrar vinnslu sem um ræðir þegar fyrrgreind samantekt unnin og síðar afhent þriðju aðilum. Í svarbréfi lögreglu frá 11. nóvember 2014 kemur fram að afmáning persónuupplýsinga úr samantektinni hafi verið í höndum nokkurra starfsmanna, en enginn þeirra sem kom að umræddu máli geti talist sérfræðingur, heldur hafi verið um að ræða starfsfólk með almenna tölvuþekkingu. Einnig kemur fram að skort hafi á nauðsynlega yfirsýn yfir vinnslu, eftirlit og að fram færi öryggisathugun. Þá greindi lögreglan frá því að hvorki væru til staðar reglur né verkferlar varðandi miðlun viðkvæmra persónuupplýsinga frá embættinu til þriðju aðila og að engar upplýsingar lægju fyrir hjá embættinu um þá aðferðafræði sem þyrfti að viðhafa til þess að slík framkvæmd væri örugg.

Í ákvörðuninni kemur fram að það sé hlutverk ábyrgaraðila að vinnslu, í þessu tilviki Lögreglunnar á höfuðborgarsvæðinu, að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir, til að vernda persónuupplýsingar sem unnið er með gegn óleyfilegum aðgangi, og að ganga úr skugga um að  áhættumat og öryggisráðstafanir embættisins séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, sbr. 3. mgr. 11. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Einnig beri lögreglunni að stuðla að því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur, sbr. 4. mgr. sömu greinar. Þá sé það mat stofnunarinnar að ætla megi að þær upplýsingar sem skráðar eru hjá Lögreglunni á höfuðborgarsvæðinu geti talist mönnum hvað viðkvæmastar og sé af þeirri ástæðu nauðsynlegt við gerð áhættumats og skráningar öryggisráðstafana að taka mið af því.

Er niðurstaða Persónuverndar sú að öryggi vinnslu persónuupplýsinga í samantekt lögreglu á skipulagi við mótmælin 2008-2011 hafi ekki verið nægilega tryggt. Lagði stofnunin fyrir Lögregluna á höfuðborgarsvæðinu að setja sér verklagsreglur um hvernig öryggis og trúnaðar væri gætt við meðferð persónuupplýsinga í málaskrárkerfi lögreglu, LÖKE, í samræmi við 5. mgr. 11. gr. laga nr. 77/2000 og 1. mgr. 3. gr. reglna nr. 299/2001, með tilliti til þeirra annmarka sem leiddu til þess að viðkvæmar persónuupplýsingar bárust óviðkomandi aðilum. Framangreindar verklagsreglur skulu sendar Persónuvernd fyrir 31. maí 2015.

Ákvörðun Persónuverndar í máli nr. 2014/1470, frá 25. febrúar 2015, í heild sinni.

Úrskurður í máli nr. 2014/1474:
Persónuvernd hefur kveðið upp úrskurð af tilefni kvörtunar yfir vinnslu persónuupplýsinga um kvartanda hjá Lögreglunni á höfuðborgarsvæðinu, þ.e. í tengslum við gerð skýrslu um samantekt á skipulagi lögreglu við mótmælin á árunum 2008-2011, en kvartandi var viðstaddur mótmælin. Nánar til tekið lýtur úrskurður Persónuverndar að skráningu persónuupplýsinga um kvartanda í upplýsingakerfi Lögreglunnar á höfuðborgarsvæðinu LÖKE, skráningu í skýrslu Lögreglunnar á höfuðborgarsvæðinu um samantekt á skipulagi lögreglu við mótmælin 2008-2011 og miðlun þeirra upplýsinga til óviðkomandi.

Í úrskurðinum kemur fram að það falli ekki innan valdsviðs Persónuverndar að endurskoða úrskurði hliðsetts stjórnvalds, í þessu tilviki úrskurð úrskurðarnefndar um upplýsingamál í máli nr. 541/2014, frá 8. október 2014, en með honum komst nefndin að þeirri niðurstöðu að Lögreglunni á höfuðborgarsvæðinu bæri að afhenda kæranda í umræddu máli samantekt um skipulag lögreglu í mótmælunum 2008-2011 á grundvelli 5. gr. upplýsingalaga nr. 140/2012, en þó með ákveðnum takmörkunum, sbr. 9. gr. sömu laga. Af þeim sökum sé Persónuvernd ekki unnt að taka afstöðu til lögmætis miðlunar umræddrar samantektar enda liggi fyrir endanlegur úrskurður á grundvelli lagaheimildar, þess efnis að samantektin sé háð upplýsingarétti almennings.

Eftir stendur það ágreiningsefni hvaða heimild Lögreglan á höfuðborgarsvæðinu hafði til vinnslu persónuupplýsinga um kvartanda í upplýsingakerfi sínu, LÖKE, annars vegar og í þágu samantektar á skipulagi við mótmælin 2008-2011 hins vegar. Hvað fyrra atriðið varðar kemur fram í úrskurðinum, með vísan til ákvæða í lögum um meðferð sakamála nr. 88/2008 og lögreglulögum nr. 90/1996, að skráning persónuupplýsinga um kvartanda í LÖKE, m.a. til að varpa ljósi á aðstæður á vettvangi, sé heimil og málefnaleg. Þá kemur fram að það falli ekki innan valdheimilda Persónuverndar að endurskoða mat lögreglunnar á því hvaða upplýsingar hún telji nauðsynlegt að skrá í upplýsingakerfi sitt hverju sinni vegna starfa sinna. Hvað síðara atriðið varðar kemur fram að vinnsla persónuupplýsinga um kvartanda í þágu samantektar lögreglu, sem fólst í því að persónuupplýsingar voru teknar úr vörðu umhverfi og unnar frekar í óvörðu umhverfi utan upplýsingakerfisins LÖKE, sem háð er ströngum aðgangs- og öryggistakmörkunum, hafi falið í sér öryggisbrest sem samrýmist ekki ákvæðum 11. gr. laga nr. 77/2000 og reglugerðar nr. 322/2001.
Úrskurður Persónuverndar í máli nr. 2014/1474 , frá 25. febrúar 2015, í heild sinni.

Úrskurður í máli nr. 2014/1541:
Persónuvernd hefur kveðið upp úrskurð af tilefni kvörtunar yfir vinnslu persónuupplýsinga um kvartanda hjá Lögreglunni á höfuðborgarsvæðinu, þ.e. í tengslum við gerð skýrslu um samantekt á skipulagi lögreglu við mótmælin á árunum 2008-2011, en kvartandi var viðstaddur mótmælin. Nánar til tekið var kvartað yfir að lögregla hefði skráð og dreift á opinberum vettvangi röngum og ósönnum persónuupplýsingum um kvartanda. Er þar um að ræða upplýsingar sem skráðar voru í upplýsingakerfi lögreglu, LÖKE, og síðar í áðurnefnda samantekt lögreglu, sem afhent var utanaðkomandi á grundvelli upplýsingalaga nr. 140/2012.

Í úrskurðinum kemur fram að það falli ekki innan valdsviðs Persónuverndar að endurskoða úrskurði hliðsetts stjórnvalds, í þessu tilviki úrskurð úrskurðarnefndar um upplýsingamál í máli nr. 541/2014, frá 8. október 2014, en með honum komst nefndin að þeirri niðurstöðu að Lögreglunni á höfuðborgarsvæðinu bæri að afhenda kæranda í umræddu máli samantekt um skipulag lögreglu í mótmælunum 2008-2011 á grundvelli 5. gr. upplýsingalaga nr. 140/2012, en þó með ákveðnum takmörkunum, sbr. 9. gr. sömu laga. Af þeim sökum sé Persónuvernd ekki unnt að taka afstöðu til lögmætis miðlunar umræddrar samantektar enda liggi fyrir endanlegur úrskurður á grundvelli lagaheimildar, þess efnis að samantektin sé háð upplýsingarétti almennings.

Eftir stendur það ágreiningsefni hvaða heimild Lögreglan á höfuðborgarsvæðinu hafði til vinnslu persónuupplýsinga um kvartanda í upplýsingakerfi sínu, LÖKE, annars vegar og í þágu samantektar á skipulagi við mótmælin 2008-2011 hins vegar. Hvað fyrra atriðið varðar kemur fram í úrskurðinum, með vísan til ákvæða í lögum um meðferð sakamála nr. 88/2008 og lögreglulögum nr. 90/1996, að skráning persónuupplýsinga um kvartanda í LÖKE, m.a. til að varpa ljósi á aðstæður á vettvangi, sé heimil og málefnaleg. Þá kemur fram að það falli ekki innan valdheimilda Persónuverndar að endurskoða mat lögreglunnar á því hvaða upplýsingar hún telji nauðsynlegt að skrá í upplýsingakerfi sitt hverju sinni vegna starfa sinna. Hvað síðara atriðið varðar kemur fram að vinnsla persónuupplýsinga um kvartanda í þágu samantektar lögreglu, sem fólst í því að persónuupplýsingar voru teknar úr vörðu umhverfi og unnar frekar í óvörðu umhverfi utan upplýsingakerfisins LÖKE, sem háð er ströngum aðgangs- og öryggistakmörkunum, hafi falið í sér öryggisbrest sem samrýmist ekki ákvæðum 11. gr. laga nr. 77/2000 og reglugerðar nr. 322/2001.

Loks er það niðurstaða Persónuverndar að upplýsingar um kvartanda sem finnast í samantekinni séu ekki þess eðlis að stofnunin geti beint fyrirmælum um leiðréttingu þeirra eða eyðingu til ábyrgðaraðila, enda sé Persónuvernd ekki unnt að skera úr um áreiðanleika þeirra. Engu að síður er í úrskurðinum bent á að kvartandi geti komið athugasemdum sínum um óáreiðanleika umræddra persónuupplýsinga á framfæri við Lögregluna á höfuðborgarsvæðinu í þeim tilgangi að fá þær skráðar í upplýsingakerfi lögreglu í ljósi þeirra grunnsjónarmiða um áreiðanleika sem 4. tölul. 1. mgr. 7. gr. laga nr. 77/2000 byggir á.

Úrskurður Persónuverndar í máli nr. 2014/1541 , frá 25. febrúar 2015, í heild sinni.
 
Úrskurðir í málum nr. 2014/1684 og 2014/1715:

 

Persónuvernd hefur kveðið upp úrskurði í tveimur málum af tilefni kvartana yfir vinnslu persónuupplýsinga um kvartendur hjá Lögreglunni á höfuðborgarsvæðinu, þ.e. í tengslum við gerð skýrslu um samantekt á skipulagi lögreglu við mótmælin á árunum 2008-2011, en kvartendur voru lögreglumenn sem voru við störf í mótmælunum. Þá beinist kvörtun í máli nr. 2014/1684 einnig að því hvort úrskurðarnefnd um upplýsingamál hafi brotið persónuverndarlög með úrskurði sínum í máli nr. 541/2014, frá 8. október 2014, og hvort heimilt hafi verið að vinna upplýsingar úr upplýsingakerfi lögreglu, LÖKE, við gerð skýrslunnar.

 

 

Í úrskurðinum kemur fram að það falli ekki innan valdsviðs Persónuverndar að endurskoða úrskurði hliðsetts stjórnvalds, í þessu tilviki úrskurð úrskurðarnefndar um upplýsingamál í máli nr. 541/2014, frá 8. október 2014, en með honum komst nefndin að þeirri niðurstöðu að Lögreglunni á höfuðborgarsvæðinu bæri að afhenda kæranda í umræddu máli samantekt um skipulag lögreglu í mótmælunum 2008-2011 á grundvelli 5. gr. upplýsingalaga nr. 140/2012, en þó með ákveðnum takmörkunum, sbr. 9. gr. sömu laga. Af þeim sökum sé Persónuvernd ekki unnt að taka afstöðu til lögmætis miðlunar umræddrar samantektar enda liggi fyrir endanlegur úrskurður á grundvelli lagaheimildar, þess efnis að samantektin sé háð upplýsingarétti almennings.

 

 

Upplýsingar um kvartendur voru skráðar í upplýsingakerfið LÖKE í tengslum við störf þeirra fyrir Lögregluna á höfuðborgarsvæðinu og aðkomu þeirra að einstökum málum varðandi framangreind mótmæli. Er það mat Persónuverndar að við skráningu persónuupplýsinga í LÖKE þurfi að gera greinarmun á upplýsingum um þá einstaklinga sem lögregla hefur afskipti af eða koma við sögu lögreglu annars vegar og upplýsingum um hvernig einstakir lögreglumenn hafa sinnt starfsskyldum sínum hins vegar. Strangar öryggiskröfur gildi um persónuupplýsingar í skrám lögreglu, m.a. LÖKE, og fyrrnefndu upplýsingarnar einkum sérstakrar verndar umfram upplýsingar sem eingöngu snúa að því hvernig lögreglumenn hafa sinnt stöfum sínum. Í ljósi þessa gerði Persónuvernd ekki athugasemdir við að persónuupplýsingar um kvartendur hefðu verið færðar úr LÖKE í umrædda samantekt, sbr. hins vegar niðurstöðu í málum nr. 2014/1474 og 2014/1541, sbr. reifun á þeim hér að framan.

 

Með fyrrefndum úrskurði úrskurðarnefndar um upplýsingamál var lagt fyrir Lögregluna á höfuðborgarsvæðinu að afmá tilteknar persónuupplýsingar úr skýrslunni fyrir afhendingu hennar. Meðal þeirra upplýsinga sem átti að afmá voru tilvísanir í lögreglunúmer einstakra lögreglumanna, m.a. beggja kvartenda, í tilteknum köflum skýrslunnar. Við afhendingu skýrslunnar frá lögreglu, m.a. til fjölmiðla, var texti, sem afmá átti samkvæmt fyrrgreindu, ekki hulinn með fullnægjandi hætti. Bárust því persónuupplýsingar um kvartendur óviðkomandi.

 

Var niðurstaða Persónuverndar sú að skráning persónuupplýsinga um kvarténdur í lögreglukerfið LÖKE, hafi verið heimil en miðlun upplýsinganna til fjölmiðla, í skýrslu lögreglu á persónugreinanlegu formi, samrýmdist hins vegar ekki lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

Úrskurður Persónuverndar í máli nr. 2014/1684, frá 25. febrúar 2015, í heild sinni.

Úrskurður Persónuverndar í máli nr. 2014/1715, frá 25. febrúar 2015, í heild sinni.


Var efnið hjálplegt? Nei