Vinnsla viðkvæmra persónuupplýsinga og flutning þeirra til Bandaríkjanna í tengslum við vegabréfafrelsi

Efni:
Leiðbeinandi álit um vinnslu viðkvæmra persónuupplýsinga og flutning þeirra til Bandaríkjanna í tengslum við vegabréfafrelsi

I.
Erindi ráðuneytisins

Persónuvernd vísar til þess sem fram kom á fundi yðar með stjórn Persónuverndar hinn 13. janúar sl. og til bréfs innanríkisráðuneytisins, dags. 13. janúar 2012, varðandi drög að tilteknu fyrirkomulagi Íslands og Bandaríkjanna í tengslum við vegabréfafrelsi milli landanna. Drögin fela í sér að Ísland og Bandaríkin veiti hvort öðru aðgang að upplýsingum um einstaklinga sem taldir eru tengjast hryðjuverkum, sbr. 1. gr. II. kafla. Í ljósi þess bera drögin yfirskriftina „Arrangement […] for the Exchange of Terrorism Screening Information“. Þess er sérstaklega óskað í bréfi ráðuneytisins að Persónuvernd taki afstöðu til ákvæðis í drögunum um takmörkun á upplýsingarétti skráðra einstaklinga.

Skilgreint er í 1. gr. viðauka A við drögin hvaða einstaklingar séu af hálfu Bandaríkjanna taldir tengjast hryðjuverkum og því skráðir sem slíkir, þ.e. einstaklingar sem taldir eru geta ógnað flugöryggi, einstaklingar sem taldir eru hafa það á færi sínu að fremja hryðjuverk, einstaklingar sem vitað er eða grunur leikur á um að séu hryðjuverkamenn sem gefin hefur verið út handtökuskipun á, sem og einstakingar sem vitað er eða sem grunur leikur á um að séu meðlimir hryðjuverkasamtaka eða með tengsl við hryðjuverkastarfsemi. Þá er í 2. gr. viðaukans gert ráð fyrir skilgreiningu á því hvaða einstaklingar séu skráðir af Íslands hálfu, en sú skilgreining hefur hins vegar ekki enn verið færð þar inn.

Í 2. mgr. 1. gr. II. kafla draganna er skilgreint hvaða upplýsingar skrásettar séu um einstaklinga að lágmarki, þ.e. fullt nafn og fæðingardagur, númer vegabréfs eða annars konar persónuskilríkja og núverandi eða fyrri ríkisborgararéttur. Gert er ráð fyrir að frekari upplýsingar, s.s. fingraför og ljósmyndir, geti verið skrásettar eftir því sem lög leyfa.

Samkvæmt 1. mgr. 2. gr. draganna skal aðgangur að upplýsingum afmarkaður við „viðeigandi stofnanir“ (þýðing Persónuverndar á „Relevant Agency“). Ekki er skilgreint nákvæmlega hvað átt sé við með slíkum stofnunum, en samkvæmt 6. gr. I. kafla getur þar verið um að ræða hvaða leyniþjónustu-, löggæslu-, utanríkisþjónustu-, hernaðar- eða almannaöryggisstofnun sem er, auk annarra opinberra stofnana. Af 3. og 4. gr. viðauka A verður ráðið að aðgangur þessara stofnana verði rafrænn og milliliðalaus.

Í upphafi 2. gr. V. kafla kemur fram að aðgangur að upplýsingum innan viðeigandi stofnana eigi ekki að vera umfram það sem nauðsynlegt er. Þá er í b–d-lið sömu greinar að finna bann við því að upplýsingar, sem viðeigandi stofnun fær í hendur, séu sendar þriðju ríkjum, alþjóðasamtökum og einkaaðilum. Auk þess segir í a-lið að ekki megi nota upplýsingar við málsmeðferð hjá stjórnvöldum eða dómstólum eða á neinn þann hátt sem orðið geti til þess að þær birtist opinberlega.

Af d-lið umrædds ákvæðis V. kafla leiðir einnig að ekki má upplýsa viðkomandi einstakling um að upplýsingar um hann hafi verið skráðar, sbr. einnig 9. gr. viðauka A með drögunum. Þá bannar e-liður 2. gr. V. kafla að einstaklingi sé veitt vitneskja – af hvaða tagi sem er – um upplýsingar tengdar því hvort hann sé skráður eður ei. Frá þessu er aðeins ein undantekning, þ.e. að sá aðili að fyrirkomulagi á grundvelli draganna, sem upplýsingarnar stafa frá, samþykki að hinum skráða sé veitt slík vitneskja, sbr. upphaf ákvæðisins.

Tekið er fram í 2. gr. IX. kafla draganna að ekkert í þeim sé lagalega bindandi.

II.
Leiðbeinandi álit Persónuverndar,
sbr. 5. tölul. 3. mgr. 37. gr. l. nr. 77/2000

Þess hefur verið óskað að Persónuvernd skoði ákvæði í drögunum um takmörkun á upplýsingarétti skráðra einstaklinga. Af því tilefni er tekið fram að vinnsla í þágu mála sem varða almannaöryggi, landvarnir, öryggi ríkisins, og starfsemi þess á sviði refsivörslu, fellur að nokkru leyti utan gildissviðs hinna almennu ákvæða laga nr. 77/2000. Það á m.a. við um ákvæði 18. og 19. gr. um upplýsingarétt hins skráða. Sá réttur er honum hins vegar tryggður í  ýmsum sérreglum sem gilda á þessu sviði.

Um upplýsingaréttinn gilda m.a. sérákvæði reglugerðar nr. 322/2001 um meðferð persónuupplýsinga hjá lögreglu með áorðnum breytingum, sbr. rg. 926/2004, 362/2008 og 1137/2008. Einnig yrði að líta til Rammaákvörðunar nr. 2008/977/JHA um vinnslu persónuupplýsinga á sviði lögreglu- og dómsmálasamstarfs í sakamálum (Council Framework Decision 2008/977/JHA of 27 November 2008 on the protection of personal data processed in the framework of police and judicial cooperation in criminal matters). Samkvæmt 45. lið formálsorða er hún liður í þróun á Schengen regluverkinu og nær því til Íslands. Ákvæði um rétt hins skráða eru í 16. gr (Information for the data subject) og 17. gr. (Right of access).

Hins vegar þarf, áður en frekar er fjallað um rétt hins skráða til aðgangs að tilteknum skráðum persónuupplýsingum um sig, að  liggja fyrir að þær megi skrá til að byrja með. Af því tilefni er bent á eftirfarandi:

a) Heimild þarf að standa til þess að skrá upplýsingarnar, sbr. 1. mgr. 8. og 1. mgr. 9. gr. laga nr. 77/2000.
 
Þau ákvæði 8. gr., sem hér geta einkum átt við, er að finna í 5.–7. tölul. 1. mgr. Þar kemur fram að vinna má með persónuupplýsingar sé það nauðsynlegt vegna verks sem unnið er í þágu almannahagsmuna, vegna beitingar opinbers valds eða til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Varðandi viðkvæmar persónuupplýsingar, sbr. b-lið 8. tölul., þarf einnig að fullnægja einhverju viðbótarskilyrða 1. mgr. 9. gr. Þegar stjórnvöld eiga í hlut þarf, í ljósi lögmætisreglu stjórnsýsluréttarins, almennt að standa lagaheimild til slíkrar vinnslu, sbr. 2. tölul. 1. mgr. 9. gr.

b) Heimild þarf einnig að standa til þess að flytja upplýsingarnar til Bandaríkjanna, sbr. 30. gr. laga nr. 77/2000.

Að því er varðar miðlun upplýsinganna til Bandaríkjanna nægir ekki að uppfylla skilyrði 8. og 9. gr. laganna heldur þarf einnig að uppfylla viðbótarskilyrði 30. gr. laganna. Þar er mælt fyrir um bann við flutningi persónuupplýsinga til landa sem ekki veita slíkum upplýsingum fullnægjandi vernd, en Bandaríkin eru á meðal þeirra.

Í 30. gr. er gerð ráð fyrir undanþágum frá umræddu banni. Í þeim efnum er í fyrsta lagi bent á að fyrirliggjandi drög eru ekki að samningi heldur „fyrirkomulagi“ (e. „arrangement“) sem ekki hefur neitt lagalegt gildi, sbr. fyrrnefnd ákvæði 2. gr. IX. kafla draganna. Kæmi hins vegar til samningsgerðar yrði engu að síður líta til framangreindrar Rammaákvörðunar nr. 2008/977/JHA. Í 13. gr. hennar kemur fram að annað hvort þarf lagaheimild að standa til slíks flutnings persónuupplýsinga eða liggja fyrir að viðtakandi veiti fullnægjandi persónuupplýsingavernd (the third State or receiving international body provides safeguards which are deemed adequate by the Member State concerned according to its national law).

Í framangreindu felst að áður en til flutnings gæti komið, yrði að hafa verið gengið úr skugga um að viðtakandi veiti upplýsingunum nægilega vernd. Það var t.d. gert áður en tekin var ákvörðun um flutning farþegaupplýsinga til Bandaríkjanna. Verði sú leið ekki farin gæti flutningur upplýsinganna stuðst við lagaheimild. Samkvæmt rammaákvörðuninni má því aðeins veita slíka heimild að hagsmunir hins skráða eða brýnir almannahagsmunir krefjist þess (legitimate specific interests of the data subject; or legitimate prevailing interests, especially important public interests). Lausleg athugun Persónuverndar hefur ekki leitt í ljós að slík lagaheimild hafi verið veitt á hinum Norðurlöndunum. Hins vegar má geta þess til fróðleiks að í Danmörku var, með lögum, dags. 25. júní 2010, um breytingu á lögum um erfðaefnisgagnagrunna lögreglu o.fl. (d. Lov nr. 434 af 31. maj 2000 om Det Centrale Dna-profil-register), dómsmálaráðherra heimilað að gera tiltekna samninga um viss upplýsingaskipti við yfirvöld í ríkjum utan ESB.

Tekið er fram að framangreint álit verður birt á vefsíðu stofnunarinnar.