Ákvörðun um aðgengi hins skráða að upplýsingum um sig í Schengen-upplýsingakerfinu
Mál nr. 2020010609
Persónuvernd hefur tekið ákvörðun í máli einstaklings sem kvartaði yfir því að hafa ekki fengið aðgang að upplýsingum um sig sem skráðar höfðu verið í Schengen-upplýsingakerfið. Forsaga málsins er sú að árið 2017 hafði kvartandi komið til Íslands og lagt fram umsókn um alþjóðlega vernd. Kvartandi dró síðar til baka þá umsókn og var í kjölfarið gert að yfirgefa landið innan sjö daga frests, skv. ákvörðun Útlendingastofnunar. Það gerði kvartandi ekki og var því í kjölfarið fylgt úr landi af lögreglu.
Þar sem kvartandi hafði ekki yfirgefið landið innan tilskilins frests, var hann settur í tveggja ára endurkomubann til Íslands, sem skráð var í Schengen-upplýsingakerfið. Tæpum tveimur árum síðar sendi kvartandi beiðni til embættis ríkislögreglustjóra, ásamt afriti af vegabréfi, þar sem farið var fram á upplýsingar um skráningar er vörðuðu hann í Schengen-upplýsingakerfinu auk þess sem farið var fram á að slíkum upplýsingum yrði eytt. Í svari til kvartanda kom fram að umræddar upplýsingar væru ekki afhentar með tölvupósti, heldur væri gerð sú krafa að hinn skráði kæmi í eigin persónu á starfsstöð embættis ríkislögreglustjóra eða í næsta sendiráð Schengen-ríkis og framvísaði þar persónuskilríkjum.
Varð það niðurstaða Persónuverndar að vinnsla embættis ríkislögreglustjóra á persónuupplýsingum um kvartanda hafi samrýmst lögum nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi. Þó hyggst Persónuvernd rita dómsmálaráðuneytinu og utanríkisráðuneytinu bréf þar sem vakin verður athygli á þeim vanda sem einstaklingar, sem skráðir eru í Schengen-upplýsingakerfið, geta staðið frammi fyrir þegar þeir reyna að neyta réttinda sinna, með því að sækjast eftir upplýsingum um skráningar er varða þá sjálfa, og mælst til þess að upplýsingagjöf verði samræmd að því marki sem hægt er milli þeirra aðila sem veita upplýsingar til hinna skráðu.
Ákvörðun
Á fundi stjórnar Persónuverndar hinn 29. apríl 2021 var tekin svohljóðandi ákvörðun í máli nr. 2020010609:
I.
Málsmeðferð
1.
Kvörtun
Hinn 13. janúar 2020 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur „kvartandi“) yfir því að hafa ekki fengið aðgang að upplýsingum um sig sem skráðar höfðu verið í Schengen-upplýsingakerfið. Forsaga málsins er sú að árið 2017 hafði kvartandi komið til Íslands og lagt fram umsókn um alþjóðlega vernd, dags. 9. október 2017. Kvartandi dró síðar til baka þá umsókn með tilkynningu, dags. 11. s.m., og var í kjölfarið gert að yfirgefa landið innan tilskilins sjö daga frests, skv. ákvörðun Útlendingastofnunar, dags. sama dag. Það gerði kvartandi ekki og var því í kjölfarið fylgt úr landi af lögreglu þann 7. nóvember 2017.
Þar sem kvartandi hafði ekki yfirgefið landið innan tilskilins frests, var hann settur í tveggja ára endurkomubann til Íslands skv. áðurnefndri ákvörðun Útlendingastofnunar, sem skráð var í Schengen-upplýsingakerfið þann 9. nóvember 2017, í samræmi við 1. tölul. b-liðar 1. mgr. 6. gr. laga nr. 16/2000 um Schengen-upplýsingakerfið á Íslandi.
Hinn 14. október 2019 sendi kvartandi beiðni til embættis ríkislögreglustjóra, ásamt afriti af vegabréfi, þar sem farið var fram á upplýsingar um skráningar er vörðuðu hann í Schengen-upplýsingakerfinu auk þess sem farið var fram á að slíkum upplýsingum yrði eytt. Kvartanda var svarað með tölvupósti, dags. 15. s.m. þar sem kom fram að umræddar upplýsingar væru ekki afhentar með tölvupósti, heldur væri gerð sú krafa að hinn skráði kæmi í eigin persónu á starfsstöð embættis ríkislögreglustjóra eða í næsta sendiráð Schengen-ríkis og framvísaði þar persónuskilríkjum. Fram kemur í kvörtuninni að kvartandi sendi bréf til sendiráðs Svíþjóðar, dags. 15. október 2019, og var leiðbeint um að senda upplýsingabeiðni sína til sendiráðs sama lands í Norður-Makedóníu. Fyrir liggur að hann gerði það og hefur kvörtun að geyma afrit af svari sendiráðsins þar til kvartanda, þess efnis að ekki væri sjáanlegt að hann væri skráður í Schengen upplýsingakerfið og að hann ætti að leita til þess lands er setti inn skráninguna, þ.e. Íslands. Einnig segir að kvartandi hafi sent bréf til ræðismanns Íslands í Albaníu en fengið þau svör að ræðismaðurinn kæmi ekki að veitingu vegabréfsáritana. Þá kemur fram að kvartandi hafði samband við sendiráð Þýskalands með tölvupósti þann 18. nóvember 2019. Hjálagt með kvörtun er svar frá sendiráðinu frá 19. s.m., þess efnis að það gæti ekki staðfest hvort hann væri í endurkomubanni í Þýskalandi eða á Schengen-svæðinu. Loks sendi kvartandi tölvupóst til embættis ríkislögreglustjóra, dags. 13. janúar 2020, þar sem ítrekuð var krafa um eyðingu persónuupplýsinga. Var kvartanda svarað samdægurs á þann veg að ekki væru veittar upplýsingar um skráningar í gegnum tölvupóst, auk þess sem ítrekaðar voru fyrri leiðbeiningar um að leita til næsta sendiráðs Schengen-ríkis.
2.
Bréfaskipti
Með bréfi, dags. 4. maí 2020, var ríkislögreglustjóra boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 29. s.m., þar sem farið er yfir aðdraganda skráningar á upplýsingum um kvartanda, sem lýst hefur verið hér að ofan. Þá segir að umræddri skráningu hafi verið eytt með sjálfvirkum hætti við lok endurkomubanns, þ.e. 7. nóvember 2019. Því séu upplýsingar um kvartanda ekki lengur skráðar í Schengen-upplýsingakerfið, enda sé endurkomubann ekki í gildi.
Fram kemur að óumdeilt sé að kvartandi eigi rétt til þess að fá vitneskju um þær upplýsingar sem skráðar hafi verið um hann í Schengen-upplýsingakerfið, sbr. 1. mgr. 13. gr. laga nr. 16/2000 um Schengen-upplýsingakerfið á Íslandi. Jafnframt segir að kvartanda hafi hvorki verið synjað um upplýsingarnar, né honum gert ómögulegt að nálgast þær, honum hafi aftur á móti verið leiðbeint um það hvernig hann gæti nálgast þær.
Vísað er til þess að samkvæmt g-lið 2. gr. reglugerðar um Schengen-upplýsingakerfið á Íslandi nr. 112/2001 skulu ábyrgðaraðilar kerfisins grípa til nauðsynlegra ráðstafana í því skyni að tryggja að óviðkomandi fái ekki aðgang að upplýsingum sem skráðar eru í kerfið. Fram kemur að það sé mat embættisins að það samrýmist hvorki ákvæðum tilvitnaðrar reglugerðar nr. 112/2001, né meginreglum laga nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi, sbr. einnig lög nr. 90/2018, að miðla persónuupplýsingum úr kerfum lögreglu með rafpósti eða senda þær bréfleiðis án þess að einstaklingurinn sanni á sér deili með óyggjandi hætti. Það sé mat embættisins að það, og þar með SIRENE-skrifstofa þess, hafi ekki heimild til þess að miðla upplýsingum úr kerfinu nema vitað sé með vissu hver leggi fram beiðni þess efnis.
Með bréfi, dags. 21. október 2020 fór Persónuvernd fram á frekari upplýsingar frá ríkislögreglustjóra vegna málsins. Óskað var eftir upplýsingum um það hvort settar hefðu verið verklagsreglur um afhendingu umræddra upplýsinga, hvernig samvinnu væri háttað milli sendiráða Schengen-ríkja og eftir atvikum ræðisskrifstofa annars vegar og SIRENE-skrifstofa hins vegar um veitingu þeirra upplýsinga er hér um ræðir og hvort embætti ríkislögreglustjóra hefði kannað hvaða sendiráð eða eftir atvikum ræðisskrifstofur á vegum Íslands, og eftir atvikum annarra Schengen-ríkja, hefðu aðgang að Schengen-upplýsingakerfinu sem nýttist við slíka upplýsingagjöf. Þá var, að teknu tilliti til leiðbeininga embættis ríkislögreglustjóra til kvartanda, spurt hvernig stæði á því að hvorki sendiráð Svíþjóðar né Þýskalands í Albaníu hefði séð sér fært að veita honum umbeðnar upplýsingar.
Svar barst með bréfi, dags. 10. nóvember 2020. Þar segir meðal annars að settar hafi verið verklagsreglur um afhendingu upplýsinga úr Schengen-upplýsingakerfinu til skráðra einstaklinga og að þær séu aðgengilegar starfsmönnum embættisins á innri vef.
Einnig segir að samvinnu milli SIRENE-skrifstofa sé þannig háttað að einstaklingar sem vilja vita hvort þeir séu skráðir í Schengen-upplýsingakerfið geti leitað til SIRENE-skrifstofu hvaða lands sem er á Schengen-svæðinu og þeirri skrifstofu sem tekur við beiðninni sé skylt að taka afstöðu til fyrirspurnarinnar og svara henni, ef það á við. Ef í ljós kemur skráning sem skráð er af öðru ríki skuli skrifstofan sem tekur við beiðninni hafa samband við skráningarríkið og óska eftir afstöðu til þess hvort rétt sé að hinn skráði sé upplýstur um skráninguna og gildistíma hennar, og byggja sín svör á því. Ef einstaklingur sem óskar eftir upplýsingum er ekki staddur á Schengensvæðinu sé viðkomandi bent á að hafa samband við sendiráð eða ræðismann einhvers Schengen-ríkis og óska eftir upplýsingum. Sendiráð og ræðisskrifstofur séu ekki skilgreind sem stofnanir sem eiga rétt á beinum aðgangi að Schengen-upplýsingakerfinu þó að vera megi að í einhverjum tilfellum séu fulltrúar slíkra stofnana, svo sem lögreglu eða tollgæslu, þar við störf og hafi þar af leiðandi uppflettiaðgang að kerfinu. Þá geti sendiráð og ræðismenn haft milligöngu um að fá slíkar upplýsingar hjá SIRENE-skrifstofum síns lands. Hvað varðar spurningu Persónuverndar um sendiráð Svíþjóðar og Þýskalands í Albaníu kvaðst embættið ekki geta svarað því af hverju ekki voru veittar þar upplýsingar um skráningu í Schengen-upplýsingakerfið.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Um vinnslu persónuupplýsinga hjá lögbærum yfirvöldum sem fram fer í löggæslutilgangi gilda lög nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi, sbr. 1. mgr. 3. gr. þeirra laga. Fellur það undir hlutverk Persónuverndar að framfylgja lögunum eins og fram kemur í 30. gr. þeirra, þ. á m. með því að taka ákvörðun í málum vegna kvartana frá einstaklingum, sbr. 2. og 3. mgr. þeirrar greinar.
Lögin voru sett til innleiðingar á ákvæðum tilskipunar (ESB) 2016/680 frá 27. apríl 2016 um vernd einstaklinga að því er varðar vinnslu lögbærra yfirvalda á persónuupplýsingum í tengslum við að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum og frjálsa miðlun slíkra upplýsinga. Lögbært yfirvald er skilgreint í 11. tölul. 2. gr. laganna sem opinbert yfirvald sem ber ábyrgð á eða er falið það hlutverk að lögum að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Embætti ríkislögreglustjóra er skilgreint sem lögbært yfirvald samkvæmt þessu ákvæði.
Svo að lög nr. 75/2019 gildi þarf að vera um að ræða vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild eða vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá, sbr. 2. mgr. 3. gr. laganna. Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 1. tölul. 2. gr. laga nr. 75/2019. Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 2. tölul. 2. gr. laga nr. 75/2019.
Til þess að vinnsla persónuupplýsinga falli undir gildissvið laga nr. 75/2019 er það eitt að yfirvald falli undir skilgreininguna á lögbæru yfirvaldi ekki nægjanlegt, heldur þarf sú vinnsla er fer fram hverju sinni að vera í löggæslutilgangi. Löggæslutilgangur er skilgreindur í 8. tölul. 2. gr. laga nr. 75/2019 sem sá tilgangur að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Ljóst er að þegar unnið er með persónuupplýsingar í því skyni er byggt á valdheimildum sem lögbærum yfirvöldum eru fengnar með lögum, en eins og hér háttar til reynir þá á lög nr. 16/2000 um Schengen-upplýsingakerfið á Íslandi. Í 2. gr. þeirra laga kemur fram að ríkislögreglustjóri reki og beri ábyrgð á Schengen-upplýsingakerfinu, hann annist skráningu í það og sendingu annarra gagna samkvæmt lögunum. Í 1. mgr. 4. gr. sömu laga kemur enn fremur fram að skráning í Schengen-upplýsingakerfið skuli miða að því að tryggja almannaöryggi og allsherjarreglu, þ.m.t. öryggi ríkisins. Með hliðsjón af framangreindu er hér um að ræða vinnslu í löggæslutilgangi, sbr. 8. tölul. 2. gr. laga nr. 75/2019, og fellur framangreind vinnsla því innan gildissviðs þeirra laga.
Lögbært yfirvald, sem ákvarðar, eitt eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga, er nefnt ábyrgðaraðili, sbr. 4. tölul. 2. gr. laga nr. 75/2019. Eins og hér háttar til telst embætti ríkislögreglustjóra vera ábyrgðaraðili að umræddri vinnslu.
Með vísan til framangreinds er ljóst að vinnsla persónuupplýsinga í Schengen-upplýsingakerfinu felur í sér vinnslu persónuupplýsinga hjá lögbæru yfirvaldi sem fram fer í löggæslutilgangi og fellur hún því undir valdsvið Persónuverndar eins og það er afmarkað í 30. gr. laga nr. 75/2019, þ. á m. til að leysa úr kvörtunarmálum, sbr. 2. og 3. mgr. sömu greinar.
2.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga í löggæslutilgangi verður að samrýmast meginreglum þeim er mælt er fyrir um í 4. gr. laga nr. 75/2019. Þar kemur fram að við vinnslu persónuupplýsinga í löggæslutilgangi skuli þess gætt að þær séu unnar með lögmætum og sanngjörnum hætti, að vinnslan sé lögbæru yfirvaldi nauðsynleg vegna verkefna í löggæslutilgangi, að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, að þær séu nægilegar, viðeigandi og ekki langt umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar og að þær séu áreiðanlegar og uppfærðar eftir þörfum. Þar segir einnig að séu persónuupplýsingar óáreiðanlegar eða ófullkomnar miðað við tilgang vinnslu þeirra skuli þeim eytt eða þær leiðréttar án tafar, að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu og að þær skuli unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.
Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af skilyrðum 1. mgr. 6. gr. laga nr. 75/2019. Viðkvæmar persónuupplýsingar í skilningi laganna eru upplýsingar um kynþátt eða þjóðernislegan uppruna manns, stjórnmálaskoðanir, trúarbrögð, lífsskoðun og aðild að stéttarfélagi, upplýsingar um heilsufar, kynlíf manna og kynhneigð, svo og erfðafræðilegar upplýsingar, auk lífkennaupplýsinga sem notaðar eru til að persónugreina einstakling með einkvæmum hætti. Fyrir liggur að í Schengen-upplýsingakerfið eru skráðar upplýsingar eins og hér um ræðir og má þar nefna fingraför, sbr. k-lið 1. mgr. 5. gr. laga nr. 16/2000, en þau teljast til lífkenna. Samkvæmt umræddu ákvæði laga nr. 75/2019 verður því aðeins unnið með slíkar persónuupplýsingar að brýna nauðsyn beri til vinnslunnar auk þess sem hún uppfylli a.m.k. eitt eftirtalinna skilyrða: að sérstök heimild standi til hennar í öðrum lögum, að hún sé til þess fallin að vernda brýna hagsmuni hins skráða eða annars einstaklings, eða að hún varði upplýsingar sem hinn skráði hefur sjálfur gert opinberar. Í því máli sem hér er til skoðunar, liggur fyrir að persónuupplýsingar voru skráðar skv. heimild í 5. gr. og 1. tölul. b-liðar 1. mgr. 6. gr. laga nr. 16/2000. Telst vinnslan því hafa verið heimil í ljósi laga nr. 75/2019.
Fyrir liggur að kvartandi hefur farið fram á að skráningu um endurkomubann hans verði eytt. Jafnframt liggur fyrir að skráningunni var eytt með sjálfvirkum hætti við lok endurkomubannsins, þann 7. nóvember 2019. Kemur þetta atriði því ekki til frekari skoðunar.
Til úrlausnar er hins vegar hvort ríkislögreglustjóri hafi afgreitt beiðni kvartanda um aðgang að upplýsingum sig í samræmi við 13. gr. laga nr. 75/2019 og 13. gr. laga nr. 16/2000, þar sem sá réttur er tryggður, en eins og fram hefur komið var beiðnin ekki afgreidd þar sem ekki lá fyrir beiðni kvartanda í eigin persónu með framvísun persónuskilríkja. Þá liggur fyrir að í kjölfar synjunar ríkislögreglustjóra leitaði kvartandi til sendiráða tveggja Schengen-ríkja, auk ræðismanns Íslands, til að fá umbeðnar upplýsingar en fékk svör sem bentu til þess að ekki væri þar unnt að fá umræddan aðgang.
Það er skv. V. kafla laga nr. 75/2019 á ábyrgð ábyrgðaraðila að tryggja fullnægjandi öryggi persónuupplýsinga. Við mótun ráðstafana í því skyni í Schengen-upplýsingakerfinu er til þess að líta að þar eru meðal annars skráðar viðkvæmar persónuupplýsingar eins og fyrr greinir. Verður því að gera ríkar kröfur til öryggis þeirra. Í 18. gr., sbr. einnig 1. mgr. 23. gr. laganna, segir að ábyrgðaraðili skuli gera viðeigandi ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar, sem og réttindum hins skráða, til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur laganna. Í tilfelli embættis ríkislögreglustjóra hefur það verið metið nauðsynlegt að fara fram á frumrit persónuskilríkja og gerir Persónuvernd ekki athugasemdir við það mat í ljósi eðlis Schengen-upplýsingakerfisins og mikilvægis þess að upplýsingar úr því lendi ekki í höndum óviðkomandi aðila.
Að sama skapi er hins vegar ljóst að hinn skráði verður að eiga raunhæfan möguleika á að neyta réttinda sinna og benda gögn máls til þess að úrbóta kunni að vera þörf í þeim efnum. Verður að ætla að þar reyni á hvort Schengen-ríki hafi komið á fót samstarfi þannig að innan utanríkisþjónustu þeirra sé að finna tengiliði sem hinir skráðu geta leitað til óháð því hvaða ríki hafi staðið að skráningu upplýsinga hverju sinni. Þá verður að ætla að endanleg ábyrgð í þessum efnum liggi ekki hjá lögregluyfirvöldum og að aðkomu annarra stjórnvalda sé einnig þörf, svo sem ráðuneyta dóms- og utanríkismála.
Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla embættis ríkislögreglustjóra á persónuupplýsingum um kvartanda hafi samrýmst lögum nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi.
Jafnframt hyggst Persónuvernd hins vegar rita dómsmálaráðuneytinu og utanríkisráðuneytinu bréf þar sem vakin er athygli á þeim vanda sem einstaklingar, sem skráðir eru í Schengen-upplýsingakerfið, geta lent í þegar þeir reyna að neyta réttinda sinna samkvæmt löggjöf um kerfið miðað við atvik í máli þessu.
[Á k v ö r ð u n a r o r ð:]
Vinnsla embættis ríkislögreglustjóra á persónuupplýsingum um [A] vegna skráningar endurkomubanns og kröfu um afhendingu á upplýsingum um skráningu samrýmdist lögum nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi.
Í Persónuvernd, 29. apríl 2021
Ólafur Garðarsson
starfandi formaður
Björn Geirsson Vilhelmína Haraldsdóttir
Þorvarður Kári Ólafsson