Birting farþegalista á netinu

5.8.2011

Ákvörðun

 

Þann 22. júní 2011 tók stjórn Persónuverndar eftirfarandi ákvörðun í máli nr. 2011/223:

 

I.

Grundvöllur máls

Málavextir og bréfaskipti

1.

Tildrög máls

Tildrög máls þessa eru þau að þann 14. febrúar 2011 birtist frétt í dagblaðinu DV þar sem fram kom að farþegalisti Icelandair hefði verið gerður aðgengilegur á netinu. Í fréttinni kom m.a. fram að birtur hefði verið listi yfir nöfn allra þeirra sem áttu pantað flug með flugvél Icelandair auk upplýsinga um það hvort viðkomandi hefði þegar innritað sig í umrætt flug.

 

2.

Bréfaskipti

Með bréfi, dags. 28. febrúar 2011, óskaði Persónuvernd upplýsinga um tildrög þess að framangreindur listi var birtur á internetinu. Þá óskaði stofnunin upplýsinga um hvaða heimild Icelandair taldi sig hafa til birtingarinnar samkvæmt 8. gr., og eftir atvikum 9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Svarbréf Icelandair, dags. 14. mars 2011, barst stofnuninni þann 17. mars s.á. en þar sagði meðal annars:

„Í umræddu máli var um að ræða birtingu upplýsinga um farþega sem bókuðu hópferð með félaginu. Venja er að þeir sem bóka flugfarmiða saman hjá félaginu fái sameiginlegt bókunarnúmer og geti því séð upplýsingar um sætisbókanir annarra innan hópsins. Það er sjálfsagður hlutur fyrir t.d. fjölskyldur að bóka foreldra og börn saman í einni bókun. Þegar einn úr fjölskyldunni slær svo inn bókunarnúmerið til að velja sæti þá getur hann séð nöfn hinna í bókuninni og valið sæti fyrir alla í einu. Þetta felur í sér augljós þægindi.

Fyrir mistök hefur slíkt einnig gerst í þessu tilviki þegar pöntuð var ferð í gegnum ferðaskrifstofu. Umræddur farþegalisti var því ekki birtur í heild á internetinu heldur gátu þeir sem bókað höfðu hópferð á sama bókunarnúmeri séð lista yfir þá sem skráðir voru í téða ferð. Hér var því ekki um að ræða farþegalista ákveðins flugs heldur lista yfir nöfn sem ferðaskrifstofa setti saman í eina bókun.

Í málinu komu fram upplýsingar um nafn farþega og hvenær hann ferðaðist. [...] Aftur á móti hefur félagið gripið til ráðstafana til að tryggja að birting af þessu tagi ætti sér ekki stað aftur enda er félagið sammála því að slík birting sé óheppileg. [...] Þar að auki var farþegalisti í skilningi a-liðs 1. mgr. 9. gr. reglugerðar nr. 53/1076, ekki aðgengilegur fyrir neinum farþega enda voru ekki allir farþegar skráðir á sama bókunarnúmeri. Aftur á móti hefur félagið, líkt og áður greinir, gripið til ráðstafana til að koma í veg fyrir að farþegar í hópferðum verði skráðir á sama bókunarnúmeri og munu upplýsingar þessar því ekki verða aðgengilegar farþegum slíkra ferða hér eftir. “

Með bréfi, dags. 24. mars 2011, óskaði Persónuvernd frekari upplýsinga frá Icelandair. Í því bréfi sagði m.a.:

„Samkvæmt lauslegri athugun Persónuverndar er fyrirkomulag bókana enn með þeim hætti að þeir sem eru skráðir á sama bókunarnúmer geta séð persónuupplýsingar annarra farþega í sömu hópferð, þ. á m. um gististað þeirra og vegabréfsnúmer. Í ljósi þessa - og þeirra sérreglna sem gilda um vinnslu svonefndra APIS/PNR-upplýsinga - er óskað nánari upplýsinga um eftirfarandi:

1.  Hvert hafi verið markmið Icelandair með umræddri birtingu upplýsinga um nafn, fríðindakortanúmer, fæðingardag, vegabréfsnúmer og gildistíma þess á bókunarsvæði fyrirtækisins? Ef umrædd birting átti sér stað fyrir mistök óskar Persónuvernd upplýsinga um það hvort tilfallandi mistök hafi verið að ræða eða hvort Icelandair hafi viðhaft umrædda framkvæmd um lengri tíma?

2.  Hvers eðlis þær ráðstafanir sem Icelandair hefur gripið til séu, sbr. bréf félagsins frá 14. mars 2011 og hvenær áætlað sé að þær komi til framkvæmda? “

Svarbréf Icelandair, dags. 1. apríl 2011, barst stofnuninni þann 4. apríl s.á. Þar segir m.a.:

„1. Á seinni árum hafa farþegar gert síauknar kröfur til þess að þeir geti valið sér sæti og innritað sig í tiltekin flug sjálfir, annað hvort á netinu eða í sjálfvirkum vélum á flugvöllum. Jafnframt er gerð krafa um að tveir eða fleiri einstaklingar sem bóka sig saman, hvort sem það eru fjölskyldur, vinir, vinnufélagar eða annars konar hópar, geti setið og innritað sig saman. Félagið hefur, eins og velflest önnur flugfélög í Evrópu, brugðist við þessu með því netbókunarkerfi sem vísað er til í bréfi yðar.

Það er ítrekað að það getur ekki hver sem er séð umræddar upplýsingar. Viðkomandi þarf að skrá sig inn með bókunarnúmeri og föðurnafni eins farþega til þess að sjá hvaða aðrir farþegar eru skráðir í sömu bókun. Það eru því aðeins farþegar á sömu bókun sem sjá þessar upplýsingar. Þá er aðeins hægt að sjá nafn viðkomandi, en ekki fríðindakortanúmer, fæðingardag, vegabréfsnúmer og gildistíma þess eins og haldið er fram í bréfi yðar. Slíkt gæti aðeins gerst ef viðkomandi farþegi, sem upplýsingarnar varðar, hefði sjálfur skráð þær inn í innritunarkerfið. Sá hinn sami hefði þá séð lista yfir aðra farþega á sömu bókun og hefði því mátt vita að þær upplýsingar sem hann sjálfur skráir með þessum hætti, væru aðgengilegar fyrir hann.

Í máli því sem hér um ræðir voru þau mistök gerð að farþegar sem voru að kaupa ferð með tiltekinni ferðaskrifstofu, en eru að öðru leyti ótengdir, voru settir á sama bókunarnúmer og því gátu þeir, með því að skrá sig inn í innritunarkerfi félagsins séð þær upplýsingar sem vísað er til að ofan.

2. Þær ráðstafanir sem Icelandair hefur gripið til fela það í sér að ekki dugar lengur að skrá bókunarnúmer þegar sæti er valið heldur þarf jafnframt að skrá nafn farþega. Þar með getur farþegi einungis séð upplýsingar um sjálfan sig. Þessar ráðstafanir komu til framkvæmda í kjölfar þess að bréf Persónuverndar barst þann 28. febrúar sl.“

 

II.

Forsendur og niðurstaða

1.

Gildissvið

Efnislegt gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og þar með valdsvið Persónuverndar, nær til vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. og 1. og 2. mgr. 37. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Af athugasemdum við 2. tölul. 2. gr. er fylgdu frumvarpi því er varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

Samkvæmt framansögðu fellur undir úrskurðarvald Persónuverndar að leysa úr máli sem lýtur að vinnslu persónuupplýsinga um farþega sem innrita sig í flug með Icelandair á internetinu og hvort hún hafi samrýmst ákvæðum laga nr. 77/2000.

2.

Ferðaskrifstofubókanir

Af hálfu ábyrgðaraðila hefur komið fram að breytingar hafi verið gerðar á innritunarkerfi Icelandair og að nú geti farþegi sem pantað hefur sér ferð með ferðaskrifstofu, í s.k. hópferð, eingöngu séð upplýsingar um sjálfan sig. Er það því mat Persónuverndar að ekki sé ástæða til að gera athugasemdir við þann þátt málsins.

3.

Einstaklingsbókanir í hópferðir

Af hálfu ábyrgðaraðila, Icelandair, hefur komið fram að upplýsingar frá farþega um fríðindakortanúmer, fæðingardag, vegabréfsnúmer og gildistíma þess geti orðið sýnilegar öðrum farþegum sem hafa bókað ferð undir sama bókunarnúmeri. Umræddar upplýsinga hafi hann sjálfur skráð í innritunarkerfið. Hann geti þá séð upplýsingar um aðra farþega á sömu bókun og megi hver og einn farþegi vita að þær upplýsingar sem hann sjálfur skráir með þessum hætti verði aðgengilegar samferðamönnum hans.

Svo að vinna megi með persónuupplýsingar verður ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000 og eftir atvikum 9. gr. sömu laga ef um er að ræða viðkvæmar persónuupplýsingar. Í 1. tölul. 1. mgr. 8. gr. segir að vinnsla sé heimil hafi hinn skráði ótvírætt samþykkt vinnsluna eða veitt samþykki skv. 7. tölul. 2. gr. Einnig segir í 3. tölul. 1. mgr. 8. gr. að vinnsla sé heimil sé hún nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Sambærileg ákvæði er að finna í 9. gr. sömu laga. Þá segir í 7. tölul. 1. mgr. 8. gr. að vinnsla sé heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra.

Við mat á því hvort sú aðferð sem Icelandair notar sé heimil verður að líta til eðlis þeirra upplýsinga sem um ræðir. Að mati Persónuverndar eru vegabréfsnúmer sérstaks eðlis m.a. í ljósi almennra sjónarmiða um öryggi í flugi og öðrum samgöngum. Því er nauðsynlegt að varna því að þau séu notuð í öðrum tilgangi en lög gera ráð fyrir. Bent er á að samkvæmt lögum ber handhafa vegabréfs t.d. að varðveita vegabréf sitt þannig að ekki sé hætta á það glatist og skal tilkynna lögreglu eða sendimönnum Íslands erlendis þegar í stað ef vegabréf glatast og gera sérstaka grein fyrir afdrifum þess. Upplýsingar um vegabréfsnúmer eru því sérstaks eðlis og hafa einstaklingar um margt sömu hagsmuna að gæta við að verjast því að þær séu misnotaðar eins og um kennitölur þeirra væri að ræða.

Í 11. gr. laga nr. 77/2000 er ákvæði um gæði og öryggi persónuupplýsinga. Þar er m.a. er vikið að skyldu ábyrgðaraðila til að verja upplýsingar gegn óleyfilegum aðgangi. Þá er í 3. tölul. 7. gr. laga nr. 77/2000 ákvæði um skyldu ábyrgðaraðila til að gæta þess við alla vinnslu persónuupplýsinga að aðeins séu notaðar nægilegar og viðeigandi upplýsingar og ekki fara umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Með vísan til þeirra öryggiskrafna sem gera ber til meðferðar á vegabréfum, m.a. til að stemma stigu við misnotkun og hugsanlegri fölsun, þarf ábyrgðaraðili - til að uppfylla framangreind ákvæði - að draga úr hættu á að upplýsingar um vegabréfsnúmer berist óviðkomandi aðilum. Að mati Persónuverndar hefur Icelandair ekki sýnt fram á að því sé nauðsynlegt að haga vinnslu þannig að vegabréfsnúmer eins farþega verði aðgengilegt öðrum farþegum sem eiga bókaða ferð á sama bókunarnúmeri.

Af hálfu Icelandair hefur komið fram að hinum skráða megi vera ljóst að vegabréfsnúmer hans muni birtast öðrum farþegum sem eigi ferð á sama bókunarnúmeri. Persónuvernd fellst ekki á að farþegi hafi, með því að bóka sér ferð í umræddu bókunarkerfi, samþykkt í verki að aðrir samferðamenn hans fái aðgang að vegabréfsnúmeri hans. Þar skiptir bæði máli að ekki liggur fyrir að hann eigi um það val og að óljóst getur verið, sérstaklega fyrir þann sem er fyrstur til að skrá slíkar upplýsingar inn, hvernig fyrirkomulagið er að þessu leyti. Að mati Persónuverndar er því ekki fyrir að fara lagaheimild eða annarri heimild samkvæmt 8. og 9. gr. laga nr. 77/2000 fyrir umræddri framkvæmd Icelandair.

Af framangreindu leiðir að Icelandair ber að gera breytingar á innritunarkerfi sínu þannig að upplýsingar um vegabréfsnúmer farþega birtist ekki öðrum farþegum í sama flugi, hvort sem þeir bóka ferð á sama bókunarnúmeri eða ekki.

 

Ákvörðunarorð

Sú aðferð Icelandair að birta upplýsingar um vegabréfsnúmer farþega sem nota innritunarkerfi félagsins á Netinu, fyrir öðrum farþegum, er óheimil.