Vinnsla persónuupplýsinga hjá lögreglunni á Suðurnesjum um farþegaupplýsingar - mál nr. 2012/1488

2.1.2014

Úrskurður

Á fundi stjórnar Persónuverndar þann 12. desember 2013 var kveðinn upp svohljóðandi úrskurður í máli nr. 2012/1488:

 

I.

Bréfaskipti

Hinn 19. desember 2012 barst Persónuvernd kvörtun frá [A], [B] og [C] (hér eftir sameiginlega nefnd „kvartendur“), dags. 18. s.m., yfir [D], lögreglumanni hjá Lögreglunni á Suðurnesjum. Kvartað er yfir því að hann hafi farið eða látið fara inn í farþegalista flugvélar, leitað nöfn þeirra uppi og veitt upplýsingar um komur þeirra og brottfarir. Nánar tiltekið kemur fram að kvartendur séu búsettir í […] og hafi eftir komu sína hingað til lands [...] 2012 orðið fyrir áreiti manna sem hafi fengið vitneskju um framangreint frá fyrrgreindum lögreglumanni, en einn þeirra hafi sagt svo vera aðspurður af einum kvartenda. Þá hafi annar ekki mótmælt því þegar það hafi verið borið undir hann.

 

Með bréfi, dags. 24. janúar 2013, ítrekuðu með bréfum, dags. 28. febrúar og 8. apríl s.á., veitti Persónuvernd Lögreglunni á Suðurnesjum færi á að tjá sig um framangreinda kvörtun. Þá var þess óskað að upplýst yrði hvort til væri aðgerðaskráning (log) sem sýndi aðgang einstakra lögreglumanna að farþegalista vegna flugs til Íslands frá […] hinn [...] 2012. Lögreglan svaraði með bréfi, dags. 2. maí 2013. Þar segir m.a.:

„Eins og áður sagði fór af stað skoðun á því hvort viðkomandi fólki hafi verið flett upp af lögreglumönnum í svokölluðu G-lista kerfi. Niðurstaðan var skýr að því leyti að fólkinu hafði ekki verið flett upp í kerfi lögreglunnar. Hvað varðar farþegalistakerfi Flugleiða, Amadeus, fengust þær upplýsingar að flettingar í því kerfi væru ekki „loggaðar“ og því ekki rekjanlegar.

Yfirlögregluþjónn ræddi við [D], lögreglumann er kvörtunin beinist að og kvað hann það fráleitt að hann hefði verið að fylgjast með ferðum þessa fólks til eða frá landinu. Hann hefði hvorki kunnáttu til að fletta upp í G-lista kerfinu, né aðgang að því né hafi hann beðið einhvern að athuga þetta fyrir hann. Hann hins vegar þekki til deiluaðila, sem hafi átt í forræðisdeilu. Hann sagðist telja að þetta bréf til Persónuverndar væri ein birtingarmynd þeirrar deilu, sem væri honum algerlega óviðkomandi.

Niðurstaða innri endurskoðunar embættisins er sú, að umræddum aðilum hafi ekki verið flett upp í skráningarkerfi lögreglu.

Engar upplýsingar liggja hins vegar fyrir um það hvort fólkinu hafi verið flett upp í farþegalistakerfi Flugleiða og engin leið að ganga úr skugga um það þar sem uppflettingar eru ekki skráðar, en ekkert hefur komið fram er bendir til þess að sú leið hafi verið notuð.“

Með bréfi, dags. 13. maí 2013, veitti Persónuvernd [A] færi á að tjá sig um framangreint svar fyrir hönd kvartenda. Hún svaraði með bréfi, dags. 27. s.m. Þar segir m.a.:

„Játning tveggja manna í vitna viðurvist um að [D] hafi aflað eða látið afla upplýsinga um ferðir okkar dagana fyrir […] 2012 og þann dag, stendur óhögguð.

Bréf Lögreglustjórans á Suðurnesjum afsannar ekkert. Sé farið inn á Amadeus kerfið sést það skv. tölvudeild Icelandair hvort leitað hafi verið að fólki (ip tölur, vaktlistar o.fl.). Fullyrðingar um annað eru ekki réttar. Athyglisvert er, að logg frá G listakerfi kýs lögreglustjórinn að leggja ekki fram. Auk þessa er hægt að merkja nöfn inni í kerfinu þannig, að þau „poppa upp“ sem kallað er, ef viðkomandi einstaklingur er á ferð. Því afsanna tóm orð ekkert.

Lögreglustjórinn kýs einnig að svara fyrir [D]. Um kunnáttuleysi hans í meðferð á tölvum, verður efast, því téður [D] hefur unnið í áraraðir með tölvur.

Ég andmæli grófum, ókurteislegum aðdróttunum lögreglustjórans á Suðurnesjum um að kvörtunin sé „birtingarmynd“ forræðisdeilu. En – sú óviturlega aðdróttun sannar það, að [D] veit um uppflettinguna á okkur og veit um orsök fyrir beiðninni, sem honum barst um hana, sem sagt áreiti vinar hans og fjölskyldu vinarins gagnvart okkur.“

Með bréfi, dags. 19. júní 2013, veitti Persónuvernd Lögreglunni á Suðurnesjum færi á að tjá sig um athugasemdir kvartenda um möguleika á að kanna hvort nöfnum flugfarþega hafi verið flett upp í umræddum tölvukerfum. Svarað var með bréfi, dags. 30. ágúst 2013. Þar segir varðandi svokallað G-lista-kerfi:

 

„Fyrirspurn var send með tölvupósti á [E] hjá Advania en það fyrirtæki er hönnuður G-kerfisins. Fyrirspurnin laut að því að kannaðir yrðu möguleikar þess að fá log og hvort tiltekin nöfn, sem kvörtun laut að, hefðu verið slegin inn í kerfið.

 Í svari [E] kom meðal annars fram, að beiðni um ofangreinda fyrirspurn yrði stofnuð í beiðnakerfi Advania og útseld vinna við beiðnina yrði skráð á tiltekið verknúmer. Samkvæmt [E] voru 299 uppflettingar í farþegalistum á þessu tímabili ([...] 2012). Hægt væri að sjá hverju var leitað eftir, hver framkvæmdi leitina og hvort það komu einhverjar niðurstöður.“

Þá kemur fram að send hafi verið fyrirspurn á tölvudeild Ríkislögreglustjóra sem ábyrg er fyrir umræddu G-lista-kerfi. Borist hafi svohljóðandi svar:

„Hér kemur listi yfir allar fyrirspurnir sem gerðar voru í G-kerfinu umrædda daga. Þær eru 38. Til þess að fá töluna 299 sem [E] er með þá þarf að taka líka með uppflettingar sem kallast „Greining“. Þær fyrirspurnir fylgja í öðru skjali. […] Engin merki fundust um að umrædd nöfn hefðu verið sett á gátlista í kerfinu, hvorki fyrr né síðar.“

Einnig kemur fram að sendar hafi verið þrjár fyrirspurnir til skrifstofustjóra Amadeus Íslandi sem sér um rekstur Amadeus-tölvukerfisins hérlendis, en um ræðir alþjóðlegt tölvukerfi fyrir flugbókanir. Í svari við fyrstu fyrirspurninni kemur m.a. fram að gera megi ráð fyrir mjög takmörkuðum geymslutíma færslna í skráningu á aðgangi að kerfinu þar sem í gegnum það fari um 19.000 skipanir á sekúndu að jafnaði. Í svari við annarri fyrirspurninni er m.a. bent á að upplýsingatæknideild Icelandair verði að svara til um skráningu á uppflettingum sem fram fari hjá fyrirtækinu. Hins vegar verði alþjóðleg tölvudeild Amadeus beðin um að upplýsa um hvort slík skráning sé þar til staðar. Í svari við þriðju fyrirspurninni kemur loks fram að það hafi verið gert. Þá segir að alþjóðlega tölvudeildin hafi svarað svo til að upplýsingar um uppflettingar sé hægt að veita innan viku. Ekki sé hins vegar hægt að veita upplýsingar um uppflettingar yfir heilan dag heldur sé eingöngu unnt að veita svör varðandi aðgang innan þröngs tímaramma, s.s. á fimm mínútum.

 

Samkvæmt bréfi Lögreglunnar á Suðurnesjum var einnig kannað hvort til væru upplýsingar um uppflettingar í innritunarkerfi Icelandair (Altea DCCM) sem hún hefur aðgang að. Borist hafi þau svör frá upplýsingatæknideild Icelandair að uppflettingar í því kerfi séu ekki skráðar. Þá segir m.a.:

„Fyrirspurn var send á [F] hjá upplýsingatæknideild Icelandair og boðaði hann [G], aðstoðaryfirlögregluþjón almennrar deildar lögreglustjórans á Suðurnesjum og [H] kerfisstjóra embættisins á fund hjá upplýsingatæknideild embættisins, á fund hjá upplýsingatæknideild Icelandair á Reykjavíkurflugvelli fimmtudaginn 9. ágúst kl. 09:00.

 [I] sem starfar bæði á upplýsingatæknideild Icelandair og einnig hjá Amadeus Íslandi sem rekur bókunarkerfi fyrir Icelandair og ferðaskrifstofur á Íslandi, sat einnig fundinn. Á fundinum skýrðu [I] og [F] hvernig aðgangur lögreglu væri að Amadeus, svokallaður read only aðgangur, þrír fjölaðgangar fyrir lögreglumenn. Þeir sögðu að ekkert log væri til og ekkert væri loggað í kerfinu sjálfvirkt. Ef aðilar vildu fá log þá þyrfti að biðja um slíkt fyrirfram í schedule og þar fyrir ákveðið fyrirfram tímabil. Unnið væri að því að breyta aðgangi lögreglumanna í persónuaðgang.“

 Að auki segir að talað hafi verið við alla starfsmenn sem voru við vinnu á umræddum tíma og kannað hvort [D] hafi óskað upplýsinga úr aðgengilegum upplýsingakerfum eins og haldið hafi verið fram. Enginn umræddra starfsmanna hafi kannast við slíkt. Þá segir:

„Eins og sjá má af ofangreindum samskiptum, hefur embætti lögreglustjórans á Suðurnesjum reynt að upplýsa þetta mál eins og unnt er. Staðreyndin er sú að [D] hefur aldrei starfað í flugstöðvardeild og hefur ekki haft aðgang að þeim kerfum sem vitnað er til. Um er að ræða sérhæfðar uppflettingar sem starfsmenn í flugstöðvardeild eru eingöngu með aðgang að.

Það eru engar vísbendingar um að flett hafi verið upp í gátlistakerfi, eins og fram kemur hér að ofan, enda fundu sérfræðingar engin merki um að umrædd nöfn hefðu verið sett á gátlista í kerfinu, hvorki fyrr né síðar.“

Í niðurlagi bréfsins segir:

„Með vísan til ofangreinds, telur lögreglustjórinn á Suðurnesjum að embættið komist ekki lengra í upplýsingaöflun í máli þessu. Ef Persónuvernd telur þessi svör ófullnægjandi er vísað á embætti ríkislögreglustjóra, sem ber ábyrgð á öllum skrám sem nauðsynlegar eru í þágu löggæsluhagsmuna, sbr. i-lið 5. gr. lögreglulaga nr. 90/1996. Ekkert hefur komið fram er styður fullyrðingar bréfritara að neinu leyti.“

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um álitaefni um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

 

2.

Svo að vinna megi með persónuupplýsingar þarf ávallt að vera fullnægt einhverri af kröfum 8. gr. laga nr. 77/2000. Þegar um ræðir vinnslu persónuupplýsinga á vegum lögreglu í tengslum við störf hennar geta átt einkum átt við 3., 5. og 6. tölul. 1. mgr. þeirrar greinar, þess efnis að vinna megi með slíkar upplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds. Sé um að ræða viðkvæmar persónuupplýsingar, s.s. um grun um refsiverða háttsemi, sbr. b-lið 8. tölul. 2. gr. laga nr. 77/2000, þarf einnig að vera fullnægt einhverju viðbótarskilyrða 9. gr. sömu laga fyrir vinnslu slíkra upplýsinga. Ekki reynir á þau ákvæði í tengslum við þær upplýsingar sem kvartendur telja lögreglu hafa unnið með í tengslum við komu þeirra til landsins.

 

Auk þess sem vinnsla persónuupplýsinga þarf að eiga sér stoð í framangreindum heimildarákvæðum laga nr. 77/2000 verður hún ávallt að fullnægja öllum grunnkröfum 1. mgr. 7. gr. sömu laga, þ. á m. þeim að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skal vera í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

 

Ljóst er að uppfletting lögreglu á umræddum upplýsingum í þeim tilgangi að upplýsa um ferðir fólks í ómálefnalegum tilgangi gæti ekki samrýmst framangreindum ákvæðum, en auk þess gæti upplýsingagjöf brotið gegn m.a. þagnarskylduákvæði 22. gr. lögreglulaga nr. 90/1996. Af gögnum málsins verður hins vegar ekki ráðið að nein slík uppfletting eða upplýsingagjöf hafi átt sér stað. Liggur því ekki fyrir að Lögreglan á Suðurnesjum hafi unnið með umræddar upplýsingar um kvartendur á ólögmætan hátt.

 

 

Ú r s k u r ð a r o r ð:

Ekki liggur fyrir að hjá Lögreglunni á Suðurnesjum hafi verið unnið með upplýsingar um komu [A], [B] og [C] hingað til lands á ólögmætan hátt.