Úrskurður um fingrafaraskönnun á Keflavíkurflugvelli II
Úrskurður
Hinn 23. febrúar 2009 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2008/254:
I.
Bréfaskipti
1.
Erindi málshefjanda
Bréfaskipti í framhaldi af því
Persónuvernd vísar til fyrri bréfaskipta af tilefni kvörtunar M, dags. 16. mars 2008, yfir vinnslu fingrafaraupplýsinga vegna aðgangsstýringar á Keflavíkurflugvelli. Í kvörtuninni segir m.a.:
„Það hafa verið gefin út ný vegabréf (PASSAR) fyrir starfsfólk sem starfar á Keflavíkurflugvelli og í Leifsstöð. Þar er fólk krafið um 2 fingraför. Það eru teknar myndir af fingraförum á svipaðan máta og gert er þegar komið er til Bandaríkjanna. Þegar ég spurði hvað skeði ef ég neitaði að gefa fingraför var mér tjáð að ég fengi ekki passa og gæti þess vegna ekki stundað vinnu mína."
Með bréfi, dags. 9. apríl 2008, var Flugmálastjórn Íslands boðið að tjá sig um þessa kvörtun. Hún svaraði með bréfi, dags. 7. maí s.á. Þar segir:
„1. Í 70. gr. laga um loftferðir kemur fram að Flugmálastjórn Íslands skuli skilgreina svæði flugvalla með tilliti til flugverndar (1. mgr.) og að „flugmálayfirvöldum" sé heimilt að setja reglur um takmarkaðan aðgang starfsmanna (5. mgr.).
2. Í reglugerð nr. 361/2005 um flugvernd (kafla II og IV) eru ítarlegri reglur um haftasvæði flugverndar og takmarkanir starfsmanna inn á þau haftasvæði flugverndar.
3. Rg. 361/2005 innleiðir rg. (EC) nr. 2320/2002 og rg. (EC) 622/2003 – 2320 er svokölluð rammareglugerð en 622 innleiðingarreglugerð og er kafla- og greinaskipting sú sama í báðum reglugerðunum. Kafli 2.2 í þessum reglugerðum fjallar síðan ítarlega um kröfur sem gerðar eru til aðgangsheimilda starfsmanna inn á svæði – sjá nánar greinar 2.2.2 í þessum reglugerðum. Niðurstaðan er sú að hægt sé að auðkenna þannig að ekki fari á milli mála að það sé viðkomandi starfsmaður sem fer um hlið / hurð. Þegar ekki eru öryggisverðir við hlið / hurðar sem kanna aðgangsheimild viðkomandi starfsmanns er krafa um að rafrænt kerfi geti án vafa greint hvort um viðkomandi starfsmann sé að ræða eða ekki.
4. Flugmálastjórn á Keflavíkurflugvelli ákvað að taka í notkun fingrafaraskanna á hurðum / hliðum sem ekki eru mönnuð samhliða auðkennisspjaldi starfsmanna til að tryggja að um viðkomandi starfsmann sé að ræða – þ.e. þegar farið er um ómönnuð hlið / hurðar inn á haftasvæði flugverndar. Starfsmaður þarf að bera auðkennisspjaldið upp að rafrænu aðgangsstýringunni og láta kerfið nema fingrafar sitt til að fá aðgang (fingrafar + auðkennisspjald eru samtengd í kerfinu).
5. Ekki er verið að banna viðkomandi starfsmanni að stunda vinnu sína innan haftasvæðis flugverndar, en á grundvelli þess sem að framan greinir gæti viðkomandi starfsmaður misst aðgang að haftasvæðum flugverndar geti hann ekki með óyggjandi hætti og skv. þeim reglum sem Flugmálastjórn á Keflavíkurflugvelli hefur sett gert grein fyrir sér. Hafi hann ekki aðgang að svæðum þar sem hann stundar vinnu gæti það að sjálfsögðu skapað vandamál.
6. Aðgangsreglur fyrir Keflavíkurflugvöll hafa verið birtar sem ákvörðun Flugmálastjórnar Íslands nr. 12/2007.
7. Aðgangskerfið sem heldur utan um upplýsingar er vegna þeirra viðkvæmu upplýsinga sem þar er að finna algjörlega lokað og hefur enginn aðgang að kerfinu nema sérstaklega tilnefndir aðilar af hálfu öryggisdeildar Flugmálastjórnar á Keflavíkurflugvelli. Upplýsingar í aðgangskerfinu eru eingöngu nýttar innan kerfisins eða til þess að bera saman auðkennisspjöld starfsmanna og fingrafar og tryggja að viðkomandi starfsmaður fari um.
[?]
Aðgangsstýringarkerfið er í samræmi við kröfur laga og reglugerða sem gilda um haftasvæði flugverndar. Kerfið er lokað skv. kröfum flugverndar og getur á fullnægjandi hátt staðreynt að um viðkomandi starfsmann sé að ræða sem hafi aðgang að tilteknu haftasvæði flugverndar. Þegar sótt er um aðgangsheimild inn á haftasvæði flugverndar skulu starfsmenn skrifa undir að þeir hlíti þeim reglum sem gilda um aðgang að haftasvæðum flugverndar. Starfsmenn skulu einnig samþykkja að gerð sé bakgrunnsskoðun á þeim og að þeir sitji námskeið vegna flugverndar áður en þeir fá aðgangsheimild."
Með bréfi, dags. 30. maí 2008, ítrekuðu með bréfi, dags. 30. október s.á, veitti Persónuvernd M kost á að tjá sig um framangreint bréf Flugmálastjórnar Íslands. Hann svaraði með bréfi sem barst Persónuvernd hinn 14. nóvember 2008. Þar segir m.a.:
„Í lið 1 segir að „flugmálayfirvöldum" sé heimilt að setja reglur um takmarkaðan aðgang starfsmanna. Fram til þessa dags hafa verið takmarkanir á aðgangi að haftasvæðum. Menn hafa fengið skírteini frá Flugmálastjórn og þurft að fara í bakgrunnsskoðun, t.d. sakavottorð. Ekki hafi þurft að gefa fingraför fram til þessa, hvorki í Keflavík né á öðrum flugvöllum sem undirritaður hefur starfað á og eru þeir vellir margir um allan heim. Hvað er næst í þessum efnum, að gefa blóð eða þvagsýni??
[Í] [l]ið 4 stendur að Flugmálastjórn ákvað að taka í notkun fingrafaraskanna á hurðum og hliðum sem ekki eru mönnuð. Ekkert hefur bólað á neinum breytingum á hurðum sem ekki eru undir eftirliti. Maður hefði haldið að það hefði verið fyrsta skrefið að setja upp þessa skanna áður en fingraför hefðu verið tekin af starfsfólki. Það skal t.d. bent á það að aðgangsskírteini mitt var ekki útrunnið. Hversvegna var ég beðinn um að endurnýja það og gefa fingraför??
Lið[ur] 5. Ekki er verið að banna viðkomandi starfsmanni að stunda vinnu sína innan haftasvæðis. Mér var gert það ljóst að ég fengi ekki nýtt skírteini nema ég gæfi fingraför mín. Þar með kæmist ég ekki inn á svæðið og gæti ekki stundað vinnu mína.
Lið[ur] 6. Aðgangsreglur fyrir Keflavíkurflugvöll hafa verið birtar sem ákvörðun Flugmálastjórnar Íslands nr. 12/2007. Getur Flugmálastjórn ákveðið hvaða reglur sem er eða þurfa þeir engar lagalegar heimildir fyrir þeim ákvörðunum. Fingraför nú. Eins og ég sagði áður eru þvag, blóð eða einhver lífsýni næst??"
2.
Bréfaskipti varðandi hvaða upplýsingar
um fingraför unnið er með
Með bréfi Persónuverndar, dags. 30. október 2008, veitti hún Flugmálastjórn Íslands kost á frekari athugasemdum. Með tölvubréfi hinn 11. nóvember 2008 fór Flugmálastjórn Íslands fram á að frestur til svara yrði lengdur frá 12. s.m. til 1. desember s.á. Persónuvernd féllst á það með tölvubréfi og bréfi sem send voru samdægurs. Í bréfinu var þess óskað að upplýst yrði í hvaða formi fingraför væru varðveitt í tölvukerfi sem notað væri vegna aðgangsstýringar á Keflavíkurflugvelli. Þess var sérstaklega óskað að fram kæmi hvort upplýsingar um fingraför mætti nota til að framkalla heildstæða mynd af fingraförum viðkomandi einstaklinga.
Ekki barst svar innan framangreinds frests og ítrekaði Persónuvernd erindi sitt til Flugmálastjórnar Íslands með símtali hinn 17. desember 2008. Samdægurs barst tölvubréf frá Flugmálastjórn Íslands þar sem segir m.a.:
„Varðandi fingraförin, þá er ljóst að þessi fingraför eru geymd í lokuðu kerfi og eru eingöngu notuð til að auðkenna viðkomandi starfsmann þegar hann gengur um dyr sem liggja inn á haftasvæði flugverndar. Skiptir engu máli hvaða fingur er notaður en það er ágætt að menn hafi fast verklag við vinnu. Það hefur enginn aðgang að þessu kerfi og ekki er hægt að misnota fingrafar sem skannað er inn í þetta kerfi en eins og áður segir er það eingöngu til að auðkenna viðkomandi einstakling í aðgangskerfi flugvallarins. Krafa um auðkenni starfsmanna, rafræn eða mannleg, sem fara inn á haftasvæði er að finna í gr. 2.2.1.1 rg. (EC) nr. 622/2003 sem innleidd var með rg. 361/2005 um flugvernd. Í 1. mgr. 70. gr. loftferðalaga segir jafnframt:
[„]Flugmálastjórn er heimilt að takmarka aðgang að flugvöllum og flugvallarsvæðum, umferð um þau og dvöl loftfara á þeim, svo og að banna umgengni eða dvöl á slíkum svæðum ef hún telur það nauðsynlegt vegna öryggis.["]
Einungis þeir aðilar sem formlega hafa verið tilkynntir til Flugmálastjórnar Íslands og viðurkenndir af stofnuninni hafa aðgangsheimild að kerfinu, það eru 3 tilnefndir menn frá Flugmálastjórn Keflavíkurflugvelli (FMK). Þess ber jafnframt að geta að Flugmálastjórn Íslands (FMS) hefur eftirlit með því að starfsemi hjá FMK sé í samræmi við lög og reglur á hverjum tíma, þ.m.t. eftirlit með aðgangsstýringarkerfinu og utanumhald með því og útgefnum aðgangsheimildum inn á flugvöllinn. Til viðbótar sætir FMS og FMK eftirliti af hálfu Eftirlitsstofnunar EFTA (ESA og Alþjóðaflugmálastofnunarinnar (ICAO)) vegna flugverndar. Eftirlit þessara aðila tekur einnig til aðgangsstýringar inn á flugvöll, utanumhalds með aðgangsheimildum og útgáfu þeirra. Eftirlit sem FMK sætir ætti að vera nægjanlegt til að tryggja að ekki sé farið út fyrir þær kröfur sem flugvellinum ber að vinna eftir né að misnotkun á upplýsingum eigi sér stað. Þess má geta að reglugerðir um flugvernd gera ríkar kröfur til trúnaðar, hæfis, þjálfunar og bakgrunns einstaklinga sem viðurkenndir eru sem flugverndarfulltrúar."
Sama dag og Persónuvernd barst framangreint tölvubréf minnti hún Flugmálastjórn Íslands á það með tölvubréfi að því hefði ekki verið svarað hvort í umræddu tölvukerfi væru varðveittar það ítarlegar upplýsingar um fingraför að unnt væri að nota þær til að framkalla heildstæða mynd af fingraförum. Hinn 18. desember 2008 barst Persónuvernd svar þar sem segir að svo virðist sem ekki sé hægt að sækja myndir af fingraförum sem upplýsingar eru vistaðar um í umræddu tölvukerfi. Tæknimaður telji sig ekki geta fundið út í hvaða tölvuskrá þau væru varðveitt.
Persónuvernd taldi þörf skýrari svara og óskaði þeirra með bréfi til Flugmálastjórnar Íslands, dags. 18. desember 2008. Svarað var með bréfi, dags. 30. s.m. Þar segir:
„Samkvæmt þeim upplýsingum sem Flugmálastjórn Íslands hefur fengið frá Flugmálastjórn Keflavíkurflugvallar, er ekki hægt að nálgast mynd eða upplýsingar um það í hvaða formi fingraförin eru geymd og vísar undirrituð í tölvupóst þess efnis frá 18. desember 2008. Aðgangsstýringarkerfi sem stýra aðgangi inn á haftasvæði flugverndar eru eðli sínu samkvæmt þannig uppbyggð að ekki sé hægt að sækja persónulegar upplýsingar í (aðgangsstýringar)kerfin sem misnota má í ólögmætum tilgangi.
Óski Persónuvernd eftir frekari upplýsingum um það hvernig umrætt aðgangsstýringarkerfi geymir upplýsingar um fingraför, vísar undirrituð yður á að hafa samband við rekstrar- og ábyrgðaraðila kerfisins, sem er Flugmálastjórn Keflavíkurflugvallar eða Keflavíkurflugvöllur ohf. eftir 1. janúar 2009."
Í ljósi framangreinds óskaði Persónuvernd þess með bréfi til Keflavíkurflugvallar ohf. að hann upplýsti um í hvaða formi upplýsingar um fingraför væru varðveittar. Í niðurlagi bréfsins var þess nánar tiltekið óskað að fram kæmi hvort sú upplýsingavinnsla, sem hér um ræðir, fælist í söfnun og samanburði fingrafara eða hvort punktar væru t.d. lesnir úr fingrafari einstaklings, þeim umbreytt í talnarunu eftir ákveðinni reiknireglu og talnarunan tengd við kennitölu einstaklingsins í gagnagnarunni.
Keflavíkurflugvöllur ohf. svaraði með bréfi, dags. 13. janúar 2009. Þar segir m.a.:
„Keflavíkurflugvöllur o.h.f. er með starfsleyfi til reksturs Keflavíkurflugvallar útgefið af Flugmálastjórn Íslands. Sem rekstraraðili flugvallarins ber félagið ábyrgð á að reksturinn sé í samræmi við lög og reglur þar um. Einn hluti þessara kvaða er framkvæmd flugverndar og þ.m.t. eftirlit með aðgangi inn á haftasvæði flugvallarins. Til að tryggja að réttur einstaklingur með útgefna aðgangsheimild fari um gátstöðvar á haftasvæðunum var umrætt kerfi tekið í notkun. [?]
Við útgáfu aðgangsskírteinis er fingrafar viðkomandi af vísitöng og löngutöng hægri handar skráð inn í kerfið. Fingrafar viðkomandi er síðan borið saman við aðgangsheimild viðkomandi þegar hann ferðast um einhverja af gátstöðvunum á flugvellinum.
Við vinnslu fingrafara í kerfinu eru þau vistuð sem talnaruna eftir ákveðinni reikningskúnst (RC4 encryption) og ekki á neinn hátt [unnt] að kalla eftir heildstæðri mynd af fingraförum viðkomandi til samanburðar. Má því segja að vistun og notkun fingrafaranna sé efnislega samhljóða þeirri lýsingu sem fram kemur í síðustu spurningunni í bréfi yðar.
Nánar tiltekið er aðgangsstjórnunarkerfið frá fyrirtæki sem heitir „Cemcys Tyco" og er af gerðinni „AC2000, Biometric Enrolment". Var kerfið tekið í notkun þann 15. október 2007."
II.
Niðurstaða
1.
Gildissvið
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Ábyrgðaraðilar að vinnslu persónuupplýsinga
Hinn 1. janúar 2009 tóku gildi lög nr. 76/2008 um stofnun opinbers hlutafélags um rekstur Keflavíkurflugvallar o.fl. Í 4. gr. þeirra laga kemur fram að frá síðustu áramótum er það hlutverk og tilgangur Keflavíkurflugvallar ohf., sem þá tók við af Flugmálastjórn Keflavíkurflugvallar (sbr. lög nr. 36/2006 sem lög nr. 76/2008 felldu úr gildi), að annast rekstur, viðhald og uppbyggingu flugvallarins.
Samkvæmt 4. tölul. 2. gr. laga nr. 77/2000 telst sá vera ábyrgðaraðili að vinnslu persónuupplýsinga sem ákveður tilgang vinnslunnar, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Í ljósi framangreinds hlutverks Keflavíkurflugvallar ohf. verður hann að teljast ábyrgðaraðili að umræddri vinnslu persónuupplýsinga. Sú vinnsla fer fram til að fara að ákvörðun Flugmálastjórnar Íslands nr. 12/2007 sem hefur að geyma aðgangsreglur fyrir Keflavíkurflugvöll. Í ljósi þess, sem og þeirra bréfaskipta, sem átt hafa sér stað við Flugmálastjórn Íslands, telur Persónuvernd hana einnig vera ábyrgðaraðila að umræddri vinnslu.
3.
Lögmæti, meðalhóf og öryggi
Svo að vinnsla persónuupplýsinga sé heimil þarf ávallt að vera fullnægt einhverju skilyrðanna í 8. gr. laga nr. 77/2000. Að auki verður að vera fullnægt öllum kröfum 7. gr. sömu laga um m.a. sanngirni og meðalhóf við vinnslu persónuupplýsinga, þ. á m. að við vinnslu persónuupplýsinga skuli þess gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslu (3. tölul.); og að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Sé um að ræða viðkvæmar persónuupplýsingar, s.s. um heilsuhagi, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000, nægir ekki að heimild sé til vinnslunnar í 8. gr. laga nr. 77/2000 heldur þarf einnig að vera heimild til vinnslunnar í 9. gr. sömu laga. Upplýsingar um fingraför geta verið viðkvæmar, en það getur m.a. birst í fingraförum hvort viðkomandi einstaklingur sé með hvítblæði. Fyrir liggur hins vegar að þær upplýsingar, sem skráðar eru um fingraför vegna aðgangsstýringar á Keflavíkurflugvelli, duga ekki til þess að búa til heildstæða mynd af fingraförum. Með öðrum orðum, þá eru aðeins lesnir tilteknir punktar úr fingraförum einstaklings, þeim umbreytt í talnarunu eftir ákveðinni reiknireglu og talnarunan tengd við kennitölu einstaklingsins í því tölvukerfi sem notað er til aðgangsstýringar. Í ljósi þess telur Persónuvernd ekki um ræða viðkvæmar persónuupplýsingar. Ætla má að öflun slíkra upplýsinga í umræddu skyni myndi orka tvímælis.
Í reglugerð nr. 125/2006 um innleiðingu reglugerða á sviði flugverndar, sbr. reglugerð framkvæmdastjórnar EB nr. 1138/2004 um sameiginlega skilgreiningu á viðkvæmustu hlutum haftasvæða flugverndar á flugvöllum, sbr. og 70. og 145. gr. laga nr. 60/1998 um loftferðir, hvílir sú skylda á Flugmálastjórn Íslands og Keflavíkurflugvelli ohf. að hafa eftirlit með aðgangi að tilteknum svæðum á flugvellinum. Samkvæmt 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er heimilt að vinna með persónuupplýsingar sé vinnslan nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Samkvæmt 6. tölul. sömu málsgreinar er vinnsla auk þess heimil sé hún nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður, sem upplýsingum er miðlað til, fer með.
Persónuvernd telur, í ljósi ákvæða reglugerðar nr. 125/2006, að framangreind ákvæði 8. gr. laga nr. 77/2000 veiti heimild til vinnslu persónuupplýsinga sem nauðsynleg er til að fara að kröfum um aðgangseftirlit og takmarkanir á aðgangi að flugvallarsvæðum. Slík vinnsla, þ. á m. vinnsla upplýsinga um fingraför starfsmanna Keflavíkurflugvallar ohf. og flugfélaga, verður hins vegar að samrýmast áðurnefndum kröfum 7. gr. laga nr. 77/2000. Þegar litið er til þess sem fyrr greinir um að ekki séu skráðar það ítarlegar upplýsingar að þær megi nýta til að búa til heildstæða mynd af fingraförum verður ekki séð að brotið sé gegn þessum kröfum. Í ljósi þess og alls framangreinds telur Persónuvernd umrædda vinnslu fingrafaraupplýsinga samrýmast lögum.
Hins vegar skal tekið fram að í ljósi framangreindra ákvæða 7. gr. laga nr. 77/2000 verður að eyða fingrafaraupplýsingum einstaklings úr umræddu tölvukerfi þegar ekki er lengur þörf á að varðveita þær vegna aðgangsstýringar. Í ljósi sömu ákvæða ber heldur ekki að afhenda óviðkomandi upplýsingarnar, t.d. lögreglu, sbr. þó 135. gr. laga nr. 88/2008 um meðferð sakamála þar fram sem kemur að hún getur krafist úrskurðar dómara um afhendingu tiltekinna gagna. Þar sem í umræddu tölvukerfi eru ekki varðveittar heildstæðar upplýsingar um fingraför má hins vegar telja ólíklegt að lögregla óski úrskurðar um afhendinga fingrafaraupplýsinga úr kerfinu. Þá verður ráðið af gögnum málsins að örðugt sé að sækja þær upplýsingar sem skráðar eru í tölvukerfið um fingraför.
Ú r s k u r ð a r o r ð:
Vinnsla upplýsinga um fingraför starfsmanna Keflavíkurflugvallar ohf. og flugfélaga, í því skyni að viðhafa eftirlit með aðgangi að svæðum innan flugvallarins, sem ekki eru opin öðrum, samrýmist lögum. Eyða ber upplýsingum þegar ekki er lengur þörf á að varðveita þær vegna aðgangsstýringar og óviðkomandi skal ekki veittur aðgangur að þeim.