Heimild Icelandair til flutnings farþegaupplýsinga til bandarískra stjórnvalda, dags. 3. maí
Heimild til flutnings persónuupplýsinga úr landi,
sbr. 2. mgr. 30. gr. laga nr. 77/2000
I.
Umsókn Icelandair.
Forsaga málsins
Persónuvernd hefur borist umsókn Icelandair ehf. um leyfi til flutnings persónuupplýsinga úr landi. N.t.t er um að ræða flutning sk. PNR-upplýsinga („Passenger Name Record") um flugfarþega til bandarískra stjórnvalda. Í umsókninni segir að tilgangur flutningsins sé að tryggja öryggi flugfarþeganna.
1.
Kröfur bandarískra stjórnvalda um afhendingu farþegaupplýsinga.
Viðbrögð Evrópusambandsins og íslenskra stjórnvalda.
Í bandarískum lögum um öryggi í samgöngum frá 19. nóvember 2001 (Aviation and Transportation Security Act) er gerð krafa um afhendingu upplýsinga um farþega og áhafnir flugvéla sem fljúga til Bandaríkjanna. Upplýsingarnar á að skrá í gagnagrunn til notkunar í baráttu gegn hryðjuverkum og alvarlegum alþjóðlegum glæpum.
Í kjölfar þessarar lagasetningar vaknaði óvissa í Evrópu um lögmæti slíkrar upplýsingamiðlunar. Framkvæmdastjórn EB tók upp viðræður við bandarísk stjórnvöld í því skyni að tryggja að farið yrði með upplýsingarnar í samræmi við þær kröfur sem gerðar eru til verndar persónuupplýsinga í EB. Hinn 11. maí 2004 gaf tolla- og landamæraeftirlitið frá sér yfirlýsingu (sk. „Undertakings") um hvernig ætti að vernda upplýsingarnar, og á grundvelli þeirrar yfirlýsingar tók framkvæmdastjórnin ákvörðun (nr. 2004/535/EB), dags. 14. maí 2004, um að miðlun upplýsinganna til tolla- og landamæraeftirlits Bandaríkjanna, sem og eftirfarandi vinnsla þeirra þar, fullnægði kröfum tilskipunar nr. 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga.
Framkvæmdastjórnin byggði ákvörðun sína á 6. mgr. 25. gr. tilskipunar nr. 95/46/EB. Réttaráhrif slíkrar ákvörðunar eru þau að þriðja land telst tryggja nægilega vernd persónuupplýsinga í skilningi tilskipunarinnar og þarf þá ekki að uppfylla eitthvert þeirra skilyrða sem talin eru í 26. gr. sömu tilskipunar til þess að miðlunin teljist heimil.
Hinn 10. maí 2005 tilkynnti dómsmálaráðuneytið Persónuvernd um að íslensk stjórnvöld hefðu náð samkomulagi við Bandaríkin um að persónuupplýsingum sem miðlað yrði frá íslenskum flugfélögum yrði veitt sama vernd og kveðið væri á um í samningi EB og bandarískra stjórnvalda. Þá var ákvörðun nr. 2004/535/EB innleidd í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 104/2005.
Hinn 1. júní 2005 birti Persónuvernd auglýsingu nr. 638/2005 um flutning persónuupplýsinga úr landi.
2.
Dómur Evrópudómstólsins.
Viðbrögð Evrópusambandsins
Hinn 30. maí 2006 kvað Evrópudómstóllinn upp dóm í málum nr. C-317/04 og C-318/04. Dómurinn ógilti
Ákvörðun ráðs Evrópusambandsins um gerð samnings við Bandaríkin um vinnslu og miðlun upplýsinga frá flugfélögum til tolla- og landarmæraeftirlits Bandaríkjanna og ráðuneytis innanríkisöryggismála (ákvörðun nr. 2004/496/EB.)
Ákvörðun framkvæmdastjórnar Evrópubandalagsins um fullnægjandi vernd persónuupplýsinga í færslum í bókunarkerfum flugfélaga um einstaka flugfarþega sem miðlað er til tolla- og landamæraeftirlitsins (ákvörðun nr. 2004/535/EB.)
Talið var að umrædd miðlun farþegaupplýsinga til bandarískra stjórnvalda félli utan gildissviðs tilskipunar nr. 95/46/EB, en samkvæmt 2. mgr. 3. gr. hennar tekur hún ekki til starfsemi sem fellur utan gildissviðs EB, s.s. starfsemi sem kveðið er á um í V. og VI. bálki sáttmálans um Evrópusambandið, og alls ekki til vinnslu sem varðar almannaöryggi, landvarnir, öryggi ríkisins og starfsemi ríkisins á sviði refsilaga. Ákvörðun framkvæmdastjórnarinnar nr. 2004/535/EB var því ekki talin byggja á fullnægjandi lagastoð. Þá var ekki talið unnt að byggja ákvörðun ráðsins nr. 2004/496/EB á 95. gr. stofnsáttmála Evrópubandalagsins. Sú ákvörðun var því líka ógild. Með tilliti til þess að í samningi Evrópubandalagsins við bandarísk stjórnvöld var 90 daga uppsagnarfrestur héldust réttaráhrif ákvörðunar nr. 2004/535/EB til 30. september 2006.
Í kjölfar niðurstöðu Evrópudómstólsins veitti ráð Evrópusambandsins formennsku sambandsins umboð, hinn 27. júní 2006, til þess að hefja viðræður við bandarísk stjórnvöld um gerð nýs samkomulags um flutning farþegaupplýsinga til Bandaríkjanna. Bráðabirgðasamkomulag var undirritað hinn 16. október 2006 og staðfest með ákvörðun ráðsins sama dag. Í samningnum skuldbinda bandarísk stjórnvöld sig m.a. til þess að gera þær ráðstafanir sem kveðið er á um í yfirlýsingunni frá 11. maí 2007 og er ætlað að vernda persónuupplýsingar sem eru fluttar til þeirra á grundvelli samningsins. Samkvæmt 7. gr. samningsins gildir hann til 31. júlí 2007, verði honum ekki sagt upp eða hann framlengdur.
Í tengslum við samningsgerðina áttu sér stað bréfaskipti á milli bandaríska heimavarnarráðuneytisins og ráðsins, sem birt voru í Stjórnartíðindum Evrópusambandsins hinn 27. október 2006. Í bréfi bandaríska heimavarnarráðuneytisins, dags. 11. október 2006, kemur fram túlkun ráðuneytisins á tilteknum ákvæðum yfirlýsingarinnar frá 11. maí 2004.
3.
Áhrif dóms Evrópudómstólsins á Íslandi.
Viðbrögð íslenskra stjórnvalda.
Ógilding ákvörðunar nr. 2004/535/EB varðaði íslensk flugfélög með beinum hætti þar sem ákvörðunin var í raun sú lagastoð sem miðlun þeirra á upplýsingum til bandarískra stjórnvalda byggði á. N.tt. var byggt á 2. málsl. 2. mgr. 29. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, en ákvæði 2. mgr. 29. gr. er svohljóðandi:
„Ríki sem framfylgir tilskipun Evrópusambandsins 95/46/ESB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálst flæði slíkra upplýsinga telst [veita persónuupplýsingum fullnægjandi vernd.] Sama á við um lönd eða staði sem Persónuvernd auglýsir í Stjórnartíðindum að virtum ákvörðunum framkvæmdastjórnar Evrópubandalagsins."
Í 2. tölul. 2. gr. auglýsingar nr. 638/2005 um flutning persónuupplýsinga til annarra landa, var vísað til ákvörðunar nr. 2005/535/EB. Með ógildingu ákvörðunarinnar var því ljóst að íslensk flugfélög gætu ekki lengur byggt heimildir s ínar á 2. mgr. 29. gr. laga nr. 77/2000, heldur þyrfti að fullnægja einhverju skilyrða 1. mgr. 30. gr. sem kveður á um heimildir til flutnings persónuupplýsinga til þeirra landa sem ekki teljast veita upplýsingunum fullnægjandi vernd, eða óska eftir heimild Persónuverndar skv. 2. mgr. 30. gr., sem er svohljóðandi:
„Persónuvernd getur heimilað flutning upplýsinga til ríkis er greinir í 1. mgr. telji hún sérstök rök mæla með því, jafnvel þótt skilyrðum ákvæðisins sé ekki fullnægt. Í slíku tilviki skal m.a. taka tillit til eðlis upplýsinganna, fyrirhugaðs tilgangs vinnslunnar og hve lengi hún varir. Persónuvernd getur heimilað miðlun persónuupplýsinga til þriðju landa þótt þau hafi ekki verið talin veita friðhelgi borgaranna nægilega einkalífsvernd. Slíkt er háð því að ábyrgðaraðili hafi, að mati stofnunarinnar, veitt nægilegar tryggingar fyrir slíku. Getur stofnunin t.d. áskilið að ábyrgðaraðili hafi gert við viðtökuaðila skriflegan samning sem hafi að geyma tiltekin stöðluð samningsákvæði í samræmi við ákvörðun sem Persónuvernd hefur auglýst í Stjórnartíðindum, að teknu tilliti til ákvarðana framkvæmdastjórnar Evrópubandalagsins, sbr. 2. mgr. 29. gr. laga þessara. Að öðru leyti getur Persónuvernd sett nánari fyrirmæli um flutning persónuupplýsinga úr landi."
Á sameiginlegum fundi dómsmálaráðuneytisins, Persónuverndar og Icelandair hinn 9. ágúst 2006 var ákveðið að ráðuneytið skyldi leita eftir staðfestingu frá bandarískum stjórnvöldum um að sömu skilmálar og áður giltu um vernd persónuupplýsinga sem miðlað er frá Icelandair til bandarískra stjórnvalda. Hinn 11. ágúst 2006 upplýsti dómsmálaráðuneytið Persónuvernd um að þess hefði verið farið á leit við utanríkisráðuneytið að málið yrði tekið upp gagnvart bandarískum stjórnvöldum við fyrstu hentugleika.
Eftir að réttaráhrif ákvörðunar nr. 2004/535/EB féllu niður sótti Icelandair, með bréfi dags. 2. október 2006, um heimild til flutnings persónuupplýsinga úr landi. Með tölvubréfi, dags. 12. október 2006, tilkynnti Persónuvernd Icelandair hins vegar um að rétt væri að bíða með að afgreiða umsóknina á meðan ekki hefði fengist staðfesting frá bandarískum stjórnvöldum um hvernig farið yrði með persónuupplýsingar sem fluttar yrðu til þeirra frá Íslandi. Þá ákvað stjórn Persónuverndar, á fundi sínum hinn 30. nóvember 2006, að færa auglýsingu nr. 638/2005 um flutning persónuupplýsinga til annarra landa til samræmis við niðurstöðu Evrópudómstólsins og felldi því 2. tölul. 2. gr. auglýsingarinnar úr gildi. Breytingin var auglýst í B-deild Stjórnartíðinda hinn 18. desember 2006, sbr. auglýsing nr. 1041/2006.
Með bréfi, dags. 23. febrúar 2007, tilkynnti dómsmálaráðuneytið Persónuvernd um að með nótu bandaríska sendiráðsins á Íslandi, nr. 4/2007, hefði verið staðfest að sömu skuldbindingar væru enn í gildi gagnvart Íslandi og gagnvart Evrópusambandinu. Í nótu sendiráðsins segir að ákvæði yfirlýsingarinnar frá 11. maí 2004 og bréfs bandaríska heimavarnarráðuneytisins, sem birt var í Stjórnartíðindum Evrópusambandsins hinn 27. október 2006, muni taka til vinnslu upplýsinga um farþega og áhafnir flugvéla sem fljúga á milli Íslands og Bandaríkjanna. Því eru nú forsendur til þess að taka umsókn Icelandair til afgreiðslu.
II.
Upplýsingavinnslan
Í bráðabirgðasamkomulagi Evrópusambandsins og bandarískra stjórnvalda frá 16. október 2006, yfirlýsingu tolla- og landamæraeftirlitsins frá 11. maí 2004 og bréfi heimavarnarráðuneytisins sem birt var í Stjórnartíðindum Evrópusambandsins hinn 27. október 2006 er upplýsingavinnslunni lýst með eftirfarandi hætti:
Þær upplýsingar sem fluttar verða til bandarískra stjórnvalda eru tilgreindar í viðauka A við yfirlýsingu bandaríska tolla- og landamæraeftirlitsins frá 11. maí 2004, sbr. einnig bréf bandaríska heimavarnarráðuneytisins sem birt var í Stjórnartíðindum Evrópusambandsins hinn 27. október 2006. Um er að ræða upplýsingar úr bókunar- og/eða brottfararkerfum (e. Passenger Name Record - „PNR-upplýsingar.") Þar undir falla ýmsar upplýsingar sem farþegi veitir um sjálfan sig þegar hann bókar flug og upplýsingar sem flugfélög halda utan um. Það eru t.d. nöfn, símanúmer, heimilisföng, símanúmer og netföng, upplýsingar sem tengjast ferðalaginu (s.s. um dagsetningu ferðar, upphafs- og endastað, sætisnúmer og fjölda farangurs), upplýsingar um flugbókunina (s.s. um þá ferðaskrifstofu sem notuð var og greiðsluupplýsingar, þ.m.t. kreditkortanúmer), auk annarra upplýsinga sem t.d. er að finna í frjálsum textareitum.
Upplýsingarnar eru fluttar til tiltekinna stjórnvalda sem heyra undir bandaríska heimavarnarráðuneytið. N.tt. er um að ræða Tolla- og landamæraeftilitið (e. Bureau of Customs and Border Protection), Innflytjenda- og tollgæsluna (e. US Immigration and Customs Enforcement) og skrifstofu heimavarnarráðuneytisins. Þessi stjórnvöld hafa rafrænan aðgang að bókunar- og/eða brottfararkerfum flugfélaga og sækja þangað framangreindar upplýsingar, þar til komið hefur verið á kerfi sem gerir flugfélögunum sjálfum kleift að senda upplýsingarnar eftir beiðni.
Að meginstefnu er heimilt að sækja upplýsingarnar í fyrsta lagi 72 klst. fyrir brottför, en frá þessu má þó víkja í tilvikum þar sem vitað er að einstaklingar sem ástæða er til að ætla að stofni flugöryggi í hættu verði um borð. Heimilt er að kanna allt að þrisvar sinnum hvort breytingar hafi orðið á upplýsingum frá því að þær voru fyrst sóttar og fram að lendingu.
Upplýsingarnar eru varðveittar hjá stofnunum heimavarnarráðuneytisins í þrjú og hálft ár. Ef þær hafa ekki verið skoðaðar handvirkt á þeim tíma er þeim eytt, en hafi þær veri skoðaðar eru þær fluttar í skrá þar sem þær eru varðveittar í átta ár til viðbótar. Þær upplýsingar sem tengdar hafa verið tilteknu máli eru varðveittar þangað til upplýsingarnar eru færðar á skjalasafn.
Einnig er kveðið nánar á um notkun upplýsinganna, öryggi þeirra, afhendingu til annarra löggæslustofnana og réttindi hinna skráðu einstaklinga.
III.
Heimild og skilmálar
Mál þetta lýtur að því hvort flytja megi persónuupplýsingar til Bandaríkjanna. Það land telst ekki veita persónuupplýsingum þá vernd sem þeim er tryggð með ákvæðum tilskipunar 95/46/EB um vernd einstaklinga í tengslum við vinnslu persónuupplýsinga og um frjálsa miðlun slíkra upplýsinga, en sú tilskipun er sá grunnur sem lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga eru byggð á.
Samkvæmt 30. gr. laga nr. 77/2000 er flutningur persónuupplýsinga til ríkis sem ekki veitir fullnægjandi persónuupplýsingavernd óheimill, nema að uppfyllt sé eitthvert skilyrða 1. mgr. ákvæðisins, eða að fenginni heimild Persónuverndar. Eins og hér stendur á telur Persónuvernd ekkert þeirra skilyrða uppfyllt og ber því að líta til þess hvort sérstök rök mæli með því að heimila vinnslu þessa skv. 2. mgr. 30. gr. laganna og hvort veittar hafi verið nægilegar tryggingar fyrir vernd þeirra persónuupplýsinga sem fluttar verða til Bandaríkjanna.
Ljóst er að verði Icelandair ekki við kröfum bandarískra stjórnvalda um flutning persónuupplýsinga um farþega og áhafnir flugvéla til Bandaríkjanna á það á hættu að neitað um lendingarleyfi. Það getur haft víðtækar afleiðingar, ekki einungis fyrir flugfélagið sjálft heldur einnig fyrir hag almennings í landinu. Í ljósi þessa og þar sem nú liggur fyrir yfirlýsing bandaríska sendiráðsins um að ákvæði yfirlýsingarinnar frá 11. maí 2004 og bréfs bandaríska heimavarnarráðuneytisins, sem birt var í Stjórnartíðindum Evrópusambandsins hinn 27. október 2006, muni taka til vinnslu upplýsinga um farþega og áhafnir flugvéla sem fljúga á milli Íslands og Bandaríkjanna, telur Persónuvernd næg rök standa til þess að veita leyfi til flutnings umræddra persónuupplýsinga til Bandaríkjanna. Með vísan til 2. mgr. 30. gr. laga nr. 77/2000, sem og 3. mgr. 9. gr. sömu laga, hefur Persónuvernd því ákveðið að veita Icelandair umbeðna heimild til flutnings persónuupplýsinga úr landi.
Heimild þessi gildir til 31. júlí 2007, í samræmi við gildistíma samnings Evrópusambandsins og bandarískra stjórnvalda, og er bundið eftirfarandi skilyrðum:
1. Vinnsla og meðferð persónuupplýsinga um flugfarþega og áhafnir
Flutningur persónuupplýsinga um farþega og áhafnir flugvéla Icelandair til bandarískra stjórnvalda skal vera í samræmi við ákvæði samnings Evrópusambandsins og bandarískra stjórnvalda frá 16. október 2006, yfirlýsingarinnar frá 11. maí 2004 og bréf bandaríska heimavarnarráðuneytisins, sem birt var í Stjórnartíðindum Evrópusambandsins hinn 27. október 2006.
2. Fræðsluskylda gagnvart farþegum
Icelandair skal veita farþega sem kaupir flugmiða af félaginu fræðslu um upplýsingavinnsluna í samræmi við 20. og 21. gr. laga nr. 77/2000, eigi síðar en á þeirri stundu sem hann samþykkir að kaupa miðann.
Fræðslan sem veitt er skal vera í samræmi við leiðbeiningar sem fylgdu áliti 29. gr. starfshópsins nr. 2/2007, annars vegar í formi stuttrar tilkynningar til farþega, hins vegar í formi frekari upplýsinga.
Þegar flug er bókað símleiðis skal stutta tilkynningin lesin upp fyrir farþega. Óski hann frekari upplýsinga skal hann upplýstur um hvernig hægt er að nálgast þær.
Þegar flug er bókað á Netinu skal stutta tilkynningin birt með sjálfvirkum hætti sem heimtir að farþegi líti á hana, s.s. á þeirri vefsíðu þar sem fylltar eru út farþegaupplýsingar. Frekari upplýsingar skulu einnig birtar á heimasíðu félagsins og skulu vera jafn sýnilegar og aðgengilegar og almennir viðskiptaskilmálar félagsins.
Efni stuttu tilkynningarinnar skal fylgja staðfestingu á flugbókun.
3. Eftirlit Persónuverndar
Icelandair ehf. skal, eigi síðar en 1. júní nk., upplýsa Persónuvernd um hvernig skilyrði 2. gr. leyfis þessa hafi verið uppfyllt.
Icelandair ehf. ber að veita Persónuvernd, starfsmönnum og tilsjónarmönnum hennar allar umbeðnar upplýsingar um vinnslu persónuupplýsinga sé eftir því leitað í þágu eftirlits. Brot á ákvæði þessu getur varðað afturköllun á leyfinu.
Persónuvernd getur látið gera úttekt á því hvort fullnægt sé skilyrðum laga nr. 77/2000 og reglna sem settar eru samkvæmt þeim eða einstökum fyrirmælum. Getur Persónuvernd ákveðið að Icelandair ehf. skuli greiða þann kostnað sem af því hlýst. Persónuvernd getur einnig ákveðið að Icelandair ehf. greiði kostnað við úttekt á starfsemi, við undirbúning útgáfu vinnsluleyfis og annarrar afgreiðslu. Persónuvernd skal þá gæta þess að sá sérfræðingur, sem framkvæmir umrædda úttekt, undirriti yfirlýsingu um að hann lofi að gæta þagmælsku um það sem hann fær vitneskju um í starfsemi sinni og leynt ber að fara eftir lögum eða eðli máls. Brot á slíkri þagnarskyldu varðar refsingu samkvæmt 136. gr. almennra hegningarlaga. Þagnarskyldan helst þótt látið sé af starfi.
Virðingarfyllst
Sigrún Jóhannesdóttir
forstjóri