Kennitölunotkun í farþegaskipi

Persónuvernd vísar til tölvupósts yðar frá 21. júlí 2005. Þar segir:


"Mig langar að spyrjast fyrir um innritunarkerfi ms. [A].

Þegar far er tekið með ms. [A] er farþega gert að gefa upp nafn og kennitölu. Lítið er í sjálfu sér við það að athuga. Þó spurðist ég fyrir um það til Persónuverndar fyrir nokkru (símleiðis) og var sagt að það væri samkvæmt ákveðnum reglum, en þó ekki skylda. Til er að taka að erlendum ríkisborgurum er ekki gert að gefa upp þessar persónuupplýsingar.


Spurningar: 1. Ber farþega skylda til að gefa upp kennitölu? 2. Hversu lengi mega [B] (rekstraraðili [A]) geyma upplýsingar um ferðir einstaklinga í skrám sínum?


Greinargerð:
Um daginn var vinkona okkar hjóna á leið til [D] og þar sem hentugra var að við gengjum frá farmiða hennar, fórum við á afgreiðslu [A] í [D]. Þar sem við vorum ekki með kennitölu vinkonu okkar vorum við spurð hvort hún hefði ekki ferðast áður með [A] því ef svo væri þá væri nafn hennar að finna í skrám þeirra og afgreiðslustúlkan gæti hægast flett því upp.


Er engin hámarkstími á geymslu gagna af þessu tagi?"

Fyrri spurning yðar lítur að því hvort farþegum beri skylda til að gefa upp kennitölu. Persónuvernd lítur svo á að með því sé spurt hvort heimilt sé að synja fólki um að ferðast með [A] gefi það ekki upp kennitölu sína. Það veltur á því hvort kröfum 10. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga sé fullnægt. Þar er kveðið á um að notkun kennitölu sé heimil eigi hún sér málefnalegan tilgang og sé nauðsynleg til að tryggja örugga persónugreiningu. Við mat á því hvort krafa um kennitölu skipsfarþega fullnægi skilyrðum þessa ákvæðis ber að líta til þeirra ákvæða siglingalaga nr. 34/1985, þ.e. IV. kafla þeirra laga um flutning á farþegum og farangri, sem lúta að ábyrgð farsala, þ.e. viðkomandi skipafélags, á farþegum. Í 137. gr. laganna er kveðið á um að honum sé skylt að bæta tjón er hlýst af því að farþegi lætur lífið eða slasast meðan á ferð stendur ef tjónið má rekja til yfirsjónar eða vanrækslu farsala sjálfs eða einhvers manns sem hann ber ábyrgð á. Í ýmsum öðrum ákvæðum IV. kafla laganna er síðan kveðið nánar á um þessa ábyrgð. Sé ekki ljóst, hverjir hafi verið farþegar skips, sem manntjón hefur orðið á, er ljóst að þessum ákvæðum verður ekki beitt. Skráning á kennitölum farþega kann því að vera nauðsynleg til að persónugreining sé nægilega örugg til að framfylgja þessum reglum.


Síðari spurning yðar lýtur að því hversu lengi [B], en þau reka [A], megi geyma upplýsingar um ferðir einstaklinga í skrám sínum. Um það fer eftir 5. tölul. 1. mgr. 7. gr. laga nr. 77/2000 þar sem kveðið er á um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða aðila lengur en þörf krefur miðað við tilgang vinnslu. Í því felst að kennitölum og öðrum persónugreinandi auðkennum skal eytt þegar þeirra gerist ekki lengur þörf, sbr. og 1. mgr. 26. gr. laga nr. 77/2000 þar sem segir:

"Þegar ekki er lengur málefnaleg ástæða til að varðveita persónuupplýsingar skal ábyrgðaraðili eyða þeim. Málefnaleg ástæða til varðveislu upplýsinga getur m.a. byggst á fyrirmælum í lögum eða á því að ábyrgðaraðili vinni enn með upplýsingarnar í samræmi við upphaflegan tilgang með söfnun þeirra."

Samkvæmt þessu ber að eyða gögnum um hverjir hafi ferðast með tilteknu skipi þegar ekki er lengur nein lögmæt og málefnaleg ástæðu til að varðveita þau.

Var efnið hjálplegt? Nei