Álit Persónuverndar vegna drónanotkunar Landhelgisgæslunnar

Mál nr. 2018/2184

13.11.2019

Álit

 

Hinn 31. október 2019 samþykkti stjórn Persónuverndar svohljóðandi álit í máli nr. 2018/2184:

I.

Málsmeðferð

1.

Tildrög máls

Persónuvernd vísar til erindis Landhelgisgæslu Íslands (LHG), dags. 20. desember 2018, þar sem óskað er álits Persónuverndar vegna drónanotkunar LHG við fiskveiðieftirlit. Segir nánar tiltekið að LHG hafi í hyggju að leigja dróna í þeim tilgangi að athuga hversu vel þeir muni nýtast við fiskveiðieftirlit. Stefnt sé að því að fá þá sumarið 2019 og að þeir verði í notkun í u.þ.b. þrjá mánuði. Drónarnir geti tekið upp nákvæmar myndbandsupptökur, þannig að hægt sé að greina andlit, og framkvæmt radarmælingar. Þá geti drónarnir flogið upp í nokkurra kílómetra hæð. Tekið er fram að fiskveiðieftirlit sé eitt af lögbundnum hlutverkum LHG og að stofnuninni sé heimilt að gera þjónustusamninga um það verkefni. Drónarnir verði fengnir samkvæmt samkomulagi við EMSA (European Maritime Safety Agency) og gögnin sem þeir afli verði hýst hjá verktaka í Frakklandi. Verktakinn hafi eingöngu aðgang að gögnum varðandi tæknilegu hliðina á þeim og muni ekki geta notað gögnin eða deilt þeim. Þá segir að álitsbeiðandi telji notkun drónanna fela í sér rafræna vöktun og að hún þurfi því að uppfylla skilyrði reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Vísað er til þess að samkvæmt 10. gr. reglnanna hvíli sú skylda á ábyrgðaraðila að setja reglur og/eða veita fræðslu til þeirra sem henni sæta. Í kjölfarið eru eftirfarandi spurningar lagðar fyrir Persónuvernd:

„1. Hvernig ætti Landhelgisgæslan að sinna [þeirri] skyldu sinni að tilkynna sæfarendum um rafræna vöktun? Væri nóg að senda almenna tilkynningu út? Fjöldinn allur af skipum siglir innan íslenskrar lögsögu og mörg af þeim eru erlend.

2. Er fyrirhuguð meðferð þeirra upplýsinga sem drónarnir myndu afla (þ.e. að gögnin verða hýst í Frakklandi og einhver takmarkaður aðgangur verktaka að þeim) fullnægjandi í skilningi persónuverndarlaga?“

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar samkvæmt 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá. Hins vegar segir í 6. mgr. 4. gr. laga nr. 90/2018 að lögin og reglugerðin gildi ekki um vinnslu persónuupplýsinga af hálfu ríkisins í tengslum við það að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi.

Um vinnslu persónuupplýsinga hjá lögbærum yfirvöldum sem fram fer í löggæslutilgangi gilda hins vegar lög nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi. Lögbært yfirvald er skilgreint sem opinbert yfirvald sem ber ábyrgð á eða er falið það hlutverk að lögum að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi, sbr. 11. tölul. 2. gr. laga nr. 75/2019. Landhelgisgæsla Íslands telst til lögbærs yfirvalds samkvæmt sama ákvæði. Samkvæmt 1. gr. laga nr. 52/2006 um Landhelgisgæslu Íslands sinnir LHG öryggisgæslu og björgun á hafi úti og fer með löggæslu á hafinu. Verkefni LHG eru skilgreind nánar í 4. gr. þeirra laga og kemur þar meðal annars fram að LHG fari með öryggis- og löggæslu á hafinu, þ.m.t. fiskveiðieftirlit. Líkt og áður sagði fyrirhugar LHG að nota umrædda dróna við lögbundið fiskveiðieftirlit og telst sú vinnsla því fara fram í löggæslutilgangi.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 1. tölul. 2. gr. laga nr. 75/2019. Líkt og áður hefur komið fram er vísað til þess í fyrirliggjandi álitsbeiðni að umræddir drónar séu þannig úr garði gerðir að þeir geti tekið upp nákvæm myndbönd þar sem hægt sé að greina andlit. Því er ljóst að um persónuupplýsingar getur verið að ræða.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 2. tölul. 2. gr. laga nr. 75/2019. Í lögunum er hvergi fjallað um hugtakið rafræna vöktun, en í athugasemdum við 2. gr. í frumvarpi til laganna segir að ástæða þess sé að í frumvarpinu sé ekki gerður greinarmunur á þeirri vinnslu persónuupplýsinga sem fari fram með vöktunartækni og annarri tækni.

Lögbært yfirvald sem ákvarðar, eitt eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga er nefnt ábyrgðaraðili, sbr. 4. tölul. 2. gr. laga nr. 75/2019. Eins og hér háttar til telst Landhelgisgæsla Íslands vera ábyrgðaraðili að umræddri vinnslu.

Með vísan til framangreinds er ljóst að fyrirhuguð notkun dróna af hálfu LHG við fiskveiðieftirlit felur í sér vinnslu persónuupplýsinga hjá lögbæru yfirvaldi sem fram fer í löggæslutilgangi og fellur hún því undir gildissvið laga nr. 75/2019. Samkvæmt 30. gr. laga nr. 75/2019 annast Persónuvernd eftirlit með framkvæmd þeirra laga og á því erindið undir valdsvið Persónuverndar.

2.

Gagnsæi og fræðsla

Í fyrirspurninni er í fyrsta lagi leitað svara við því hvernig LHG skuli sinna fræðsluskyldu sinni þar sem stofnunin telur að notkun drónanna feli í sér rafræna vöktun samkvæmt reglum nr. 837/2006. Reglur nr. 837/2006 eru settar samkvæmt heimild í eldri persónuverndarlögum nr. 77/2000 og sækja nú stoð í 5. mgr. 14. gr. núgildandi laga nr. 90/2018. Líkt og áður sagði gilda lög nr. 90/2018 ekki um þá vinnslu sem hér er til skoðunar, heldur lög nr. 75/2019. Af því leiðir að 10. gr. reglna nr. 837/2006, um fræðslu- og upplýsingaskyldu ábyrgðaraðila, á ekki við um hina tilvitnuðu vöktun LHG.

Hins vegar er rétt að geta þess að samkvæmt 11. gr. reglugerðar nr. 322/2001, um meðferð persónuupplýsinga hjá lögreglu, segir að þegar löggæsla fer fram með rafrænni vöktun á almannafæri skuli með merki eða á annan áberandi hátt gera glögglega viðvart um þá vöktun. Reglugerðin var sett með stoð í eldri persónuverndarlögum nr. 77/2000 en heldur gildi sínu eftir gildistöku nýrra persónuverndarlaga nr. 90/2018, enda fari hún ekki í bága við lögin, sbr. II. ákvæði til bráðabirgða. Í 34. gr. laga nr. 75/2019 er jafnframt að finna heimild til handa ráðherra til að kveða nánar á um framkvæmd laganna með reglugerð. Í athugasemdum við ákvæðið í frumvarpi því sem varð að lögum nr. 75/2019 segir að í kjölfar gildistöku frumvarpsins verði ráðist í vinnu við að setja nýja reglugerð á grundvelli laganna sem eigi að leysa reglugerð nr. 322/2001 af hólmi. Hins vegar sé gert ráð fyrir því að ákvæði eldri reglugerðar muni halda gildi sínu fram að gildistöku nýrrar reglugerðar, þ.e. að því marki sem ákvæði hennar eiga sér áfram stoð í frumvarpinu. Við mat á fræðsluskyldu lögbærra yfirvalda samkvæmt framansögðu er því óhjákvæmilegt að líta til laga nr. 75/2019. Líkt og að framan greinir er hvergi fjallað um hugtakið rafræna vöktun í lögum nr. 75/2019 með beinum hætti og því er ekki að finna í þeim ákvæði um fræðsluskyldu ábyrgðaraðila við slíka vöktun, sambærilegt við 4. mgr. 14. gr. laga nr. 90/2018. Við mat á því hvort 11. gr. reglugerðar nr. 322/2001 eigi sér áfram stoð í lögum nr. 75/2019 er því nauðsynlegt að líta almennt til þess hvernig lögmæti vinnslu er metið samkvæmt lögunum.

Í 1. mgr. 4. gr. laganna er að finna lykilákvæði um þær meginreglur sem gilda um vinnslu persónuupplýsinga í löggæslutilgangi. Í a-lið ákvæðisins kemur fram að persónuupplýsingar skuli unnar með lögmætum og sanngjörnum hætti og að vinnslan sé lögbæru yfirvaldi nauðsynleg vegna verkefna í löggæslutilgangi. Ákvæðið gerir ekki ráð fyrir því berum orðum að vinnslan þurfi að vera gagnsæ, líkt og kveðið er á um í samsvarandi ákvæði í lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Í athugasemdum við ákvæðið í frumvarpi því sem varð að lögum nr. 75/2019 er fjallað um þann grundvallarmun, en þó vísað til þess að engu að síður sé í 26. lið formála löggæslutilskipunar Evrópuþingsins og ráðsins nr. 2016/680 tekið fram að hvers kyns vinnsla persónuupplýsinga verði að vera lögmæt, sanngjörn og gagnsæ. Í athugasemdunum segir í því sambandi að svo virðist sem því verði einnig að hafa hliðsjón af skilyrðinu um gagnsæi við túlkun sanngirnisreglunnar, allt eftir því sem við eigi. Þá segir:

„Í sama lið formálans er hugtakið sett í samhengi við rannsóknaraðgerðir sem í eðli sínu eru ógagnsæjar en þar segir að í sjálfu sér komi skilyrðið um gagnsæi ekki í veg fyrir að löggæsluyfirvöld sinni starfsemi á borð við rannsóknir með aðstoð flugumanna eða rafrænni vöktun. Slíka starfsemi má framkvæma í þeim tilgangi að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi, svo fremi að mælt sé fyrir um slíkt í lögum og að það teljist nauðsynleg og hófleg ráðstöfun í lýðræðisþjóðfélagi, að teknu tilhlýðilegu tilliti til lögmætra hagsmuna hlutaðeigandi einstaklings.“

Með vísan til framangreinds ákvæðis a-liðar 1. mgr. 4. gr. laga nr. 75/2019 má benda á að samkvæmt 1. gr. laga nr. 52/2006 um Landhelgisgæslu Íslands sinnir LHG öryggisgæslu og björgun á hafi úti og fer með löggæslu á hafinu, eins og áður kom fram. Verkefni LHG eru skilgreind nánar í 4. gr. þeirra laga og kemur þar meðal annars fram að LHG fari með öryggis- og löggæslu á hafinu, þ.m.t. fiskveiðieftirlit. Þá segir í 1. tölul. 1. mgr. 5. gr. laganna að LHG sé heimilt að gera þjónustusamninga um fiskveiðieftirlit. Samkvæmt framansögðu er mælt fyrir um eftirlitsheimildir LHG vegna fiskveiði í lögum.

Lög nr. 75/2019 gera ráð fyrir að það sé ekki algilt að lögbundin rannsóknaraðgerð framkvæmd með rafrænni vöktun þurfi að vera gagnsæ, og þar með fræðsluskyld, heldur falli það í hlut ábyrgðaraðila að meta það hverju sinni hvort hagsmunir hinna skráðu af því að njóta friðhelgi einkalífs vegi þyngra en mikilvægi þess að eftirlitið geti farið fram án vitneskju hinna skráðu. Telur Persónuvernd það því falla í hlut ábyrgðaraðila, þ.e. LHG, að meta það hvort fræðsla skuli fara fram með hliðsjón af framansögðu. Almennt sé unnt að ákvarða ábyrgðaraðilum ákveðið svigrúm við slíkt mat. Það mat getur þó sætt endurskoðun Persónuverndar, berist stofnuninni kvörtun vegna vinnslunnar.

LHG ber jafnframt ábyrgð á því að gæta þess að öðrum meginreglum laganna sé fylgt við vinnsluna, þ.e. að upplýsingarnar séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (b-liður 1. mgr. 4. gr. laga nr. 75/2019); að þær séu nægilegar, viðeigandi og ekki langt umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (c-liður sama ákvæðis); að þær séu áreiðanlegar og uppfærðar eftir þörfum en að persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, sé eytt eða þær leiðréttar án tafar (d-liður ákvæðisins); að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (e-liður ákvæðisins); og að þær séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinga sé tryggt (f-liður ákvæðisins). Ábyrgðaraðili ber ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt skilyrði 1. mgr. 4. gr. laganna og hann þarf að geta sýnt fram á það, sbr. 4. mgr. 4. gr. þeirra.

Þá skal áréttað að LHG ber einnig ábyrgð á því að önnur ákvæði laga nr. 75/2019 séu uppfyllt við fyrirhugaða vinnslu.

3.

Meðferð upplýsinga

Í erindi LHG er jafnframt leitað álits Persónuverndar á því hvort fyrirhuguð meðferð þeirra persónuupplýsinga, sem drónunum er ætlað að afla, samrýmist lögum nr. 90/2018. Fram kemur að gögnin verði hýst hjá verktaka í Frakklandi og að hann hafi eingöngu aðgang að gögnunum „varðandi tæknilegu hliðina á þeim“ og muni ekki geta notað gögnin eða deilt þeim.

Eins og áður segir gilda lög nr. 75/2019 að meginstefnu til um vinnslu LHG á persónuupplýsingum í tengslum við fiskveiðieftirlit. Verður því að meta lögmæti hýsingar gagnanna á grundvelli þeirra laga.

Samkvæmt lögunum er vinnsluaðili sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laganna. LHG er ábyrgðaraðili umræddrar vinnslu en hinn franski verktaki telst vinnsluaðili, samkvæmt framangreindu. Ábyrgðaraðili ber ábyrgð á því að öryggi upplýsinganna sé tryggt og hann þarf að geta sýnt fram á það. Í því sambandi ber ábyrgðaraðila að gera viðeigandi ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar, sem og réttindum hins skráða, til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur samkvæmt lögunum, sbr. 1. mgr. 18. gr. laganna. Þá skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis séu unnar þær persónuupplýsingar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni, sbr. 2. mgr. 19. gr. laganna.

Um vinnsluaðila er fjallað í 20. gr. laga nr. 75/2019. Þar segir að þegar öðrum er falin vinnsla persónuupplýsinga fyrir hönd ábyrgðaraðila skuli ábyrgðaraðili einungis leita til vinnsluaðila sem veiti nægilegar tryggingar fyrir því að þeir geri viðeigandi ráðstafanir til að vinnslan uppfylli kröfur laganna og að réttindi skráðra einstaklinga séu tryggð. Þá þarf að gera skriflegan vinnslusamning eða aðra réttargerð samkvæmt lögum sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum. Í slíkum samningi þarf meðal annars að tilgreina viðfangsefni og tímalengd vinnslunnar, eðli hennar og tilgang, tegund persónuupplýsinga og flokka skráðra einstaklinga, sem og skyldur og réttindi ábyrgðaraðilans. Nánar er fjallað um efni samningsins í 4. mgr. 20. gr. laganna.

Persónuvernd bendir jafnframt á að LHG ber að gæta að öðrum ákvæðum laga nr. 75/2019 við vinnsluna, svo sem 22. gr. (um skrár yfir vinnslustarfsemi), 23. gr. (um öryggi persónuupplýsinga og tilkynningar um öryggisbresti), 24. gr. (um aðgang að persónuupplýsingum) og 25. gr. (um aðgerðaskráningu). Þá þykir tilefni til að vísa sérstaklega til 26. gr. laganna sem fjallar um mat á áhrifum á persónuvernd. Samkvæmt ákvæðinu er sú skylda lögð á ábyrgðaraðila að láta fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst, ef líklegt er að vinnslan geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Á það einkum við ef nýrri tækni er beitt og með hliðsjón af eðli, umfangi, samhengi og tilgangi vinnslunnar. Nánar er fjallað um efni slíks mats í 2. mgr. 26. gr. laganna. Þá hefur Persónuvernd birt auglýsingu nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd, sbr. hér 4. mgr. 27. gr. laga nr. 75/2019.

Í Persónuvernd, 31. október 2019

 

Björg Thorarensen
formaður

 

 

Aðalsteinn Jónasson                 Ólafur Garðarsson

Vilhelmína Haraldsdóttir                     Þorvarður Kári Ólafsson