Úrlausnir

Móttaka lögreglu á upplýsingum í gegnum Facebook

Mál nr. 2020082122

15.3.2021

Persónuvernd hefur komist að þeirri niðurstöðu að vinnsla lögreglustjórans á höfuðborgarsvæðinu hafi ekki samrýmst lögum um vinnslu persónuupplýsinga í löggæslutilgangi.

Í tilefni af fréttaflutningi um að embætti lögreglustjórans á höfuðborgarsvæðinu hafi óskað eftir upplýsingum og ábendingum um ætluð refsiverð brot í gegnum samfélagsmiðilinn Facebook ákvað Persónuvernd að hefja frumkvæðisathugun á því hvort slík vinnsla samrýmdist lögum nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi. Eins og framan greinir var það niðurstaða Persónuverndar að vinnsla lögreglustjórans á höfuðborgarsvæðinu á persónuupplýsingum, þar sem óskað var eftir upplýsingum og ábendingum frá almenningi, í gegnum einkaskilaboð á Facebook, vegna atvika sem kunnu að varða við lög og/eða vörðuðu tiltekna einstaklinga sem birt var mynd af, hafi ekki samrýmst lögum nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi.

Ákvörðun


Hinn 10. mars 2021 kvað stjórn Persónuverndar upp svohljóðandi ákvörðun í máli nr. 2020082122:

I.

 

Málsmeðferð

Í tilefni af fréttaflutningi um að embætti lögreglustjórans á höfuðborgarsvæðinu óski eftir upplýsingum og ábendingum í gegnum samfélagsmiðilinn Facebook ákvað Persónuvernd að hefja athugun á því hvort slík vinnsla samrýmdist lögum nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi.

Með bréfi, dags. 3. september 2020, var lögreglustjóranum á höfuðborgarsvæðinu tilkynnt um að hafin hefði verið frumkvæðisathugun og óskað svara vegna málsins, auk þess sem veittur var kostur á að koma á framfæri skýringum. Sérstaklaga var farið fram á svör um eftirfarandi atriði:

  1. Hvers konar persónuupplýsingar hafa verið mótteknar í gegnum Facebook og í hvaða tilgangi. Að því gefnu að um slíkt hefði verið að ræða óskaði Persónuvernd einnig eftir rafrænu afriti af þeim hluta vinnsluskrár embættisins er lýtur að umræddri vinnslu.
  2. Hvort persónuupplýsingar fara út fyrir EES-svæðið og ef svo er á grundvelli hvaða lagaákvæða svo er.
  3. Hvernig öryggis persónuupplýsinga er gætt við vinnsluna, sbr. 23. gr. laga nr. 75/2019, sérstaklega hvaða ráðstafana hefur verið gripið til svo að persónuupplýsingar komist ekki í hendur óviðkomandi aðila.
  4. Hvort farið hefur fram mat á áhrifum á persónuvernd vegna vinnslunnar, sbr. 26. gr. laga nr. 75/2019. Að því gefnu að svo væri óskaði Persónuvernd eftir afriti af slíku mati.
  5. Afstöðu embættisins til þess hvernig vinnslan samrýmist 4. gr. laga nr. 75/2019.
  6. Hvert mat lögreglustjórans á höfuðborgarsvæðinu er á því hvort embættið teljist ábyrgðaraðili, vegna móttöku persónuupplýsinga í gegnum Facebook, sbr. 4. tölul. 2. gr. laga nr. 75/2019, sbr. eftir atvikum 6. tölul. 3. gr. laga nr. 90/2018, eða vinnsluaðili, sbr. 5. tölul. 2. gr. laga nr. 75/2019, sbr. eftir atvikum 7. tölul. 3. gr. laga nr. 90/2018.
  7. Hvort gerður hefur verið vinnslusamningur við Facebook vegna umræddrar vinnslu. Að því gefnu að það hefði verið gert var óskað eftir afriti af þeim samningi eða eftir atvikum samkomulagi sameiginlegra ábyrgðaraðila, sbr. 2. mgr. 18. gr. laga nr. 75/2019.

Svör bárust með tölvupósti þann 2. nóvember 2020. Þar kemur fram að embætti lögreglustjórans á höfuðborgarsvæðinu hafi verið með aðgang að Facebook frá árinu 2010. Hlutverk lögreglu samkvæmt 1. gr. lögreglulaga nr. 90/1996 sé m.a. að gæta almannaöryggis, halda uppi lögum og reglu, greiða götu borgaranna eftir því sem við á og aðstoða þegar hætta steðjar að. Tilgangurinn með notkun á Facebook sem samskiptamiðli sé fyrst og fremst að auðvelda samskipti við almenning, bæta og auka þjónustu við notendur og einnig svara kalli nútímans um breyttar og fjölbreyttari samskiptaleiðir með því að fjölga þeim leiðum sem eru í boði.

Vísað er til þess að samskiptin séu margvísleg en snúi fyrst og fremst að því að þjónusta hinn almenna borgara sem geti sent fyrirspurnir og fengið svör í rauntíma. Breiður hópur fólks kjósi að nota samfélagsmiðilinn frekar en að hringja símtal á skrifstofutíma, embættið sé með valinn hóp starfsfólks, að meðaltali 5-10 manns, sem sinni afgreiðslu erinda sem berist gegnum miðilinn.

Fram kemur að embættið veiti ekki persónugreinanlegar upplýsingar til aðila í gegnum samskiptamiðilinn og safni þessum upplýsingum ekki saman. Það séu notendurnir sjálfir sem gefi upplýsingar um sig, kjósi þeir það, og í flestum tilfellum sé um ópersónugreinanlegar upplýsingar, ábendingar eða spurningar að ræða, t.a.m. spurningar um hvenær megi setja nagladekk undir bifreiðar eða hvenær verði að taka þau undan bifreiðum til að koma í veg fyrir sektir, áhyggjur íbúa af hraðakstri á tilteknum götum eða í hverfum höfuðborgarsvæðisins og áhyggjur af grunsamlegum mannaferðum eða munum á víðavangi. Slíkum tilkynningum sé svarað með almennum leiðbeiningum. Óski aðilar eftir persónuupplýsingum sé slíkum beiðnum undantekningarlaust synjað og viðkomandi vísað á lögreglustöð þar sem hægt sé að ræða við aðila með formlegum hætti, enda slíkum upplýsingum ekki miðlað í gegnum Facebook. Gefi aðilar upp persónuupplýsingar sé farið með þær sem slíkar og gætt að almennum reglum persónuverndarlaga og þagnarskylduákvæða laga sem starfsfólk lögreglu er bundið af. Upplýsingum sé eftir atvikum komið áleiðis til annarra starfsmanna eftir því sem við á og ef ástæða er til. Í þeim tilvikum sem viðmælandi óskar eftir því að samskiptum við sig verði eytt sé það gert.

Fram kemur að lögreglan hafi í einhverjum tilfellum óskað eftir upplýsingum frá borgurum. Þá sé beðið um að haft sé samband við 112 eða í gegnum síma embættisins. Komið hafi fyrir að óskað hafi verið eftir ábendingum í gegnum Facebook. Vísað er til þess að þegar óskað sé eftir upplýsingum af lögreglu sé mjög algengt að þær berist með þeim hætti þó svo að ekki hafi verið beðið um það. Slíkar ábendingar hafi í mörgum tilfellum ekki að geyma haldbærar eða persónugreinanlegar upplýsingar og varði oft ekki raunverulega einstaklinga. Þegar einstaklingur veitir upplýsingar í gegnum Facebook sé reynt að afgreiða erindið með viðkomandi eða leiðbeina honum um að koma upplýsingum til lögreglunnar með formlegum hætti, þ.e. með símtali, tölvupósti, gegnum tilkynningagátt eða í gegnum heimasíðu lögreglunnar ef við á.

Einnig er vísað til þess að einstaklingar í bráðri hættu hafi náð að gera vart við sig í gegnum Facebook, þar sem þeir hafi ekki haft aðgang að símakorti, aðeins nettengingu. Aðilar sem hafi verið í felum á vettvangi heimilisofbeldis, talið brýna hættu steðja að sér eða haft áhyggjur af öðrum hafi náð sambandi við lögreglu á Facebook til að fá aðstoð. Umræddir einstaklingar hafi ekki náð til lögreglu eftir öðrum leiðum. Fólk í sjálfsvígshættu hafi einnig náð til lögreglu eftir þessari leið og hafi lögregla náð að bregðast við í tæka tíð fyrir þessa einstaklinga.

Hvað varðar spurningu tvö hafi embættið litið svo á að notandi sem veiti lögreglu upplýsingar um t.d. sjálfan sig í gegnum Facebook beri ábyrgð á þeim upplýsingum sem hann veitir, gerir opinberar eða deilir með lögreglunni og/eða miðlinum. Facebook sé ekki vettvangur fyrir formleg erindi en þó útiloki lögreglan ekki að taka atvik til skoðunar þegar persónuupplýsingar berast, t.d. ef brýn hætta steðjar að einstaklingi og hann getur ekki nálgast lögregluna eftir öðrum leiðum. Tilkynningar frá þriðja aðila um aðila í hættu séu einnig teknar alvarlega. Eins og að framan greini miðli lögregla ekki persónugreinanlegum upplýsingum nema í þeim tilvikum þar sem brýna nauðsyn ber til og þá að teknu tilliti til almennra reglna um vinnslu persónuupplýsinga.

Tekið er fram að á Facbook-síðu lögreglu sé í upplýsingaflipa upplýst um hvað eigi ekki heima á síðunni. Textinn sé eftirfarandi:

„HVAÐ Á EKKI HEIMA Á ÞESSARI SÍÐU?

Vinsamlegast athugið að Facebook er ekki rétti staðurinn til að setja inn upplýsingar um tiltekin brot, tiltekin mál, grunsemdir um afbrot eða brotamenn eða kvartanir, til dæmis kvartanir um störf tiltekinna starfsmanna lögreglu.

Síðuna má ekki nota sem tilkynningasíðu um tapað/fundið eða stolna muni.

Slíkum hlutum er rétt að koma á framfæri við lögreglu í gegnum síma, með bréfi eða tölvupósti eða með því að mæta á lögreglustöð á þínu svæði eða sveitarfélagi. Hér eru upplýsingar um það hvernig best er að ná sambandi við lögregluna á höfuðborgarsvæðinu eftir tilefni hverju sinni.“

Vísað er til þess að vinnsla persónuupplýsinga í löggæslutilgangi fari að öðru leyti fram í málaskrárkerfi lögreglunnar, skv. heimild í III. kafla laga nr. 75/2019.

Hvað varðar þriðju spurninguna er vísað til þess að hlutverk lögreglu samkvæmt 1. gr. lögreglulaga nr. 90/1996 sé m.a. að gæta almannaöryggis, halda uppi lögum og reglu, greiða götu borgaranna eftir því sem við á og aðstoða þegar hætta steðjar að. Til samræmis við hlutverk lögreglu hafi embættið lagt áherslu á að svara öllum og sinna eftir bestu getu þeim er hafa samband við lögreglu í gegnum Facebook. Lögregla og starfslið hennar sé bundið þagnarskyldu skv. X. kafla stjórnsýslulaga og gætt sé að þeirri skyldu í afgreiðslum sem fara í gegnum Facebook. Við innskráningu notenda Facebook hjá embættinu séu alltaf notaðir tveir öryggisþættir þannig að auðkenning fari fram með lykilorði og einnig í gegnum síma og geti enginn skráð sig inn á svæði sitt nema með slíkri tveggja þátta auðkenningu. Embættið telji að með þeim öryggisráðstöfunum séu uppfyllt ákvæði 23. gr. laga nr. 75/2019, að teknu tilliti til áhættu fyrir frelsi þeirra sem kjósa að hafa samskipti við lögreglu með þessum hætti.

Hvað varðar fjórðu spurninguna er vísað til þess að samkvæmt 26. gr. laga nr. 75/2019 og 29. gr. laga nr. 90/2018 skal fara fram mat á áhrifum fyrirhugaðra vinnsluaðgerða á vernd persónuupplýsinga áður en vinnslan hefst ef líklegt er að tiltekin tegund vinnslu geti haft í för með sér mikla áhættu fyrir réttindi og frelsi einstaklinga. Einnig er vísað til þess að Persónuvernd hefur gefið út auglýsingu nr. 828/2019 um skrá yfir vinnsluaðgerðir sem krefjast ávallt mats á áhrifum á persónuvernd, svo og leiðbeiningar um slíkt mat. Að auki tekur embættið fram að það hafi verið í vafa um hvort um vinnslu persónuupplýsinga væri að ræða nema í undantekningartilvikum og það sé einhverjum vafa undirorpið hvort það teljist vera ábyrgðaraðili í samskiptum við borgarana. Þá segir að embættið hafi metið áhættuna af því að vera í samskiptum við þá með þessum hætti og að það telji að með hliðsjón af þeim öryggisráðstöfunum sem hafa verið gerðar frá fyrstu tíð, eins og þeirri ráðstöfun að aðgangsstýra með tveimur auðkennum, hafa reglur um meðferð upplýsinga og gæta vel að því að gefa ekki upp persónugreinanlegar upplýsingar í þessum samskiptum, sé ekki líklegt að vinnslan valdi áhættu fyrir einstaklinga sem eru í samskiptum við embættið.

Hvað varðar spurningu fimm telur embættið það samrýmast meginreglum um vinnslu persónuupplýsinga að eiga í samskiptum við aðila í gegnum Facebook með þeim hætti sem nú er gert. Vinnslan sé nauðsynleg lögreglunni til að rækja starf sitt samkvæmt lögreglulögum nr. 90/1996 eins og því sé lýst í 1. gr. þeirra. Upplýsingarnar séu fengnar frá einstaklingum sem gefi þær af fúsum og frjálsum vilja og án þvingunar. Einnig sé sjaldnast um persónuupplýsingar að ræða og séu upplýsingar nægjanlegar, viðeigandi og ekki langt umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Upplýsingar sem embættið fái með þessum hætti séu ekki unnar með öðrum og ósamrýmanlegum hætti og ekki varðveittar hjá lögreglu.

Hvað varðar sjöttu spurninguna telur embættið að í umræddum samskiptum gæti það talist vera ábyrgðaraðili. Ekki sé þó alltaf um það að ræða að unnið sé með persónuupplýsingar eins og þær eru skilgreindar í lögum nr. 75/2019 og 90/2018.

Hvað varðar sjöundu spurninguna hafi ekki verið gerður vinnslusamningur við Facebook þar sem embættið hafi ekki talið sig vera ábyrgðaraðila í þessum samskiptum. Ekki hafi farið fram formlegt mat á áhrifum á persónuvernd. Embættið tekur fram að það hafi tekið til endurskoðunar hvort þörf sé á að gera slíkt mat og vinnslusamning.

Með bréfi, dags. 9. febrúar 2021, var með vísan til framangreindra skýringa embættis lögreglustjórans á höfuðborgarsvæðinu óskað eftir frekari upplýsingum og skýringum hvað varðar fjögur nánar tiltekin tilvik sem Persónuvernd var kunnugt um, þar sem ekki hafði verið unnið eftir því verklagi sem lýst var í svari embættis lögreglustjórans á höfuðborgarsvæðinu frá 2. nóvember 2020. Í umræddum tilvikum hafði verið óskað eftir upplýsingum frá almenningi, í gegnum einkaskilaboð á Facebook, vegna atvika sem kunnu að varða við lög og/eða vörðuðu tiltekna einstaklinga sem birt var mynd af.

Svar barst með bréfi, dags. 19. febrúar 2021. Þar segir að í umræddum fjórum tilvikum hafi ekki verið farið eftir gildandi vinnulagi og er tekið fram að um hafi verið ræða mistök af hálfu embættisins. Fram kemur að í kjölfar bréfs Persónuverndar, dags. 9. febrúar 2021, hafi gildandi vinnulag verið áréttað við það starfsfólk embættisins sem annist umrædd samskipti með það að markmiði að tryggja að slíkt komi ekki fyrir aftur.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Um vinnslu persónuupplýsinga hjá lögbærum yfirvöldum sem fram fer í löggæslutilgangi gilda lög nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi, sbr. 1. mgr. 3. gr. laganna. Fellur það því skv. 30. gr. laganna undir hlutverk Persónuverndar að annast eftirlit með framkvæmd þeirra.

Lögin voru sett til innleiðingar á ákvæðum tilskipunar (ESB) 2016/680 frá 27. apríl 2016 um vernd einstaklinga að því er varðar vinnslu lögbærra yfirvalda á persónuupplýsingum í tengslum við að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum og um frjálsa miðlun slíkra upplýsinga. Lögbært yfirvald er skilgreint í 11. tölul. 2. gr. laganna sem opinbert yfirvald sem ber ábyrgð á eða er falið það hlutverk að lögum að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Lögregluembætti landsins eru skilgreind sem lögbær yfirvöld samkvæmt þessu ákvæði.

Svo lög nr. 75/2019 gildi þarf að vera um að ræða vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild eða vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá, sbr. 2. mgr. 3. gr. laganna. Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 1. tölul. 2. gr. laga nr. 75/2019. Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 2. tölul. 2. gr. laga nr. 75/2019.

Til þess að vinnsla persónuupplýsinga falli undir gildissvið laga nr. 75/2019 er það eitt að yfirvald falli undir skilgreininguna á lögbæru yfirvaldi ekki nægjanlegt, heldur þarf sú vinnsla sem fer fram hverju sinni að vera í löggæslutilgangi. Löggæslutilgangur er skilgreindur í 8. tölul. 2. gr. laga nr. 75/2019 sem sá tilgangur að koma í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsiverð brot eða fullnægja refsiviðurlögum, þ.m.t. að vernda gegn og koma í veg fyrir ógnir við almannaöryggi. Ljóst er að þegar unnið er með persónuupplýsingar í því skyni er byggt á valdheimildum sem lögbærum yfirvöldum eru fengnar með lögum, en eins og hér háttar til reynir á lögreglulög nr. 90/1996. Í 2. mgr. 1. gr. laganna kemur fram að hlutverk lögreglu er m.a. að gæta almannaöryggis og halda uppi lögum og reglu, leitast við að tryggja réttaröryggi borgaranna og vernda eignarrétt, opinbera hagsmuni og hvers konar lögmæta starfsemi, stemma stigu við afbrotum og koma í veg fyrir athafnir sem raska öryggi borgaranna og ríkisins, vinna að uppljóstran brota, stöðva ólögmæta háttsemi og fylgja málum eftir í samræmi við það sem mælt er fyrir um í lögum um meðferð sakamála eða öðrum lögum, greiða götu borgaranna eftir því sem við á og aðstoða þá þegar hætta steðjar að. Með hliðsjón af framangreindu er því hér um að ræða vinnslu í löggæslutilgangi, sbr. 8. tölul. 2. gr. laga nr. 75/2019, og fellur framangreind vinnsla því innan gildissviðs þeirra laga.

Lögbært yfirvald sem ákvarðar, eitt eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga er nefnt ábyrgðaraðili, sbr. 4. tölul. 2. gr. laga nr. 75/2019. Eins og hér háttar til telst embætti lögreglustjórans á höfuðborgarsvæðinu vera ábyrgðaraðili að umræddri vinnslu.

Með vísan til framangreinds er ljóst að sú vinnsla persónuupplýsinga hjá lögreglu sem hér um ræðir felur í sér vinnslu persónuupplýsinga hjá lögbæru yfirvaldi sem fram fer í löggæslutilgangi og fellur hún því undir valdsvið Persónuverndar eins og það er afmarkað í 30. gr. laga nr. 75/2019.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga í löggæslutilgangi verður að samrýmast meginreglum þeim er koma fram í 4. gr. laga nr. 75/2019. Þar kemur fram að við vinnslu persónuupplýsinga í löggæslutilgangi skal þess gætt að þær séu unnar með lögmætum og sanngjörnum hætti, að vinnslan sé lögbæru yfirvaldi nauðsynleg vegna verkefna í löggæslutilgangi, að upplýsingar séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, að þær séu nægilegar, viðeigandi og ekki langt umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, ásamt því að þær séu áreiðanlegar og uppfærðar eftir þörfum. Þar segir einnig að persónuupplýsingum, sem eru óáreiðanlegar eða ófullkomnar miðað við tilgang vinnslu þeirra, skuli eyða eða leiðrétta án tafar, að þær skuli varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu og að þær séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt.

Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 6. gr. laga nr. 75/2019, þ.e. að sérstök heimild standi til hennar í öðrum lögum, að hún sé til þess fallin að vernda brýna hagsmuni hins skráða eða annars einstaklings eða að hún varði upplýsingar sem hinn skráði hefur sjálfur gert opinberar. Viðkvæmar persónuupplýsingar í skilningi laganna eru t.a.m. persónuupplýsingar um kynþátt eða þjóðernislegan uppruna manns, stjórnmálaskoðanir, trúarbrögð, lífsskoðun, aðild að stéttarfélagi, heilsufarsupplýsingar, kynlíf manna eða kynhneigð, erfðafræðilegar upplýsingar og lífkennaupplýsingar. Verður því aðeins unnið með slíkar persónuupplýsingar að brýna nauðsyn beri til vinnslunnar, auk þess sem hún uppfylli a.m.k. eitt áðurnefndra skilyrða.

Eins og hér háttar til voru persónuupplýsingar unnar í samræmi við hlutverk lögreglu samkvæmt 2. mgr. 1. gr. lögreglulaga nr. 90/1996. Einnig er til þess að líta að samkvæmt i. lið 1. mgr. 5. gr. laganna heldur lögregla málaskrá um kærur sem henni berast um afbrot með öllum nauðsynlegum upplýsingum sem mál varða, dagbók með upplýsingum um erindi til lögreglu og úrlausn þeirra, skrá yfir handtekna menn og aðrar skrár sem nauðsynlegar eru í þágu löggæsluhagsmuna til að afstýra yfirvofandi hættu eða sporna við afbrotum. Þá er í 7. gr. laga nr. 75/2019 gert ráð fyrir slíkri vinnslu enda sé hún í samræmi við önnur ákvæði laganna. Með hliðsjón af framangreindu verður því að telja að vinnsla persónuupplýsinga í þeim tilgangi er hér um ræðir sé almennt heimil, enda fari hún fram í samræmi við ákvæði áður tilvitnaðra laga.

Jafnframt ber hins vegar að líta til 14. gr. laga nr. 75/2019, en þar segir að um varðveislu persónuupplýsinga fari samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og lögum um opinber skjalasöfn. Samkvæmt lögum nr. 90/2018, sbr. 44. gr. almennu persónuverndar-reglugerðarinnar, (ESB) 2016/679, er ekki heimilt að vinna með persónuupplýsingar með þeim hætti að afrit samskipta varðveitist utan Evrópska efnahagssvæðisins, enda sé sú vinnsla ekki byggð á heimildum V. kafla reglugerðarinnar. Um túlkun ákvæða V. kafla ber að líta til þess að samkvæmt 44. gr. reglugerðarinnar skal beita öllum ákvæðum kaflans þannig að tryggja megi að ekki sé grafið undan vernd einstaklinga sem tryggð er með reglugerðinni.

Persónuvernd bendir í þessu samhengi á að samskipti sem fara fram í gegnum Facebook eru þar varðveitt án þess að notendum sé mögulegt, í það minnsta án sérstakra samninga við Facebook, að eyða með fullnægjandi hætti þeim upplýsingum sem þar koma fram. Því er ekki hægt að jafna samskiptum sem fara fram í gegnum Facebook við samskipti í gegnum hefðbundin fjarskiptatæki, eigin vefgátt, smáforrit eða tölvupóst. Persónuvernd bendir jafnframt á að í skilmálum Facebook, sem notendur miðilsins samþykkja, kemur fram að Facebook safnar þeim upplýsingum sem miðlað er í gegnum síðuna. Þegar persónuupplýsingum er miðlað til lögreglu í gegnum Facebook er þeim því samtímis miðlað til Facebook. Þá liggur fyrir að Facebook deilir persónuupplýsingum með fyrirtækjum sem tengjast Facebook, sem og öðrum aðilum (þ.e. þriðju aðilum), við nánar tilgreindar aðstæður. Þeir sem nota slíka samfélagsmiðla hafa því almennt ekki fulla stjórn á því efni sem þar er sett inn.

Fram hefur komið undir rekstri málsins að þegar unnið var með persónuupplýsingar í þeim fjórum tilvikum sem hér eru sérstaklega til skoðunar var sú vinnsla ekki byggð á heimildum V. kafla almennu persónuverndarreglugerðarinnar. Enn fremur hefur komið fram að sú vinnsla sem átti sér stað fór gegn yfirlýstu verklagi embættis lögreglustjórans á höfuðborgarsvæðinu og án þess að fram hefði farið mat á áhrifum á persónuvernd vegna vinnslunnar, sbr. 26. gr. laga nr. 75/2019 og 29. gr. laga nr. 90/2018, eða að gerður hafi verið vinnslusamningur, sbr. 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 20. gr. laga nr. 75/2019, við Facebook.

Að framangreindu virtu er niðurstaða Persónuverndar sú að vinnsla lögreglustjórans á höfuðborgarsvæðinu á persónuupplýsingum, þar sem óskað var eftir upplýsingum og ábendingum frá almenningi, í gegnum einkaskilaboð á Facebook, vegna atvika sem kunnu að varða við lög og/eða vörðuðu tiltekna einstaklinga sem birt var mynd af, hafi ekki samrýmst lögum nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi.

Á k v ö r ð u n a r o r ð:

Vinnsla lögreglustjórans á höfuðborgarsvæðinu á persónuupplýsingum þar sem óskað var eftir upplýsingum og ábendingum frá almenningi, í gegnum einkaskilaboð á Facebook, vegna atvika sem ýmist kunnu að varða við lög eða vörðuðu tiltekna einstaklinga sem birt var mynd af, samrýmdist ekki lögum nr. 75/2019, um vinnslu persónuupplýsinga í löggæslutilgangi.

Í Persónuvernd, 10. mars 2021

Ólafur Garðarsson
starfandi formaður

Björn Geirsson                                                  Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson



Var efnið hjálplegt? Nei