Vinnsla upplýsinga um gesti skemmtistaða; skönnun skilríkja o.fl.
Persónuvernd hefur hafnað umsókn TerrSecurity um leyfi til vinnslu persónuupplýsinga um gesti skemmtistaða á Íslandi.
Ákvörðun
Hinn 13. ágúst 2009 komst stjórn Persónuverndar að svohljóðandi niðurstöðu í máli nr. 2009/472 varðandi ósk Terr Security ehf. um heimild til söfnunar, miðlunar og vinnslu persónuupplýsinga um einstaklinga:
I.
Tildrög máls
1.
Bréfaskipti
Með tölvubréfi, dags. 19. maí 2009, óskaði Terr Security ehf. eftir „skriflegu leyfi Persónuverndar og/eða athugasemdum“ vegna notkunar ID-Scan eða Clubscan búnaðar hér á landi. Kom fram að tilgangurinn væri að koma í veg fyrir framvísun falsaðra skilríkja, eða skilríkja í eigu annarra, við inngöngu á skemmtistaði hér á landi.
Með bréfi, dags. 25. maí 2009, óskaði Persónuvernd eftir frekari skýringum um framkvæmd vinnslunnar, m.a. hvort og þá hvaða nauðsyn Terr Security teldi standa til vinnslunnar; hvort og þá hversu mikinn aðgang dyraverðir skemmtistaða, sem myndu eiga viðskipti við Terr Security, myndu hafa að skráðum persónuupplýsingum; og hvernig Terr Security hygðist uppfylla öryggiskröfur, sbr. 11. gr. laga nr, 77/2000, um persónuvernd og meðferð persónuupplýsinga. Þá var spurt um samkeyrslumöguleika upplýsinganna og hvort fyrirhugað væri að nota upplýsingarnar í beinu markaðssetningarskyni.
Í svarbréfi Terr Security, dags. 5. júní 2009, kom fram að vinnslan væri nauðsynleg til að bæta öryggi gesta á skemmtistöðum og starfsmanna þar. Einnig til að auðvelda lögreglu að upplýsa mál sem kynnu að koma upp á skemmtistöðum. Upplýsingarnar yrðu geymdar á einum miðlægum gagnagrunni hjá Terr Security en vélbúnaður vistaður hjá Skyggni. Allur hugbúnaður yrði með viðurkenndum öryggisstöðlum frá Microsoft. Þá kom fram að Terr Security hefur í hyggju að skanna fingraför einstaklinga sem koma á skemmtistaði til að viðhafa tvöfalt öryggi. Þá hyggst fyrirtækið búa til bannlista eða s.k. svarta lista sem fyrirhugað væri að samkeyra. Loks áskildi Terr Security sér rétt til þess að sækja um að nota upplýsingarnar í beinu markaðssetningarskyni á síðari stigum.
2.
Sjónarmið ríkislögreglustjóra
Persónuvernd ákvað að kynna erindi Terr Security fyrir ríkislögreglustjóra. Var það gert með bréfi, dags. 18. júní 2009. Var erindið ítrekað með bréfi, dags. 27. júlí s.á. Bréf ríkislögreglustjóra barst með tölvubréfi sama dag. Bréfið var dagsett 2. júlí 2009, en það hafði áður misfarist í pósti. Í bréfinu segir m.a.:
„Hlutverk dyravarða, sbr. 19. gr. reglugerðar nr. 585/2007 um veitingastaði, gististaði og skemmtanahald, er að hafa eftirlit með því að farið sé að reglum um afgreiðslutíma veitinga- og skemmtistaða og slit skemmtunar, leyfðan gestafjölda, aldur gesta og meðferð áfengis. Skulu þeir einnig halda uppi röð og reglu á skemmtun og er þeim í því skyni heimilt að vísa þeim af skemmtun sem brjóta gegn settum reglum og/eða eru valdir að óspektum.
Embætti ríkislögreglustjóra leggst ekki gegn notkun búnaðarins, þ.e.a.s í þeim tilgangi að koma í veg fyrir notkun falsaðra skilríkja eða skilríkja í eigu annarra en telur að með notkun á s.k bannlista, eins og Terr security hyggur á, sé farið út fyrir þau valdmörk sem dyravörðum og öðrum eftirlitsmönnum er ætlað, sbr. 19. gr. ofangreindrar reglugerðar.
Einnig er það mat embættisins að enginn lögmætur eða málefnalegur tilgangur sé fólginn í skönnun á fingraförum einstaklinga, af hálfu Terr security, þá sérstaklega í ljósi þess hve viðkvæmar persónuupplýsingar um er að ræða.
Í ljósi ofangreinds og með hliðsjón af persónuverndarsjónarmiðum telur embætti ríkislögreglustjóra að eðli þeirra persónuupplýsinga sem Terr security hyggst afla/safna með notkun búnaðarins og þær upplýsingar sem s.k bannlisti skal innihalda, eigi aðeins að vera í höndum lögreglu eða þar tilbærra yfirvalda.“
II.
Ákvörðun Persónuverndar
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Af þessu leiðir að efni máls þessa lýtur að vinnslu persónuupplýsinga og þar með fellur umfjöllun um efni þess undir valdsvið Persónuverndar.
2.
Tilgangur laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, með áorðnum breytingum, er m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs ásamt því að tryggja áreiðanleika og gæði slíkra upplýsinga. Til að svo megi verða ber að tryggja að öll notkun persónuupplýsinga sé með sanngjörnum, málefnalegum og lögmætum hætti, þær fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 7. gr. laganna. Er í lögunum nánar kveðið á um réttarstöðu hins skráða, skyldur ábyrgðaraðila og hvaða skilyrði uppfylla þurfi til að vinnsla persónuupplýsinga sé heimil.
Í 8. gr. laganna er kveðið á um almennar reglur um heimildir fyrir vinnslu persónuupplýsinga og í 9. gr. um sérstök skilyrði sem uppfylla þarf þegar um er að ræða vinnslu viðkvæmra persónuupplýsinga.
Til viðbótar þeim kröfum sem gerðar eru til heimilda að baki vinnslu persónuupplýsinga í 8. gr. og, eftir atvikum, 9. gr. laga nr. 77/2000 verður öllum ákvæðum 7. gr. þeirra laga ávallt að vera fullnægt. Þar er m.a. kveðið á um að við vinnslu persónuupplýsinga skuli þess gætt að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Fela þessi ákvæði í sér þá meðalhófsreglu að ekki skal unnið með persónuupplýsingar nema á því sé þörf og að ekki skal unnið með meiri persónuupplýsingar en nauðsyn krefur.
3.
Um starfsemi lögreglu gilda ýmsar sérreglur er ýmist ganga framar framangreindum ákvæðum eða standa þeim til fulltingis. Hlutverk lögreglu er rakið í 1. gr. laga nr. 90/1996, um stofnanir löggæslu og lögreglumenn, með áorðnum breytingum. Skal lögregla m.a. vinna að uppljóstran brota, stöðva ólögmæta háttsemi og fylgja málum eftir í samræmi við það sem mælt er fyrir um í lögum nr. 88/2008, um meðferð sakamála, eða öðrum lögum, sbr. c-lið 2. mgr. 1. gr. laga nr. 90/1996. Ríkislögreglustjóri skal halda málaskrá um kærur sem lögreglu berast um afbrot með öllum nauðsynlegum upplýsingum sem mál varða og halda skrá yfir handtekna menn, sbr. i-lið 1. mgr. 5. gr. laga nr. 90/1996, sbr. lög. nr. 15/2000. Skal dómsmálaráðherra setja nánari reglur um þessar skrár. Ákvæði um skráningu persónuupplýsinga hjá lögreglu er jafnframt að finna í 3. mgr. 19. gr. laga nr. 19/1991, um meðferð opinberra mála. Segir þar að dómsmálaráðherra skuli setja fyrirmæli í reglugerð um kerfisbundna skráningu og varðveislu lögreglu á upplýsingum um brotaferil einstakra manna eða atriði sem varða einkahagi þeirra. Samkvæmt 3. mgr. 45. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, skal í reglugerð kveðið á um eftirlitshlutverk Persónuverndar með rafrænni vinnslu persónuupplýsinga hjá lögreglu, ráðstafanir til að tryggja öryggi þeirra og innra eftirlit með þeim ráðstöfunum. Gilda um þessi atriði reglugerð nr. 322/2001, frá 9. apríl 2001, um meðferð persónuupplýsinga hjá lögreglu.
4.
Söfnun persónuupplýsinga, þ.m.t. taka fingrafara og mynda af skilríkjum einstaklinga, þarf að eiga sér slíkan tilgang er greinir í 2. tl. 7. gr. laga nr. 77/2000, en þar segir að öll vinnsla persónuupplýsinga skuli fara fram í yfirlýstum, skýrum og málefnalegum tilgangi. Í öðru lagi þarf að vera uppfyllt ákvæði 3. tl. 7. gr. um að aðeins skuli nota nægilegar og viðeigandi persónuupplýsingar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Framangreind ákvæði ber að túlka í ljósi ákvæðis 1. gr. laga nr. 77/2000 þar sem fram kemur að markmið laganna sé m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs. Framangreind ákvæði verður einnig að skýra í ljósi 71. gr. stjórnarskrárinnar nr. 33/1944, sbr. breytingalög nr. 97/1995, er mælir fyrir um friðhelgi einkalífs. Þar segir að allir skuli njóta friðhelgi einkalífs, heimilis og fjölskyldu, og að ekki megi gera rannsókn á skjölum og póstsendingum, símtölum og öðrum fjarskiptum, né gera aðra sambærilega skerðingu á einkalífi manns nema samkvæmt dómsúrskurði eða sérstakri lagaheimild. Samkvæmt 3. mgr. má aðeins skerða þann rétt beri brýna nauðsyn til vegna réttinda annarra. Um þann rétt er jafnframt vísað til 8. gr. Mannréttindasáttmála Evrópu en sáttmálinn var lögleiddur hér á landi með lögum nr. 62/1994.
5.
Í ljósi alls ofangreinds, þ.e. þess að (a) Tess Security ehf. rekur ekki umrædda skemmtistaði og hefur því ekki sérstaka nauðsyn af vinnslu um gesti þeirra, (b) að ekkert liggur fyrir um að félagið hafi nokkurt það samstarf við lögreglu er getur verið grundvöllur persónuupplýsingavinnslu í þágu löggæsluhagsmuna, og (c) að ekki verður séð að vinnslan samrýmist einhverju af ákvæðum 8. gr. og/eða 9. gr. laga nr. 77/2000, verður ekki fallist á umrædda umsókn félagsins um leyfi til vinnslu persónuupplýsinga um gesti skemmtistaða á Íslandi.
Á k v ö r ð u n a r o r ð:
Hafnað er umsókn félagsins Terr Security ehf. um leyfi til að nota Clubscan-búnað til vinnslu persónuupplýsinga um gesti skemmtistaða.