Øst politidistrikt hadde ulovlig tilgang på flypassasjerlister

Siden 2010 har politiet på Gardermoen kunnet logge seg direkte på billettsystemet til flyselskapet Norwegian og hente ut opplysninger om passasjerene. – Ulovlig, sier Datatilsynet som nå har stoppet praksisen.

Norwegian kundeservice-skranke på Oslo lufthavn Gardermoen
Foto: Bo Mathisen / Norwegian

Politiets sikkerhetstjeneste (PST) har tidligere fått skarp kritikk av Stortingets kontrollutvalg for det hemmelige tjenestene (EOS-utvalget).

Utvalget slo fast at PST ulovlig hadde logget seg inn på Norwegians billettsystem på Gardermoen og hentet ut og lagret opplysninger om flypassasjerer.

Nå viser det seg at også Øst politidistrikt, som har ansvar for grensekontrollen ved Norges hovedflyplass Oslo Lufthavn, har gjort det samme.

Politiet hadde brukernavn og passord

Datatilsynets undersøkelse viser at politiet har hatt tilgang til bookingsystemet til flyselskapet Norwegian og Pegasus Airlines. En rekke andre flyselskaper har også sendt passasjerlister rutinemessige til politiet.

Tilgangen til flyselskapet Norwegian ble gitt i 2010 i form av et brukernavn og passord som ble brukt til å søke på en av Norwegians terminaler, mens det til Pegasus Airlines i 2015 ble gitt tilgang direkte fra en av politiets datamaskiner.

Det ble foretatt søk på både norske borgere og utlendinger, og det er ikke blitt redegjort for hvordan opplysningene har blitt behandlet videre, skriver Datatilsynet i et brev som NRK har fått tilgang til.

Datatilsynet: – Ulovlig

Jan Henrik Nilsen

Juridisk seniorrådgiver Jan Henrik Mjønes Nielsen i Datatilsynet.

Foto: Ilja C. Hendel / © Ilja C. Hendel

– Datatilsynet ser alvorlig på saken. Politiet har ulovlig innhentet opplysninger om flypassasjerer i en årrekke, ved å misbruke tilgangskoder, sier juridisk seniorrådgiver Jan Henrik Mjønes Nielsen i Datatilsynet.

Politiet konkluderte selv med at dette var ulovlig da det kom opp og praksisen ble avsluttet sommeren 2019.

– Saken er avsluttet på bakgrunn av at Øst politidistrikt har erkjent lovbruddet og stanset praksisen, sier Nielsen.

Hvorfor blir det ikke noen strengere reaksjon?

– Politiets behandling av personopplysninger er regulert av Politiregisterloven, hvor det ikke finnes tilsvarende reaksjonsmuligheter som i GDPR. Datatilsynet har for eksempel ikke mulighet til å ilegge overtredelsesgebyr.

Norwegian Boeing 737-800
Foto: Simon Skjelvik Brandseth / NRK

Norwegian varslet Datatilsynet

Det var Norwegian selv som først varslet Datatilsynet om saken i slutten av mai 2019 da flyselskapet oppdaget innlogginger i sine systemer.

Datatilsynet fører ikke tilsyn med PST, men startet senere en kontroll av Øst politidistrikt og ba dem svare på flere spørsmål. Datatilsynet konklusjon kom 27. januar i år:

«Politiet opplyser at de også har mottatt passasjerlister rutinemessig fra Norwegian, Pegaus, Emirates, Aeroflot, Pakistan International Airlines, Turkish Airlines og SunExpress, samt etter anmodning fra andre flyselskaper.

Politiet har ikke opplyst hvor mange personer som har blitt berørt. Datatilsynet viser derfor til EOS-utvalget som indikerte at den ulovlige innhentingen for PST berørte rundt en million registrerte i året, hvorav flere hundre tusen norske borgere. Tall fra SSB viser at det i 2018 var 24,1 millioner terminalpassasjerer for utenlandske flyginger, slik at potensialet for registrerte er svært stort.»

Passasjerlister ble sendt på e-post

Passasjerlistene har blitt oversendt på e-post til enheten på Gardermoen og enkeltpersoner i politiet uten noen form for kryptering.

Det har ikke vært rutiner for sletting og informasjonssikkerhet, og politiet opplyser at praksisen ikke har vært enhetlig. Det har vært en målsetting om å slette listene etter 24 timer, men det er ikke sikkert at dette har blitt gjort konsekvent.

Datatilsynet mener politiet heller ikke hadde lov til å be flyselskapene sende dem passasjerlistene rutinemessig, fordi det står i loven at det skal skje etter anmodning. Dette er ikke politiet enige i.

– Øst politidistrikt har redegjort for praksisen for relevante myndigheter. Vi viser til vårt svar til Datatilsynet, og til tilsynets svar der saken avsluttes. Utover dette har vi ingen ytterligere kommentarer, sier politiinspektør Eli Fryjordet, leder av Felles enhet for utlending og forvaltning i Øst politidistrikt.

Regjeringen vil gjøre det lovlig

Justis- og beredskapsdepartementet sendte før påske ut et forslag på høring som skal gi PST og politiet lovlig tilgang til disse opplysningene. Hvis endringene blir vedtatt vil flyselskapene bli pålagt å utlevere passasjerinformasjon.

Forslaget går ut på at opplysningene som mottas fra flyselskapene kan lagres av politiet i fem år før de må slettes.

Det skal også opprettes en ny passasjeropplysningsenhet med tjenestepersoner fra politiet, PST og Tolletaten. Enheten skal overvåke hvem som flyr inn og ut av Norge 24 timer i døgnet.

– Et nytt regelverk som skal regulere innhenting av informasjon om flypassasjerer er på høring og Datatilsynet forventer at innhenting ikke igangsettes før nytt regelverk er på plass, sier juridisk seniorrådgiver Jan Henrik Mjønes Nielsen i Datatilsynet.

– Vi vil følge regelverket og støtte opp om tiltak som bidrar til å ivareta sikkerheten i luftfarten. Og vi forutsetter at alle lover og regler følges når offentlige etater gjennomgår våre passasjerlister, sier kommunikasjonsdirektør Esben Tuman i Norwegian til NRK.

Lyspunkt

AKTUELT NÅ

SISTE NYTT

Siste meldinger