Bréf til grunnskóla í Reykjavík vegna vinnslu persónuupplýsinga í upplýsingakerfinu Mentor
Efni: Vinnsla persónuupplýsinga í rafræna upplýsingakerfinu Mentor
I.
Frumkvæðisathugun Persónuverndar
1.
Tildrög máls
Persónuvernd vísar til fyrri samskipta í tilefni af frumkvæðisathugun á vinnslu persónuupplýsinga í rafræna upplýsingakerfinu Mentor, sem lauk með áliti Persónuverndar, dags. 22. september 2015, í máli nr. 2015/1203.
Í frumkvæðisathuguninni skoðaði Persónuvernd vinnslu persónuupplýsinga í Mentor hjá fimm grunnskólum sem valdir voru af handahófi og var [grunnskóli utan Reykjavíkur] einn þeirra. Niðurstaða Persónuverndar var sú að vinnslan samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og reglum nr. 299/2001 um öryggi persónuupplýsinga. Beindi Persónuvernd sérstökum fyrirmælum til skólanna um úrbætur sem tengdust vinnslu persónuupplýsinga í Mentor og öryggi þeirra, sem fjallað verður nánar um í kafla II.
Í áliti Persónuverndar var veittur frestur til 1. apríl 2016 til að senda Persónuvernd afrit af skjölum um úrbætur á vinnslu persónuupplýsinga í Mentor og öryggi þeirra. Þá var skólunum gert að senda Persónuvernd skriflega lýsingu á því hvernig eftirliti yrði háttað framvegis svo að skráningar í Mentor samrýmdust ákvæðum laga nr. 77/2000 og reglugerð nr. 897/2009 um miðlun og meðferð upplýsinga um nemendur í grunnskólum og rétt foreldra til aðgangs að upplýsingum um börn sín.
Vegna fyrirsjáanlegs umfangs málsins var niðurstaða Persónuverndar einnig send mennta- og menningarmálaráðuneyti, Mentor ehf., nú InfoMentor ehf., og Sambandi íslenskra sveitarfélaga.
2.
Bréfaskipti
Með bréfi frá skóla- og frístundasviði Reykjavíkurborgar, dags. 18. mars 2016, var Persónuvernd tilkynnt að stofnaður hefði verið starfshópur á vegum Reykjavíkurborgar og Sambands íslenskra sveitarfélaga, þ.e. starfshópur um skoðun á skráningum upplýsinga um nemendur grunnskóla í rafræn upplýsingakerfi í tengslum við álit Persónuverndar í máli nr. 2015/1203. Var hópnum falið að vinna að því að samræma viðbrögð við áliti Persónuverndar og vinna að þeim úrbótum sem lagt var fyrir grunnskólana að framkvæma. Einnig var í bréfinu óskað eftir framlengdum fresti til 1. júlí 2016 til að verða við fyrirmælum Persónuverndar. Með bréfi skóla- og frístundasviðs til mennta- og menningarmálaráðuneytisins, dags. 2. júní s.á., sem Persónuvernd var sent afrit af, var óskað aðkomu ráðuneytisins við undirbúning þeirra úrbóta sem Persónuvernd mælti fyrir um, auk þess sem óskað var eftir fundi með fulltrúum ráðuneytisins og Persónuverndar til að ræða framgang málsins.
Með bréfi frá skóla- og frístundasviði Reykjavíkurborgar, dags. 22. ágúst 2016, voru Persónuvernd veittar upplýsingar um stöðu mála varðandi tiltekin fyrirmæli stofnunarinnar í áðurnefndu áliti. Í bréfinu sagði m.a. að það væri mat starfshópsins að þörf væri á aðkomu mennta- og menningarmálaráðuneytisins að undirbúningi þeirra úrbóta sem Persónuvernd mælti fyrir um í álitinu, þ. á m. að nauðsynlegt væri að gera breytingar á reglugerð nr. 897/2009. Í bréfinu sagði einnig að bréf hefði verið sent á alla grunnskóla á landinu þar sem fram hefði komið að ekki mætti skrá viðkvæmar persónuupplýsingar í rafræn upplýsingakerfi á borð við Mentor fyrr en skilyrði laga nr. 77/2000 hefðu verið uppfyllt og vinnslusamningar gerðir. Þá sagði að starfshópurinn hefði unnið ramma að handbók með leiðbeiningum um hvernig skrá bæri persónuupplýsingar í Mentor og fylgdu drög að handbókinni með bréfinu. Í leiðbeiningunum væri að finna yfirlit yfir þær persónuupplýsingar sem til greina kæmi að skrá í rafræn upplýsingakerfi, auk flokkunar upplýsinga, hvar upplýsingarnar væru skráðar, hver mætti skrá upplýsingarnar og hver mætti sjá þær. Í bréfinu var jafnframt óskað eftir framlengdum fresti í að lágmarki sex mánuði til að útbúa öryggiskerfi og skriflegt áhættumat auk ákvörðunar um nauðsynlegar öryggisráðstafanir. Þá var óskað eftir sama fresti til að ljúka lýsingu á innra eftirliti, fræðslu til starfsmanna og upplýsingagjöf til handa starfsmönnum um skráningu aðgerða í Mentor og til að setja reglur um notkun upplýsinga úr aðgerðaskrá. Einnig var óskað eftir fresti til 1. júní 2017 til að hætta notkun kennitölu sem notandanafns og til að tryggja að lykilorðum yrði breytt með reglubundnum hætti.
Á fundi Persónuverndar með skóla- og frístundasviði Reykjavíkurborgar, Sambandi íslenskra sveitarfélaga og mennta- og menningarmálaráðuneytinu þann 23. ágúst 2016 óskaði skóla- og frístundasvið eftir athugasemdum Persónuverndar við þau gögn sem starfshópurinn hafði sent Persónuvernd. Við því var brugðist með óformlegum athugasemdum Persónuverndar til Reykjavíkurborgar, með tölvupósti þann 23. september s.á.
Með bréfi til Persónuverndar, dags. 30. nóvember 2016, tilkynnti starfshópurinn að hann hefði unnið að tillögum að lausnum í samræmi við álit Persónuverndar og hefði nú lokið störfum sínum. Samhliða var Persónuvernd send skýrsla starfshópsins. Í skýrslunni segir m.a. að hópurinn telji nauðsynlegt að gerðar verði útbætur á reglugerð nr. 897/2009 þar sem settar verði fram skýrari og nánari reglur um meðferð persónuupplýsinga nemenda og tekin verði skýr afstaða til mikilvægra atriða, s.s. hvort skrá skuli viðkvæmar persónuupplýsingar í rafræn upplýsingakerfi. Bréfinu fylgdu leiðbeiningar um notkun rafrænna upplýsingakerfa við meðferð persónuupplýsinga nemenda í grunnskólum, en með setningu verklagsreglna sem finna mátti í leiðbeiningunum var leitast við að uppfylla fyrirmæli Persónuverndar um að haga bæri skráningu til samræmis við ákvæði 7. gr. laga nr. 77/2000, sbr. 7. gr. reglugerðar nr. 897/2009, og að gæta þyrfti að lögmæti þeirra upplýsinga sem skráðar yrðu í kerfið. Þá var óskað eftir framlengdum fresti til 1. júlí 2017 til að útbúa öryggisstefnu og áhættumat, ákvarða öryggisráðstafanir og gera lýsingu á fyrirkomulagi innra eftirlits. Með símtali við starfsmann Persónuverndar þann 29. júní 2017 óskaði skóla- og frístundasvið Reykjavíkurborgar eftir framlengdum fresti til 1. október s.á. til að útbúa öryggisstefnu og áhættumat, sem og til að skrásetja öryggisráðstafanir og útbúa lýsingu á framkvæmd innra eftirlits. Fallist var á þá beiðni.
Með bréfi til Persónuverndar, dags. 3. október 2017, tilkynnti skóla- og frístundasvið Reykjavíkurborgar að sérfræðingur í upplýsingaöryggi hefði verið ráðinn til að afla gagna og sannreyna að InfoMentor ehf. gæti gert viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Búist væri við niðurstöðu úttektar innan skamms. InfoMentor ehf. hefði fengið drög að vinnslusamningi til skoðunar, en fyrirtækið hefði óskað eftir fresti til 1. júlí s.á. til að gera athugasemdir við drögin. Engin svör hefðu þó borist frá InfoMentor ehf. Í bréfinu var óskað eftir fresti til 1. janúar 2018 til að sannreyna að InfoMentor ehf. uppfyllti skilyrði til að gerður yrði vinnslusamningur við fyrirtækið. Gerðir yrðu vinnslusamningar við InfoMentor ehf. fyrir alla grunnskóla Reykjavíkurborgar í kjölfarið, ef í ljós kæmi að fyrirtækið uppfyllti þær kröfur sem gerðar væru til vinnsluaðila. Þá var óskað eftir framlengdum fresti fram í apríl 2018 til að ljúka vinnu við gerð öryggisstefnu, áhættumats og öryggishandbókar, skráningu öryggisráðstafana, endurskoðun leiðbeininga, innri úttekt og innleiðingu og kynningu á niðurstöðum.
Með bréfi til Persónuverndar, dags. 3. október 2017, tilkynnti Samband íslenskra sveitarfélaga að bréf hefði verið sent InfoMentor ehf. í desember 2016 þar sem beðið hefði verið um að fyrirtækið sannreyndi að það gæti framkvæmt og uppfyllt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Svör hefðu borist í janúar 2017 en þau hefðu ekki veitt nægjanlega tryggingu fyrir því að InfoMentor ehf. gæti uppfyllt þær kröfur sem gerðar væru í lögum nr. 77/2000 og áliti Persónuverndar. Var óskað eftir framlengdum fresti fram í apríl 2018 til að ljúka vinnu við að uppfylla þær kröfur sem settar voru fram í áliti Persónuverndar, dags. 22. september 2015.
Persónuvernd boðaði í framhaldi af þessu til fundar þann 24. október 2017 með skóla- og frístundasviði Reykjavíkurborgar, mennta- og menningarmálaráðuneytinu og Sambandi íslenskra sveitarfélaga, þar sem farið var yfir stöðu málsins. Kom meðal annars fram að annar sérfræðingur í upplýsingaöryggi hefði verið ráðinn til að aðstoða þá grunnskóla, sem álit Persónuverndar í máli nr. 2015/1203 fjallaði um, við gerð áhættumats. Samþykkti Persónuvernd að veita skólunum fimm lokafrest til 31. desember 2017 til ljúka vinnu við að uppfylla þau fyrirmæli sem lögð voru fyrir í áliti Persónuverndar í september 2015, en í fundargerð kom fram að eftir væri að ljúka öryggisstefnu, áhættumati, lýsingu á öryggisráðstöfunum og gerð vinnslusamnings grunnskólanna við InfoMentor ehf.
Með tölvupósti frá skóla- og frístundasviði Reykjavíkurborgar þann 28. desember 2017 barst Persónuvernd upplýsingaöryggisstefna og áhættumat [skólans], sem og vinnslusamningur milli skólans og InfoMentor ehf. auk viðauka. Þá var Persónuvernd jafnframt send reglubók með öryggis- og verklagsreglum og niðurstöður öryggisúttektar Reykjavíkurborgar á InfoMentor ehf. þar sem kannað var hvort fyrirtækið gæti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit með vísan til 11. og 12. gr. laga nr. 77/2000
II.
Fyrirmæli Persónuverndar í áliti stofnunarinnar frá 22. september 2015
Hér á eftir má finna yfirlit yfir þau fyrirmæli sem lögð voru fyrir [skólann] í áliti Persónuverndar frá 22. september 2015, ásamt afstöðu Persónuverndar til þess hvort fyrirmælin hafi verið uppfyllt með fullnægjandi hætti, og eftir atvikum þeim athugasemdum sem gerðar eru við framkomin gögn í hverju tilviki.
1. Í fyrsta lagi var því beint til [skólans] að skrá ekki viðkvæmar persónuupplýsingar í Mentor nema útbúið yrði sérstakt umhverfi fyrir slíka skráningu sem fullnægði kröfum Persónuverndar.
Í skýrslu starfshóps um skoðun á skráningum upplýsinga um nemendur grunnskóla í rafræn upplýsingakerfi, dagsettri í nóvember 2016, kom fram að í kjölfar álits Persónuverndar, dags. 22. september 2015, hefði öllum grunnskólum á landinu verið sent bréf þar sem fram hefði komið að ekki mætti skrá viðkvæmar persónuupplýsingar, t.d. um greiningar eða heilsufar, um nemendur eða aðstandendur þeirra í rafræn upplýsingakerfi á borð við Mentor nema útbúið væri sérstakt umhverfi fyrir slíka skráningu sem fullnægði skilyrðum laga nr. 77/2000.
Með vísan til þeirra athugasemda sem gerðar eru aftar í bréfi þessu er það afstaða stofnunarinnar að ekki hafi enn verið útbúið sérstakt umhverfi fyrir skráningu viðkvæmra persónuupplýsinga í Mentor, sem fullnægir kröfum Persónuverndar, sbr. álit stofnunarinnar frá 22. september 2015. Er því enn óheimilt að skrá viðkvæmar persónuupplýsingar í Mentor.
Þrátt fyrir fyrirmæli fyrrnefnds starfshóps til [skólans], um að skrá ekki viðkvæmar persónuupplýsingar í Mentor að óbreyttu, hefur Persónuvernd ekki borist staðfesting frá [skólanum] á því að skráningu slíkra upplýsinga í Mentor hafi verið hætt, sbr. fyrirmæli Persónuverndar þar að lútandi. Er því lagt fyrir skólann að senda Persónuvernd upplýsingar um það hvort skráningu viðkvæmra persónuupplýsinga í Mentor hafi verið hætt. Skal staðfesting þar að lútandi send Persónuvernd innan þess frests, sem tilgreindur er í niðurstöðu bréfs þessa.
2. Í öðru lagi var [skólanum] gert að haga vinnslu persónuupplýsinga í Mentor í samræmi við ákvæði 7. gr. laga nr. 77/2000, sbr. 7. gr. reglugerðar nr. 897/2009.
Starfshópur um skoðun á skráningum upplýsinga um nemendur grunnskóla í rafræn upplýsingakerfi sendi Persónuvernd skýrslu sína ásamt leiðbeiningum um notkun rafrænna upplýsingakerfa við meðferð persónuupplýsinga nemenda í grunnskólum í nóvember 2016. Í skýrslu starfshópsins kemur fram að grunnskólar, þ. á m. [skólinn], fái leiðbeiningarnar afhentar ásamt fyrirmælum um kynningu á þeim fyrir starfsfólki.
Í leiðbeiningunum er fjallað um notkun rafrænna upplýsingakerfa við skráningu, miðlun og meðferð persónuupplýsinga nemenda í grunnskólum. Þar er meðal annars að finna upplýsingar um greiningu persónuupplýsinga í almennar og viðkvæmar persónuupplýsingar, umfjöllun um heimildir til vinnslu almennra og viðkvæmra persónuupplýsinga, og upplýsingar um meginreglur 7. gr. laga nr. 77/2000, ásamt umfjöllun um öryggi upplýsinga, eyðingu þeirra og leiðréttingu, vörslu gagna og afhendingu þeirra til Þjóðskjalasafns, sem og samninga við vinnsluaðila. Fram kemur í skýrslu starfshópsins að hverjum grunnskóla fyrir sig beri að gæta að meginreglum 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu við meðferð persónuupplýsinga.
Persónuvernd telur áðurnefndar leiðbeiningar vera fullnægjandi með hliðsjón af fyrrgreindum fyrirmælum, en hins vegar liggur ekki fyrir í gögnum málsins hvort og þá hvernig [skólinn] hefur nýtt þær, svo sem hvort, og þá hvernig, starfsfólki skólans hafa verið kynntar leiðbeiningarnar og lagt fyrir það að fara eftir þeim. Er því lagt fyrir [skólann] að senda Persónuvernd upplýsingar um það innan þess frests, sem tilgreindur er í niðurstöðu bréfs þessa.
3. Í þriðja lagi var [skólanum] gert að gæta að lögmæti þeirra upplýsinga sem skráðar væru í Mentor, m.a. með því að setja sér verklagsreglur þar sem fjallað væri um hvenær mætti skrá upplýsingar um nemendur í Mentor (einkum í dagbókarflipa), hvað mætti skrá um nemendur, hverjum ætti að birta færslur sem skráðar væru í dagbókarflipa og hvernig fræða bæri notendur (einkum kennara og foreldra nemenda) um notkun kerfisins og færslur sem þar væru skráðar. Þá bar einnig að fjalla um það í verklagsreglum hvernig eftirliti skyldi háttað með framangreindu hjá skólunum.
Persónuvernd lítur svo á að leiðbeiningar um notkun rafrænna upplýsingakerfa við meðferð persónuupplýsinga nemenda í grunnskólum, sem fylgdu áðurnefndri skýrslu starfshóps um skoðun á skráningum upplýsinga um nemendur í grunnskólum í rafræn upplýsingakerfi, hafi haft þann tilgang að tryggja að fyrrgreindum fyrirmælum stofnunarinnar yrði fylgt.
Í áðurnefndum leiðbeiningum er að finna upplýsingar um það hvenær heimilt sé að skrá upplýsingar um nemendur í rafrænt upplýsingakerfi, hvað megi skrá og að hverju beri að huga við skráningu, þ. á m. í dagbókarflipa. Þá kemur fram hverjum megi birta færslur í dagbók.
Persónuvernd vekur þó athygli á því að í 8. kafla leiðbeininganna, þar sem fjallað er um dagbókarskráningar, kemur annars vegar fram að ekki eigi að skrá í dagbók upplýsingar sem teljist til viðkvæmra persónuupplýsinga, en í töflu sem birt er í sama kafla leiðbeininganna virðist hins vegar gert ráð fyrir að skráningin geti tekið til viðkvæmra persónuupplýsinga.
Svo sem áður greinir mælti Persónuvernd fyrir um það í áliti sínu frá 22. september 2015 að óheimilt væri að skrá viðkvæmar persónuupplýsingar í Mentor nema útbúið yrði sérstakt umhverfi fyrir slíka skráningu sem uppfyllti kröfur Persónuverndar. Með vísan til efnis bréfs þessa að öðru leyti áréttar Persónuvernd að þessum kröfum hefur enn ekki verið mætt, og er því enn sem komið er óheimilt að skrá viðkvæmar persónuupplýsingar í Mentor.
Hvað varðar fræðslu gagnvart notendum kerfisins (kennurum og foreldrum) um notkun þess og færslur sem þar eru skráðar er til þess að líta að í 7. kafla leiðbeininganna er að finna umfjöllun um rétt foreldra til aðgangs að upplýsingum og fræðslu gagnvart foreldrum og nemendum. Er þar meðal annars kveðið á um að skólastjóri skuli halda skrá um fræðslu til foreldra og nemenda þar sem fram komi hvenær fræðsla hafi farið fram, um hvað hafi verið fjallað um hverjir hafi fengið fræðslu.
Persónuvernd er hins vegar ekki kunnugt um að settar hafi verið verklagsreglur um fræðslu gagnvart kennurum og öðrum starfsmönnum skólans, sem nota Mentor, um notkun kerfisins og færslur sem þar eru skráðar, né heldur um hvernig eftirliti með því skuli háttað, eins og nauðsynlegt var talið samkvæmt áliti Persónuverndar, dags. 22. september 2015.
Með vísan til framangreinds telur Persónuvernd nauðsynlegt að gera breytingar á textanum í 8. kafla leiðbeininganna til þess að forðast misvísandi upplýsingar varðandi skráningu viðkvæmra persónuupplýsinga í dagbókina. Er lagt fyrir [skólann] að senda Persónuvernd afrit af uppfærðum leiðbeiningum, þar sem tekið hefur verið tillit til framangreinds. Þá er lagt fyrir skólann að setja verklagsreglur um fræðslu gagnvart kennurum og öðrum starfsmönnum skólans, sem nota Mentor, um notkun kerfisins og færslur sem þar eru skráðar, sem og um hvernig eftirliti með því skuli háttað. Skulu fyrrgreind gögn berast Persónuvernd innan þess frests sem tilgreindur er í niðurstöðu bréfs þessa.
4. Í fjórða lagi var þeim tilmælum beint til [skólans] að útbúa öryggisstefnu, áhættumat og öryggisráðstafanir, og lýsingu á fyrirkomulagi innra eftirlits í samræmi við ákvæði 11. gr. laga nr. 77/2000 og reglur nr. 299/2001 um öryggi persónuupplýsinga, en huga átti sérstaklega að tilteknum atriðum við gerð öryggisráðstafana, svo sem nánar er rakið hér að neðan.
Öryggisstefna:
Í máli þessu liggur fyrir upplýsingaöryggisstefna nemendaskrár [skólans], undirrituð 29. nóvember 2017.
Í upplýsingaöryggisstefnunni er meðal annars að finna ákvæði um endurskoðun, áhættumat og innra eftirlit. Kemur þar fram að tíðni innra eftirlits og umfang þess skuli ákveðið með hliðsjón af áhættu, eðli verðmæta sem vernda eigi, þeirri tækni sem notuð er til að tryggja öryggi þeirra og kostnaði af framkvæmd eftirlitsins. Það skuli þó eigi vera gert sjaldnar en á tveggja ára fresti.
Í 6. tölul. 2. mgr. 8. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga er hins vegar kveðið á um að innra eftirlit skuli eigi fara fram sjaldnar en árlega.
Þá er vakin athygli á því að í upplýsingaöryggisstefnu [skólans], nánar tiltekið í kafla um leynd og réttleika gagna, er kveðið á um að gæta skuli þess að upplýsingum um hinn skráða sé þá aðeins deilt með þriðja aðila að fyrir liggi samþykki hins skráða eða forráðamanna hans. Persónuvernd bendir á að ákvæði sem þetta samrýmist ekki lögum nr. 77/2000, enda kann [skólanum] að reynast skylt, við ákveðnar aðstæður, að afhenda tiltekin gögn þótt samþykki liggi ekki fyrir. Á það til að mynda við þegar stjórnvöld hafa heimildir að lögum til að kalla eftir tilteknum gögnum, eða þegar dómstóll hefur úrskurðað um afhendingu þeirra. Hins vegar gera lög nr. 77/2000 ráð fyrir því að persónuupplýsingum sé ekki deilt með þriðja aðila án þess að miðlunin styðjist við heimild í lögunum, en samþykki er aðeins ein heimild af nokkrum sem styðjast má við.
Þá ber að nefna að ákvæði í kaflanum um leynd og réttleika gagna, þess efnis að rangar, villandi, ófullkomnar og úreltar upplýsingar skuli leiðrétta, eyða eða við þær auka þegar þær uppgötvist og halda skuli uppi reglubundnu eftirlitsferli í þeim tilgangi, er nauðsynlegt að túlka í samræmi við önnur lög, sem eftir atvikum koma í veg fyrir eyðingu eða breytingu tiltekinna persónuupplýsinga, sbr. m.a. 2. mgr. 25. gr. laga nr. 77/2000. Bendir Persónuvernd á að grunnskólar eru afhendingarskyldir aðilar skv. 14. gr. laga nr. 77/2014 um opinber skjalasöfn og er þeim aðilum óheimilt að ónýta eða farga nokkru skjali í skjalasöfnum þeirra nema með samþykki þjóðskjalavarðar eða á grundvelli sérstaks lagaákvæðis, sbr. 24. gr. sömu laga.
Að lokum vekur Persónuvernd athygli á því að í grein 5.1.1.1 í reglubók með öryggis- og verklagsreglum, dags. 27. desember 2017, er gengið út frá því að upplýsingaöryggisstefna [skólans] skuli staðfest af skólastjóra og yfirmanni skólastjóra, sem ekki er sérstaklega tilgreindur. Í grein 5.1.2.5 er aftur á móti kveðið á um að allar breytingar á upplýsingaöryggisstefnunni skuli hljóta staðfestingu skólanefndar. Hér virðist vera misræmi á milli ákvæðanna tveggja, enda liggur ekki fyrir hvers vegna skólanefnd ber einungis að staðfesta breytingar á stefnunni en ekki stefnuna sjálfa.
Með vísan til framangreinds leggur Persónuvernd fyrir [skólann] að gera viðeigandi breytingar á upplýsingaöryggisstefnunni með hliðsjón af fyrrgreindum sjónarmiðum og senda stofnuninni afrit af endurskoðaðri stefnu innan þess frests sem tilgreindur er í niðurstöðum bréfs þessa.
Áhættumat:
Í áhættumati [skólans], dagsett í desember 2017, mat skólinn meðal annars líkur á rofi á trúnaði eða réttleika upplýsinga. Lagt var til grundvallar að öryggisbrestir sem ættu sér stað sjaldnar en einu sinni í mánuði fengju lægsta gildið, eða stuðulinn einn (litlar líkur); þeir öryggisbrestir sem ættu sér stað sjaldnar en vikulega en oftar en einu sinni í mánuði fengju stuðulinn tvo (miðlungslíkur), öryggisbrestir sem ættu sér stað sjaldnar en daglega en oftar en einu sinni í viku fengju stuðulinn þrjá (miklar líkur) og öryggisbrestir sem ættu sér stað daglega fengju stuðulinn fjóra (mjög miklar líkur). Er þetta í samræmi við þau viðmið sem tilgreind eru í verklagsreglum nr. 4.1, sem fylgdu drögum að reglubók um öryggis- og verklagsreglur sem send voru Persónuvernd 28. desember 2017.
Persónuvernd gerir athugasemd við þessa forsendu áhættumatsins og verklagsreglnanna. Verður að telja eðlilegt að miða við mun rýmra tímamark þegar meta á líkur á öryggisbrestum, með vísan til þeirra upplýsinga sem hér eru undir, þ.e. upplýsinga um grunnskólabörn. Líkur á öryggisbresti sem á sér stað á nokkurra mánaða fresti, svo dæmi sé nefnt, geta að mati Persónuverndar alls ekki talist litlar, sé tekið mið af þeim áhrifum sem slíkir brestir geta haft á þann einstakling sem upplýsingarnar varða. Sem dæmi má nefna að miðað við núverandi forsendur áhættumatsins gæti sú staða komið upp að öryggisbrestur yrði 10 sinnum á ári, en líkurnar á því yrðu samt taldar litlar og þar af leiðandi ekki ráðist í aðgerðir til þess að draga úr þeim. Að mati Persónuverndar leiða forsendur [skólans] varðandi líkur á áhættu til þess að áhættustuðull verður óeðlilega lágur og getur það leitt til þess að ekki verði gripið til nauðsynlegra öryggisráðstafana til að draga úr áhættu.
Í ljósi eðlis þeirra upplýsinga sem hér er unnið með telur Persónuvernd að eðlilegt væri að nota strangari tíðniflokkun fyrir áhættumatið, t.d.:
- - Sjaldnar en einu sinni á ári
- - Sjaldnar en ársfjórðungslega
- - Sjaldnar en einu sinni í mánuði
- - Oftar en mánaðarlega
Þá vekur Persónuvernd athygli á því að í 4. kafla í reglubók með öryggis- og verklagsreglum, dags. 27. desember 2017, þar sem fjallað er um áhættumat, er kveðið á um að tilgreina skuli ásættanlegt stig áhættu og hvernig slík áhætta sé samþykkt. Er þetta í samræmi við almenna framkvæmd við gerð áhættumats. Ekki verður þó séð að þessum fyrirmælum hafi verið fylgt við gerð áhættumats fyrir [skólann].
Með vísan til framangreinds leggur Persónuvernd fyrir [skólann] að endurskoða áhættumatið þannig að metnar líkur á að öryggisbrot eigi sér stað endurspegli framangreind sjónarmið. Þá verði tilgreint ásættanlegt stig áhættu og hvernig slík áhætta sé samþykkt. Skal [skólinn] senda Persónuvernd afrit af uppfærðu áhættumati innan þess frests, sem tilgreindur er í niðurstöðu bréfs þessa.
Öryggisráðstafanir og lýsing á fyrirkomulagi innra eftirlits:
Í málinu liggur fyrir reglubók með öryggis- og verklagsreglum, útg. 0.91 (drög), dags. 27. desember 2017. Reglubókin inniheldur öryggis- og verklagsreglur fyrir nemendaskrár.
Fyrrnefnd reglubók virðist vera samin á grundvelli staðalsins ÍST ISO/IEC 27001 Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsinga – Kröfur, en í viðauka við staðalinn er ítarlegur listi yfir stýringarmarkmið og stýringar. Eins og fram kemur í kafla 6.1.3 í staðlinum geta skipulagsheildir hannað stýringar eftir þörfum, en tilgangurinn er að ákvarða allar stýringar sem eru nauðsynlegar til þess að innleiða þann kost eða þá kosti sem valdir voru til meðferðar á upplýsingaöryggisáhættu.
Svo virðist hins vegar sem allar þær stýringar sem tilgreindar eru í viðaukanum við staðalinn hafi verið teknar upp í reglubókina, óháð því hverjar þeirra eru nauðsynlegar og viðeigandi í tilviki [skólans]. Afleiðing þessa er sú að reglubókin verður óþarflega flókin og tyrfin og ólíklegt er að hún muni nýtast skólastjórnendum í núverandi mynd sem hagnýtt tæki til þess að gera þær öryggisráðstafanir sem viðeigandi eru í hverjum skóla. Efni reglubókarinnar þarf að mati Persónuverndar að sníða betur að starfsemi hvers skóla fyrir sig.
Að auki er ljóst að efni reglubókarinnar þarfnast betri yfirferðar. Sem dæmi má nefna að í reglubókinni er vísað til ráðuneytis og ráðuneytisstjóra á nokkrum stöðum, einkum í verklagsreglum um tölvupóst. Í þeim verklagsreglum gætir jafnframt ósamræmis á milli ákvæða, en annars vegar er þar vísað til þess í 1. gr. að einkapóstur starfsmanns þurfi að vera sérstaklega merktur sem slíkur eða varðveittur í möppu, og hins vegar eru tilgreind önnur og víðtækari viðmið um það hvenær tölvupóstur telst einkapóstur starfsmanns í 5. gr. reglnanna. Að auki skal áréttað að reglurnar þurfa að samrýmast ákvæðum reglna Persónuverndar nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem til verða við rafræna vöktun, sbr. einkum 9. gr. þeirra, en einnig má hafa hliðsjón af auglýsingu nr. 1001/2001 um leiðbeiningar varðandi eftirlit vinnuveitenda með tölvupóst- og netnotkun starfsmanna.
Annað dæmi um ákvæði í reglubókinni sem þarfnast yfirferðar er kafli 13.2.2 um samninga um flutning á upplýsingum, þar sem meðal annars er vísað til samninga um skipti persónuupplýsinga við ytri aðila. Tilgangur ákvæðisins er óljós og ekki ljóst hverjir falla undir hugtakið ytri aðilar, svo dæmi sé nefnt.
Eins og fram kom í umfjöllun framar í bréfinu um upplýsingaöryggisstefnu [skólans] var þar að finna ákvæði um að þess skyldi gætt að upplýsingum um hinn skráða væri þá aðeins deilt með þriðja aðila að fyrir lægi samþykki hins skráða eða forráðamanna hans. Fram kom að ákvæði þetta væri ekki talið samrýmast ákvæðum laga nr. 77/2000. Persónuvernd vekur athygli á því að sambærilega athugasemd má gera við ákvæði í fyrrnefndri reglubók, sbr. t.d. ákvæði 18.1.3.2 og 18.1.4.3, ásamt tengdum ákvæðum (svo sem gr. 18.1.4.6). Þá má að auki benda á ákvæði 18.1.4.10, þar sem segir að óheimilt sé að veita hinum skráða upplýsingar um sig ef þær geti afhjúpað upplýsingar um annan einstakling og upplýsingarnar sé ekki hægt að skilja að eða ef skólinn hefur veitt upplýsingarnar löggæsluyfirvöldum vegna gruns um refsiverðan verknað. Persónuvernd telur að þessi ákvæði samrýmist ekki fyllilega ákvæðum persónuverndarlaga um upplýsingarétt hins skráða og takmarkanir á þeim rétti, sbr. 18. og 19. gr. laga nr. 77/2000. Að auki má benda á að við beitingu ákvæðis 18.1.4.11 um leiðréttingu og eyðingu persónuupplýsinga þarf að huga að ákvæðum annarra laga, sem kunna að koma í veg fyrir eyðingu eða breytingu upplýsinganna, sbr. t.d. 2. mgr. 25. gr. laga nr. 77/2000.
Að lokum bendir Persónuvernd á að í 15. kafla reglubókarinnar er fjallað um þjónustusamninga í tengslum við upplýsingaöryggi í birgjasamböndum. Er þar meðal annars gerður áskilnaður um að meta áhættu tengda aðgengi þjónustuaðila að upplýsingaeignum, og hvort þjónustan standist öryggiskröfur skólans, áður en gengið er til samninga. Ekki er hins vegar minnst á vinnslusamninga samkvæmt ákvæðum laga um persónuvernd eða þær kröfur sem gerðar eru til slíkra samninga. Í þessu sambandi skal minnt á ákvæði 13. gr. laga nr. 77/2000.
Með vísan til framangreinds er lagt fyrir [skólann] að endurskoða gögn um öryggisráðstafanir og fyrirkomulag innra eftirlits, þ.e. fyrrgreinda reglubók, með hliðsjón af þeim sjónarmiðum sem hér hafa verið rakin og senda Persónuvernd uppfærð gögn innan þess frests, sem tilgreindur er í niðurstöðu bréfs þessa.
Samkvæmt fyrirmælum Persónuverndar í áliti stofnunarinnar frá 22. september 2015 átti jafnframt, við gerð öryggisráðstafana, að huga sérstaklega að eftirfarandi atriðum:
i) Undirritun þagnarskylduyfirlýsinga.
Drög að þagnarskylduyfirlýsingu fylgdu með fyrrnefndri skýrslu starfshóps um skoðun á skráningum upplýsinga um nemendur í rafræn upplýsingakerfi sem barst Persónuvernd í nóvember 2016. Ekki liggur hins vegar fyrir staðfesting á því að notendur Mentor í [skólanum] hafi verið beðnir um að undirrita þagnarskylduyfirlýsingu.
Með vísan til framangreinds óskar Persónuvernd eftir að [skólinn] upplýsi um það, innan þess frests sem tilgreindur er í niðurstöðu bréfs þessa, hvort þeir starfsmenn skólans, sem hafa aðgang að Mentor, hafi undirritað þagnarskylduyfirlýsingar.
ii) Reglubundinni fræðslu til handa starfsmönnum þar sem þeim er gerð grein fyrir starfsskyldum sínum og afleiðingum þess að brjóta þær.
Í bréfi skóla- og frístundasviðs Reykjavíkurborgar til Persónuverndar, dags. 22. ágúst 2016, kemur fram að í bréfi til skólastjóra, þar sem þeim yrðu sendar leiðbeiningar, yrði þeim gert að fræða allt starfsfólk skólans um þær.
Þá segir í ákvæði 7.2.2 í reglubók með öryggis- og verklagsreglum, sem barst Persónuvernd með tölvupósti frá skóla- og frístundasviði Reykjavíkurborgar þann 28. desember 2017, að grunnskóli skuli tryggja að sérhver starfsmaður hans hljóti grunnfræðslu í öryggismálum og að þeir starfsmenn sem starfi við gagnavinnslu hljóti nauðsynlega símenntun á þessu sviði til að tryggja að fyllsta öryggis sé gætt. Jafnframt kemur fram að á minnst tveggja ára fresti skuli haldnir fræðslufundir og/eða námskeið, þar sem m.a. er farið yfir öryggisreglur.
Í gögnum málsins er hins vegar ekki að finna upplýsingar um fræðslu gagnvart starfsmönnum um starfsskyldur þeirra, að því er snýr að meðferð persónuupplýsinga, og afleiðingum þess að brjóta þær, að öðru leyti en um öryggismál, sbr. framangreint. Ekki liggur heldur fyrir hvernig tryggt verður að fræðslan verði reglubundin, eða að haldin verði skrá um hana, svo sem mælt var fyrir um í áliti Persónuverndar.
Persónuvernd telur því, með hliðsjón af framansögðu, að fyrrgreind fyrirmæli stofnunarinnar um reglubundna fræðslu til handa starfsmönnum og skrá um þá fræðslu hafi ekki verið uppfyllt með fullnægjandi hætti.
Er lagt fyrir [skólann] að bætt verði úr framangreindu, og Persónuvernd send staðfesting á að það hafi verið gert, innan þess frests sem tilgreindur er í niðurstöðu bréfs þessa.
iii) Notkun kennitölu sem notendanafns í Mentor verði hætt.
Persónuvernd féll frá þessari kröfu, sbr. bréf stofnunarinnar dags. 19. júlí 2017.
iv) Gerð verði krafa um að lykilorði notanda sé breytt við fyrstu innskráningu og það fullnægi skilyrðum til að teljast sterkt.
Í ákvæðum 9.2.4.5 og 9.3.1.5 í fyrrnefndri reglubók með öryggis- og verklagsreglum er kveðið á um að notandi skuli breyta bráðabirgðaaðgangsorði við fyrstu innskráningu og að gerðar verði kröfur um styrkleika lykilorðs.
Fram kemur í bréfi skóla- og frístundasviðs Reykjavíkurborgar til Persónuverndar, dags. 22. ágúst 2016, að þessar kröfur hafi þegar verið uppfylltar. Allir notendur þurfi að breyta lykilorði við fyrstu innskráningu og gerð sé krafa um sterkt lykilorð.
Með vísan til framangreinds er það afstaða Persónuverndar að fyrrgreind fyrirmæli teljist uppfyllt.
v) Öryggisráðstafanir tengdar fjaraðgangi starfsmanna að Mentor.
Kveðið er á um öryggisráðstafanir tengdar fjaraðgangi starfsmanna að Mentor í kafla 6.2.2 í fyrrnefndri reglubók um öryggis- og verklagsreglur, en þar segir m.a. að notast skuli við öruggar nettengingar til fjarvinnuaðgangs; að fjarvinnslustöð skuli vera með virkri og daglega uppfærðri vörn gegn spilliforritum og að ekki skuli vera opið fyrir annan vefaðgang en nauðsynlegur sé vegna fjarvinnunnar, þ.m.t. að samfélagsmiðlar séu ekki hafðir opnir á sama tíma og fjarvinna á sér stað.
Með vísan til framangreinds er það afstaða Persónuverndar að fyrrgreind fyrirmæli teljist uppfyllt.
vi) Upplýsingagjöf til handa starfsmönnum um skráningu aðgerða í Mentor og að settar verði reglur um notkun upplýsinga úr aðgerðaskrá.
Um atburðaskráningu er fjallað í kafla 12.4.1 í áðurnefndri reglubók um öryggis- og verklagsreglur. Hvorki í reglubókinni né öðrum framlögðum gögnum er hins vegar að finna ákvæði um upplýsingagjöf til starfsmanna um aðgerðaskráningu í Mentor. Þá liggur ekki fyrir að settar hafi verið reglur um notkun upplýsinga úr aðgerðaskrá.
Með vísan til þess er það afstaða Persónuverndar að fyrrgreind fyrirmæli hafi ekki verið uppfyllt. Persónuvernd leggur fyrir [skólann] að bætt verði úr framangreindu, og Persónuvernd send staðfesting á að það hafi verið gert, innan þess frests sem tilgreindur er í niðurstöðu bréfs þessa.
5. Í fimmta lagi bar [skólanum] að semja við vinnsluaðila í samræmi við ákvæði 13. gr. laga nr. 77/2000, sem felur m.a. í sér að sannreyna hvort vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit áður en samningur er undirritaður.
Persónuvernd vekur athygli á því að í vinnslusamningi [skólans] við Infomentor ehf. er ekki tilgreint sérstaklega til hvaða vinnslu persónuupplýsinga samningurinn tekur.
Auk þess er í vinnslusamningi ekki fjallað um afleiðingar þess ef vanefndir verða af hálfu ábyrgðaraðila. Að mati Persónuverndar er eðlilegt að vinnslusamningurinn kveði á um hvaða úrræði séu heimil af hálfu vinnsluaðila ef til slíks kemur, svo sem ef greiðslufall verður af hálfu ábyrgðaraðila. Þarf hér meðal annars að hafa hliðsjón af skyldu grunnskóla til varðveislu gagna samkvæmt 24. gr. laga nr. 77/2014 um opinber skjalasöfn.
Þá er Infomentor ehf., í viðauka við vinnslusamninginn, veittur 12 mánaða frestur frá undirritun vinnslusamningsins og viðaukans til að framkvæma nánar tilteknar úrbætur sem varða öryggi og innra eftirlit hjá fyrirtækinu, en þ. á m. er framkvæmd áhættumats og skjalfesting áætlunar um innleiðingu öryggisráðstafana í kjölfar þess. Ef þetta ákvæði kæmi til framkvæmda myndu ábyrgðaraðilar ekki uppfylla þau fyrirmæli sem kveðið var á um í áliti Persónuverndar í máli nr. 2015/1203 fyrr en 15. desember 2018, eða rúmum þremur árum eftir skýra niðurstöðu Persónuverndar í máli þessu. Slíkur frestur til handa vinnsluaðila, sem gefur sig út fyrir að starfa á þessu sviði á grundvelli sérþekkingar, er að mati Persónuverndar með öllu óásættanlegur.
Með vísan til framangreinds er lagt fyrir [skólann] að sannreyna nú þegar að Infomentor ehf. geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit, og skal skólinn upplýsa Persónuvernd um niðurstöður þeirrar skoðunar innan þess frests, sem tilgreindur er í niðurstöðu bréfs þessa. Þá skal [skólinn] senda Persónuvernd uppfærðan vinnslusamning þar sem kveðið er á um heimil úrræði fyrir vinnsluaðila vegna hugsanlegra vanefnda ábyrgðaraðila.
6. Í sjötta og síðasta lagi var [skólanum] gert að senda Persónuvernd skriflega lýsingu á því hvernig eftirliti yrði háttað framvegis svo að skráningar í Mentor samrýmdust ákvæðum laga nr. 77/2000 og reglugerð nr. 897/2009.
Með hliðsjón af öllum framangreindum athugasemdum Persónuverndar við framkomin gögn [skólans], og þar sem ekki hefur enn verið farið að fyrirmælum stofnunarinnar í máli þessu nema að hluta, er stofnuninni að svo stöddu ekki unnt að taka afstöðu til þess hvort fyrirhugað fyrirkomulag eftirlits með skráningum í Mentor teljist fullnægjandi.
III.
Niðurstaða
Með vísan til alls framangreinds er það niðurstaða Persónuverndar að [skólinn] hafi ekki enn farið að öllum þeim fyrirmælum sem lögð voru fyrir skólann í áliti Persónuverndar frá 22. september 2015. Lagt er fyrir skólann að gera allar nauðsynlegar úrbætur, sbr. umfjöllun í II. kafla hér að framan, og senda Persónuvernd staðfestingu á því að það hafi verið gert, ásamt afritum af viðeigandi gögnum, eigi síðar en 15. ágúst 2018.
Ef engin gögn berast fyrir tilgreindan frest, eða ef gögn eru ófullnægjandi, mun Persónuvernd taka til skoðunar að stöðva frekari skráningu persónuupplýsinga í Mentor hjá skólanum, með vísan til 40. gr. laga nr. 77/2000, þar til fyrirmæli í áliti Persónuverndar frá 22. september 2015 hafa verið uppfyllt að fullu.
Vakin er athygli á því að bréf þetta verður birt á vefsíðu Persónuverndar. Nafn skólans verður afmáð til að draga úr hættu á öryggisbresti hjá skólanum.