Ákvörðun um öryggi persónuupplýsinga hjá Lögreglunni á höfuðborgarsvæðinu - mál nr. 2014/1470

4.3.2015

Ákvörðun

 

Hinn 25. febrúar 2015 tók stjórn Persónuverndar svohljóðandi ákvörðun í máli nr. 2014/1470:

 

1.

Tildrög máls og bréfaskipti

Þann 28. október 2014 hóf Persónuvernd athugun að eigin frumkvæði í kjölfar fréttaflutnings  um afhendingu á skýrslu lögreglunnar á höfuðborgarsvæðinu með heitinu „Samantekt á skipulagi lögreglu við mótmælin 2008-2011“, sem innihélt m.a. viðkvæmar persónuupplýsinga fengnar úr málaskrárkerfi lögreglu, Löke, til þriðju aðila Með bréfi, dags. 28. október 2014, óskaði stofnunin eftir að lögreglan á höfuðborgarsvæðinu upplýsti um tiltekin atriði varðandi öryggisráðstafanir í kjölfar mistaka sem urðu við afhendingu skýrslunnar, og greint hafði verið frá í fjölmiðlum. Óskaði stofnunin eftir því að lögreglan upplýsti um eftirfarandi:

Með bréfi, dags. 29. okóber 2014, óskaði Persónuvernd jafnframt eftir upplýsingum um það hvort lögreglan hefði afhent fjölmiðlum skýrsluna að eigin frumkvæði eða að ósk fjölmiðla, og á hvaða lagagrundvelli slík afhending hafi byggst.

Í svarbréfi lögreglunnar á höfuðborgarsvæðinu, dags. 11. nóvember 2014, segir m.a. um málavexti að úrskurðarnefnd um upplýsingamál hafi kveðið upp úrskurð í máli nr. 541/2014, þann 8. október 2014, þess efnis að lögreglustjóranum á höfuðborgarsvæðinu væri skylt að veita kæranda aðgang að skýrslunni „Samantekt á skipulagi lögreglu við mótmælin 2008 til 2011“, en þó með þeim hætti að lagt var fyrir embættið að afmá tilteknar persónuupplýsingar úr textanum fyrir afhendingu. Þá tiltók lögreglan að í flestum tilvikum væri um að ræða persónurekjanlegar upplýsingar eins og nafn og kennitölu en ekki var lagt fyrir embættið að afmá allar persónurekjanlegar upplýsingar úr samantektinni s.s. nöfn mótmælenda, heimilsföng, nöfn skipuleggjenda mótmæla, eigendur ökutækja o.s.frv. Samkvæmt lögreglu voru tilgreindar upplýsingar afmáðar fyrir afhendingu skýrslunnar til kæranda, í samræmi við það sem fyrir var lagt í úrskurði úrskurðarnefndarinnar. Samkvæmt beiðni kæranda var umrædd skýrsla afhent á tölvutæku formi, þannig að mögulegt var að afturkalla þær breytingar sem gerðar voru til að afmá í texta, í pdf-skjali til kæranda, með því að umbreyta því yfir í word-skjal, eins og nánar verður rakið síðar.

 

Svör lögreglu við einstökum spurningum stofnunarinnar eru eftirfarandi:

Í svari lögreglu við fyrstu spurningu Persónuverndar, um það með hvaða hætti lögreglan hyggðist tryggja öryggi þeirri persónuupplýsinga sem finna mátti í skýrslunni, kemur fram að það heyri til undantekninga að gögn og upplýsingar sem eru til hjá lögreglu séu afhent í öðrum tilvikum en vegna meðferðar barnaverndarmála, sakamála eða lögreglumála á grundvelli lagaheimilda þar um. Því sé óvenjulegt að lögregla standi frammi fyrir því að afhenda skjöl með þeim fyrirvara að afmá hluta efnis eða texta. Var afmáning tiltekinna persónuupplýsinga úr samantektinni, samkvæmt úrskurði úrskurðarnefndar um upplýsingamál, í höndum starfsmanna með almenna tölvuþekkingu. Var texti afmáður í upphafi með því að yfirstrika hann með bleki en sú aðferð hafi ekki verið fullnægjandi að mati viðkomandi starfsmanns. Hann hafi því haft samráð við samstarfsfélaga og í kjölfarið ákveðið að skyggja texta samantektarinnar rafrænt, sem hann hafði í tölvutæku formi, með svartri þekju (highlight text). Taldi viðkomandi sig þannig hafa, með fullnægjandi hætti, gengið úr skugga um það að textinn væri tryggilega afmáður í prentuðu eintaki af samantektinni. Að þessari vinnslu lokinni sendi hann skjalið til annars starfsmanns sem átti að annast afhendingu á útprentuðum eintökum af því. Sá starfsmaður prentaði skjalið út og vistaði það í kjölfarið sem pdf-skjal. Var kæranda í máli nr. 541/2014 hjá úrskurðarnefnd um upplýsingamál loks boðið að sækja útprentað eintak af samantektinni. Var henni, samkvæmt ósk kæranda þar um, afhent rafrænt eintak af hinu yfirstrikaða skjali eftir að það hafði verið vistað á pdf-formi. Í kjölfarið hafi fjölmiðlar fengið afhenta útrprentun af samantektinni með afmáðum texta.

Í svari lögreglu við annarri spurningu stofnunarinnar, um það hvað hafi valdið því að umræddar öryggisráðstafanir mistókust og viðkvæmar persónuupplýsingar hafi borist óviðkomandi, segir að lögreglunni hafi borist ábending frá DV innan klukkustundar frá afhendingu samantektarinnar til fjölmiðla um að unnt væri að greina afmáðan texta væri skjalið borið að ljósi, þrátt fyrir yfirstrikun hans. Þegar þessi ábending barst embættinu hafði kæranda verið send samantektin sem pdf-skjal og útprentun afhent DV, fréttastofu RÚV og Morgunblaðinu. Um leið og þetta hafi orðið ljóst hafi embættið ekki afhent fleiri eintök af skýrslunni. Þá reyndi lögreglan að innkalla umrædd eintök frá fyrrnefndum fjölmiðlum. Þá segir í bréfinu að um kvöldið hafi lögreglan unnið að því að taka þann texta úr skjalinu sem átti að afmá með því að fara inn í skjalið og eyða þeim texta út sem átti að afmá og setja jafn mörg stafabil af „x“ í hans stað. Að þessari aðgerð lokinni var skjalið á ný vistað sem pdf-skjal. Fjögur eintök hafi í framhaldinu verið send út af þessari útgáfu skjalsins, þrjú þá um kvöldið til þeirra fjölmiðla sem áður höfðu fengið prentaða útgáfu af því og eitt morguninn eftir til 365 fjölmiðla. Síðar hefði komið í ljós að mögulegt væri að breyta pdf-skjali sem sent var kæranda og persónuupplýsinga hefðu verið afmáður með yfirstrikun. Með einfaldri aðgerð væri hægt að afturkalla yfirstrikanir, t.a.m. með því að færa textann yfir í word-skjal.

Þá segir jafnframt að fyrir liggi að aðgerð sem framkvæmd var til að afmá texta úr samantektinni hafi ekki verið fullnægjandi og örugg. Þá liggi einnig fyrir að, í þeirri viðleitni að að uppfylla óskir kæranda um að fá samantektina á tölvutæku formi, hafi samantektin verið afhent í því formi að mögulegt var að umbreyta pdf-skjali yfir í Word-skjal og afturkalla með því breytingarnar sem gerðar voru til að afmá texta. Auk þess hafi öll framkvæmd á verkefninu verið í höndum nokkurra starfsmanna og þar skorti á að til staðar í ferlinu væri nauðsynleg yfirsýn, eftirlit og að fram færi öryggisathugun. Enginn af þeim sem kom að þessu máli, eins og lýst er, geti talist sérfræðingur á þessu sviði, heldur starfsfólk með almenna tölvuþekkingu. 

Í svari lögreglu við þriðju spurningu Persónuverndar, um hvort til staðar væru reglur eða verkferlar varðandi miðlun viðkvæmra persónuupplýsinga til þriðju aðila, m.a. þar sem kveðið væri á um afmáningu persónuupplýsinga, segir að hjá embætti lögreglustjórans á höfuðborgarsvæðinu að slíkar reglur séu ekki til staðar. Engar upplýsingar liggja fyrir hjá embættinu um aðferðir til að tryggja örugga framkvæmd. Í kjölfar þessa atviks hafi þó verið spurst fyrir hjá hinum ýmsu stofnunum um leiðbeiningar og/eða verklag en sú eftirgrennslan hafi ekki borið árangur.

Í svari lögreglu við fjórðu spurningu Persónuverndar, um hvort  lögreglan hefði gripið til einhverra ráðstafana í kjölfar atviksins í þeim tilgangi að tryggja að sambærileg mistök verði ekki endurtekin, segir að mjög ítarleg athugun hjá embættinu á umræddu atviki hafi verið sett af stað í því skyni að afla upplýsinga um það sem fór úrskeiðis en jafnframt að lágmarka afleiðingar mistakanna. Þá sé unnið að því að kanna og skipuleggja hvernig megi framkvæma slíka aðgerð á texta í mismunandi formi til þess að tryggja og vernda persónuupplýsingar. Einnig segir að lögreglustjórinn á höfuðborgarsvæðinu muni, á grundvelli þeirrar könnunar, setja verklagsreglur og leiðbeiningar um slíka framkvæmd og hverjir eigi og geti annast hana fyrir hönd embættisins.

Eins og áður sagði óskaði Persónuvernd viðbótarskýringa frá lögreglunni, með bréfi, dags. 29. október 2014, um það, hvort lögreglan hefði afhent fjölmiðlum skýrsluna að eigin frumkvæði eða samkvæmt ósk þeirra og á hvaða lagagrundvelli slík afhending hafi byggst. Um það atriði segir lögregla að flestir fjölmiðlar hefðu óskað eftir eintaki af samantektinni þegar úrskurður úrskurðarnefndar um upplýsingamál lá fyrir. Þá segir að fjölmiðlar hafi ekki gert grein fyrir rétti sínum til að fá samantektina afhenta en það hafi legið fyrir að úrskurður nefndarinnar um afhendingu skýrslunnar hefði byggst á 5. gr. upplýsingalaga nr. 140/2012 sem fjalli um rétt almennings til aðgangs að gögnum. Niðurstaða nefndarinnar um að afmá upplýsingar hafi byggt á 9. gr. upplýsingalaga. Það hafi því verið skilningur embættisins að þeir sem óskuðu eftir afhendingu samantektarinnar, í kjölfar úrskurðarins, eftir að búið var að afmá upplýsingar samkvæmt ákvörðun nefndarinnar, ættu skýlausan rétt til þess.

Að lokum er þess getið í bréfi lögreglu að haft hafi verið samband við allmarga einstaklinga sem nefndir eru í samantektinni en mistókst að afmá. Í þeim samtölum hafi verið gerð grein fyrir mistökunum, beðist afsökunar á því að mistök hafi átt sér stað við afmáningu persónuupplýsinga um þá og skráð viðbrögð þeirra og óskir hafi þær komið fram. Einnig hafi verið fundað með þeim lögreglumönnum sem mistekist hafi að afmá nöfn þeirra, lögreglunúmer eða aðrar viðkvæmar persónuupplýsingar. Reynt hafi verið að fylgja óskum og ábendingum þeirra eins og kostur er.

 

2.

Forsendur og niðurstaða

2.1.

Þau lög, sem Persónuvernd framfylgir og starfar eftir, þ.e. lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, gilda um vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst lögreglan á höfuðborgarsvæðinu vera ábyrgðaraðili að umræddri vinnslu.

Af framangreindu er ljóst að í samantekt lögreglunnar á höfuðborgarsvæðinu á skipulagi lögreglu við mótmælin 2008-2011 fólst vinnsla persónuupplýsinga sem fellur undir gildissvið laga nr. 77/2000.

 

2.2

Afmörkun úrlausnarefnis/Lögmæti vinnslu

Frumkvæðisathugun þessi beinist að öryggi þeirra persónuupplýsinga sem unnið var með vegna samantektar lögreglunnar á höfuðborgarsvæðinu, á skipulagi lögreglu við mótmælin 2008-2011. Af þeim sökum er ekki tekin afstaða til lögmætis vinnslu persónuupplýsinga hjá lögreglunni á höfuðborgarsvæðinu í tengslum við gerð umræddrar samantektar.

Persónuvernd hefur hins vegar, með úrskurðum í málum nr. 2014/1474, 2014/1541, 2014/168[4] og 2014/1715, dagsettir 25. febrúar 2015, komist að niðurstöðu um lögmæti vinnslu persónuupplýsinga kvartenda í samantektinni.

 

2.3.

Upplýsingaöryggi

Helstu ákvæðin um öryggi persónuupplýsinga er að finna í 11. gr. laga nr. 77/2000, sbr. og reglur Persónuverndar þar að lútandi nr. 299/2001, en þær eru settar með stoð í 3. mgr. 11. gr. Samkvæmt 1. mgr. þeirrar greinar skal sá sem ábyrgð ber á vinnslu persónuupplýsinga gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá skal samkvæmt 2. mgr. beita ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra.

Í reglum nr. 299/2001 segir ennfremur í 1. gr. að markmið þeirra sé að tryggja öryggi við vinnslu persónuupplýsinga, en í því felst að tryggja eðlilega leynd upplýsinganna, lögmætan aðgang að þeim, gæði þeirra og áreiðanleika. Sem dæmi um öryggisráðstafanir, sem telja má eðlilegt að beita við umrædda vinnslu, í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum mannlegra mistaka, þjófnaðar, svika og annarrar misnotkunar, má nefna að skilgreind séu með skýrum hætti hlutverk og skyldur hvers starfsmanns sem hefur aðgang að persónuupplýsingum, þ.á m. hverjir beri ábyrgð á einstökum skráasöfnum, sbr. 3. tölul. 5. gr. reglna nr. 299/2001 og að starfsmönnum sé reglulega gerð grein fyrir starfsskyldum sínum og þeim afleiðingum sem það getur haft í för með sér að brjóta þær, sbr. 4. tölul. 5. gr. sömu reglna; að dulkóða eða eyða persónuauðkennum, eða að setja númer í stað persónuauðkenna, sbr. 2. tölul. 7. gr. reglnanna og að unnt sé að rekja uppflettingar og aðrar vinnsluaðgerðir, sbr. 3. tölul. í sömu grein.

Eftir atvikum kunna ýmsar fleiri öryggisráðstafanir að koma til greina og má þar nefna aðrar þær ráðstafanir sem taldar eru upp í reglum nr. 299/2001. Að öðru leyti en kemur fram í reglum nr. 299/2001 segir í 1. gr. þeirra að einnig megi til hliðsjónar og leiðbeiningar styðjast við staðalinn ÍST ISO/IEC 27001 Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsinga – Kröfur.

Auk framangreinds ber að skjalfesta hvernig öryggis persónuupplýsinga er gætt, sbr. 5. mgr. 11. gr. laga nr. 77/2000 þar sem kveðið er á um að ábyrgðaraðili að vinnslu persónuupplýsinga skuli skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 3. gr. reglna nr. 299/2001 þar sem nánar er kveðið á um hvernig standa skal að skjalfestingu upplýsingaöryggis.

Einnig ber að viðhafa innra eftirlit með vinnslu persónuupplýsinga, þ.e. eftirlit með því að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið, sbr. 1. mgr. 12. gr. laga nr. 77/2000. Innra eftirlit skal viðhaft með reglubundnum hætti og eigi sjaldnar en árlega, sbr. 2. mgr. 12. Þá skal gerð skýrsla um hverja aðgerð sem er liður í innra eftirliti, sbr. 3. mgr. sömu greinar.

Það er hlutverk ábyrgaraðila að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar sem unnið er með gegn óleyfilegum aðgangi. Það er á ábyrgð lögreglunnar á höfuðborgarsvæðinu að ganga úr skugga um að  áhættumat og öryggisráðstafanir embættisins séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. 11. gr. laganna. Lögreglunni ber einnig að stuðla að því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur, sbr. 4. mgr. sömu greinar. Ef ekki eru til staðar starfsmenn hjá lögreglunni á höfuðborgarsvæðinu, sem búa yfir nægilegri sérþekkingu til að tryggja öryggi þeirra persónuupplýsinga sem embættið ber ábyrgð á er nauðsynlegt að þeirrar sérfærðiþekkingar sé aflað utan frá, frá þar til bærum þriðja aðila, s.s.  einstaklingi, fyrirtæki eða stofnun sem býr yfir sérþekkingu á upplýsingaöryggi.

Ætla má að þær upplýsingar sem skráðar eru hjá lögreglunni á höfuðborgarsvæðinu geta talist mönnum hvað viðkvæmastar og er nauðsynlegt við gerð áhættumats og skráningar öryggisráðstafana að taka mið að því. Í svarbréfi lögreglu frá 11. nóvember 2014 kemur fram að afmáning persónuupplýsinga úr samantektinni hafi verið í höndum nokkurra starfsmanna, en enginn þeirra sem kom að umræddu máli geti talist sérfræðingur, heldur var um að ræða starfsfólk með almenna tölvuþekkingu. Þá kom fram að skort hefði á nauðsynlega yfirsýn yfir vinnslun[ni], eftirlit og að fram færi öryggisathugun. Þá greindi lögreglan frá því að hvorki væru til staðar reglur eða verkferlar varðandi miðlun viðkvæmra persónuupplýsinga frá embættinu til þriðju aðila, m.a. þar sem kveðið væri á um afmáningu persónuupplýsinga og að engar upplýsingar liggi fyrir hjá embættinu um þá aðferðarfræði sem þurfi að viðhafa til þess að slík framkvæmd sé örugg.

Í ljósi alls framangreinds er það niðurstaða Persónuverndar að öryggi vinnslu persónuupplýsinga í samantekt lögreglu á skipulagi við mótmælin 2008-2001 hafi ekki verið nægilega tryggt.

 

2.4.

Samkvæmt 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 hefur Persónuvernd það hlutverk að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum. Þá segir í 1. mgr. 40. gr. laganna að Persónuvernd geti lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslu. Með vísan til þessara ákvæða og í ljósi framangreinds er hér með lagt fyrir lögregluna á höfuðborgarsvæðinu að setja sér verklagsreglur um hvernig öryggis og trúnaðar sé gætt við meðferð persónuupplýsinga í málaskrárkerfi lögreglu, LÖKE, í samræmi við 5. mgr. 11. gr. laga nr. 77/2000 og 1. mgr. 3. gr. reglna nr. 299/2001, með tilliti til þeirra annmarka sem leiddu til þess að viðkvæmar persónuupplýsingar bárust óviðkomandi aðilum. Framangreindar verklagsreglur skulu sendar Persónuvernd fyrir 31. maí 2015.