Úrlausnir

Niðurstaða úttektar á öryggiskerfi lífsýnasafns Urðar Verðandi Skuldar ehf.

31.5.2006

I.
Boðun úttektar og bréfaskipti
Með bréfi Persónuverndar til Urðar Verðandi Skuldar ehf. (UVS), dags. 30. júlí 2002, var, með vísan til 2. tl. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, boðuð úttekt á öryggiskerfi lífsýnasafns fyrirtækisins. Eins og greint var frá í bréfinu er úttektin liður í heildstæðri athugun Persónuverndar á öryggi persónuupplýsinga hjá flestum lífsýnasöfnum á landinu.

Í framangreindu bréfi óskaði Persónuvernd eftir því að lífsýnasafn UVS legði fram skrifleg gögn um öryggiskerfi safnsins, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. og 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, þ.e. öryggisstefnu, áhættumat og lýsingu á öryggi ráðstöfunum.

Þann 28. október 2002 bárust Persónuvernd umbeðin gögn, þ.e. "Öryggishandbók UVS", auk útprentunar á áhættumati fyrir lykileignir fyrirtækisins, dags. 25. október s.á.

Með bréfi Persónuverndar, dags 16. desember 2002, voru UVS kynntar hugmyndir stofnunarinnar um framhald úttektarinnar. Þá var gerð grein fyrir áætluðum kostnaði fyrirtækisins vegna hennar, sbr. 4. mgr. 37. gr. laga nr. 77/2000. UVS gerði engar athugasemdir við framkvæmd úttektarinnar en gerði athugasemdir varðandi kostnaðarþáttinn, síðast með tilteknum fyrirvara í bréfi 14. nóvember 2003. Persónuvernd gerði ekki athugasemd við þann fyrirvara.

II.
Aðkoma sérfræðings að úttektinni og
skýrsla hans um niðurstöðu vettvangsathugunar

Þann 6. febrúar 2004 gerði Persónuvernd samning við Dómbæ ehf., um framkvæmd vettvangsathugunar á starfsstöð lífsýnasafns UVS og að Persónuvernd yrði afhent skýrsla um niðurstöðu hennar. Eru sérfræðingar félagsins sem unnu samkvæmt samningnum bundnir trúnaðar- og þagnarskyldu um það sem þeir urðu áskynja um í störfum sínum fyrir Persónuvernd, sbr. ákvæði samnings og skriflegar yfirlýsingar þar að lútandi.

Samkvæmt samningnum skyldi Dómbær ehf. semja gátlista fyrir vettvangsathugun, byggðan á lýsingu ábyrgðaraðila lífsýnasafnsins á þeim öryggisráðstöfunum sem þar er beitt er til að gæta öryggis persónuupplýsinga. Því næst skyldi framkvæma vettvangsathugun á grundvelli gátlistans á starfsstöð lífsýnasafns UVS. Að vettvangsathugun lokinni skyldi skila Persónuvernd lokaskýrslu um niðurstöður hennar, þar sem kæmi fram hvaða öryggisráðstafanir af þeim sem kannaðar hefðu verið reyndust sem skyldi og eftir atvikum hverjar ekki.

Vettvangsathugun fór fram þann 24. febrúar 2004. Greinir höfundur skýrslunnar, Ingunn Ingimarsdóttir, sérfr., frá niðurstöðum sínum í skýrslu dags. 26. febrúar 2004. Í kafla skýrslunnar sem ber yfirskriftina "Ákvarðanir um öryggismál", er almennt fjallað um þau skriflegu gögn um öryggi persónuupplýsinga sem ábyrgðaraðili safnsins lagði fram. Þar segir m.a.:

"Þrátt fyrir að í einstaka tilvikum sé í framlögðum skjölum UVS-Urðar,Verðandi,Skuldar ehf. vísað til skjala, sem ekki voru lögð fram vegna úttektarinnar, virðast þær ákvarðanir, sem liggja til grundvallar ákvörðunum um öryggismál hjá UVS-Urðar,Verðandi,Skuldar ehf., að mestu leyti vera skjalfestar með ágætlega skýrum og skipulagsbundnum hætti."

Í lokakafla skýrslunnar er lagt heildstætt mat á niðurstöður þeirra prófana sem gerðar voru á öryggisráðstöfunum og þær dregnar saman með svofelldum hætti:

"Af þeim 40 prófum sem framkvæmd voru, telst öryggiskerfi lífsýnasafnsins hafa staðist 32, en ekki staðist átta. Margar þeirra átta eru hins vegar ýmist prófanir á ráðstöfunum sem eru æskilegar og gagnlegar, en e.t.v. ekki bráðnauðsynlegar, eða prófanir á ráðstöfunum sem þegar er fyrirhugað að endurbæta.

Því er niðurstaða úttektar þessarar sú, með framangreindum fyrirvörum, að prófanir bendi til þess að þrátt fyrir minni háttar athugasemdir þá sé öryggiskerfi lífsýnasafns UVS-Urði,Verðandi,Skuld ehf. að mestu leyti í ágætu ástandi.

Engra brýnna úrbóta virðist þörf, á grundvelli úttektarinnar, en nokkur svið öryggiskerfisins virðist að ósekju mega bæta að hluta til, sbr. framanritað."

Uppbygging skýrslunnar er miðuð við þá flokkun öryggisráðstafana sem byggt er á í reglum nr. 918/2001, um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum. Ekki eru talin vera efni til þess að fjalla sérstaklega um þær öryggisráðstafanir sem að við prófun reyndust vera í samræmi við lýsingu í öryggishandbók. Hins vegar verður farið yfir þær öryggisráðstafanir sem reyndust ekki vera viðhafðar eða voru með öðrum hætti en greinir í öryggishandbók.

3.1. Ytra öryggi
Rekstraraðili lífsýnasafns skal viðhafa ráðstafanir til að hindra og takmarka tjón af völdum óheimils aðgangs að lífsýnasafni. Í því skyni skal þess gætt að hýsa sýni og persónuauðkenni á fyrirfram skilgreindum svæðum er lúta skýrri aðgangsstjórnun. Þá skal haga ytra umhverfi safnsins þannig að það hindri óheimilan aðgang, skemmdir og truflanir. Loks skal varðveita lífsýni, eftir því sem við verður komið, í læstum hirslum eða með öðrum sambærilega tryggum hætti þegar ekki er verið að vinna með sýnin, sbr. 1. mgr. 6. gr. reglna nr. 918/2001.

Í öryggishandbók UVS segir m.a. varðandi ytra öryggi: "..allar læstar dyr eru með hljóðgjafa sem gefur merki ef dyrum er ekki lokað."

Í skýrslu sérfræðings kemur fram að prófaðar hafi verið fernar dyr, en af þeim hafi þrennar dyr ekki virkað sem skyldi. Ekki hafi verið fundin skýring á þessu, en að kerfið sé prófað á sex mánaða fresti og að stjórnstöð hljóðgjafa sé ekki aðgengileg öðrum en utanaðkomandi þjónustuaðilum.

3.2. Vinnuferli til að tryggja órofinn rekstur
Rekstraraðili lífsýnasafns skal viðhafa sérstakar ráðstafanir til að draga úr hættu á truflunum, að rekstur rofni eða lífsýni og öryggi skaðist, af völdum náttúruhamfara, slysa, bilunar í búnaði eða skemmdarverka, sbr. nánar efni 2. mgr. 6. gr. reglna nr. 918/2001.

Um öryggisráðstöfun í þessu sambandi segir m.a. í öryggishandbók UVS: "Verklagsreglur um aðgerðir við rýmingu húsnæðis vegna rafmagnsskemmda, bruna, náttúruhamfara eða annars sem skerðir starfsemi fyrirtækisins hafa verið skjalfestar og verða kynntar starfsmönnum fyrirtækisins með reglubundnum hætti a.m.k. einu sinni á ári í tengslum við endurskoðun öryggishandbókar".

Í viðtali við starfsmann í lífsýnageymslu lífsýnasafns UVS kom aftur á móti fram að honum hefðu ekki verið kynntar umræddar reglur á síðastliðnu ári. Haldinn hefði verið kynningarfundur í desember, en umræddur starfsmaður ekki komist á hann.

Þá segir í öryggishandbók UVS: "Díselrafstöð (margföld öll rafmagnsnotkun í dag) er í áfastri byggingu vestan við húsið. Rafstöðin er prófuð á 3 mánaða fresti til að tryggja að hún virki, sjá 3.1." og "Frystar og kælar á rannsóknastofu eru tengdir við varaaflstöð".

Ekki reyndist unnt að sýna sérfræðingnum skýrslur yfir prófanir stöðvarinnar síðustu 12 mánuði. Í framlögðum gögnum var hins vegar að finna yfirlit yfir prófanir rafstöðvarinnar sem náði aftur til ársins 2002. Þá kemur fram í skýrslu sérfræðingsins að eftirlitið hafi reglulega farið fram á umræddu tímabili, en að láðst hafi að rita skýrslu því til staðfestingar.

3.3. Öryggisráðstafanir varðandi starfsmannamál
Ábyrgðaraðila ber að viðhafa tilteknar ráðstafanir varðandi starfsmannamál til að draga úr hættu á tjóni af völdum mannlegra mistaka, þjófnaðar, svika eða annarrar misnotkunar, sbr. nánar efni 7. gr. reglna nr. 918/2001.

Í öryggishandbók UVS segir m.a.: "Þegar verktakar koma til vinnu innan UVS, er sú vinna framkvæmd af sérstökum tengiliðum og hefur verið gengið úr skugga um að viðkomandi tengiliður hafi undirritað trúnaðaryfirlýsingu hjá fyrirtækis".

Til þess að prófa þessa fullyrðingu fór sérfræðingurinn fram á að honum yrði sýnt eintak af undirritaðri trúnaðaryfirlýsingu þeirra verktaka sem annast förgun sýna hjá lífsýnasafni UVS. Hana reyndist hins vegar ekki unnt að finna.

3.4. Aðgangsstjórnun
Samkvæmt 8. gr. reglna nr. 918/2001 skal viðhafa aðgangsstjórnun í því skyni að stjórna aðgangi að upplýsingum til að tryggja öryggi þeirra. Hafa ber hliðsjón af öryggiskröfum og þeim ákvörðunum sem leyfishafi, stjórn lífsýnasafns eða annar þar til bær aðili hefur tekið um miðlun upplýsinga og aðgang að þeim.

Getið er um öryggisráðstöfun í öryggishandbók UVS sem lýtur að þessu, sbr. eftirfarandi: "Notendum tölvukerfis er skipt í hópa miðað við þau verkefni sem einstaklingar innan hópsins vinna. Hver hópur hefur sams konar aðgang að stýrikerfi og notkunarforritum. Aðgangur að viðkvæmum gögnum er bundinn við einstaka notendur. Yfirmaður upplýsingasviðs ákveður hvaða aðgang einstakir starfsmenn hafa en kerfisstjóri sér um að úthluta aðgangi. Aðgangsréttindi skal skjalfesta í starfslýsingu öryggishandbókar".

Til þess að prófa þessa öryggisráðstöfun óskaði sérfræðingurinn eftir því að honum yrði sýnd skipting notenda tölvukerfis UVS í hópa. Enn fremur að honum yrði sýnd skjalfest lýsing á aðgangsréttindum skv. starfslýsingum í öryggishandbók. Umrædda skjalfesta lýsingu var hins vegar ekki að finna í öryggishandbókinni, en við skoðun tölvukerfis sást skipting á notendum í hópa og aðgangsheimildir þeirra.

3.5. Endurskoðun og innra eftirlit
Ábyrgðaraðila ber reglulega, og eigi sjaldnar en árlega, að endurskoða þær aðgerðir sem gripið er til á grundvelli reglna nr. 918/2001, sbr. 10. gr. þeirra.

Um öryggisráðstöfun í þessu sambandi segir m.a. Í öryggishandbók UVS: "Afritunarprófanir skulu framkvæmdar 1 x í mánuði. Athuga skal og endurheimta frá öllum þjónum (system + data). [...]".

Ekki reyndist unnt að sýna sérfræðingi skýrslur um afritunarprófanir. Í skýrslu hans segir að skýringuna megi rekja til þess að þrátt fyrir að afritunarprófanir séu framkvæmdar mánaðarlega frá öllum þjónum séu engar skýrslur gerðar um þessar prófanir, heldur einungis þegar um er að ræða frávik.

Þá er gerð grein fyrir svohljóðandi öryggisráðstöfun í öryggishandbók UVS: "..öll frábrigði skal tilkynna til öryggisfulltrúa rannsóknastofu eða fulltrúa í öryggisnefnd eftir því sem við á. Eyðublöð til skráningar frábrigða skulu liggja frammi til að auðvelda skýrslugerð".

Ekki reyndist unnt að sýna sérfræðingi dæmi um útfyllt eyðublað eða skýrslu um öryggisfrábrigði, þar sem umrædd eyðublöð voru enn í hönnun. Hins vegar er þess getið í skýrslu sérfræðingsins að öll tölvuveirutilvik séu skipulega skráð.

Í öryggishandbók UVS segir: "Dagleg umsjón tölvukerfis er í höndum kerfisstjóra. [...] Ennfremur skráir kerfisstjóri hjá sér þær villur sem upp koma í tilheyrandi dagbók" og "kerfisstjóri skal halda skrá um daglegan tölvurekstur, t.d. hvenær kerfi eru ræst og hvenær stöðvuð, bilanir, viðgerðir o.fl. Skráin skal rýnd reglulega af öðrum en kerfisstjóra". Þessi öryggisráðstöfun stóðst ekki prófun sérfræðingsins.

Til þess að prófa þessa öryggisráðstöfun óskaði sérfræðingurinn eftir því að honum yrðu sýndar nýjustu dagbókarfærslur um hvenær kerfi eru ræst og hvenær stöðvuð, um bilanir, viðgerðir o.fl. í daglegum rekstri. Enn fremur að sýnd yrðu merki þess að dagbókin sé reglulega rýnd af öðrum en kerfisstjóra. Fram kom við prófun á þessu atriði að dagbókarfærslur eru ekki rýndar með reglubundnum hætti, heldur af þjónustuaðila ef frávik verður.

III.
Athugasemdir málsaðila við skýrslu sérfræðings

Með bréfi Persónuverndar, dags. 28. febrúar 2004, var UVS send skýrsla sérfræðingsins og fyrirtækinu boðið að gera athugasemdir við hana. Athugasemdir bárust Persónuvernd með bréfi, dags 19. mars 2004. Verður nú gerð grein fyrir athugasemdunum í þeirri röð sem öryggisráðstafanirnar voru taldar upp hér að framan.

1. Ytra öryggi
Við skoðun reyndist hljóðgjafi á dyrum ekki virka. Um þetta atriði segir í athugasemdunum:

"Tilfallandi bilun kom upp í hljóðkerfinu og hafði allt verið í lagi daginn fyrir úttekt. Kerfið er yfirfarið af þjónustuaðila, Nortek, tvisvar á ári (síðast í nóvember). Stýring þess er í lokuðum kössum sem einungis starfsmenn Nortek hafa lykla að. Við skoðun á hljóðgjöfum fannst engin bilun, en með endurræsingu komst kerfið í lag."

2. Vinnuferli til að tryggja órofinn rekstur
Varðandi kynningu á verklagsreglu um rýmingu húsnæðis segir eftirfarandi:

"Hildur Valgeirsdóttir svaraði neitandi þegar hún var spurð af úttektaraðila hvort henni hafi verið kynntar verklagsreglur um rýmingu húsnæðisins á síðasta ári. Haldinn var fundur með öllu starfsfólki UVS 15. desember síðastliðinn og var skyldumæting á fundinn. Svo vildi til að Hildur var í fríi erlendis þegar fundurinn var haldinn, en hún fékk öryggishandbókina til yfirlestrar er hún kom til vinnu eftir áramótin. Ákveðið hefur verið að setja inn í handbókina að allir starfsmenn skuli kvitta fyrir á til þess gerð eyðublöð að þeim hafi verið kynntar öryggisreglur handbókarinnar."

Varðandi skýrslur um prófun á díselrafstöð sem ekki reyndust vera fyrir hendi eru gerðar eftirgreindar athugasemdir:

"Beðið var um að úttektarmanni væru sýndar skýrslur yfir prófanir díselrafstöðvar á sl. 12 mánuðum skv. öryggishandbók. Í reynd er stöðin prófuð með gangsetningu tvisvar á ári, en ekki fjórum sinnum á ári eins og skráð var í drögum að öryggishandbók og láðst hafði að leiðrétta. Í upphafi annaðist fyrirtækið Hafás eftirlit og gangsetningu og skiluðu þeir skriflegum skýrslum. Síðastliðið ár hefur Ólafur Sigurðsson, kerfisstjóri annast þetta eftirlit. Auk þess er daglega fylgst með birgðastöðu á díselolíu í hússtjórnarkerfinu. Til eru rafrænar skrár um prófanir á stöðinni og fylgir útprentun á þeim. Ólafur Sigurðsson, kerfisstjóri hefur endurskrifað kaflann um prófanir á díselrafstöðinni til samræmis við þær verklagsreglur sem unnið er eftir. Fylgir kaflinn hér með. Héðan í frá verða skýrslur um prófanir prentaðar út og skýrslan rýnd af öðrum en kerfisstjóra."

3. Öryggisráðstafanir varðandi starfsmannamál
Í vettvangsathuguninni óskaði sérfræðingurinn eftir að fá að sjá undirritaða trúnaðaryfirlýsingu tiltekins verktaka, sem ekki reyndist vera fyrir hendi. Um þetta segir í athugasemdum UVS:

"Beðið var um að úttektaraðila væri sýnt eintak af útfylltri trúnaðaryfirlýsingu þeirra verktaka er koma að förgun sýna hjá UVS. Verklagslýsing var til staðar frá Efnamóttökunni sem annast förgun sýna og spilliefna, en trúnaðaryfirlýsing fannst ekki. Gengið var í að nálgast slíka trúnaðaryfirlýsingu og fylgir hún hér með. Í þessu tilfelli ber þess að geta að Efnamóttakan hefur engan aðgang að húsnæði UVS, þar sem allur úrgangur og spilliefni eru geymd í þar til gerðri læstri geymslu áfastri við húsið. Einnig bera sýnaglös sem fargað er hjá UVS engar persónugreinanlegar merkingar. Lögð er áhersla á að öllu sé fargað á réttan hátt, bæði lífsýnum og hinum ýmsa efnaúrgangi er til fellur hjá fyrirtækinu.

4. Aðgangsstjórnun
Prófuð var krafa öryggishandbókar UVS um skjalfestingu aðgagnsréttinda og reyndist henni ekki vera fullnægt. Af hálfu UVS eru gerðar eftirfarandi athugasemdir:

"Beðið var um að úttektaraðila væru sýnd skjalfest aðgangsréttindi að tölvukerfi skv. starfslýsingu skv. öryggishandbók. Ekki er rétt að þessi aðgangsréttindi komi fram í starfslýsingu, en þau eru skjalfest rafrænt og hver einstaklingur hefur skilgreint aðgengi. Yfirmenn sviða ákveða hvaða aðgang hver starfsmaður hefur. Útbúið hefur verið meðfylgjandi eyðublað sem yfirmaður og viðkomandi starfsmaður verða að undirrita og verður öryggishandbókin uppfærð með tilliti til þessarar athugasemdar."

5. Endurskoðun og innra eftirlit
Í vettvangsathugun sérfræðingsins voru prófaðar öryggisráðstafanir sem snúa að endurskoðun og innra eftirliti. Þrjár af þessum ráðstöfunum reyndust ekki standast próf, að mati sérfræðingsins, og eru gerðar eftirfarandi athugsemdir varðandi þessi atriði af hálfu UVS.

Varðandi afritunarprófanir:

"Beðið var um að úttektaraðila væru sýndar skýrslur um afritunarprófanir í janúar 2004. Í ljós kom að ferlið er ekki rétt í handbókinni, dagbókin er aðeins rýnd af þjónustuaðilum komi upp frávik. Handbókin hefur verið uppfærð í ferli sem öryggisnefndin hefur samþykkt og fylgir leiðréttingin hér með. Yfirmaður upplýsingasviðs mun hér eftir hafa umsjón með því að dagbókin sé rýnd af öðrum aðila."

Varðandi eyðublöð um öryggisfrávik:

"Beðið var um að úttektaraðila væru sýnd útfyllt eyðublöð um öryggisfrávik. Eyðublöð þessi voru að komast í notkun og fylgir hér með eitt slíkt útfyllt."

Varðandi rýni dagbókar tölvukerfis:

"Beðið var um að úttektaraðila yrði sýnt að dagbók sé rýnd reglulega af öðrum en kerfisstjóra skv. lýsingu í öryggishandbók. Í ljós kom að ferlið er ekki rétt í handbókinni, dagbókin er aðeins rýnd af þjónustuaðila komi upp frávik. Handbókin hefur verið uppfærð í ferli sem öryggisnefndin hefur samþykkt og fylgir leiðréttingin hér með. Yfirmaður upplýsingasviðs mun hér eftir hafa umsjón með því að dagbókin sé rýnd af öðrum aðila."

IV.
Niðurstaða

1.

Lög nr. 77/2000 fjalla um vinnslu persónuupplýsinga. Samkvæmt 1. tölul. 1. mgr. 2. gr. laganna er með persónuupplýsingum átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Eru lífsýni því talin til persónuupplýsinga nema þau séu varðveitt án auðkenna sem rekja megi til tiltekinna einstaklinga og séu eðli sínu samkvæmt ekki þannig að þau beri með sér persónuauðkenni, s.s. DNA. Lífsýni sem bera hins vegar með sér erfðaefni (DNA) teljast til persónuupplýsinga, þótt þau beri ekki með sér auðkenni s.s. nafn eða númer, enda geta þau eðli sínu samkvæmt ekki talist ópersónugreinanleg séu til staðar samanburðargögn sem gera unnt að rekja sýnin til tiltekinna einstaklinga.

Samkvæmt 2. tölul. 1. mgr. 2. gr. laganna er með vinnslu átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn. Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun. Af því leiðir að starfsemi lífsýnasafns sem felst í söfnun lífsýna, vörslu, meðferð, nýtingu og vistun þeirra telst til vinnslu persónuupplýsinga í þessum skilningi. Fellur mál þetta því undir gildissvið laga nr. 77/2000 og þar með undir ákvörðunarvald Persónuverndar.

Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 8. og/eða 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Heilsufarsupplýsingar, þ. á m. um erfðaeiginleika og annað sem lífsýni bera með sér, teljast til viðkvæmra persónuupplýsinga, sbr. c-lið 1. mgr. 2. gr. laga nr. 77/2000.

Við mat á því hvort sú vinnsla sem fram fer hjá lífsýnasafni UVS uppfylli skilyrði framangreindra ákvæða og sé þar með lögmæt verður að líta til þess að um starfsemi lífsýnasafna fer samkvæmt lögum nr. 110/2000 um lífsýnasöfn. Gildissvið þeirra er skilgreint í 2. gr. Þar kemur fram að lögin gilda um söfnun lífsýna, vörslu, meðferð, nýtingu og vistun þeirra í lífsýnasöfnum. Þau gilda ekki um tímabundna vörslu lífsýna sem safnað er vegna þjónusturannsókna, meðferðar eða afmarkaðra vísindarannsókna, enda sé slíkum sýnum eytt þegar þjónustu, meðferð eða rannsókn lýkur. Í 2. tl. 9. gr. laga nr. 77/2000 kemur fram að vinnsla viðkvæmra persónuupplýsinga er heimil standi sérstök heimild til hennar samkvæmt öðrum lögum. Að því virtu að starfsemi umrædds lífsýnasafns byggir á lögum nr. 110/2000 og hefur fengið leyfi heilbrigðisráðherra, dags. 26. september 2002, telst vinnslan falla undir skilyrði framangreinds töluliðar og vera lögmæt. Hafa ber í huga að einstök ákvæði lífsýnalaga takmarka heimildir lífsýnasafna til vinnslu persónuupplýsinga sem ella kynni að vera heimil samkvæmt ákvæðum laga nr. 77/2000. Hins vegar varðar úttekt Persónuverndar nú aðeins þá vinnslu sem fellur undir gildissvið laga nr. 110/2000, s.s. hvort að fullnægt sé kröfum þeirra um öryggisráðstafanir, en ekki aðra vinnslu á vegum UVS, þ. á m. vegna afmarkaðra vísindarannsókna. Að því er varðar mat á því hvort vinnslan uppfylli skilyrði 1. mgr. 8. gr. laga nr. 77/2000 má einkum líta til 1. tl. um samþykki hins skráða, en fyrir liggur að þeirra lífsýna sem varðveitt eru í safninu hefur verið aflað á grundvelli upplýsts samþykkis.

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001.

Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.

Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að fullnægja ákvæðum þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.

Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.

Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.

Auk ofangreindra ákvæða laga nr. 77/2000 verður að líta til sérákvæða í lögum nr. 110/2000 um lífsýnasöfn. Samkvæmt 8. tl. 5. gr. þeirra er það gert að skilyrði fyrir veitingu leyfis til reksturs lífsýnasafns "að öryggismat og öryggisráðstafanir við söfnun og meðferð lífsýna séu í samræmi við reglur sem Persónuvernd setur um öryggi persónuupplýsinga í lífsýnasöfnum". Með stoð í þessu ákvæði hefur Persónuvernd sett reglur nr. 918/2001, um öryggi við meðferð og varðveislu lífsýna í lífsýnasöfnum. Við framkvæmd úttektarinnar var sérstaklega tekið mið af kröfum umræddra reglna, enda mynda þær sérstakan réttargrundvöll fyrir öryggisúttektir á lífsýnasöfnum.

Með vísan til 2. tl. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. og 2. mgr. 12. gr. laga nr. 110/2000, um lífsýnasöfn, hefur Persónuvernd, með aðstoð sérfræðings, látið framkvæma athugun á því hvort uppfyllt séu fyrirmæli framangreindra laga og reglna, þ.e. að því er varðar örugga meðferð persónuupplýsinga hjá lífsýnasafni UVS.

Eins og fyrr greinir fór úttektin fram á grundvelli skriflegra gagna, öryggishandbókar, sem UVS lagði fram. Í skýrslu sem sérfræðingur á vegum Persónuverndar vann fyrir stofnunina kemur fram að þær ákvarðanir, sem liggja til grundvallar ákvörðunum um öryggismál hjá lífsýnasafni UVS, virðast að mestu leyti vera skjalfestar með ágætlega skýrum og skipulagsbundnum hætti. Persónuvernd getur tekið undir skoðun sérfræðingsins hvað þetta varðar og gerir því ekki athugasemdir varðandi þau gögn sem lögð voru fram af hálfu lífsýnasafns UVS og lágu til grundvallar úttektinni.

Þegar litið er til útkomu þeirra prófana sem gerðar voru á einstökum öryggisráðstöfunum lífsýnsafns UVS, eins og þeim er lýst í öryggishandbók, telur Persónuvernd hins vegar að öryggiskerfi safnsins sé í ágætu ástandi. Við mat á þessu ber að hafa í huga að sumar af þeim öryggisráðstöfunum sem ekki stóðust próf, að mati sérfræðingsins, má fremur telja til æskilegra aðgerða heldur en til nauðsynlegra öryggisráðstafana skv. reglum nr. 918/2001. Loks ber að líta til þess álits sérfræðingsins að ekki sé þörf brýnna úrbóta varðandi þær öryggisráðstafanir sem ekki reyndust vera í samræmi við lýsingar í framlögðum gögnum.

Eins og fram kemur í athugasemdum UVS við skýrslu sérfræðingsins, sbr. bréf dags. 19. mars 2004 og gögn sem bréfinu fylgdu, hefur fyrirtækið þegar bætt úr þeim annmörkum sem komu í ljós við vettvangsathugun sérfræðingsins. Hefur öryggishandbók UVS verið endurskoðuð með tilliti til þessara úrbóta í þeim tilgangi að gera umræddar öryggisráðstafanir skýrari. Þó hefur sú öryggisráðstöfun handbókarinnar sem lýtur að prófun díselrafstöðvarinnar verið færð til samræmis við þær verklagsreglur sem við vettvangsskoðun kom í ljós að unnið var eftir. Gerir Persónuvernd ekki athugasemdir við endurskoðun öryggishandbókarinnar að þessu leyti. Að þessu virtu beinir Persónuvernd ekki sérstökum fyrirmælum til lífsýnasafns UVS um úrbætur varðandi þær öryggisráðstafanir sem ekki stóðust próf samkvæmt mati sérfræðingsins.

Með tilliti til framangreinds er því niðurstaða Persónuverndar sú að öryggiskerfi lífsýnasafns UVS hafi staðist þá prófun sem fram fór með úttekt stofnunarinnar á því.

Var efnið hjálplegt? Já Nei