Niðurstaða úttektar á öryggiskerfi persónuupplýsinga hjá Umferðarstofu
I.
Grundvöllur úttektar
Með bréfi Persónuverndar til Umferðarstofu, dags. 7. mars 2003, var, með vísan til 2. tl. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, boðuð úttekt á öryggi persónuupplýsinga hjá Umferðarstofu. Tilefni ákvörðunar um framkvæmd úttektarinnar var m.a. það að Persónuvernd hafði þá til afgreiðslu nokkur mál varðandi vinnslu persónuupplýsinga á vegum Umferðarstofu, einkum starfrækslu slysaskrár, ökuprófaskrár og ökutækjaskrár. Þar sem ekki þótti unnt að tryggja samræmi við afgreiðslu þessara mála nema öðlast yfirsýn yfir vinnslu persónuupplýsinga á vegum Umferðarstofu var ákveðið að framkvæma slíka úttekt og ljúka umræddum málum efnislega í formi ákvörðunar um niðurstöðu úttektarinnar. Tekið skal fram að Umferðarstofa kemur að starfrækslu fleiri skráa, s.s. ökuskírteinaskráar, Schengen-gagnagrunns, málaskrár dómsmálaráðuneytisins og skráar sem rannsóknarnefnd umferðarslysa heldur. Þar sem Umferðarstofa er hins vegar ekki ábyrgðaraðili þeirra tekur úttektarákvörðun þessi ekki til þeirra.
Tekið skal fram að þann 14. október 2002 höfðu fulltrúar Persónuverndar farið í heimsókn á starfsstöð Umferðarstofu. Markmið þeirrar heimsóknar var að veita almennar upplýsingar um efni laga nr. 77/2000 og þær reglur sem settar höfðu verið með heimild í þeim lögum, einkum reglur nr. 299/2001 um öryggi persónuupplýsinga. Var sérstaklega tekið fram að ekki bæri að líta á heimsóknina sem úttekt/vottun af hálfu Persónuverndar.
Nánar um aðdragandi úttektarinnar:
Óafgreidd mál varðandi skrár Umferðarstofu
Til nánari glöggvunar varðandi efni framangreindra mála verður hér stuttlega gerð grein fyrir þeim samkvæmt þeim gögnum sem lágu fyrir hjá Persónuvernd þegar framangreind ákvörðun var tekin um framkvæmd úttektarinnar.
a. Ökuprófaskrá – mál nr. 2001/290.
Með bréfi dags. 21. febrúar 2001 barst Persónuvernd tilkynning frá Umferðarráði varðandi skráningu upplýsinga um ökupróf. Þar sagði m.a. :
Allar upplýsingar um próftaka og próf eru skráðar í ,,prófakerfi" Umferðarráðs (sérhæfður tölvutækur gagnagrunnur). Grundvöllur þeirrar skráningar er umsókn um ökuskírteinin sem próftaki fyllir út og leggur inn hjá lögreglustjóra / sýslumanni. Viðkomandi embætti heimilar með áritun sinni próftöku og umsókn er send til Umferðarráðs. Þar er umsókn skráð í prófakerfi sem vistað er á miðlægum netþjóni stofnunarinnar. Öryggisafrit er tekið daglega og geymt í læstri hirslu. Sérstakt aðgangsorð þarf til að opna prófakerfið sem sett er upp á fjórum tölvum og eingöngu fjórir starfsmenn ökunámsdeildar Umferðarráðs hafa aðgang að. Eina tenging prófakerfisins við önnur kerfi / aðrar skrár er við þjóðskrá sem vistuð er á sama miðlæga netþjóni.
Upplýsingar sem vistaðar eru í prófakerfi lúta að öllum próftilraunum einstaklinga sem þurfa að gangast undir ökupróf til að öðlast ökuréttindi.
Grunnskráning próftaka í prófakerfi er gerð á grundvelli ofangreindrar samþykktrar umsóknar um ökuskírteini sem berst frá lögreglustjóra / sýslumanni. Hún felur í sér skráningu kennitölu próftaka (nafn og heimili sækist þá úr þjóðskrá), dagsetning umsóknar, próftegund, prófstaður, umdæmi lögreglustjóra, ökukennari, ökuskóli, hvort um endurnýjun réttinda sé að ræða, hvort prófgjald hafi verið greitt, upplýsingar um kennsluvottorð, æfingaleyfi og ökunámskeið.
Próftökur einstaklinga eru skráðar sérstaklega og kemur þá fram prófdagur, -tími, niðurstaða og nafn prófdómara. Hægt er að kalla fram yfirlit yfir allar þessar upplýsingar. Er það gert vegna skipulagningar á vinnuferlum ökunámsdeildar, í rannsóknarskyni, í eftirlitsskyni og sem liður í innra gæðaeftirliti deildarinnar. Einu persónugreinanlegu upplýsingarnar sem teknar eru úr prófakerfinu á tölvutæku formi eru upplýsingar um:
fylgni ökukennara við gildandi reglugerðir (eftirlit með ökukennurum sem þurfa að hafa löggildingu frá dómsmálaráðuneyti til að mega starfa og er skv. reglugerð ætlað að fylgja settum reglum)
vinnu prófdómara við ökupróf (upplýsingar sem lúta að innra gæðaeftirliti).
Upplýsingagjöf um próf á grundvelli vinnu ökunámsdeildar og skráningu í prófakerfi felur í sér miðlun upplýsinga til:
próftaka og ökukennara um lausa próftíma sem hægt er að skrá próftaka í,
próftaka og ökukennara um frammistöðu á prófi,
lögreglustjóra / sýslumannsembætta um staðin ökupróf sem þau heimiluðu próftöku til, próftökuheimild er árituð af prófdómara og endursend því embætti sem gaf hana út.
Prófgögn eru geymd á afmörkuðum læstum vinnusvæðum sem eingöngu starfsmenn hafa aðgang að."
Persónuvernd sendi Umferðarráði staðfestingu um móttöku tilkynningarinnar en tók á því stigi enga afstöðu til vinnslunnar. Þegar hins vegar leið að lokum úttektar þessarar þótti, í ljósi þess tíma sem liðið hafði frá því að Persónuvernd bárust framangreind gögn varðandi ökuprófaskrá, nauðsynlegt að vita um hvort framangreind lýsing á þeirri skrá sé rétt. Var það gert með bréfi dags. 2. september 2004.
Í svarbréfi Umferðarstofu, dags. 15. september 2004, er gerð grein fyrir ökuprófaskrá í sérstöku fylgiskjali. Samkvæmt því hefur engin breyting orðið á starfrækslu skrárinnar, að öðru leyti en því að fyrirtækið Frumherji hf. annast nú framkvæmd skriflegra og verklegra ökuprófa á Íslandi, sbr. eftirfarandi:
Umferðarstofa er ábyrgðaraðili vinnslunnar og lýsir kröfum til vinnsluaðila í Prófahandbók Umferðarstofu. Frumherji sem vinnsluaðili hefur síðan útfært framkvæmdina nánar í skriflegum verklagsreglum sínum.
Ferlið hefst á því að sýslumenn senda próftökuheimildir til vinnsluaðila sem heldur utan um þær í upplýsingakerfi sínu með takmörkuðum aðgangi. Skrifleg og verkleg próf eru síðan lögð fyrir á vegum vinnsluaðila. Nákvæmar reglur eru um meðferð próftökuheimilda, prófverkefna og próflykla, geymslu þeirra og leynd, ásamt endurnýjunarferli þeirra. Prófdómari á vegum vinnsluaðila er ábyrgur fyrir úrvinnslu á prófniðurstöðum. Umferðarstofa gerir þá kröfu til vinnsluaðila að enginn, sem ekki má sjá prófniðurstöður, eigi þess kost að skoða þær, hvorki ökukennarar né aðrir.
Niðurstöðugögn prófa (útfylltar próftökuheimildir, svarblöð og aðrar niðurstöður) skulu fara frá Frumherja hf. eftir lokuðum leiðum. Próftökuheimildir fara aftur til þeirra sýslumannsembætta sem gáfu þær út, svarblöð og önnur niðurstöðugögn fara til Umferðarstofu. Próftökuheimildir fara daglega tilbaka til sýslumannsembætta en niðurstöðugögn prófa ber að senda til Umferðarstofu mánaðarlega. Mánaðarlega eru ennfremur þær próftökuheimildir sem eru fallnar úr gildi endursendar til þeirra sýslumannsembætta sem gáfu þær út."
b. Ökutækjaskrá – mál nr. 500/2002.
Með bréfi, dags. 11. nóvember 2002, óskaði Persónuvernd eftir upplýsingum frá Umferðarstofu um rekstur ökutækjaskrár, einkum um það á hvaða reglum vinnslan byggi. Í svari Umferðarstofu var vísað til ákvæða umferðarlaga, reglugerðar um gerð og búnað ökutækja nr. 915/2000, reglugerðar um skoðun ökutækja, reglugerðar um skráningu ökutækja nr. 78/1997 og reglugerðar um starfshætti skráningarstofu nr. 79/1997.
Í mars 2003 kynnti Umferðarstofa síðan drög að starfsreglum fyrir Umferðarstofu um upplýsingaveitingu úr ökutækjaskrá. Þar var einkum að finna nýmæli um að lögmenn myndu fá beinan uppflettiaðgang eftir kennitölum í stað þess að hafa áður þurft að senda inn formlega beiðni í hvert sinn sem þeir óskuðu upplýsinga. Persónuvernd svaraði með bréfi dags. 1. apríl og tilkynnti að hún gerði ekki athugasemdir, enda yrði þar kveðið á um að aðgangur lögmanna skyldi vera samkvæmt samningi þar sem lögmenn myndu skuldbinda sig til að nota aðganginn aðeins í tengslum við innheimtu fjárnámshæfrar kröfu, auk þess sem kveðið var á um að allar uppflettingar eftir kennitölum yrðu skráðar og að misnotkun aðgangs varðaði niðurfellingu hans.
Að öðru leyti var engin afstaða þá tekin til vinnslunnar af hálfu Persónuverndar, enda voru þá þegar uppi hugmyndir um heildarathugun á lögmæti vinnslu persónuupplýsinga hjá Umferðarstofu
c. Slysaskrá.
Á árinu 2002 hafði Persónuvernd óskað upplýsinga frá ríkislögreglustjóra (RLS) um það hvaða persónuauðkenni kæmu fram í þeim vettvangs- og upplýsingaskýrslum sem sendar voru Umferðarráði vegna skráningar á umferðarslysum. Svör bárust Persónuvernd frá RLS með bréfum dags. 13. maí og 12. júní 2002.
Umferðarstofa tók til starfa hinn 1. október 2002 og tók þá við ýmsum verkefnum Umferðarráðs. Með bréfi dags. 4. nóvember 2002 óskaði Persónuvernd eftir upplýsingum frá Umferðarstofu um hvort skráningin hefði eða myndi breytast frá því sem verið hafði fram að stofnun hennar. Í svarbréfi Umferðarstofu, dags. 18. nóvember 2002, var m.a.staðfest að engar breytingar hefðu átt sér stað frá því að Umferðarstofa tók við vinnslu slysaskrár. Í bréfum Umferðarstofu, dags. 10. janúar og 18. febrúar 2003, bárust Persónuvernd síðar nánari upplýsingar fram skráningu kennitalna í slysaskrá. Í fylgiskjali með bréfi Umferðarstofu, dags. 15. september 2004, er gerð grein fyrir slysaskrá í sérstöku fylgiskjali.
Á fundi stjórnar Persónuverndar sem haldinn var þann 24. september 2004 var úttektarverkefni þetta til umræðu. Var þá ákveðið að ljúka úttektinni, en þó þannig, að hún tæki ekki til slysaskrár. Þess í stað var ákveðið að hefja heildarathugun á skráningu slysa á landinu, m.a. því hvort hún kunni að vera framkvæmd hjá fleiri aðilum en þörf krefur og sömuleiðis hvort gætt sé sjónarmiða um áreiðanleika upplýsinga, aðgengileika og öryggi við vinnsluna. Í ljósi þessarar ákvörðunar eru ekki efni til að fjalla frekar um slysaskrá í skjali þessu.
Boðun úttektar
Eins og áður segir óskaði Persónuvernd, með bréfi dags. 7. mars 2003, eftir því að Umferðarstofa legði fram skrifleg gögn um öryggiskerfi stofnunarinnar, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. og 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, þ.e. öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum.
Þann 1. apríl 2003 bárust Persónuvernd umbeðin gögn ásamt fylgiskjölum. Meðal annars skjalið: "Umferðarstofa – Öryggi persónuupplýsinga," ásamt fylgiskjölum, þ.á m. "Öryggishandbók". Öll skjölin eru dags. 31. mars 2003. Kemur fram að við uppbyggingu öryggiskerfisins hafi verið tekið mið af staðalinum ISO/IEC TR 13335.
Nokkrar urðu tafir á framhaldi úttektarinnar, en með bréfi Persónuverndar, dags 12. janúar 2004, var henni fram haldið og óskað eftir tilteknum viðbótargögnum. Þá var Umferðarstofu, gerð grein fyrir áætluðum kostnaði hennar vegna úttektarinnar. Í bréfi Umferðarstofu, dags. 16. febrúar, var kostnaðaráætlunin samþykkt en gerðir einstakir fyrirvarar varðandi framvindu úttektarinnar, einkum um að úttektin myndi afmarkast af þeim kröfum sem gerðar eru samkvæmt reglum nr. 299/2001 um öryggi persónuupplýsinga. Með bréfi Persónuverndar, dags. 18. febrúar sl., var staðfest að svo yrði.
Aðkoma sérfræðings að framkvæmd úttektarinnar
Samningur við sérfræðing
Þann 2. mars 2004 gerði Persónuvernd samning við Dómbæ ehf., um framkvæmd vettvangsathugunar á starfsstöð Umferðarstofu og gerð skýrslu um niðurstöðu hennar. Samið var um að Hörður H. Helgason, sérfræðingur á vegum félagsins, myndi annast verkið. Áður en vettvangsathugunin færi fram skyldi hann rýna gögn og semja gátlista fyrir athugunina, byggðan á lýsingu Umferðarstofu á eigin öryggiskerfi. Að vettvangsathugun lokinni skyldi hann skila Persónuvernd lokaskýrslu um niðurstöður hennar, þar sem kæmi fram hvaða öryggisráðstafanir af þeim sem kannaðar hefðu verið reyndust sem skyldi og eftir atvikum hverjar ekki. Skilaði hann umræddri skýrslu þann 8. apríl 2004. Er hann samkvæmt samningnum bundinn trúnaðar- og þagnarskyldu. Sérfræðingurinn er hér eftir nefndur skýrsluhöfundur.
Álit sérfræðings á gögnum Umferðarstofu
Skýrsluhöfundur rýndi gögn Umferðarstofu, þ.e. þau skriflegu gögn sem Umferðarstofa hafði lagt fram um öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum.. Undir lok þriðja kafla skýrslunnar greinir skýrsluhöfundur frá niðurstöðum rýni sinnar. Telur hann að þau uppfylli ekki að öllu leyti kröfur staðalsins ISO/IEC TR 13335.
Í ljósi þess að Persónuvernd hafði, eins og áður segir, staðfest að úttektin myndi afmarkast af þeim kröfum sem gerðar eru samkvæmt reglum nr. 299/2001 um öryggi persónuupplýsinga verður ekki í skjali þessu fjallað sérstaklega um það að hvaða marki skýrsluhöfundur taldi gögnin ekki uppfylla kröfur nefnds staðals, enda þótt ýmsar athugasemdir hans hafi verulegt leiðbeiningargildi fyrir Umferðarstofu.
2.1. Öryggisstefna
Í skýrslu sinni segir höfundur eftirfarandi um öryggisstefnu Umferðarstofu:
Niðurstaðan er því sú að einungis verða gerðar fáar og smávægilegar athugasemdir varðandi öryggisstefnu Umferðarstofu:
Öryggisstefnan er dags., í mars árið 2003, en enn merkt sem drög. Æskilegt væri að ganga frá henni í endanlegri mynd og staðfesta með formlegum hætti, en að því mun vera stefnt innan skamms.
Við frágang öryggisstefnunnar væri æskilegt að leiðrétta það smávægilega misræmi sem er milli stefnunnar annars vegar og annarra framlagðra gagna um öryggiskerfið hins vegar, svo sem tilgreining í undirkaflanum "Ábyrgð og skipulag" á ábyrgðaraðilum þeirrar vinnslu sem Umferðarstofa er vinnsluaðili fyrir.
Nauðsynlegt er að kynna öryggisstefnuna fyrir starfsmönnum stofnunarinnar, eftir því sem við á. Eins og fram kom í starfsmannaviðtali í vettvangsheimsóknarhluta úttektarinnar virðist sem bæta megi nokkuð við þá kynningu, en slík kynning mun vera fyrirhuguð eftir að öryggisstefnan hefur hlotið formlegt samþykki."
2.2. Áhættumat
Varðandi áhættumat Umferðarstofu gerir skýrsluhöfundur m.a. svofelldar athugasemdir:
Í 3. gr. reglnanna er áhættumati lýst sem mati "á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum eða skert öryggi þeirra að öðru leyti." Í framlögðum gögnum Umferðarstofu er ekki að finna tilgreiningu á þeim hættum sem steðja að vinnslu persónuupplýsinga, eða annarra upplýsinga, hjá stofnuninni. Þau skjöl sem Umferðarstofa bendir á sem áhættumat stofnunarinnar eru annars vegar svonefnd "áhættumatstafla" og hins vegar "úrvinnsla áhættumats." Eins og rakið er hér að framan innihalda þessi skjöl upptalningu á eignum og öryggisráðstöfunum, t.d. "hita- og rakaskynjarar", "öryggisskápar", "pappírsgeymsla" og "ferðatölvur", en ekki tilgreiningu á, eða mat á, þeim hættum steðja að vinnslunni.
Í reglunum segir enn fremur: "Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með" og "[þ]á skal tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku." Þrátt fyrir að segja megi að í framlögðum gögnum sé að þessu að hluta til mætt með tilgreiningu helstu upplýsingaeigna og yfirlýsingum um hversu viðkvæmar þær eru, hver fyrir sig, fyrir tjóni af völdum skerðingar á leynd, réttleika eða tiltækileika þeirra, þá er ekki í framlögðum gögnum Umferðarstofu að finna upplýsingar sem uppfylla framangreint skilyrði reglnanna um að tilgreina hvaða líkur séu á að eitthvað fari úrskeiðis eða hvert líklegt sé að umfang og afleiðingar hverrar tilgreindrar hættu fyrir sig verði, m.t.t. eðlis þeirra upplýsinga sem unnið er með.
Niðurstaðan er því sú að framlögð gögn Umferðarstofu benda til þess að áhættumat stofnunarinnar uppfylli ekki að öllu leyti þær kröfur sem gerðar eru til framkvæmdar og innihalds áhættumats samkvæmt reglum 299/2001 um öryggi persónuupplýsinga."
2.3. Lýsing á öryggisráðstöfunum
Um lýsingu á öryggisráðstöfunum gerir skýrsluhöfundur þá athugasemd að enn sé ekki að fullu lokið innleiðingu öryggiskerfis Umferðarstofu. Þá bendir hann á að nokkur atriði varðandi áhættumatið leiði til þess að örðugt sé að meta hvort þær öryggisráðstafanir sem Umferðarstofa hefur valið séu "viðeigandi" eða hvort "tekið hafi verið mið af áhættu af vinnslunni," sbr. 4. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga. Síðan kemst skýrsluhöfundur svo að orði:
Niðurstaðan er því sú að framlögð lýsing Umferðarstofu á öryggisráðstöfunum í upplýsingavinnslu stofnunarinnar uppfylli þær kröfur sem gerðar eru til slíkra lýsinga í reglum nr. 299/2001 um öryggi persónuupplýsinga. Hins vegar megi, þegar áhættumat stofnunarinnar hefur verið endurskoðað, greina betur þau rök sem liggja til grundvallar því að umræddar öryggisráðstafanir urðu fyrir valinu, en aðrar ekki."
Þess ber að geta að framangreind gögn sem Umferðarstofa lagði fram og byggt er á eru frá því mars 2003. Kunna nú að liggja fyrir yngri og endurskoðaðar útgáfur af þeim.
2.4. Innra eftirlit
Skýrsluhöfundur rýndi skjal um fyrirkomulag innra eftirlits, en að jafnaði ber að viðhafa slíkt eftirlit, sbr. 8. gr. reglna nr. 299/2001. Kemst skýrsluhöfundur að eftirfarandi niðurstöðu varðandi umrætt skjal:
Niðurstaðan er því sú að starfsreglur í öryggishandbók Umferðarstofu uppfylli kröfur reglna nr. 299/2001, um öryggi persónuupplýsinga, hvað varðar innra eftirlit, en æskilegt væri að kveðið væri þar skýrar á um þau atriði sem sérstaklega er kveðið á um í reglum nr. 299/2001 að innra eftirlit skuli taka mið af."
2.5. Vinnslusamningar
Vegna úttektarinnar óskaði Persónuvernd eftir því að Umferðarstofa legði fram ljósrit af öllum vinnslusamningum sem stofnunin ætti aðild að, hvort heldur sem ábyrgðaraðili eða vinnsluaðili persónuupplýsinga. Hins vegar voru engir slíkir samningar lagðir fram. Um þetta segir í skýrslu sérfræðingsins:
3.
Niðurstöður sérfræðings að lokinni vettvangsathugun
Vettvangsathugun fór fram dagana 25. og 26. mars 2004. Í lokakafla skýrslunnar er lagt heildstætt mat á niðurstöður prófana sem þá voru gerðar á öryggisráðstöfunum Umferðarstofu og þær dregnar saman með svofelldum hætti:
[...]
Að frátöldum áðurnefndum tilvikum, þar sem fullyrðingar í framlögðum skjölum reyndust ekki alveg standast þar sem innleiðingu viðkomandi öryggisráðstafana var ekki lokið, verða einungis gerðar fáeinar athugasemdir við öryggiskerfi Umferðarstofu og þessar þá helstar:
Í fyrsta lagi virðist mega bæta örlítið við fræðslu til almennra starfsmanna Umferðastofnunar um stefnu stofnunarinnar í öryggismálum og þær víðtæku öryggisráðstafanir sem verið er að innleiða í upplýsingavinnslu hennar. Viðbúið er að slík viðbótarfræðsla sé nú þegar á dagskrá stofnunarinnar, í ljósi þess að fyrirhugað er að yfirstandandi innleiðingu öryggiskerfis hennar ljúki bráðlega.
Í öðru lagi mætti bæta nokkuð við það eftirlit og umsjón sem Umferðarstofa hefur með því að vinnsluaðilar, sem koma að vinnslu sem hún ber ábyrgð á, starfi innan þeirra heimilda sem standa til vinnslunnar og þeirra krafna sem gerðar eru til öryggis í vinnslunni. Í ljósi lofsverðs framtaks stofnunarinnar í öryggismálum sínum væri vel við hæfi að fyrir lægju skýrir og ítarlegir samningar við sérhvern vinnsluaðila þar sem kveðið væri m.a. á um þær öryggiskröfur sem viðkomandi bæri að uppfylla og um framkvæmd eftirlits Umferðarstofu með því að það sé gert.
Í þriðja lagi væri æskilegt að samræmd yrði enn betur sú vernd sem veitt er upplýsingum sem dómsmálaráðuneyti er ábyrgðaraðili er fyrir og þeim upplýsingum sem Umferðarstofa vinnur með sem ábyrgðaraðili en greint skýrar á milli þar sem slíkur samnefnari á ekki við. Svo virðist t.d. sem í einstaka tilvikum séu í skjölum um öryggiskerfi Umferðarstofu settar fram almennar kröfur, sem reynast svo einungis eiga við um þau kerfi sem Umferðarstofa starfrækir f.h. dómsmálaráðuneytisins.
Engra bráðra úrbóta virðist þörf, í ljósi grundvelli úttektarinnar, en nokkur svið öryggiskerfisins virðist að ósekju mega bæta að hluta til, sbr. framanritað."
Í skýrslu sérfræðingsins eru öryggisráðstafanir flokkaðar með tilliti til reglna nr. 299/2001, en til skýringar er bætt við einum flokki varðandi aðgangsstýringu. Persónuvernd telur ekki vera efni til þess að fjalla sérstaklega um þær öryggisráðstafanir sem við prófun skýrsluhöfundar reyndust vera í samræmi við framlögð gögn. Hins vegar verður farið yfir þær öryggisráðstafanir ekki voru viðhafðar eða reyndust vera með öðrum hætti en greinir í framlögðum gögnum. Þær eru:
3.1. Skipulagslegar og tæknilegar öryggisráðstafanir
Samkvæmt 7. gr. reglna nr. 299/2001 skal ábyrgðaraðili viðhafa ráðstafanir til að hindra og takmarka tjón af völdum bilana og óheimils aðgangs að vinnslubúnaði.
Í skjalinu "Umferðarstofa – Öryggi persónuupplýsinga – Fylgiskjöl – 5. Gátlisti vegna frávikagreiningar á öryggiskröfum", dags. 31. mars 2003, segir m.a. að "beita [skuli] öryggisferlum og eftirlitsaðgerðum til þess að vernda tækjabúnað með persónuupplýsingum sem notaður er utan athafnasvæðis stofnunarinnar."
Óskaði skýrsluhöfundur eftir því að honum yrðu sýnd gögn um öryggisferla eða gögn um eftirlitsaðgerðir sem sýna að fylgst hafi verið með að umræddar eignir séu verndaðar utan húsnæðis Umferðarstofu. Hins vegar kom fram að Umferðarstofa beitti engum eftirlitsaðgerðum til að vernda upplýsingaeignir stofnunarinnar utan húsnæðis hennar, öðrum en "almennum samningskröfum."
3.2. Aðgangsstýringar
Hér er átt við ráðstafanir sem ábyrgðaraðila ber að viðhafa í því skyni að hindra og takmarka tjón af völdum óheimils aðgangs að upplýsingakerfi hans. Prófaðar voru nokkrar slíkar öryggisráðstafanir. Eftirtaldar ráðstafanir reyndust ekki standast prófun.
Fór skýrsluhöfundur fram á að honum yrði greint frá efni umræddra verklagsreglna, en ekki reyndist unnt að leggja fram gögn þar að lútandi. Var skýrsluhöfundi tjáð að umrædd öryggisráðstöfun væri "virk en óskjalfest."
b) Í skjalinu "Umferðarstofa – Öryggi persónuupplýsinga – Fylgiskjöl – 5. Gátlisti vegna frávikagreiningar á öryggiskröfum", dags. 31. mars 2003, segir m.a. að "ekki [megi] nota sama notandanafn né aðgangsorð til aðgangs að hugbúnaði sem notaður er til vinnslu persónuupplýsinga og til aðgangs að vinnustöð."
Við vettvangsathugun kom hins vegar í ljós að sama innskráning (þ.e. aðgangs- og lykilorð) er notuð fyrir Ekju-client hugbúnað og fyrir stýriskerfisaðgang viðkomandi notenda.
c) Í skjalinu "Umferðarstofa – Öryggi persónuupplýsinga – Fylgiskjöl – 5. Gátlisti vegna frávikagreiningar á öryggiskröfum", dags. 31. mars 2003, segir m.a. að "ekki [skuli] samtímis leyft að hafa aðgang að persónuupplýsingum í tölvukerfi og tengjast Interneti nema að uppfylltum ströngum skilyrðum."
Við athugun skýrsluhöfundar reyndist þessi öryggisráðstöfun ekki hafa verið innleidd og var honum tjáð að ekki væri fyrirhugað að gera það.
d) Í skjalinu "Umferðarstofa – Öryggi persónuupplýsinga – Fylgiskjöl – 5. Gátlisti vegna frávikagreiningar á öryggiskröfum", dags. 31. mars 2003, segir m.a. að "viðkvæm notendakerfi skulu höfð á sérstökum (einangruðum) vinnslukerfum."
Við athugun á þessari öryggisráðstöfun var upplýst að hún næði aðeins til hluta af þeirri vinnslu sem Umferðarstofa sinnir sem vinnsluaðili. Því væri ekki hægt að benda á notendakerfi á vegum Umferðarstofu, sem keyrt var á einangruðu vinnslukerfi.
3.3. Öryggisráðstafanir varðandi starfsmannamál
Samkvæmt 5. gr. reglna nr. 299/2001 ber ábyrgðaraðila að grípa til viðeigandi öryggisráðstafana í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum mannlegra mistaka, þjófnaðar, svika og annarrar misnotkunar. Tvær öryggisráðstafanir sem lúta að þessari kröfu reyndust, að mati skýrsluhöfundar, ekki standast prófun, sbr. eftirfarandi:
Skýrsluhöfundur kveðst hafa spurt starfsmann Umferðarstofu hvort hann hafi fengið fræðslu um stefnu stofnunarinnar í öryggismálum og verklagsreglum um öryggi og þá í hvaða formi. Mun starfsmaðurinn hafa greint frá því að nýlega hafi farið fram kynning á því sem framundan væri í skipulagningu neyðarviðbragða, t.d. við bruna og þess háttar vá í húsnæðinu. Hins vegar kannaðist starfsmaðurinn ekki við að hafa fengið aðra fræðslu um öryggismál Umferðarstofu, s.s. varðandi öryggi upplýsingavinnslu.
b) Í skjalinu Fylgiskjal nr. 7: "Öryggishandbók Umferðarstofu – Drög", dags. 29. mars (útdráttur), segir í grein 10.3.7.2: "Starfsmenn skulu vista öll gögn á netdrifum, en alls ekki á hörðum diskum vinnustöðva sinna."
Til athugunar á þessu var fyrrgreindur starfsmaður spurður hvort honum væri kunnugt um hvaða reglur væru í gildi um það hvaða gögn bæri að vista á neti og hver á hörðum diskum starfsmanna. Kvaðst starfsmaðurinn ekki kannast við að hafa fengið upplýsingar um slíkar reglur.
3.4. Innra eftirlit
Samkvæmt 8. gr. reglna nr. 299/2001 ber ábyrgðaraðila að viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur. Prófaðar voru nokkrar öryggisráðstafanir sem lúta að þessari kröfu. Eftirtaldar ráðstafanir reyndust, að mati skýrsluhöfundar, ekki standast það próf:
Prófun skýrsluhöfundar á þessari öryggisráðstöfun leiddi í ljós að umrætt verklag væri ekki viðhaft hjá Umferðarstofu.
b) Í skjalinu "Umferðarstofa – Öryggi persónuupplýsinga – Fylgiskjöl – 5. Gátlisti vegna frávikagreiningar á öryggiskröfum", dags. 31. mars 2003 segir m.a. að búið sé að innleiða að hluta eftirfarandi ákvæði: "Dagbækur, þar sem skráð eru frávik og önnur atvik er tengjast öryggismálum, skulu haldnar og geymdar í tiltekinn tíma til að nota við síðari rannsóknir og aðgangsstýringarvöktun."
Óskaði skýrsluhöfundur eftir því að honum yrðu sýndar dagbókarfærslur fyrir yfirstandandi mánuð, þ.e. mars 2004. Öryggisráðstöfunin reyndist hins vegar ekki hafa verið innleidd, en skýrsluhöfundi var tjáð að það stæði til.
c) Í skjalinu "Umferðarstofa – Öryggi persónuupplýsinga – Fylgiskjöl – 5. Gátlisti vegna frávikagreiningar á öryggiskröfum", dags. 31. mars 2003 segir m.a. að búið sé að innleiða að hluta eftirfarandi ákvæði: "Fyrir hendi skal vera formleg stefna og taka skal upp viðeigandi eftirlitsaðgerðir til þess að verjast áhættu sem tengist vinnu með fartölvubúnað er innihaldi persónuupplýsingar, einkum í óvörðu umhverfi."
Við prófun kom í ljós að þessi öryggisráðstöfun hefði ekki verið innleidd og að ekki stæði til að gera það, í ljósi þess að það er gert að skilyrði af hálfu Umferðarstofu að fartölvur innihaldi ekki persónuupplýsingar.
d) Í skjalinu "Umferðarstofa – Öryggi persónuupplýsinga – Fylgiskjöl – 5. Gátlisti vegna frávikagreiningar á öryggiskröfum", dags. 31. mars 2003 segir m.a. að búið sé að innleiða svohljóðandi ákvæði: "Skýrslur um innra eftirlit skal varðveita tryggilega og skulu vera aðgengilegar Persónuvernd hvenær sem er."
Við eftirgrennslan skýrsluhöfundar reyndust skýrslur um framkvæmd innra eftirlits hins vegar ekki liggja fyrir. Fengust þær skýringar að ekki væri byrjað að starfa eftir þessu ákvæði.
Athugasemdir Umferðarstofu við
niðurstöður skýrsluhöfundar
Með bréfi Persónuverndar, dags. 14. apríl 2004, var Umferðarstofu send skýrsla sérfræðings og henni boðið að gera athugasemdir við hana. Athugasemdir bárust Persónuvernd með bréfi, dags. 4. maí 2004, en í því segir að Umferðarstofa geri ekki athugasemdir við meginniðurstöður skýrslunnar, en geri athugasemdir við einstök atriði, einkum varðandi skjalarýni skýrsluhöfundar.
Verður nú gerð grein fyrir þessum athugasemdum að því marki sem þær beinast að þeim atriðum í skýrslu skýrsluhöfundar sem rúmast innan úttektarinnar, eins og hún var afmörkuð með bréfi Persónuverndar dags. 18. febrúar 2004, þ.e. að hún lyti aðeins að því að hvaða marki uppfylltar væru kröfur reglna nr. 299/2001 um öryggi persónuupplýsinga. Þá verður, eins og áður segir, ekki fjallað sérstaklega um þau atriði sem reyndust vera í lagi að mati skýrsluhöfundar.
Athugasemdir Umferðarstofu við
álit skýrsluhöfundar á skjali um áhættumat
Umferðarstofa gerir sérstakar athugasemdir við þann þátt skýrslunnar er lýtur að rýni gagna, einkum skjals um áhættumat. Skýrsluhöfundur telur að í matið vanti að gera grein fyrir því hvaða ógnir steðji að öryggi persónuupplýsinga, áhrifum þeirra, líkum á tjóni o.s.frv. Telur Umferðarstofa þetta álit hans aðallega eiga sér tvær skýringar.
Í fyrsta lagi þá skýringu að skýrsluhöfundur hafi ekki kynnt sér skjalið: "Tölvumiðstöð dómsmálaráðuneytisins – Áhættumat". Um þetta segir m.a.:
Í öðru lagi þá skýringu að skýrsluhöfundur taki ekki nægt tillit til vissra atriða sem fram komi í skjalinu "Umferðarstofa – Öryggi persónuupplýsinga". Telur Umferðarstofa það stafa af því að skýrsluhöfundur hafi ekki réttan skilning á skjalinu. Um þetta segir m.a. í athugasemdum Umferðarstofu:
Umferðarstofa gerir einnig athugasemd við þá skoðun skýrsluhöfundar að skjalið innihaldi ekki neitt sem talist geti til mats á þeirri hættu sem til staðar sé heldur einungis á því hvort tilteknar öryggisráðstafanir séu fyrir hendi og hversu mikilvægar þær séu. Um þetta segir í athugasemdum Umferðarstofu:
Eins og áður greinir dregur skýrsluhöfundur saman niðurstöður rýni sinnar á framlögðum gögnum með tilliti til reglna nr. 299/2001. Varðandi niðurstöðu hans um áhættumatið gerir Umferðarstofa svofelldar athugasemdir:
Umferðarstofa skildi á milli áhættumats og áhrifagreiningar. Áhrifagreining féll undir vinnslu neyðaráætlunar. Við áhrifagreininguna var notast við áhrifagildi með tillit til lengsta þolanlegs þjónusturofs og áhrifa á trúnað og réttleika. Niðurstöður áhrifagreiningar og neyðaráætlanir liggja fyrir þó þær hafi ekki komið til nánari skoðunar við þessa úttekt."
Athugasemdir varðandi álit skýrsluhöfundar á innra eftirliti
Um niðurstöðu skýrsluhöfundar varðandi fyrirkomulag innra eftirlits, segir eftirfarandi í athugasemdum Umferðarstofu:
Athugasemdir varðandi vettvangsathugun
Umferðarstofa gerir einungis eina athugasemd varðandi þann kafla skýrslunnar sem fjallar um vettvangsathugun skýrsluhöfundar á starfsstöð Umferðarstofu, þ.e. athugun hans á innra eftirliti, nánar til tekið að varðveittar skuli skýrslur um framkvæmd þess. Er athugasemdin svohljóðandi:
Frekari gögn lögð fram um öryggi persónuupplýsinga
Í ljósi framangreindra athugasemda Umferðarstofu var henni, með bréfi dags. 2. september 2004, gefin kostur á að leggja fram frekari gögn um öryggi persónuupplýsinga. Það gerði hún og afhenti Persónuvernd með bréfi, dags. 15. september sl., eftirtalin gögn: Skjalið "Tölvumiðstöð dómsmálaráðuneytisins – Áhættumat" og skjal um niðurstöður áhrifagreiningar hjá Umferðarstofu. Verður nánar vikið að þeim í næsta kafla.
V.
Niðurstaða
1.
Lögmæti vinnslu persónuupplýsinga.
Almennt.
Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við "sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tl. 2. gr. laganna. Þá er merkir hugtakið vinnsla "sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn." Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun.
Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 8. og/eða 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna.
Samkvæmt framangreindu felur starfræksla umræddra skráa Umferðarstofu í sér vinnslu persónuupplýsinga í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
2.
Upplýsingavinnsla Umferðarstofu
Með lögum nr. 83/2002, um breytingu á umferðarlögum nr. 50/1987, var sérstakri ríkisstofnun komið á fót, þ.e. Umferðarstofu, til að annast stjórnsýslu á sviði umferðarmála, sbr. 6. gr. laganna. Í greinargerð sem fylgdi frumvarpi því sem varð að lögum nr. 83/2002 segir eftirfarandi í athugasemdum við 6. gr.: "Lagt er til að stofnuð verði sérstök ríkisstofnun er beri heitið Umferðarstofnun. Stofnunin verði undir yfirstjórn dómsmálaráðherra og annist stjórnsýslu eins og nánar er tilgreint í 7. gr. frumvarpsins. Í samræmi við almennar reglur stjórnsýslulaga munu ákvarðanir Umferðarstofnunar sæta kæru til dómsmálaráðuneytisins. [...]"
Í 1. mgr. 112. gr. umferðarlaga er hlutverki Umferðarstofu lýst og helstu verkefni hennar tilgreind, en samkvæmt 2. mgr. ákvæðisins er stofnuninni heimilt að fela öðrum framkvæmd þeirra, samkvæmt reglum sem ráðherra setur. Þá segir í 3. mgr. ákvæðisins að ráðherra setji nánari reglur um starf og hlutverk Umferðarstofu. Eins og áður greinir lýtur úttekt þessi að öryggi þeirra persónuupplýsinga sem Umferðarstofa vinnur með í Ökutækjaskrá og Ökuprófaskrá, og hefur forræði yfir samkvæmt fyrrgreindu ákvæði. Telst Umferðarstofa vera ábyrgðaraðili þessara persónuupplýsinga í skilningi 4. tl. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Eins og áður hefur komið fram er hún einnig ábyrgðaraðili Slysaskrár, sbr. h.-lið 1. mgr. 112. gr. umferðarlaga, en eins og áður segir verður í skjali þessu ekki tekin afstaða til lögmætis þeirrar vinnslu eða öryggis, heldur aðeins til eftirfarandi skráa:
a. Ökutækjaskrá
Umferðarstofa "annast skráningu ökutækja og aðra umsýslu varðandi skráningu ökutækja, gerð þeirra og búnað," sbr. a.-lið 1. mgr. 112 gr. umferðarlaga. Fjallað er um hlutverk Umferðarstofu varðandi starfrækslu ökutækjaskrár í 3. gr. reglugerðar nr. 79/1997 um starfshætti skráningarstofu ökutækja, en í 1. mgr. ákvæðisins segir: "Skráning í ökutækjaskrá fer fram samkvæmt reglugerð um skráningu ökutækja og reglum um ökutækjaskrá. Skráningarstofu er heimilt að skrá fleiri atriði í ökutækjaskrá en fram koma í reglunum." Nánari fyrirmæli um skráarhaldið er að finna í 2. mgr. ákvæðisins, en þar segir: "Ökutækjaskrá skal varðveitt í tölvukerfi. Rekstur tölvukerfisins felur í sér hönnun, þróun og notkun ökutækjaskrár í samræmi við reglur um ökutækjaskrá, svo og ábyrgð á öruggri varðveislu gagna og forrita og ábyrgð á rekstraröryggi og viðvarandi aðgengi að skránni. Réttmæti og áreiðanleiki skráðra upplýsinga er einnig á ábyrgð skráningarstofu sem og rekjanleiki skráninga og samtenging við aðrar skrár." Í 3. mgr. ákvæðisins er fjallað um upplýsingamiðlun úr ökutækjaskrá, en hún fer fram samkvæmt starfsreglum Umferðarstofu sem staðfestar skulu af Persónuvernd. Ekki hafa verið settar sérstakar reglur um ökutækjaskrá, sbr. orðalag 1. mgr. 3. gr. reglugerðar nr. 79/1997. Hins vegar hefur verið sett reglugerð um skráningu ökutækja nr. 751/2003, en í 2. mgr. 4. gr. hennar segir: "Í ökutækjaskrá skal færa upplýsingar um ökutækið og það skal skráð á nafn eiganda og eftir atvikum á nafn umráðamanns þess." Umferðarstofa hefur, samkvæmt 5. mgr. ákvæðisins, sett ítarlegar verklagsreglur um skráningu ökutækja. Þá er að finna tæmandi tilgreiningu á þeim upplýsingum sem fram koma í ökutækjaskrá í 4. gr. nefndra starfsreglna Umferðarstofu um upplýsingamiðlun úr ökutækjaskrá, dags. 17. maí 2004. Þar sem framangreindar starfs- og verklagsreglur Umferðarstofu eru birtar opinberlega, m.a. á heimasíðu stofnunarinnar, þykir ekki vera tilefni til þess að rekja nánar efni þeirra margvíslegu upplýsinga sem færðar eru í ökutækjaskrá.
b. Ökuprófaskrá
Hlutverk Umferðarstofu er m.a. að "annast ökupróf, veita leyfi til að starfrækja ökuskóla og hafa umsjón með ökunámi og eftirlit með ökukennslu", sbr. b.-lið 1. mgr. 112 gr. umferðarlaga. Ekki hafa verið settar sérstakar reglur um ökuprófaskrá, s.s. hvaða upplýsingar skulu færðar í hana. Hins vegar er í reglugerð nr. 501/1997 um ökuskírteini m.a. nánar lýst þeim kröfum til ökunáms og ökuprófa sem Umferðarstofa skal starfa eftir. Þá er í reglugerð nr. 327/1999, um löggildingu ökukennara og starfsleyfi ökuskóla, getið um þær kröfur varðandi ökukennara og ökuskóla sem Umferðastofa skal hafa eftirlit með. Varðandi efni þeirra upplýsinga sem færðar eru í ökuprófaskrá vísast til bréfaskipta Umferðarráðs og Persónuverndar sem rakin eru í kafla I. hér að framan.
2.1. Verkefni Umferðarstofu sem vinnsluaðili
Samkvæmt j. og k.- lið 1. mgr. 112. gr. umferðarlaga hefur Umferðarstofa einnig með höndum vinnslu persónuupplýsinga í umboði annarra ábyrgðaraðila. Er einkum um að ræða hýsingu á tölvumiðstöð dómsmálaráðuneytisins (TMD), en þar undir fellur Schengen-gagnagrunnur ríkislögreglustjóra og gagnagrunnar lögreglu, sýslumanna og ríkissaksóknara. Telst Umferðarstofa þar vera í hlutverki vinnsluaðila, í skilningi 5. tl. 2. gr. laga nr. 77/2000. Þó svo að úttekt Persónuverndar beinist ekki að öryggi persónuupplýsinga í nefndum gagnagrunnum taka ýmsir þættir í öryggiskerfi Umferðarstofu einnig til þeirra, t.d. öryggisráðstafanir stofnunarinnar er lúta að ytra öryggi. Hafa ýmsar öryggisráðstafanir sem eru að þessu leyti sameiginlegar fyrir allar framangreindar upplýsingaeignir komið til skoðunar í úttektinni.
Niðurstaða um lögmæti vinnslu ökutækjaskrár og ökuprófaskrár
Í ökutækjaskrá og ökuprófaskrá eru færðar upplýsingar sem telja verður til almennra persónuupplýsinga og þarf því starfræksla þessara tveggja skráa einungis að uppfylla eitthvert af skilyrðum 1. mgr. 8. gr. Við mat á því hvort að svo sé verður að horfa til valdheimilda og stjórnsýsluhlutverks Umferðarstofu. Samkvæmt 1. mgr. 111. gr. umferðarlaga nr. 50/1987, eins og þeim var breytt með lögum nr. 83/2002, annast Umferðarstofa stjórnsýslu á sviði umferðarmála. Eins og áður er getið sæta ákvarðanir hennar kæru til dómsmálaráðuneytisins, sbr. athugasemdir í greinargerð sem fylgdi frumvarpi því sem varð að lögum nr. 83/2002. Í 1. mgr. 112. gr. umferðarlaga er afmarkað það málefnasvið sem stjórnsýsla stofnunarinnar lýtur að og er þar m.a. beinlínis kveðið á um að hún skuli starfrækja ökutækjaskrá, sbr. a.-lið greinarinnar.
Samkvæmt 3. tl. 1. mgr. 8. gr. er vinnsla persónuupplýsinga heimil sé hún "nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila" Í athugasemdum við þetta ákvæði í greinargerð sem fylgdi frumvarpi því sem varð að lögum nr 77/2000 segir m.a. eftirfarandi: "Með lagaskyldu er átt við hvers konar skyldu sem leiðir af lagasetningu, m.a. skyldur samkvæmt reglugerðum eða öðrum stjórnvaldsfyrirmælum sem eiga sér stoð í lögum. Undir hugtakið falla einnig skyldur samkvæmt dómi eða stjórnvaldsúrskurði. Hins vegar falla samningsskyldur ekki hér undir." Með vísan til framangreinds varðandi hlutverk og skyldur Umferðarstofu samkvæmt áðurnefndum ákvæðum 111. og 112. gr. verður að telja að stofnuninni sé nauðsynlegt að starfrækja ökutækjaskrá, ökuprófaskrá til að fullnægja lagaskyldu sem á henni hvílir. Telst vinnslan því eiga sér lagastoð samkvæmt 3. tl. 1. mgr. 8. gr. laga nr. 77/2000. Þá kemur einnig til greina að vinnslan eigi sér lagastoð samkvæmt 6. tl. ákvæðisins, en hann kveður á um heimild til vinnslu persónuupplýsinga sé hún "nauðsynleg við beitingu opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með." Í samræmi við athugasemdir við ákvæðið í greinargerð virðist ekki vera gert ráð fyrir því að leggja eigi þröngan skilning í orðalagið "beitingu opinbers valds,", en þar segir: "Ákvæðið tekur meðal annars til vinnslu upplýsinga á vegum stjórnvalda sem tengist meðferð opinbers valds. Með því er fyrst og fremst átt við töku stjórnvaldsákvarðana. Jafnframt mundi önnur vinnsla sem telst til stjórnsýslu, svo sem við opinbera þjónustustarfsemi, alla jafna falla hér undir." Eins og fram kemur í 111. gr. umferðarlaga annast Umferðarstofa stjórnsýslu á sviði umferðarmála og starfrækir stofnunin í þeim tilgangi ökutækjaskrá, ökuprófaskrá. Þannig verður að telja að umrædd vinnsla eigi sér jafnframt lagastoð samkvæmt 6. tl. 1. mgr. 8. laga nr. 77/2000.
Samkvæmt framangreindu telur Persónuvernd að vinnsla Umferðarstofu á persónuupplýsingum í tengslum við starfrækslu ökutækjaskrár og ökuprófaskrár eigi sér lagastoð samkvæmt 3. og 6. tl. 1. mgr. 8. gr. laga nr. 77/2000.
Öryggi við vinnslu.
Almennt
Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001.
Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.
Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að fullnægja ákvæðum þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.
Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.
Niðurstaða um öryggi vinnslu ökutækjaskrár og ökuprófaskrár
Með vísan til 2. tl. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga hefur Persónuvernd, með aðstoð sérfræðings, látið framkvæma athugun á því hvort uppfyllt séu fyrirmæli framangreindra laga og reglna, þ.e. að því er varðar örugga meðferð persónuupplýsinga hjá Umferðarstofu. Á grundvelli þeirrar athugunar mun Persónuvernd, í samræmi við 4. tölul. 1. mgr. ákvæðisins, veita Umferðarstofu leiðbeiningar um úrbætur eftir því sem ástæður þykja til.
Áður en fjallað verður um einstök skjöl í skriflegum gögnum Umferðarstofu um öryggi persónuupplýsinga er rétt að víkja að athugasemd Umferðarstofu er varðar skjalarýni skýrsluhöfundar í heild sinni. Gerð er sú athugasemd að skjalið "Umferðarstofa – Öryggi persónuupplýsinga" greini frá innri úttekt á stöðu öryggis persónuupplýsinga hjá Umferðarstofu og sé þannig í reynd skýrsla um innra eftirlit stofnunarinnar. Að auki telur Umferðarstofa að ekki sé tekið tillit til þess að nefndu skjali hafi eingöngu verið ætlað ábyrgðaraðilum upplýsingaöryggis hjá Umferðarstofu, þ.m.t. forstjóra, sviðs- og deildarstjórum og yfirmanni upplýsingavinnslumála.
Persónuvernd telur hins vegar, þrátt fyrir framangreind sjónarmið Umferðarstofu, að í fyrsta lagi verði að líta til þess að Umferðarstofa lagði sjálf fram umrætt skjal, þ.e. "Umferðarstofa – Öryggi persónuupplýsinga," í þeim skilningi að fullnægt væri kröfum 3. gr. reglna nr. 299/2001, en í bréfi sem fylgdi skjalinu segir eftirfarandi:
Hjálagt sendum við umbeðin gögn, en þess ber þó að geta að vinnslu þeirra er ekki alveg að fullu lokið."
Í öðru lagi virðist ljóst að umrætt skjal hafi verið sett saman í þeim tilgangi að uppfylla kröfur 3. gr. reglna 299/2001 varðandi skrifleg gögn um öryggi persónuupplýsinga, sbr. eftirfarandi orðalag í inngangi skjalsins:
Þá verður ekki séð að sú fullyrðing um að umrætt skjal hafi einungis verið ætlað tilteknum starfsmönnum Umferðarstofu hafi þýðingu við mat á því hvort það fullnægi kröfum reglna 299/2001. Samkvæmt framangreindu verður lagt til grundvallar að skjalið "Umferðarstofa – Öryggi persónuupplýsinga" hafi að geyma skrifleg gögn um öryggi persónuupplýsinga samkvæmt 3. gr. reglna nr. 299/2001, þ.e. öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum.
Verður nú tekin afstaða til þess að hvaða marki nefnd gögn, hvert fyrir sig, uppfylla skilyrði ákvæðisins.
1. Skrifleg gögn um öryggi persónuupplýsinga
a. Öryggisstefna
Í 1. tl. 3. gr. reglna nr. 299/2001 segir eftirfarandi: "Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra." Eins og ráða má af orðalagi ákvæðisins er öryggisstefna ábyrgðaraðila eins konar markmiðsyfirlýsing hans varðandi þær kröfur sem hann gerir til sinnar eigin vinnslu. Gert er ráð fyrir því að kröfur um öryggi persónuupplýsinganna taki mið af þeim þáttum sem ábyrgðaraðili telur einkenna vinnsluna, s.s. hvort það sé aðgengileiki, áreiðanleiki eða öryggi viðkomandi persónuupplýsinga sem varði mestu.
Persónuvernd telur að öryggisstefna Umferðarstofu sé að öllu leyti í samræmi við þær kröfur sem gerðar eru til slíks skjals samkvæmt reglum nr. 299/2001. Hins vegar er öryggisstefnan merkt sem drög, eins og skýrsluhöfundur bendir á. Í ljósi þess að öryggisstefna lýsir afstöðu æðstu stjórnanda ábyrgðaraðila til öryggismála og um leið skuldbindingum og stuðningi þeirra við hana, er þess óskað að Umferðarstofa færi hana í endanlegan búning, staðfesti hana með formlegum hætti, þ.e. með dagsetningu og undirritun forstjóra Umferðarstofu, og afhendi Persónuvernd að því búnu eintak af henni.
b. Áhættumat
Í 2. tl. 3. gr. reglna 299/2001 er að finna reglur sem veita ábyrgðaraðilum persónuupplýsinga leiðbeiningar um hvernig skuli standa að gerð áhættumats. Þar segir: "Áhættumat er mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum, sbr. III. kafla reglna þessara. Þá skal tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Áhættumat skal endurskoðað reglulega."
Eins og rakið er í skýrslu skýrsluhöfundar telur hann að bæta þurfi áhættumatið svo að það uppfylli betur skilyrði reglna 299/2001. Eru það einkum tvö atriði sem hann telur vera gagnrýniverð og verður nú fjallað um þau hvort í sínu lagi, að teknu tilliti til athugasemda Umferðarstofu.
Í fyrsta lagi telur skýrsluhöfundur að "í framlögðum gögnum Umferðarstofu [sé] ekki að finna tilgreiningu á þeim hættum sem steðja að vinnslu persónuupplýsinga, eða annarra upplýsinga, hjá stofnuninni." Með öðrum orðum telur skýrsluhöfundur að áhættugreining hafi ekki farið fram.
Umferðarstofa gerir athugasemd varðandi þessa niðurstöðu skýrsluhöfundar og telur að umrædda tilgreiningu á hættum sé að finna í skjalinu "Tölvumiðstöð dómsmálaráðuneytisins – Áhættumat" og fylgiskjölum þess.
Fyrir liggur að framgreint skjal hefur að geyma áhættumat sem dómsmálaráðuneytið lét framkvæma haustið 2001. Þar segir að hlutverk þess sé að "skilgreina og skoða áhættuþætti sem felast í ógnunum og veikleikum sem steðja að upplýsingaeignum TMD sem hýstar eru hjá Skráningarstofunni hf. og skilgreindir eru í staðlinum ÍST ISO/IEC 17799/BS 7799." Vegna framangreindrar athugasemdar Umferðarstofu var henni gefið tækifæri til þess að afhenda Persónuvernd eintak af skjalinu og gerði hún með bréfi, dags. 15. september sl., þar sem hún fullyrti að í því væru taldar upp allar þær sömu hættur sem Umferðarstofa teldi stafa að eigin upplýsingaeignum.
Persónuvernd hefur rýnt umrætt skjal og telur að í því sé réttilega að finna tilgreiningu á þeim hættum sem steðja að þeim persónuupplýsingum sem áhættumatið nær til, þ.e. persónuupplýsingum sem dómsmálaráðuneytið ber ábyrgð á í skilningi 4. tl. 2. gr. laga nr. 77/2000, en Umferðarstofa hefur umsjón með sem vinnsluaðili. Við gerð umræddrar áhættugreiningar var hins vegar hvorki tekið sérstakt mið af þeim persónuupplýsingum sem Umferðarstofa ber ábyrgð á né var hún unnin af stofnuninni sjálfri eins og henni ber samkvæmt 11. gr. laga nr. 77/2000.
Á hinn bóginn er Persónuvernd þeirrar skoðunar, með tilliti til þeirrar athugasemdar Umferðarstofu að umrædd áhættugreining eigi einnig við um upplýsingaeignir sínar, að ekkert sé því til fyrirstöðu að Umferðarstofa styðjist við áhættugreiningu dómsmálaráðuneytisins eða leggi hana í heild sinni til grundvallar í eigin áhættumati, enda verði tekin skýr afstaða til þess hvort sú áhættugreining eigi að öllu leyti við þær persónuupplýsingar sem stofnunin ber ábyrgð á. Hins vegar er enga slíka afstöðu eða afmörkun að finna í skjalinu "Umferðarstofa – Öryggi persónuupplýsinga." Þá telur Persónuvernd mikilvægt að áhættumat ábyrgðaraðila hafi að geyma heildstæða lýsingu á þeim efnisatriðum sem talin eru upp í 2. tl. 3. gr. reglna nr 299/2001, en að ekki sé vísað til þeirra í skjölum annarra ábyrgðaraðila. Í ljósi þessa er þeim tilmælum beint til Umferðarstofu að taka afstöðu til þess, við næstu endurskoðun áhættumats stofnunarinnar, að hvaða marki umrætt skjal dómsmálaráðuneytisins geti átt við um persónuupplýsingar sem eru á ábyrgð Umferðarstofu og fella það, að því loknu, með formlegum hætti inn í eigið áhættumat.
Í öðru lagi liggur fyrir sú athugasemd að "í framlögðum gögnum Umferðarstofu að finna upplýsingar sem uppfylla framangreint skilyrði reglnanna um að tilgreina hvaða líkur séu á að eitthvað fari úrskeiðis eða hvert líklegt sé að umfang og afleiðingar hverrar tilgreindrar hættu fyrir sig verði, m.t.t. eðlis þeirra upplýsinga sem unnið er með."
Í athugasemdum Umferðarstofu varðandi þessa niðurstöðu skýrsluhöfundar segir að stofnunin hafi skilið á milli áhættumats annars vegar og áhrifagreiningar hins vegar, sem hafi fallið undir gerð neyðaráætlunar. Við þá vinnu hafi forgangsröðun öryggisráðstafana verið ákvörðuð út frá líkindum á atburðum og áhrif þeirra metin með tilliti til lengsta þolanlegs þjónusturofs og áhrifa á trúnað og réttleika. Skjal þessa efnis hafi legið fyrir, en ekki komið til skoðunar í skjalarýni skýrsluhöfundar.
Í ljósi þessarar athugasemdar óskaði Persónuvernd eftir því, sbr. bréf dags. 2. september sl., að fá afhent eintak af umræddu skjali, þ.e. um niðurstöður áhrifagreiningar hjá Umferðarstofu. Barst Persónuvernd umbeðið skjal þann 16. september sl. með fyrrnefndu bréfi, dags. 15. september.
Hefur umrætt skjal verið rýnt af Persónuvernd og telur stofnunin, m.a. í ljósi þess hvernig það var unnið, að sú áhrifagreining sem þar er að finna fullnægi kröfu 2. tl. 3. gr. reglna nr. 299/2001 um að metin skuli líkindi þess að eitthvað fari úrskeiðis og hvaða afleiðingar það geti haft varðandi öryggi persónuupplýsinga. Í ljósi þess að í nefndu ákvæði eru taldir upp þeir efnisþættir sem fram skulu koma í áhættumati telur Persónuvernd hins vegar, jafnframt með vísan til framangreindra sjónarmiða um mikilvægi þess að áhættumat hafi að geyma heildstæða mynd af þeim atriðum sem ógnað geta öryggi persónuupplýsinga, að áhrifagreiningin eigi að vera hluti af eiginlegu áhættumati Umferðarstofu. Í samræmi við þetta er þeim tilmælum beint til Umferðarstofu að fella áhrifagreiningu, samkvæmt skjali um neyðaráætlun, inn í áhættumat stofnunarinnar við næstu endurskoðun þess.
c. Lýsing á öryggisráðstöfunum
Samkvæmt 3. tl. 3. gr. reglna nr. 299/2001 ber ábyrgðaraðila að setja fram skriflega lýsingu á þeim öryggisráðstöfunum sem hann hefur valið til þess að tryggja öryggi persónuupplýsinga. Er ákvæðið svohljóðandi: "Ábyrgðaraðili velur hvaða öryggisráðstafanir skulu viðhafðar í samræmi við III. kafla reglna þessara og setja fram skriflega lýsingu á þeim. Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna. Þá skal rakið hvaða öryggisráðstöfunum verði beitt og hvernig þær verði útfærðar, þ.á m. við hönnun, þróun, rekstur, prófun og viðhald þess kerfis, þ.m.t. hugbúnaðar, sem notað verður við vinnslu upplýsinganna. Þar skal og tekið fram hvernig brugðist verði við áföllum í rekstri vinnslukerfisins, hvernig flutningi persónuupplýsinga milli vinnslukerfa verði hagað, þ. á m. mögulegum flutningi gagna milli ábyrgðar- og vinnsluaðila. Öryggisráðstafanir skal endurskoða reglulega."
Skýrsluhöfundur telur að lýsing Umferðarstofu á öryggisráðstöfunum gefi prýðilega yfirsýn yfir það hvaða öryggisráðstafanir ákveðið hefur verið að beita í upplýsingavinnslu stofnunarinnar og hversu vel á veg innleiðing þeirra er komin. Á hinn bóginn telur skýrsluhöfundur að ekki komi nægilega skýrt fram "afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna", sbr. 3. gr. reglnanna. Þá telur hann að greina þurfi betur þau rök sem liggja til grundvallar því að umræddar öryggisráðstafanir urðu fyrir valinu, en aðrar ekki.
Persónuvernd telur að í skjalinu "Umferðarstofa – Öryggi persónuupplýsinga," og í fylgiskjali nr. 5. við það, sé að finna greinargóða lýsingu á þeim öryggisráðstöfunum sem Umferðarstofa hefur ákveðið að viðhafa. Þá telur Persónuvernd enn fremur að fyrrnefnt skjal um niðurstöður áhrifagreiningar hjá Umferðarstofu, dags. 1. september 2003, hafi að geyma afstöðu Umferðarstofu til þess hvað sé ásættanleg áhætta við vinnsluna. Hins vegar getur Persónuvernd tekið undir sjónarmið skýrsluhöfundar um að nokkuð skorti á að umrædd lýsing á öryggisráðstöfunum sé í nægilega góðum tengslum við áhættumatið, en eins og segir í 2. tl. 3. gr. þá er markmiðið með gerð áhættumats að skapa forsendur fyrir vali á öryggisráðstöfunum. Er þá horft til þess að við val á öryggisráðstöfunum ber að taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á, sbr. 2. mgr. 4. gr. reglna nr. 299/2001. Gera reglurnar þannig ráð fyrir því að unnt sé að greina hvaða sjónarmið hafi legið til grundvallar við val á einstökum öryggisráðstöfunum og að það sé ljóst gegn hvaða hættum þeim hafi verið stefnt. Þó svo að telja verði lýsingu Umferðarstofu á öryggisráðstöfunum ófullkomna að þessu leyti verður hún, þrátt fyrir þær sakir, talin fullnægja kröfum reglna nr. 299/2001.
d. Öryggisráðstafanir varðandi öryggi persónuupplýsinga
Eftir prófun öryggisráðstafana, sem Umferðarstofa hefur gripið til í þeim tilgangi að tryggja öryggi persónuupplýsinga, kemst skýrsluhöfundur að þeirri niðurstöðu að ýmis minniháttar atriði mættu betur fara í öryggiskerfi Umferðarstofu, en að engra bráðra úrbóta sé þörf. Varðandi þessi atriði segir til skýringar í skýrslunni að úrbætur á flestu séu fyrirhugaðar.
Ein af niðurstöðum skýrsluhöfundar var sú að við vettvangsathugun hafi Umferðarstofu ekki reynst unnt að leggja fram skýrslur um framkvæmd innra eftirlits. Umferðarstofa gerir ekki athugasemdir varðandi vettvangsathugun skýrsluhöfundar, að öðru leyti en því að hún telur að þessi öryggisráðstöfun hafi staðist skoðun. Því til stuðnings vísar Umferðarstofa til þess að skjalið "Umferðarstofa – Öryggi persónuupplýsinga" sé í reynd skýrsla um innra eftirlit.
Hér að framan hefur því verið slegið föstu að Umferðarstofa hafi lagt fram skjalið "Umferðarstofa – Öryggi persónuupplýsinga" í því skyni að verða við beiðni Persónuverndar um gögn samkvæmt 3. gr. reglna nr. 299/2001, en það eru öryggisstefna, áhættumat og lýsing á öryggisráðstöfunum. Persónuvernd telur að ekkert í reglum nr. 299/2001 útiloki að skýrsla um innra eftirlit geti verið sérstakur hluti af sama skjali og hefur að geyma áðurnefnd gögn samkvæmt 3. gr. þeirra. Hins vegar telur Persónuvernd að það fái ekki samrýmst reglunum að gögn samkvæmt 3. gr. þeirra geti í senn verið skýrsla um innra eftirlit, enda lítur slíkt eftirlit ákveðnum reglum samkvæmt 12. gr. laga nr. 77/2000, sbr. og 8. gr. reglna nr. 299/2001, en samkvæmt 2. mgr. ákvæðisins skal innra eftirlit að jafnaði viðhaft samkvæmt fyrirfram skilgreindu kerfi. Getur Persónuvernd af þessu sökum ekki fallist á það með Umferðarstofu að skjalið "Umferðarstofa – Öryggi persónuupplýsinga" sé skýrsla um innra eftirlit og að öryggisráðstöfun stofnunarinnar, um að varðveita skuli slíkar skýrslur, hafi staðist próf skýrsluhöfundar.
Aðrar einstakar öryggisráðstafanir sem ekki stóðust prófun, að mati skýrsluhöfundar, gefa ekki tilefni til sérstakra athugasemda af hálfu Persónuverndar, enda gerir Umferðarstofa fyrir sitt leyti ekki athugasemdir við þær niðurstöður skýrsluhöfundar. Persónuvernd telur að í mörgum tilvikum megi fremur telja þær til æskilegra aðgerða fremur en til nauðsynlegra öryggisráðstafana samkvæmt reglum nr. 299/2001. Eins og skýrsluhöfundur tekur fram í skýrslu sinni er í flestum tilvikum um að ræða öryggisráðstafanir sem hafa enn ekki verið innleiddar í öryggiskerfi Umferðarstofu. Þótt fallast megi á mat skýrsluhöfundar um að engra bráðra úrbóta sé þörf telur Persónuvernd að Umferðarstofu beri, við næstu endurskoðun skjalsins "Umferðarstofa – Öryggi persónuupplýsinga" eða í síðasta lagi fyrir árslok 2005, að ljúka innleiðingu umræddra öryggisráðstafana og bæta við þeim ráðstöfunum sem að við skoðun reyndust ekki vera fyrir hendi, eða fella þær að öðrum kosti brott úr nefndu skjali. Þá tekur Persónuvernd undir þá skoðun skýrsluhöfundar að Umferðarstofa megi bæta fræðslu til starfsmanna um stefnu og aðgerðir hennar í öryggismálum.
e. Innra eftirlit
Eins og áður hefur verið vikið að er ábyrgðaraðila skylt, samkvæmt 12. gr. laga nr. 77/2000, að viðhafa innra eftirlit með vinnslu persónuupplýsinga. Samkvæmt 8. gr. reglna nr. 299/2001 ber að jafnaði að viðhafa slíkt eftirlit samkvæmt fyrirfram skilgreindu kerfi og eru í ákvæðinu jafnframt talin upp þau atriði sem það skal beinast að.
Í þeim skriflegu gögnum sem Umferðarstofa afhenti við upphaf úttektarinnar, þ.e. skjalið "Umferðarstofa – Öryggi persónuupplýsinga" og fylgiskjölum þess, var ekki að finna lýsingu á fyrirkomulagi innra eftirlits. Í samræmi við ábendingar skýrsluhöfundar fór Persónuvernd hins vegar fram á það við Umferðarstofu, sbr. bréf dags. 12. janúar 2004, að hún legði fram tiltekin viðbótargögn, m.a. reglur um fyrirkomulag innra eftirlits. Bárust Persónuvernd umbeðin viðbótargögn þann 18. febrúar sl. og í bréfi sem þeim fylgdu kemur m.a. fram að umræddar reglur hafi verið felldar inn í öryggishandbók Umferðarstofu.
Eftir að hafa rýnt reglur Umferðarstofu um fyrirkomulag innra eftirlit telur skýrsluhöfundur að þær uppfylli kröfur reglna nr. 299/2001. Er það jafnframt niðurstaða Persónuverndar.
f. Vinnslusamningar
Samkvæmt 13. gr. laga nr. 77/2000, sbr. og 9. gr. reglna nr. 299/2001 er ábyrgðaraðila heimilt að semja við annan aðila um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á. Þetta er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit með henni.
Samningar sem Umferðarstofa hefur gert við aðra aðila um vinnslu persónuupplýsinga voru meðal þeirra viðbótargagna sem Persónuvernd óskaði eftir með bréfi, dags. 12. janúar sl. Hins vegar var Persónuvernd aðeins afhent yfirlit yfir slíka samninga og þær kröfur sem Umferðarstofa gerir til vinnsluaðila. Af þessum sökum reyndist skýrsluhöfundi ekki unnt að leggja dóm á það hvort nægilega vel væri haldið á slíkum samningum hjá Umferðarstofu í ljósi fyrrgreindra reglna. Hins vegar lætur skýrsluhöfundur þess getið að endursögn stofnunarinnar á efni slíkra samninga virðist benda til þess að mörg skilyrði reglna 299/2001 um efni samninga af þessu tagi séu uppfyllt í tilviki Umferðarstofu.
Þar sem umbeðnir vinnslusamningar voru ekki lagðir fram af hálfu Umferðarstofu liggja ekki fyrir nauðsynleg gögn svo að hægt sé að taka afstöðu til þess hvort fullnægt sé kröfum 13. gr. laga nr. 77/2000, sbr. og 9. gr. reglna nr. 299/2001, varðandi efni slíkra samninga. Í ljósi þessa hefur Persónuvernd í hyggju að taka þetta mál til sérstakrar skoðunar, þ.e. hvernig hagað er verkaskiptingu og ábyrgð Umferðarstofu og annarra aðila í þessu sambandi. Er annars vegar um að ræða þá vinnslu persónuupplýsinga sem Umferðarstofa felur öðrum aðilum að annast og hins vegar þá vinnslu sem Umferðarstofa hefur með höndum sem vinnsluaðili. Mun Umferðarstofu verða send sérstök tilkynning um þessa athugun með hæfilegum fyrirvara.
Samandregin niðurstaða
Samkvæmt framangreindu er það niðurstaða Persónuverndar að öryggi persónuupplýsinga í ökutækjaskrá og ökuprófaskrá sé í góðu lagi, en að bæta megi að nokkru úr þeim skriflegu gögnum sem liggja til grundvallar öryggiskerfi Umferðarstofu. Helstu athugasemdir Persónuverndar og ábendingar til Umferðarstofu, skv. framanrituðu, eru þessar:
1. Að afhenda Persónuvernd formlega öryggisstefnu, sem staðfest hefur verið af æðstu yfirstjórn.
2. Að Umferðarstofa taki afstöðu til þess, við næstu endurskoðun áhættumats að hvaða marki skjal dómsmálaráðuneytisins "Tölvumiðstöð dómsmálaráðuneytisins – Áhættumat" geti átt við um persónuupplýsingar sem eru á ábyrgð Umferðarstofu, felli það að því loknu, með formlegum hætti inn í eigið áhættumat og afhendi Persónuvernd síðan eintak af því.
3. Að Umferðarstofa felli áhrifagreiningu, samkvæmt skjali um neyðaráætlun, inn í áhættumat stofnunarinnar við næstu endurskoðun þess.
4. Að Umferðarstofa muni við næstu endurskoðun skjalsins "Umferðarstofa – Öryggi persónuupplýsinga", eða í síðasta lagi fyrir árslok 2005, ljúka innleiðingu nauðsynlegra öryggisráðstafana.
5. Að Umferðarstofa bæti fræðslu til starfsmanna um stefnu og aðgerðir hennar í öryggismálum.
6. Að Umferðarstofa taki til sérstakrar skoðunar hvort að fullnægt sé skilyrðum laga varðandi gerð og efni vinnslusamninga annars vegar og hvort að vinnsla Umferðarstofu á persónuupplýsingum í tengslum við starfrækslu slysaskrár eigi sér fullnægjandi lagastoð.