Úttekt hjá VISA

I.
Grundvöllur úttektar

Með bréfi Persónuverndar til VISA Íslands – Greiðslumiðlunar hf., dags. 2. september 2002, var, með vísan til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, boðuð úttekt á vinnslu persónuupplýsinga hjá félaginu. Tilefni ákvörðunar um framkvæmd úttektarinnar var að eðli málsins samkvæmt safnast upp mikið magn persónuupplýsinga í starfsemi greiðslukortaþjónustu. Þær persónuupplýsingar geta m.a. veitt ítarlega mynd af einkalífi korthafa, neysluvenjum þeirra og hegðunarmynstri. Var því ákveðið að kanna hvernig unnið er með persónuupplýsingar sem verða til við starfsemi greiðslukortafyrirtækja hér á landi og hvort vinnslan samrýmist ákvæðum laga nr. 77/2000 og reglna nr. 299/2001 um öryggi persónuupplýsinga sem settar eru á grundvelli laganna.


Starfsemi VISA Íslands – Greiðslumiðlunar hf. felur í sér útgáfu greiðslukorta, bæði kredit- og debetkorta, fyrir hönd banka og sparisjóða en ekki í eigin nafni. Hins vegar skrást upplýsingar tengdar viðskiptum með kortunum engu að síður í tölvukerfi félagsins.


Þær upplýsingar, sem farið er fram á að umsækjandi um kort veiti um sjálfan sig, eru nafn, kennitala og heimilisfang, netfang, heima-, vinnu- og farsímanúmer, vinnuveitandi og atvinna. Þá þarf að fylla inn í umsókn hver viðskiptabanki/-stofnun viðkomandi sé, auk þess sem spurt er um númer og tegund bankareiknings sem heimilt er að gjaldfæra viðskiptareikning á.


Önnur gögn sem bera með sér persónuupplýsingar og unnið er með hjá félaginu eru t.d. ýmis skjöl sem tengjast viðskiptamönnum, s.s. samningar, skuldabréf og kröfur, upplýsingar um kortafærslur og fjárhæðir, pin-númer og ýmsar upplýsingar um starfsmenn félagsins.


Upplýsingum er miðlað frá sölu- og þjónustuaðilum til VISA Íslands – Greiðslumiðlunar hf. með rafrænum hætti, auk þess sem pappírsnótur, eftir atvikum undirritaðar, eru einnig sendar félaginu til varðveislu. Sumir sölu- og þjónustuaðilar nota þar til gerð eyðublöð fyrir færslur og er upplýsingunum þá eingöngu miðlað á pappírsformi til félagsins.


Upplýsingar um viðskipti með kortum útgefnum í nafni banka og sparisjóða samkvæmt samningi við VISA Ísland – Greiðslumiðlun hf. fara ekki eingöngu um tölvukerfi félagsins, heldur einnig önnur tölvukerfi. Þannig rekur Reiknistofan búnað til samskipta upplýsingakerfa félagsins við upplýsingakerfi samstarfsaðila félagsins, þ. á m. banka og sparisjóða. Þá rekur Reiknistofan m.a. nýlegt heimilda- og færslujöfnunarkerfi, svonefnt XPS-kerfi, sem ætlað er að leysa af hólmi eldri innhringi- og færslujöfnunarkerfi. Auk þess má nefna að Fjölgreiðslumiðlun hf. sér um rekstur sameiginlegrar greiðslurásar, svonefnds RÁS-kerfis, fyrir greiðslukortaviðskipti.


Ljóst er að upplýsingar um debetkortaviðskipti eru aðgengilegar bönkum og sparisjóðum. Hið sama gildir um upplýsingar um viðskipti með kreditkortum útgefnum í nafni þeirra.


Að lokum er rétt að nefna að VISA Ísland – Greiðslumiðlun hf. starfrækir þjónustuver sem sér um að veita korthöfum upplýsingar símleiðis, m.a. um stöðu reikninga, úttekta og heimilda. Einnig geta korthafar beðið um ýmsa þjónustu í gegnum þjónustuver, s.s. hækkun á heimild, greiðsludreifingu og neyðarþjónustu.


Persónuvernd óskaði með bréfi, dags. 2. september 2002, eftir því að VISA Ísland – Greiðslumiðlun hf. legði fram viðskiptaskilmála félagsins, auk reglna um varðveislu, öryggi og eyðingu persónuupplýsinga og önnur gögn sem félagið teldi geta komið að notum fyrir Persónuvernd vegna úttektarinnar.


Í svarbréfi VISA Íslands – Greiðslumiðlunar hf., dags. 23. september 2002, er almenn lýsing á starfsemi félagsins. Í fylgiskjali er og almenn lýsing á varðveislu, öryggi og eyðingu persónuupplýsinga, auk þess sem viðskiptaskilmálar félagsins voru hjálagðir. Með bréfi Persónuverndar, dags. 7. mars 2003, var óskað ítarlegri gagna, þ.e. öryggisstefnu, áhættumats og lýsingar á öryggisráðstöfunum, sbr. 5. mgr. 11. gr. laga nr. 77/2000 og 3. gr. reglna nr. 299/2001, eigi síðar en 21. s.m. VISA Ísland – Greiðslumiðlun hf. svaraði með bréfi, dags. 13. s.m. Þar sagði að í framhaldi af bréfi Persónuverndar, dags. 2. september 2002, hefði verið tekin um það ákvörðun að setja aukinn kraft í þá vinnu sem þegar hefði verið hafin við að uppfylla skilyrði laga um meðferð persónuupplýsinga. Fyrir lægi öryggisstefna, en nú væri unnið að gerð áhættumats og öryggisráðstafana. Var þess óskað að frestur til afhendingar gagnanna yrði því framlengdur um einn mánuð. Við því var orðið með bréfi Persónuverndar, dags. 3. apríl 2003, og með bréfi, dags. 16. s.m., afhenti VISA Ísland – Greiðslumiðlun hf. umbeðin gögn sem voru annars vegar í skjalinu "VISA Ísland – Öryggi persónuupplýsinga" og hins vegar skjalinu "VISA Ísland – Öryggi persónuupplýsinga – Fylgigögn". Meðal þeirra fylgigagna var "Öryggishandbók – Valdar greinar sem lúta að persónuvernd og meðferð persónuupplýsinga". Með bréfi, dags. 6. maí 2003, var Persónuvernd send uppfærð útgáfa, dags. 5. s.m., af fyrstnefnda skjalinu og 11. kafla öryggishandbókarinnar.


Með bréfi, dags. 6. maí 2003, var VISA Íslandi – Greiðslumiðlun hf. tilkynnt um að Kreditkort hf., sem þá laut sambærilegri úttekt, hefði fengið frest til 2. desember s.á. til að skila gögnum vegna úttektarinnar. Með bréfi, dags. 21. maí 2003, óskaði VISA Ísland – Greiðslumiðlun hf. eftir sams konar fresti. Veitti Persónuvernd, með bréfi, dags. 27. júní 2003, félaginu viðbótarfrest til 8. maí 2004, en nýlega hafði stofnunin þá orðið við ósk Kreditkorts hf. um slíkan frest. Ekki bárust frekari gögn frá VISA Íslandi – Greiðslumiðlun hf. innan viðbótarfrestsins. Hinn 30. ágúst 2004 sendi félagið hins vegar sérfræðingi, sem Persónuvernd fékk til aðstoðar vegna úttektarinnar, sbr. IV. kafla hér á eftir, viðbótargögn, þ.e. í skjali nefndu "Svör við spurningum úttektaraðila", en þær spurningar komu fram í tölvupósti sérfræðingsins til félagsins, sendum 26. ágúst 2004.


Með bréfi, dags. 29. apríl 2004, tilkynnti Persónuvernd VISA Íslandi – Greiðslumiðlun hf., að í ljósi þess hversu umfangsmikil og tæknilega flókin sú vinnsla persónuupplýsinga, sem fram fer á vegum félagsins, væri, hefði Persónuvernd ákveðið að leita aðstoðar sérfræðings varðandi framkvæmd úttektarinnar. Sagði að stofnunin hefði í hyggju að leita tilboðs frá Herði H. Helgasyni, sérfræðingi í öryggi persónuupplýsinga hjá Dómbæ ehf., varðandi aðstoð við verkið, og minnti á 5. mgr. 37. gr. laga nr. 77/2000. Var VISA Íslandi – Greiðslumiðlun hf. veitt færi á að koma á framfæri athugasemdum varðandi val Persónuverndar á sérfræðingi, en tekið fram að hefðu þær ekki borist fyrir 13. maí 2004 yrði Herði H. Helgasyni falið að gera kostnaðaráætlun varðandi vinnu sína á grundvelli framlagðra gagna. VISA Ísland – Greiðslumiðlun hf. gerði ekki athugasemdir. Hann ritaði því undir þagnarheit hinn 13. maí 2004 og skilaði í framhaldi af því kostnaðaráætlun til Persónuverndar, dags. 28. s.m. Með bréfi, dags. 3. júní 2004, ítrekuðu með bréfi, dags. 5. júlí s.á., sendi Persónuvernd VISA Íslandi – Greiðslumiðlun hf. afrit af áætluninni og veitti félaginu kost á að gera athugasemdir við hana. Ekki bárust athugasemdir innan þess frests sem veittur var og leit Persónuvernd því svo á, eins og tilkynnt var að hún myndi gera í framangreindu bréfi, dags. 5. júlí 2004, að félagið hefði samþykkt áætlunina.

Hinn 23. júlí 2004 gerði Persónuvernd samning við Dómbæ ehf. um framkvæmd athugunar á öryggiskerfum VISA Íslands – Greiðslumiðlunar hf. og gerð skýrslu um niðurstöðu hennar. Samið var um að Hörður H. Helgason, sérfræðingur á vegum Dómbæjar ehf., myndi annast verkið. Samkvæmt samningnum er hann bundinn trúnaðar- og þagnarskyldu. Athugunin skyldi skiptast í tvo meginþætti, rýni framlagðra gagna frá ábyrgðaraðila og vettvangsathugun þar sem staðhæfingar í framangreindum gögnum yrðu sannreyndar með tilvikabundnum prófunum, sem gerðar yrðu samkvæmt gátlista byggðum á lýsingu VISA Íslands – Greiðslumiðlunar hf. á eigin öryggisráðstöfunum. Að athuguninni lokinni skyldi skila Persónuvernd lokaskýrslu um niðurstöður hennar. Umræddri skýrslu var skilað hinn 23. september 2004. Með bréfi, dags. 25. s.m., ítrekuðu með bréfi, dags. 22. október 2004, var VISA Íslandi – Greiðslumiðlun hf. veittur kostur á að gera við hana athugasemdir. Með tölvupósti hinn 25. október 2004, tilkynnt félagið að það gerði ekki neinar athugasemdir við skýrsluna.


Hörður H. Helgason, hér eftir nefndur skýrsluhöfundur, rýndi gögn VISA Íslands – Greiðslumiðlunar hf., þ.e. þau skriflegu gögn sem félagið hafði lagt fram um öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum. Í kafla 5.3 greinir skýrsluhöfundur frá niðurstöðum rýni sinnar.


2.1. Öryggisstefna
Skýrsluhöfundur gerir ekki athugasemdir við öryggisstefnu VISA Íslands – Greiðslumiðlunar hf. á grundvelli reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.


2.2. Áhættumat
Um áhættumat VISA Íslands – Greiðslumiðlunar hf. segir skýrsluhöfundur:


2.3. Lýsing öryggisráðstafana
Um lýsingu VISA Íslands – Greiðslumiðlunar hf. á öryggisráðstöfunum segir skýrsluhöfundur:


2.4. Innra eftirlit
Samkvæmt 8. gr. reglna nr. 299/2001, sbr. 12. gr. laga nr. 77/2000, ber ábyrgðaraðila að viðhafa innra eftirlit með vinnslu persónuupplýsinga. Skal slíkt eftirlit að jafnaði viðhaft samkvæmt fyrirfram skilgreindu kerfi. Um það hvernig kröfum til innra eftirlits sé fullnægt hjá VISA Íslandi – Greiðslumiðlun hf. segir skýrsluhöfundur:


Vettvangsathugun fór fram 31. ágúst 2004. Í lokakafla skýrslunnar er lagt heildstætt mat á niðurstöður prófana sem þá voru gerðar á öryggisráðstöfunum VISA Íslands – Greiðslumiðlunar hf. og þær dregnar saman með svofelldum hætti:


Skýrsluhöfundur flokkar öryggisráðstafanir með tilliti til reglna nr. 299/2001, en til skýringar bætir hann við einum flokki varðandi aðgangsstýringu. Persónuvernd telur ekki vera efni til þess að fjalla sérstaklega um þær öryggisráðstafanir sem við prófun skýrsluhöfundar reyndust vera í samræmi við framlögð gögn. Hins vegar verður farið yfir þær öryggisráðstafanir sem ekki voru viðhafðar eða reyndust vera með öðrum hætti en greinir í framlögðum gögnum. Þær eru:


3.1. Ytra öryggi
Samkvæmt 6. gr. reglna nr. 299/2001, sbr. 1. mgr. 11. gr. laga nr. 77/2000, skal ábyrgðaraðili grípa til viðeigandi öryggisráðstafana í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum óheimils aðgangs. Þrjár öryggisráðstafanir, sem lúta að þessari kröfu, reyndust, að mati skýrsluhöfundar, ekki standast prófun, sbr. eftirfarandi:


a) Í skjalinu ,,Öryggishandbók – Valdar greinar sem lúta að persónuvernd og meðferð persónuupplýsinga" segir m.a.: ,,Gluggar á jarðhæð, við svalir og á þaki og útihurðir (einnig svalahurðir og frá bílageymslu) skulu sérstaklega styrkt til varnar innbrotum."


Í vettvangsskoðun óskaði skýrsluhöfundur eftir því að sér yrði sýnt hvernig gluggar á jarðhæð væru sérstaklega styrktir til varnar innbrotum. Honum var greint frá því að engin styrking væri á gluggum á þessu svæði, en hins vegar væru rimlar fyrir opnanlegum fögum, auk þess sem fremur líklegt væri að starfsemin yrði flutt í annað húsnæði, innan eigi langs tíma. Taldi hann líklegt að fullyrðingum í skjölum um öryggiskerfi félagsins hefði verið breytt í samræmi við þá háttu sem höfð væri á þessum öryggisráðstöfunum.


b) Í framangreindu skjali segir m.a.: ,,Netþjónn skal vera í læstu herbergi, sem er sérstakt brunahólf. Í rými netþjóns skal vakta hita- og rakastig; hafa vatnslagnir öruggar; ekki geyma pappírsgögn eða annan eldsmat."


Skýrsluhöfundi var sýnt umrætt herbergi. Þar reyndist hins vegar vera geymt töluvert magn af pappír, í trássi við skjöl um öryggiskerfið. Var honum sagt að þessu ákvæði skjalanna yrði breytt þannig að leyfð yrði lágmarksgeymsla á pappír í rýminu.


c) Í framangreindu skjali segir m.a.: ,,Rafmagns- og fjarskiptalagnir sem flytja gögn eða styðja upplýsingaþjónustu skal verja fyrir hlerun eða skemmdum."


Til þess að prófa þessa fullyrðingu óskaði skýrsluhöfundur eftir því að sér yrðu sýnd dæmi um aðgerðir sem beitt væri hjá félaginu til að verja fjarskiptalagnir fyrir hlerun. Var honum þá greint frá því að slíkum ráðstöfunum væri ekki beitt nú, en að til stæði að bæta þar úr á yfirstandandi ári.


3.2. Skipulagslegar og tæknilegar öryggisráðstafanir
Samkvæmt 7. gr. reglna nr. 299/2001, sbr. 1. mgr. 11. gr. laga nr. 77/2000, skal ábyrgðaraðili grípa til viðeigandi öryggisráðstafana í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum bilana og óheimils aðgangs að vinnslubúnaði. Fjórar öryggisráðstafanir, sem lúta að þessari kröfu, reyndust, að mati skýrsluhöfundar, ekki standast prófun, sbr. eftirfarandi:


a) Í skjalinu ,,Öryggishandbók – Valdar greinar sem lúta að persónuvernd og meðferð persónuupplýsinga" segir m.a.: ,,Starfsfólk sem annast kerfisrekstur búnaðar skal halda dagbækur um störf sín." Einnig segir í umræddu skjali: ,,Í dagbókunum skal haldið a.m.k. utan um eftirfarandi atriði: tíma þegar kerfi eru ræst og þegar þau eru keyrð niður; kerfisvillur og úrbætur sem gerðar eru til að bæta úr þeim; staðfestingu á réttri meðhöndlun gagnaskrá[r] og úttaks frá upplýsingakerfum; Nafn þess sem skráir færsluna og tímasetningu færslu."


Í vettvangsskoðun óskaði skýrsluhöfundur eftir því að sér yrðu sýndar færslur í slíkri kerfisdagbók fyrir yfirstandandi mánuð. Var honum þá sýnd dagbók sem innihélt einungis fyrstu atriðin í upptalningunni, þ.e. þann tíma þegar kerfi eru ræst og hvenær þeim er lokað fyrir kvöldið. Kom fram að ekki stæði til að fullnægja hinum skilyrðunum.


b) Í framangreindu skjali segir m.a.: ,,Halda skal færsluskrár um ólag og bilanir á tækjabúnaði."


Til þess að prófa þessa fullyrðingu óskaði skýrsluhöfundur eftir því að sér yrði sýnd færsluskrá sem innihéldi nýjustu færslur um ólag og bilanir á tækjabúnaði. Var honum þá greint frá því að engum slíkum aðferðum væri beitt hjá félaginu þrátt fyrir ákvæði þess efnis í öryggishandbók. Hins vegar stæði til að bæta þennan ágalla nú á yfirstandandi ári og yrði m.a. komið á fót tengingu við eignaskrá.


c) Í framangreindu skjali segir m.a.: ,,Gæta skal þess að samþykki einstaklingsins, sem persónuupplýsingar lúta að (hinn skráði), liggi fyrir áður en slíkar upplýsingar eru vistaðar, unnið með þær eða þær birtar þriðja aðila."


Til þess að prófa þessa fullyrðingu óskaði skýrsluhöfundur eftir því að sér yrði sýnt með hvaða hætti gætt væri að því að samþykki hins skráða lægi fyrir áður en vinnsla upplýsinga um hann hæfist. Var honum þá bent á að hér væri einkum vísað til umsóknareyðublaða og almennra kortaskilmála. Verður ráðið af skýrslunni að skýrsluhöfundur telur þessi gögn ekki veita slíka fræðslu, þ.e. að ávallt liggi fyrir samþykki fyrir vinnslu persónuupplýsinga, enda komi þar ekki fram að skráðar verði upplýsingar um kortasvik, sbr. V. kafla niðurstöðu þessarar. Eins og þar kemur fram hefur VISA Ísland – Greiðslumiðlun hf. nú lýst því yfir að slíkra upplýsinga sé ekki aflað.


d) Í framangreindu skjali segir m.a.: ,,Skrá skal sjálfvirkt í dagbækur eftirfarandi úttektarslóðir: allan aðgang að færsluupplýsingum, þ.m.t. korthafaupplýsingum. […] Fyrir sérhverja færslu úttektarslóðar skal skrá: notandakenni; atburð; tímasetningu; vísbending[ar] um hvort aðgerð heppnaðist eða misheppnaðist; upptök atviks; tilgreina eða nefna gögn, kerfishluta eða aðföng sem urðu fyrir áhrifum. […] Varðveita skal dagbækur eins lengi og virk not eru af þeim eða lagalegar kröfur segja til um."


Til þess að prófa þessa fullyrðingu óskaði skýrsluhöfundur eftir því að sér yrði sýnd umrædd kerfisnotkunardagbók og færslur í henni um aðgang að persónuupplýsingum, þ.m.t. korthafaupplýsingum fyrir upphaf yfirstandandi árs, þ.e. 2004. Hafi honum þá verið sýnt innihald dagbókarinnar. Hafi hún ekki reynst innihalda þær upplýsingar, sem boðið væri, heldur þess í stað aðeins um breytingar, nýskráningar og eyðingar.


3.3. Innra eftirlit
Samkvæmt 8. gr. reglna nr. 299/2001, sbr. 12. gr. laga nr. 77/2000, skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur, þ. á m. þá skilmála sem Persónuvernd hefur sett um viðkomandi vinnslu. Ein öryggisráðstöfun, sem lýtur að þessari kröfu, reyndist, að mati skýrsluhöfundar, ekki standast prófun, sbr. eftirfarandi:


a) Í skjalinu ,,Öryggishandbók – Valdar greinar sem lúta að persónuvernd og meðferð persónuupplýsinga", segir m.a.: ,,Dagbækurnar skal rýna reglulega af óháðum aðila."


Í vettvangsskoðun óskaði skýrsluhöfundur eftir því að sér yrðu sýnd gögn um að kerfisdagbók hefði verið rýnd af óháðum aðila. Kom þá fram að þessi regla væri ekki komin til framkvæmda.


Í bréfi Persónuverndar, dags. 24. september 2005, var óskað skýringa VISA Íslands – Greiðslumiðlunar hf. varðandi tiltekið atriði í skjali félagsins, dags. 5. maí 2004, um hvernig gætt er öryggis persónuupplýsinga hjá því, þ.e. skjalinu "VISA Ísland – Öryggi persónuupplýsinga". Í því skjali segir:


Í þessu sambandi benti Persónuvernd á að upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað eru viðkvæmar persónuupplýsingar, sbr. b-lið 8. tölul. 2. gr. laga nr. 77/2000. Svo að vinnsla slíkra upplýsinga væri heimil þyrfti ávallt að vera fullnægt einhverju skilyrðanna í 1. mgr. 9. gr. laganna, sem og einhverju hinna almennu skilyrða fyrir vinnslu persónuupplýsinga sem kveðið er á um í 8. gr. Þá þyrfti og skilyrðum 7. gr. um gæði gagna og vinnslu að vera fullnægt.


Með bréfi, dags. 1. mars 2005, var óskað skýringa um annað atriði, en samkvæmt fréttum hafði fjöldi greiðsluseðla verið sendur til rangra aðila mánaðamótin febrúar/mars.


VISA Ísland – Greiðslumiðlun hf. svaraði framangreindum bréfum Persónuverndar með bréfi, dags. 9. mars 2005. Þar segir:

Með bréfi, dags. 30. mars 2005, óskaði Persónuvernd eftir frekari skýringum varðandi vinnslu upplýsinga um það hvort menn hafi verið grunaðir, kærðir, ákærðir eða dæmdir fyrir refsiverðan verknað, þ.e. óskað var eftir að tekin yrðu af öll tvímæli um hvort unnið væri með slíkar upplýsingar. Þá var og óskað eftir því að greint yrði frá varðveislutíma þeirra upplýsinga sem unnið væri með, sem og skýrri afmörkun á tilgangi vinnslunnar, s.s. hvort unnið væri með þær í markaðssetningarstarfsemi eða við gerð kannana, t.d. á neyslu- og innkaupavenjum korthafa. VISA Ísland – Greiðslumiðlun hf. svaraði með bréfi, dags. 13. apríl 2005. Þar segir:


Í fylgiskjalinu, sem getið er um í bréfinu, kemur fram að upplýsingar eru almennt varðveittar í sjö ár. Af fylgiskjalinu verður ráðið að það gildir m.a. um upplýsingar um einstakar færslur. Þessi varðveislutími er í fylgiskjalinu rökstuddur með vísan til 20. gr. laga nr. 145/1994 um bókhald þar sem kveðið er á um að allar bækur, bókhaldsgögn o.fl. skuli varðveita í a.m.k. sjö ár frá lokum viðkomandi reikningsárs. Þá segir í fylgiskjalinu:


Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við ,,[s]érhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tölul. 2. gr. laganna. Þá merkir hugtakið vinnsla ,,[sérhverja] aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn." Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun.


Samkvæmt framangreindu felur söfnun og meðferð VISA Íslands – Greiðslumiðlunar hf. á upplýsingum í tengslum við greiðslukortanotkun í sér vinnslu persónuupplýsinga í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.


Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. og, eftir atvikum, 1. mgr. 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna.


Auk þess þarf að gæta í hvívetna að 1. mgr. 7. gr. laganna sem kveður á um meginreglur um gæði gagna og vinnslu, þ.e. að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skulu vera áreiðanlegar og uppfærðar eftir þörfum og að þær skulu afmáðar eða leiðréttar séu þær óáreiðanlegar eða ófullkomnar miðað við tilgang vinnslu þeirra (4. tölul.); og að þær skulu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða aðila lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

Eins og fyrr segir safnast mikið magn persónuupplýsinga í starfsemi greiðslukortaþjónustu og þær upplýsingar geta m.a. veitt ítarlega mynd af einkalífi korthafa, neysluvenjum þeirra og hegðunarmynstri. Upplýsingar um það hvar korthafi stundar viðskipti geta jafnvel talist til viðkvæmra persónuupplýsinga í skilningi 8. tölul. 2. gr. laga nr. 77/2000, s.s. upplýsinga um áfengisnotkun, sbr. c-lið ákvæðisins. Til þess að VISA Íslandi – Greiðslumiðlun hf. sé vinnsla upplýsinga um korthafa heimil verður því eitthvert af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000 að vera uppfyllt og, eftir atvikum, eitthvert af skilyrðum 1. mgr. 9. gr. laganna.


Í 1. tölul. 1. mgr. 8. gr. er kveðið á um að vinnsla persónuupplýsinga sé heimil standi til hennar samþykki hins skráða. Er þá ekki miðað við samþykki í skilningi 7. tölul. 2. gr. sömu laga. Auk þess sem telja má vinnsluna eiga sér stoð í framangreindu ákvæði má telja hana styðjast við 2. tölul. 1. mgr. 8. gr. þar sem er kveðið er á um að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Í athugasemdum við þetta ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, segir að samkvæmt því megi viðhafa nauðsynlega vinnslu, s.s. á reikningum og kvittunum, í tengslum við efndir samnings við hinn skráða. Sú vinnsla persónuupplýsinga um korthafa, sem fram fer á vegum VISA Íslands – Greiðslumiðlunar hf., helgast af þessu ákvæði, enda hefur komið skýrt fram af hálfu félagsins að ekki er unnið með persónuupplýsingar í annars konar tilgangi en miðað er við í ákvæðinu. M.a. hefur komið fram að ekki er unnið með kortaupplýsingar í markaðssetningarskyni eða til greiningar á neysluvenjum.


Eins og áður segir geta upplýsingar um korthafa verið viðkvæmar. Persónuvernd telur 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000 einkum koma til álita sem lagastoð fyrir vinnslu slíkra viðkvæmra persónuupplýsinga, s.s. vegna færslna á vínveitingahúsum. Þar er kveðið á um að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Í framkvæmd Persónuverndar hefur verið við það miðað að ekki þurfi að vera um að ræða kröfu, sem þegar hafi stofnast, heldur geti verið um að ræða kröfu, sem hugsanlega muni koma upp, og ekki verði unnt að bregðast við nema áður hafi verið unnið með tilteknar, viðkvæmar persónuupplýsingar.


Ljóst er að slíkar aðstæður geta komið upp í starfsemi kreditkortafyrirtækis. Því getur t.d. verið nauðsynlegt að varðveita upplýsingar um færslur á vínveitingahúsum til að bregðast við því ef korthafi véfengir slíkar færslur, s.s. vegna þess að kortið hafi verið notað af öðrum í heimildarleysi. Samkvæmt þessu telur Persónuvernd vinnslu VISA Íslands – Greiðslumiðlunar hf. á viðkvæmum persónuupplýsingum um korthafa helgast af 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000, enda hefur komið skýrt fram af hálfu félagsins að ekki sé unnið með slíkar persónuupplýsingar í annars konar tilgangi en það ákvæði miðar við. Þannig hefur félagið lýst því yfir að það vinni ekki með persónuupplýsingar um hvort viðskiptavinir hafi verið grunaðir, kærðir, ákærðir eða dæmdir fyrir refsiverða háttsemi, s.s. með færslu sérstakrar skrár yfir þá sem hafa verið grunaðir eða gerst sekir um kortasvik.


Auk þess sem heimild þarf að vera til vinnslu persónuupplýsinga í 8. gr. og, eftir atvikum, 9. gr. laga nr. 77/2000 verður hún ávallt að samrýmast meginreglum 7. gr. laganna, eins og fram hefur komið. Persónuvernd telur vinnslu VISA Íslands – Greiðslumiðlunar hf. ekki vekja upp álitaefni í ljósi þess ákvæðis að einum þætti undanskildum, þ.e. varðveislutíma. Samkvæmt 3. tölul. 1. mgr. 7. gr. skulu persónuupplýsingar ekki vera umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar og samkvæmt 5. tölul. skulu þær ekki varðveittar á persónugreinanlegu formi lengur en þörf krefur miðað við þann tilgang.


Ljóst er að tilgangur umræddrar vinnslu er að sjá til þess að viðskipti "geti gengið snurðulaust fyrir sig," eins og það er orðað í bréfi VISA Íslands – Greiðslumiðlunar hf. til Persónuverndar, dags. 13. apríl 2005. Í gögnum málsins hefur komið fram að upplýsingar eru almennt varðveittar í sjö ár hjá félaginu, m.a. upplýsingar um einstakar færslur. Þessi varðveislutími er rökstuddur með vísan til 20. gr. laga nr. 145/1994 um bókhald þar sem kveðið er á um að allar bækur, bókhaldsgögn og fylgiskjöl, svo og bréf, myndrit og skeyti eða samrit þeirra, þ.m.t. gögn sem varðveitt eru í tölvutæku formi, á örfilmu eða annan sambærilegan hátt, skuli varðveita í a.m.k. sjö ár frá lokum viðkomandi reikningsárs.


Persónuvernd telur að skýra verði ákvæði 3. og 5. tölul. 1. mgr. 7. gr. laga nr. 77/2000 í ljósi þessa ákvæðis bókhaldslaga. Telur stofnunin því að sjö ára varðveislutími umræddra gagna samrýmist kröfum 7. gr.

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr. 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001. Með ábyrgðaraðila er átt við þann sem ákveður tilgang vinnslu persónupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laga nr. 77/2000.


Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.


Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.


Samkvæmt 12.gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.


Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. Með vinnsluaðila er átt við þann sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 4. tölul. 2. gr. laganna.

Með vísan til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga hefur Persónuvernd, með aðstoð sérfræðings, athugað hvort uppfyllt séu fyrirmæli framangreindra laga og reglna, þ.e. að því er varðar örugga meðferð persónuupplýsinga hjá VISA Íslandi – Greiðslumiðlun hf. Á grundvelli þeirrar athugunar veitir Persónuvernd, í samræmi við 4. tölul. 1. mgr. ákvæðisins, VISA Íslandi – Greiðslumiðlun hf. leiðbeiningar um úrbætur eftir því sem ástæður þykja til. Tekið skal fram að það atvik að greiðsluseðlar voru, í byrjun árs 2005, ekki sendir réttum einstaklingum, er ekki talið vera tilefni til sérstakra leiðbeininga, enda hefur ekki komið annað fram en að um eitt tilvik hafi verið að ræða og galla sem bætt hafi verið úr.


Verður nú fjallað um að hvaða marki VISA Ísland – Greiðslumiðlun hf. uppfyllir skilyrði 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.


a. Öryggisstefna
Í 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 segir eftirfarandi: ,,Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra." Eins og ráða má af orðalagi ákvæðisins er öryggisstefna ábyrgðaraðila eins konar markmiðsyfirlýsing hans varðandi þær kröfur sem hann gerir til þeirrar vinnslu sem hann ber ábyrgð á. Er þannig gert ráð fyrir því að kröfur um öryggi persónuupplýsinga taki mið af þeim þáttum sem ábyrgðaraðili telur varða mestu að tryggja, s.s. hvort það sé aðgengileiki, áreiðanleiki eða leynd viðkomandi persónuupplýsinga.


Persónuvernd telur að öryggisstefna VISA Íslands – Greiðslumiðlunar hf. fullnægi þeim kröfum sem gera verður til slíkrar stefnu.


b. Áhættumat
Í 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 er að finna reglur sem veita ábyrgðaraðilum persónuupplýsinga leiðbeiningar um hvernig skuli standa að gerð áhættumats. Þar segir: ,,Áhættumat er mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum. Þá skal tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Áhættumat skal endurskoðað reglulega."


Persónuvernd telur áhættumat VISA Íslands – Greiðslumiðlunar hf. fullnægja þessum kröfum en að æskilegt sé að skráning þess verði heildstæðari og skýrari.


c. Lýsing á öryggisráðstöfunum
Samkvæmt 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 ber ábyrgðaraðila að setja fram skriflega lýsingu á þeim öryggisráðstöfunum sem hann hefur valið til þess að tryggja öryggi persónuupplýsinga. Er ákvæðið svohljóðandi: ,,Ábyrgðaraðili velur hvaða öryggisráðstafanir skulu viðhafðar í samræmi við III. kafla reglna þessara og set[ur] fram skriflega lýsingu á þeim. Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna. Þá skal rakið hvaða öryggisráðstöfunum verði beitt og hvernig þær verði útfærðar, þ. á m. við hönnun, þróun, rekstur, prófun og viðhald þess kerfis, þ.m.t. hugbúnaðar, sem notað verður við vinnslu upplýsinganna. Þar skal og tekið fram hvernig brugðist verði við áföllum í rekstri vinnslukerfisins, hvernig flutningi persónuupplýsinga milli vinnslukerfa verði hagað, þ. á m. mögulegum flutningi gagna milli ábyrgðar- og vinnsluaðila. Öryggisráðstafanir skal endurskoða reglulega."


Persónuvernd telur lýsingu VISA Íslands – Greiðslumiðlunar hf. á öryggisráðstöfunum fullnægja þessum kröfum, að öðru leyti en því að ekki kemur fram hvaða stig áhættu telst ásættanlegt hverju sinni, auk þess sem lýsingu skortir á því hvernig brugðist verði við neyðaraðstæðum, s.s. stórfelldum bilunum í tækjabúnaði eða eldsvoða. Með því er einkum átt við að skjalfesta þarf verklagsreglur um neyðarstjórnunarferli sem miðar að endurreisn upplýsingakerfa. Auk framangreinds væri æskilegt að í lýsingu á öryggisráðstöfunum kæmi fram hvernig einstakar ráðstafanir eru leiddar af þeim hættum sem greindar eru í áhættumati.


d. Öryggisráðstafanir varðandi öryggi persónuupplýsinga
Eftir prófun öryggisráðstafana hefur komið í ljós að þær eru að mestu leyti í samræmi við það sem fram kemur í skráðum gögnum VISA Íslands – Greiðslumiðlunar hf. um öryggiskerfi fyrirtækisins. Í nokkrum tilvikum kom þó í ljós að svo var ekki. Þannig eru gluggar á jarðhæð, við svalir og á þaki, sem og útihurðir, svalahurðir og hurðir við bílageymslur, ekki sérstyrktir eins og boðið er í framangreindum gögnum. Persónuvernd telur þessa öryggisráðstöfun hins ekki lögskylda í ljósi 11. gr. laga nr. 77/2000 og reglna nr. 299/2001 heldur aðeins æskilega. Í ljósi þess, sem og þess að rimlar eru fyrir opnanlegum fögum, telur Persónuvernd því ekki ástæðu til að gera athugasemd við þetta, enda hefur og komið fram að fullyrðingum um þetta í skjölum VISA Íslands – Greiðslumiðlunar hf. um öryggiskerfi félagsins mun hafa verið breytt að þessu leyti; má því ætla að ósamræmi hvað þetta varðar milli skjalfestingar og framkvæmdar sé ekki lengur til staðar.


Í ljósi 1. og 2. mgr. 11. gr. laga nr. 77/2000, sbr. reglur nr. 299/2001, telur Persónuvernd hins vegar að öðru leyti nauðsynlegt að leiðbeina VISA Íslandi – Greiðslumiðlun hf. um eftirfarandi úrbætur:


e. Innra eftirlit
Eins og áður hefur verið vikið að er ábyrgðaraðila skylt, samkvæmt 12. gr. laga nr. 77/2000, að viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Innra eftirlit skal a.m.k. fara fram árlega en oftar sé eðli gagna slíkt að kalli á það, sbr. 2. og 3. mgr. Þá skulu gerðar skýrslur um niðurstöður innra eftirlits. Samkvæmt 8. gr. reglna nr. 299/2001 ber og að jafnaði að viðhafa slíkt eftirlit samkvæmt fyrirfram skilgreindu kerfi og eru í ákvæðinu jafnframt talin upp þau atriði sem það skal beinast að.


Af gögnum málsins verður ráðið að innra eftirlit hjá VISA Íslandi – Greiðslumiðlun hf. sé fullnægjandi. Við vettvangsathugun kom fram að kerfisdagbækur væru ekki rýndar reglulega af óháðum aðila eins og boðið er í gögnum um öryggiskerfi félagsins. Sú regla væri ekki komin til framkvæmda. Persónuvernd telur að slík rýni óháðs aðila, sem hér um ræðir, sé ekki lögskyld og gerir því ekki athugasemdir við þetta. Hins vegar telur Persónuvernd, í ljósi eðlis þeirra gagna, sem VISA Ísland – Greiðslumiðlun hf. vinnur með, slíka rýni vera æskilega.


f. Vinnslusamningar
Samkvæmt 13. gr. laga nr. 77/2000, sbr. og 9. gr. reglna nr. 299/2001, er ábyrgðaraðila heimilt að semja við annan aðila um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á. Þetta er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit með henni. Samkvæmt 2. mgr. skal og m.a. koma fram í samningi við vinnsluaðila að honum sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. 13. gr. laganna.


Ljóst er að hluti þeirrar vinnslu, sem VISA Ísland – Greiðslumiðlun hf. ber ábyrgð, fer fram hjá vinnsluaðilum, þ. á m. Reiknistofu bankanna eins og vikið er að í kafla II í niðurstöðu þessari. Af gögnum málsins verður ekki ráðið að misbrestir séu á samningum við slíka aðila. Er því ekki tilefni til athugasemda hvað þetta varðar.


Vinnsla persónuupplýsinga á vegum VISA Íslands – Greiðslumiðlunar hf. uppfyllir lögmætisskilyrði 7.–9. gr. laga nr. 77/2000.


Úttekt Persónuverndar, sem boðuð var með bréfi, dags. 2. september 2002, og fram fór á grundvelli gagna, sem VISA Ísland – Greiðslumiðlun hf. lagði fram í september 2002, apríl og maí 2003 og ágúst 2004, hefur ekki leitt í ljós að öryggi við vinnslu persónuupplýsinga hjá félaginu sé í ósamræmi við 11.–13. gr. laga nr. 77/2000 og reglur nr. 299/2001 nema hvað nokkur atriði varðar. Þau eru þessi:


VISA Íslandi – Greiðslumiðlun hf. er leiðbeint um að bæta úr framangreindum ágöllum, hafi það ekki þegar verið gert.