Úttekt hjá Kreditkorti hf.

1.6.2006

Efni: Niðurstaða úttektar á öryggiskerfi persónuupplýsinga hjá Kredikorti hf.

Með bréfi Persónuverndar til Kreditkorts hf., dags. 2. september 2002, var, með vísan til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, boðuð úttekt á vinnslu persónuupplýsinga hjá félaginu. Tilefni ákvörðunar um framkvæmd úttektarinnar var að eðli málsins samkvæmt safnast upp mikið magn persónuupplýsinga í starfsemi greiðslukortaþjónustu. Þær persónuupplýsingar geta m.a. veitt ítarlega mynd af einkalífi korthafa, neysluvenjum þeirra og hegðunarmynstri. Var því ákveðið að kanna hvernig unnið er með persónuupplýsingar sem verða til við starfsemi greiðslukortafyrirtækja hér á landi og hvort vinnslan samrýmist ákvæðum laga nr. 77/2000 og reglna nr. 299/2001 um öryggi persónuupplýsinga sem settar eru á grundvelli laganna.

Starfsemi Kreditkorts hf. felur í sér útgáfu greiðslukorta, bæði kredit- og debetkorta. Bæði getur þar verið um að ræða að félagið gefi út sín eigin greiðslukort, svonefnd MasterCard-kreditkort, sem og að bankar og sparisjóðir gefi sjálfir út kort af þeim tegundum sem félagið hefur umboð fyrir. Þegar svo háttar skrást upplýsingar tengdar viðskiptum með kortunum engu að síður í tölvukerfi Kreditkorts hf. rétt eins og ef um kort útgefin af félaginu sjálfu væri að ræða.


Þær upplýsingar, sem farið er fram á að umsækjandi um kort veiti um sjálfan sig, eru nafn, kennitala og heimilisfang, hvort hann eigi eigin íbúð og hvar, brunabótamat íbúðarinnar, áhvílandi skuldir, hjúskaparstaða, netfang, heima-, vinnu- og farsímanúmer, vinnuveitandi, atvinna og árstekjur síðastliðið ár. Þá er spurt hver viðskiptabanki/-stofnun viðkomandi sé. Einnig er spurt um númer og tegund bankareiknings og hvort viðkomandi sé með önnur kreditkort og þá frá hvaða fyrirtæki. Boðið er upp á að tengja kort við netbanka og að send séu sms-skeyti um úttektir án korts, t.d. við pöntun í síma eða yfir netið og um það þegar notkun er komin í 90% af heimild. Einnig eru skráðar upplýsingar um ábyrgðarmenn, þ.e. nöfn þeirra, kennitölur og heimilisföng.


Önnur gögn sem bera með sér persónuupplýsingar, og unnið er með hjá félaginu, eru t.d. ýmis skjöl sem tengjast viðskiptamönnum, s.s. samningar, viðskiptabréf og kröfur, upplýsingar um kortafærslur og fjárhæðir, pin-númer og ýmsar upplýsingar um starfsmenn félagsins.


Upplýsingum er miðlað frá sölu- og þjónustuaðilum til Kreditkorts hf. með rafrænum hætti, auk þess sem pappírsnótur, eftir atvikum undirritaðar, eru einnig sendar félaginu til varðveislu. Sumir sölu- og þjónustuaðilar nota þar til gerð eyðublöð fyrir færslur og er upplýsingunum þá eingöngu miðlað á pappírsformi til félagsins.


Upplýsingar um viðskipti korthafa með kortum útgefnum af Kreditkorti hf. eða bönkum og sparisjóðum samkvæmt samningi við félagið fara ekki eingöngu um tölvukerfi þess, heldur einnig önnur tölvukerfi. Þannig rekur Reiknistofan búnað til samskipta upplýsingakerfa Kreditkorts hf. við upplýsingakerfi samstarfsaðila félagsins erlendis vegna heimildaöflunar, auk þess að sjá um tengingu upplýsingakerfa félagsins við upplýsingakerfi samstarfsaðila þess meðal banka og sparisjóða. Auk þess má nefna að Fjölgreiðslumiðlun hf. sér um rekstur sameiginlegrar greiðslurásar, svonefnds RÁS-kerfis, fyrir greiðslukortaviðskipti.


Ljóst er að upplýsingar um debetkortaviðskipti eru aðgengilegar bönkum og sparisjóðum. Hið sama gildir um upplýsingar um viðskipti með kreditkortum útgefnum af Kreditkorti hf.


Að lokum er rétt að nefna að Kreditkort hf. starfrækir þjónustuver sem sér um að veita korthöfum upplýsingar símleiðis, m.a. um stöðu reikninga, úttekta og heimilda. Einnig geta korthafar beðið um ýmsa þjónustu í gegnum þjónustuver, s.s. hækkun á heimild, greiðsludreifingu og neyðarþjónustu.

Persónuvernd óskaði með bréfi, dags. 2. september 2002, eftir því að Kreditkort hf. legði fram viðskiptaskilmála félagsins, auk reglna um varðveislu, öryggi og eyðingu persónuupplýsinga og önnur gögn sem félagið teldi geta komið að notum fyrir Persónuvernd vegna úttektarinnar. Kreditkort hf. svaraði með bréfi, dags. 25. september 2002, þar sem fram kom að taka ætti upp nýtt tölvukerfi. Félagið teldi hentugast að úttekt Persónuverndar ætti sér stað þegar það hefði verið gert eða undirbúningur þess kominn vel á veg. Með bréfi, dags. 7. október 2002, féllst Persónuvernd á það en fór þess jafnframt á leit að innan tiltekins frests yrði stofnunin upplýst um hvernig miðaði með uppsetningu og innleiðingu upplýsinga- og tölvukerfanna og hvort þess væri vænst að tímaáætlun stæðist. Í kjölfar þessa áttu sér stað bréfaskipti á milli Persónuverndar og Kreditkorts hf. í tengslum við framvindu þessarar vinnu. Lyktaði þeim með bréfi Kreditkorts hf., dags. 16. apríl 2004, þar sem félagið tilkynnti Persónuvernd að nú lægju fyrir þau gögn sem stofnunin hefði óskað eftir í tengslum við úttektina. Voru þau afhent á fundi hinn 7. maí 2004.

Með bréfi, dags. 29. apríl 2004, tilkynnti Persónuvernd Kreditkorti hf., að í ljósi þess hversu umfangsmikil og tæknilega flókin sú vinnsla persónuupplýsinga, sem fram fer á vegum félagsins, væri, hefði Persónuvernd ákveðið að leita aðstoðar sérfræðings varðandi framkvæmd úttektarinnar. Stofnunin hefði í hyggju að leita tilboðs frá Herði H. Helgasyni, sérfræðingi í öryggi persónuupplýsinga hjá Dómbæ ehf., varðandi aðstoð við verkið og var minnt á 5. mgr. 37. gr. laga nr. 77/2000. Var Kreditkorti hf. veitt færi á að koma á framfæri athugasemdum varðandi val Persónuverndar á sérfræðingi, en tekið fram að hefðu þær ekki borist fyrir 13. maí 2004 yrði Herði H. Helgasyni falið að gera kostnaðaráætlun varðandi vinnu sína á grundvelli framlagðra gagna. Kreditkort hf. gerði ekki athugasemdir, þó með þeim áskilnaði að félagið fengi verkáætlun hans til umsagnar. Hann ritaði því undir þagnarheit hinn 13. maí 2004 og skilaði í framhaldi af því kostnaðaráætlun til Persónuverndar, dags. 2. júní 2004. Með bréfi, dags. 3. s.m., sendi Persónuvernd Kreditkorti hf. afrit af áætluninni og veitti fyrirtækinu frest til 18. s.m. til að gera athugasemdir við hana. Með bréfi, dags. 15. s.m., tilkynnti Kredikort hf. Persónuvernd að félagið gerði ekki athugasemdir við kostnaðaráætlunina, en gengi út frá því að ekki yrði um viðbótarkostnað vegna úttektarinnar að ræða.

Hinn 23. júlí 2004 gerði Persónuvernd samning við Dómbæ ehf. um framkvæmd athugunar á öryggiskerfum Kreditkorts hf. og gerð skýrslu um niðurstöðu hennar. Samið var um að Hörður H. Helgason, sérfræðingur á vegum félagsins, myndi annast verkið. Samkvæmt samningnum er hann bundinn trúnaðar- og þagnarskyldu. Athugunin skyldi skiptast í tvo meginþætti, rýni framlagðra gagna frá ábyrgðaraðila og vettvangsathugun þar sem staðhæfingar í framangreindum gögnum yrðu sannreyndar með tilvikabundnum prófunum, sem gerðar yrðu samkvæmt gátlista byggðum á lýsingu Kreditkorts hf. á eigin öryggisráðstöfunum. Að athuguninni lokinni skyldi skila Persónuvernd lokaskýrslu um niðurstöður hennar. Umræddri skýrslu var skilað 17. september 2004. Sérfræðingurinn er hér eftir nefndur skýrsluhöfundur.

Skýrsluhöfundur rýndi gögn Kreditkorts hf., þ.e. þau skriflegu gögn sem félagið hafði lagt fram um öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum. Í kafla 5.3 greinir skýrsluhöfundur frá niðurstöðum rýni sinnar. Þar kemur fram:


2.1. Öryggisstefna
Skýrsluhöfundur gerir ekki athugasemdir við öryggisstefnu Kreditkorts hf. á grundvelli reglna Persónuverndar um öryggi persónuupplýsinga.


2.2. Áhættumat
Um áhættumat Kreditkorts hf. segir skýrsluhöfundur:

Skýrsluhöfundur telur öryggisráðstöfunum að mestu lýst með fullnægjandi hætti í framlagðri öryggishandbók Kreditkorts hf. ásamt fylgiskjölum, en gerir þó athugasemdir við að afstaða ábyrgðaraðila til ásættanlegrar áhættu komi ekki fram í framlögðum gögnum. Síðan segir í skýrslunni:

Samkvæmt 8. gr. reglna nr. 299/2001 ber ábyrgðaraðila að viðhafa innra eftirlit með vinnslu persónuupplýsinga. Þá greiningu fann skýrsluhöfundur ekki í framlögðum gögnum Kreditkorts hf. og komst því að eftirfarandi niðurstöðu:

Vettvangsathugun fór fram 30. ágúst 2004. Í lokakafla skýrslunnar er lagt heildstætt mat á niðurstöður prófana sem þá voru gerðar á öryggisráðstöfunum Kreditkorts hf. og þær dregnar saman með svofelldum hætti:

Skýrsluhöfundur flokkar öryggisráðstafanir með tilliti til reglna nr. 299/2001, en til skýringar bætir hann við tveimur flokkum varðandi aðgangsstýringu annars vegar og vinnsluaðila hins vegar. Persónuvernd telur ekki vera efni til þess að fjalla sérstaklega um þær öryggisráðstafanir sem við prófun skýrsluhöfundar reyndust vera í samræmi við framlögð gögn. Hins vegar verður farið yfir þær öryggisráðstafanir sem ekki voru viðhafðar eða reyndust vera með öðrum hætti en greinir í framlögðum gögnum. Þær eru:


3.1. Öryggisráðstafanir varðandi starfsmannamál
Samkvæmt 5. gr. reglna nr. 299/2001 skal ábyrgðaraðili grípa til viðeigandi öryggisráðstafana í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum mannlegra mistaka, þjófnaðar, svika og annarrar misnotkunar. Tvær öryggisráðstafanir sem lúta að þessari kröfu reyndust, að mati skýrsluhöfundar, ekki standast prófun, sbr. eftirfarandi:


a) Í skjalinu ,,Öryggishandbók Kreditkorts hf.", segir meðal annars: ,,Ábyrgð aðila varðandi öryggismál skal koma fram í öllum starfslýsingum og samningum sem gerðir eru." og ,,Í starfslýsingu með ráðningarsamningi skal koma skýrt fram til hvers er ætlast af viðkomandi starfsmanni og hver ábyrgð hans er gagnvart öryggisstefnu fyrirtækisins."


Skýrsluhöfundi var sýnd starfslýsing þar sem hin tilskildu atriði komu ekki fram.


b) Í skjalinu ,,Verklagsregla um tölvupóst- og netnotkun" segir meðal annars: ,,Einungis gögn tengd starfsemi félagsins skulu vistuð á netþjónum þess", og ,,Starfsmenn eru hvattir til að vista persónuleg gögn eingöngu á c-drifi sinnar tölvu."


Í starfsmannaviðtali, sem haldið var í vettvangsskoðunarhluta öryggisathugunarinnar, innti skýrsluhöfundur starsfmann Kreditkorts hf. eftir því hvernig starfsmönnum bæri að vista persónuleg gögn sín. Hann fékk þau svör að ekki bæri að vista slík gögn á hörðum diski þeirrar tölvu sem þeir vinna við, heldur á úthlutuðum heimasvæðum á möppuðu drifi á netþjóni.


3.2. Vinnsluaðilar
Samkvæmt 9. gr. reglna nr. 299/2001 skal ábyrgðaraðili sannreyna að vinnsluaðili geti viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit með vinnslunni. Auk þess skal gerður við hann skriflegur samningur um vinnsluna þar sem fram kemur m.a. að vinnsluaðili skuli starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði reglna nr. 299/2001 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili framkvæmir. Þrjár öryggisráðstafanir, sem lúta að þessum kröfum, reyndust, að mati skýrsluhöfundar, ekki standast prófun, sbr. eftirfarandi:


a) Í skjalinu ,,Öryggishandbók Kreditkorts hf." segir m.a. á bls. 4: ,,Gera skal skriflega samninga við verktaka sem hafa aðgang að húsnæði eða tölvukerfi, t.d. vegna viðhalds eða ræstingar. Í samningnum skulu koma fram skyldur þessara aðila varðandi upplýsingaöryggi og rétta umgengni. Ef veita á aðgang að tölvukerfi, afhenda trúnaðargögn eða þegar þörf þykir, skulu verktakar fyrst undirrita trúnaðaryfirlýsingu samskonar og starfsmenn félagsins […]. Starfsmannaþjónusta heldur skrá yfir þá verktaka, sem aðgang hafa að húsnæði og tölvukerfi MasterCard og varðveitir afrit af undirrituðu almennu þagnarheiti þeirra."


Í vettvangsskoðun óskaði skýrsluhöfundur eftir því að honum yrði sýnt eintak verksamnings, að eigin vali fyrirsvarsmanns, við viðgerðaraðila tölvukerfa fyrirtækisins, ásamt undirrituðu þagnarheiti viðkomandi. Skýrsluhöfundi var sýndur verksamningur félagsins við Opin kerfi ehf. Hins vegar fannst ekki, þegar vettvangsathugunin fór fram, afrit af undirritaðri þagnaryfirlýsingu starfsmanns viðkomandi fyrirtækis.


b) Með vísan til framangreindrar öryggisráðstöfunar, sem greind er á bls. 4 í ,,Öryggishandbók Kreditkorts hf.", óskaði skýrsluhöfundur eftir því í vettvangsskoðun að honum yrði sýnt eintak verksamnings við þjónustuaðilann Hugmót ehf., ásamt undirrituðu þagnarheiti fyrirsvarsmanns félagsins gagnvart Kreditkorti hf. Skýrsluhöfundi var sýndur verksamningur við fyrirtækið Hugmót ehf., en hins vegar fannst ekki, þegar vettvangsathugunin fór fram, afrit af undirritaðri þagnaryfirlýsingu starfsmanns viðkomandi félags.


c) Í skjalinu ,,Áhættumat Kreditkorts hf." segir meðal annars á bls. 3: ,,Samningar liggja fyrir við útgefendur MC-korta (aðal- og þjónustusamningur) og þar er að finna ákvæði sem varða trúnað upplýsinga."


Í vettvangsskoðun var þess óskað að skýrsluhöfundi yrði sýnt eintak af samningi við útgefanda MasterCard-korta sem innihéldi ákvæði um trúnað upplýsinga. Í slíkum samningum var ekki að finna sérstök ákvæði um trúnað upplýsinga, en hins vegar getur skýrsluhöfundur þess að útgefendur MasterCard-korta á Íslandi eru bankar og sparisjóðir, sem eru háðir ákvæðum um bankaleynd í settum lögum um fjármálastofnanir.

Með bréfi Persónuverndar, dags. 20. september 2004, var Kreditkorti hf. send skýrsla sérfræðingsins og félaginu gefinn kostur á að gera athugasemdir við hana. Athugasemdir bárust Persónuvernd með bréfi, dags. 12. október 2004. Í bréfinu er gerð grein fyrir viðbrögðum Kreditkorts hf. við þeim athugasemdum skýrsluhöfundar sem er að finna í lokakafla skýrslunnar. Verður nú gerð grein fyrir þessum athugasemdum, en eins og áður segir verður ekki fjallað sérstaklega um þau atriði sem reyndust vera í lagi, að mati skýrsluhöfundar.

Í bréfi Kreditkorts hf. segir að í tengslum við uppsetningu stjórnkerfis upplýsingaöryggis hafi félagið strax hugað að því að láta utanaðkomandi verktaka og vinnsluaðila undirrita trúnaðaryfirlýsingu og vísað er í meðfylgjandi yfirlit yfir slíkar yfirlýsingar. Í bréfinu segir:

Hvað varðar tilgreiningu í öryggishandbók Kreditkorts hf. á þeim atriðum tengdum öryggismálum sem fjalla skal um í samningum fyrirtækisins segir í bréfinu:

Um athugasemd skýrsluhöfundar varðandi þjálfun starfsmanna segir í bréfi Kreditkorts hf.:

Um athugasemd skýrsluhöfundar varðandi aðferðafræði við gerð og viðhald eignaskrár segir í bréfi Kreditkorts hf.:

Kreditkort hf. bendir á að í fylgiskjali við öryggishandbók, sem vísað er til í kafla 5.2.1.7 í skýrslunni, sé að finna lýsingu á öryggismærum. Um þetta segir:

Í bréfi Kreditkorts hf. kemur fram að félagið mun taka umræddar leiðbeiningar til skoðunar. Þess ber að geta að þessar leiðbeiningar eru ekki lengur lagðar til grundvallar af Persónuvernd. Hins vegar hefur Persónuvernd sett reglur nr. 888/2004 um rafræna vöktun þar sem m.a. er fjallað um netnotkun. Þá hefur stofnunin sett vinnureglur fyrir starfsmenn sína sem birtar hafa verið á heimasíðu hennar sem fyrirmynd fyrir aðra.

Í bréfi Kreditkorts hf. kemur eftirfarandi fram:

Í bréfi Kreditkorts hf. kemur fram að stefnt var að því að ljúka viðlagaáætlun fyrir árslok 2004 og að öryggishandbók yrði breytt til samræmis að því loknu.

Um þessa athugasemd segir í bréfi Kreditkorts hf.:

Í athugasemdum Kreditkorts hf. kemur fram að í fyrirhuguðu árlegu endurmati muni koma fram afstaða félagsins til ásættanlegrar áhættu.

Með bréfi, dags. 30. mars 2005, óskaði Persónuvernd eftir skýrri afmörkun á því í hvaða tilgangi Kreditkort hf. ynni með persónuupplýsingar, s.s. hvort unnið væri með þær í markaðssetningarskyni eða við gerð kannana, t.d. á neyslu- og innkaupavenjum korthafa. Þá óskaði Persónuvernd eftir upplýsingum um varðveislutíma persónuupplýsinga, sem og að upplýst yrði hvort unnið væri með upplýsingar um það hvort menn hafi verið grunaðir, kærðir, ákærðir eða dæmdir fyrir refsiverðan verknað. Kredikort hf. svaraði með bréfi, dags. 4. apríl 2005. Þar kemur fram að söfnun, skráning og vinnsla upplýsinga sé í samræmi við 11. kafla korthafaskilmála félagsins þar sem segir m.a.: ,,Vinnsla og geymsla upplýsinga skal vera í samræmi við það sem nauðsynlegt er til starfrækslu greiðslumiðlunar." Auk þessa segir í bréfi félagsins:

Um varðveislutíma persónuupplýsinga segir í bréfi Kreditkorts hf.:

Um vinnslu upplýsinga um grun, kæru, ákæru eða dóm fyrir refsiverðan verknað segir í bréfi Kreditkorts hf.:

Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við ,,[s]érhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tölul. 2. gr. laganna. Þá merkir hugtakið vinnsla ,,[sérhverja] aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn." Með vinnslu er þannig t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun.


Samkvæmt framangreindu felur söfnun og meðferð Kreditkorts hf. á upplýsingum í tengslum við greiðslukortanotkun í sér vinnslu persónuupplýsinga í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.


Öll vinnsla persónuupplýsinga þarf að eiga sér stoð í einhverju af skilyrðum 1. mgr. 8. gr. og, eftir atvikum, 1. mgr. 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna.


Auk þess þarf að gæta í hvívetna að 1. mgr. 7. gr. laganna sem kveður á um meginreglur um gæði gagna og vinnslu, þ.e. að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skulu vera áreiðanlegar og uppfærðar eftir þörfum og að þær skulu afmáðar eða leiðréttar séu þær óáreiðanlegar eða ófullkomnar miðað við tilgang vinnslu þeirra (4. tölul.); og að þær skulu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða aðila lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

Eins og fyrr segir safnast mikið magn persónuupplýsinga í starfsemi greiðslukortaþjónustu og þær upplýsingar geta m.a. veitt ítarlega mynd af einkalífi korthafa, neysluvenjum þeirra og hegðunarmynstri. Upplýsingar um það hvar korthafi stundar viðskipti geta jafnvel talist til viðkvæmra persónuupplýsinga í skilningi 8. tölul. 2. gr. laga nr. 77/2000, s.s. um áfengisnotkun, sbr. c-lið ákvæðisins. Til þess að Kreditkorti hf. sé vinnsla upplýsinga um korthafa heimil verður því eitthvert af skilyrðum 1. mgr. 8. gr. laga nr. 77/2000 að vera uppfyllt og, eftir atvikum, eitthvert af skilyrðum 1. mgr. 9. gr. laganna.


Í 1. tölul. 1. mgr. 8. gr. er kveðið á um að vinnsla persónuupplýsinga sé heimil standi til hennar samþykki hins skráða. Er þá ekki miðað við samþykki í skilningi 7. tölul. 2. gr. sömu laga. Auk þess sem telja má vinnsluna eiga sér stoð í framangreindu ákvæði má telja hana eiga sér stoð í 2. tölul. 1. mgr. 8. gr. þar sem kveðið er á um að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður. Í athugasemdum við þetta ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, segir að samkvæmt því megi viðhafa nauðsynlega vinnslu, s.s. á reikningum og kvittunum, í tengslum við efndir samnings við hinn skráða. Persónuvernd telur ljóst að sú vinnsla persónuupplýsinga um korthafa, sem fram fer á vegum Kreditkorts hf., helgist einkum af þessum ákvæðum.


Um notkun korthafaupplýsinga í því skyni að bjóða viðskiptavinum sérstaka þjónustu, eða leita eftir skoðunum þeirra, kemur ákvæði 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 helst til álita. Þar er kveðið á um að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg til að gæta lögmætra hagsmuna, nema grundvallarréttindi og frelsi hins skráða vegi ekki þyngra. Við slíkt hagsmunamat verður að líta til þess hvaða upplýsingar eru lagðar til grundvallar slíkri vinnslu, þ.e. hvort um er að ræða almennar korthafaupplýsingar, s.s. nöfn, kennitölur og heimilisföng, eða hvort um er að ræða upplýsingar um færslur og fjárhæðir. Persónuvernd telur ljóst að vinnsla almennra korthafaupplýsinga í umræddum tilgangi sé heimil með stoð í framangreindu ákvæði. Notkun upplýsinga um einstakar færslur getur hins vegar orkað tvímælis. Ekki kemur fram í gögnum málsins að vinnsla slíkra upplýsinga fari fram við boð á þjónustu eða þegar leitað er eftir skoðunum viðskiptavina.


Samkvæmt gögnum málsins hefur í einu tilviki verið unnið með færsluupplýsingar í öðum tilgangi en þeim að efna samninga við korthafa eða eiga samskipti við þá til að bjóða þeim sérstaka þjónustu eða leita eftir skoðunum þeirra. Það var gert í febrúar 2005 þegar upplýsingar um neyslu- og kauphegðun voru unnar fyrir Morgunblaðið, þ.e. á grundvelli almennt afmarkaðra viðmiða, s.s. kyns, aldursbils og flokkunar á starfsemi. Upplýsingar voru hvorki persónugreindar né tengdar við einstaka korthafa eða seljendur. Persónuvernd gerir, eins og á stendur, ekki athugasemd við þetta, enda verður ekki fullyrt í ljósi gagna málsins að um vinnslu persónuupplýsinga hafi verið að ræða. Verður þannig af lýsingu Kreditkorts hf. á þessari könnun ráðið að upplýsingar hafi eingöngu verið sóttar úr tölvukerfi félagsins á sjálfvirkan hátt með notkun viðmiða sem ekki fela í sér upplýsingar um einstaklinga.


Eins og áður segir geta upplýsingar um korthafa verið viðkvæmar. Persónuvernd telur 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000 einkum koma til álita sem lagastoð fyrir vinnslu slíkra viðkvæmra persónuupplýsinga, s.s. vegna færslna á vínveitingahúsum. Þar er kveðið á um að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Í framkvæmd Persónuverndar hefur verið við það miðað að ekki þurfi að vera um að ræða kröfu, sem þegar hafi stofnast, heldur geti verið um að ræða kröfu, sem hugsanlega muni koma upp, og ekki verði unnt að bregðast við nema áður hafi verið unnið með tilteknar, viðkvæmar persónuupplýsingar.


Ljóst er að slíkar aðstæður geta komið upp í starfsemi kreditkortafyrirtækis. Því getur t.d. verið nauðsynlegt að varðveita upplýsingar um færslur á vínveitingahúsum til að bregðast við því ef korthafi véfengir slíkar færslur, s.s. vegna þess að kortið hafi verið notað af öðrum í heimildarleysi. Samkvæmt þessu telur Persónuvernd vinnslu Kreditkorts hf. á viðkvæmum persónuupplýsingum um korthafa helgast af 7. tölul. 1. mgr. 9. gr. laga nr. 77/2000, enda hefur komið skýrt fram af hálfu félagsins að ekki sé unnið með slíkar persónuupplýsingar í annars konar tilgangi en það ákvæði miðar við. Þannig hefur félagið lýst því yfir að það skrái ekki persónuupplýsingar um hvort viðskiptavinir hafi verið grunaðir, kærðir, ákærðir eða dæmdir fyrir refsiverða háttsemi.

Auk þess sem heimild þarf að vera til vinnslu persónuupplýsinga í 8. gr. og, eftir atvikum, 9. gr. laga nr. 77/2000 verður hún ávallt að samrýmast meginreglum 7. gr. laganna, eins og fram hefur komið. Persónuvernd telur vinnslu Kreditkorts hf. ekki vekja upp álitaefni í ljósi þess ákvæðis að einum þætti undanskildum, þ.e. varðveislutíma. Samkvæmt 3. tölul. 1. mgr. 7. gr. skulu persónuupplýsingar ekki vera umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar og samkvæmt 5. tölul. skulu þær ekki varðveittar á persónugreinanlegu formi lengur en þörf krefur miðað við þann tilgang.


Ljóst er að tilgangur umræddrar vinnslu er að sjá til þess að kortaviðskipti geti gengið eðlilega fyrir sig. Fram hefur komið að upplýsingum um einstakar færslur hefur ekki verið eytt. Varðveittar eru færsluupplýsingar allt frá árinu 1980. Við mat á því hvort sá varðveislutími sé heimill ber, auk framangreindra ákvæða laga nr. 77/2000, að líta til 20. gr. laga nr. 145/1994 um bókhald. Þar er kveðið á um að allar bækur, bókhaldsgögn og fylgiskjöl, svo og bréf, myndrit og skeyti eða samrit þeirra, þ.m.t. gögn sem varðveitt eru í tölvutæku formi, á örfilmu eða annan sambærilegan hátt, skuli varðveita í a.m.k. sjö ár frá lokum viðkomandi reikningsárs. Í ljósi þessa telur Persónuvernd aðeins heimilt að varðveita umrædd gögn í sjö ár.


Samkvæmt þessu ber Kreditkorti hf. að eyða persónuupplýsingum um einstakar færslur sem eldri eru en sjö ára.

Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr. 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001. Með ábyrgðaraðila er átt við þann sem ákveður tilgang vinnslu persónupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laga nr. 77/2000.


Í 11. gr. er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.


Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.


Samkvæmt 12.gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.


Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr. Með vinnsluaðila er átt við þann sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 4. tölul. 2. gr. laganna.

Með vísan til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga hefur Persónuvernd, með aðstoð sérfræðings, athugað hvort uppfyllt séu fyrirmæli framangreindra laga og reglna, þ.e. að því er varðar örugga meðferð persónuupplýsinga hjá Kreditkorti hf. Á grundvelli þeirrar athugunar veitir Persónuvernd, í samræmi við 4. tölul. 1. mgr. ákvæðisins, félaginu leiðbeiningar um nauðsynlegar úrbætur.


Verður nú fjallað um að hvaða marki Kreditkort hf. uppfyllir skilyrði 3. gr. reglna Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.


a. Öryggisstefna
Í 1. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 segir eftirfarandi: ,,Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra." Eins og ráða má af orðalagi ákvæðisins er öryggisstefna ábyrgðaraðila eins konar markmiðsyfirlýsing hans varðandi þær kröfur sem hann gerir til þeirrar vinnslu sem hann ber ábyrgð á. Er þannig gert ráð fyrir því að kröfur um öryggi persónuupplýsinga taki mið af þeim þáttum sem ábyrgðaraðili telur varða mestu að tryggja, s.s. hvort það sé aðgengileiki, áreiðanleiki eða leynd viðkomandi persónuupplýsinga.


Persónuvernd telur að öryggisstefna Kreditkorts hf. fullnægi þeim kröfum sem gera verður til slíkrar stefnu.


b. Áhættumat
Í 2. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 er að finna reglur sem veita ábyrgðaraðilum persónuupplýsinga leiðbeiningar um hvernig skuli standa að gerð áhættumats. Þar segir: ,,Áhættumat er mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum. Þá skal tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Áhættumat skal endurskoðað reglulega."


Persónuvernd telur áhættumat Kreditkorts hf. fullnægja þessum kröfum.


c. Lýsing á öryggisráðstöfunum
Samkvæmt 3. tölul. 1. mgr. 3. gr. reglna nr. 299/2001 ber ábyrgðaraðila að setja fram skriflega lýsingu á þeim öryggisráðstöfunum sem hann hefur valið til þess að tryggja öryggi persónuupplýsinga. Er ákvæðið svohljóðandi: ,,Ábyrgðaraðili velur hvaða öryggisráðstafanir skulu viðhafðar í samræmi við III. kafla reglna þessara og set[ur] fram skriflega lýsingu á þeim. Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna. Þá skal rakið hvaða öryggisráðstöfunum verði beitt og hvernig þær verði útfærðar, þ. á m. við hönnun, þróun, rekstur, prófun og viðhald þess kerfis, þ.m.t. hugbúnaðar, sem notað verður við vinnslu upplýsinganna. Þar skal og tekið fram hvernig brugðist verði við áföllum í rekstri vinnslukerfisins, hvernig flutningi persónuupplýsinga milli vinnslukerfa verði hagað, þ. á m. mögulegum flutningi gagna milli ábyrgðar- og vinnsluaðila. Öryggisráðstafanir skal endurskoða reglulega."


Í lýsingu Kreditkorts hf. á öryggisráðstöfunum kemur ekki fram hvaða stig áhættu telst ásættanlegt hverju sinni. Að þeim ágalla á lýsingunni undanskildum telur Persónuvernd hana fullnægja framangreindum kröfum, að því gefnu að lokið hafi verið við viðlagaáætlun. Með slíkri áætlun er átt við lýsingu á því hvernig brugðist verði við neyðaraðstæðum, s.s. stórfelldum bilunum í tækjabúnaði eða eldsvoða, einkum skjalfestingu verklagsreglna um neyðarstjórnunarferli sem miðar að endurreisn upplýsingakerfa. Auk framangreinds væri æskilegt að í lýsingu á öryggisráðstöfunum kæmi ekki einungis fram lýsing á öryggisráðstöfunum, sem eiga við um allar upplýsingaeignir eða einstaka flokka upplýsingaeigna, heldur einnig greining og framsetning á öryggiskröfum vegna einstakra kerfa.


d. Öryggisráðstafanir varðandi öryggi persónuupplýsinga

Eftir prófun öryggisráðstafana hefur komið í ljós að þær eru að mestu leyti í samræmi við það sem fram kemur í skráðum gögnum Kreditkorts hf. Í einu tilviki kom þó í ljós að svo var ekki. Þannig kom ekki fram í starfslýsingu, sem skoðuð var í vettvangsathugun, til hvers ætlast væri af viðkomandi starfsmanni og hver ábyrgð hans væri gagnvart öryggisstefnu félagsins. Telur Persónuvernd að bæta verði starfslýsingar hvað þetta varðar.


Auk þessa kom í einu tilviki fram við vettvangsathugun að starfsmaður gerði sér ekki grein fyrir efni reglna um vistun persónulegra gagna, þ.e. að þau skulu vistuð á hörðum diski á tölvum einstakra starfsmanna en ekki netþjóni Kreditkorts hf. Af skýrslu Dómbæjar ehf., þar sem m.a. koma fram niðurstöður vettvangsathugunarinnar, er af þessu dregin sú ályktun að svigrúm sé til að bæta þjálfun starfsmanna. Í athugasemdum Kreditkorts hf. er vikið að því hvernig starfsmenn eru fræddir um öryggiskerfi félagsins og þannig veitt þjálfun hvað öryggismál varðar, s.s. á starfsmannafundum og í ítarlegri nýliðakynningu. Persónuvernd telur að með þessu sé fullnægjandi fræðsla og þjálfun veitt. Í ljósi þess að framangreind vanþekking starfsmanns Kreditkorts hf. verður að teljast minniháttar misbrestur á upplýsingaöryggi telur Persónuvernd ekki ástæðu til athugasemda hvað þetta varðar.


e. Innra eftirlit
Eins og áður hefur verið vikið að er ábyrgðaraðila skylt, samkvæmt 12. gr. laga nr. 77/2000, að viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Innra eftirlit skal a.m.k. fara fram árlega en oftar sé eðli gagna slíkt að kalli á það, sbr. 2. og 3. mgr. Þá skulu gerðar skýrslur um niðurstöður innra eftirlits. Samkvæmt 8. gr. reglna nr. 299/2001 ber og að jafnaði að viðhafa slíkt eftirlit samkvæmt fyrirfram skilgreindu kerfi og eru í ákvæðinu jafnframt talin upp þau atriði sem það skal beinast að.


Af gögnum málsins verður ráðið að innra eftirlit hjá Kreditkorti hf. sé fullnægjandi. Hins vegar er æskilegt að skjalfesta að slíkt eftirlit skuli fara fram.


f. Vinnslusamningar
Samkvæmt 13. gr. laga nr. 77/2000, sbr. og 9. gr. reglna nr. 299/2001, er ábyrgðaraðila heimilt að semja við annan aðila um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á. Þetta er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit með henni.


Við vettvangsathugun kom í ljós að í samningum við aðila, sem hafa umboð frá Kreditkorti hf. til útgáfu greiðslukorta, vantar ákvæði um trúnað um upplýsingar. Hins vegar liggur fyrir að félagið hefur skjalfest að ákvæði þar að lútandi skuli vera í slíkum samningum. Persónuvernd telur ljóst að Kredikort hf. sé ábyrgðaraðili að umræddri vinnslu, sbr. fyrrgreint ákvæði 4. tölul. 2. gr. laga nr. 77/2000, og útgefendur kortanna þar af leiðandi vinnsluaðilar, sbr. fyrrgreint ákvæði 5. tölul. sömu greinar. Eins og áður segir er kveðið á um það í 2. mgr. 13. gr. laga nr. 77/2000 að í samningum við vinnsluaðila skuli koma fram að ákvæði þeirra laga um skyldur ábyrgðaraðila gildi einnig um þá. Í ljósi þess telur Persónuvernd nauðsynlegt að ákvæði um trúnað séu í slíkum samningum. Þarf því að bæta úr þessu.


Við vettvangsathugun gerðist það í tveimur tilvikum að ekki var framvísað trúnaðaryfirlýsingum undirrituðum af starfsmönnum þjónustuaðila sem geta haft aðgang að tölvukerfi Kreditkorts hf. Fram hefur komið í skýringum félagsins að til hafi verið undirritaðar trúnaðaryfirlýsingar en þeim hafi ekki verið framvísað þar eð í þeim hafi verið ákvæði um höfundarétt sem umræddir þjónustuaðilar gátu ekki sætt sig við. Fram hefur komið að nú eru notaðar annars konar yfirlýsingar sem þjónustuaðilar sætta sig við. Í ljósi þess sér Persónuvernd ekki ástæðu til athugasemda varðandi þetta.

Vinnsla persónuupplýsinga á vegum Kreditkorts hf. uppfyllir lögmætisskilyrði 7.–9. gr. laga nr. 77/2000 að öðru leyti en því er varðar varðveislutíma upplýsinga um einstakar færslur korthafa. Ljóst er að varðveisla allt að 25 ára gamalla upplýsinga fer langt fram úr því sem heimilt er. Ber Kreditkorti hf. því að eyða persónuupplýsingum um einstakar færslur sem eldri eru en sjö ára.


Úttekt Persónuverndar, sem boðuð var með bréfi, dags. 2. september 2002, og fram fór á grundvelli gagna, sem Kreditkort hf. lagði fram í september 2002, apríl og maí 2003 og ágúst 2004, leiddi ekki í ljós að öryggi við vinnslu persónuupplýsinga hjá félaginu væri í ósamræmi við 11.–13. gr. laga nr. 77/2000 og reglur nr. 299/2001 nema hvað nokkur atriði varðar. Þau voru sem hér greinir:

Kreditkorti hf. er leiðbeint um að bæta úr framangreindum ágöllum á öryggiskerfi félagsins, enda hafi það ekki þegar verið gert.