Öryggi við sendingu vegabréfa
Ákvörðun
Á fundi stjórnar Persónuverndar þann 23. ágúst 2016 var tekin svohljóðandi ákvörðun í máli nr. 2016/445:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Þann 2. maí 2016 hóf Persónuvernd athugun að eigin frumkvæði í kjölfar ábendinga um að afgreidd vegabréf frá Þjóðskrá Íslands hefðu týnst í pósti og því ekki skilað sér til viðtakenda sinna. Í vegabréfum má finna fingraför einstaklinga, auk stafrænnar ljósmyndar af viðkomandi. Af því tilefni ákvað Persónuvernd að kanna nánar hvernig ábyrgðaraðili vinnslunnar, Þjóðskrá Íslands, tryggir öryggi persónuupplýsinga við póstlagningu vegabréfa.
2.
Bréfaskipti
Með bréfi, dags. 2. maí 2016, var Þjóðskrá Íslands, tilkynnt um að Persónuvernd hefði ákveðið að hefja frumkvæðisathugun á vinnslu Þjóðskrár Íslands á persónuupplýsingum við afgreiðslu og gerð vegabréfa, sbr. 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Þjóðskrá Íslands var boðið að koma á framfæri andmælum sínum vegna málsins til samræmis við 13. og 14. gr. stjórnsýslulaga nr. 37/1993.
Svarbréf Þjóðskrár Íslands barst Persónuvernd þann 26. maí 2016. Í svarbréfinu segir m.a. að Þjóðskrá Íslands beri ábyrgð á vinnslu og póstlagningu vegabréfa skv. 1. mgr. 2. gr. laga nr. 136/1998, um vegabréf. Jafnframt segi í 3. mgr. 2. gr. sömu laga að sýslumenn, lögregla og önnur stjórnvöld taki við umsóknum um vegabréf eftir því sem ráðherra ákveði. Í 7. gr. reglugerðar nr. 560/2009, um íslensk vegabréf komi fram að almenn vegabréf megi sækja um hjá þeim sýslumönnum og lögreglustjórum sem hafi heimild Þjóðskrár Íslands til þess að taka við umsóknum um vegabréf. Í d. lið. 8. gr. sömu reglugerðar komi fram að þegar sótt sé um vegabréf skuli tilgreina hvert umsækjandi óski eftir að vegabréfið verði sent. Jafnframt segi í 2. mgr. 13. gr. að þegar Þjóðskrá Íslands hafi gefið út vegabréf skuli það sent umsækjanda eða til lögreglustjóra, sýslumanns, sendiráðs, fastanefndar eða ræðisskrifstofu þar sem umsækjandi geti fengið það afhent. Samkvæmt framangreindum ákvæðum ákveði umsækjendur sjálfir við umsókn um vegabréf hvernig þeir fái vegabréfin afhent, þ.e. hvort þeir sæki þau eða fái þau send í pósti. Í lögum sé ekki gerð krafa um að vegabréf séu send í ábyrgðarpósti og miðað við fjárveitingar ríkisins til vegabréfaframleiðslu hafi ekki verið til fjármagn til kostnaðarmeiri útsendingarmáta en sendingar almennra bréfa. Hafi útgefin vegabréf á síðasta ári verið rúmlega 70.000.
Einnig segir í bréfi Þjóðskrár Íslands að upplýsingar um fingraför einstaklings í vegabréfi sem finna megi á örflögu í vegabréfinu séu varin með dulritunaraðferðum í samræmi við regluverk Schengen-samstarfsins og reglugerð um vegabréf. Sérstaka heimild Þjóðskrár þurfi til að geta lesið fingraförin úr örgjörva vegabréfsins. Í íslensku vegabréfi komi fram hæð einstaklings og sé mynd af umsækjanda sýnileg. Sá sem hafi vegabréfið undir höndum geti einnig lesið stafræna útgáfu myndarinnar með þar til gerðum búnaði.
Þá tekur Þjóðskrá Íslands fram að vegna fjárskorts hjá stofnuninni hafi afgreidd vegabréf einungis verið send með almennum bréfpósti. Sending vegabréfa í almennum pósti, til þeirra sem þess óski, hafi frá upphafi verið hluti af almennri framkvæmd við afhendingu vegabréfa. Lög nr. 19/2002, um póstþjónustu eiga að tryggja öryggi póstsendinga. Samkvæmt 5. mgr. 31. gr. þeirra laga telst póstsending vera í vörslu póstrekanda og á ábyrgð hans frá móttöku og þar til hún hafi verið afhent á ákvörðunarstað. Brot á lögunum geti varðað sektum eða fangelsi allt að sex mánuðum ef sakir séu miklar og gáleysisbrot varði sektum, sbr. 53. gr. laganna. Árið 2015 hafi verið gefin út 70.226 vegabréf en af þeim hafi 68 vegabréf ekki skilað sér í pósti til umsækjenda eða innan við 0,1% útgefinna vegabréfa.
Að lokum tekur Þjóðskrá Íslands fram að það sé ávallt val umsækjenda hvort hann fái vegabréf sitt sent í pósti eða sæki það sjálfur til sýslumanns eða viðeigandi stjórnvalds. Þjóðskrá Íslands hafi einnig hafið undirbúning þess að umsækjendur geti sótt vegabréf sín í afgreiðslu stofnunarinnar en hingað til hafi ekki verið heimilt að sækja vegabréf í afgreiðslu Þjóðskrár Íslands nema greitt hafi verið hraðafgreiðslugjald.
II.
Forsendur og niðurstaða
1.
Almennt
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Í vegabréfum má finna persónuupplýsingar um eiganda vegabréfsins s.s. nafn, þjóðerni, mynd, hæð og fingraför. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Telst Þjóðskrá Íslands vera ábyrgðaraðili að þeirri vinnslu sem athugun Persónuverndar beinist að.
2.
Afmörkun úrlausnarefnis og lögmæti vinnslu
Athugun þessi beinist að öryggi þeirra persónuupplýsinga sem miðlað er eftir útgáfu vegabréfa frá Þjóðskrá Íslands. Þjóðskrá Íslands ber ábyrgð á póstlagningu vegabréfa skv. 1. mgr. 2. gr. laga nr. 136/1998 um vegabréf.
Svo að vinnsla persónuupplýsinga sé heimil þarf hún ávallt að fullnægja einhverju af skilyrðum 8. gr. laga nr. 77/2000. Samkvæmt 3. tölul. 1. mgr. þeirrar greinar er heimilt að vinna með persónuupplýsingar sé vinnslan nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila. Þá er í 6. tölul. sömu málsgreinar mælt fyrir um heimild til vinnslu persónuupplýsinga sé hún nauðsynleg til beitingar opinbers valds sem ábyrgðaraðili, eða þriðji maður sem upplýsingum er miðlað til, fer með. Má ætla að einkum þessi ákvæði geti rennt stoðum undir umrædda vinnslu.
Auk heimildar í 8. gr.
laga nr. 77/2000 þarf, eins og endranær við vinnslu persónuupplýsinga,
að vera fullnægt öllum skilyrðum 1. mgr. 7. gr. laganna, um gæði gagna
og vinnslu, þ. á m. um að öll meðferð persónuupplýsinganna sé í samræmi
við vandaða vinnsluhætti (1. tölul.); að upplýsingar skuli fengnar í
yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum
og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar,
viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang
vinnslunnar (3. tölul.); og að þær skuli varðveittar í því formi að ekki
sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við
tilgang vinnslu (5. tölul.).
3.
Framkvæmd á Norðurlöndum
Hinn 5. júlí 2016 sendi
Persónuvernd fyrirspurn til persónuverndarstofnananna í Danmörku,
Noregi, Svíþjóð og Finnlandi þar sem spurt var hvernig framkvæmd við
afhendingu vegabréfa væri háttað. Í svari norsku stofnunarinnar frá 6.
júlí 2016 kemur fram að boðið sé upp á að senda vegabréf til umsækjanda
með almennum pósti. Nú sé til skoðunar að breyta því fyrirkomulagi á
þann veg að eingöngu verði hægt að sækja vegabréf í eigin persónu á
lögreglustöð eða hjá opinberum stofnunum. Þá kemur fram í svari dönsku
stofnunarinnar frá 18. ágúst 2016 að meginreglan sé að umsækjendur um
vegabréf fá vegabréfin afhent á opinberum stofnunum eða pósthúsum. Í
svörum sænsku og finnsku stofnunarinnar frá 8. og 7. júlí 2016 kemur
fram að eingöngu sé hægt að fá vegabréf afhent í eigin persónu á
lögreglustöð eða hjá öðrum opinberum stofnunum.
4.
Öryggi persónuupplýsinga
Í 11. gr. laga nr. 77/2000, sbr. og reglur Persónuverndar nr. 299/2001, er fjallað um öryggi persónuupplýsinga. Reglurnar eru settar með stoð í 1. mgr. 11. gr. laganna. Samkvæmt 1. mgr. 4. gr. reglnanna skal sá sem ábyrgð ber á vinnslu persónuupplýsinga gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá skal samkvæmt 2. mgr. beita ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Við val á öryggisráðstöfunum skal taka mið af áhættu af vinnslunni og eðli þeirra gagna sem á að verja hverju sinni.
Í 1. gr. reglna nr. 299/2001 segir enn fremur að markmið þeirra sé að tryggja öryggi við vinnslu persónuupplýsinga, en í því felst að tryggja eðlilega leynd upplýsinganna, lögmætan aðgang að þeim, gæði þeirra og áreiðanleika.
Auk þeirra öryggisráðstafana, sem taldar eru upp í reglum nr. 299/2001, kunna ýmsar fleiri ráðstafanir að koma til greina. Má þar nefna að samkvæmt 1. gr. reglnanna má til hliðsjónar og leiðbeiningar styðjast við staðalinn ÍST ISO/IEC 27001 Upplýsingatækni – Öryggistækni – Stjórnkerfi upplýsinga – Kröfur.
Einnig ber að skjalfesta hvernig öryggis persónuupplýsinga er gætt, sbr. 2. mgr. 11. gr. laga nr. 77/2000 þar sem kveðið er á um að ábyrgðaraðili að vinnslu persónuupplýsinga skuli skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 3. gr. reglna nr. 299/2001 þar sem nánar er kveðið á um hvernig standa skal að skjalfestingu upplýsingaöryggis.
Þá ber að viðhafa innra eftirlit með vinnslu persónuupplýsinga, þ.e. eftirlit með því að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið, sbr. 1. mgr. 12. gr. laga nr. 77/2000. Innra eftirlit skal viðhaft með reglubundnum hætti og eigi sjaldnar en árlega, sbr. 2. mgr. sömu greinar. Þá skal gerð skýrsla um hverja aðgerð sem er liður í innra eftirliti, sbr. 3. mgr. sömu greinar.
Það er hlutverk ábyrgðaraðila, þ.e. Þjóðskrár Íslands, að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar sem unnið er með fyrir óleyfilegum aðgangi, í samræmi við 11. gr. laga nr. 77/2000. Það er á ábyrgð Þjóðskrár Íslands að ganga úr skugga um að áhættumat og öryggisráðstafanir stofnunarinnar séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. 11. gr. laganna. Þjóðskrá Íslands ber einnig að stuðla að því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur, sbr. 4. mgr. sömu greinar.
Líkt og áður hefur komið fram hefur Þjóðskrá Íslands vísað til þess að vegna fjárskorts hafi afgreidd vegabréf einungis verið send með almennum bréfpósti. Þá hefur einnig komið fram að á árinu 2015 hafi hafi 68 vegabréf ekki borist viðtakendum sínum. Í ljósi eðlis slíkra persónuupplýsinga sem mál þetta varðar telur Persónuvernd, einkum í ljósi áðurnefndra krafna 1. tölul. 1. mgr. 7. gr. og 11. gr. laga nr. 77/2000, að viðhafa beri sérstakar öryggisráðstafanir við sendingu þeirra. Auka má öryggi sendinga verulega með því að senda þær með ábyrgðarpósti. Í því samhengi verður að telja það til vandaðra vinnsluhátta, samkvæmt 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000, að senda útgefin vegabréf í ábyrgðarpósti til viðtakanda. Þá telst sá sendingarmáti til viðeigandi öryggisráðstöfunar samkvæmt 11. gr. sömu laga til að tryggja að persónuupplýsingar berist ekki óviðkomandi eða glatist.
Í ljósi alls framangreinds er það niðurstaða Persónuverndar að öryggi persónuupplýsinga við útgáfu og sendingu vegabréfa hjá Þjóðskrá Íslands sé ekki nægilega tryggt með sendingu vegabréfa í almennum pósti.
5.
Niðurstaða
Samkvæmt 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 hefur Persónuvernd það hlutverk að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum. Þá segir í 1. mgr. 40. gr. laganna að Persónuvernd geti lagt fyrir ábyrgðaraðila að viðhafa ráðstafanir sem tryggja lögmæti vinnslu. Með vísan til þessara ákvæða og í ljósi framangreinds er hér með lagt fyrir Þjóðskrá Íslands að:
- Skjalfesta hvernig öryggis og trúnaðar er gætt við meðferð persónuupplýsinga í tenglum við sendingu vegabréfa, í samræmi við 11. gr. laga nr. 77/2000 og 1. mgr. 3. gr. reglna nr. 299/2001, með tilliti til þeirra annmarka sem leiddu til þess að persónuupplýsingar týndust í almennum bréfpósti.
- Upplýsa Persónuvernd um það fyrir 1. desember 2016 hvernig orðið hefur verið við framangreindum fyrirmælum. Í því felst að senda skal Persónuvernd skrásetningu á áhættumati og öryggisráðstöfunum, sbr. 1. tölul. hér að framan, sem og lýsingu á verklagi við innra eftirlit.
Ákvörðunarorð
Þjóðskrá Íslands ber að tryggja að öryggis og trúnaðar sé gætt við meðferð persónuupplýsinga í tengslum við sendingu vegabréfa, í samræmi við 11. gr. laga nr. 77/2000 og 1. mgr. 3. gr. reglna nr. 299/2001. Upplýsa skal Persónuvernd um ráðstafanir til að tryggja öryggi persónuupplýsinga við sendingu vegabréfa fyrir 1. desember 2016.