Úrskurður um vinnslu persónuupplýsinga í kosningakerfi Pírata

Mál nr. 2016/1354

17.1.2018

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 14. desember 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1354:

 

I.
Málsmeðferð

 

1.
Tildrög máls

Þann 22. september 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir vinnslu persónuupplýsinga um hann í kosningakerfi stjórnmálaflokksins Pírata. Í kvörtuninni segir m.a. að Píratar haldi úti vefsvæði þar sem allir skráðir félagsmenn geti tekið þátt í kosningum á vegum stjórnmálaflokksins. Í kerfinu séu gerðar tillögur að stefnumálum flokksins auk þess sem þar fari fram prófkjör Pírata. Þá segir að kvartandi hafi vitneskju um að einstaklingur, sem hann nafngreinir, hafi haft aðgang að kjörgögnum úr prófkjörum Pírata.

 

2.
Nánar um kvörtun

Í kvörtun segir að félagsmenn skrái sig á vefsíðu Pírata með notandanafni, sem sé tengt við kennitölu félagsmanns og Íslykil notanda. Þegar kosið sé í kosningakerfi Pírata á vefsíðu flokksins sé kjörseðill tengdur við kjósanda í tiltekinn tíma, en það sé í höndum kerfisstjóra að aftengja kjörseðil persónugreinanlegum upplýsingum um kjósanda. Kvartandi segist hafa vitneskju um að einn stofnenda Pírata hafi aðgang að umræddu tölvukerfi, en kvartandi hafi fengið staðfest frá forsvarsmanni Pírata á Vesturlandi og framkvæmdastjóra Pírata að viðkomandi hafi rýnt í kjörgögn úr prófkjörum Pírata. Óháð dulkóðun sé mögulegt að persónugreina atkvæði kjósenda í kosningakerfinu fyrir þá sem hafi aðgang að kerfinu og hafi nægilega þekkingu. Þá segir kvartandi að hann telji kosningaleynd vera einn af grundvallarþáttum lýðræðis og að ef hér sé verið að ganga gegn friðhelgi einkalífsins þá beri að stöðva það hið snarasta.

Jafnframt segir að kvartandi hafi engin svör fengið frá Pírötum um eyðingu persónuupplýsinga notenda kosningakerfisins og að ekki sé tryggt að persónuupplýsingum sé eytt úr kerfinu.

 

3.
Bréfaskipti

Með tölvupósti þann 1. nóvember 2016 óskaði Persónuvernd staðfestingar á því að kvartandi hefði lögvarða hagsmuni af úrlausn málsins, nánar tiltekið hvort hann hefði sjálfur kosið í kosningakerfi Pírata. Svar barst með tölvupósti þann 3. s.m., en í því staðfestir kvartandi að hann hafi greitt atkvæði í kosningakerfinu.

Með bréfi, dags. 8. nóvember 2016, var Pírötum boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf frá framkvæmdaráði Pírata er dagsett þann 29. s.m. Í því segir að sú vinnsla persónuupplýsinga, sem kvörtunin tekur til, sé heimil á grundvelli samþykkis hins skráða, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Að auki sé vinnsla viðkvæmra persónuupplýsinga heimil á grundvelli 5. tölul. 1. mgr. 9. gr. sömu laga.

Í bréfinu segir að Píratar líti svo á að með skráningu í kosningakerfi Pírata ásamt þátttöku í þeim kosningum, sem þar fari fram, samþykki viðkomandi þá vinnslu persónuupplýsinga sem fari fram í kerfinu. Tilgangur kosninganna sé að samþykkja eða hafna tillögum að stefnum eða lagabreytingum sem tengist starfi Pírata, en kosningakerfið sé jafnframt nýtt til að kjósa milli einstaklinga í ráð og nefndir á vegum Pírata og í prófkjörum flokksins fyrir kosningar til Alþingis og sveitarstjórna.

Um kosningakerfi Pírata segir að það sé hannað með það í huga að móttaka vilja kjósanda og gera honum kleift að skipta um skoðun á meðan kosning stendur yfir, en þegar kosningu lýkur sé kjörseðillinn gerður ópersónugreinanlegur. Kjörgögn séu því persónugreinanleg þar til kosningum lýkur, en þá visti kerfið kjörseðla utan gagnagrunns án persónugreinandi auðkenna. Í tilfelli prófkjörsins í Reykjavík hafi það verið gert þann 12. ágúst 2016 klukkan 18:00. Á meðan gögnin séu persónugreinanleg séu þau geymd ódulkóðuð í MySQL-gagnagrunni, en hann sé eingöngu aðgengilegur af vél sem keyri kosningakerfið. Aukin réttindi þurfi á vélina til að lesa úr grunninum, en þau fáist eingöngu með svokölluðum Secure Shell-samskiptastaðli (SSH). Eingöngu notendur með vottað SSH-lyklapar geti fengið aðgang að vélinni og þá eingöngu frá fyrirfram samþykktum IP-tölum. Einn einstaklingur, kerfisstjóri Pírata, hafi fullnægt þessum skilyrðum á meðan kjörgögn voru persónugreinanleg í prófkjörum Pírata árið 2016.

Um þá fræðslu sem veitt er félagsmönnum segir að þegar einstaklingur skrái sig í Pírata birtist fræðsla á skráningarsíðunni. Af þeim texta sé ljóst að Framkvæmdaráð Pírata sé ábyrgðaraðili félagatals. Þá komi þar fram að félagatal Pírata sé trúnaðarmál, en í því felist að upplýsingum úr því verði ekki miðlað til þriðja aðila. Í textanum eru meðlimir Pírata jafnframt hvattir til að skrá sig einnig í kosningakerfi Pírata, þar sem ákvarðanir flokksins séu teknar, svo sem um stefnumál, prófkjör og aðrar kosningar. Í fyrrgreindu svarbréfi Pírata segir að með skrásetningu í kosningakerfi Pírata, ásamt þátttöku í þeim kosningum sem þar fari fram, sé ljóst að viðkomandi samþykki vinnslu þeirra upplýsinga sem hann veitir. Tilgangur kosninganna sé að samþykkja eða hafna tillögum að stefnum eða lagabreytingum sem viðkomi starfi Pírata. Einnig sé notast við kosningakerfið til að kjósa milli einstaklinga í ráð og nefndir auk þess sem prófkjör Pírata í alþingis- og sveitarstjórnarkosningum fari fram í kerfinu. Í texta sem birtur sé á skráningarsíðu kosningakerfisins komi meðal annars fram að með því að staðfesta aðgang gerist hinn skráði meðlimur í Pírötum, að netföng notenda séu ekki birt opinberlega og að notendanöfn séu sýnileg í kosningakerfinu. Þá sé notendum ráðlagt að birta ekki upplýsingar í kosningakerfinu sem þeir vilji ekki að birtist út á við.

Ekki bárust gögn með bréfi Pírata til að varpa frekara ljósi á hvernig fræðsla fer fram. Þá fannst ekki fræðsla umfram það sem fyrr greinir við skoðun Persónuverndar á skráningarsíðu kosningakerfis Pírata, en í bréfi Pírata segir þó að kerfið sjálft hafi verið útskýrt af kerfisstjóra í fréttatilkynningum sem birtar hafi verið á vefsíðu Pírata á þeim tíma sem prófkjör áttu sér stað fyrir alþingiskosningar 2016. Við skoðun Persónuverndar á fréttatilkynningum á vefsíðu Pírata fundust ekki upplýsingar um frekari fræðslu umfram það sem fram kemur við skráningu í kosningakerfið.

Að lokum árétta Píratar að rétt meðferð persónuupplýsinga skipti flokkinn miklu máli og að flokkurinn taki öllum spurningum eða ábendingum varðandi vinnslu þeirra fagnandi.

Með bréfi, dags. 17. janúar 2017, ítrekuðu 23. mars s.á., sbr. einnig símtöl starfsmanns Persónuverndar við kvartanda þann 9. maí og 23. ágúst s.á., var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Pírata til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Ekki bárust svör frá kvartanda.

Með tölvupósti þann 19. október 2017 óskaði Persónuvernd frekari skýringa frá Pírötum. Óskað var upplýsinga um hvaða röksemdir lægju að baki aðgangi kerfisstjóra Pírata að persónugreinanlegum upplýsingum; hvort kerfisstjóri hefði nýtt sér aðgang sinn að persónugreinanlegum upplýsingum; hvort aðgangur kerfisstjóra væri háður aðgerðaskráningu; hvort kveðið væri á um þennan aðgang kerfisstjóra í þeirri fræðslu sem væri veitt hinum skráðu, auk þess sem óskað var eftir afriti af samþykktum Pírata þar sem kveðið væri á um framkvæmd kosninga í prófkjörum flokksins.

Svar Pírata barst með tölvupósti þann 7. nóvember 2017. Þar segir að aðgangur kerfisstjóra að kosningakerfinu þjóni þeim tilgangi að lagfæra megi bilanir, uppfæra stýrikerfi, gagnagrunna og hugbúnað á meðan á kosningum standi. Kerfið sé hannað af sjálfboðaliðum og komið geti upp gallar á því. Uppgötvist þeir í miðri kosningu sé hætt við að kosningu eða talningu verði ekki lokið án þess að kerfið sé uppfært eða lagfært. Aðgangur kerfisstjóra sé því nauðsynlegur til þess að kerfið virki sem skyldi. Þá segir að kerfisstjóri hafi aldrei nýtt sér aðgang að persónugreinanlegum gögnum og að aðgangur hans sé ekki háður aðgerðaskráningu. Í því sambandi segir meðal annars:

 

„Það væri hugsanlega ástæða til að skoða [innleiðingu aðgerðaskráningar], en það verður þó alltaf sá fyrirvari að kerfisstjóri sem hefur nægan aðgang til að geta lagfært vandamál eins og lýst var að ofan, hefur um leið þann aðgang sem þarf til að grafa undan eftirlitskerfum með því að skipta þeim út eða breyta stillingum þeirra. Eftirlitskerfi gera því misferli flóknari, en geta ekki útilokað þau alfarið.

Þetta hefur aðallega verið spurning um forgangsröðun og enn sem komið er hefur ávinningur af slíkum eftirlitskerfum ekki þótt réttlæta vinnuna og aukið flækjustig kerfisins í heild. Flóknari kerfi eru bilanagjarnari og þetta kostar allt vinnu.

Það er hinsvegar ekki þar með sagt að ekkert eftirlit sé með störfum kerfisstjóra.

Píratar notast við afritunarkerfi (backup) sem tekur heildarafrit af bæði kóða og gögnum kosningakerfisins einu sinni á sólarhring. Afritið er síðan dulritað með lykli sem kerfisstjóri hefur engan aðgang að (framkvæmdastjóri Pírata hefur lykilinn). Dulrituðu afritin sjálf eru svo geymd á vélbúnaði sem hvorki kerfisstjóri né framkvæmdastjóri hafa beinan aðgang að – það þarf því samstarf nokkurra aðila til að endurheimta gögn úr þessum afritum. Ef upp kemur grunur um misferli er hægt að sækja þessi afrit, afkóða dulritunina og greina svo hvort óeðlilegar breytingar hafa orðið dag frá degi.

Í prófkjörinu 2017 var einnig það nýmæli að þegar kerfisstjóri þurfti að vinna í kerfinu handvirkt, voru fyrirhuguð ferli skjöluð fyrirfram, matsmaður fenginn til að lesa yfir þá skjölun og fylgdist svo með vinnunni meðan hún var unnin til að sannreyna að ferlum væri fylgt og leggja mat á þau frávik sem reyndust nauðsynleg. Fyrsta skrefið í þessum ferlum var ávallt að staðfesta að kosninga- og talningakerfin sjálf væru óbreytt miðað við það sem hefur verið gefið út og fengið rýni almennra félagsmanna.“

 

Þá kemur fram í svari Pírata að ekki er fjallað um aðgang kerfisstjóra í þeirri fræðslu sem veitt er hinum skráðu. Segir að aðgangurinn sé þó ekki leyndarmál og hann hafi oft komið til umræðu, en hugsanlega sé ástæða til að setja fram skýrari fræðslu um hann.

Með svari Pírata fylgdu upplýsingar af vefsíðu Pírata þar sem tilkynnt er um prófkjör í Norðvesturkjördæmi og meðal annars birtar siðareglur frambjóðenda, upplýsingar um framkvæmd prófkjörs í kjördæminu og fundargerð kjördæmaráðs Pírata þar. Í gögnunum er ekki að finna fræðslu um að atkvæði einstaklinga séu persónugreinanleg á meðan á kosningu standi.

Þann 11. desember 2017 óskaði Persónuvernd eftir staðfestingu Pírata á því hvort upplýsingar um að hægt væri að breyta atkvæðum þar til kosningu lýkur væru veittar notendum kosningakerfisins áður en þeir tækju þátt í kosningum þar. Þá var jafnframt óskað eftir upplýsingum um það hvers vegna kjörgögnin væru geymd ódulkóðuð á meðan á kosningum stæði.

Í tölvupósti Pírata þann 12. desember 2017 er vísað til þess að áður en notendur kosningakerfisins greiði atkvæði birtist upplýsingar á skjánum þar sem fram komi meðal annars að atkvæðið verði talið þegar fresturinn til að greiða atkvæði renni út. Þá birtist jafnframt skilaboð á skjánum þegar staðfest hafi verið val á frambjóðanda, þess efnis að notandinn geti haldið áfram að bæta við, fjarlægja eða umraða frambjóðendum til loka frestsins. Hafði tölvupósturinn að geyma sýnishorn af fræðslunni eins og hún birtist í kosningaviðmótinu samkvæmt myndbandi til kynningar á því frá því í ágúst 2016 og má þar sjá upplýsingar um framangreint.

Einnig segir í svari Pírata að ástæða þess að gögn séu ekki dulkóðuð á meðan kosningar standi yfir sé tæknilegs eðlis, en flókið yrði að útfæra það svo gagn væri af. Nú sé ferlið þannig að þeir einstaklingar, sem hafi aðgang að vélum sem hýsi kosningakerfið á meðan kosningar standi yfir, njóti trausts, en auk þess sé notast við aðgerðaskráningu þegar þeir nýti aðgang sinn að vélinni, svo hægt sé að skoða eftir á hvort eitthvað óeðlilegt hafi átt sér stað. Ekkert bendi til þess að svo hafi verið í prófkjörum flokksins á árunum 2016 og 2017. Þá segir að allur kóði sem liggi að baki kosningakerfinu og talningunni sé opinn og aðgengilegur öllum á Netinu. Það verklag sem farið sé eftir sé í samræmi við ISO-staðla, en aðgerðir eins séu yfirfarnar og samþykktar af öðrum til að ganga úr skugga um að ekkert misjafnt eigi sér stað. Þetta eigi til dæmis við þegar talning fari fram og þegar upp komi vandamál sem kalli á að aðgangur að vél sem hýsir kosningakerfið sé nýttur.

Í tölvupósti þann 13. desember 2017 óskaði Persónuvernd þess að Píratar staðfestu hvaða starfsmaður eða starfsmenn þeirra hefðu haft aðgang að kosningakerfinu. Að auki var þess óskað að Píratar upplýstu hvort sá einstaklingur, sem nafngreindur er í kvörtun og þar sagður hafa haft aðgang að kjörgögnum hjá Pírötum, hefði haft slíkan aðgang. Um þetta var nánar rætt í símtali starfsmanns Persónuverndar og framkvæmdastjóra Pírata þann 14. desember 2017. Staðfesti þar framkvæmdastjórinn að á hverjum tíma hefði aðeins einn einstaklingur, þ.e. kerfisstjóri, slíkan aðgang að kosningakerfinu að hann gæti tengt atkvæði við persónuauðkenni. Kom fram að það krefðist hins vegar mikillar fyrirhafnar því að lesa þyrfti úr flóknum kóðum til að sjá tengingu atkvæðis við notandanafn viðkomandi kjósanda, en að auki þyrfti aðgang að félagaskrá til að tengja notandanafnið við persónuauðkenni. Aðgang að þeirri skrá hefði kerfisstjóri ekki.

Nánari svör um framangreint bárust í kjölfar símtalsins í tölvupósti sama dag. Þar segir að fyrrnefndur einstaklingur, sem nafngreindur er í kvörtun, hafi ekki haft aðgang að kosningakerfinu en hins vegar átt þátt í að forrita kerfið og setja það upp. Þá segir meðal annars:

„Það skal tekið mjög skýrt fram að það er ekki hægt að persónugreina notendur í kosningakerfi án þess að hafa á sama tíma aðgang að félagatali sem keyrir sjálfstætt. Það staðfestist hér með að þeir sem hafa aðgang að kosningakerfi á meðan kosningar standa yfir hafa aldrei aðgang að félagatali á sama tíma.“

 

Að auki segir meðal annars að töluverða tækniþekkingu þurfi til að nýta sér upplýsingar í kosningakerfinu á meðan á kosningu standi. Allir sem vilji viti hver hafi þá aðgang að kerfinu og auðvelt sé að komast að því hver hafi verið að verki komi eitthvað misjafnt upp. Þá séu allar breytingar og uppflettingar í gagnagrunni skráðar og því hægt að sjá hvaða aðgerðir hafi verið framkvæmdar á gagnagrunni.

Persónuvernd taldi, að fengnu þessu svari, þörf á skýringum á því hvers vegna aðgerðaskráning væri ekki sögð vera til staðar í svari Pírata þann 7. nóvember 2017 en hins vegar vera fyrir hendi í svörum Pírata frá 12. og 14. desember s.á. Var haft samband við framkvæmdastjóra Pírata símleiðis þann 14. desember 2017 og svaraði hann í tölvupósti samdægurs. Þar segir að svarið frá 7. nóvember s.á. hafi byggst á því að spurt væri um sértæka skráningu á öllum aðgerðum kerfisstjóra, í þeim tilgangi að hægt væri að varpa ljósi á mögulegt misferli. Hafi því verið svarað neitandi að slík skráning væri viðhöfð. Þá segir meðal annars:

„Síðara svar sneri að því hvort hægt væri að sjá hvaða aðgerðir kerfisstjóri framkvæmir á meðan kosning er í gangi. Þá er svarið játandi og er þar vísað til logga yfir aðgerðir og skipanir og hver framkvæmdi þær sem eru almenns eðlis á uppsetninguna á svona kerfi. Hér er átt við sem dæmi: hver loggaði sig inn og hvenær það er gert, hvaða forrit voru ræst, hvaða skrám var breytt, hvaða skipanir voru keyrðar og þess háttar. Þessar upplýsingar væri hægt að nota til þess að komast að mögulegu misferli, en ekkert öruggt eða tryggt að það sé hægt.“

 

II.
Forsendur og niðurstaða

 

1.
Gildissvið laga nr. 77/2000

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til teljast Píratar vera ábyrgðaraðili að umræddri vinnslu.

 

2.
Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga, s.s. upplýsinga um stjórnmálaskoðanir, sbr. a-lið 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna.

Við mat á því hvort umrædd vinnsla hafi verið heimil samkvæmt framangreindu skiptir máli hvort gera eigi þá kröfu, við kosningar eins og þær sem hér um ræðir, að þær séu með öllu leynilegar þannig að atkvæði verði ekki með neinu mati rakið til viðkomandi einstaklings. Í því sambandi er vísað til þess í kvörtun að kosningaleynd sé einn af grundvallarþáttum lýðræðis. Í 5. gr. Stjórnarskrár lýðveldisins Íslands nr. 33/1944 segir meðal annars í 31. gr. að á Alþingi skuli eiga sæti 63 þjóðkjörnir þingmenn, kosnir í leynilegri kosningu. Ákvæði stjórnarskrárinnar, laga nr. 24/2000 um kosningar til Alþingis og laga nr. 5/1998 um kosningar til sveitarstjórna ná hins vegar ekki til kosninga af því tagi sem fram fara í kosningakerfi Pírata. Stjórnmálaflokkum er í sjálfsvald sett hvort uppröðun á lista er ákveðin með almennum kosningum innan viðkomandi flokks og þá hvort þær kosningar skuli vera leynilegar eða t.d. með handauppréttingum á opnum fundum. Ekki ber því að útiloka að það geti samrýmst lögum nr. 77/2000 að við kosningu hjá stjórnmálasamtökum á fólki á lista, eða um stefnumál, sé notast við fyrirkomulag eins og það sem um ræðir í máli þessu, enda séu til þess málefnalegar og lögmætar ástæður.

Helst verður talið að af heimildum 8. gr. laga nr. 77/2000 komi þá til álita 7. tölul. 1. mgr., þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að tryggja lögmæta hagsmuni nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Af hálfu Pírata hefur komið fram að umrætt kosningakerfi sé hannað með það í huga að móttaka vilja kjósanda og gera honum kleift að skipta um skoðun á meðan kosning standi yfir, en þegar kosningu ljúki sé kjörseðill gerður ópersónugreinanlegur. Telur Persónuvernd af þessum skýringum ráðið að hér ræði um lögmæta hagsmuni. Þá telur Persónuvernd skilyrðum 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 vera fullnægt að öðru leyti og að vinnslan hafi því átt fullnægjandi stoð í þeirri grein laganna.

Af heimildum 9. gr. laga nr. 77/2000 verður helst talið að til álita komi 5. tölul. 1. mgr. 9. gr., þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún framkvæmd af samtökum sem hafa stéttarfélagsleg markmið eða af öðrum samtökum sem ekki starfa í hagnaðarskyni, svo sem menningar-, líknar-, félagsmála- eða hugsjónasamtökum, enda sé vinnslan liður í lögmætri starfsemi samtakanna og taki aðeins til félagsmanna þeirra eða einstaklinga sem samkvæmt markmiðum samtakanna eru, eða hafa verið, í reglubundnum tengslum við þau. Í lokamálslið töluliðarins segir að þó megi ekki miðla slíkum upplýsingum áfram án samþykkis hins skráða. Með miðlun persónuupplýsinga er hins vegar almennt, í skilningi laga nr. 77/2000, átt við að þær séu afhentar einhverjum öðrum en hinum skráða, ábyrgðaraðila eða vinnsluaðila, sbr. 5. tölul. 2. gr. laganna. Hvað varðar aðgang kerfisstjóra að persónugreinanlegum upplýsingum í kosningakerfi Pírata skal tekið fram að ábyrgðaraðili vinnslunnar, í þessu tilviki Píratar, ber ábyrgð á vinnslu starfsmanna á persónuupplýsingum hins skráða. Eins og hér háttar til er því ekki um miðlun persónuupplýsinga að ræða.

Að mati Persónuverndar eru kosningar á framboðslista liður í lögmætri starfsemi stjórnmálaflokka og uppfyllir vinnsla persónuupplýsinga í því tilviki sem hér um ræðir það skilyrði að taka aðeins til félagsmanna flokksins eða einstaklinga sem eru í reglubundnum tengslum við hann, þ.e. þeirra sem hafa kosningarétt og kusu í kosningum hjá Pírötum. Samrýmdist vinnslan því skilyrði 5. tölul. 1. mgr. 9. gr. laga nr. 77/2000.

 

3.
Fræðsla til hins skráða

Samkvæmt 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 skal þess ávallt gætt við vinnslu persónuupplýsinga að hún sé sanngjörn. Í því felst meðal annars að vinnsla skal vera gagnsæ gagnvart hinum skráða þannig að hann fái eða eigi kost á vitneskju um vinnsluna eins og vikið er að í athugasemdum við ákvæðið í greinargerð með því frumvarpi sem varð að lögunum. Þessi gagnsæiskrafa er útfærð nánar í 20. gr. laga nr. 77/2000, en skv. 1. mgr. þeirrar greinar skal ábyrgðaraðili, þegar hann aflar persónuupplýsinga hjá hinum skráða sjálfum, upplýsa hann um nafn sitt, heimilisfang og tilgang vinnslunnar, sem og önnur atriði, að því marki sem þau eru nauðsynleg, með hliðsjón af þeim sérstöku aðstæðum sem ríkja við vinnslu upplýsinganna, svo að hinn skráði geti gætt hagsmuna sinna. Við túlkun á ákvæði 20. gr. laga nr. 77/2000 ber að líta til þess að ákvæðið er byggt á 10. gr. tilskipunar Evrópusambandsins 95/46/EB. Er þar tilgreint að við mat á því hvort og að hvaða marki skuli veita hinum skráða fræðslu skuli taka mið „af þeim sérstöku aðstæðum sem ríkja við söfnunina, til að tryggja hinum skráða að vinnslan fari fram á sanngjarnan hátt gagnvart honum“. Samkvæmt 2. mgr. 20. gr. laga nr. 77/2000 gildir 1. mgr. ákvæðisins ekki hafi hinn skráði þegar fengið vitneskju um þau atriði sem þar eru tilgreind. Það er því ekki skilyrði að fræðslan hafi borist beint frá ábyrgðaraðila, en sönnunarbyrði um fullnægjandi fræðslu hvílir þó á honum.

Í þeirri fræðslu sem veitt var kvartanda í máli þessu var að finna upplýsingar um að Píratar væru ábyrgðaraðili vinnslunnar og upplýsingar um heimilisfang Pírata. Jafnframt verður hins vegar að telja að hinum skráða hafi, með hliðsjón af þeim aðstæðum sem ríktu við vinnslu upplýsinganna, verið nauðsynleg vitneskja um að kjörgögn væru persónugreinanleg þar til kosningum lyki, sbr. 3. tölul. 1. mgr. 20. gr. laga nr. 77/2000, en tilgangur persónugreiningar var að kjósendur gætu breytt atkvæði sínu á meðan á kosningu stæði.

Ekki verður séð að veitt hafi verið fræðsla um framangreint atriði sérstaklega. Reynir þá á hvort við hafi átt sú undantekning frá fræðsluskyldu samkvæmt 20. gr. laga nr. 77/2000 að hinn skráði hafi þegar fengið vitneskju um viðkomandi atriði, sbr. 2. mgr. sömu greinar. Í því sambandi verður að líta til þess hvernig umrætt kosningakerfi virkar og hvert viðmót þess er. Nánar tiltekið skiptir þá máli að áður en notandi kerfisins opnar atkvæðaseðil sinn í því fær hann tilkynningu um að atkvæðið verði talið þegar fresturinn til að greiða atkvæði renni út, sem og að þegar staðfest hefur verið val á frambjóðanda birtast skilaboð þess efnis að halda megi áfram að bæta við, fjarlægja eða umraða frambjóðendum til loka þess frests.

Persónuvernd telur að með hliðsjón af framangreindu megi notendur kerfisins gera ráð fyrir að atkvæði þeirra geti verið persónugreinanleg á meðan á kosningu standi. Í því verður hins vegar ekki talið felast að þeir fái vitneskju um að svo sé þannig að undantekning 2. mgr. 20. gr. laga nr. 77/2000 frá fræðsluskyldu samkvæmt 1. mgr. sömu greinar eigi við. Þá verður að líta svo á að skráðum einstaklingi sé almennt nauðsynlegt til að gæta hagsmuna sinna að vita hvort upplýsingar, sem hann veitir um sig við notkun rafrænna upplýsingakerfa, séu persónugreinanlegar. Þar sem ekki er hins vegar tekið fram að svo sé í þeirri fræðslu, sem veitt er notendum kosningakerfis Pírata, telur Persónuvernd að fræðsla til þeirra hafi ekki fullnægt kröfum 1. mgr. 20. gr. laga nr. 77/2000, sbr. einnig 1. tölul. 1. mgr. 7. gr. sömu laga.

 

4.
Varðveislutími

Samkvæmt 5. tölul. 1. mgr. 7. gr. laga nr. 77/2000 skulu persónuupplýsingar varðveittar á því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu. Í þessu felst nánar tiltekið að þegar ekki er lengur nauðsynlegt að vinna með persónuupplýsingar skal þeim eytt eða þær gerðar ópersónugreinanlegar, s.s. með því að rjúfa tengingu upplýsinganna við auðkenni sem persónugreina viðkomandi einstaklinga, sbr. einnig 1. mgr. 26. gr. laganna.

Fram kemur í skýringum Pírata að þegar kosningum ljúki visti kosningakerfi þeirra kjörseðla utan gagnagrunns án persónugreinandi auðkenna. Telur Persónuvernd að með þessu fyrirkomulagi sé farið að fyrirmælum fyrrnefndra ákvæða laga nr. 77/2000.

 

5.
Öryggi persónuupplýsinga í kosningakerfi Pírata

Í 11. gr. laga nr. 77/2000 segir að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.

Í málinu liggur fyrir að aðgangur að persónuupplýsingum í kosningakerfi Pírata er háður ströngum aðgangsstýringum og hefur ekki annað verið leitt í ljós en að eingöngu einn einstaklingur, þ.e. kerfisstjóri, hafi á hverjum tíma slíkan aðgang að kerfinu að hann geti tengt atkvæði við persónuauðkenni. Með hliðsjón af því, sem og öðrum skýringum sem veittar hafa verið, telur Persónuvernd ekki ástæðu til að gera athugasemdir við öryggi gagna í kosningakerfi Pírata.

Meðferð máls þessa hefur dregist vegna mikilla anna hjá Persónuvernd.

  

Ú r s k u r ð a r o r ð:

Vinnsla persónuupplýsinga um [A] í kosningakerfi Pírata samrýmdist lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, að því undanskildu að fræðsla um vinnsluna fullnægði ekki kröfum 20. gr. laganna.