Aðgangur að aðgerðaskráningu

Mál nr. 2016/835

24.5.2017

 

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 8. mars 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/835:

 

I.

Málsmeðferð

 

1.

Tildrög máls

Þann 18. maí 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi), yfir meintum, ólögmætum uppflettingum starfsmanns Valitor hf. á persónuupplýsingum um hann í tölvukerfi fyrirtækisins, sem heldur utan um kortafærslur allra korthafa fyrirtækisins, en upplýsingarnar lúta að öllum kortafærslum kvartanda. Í kvörtuninni segir m.a. að kvartandi telji að tiltekinn starfsmaður hafi flett honum upp í kerfinu án þess að hafa til þess fullnægjandi ástæður. Hann óski því eftir því að fá öll gögn í gagnagrunni Valitor 2 ár aftur í tímann sem tilgreini nöfn starfsmanna sem hafi flett honum upp og tilgang þess í hvert skipti. Þá kom fram í munnlegum samskiptum við kvartanda að hann hefði áhyggjur af því að fyrrverandi sambýliskona hans, sem væri starfsmaður Valitor, hefði flett honum upp án þess að hafa til þess fullnægjandi heimild.

 

2.

Málsmeðferð

Með bréfi, dags. 8. júní 2016 , var Valitor boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi Valitor, dags. 22. júní 2016, segir m.a. að allir starfsmenn félagsins séu bundnir þagnarskyldu um allt það sem þeir fá vitneskju um við framkvæmd starfs síns og varðar viðskipta- eða einkamálefni viðskiptamanna þess, nema skylt sé að veita upplýsingar lögum samkvæmt. Þagnarskyldan haldist þótt látið sé af starfi. Auk þess þurfi hver og einn starfsmaður að undirrita þagnarskylduyfirlýsingu þar sem m.a. komi fram að starfsmaður skuli virða í hvívetna ákvæði laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

 

Þá segir í bréfi Valitor að í gildi sé öryggishandbók þar sem kveðið sé á um gagnavernd og friðhelgi persónuupplýsinga. Í samræmi við öryggishandbókina hafi starfsmenn eingöngu aðgang að þeim kerfum sem þeir þurfi starfs síns vegna auk þess sem aðgerðir færist í atburðaskrá. Samkvæmt reglum félagsins eigi sér stað reglubundið innra eftirlit með því að aðgangsheimildir sem er ofaukið séu fjarlægðar eða lokað sé fyrir þær. Eðli málsins samkvæmt hafi umræddar atburðaskrár að geyma persónuupplýsingar um starfsmenn félagsins og miðlun slíkra upplýsinga út fyrir félagið geti haft ýmsar afleiðingar gagnvart þeim, s.s. að á þá falli órökstuddur grunur um trúnaðarbrest.

Hvað varðar vinnslu persónuupplýsinga um kvartanda segir í bréfi Valitor:

 „Persónuupplýsingar um [kvartanda] er að finna í tölvukerfum Valitor [...]. Atburðaskrá hefur að geyma hvaða starfsmenn Valitor hafi meðhöndlað upplýsingar um [kvartanda], hvaða dag og klukkan hvað, og hvort um hafi verið að ræða lestur, skrift, breytingu eða eyðingu gagna. Af atburðaskránni er ekki hægt að sjá hvort persónuupplýsingum hafi verið miðlað til utanaðkomandi aðila eða á milli starfsmanna. [...]

Atburðaskrá vegna uppflettinga á [kvartanda] nær aftur til dagsins 15. apríl 2016. Af því leiðir að Valitor gæti aldrei orðið við beiðni um afhendingu gagna vegna [kvartanda] úr gagnagrunni Valitor tvö ár aftur í tímann. Öryggisstjóri Valitor hefur rannsakað fyrrnefnda atburðaskrá og er ekkert þar sem ver á svig við reglur fyrirtækisins.“

Með vísan til þessa sem að framan greinir hafnar Valitor beiðni kvartanda um afhendingu allra gagna í gagnagrunni fyrirtækisins tvö ár aftur í tímann auk þess sem það fellst ekki á að veita aðgang að umræddum upplýsingum fyrir þann tíma sem atburðaskráning er til.

Með bréfi, dags. 27. júní 2016, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Valitor til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Kvartandi svaraði með tölvupósti þann 28. s.m. þar sem fram kemur að hann sætti sig ekki við svar Valitor. Af þeim sökum fari hann fram á að fá umræddar upplýsingar þar sem hann hafi rökstuddan grun um að ekki sé allt með felldu. Þá bendir kvartandi á að það sé Valitor sem beri sönnunarbyrði um það að farið hafi verið með upplýsingar hans í samræmi við lög.

Með tölvupósti 15. september 2016 var kvartandi upplýstur um að Persónuvernd hygðist kanna nánar lögmæti þeirra uppflettinga sem kvartað væri yfir með því að fara á starfsstöð Valitor. Af þeim sökum væri óskað eftir upplýsingum um nafn fyrrverandi sambýliskonu hans. Svar kvartanda barst sama dag þar sem upplýst var um nafn viðkomandi starfsmanns.

Þann 6. október 2016 var Valitor tilkynnt um fyrirhugaða vettvangsathugun Persónuverndar á starfsstöð félagsins þar sem farið yrði yfir aðgerðaskráningu félagsins. Vettvangsathugun fór fram þann 18. s.m. en í skýrslu Persónuverndar um athugunina segir m.a.:

„1. Að kvartandi hafi leitað til Valitor þann 13. apríl 2016 og óskað eftir upplýsingum um hvort að tiltekinn starfsmaður Valitor hafi flett honum upp í kerfum fyrirtækisins. Þá hafi hann einnig óskað eftir aðgangi að upplýsingum um hver hafi flett honum upp innan fyrirtækisins tvö ár aftur í tímann.

2. Þegar að umrædd beiðni hafi borist frá kvartanda hafi aðgerðaskráningar fyrir tímabilið 28. febrúar-4. apríl 2016 og 7.-22. apríl s.á. verið skoðaðar af hálfu Valitor en samkvæmt upplýsingum frá fyrirtækinu eru aðgerðaskráningar lengra aftur í tímann ekki til staðar vegna uppfærslu í nýtt kerfi sem skráir aðgerðaskráningar. Þá séu ekki til aðgerðaskráningar fyrir dagana 5. og 6. apríl þar sem þá daga hafi verið unnið að breytingu á kerfi Valitor og hafi vantað pláss til að geyma þær aðgerðaskráningar sem til voru og því tveimur dögum eytt. Framangreind skoðun fyrirtækisins hafi leitt í ljós að tveir starfsmenn fyrirtækisins hefðu flett kvartanda upp á umræddu tímabili. [...] Á fundinum var Persónuvernd sýndur tölvupóstur sem staðfesti að umrædd könnun hefði farið fram og nöfn þeirra tveggja starfsmanna sem um ræðir. Nafn þess starfsmanns, sem kvörtun lýtur að, var ekki þar á meðal.

3. Aðgerðaskráningum sem áttu sér stað fyrir 15. apríl 2016 hefur nú verið eytt og eru ekki til hjá Valitor. Aðgerðaskráning fyrir tímabilið 15. apríl-31. ágúst 2016 hefur verið sett í geymslu og getur Persónuvernd fengið aðgang að þeim upplýsingum verði þess er krafist. Af hálfu Valitor kom þó fram að keyra þurfi upp grunninn sem inniheldur þær skráningar og gæti það tekið nokkurn tíma.

4. Í vettvangsathuguninni var Persónuvernd sýnd aðgerðaskráning frá 1. september-18. október 2016, eða frá því að fyrirtækið tók í notkun nýtt tölvukerfi, en í þeirri aðgerðaskráningu var ekki að finna nafn þess starfsmanns sem kvörtun lýtur að.“

Með bréfi, dags. 3. nóvember 2016, var kvartanda veittur kostur á að koma á framfæri athugasemdum við það sem fram kom í umræddri vettvangsathugun. Svar kvartanda barst samdægurs með tölvupósti þar sem fram kom að hann sætti sig ekki við veitt svör Valitor. Þá áréttaði hann beiðni sína um að fá umbeðnar upplýsingar.

Með bréfi, dags. 15. nóvember 2016, óskaði Persónuvernd eftir því við Valitor að félagið myndi gera aðgengilegar uppflettingar á nafni kvartanda í aðgerðaskrám félagsins fyrir tímabilið 23. apríl-18. maí 2016, þannig að Persónuvernd yrði gert kleift að skoða þær skráningar sem þar væri að finna. Þá var þess óskað að Valitor myndi tilkynna Persónuvernd um það þegar félagið hefði gert skrárnar aðgengilegar og í kjölfar þess myndi Persónuvernd framkvæma vettvangsathugun. Þá óskaði Persónuvernd einnig eftir afriti af verklagsreglum um varðveislu upplýsinga hjá Valitor, þ.m.t. aðgerðaskráningum, væru þær fyrir hendi. Í kjölfar þess var vettvangsathugun ákveðin þann 8. desember 2016. Afrit af verklagsreglum Valitor um varðveislu upplýsinga voru send Persónuvernd þann 6. s.m.

Fresta þurfti framangreindri vettvangsathugun Persónuverndar og fór hún fram þann 31. janúar 2017. Í skýrslu Persónuverndar um athugunina segir m.a.:

„1. Skoðaðar voru uppflettingar á tímabilinu 23. apríl - 18. maí 2016. Eftir að skipt var um úttektarskráningarkerfi sl. haust (sbr. næsta lið) höfðu eldri færslur verið settar í geymslu. Að beiðni Persónuverndar hafði fyrirtækið sótt allar úttektarfærslur á framangreindu tímabili úr geymslunni og sett í vinnslugrunn til uppflettingar í þessari heimsókn. Í heimsókninni voru gerðar ýmsar fyrirspurnir í þennan grunn til að rannsaka hvort tiltekinn starfsmaður hefði flett upp tilteknum viðskiptavini. Einungis fundust svo kallaðar „fraud monitor“ færslur, en það eru sjálfvirkar flettingar sem eftirlitskerfi gerir í tengslum við notkun greiðslukorta. Samkvæmt því fletti enginn starfsmaður upp þessum tiltekna viðskiptavini á tímabilinu 23. apríl - 18. maí 2016. Áður hafði öryggisstjóri Valitor gert samsvarandi rannsókn á uppflettingum á tímabilinu 28. febrúar - 22. apríl 2016.

2. Farið var yfir fyrirkomulag úttektarskráningar á síðasta ári. Fyrirtækið gaf þær skýringar að gífurlegur fjöldi færslna hefði valdið því að ekki var hægt að geyma skráningarnar í ár eins og reglur þess gera ráð fyrir. Einnig að tveir dagar hefðu alveg tapast vegna tæknilegra vandamála sem tengdust hinu gríðarlega gagnamagni. Í framhaldinu var að sögn tekið upp nýtt úttektarskráningarkerfi og nú telur fyrirtækið sig geta staðið við kröfuna um árs geymslutíma.“

Valitor var með tölvupósti þann 15. febrúar 2017 veittur kostur á að koma á framfæri athugasemdum við skýrslu Persónuverndar. Valitor svaraði með tölvupósti þann 28. s.m. og voru engar athugasemdir gerðar. Með tölvupósti þann 3. mars 2017 óskaði Persónuvernd eftir staðfestingu á því að frávikaskráning væri til staðar vegna þærra tæknilegu vandamála sem hefðu komið upp við úttektarskráningu félagsins. Svar Valitor barst Persónuvernd þann 6. mars 2017 en þar kemur fram að frávikaskráning sé til fyrir 5. apríl 2016 en ekki 6. s.m. auk fjölda frávikaskráninga í mars og apríl s.á. vegna álags á aðgerðarskráningakerfið. Með svari Valitor fylgdi frávikaskráning fyrir 5. apríl 2016. Þá fylgdi einnig afrit af frávikaskráningu frá því í lok mars 2016.

  

II.

Forsendur og niðurstaða 

1.

Gildissvið laga nr. 77/2000 – Ábyrgðaraðili

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Valitor vera ábyrgðaraðili að umræddri vinnslu. 

2.

Niðurstaða

Til úrlausnar er krafa kvartanda um að fá aðgang að upplýsingum um hvaða starfsmenn Valitor hafi flett upp upplýsingum um kvartanda, en upplýsingarnar lúta að öllum kortafærslum kvartanda, m.a. hvar kvartandi hefur átt viðskipti og öll samskipti hans við þjónustuver Valitor sem varða breytingu á notkun kortsins. Upplýsingar um það hvort tiltekinn starfsmaður hafi flett kvartanda upp eru skráðar í atburðaskrá fyrirtækisins. Samkvæmt 3. tölul. 1. mgr. 18. gr. laga nr. 77/2000 á hinn skráði rétt á að fá frá ábyrgðaraðila vitneskju um „hver fær, hefur fengið eða mun fá upplýsingar um hann“ og er þar að efni til fylgt a-lið 12. gr. tilskipunar 95/46/EB. Markmið umrædds ákvæðis 18. gr. í lögunum er að innleiða þetta ákvæði tilskipunarinnar sem mælir fyrir um rétt hins skráða til vitneskju um viðtakendur eða flokka viðtakenda upplýsinga. Verður ekki séð að í því felist réttur til vitneskju um það þegar upplýsingar berast milli einstakra starfsmanna viðkomandi ábyrgðaraðila. Þess í stað er átt við miðlun upplýsinganna frá ábyrgðaraðila til utanaðkomandi aðila.

Samkvæmt framangreindu veitir 3. tölul. 1. mgr. 8. gr. laga nr. 77/2000 ekki kvartanda rétt til að fá afhentar þær upplýsingar úr atburðaskrám Valitor sem hér um ræðir. Þá veita önnur ákvæði í lögum honum ekki slíkan rétt. Til þess er hins vegar að líta að skráning upplýsinga um aðgang einstakra starfsmanna í atburðaskrár er oft liður í því að uppfylla þær skyldur sem hvíla á ábyrgðaraðila skv. 11. gr. laga nr. 77/2000, en í 1. mgr. þeirrar greinar er mælt fyrir um að hann skuli „gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi.“ Með stoð í 3. mgr. 11. gr. hefur Persónuvernd sett reglur nr. 299/2001, um öryggi persónuupplýsinga, til nánari útfærslu á kröfum ákvæðisins. Í 7. gr. þeirra eru taldar upp nokkrar skipulagslegar og tæknilegar öryggisráðstafanir sem ábyrgðaraðili getur þurft að viðhafa með tilliti til þeirrar vinnslu sem fram fer á hans vegum, m.a. að „tryggja rekjanleika uppflettinga og vinnsluaðgerða“, en sú skylda er í framkvæmd einkum uppfyllt með færslu atburðaskráa. Samkvæmt 1. mgr. 12. gr. laga nr. 77/2000 skal ábyrgðaraðili auk þess viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Þá segir í 3. mgr. sömu greinar að ábyrgðaraðili skuli sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skuli lýsa niðurstöðu hvers þáttar eftirlitsins.

Í 10. kafla öryggishandbókar Valitor er fjallað um svokallaðar úttektaskráningar þar sem segir að varðveita skuli úttektaskrár eins lengi og virk not eru af þeim eða lagalegar kröfur segja til um, þó að lágmarki eitt ár og skuli upplýsingar vera aðgengilegar minnst þrjá mánuði á upplýsingakerfi fyrirtækisins á hverjum tíma. Með stoð í 2. mgr. 38. gr. laga nr. 77/2000 getur Persónuvernd gert vettvangsathuganir þar sem unnið er með persónuupplýsingar og hefur sú heimild verið nýtt í máli þessu til að skoða skrár samkvæmt framangreindu. Af gögnum, sem skoðuð voru við athuganirnar, verður ekki annað ráðið en að tveir starfsmenn hafi flett kvartanda upp á tímabilunum 28. febrúar til 4. apríl og 7. apríl til 22. apríl 2016. Hvorugur þeirra er sá einstaklingur sem kvartandi hafði grun um að hefði flett sér upp með ólögmætum hætti. Á tímabilinu 23. apríl til 18. maí 2016 fletti enginn starfsmaður Valitor kvartanda upp í kerfi félagsins.

Fram hefur komið að umtalsvert magn aðgerðaskráninga hefur verið eytt af netþjónum Valitor, bæði þar sem geymslupláss hefur ekki reynst vera nægilegt til að varðveita þær um ársskeið í samræmi við starfsreglur félagsins, auk þess sem tveggja daga tímabil glataðist vegna tæknilegra vandamála. Í ljósi eðlis þeirrar vinnslu, sem fram fer hjá Valitor, ber að telja aðgerðaskráningu samkvæmt fyrrgreindu ákvæði reglna nr. 299/2001 nauðsynlega hjá félaginu, sem og að eitt ár sé lágmarksvarðveislutími færslna í þeirri skráningu. Þá ber einnig að telja skráningu á öryggisfrávikum nauðsynlega, en ekki liggur fyrir slík skráning fyrir 6. apríl 2016, sem skýrir ástæður þess að upplýsingar glötuðust úr aðgerðaskráningu Valitor. Í framangreindum ákvæðum 11. og 12. gr. laga nr. 77/2000 felst m.a. sú skylda ábyrgðaraðila, í þessu tilviki Valitor, að rannsaka, m.a. samkvæmt beiðni kvartanda, hvort unnið hafi verið með persónuupplýsingar í samræmi við lög og reglur og gera hinum skráða að því búnu grein fyrir niðurstöðum rannsóknarinnar. Ljóst er að kvartandi hefur að einhverju marki fengið slíka vitneskju en þar sem aðgerðaskráningum hafði að einhverju marki verið eytt gat sú rannsókn aldrei farið fram með fullnægjandi hætti.

Með vísan til framangreinds telur Persónuvernd að öryggi persónuupplýsinga hafi ekki verið nægilega tryggt hjá Valitor. Er lagt fyrir Valitor að senda Persónuvernd staðfestingu á að bætt hafi verið úr ágöllum á aðgerðaskráningu þannig að færslur í henni varðveitist í eitt ár, sem og að uppfæra öryggishandbók sína þannig að skýrt verði kveðið á um skráningu öryggisfrávika hjá félaginu. Er lagt fyrir Valitor að senda Persónuvernd framangreindra staðfestingu, auk uppfærðrar öryggishandbókar, fyrir 1. maí 2017. 

 

Ú r s k u r ð a r o r ð:

 

Valitor er ekki skylt að afhenda kvartanda upplýsingar um nöfn þeirra starfsmanna félagsins sem unnu með persónuupplýsingar um hann, að því marki sem þær eru til hjá félaginu.

Aðgerðaskráning og varðveisla færslna í slíkri skráningu hjá Valitor var ekki í samræmi við starfsreglur félagsins og 11. gr. laga nr. 77/2000. Er lagt fyrir félagið að senda Persónuvernd, eigi síðar en 1. maí 2017, staðfestingu á að tekinn hafi verið upp ársvarðveislutími aðgerða skráninga, sem og uppfærða öryggishandbók sína þar sem fram komi að greint skuli frá öllum frávikum í aðgerðaskráningu.