Fréttir

Bréf Persónuverndar til Tryggingastofnunar ríkisins með leiðbeiningum um notkun upplýsinga um IP-tölur við eftirlit

24.7.2020

Hinn 30. júní 2020 sendi Persónuvernd bréf til Tryggingastofnunar ríkisins (TR) með almennum leiðbeiningum um notkun upplýsinga um IP-tölur einstaklinga við eftirlit. Byggðu leiðbeiningarnar á upplýsingum og gögnum sem TR hafði látið Persónuvernd í té, þ. á m. verklagsreglum eftirlits. Í bréfi Persónuverndar kemur meðal annars fram að upplýsingar um IP-tölur verði, einar og sér, ekki taldar áreiðanlegar um búsetu einstaklinga. Jafnframt kemur fram að verklagsreglur TR bendi ekki til þess að ákvarðanir um bótarétt séu byggðar á slíkum upplýsingum einum og sér, heldur geti þær orðið til þess að frekari rannsókn hefjist. Þá geti þau rannsóknarúrræði sem TR beitir, svo sem beiðni um rannsókn Þjóðskrár Íslands á lögheimili, þjónað þeim tilgangi að sannreyna áreiðanleika upplýsinga um IP-tölur.

Athygli er vakin á því að TR hefur þegar brugðist við ábendingu Persónuverndar um fræðslu á vef TR.

Bréf Persónuverndar má sjá hér að neðan.

1.

Erindi Tryggingastofnunar ríkisins

Persónuvernd vísar til fyrri samskipta vegna notkunar Tryggingastofnunar ríkisins (TR) á upplýsingum um IP-tölur bótaþega við eftirlit, einkum bréfs TR, dags. 28. apríl 2020, þar sem meðal annars er fjallað um framkvæmd eftirlits stofnunarinnar. Fram kemur í bréfinu að hlutverk stofnunarinnar sé að framfylgja lögum um almannatryggingar, lögum um félagslega aðstoð og lögum um málefni langveikra barna auk þess að sinna öðrum verkefnum sem stofnuninni eru falin hverju sinni. Samkvæmt 45. gr. laga nr. 100/2007, um almannatryggingar, skuli stofnunin reglubundið sannreyna réttmæti bóta, greiðslna og upplýsinga sem ákvörðun um réttindi byggist á. Réttur til bóta almannatrygginga sé byggður á búsetu og röng skráning lögheimilis geti því leitt til þess að viðkomandi fái greiddar bætur án þess að eiga rétt á þeim. Vakni grunur um ranga skráningu lögheimilis afli TR upplýsinga og gagna frá greiðsluþega og þeim aðilum sem taldir eru upp í 43. gr. laga nr. 100/2007. Að því er varðar upplýsingar um IP-tölur kemur fram að stofnuninni sé kunnugt um að IP-tölur geti verið skráðar erlendis þótt hlutaðeigandi einstaklingur búi og sé staddur á Íslandi. Mál séu metin með heildstæðum hætti á grundvelli fyrirliggjandi gagna og skýringa og IP-tölur séu einungis hluti þeirra.

TR hefur látið Persónuvernd í té afrit verklagsreglna eftirlits ásamt sniðmáti að bréfi sem sent er til bótaþega ef grunur vaknar um að búseta þeirra sé rangt skráð. Í verklagsreglunum er meðal annars fjallað um hvernig brugðist skuli við þegar slíkur grunur vaknar, en í 8. kafla kemur fram að birta skuli bréf á „Mínum síðum“ viðkomandi einstaklings á vef TR sem upplýsi að rannsókn sé hafin á búsetu hans. Andmælaréttur sé þannig veittur, en engar greiðslur séu stöðvaðar á því stigi. Sérstaklega er tekið fram í reglunum að stafræn gögn á borð við innskráningu á „Mínar síður“ séu ekki nægileg til að staðfesta búsetu erlendis, heldur þurfi að styðjast við frekari gögn. Samkvæmt 2. kafla reglnanna skal senda bréf um rannsókn á búsetu til Þjóðskrár Íslands, náist ekki í greiðsluþega eftir að grunur vaknar um að búseta sé rangt skráð. Við þær aðstæður sé almenna reglan sú að stöðvanir greiðslna taki ekki gildi fyrr en úrskurður Þjóðskrár Íslands liggi fyrir.

2.

Úrskurður Persónuverndar um vinnslu Vinnumálastofnunar á upplýsingum um IP-tölur, mál nr. 2018/1718

Hinn 28. nóvember 2019 kvað Persónuvernd upp úrskurð um vinnslu Vinnumálastofnunar á upplýsingum um IP-tölur einstaklings er þegið hafði atvinnuleysisbætur. Kvartandi í málinu hafði fengið bréf frá Vinnumálastofnun í ágúst 2018 þar sem fram kom að stofnuninni hefðu borist upplýsingar um að kvartandi hefði verið erlendis í júní það ár. Byggðist bréfið á því að IP-tala kvartanda hefði verið skráð í Bretlandi við innskráningu á „Mínar síður“ á vef Vinnumálastofnunar. Var kvartanda veittur sjö daga frestur frá dagsetningu bréfsins til að veita á þessu skýringar, ella yrði ákvörðun tekin á grundvelli fyrirliggjandi gagna. Slík ákvörðun gæti leitt til missis réttar til atvinnuleysisbóta eða annarra viðurlaga samkvæmt 59. eða 60. gr. laga nr. 54/2006, um atvinnuleysistryggingar. Af gögnum málsins og bréfaskiptum Persónuverndar við kvartanda og Vinnumálastofnun varð ekki ráðið að önnur gögn hefðu legið til grundvallar umræddu bréfi en hvar IP-tala kvartanda var skráð á tilteknum tímapunkti.

Undir rannsókn málsins hjá Persónuvernd lagði kvartandi meðal annars fram gögn sem sýndu fram á að notkun VPN-forrits, sem gerði honum kleift að velja hvar í heiminum IP-tala hans væri skráð, hefði leitt til þess að IP-tala kvartanda birtist eins og hann hefði verið staddur í Bretlandi. Í úrskurðinum var fjallað um hversu auðvelt er að nálgast og nota slíkar tengingar í dag, einkum í samanburði við aðgengileika þeirra þegar fyrri úrskurðir Persónuverndar um notkun upplýsinga um IP-tölur, meðal annars í máli nr. 2015/612, voru kveðnir upp. Var niðurstaða Persónuverndar í máli nr. 2018/1718 á þá leið að slíkar upplýsingar uppfylli ekki kröfur 4. tölul. 1. mgr. 8. gr. laga nr. 90/2018 um áreiðanleika persónuupplýsinga, enda hefði Vinnumálastofnun ekki sýnt fram á að til staðar væru úrræði til að tryggja að upplýsingar um IP-tölur væru áreiðanlegar til notkunar í þeim tilgangi að staðreyna staðsetningu einstaklings. Var Vinnumálastofnun gert að láta af notkun upplýsinga um IP-tölur meðan slík úrræði væru ekki til staðar.

3.

Meginreglur laga nr. 90/2018

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Auk heimildar samkvæmt ákvæðinu verður vinnsla persónuupplýsinga að fullnægja öllum meginreglum 1. mgr. 8. gr. sömu laga, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum (4. tölul.); að þær skuli vera varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.); og að þær skuli vera unnar með þeim hætti að viðeigandi öryggi persónuupplýsinga sé tryggt (6. tölul).

4.

Niðurstaða:

Leiðbeiningar Persónuverndar

Líkt og að framan greinir hefur Persónuvernd úrskurðað um að upplýsingar um IP-tölur geti ekki, einar og sér, talist áreiðanlegar í skilningi laga nr. 90/2018 til þess að staðreyna staðsetningu einstaklinga. Til umfjöllunar í úrskurði í máli nr. 2018/1718 var sá þáttur eftirlits Vinnumálastofnunar er laut að því hvort einstaklingar á atvinnuleysisskrá hefðu verið staddir erlendis, en réttur til atvinnuleysisbóta fellur almennt niður meðan á dvöl erlendis stendur nema tilgangur dvalarinnar sé atvinnuleit. Gildir þar einu hvort um er að ræða lengri eða skemmri dvöl erlendis. Þannig beindist umrædd athugun Vinnumálastofnunar að því hvort einstaklingar hefðu farið utan án þess að tilkynna stofnuninni um það.

Af verklagsreglum eftirlits hjá TR má ráða að fyrstu viðbrögð við því, að IP-tala bótaþega sé skráð erlendis, séu þau að hafa samband við viðkomandi til að óska skýringa og birta bréf á „Mínum síðum“ hans á vef TR. Náist ekki í viðkomandi hefjist frekari athugun á búsetu hlutaðeigandi einstaklings sem virðist einkum fara fram með beiðni um rannsókn Þjóðskrár Íslands á lögheimili. Að mati Persónuverndar er því ákveðinn eðlismunur á notkun Vinnumálastofnunar annars vegar og TR hins vegar á upplýsingum um IP-tölur við eftirlit. Ákvarðanir TR um bótarétt virðast ekki byggðar á slíkum upplýsingum með beinum hætti heldur verði þær í ákveðnum tilvikum til þess að frekari rannsókn hefjist. Þrátt fyrir að ekki séu til staðar tæknileg úrræði til að tryggja áreiðanleika upplýsinga um IP-tölur verður að ætla að unnt sé að tryggja hann með öðrum leiðum, t.d. með beitingu lögmætra rannsóknarúrræða. Þannig verður að játa stofnunum og öðrum ábyrgðaraðilum ákveðið svigrúm til að kanna áreiðanleika þeirra upplýsinga sem unnið er með, að því tilskildu að vinnslan samrýmist lögum nr. 90/2018 að öðru leyti. Að öðrum kosti yrði ábyrgðaraðilum gert ókleift að vinna með hvers kyns persónuupplýsingar sem eru þess eðlis að ekki er unnt að fullyrða um áreiðanleika þeirra án frekari athugunar, svo sem ábendingar frá utanaðkomandi aðilum, en almennt er gengið út frá því að stjórnvöld geti í störfum sínum tekið við slíkum ábendingum. Ætla verður að orðalag 4. tölul. 1. mgr. 8. gr. laga nr. 90/2018 bendi til þess að ábyrgðaraðili geti kannað áreiðanleika þeirra persónuupplýsinga sem hann vinnur með áður en til eyðingar eða leiðréttingar kemur, enda ekki endilega ljóst strax í upphafi hvort um sé að ræða óáreiðanlegar eða ófullkomnar upplýsingar. Takist ekki að staðreyna þær upplýsingar, sem kannaðar eru, er ábyrgðaraðila hins vegar skylt að hætta vinnslu þeirra og eyða þeim eða leiðrétta eftir atvikum, að gættum lagaákvæðum um opinber skjalasöfn eftir því sem við á.

Í ljósi alls framangreinds er að mati Persónuverndar unnt að líta svo á að þau rannsóknarúrræði sem TR grípur til ef grunur vaknar um búsetu erlendis, svo sem ósk um rannsókn Þjóðskrár Íslands, geti þjónað þeim tilgangi að sannreyna áreiðanleika upplýsinga um IP-tölur. Í því sambandi beinir Persónuvernd eftirfarandi leiðbeiningum til TR í tengslum við vinnslu slíkra upplýsinga:

1. Í 3. hluta verklagsreglna eftirlits TR kemur fram að heimilt sé að fresta greiðslum á meðan á rannsókn máls stendur, sbr. 3. mgr. 45. gr. laga nr. 100/2007. Skilningur Persónuverndar er sá að frestun greiðslna samkvæmt ákvæðinu sé ekki beitt einvörðungu á grundvelli upplýsinga um IP-tölur, einkum með vísan til 8. hluta verklagsreglnanna. Persónuvernd áréttar að upplýsingar um IP-tölur verða, einar og sér, ekki taldar áreiðanlegar um búsetu einstaklinga og leggur áherslu á að ekki verði gripið til íþyngjandi ráðstafana gagnvart einstaklingum nema annað og meira komi til.

2. Persónuvernd áréttar þá skyldu sem hvílir á ábyrgðaraðilum samkvæmt 4. tölul. 1. mgr. 8. gr. laga nr. 90/2018, um leiðréttingu eða eyðingu óáreiðanlegra eða ófullkominna persónuupplýsinga, í tengslum við vinnslu TR á upplýsingum um IP-tölur við eftirlit.

3. Persónuvernd bendir á mikilvægi þess að fræðsla á vef TR að því er varðar notkun upplýsinga um IP-tölur endurspegli verklag við eftirlit. Persónuvernd beinir því til TR að endurskoða kafla um eftirlit og búsetu erlendis á vef stofnunarinnar með það að leiðarljósi að tryggja gagnsæi gagnvart skráðum einstaklingum í þessu tilliti.

Persónuvernd vekur athygli á að framangreind afstaða stofnunarinnar byggir á almennum upplýsingum og gögnum frá TR. Berist Persónuvernd kvörtun er varðar vinnslu TR á upplýsingum um IP-tölu einstaklings verður kvörtunin tekin til hefðbundinnar meðferðar, að öðrum skilyrðum laga nr. 90/2018 uppfylltum. Rannsókn slíks máls kynni að leiða til annarrar niðurstöðu, enda úrskurðir vegna kvartana til Persónuverndar meðal annars byggðir á gögnum er varða hlutaðeigandi einstakling. Felur fyrrgreind afstaða stofnunarinnar því fyrst og fremst í sér almennar leiðbeiningar um vinnslu upplýsinga um IP-tölur eins og henni er lýst í þeim gögnum sem TR hefur látið Persónuvernd í té. Loks lýsir Persónuvernd sig reiðubúna til fundar með Tryggingastofnun ríkisins um fyrrgreindar leiðbeiningar eða önnur atriði, sé þess óskað.

F.h. Persónuverndar,

Þórður Sveinsson                                      Vigdís SigurðardóttirVar efnið hjálplegt? Nei