Fréttir
Eftirfylgni Persónuverndar lokið vegna álits um öryggi persónuupplýsinga í vefkerfi grunnskóla
Persónuvernd hefur lokið eftirfylgni vegna álits stofnunarinnar frá 22. september 2015 þar sem fjallað var um skráningu og
vinnslu persónuupplýsinga á vegum fimm grunnskóla í vefkerfið Mentor.
Forsaga málsins er sú að þann 22. september 2015
komst Persónuvernd að þeirri niðurstöðu í áliti sínu í máli nr. 2015/1203 að
fimm grunnskólar, sem valdir voru af handahófi til þátttöku í úttekt
Persónuverndar, hefðu ekki tryggt nægilega öryggi persónuupplýsinga sem færðar
voru inn í vefkerfið Mentor. Álitið sneri nánar tiltekið að úttekt
Persónuverndar á því hvort skólarnir fimm hefðu uppfyllt kröfur
persónuverndarlaganna um að framkvæma áhættumat vegna notkunar Mentors og
innleiða þær öryggisráðstafanir sem nauðsynlegar teldust á grundvelli
áhættumatsins. Sérstök áhersla var jafnframt lögð á fræðslu gagnvart starfsfólki
skólanna og setningu verklagsreglna um skráningu persónuupplýsinga í kerfið, en
í aðdraganda málsins hafði borið nokkuð á kvörtunum og ábendingum til
Persónuverndar um viðamikla skráningu persónuupplýsinga í Mentor um nemendur og
aðstandendur þeirra – í einhverjum tilvikum viðkvæmra upplýsinga – án þess að
skilyrði persónuverndarlaganna fyrir slíkri skráningu væru uppfyllt.
Í fyrrnefndu áliti voru ítarleg fyrirmæli lögð fyrir skólana fimm, meðal annars um að framkvæma eigið áhættumat, útbúa öryggisstefnu og taka ákvörðun um öryggisráðstafanir og innra eftirlit, í samræmi við reglur laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og reglur nr. 299/2001 um öryggi persónuupplýsinga. Sérstaklega var mælt fyrir um að hugað yrði að fræðslu gagnvart starfsmönnum um skráningu persónuupplýsinga í Mentor. Þá var lagt fyrir skólana að semja við vinnsluaðila, þ.e. Mentor, í samræmi við ákvæði persónuverndarlaga um vinnslusamninga, að undangengnu mati skólanna á því hvort viðkomandi vinnsluaðili gæti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit.
Með bréfi, dags. 22. janúar 2019, tilkynnti Persónuvernd málsaðilum að það væri mat stofnunarinnar að grunnskólarnir hefðu uppfyllt þau fyrirmæli sem lögð voru fyrir í áliti stofnunarinnar. Taldi Persónuvernd því ekki tilefni til að aðhafast frekar vegna málsins og var upplýst að því væri lokið af hálfu stofnunarinnar.
Sá fyrirvari er þó gerður í bréfi Persónuverndar að berist stofnuninni síðar kvörtun eða komi fram nýjar upplýsingar í tengslum við vinnslu persónuupplýsinga í Mentor kunni málið að verða tekið upp að nýju, í heild sinni eða að hluta til.
Vegna umfjöllunar í fjölmiðlum undanfarna daga um öryggisbrest í vefkerfinu Mentor vill Persónuvernd taka fram að sú úttekt sem vísað er til hér að ofan sneri einkum að verklagi grunnskólanna fimm við notkun á vefkerfinu Mentor. Ekki var um að ræða tæknilega úttekt á Mentor-kerfinu sem slíku.
Almennt er það á ábyrgð
ábyrgðaraðila vinnslu persónuupplýsinga, sem í þessu tilviki eru skólarnir, að
ganga úr skugga um að þau kerfi sem notuð eru til vinnslunnar standist
öryggiskröfur. Með hliðsjón af því að öryggisbrestir gera ekki alltaf boð á
undan sér hefur Persónuvernd lagt á það áherslu að skráning persónuupplýsinga,
þar á meðal í tölvukerfi, takmarkist við þær upplýsingar sem teljast
nauðsynlegar í þágu tilgangsins, eins og persónuverndarlögin kveða á um.