Staða 19 frumkvæðisathugana og 4 úttekta

4.7.2022

Staða þeirra mála sem þar voru tilgreind er nú eftirfarandi:

1. Frumkvæðisathugun Persónuverndar á upplýsingaöflun í smáforriti Ferðagjafar stjórnvalda lauk með ákvörðun 23. nóvember 2021 (mál nr. 2020092288) þar sem komist var að þeirri niðurstöðu að bæði atvinnuvega- og nýsköpunarráðuneytið og fyrirtækið YAY ehf. hefðu brotið gegn persónuverndarlöggjöfinni, m.a. ákvæðum um gagnsæi og öryggi við vinnslu persónuupplýsinga. Stjórnvaldssekt að fjárhæð 7.500.000 krónur var lögð á ráðuneytið og að fjárhæð 4.000.000 króna á YAY ehf.

2. Athugun á notkun Seesaw-nemendakerfisins í grunnskólum Reykjavíkur lauk með tveimur ákvörðunum, 16. desember 2021 og 3. maí 2022 (mál nr. 2021040879). Í fyrri ákvörðuninni var komist að þeirri niðurstöðu að Reykjavíkurborg hefði brotið gegn fjölmörgum ákvæðum persónuverndarlöggjafarinnar, m.a. var ekki sýnt fram á að heimild væri fyrir vinnslu persónuupplýsinga barna í Seesaw-nemendakerfinu, auk þess sem ekki var gætt að meginreglunum um gagnsæja og sanngjarna vinnslu og lágmörkun gagna. Þá voru persónuupplýsingar nemenda fluttar til Bandaríkjanna og unnar án þess að sýnt væri fram á að fullnægjandi verndarráðstafanir væru fyrir hendi. Var því lagt fyrir Reykjavíkurborg að loka reikningum nemenda í Seesaw og sjá til þess að öllum persónuupplýsingum þeirra yrði eytt úr kerfinu en þó ekki áður en tekin hefðu verið afrit af upplýsingunum til að afhenda börnunum eða, eftir atvikum, til varðveislu í skólunum. Í síðari ákvörðuninni var lögð á Reykjavíkurborg stjórnvaldssekt að fjárhæð 5.000.000 króna vegna brotanna.

3. Aðgangur að persónuupplýsingum í Innu er enn til rannsóknar.

4. Athugun á öryggi persónuupplýsinga hjá barnavernd Hafnarfjarðar leiddi í ljós að öryggisbrestur, sem fól í sér að trúnaðarupplýsingar voru sendar óviðkomandi, varð fyrir mannleg mistök. Barnavernd brást við öryggisbrestinum með því að skerpa á ströngum reglum og vinnulagi við sendingu persónuupplýsinga. Persónuvernd lauk athugun sinni með bréfi 29. október 2021, þar sem áréttuð voru ákvæði persónuverndarlöggjafarinnar um öryggi persónuupplýsinga og því beint til barnaverndarinnar að tilkynna hinum skráðu um öryggisbrestinn.

5. Athugun á flutningi leghálssýna frá Heilsugæslu höfuðborgarsvæðisins til Danmerkur lauk með áliti 24. febrúar 2022 (mál nr. 2021051130). Athugun Persónuverndar laut að öryggisáhættu sem gæti fylgt flutningi sýnanna en fram hafði komið að við skimanirnar væri notast við danskar gervikennitölur til auðkenningar sýnum. Með hliðsjón af skýringum heilsugæslunnar var það niðurstaða Persónuverndar að ekki væri sérstakt tilefni til að gera athugasemdir við þær ráðstafanir.

6. Athugun á flutningi hluta starfsemi sýkla- og veirufræðideildar Landspítala í húsnæði Íslenskrar erfðagreiningar lauk með ákvörðun 23. nóvember 2021 (mál nr. 2020112772). Niðurstaða Persónuverndar var að ekkert lægi fyrir um að öryggi persónuupplýsinga hefði verið ábótavant. Á hinn bóginn hefði mat á áhrifum á persónuvernd ekki verið fullnægjandi.

7. Athugun á aðkomu embættis landlæknis að skimun Íslenskrar erfðagreiningar fyrir SARS-CoV-2-veirunni og mótefni við henni á Íslandi og við landamæri lauk með ákvörðun 23. nóvember 2021 (mál nr. 2020061954). Niðurstaða athugunarinnar var að sóttvarnalæknir væri ábyrgðaraðili að umræddri vinnslu persónuupplýsinga og að farið hefði verið að ákvæðum persónuverndarlöggjafarinnar í meginatriðum. Þó hefði, á grundvelli hinnar almennu gagnsæiskröfu löggjafarinnar, þurft að veita almenningi betri upplýsingar um að skimun fyrir mótefnum hjá Íslenskri erfðagreiningu hefði eingöngu verið þáttur í sóttvörnum en ekki vísindarannsóknum fyrirtækisins auk þess sem vinnslusamningur milli sóttvarnalæknis og Landspítalans þótti ekki fullnægjandi og veitti Persónuvernd sóttvarnalækni fyrirmæli um að bæta þar úr.

8. Athugun á öflun samþykkis COVID-19-sjúklinga á Landspítala fyrir notkun blóðsýna þeirra í þágu vísindarannsóknarinnar Faraldsfræði SARS-CoV-2 veirunnar og áhrif erfða og undirliggjandi sjúkdóma á COVID-19 sjúkdóminn sem hún veldur lauk með ákvörðun 23. nóvember 2021 (mál nr. 2020061951). Athugun Persónuverndar leiddi í ljós að rannsóknarviðbót við fyrrgreinda rannsókn var samþykkt af Vísindasiðanefnd 7. apríl 2020, eftir að blóðsýni voru tekin í þágu viðbótarinnar, dagana 3.-7. sama mánaðar. Með vísan til laga um vísindarannsóknir á heilbrigðissviði taldi Persónuvernd ljóst að ekki væri heimilt að hefja vinnslu persónuupplýsinga í þágu vísindarannsóknar nema leyfi siðanefndar lægi fyrir, auk samþykkis hinna skráðu eftir því sem áskilið væri í lögum og leyfi siðanefndar og með hliðsjón af þeim skýringum sem voru veittar við rannsókn málsins var það niðurstaða Persónuverndar að vinnsla persónuupplýsinga hjá Landspítala og Íslenskri erfðagreiningu í aðdraganda þess að rannsóknarviðbótin var samþykkt, hefði ekki samrýmst persónuverndarlöggjöfinni.

9. Rannsókn á rafrænni vöktun á íþróttaleikvangi er nú lokið og verður tekin ákvörðun á grundvelli hennar á næstu vikum.

10. Birting ljósmynda af börnum á vef nýsköpunarfyrirtækis er enn til rannsóknar.

11. Rannsókn á vinnslu persónuupplýsinga barna í smáforriti og vefkerfi nýsköpunarfyrirtækis er nú lokið og verður tekin ákvörðun á grundvelli hennar á næstu vikum.

12. Athugun á vinnslu persónuupplýsinga barna í vefkerfi Sport-IO leiddi í ljós hvernig forritið var notað af íþróttaþjálfurum og stjórnendum og hvaða aðgang viðkomandi aðilar sem og foreldrar höfðu að persónuupplýsingum iðkenda og annarra foreldra. Á meðan rannsókn málsins stóð hætti fyrirtækið að þjónusta íþróttafélög. Með hliðsjón af þeim skýringum sem höfðu verið veittar og því að vefkerfið var hætt notkun taldi Persónuvernd ekki tilefni til að halda athuguninni áfram að svo stöddu og lokaði málinu í málaskrá sinni. Fyrirtækinu var tilkynnt um framangreint með bréfi 16. febrúar 2022.

13. Athugun á birtingu persónuupplýsinga í dómsúrlausnum á Netinu var felld niður með vísan til dóms Evrópudómstólsins frá 24. mars 2022 í máli nr. C-245/20 og málinu lokað í málaskrá Persónuverndar. Dómstólum landsins var tilkynnt um framangreint með bréfi 11. apríl 2022 þar sem fram kom að með hliðsjón af niðurstöðu Evrópudómstólsins liti Persónuvernd svo á að birting dómsúrlausna á Netinu félli utan eftirlitsvalds stofnunarinnar.

14. Athugun á birtingu persónuupplýsinga í tveimur dómum Héraðsdóms Reykjavíkur var lokað í málaskrá Persónuverndar í kjölfar þess að athugun á birtingu persónuupplýsinga í dómsúrlausnum á Netinu var felld niður 11. apríl 2022.

15. Athugun á stöðu persónuverndarfulltrúa Reykjavíkurborgar lauk með ákvörðun 17. febrúar 2022 (mál nr. 2020092287). Athugunin var hafin eftir að ákveðið var að sameina starfsemi persónuverndarfulltrúans og umboðsmanns borgarbúa og hún flutt undir stjórn og ábyrgð innri endurskoðanda borgarinnar. Í niðurstöðum Persónuverndar voru ekki gerðar athugasemdir við stöðu persónuverndarfulltrúans í skipulagi borgarinnar. Á hinn bóginn voru gerðar athugasemdir við að ekki hefði verið tryggt að hann kæmi með viðeigandi og tímanlegum hætti að öllum málum sem tengdust persónuvernd auk þess sem ekki þótti liggja skýrt fyrir að önnur verkefni og skyldustörf hans leiddu ekki til hagsmunaárekstra. Ákvörðuninni fylgdu leiðbeiningar um úrbætur.

16. Athugun á birtingu svonefnds válista á vefsíðu Skattsins lauk með áliti 9. mars 2022 (mál nr. 2021061262). Í álitnu er fjallað um birtingu Skattsins á lista yfir þá sem sætt höfðu áætlun virðisaukaskatts, svonefnds válista, og komist að þeirri niðurstöðu að hún samrýmdist ekki grunnkröfum persónuverndarlöggjafarinnar um sanngirni, skýrt tilgreindan og lögmætan tilgang og meðalhóf við vinnslu persónuupplýsinga. Var sú niðurstaða m.a. byggð á því að áætlun virðisaukaskatts gæti haft í för með sér að viðkomandi yrðu teknir af virðisaukaskattsskrá þannig að þeir sem átt hefðu viðskipti við þá gætu ekki sótt um endurgreiðslu virðisaukaskatts vegna viðskiptanna en fyrir lægi að afskráning samfara brottfalli endurgreiðsluréttar gæti helgast af öðrum ástæðum en áætlun skatts.

17. Rannsókn á fræðslu lánshæfismatsfyrirtækis vegna vinnslu fjárhagsupplýsinga er lokið og verður tekin ákvörðun á grundvelli hennar á næstu vikum.

18. Athugun á áhrifum uppflettinga í vanskilaskrá lánshæfismatsfyrirtækis á niðurstöður skýrslna um lánshæfi var felld niður með vísan til úrskurðar Persónuverndar 28. janúar 2021 (mál nr. 2020010634).

19. Athugun á meðferð netfangalista hjá veitingafyrirtækinu Dagný & co leiddi í ljós að sú notkun netfangalista fyrirtækisins sem var til skoðunar fól í sér öryggisbrest. Við rannsókn málsins kom fram að fyrirtækið hefði í kjölfarið farið yfir aðgangsstýringar í kerfum sínum. Með hliðsjón af þeim skýringum sem höfðu verið veittar taldi Persónuvernd ekki tilefni til að halda athuguninni áfram og lokaði málinu í málaskrá sinni. Fyrirtækinu var tilkynnt um framangreint með bréfi 6. janúar 2022. Persónuvernd beindi því um leið til fyrirtækisins að gæta að ákvæðum persónuverndarlöggjafarinnar um viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir.

20. Úttekt Persónuverndar á stöðu persónuverndarfulltrúa Landspítala lauk með ákvörðun 29. júní 2022 (mál nr. 2020061952). Niðurstaða úttektarinnar var að ekki hefði verið tryggt að persónuverndarfulltrúinn kæmi með viðeigandi og tímanlegum hætti að öllum málum sem tengdust persónuvernd en ekki voru gerðar athugasemdir við þau úrræði sem honum hefðu verið látin í té til að inna verkefni sín af hendi eða að hann heyrði undir lögfræðideild spítalans, að því gefnu að gætt væri að því að hann fengi ekki fyrirmæli um framkvæmd verkefna sinna og hefði aðgang að æðsta stjórnunarstigi spítalans.

21. Úttekt Persónuverndar á stöðu persónuverndarfulltrúa Íslenskrar erfðagreiningar ehf. lauk með ákvörðun 29. júní 2022 (mál nr. 2020061979). Niðurstaða úttektarinnar var að ekki voru gerðar athugasemdir við aðkomu persónuverndarfulltrúa að málum sem tengjast persónuvernd eða þau úrræði sem þeim hefði verið látin í té til að inna verkefni sín af hendi. Á hinn bóginn var það niðurstaða Persónuverndar að Íslensk erfðagreining hefði ekki tryggt að önnur verkefni og skyldustörf persónuverndarfulltrúanna gæti ekki leitt til hagsmunaárekstra og voru veittar leiðbeiningar um úrbætur þar að lútandi.

22. Úttekt Persónuverndar á vinnslu persónuupplýsinga í smáforriti Lyfju hf. hófst á grundvelli ábendingar í október 2020 um öryggisbrest í forritinu. Umrætt forrit veitir notendum þess aðgang að lyfjaávísunum sínum, býður upp á leið til að sækja umboð og veitir upplýsingar um stöðu í greiðsluþátttökukerfi Sjúkratrygginga Íslands auk þess sem unnt er að leita þar ráðgjafar sérfræðinga í netspjalli. Rannsókn málsins leiddi í ljós að um hefði verið að ræða villu í forritinu sem leiddi til þess að persónuupplýsingar tíu einstaklinga birtust óviðkomandi aðilum. Meðal þessara tíu einstaklinga voru fimm tengdir Lyfju eða þróun forritsins. Lyfja brást við með því að stöðva notkun forritsins um leið og villunnar varð vart auk þess sem óháður aðili tók smáforritið út og gekk úr skugga um að öryggi persónuupplýsinga í forritinu væri tryggt áður en notkun þess hófst á ný. Þá upplýsti Lyfja hina skráðu um atvikið sama dag og fyrirtækið fékk upplýsingar um öryggisbrestinn. Annar öryggisbrestur varð í smáforritinu í desember 2020 sem fól í sér að einstaklingar yngri en 18 ára gátu séð lyfjaávísanir systkina sinna yngri en 16 ára. Lyfja brást við með því að stöðva notkun forritsins sama dag. Breytingar voru gerðar á virkni forritsins og það sett aftur upp að nýju auk þess sem óháður úttektaraðili staðfesti degi síðar að girt hefði verið fyrir sams konar öryggisbresti. Með vísan til þeirra skýringa og gagna sem Persónuvernd bárust við rannsókn málsins og þess að ekki bárust frekari tilkynningar um öryggisbresti í forritinu, ábendingar eða kvartanir, utan einnar kvörtunar vegna öryggisbrestsins frá október 2020, taldi stofnunin ekki tilefni til frekari úttektar að svo stöddu og lokaði málinu með bréfi til Lyfju 13. maí 2022.

23. Úttekt Persónuverndar á vinnslu persónuupplýsinga hjá Sjúkratryggingum Íslands hófst upphaflega 11. janúar 2019. Úttektin er sú víðtækasta sem gerð hefur verið af hálfu stofnunarinnar og fól í sér öflun gagna, upplýsingamiðlun á fundum og vettvangsathugun á starfsstöð Sjúkratrygginga þar sem framkvæmdar voru ýmsar prófanir og tekin viðtöl við starfsfólk. Þar að auki fékk Persónuvernd tvo sjálfstætt starfandi sérfræðinga til að fara í vettvangsathugun með starfsmönnum stofnunarinnar og fara yfir gögn málsins. Enn er verið að vinna í niðurstöðum úttektarinnar.

Birting þessi er liður í að auka gagnsæi í daglegum störfum Persónuverndar sem eftirlitsaðila. Stjórnvöld skulu veita almenningi með reglubundnum hætti upplýsingar um starfsemi sína, svo sem með rafrænni útgáfu skýrslna, samantektum um mikilvæg verkefni eða útgáfu annarra gagna, og vinna markvisst að því að gera skrá yfir mál, lista yfir málsgögn og gögnin sjálf aðgengileg með rafrænum hætti, sbr. 13. gr. upplýsingalaga nr. 140/2012.