Persónuvernd sektar InfoMentor ehf. vegna öryggisbrests
Persónuvernd hefur lagt stjórnvaldssekt, að fjárhæð kr. 3.500.000, á InfoMentor ehf. vegna öryggisbrests sem átti sér stað í vefkerfinu Mentor í febrúar 2019. Vegna veikleika í kerfinu gátu tveir aðilar, einn á Íslandi og annar í Svíþjóð, nálgast kennitölur og myndir (e. avatars) samtals 424 barna án þess að hafa til þess heimild. Veikleikinn fólst í því að sex stafa kerfisnúmer nemenda voru sýnileg í vefslóð tiltekinnar síðu í Mentor-kerfinu og unnt hefði verið að nálgast þær persónuupplýsingar sem þar var að finna með því einu að breyta tölum í viðkomandi vefslóð.
InfoMentor ehf. gekkst við því að mannleg mistök hefðu orðið til þess að lagfæringu veikleikans hefði ekki verið lokið að fullu, þrátt fyrir að fyrirmæli hefðu verið gefin þar um. Þannig hafði lausn þegar verið þróuð, en ekki innleidd í kerfið fyrr en eftir að fyrirtækinu varð kunnugt um öryggisbrestinn. Taldi Persónuvernd að koma hefði mátt í veg fyrir öryggisbrestinn með fullnægjandi eftirfylgni og prófunum öryggisráðstafana. Var niðurstaða Persónuverndar sú að InfoMentor ehf. hefði ekki tryggt öryggi persónuupplýsinga innan Mentor-kerfisins með þeim hætti sem áskilið er í b- og d-lið 1. mgr. 32. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 27. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. einnig 6. tölul. 1. mgr. 8. gr. laganna og f-lið 1. mgr. 5. gr. reglugerðarinnar.
Þá taldi Persónuvernd InfoMentor ehf. ekki hafa tryggt fullnægjandi öryggi persónuupplýsinga þeirra skráðu einstaklinga sem urðu fyrir áhrifum öryggisbrestsins þegar fyrirtækið sendi kennitölur hlutaðeigandi einstaklinga í nokkrum tilvikum til rangra skóla og persónuverndarfulltrúa. Samrýmdist vinnsla InfoMentors ehf. á persónuupplýsingum viðkomandi einstaklinga að þessu leyti því ekki 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. reglugerðarinnar.
Við ákvörðun stjórnvaldssektarinnar var einkum horft til fjölda þeirra skráðu einstaklinga sem öryggisbresturinn hafði áhrif á og sem hefðu getað orðið fyrir áhrifum hans með tilliti til fjölda notenda Mentor-kerfisins. Einnig hafði mikla þýðingu að um var að ræða persónuupplýsingar barna sem njóta sérstakrar verndar laga nr. 90/2018 og reglugerðarinnar. Þá taldi Persónuvernd þurfa að gera enn ríkari kröfur en ella til InfoMentors ehf. sem vinnsluaðila í ljósi þess að meginstarfsemi fyrirtækisins felst í þróun og rekstri vefkerfis sem er sérstaklega ætlað fyrir vinnslu persónuupplýsinga um börn. Á hinn bóginn benti ekkert til þess að skráðir einstaklingar hefðu orðið fyrir tjóni vegna öryggisbrestsins, auk þess sem InfoMentor ehf. lagði fram gögn sem sýndu fram á ýmsar ráðstafanir sem fyrirtækið hafði gripið til með það að markmiði að tryggja öryggi persónuupplýsinga í Mentor-kerfinu. Þótti stjórnvaldssektin því hæfilega ákveðin kr. 3.500.000.
Í ljósi þess að öryggisbresturinn hafði áhrif á skráðan einstakling í Svíþjóð gerði Persónuvernd persónuverndarstofnunum innan Evrópska efnahagssvæðisins viðvart um málið. Telst Persónuvernd forystueftirlitsyfirvald í skilningi formálsorða reglugerðar (ESB) 2016/679 og sænska persónuverndarstofnunin, Integritetsskyddsmyndigheten (áður Datainspektionen) hlutaðeigandi eftirlitsyfirvald. Í samræmi við 3. mgr. 60. gr. reglugerðarinnar sendi Persónuvernd sænsku persónuverndarstofnuninni drög að ákvörðuninni. Engar athugasemdir bárust og telst ákvörðunin því einnig bindandi fyrir Integritetsskyddsmyndigheten, sbr. 6. mgr. 60. gr. reglugerðarinnar. Þess má geta að hér er um að ræða fyrstu ákvörðun Persónuverndar eftir gildistöku reglugerðarinnar og laga nr. 90/2018 sem varðar vinnslu persónuupplýsinga yfir landamæri.
Ákvörðun Persónuverndar má nálgast hér.