Sektir vegna ferðagjafar stjórnvalda
Persónuvernd hefur lagt stjórnvaldssektir, annars vegar að fjárhæð 7.500.000 kr., á atvinnuvega- og nýsköpunarráðuneytið og hins vegar að fjárhæð 4.000.000 kr. á fyrirtækið YAY ehf., vegna vinnslu persónuupplýsinga í tengslum við ferðagjöf stjórnvalda. Nánar tiltekið voru sektirnar lagðar á vegna brota gegn grundvallarreglum persónuverndarlöggjafarinnar, til dæmis um fræðsluskyldu, gagnsæi og öryggi persónuupplýsinga í smáforritinu Ferðagjöf.
Upphaf málsins má rekja til útgáfu ferðagjafar stjórnvalda sem hvetja átti landsmenn til ferðalaga innanlands sumarið 2020. Um er að ræða stafræn gjafabréf sem miðlað var til einstaklinga með smáforriti fyrirtækisins YAY ehf. Persónuvernd barst fjöldi ábendinga um að við notkun ferðagjafarinnar væri krafist umfangsmikilla persónuupplýsinga og víðtæks aðgangs að símtækjum notenda og var því frumkvæðisrannsókn sett af stað.
Niðurstaða Persónuverndar var sú að atvinnuvega- og nýsköpunarráðuneytið, sem ábyrgðaraðili vinnslunnar, braut gegn mörgum grundvallarreglum persónuverndarlöggjafarinnar auk þess sem vinnslan var umfangsmikil. Má þar nefna að heimild skorti til vinnslu persónuupplýsinga, m.a. samkvæmt lögum, og að þær kröfur sem gerðar eru til samþykkis fyrir vinnslu voru ekki uppfylltar. Þá var sanngirni og gagnsæis ekki gætt við vinnsluna, þar sem notendum var einungis gert að samþykkja almenna notendaskilmála fyrirtækisins YAY, í stað þess að samþykkja sérstaklega vinnslu persónuupplýsinga við skráningu í forritið. Fræðsla var jafnframt ófullnægjandi um þá vinnslu persónuupplýsinga sem fór fram í reynd. Loks gerðu hvorki atvinnuvega- og nýsköpunarráðuneytið né YAY ehf. viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi við vinnslu persónuupplýsinga, svo sem með aðlögun og mótun stillinga smáforritsins, auk þess sem ekki var gerður vinnslusamningur milli aðila svo sem lög kveða á um, en gerð slíks samnings telst til mikilvægra skipulagslegra ráðstafana vegna vinnslu persónuupplýsinga.
Þrátt fyrir ábendingar Persónuverndar um ófullnægjandi fræðslu var seint gripið til úrbóta og allt þar til verkefninu lauk var notendum gert að samþykkja ranga notendaskilmála við innskráningu í smáforritið.
Þá var, fyrir mistök YAY ehf., aflað víðtækra og ónauðsynlegra aðgangsheimilda í símtækjum notenda smáforritsins, meðal annars að viðkvæmum persónuupplýsingum, svo sem trúnaðarupplýsingum í dagatali. Hins vegar kom í ljós við rannsókn málsins að persónuupplýsingar notenda hefðu ekki verið sóttar á grundvelli fyrrgreindra aðgangsheimilda.
Fyrirtækið viðurkenndi að vinnslan hefði farið fram fyrir mistök og verið ónauðsynleg. Auk þess komst Persónuvernd að þeirri niðurstöðu að fyrirtækið hefði ekki uppfyllt kröfur persónuverndarlaga um innbyggða og sjálfgefna persónuvernd við uppsetningu smáforritsins. Þá lágu ekki fyrir gögn sem sýndu að gerðar hefðu verið úttektir eða prófanir til að meta skilvirkni og stillingar forritsins, meðal annars með tilliti til þess hvaða persónuupplýsinga væri í reynd óskað við innskráningu í smáforritið og þeirra aðgangsheimilda sem aflað væri sjálfkrafa. Var háttsemi YAY ehf. því ekki talin samræmast persónuverndarlöggjöfinni hvað þessi atriði varðaði.