Ákvörðun vegna öryggisbrests hjá InfoMentor ehf. - sektarákvörðun
Mál nr. 2020010355
Ákvörðun
Hinn 29. apríl 2021 kvað Persónuvernd upp svohljóðandi ákvörðun í máli nr. 2020010355 (áður 2019020361):
I.
Málsmeðferð
1.
Upphaf máls
Hinn 15. febrúar 2019 tilkynnti InfoMentor ehf. Persónuvernd símleiðis um öryggisbrest sem orðið hafði innan vefkerfisins Mentor. Kerfið er ætlað skólum og öðrum aðilum sem starfa með börnum, þ. á m. leik- og grunnskólum, en meginstarfsemi InfoMentors ehf. felst í þróun og rekstri kerfisins. Meðal þeirra möguleika sem kerfið býður upp á eru samskipti og upplýsingamiðlun milli skóla og foreldra.
Í símtalinu upplýsti InfoMentor ehf. um samskipti fyrirtækisins við netöryggisfyrirtækið Syndis hinn 14. febrúar 2019. Þann dag hafði Syndis fengið tilkynningu þess efnis að vegna veikleika í Mentor-kerfinu hefði óviðkomandi aðili getað sótt upplýsingar um kennitölur og myndir (e. avatars) fjölda barna gegnum kerfið. Syndis tilkynnti InfoMentor ehf. um veikleikann í kjölfarið. Umfang öryggisbrestsins var ekki að fullu ljóst í upphafi, en nánar verður fjallað um það hér að neðan.
Af hálfu InfoMentors ehf. hefur komið fram að þegar fyrirtækinu hafi orðið kunnugt um öryggisbrestinn kl. 16:55 fimmtudaginn 14. febrúar 2019 hafi aðgerðaráætlun verið virkjuð. Að lokinni frekari greiningu, milli kl. 16:45 og 16:55 föstudaginn 15. febrúar s.á., hafi InfoMentor ehf. sent tilkynningar til skólastjóra allra skóla á Íslandi þess efnis að öryggisbrestur hefði orðið. Síðla sama dags, milli kl. 17:41 og 19:33, hafi InfoMentor ehf. sent tilkynningar til skóla þeirra nemenda sem öryggisbresturinn náði til og kennitölur viðkomandi nemenda tilgreindar. Þá hafi InfoMentor ehf. sent ítarlegri tilkynningu til umræddra skóla mánudaginn 18. febrúar 2019.
Á tímabilinu 16. febrúar til 4. mars 2019 bárust Persónuvernd samtals 84 tilkynningar um öryggisbrest, frá 75 grunnskólum og 9 leikskólum. Ekki verður fjallað nánar um þessar tilkynningar eða önnur atriði er varða umrædda grunn- og leikskóla í ákvörðun þessari.
Meðferð máls þessa hefur dregist vegna umfangs þess, málsmeðferðar vegna vinnslu persónuupplýsinga yfir landamæri og vegna anna hjá Persónuvernd.
2.
Yfirlit samskipta vegna málsins
Í kjölfar símtala starfsmanna Persónuverndar og InfoMentors ehf. dagana 15. og 20. febrúar 2019 óskaði stofnunin eftir nánari upplýsingum frá fyrirtækinu með bréfum, dags. 25. febrúar, 27. mars og 10. maí s.á. Svör InfoMentors ehf. bárust með bréfum, dags. 3. mars, 4. apríl og 4. júní 2019.
Að lokinni greiningu öryggisbrestsins á grundvelli fyrirliggjandi gagna óskaði Persónuvernd frekari upplýsinga frá InfoMentor ehf. með tölvupóstum 13. janúar og 10. febrúar 2020 og bréfi, dags. 23. mars, ítrekuðu 24. apríl s.á. Svör InfoMentors ehf. bárust með tölvupóstum 7. og 11. febrúar 2020 og með bréfi, dags. 1. júní s.á.
Með bréfi, dags. 20. nóvember 2020, tilkynnti Persónuvernd InfoMentor ehf. um að stofnunin teldi tilefni kunna að vera til beitingar 46. gr. laga n. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, þar sem Persónuvernd er veitt heimild til álagningar stjórnvaldssekta í samræmi við 83. gr. reglugerðar (ESB) 2016/679. Byggðist sú afstaða Persónuverndar á því að gögn málsins bentu til þess að InfoMentor ehf. hefði ekki tryggt öryggi persónuupplýsinga með fullnægjandi tæknilegum og skipulagslegum ráðstöfunum. Var InfoMentor ehf. veitt færi á að koma á framfæri athugasemdum vegna þessa, sem og vegna málsins í heild sinni. Svar InfoMentors ehf. barst með bréfi, dags. 11. desember 2020.
Sjónarmið og skýringar InfoMentors ehf, eins og þær birtast í framangreinum gögnum, verða reifuð eins og tilefni þykir til í viðeigandi undirköflum ákvörðunarinnar. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum hér að neðan.
3.
Málsmeðferð vegna vinnslu persónuupplýsinga yfir landamæri
Líkt og fram kom í bréfi InfoMentors ehf., dags. 3. mars 2019, hafði öryggisbresturinn áhrif á eitt barn í Svíþjóð auk þeirra sem búsett eru á Íslandi og sem urðu fyrir áhrifum hans. Af því tilefni gerði Persónuvernd persónuverndarstofnunum innan Evrópska efnahagssvæðisins (EES) viðvart um málið með tilkynningu 12. ágúst 2019 gegnum sameiginlegt upplýsingakerfi innri markaðar svæðisins (e. Internal Market Information System, IMI). Í tilkynningunni kom fram að Persónuvernd teldi sig vera forystueftirlitsyfirvald í málinu eins og hugtakið er skilgreint í 124. lið formálsorða reglugerðarinnar. Jafnframt kom fram að Persónuvernd teldi sænsku persónuverndarstofnunina, Integritetsskyddsmyndigheten (áður Datainspektionen), vera hlutaðeigandi eftirlitsyfirvald í skilningi 22. liðar 1. mgr. 4. gr. reglugerðarinnar. Frestur til að bregðast við var veittur til 13. nóvember 2019. Innan þess frests barst svar sænsku persónuverndarstofnunarinnar um að hún teldi sig vera hlutaðeigandi eftirlitsyfirvald í málinu.
Þann 12. mars 2021 sendi Persónuvernd drög að ákvörðun þessari til sænsku persónuverndarstofnunarinnar gegnum fyrrnefnt upplýsingakerfi í samræmi við 3. mgr. 60. gr. reglugerðarinnar, en áður höfðu drögin fengið umfjöllun á fundum stjórnar Persónuverndar 28. janúar og 10. mars s.á. Engar athugasemdir bárust innan þess fjögurra vikna frests sem kveðið er á um í 4. mgr. 60. gr. reglugerðarinnar.
II.
Eðli og umfang öryggisbrestsins
1.
Eðli öryggisbrestsins
Fram kemur í bréfi InfoMentors ehf., dags. 3. mars 2019, að í slóð (e. URL) tiltekinnar síðu í Mentor-kerfinu hafi kerfisnúmer nemenda verið sýnilegt. Um sé að ræða sex stafa tölu sem kerfið úthluti en ekki kennitölu nemenda. Með því að sníða skriftu (e. script) til að senda þúsundir fyrirspurna á kerfið með handahófskenndum sex tölustafa númerum hefði aðili, sem ekki hefði haft til þess heimild, sótt upplýsingar um kennitölur og myndir 423 nemenda í íslenskum leik- og grunnskólum. Viðkomandi hafi þurft að vera notandi á Íslandi og vera innskráður í kerfið til að senda umræddar fyrirspurnir. Er þetta atriði áréttað í bréfi InfoMentors ehf., dags. 11. desember 2020. Bréfinu fylgdu ýmis skjöl, þ. á m. yfirlýsing tæknistjóra fyrirtækisins á árunum 2017-2019 þar sem staðfest er að nægilegt hefði verið að breyta vefslóð hlutaeigandi síðu innan Mentor-kerfisins til að nálgast þaðan upplýsingar og nýta þannig veikleika í kerfinu.
Í fyrstnefndu bréfi kemur einnig fram að greining InfoMentors ehf. á aðgerðaskrám hafi leitt í ljós að fyrirspurnirnar hafi verið sendar á kerfið frá aðgangi foreldris grunnskólabarns á höfuðborgarsvæðinu að Mentor-kerfinu. Viðkomandi foreldri hafi staðfest skriflega að tilgangur athæfisins hefði verið að sýna fram á veikleika í kerfinu. Að beiðni viðkomandi hefði notandi kerfisins í Svíþjóð einnig framkvæmt sömu aðgerð og þannig nálgast mynd og kennitölu eins barns þar í landi. Samkvæmt yfirlýsingu foreldrisins hefðu engin gögn utan mynda af hlutaðeigandi börnum verið skoðuð. Þá hefði viðkomandi eytt þeim myndum sem hlaðið hefði verið niður. Foreldrið hafi tilkynnt netöryggisfyrirtækinu Syndis um athæfið, sem hafi upplýst InfoMentor ehf. um það líkt og að framan greinir. Tilkynningunni hafi fylgt tæknileg greining og upplýsingar um kennitölur umræddra barna en engar aðrar persónuupplýsingar.
Í bréfinu kemur fram að lagfæringu veikleikans hafi verið lokið að kvöldi föstudagsins 15. febrúar s.á., eða um sólarhring eftir að fyrirtækið varð hans vart. Prófanir hafi farið fram þá helgi og ný útgáfa vefkerfisins gefin út að morgni mánudagsins 18. febrúar 2019. Jafnframt segir að greining InfoMentors ehf. á öllum gögnum sé í samræmi við áðurnefnda yfirlýsingu foreldrisins sem benti á veikleikann og að fyrirtækið taki lýsingu viðkomandi á tilgangi athæfisins trúanlega.
Í bréfi InfoMentors ehf., dags. 11. desember 2020, er áréttað að nauðsynlegt hafi verið að vera innskráður notandi í Mentor-kerfinu til að nálgast þær upplýsingar sem urðu aðgengilegar óviðkomandi vegna öryggisbrestsins. Leggur fyrirtækið áherslu á að jafnt innri sem ytri prófanir kerfisins hafi leitt í ljós að utanaðkomandi aðili, sem ekki hefði verið innskráður notandi kerfisins, hefði ekki getað nýtt sér umræddan veikleika til að nálgast upplýsingarnar. Jafnframt segir að lausn á veikleikanum hefði þegar verið þróuð þegar öryggisbresturinn átti sér stað en vegna mannlegra mistaka hefði hún ekki verið virkjuð í kerfinu. Af því leiði að unnt hafi verið að bregðast jafnskjótt við öryggisbrestinum og raun bar vitni. Nánar verður fjallað um viðbrögð InfoMentors ehf. við öryggisbrestinum og þær öryggisráðstafanir sem fyrirtækið hefur gripið til hér að neðan.
2.
Umfang öryggisbrestsins
Líkt og fram kemur hér að framan og í bréfi InfoMentors ehf., dags. 3. mars 2019, náði öryggisbresturinn til 423 barna á Íslandi. Í bréfinu segir að upphaflega hafi fyrirtækið talið að um nemendur 96 skóla væri að ræða og að nöfn nemendanna, kennitölur þeirra og myndir hafi orðið aðgengilegar. Við nánari yfirferð hafi hins vegar komið í ljós að skólarnir væru 90 talsins og að aðrar upplýsingar en kennitölur og myndir hefðu ekki orðið aðgengilegar. Þá hafi öryggisbresturinn náð til eins barns í Svíþjóð. Eru þessar upplýsingar einnig áréttaðar í bréfi InfoMentors ehf. til Persónuverndar, dags. 1. júní 2020.
Þann 20. febrúar 2019 barst Persónuvernd tölvupóstur frá foreldri grunnskólabarns í Reykjavík þess efnis að mynd barnsins innihéldi hrágögn (e. metadata) þar sem hafi mátt sjá persónuupplýsingar barnsins og foreldra þess, þ. á m. full nöfn þeirra og kennitölur. Persónuvernd óskaði frekari upplýsinga frá viðkomandi foreldri og bárust þær með tölvupóstum 9. og 10. apríl 2019, 29. maí og 3. júní s.á. Var InfoMentor ehf. boðið að tjá sig um framangreint atriði í því skyni að staðreyna raunverulegt umfang öryggisbrestsins. Í bréfi fyrirtækisins til Persónuverndar, dags. 4. júní 2019, kemur fram að öryggisbresturinn hafi ekki náð barns viðkomandi foreldris. InfoMentor ehf. hafi kannað fleiri myndir í kerfinu en þær sem hlaðið hefði verið niður og sannreynt að slíkar upplýsingar fylgdu einhverjum þeirra. Hins vegar hafi hrágögn með persónuupplýsingum barna og foreldra ekki verið að finna á myndum þeirra nemenda sem öryggisbresturinn náði til. Áréttaði InfoMentor ehf. þetta atriði í bréfum fyrirtækisins til Persónuverndar, dags. 1. júní og 11. desember 2020.
3.
Mistök við tilkynningar InfoMentors ehf. til leik- og grunnskóla
Auk upphaflegs öryggisbrests liggur fyrir að mistök urðu í ákveðnum tilvikum við tilkynningar InfoMentors ehf. til hlutaðeigandi leik- og grunnskóla. Þannig kemur fram í bréfi fyrirtækisins til Persónuverndar, dags. 3. mars 2019, að láðst hafi að tilkynna skólum tveggja nemenda um öryggisbrestinn þar til 1. mars s.á., eða rúmum tveimur vikum eftir að hann átti sér stað. Jafnframt hafi kennitölur í nokkrum tilvikum verið sendar á ranga skóla. Þar hafi í flestum tilvikum verið um að ræða nemendur sem hafi verið hættir í umræddum skólum. Þá hafi kennitala nemanda í Háaleitisskóla í Reykjavík verið send Háaleitsskóla í Reykjanesbæ. Ástæðu síðastgreindra mistaka hafi mátt rekja til þess að skólarnir hafi ekki verið nægilega aðgreindir í kerfinu þrátt fyrir að bera sama heiti. InfoMentor ehf. hafi upplýst þá aðila sem hafi fengið sendar persónuupplýsingar fyrir mistök um það, en ekki hafi verið tilkynnt um öryggisbrest til Persónuverndar vegna þessara atvika.
Í fyrrnefndu bréfi InfoMentors ehf. kemur einnig fram að fyrir mistök hafi persónuverndarfulltrúa Reykjavíkurborgar verið sendar kennitölur fjögurra nemenda Flataskóla í Garðabæ sem öryggisbresturinn náði til, en þær hafi réttilega átt að berast persónuverndarfulltrúa Garðabæjar. Atvikið hafi ekki verið tilkynnt til Persónuverndar sem öryggisbrestur en viðkomandi persónuverndarfulltrúar upplýstir um það.
Í bréfi InfoMentors ehf., dags. 11. desember 2020, segir að mannleg mistök hafi orðið til þess að fyrirtækið hafi ekki tilkynnt formlega um öryggisbresti vegna fyrrnefndra atvika. Hins vegar hafi hlutaðeigandi skólum og persónuverndarfulltrúum verið gert viðvart um þau líkt og að framan greinir.
4.
Öryggisráðstafanir og viðbrögð InfoMentors ehf. við öryggisbrestinum
Með bréfi, dags. 23. mars 2020, óskaði Persónuvernd eftir skriflegum upplýsingum og gögnum um það hvernig InfoMentor ehf. hefði gætt að þeim kröfum sem fram koma í 32. gr. reglugerðar (ESB) 2016/679 um öryggi persónuupplýsinga. Bárust umbeðnar upplýsingar með bréfi InfoMentors ehf., dags. 1. júní 2020, en bréfinu fylgdu áhættumöt sem framkvæmd voru 2018 og 2019, minnisblað, dags. 29. mars 2019, þar sem staðfest er úttekt KPMG á upplýsingaöryggi meginþátta Mentor-kerfisins fyrir sömu ár auk upplýsinga um innbrotsprófanir (e. penetration test) sem fyrirtækið Bulletproof framkvæmdi í apríl 2019. Í bréfinu segir að brugðist hafi verið við ábendingum Bulletproof og viðeigandi lagfæringar framkvæmdar. Þá segir einnig að síðla árs 2018 hafi ýmsar skipulagsbreytingar verið gerðar hjá InfoMentor ehf. með það að markmiði að auka öryggi og skilvirkni ráðstafana. Þannig hafi verið gerðar breytingar á því starfsliði og stjórnendum sem sjái um tækni og öryggismál. Í bréfi fyrirtækisins, dags. 11. desember 2020, segir enn fremur að verkferlar hafi verið endurskipulagðir og strangari verklagsreglur við prófanir innleiddar til að draga úr líkum á mannlegum mistökum. Jafnframt hafi persónuverndarfulltrúi verið starfandi hjá fyrirtækinu frá árinu 2017.
Í bréfi InfoMentors ehf., dags. 11. desember 2020, er aðgerðum fyrirtækisins frá árinu 2017 með það að markmiði að auka öryggi Mentor-kerfisins lýst nánar auk þess sem frekari gögn voru lögð fram, þ. á m. listi 370 tæknilegra verkþátta. Í bréfinu segir að haustið 2017 hafi fyrirtækið komið á fót sérstökum vinnuhópi sem skyldi fara skipulega yfir Mentor-kerfið með það að markmiði að tryggja öryggi persónuupplýsinga innan þess og fylgni við kröfur um fullnægjandi tæknilegar og skipulagslegar ráðstafanir fyrir gildistöku reglugerðar (ESB) 2016/679. Vinnuhópurinn hafi farið yfir allar skráningar og virkni innan Mentor-kerfisins með skipulegum hætti og sú vinna hafi leitt til ýmissa lagfæringa. Líkt og að framan greinir staðfesti þáverandi tæknistjóri InfoMentors ehf. þessar upplýsingar í skriflegri yfirlýsingu sem fylgdi bréfinu.
Fram kemur í bréfinu að InfoMentor ehf. hafði vitneskju um veikleikann sem olli öryggisbrestinum og að fyrirmæli hefðu verið gefin um lagfæringar. Lausn hefði verið þróuð en fyrir mistök hefði skráning borið með sér að lagfæringunni hefði verið lokið, þrátt fyrir að hún hefði ekki verið innleidd í Mentor-kerfið. Er þetta staðfest í yfirlýsingu þáverandi tæknistjóra fyrirtækisins sem og í fyrrnefndum lista tæknilegra verkþátta. Tekið er fram í bréfinu að lagfæring veikleikans hafi tekið jafnstuttan tíma og raun bar vitni vegna þess að lausn við honum hefði þegar verið þróuð.
Á grundvelli þeirra upplýsinga og gagna sem InfoMentor ehf. hefur lagt fram er það mat Persónuverndar að fullnægjandi prófanir lausna sem þróaðar voru til að auka öryggi persónuupplýsinga innan Mentor-kerfisins, svo sem lausnar við veikleikanum sem olli öryggisbrestinum 14. febrúar 2019, hefði getað komið í veg fyrir öryggisbrestinn. Framangreind gögn bera með sér að InfoMentor ehf. hafi ekki orðið kunnugt um mistök við innleiðingu lausnarinnar fyrr en eftir að öryggisbresturinn hafði átt sér stað.
III.
Ákvörðun Persónuverndar
1.
Gildissvið
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna og 1. mgr. 2. gr. reglugerðarinnar, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að öryggisbresti sem hafði það í för með sér að kennitölur og myndir 423 barna í íslenskum leik- og grunnskólum urðu aðgengilegar óviðkomandi aðila og að sömu upplýsingar eins barns í Svíþjóð urðu aðgengilegar óviðkomandi aðila þar í landi. Að framangreindu virtu og í ljósi þess að höfuðstöðvar InfoMentors ehf. eru á Íslandi varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Ábyrgðaraðili og vinnsluaðili
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Vinnsluaðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laganna og 8. tölul. 4. gr. reglugerðarinnar.
Persónuvernd hefur áður fjallað um samband InfoMentors ehf. við skóla og aðra notendur Mentor-kerfisins með tilliti til stöðu þeirra og framangreindra skilgreininga hugtakanna ábyrgðaraðili og vinnsluaðili. Í áliti Persónuverndar, dags. 22. september 2015 í máli nr. 2015/1203 komst stofnunin að þeirri niðurstöðu að sérhver skóli, sem notast við Mentor-kerfið teljist ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem fram fer á vegum viðkomandi skóla innan kerfisins. Sérhver skóli tekur sjálfstæða ákvörðun um hvort og þá hvaða persónuupplýsingar skuli skráðar í kerfið. InfoMentor ehf. leggur til vefkerfið Mentor og telst því vinnsluaðili að þeirri vinnslu persónuupplýsinga sem fram fer við notkun kerfisins í starfi skólans. Samrýmist þessi túlkun einnig leiðbeiningum Evrópska persónuverndarráðsins nr. 7/2020 um hugtökin ábyrgðaraðili og vinnsluaðili.[1]
Persónuvernd áréttar að ákvörðun þessi lýtur einungis að öryggisbresti innan Mentor-kerfsins þann 14. febrúar 2019, fylgni þeirra öryggisráðstafana sem InfoMentor ehf. hefur gripið til við ákvæði laga nr. 90/2018 og reglugerðarinnar sem og viðbrögð fyrirtækisins við öryggisbrestinum. Sem fyrr segir verður því ekki fjallað um tilkynningar einstakra leik- og grunnskóla um öryggisbrest til Persónuverndar í ákvörðun þessari.
3.
Öryggi persónuupplýsinga
3.1.
Kröfur laga nr. 90/2018 og reglugerðar (ESB) 2016/679
Samkvæmt 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679 skulu persónuupplýsingar unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt. Í því felst meðal annars, sbr. 2. mgr. 32. gr. reglugerðarinnar, að við mat á viðunandi öryggi skal einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar óviljandi eða ólögmæta vinnslu persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.
Nánar er fjallað um öryggi persónuupplýsinga í 2. þætti IV. kafla reglugerðarinar. Samkvæmt 1. mgr. 32. gr. reglugerðarinnar, sbr. 1. mgr. 27. gr. laga nr. 90/2018, skal vinnsluaðili með hliðsjón af nýjustu tækni, kostnaði við framkvæmd og eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi miðað við áhættuna eftir því sem við á, meðal annars geta tryggt viðvarandi trúnað, samfellu, tiltækileika og álagsþol vinnslukerfa og -þjónustu (b-liður) og taka upp ferli til að prófa og meta reglulega skilvirkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslunnar (d-liður).
3.2.
Niðurstaða um öryggi hlutaðeigandi persónuupplýsinga í vefkerfi Mentor
Fyrir liggur að veikleiki innan Mentor-kerfisins leiddi til þess að tveir óviðkomandi aðilar gátu nálgast persónuupplýsingar samtals 424 barna á Íslandi og í Svíþjóð 14. febrúar 2019. Líkt og að framan greinir leiddu mannleg mistök til öryggisbrestsins þar sem lausn á umræddum veikleika hafði þegar verið þróuð en ekki innleidd í Mentor-kerfið. Þá urðu ófullnægjandi eftirfylgni og prófanir öryggisráðstafana til þess að InfoMentor ehf. varð ekki kunnugt um mistökin fyrr en eftir að öryggisbresturinn 14. febrúar 2019 hafði átt sér stað. Að mati Persónuverndar tryggði InfoMentor ehf. því ekki öryggi persónuupplýsinga innan Mentor-kerfisins með þeim hætti sem áskilið er í ákvæðum b- og d-liðar 1. mgr. 32. gr. reglugerðarinnar, sbr. 1. mgr. 27. gr. laga nr. 90/2018, sbr. einnig 6. tölul. 1. mgr. 8. gr. sömu laga og f-lið 1. mgr. 5. gr. reglugerðarinnar.
Enn fremur tryggði InfoMentor ehf. ekki fullnægjandi öryggi persónuupplýsinga þeirra skráðu einstaklinga sem urðu fyrir áhrifum öryggisbrestsins þegar fyrirtækið sendi kennitölur til rangra skóla og persónuverndarfulltrúa. Samrýmdist vinnsla InfoMentors ehf. á persónuupplýsingum hlutaðeigandi einstaklinga að þessu leyti ekki 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og f-lið 1. mgr. 5. gr. reglugerðarinnar.
4.
Sjónarmið við ákvörðun um álagningu stjórnvaldssektar
Í ljósi niðurstöðu Persónuverndar um öryggi persónuupplýsinga innan Mentor-kerfisins og fjölda skráðra einstaklinga sem urðu fyrir áhrifum af öryggisbrestinum 14. febrúar 2019 kemur til skoðunar hvort beita skuli InfoMentor ehf. stjórnvaldssektum vegna þessa, sbr. 46. gr. laga nr. 90/2018, sbr. einnig 83. gr. reglugerðar (ESB) 2016/679.
Sem fyrr segir var InfoMentor ehf. veittur andmælaréttur um þetta atriði og kom fyrirtækið sínum sjónarmiðum á framfæri með bréfi, dags. 11. desember 2020. Í bréfinu óskar InfoMentor ehf. eftir að fá tækifæri til að tjá sig um fjárhæð væntanlegrar stjórnvaldssektar, komist Persónuvernd að þeirri niðurstöðu að beita skuli fyrirtækið stjórnvaldssektum. Í þessu samhengi skal áréttað að 46. gr. laga nr. 90/2018 tiltekur fjárhæðabil stjórnvaldssekta sem heimilt er að leggja á samkvæmt ákvæðinu, sem og hámarkshlutfall veltu fyrirtækis þegar við á. Þar af leiðandi og með hliðsjón af þeim andmælarétti sem InfoMentor ehf. hefur þegar verið veittur við rannsókn máls þessa telur Persónuvernd augljóslega óþarft að verða við beiðni um frekari andmælarétt, sbr. 13. gr. stjórnsýslulaga nr. 37/1993.
Við ákvörðun um hvort beita skuli stjórnvaldssekt og hver fjárhæð hennar skuli vera skal tekið tillit til þeirra þátta sem taldir eru upp í 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðar (ESB) 2016/679. Hér að neðan verður fjallað verður um hvern þessara þátta eftir því sem við á.
4.1.
Eðli, umfang og tímalengd brots
Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brot var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir.
Öryggisbresturinn 14. febrúar 2019 var afmarkað tilvik þar sem tveir innskráðir notendur Mentor-kerfisins áttu í hlut. Veikleikinn sem gerði viðkomandi aðilum kleift að nálgast persónuupplýsingar var lagfærður um sólarhring eftir að InfoMentor ehf. varð kunnugt um atvikið. Öryggisbresturinn náði til 424 skráðra einstaklinga en ekkert bendir til þess að þeir hafi orðið fyrir tjóni vegna hans. Þá hefur InfoMentor ehf. staðhæft að öllum persónuupplýsingum sem var hlaðið niður í tengslum við umrætt atvik hafi verið eytt. Á hinn bóginn skal ekki einungis litið til þeirra skráðu einstaklinga sem urðu fyrir raunverulegum áhrifum af öryggisbrestinum heldur einnig þeirra sem hefðu getað orðið fyrir áhrifum af honum. Fyrirliggjandi upplýsingar benda til þess að veikleikinn hefði getað haft áhrif á persónuupplýsingar allra notenda Mentor-kerfisins. Öryggisbresturinn hafði bein áhrif á nemendur 90 skóla á Íslandi og eins skóla í Svíþjóð. Jafnvel þó einungis hafi verið um fáa nemendur í hverjum þeirra að ræða urðu persónuupplýsingar 424 þeirra aðgengilegar óviðkomandi aðilum. Af því leiðir að þeir einstaklingar sem hefðu mögulega getað orðið fyrir áhrifum öryggisbrestisins eru mun fleiri en 424.
Sú staðreynd að einungis innskráðir notendur Mentor-kerfisins hefðu getað nýtt sér umræddan veikleika hefur einnig áhrif á alvarleika öryggisbrestisins. Í því samhengi skal þó bent á að notendur kerfisins á Íslandi skipta þúsundum. Engu að síður hefði það aukið á alvarleika öryggisbrestsins ef veikleikinn hefði gert hverjum sem er, óháð innskráningu, kleift að nálgast persónuupplýsingar notenda. Hins vegar er ljóst að ekki þurfti sérstaka tækniþekkingu til þess að nýta sér veikleikann, svo sem ráða má af lýsingu öryggisbrestsins hér að framan. Persónuvernd hafnar því fullyrðingum InfoMentors ehf. þar að lútandi sem fram koma í flestum bréfum fyrirtækisins. Þrátt fyrir að nokkra tækniþekkingu kunni að þurfa til að sníða skriftu (e. script) af því tagi sem hér um ræðir er ljóst að ekki var nauðsynlegt að nýta slíka tækni til að nálgast þær persónuupplýsingar sem aðgengilegar urðu vegna veikleikans, þar sem nægilegt hefði verið að breyta vefslóð hlutaðeigandi síðu.
4.2.
Huglæg afstaða
Samkvæmt 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvort brot hafi verið framið af ásetningi eða gáleysi.
Persónuvernd telur ljóst að enginn ásetningur hafi verið fyrir hendi af hálfu InfoMentors ehf. enda hefur fyrirtækið gengist við þeim mistökum sem leiddu til öryggisbrestsins. Verður hann því rakinn til gáleysis InfoMentors ehf.
4.3.
Aðgerðir til að draga úr tjóni skráðra einstaklinga
Samkvæmt 3. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þeirra aðgerða sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga.
Líkt og að framan greinir verður ekki séð að hinir skráðu hafi orðið fyrir tjóni af völdum öryggisbrestsins. Þá er ljóst að InfoMentor ehf. greip til aðgerða um leið og fyrirtækinu varð ljóst að öryggisbresturinn hafi átt sér stað. Hins vegar voru þær aðgerðir ekki fullnægjandi í ljósi þeirra mistaka sem urðu við sendingu tilkynninga til skóla og persónuverndarfulltrúa.
4.4.
Umfang ábyrgðar með hliðsjón af tæknilegum og skipulagslegum ráðstöfunum
Samkvæmt 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana.
Sem vinnsluaðili ber InfoMentor ehf. fulla ábyrgð á veikleikanum sem leiddi til öryggisbrestsins. Eins og áður greinir hafði lausn við veikleikanum þegar verið þróuð en ekki innleidd í Mentor-kerfið. Fullnægjandi prófanir hefðu getað komið í veg fyrir öryggisbrestinn. Að þessu leyti var eftirfylgni InfoMentor ehf. með þeim tæknilegu ráðstöfunum sem fyrirtækið hafði gripið til ófullnægjandi.
Í ljósi þess að persónuupplýsingum barna er tryggð sérstök vernd í lögum nr. 90/2018 og reglugerð (ESB) 2016/679 ber að mati Persónuverndar að gera ríkari kröfur en ella til fyrirtækja á borð við InfoMentor ehf., hvers kjarnastarfsemi er þróun og rekstur upplýsingakerfis sem ætlað er fyrir aðila sem vinna með börnum.
4.5.
Umfang samvinnu við Persónuvernd
Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess.
InfoMentor ehf. hefur brugðist greiðlega við beiðnum Persónuverndar um gögn og upplýsingar og leitast við að veita þær upplýsingar sem stofnunin hefur óskað eftir. Persónuvernd ítrekaði í einu tilviki bréf til fyrirtækisins en af hálfu InfoMentors ehf. hefur komið fram að mistök á pósthúsi hafi leitt til þess að bréfið hafi ekki komist í réttar hendur. Persónuvernd fellst á þessa skýringu. Hins vegar telur stofnunin tilkynningar InfoMentors ehf. til ábyrgðaraðila um öryggisbrestinn ekki hafa verið fullnægjandi, svo sem þegar hefur verið rakið.
Eins og áður greinir verður ekki ráðið af gögnum málsins að skráðir einstaklingar hafi orðið fyrir tjóni af völdum öryggisbrestsins.
4.6.
Flokkar persónuupplýsinga
Samkvæmt 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvaða flokka persónuupplýsinga brot hafði áhrif á. Öryggisbresturinn sem hér er til umfjöllunar náði til kennitalna og mynda (e. avatars). Af því leiðir að hann náði ekki til viðkvæmra persónuupplýsinga í skilningi 3. tölul. 1. mgr. 3. gr. laga nr. 90/2018, sbr. 1. mgr. 9. gr. reglugerðarinnar. Í ljósi ófullnægjandi eftirfylgni og prófana og umfangs þeirra persónuupplýsinga sem unnið er með í Mentor-kerfinu virðist það á hinn bóginn fremur hafa ráðist af tilviljun en nokkru öðru á hvaða undirsíðu veikleikinn hafði áhrif.
4.7.
Með hvaða hætti Persónuvernd var gert kunnugt um brot
InfoMentor ehf. tilkynnti Persónuvernd um öryggisbrestinn þegar fyrirtækinu varð kunnugt um hann. Í samræmi við 8. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. h-lið 2. mgr. 83. gr. reglugerðarinnar verður tekið tillit til þessa við ákvörðun um beitingu stjórnvaldssektar.
4.8.
Aðrir íþyngjandi og mildandi þættir
Samkvæmt 11. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. k-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til annarra íþyngjandi eða mildandi þátta en þeirra sem taldir eru upp fyrr í ákvæðinu, s.s. hagnaðar eða taps sem komist var hjá með beinum eða óbeinum hætti vegna brots.
Ekki verður séð að InfoMentor ehf. hefði getað notið nokkurs hagnaðar vegna öryggisbrestsins og sem fyrr segir olli hann hvorki beinu tjóni fyrir fyrirtækið né hina skráðu. Þau gögn og þær upplýsingar sem InfoMentor ehf. hefur lagt fram benda til þess að innri verkferlum hafi verið ábótavant þegar öryggisbresturinn átti sér stað. Hins vegar hefur fyrirtækið lagt fram gögn sem sýna fram á ráðstafanir sem gripið hefur verið til í því skyni að koma í veg fyrir að sambærilegur öryggisbrestur geti orðið. Þá hefur InfoMentor ehf. lagt fram gögn sem sýna fram á umtalsverða vinnu fyrirtækisins við að tryggja öryggi persónuupplýsinga innan Mentor-kerfisins, þ. á m. fyrrnefndan lista 370 tæknilegra verkþátta. Hins vegar er ljóst að mistök við vinnu á grundvelli listans leiddu til þess að skráð var að lagfæringu veikleikans sem leiddi til öryggisbrestsins hefði verið lokið.
4.9.
Þættir sem ekki eiga við
Ákvæði 5., 9. og 10. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. e-lið, i-lið og j-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679 um fyrri brot sem máli skipta, fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta og um fylgni við viðurkenndar hátternisreglur eiga ekki við í máli þessu. Fyrri ákvarðanir og álit Persónuverndar um vinnslu persónuupplýsinga innan Mentor-kerfisins, einkum álit stofnunarinnar, dags. 22. september 2015 í máli nr. 2015/1203, lúta fremur að notkun ábyrgðaraðila og vinnslu persónuupplýsinga á þeirra vegum innan kerfisins en að öryggi kerfisins sjálfs, sem hér er til umfjöllunar.
5.
Niðurstaða um stjórnvaldssekt
Ákvörðun um hvort leggja skuli stjórnvaldssekt á InfoMentor ehf. í máli þessu veltur á heildstæðu mati þeirra þátta sem fjallað hefur verið um hér að framan. InfoMentor ehf. uppfyllti ekki skyldur laga nr. 90/2018 og reglugerðar (ESB) 2016/679 sem leiddi til öryggisbrests sem hafði bein áhrif á 424 skráða einstaklinga, í nær öllum tilvikum börn undir 18 ára aldri. Viðbrögð InfoMentors ehf. við öryggisbrestinum voru ófullnægjandi að hluta, einkum í ljósi mistaka við tilkynningu fyrirtækisins um öryggisbrestinn til ábyrgðaraðila og til persónuverndarfulltrúa eins sveitarfélags. Enn fremur ber að gera ríkari kröfur en ella til InfoMentors ehf. í ljósi þess að meginstarfsemi fyrirtækisins felst í þróun og rekstri upplýsingakerfis sem sérstaklega er ætlað aðilum sem vinna með börnum. Á það ekki síst við eftirfylgni og prófanir tæknilegra ráðstafana, en fullnægjandi prófanir slíkra ráðstafana af hálfu InfoMentors ehf. hefðu getað komið í veg fyrir öryggisbrestinn sem hér er til umfjöllunar.
Á hinn bóginn bendir ekkert til þess að skráðir einstaklingar hafi orðið fyrir tjóni af völdum öryggisbrestsins. Takmarkaðar upplýsingar urðu aðgengilegar vegna hans, þ.e. kennitölur og myndir (e. avatars). Öryggisbresturinn varð ekki vegna árásar utanaðkomandi aðila á Mentor-kerfið heldur vegna athæfis innskráðra notenda. Af því leiðir að umræddar persónuupplýsingar hefðu ekki getað orðið aðgengilegar þriðja aðila sem ekki er notandi kerfisins eða misnotaðar af slíkum aðila, sem dregur úr alvarleika öryggisbrestsins. InfoMentor ehf. hefur lagt fram gögn sem sýna fram á ýmsar ráðstafanir sem fyrirtækið hefur gripið til með það að markmiði að tryggja öryggi persónuupplýsinga í Mentor-kerfinu, jafnt fyrir öryggisbrestinn sem eftir hann.
Að öllu framangreindu virtu telur Persónuvernd fleiri íþyngjandi en mildandi þætti hafa þýðingu í máli þessu, einkum fjölda skráðra einstaklinga sem urðu fyrir beinum áhrif vegna öryggisbrestsins og þeirra sem hefðu getað orðið fyrir áhrifum hans, þá staðreynd að um var að ræða persónuupplýsingar barna sem njóta sérstakrar verndar laga nr. 90/2018 og reglugerðar (ESB) 2016/679 og til þeirrar miklu ábyrgðar sem InfoMentor ehf. ber í þessu samhengi sem vinnsluaðili vegna eðlis starfsemi fyrirtækisins. Í ljósi þessara þátta og þess að stjórnvaldssektir skulu vera skilvirkar, í réttu hlutfalli við brot og hafa varnaðaráhrif þykir stjórnvaldssekt vera hæfilega ákveðin kr. 3.500.000.
Á k v ö r ð u n a r o r ð:
InfoMentor ehf. tryggði ekki öryggi persónuupplýsinga innan Mentor-kerfisins með þeim hætti sem áskilið er í b-lið og d-lið 1. mgr. 32. gr. reglugerðar (ESB) 2016/679, sbr. 1. mgr. 27. gr. laga nr. 90/2018, sbr. einnig 6. tölul. 1. mgr. 8. gr. sömu laga og f-lið 1. mgr. 5. gr. reglugerðarinnar.
Vinnsla InfoMentor ehf. á persónuupplýsingum skráðra einstaklinga sem urðu fyrir áhrifum öryggisbrestsins 14. febrúar 2019 samrýmdist ekki 6. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og f-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
Í samræmi við þessa niðurstöðu, og með vísan til 4. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir InfoMentor ehf. að innleiða verkferla um viðbrögð við öryggisbrestum og framkvæmd öryggisráðstafana vegna vinnslu persónuupplýsinga, þ.m.t. um prófanir slíkra ráðstafana. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd innan mánaðar frá dagsetningu ákvörðunar þessarar.
Er 3.500.000 króna stjórnvaldssekt lögð á InfoMentor ehf. Sektina skal greiða í ríkissjóð innan mánaðar frá dagsetningu ákvörðunar þessarar, sbr. 6. mgr. 46. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Í Persónuvernd, 29. apríl 2021
Ólafur Garðarsson
starfandi formaður
Björn Geirsson Vilhelmína Haraldsdóttir
Þorvarður Kári Ólafsson
[1] Guidelines 07/2020 on the concepts of controller and processor in the GDPR, útgáfa 1.0, samþykkt 2. september 2020.