Álit um ófullnægjandi öryggi persónuupplýsinga sem unnt var að miðla í gegnum vefsíðu umboðsmanns borgarbúa

16.3.2020

Álit

Hinn 5. mars 2020 veitti Persónuvernd, með vísun til 2. tölul. 43. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, svohljóðandi álit í máli nr. 2020010591 (áður 2019020444):

I.

Málsmeðferð

1.

Kvörtun og málsmeðferð

Hinn 25. febrúar 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir ófullnægjandi öryggisráðstöfunum á vefsíðu embættis umboðsmanns borgarbúa. Nánar tiltekið lýtur kvörtunin að því að rafrænt kvörtunareyðublað umboðsmanns hafi ekki verið aðgengilegt á vefsíðu sem stuðst hafi við HTTPS-samskiptareglur (sem stendur fyrir HyperText Transfer Protocol Secure) heldur aðeins HTTP-samskiptareglur (sem stendur fyrir HyperText Transfer Protocol). Kvörtuninni fylgdu skjáskot af vefsíðu umboðsmanns borgarbúa auk afrits af tölvupóstsamskiptum kvartanda við starfsfólk embættisins sem lutu meðal annars að upplýsingaöryggi á vefsíðu embættisins.

Með bréfi, dags. 6. maí 2019, ítrekuðu með bréfi, dags. 14. júní s.á., var umboðsmanni borgarbúa tilkynnt um framangreinda kvörtun og veittur kostur á að tjá sig um hana. Svarað var af hálfu umboðsmanns borgarbúa með bréfi, dags. 11. júlí s.á. Með bréfi, dags. 28. ágúst s.á., var kvartanda boðið að tjá sig um svarbréf umboðsmanns borgarbúa. Kvartandi svaraði með tölvupósti þann 2. september s.á.

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi áliti.

2.

Sjónarmið kvartanda

Kvartandi byggir á því að fyrirkomulag við rafræna innsendingu kvartana til umboðsmanns borgarbúa hafi farið í bága við ákvæði laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, um öryggi við vinnslu persónuupplýsinga. Á rafrænu eyðublaði embættisins sé óskað eftir viðkvæmum persónuupplýsingum um kvartendur en eyðublaðið hafi aðeins verið aðgengilegt á vefsíðu embættisins sem studdist við HTTP-samskiptareglur en ekki HTTPS-samskiptareglur. Kveðst kvartandi hafa sent umboðsmanni borgarbúa ábendingu um þetta atriði en við henni hefði ekki verið brugðist fyrr en mörgum mánuðum síðar.

Þá sé sú varaleið, sem umboðsmaður borgarbúa leiðbeindi kvartanda um, að senda kvartanir til embættisins með tölvupósti, ekki örugg þar sem tölvupóstur fari í gegnum ýmsa netþjóna.

3.

Sjónarmið umboðsmanns borgarbúa

Í áðurgreindu svarbréfi umboðsmanns borgarbúa kemur fram að vefsíða embættisins hafi verið uppfærð og styðjist nú við HTTPS-samskiptareglur og að umboðsmaður telji vefinn nú fullnægja öllum ströngustu öryggiskröfum.

II.

Forsendur og niðurstaða

1.

Afmörkun máls - aðild

Mál þetta lýtur að því hvort tryggt hafi verið viðeigandi öryggi upplýsinga um einstaklinga, sem unnt var að miðla í gegnum rafrænt kvörtunareyðublað á vefsíðu umboðsmanns borgarbúa.

Samkvæmt 1. málsl. 2. mgr. 39. gr. laga nr. 90/2018 á sérhver skráður einstaklingur rétt til að leggja fram kvörtun hjá Persónuvernd ef hann telur að vinnsla persónuupplýsinga um hann brjóti í bága við reglugerð (ESB) 2016/679 eða ákvæði laganna. Úrskurðar Persónuvernd þá um hvort brot hafi átt sér stað.

Ekki liggur fyrir í málinu að kvartandi hafi sent umboðsmanni borgarbúa kvörtun í gegnum vefsíðu embættisins áður en embættið tók upp auknar öryggisráðstafanir á vefsíðu sinni. Samkvæmt því verður ekki séð að persónuupplýsingar kvartanda hafi verið unnar með þeim hætti sem kvörtun hans lýtur að. Þá er til þess að líta að til þess að kvartandi geti átt aðild að máli hjá Persónuvernd verður hann jafnframt að uppfylla skilyrði um að eiga beinna, verulegra, sérstakra og lögvarinna hagsmuna að gæta, í samræmi við meginreglur stjórnsýsluréttarins. Þegar mjög margir eiga sambærilegra hagsmuna að gæta af úrlausn máls eru hagsmunirnir flokkaðir sem almennir, fremur en sérstakir, og því ekki til þess fallnir að skapa aðilastöðu í máli. Að öllu framangreindu gættu telur Persónuvernd ekki efni til að kveða upp úrskurð um hvort brot hafi átt sér stað við vinnslu persónuupplýsinga kvartanda, sbr. 2. mgr. 39. gr. laga nr. 90/2018.

Engu að síður er ljóst að uppi er álitaefni hvort fullnægjandi teljist að stjórnvöld bjóði upp á að persónuupplýsingar einstaklinga séu sendar stjórnvaldinu í gegnum rafræn kvörtunareyðublöð á vefsíðum sem styðjast við HTTP-samskiptareglur. Samkvæmt 2. tölul. 43. gr. laga nr. 90/2018 getur Persónuvernd lagt, að eigin frumkvæði eða samkvæmt beiðni, álitsgerðir fyrir stjórnvöld eða aðra aðila um hvert það málefni sem tengist vernd persónuupplýsinga. Hefur Persónuvernd ákveðið að taka framangreint álitaefni til skoðunar á grundvelli tilvitnaðs ákvæðis.

3.

Gildissvið - ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Sem áður greinir lýtur mál þetta að því hvort tryggt hafi verið viðeigandi öryggi upplýsinga um einstaklinga, sem unnt var að miðla í gegnum rafrænt kvörtunareyðublað á vefsíðu umboðsmanns borgarbúa. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst umboðsmaður borgarbúa vera ábyrgðaraðili að þeirri vinnslu, sem felst í að flytja persónuupplýsingar, sem færðar eru inn í rafrænt kvörtunareyðublað til embættisins, í gegnum vefsíðu þess.

2.

Lagaumhverfi og álit

Vinnsla persónuupplýsinga verður að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt, sbr. 6. tölul. ákvæðisins. Samkvæmt 1. mgr. 27. gr. laganna ber ábyrgðaraðila að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga, samkvæmt nánari fyrirmælum 32. gr. reglugerðarinnar. Í 1. mgr. reglugerðarákvæðisins er mælt fyrir um að viðeigandi ráðstafanir kunni meðal annars að felast í því að nota gerviauðkenni og dulkóða persónuupplýsingar og að geta tryggt viðvarandi trúnað vinnslukerfa. Þá segir í 2. mgr. ákvæðisins að þegar viðunandi öryggi sé metið skuli einkum hafa hliðsjón af þeirri áhættu sem vinnsla hefur í för með sér, einkum að því er varðar meðal annars það að persónuupplýsingar verði birtar eða veittur aðgangur að þeim í leyfisleysi. Enn fremur segir í 39. lið formálsorða reglugerðarinnar að vinnsla persónuupplýsinga ætti að vera með þeim hætti að viðeigandi öryggi og trúnaður upplýsinga séu tryggð, m.a. að komið sé í veg fyrir óheimilan aðgang eða notkun á persónuupplýsingum og þeim búnaði sem notaður er við vinnsluna.

Með HTTP-samskiptareglum er átt við reglur um ódulkóðaðan flutning gagna á milli vafra á vélbúnaði sérhvers notanda og vefþjóns, sem hýsir t.d. vefsíðu, í gegnum Netið. Með HTTPS-samskiptareglum er átt við reglur um dulkóðaðan flutning gagna í slíkum tilvikum.

Persónuvernd telur að líta verði til þess að þegar persónuupplýsingum er miðlað í gegnum vefsíður sem styðjast við HTTP-samskiptareglur sé umtalsverð áhætta á því að þriðji aðili geti fengið aðgang að persónuupplýsingunum í leyfisleysi. Sú hætta er minni þegar miðlun fer fram í gegnum vefsíður sem styðjast við HTTPS-samskiptareglur, en þá eru samskipti dulkóðuð. Þá athugast jafnframt að ábyrgðaraðilar eiga fremur hægt um vik með að gera vefsíður þannig úr garði að þær styðjist við HTTPS-samskiptareglur án mikils tilkostnaðar.

Samkvæmt framangreindu er það álit Persónuverndar að sú vinnsla umboðsmanns borgarbúa, sem fólst í að bjóða upp á miðlun persónuupplýsinga, í tengslum við kvartanir til embættisins, í gegnum rafrænt kvörtunareyðublað á vefsíðu sem studdist við HTTP-samskiptareglur, hafi ekki samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679. Hins vegar liggur fyrir að vefsíða umboðsmanns borgarbúa styðst nú við HTTPS-samskiptareglur. Að því virtu telur Persónuvernd ekki tilefni til að aðhafast frekar vegna málsins.

Á l i t s o r ð:

Vinnsla umboðsmanns borgarbúa á persónuupplýsingum, sem fólst í að flytja þær, í gegnum vefsíðu sem studdist við HTTP-samskiptareglur, samrýmdist ekki lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Í Persónuvernd, 5. mars 2020

Björg Thorarensen
formaður

Aðalsteinn Jónasson               Ólafur Garðarsson

Vilhelmína Haraldsdóttir                      Þorvarður Kári Ólafsson