Birting persónuupplýsinga í opnu bókhaldi Akraneskaupstaðar

Mál nr. 2018/804

13.2.2019

Ákvörðun

Á fundi stjórnar Persónuverndar þann 31. janúar 2019 var kveðin upp svohljóðandi ákvörðun í máli nr. 2018/804:

I.

Málsmeðferð

1.

Tildrög máls

Í kjölfar fréttaumfjöllunar þann 28. og 29. apríl 2018 um birtingu viðkvæmra persónuupplýsinga á vefsíðu Akraneskaupstaðar um einstaklinga sem notið hefðu þjónustu sveitarfélagsins ákvað Persónuvernd að hefja frumkvæðisathugun á því hvort birting framangreindra upplýsinga hefði verið í samræmi við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. 2. mgr. 37. gr. laganna.

2.

Bréfaskipti

Með bréfi, dags. 30. apríl 2018, var Akraneskaupstað tilkynnt um frumkvæðisathugunina og boðið að koma á framfæri skýringum. Óskaði Persónuvernd eftir lýsingu á málsatvikum, eðli öryggisbrestsins, líklegum afleiðingum hans, þeim ráðstöfunum sem sveitarfélagið hefði gripið til eða fyrirhugaði að grípa til, með hvaða hætti fyrirhugað væri að upplýsa hina skráðu um öryggisbrestinn og upplýsingum um vinnsluaðila sveitarfélagsins.

Jafnframt var óskað eftir afriti af öryggisstefnu, áhættumati og þeim öryggisráðstöfunum sem sveitarfélagið greip til áður en bókhald þess var opnað almenningi á vefsíðu þess. Einnig var óskað eftir afriti af vinnslusamningi, sbr. 13. gr. laga nr. 77/2000, hefði slíkur samningur verið gerður við vinnsluaðila.

Í svarbréfi Akraneskaupstaðar, dags. 7. maí 2018, koma fram svör við framangreindum spurningum Persónuverndar, sem rakin eru hér að neðan. Meðfylgjandi voru jafnframt afrit af samþykkt bæjarráðs um að ganga til samninga við KPMG ehf., samningi KPMG ehf. og Akraneskaupstaðar, dags. 19. september 2017, skjali sem innihélt upplýsingar um verkefnisnálgun – áfangaskiptingu og tímaáætlun vegna opins bókhalds og stjórnendamælaborðs og fylgiskjali með samningi við KPMG ehf., yfirlit yfir atburðarás vegna öryggisbrots, dagana 27.-29. apríl 2018, yfirlit yfir flokkun upplýsinga í tegundir, afrit af minnisblaði Metadata ehf. vegna öryggisbrestsins og tölvupósti bæjarstjóra Akraneskaupstaðar til fréttastofu Stöðvar 2.

2.1 Lýsing á málsatvikum

Í fyrrgreindu svarbréfi kemur fram að laugardaginn 28. apríl 2018 hafi opið bókhald Akraneskaupstaðar verið opnað fyrir almenningi til skoðunar á vefsíðu kaupstaðarins en þar hafi verið hægt að skoða og sækja fjárhagslegar upplýsingar kaupstaðarins. Sama dag hafi bæjarstjóri fengið símtal frá fréttamanni sem hafi tilkynnt honum að persónugreinanlegar upplýsingar væri að finna í opnu bókhaldi sveitarfélagsins sem og annarra sveitarfélaga. Þegar hafi verið farið í að loka fyrir opna bókhaldið til þess að staðreyna upplýsingar fréttamannsins og forða frekara tjóni. Bæði hafi verið lokað fyrir lausnina Opið bókhald af hálfu KPMG ehf. og á vefsíðu Akraneskaupstaðar hafi síður sem vísuðu á opna bókhaldið verið teknar úr birtingu. Við rannsókn málsins hafi komið í ljós að hægt var að skoða tiltekin undirliggjandi gögn sem voru persónugreinanleg með því að „hægrismella“ á súlurit gjaldamegin og velja þar „See records“. Þessi valmöguleiki hafi ekki verið til staðar í prófunarferli sem hafi átt sér stað fyrir áramótin 2017-2018. Þá kom fram í svarbréfi kaupstaðarins að verið væri að vinna nánari upplýsingar um hvenær valmöguleikinn hefði komið til sögunnar.

2.2 Lýsing á eðli öryggisbrestsins, þar á meðal flokkum

og áætluðum fjölda skráðra einstaklinga

Í svarbréfi Akraneskaupstaðar kemur fram að kaupstaðurinn hafi yfirfarið þau gögn sem urðu aðgengileg þegar opið bókhald var opnað. Niðurstaða þeirrar greiningar hafi verið að persónuupplýsingar hafi birst um 190 skjólstæðinga í 18 flokkum eða tegundum upplýsinga og um hafi verið að ræða samtals 1219 skráningar, hvað þá einstaklinga varðaði. Í fylgiskjali með svörum Akraneskaupstaðar kemur fram að efni þeirra upplýsinga hafi meðal annars lotið að upplýsingum um kennitölur, heilsufar, lyfjanotkun og félagslegar aðstæður.

Þá segir í bréfinu að við úrvinnslu á gögnum til undirbúnings fyrir framsetningu opins bókhalds hafi verið stuðst við fjárhagsgögn í bókhaldi Akraneskaupstaðar. Í bókhaldi kaupstaðarins megi finna nöfn skjólstæðinga í skýringarreit sem skýringu á greiðslu. Við gangsetningu á opnu bókhaldi á vef Akraneskaupstaðar hafi umræddur skýringarreitur ekki verið fjarlægður áður en gögnin voru afrituð í skýjaþjónustu í Power BI-umhverfi Microsoft. Skýringarreiturinn hafi því verið hluti þeirra gagna sem lágu til grundvallar gjaldamælaborði sem gert hafi verið aðgengilegt almenningi á vef Akraneskaupstaðar.

Öryggisbresturinn hafi því átt sér stað við þá ákvörðun að gefa út mælaborðið (e. Publish to Web) og þannig hafi persónugreinanleg gögn verið send sem hluti af því gagnamengi sem lá til grundvallar opnu bókhaldi þrátt fyrir að umræddur reitur hefði ekkert með myndræna framsetningu að gera.

Birtingarmynd öryggisbrestsins hafi síðan orðið þegar notandi mælaborðsins átti þess kost að „hægrismella“ á myndræna framsetningu og velja „See Records“. Í umræddu tilfelli hafi ábyrgðaraðila og vinnsluaðila ekki verið ljóst að með því að senda skýringarreitinn sem hluta þeirra gagna sem lágu til grundvallar í skýjaþjónustu Power BI gæti hann orðið aðgengilegur almenningi þrátt fyrir að hafa ekki verið sýnilegur í mælaborði opins bókhalds.

2.3 Lýsing á líklegum afleiðingum öryggisbrestsins

Fram kemur í fyrrgreindu svarbréfi að ráðist hafi verið í víðtækar aðgerðir í kjölfar öryggisbrestsins. Kerfisstjóri kaupstaðarins hafi staðið að greiningu fjölda heimsókna á vefsíðu gjaldahluta opna bókhaldsins á þeim tíma sem það hafi verið opið auk þess sem hýsingaraðili kaupstaðarins hafi afhent kaupstaðnum skrár yfir aðgerðaskráningar (e. log files) þar sem einblínt hafi verið á síðuna „Opið bókhald – gjöld“. Í þessum skrám sé að finna upplýsingar um dagsetningu, tímasetningu, IP-tölu tengingar, hvers konar tæki hafi verið notuð til að tengjast og hvaða vafri hafi verið notaður. Við athugun málsins hafi komið í ljós að tæki sem notuðu snertiskjá gátu ekki framkallað aðgerðina „See records“ auk þess sem undanskildar voru IP-tölur starfsmanna kaupstaðarins og annara aðila sem höfðu aðkomu að verkefninu fyrir tilstilli sveitarfélagsins. Eftir að framangreindir aðilar höfðu verið teknir frá hafi staðið eftir 10 óþekktar IP-tölur.

Þá segir í fyrrgreindu bréfi að Akraneskaupstaður hafi farið fram á það við Microsoft, sem þjónusti Power BI-hugbúnaðinn, að fyrirtækið skilaði til kaupstaðarins sambærilegum aðgerðaskráningum og Stefna hafi afhent. Óformlegt svar hafi fengist frá Microsoft um að slíkar skrár lægju ekki fyrir þar sem aðgerðin „See Records“ væri ekki skráð í viðmótinu „Publish to Web“ í Power BI-forritinu.

2.4 Lýsing á þeim ráðstöfunum sem ábyrgðaraðili hefur gripið til

Í fyrrgreindu svarbréfi segir að um leið og komist hafi upp um öryggisbrestinn hafi verið lokað fyrir aðgengi almennings að opnu bókhaldi sveitarfélagsins. Þá er gerð grein fyrir öðrum ráðstöfunum sem sveitarfélagið hafði gripið til eða fyrirhugað að grípa til. Í fyrsta lagi hafi verið leitað til tveggja utanaðkomandi upplýsingatæknisérfræðinga um ráðgjöf við rannsókn á atvikinu. Í öðru lagi hafi verið farið fram á það við KPMG ehf. að félagið veitti svör við ýmsum atriðum í tengslum við atvikið, afhenti gögn, svo sem prófunarlýsingar, og veitti svör við því hvernig félagið hygðist fyrirbyggja í ferlum sínum að slíkt gæti gerst aftur og hvort hægt væri að útiloka að skoða frekari gögn, t.d. í félagsþjónustu, þegar opnað yrði fyrir Opið bókhald að nýju. Í þriðja lagi kemur fram að fyrirhugað sé að upplýsa hina skráðu um atvikið og í fjórða lagi hafi verið óskað eftir því að fréttastofa Stöðvar 2 myndi eyða persónugreinanlegum upplýsingum í skrám eða tölvupósti fréttastofu sem og einstakra starfsmanna fréttastofu sem kynnu að hafa gögnin undir höndum.

Þá segir að Akraneskaupstaður muni ekki opna fyrir Opið bókhald að nýju fyrr en sveitarfélagið telji sig hafa fullvissu fyrir því að engin persónugreinanleg gögn verði aðgengileg gegnum þjónustuna. Að lokum segir um þennan þátt málsins að önnur forsenda þess að opnað verði að nýju fyrir Opið bókhald sé að gerður verði vinnslusamningur um afnot af viðkomandi lausn Microsoft, annaðhvort fyrir milligöngu KPMG ehf. eða beint við Microsoft.

2.5 Hvernig fyrirhugað er að upplýsa hina skráðu

Í svarbréfi Akraneskaupstaðar kemur fram að almenn tilkynning um öryggisbrestinn hafi nú þegar verið birt. Þá segir að það hafi verið mat kaupstaðarins að honum væri ekki skylt samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, að upplýsa hina skráðu um öryggisbrestinn. Engu að síður hyggist kaupstaðurinn grípa til aðgerða gagnvart hinum skráðu og upplýsa þá um málið.

2.6 Upplýsingar um vinnsluaðila

Í svarbréfi kaupstaðarins kemur fram að litið sé svo á að KPMG ehf. hafi gegnt hlutverki vinnsluaðila fyrir Akraneskaupstað sem sölu- og þjónustuaðili lausnarinnar Opið bókhald. Til grundvallar vinnslunni hafi legið fyrrnefndur samningur kaupstaðarins við KPMG ehf. sem innihaldi meðal annars trúnaðarákvæði. Upplýsingar um öryggi Power BI-lausnarinnar frá Microsoft megi nálgast á Netinu. Þá hafi KPMG ehf. státað sig af mikilli reynslu á sviði upplýsingaöryggis og er þar meðal annars vísað til umfjöllunar um fyrirtækið á vefsíðu þess, þess efnis að fyrirtækið búi yfir mikilli reynslu af endurskoðun á upplýsingaöryggi, upplýsingavernd, ferlagreiningu og framkvæmd tölvuendurskoðunar. Við gerð samnings við KPMG ehf. hafi Akraneskaupstaður gengið út frá því að KPMG ehf. viðhefði verkferla sem tryggðu lögmæti vinnslu persónuupplýsinga og öryggi vinnslunnar.

Þá segir að Akraneskaupstaður og KPMG ehf. hafi ekki gert með sér vinnslusamning í skilningi 13. gr. laga nr. 77/2000. Akraneskaupstaður hafi hafið vinnu við heildstæða úttekt á meðferð persónuupplýsinga hjá kaupstaðnum til undirbúnings fyrir gildistöku nýrrar persónuverndarlöggjafar á árinu. Í tengslum við þá vinnu hafi kaupstaðurinn í hyggju að útbúa gögn sem sýni fram á hvernig öryggi persónuupplýsinga sé tryggt og hvaða tæknilegu og skipulagslegu öryggisráðstafanir hafi verið gerðar. Slíkar upplýsingar hafi hingað til ekki verið skráðar með skipulegum hætti í formi öryggisstefnu, áhættumats og skriflegrar lýsingar á öryggisráðstöfunum. Loks segir að stefnt sé að því að bæta úr þessum annmörkum á næstu mánuðum.

3.

Frekari bréfaskipti

Þann 16. október 2018 óskaði Persónuvernd eftir frekari skýringum vegna málsins. Samkvæmt athugun Persónuverndar virtist valmöguleikinn „See records“ hafa verið aðgengilegur við notkun á mælaborði Power BI-hugbúnaðar Microsoft allt frá árinu 2016. Því til stuðnings vísaði Persónuvernd meðal annars til umræðuvettvangs á vegum Microsoft þar sem notendur ræða um framangreindan valmöguleika og þá staðreynd að hægt sé að sjá þau gögn sem liggi til grundvallar. Mætti rekja þær umræður allt aftur til ársins 2016. Óskaði stofnunin því eftir gögnum sem staðfestu að valmöguleikinn „See records“ hefði ekki verið til staðar þegar hugbúnaðurinn var prófaður af kaupstaðnum.

Svar Akraneskaupstaðar, ásamt sjö fylgiskjölum, barst Persónuvernd þann 28. október s.á. Í svarbréfinu kemur fram að áður en opnað hafi verið fyrir Opið bókhald hafi verið sendur hlekkur á sviðsstjóra, bæjarstjóra og verkefnastjóra og einhverjir þeirra hafi framkvæmt prófun með því að „hægrismella“ á súlurit til að ganga úr skugga um að ekki væri unnt að kalla fram gögn sem lægju að baki birtum upplýsingum. Við þær prófanir hafi slík aðgerð ekki verið möguleg. Í bréfinu kemur fram að ekki liggi fyrir nánari gögn um þessar prófanir. Með svarbréfinu fylgdi einnig afrit af prófanaskjali KPMG ehf., dagsettu í nóvember 2017, sem gerir grein fyrir prófunum á tímabilinu frá nóvember 2017 til janúar 2018 en af því megi ráða að eingöngu hafi verið prófaðar fjárhagslegar niðurstöður framsetningar en ekki virkni hugbúnaðarlausnarinnar.

Þá hafi kaupstaðurinn óskað eftir svörum frá KPMG ehf. við tilteknum spurningum. Svör KPMG ehf. hafi verið afhent kaupstaðnum í formi minnisblaðs en þar komi fram að ráðstafanir hafi verið gerðar til að koma í veg fyrir að viðkvæm persónugreinanleg gögn gætu birst í opna bókhaldinu. Ekki hafi verið gert ráð fyrir því að notendur gætu skoðað einstaka færslur í gegnum virknina „See records“. Það sé mat KPMG ehf. að með uppfærslu á skýjaumhverfi Microsoft hafi opnast fyrir þann valmöguleika að skoða einstakar færslur í undirliggjandi mælaborði en fyrirfram hafi KPMG ehf. ekki verið kunnugt um uppfærsluna eða áhrif hennar á virkni.

Hvað varðar þá athugasemd Persónuverndar að svo virðist sem valmöguleikinn hafi verið til staðar allt frá árinu 2016 staðfestir Akraneskaupstaður að svo virðist sem að virknin „See records“ hafi verið til í hugbúnaðinum allt frá árinu 2016 og svo virðist sem þróun hafi orðið frá þeim tíma á því hvaða framsetning gagna (e. visuals) hafi veitt möguleika á notkun virkninnar. Vegna þessara upplýsinga hafi Akraneskaupstaður aflað upplýsinga frá KPMG ehf. um hvort hugsanlegt væri að KPMG ehf. hefði með einhverjum hætti aftengt virkni „See records“-möguleikans áður en starfsmenn Akraneskaupstaðar hófu sína athugun. KPMG ehf. hafi upplýst kaupstaðinn um að ekki væri unnt að svara þessari spurningu þar sem aðgerðir í Power BI væru ekki skráðar. Með vísan til þess geti Akraneskaupstaður ekki veitt önnur svör en þau að kaupstaðurinn hafi reitt sig á að KPMG ehf. hefði sérþekkingu á umræddri lausn og að KPMG ehf. myndi framkvæma nauðsynlegar prófanir, sem meðal annars skyldu taka til öryggis vinnslu persónuupplýsinga, auk þess sem kaupstaðurinn hafi sjálfur framkvæmt prófanir í samræmi við þær forsendur er starfsmenn hans höfðu til slíkra prófana.

Með bréfi, dags. 13. desember 2018, óskaði Persónuvernd eftir upplýsingum frá Microsoft Ísland hf. sem staðfestu hvenær umrædd uppfærsla hefði verið framkvæmd á skýjaumhverfi Microsoft sem hefði orðið þess valdandi að valmöguleikinn „See Records“ hefði orðið virkur þegar notast væri við valmöguleikann „Publish to web“. Þá óskaði Persónuvernd eftir upplýsingum um hvort umræddur valmöguleiki birtist sjálfkrafa og notandi hugbúnaðarins þyrfti að aftengja þá virkni sérstaklega.

Svar Microsoft Ísland hf. barst þann 20. janúar 2019. Þar segir að samkvæmt þeim upplýsingum sem Microsoft Ísland hf. búi yfir hafi „See records“-möguleikinn fyrst verið kynntur í apríl 2016 sem hluti af Power BI Desktop. Valmöguleikinn „See records“ hafi verið aðgengilegur frá því í febrúar 2016 sem hluti af Power BI Service. Valmöguleikinn „Publish to web“ hafi verið hluti af þessu.

Þá segir í bréfi Microsoft Ísland hf. að umræddur valmöguleiki sé ekki sjálfvalinn og er í því sambandi vísað til skilaboða sem birtast notanda þegar valmöguleikinn „Publish to Web“ er valinn og gögn eru send út á vefinn. Í framangreindum skilaboðum kemur meðal annars fram að skýrslan eða myndin sem birt sé geti verið skoðuð af öllum á Netinu. Þeir sem skoði gögnin séu ekki auðkenndir sérstaklega. Þá segir að eingöngu skuli nota umræddan valmöguleika þegar um sé að ræða upplýsingar sem heimilt er að birta opinberlega. Þetta eigi líka við undirliggjandi gögn sem liggi til grundvallar skýrslunum og áður en skýrslan sé birt skuli tryggja að viðkomandi hafi heimild til að deila gögnunum og myndum opinberlega. Ekki skuli birta gögn sem háð séu trúnaði. Loks segir í bréfinu að ekkert í þjónustunni geri kröfu um að notandi haki burt valmöguleikann heldur sé hér um að ræða virkni sem notandinn velji sjálfur.

II.

Forsendur og niðurstaða

1.

Lagaskil

Mál þetta varðar atvik sem átti sér stað fyrir gildistöku núgildandi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga þann 15. júlí 2018. Umfjöllun og efni þessarar ákvörðunar takmarkast því við ákvæði eldri laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000.

2.

Gildissvið laga nr. 77/2000

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga giltu um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Þá eru viðkvæmar persónuupplýsingar skilgreindar í 8. tölul. sömu greinar og geta þær tekið til upplýsinga um heilsufar, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna.

Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að Akraneskaupstaður sé ábyrgðaraðili að umræddri vinnslu, en KPMG ehf. vinnsluaðili. Breyta ný lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga engu í þessu sambandi.

3.

Lagaumhverfi og sjónarmið

3.1 Heimild til vinnslu og meginreglur laga nr. 77/2000

Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Má þar nefna að vinnslan sé nauðsynleg til að fullnægja lagaskyldu, sbr. 3. tölul. 1. mgr. þeirrar greinar, eða að vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna. Þá verður vinnsla viðkvæmra persónuupplýsinga, s.s. heilsufarsupplýsinga, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna. Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu.

3.2 Öryggi við vinnslu persónuupplýsinga

Öll vinnsla persónuupplýsinga þarf jafnframt að samrýmast meginreglum 7. gr. laga nr. 77/2000. Samkvæmt 1. tölul. 1. mgr. 7. gr. skal þess gætt við meðferð persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Liður í því að tryggja vandaða vinnsluhætti er að uppfylla kröfur um upplýsingaöryggi. Í upplýsingaöryggi felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi og að þær séu einungis aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda.

Samkvæmt lögum nr. 77/2000 hvíldi sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið var með, sbr. 11.-13. gr. laganna og reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Í 11. gr. laganna er meðal annars fjallað um öryggisráðstafanir. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.

Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þar með talið þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði 11. gr. laga nr. 77/2000, sbr. 4. mgr. ákvæðisins. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr. sama ákvæðis.

Persónuvernd hefur sett nánari reglur um öryggi persónuupplýsinga, nr. 299/2001. Samkvæmt þeim skal ábyrgðaraðili útbúa öryggiskerfi og byggja það á skriflegri öryggisstefnu og skriflegu áhættumati auk þess sem gera þurfi viðeigandi öryggisráðstafanir. Í 2. tölul. 3. gr. reglnanna eru ábyrgðaraðilum veittar nánari leiðbeiningar um hvernig skuli standa að gerð áhættumats. Þar segir að áhættumat sé mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat taki einnig til athugunar á umfangi og afleiðingum hættunnar með tilliti til eðlis þeirra persónuupplýsinga sem unnið sé með. Markmið áhættumats sé að skapa forsendur fyrir vali á öryggisráðstöfunum, sbr. III. kafla reglnanna. Þá skuli tilgreina hvað geti farið úrskeiðis, hvaða áhrif það geti haft á öryggi upplýsinganna og hvaða líkur séu á því.

Samkvæmt 12. gr. laga nr. 77/2000, sbr. nánari fyrirmæli í 8. gr. reglna nr. 299/2001, skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.

Samkvæmt 13. gr. laganna, sbr. einnig 9. gr. reglnanna, er ábyrgðaraðila heimilt að semja við annan aðila um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á, en í lögunum er slíkur aðili nefndur vinnsluaðili, þ.e. aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laganna. Eins og fram kemur í 13. gr. laganna og 9. gr. reglnanna er umrædd samningsgerð þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að vinnsluaðilinn geti viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit með henni. Þá skal hann gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.

Í bréfaskiptum hefur verið vísað til þess að Akraneskaupstaður hafi framkvæmt tilteknar prófanir á hugbúnaðinum áður en upplýsingarnar voru gerðar aðgengilegar almenningi. Engin gögn liggja hins vegar fyrir sem staðfesta þá fullyrðingu. Loks hefur komið fram að Akraneskaupstaður hafi ekki gert vinnslusamning við KPMG ehf. né framkvæmt áhættumat eða ákveðið öryggisráðstafanir.

4.

Niðurstaða

Samkvæmt þeim upplýsingum sem liggja fyrir í máli þessu var það ekki ætlun Akraneskaupstaðar að birta persónuupplýsingar á vefsíðu sinni í tengslum við opið bókhald. Stóð engin heimild til birtingarinnar samkvæmt 1. mgr. 8. gr. og 1. mgr. 9. gr. laga nr. 77/2000. Var hún því andstæð ákvæðum laganna.

Fyrir liggur að KPMG ehf. telst vera vinnsluaðili þeirra persónuupplýsinga, sem um ræðir í málinu, í skilningi laga nr. 77/2000, en Akraneskaupstaður ábyrgðaraðili. Akraneskaupstað bar því að gera áhættumat og ákveða öryggisráðstafanir sem og að sinna reglulegu innra eftirliti. Það var ekki gert og var því vinnslan ekki í samræmi við ákvæði 11. og 12. gr. laga nr. 77/2000 auk þess sem ekki var fylgt ákvæðum 13. gr. um gerð vinnslusamnings.

Er lagt fyrir Akraneskaupstað að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taki mið af eðli, umfangi, samhengi, tilgangi og áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. 23. gr. laga nr. 90/2018, og gera vinnslusamning við KPMG ehf., sem uppfyllir ákvæði 25. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Loks telur Persónuvernd það verulega ámælisvert að fyrirtæki sem veitir sérfræðiþjónustu á þessu sviði, þ.e. KPMG ehf., skuli viðhafa þau vinnubrögð sem fram hafa komið í bréfaskiptum, þar með talið að ganga ekki úr skugga um að ekki væri mögulegt að nálgast upplýsingar um einstaklinga með notkun á Power BI. Samkvæmt lögum nr. 77/2000, sem giltu um meðferð persónuupplýsinga þegar atvik máls urðu, báru vinnsluaðilar takmarkaða ábyrgð og beinist niðurstaða máls þessa því eingöngu að ábyrgðaraðila vinnslunnar. Rétt er að taka fram að með lögum nr. 90/2018 er lögð aukin og sjálfstæð skylda á vinnsluaðila sem meðal annars lýtur að því að hann tryggi öryggi upplýsinga, sbr. 27. gr. laganna.

Í málinu liggur fyrir að ábyrgðaraðili brást strax við þegar atvikið kom upp til að takmarka tjón og gera viðeigandi ráðstafanir til að koma í veg fyrir að upplýsingarnar yrðu gerðar aðgengilegar fleiri óviðkomandi aðilum en þegar var orðið. Lét ábyrgðaraðili loka fyrir aðgang að hinu opna bókhaldi um leið og fregnir bárust af því að umræddar upplýsingar væru aðgengilegar. Þá veitti ábyrgðaraðili Persónuvernd nauðsynlegar upplýsingar um atvikið með greinargóðum hætti. Að mati Persónuverndar greip ábyrgðaraðili því til fullnægjandi ráðstafana til að lágmarka það tjón sem gat hlotist af framangreindum öryggisbresti.

Líkt og áður hefur komið fram urðu atvik máls í gildistíð eldri laga nr. 77/2000 en samkvæmt þeim lögum hafði Persónuvernd ekki heimild til að leggja á stjórnvaldssektir vegna brota á lögunum. Kemur því ekki til skoðunar hér hvort tilefni sé til að leggja á stjórnvaldssektir vegna atviksins, sem heimilt er samkvæmt núgildandi lögum, en um fyrirmæli sem lúta að því að grípa til ráðstafana fer eftir þeim. Hvað varðar upplýsingagjöf til hinna skráðu skal á það bent að samkvæmt lögum nr. 77/2000 var ekki skylt að tilkynna hinum skráðu um öryggisbrest þó svo að það hafi verið heimilt. Þessari skyldu hefur hins vegar verið komið á með ákvæði 3. mgr. 27. gr. laga nr. 90/2018.

Á k v ö r ð u n a r o r ð:

Birting viðkvæmra persónuupplýsinga á vefsíðu Akraneskaupstaðar samrýmdist ekki lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Þá var öryggi við vinnslu persónuupplýsinga ekki í samræmi við ákvæði 11. og 12. gr. laganna auk þess sem ekki var gerður vinnslusamningur við KPMG ehf., í samræmi við 13. gr. laganna.

Er lagt fyrir Akraneskaupstað að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taki mið af eðli, umfangi, samhengi, tilgangi og áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. 23. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 og gera vinnslusamning við KPMG ehf., sem uppfyllir ákvæði 25. gr. laganna.

Skal Akraneskaupstaður senda Persónuvernd staðfestingu á því að farið hafi verið að fyrirmælum stofnunarinnar fyrir 1. apríl næstkomandi.