Birting persónuupplýsinga í opnu bókhaldi Seltjarnarnesbæjar

Mál nr. 2018/805

13.2.2019

Ákvörðun

Á fundi stjórnar Persónuverndar þann 31. janúar 2019 var kveðin upp svohljóðandi ákvörðun í máli nr. 2018/805:

I.

Málsmeðferð

1.

Tildrög máls

Þann 28. og 29. apríl 2018 birtust í fjölmiðlum fréttir þess efnis að á vefsíðu Seltjarnarnesbæjar væru birtar viðkvæmar persónuupplýsingar um einstaklinga sem notið hefðu þjónustu sveitarfélagsins. Persónuvernd ákvað af þessum sökum að hefja frumkvæðisathugun á því hvort birting framangreindra upplýsinga hefði verið í samræmi við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. 2. mgr. 37. gr. laganna.

2.

Bréfaskipti

Með bréfi, dags. 30. apríl 2018, var Seltjarnarnesbæ tilkynnt um frumkvæðisathugunina og boðið að koma á framfæri skýringum. Óskaði Persónuvernd eftir lýsingu á málsatvikum, eðli öryggisbrestsins, líklegum afleiðingum hans, þeim ráðstöfunum sem sveitarfélagið hefði gripið til eða fyrirhugaði að grípa til, með hvaða hætti fyrirhugað væri að upplýsa hina skráðu um öryggisbrestinn og upplýsingum um vinnsluaðila sveitarfélagsins.

Jafnframt var óskað eftir afriti af öryggisstefnu, áhættumati og þeim öryggisráðstöfunum, sem sveitarfélagið greip til áður en bókhald þess var opnað almenningi á vefsíðu þess, auk þess sem óskað var eftir afriti af vinnslusamningi, sbr. 13. gr. laga nr. 77/2000, hefði slíkur samningur verið gerður við vinnsluaðila.

Í svarbréfi [A] lögmanns, f.h. Seltjarnarnesbæjar, dags. 9. maí 2018, koma fram svör við framangreindum spurningum Persónuverndar, sem rakin eru hér að neðan. Meðfylgjandi voru jafnframt afrit af upplýsingaöryggisstefnu Seltjarnanesbæjar, dags. 12. maí 2010, samningi um ráðgjöf milli KPMG ehf. og Seltjarnarneskaupstaðar, dags. 7. nóvember 2017, ásamt viðauka, og loks minnisblaði KPMG ehf., dags. 9. maí 2018, ásamt viðauka.

2.1 Lýsing á málsatvikum

Í fyrrgreindu svarbréfi kemur fram að Seltjarnarnesbær hafi leitað upplýsinga hjá þeim sem annist birtingu opins bókhalds sveitarfélagsins, þ.e. endurskoðenda- og ráðgjafarfyrirtækisins KPMG ehf., um hvað hefði valdið því að umræddar upplýsingar urðu aðgengilegar á vefsíðunni. Í tilefni af atvikinu hafi KPMG ehf. útbúið minnisblað, dags. 9. maí 2018. Þar kemur meðal annars fram að tilgangur þess að opna bókhald sveitarfélagsins hafi verið að veita íbúum, fjölmiðlum og öðrum, sem láti sig rekstur sveitarfélaga varða, aukinn og einfaldari aðgang að rekstrarupplýsingum í anda opins lýðræðis og gagnsæis hins opinbera. Opið bókhald („OB“) hafi byggt á staðlaðri útgáfu af Microsoft Power BI, sem birt hafi verið í gegnum vefsíðu sveitarfélagsins með virkni í Power BI Service-umhverfinu, sem kallist „Publish to web.“ Þar sem um staðlaða skýjaþjónustu hafi verið að ræða hafi uppfærslur á umhverfinu verið almenns eðlis, tíðar og alfarið stýrt af Microsoft. Undirliggjandi gögn hafi verið vistuð á sýndarvél í umhverfi sveitarfélagsins sem og grunnskjal opins bókhalds sem stýrt hafi framsetningu á mælaborði og þeim upplýsingum sem settar hafi verið fram. Aðgengi ytri aðila og starfsmanna sveitarfélagsins að undirliggjandi gögnum og grunnskjali hafi verið stjórnað af sveitarfélaginu.

Við uppsetningu OB hafi KPMG ehf. verið veittur fjaraðgangur (VPN) að skilgreindum kerfisnotanda í umhverfi Seltjarnarnesbæjar og unnið hafi verið í umhverfi sveitarfélagsins, en gögnin ekki vistuð, afrituð eða unnið með þau í rekstrarumhverfi KPMG ehf. Við verklag og meðhöndlun gagna hafi verið leitast við að tryggja eftir bestu getu að engin gögn sem nýtt væru til birtingar á OB væru færð út fyrir umhverfi sveitarfélagsins. Við uppsetningu á OB fyrir Seltjarnarnesbæ hafi verið unnið náið með starfsfólki sveitarfélagsins við skilgreiningu og afmörkun á þessum gögnum, auk þess sem gögnin hafi verið yfirfarin af starfsfólkinu. Hafi þessar ráðstafanir verið gerðar til að koma í veg fyrir að viðkvæm persónugreinanleg gögn gætu birst í OB.

Þá segir að KPMG ehf. telji að með uppfærslu á skýjaumhverfi Microsoft hafi opnast fyrir nýja virkni, sem veitti þann möguleika að skoða einstakar færslur í undirliggjandi mælaborði, en fyrirfram hafi KPMG ehf. ekki verið kunnugt um þessa uppfærslu eða áhrif hennar á virkni. Þegar í ljós hafi komið að hægt væri að nálgast undirliggjandi gögn hafi strax verið brugðist við með því að loka fyrir þann möguleika og í kjölfarið loka alfarið fyrir OB meðan tæknileg atriði og verklag væru yfirfarin auk þess að rýna hvort og þá hvaða persónuleg trúnaðargögn hafi getað birst. Lokað hafi verið fyrir OB síðdegis þann 27. apríl 2018.

Jafnframt er tekið fram í minnisblaði KPMG ehf. að í öllum prófunum, framkvæmdum af hálfu starfsmanna Seltjarnarnesbæjar og KPMG ehf., hafi ekkert bent til þess að viðkvæmar persónuupplýsingar, m.a. um skjólstæðinga félagsþjónustu, væru til staðar í OB. Þá segir að KPMG ehf. hafi tekið saman fyrir sveitarfélagið þau gögn sem til staðar voru í OB í umhverfi sveitarfélagsins, en að KPMG ehf. hafi ekki verið falið að greina þau frekar. Loks segir að KPMG ehf. hafi kappkostað að vinna, og muni halda áfram að vinna, með Seltjarnarnesbæ við að greina hvað hafi leitt til þess að gögn urðu aðgengileg óviðkomandi. Þá hafi verklag verið yfirfarið til að draga lærdóm af atvikinu og stuðla þannig að því að fyllsta öryggis verði gætt varðandi þau gögn og upplýsingar sem framvegis verði birtar.

Í viðauka við minnisblaðið er að finna greiningu KPMG ehf. út frá hrágögnum um umferð á undirsíður sveitarfélagsins fyrir tímabilið mars og apríl 2018 og ná yfir hið opna bókhald. Segir að gögnin innihaldi skráningu á tímasetningu heimsóknar, IP-tölu, vefslóð og milligönguforrit (e. User Agent), sem gefi vísbendingu um hvort um sé að ræða snjalltæki, borð- eða fartölvu eða yrkja/vefskriðil (e. bot/crawler). Gögnin sýni að á tilgreindu tímabili hafi meðaltal daglegrar heildarumferðar verið um fjórar heimsóknir á dag. Þann 27. apríl 2018 hafi hún aukist skyndilega og náð 30 heimsóknum. Athuganir hafi bent til að virknin „See records“, sem hafi getað birt undirliggjandi viðkvæmar upplýsingar, hafi aðeins verið til staðar í borð- og fartölvum, þ.e. ekki snjalltækjum. Eins sé ljóst að viðkvæmar upplýsingar hafi ekki verið að finna í tekjuhluta mælaborða. Hafi 12 mismunandi IP-tölur mögulega haft aðgang að viðkvæmum gögnum, sé umferðin vikuna 20.-27. apríl skoðuð. Séu þessar IP-tölur skoðaðar nánar komi í ljós að heimsóknirnar séu 15, frá í mesta lagi 10 aðilum, ef eingöngu eru skoðaðar þær IP-tölur sem komu inn á síðuna áður en mælaborðum var lokað kl. 19 þann 27. apríl. Fjórar heimsóknir séu frá sama aðilanum með nánar tilgreinda IP-tölu, tvær frá KPMG ehf., þrjár á vegum 365 miðla, og loks sex heimsóknir frá sex mismunandi IP-tölum. Út frá þessum gögnum er loks tekið fram að örfáir aðilar hafi haft aðgang að viðkvæmum gögnum, en ekki sé hægt að staðfesta hvort viðkomandi aðilar hafi skoðað gögnin með sér að nýta sér „See records“-virknina.

2.2. Lýsing á eðli öryggisbrestsins, þar á meðal flokkum

og áætluðum fjölda skráðra einstaklinga

Í svarbréfi lögmanns Seltjarnarnesbæjar segir að bráðabirgðaniðurstöður innri skoðunar umbjóðanda hans séu þær að áætlaður heildarfjöldi skráninga í hinu opna bókhaldi sem svari til lýsingar í bréfi Persónuverndar sé 54 og lúti að 23 einstaklingum. Hvað varðar flokkun upplýsinganna telji umbjóðandi hans að hægt að sé að persónugreina nöfn tveggja fósturfjölskyldna og einnar stuðningsfjölskyldu. Þá komi fram nafn eins aðila sem hafi fengið stuðning vegna sjúkraþjálfunar og lyfjakaupa, fjögurra aðila sem hafi fengið áfalla- og sálfræðiaðstoð og eins sem hafi fengið greidda dvöl á heilsustofnun. Ekki virðist sem hægt sé að greina neinn sem fékk greidda beina fjárhagsaðstoð inn á reikning í afgreiðslukerfi fjárhagsaðstoðar, í ljósi þess að þar birtist hvorki kennitölur né nöfn.

2.3 Lýsing á líklegum afleiðingum öryggisbrestsins

Fram kemur í fyrrgreindu svarbréfi að samkvæmt upplýsingum um vefumferð frá vinnsluaðila Seltjarnarnesbæjar, sem hýsi vefinn, virðist sem fáar heimsóknir hafi verið á hið opna bókhald fram að þeim tíma er því var lokað, síðdegis 27. apríl 2018. Þá er í svarbréfinu vísað til minnisblaðs KPMG ehf. þar sem fram kemur að ekki liggi fyrir staðfesting á því að framangreindum persónuupplýsingum hafi verið flett upp í bókhaldinu eða, ef það gerðist, hve oft það hafi verið gert. Þar sem umræddar persónuupplýsingar munu vera takmarkaðar við nöfn, kennitölur, tengiliðaupplýsingar, fjárhæð greiðslu og tilefni, sé það mat KPMG ehf. að svo stöddu að líklegustu afleiðingar umrædds atburðar séu þær að takmarkaðar upplýsingar um tilefni greiðslna til afmarkaðs hóps einstaklinga kunni að hafa komist í hendur allt að sex óviðkomandi einstaklinga á þeirri vefsíðu Seltjarnarnesbæjar sem hýsir hið opna bókhald. Þar sem aðgengið virðist hafa verið takmarkað og um hafi verið að ræða framangreindar bókhaldsupplýsingar telji Seltjarnarnesbær, að svo stöddu, að atburðurinn hafi ekki haft í för með sér skerðingu á réttindum eða frelsi hinna skráðu.

2.4 Lýsing á þeim ráðstöfunum sem ábyrgðaraðili hefur gripið til

Í svarbréfinu er tekið fram að þegar fregnir hafi borist af umræddum atburði hafi verið lokað fyrir aðgang að hinu opna bókhaldi, síðdegis 27. apríl 2018. Ekki hafi verið tekin ákvörðun um að opna bókhaldið að nýju. Að lokinni athugun á atvikinu, orsökum og afleiðingum og þegar staðfest hafi verið til hvaða persónuupplýsinga atburðurinn hafi náð hyggist Seltjarnarnesbær taka ákvörðun um með hvaða hætti verði opnað aftur fyrir bókhaldið. Áður verði gengið úr skugga um að stemmt væri með ásættanlegum hætti stigu við þeim þekktu öryggishættum sem steðji að persónuvernd og friðhelgi einkalífs þeirra einstaklinga sem upplýsingar eru um í bókhaldinu. Til að mynda þurfi sérstaklega að liggja fyrir að sú aðferð sem KPMG ehf. valdi til að framkvæma vinnsluna, þ.e. að reiða sig á skýjalausn frá fyrirtækinu Microsoft sem grundvöll undir birtingarkerfi félagsins fyrir opið bókhald, sé ekki útsett fyrir ágöllum tengdum uppfærslum er afhjúpað geti persónuupplýsingar sem ekki eigi að birtast. Fáist ekki staðfesting á því að þessi aðferð KPMG ehf. við vinnsluna sé örugg og að komist verði hjá ágöllum af því tagi sem lýst er í framangreindu minnisblaði hyggist Seltjarnarnesbær ekki opna fyrir birtingarbúnaðinn á ný. Allt að einu er tekið fram að Seltjarnarnesbær hafi ekki í hyggju að taka ákvörðun um hvort bókhaldið verði opnað á ný fyrr en endanleg niðurstaða Persónuverndar liggi fyrir.

Þá kemur fram í svarbréfinu að ekki liggi fyrir ákvörðun um hvaða aðferð verði beitt til að tilkynna þeim sem atburðurinn náði til um hann. Líklegast sé að slíkar tilkynningar verði bréflegar.

2.5 Upplýsingar um vinnsluaðila

Í svarbréfi lögmanns Seltjarnarnesbæjar kemur fram að Seltjarnarnesbær hafi verið með seinni sveitarfélögum til að birta upplýsingar um bókhald sitt með umræddum hætti. Hafi það leitt til þess að þegar hafi verið komnir fram aðilar sem buðu upp á sérhæfð upplýsingakerfi til þessara nota. Einn þessara aðila hafi verið KPMG ehf. Þá búi félagið yfir sérfræðiþekkingu um meðferð bókhalds og bókhaldsgagna, en bókhald Seltjarnarnesbæjar sé endurskoðað af löggiltum endurskoðendum félagsins. Félagið búi einnig yfir sérfræðiþekkingu á sviði upplýsingaöryggismála. Séu upplýsingar um þessa sérþekkingu og starfsemi félagsins aðgengilegar á heimasíðu þess. Hafi Seltjarnarnesbær með þessu talið sannreynt að KPMG ehf. væri í stakk búið til að gera þær tæknilegu og skipulagslegu öryggisráðstafanir sem nauðsynlegar væru til að vernda persónuupplýsingar í þessari vinnslu gegn ólöglegri eyðingu, gegn því að þær glötuðust eða breyttust fyrir slysni og gegn óleyfilegum aðgangi, auk þess að viðhafa nauðsynlegt innra eftirlit með vinnslunni, svo sem áskilið sé í 11. og 12. gr. laga nr. 77/2000.

Ákvörðun um að birting skyldi fara fram hafi verið tekin af Seltjarnarnesbæ og hafi það skilyrði verið sett að engar upplýsingar yrðu birtar um færslur að lægri fjárhæð en 500.000 kr. Allar ákvarðanir um aðferðir við birtinguna hafi verið í höndum KPMG ehf. og hafi félagið lagt til sína hugbúnaðarlausn sem annaðist birtinguna. Þar sem ákvörðun um tilgang umræddrar vinnslu og ráðstöfun upplýsinganna hafi verið hjá Seltjarnarnesbæ, og ákvarðanir um þann hugbúnað sem notaður hafi verið og aðferðir við vinnsluna hafi verið hjá KPMG ehf., sé það afstaða Seltjarnarnesbæjar að báðir aðilar séu ábyrgðaraðilar vinnslunnar. Er vísað því til stuðnings til úrskurðar Persónuverndar í máli 2016/266.

Hvað varðar ósk Persónuverndar um beiðni um afrit af áhættumati segir að ákvarðanir um val á búnaði og aðferðum við vinnsluna hafi verið í höndum KPMG ehf. í krafti sérfræðiþekkingar fyrirtækisins, bæði á bókhaldi og upplýsingaöryggi. Hafi Seltjarnarnesbær því ekki haft forsendur til að meta í þeim hluta vinnslunnar hvaða hættur steðjuðu að viðkomandi persónuupplýsingum þegar unnið var með þær í umræddum búnaði eða hvaða ráðstafana rétt væri að grípa til í búnaðinum eða við beitingu aðferða KPMG ehf. við þann hluta vinnslunnar, í því skyni að stemma stigu við slíkri hættu. Búi því Seltjarnarnesbær ekki yfir áhættumati eða lýsingu á öryggisráðstöfunum.

3.

Frekari bréfaskipti

Þann 5. október 2018 óskaði Persónuvernd eftir upplýsingum um hvort þeir einstaklingar sem hefðu orðið fyrir umræddum öryggisbresti hefðu verið upplýstir um það af hálfu Seltjarnarnesbæjar. Þá var sveitarfélaginu gefinn kostur á að koma á framfæri frekari skýringum vegna málsins.

Í svari lögmanns Seltjarnarnesbæjar frá 8. október 2018 kemur fram að þeim einstaklingum sem óviðkomandi aðilar höfðu aðgang að upplýsingum um hafi ekki verið tilkynnt um atburðinn. Þá staðfesti lögmaðurinn að engar nýjar upplýsingar lægju fyrir vegna málsins.

Þann 16. s.m. óskaði Persónuvernd eftir frekari skýringum vegna málsins. Samkvæmt athugun Persónuverndar virtist valmöguleikinn „See records“ hafa verið aðgengilegur við notkun á mælaborði Power BI-hugbúnaðar Microsoft allt frá árinu 2016. Því til stuðnings vísaði Persónuvernd meðal annars til umræðuvettvangs á vegum Microsoft þar sem notendur ræða um framangreindan valmöguleika og þá staðreynd að hægt sé að sjá þau gögn sem liggi til grundvallar. Mætti rekja þær umræður allt aftur til ársins 2016. Óskaði stofnunin því eftir gögnum sem staðfestu að valmöguleikinn „See records“ hefði ekki verið til staðar þegar hugbúnaðurinn var prófaður af starfsmönnum Seltjarnarnesbæjar.

Í svari lögmanns Seltjarnarnesbæjar frá 2. nóvember 2018 kemur fram að leitað hafi verið skýringa hjá KPMG ehf. Í svörum félagsins komi fram nokkuð fyllri mynd af þeirri heimild sem vísað er til í tölvupósti Persónuverndar frá 16. október 2018 þar sem hún er sögð vera „meðal annars umræður á hjálparsíðu fyrirtækisins“. Í svörum félagsins kemur fram að á þeim umræðuvettvangi sem vísað sé til „geti allir notendur spurt og svarað spurningum en slíkur umræðuvettvangur geti ekki talist formleg skjölun af hálfu Microsoft hvað þessi málefni varðar.“ Segir að leitað hafi verið eftir formlegum svörum eða viðurkenndum skjölum um þá virkni varðandi Power BI sem um ræði en slíkt hafi ekki fengist frá umræddum framleiðanda, þ.e. fyrirtækinu Microsoft.

Þá ítrekar lögmaður Seltjarnarnesbæjar þá afstöðu sveitarfélagsins að það hafi keypt hugbúnaðarkerfi frá KPMG ehf. og að sú aðferð sem sá hugbúnaður byggi á, þ.e. að reiða sig á skýjalausn frá fyrirtækinu Microsoft sem grundvöll kerfisins, sé eðli málsins samkvæmt valin af seljanda hugbúnaðarins, þ.e. KPMG ehf. Sveitarfélagið sé því ekki í aðstöðu til að bæta við eða bera brigður á þær skýringar sem félagið hafi fært fram um þessi tæknilegu atriði í högun hugbúnaðar síns.

Loks er tekið fram að prófanir starfsmanna bæjarins sneru hvorki að því hvort „See records“-virknin í hugbúnaði Microsoft, eða útfærsla hennar í hugbúnaði KPMG ehf., hefði virkað með réttum hætti eða ekki, né því hvort eða hvernig einhverjar aðrar ákvarðanir sem KPMG ehf. tók við smíði síns hugbúnaðar hefðu reynst með þeim hætti sem hönnun hugbúnaðarins gerði ráð fyrir, enda búi starfsfólk sveitarfélagsins ekki yfir sérfræðiþekkingu á hönnun hugbúnaðar sem nauðsynleg væri til slíkra ályktana. Þess í stað hafi eingöngu farið fram notendaprófanir, þ.e. ítarlegar, tilvikabundnar prófanir á því hvort innsláttur á fyrirspurnum, uppflettingar o.s.frv. gætu í einhverjum tilvikum leitt til þess að persónuupplýsingar myndu afhjúpast. Staðfesti lögmaðurinn að í framangreindum prófunum hefði ekkert slíkt komið í ljós.

Með bréfi, dags. 13. desember 2018, óskaði Persónuvernd eftir upplýsingum frá Microsoft Ísland hf. sem staðfestu hvenær umrædd uppfærsla hefði verið framkvæmd á skýjaumhverfi Microsoft sem hefði orðið þess valdandi að valmöguleikinn „See Records“ hefði orðið virkur þegar notast væri við valmöguleikann „Publish to web“. Þá óskaði Persónuvernd eftir upplýsingum um hvort umræddur valmöguleiki birtist sjálfkrafa og notandi hugbúnaðarins þyrfti að aftengja þá virkni sérstaklega.

Svar Microsoft Ísland hf. barst þann 20. janúar 2019. Þar segir að samkvæmt þeim upplýsingum sem Microsoft Ísland hf. búi yfir hafi „See records“-möguleikinn fyrst verið kynntur í apríl 2016 sem hluti af Power BI Desktop. Valmöguleikinn „See records“ hafi verið aðgengilegur frá því í febrúar 2016 sem hluti af Power BI Service. Valmöguleikinn „Publish to web“ hafi verið hluti af þessu.

Þá segir í bréfi Microsoft Ísland hf. að umræddur valmöguleiki sé ekki sjálfvalinn og er í því sambandi vísað til skilaboða sem birtast notanda þegar valmöguleikinn „Publish to Web“ er valinn og gögn eru send út á vefinn. Í framangreindum skilaboðum kemur meðal annars fram að skýrslan eða myndin sem birt sé geti verið skoðuð af öllum á Netinu. Þeir sem skoði gögnin séu ekki auðkenndir sérstaklega. Þá segir að eingöngu skuli nota umræddan valmöguleika þegar um sé að ræða upplýsingar sem heimilt er að birta opinberlega. Þetta eigi líka við undirliggjandi gögn sem liggi til grundvallar skýrslunum og áður en skýrslan sé birt skuli tryggja að viðkomandi hafi heimild til að deila gögnunum og myndum opinberlega. Ekki skuli birta gögn sem háð séu trúnaði. Loks segir í bréfinu að ekkert í þjónustunni geri kröfu um að notandi haki burt valmöguleikann heldur sé hér um að ræða virkni sem notandinn velji sjálfur.

II.

Forsendur og niðurstaða

1. Lagaskil

Mál þetta varðar atvik sem átti sér stað fyrir gildistöku núgildandi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga þann 15. júlí 2018. Umfjöllun og efni þessarar ákvörðunar takmarkast því við ákvæði eldri laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000.

2.

Gildissvið laga nr. 77/2000

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga giltu um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Þá eru viðkvæmar persónuupplýsingar skilgreindar í 8. tölul. sömu greinar og geta þær tekið til upplýsinga um heilsufar, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Samkvæmt 5. tölul. 2. gr. laganna er þar átt við aðila sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laga nr. 77/2000. Þá er tekið fram í 3. mgr. 13. gr. laganna að vinnsluaðila sé aðeins heimilt að vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg.

Um mörk þess hvenær telja skuli þann sem kemur að vinnslu persónuupplýsinga vera ábyrgðaraðila eða vinnsluaðila hefur verið fjallað í áliti frá starfshópi sem starfaði samkvæmt 29. gr. persónuverndartilskipunar 95/46/EB (nú brottfallin), en hann var skipaður fulltrúum persónuverndarstofnananna í ríkjum sem skuldbundin voru af ákvæðum hennar. Nánar tiltekið er um að ræða álit nr. 1/2010 (WP169) um hugtökin „ábyrgðaraðili“ og „vinnsluaðili“. Segir þar meðal annars að þegar sjálfstætt starfandi sérfræðingur tekur að sér verk geti sérþekking hans og sjálfstæð staða haft þau áhrif að hann teljist ábyrgðaraðili þeirrar vinnslu persónuupplýsinga sem hann viðhefur við framkvæmd verksins. Þar eru meðal annars nefnd raunhæf dæmi um hvernig á það getur reynt hvort sjálfstæðir sérfræðingar teljist ábyrgðaraðilar að vinnslu sem þeir hafa með höndum í vinnu fyrir aðra. Má þar nefna að ef endurskoðandi tekur að sér verk án þess að fá nákvæm fyrirmæli um hvernig það skuli unnið teljist hann alla jafna vera ábyrgðaraðili að vinnslu persónuupplýsinga sem tengist verkinu. Öðru máli geti hins vegar gegnt ef honum eru nákvæmlega lagðar línurnar um hvernig það skuli unnið (sjá bls. 29 í álitinu).

Af hálfu lögmanns Seltjarnarnesbæjar hefur því verið haldið fram að bæði Seltjarnarnesbær og KPMG ehf. hafi verið sjálfstæðir ábyrgðaraðilar og borið ábyrgð á tilteknum hluta vinnslunnar. Eins og hér háttar til reynir því á hvort Seltjarnarnesbær teljist vera ábyrgðaraðili að umræddri vinnslu og KPMG ehf. vinnsluaðili eða hvort Seltjarnesbær og KPMG ehf. teljist hvor um sig ábyrgðaraðilar að sínum hluta vinnslunnar.

Í máli þessu liggur fyrir að umrædd vinnsla fór fram að beiðni Seltjarnarnesbæjar og að frumkvæði sveitarfélagsins í þeim tilgangi að veita þeim, sem láta sig rekstur sveitarfélagsins varða, aukinn og einfaldari aðgang að rekstrarupplýsingum í anda opins lýðræðis og gagnsæis hins opinbera.

Við mat á því að hvaða marki sveitarfélagið telst ábyrgðaraðili þeirrar vinnslu sem hér er um að ræða er nauðsynlegt að líta til þess að um er að ræða opið bókhald á vegum stjórnvalds og ekki er hægt að líta svo á að sveitarfélagið geti skorast undan þeirri ábyrgð sem því fylgir.

Þá liggur fyrir að sveitarfélagið gerði samning við KPMG ehf. um ráðgjöf og aðstoð við opið bókhald. Orðalag framangreinds samnings ber ekki með sér annað en að sveitarfélagið hafi eitt staðið að ákvarðanatöku um vinnslu persónuupplýsinga, þó svo að KPMG ehf. hafi gert tillögu að hvaða búnaður og aðferð myndi henta best í því tilviki sem hér var um að ræða. Hér hefur einnig vægi að af samningnum má ráða að KPMG ehf. hafi ekki sinnt hlutverki endurskoðanda samkvæmt lögum nr. 79/2008 um endurskoðendur, þegar ráðgjöfin var veitt og ekki nauðsynlegt að KPMG ehf. tæki sjálfstæðar ákvarðanir um vinnsluna. Líta má svo á að KPMG ehf. hafi veitt sveitarfélaginu tiltekna sérfræðiþjónustu en með hliðsjón af orðalagi framangreinds samnings fellst Persónuvernd ekki á að hægt sé að líta á KPMG ehf. sem sjálfstæðan ábyrgðaraðila.

Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að Seltjarnarnesbær sé ábyrgðaraðili að umræddri vinnslu, en KPMG ehf. vinnsluaðili. Breyta ný lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga engu í þessu sambandi.

3.

Lagaumhverfi og sjónarmið

3.1.

Heimild til vinnslu persónuupplýsinga

Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Má þar nefna að vinnslan sé nauðsynleg til að fullnægja lagaskyldu, sbr. 3. tölul. 1. mgr. þeirrar greinar, eða að vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna. Þá verður vinnsla viðkvæmra persónuupplýsinga, s.s. heilsufarsupplýsinga, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna. Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu.

3.2 Öryggi við vinnslu persónuupplýsinga

Öll vinnsla persónuupplýsinga þarf jafnframt að samrýmast meginreglum 7. gr. laga nr. 77/2000. Samkvæmt 1. tölul. 1. mgr. 7. gr. skal þess gætt við meðferð persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Liður í því að tryggja vandaða vinnsluhætti er að uppfylla kröfur um upplýsingaöryggi. Í upplýsingaöryggi felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi og að þær séu einungis aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda.

Samkvæmt lögum nr. 77/2000 hvíldi sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið var með, sbr. 11.-13. gr. laganna og reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Í 11. gr. laganna er meðal annars fjallað um öryggisráðstafanir. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.

Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þar með talið þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði 11. gr. laga nr. 77/2000, sbr. 4. mgr. ákvæðisins. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr. sama ákvæðis.

Persónuvernd hefur sett nánari reglur um öryggi persónuupplýsinga, nr. 299/2001. Samkvæmt þeim skal ábyrgðaraðili útbúa öryggiskerfi og byggja það á skriflegri öryggisstefnu og skriflegu áhættumati auk þess sem gera þurfi viðeigandi öryggisráðstafanir. Í 2. tölul. 3. gr. reglnanna eru ábyrgðaraðilum veittar nánari leiðbeiningar um hvernig skuli standa að gerð áhættumats. Þar segir að áhættumat sé mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat taki einnig til athugunar á umfangi og afleiðingum hættunnar með tilliti til eðlis þeirra persónuupplýsinga sem unnið sé með. Markmið áhættumats sé að skapa forsendur fyrir vali á öryggisráðstöfunum, sbr. III. kafla reglnanna. Þá skuli tilgreina hvað geti farið úrskeiðis, hvaða áhrif það geti haft á öryggi upplýsinganna og hvaða líkur séu á því.

Samkvæmt 12. gr. laga nr. 77/2000, sbr. nánari fyrirmæli í 8. gr. reglna nr. 299/2001, skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.

Samkvæmt 13. gr. laganna, sbr. einnig 9. gr. reglnanna, er ábyrgðaraðila heimilt að semja við annan aðila um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á, en í lögunum er slíkur aðili nefndur vinnsluaðili, þ.e. aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laganna. Eins og fram kemur í 13. gr. laganna og 9. gr. reglnanna er umrædd samningsgerð þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að vinnsluaðilinn geti viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit með henni. Þá skal hann gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.

Í skriflegum svörum Seltjarnarnesbæjar kemur fram að val á búnaði og aðferðum við vinnsluna hafi verið í höndum KPMG ehf. Hafi sveitarfélagið því ekki haft forsendur til að meta í þeim hluta vinnslunnar hvaða hættur steðjuðu að viðkomandi persónuupplýsingum þegar unnið var með þær í umræddum búnaði eða hvaða ráðstafana rétt hefði verið að grípa til í búnaðinum eða við beitingu aðferða KPMG ehf. við þann hluta vinnslunnar, í því skyni að stemma stigu við slíkri hættu. Búi sveitarfélagið því ekki yfir umræddu áhættumati eða lýsingu á öryggisráðstöfunum.

Þá hefur komið fram í gögnum málsins að ekki hafi verið til staðar vinnslusamningur, líkt og áskilið er í 13. gr. laga nr. 77/2000.

4.

Niðurstaða

Samkvæmt þeim upplýsingum sem liggja fyrir í máli þessu var það ekki ætlun Seltjarnarnesbæjar að birta persónuupplýsingar á vefsíðu sinni í tengslum við opið bókhald. Stóð engin heimild til birtingarinnar samkvæmt 1. mgr. 8. gr. og 1. mgr. 9. gr. laga nr. 77/2000. Var hún því andstæð ákvæðum laganna.

Fyrir liggur að KPMG ehf. telst vera vinnsluaðili þeirra persónuupplýsinga, sem um ræðir í málinu, í skilningi laga nr. 77/2000, en Seltjarnesbær ábyrgðaraðili. Seltjarnarnesbæ bar því að gera áhættumat og ákveða öryggisráðstafanir sem og að sinna reglulegu innra eftirliti. Það var ekki gert og var því vinnslan ekki í samræmi við ákvæði 11. og 12. gr. laga nr. 77/2000 auk þess sem ekki var fylgt ákvæðum 13. gr. um gerð vinnslusamnings.

Er lagt fyrir Seltjarnarnesbæ að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taki mið af eðli, umfangi, samhengi, tilgangi og áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. 23. gr. laga nr. 90/2018, og gera vinnslusamning við KPMG ehf., sem uppfyllir ákvæði 25. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Loks telur Persónuvernd það verulega ámælisvert að fyrirtæki sem veitir sérfræðiþjónustu á þessu sviði, þ.e. KPMG ehf., skuli viðhafa þau vinnubrögð sem fram hafa komið í bréfaskiptum, þar á meðal að ganga ekki úr skugga um að ekki væri mögulegt að nálgast upplýsingar um einstaklinga með notkun á Power BI. Samkvæmt lögum nr. 77/2000, sem giltu um meðferð persónuupplýsinga þegar atvik máls urðu, báru vinnsluaðilar takmarkaða ábyrgð og beinist niðurstaða máls þessa því eingöngu að ábyrgðaraðila vinnslunnar. Rétt er að taka fram að með lögum nr. 90/2018 er lögð aukin og sjálfstæð skylda á vinnsluaðila sem meðal annars lýtur að því að hann tryggi öryggi upplýsinga, sbr. 27. gr. laganna.

Í málinu liggur fyrir að ábyrgðaraðili brást strax við þegar atvikið kom upp til að takmarka tjón og gera viðeigandi ráðstafanir til að koma í veg fyrir að upplýsingarnar yrðu gerðar aðgengilegar fleiri óviðkomandi aðilum en þegar var orðið. Lét ábyrgðaraðili loka fyrir aðgang að hinu opna bókhaldi um leið og fregnir bárust af því að umræddar upplýsingar væru aðgengilegar. Þá veitti ábyrgðaraðili Persónuvernd nauðsynlegar upplýsingar um atvikið með greinargóðum hætti. Að mati Persónuverndar greip ábyrgðaraðili því til fullnægjandi ráðstafana til að lágmarka það tjón sem gat hlotist af framangreindum öryggisbresti.

Líkt og áður hefur komið fram urðu atvik máls í gildistíð eldri laga nr. 77/2000 en samkvæmt þeim lögum hafði Persónuvernd ekki heimild til að leggja á stjórnvaldssektir vegna brota á lögunum. Kemur því ekki til skoðunar hér hvort tilefni sé til að leggja á stjórnvaldssektir vegna atviksins, sem heimilt er samkvæmt núgildandi lögum, en um fyrirmæli sem lúta að því að grípa til ráðstafana fer eftir þeim. Hvað varðar upplýsingagjöf til hinna skráðu skal á það bent að samkvæmt lögum nr. 77/2000 var ekki skylt að tilkynna hinum skráðu um öryggisbrest þó svo að það hafi verið heimilt. Þessari skyldu hefur hins vegar verið komið á með ákvæði 3. mgr. 27. gr. laga nr. 90/2018.

Á k v ö r ð u n a r o r ð:

Birting viðkvæmra persónuupplýsinga á vefsíðu Seltjarnarnesbæjar samrýmdist ekki lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Þá var öryggi við vinnslu persónuupplýsinga ekki í samræmi við ákvæði 11. og 12. gr. laganna auk þess sem ekki var gerður vinnslusamningur við KPMG ehf., í samræmi við 13. gr. laganna.

Er lagt fyrir Seltjarnarnesbæ að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taki mið af eðli, umfangi, samhengi, tilgangi og áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. 23. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, og gera vinnslusamning við KPMG ehf., sem uppfyllir ákvæði 25. gr. laganna.

Skal Seltjarnarnesbær senda Persónuvernd staðfestingu á því að farið hafi verið að fyrirmælum stofnunarinnar fyrir 1. apríl næstkomandi.