Öryggisbrestur hjá Sorpu bs.

Mál nr. 2017121789

7.1.2020

Úrskurður

Hinn 7. janúar 2020 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2017/1789:

I.

Málsmeðferð

1.

Tildrög máls

Þann 13. desember 2017 barst Persónuvernd kvörtun frá [X] (hér eftir nefndur kvartandi) vegna öryggisbrests hjá Sorpu bs. sem leiddi til þess að tölvupóstar kvartanda með ábendingum sem sendir voru í gegnum vefsíðu Sorpu bs. urðu aðgengilegir á vefsíðu fyrirtækisins. Í kvörtuninni segir meðal annars að í tölvupóstunum hafi verið að finna nafn, netfang og símanúmer kvartanda og að hann hafi orðið fyrir talsverðu tjóni við birtinguna vegna hótana frá ónefndum manni sem taldi sig eiga sökótt við kvartanda.

Í tölvupóstum kvartanda til Sorpu bs. voru, auk upplýsinga um fullt nafn, símanúmer og netfang hans, ábendingar kvartanda til Sorpu bs., svo sem um að gámar væru fullir og þörfnuðust tæmingar auk fyrirspurna um framkvæmd endurvinnslu.

2.

Bréfaskipti

Með bréfi, dags. 3. maí 2018, var Sorpu bs. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi Sorpu bs., dags. 17. s.m., segir meðal annars að ekki hafi verið um tölvupósta að ræða heldur ábendingar sem sendar voru í gegnum vefsíðu Sorpu bs. og að þjónustuaðili hafi staðfest við Sorpu bs. að öryggisbresturinn hafi verið lagfærður. Að öðru leyti er vísað til svars Sorpu bs., dags. 16. nóvember 2017, sem félagið sendi Persónuvernd í tengslum við frumkvæðisathugun stofnunarinnar vegna sama öryggisbrests, sbr. mál nr. 2017/1611 hjá stofnuninni. Í fyrrgreindu bréfi Sorpu bs. segir að ábendingakerfið hafi verið búið til um 2011 og hýst hjá Dacoda ehf., en félagið hafi einnig séð um uppsetningu og forritun þess. Þá segir að árið 2014 hafi verið sett upp ný vefsíða fyrir Sorpu bs. og þá hafi upplýsingar úr ábendingakerfinu verið fluttar á nýja vefsíðu, en stuttu seinna hafi nýtt ábendingarkerfi verið tekið í notkun. Í bréfinu segir að hvergi hafi verið tengill á eldra ábendingarkerfið og ekki sé ljóst hvernig slóðin hafi orðið aðgengileg á leitarvélum. Þá segir að ekki hafi verið hægt að senda inn ábendingar af íslenska vefnum, en á enskum vef fyrirtækisins hafi verið falin síða þar sem hægt var að senda inn ábendingar þrátt fyrir að kerfið hafi ekki verið lengur í notkun. Öllum gögnum tengdum ábendingarkerfinu hafi verið eytt og séu þau ekki lengur aðgengileg auk þess sem ensku ábendingarsíðunni hafi verið lokað. Þá segir í bréfinu að enn finnist niðurstöður bæði á vefleitarvélunum Bing og Google sem vísi á framangreindar upplýsingar á vefsíðu Sorpu bs. en að óskað hafi verið eftir því að þær yrðu fjarlægðar.

Loks segir að Sorpa bs. hafi ekki upplýsingar um hvort það vefsvæði sem hýsti upplýsingarnar hafi verið læst að öðru leyti en því að til sé póstur frá Dacoda ehf. til Sorpu bs. þar sem Dacoda ehf. mælir með að svo verði gert, en ekki sést hvort því hafi verið fylgt eftir þar sem samskipti Sorpu bs. og Dacoda ehf. hafi farið fram í síma þegar kerfið var búið til og skráningar hafi ekki verið nógu nákvæmar.

Með bréfi, dags. 13. júní 2018, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Sorpu bs. Svar kvartanda barst Persónuvernd með tölvupósti þann 19. s.m. Í tölvupóstinum segir meðal annars að fallist sé á að þær upplýsingar sem um ræðir hafi ekki verið tölvupóstar heldur ábendingar eins og bent sé á í bréfi Sorpu bs., en kvartandi telji þó tjón sitt vegna öryggisbrestsins vera óbreytt.

Með bréfi, dags. 17. janúar 2019, var óskað upplýsinga frá Sorpu bs. um hvort í gildi hafi verið vinnslusamningur milli Sorpu bs. og Dacoda ehf. meðan persónuupplýsingar voru hýstar hjá fyrirtækinu, sbr. 13. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sem í gildi voru þegar öryggisbresturinn varð. Var auk þess óskað afrits af vinnslusamningi, hefði hann verið gerður. Svar barst með bréfi, dags. 4. febrúar s.á., en þar segir m.a. að á þessum tíma hafi ekki verið í gildi sérstakur vinnslusamningur milli Sorpu bs. og félagsins.

Meðferð þessa máls hefur tafist vegna mikilla anna hjá Persónuvernd.

II.

Forsendur og niðurstaða

1.

Lagaskil og afmörkun máls

Atvik máls þessa gerðust fyrir gildistöku núgildandi laga, nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, hinn 15. júlí 2018. Umfjöllun og efni þessa úrskurðar byggjast því á ákvæðum eldri laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

2.

Gildissvið – Ábyrgðaraðili

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga giltu um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem voru eða áttu að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar voru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint mátti rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla var skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið var með persónuupplýsingar, hvort heldur vinnslan var handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við ákvæðið í frumvarpi því, sem varð að lögum nr. 77/2000, kom fram að hver sú aðferð, sem nota mátti til að gera upplýsingar tiltækar, teldist til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem bar ábyrgð á að vinnsla persónuupplýsinga samrýmdist lögum nr. 77/2000 var nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna var þar átt við þann sem ákvað tilgang vinnslu persónuupplýsinga, þann búnað sem notaður var, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Vinnsluaðili var hins vegar sá sem vann persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laga nr. 77/2000. Um samband ábyrgðaraðila og vinnsluaðila var nánar kveðið í 13. gr. sömu laga. Eins og hér háttar til telst Sorpa bs. hafa farið með ákvörðunarvald um vinnslu þeirra persónuupplýsinga um kvartanda sem hýstar voru hjá vinnsluaðilanum Dacoda ehf. og bar Sorpa bs. því ábyrgð á að vinnsla þeirra samrýmist lögum nr. 77/2000.

2.

Lagaumhverfi

Öll vinnsla persónuupplýsinga í gildistíð laga nr. 77/2000 varð að samrýmast einhverri af kröfum 1. mgr. 8. gr. laganna. Má þar nefna að vinnslan gat talist heimil á grundvelli samþykkis hins skráða, sbr. 1. tölul. 1. mgr. þeirrar greinar, eða þess að vinnslan væri nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðili sem upplýsingum var miðlað til, gæti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda bar samkvæmt lögum vægi þyngra, sbr. 7. tölul. sömu málsgreinar.

Öll vinnsla persónuupplýsinga þurfti jafnframt að samrýmast meginreglum 7. gr. laga nr. 77/2000. Samkvæmt 1. tölul. 1. mgr. 7. gr. skyldi þess gætt við meðferð persónuupplýsinga að þær væru unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra væri í samræmi við vandaða vinnsluhætti persónuupplýsinga. Liður í því að tryggja vandaða vinnsluhætti var að uppfylla kröfur um upplýsingaöryggi. Í upplýsingaöryggi felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi og að þær séu einungis aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda.

Samkvæmt lögum nr. 77/2000 hvíldi sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið var með, sbr. 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga.

Samkvæmt 11. gr. laga nr. 77/2000 bar ábyrgðaraðila að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Samkvæmt 13. gr. sömu laga, sbr. einnig 9. gr. reglna nr. 299/2001, var ábyrgðaraðila heimilt að semja við annan aðila, þ.e. vinnsluaðila, um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann bar ábyrgð á, en vinnsluaðili var skilgreindur í 5. tölul. 2. gr. laganna sem aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila. Eins og fram kom í 13. gr. laganna og 9. gr. reglnanna var umrædd samningsgerð þó háð því skilyrði að ábyrgðaraðili hefði áður sannreynt að vinnsluaðilinn gæti viðhaft þær öryggisráðstafanir sem um vinnsluna giltu og framkvæmt innra eftirlit með henni. Þá skyldi hann gera skriflegan samning við vinnsluaðila þar sem fram kæmi meðal annars að vinnsluaðila væri einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila giltu einnig um þá vinnslu sem vinnsluaðili annaðist, sbr. 2. mgr. 13. gr. laganna.

3.

Niðurstaða

Samkvæmt svörum Sorpu bs. sem liggja fyrir í málinu var birting þeirra persónuupplýsinga sem um ræðir á vefsíðu fyrirtækisins afleiðing mistaka sem fólust í því að tengill á eldra ábendingakerfi var aðgengilegur á enskri útgáfu vefsíðu Sorpu bs. Þegar af þeirri ástæðu verður ekki talið að birtingin hafi farið fram á grundvelli heimildar í 8. gr. laga nr. 77/2000.

Almennt var ekki gerð sú krafa að afhending persónuupplýsinga til vinnsluaðila uppfyllti skilyrði 1. mgr. 8. gr. laga nr. 77/2000 með sama hætti og þegar um er að ræða miðlun til þriðja aðila eða opinbera birtingu upplýsinga. Hins vegar þurfti þá að uppfylla framangreind ákvæði 11. gr. laganna um öryggisráðstafanir til að vernda persónuupplýsingar gegn óleyfilegum aðgangi og 13. gr. laganna um gerð vinnslusamnings. Samkvæmt svörum í bréfi Sorpu bs., dags. 4. febrúar 2019, var ekki gerður slíkur samningur milli Sorpu bs. og Dacoda ehf. Með vísan til alls framangreinds verður afhending umræddra persónuupplýsinga því ekki talin hafa samrýmst ákvæðum laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Ú r s k u r ð a r o r ð:

Birting ábendinga kvartanda, sem sendar höfðu verið í gegnum ábendingakerfi Sorpu bs., á vefsíðu fyrirtækisins samrýmdist ekki lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Afhending Sorpu bs. á sömu upplýsingum til Dacoda ehf., án þess að til staðar væri vinnslusamningur, samrýmdist jafnframt ekki sömu lögum.

Í Persónuvernd, 7. janúar 2020

 

Helga Þórisdóttir                      Helga Sigríður Þórhallsdóttir