Miðlun netfangs með fjöldapósti ekki í samræmi við lög

Mál nr. 2021061419

27.9.2021

Úrskurður

Hinn 16. september 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2021061419:

I.

Málsmeðferð

1.

Tildrög máls

Hinn 24. júní 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir miðlun Vinnumálastofnunar á netfangi hennar í fjöldapósti. Kvörtuninni fylgdi afrit fjöldapóstsins, sem sendur var sama dag.

Með bréfi 22. júlí 2021 var Vinnumálastofnun boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svör Vinnumálastofnunar bárust Persónuvernd með bréfi 17. ágúst sama ár. Svarbréfinu fylgdu afrit fjöldapóstsins, tölvuskeyti Vinnumálastofnunar 25. júní 2021 þar sem mistökin voru afsökuð og verklag um skráningu öryggisbresta og öryggisfrávika.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna þótt ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.

Sjónarmið kvartanda

Í kvörtuninni segir að Vinnumálastofnun hafi miðlað netfangi kvartanda til hundrað einstaklinga án leyfis með fjöldapósti 24. júní 2021. Efni fjöldapóstsins varðaði endurupptöku umsókna um greiðslur í sóttkví og kom fram í honum að viðtakendur eða fyrirtæki sem þeir væru í forsvari fyrir hefðu fengið greiðslur frá Vinnumálastofnun vegna launa í sóttkví.

3.

Sjónarmið Vinnumálastofnunar

Í svarbréfi Vinnumálastofnunar segir að sama dag og fjöldapósturinn hafi verið sendur hafi persónuverndarfulltrúa Vinnumálastofnunar borist upplýsingar um að netföng í afriti (cc) hafi birst viðtakendum póstsins. Við nánari skoðun hafi komið í ljós að fyrir mistök hefði staðlaður tölvupóstur verið sendur á um 900 netföng í þremur aðgreindum sendingum og að í stað þess að hafa viðtakendur í földu afriti (bcc) hafi þeir verið settir í sýnilegt afrit (cc). Umrædd netföng hafi að stærstum hluta verið netföng tengiliða hjá fyrirtækjum.

Í svarbréfinu segir að um mannleg mistök hafi verið að ræða og að þau hafi verið uppgötvuð fljótlega eftir að tölvupóstarnir voru sendir. Starfsmenn upplýsingatæknisviðs Vinnumálastofnunar hafi reynt að afturkalla þær sendingar, sem ekki hefðu enn borist viðtakendum, en það hefði ekki tekist í öllum tilvikum.

Persónuverndarfulltrúi Vinnumálastofnunar hafi skoðað umrætt atvik og skráð það í skrá stofnunarinnar yfir öryggisbresti og öryggisfrávik. Niðurstaða skoðunar hans hafi verið sú að ekki væri þörf á að tilkynna öryggisbrestinn til Persónuverndar, skv. 2. mgr. 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Sú niðurstaða hafi meðal annars byggst á því sem að framan greinir um að netföngin hafi að mestu leyti verið netföng tengiliða hjá fyrirtækjum auk þess sem upplýsingar um að einstaklingar hafi sótt um eða nýtt sér úrræði um launagreiðslur í sóttkví verði að mati Vinnumálastofnunar ekki taldar til viðkvæmra persónuupplýsinga samkvæmt skilgreiningu laga nr. 90/2018. Einnig hafi verið litið til fjölda viðtakenda og til þess að um einstakt atvik hafi verið að ræða sem hafi uppgötvast fljótt. Þá hafi verið tekið tillit til þess að Vinnumálastofnun hafi sent tölvuskeyti á alla viðtakendur fjöldapóstsins þar sem beðist hafi verið velvirðingar á þeim mistökum sem hefðu orðið við útsendingu hans og óskað eftir því að viðtakendur eyddu umræddum netföngum.

Í kjölfarið hafi Vinnumálastofnun endurskoðað og breytt verkferlum við fjöldapóstsendingar á þann veg að nú skulu tveir starfsmenn fara yfir slíkar sendingar áður en þær eru sendar til að tryggja að netföng séu ekki gerð aðgengileg. Einnig verði tekið mið af atvikinu í reglulegri fræðslu til starfsmanna.

Í svarbréfi Vinnumálastofnunar segir að um einstakt tilvik hafi verið að ræða sem ekki hafi stuðst við vinnsluheimild samkvæmt 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679 eða fullnægt meginreglum persónuverndarlöggjafarinnar.

II.

Forsendur og niðurstaða

1.

Gildissvið og ábyrgðaraðili

Gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að miðlun Vinnumálastofnunar á netfangi kvartanda með tölvupósti. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Eins og hér háttar til telst Vinnumálastofnun vera ábyrgðaraðili að umræddri vinnslu, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðarinnar.

2.

Niðurstaða

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, og samrýmast öllum meginreglum 1. mgr. 8. gr. laganna, sbr. 1. mgr. 5. gr. reglugerðarinnar, sem fela meðal annars í sér að persónuupplýsingar skulu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.

Að virtum svörum Vinnumálastofnunar liggur fyrir að umrædd miðlun netfangs kvartanda fól í sér öryggisbrest og að vinnsla persónuupplýsinga, sem fólst í miðluninni, byggðist því ekki á fullnægjandi heimild samkvæmt persónuverndarlöggjöfinni. Með hliðsjón af því samrýmdist vinnslan ekki lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Eins og atvikum öllum er hér háttað verður ekki talið að Vinnumálastofnun hafi verið skylt að tilkynna öryggisbrestinn til Persónuverndar, skv. 2. mgr. 27. gr. laga nr. 90/2018, sbr. 1. mgr. 33. gr. reglugerðarinnar. Samkvæmt svörum Vinnumálastofnunar er enn fremur ljóst að stofnunin hefur breytt verklagi sínu til að reyna að koma í veg fyrir að sams konar öryggisbrestur verði aftur. Þykir því ekki tilefni til að gefa stofnuninni fyrirmæli þar að lútandi.

Ú r s k u r ð a r o r ð:

Miðlun Vinnumálastofnunar á netfangi [A] til viðtakenda fjöldapósts stofnunarinnar samrýmdist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.

Í Persónuvernd, 16. september 2021,

Helga Þórisdóttir                                                    Valborg Steingrímsdóttir