Ákvörðun um öryggi persónuupplýsinga hjá ríkissaksóknara

27.4.2010

Ákvörðun

Á fundi stjórnar Persónuverndar hinn 19. apríl 2010 var tekin svohljóðandi ákvörðun í máli nr. 2009/1013:

　

　

I.

Málavextir

Með bréfi, dags. 9. nóvember 2009, sendi Persónuvernd bréf til embættis ríkissaksóknara af tilefni umfjöllunar fjölmiðla um óöryggi við ljósritun á gögnum embættis hjá þriðja aðila. Í bréfinu var spurt hvort gerður hefði verið vinnslusamningur samkvæmt 13. gr. laga nr. 77/2000 við umræddan aðila og almennt um öryggisráðstafanir hjá embættinu, sbr. 11. gr. sömu laga.

Í svarbréfi ríkissaksóknara, dags. 1. desember 2009, sagði m.a.:

„Varðandi fyrra atriðið bendir ríkissaksóknari á að sá háttur hefur verið hafður á um áratuga skeið að ljósrita dómsgerðir hæstaréttarmála utan embættisins. Það var hins vegar ekki fyrr en sl. haust að ríkissaksóknari fór að skoða þetta og varð ljóst að það var ekki í viðunandi farvegi. Í kjölfarið sendi hann lögreglustjóranum á höfuðborgarsvæðinu eftirfarandi tölvupóst nánar tiltekið 2. september sl.[...]

Í svarpósti lögreglustjórans kom fram að eftir skoðun embættis hans á erindinu væri ekki unnt að verða við því. Í kjölfarið var farið nánar yfir málið m.a. í tengslum við hugmyndir um að ríkissaksóknari tæki yfir að endurrita hljóðupptökur héraðsdómstólanna við áfrýjun sakamála til Hæstaréttar en óskað hafði verið eftir breytingum á reglum Hæstaréttar til að svo mætti vera. Fulltrúar dómsmálaráðuneytisins hafa komið á embættið og skoðað aðstöðu þess en við það tækifæri var sérstaklega bent á vandamál varðandi ljósritun þessara gagna og að æskilegt væri að þessi vinna færi fram innan veggja þess. Hins vegar er engin aðstaða fyrir hendi til að slíkt sé unnt. Ekki var kominn niðurstaða í málið þegar fréttir birtust í fjölmiðlum um stöðu þessara mála.

Þann 20. nóvember sl. var undirritaður samstarfssamningur milli embættis ríkissaksóknara og Samskipta ehf. um prentþjónustu, ljósritun og meðferð trúnaðargagna en það fyrirtæki hefur annast þessa þjónustu fyrir embættið lengi. Er þess að vænta að Persónuvernd telji þá lausn fullnægjandi eins og á stendur.

Varðandi síðara atriðið í bréfi Persónuverndar skal það upplýst að engin öryggisstefna hefur verið mótuð hjá embættinu, né formlegt áhættumat. Þær öryggisráðstafanir eru hins vegar gerðar að aðaldyr embættisins eru læstar. Starfsfólk getur opnað með tölvukvóda eða lykli en opnað fyrir þeim sem hringja bjöllu eftir að viðkomandi hefur verið skoðaður í öryggissjónarmiðum.

Embætti ríkissaksóknara hefur í gegnum árin bent á þörf á viðbótarhúsnæði og rekstrarfé vegna síaukins málafjölda. Ríkissaksóknari ritaði m.a. forsætisráðherra bréf 14. maí sl. í þeim tilgangi að gera honum og ríkisstjórn grein fyrir stöðu embættisins sem hann taldi ekki viðunandi. Þar sagði m.a.: [...]

Ríkissaksóknari þakkar ábendingar Persónuverndar og býður starfsfólk hennar velkomið til að skoða aðstæður og til viðræðna um úrbætur."

Þann 16. desember 2009 ákvað Persónuvernd að heimsækja ríkissaksóknara og skoða þar öryggi persónuupplýsinga. Með bréfi, dags. 5. janúar 2010, var heimsókin boðuð og með fylgdi gátlisti sem hafa átti til hliðsjónar. Heimsóknin fór fram hinn 12. janúar 2010. Í framhaldi af henni gerði Persónuvernd skýrslu um heimsóknina. Í henni sagði m.a.:

„Þriðjudaginn 12. janúar 2010 fóru fulltrúar Persónuverndar (PV), þau [Þ] og [L], lögfræðingar, í vettvangsskoðun í húsakynni Ríkissaksóknara að Hverfisgötu 5, Reykjavík. Á móti þeim tóku þau [J], skrifstofustjóri, og Valtýr Sigurðsson (VS), ríkissaksóknari.

Í upphafi greindi Þ frá tilefni vettvangsheimsóknarinnar sem gerð var í kjölfar bréfs embættisins um fyrirkomulag skjalavörslu þar á bæ.

1. Geymsla og eyðing gagna

VS skýrði frá því að frá því að hann sendi Persónuvernd bréf, dags. 1. des. 2009, hefðu verulegar úrbætur átt hafa sér stað enda hafi embættið fengið aukafjárveitingu uppá fimm milljónir kr. til þess að koma gögnum í örugga geymslu hjá Þjóðskjalasafni. U.þ.b. 23 tonn af skjölum (frá 30 ára tímabili) hafi verið flutt í geymslu Þjóðskjalasafns á Ísafirði milli jóla og nýárs. Árið þar á undan hafi tveimur tonnum af gögnum verið eytt. Eyðing fór þannig fram að gögnum var pakkað ofaní pappakassa og þeir sendir til Gagnaeyðingar sem sá um eyðinguna. Þegar vélbúnaði er eytt sér Skyggnir um eyðingu harðra diska úr vélbúnaði. Enn væru þó annmarkar að því er varðaði öryggi skjala. Það væri enn eins og lýst væri í bréfinu. Embættið væri fjársvelt og ekki fengjust fjárveitingar til þess að gera bragarbót á málum.

Stærri skjalageymslur fyrir lokuð mál eru bæði uppi á lofti og í húsnæði embættisins.

2. Ljósritun

Af sömu ástæðum gæti embættið ekki sinnt ljósritun gagna og dómskjala í sakamálum sjálft og væri nauðugur einn sá kostur að kaupa ljósritunarvinnu úti í bæ. Embættið sér um afritun hljóðritana í héraðsdómum og ljósritun dómsskjala í sakamálum fyrir Hæstarétt og er um gríðarlegt gagnasafn að ræða. VS tjáði fulltrúum Persónuverndar að vegna fyrirkomulags ljósritunar ætti hann fundi með fulltrúum héraðsdóms og Hæstaréttar um einhverskonar samstarf. Fulltrúum PV var þessu næst afhent afrit vinnslusamnings embættisins við ljósritunarfyrirtækið Samskipti. Einnig fengu fulltrúar PV afrit af þagnarskylduyfirlýsingum starfsmanna Samskipta.

3. Áhættumat, Innra eftirlit o.þ.h.

Innra eftirlit er ekki viðhaft hvað varðar meðferð gagna nema eftirlit Ríkislögreglustjóra með gagnakerfi sínu sem embættið hefur aðgang að. Þá eru öryggisfrávik ekki skráð.

Fram kom í máli J að ekkert áhættumat hefur verið framkvæmt hjá embættinu og hvorki til skrifleg öryggisstefna né lýsing öryggisráðstafana. Þá er enginn tiltekinn starfsmaður sem ber ábyrgð á öryggisráðstöfunum en þó hefur skrifstofustjóri mest um þessi mál að segja. Mikið er um prentuð skjöl í þröngu húsnæði en starfsmenn hafa frjálsar hendur um hvort þeir prenti út tölvubréf eða önnur rafræn gögn. Rafræn gögn embættisins eru á tvenns konar formi. Annars vegar málaskrá embættisins sem Skyggnir sér um og hins vegar LÖKE skrá Ríkislögreglustjóra sem það embætti hefur umsjá með.

4. Læsingar og frágangur skjala

Húsnæði embættisins er læst með talnalás og þurfa gestir að hringja bjöllu til þess að njóta aðgangs. Fyrir innan útidyr tekur á móti gestum afgirt móttökuborð og hafa gestir ekki greiðan aðgang inn á skrifstofugang. Húsnæðið er varið með innbrotsviðvörunarkerfi og eftirlitsmyndavélum nema almennur stigagangur byggingarinnar sem er opinn og óvarinn að öllu leyti. Starfsmenn embættisins fá úthlutað aðgangskortum og heldur skrifstofustjóri sérstaka skrá yfir útgefinn kort. Að öðru marki gilda engar reglur um móttöku gesta. Vegna þröngs húsakosts er engu að síður nær undantekningalaust tekið á móti gestum í fundarherbergi sem gengið er inn í beint úr móttöku.

Engar reglur gilda um frágang gagna að loknum vinnudegi og skilja starfsmenn almennt við starfsstöðvar sínar þannig að málsmöppur liggja í bunkum á borðinu enda er ekki pláss fyrir skjalaskápa í skrifstofum.

Skjalaskápar í húsnæði embættisins eru ólæstar. Geymslur í lofti eru læstar með venjulegum dyralás (Cylinder) en ekkert innbrotsviðvörunarkerfi er þar að finna.

5. Tæknilegar ráðstafanir

Vélbúnaður embættisins er orðinn gamall. Tölvuþjónn (Server) er í læstri kompu sem er líka nýtt sem birgðageymsla án loftræstingar. Brunavarnir eru alrými í húsnæðinu en engir neyðarútgangar og opnanleg fög í gluggum eru smá og hátt uppi. Brunaæfingar hafa ekki farið fram svo lengi sem elstu menn þar á bæ muna.

Gögn embættisins eru hýst á netþjóni þess í húsnæðinu. Afritun er í höndum tölvumiðstöðvar dómsmálaráðuneytisins en Skyggnir sér um vírusvarnir. Ein fartölva er til en lítið sem ekkert notuð. Fjarvinnsla er ekki leyfð.

Engar aðgangstakmarkanir eru viðhafðar hjá embættinu enda fáir starfsmenn og þurfa allri að geta gengið í öll störf. Vélbúnaði er læst með aðgangsorðum sem starfsmenn velja sér sjálfir nema hvað varðar aðgang að kerfi Ríkislögreglustjóra en þar fá starfsmenn úthlutað lykilorðum og sér það embætti um að skipta um aðgangsorð reglulega. Flestir starfsmenn nota skjáhvílur og engin er með msn eða annan hugbúnað sem halað hefur verið niður af lýðneti. Allar aðgerðir í upplýsingakerfum embættisins eru skráðar ýmist af TMD eða LÖKE.

[...]."

Skýrslan var send ríkissaksóknara með bréfi hinn 11. febrúar 2010. Hún var í flestum atriðum efnislega staðfest af ríkissaksóknara með bréfi hans, dags. 18. febrúar 2010, en þar segir m.a.:

,,Ríkissaksóknara hefur borist bréf Persónuverndar dagsett 11. þessa mánaðar ásamt minnisblaði um vettvangsathugun sem fram fór hjá embættinu hinn 12. janúar sl. Er embættinu boðið að gera athugasemdir við það sem þar kemur fram.

Athugasemdir embættisins eru eftirfarandi:

1. Í lið 1. er talað um að að gögn hafi verið flutt á Ísafjörð milli jóla og nýárs. Hið rétta er 16. desember sl.

2. Í lið 5. er fjallað um að vélbúnaður sé orðinn gamall en hann var tekinn í notkun í mars 2008. [...]."

Í bréfi Persónuverndar, dags. 3. mars 2010, var ríkissaksóknara kynnt afstaða stofnunarinnar til þess að fylgja málinu eftir. Var ríkissaksóknara gefinn kostur á að tjá sig um að samið yrði við sjálfstæðan sérfræðing, með tilliti til þess að honum yrði falið að gera ítarlegri athugun, og að kostnaður af hans vinnu yrði greiddur af ríkissaksóknara, sbr. 4. mgr. 37. gr. laga nr. 77/2000.

Svarbréf ríkissaksóknara barst Persónuvernd þann 5. mars 2010. Í því sagði m.a.:

,,Ríkissaksóknara hefur borist bréf Persónuverndar, dagsett 3. þessa mánaðar, varðandi vettvangsathugun sem fram fór hjá embættinu hinn 12. janúar sl. Í kjölfarið var gerð vettvangsskýrsla sem staðfest hefur verið af ríkissaksóknara í flestum atriðum.

Í bréfinu er ríkissaksóknara gefinn kostur á að koma að sjónarmiðum og tjá afstöðu sína til þess að samið verði við nafngreindan sérfræðing um ítarlegri athugun en kostnaður af vinnu hans myndi falla á embætti ríkissaksóknara, sbr. 4. mgr. 37. gr. laga nr. 77/2000.

Ríkissaksóknari bendir á að fjárhagur embættisins hafir verið slæmur um árabil þrátt fyrir að ítrasta aðhalds hafi verið gætt við rekstur embættisins. Hefur dómsmála- og mannréttindaráðuneytinu reglulega verið gerð grein fyrir stöðunni. Embættið telur útilokið að það geti staðið undir kostnaði vegna umræddrar úttektar án sérstakrar fjárveitingar frá ráðuneytinu enda má gera ráð fyrir að hún geti kostað nokkur hundrum þúsund krónur. Ríkissaksóknari bendir jafnframt á að samkvæmt lögum nr. 88/2008 um meðferð sakamála, með síðari breytingun, á embætti héraðssaksóknara að taka yfir stóran þátt í starfsemi embættisins 2012. Því sé með öllu óraunhæft að ráðast nú í ítarlega og kostnaðarsama úttekt á embættinu sem nýttist aðeins að takmörkuðu leyti eftir þær breytingar. Ríkissaksóknari telur því fulla ástæðu til að bíða með slíka úttekt þar til sú breyting hefur átt sér stað. Þá má ennfremur benda á að á síðustu mánuðum hefur verið gert verulegt átak til að mæta kröfum um varðveislu gagna, ljósritun og aðra þætti er lúta að öryggismálum."

　

II

Niðurstaða

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Af þessu leiðir að efni máls þessa lýtur að vinnslu persónuupplýsinga og þar með fellur umfjöllun um efni þess undir valdsvið Persónuverndar.

1.

Í 11. gr. laga nr. 77/2000 er fjallað um öryggi persónuupplýsinga, þ.e. hvernig skuli vernda þær. Komið skal í veg fyrir að þær eyðileggist ólöglega, glatist eða breytist fyrir slysni eða komist í hendur óviðkomandi. Efnislega byggir ákvæðið á 1. mgr. 17. gr. tilskipunarinnar nr. 95/46/EB. Í reglum Persónuverndar nr. 299/2001, um öryggi persónuupplýsinga sem settar eru með stoð í 3. mgr. sömu greinar, eru nánari fyrirmæli um öryggisráðstafanir. Framangreindar reglur nr. 299/2001 taka mið af öryggisstaðlinum ISO 27001 – Stjórnun upplýsingaverndar. Reglurnar miða við það kerfi sem staðallinn byggir á til að velja og móta öryggisráðstafanir. Samkvæmt því kerfi á að setja fram skriflega öryggislýsingu á þremur aðskildum skjölum. Í fyrsta lagi á skjali um öryggisstefnu – skjali sem fjallar um stefnu ábyrgðaraðila að því er varðar upplýsingaöryggi. Í öðru lagi á skjali um áhættumat. Þar skal tilgreina þær hættur sem steðja að persónuupplýsingum á hverjum stað. Í þriðja lagi á skjali sem hefur að geyma lýsingu á öryggisráðstöfunum. Það skal hafa að geyma upptalningu á þeim öryggisráðstöfunum sem eru viðhafðar til að mæta aðsteðjandi hættu samkvæmt áhættumati. Öryggisráðstafanir lúta bæði að ytra og innra öryggi og geta lotið að áþreifanlegum atriðum og óáþreifanlegum. Undir það fyrrnefnda fellur t.d. notkun eldvarnarbúnaðar og vatnsskynjara, en undir hið síðarnefnda falla ýmsar tæknilegar aðgerðir, s.s. dulkóðun upplýsinga, aðgangsstýring, aðgerðaskráning („loggun") o.fl.

Það hversu strangar kröfur eru gerðar til skjalagerðar er misjafnt. Séu upplýsingarnar mjög viðkvæmar eru gerðar ríkari kröfur en ella. Í 8. tölul. 2. gr. laga nr. 77/2000 er skilgreint hvaða upplýsingar teljist vera viðkvæmar. Meðal þeirra eru upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað. Teljast þær upplýsingar sem ríkissaksóknari vinnur með samkvæmt því til viðkvæmra persónuupplýsinga í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

2.

Samkvæmt 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 hefur Persónuvernd eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga, að bætt sé úr annmörkum, mistök leiðrétt o.s.frv. Eftirlit Persónuverndar gerist að miklu leyti þannig að hún gefur fyrirmæli um ráðstafanir sem varðar tækni, öryggi og skipulag vinnslu persónuupplýsinga, sbr. 1. tölul. 3. mgr. 37. gr. Í 2. tölul. 3. mgr. 37. gr. segir að hún skuli hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum.

Samkvæmt 4. mgr. 37. gr. laga nr. 77/2000, getur Persónuvernd ákveðið að ábyrgðaraðili, skuli greiða þann kostnað sem hlýst af eftirliti Persónuverndar með því að ábyrgðaraðilinn fullnægi skilyrðum laga og reglna um vinnslu persónuupplýsinga. Þá segir að Persónuvernd geti ákveðið að ábyrgðaraðili greiði kostnað vegna úttektar á starfsemi við undirbúning útgáfu vinnsluleyfis og við aðra afgreiðslu. Af því sem segir í fskj. nr. III. með því frumvarpi sem varð að þeim lögum var við stofnun Persónuverndar miðað við að kostnaður vegna eftirlits hennar skyldi falla á þá sem eftirlitið beinist að. Við mat á fjárhagslegum áhrifum fyrir ríkissjóð af starfsemi Persónuverndar var þ.a.l. á því byggt að þegar stofnunin myndi viðhafa eftirlit gæti hún keypt vinnu utanaðkomandi sérfræðiaðila og að eftirlitsgjöld þeirra sem sættu athugun ættu að heild eða að hluta að standa undir þeim kostnaði sem af því hlytist.

3.

Í vettvangsskýrslu Persónuverndar um heimsókn til ríkissaksóknara hinn 12. janúar 2010 kemur fram að þar eru annmarkar á öryggi persónuupplýsinga og því að uppfyllt séu framangreind ákvæði laga nr. 77/2000 og reglna nr. 299/2001. Meðal annars kom fram að innra eftirlit er ekki viðhaft, öryggisfrávik eru ekki skráð, ekkert áhættumat hefur verið framkvæmt og hvorki er til skrifleg öryggisstefna né lýsing öryggisráðstafana. Þá er enginn tiltekinn starfsmaður sem ber ábyrgð á öryggisráðstöfunum og annmarkar eru á ytra öryggi. Til dæmis munu skjalaskápar í húsnæði embættisins vera ólæstir og tölvuþjónn (server) embættisins mun vera í rými sem er nýtt sem birgðageymsla og er án loftræstingar.

4.

Stjórn Persónuverndar hefur rætt mál þetta á fundi sínum í dag, m.a. í ljósi framkominnar ábendingar um að samkvæmt lögum nr. 88/2008 um meðferð sakamála, með síðari breytingun, muni embætti héraðssaksóknara taka yfir stóran þátt í starfsemi embættis ríkissaksóknara árið 2012.

Persónuvernd hefur ákveðið að ríkissaksóknari skuli, fyrir 1. október 2010, hafa uppfyllt fyrirmæli 3. gr. reglna nr. 299/2001 - þ.e. a) setja skriflega öryggisstefnu, b) gera áhættumat og skriflega lýsingu á niðurstöðum þess og c) ákvarða - á grundvelli áhættumats - öryggisráðstafanir og búa til skjalfesta lýsingu á þeim. Þar skal m.a. koma fram með hvaða hætti öryggisfrávik verði skráð, hvernig aðgerðaskráningu hagað, innra eftirliti, hvernig öryggi umbúnaðar netþjóns tryggt o.s.frv.

Skulu gögn samkvæmt framanrituðu send Persónuvernd eigi síðar en 1. október 2010. Þegar þau hafa borist mun Persónuvernd taka mál þetta til frekari umfjöllunar. Verður þá farið yfir framangreind skjöl ríkissaksóknara í ljósi reglna nr. 299/2001 og tekin ákvörðun um þörf frekari úttektar, m.a. í ljósi stöðu undirbúnings að yfirtöku embættis héraðssaksóknara á hluta af starfsemi embættisins. Þá verður eftir atvikum tekin ákvörðun um greiðslu ríkissaksóknara á kostnaði vegna þannig úttektar, þyki hún nauðsynleg.

Á k v ö r ð u n a r o r ð:

Ríkissaksóknari skal fyrir 1. október 2010 vinna og senda Persónuvernd skriflega öryggisstefnu, áhættumat og gera öryggisráðstafanir í samræmi við 3. gr. reglna nr. 299/2001.