Tryggingafélag C
I.
Grundvöllur úttektar
Samkvæmt 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er það eitt af hlutverkum Persónuverndar "að hafa eftirlit með því að farið sé að lögum og öðrum reglum um vinnslu persónuupplýsinga og að bætt sé úr annmörkum og mistökum." Með bréfi Persónuverndar, dags. 20. júní 2003, var, með vísan til nefnds ákvæðis, boðuð úttekt hjá [A] í samræmi við framangreint lagaákvæði. Í síðari bréfaskiptum var skýrt að úttektin myndi einungis taka til [B].
[A], og dótturfélag þess, [B], voru á þeim tíma, sem úttektin fór fram, orðin hluti af samstæðu er alla jafna er nefnd [D], en móðurfélag samstæðunnar er [E]. Frá því að úttektin var boðuð hafa átt sér stað breytingar á eignarhaldi félaganna, en úttekt þessi miðast við stöðu mála eins og hún var á þeim tíma sem hún fór fram.
Er úttektin liður í heildstæðu og almennu eftirliti með lögmæti og öryggi við vinnslu persónuupplýsinga í tengslum við sölu á líf-, slysa- og sjúkdómatryggingum. Um er að ræða þær upplýsingar sem [B] leggur til grundvallar við ákvörðun um hvort selja eigi einstaklingi líf-, slysa- eða sjúkdómatryggingu, s.s. um heilsufar og lyfjanotkun viðkomandi.
[B] starfar samkvæmt lögum nr. 20/1954 um vátryggingarsamninga og lögum nr. 60/1994 um vátryggingastarfsemi. Hafa þessi lög ekki að geyma sérstök ákvæði varðandi vinnslu persónuupplýsinga í tengslum við slíka starfsemi. Slík ákvæði er aftur á móti að nokkru að finna í XIII. kafla nýrra laga um vátryggingarsamninga nr. 30/2004, en sá kafli fjallar um almennar forsendur fyrir ábyrgð vátryggingafélaga. Lög þessi öðlast gildi 1. janúar 2006, en samkvæmt gildistökuákvæði í 146. gr. munu þau gilda um alla vátryggingarsamninga sem gerðir verða frá og með þeim degi, um alla vátryggingarsamninga sem verða endurnýjaðir eða framlengdir frá og með þeim degi, svo og um alla aðra vátryggingarsamninga sem eru í gildi á þeim degi. Af þessu má ráða að lögin munu hafa afturvirk áhrif varðandi þá vátryggingarsamninga sem undirritaðir eru fyrir gildistöku laganna. Byggir niðurstaða Persónuverndar um lögmæti vinnslu persónuupplýsinga þar af leiðandi, eftir því sem við á, á þeim lögum.
Lögmæti vinnslunnar
Bréfaskipti
1.
Úttekt Persónuverndar á því hvort öryggi persónuupplýsinga hjá [B] fullnægi kröfum 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. og reglna nr. 299/2001 um öryggi persónuupplýsinga, tekur eðli málsins samkvæmt eingöngu til þeirra persónuupplýsinga sem félaginu er að lögum heimilt að vinna með. Því þarf fyrst að taka afstöðu til lögmætis umræddrar upplýsingavinnslu og síðan meta öryggi þeirrar vinnslu sem heimil er. Í tengslum við mat á lögmæti vinnslunnar óskaði Persónuvernd eftir því að [B] gerði sérstaklega grein fyrir eftirfarandi:
a) Hvaða heimildir félagið teldi standa til þess að safna og vinna með upplýsingar um foreldra og systkini umsækjanda um líf- og sjúkdómatryggingu, sbr. liði 13 og 14 í kafla IV. á því eyðublaði sem notað er fyrir umsóknir um líf- og sjúkdómatryggingu.
b) Við hvaða kringumstæður félagið afli heilsufarsupplýsinga um vátryggingartaka, hvort honum sé þá gert kunnugt um það og hvernig framkvæmdinni sé að öðru leyti háttað, s.s. hvort félagið fái afrit af sjúkraskrá viðkomandi eða einungis upplýsingar um tiltekin atriði úr henni.
c) Að skýrð yrði krafa um að umsækjandi gefi félaginu eða trúnaðarlækni heimild til þess að afla heilsufarsupplýsinga um sig frá sjúkrastofnunum og læknum sem hafa annast hann, einkum með tilliti til skilgreiningar samþykkis samkvæmt 7. tölul. 2. gr. laga nr. 77/2000 og meginreglna 7. gr. laganna.
Framangreindri fyrirspurn Persónuverndar var svarað með bréfi [B], dags. 28. febrúar 2005. Þar segir:
Þær upplýsingar sem spurt er um í 13. og 14. lið eyðublaðs félagsins fyrir líf- og sjúkdómatryggingu, þurfa ekki að vera persónugreinanlegar og ekki er gerð krafa um upplýsingar um nöfn skyldmenna. Gert er ráð fyrir því að umsækjandi um vátryggingu veiti þessar upplýsingar sjálfur við útfyllingu vátryggingaumsóknar."
[...]
b) "Ef svör umsækjanda við spurningum á umsóknareyðublaði um persónutryggingu þykja gefa tilefni til frekari könnunar á heilsufari hans er rágefandi lækni falið að kanna málið frekar, svo sem fram kemur hér að framan.
Á eyðublöðum [B] fyrir umsóknir um persónutryggingar er gert ráð fyrir því að umsækjendur riti undir yfirlýsingu þar sem þeir heimila ráðgefandi lækni félagsins að leita upplýsinga um heilsufar umsækjanda hjá læknum, sjúkrahúsum og öðrum sem hafa með höndum slíkar upplýsingar. Orðalag yfirlýsingarinnar á eyðublöðum félagsins er mismunandi eftir vátryggingartegundum. Innan skamms verða tekin í notkun ný umsóknareyðublöð fyrir allar persónutryggingar hjá [B], en nú er unnið að samræmingu allra umsóknareyðublaða [A] og [B] um persónutryggingar og undirbúningi fyrir gildistöku nýrra laga um vátryggingarsamninga nr. 30/2004 (VSL).
Sé þörf á viðbótarupplýsingum um heilsufar tekur félagið ekki afstöðu til vátryggingaumsóknar fyrr en nauðsynlegar upplýsingar liggja fyrir. Af hálfu félagsins er þeim sem óskað er upplýsinga um tilkynnt skriflega um það þegar ekki er unnt að gefa út vátryggingu á grundvelli vátryggingaumsóknar og nauðsynlegt er að afla frekari upplýsinga.
Almennt óskar félagið eftir því að læknir viðkomandi einstaklings sendi ráðgefandi lækni félagsins upplýsingar um tiltekin atriði með læknabréfi. Þessi tilteknu atriði koma fram í bréfi því sem fer til viðkomandi læknis og kemur þar skýrt fram að verið sé að afla gagna vegna tiltekinna atriða úr sjúkraskrá en ekki sjúkraskrá viðkomandi í heild sinni.
Einnig getur komið til þess að vátryggingartaki þarf að fara í gegnum læknisskoðun áður en hægt er að taka afstöðu til umsóknar. Í þeim tilfellum er sent bréf ásamt heilbrigðisvottorði til vátryggingartaka þar sem honum er gert að fara í skoðun til heimilislæknis."
[...]Umsækjanda um vátryggingu er tilkynnt bréflega að ekki sé unnt að taka endanlega afstöðu til vátryggingaumsóknar fyrr en nánari heilsufarsupplýsingar liggja fyrir."
c) "Vísað er til þess sem fram kemur hér að framan varðandi ástæður upplýsingaöflunar félagsins í tengslum við töku vátryggingar. Á umsóknareyðublaðinu er athygli umsækjanda vakin á mikilvægi réttra upplýsinga fyrir áhættumat félagsins.
Ekki kemur fram á núverandi eyðublöðum félagsins hvernig persónuvernd verði tryggð. Gert er ráð fyrir því að ný eyðublöð verði tekin í notkun innan mánaðar frá dagsetningu bréfs þessa. Þar verður þess getið með skýrari hætti en nú er gert í hvaða tilgangi er heimilt að afla þeirra upplýsinga sem heimildin nær til og vikið að því hvernig persónuvernd verður tryggð."
III.
Öryggi vinnslu persónuupplýsinga
Bréfaskipti
Í áðurgreindu bréfi, dags. 20. júní 2003, var óskað eftir því að [B] legði fram skrifleg gögn um öryggi persónuupplýsinga, sbr. 5. mgr. 11. gr. laga nr. 77/2000, sbr. og 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga, þ.e. öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum.
Með bréfum, dags. 31. mars og 11. maí 2004, bárust Persónuvernd ýmis gögn um öryggi persónuupplýsinga hjá [B], m.a.: a) Starfsmannahandbók, b) Áætlun um viðbrögð við alvarlegum áhættum, c) Áhættugreining frá mars 2004, d) Öryggishandbók [E] og e) Öryggisvefur [D], stjórnskipulag upplýsingaöryggis og dæmi um stefnur, verklagsreglur og eyðublöð o.fl. Þá voru frekari gögn lögð fram á vinnufundi þann 27. ágúst 2004 til undirbúnings á vettvangsathugun.
Með bréfi Persónuverndar, dags 5. mars 2004, var [B] tilkynnt að stofnunin hygðist leita aðstoðar sérfræðings varðandi framkvæmd vettvangsathugunar. Var vísað til heimildar Persónuverndar, samkvæmt 4. mgr. 37. gr. laga nr. 77/2000, til þess að leggja kostnað sem af eftirliti hlýst á þann aðila sem því sætir. Á fundi Persónuverndar með fyrirsvarsmönnum [B] þann 11. maí 2004 var tekin ákvörðun um að leita eftir tilboði frá Herði H. Helgasyni, sérfræðingi í öryggi persónuupplýsinga hjá Dómbæ ehf., varðandi framkvæmd vettvangsathugunar og skýrslugerð þar að lútandi. Með bréfi Persónuverndar, dags. 15. júlí 2004, var kostnaðaráætlun umrædds sérfræðings send [B] til kynningar. Í svarbréfi félagsins, dags. 20. júlí 2004, voru ekki gerðar athugasemdir við kostnaðaráætlunina.
Aðkoma sérfræðings að framkvæmd úttektarinnar
Samningur við sérfræðing
Þann 23. júlí 2004 gerði Persónuvernd samning við Dómbæ ehf. um framkvæmd vettvangsathugunar á starfsstöð [B] og gerð skýrslu um niðurstöðu hennar. Áður en vettvangsathugunin færi fram skyldi Hörður H. Helgason rýna gögn og semja gátlista fyrir athugunina, m.a. í ljósi þess hvernig öryggiskerfi félagsins væri lýst í fram lögðum gögnum. Að vettvangsathugun lokinni skyldi hann skila Persónuvernd lokaskýrslu um niðurstöður sínar. Skilaði hann umræddri skýrslu þann 18. október 2004. Er hann samkvæmt samningnum bundinn trúnaðar- og þagnarskyldu. Sérfræðingurinn er hér eftir nefndur skýrsluhöfundur.
2.
Álit skýrsluhöfundar á gögnum [B]
Skýrsluhöfundur rýndi áðurnefnd gögn sem [B] lagði fram varðandi öryggi persónuupplýsinga hjá félaginu. Í skýrslu sinni, sbr. kafla 5.3., greinir skýrsluhöfundur frá niðurstöðum sínum um hvort gögnin fullnægi þeim kröfum reglna 299/2001 sem gerðar eru til öryggisstefnu, áhættumats og lýsingu á öryggisráðstöfunum.
2.1. Öryggisstefna
Í skýrslu sinni segir höfundur eftirfarandi um þá öryggisstefnu sem lögð var fram af hálfu [B].:
Niðurstaðan er því sú að þrátt fyrir að framlögð öryggisstefna [E] uppfylli sem slík þær kröfur sem gerðar verða til öryggisstefnu [E] á grundvelli reglna Persónuverndar um öryggi persónuupplýsinga, þá verður hún að óbreyttu ekki talin uppfylla þau skilyrði gagnvart öllum öðrum félögum og öðrum ábyrgðaraðilum vinnslu persónuupplýsinga, sem kunna á hverjum tíma að vera í eigu [E] hf. Gera verður þá kröfu til öryggisstefnu móðurfélags að hún vísi að minnsta kosti óbeint eða samkvæmt eðli máls til annarra félaga í samsteypunni, til þess að stefnan geti uppfyllt kröfu reglna um öryggi persónuupplýsinga um að þeir ábyrgðaraðilar setji sér sína eigin öryggisstefnu. Framlögð öryggisstefna [E]a hf. verður því ekki talin gegna hlutverki öryggisstefnu [A]."
2.2. Áhættumat
Varðandi áhættumat [B] gerir skýrsluhöfundur m.a. svofelldar athugasemdir:
Hins vegar verður ekki fram hjá því litið að á fundum þessum, sem samtals munu hafa staðið í um 90 mínútur, virðist ekki hafa verið fylgt neinni sérstakri aðferð eða skipulagi við tilgreiningu á upplýsingaeignum, þeim hættum sem að þeim geta stafað eða þeim viðbrögðum sem þær hættur kalla á af hálfu ábyrgðaraðila. Ekkert kemur fram í fundargerðunum sem rennir stoðum undir að á fundunum hafi að minnsta kosti verið fjallað um mikilvægustu upplýsingaeignirnar, alvarlegustu hætturnar sem að þeim steðji og brýnustu ráðstafanirnar sem rétt væri að grípa til af þessu tilefni. Áhættumati er ætlað að taka til athugunar á umfangi og afleiðingum aðsteðjandi hættu með tilliti til eðlis þeirra persónuupplýsinga sem unnið er með, samkvæmt reglum um öryggi persónuupplýsinga. Markmið áhættumats er, samkvæmt reglunum, að skapa forsendur fyrir vali á öryggisráðstöfunum, auk þess sem tilgreina skal hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Því er mikilvægt að þessi grundvöllur frekari aðgerða í upplýsingaöryggismálum sé traustur og rækilegur. Niðurstaðan er því sú að framlögð skjöl ábyrgðaraðila um áhættumat teljist ekki fullnægja þeim kröfum sem gerðar eru til slíks mats í reglum um öryggi persónuupplýsinga."
2.3. Lýsing á öryggisráðstöfunum
Um framlögð gögn sem lýsa þeim öryggisráðstöfunum sem viðhafðar eru hjá [B] kemst skýrsluhöfundur svo að orði:
Eins og rakið var í kafla 5.2.1.3 er stóráfallaáætlun [A] afar ítarleg og mikil að vöxtum. Augljóst er að mjög mikið starf hefur verið unnið innan félagsins við að semja hana og hrinda í framkvæmd. Hins vegar eru á henni þeir vankantar helstir að hún er nokkuð ósamstæð, tekur einungis til stóráfalla en ekki til dæmis daglegra forvarnarstarfa, óljóst er eftir hverju var farið við samningu hennar eða á hverju hún er byggð, stór hluti áætlunarinnar er ekki eiginleg áætlun heldur leiðbeiningar um hvernig standa skuli að því að semja stóráfallaáætlun, auk þess sem hún ber með sér að vera ekki fullfrágengin.
Framlögð gögn um öryggiskerfi [E] hf. bera sömuleiðis með sér að mikil vinna hafi verið lögð í uppbyggingu þess kerfis. Metnaðarfullar yfirlýsingar um að stefnt sé að öryggisvottun á árinu 2005 ber að sama brunni. Það háir nokkuð mati á kerfinu að einungis hluti af þeim skjölum sem lýsa því voru lögð fram vegna öryggisathugunarinnar. Af þeim er hins vegar ljóst að skjalfestingu kerfisins er ólokið og nokkuð verk er þar enn óunnið. Einnig er í mörgum tilvikum óljóst með hvaða hætti ákvæði á "Öryggisvef [E]a hf." eigi við um starfsemi dótturfélaga [E], einkum starfsemi sem ekki er samnýtt með honum. Hins vegar virðist sá hluti kerfisins sem lögð hafa verið fram skjöl um vera að mestu leyti í ágætu lagi og uppfylla að stórum hluta bæði kröfur Persónuverndar í reglum um öryggi persónuupplýsinga og viðeigandi kröfur í öryggisstjórnunarstaðlinum ÍST ISO/IEC 17799_2000.
Niðurstaðan er því sú að þrátt fyrir að ekki hafi verið lögð fram heildstæð lýsing á öryggisráðstöfunum sem beitt er í starfsemi [A], þá megi að töluverðu leyti lesa út úr framlögðum gögnum félagsins og móðurfélags þess hverjar þær ráðstafanir séu. Æskilegt væri þó að fyrir lægi skýrari og heildstæðari lýsing á þessum ráðstöfunum, annað hvort í formi skjals er fjallaði um öryggisráðstafanir þessa ábyrgðaraðila sérstaklega eða skjals sem tæki til starfsemi móðurfélags hans en greindi þar skýrlega hverjar ráðstafanir eru sameiginlegar félögum í samsteypunni og hverjar eru bundnar við tiltekin félög innan hennar."
2.4. Innra eftirlit
Samkvæmt 8. gr. reglna 299/2001 skal innra eftirlit að jafnaði fara fram samkvæmt fyrirfram skilgreindu kerfi. Varðandi skjölun innra eftirlits hjá [B] segir skýrsluhöfundur eftirfarandi:
Niðurstaðan er því sú að gerð verði sú athugasemd við skjölun innra eftirlits hjá ábyrgðaraðila, að æskilegt sé að framlögð skjöl ábyrgðaraðila lýsi skýrlega því kerfi sem fylgt er við eftirlitið og beri því vitni að fram fari reglulega slíkt innra eftirlit, þar sem gengið sé úr skugga um að unnið sé í samræmi við gildandi lög og reglur, auk þess sem gerð sé grein fyrir fyrirkomulagi slíkra úttekta."
Niðurstöður skýrsluhöfundar að lokinni vettvangsathugun
Í skýrslu sérfræðingsins eru öryggisráðstafanir flokkaðar með tilliti til reglna nr. 299/2001, en til skýringar er bætt við einum flokki varðandi aðgangsstýringu. Persónuvernd telur ekki vera efni til þess að fjalla sérstaklega um þær öryggisráðstafanir sem við prófun, dagana 2. og 3. september 2004, reyndust vera í samræmi við framlögð gögn. Hins vegar verður hér að neðan farið yfir þær öryggisráðstafanir sem skýrsluhöfundur taldi skorta eða vera með öðrum hætti en lýst var í framlögðum gögnum. Þær eru:
3.1. Skipulagslegar og tæknilegar öryggisráðstafanir
Samkvæmt 7. gr. reglna nr. 299/2001 skal ábyrgðaraðili viðhafa ráðstafanir til að hindra og takmarka tjón af völdum bilana og óheimils aðgangs að vinnslubúnaði.
a) Í skjalinu "Starfsmannahandbók [A]" kafla 4.8, segir m.a.: "Þegar skjöl hafa náð eðlilegum aldri í skjalaskápum, skal koma þeim fyrir til langvistunar í geymslum. Hvers skjalapakki skal merktur innihaldi og ártali, auk upplýsinga um hvenær farga megi viðkomandi skjölum."
Óskaði skýrsluhöfundur eftir því að sýnt væri fram á að skjalapakkar væru merktir með framangreindum hætti. Kom þá í ljós að umrædd aðferð við merkingu skjalapakka reyndist ekki vera viðhöfð varðandi pakka er innihéldu gögn um slysamál.
b) Í skjalinu "Starfsmannahandbók [A]" kafla 4.8, segir m.a.: Halda skal skrá yfir skjöl sem [hefur] verið fargað, þar sem fram kemur hvenær og hvernig skjölunum var fargað.
Við athugun skýrsluhöfundar á þessu reyndist í framkvæmd vera fylgt öðru verklagi við förgun gagna en fram kemur í Starfsmannahandbók [A].
c) Í skjalinu "Starfsmannahandbók [A]," kafla 4.2, segir m.a.: "[...] símtöl inn á skiptiborð félagsins eru skráð. Ekki eru skráðar upplýsingar á einstök númer heldur á fyrirfram skilgreinda hópa. Þannig er ekki hægt að greina milli einstaklinga. [...] Félagið skráir aðeins niður hvers konar símtöl berast og því þarf að skrá niður fyrstu tvo stafi í símanúmeri til að gera greinarmun á samtali út á land, í farsíma eða úr landi."
Við skoðun skýrsluhöfundar kom í ljós að hugbúnaður símkerfisins skráir ekki bara fyrstu tvo stafi í símanúmeri því sem hringt er úr í [B], heldur skráir það allt númerið í sérhvert skipti.
d) Í skjalinu [E] upplýsingatækni Öryggisvefur stjórnskipulag upplýsingaöryggis og dæmi um stefnur, verklagsreglur, eyðublöð og fl. segir m.a.: "Það er stefna [E] að taka reglulega öryggisafrit af öllum gögnum og hugbúnaði [E] í samræmi við afritaáætlun." Enn fremur "Sjálfvirkar afritunarstöðvar taka breytingarafrit á hverjum virkum degi."
Við vettvangsskoðun óskaði skýrsluhöfundur eftir því að honum yrði sýnd sjálfvirk afritunarstöð í aukavélarsal sem tekur afrit í aðalvélasal. Var þá upplýst að umrædd afritunarstöð væri ekki til staðar. Hennar væri hins vegar að vænta um áramótin 2004-2005.
3.2. Aðgangsstýringar
Hér er átt við ráðstafanir sem ábyrgðaraðila ber að viðhafa í því skyni að hindra og takmarka tjón af völdum óheimils aðgangs að upplýsingakerfi hans. Prófaðar voru nokkrar slíkar öryggisráðstafanir. Eftirtaldar ráðstafanir reyndust ekki standast prófun.
a) Í skjalinu [E] upplýsingatækni Öryggisvefur stjórnskipulag upplýsingaöryggis og dæmi um stefnur, verklagsreglur, eyðublöð og fl. segir m.a.: "Aðgangsstjórn er skipuð af öryggisnefnd. Nefndin fundar svo oft sem þurfa þykir. Hún skal gera grein fyrir störfum sínum með minnisblaði a.m.k. einu sinni á ári."
Við athugun á þessari ráðstöfun bað skýrsluhöfundur um að fá að sjá eintak af nýjasta minnisblaði um fund nefndarinnar. Slíkt minnisblað reyndist hins vegar ekki vera fyrir hendi.
b) Í skjalinu [E] upplýsingatækni Öryggisvefur, stjórnskipulag upplýsingaöryggis og dæmi um stefnur, verklagsreglur, eyðublöð og fl. segir m.a.: "Leyniorð kerfisstjóra fyrir netbúnað skal geyma í tveimur aðskildum hlutum í tveimur læstum skjalaskápum. Aðgangskortakerfi [E] skal notað til þess að skrá þau skipti sem skjalaskáparnir eru opnaðir."
Óskaði skýrsluhöfundur eftir því að honum yrðu sýndar nýjustu skráningar í aðgangskortakerfi á opnun umræddra skjalaskápa. Kom fram að slík skráning ætti sér ekki stað.
3.3. Öryggisráðstafanir varðandi starfsmannamál
Samkvæmt 5. gr. reglna nr. 299/2001 ber ábyrgðaraðila að grípa til viðeigandi öryggisráðstafana í þeim tilgangi að fyrirbyggja og takmarka tjón af völdum mannlegra mistaka, þjófnaðar, svika og annarrar misnotkunar. Ein öryggisráðstöfun sem lýtur að þessari kröfu reyndist, að mati skýrsluhöfundar, ekki standast prófun, sbr. eftirfarandi:
Í skjalinu "Starfsmannahandbók [A]" kafla 10.2, segir m.a.: "Komi starfsmaður með disklinga eða aðra miðla á vinnustað til að tengja við sína einkatölvu skal hann láta vírusleita miðilinn áður en hann er notaður í tölvunni sjálfri. Boðið er upp á vírusleit hjá UT-sviði og skulu starfsmenn snúa sér til þjónustuborðsins með slík erindi."
Í viðtali skýrsluhöfundar við einn starfsmann félagsins kom í ljós að hann kannaðist ekki við reglur um hvernig starfsmönnum bæri að haga slíku.
3.4. Innra eftirlit
Samkvæmt 8. gr. reglna nr. 299/2001 ber ábyrgðaraðila að viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi lög og reglur. Prófaðar voru nokkrar öryggisráðstafanir sem lúta að þessari kröfu. Eftirtaldar tvær ráðstafanir reyndust, að mati skýrsluhöfundar, ekki standast það próf:
a) Í skjalinu "Stóráfallaáætlun[A]", í fjórða hluta "handbókarinnar", segir m.a.: "Brunaútkall skal framkvæma annað hvert ár. [...] Í framhaldinu af rýmingunni skal öryggisráð koma saman og skrásetja það sem vel gekk við æfinguna og þá þætti sem fóru úrskeiðis."
Til þess að prófa þessa ráðstöfun óskaði skýrsluhöfundur eftir því að fá að sjá skýrslugerð um síðustu æfingu rýmingaráætlunar. Hins vegar kom í ljós að ekki liggja fyrir skýrslur um þær æfingar sem framkvæmdar hefðu verið.
b) Í skjalinu "Stóráfallaáætlun [A]", í fjórða hluta "handbókarinnar", segir m.a.: "Í júní ár hvert skulu afrit prófuð. Það felur í sér að kanna hvort gagnaöryggismál og afrit séu í lagi, hvort hægt sé að koma upp starfhæfu upplýsingakerfi innan ásættanlegra tímamarka, tekin sé saman skýrsla um hvernig prófun hafi tekist og farið sé yfir hana m.t.t. þess hvort eitthvað mátti betur fara."
Til að sannreyna hvort umrædd öryggisráðstöfun væri viðhöfð óskaði skýrsluhöfundur eftir því að fá að sjá nýjustu skýrslu um hvernig prófun hefði tekist. Starfsmenn á upplýsingatæknisviði hjá félaginu greindu aftur á móti frá því að engar slíkar prófanir hefðu farið fram.
Athugasemdir [B]
við niðurstöður skýrsluhöfundar
Með bréfi Persónuverndar, dags. 20. október 2004, var [B] send framangreind skýrsla og félaginu boðið að gera athugasemdir við hana. Athugasemdir bárust Persónuvernd með bréfi, dags. 15. nóvember 2004. Í bréfinu er stuttlega vikið að þeim breytingum sem gerðar voru á skriflegum gögnum [B] um öryggi persónuupplýsinga, m.a. í kjölfar kaupa [E] á félaginu. Þá eru gerðar eftirfarandi athugasemdir við framangreinda skýrslu um vettvangsathugun skýrsluhöfundar:
Vegna umfjöllunar um 1. tölulið kafla 6.3.2. í skýrslunni á bls. 49 er rétt að fram komi að við vettvangsskoðun kom fram að félagið teldist hafa staðist þetta próf að hluta, en ekki væru skráðar upplýsingar á alla skjalapakka sem tengjast slysamálum og geymdir eru geymslu í kjallara húss félagsins að Kringlunni 5, um það hvenær farga megi viðkomandi skjölum. Þess skal getið að önnur gögn en þau sem varða slysamál eða önnur persónutjón eru merkt með förgunartíma áður en þau eru flutt í langtímavarðveislu [E] að [...], Reykjavík. Skjöl sem varða afgreiðslu persónutjóna eru ekki merkt með förgunarári, enda fara slík gögn í varanlega geymslu og þeim er ekki eytt án sérstakrar ákvörðunar um eyðingu gagna sem náð hafa tilteknum aldri. Nú stendur yfir endurskoðun á reglum í starfsmannahandbók félagsins um merkingar á förgunartíma skjala og gerð skrár yfir skjöl sem hefur verið fargað í því skyni að tryggja að reglur og framkvæmd haldist í hendur.
Í tengslum við umfjöllun um 3. tölulið kafla 6.3.2 í skýrslunni á bls. 49-50 skal tekið fram að þetta á ekki lengur við, þar sem í október 2004 var skipt um símkerfi hjá [A] til samræmis við símkerfi [E].
Í umfjöllun um 3. tölulið kafla 6.3.3. í skýrslunni á bls. 54 er vitnað til [X] í sambandi við staðfestingu á því að minnisblað aðgangsstjórnar sé ekki til. Rétt er að þessar upplýsingar voru fengnar símleiðis frá [Y], lögfræðingi hjá [E] og formanni aðgangsstjórnar meðan á vettvangsathugun hjá [E] á [...] stóð.
Í umfjöllun um 7. tölulið kafla 6.3.4 á bls. 58 er fjallað um reglur í starfsmannahandbók [A] varðandi vírusleitun á disklingum og öðrum miðlum sem starfsmenn koma með á vinnustað. Þess skal getið að vírusvörn er keyrandi á öllum tölvum starfsmanna [D] og ná þær til disklinga, minniskubba og geisladiska. Textinn í starfsmannahandbók verður endurskrifaður þannig að fullt samræmi sé milli varna og raunveruleika.
Í skýrslu Dómbæjar ehf. kemur fram á bls. 63 að öryggiskerfi [A] hafi við prófanir ekki staðist 11 af 36 prófum. Samkvæmt talningu undirritaðrar á niðurstöðum hinna 36 prófana í skýrslunni kemur þar fram að félagið hafi staðist 26 prófanir en ekki staðist 10 prófanir. Þar af virðist undirritaðri að ranglega sé skráð á bls. 55 í skýrslunni að félagið hafi ekki staðist próf sem getið er um í 6. tölulið kafla 6.3.3 en samkvæmt ljósriti af prófblaði stóðst öryggiskerfi [A] það próf. Samkvæmt framanrituðu stóðst félagið ekki 9 próf af 36."
Þá var þess getið í bréfinu að unnið væri að endurskoðun starfsmannahandbókar [A] og að í nýrri útgáfu hennar yrði því lýst yfir að öryggisstefna [E] tæki til starfsemi félagsins. Með bréfi, dags. 17. desember 2004, var Persónuvernd afhent endurskoðuð starfsmannahandbók félagsins. Við athugun Persónuverndar á henni varð hins vegar ekki komið auga á framangreinda yfirirlýsingu. Var leitað skýringa félagsins í tilefni þessa. Svör [B] bárust með bréfi, dags. 8. ágúst 2005, en þar segir m.a.eftirfarandi:
Niðurstaða
1.
Almennt
[B] starfar samkvæmt lögum nr. 20/1954 um vátryggingarsamninga og lögum nr. 60/1994 um vátryggingastarfsemi. Hafa þessi lög ekki að geyma sérstök ákvæði varðandi vinnslu persónuupplýsinga í tengslum við slíka starfsemi. Slík ákvæði er aftur á móti að nokkru leyti að finna í XIII. kafla nýrra laga um vátryggingarsamninga nr. 30/2004, en sá kafli fjallar um almennar forsendur fyrir ábyrgð tryggingarfélaga. Lög þessi öðlast gildi 1. janúar 2006, en samkvæmt gildistökuákvæði í 146. gr. munu þau gilda um alla vátryggingarsamninga sem gerðir verða frá og með þeim degi, um alla vátryggingarsamninga sem verða endurnýjaðir eða framlengdir frá og með þeim degi, svo og um alla aðra vátryggingarsamninga sem eru í gildi á þeim degi. Munu lögin því hafa afturvirk áhrif varðandi þá vátryggingarsamninga sem undirritaðir eru fyrir gildistöku laganna. Byggir mat Persónuverndar á vinnslu persónuupplýsinga hjá [B] því, eftir því sem við á, á þeim lögum.
Eins og fyrr greinir tekur úttektin aðeins til persónuupplýsinga sem félagið vinnur með í tengslum við sölu á líf-, slysa- og sjúkdómatryggingum. Til þess að geta fengið slíka tryggingu þarf sá sem sækir um hana að fylla út sérstakt eyðublað og þannig veita tilteknar upplýsingar um sig. Auk almennra upplýsinga um nafn, kennitölu, heimilisfang, starf og hjúskaparstöðu er fyrst og fremst óskað heilsufarsupplýsinga af ýmsum toga. Í II. kafla eyðublaðsins er óskað eftir upplýsingum um hvort umsækjandi hafi áhugamál eða stundi íþróttir sem hafi í för með sér sérstaka áhættu Spurt er um aðrar persónutryggingar umsækjanda, sbr. III kafla, en samkvæmt IV. kafla er gert ráð fyrir að umsækjandi veiti víðtækar upplýsingar um heilsufar sitt. Meðal þess sem óskað er upplýsinga um er hvort umsækjandi neyti áfengis eða lyfja, sé með eða hafi verið með sjúkdóm af ákveðnum flokki. Hafi umsækjandi fengið slíkan sjúkdóm, eða sé haldinn slíkum sjúkdómi, er farið fram á ítarlegri upplýsingar, s.s. um hvenær sjúkdómurinn byrjaði, hve lengi hann varaði, hvort bati varð alger eða að hluta, hverjar séu eða urðu afleiðingar hans og nafn þess læknis sem stundaði umsækjandann. Ennfremur er óskað eftir því að umsækjandi upplýsi hvort foreldrar hans eða systkini séu með eða hafi fengið hjarta- eða æðasjúkdóma, geð- eða taugasjúkdóma, heilablóðfall, háan blóðþrýsting, sykursýki, nýrnasjúkdóma, krabbamein, MS, MND, parkinsonsjúkdóm eða alzheimersjúkdóm fyrir 60 ára aldur.
Að endingu hefur eyðublaðið að geyma yfirlýsingu sem ætlast er til að umsækjandi undirriti, þ.e. yfirlýsingu um að hann heimili tryggingafélaginu að afla heilsufarsupplýsinga um sig hjá læknum og sjúkrastofnunum, sbr. svohljóðandi orðalag: "Ég samþykki að ráðgjafalæknir félagsins megi leita upplýsinga hjá þeim sjúkrahúsum og læknum sem mig hafa stundað og leysi ég þá frá þagnarheitinu að því leyti."
Af framangreindu má ráða að aflað er upplýsinga um umsækjanda, bæði frá honum sjálfum og frá öðrum, og um foreldra hans og systkini. Þeirra síðarnefndu er aflað frá umsækjanda.
Lögmæti vinnslu persónuupplýsinga
Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga og einnig um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá. Með hugtakinu persónuupplýsingar er átt við allar "persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi," sbr. 1. tölul. 2. gr. laganna. Þá merkir hugtakið vinnsla "sérhver[ja] aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn." Með vinnslu er t.d. átt við söfnun og skráningu og undir það fellur m.a. flokkun, varðveisla, breyting, leit og miðlun. Af þessu leiðir að söfnun, úrvinnsla og varðveisla [B] á framangreindum upplýsingum felur í sér vinnslu persónuupplýsinga í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Öll þessi vinnsla þarf, eins og önnur vinnsla persónuupplýsinga, að eiga sér stoð í einhverju af skilyrðum 8. og, eftir atvikum, 9. gr. laga nr. 77/2000. Vinnsla almennra persónuupplýsinga þarf aðeins að eiga sér stoð í einhverju af skilyrðum 8. gr. laganna, en vinnsla viðkvæmra persónuupplýsinga þarf að auki að eiga sér stoð í einhverju af skilyrðum 9. gr. laganna. Auk þess þarf vinnslan að vera í samræmi við meginreglur 1. mgr. 7. gr. laganna, m.a. um að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti (1. tölul.), fengnar í yfirlýstum, skýrum og málefnalegum tilgangi (2. tölul.) og vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Felur ákvæðið í sér þá meðalhófsreglu að ekki skal unnið með persónuupplýsingar nema það sé nauðsynlegt og málefnalegt.
Samkvæmt c.-lið 8. tölul. 2. gr. laganna teljast upplýsingar um "heilsuhagi, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun" til viðkvæmra persónuupplýsinga. Sé litið til þeirra persónuupplýsinga sem [B] safnar um umsækjendur um líf-, slysa- og sjúkdómatryggingar er ljóst að þær teljast til viðkvæmra persónuupplýsinga í skilningi laganna. Verður heimild til vinnslu þeirra þar með bæði að uppfylla eitthvert af skilyrðum 1. mgr. 8. gr. og 1. mgr. 9. gr. fyrrgreindra laga. Þá ber að geta þess að þegar upplýsinga er aflað frá honum sjálfum skal virða ákvæði 20. gr. laganna um fræðsluskyldu og að þegar upplýsinga er aflað frá öðrum en hinum skráða sjálfum ber að líta til ákvæðis 21. gr. um skyldu til að láta hann vita um upplýsingaöflunina.
Loks hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001, sjá nánari umfjöllun í 3. lið hér að neðan.
Lögmæti vinnslunnar skv. 8. og 9. gr. laga nr. 77/2000
A
Öflun upplýsinga um umsækjanda - frá honum sjálfum og frá öðrum
Af þeim skilyrðum er greinir í 1. mgr. 8. gr. kemur helst til skoðunar ákvæði 1. tölul. um að vinnsla sé heimil hafi hinn skráði ótvírætt samþykkt vinnsluna eða veitt samþykki skv. 7. tölul. 2. gr. Með samþykki í skilningi 7. tölul. 2. gr. laga nr. 77/2000 er átt við sérstaka, ótvíræða yfirlýsingu sem einstaklingur gefur af fúsum og frjálsum vilja um að hann sé samþykkur vinnslu tiltekinna upplýsinga um sig og að honum sé kunnugt um tilgang hennar, hvernig hún fari fram, hvernig persónuvernd verði tryggð, um að honum sé heimilt að afturkalla samþykki sitt o.s.frv. Ekkert liggur fyrir í gögnum málsins um að slíks samþykkis sé aflað frá þeim sem leggur inn beiðni um áhættulíftryggingu og/eða sjúkdómatryggingu. Til þess að samþykki teljist vera upplýst þarf honum að hafa verið veitt fræðsla í samræmi við ákvæði 20. gr. laga nr. 77/2000, sbr. nánar lið 2.2. hér að neðan. Þrátt fyrir það verður engu að síður að telja umsækjanda ótvírætt hafa samþykkt vinnsluna með útfyllingu beiðninnar og undirritun hennar í skilningi 1. tölul. 1. mgr. 8. gr. laganna.
Með vísun til framangreinds verður hins vegar ekki fullyrt að vinnslan eigi sér stoð í 1. tölul. 1. mgr. 9. gr. sömu laga. Af skilyrðum 9. gr. kemur hins vegar helst til álita 2. tölul. 1. mgr. um að vinna megi með viðkvæmar persónuupplýsingar standi til þess sérstök heimild samkvæmt öðrum lögum. Í 82. gr. laga nr. 30/2004 segir að á meðan vátryggingafélag hafi ekki samþykkt að veita vátryggingu geti það óskað eftir upplýsingum sem hafa þýðingu fyrir mat þess á áhættunni og er gert ráð fyrir því að slíkra upplýsinga sé aflað beint hjá vátryggingartaka, eða eftir atvikum vátryggðum, og að afla megi upplýsinga hjá öðrum en vátryggingartaka eða vátryggðum standi til þess skriflegt, upplýst samþykki þess sem aflað er upplýsinga um. Af framangreindu ákvæði má ráða að vilji löggjafans standi til þess að við öflun upplýsinga í tengslum við slíka starfsemi frá vátryggingartaka eða vátryggðum nægi samþykki samkvæmt 1. tölul. 1. mgr. 8. gr.
Öflun upplýsinga hjá vátryggingartaka eða vátryggða sjálfum telst þar með fullnægja skilyrðum þessa ákvæðis. Þegar litið er til þess á hún sér því bæði stoð í 1. tölul. 1. mgr. 8. gr. og 2. tölul. 1. mgr. 9. gr. laga nr. 77/2000.
Að því er varðar öflun upplýsinga um umsækjanda hjá þriðja aðila ber hins vegar að hafa í huga að samkvæmt 2. mgr. 82. gr. laga nr. 30/2004 skal það ekki gert nema fyrir liggi skriflegt, upplýst samþykki hans. Til þess að samþykki teljist upplýst þarf honum að hafa verið veitt tiltekin fræðsla í samræmi við ákvæði 21. gr. laga nr. 77/2000, s.s. um hvaða upplýsinga verði óskað, hjá hverjum o.s.frv., sbr. nánar lið 2.2. hér að neðan. Ella uppfyllir öflun persónuupplýsinga um vátryggingartaka hjá öðrum en honum sjálfum ekki kröfur 82. gr. laga nr. 30/2004.
Öflun upplýsinga um foreldra og systkini umsækjanda - frá umsækjanda
Kemur þá til skoðunar lögmæti þess þegar umsækjandi um vátryggingu lætur tryggingafélagi í té viðkvæmar persónuupplýsingar um aðra en sjálfan sig, þ.e. um heilsufar foreldra og systkini. Enda þótt eyðublaðið geri ekki ráð fyrir því að umsækjandi nafngreini þessa ættingja eru þetta persónuupplýsingar, enda að jafnaði ljóst hverjir í hlut eiga. Almennt verður ekki talið að umsækjandi geti, án umboðs, samþykkt vinnslu persónuupplýsinga um aðra en sjálfan sig, nema til þess standi sérstök heimild. Má hér vísa til athugasemda við 1. tölul. 1. mgr. 9. gr. í greinargerð sem fylgdi frumvarpi því sem varð að lögum nr. 77/2000, en þar segir: "[Getur] komið til þess að ekki nægi að fá samþykki hins skráða, t.d. ef hann veitir með því upplýsingar um aðra menn en sjálfan sig, eða ef lögboðið er að fleira þurfi til, sbr. a-lið 2. mgr. 8. gr. tilskipunar ESB." Það heimildarákvæði sem hér kemur álita er í 82. gr. laga nr. 30/2004 um vátryggingasamninga. Hún hljóðar svo:
Á meðan félagið hefur ekki samþykkt að veita vátryggingu getur það óskað eftir upplýsingum sem hafa þýðingu fyrir mat þess á áhættunni. Slíkra upplýsinga skal aflað beint hjá vátryggingartaka, eða eftir atvikum vátryggðum, sem skal veita rétt og tæmandi svör við spurningum félagsins. Sama á við þegar vátryggingartaki veitir upplýsingar fyrir hönd vátryggðs. Sé upplýsinganna aflað hjá öðrum en vátryggingartaka eða vátryggðum skal áður en þeirra er aflað liggja fyrir skriflegt, upplýst samþykki þess sem aflað er upplýsinga um. Vátryggingartaki, og eftir atvikum vátryggður, skal einnig að eigin frumkvæði veita upplýsingar um sérstök atvik sem hann veit, eða má vita, að hafa verulega þýðingu fyrir mat félagsins á áhættu.
Þrátt fyrir ákvæði 1. mgr. er félaginu óheimilt, fyrir eða eftir gerð samnings um persónutryggingu, að óska eftir, afla með einhverjum öðrum hætti, taka við eða hagnýta sér upplýsingar um erfðaeiginleika manns og áhættu á því að hann þrói með sér eða fái sjúkdóma. Félaginu er einnig óheimilt að óska eftir rannsóknum sem teljast nauðsynlegar til þess að kostur sé á að fá slíkar upplýsingar. Framangreint bann gildir þó ekki um athugun á núverandi eða fyrra heilsufari mannsins eða annarra einstaklinga.
Synji félagið að veita persónutryggingu skal það rökstyðja synjunina sé eftir því leitað.
Af framangreindu ákvæði og skýringum við það í athugasemdum frumvarpsins má ráða að vátryggingafélagi sé heimilt að afla upplýsinga um heilsufar skyldmenna til þess að meta hvort athuga þurfi heilsufar þess sem óskar vátryggingar. Vátryggjendum er m.ö.o. heimilt að spyrja um þessi atriði í þeim tilgangi að meta hvort rannsaka þurfi frekar núverandi eða fyrra heilsufar þess sem óskar vátryggingar. Enga heimild er hins vegar að finna fyrir vátryggjendur til að afla upplýsinga um hvort vátryggður sé líklegur til þess að fá eða þróa með sér tiltekna sjúkdóma í framtíðinni. Þvert á móti er vátryggjendum óheimilt, fyrir eða eftir gerð samnings um persónutryggingu, að óska eftir, afla með einhverjum öðrum hætti, taka við eða hagnýta sér upplýsingar um erfðaeiginleika manns og áhættu á því að hann þrói með sér eða fái sjúkdóma. Í ljósi þess banns verður að líta svo á að vátryggingafélagi sé óheimilt að afla upplýsinga um heilsufar skyldmenna sem eru til þess fallnar að veita vitneskju um erfðaeiginleika umsækjandans. Ber hér að hafa í huga að margir algengir sjúkdómar orsakast af samspili erfða- og umhverfisþátta. Verður því að líta svo á að öflun upplýsinga um arfgenga sjúkdóma foreldra og systkina jafngildi öflun upplýsinga um erfðaeiginleika umsækjandans sjálfs. Verður enda vart komið auga á það í hvaða tilgangi öðrum tryggingafélag ætti að sækjast eftir upplýsingum um slíka sjúkdóma hjá einstaklingum. Að því er varðar öflun annarra heilsufarsupplýsinga um þessa einstaklinga verður hins vegar ekki fullyrt að hún sé óheimil, enda byggi hún á samþykki þeirra, sbr. 7. tölul. 2. gr. laga 77/2000.
Má í þessu sambandi minna á dóm Hæstaréttar frá 27. nóvember 2003 í máli 151/2003. Þar er m.a. byggt á 1. mgr. 71. gr. stjórnarskrárinnar er veitir sérhverjum manni friðhelgi um einkalíf sitt og minnt á að til að tryggja þá friðhelgi verði meðal annars að gæta að því að lög leiði ekki af sér raunhæfa hættu á að upplýsingar um einkahagi tiltekins manns komist í hendur annarra. Því var í dóminum byggt á því að áfrýjandi gæti sjálfur haft hagsmuni af því að upplýsingar úr sjúkraskrám látins föður hans yrðu ekki fluttar í þann gagnagrunn, sem málið laut að, vegna hættu á að af þeim yrði ályktað um heilsuhagi hans sjálfs.
Með vísun til alls framangreinds og að því virtu að samkvæmt lögunum er vátryggjendum beinlínis bannað að afla eða hagnýta sér með nokkrum hætti erfðafræðilegar upplýsingar um umsækjandann eða óska eftir rannsóknum sem leitt geta slíkar upplýsingar í ljós, er það niðurstaða Persónuverndar [B] sé óheimilt að afla upplýsinga um heilsufar þeirra sem að einhverju leyti fela í sér upplýsingar um arfgerð umsækjandans.
Lögmæti vinnslunnar skv. 7. gr. laga nr. 77/2000
Eins og áður segir þarf vinnsla sem uppfyllir eitthvert skilyrða 8. og 9. gr. ennfremur að vera í samræmi við meginreglur 7. gr. laganna. Samkvæmt 1. mgr. 7. gr. skal þess m.a. gætt við meðferð persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga, sbr. 1. tölul., að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul., og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul.
Persónuvernd hefur farið yfir umsóknareyðublað [B] fyrir líf-, slysa- og sjúkdómatryggingu. Þar er gert ráð fyrir að umsækjandi veiti viðkvæmar persónuupplýsingar um foreldra sína og systkini. Þá skortir fræðslu varðandi öflun viðbótarupplýsinga um umsækjanda frá öðrum en honum sjálfum, sbr. 21. gr. laga nr. 77/2000. Hafa verður í huga að samkvæmt 1. tölul. 1. mgr. 7. gr. á vinnsla að vera sanngjörn, en því skilyrði er ekki fullnægt nema vinnsla uppfylli kröfur um ákveðið gagnsæi. Í því felst m.a. að hinn skráði á almennt að eiga kost á vitneskju um vinnsluna, auk þess sem almennt verður að veita fræðslu í samræmi við ákvæði 20. og 21. gr. laga nr. 77/2000. Í ljósi þessa telur Persónuvernd öflun persónuupplýsinga um foreldra og systkini umsækjanda, sem og öflun upplýsinga frá öðrum en honum sjálfum, ekki samrýmast 1. tölul. 1. mgr. 7. gr.
Hvað síðarnefndu upplýsingaöflunina varðar telur Persónuvernd æskilegt að höfð verði hliðsjón af skilgreiningu hugtaksins samþykki í 7. tölul. 2. gr. laga nr. 77/2000. Er þannig einkum æskilegt að fram komi hvaða upplýsinga kann að verða óskað og í hvaða tilvikum, í hvaða tilgangi, hvernig þær verði meðhöndlaðar og að umsækjanda sé heimilt að afturkalla samþykki sitt. Um fræðslu við öflun umrædds samþykkis vísast að öðru leyti til þess sem fram kemur þar að lútandi í A-lið kafla 2.1 hér að ofan.
Aðra vinnslu persónuupplýsinga á grundvelli umrædds eyðublaðs en þá sem hér hefur verið fjallað um telur Persónuvernd ekki fara í bága við ákvæði 7. gr. laga nr. 77/2000.
Öryggi vinnslu
Almennt um lagaskilyrði
Samkvæmt lögum nr. 77/2000 hvílir sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið er með, sbr 11.–13. gr. laganna og reglur Persónuverndar nr. 299/2001.
Í 11. gr. laganna er fjallað um öryggisráðstafanir o.fl. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.
Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber og ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði þessarar greinar, sbr. 4. mgr. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr.
Samkvæmt 12. gr. skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.
Samkvæmt 13. gr. skal hann og gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.
Öryggi við vinnslu persónuupplýsinga sem fram fer
í tengslum við [B]. á líf-, slysa- og sjúkdómatryggingum.
Með vísan til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, hefur Persónuvernd gert athugun á því hvort uppfyllt séu fyrirmæli framangreindra laga og reglna hjá [B]. Athugunin byggir annars vegar á rýni gagna frá félaginu og hins vegar á niðurstöðu vettvangsathugunar.
a. Öryggisstefna
Í 1. tölul. 3. gr. reglna nr. 299/2001 segir eftirfarandi: "Ábyrgðaraðili setur sér skriflega öryggisstefnu. Í henni skal m.a. koma fram almenn lýsing á afstöðu æðsta stjórnanda ábyrgðaraðila til öryggismála. Við mótun öryggisstefnu skal taka mið af því hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og þeirri aðferð sem viðhöfð verður við vinnslu þeirra." Eins og ráða má af orðalagi ákvæðisins er öryggisstefna ábyrgðaraðila eins konar markmiðsyfirlýsing hans varðandi þær kröfur sem hann gerir til þeirrar vinnslu sem hann ber ábyrgð á. Gert er ráð fyrir því að kröfur um öryggi persónuupplýsinganna taki mið af þeim þáttum sem ábyrgðaraðili telur varða mestu, s.s. hvort það sé aðgengileiki, áreiðanleiki eða leynd viðkomandi persónuupplýsinga.
[B], dótturfyrirtæki [A], lagði fram öryggisstefnu móðurfélags þess, þ.e. [E] hf. Þótt sú öryggisstefna uppfylli sem slík þær kröfur sem almennt eru gerðar til öryggisstefnu, verður ekki talið að [B] hafi uppfyllt skilyrði laga um mótun öryggisstefnu, enda er félagið sjálfstæður lögaðili með sérstakri stjórn, auk framkvæmdastjóra sem annast daglegan rekstur félagsins. [B] eru ábyrgðaraðili þeirra persónuupplýsinga sem félagið vinnur með, sbr. 4. tl. 2. gr. laga nr. 77/2000. Samkvæmt 1. tölul. 3. gr. reglna nr. 299/2001 er það hlutverk sérhvers ábyrgðaraðila persónuupplýsinga að taka afstöðu til eigin vinnslu varðandi þau atriði sem í ákvæðinu greinir. Í öryggisstefnu [E] hf. er hvorki vikið að vinnslu upplýsinga í tengslum við tryggingastarfsemi né ber hún með sér að yfirstjórn [A] hafi tekið afstöðu til hennar. Skiptir í því sambandi engu máli þótt að í öryggisstefnunni sé tekið fram að hún taki til allra dótturfélaga [E], sbr. athugasemdir [B]. Uppfyllir hún því ekki kröfur reglna 299/2001, hvorki að efni til né formi.
b. Áhættumat
Í 2. tölul. 3. gr. reglna nr. 299/2001 er að finna reglur sem veita ábyrgðaraðilum persónuupplýsinga leiðbeiningar um hvernig skuli standa að gerð áhættumats. Þar segir: "Áhættumat er mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat tekur einnig til athugunar á umfangi og afleiðingum hættunnar m.t.t. eðlis þeirra persónuupplýsinga sem unnið er með. Markmið áhættumats er að skapa forsendur fyrir vali á öryggisráðstöfunum, sbr. III. kafla reglna þessara. Þá skal tilgreina hvað geti farið úrskeiðis, hvaða áhrif slíkt geti haft á öryggi upplýsinganna og hvaða líkur séu á slíku. Áhættumat skal endurskoðað reglulega."
Af þeim gögnum sem lögð voru fram af hálfu [B] má ráða að félagið hafi lagt allnokkra vinnu í að greina og meta þær hættur sem steðja kunna að þeim persónuupplýsingum sem unnið er með. Er þá einkum um að ræða fundargerðir þriggja funda þar sem öryggi og meðferð persónuupplýsinga var til umræðu. Verður því að ætla að meðal tiltekinna starfsmanna [B] búi vitneskja, a.m.k. að einhverju marki, um þær ógnir sem búnar eru persónuupplýsingum í vörslu félagsins. Hins vegar er ljóst að umræddri vinnu hefur ekki verið fylgt eftir með skipulegum hætti, s.s. með því að skjalfesta greindar hættur, taka afstöðu til alvarleika þeirra og meta líkindi og hugsanlegar afleiðingar tjóns, sbr. kröfu 2. tl. 3. gr. reglna 299/2001 þessa efnis. Er slík vinna grundvöllur þess að unnt sé með markvissum hætti að velja viðeigandi ráðstafanir til að tryggja öryggi persónuupplýsinga. Verður því að telja áhættumat [B] ábótavant að þessu leyti.
c. Öryggisráðstafanir
Samkvæmt 3. tölul. 3. gr. reglna nr. 299/2001 ber ábyrgðaraðila að setja fram skriflega lýsingu á þeim öryggisráðstöfunum sem hann hefur valið til þess að tryggja öryggi persónuupplýsinga. Er ákvæðið svohljóðandi: "Ábyrgðaraðili velur hvaða öryggisráðstafanir skulu viðhafðar í samræmi við III. kafla reglna þessara og setja fram skriflega lýsingu á þeim. Í lýsingunni skal m.a. koma fram afstaða ábyrgðaraðilans til þess hvað sé ásættanleg áhætta við vinnsluna. Þá skal rakið hvaða öryggisráðstöfunum verði beitt og hvernig þær verði útfærðar, þ.á m. við hönnun, þróun, rekstur, prófun og viðhald þess kerfis, þ.m.t. hugbúnaðar, sem notað verður við vinnslu upplýsinganna. Þar skal og tekið fram hvernig brugðist verði við áföllum í rekstri vinnslukerfisins, hvernig flutningi persónuupplýsinga milli vinnslukerfa verði hagað, þ. á m. mögulegum flutningi gagna milli ábyrgðar- og vinnsluaðila. Öryggisráðstafanir skal endurskoða reglulega."
Að mati Persónuverndar gefa gögn félagsins viðhlítandi yfirsýn yfir þær öryggisráðstafanir sem viðhafðar eru við meðferð persónuupplýsinga hjá [B]. Lýsing félagsins á öryggisráðstöfunum uppfyllir þannig kröfur 3. tölul. 3. gr. reglna 299/2001, enda þótt nokkuð skorti á þeim sé lýst á heildstæðan og skipulegan hátt. Með gerð heildstæðs áhættumats, sem tengir saman öryggisráðstafanir við tilteknar hættur, mætti bæta þar miklu úr.
Þá telur Persónuvernd, varðandi þær öryggisráðstafanir sem við vettvangsathugun reyndust ekki vera í lagi, að í flestum tilvikum sé um að ræða æskilegar aðgerðir fremur en nauðsynlegar öryggisráðstafanir samkvæmt reglum nr. 299/2001. Þykir því ekki nauðsynlegt að fjalla um þær sérstaklega, að undanskildum þeim er lúta að framkvæmd innra eftirlits, sbr. eftirfarandi.
d. Innra eftirlit
Í 12. gr. laga nr. 77/2000 er kveðið á um ábyrgðaraðili skuli viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið. Hefur Persónuvernd sett nánari fyrirmæli um hvernig standa skuli að slíku eftirliti, sbr. 8. gr. reglna nr. 299/2001. Segir þar m.a.: "Að jafnaði skal viðhafa innra eftirlit samkvæmt fyrirfram skilgreindu kerfi. Ábyrgðaraðili skal sjá til þess að gerð sé skýrsla um hverja aðgerð sem er liður í innra eftirliti. Í slíkri skýrslu skal lýsa niðurstöðu hvers þáttar eftirlitsins. Skýrslur um innra eftirlit skal varðveita tryggilega og hefur Persónuvernd rétt til aðgangs að þeim hvenær sem þess er óskað."
Í framlögðum gögnum [B] er ekki að finna áætlun um hvernig standa skuli að framkvæmd innra eftirlits. Mikilvægt er að afmarka fyrirfram, með tilliti til þeirra atriða sem talin eru upp í 8. gr. reglna nr. 299/2001, til hvaða þátta vinnslunnar eftirlitið skuli beinast að og fylgja þeirri áætlun kerfisbundið eftir. Þá er nauðsynlegt að gera grein fyrir niðurstöðum slíks eftirlits í formi skýrslu, sbr kröfu 3. mgr. 12. gr. laganna þessa efnis.
Við vettvangsathugun reyndi á tvær öryggisráðstafanir er lutu að innra eftirliti. Annars vegar reyndist ekki vera gerð skýrsla um niðurstöður æfingar á rýmingaráætlun vegna brunaútkalls og hins vegar kom í ljós að aldrei hafði verið framkvæmd prófun á gagnaöryggismálum og afritunartöku í samræmi við kröfur öryggishandbókar þar að lútandi.
Í ljósi þess að prófun á afritunartökum í sambandi við gagnaöryggi og skjalfesting aðgerða við framkvæmd innra eftirlits eru nauðsynlegir þættir í slíku eftirliti þarf að bæta framkvæmd þessa.
Samandregin niðurstaða
Fyrirmæli
Úttekt Persónuverndar, framkvæmd á grundvelli laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og með tilliti til ákvæða laga um vátryggingarsamninga nr. 30/2004 sem munu gilda frá og með 1. janúar 2006, hefur leitt í ljós að vinnsla persónuupplýsinga á vegum [B], sem aflað er frá umsækjendum um líf-, slysa- og sjúkdómatryggingar, uppfyllir skilyrði 7.–9. gr. laga nr. 77/2000 að öðru leyti en því að:
a) Öflun upplýsinga hjá þriðja aðila, um mann sem sækir um líf- og sjúkdómatryggingu, er óheimil nema fyrir liggi skriflegt, upplýst samþykki hans og honum hafi verið veitt fræðsla í samræmi við ákvæði 21. gr. laga nr. 77/2000.
b) Öflun upplýsinga um arfgenga sjúkdóma foreldra og systkina umsækjenda er óheimil.
Úttekt Persónuverndar, sem boðuð var með bréfi, dags. 20. júní 2003, og fram fór á grundvelli gagna, sem [B] lagði fram vorið 2004, hefur leitt í ljós annmarka á fyrirkomulagi öryggismála persónuupplýsinga hjá félaginu, einkum er varðar skjölun öryggiskerfis upplýsinganna og framkvæmd innra eftirlits. Er þeim fyrirmælum beint til [B] að gera eftirfarandi úrbætur:
a) Að setja sér skriflega öryggisstefnu, þar sem fram komi afstaða æðstu stjórnanda félagsins til öryggismála m.a. til þess hvaða persónuupplýsingar skuli vernda, hvernig skuli vernda þær og hvaða aðferðir skuli viðhafðar við vinnslu þeirra, sbr. 1. tl. 3. gr. reglna nr. 299/2001.
b) Að gera skriflegt áhættumat, þar sem fram komi mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Í áhættumatinu skal greina þær hættur sem stafað geta að öryggi persónuupplýsinga, taka afstöðu til alvarleika þeirra og meta líkindi og hugsanlegar afleiðingar tjóns, sbr. 2. tl 3. gr. reglna 299/2001.
c) Að semja skriflega áætlun um innra eftirlit, sbr. 8. gr. reglna nr. 299/2001, og framkvæma eftirlit samkvæmt henni, ásamt gerð skýrslu um niðurstöður þess, eigi sjaldnar en einu sinni ár hvert, sbr. 12. gr. laga nr. 77/2000.
Er þeim tilmælum hér með beint til [B] að gera nauðsynlegar breytingar samkvæmt framanrituðu þannig að starfsemi félagsins uppfylli skilyrði laga nr. 77/2000 og laga nr. 30/2004 við gildistöku þeirra hinn 1. janúar 2006.