Öryggi við meðferð rafrænna sönnunargagna hjá LRH

18.6.2024

Reykjavík, 6. júní 2024
Tilvísun: 2022111971/H.H.

Ákvörðun

vegna frumkvæðisathugunar á öryggi persónuupplýsinga hjá lögreglustjóranum á höfuðborgarsvæðinu við meðferð rafrænna sönnunargagna sem varðveitt eru utan lögreglukerfisins (LÖKE), í máli nr. 2022111971:

Málsmeðferð

Tildrög máls

1 Persónuvernd tilkynnti embætti lögreglustjórans á höfuðborgarsvæðinu (LRH) um að stofnunin hefði ákveðið að hefja frumkvæðisathugun á vinnslu persónuupplýsinga við rafræna meðferð sönnunargagna hjá embættinu með bréfi 5. desember 2022.

2 Í nóvember 2022 birtust af því fréttir að myndbandsupptökum, sem voru hluti sönnunargagna í líkamsárásarmáli hjá LRH, hefði verið lekið til fjölmiðla af starfsmanni embættisins. Persónuvernd barst jafnframt tilkynning um öryggisbrest frá LRH vegna atviksins 25. s.m. Að því virtu og með hliðsjón af eðli umræddra upplýsinga, því að meðferð og varðveisla sönnunargagna hjá LRH varðar breiðan hóp manna og getur haft mikla áhættu í för með sér fyrir persónuvernd þeirra, ákvað Persónuvernd að hefja ofangreinda frumkvæðisathugun, sbr. 3. mgr. 30. gr. laga nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi og 31. gr. þágildandi málsmeðferðarreglna Persónuverndar.

Rannsókn máls

3 Með fyrrgreindu bréfi Persónuverndar til LRH 5. desember 2022 óskaði stofnunin upplýsinga um meðferð og varðveislu sönnunargagna hjá embættinu, meðal annars með hvaða hætti sönnunargögn væru varðveitt, hvort LRH hefði sett reglur um meðferð og varðveislu sönnunargagna og hvaða ráðstafanir væru gerðar til að tryggja viðunandi öryggi persónuupplýsinga sem slík gögn geyma. Erindið var ítrekað 13. febrúar 2023. Svör LRH bárust Persónuvernd með tölvupósti 14. s.m.

4 Með hliðsjón af svörum embættisins ákvað Persónuvernd að afmarka athugunina við öryggi persónuupplýsinga við meðferð rafrænna sönnunargagna sem varðveitt eru utan LÖKE. Persónuvernd óskaði frekari skýringa með bréfum til LRH 18. ágúst 2023 og 2. nóvember s.á., sem svo var ítrekað 19. desember s.á., og með bréfi til ríkislögreglustjóra og LRH 5. janúar 2024. Upplýsingabeiðnir Persónuverndar lutu að tilteknum öryggisráðstöfunum í myndvörslukerfi lögreglu og á miðlægum drifum sem varðveita sönnunargögn, einkum hvernig aðgangsstýringu var háttað og hvort aðgerðaskráning (e. logging) var viðhöfð. Svör LRH bárust með tölvupósti 27. september s.á., 3. janúar 2024 og 2. febrúar s.á.

5 Með bréfi 7. febrúar 2024 sendi Persónuvernd LRH skýrslu þar sem gerð var grein fyrir yfirferð stofnunarinnar á gögnum málsins og var embættinu veitt færi á að koma á framfæri athugasemdum við efni skýrslunnar. Að auki óskaði Persónuvernd eftir aðgangi að aðgerðaskrá úr Fotoware. LRH afhenti Persónuvernd atvikaskrár úr kerfinu 21. febrúar 2024 og 11. apríl s.á. en gerði ekki athugasemdir við efni framangreindrar skýrslu Persónuverndar. Þá óskaði stofnunin skýringa varðandi tiltekin atriði með tölvupósti 14. maí s.á. og barst svar LRH með tölvupósti 22. s.m.

Álitamál

6 Markmið frumkvæðisathugunarinnar var að staðreyna hvort öryggi persónuupplýsinga hjá LRH við rafræna meðferð sönnunargagna sem varðveitt eru utan LÖKE samrýmdist kröfum f-liðar 1. mgr. 4. gr. og 1. mgr. 23. gr., sbr. 4. mgr. 4. gr. og 1. mgr. 18. gr. laga nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi.

7 Nánar tiltekið leitaðist Persónuvernd eftir að kanna hvernig aðgangsstýringu væri háttað og hvort viðhöfð væri aðgerðaskráning í samræmi við 25. gr. laga nr. 75/2019.

Sjónarmið LRH

Varðveisla rafrænna sönnunargagna hjá LRH

8 Í skýringum LRH segir að rafræn sönnunargögn sem berast embættinu séu ávallt varðveitt í LÖKE eða í myndvörslukerfinu Fotoware nema ef stærð hamlar því að þau séu varðveitt þar. Þegar varðveita þurfi sönnunargögn miðlægt, sem ekki er unnt að varðveita í LÖKE eða Fotoware, séu þau varðveitt á miðlægu X-drifi. Enn fremur segir að sönnunargögnin sem hafi lekið til fjölmiðla hafi verið varðveitt um stundasakir í möppu á miðlægu S-drifi, sem allir starfsmenn höfðu aðgang að, í þeim tilgangi að bera kennsl á meinta sakborninga. Ekki sé á hinn bóginn ætlast til þess að sönnunargögn séu varðveitt á miðlægum drifum. Ef sönnunargögn í sakamáli eru varðveitt á miðlægum drifum sé það ákvörðun þess starfsmanns sem það gerir.

9 LRH vísar til reglna embættisins um Fotoware, nr. LRH178, varðandi það hvað stýrir því hvar rafræn sönnunargögn eru varðveitt og hvort skjalfestar hafi verið reglur þess efnis. Tilgangur reglnanna er að leiðbeina starfsmönnum um hvernig ljósmyndir eru færðar inn í myndvörslukerfið. Í reglunum er áréttað að meginþorri ljósmynda lögreglu gegni hlutverki sönnunargagna eða gagna með sönnunargildi og því beri að varðveita þær með öruggum hætti. Í reglunum er tekið fram að Fotoware uppfylli öryggiskröfur lögreglunnar og að í kerfinu séu gæði og rekjanleiki tryggð.

10 Hvað miðlæg drif varðar vísar LRH til reglna nr. LRH028 um tölvukerfi embættisins. Í reglunum er farið yfir þau drif sem eru fyrir hendi, meðal annars S- og X-drif. Þar segir að X-drif komi fram hjá starfsmönnum ýmissa deilda og séu ætluð til að vista gögn til samnýtingar innan deilda. S-drif sé sameiginlegt drif sýnilegt öllum notendum tölvukerfisins, ætlað til vistunar á gögnum sem þurfa að vera aðgengileg þvert á deildaskipulag. Tekið er fram að gæta þurfi þess að vista ekki gögn sem innihalda viðkvæmar trúnaðarupplýsingar á S-drifi, þannig að þau séu óviðkomandi aðgengileg. Í skýringum LRH segir enn fremur að S-drifi sé ekki ætlað að geyma persónugreinanleg gögn.

11 Samkvæmt svörum LRH hefur mat á áhrifum á persónuvernd ekki verið framkvæmt vegna vinnslu persónuupplýsinga í myndvörslukerfinu Fotoware. Kerfið hafi verið tekið í notkun hjá embættinu fyrir gildistöku laga nr. 75/2019, en þágildandi lög nr. 77/2000 gerðu ekki kröfu um slíkt mat. Þá kemur fram að LRH vinni nú að því að áhættumeta miðlæg drif og muni senda Persónuvernd áhættumatið þegar þeirri vinnu ljúki.

Aðgangsstýringar

12 Í skýringum LRH er greint frá því að starfsmenn embættisins hafi aðgang að kerfum lögreglu og þeim upplýsingum og gögnum sem þar eru varðveitt í samræmi við hlutverk og verkefni viðkomandi, sbr. 24. gr. laga nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi. Aðgangsstýringar séu á öllum starfstöðvum LRH, þ. á m. á tölvum og tölvukerfum sem varðveita sönnunargögn. Hver starfsmaður sé auðkenndur í hvert skipti sem hann tengist kerfum ríkislögreglustjóra. Á grunni þeirrar auðkenningar sé starfsmanni veittur aðgangur að kerfum og svæðum sem hann þarf til að sinna starfi sínu. Starfsmanni sé einungis veittur aðgangur að þeim kerfum og svæðum sem honum sé nauðsynlegur starfs hans vegna.

13 Tekið er fram að aðgangur starfsmanna að sönnunargögnum á miðlægu X-drifi sé takmarkaður við þá sem eru að rannsaka viðkomandi mál. Hver eining, deild eða sérstaklega afmarkaður starfshópur hafi aðgang að möppu á miðlægu X-drifi sem tilheyri þeim en aðrir sjái ekki þá möppu eða hafi aðgang að henni. Aðgangur að myndvörslukerfinu Fotoware sé skilgreindur með sama hætti. Í reglum nr. LRH028 segir að S-drif sé sameiginlegt drif, sýnilegt öllum notendum tölvukerfisins, sem sé ætlað til vistunar á gögnum sem þurfa að vera aðgengileg þvert á deildaskipulag, ýmist í möppum með takmörkuðum aðgangi eða opið öllum. Að auki er vísað til þess að lögreglumenn og annað starfslið lögreglu sé bundið trúnaðar- og þagnarskyldu samkvæmt 42. gr. stjórnsýslulaga nr. 37/1993 og 22. gr. lögreglulaga nr. 90/1996.

Aðgerðaskráning

14 Í svörum LRH segir að aðgerðaskráning sé haldin í Fotoware í samræmi við 25. gr. laga nr. 75/2019 og 8. gr. reglugerðar nr. 577/2020. Aðgerðaskrár úr kerfinu voru afhentar Persónuvernd 21. febrúar 2024 og 11. apríl s.á.

15 Í skýringum LRH segir einnig að unnt sé að skoða hvaða starfsmenn hafa tengst svæði á miðlægu drifi. Hins vegar sé virk aðgerðaskráning ekki haldin og því sé ekki unnt að veita Persónuvernd aðgang að aðgerðaskrám í samræmi við 2. mgr. 25. gr. laga nr. 75/2019. Um þetta segir enn fremur að ríkislögreglustjóri beri ábyrgð á og reki upplýsingakerfi lögreglu, meðal annars miðlægan tölvubúnað og netkerfi sem lögregluembættin tengjast. Því telji LRH rétt að ríkislögreglustjóri veiti nánari upplýsingar um aðgerðaskráningar miðlægra S- og X-drifa og tæknilegar öryggisráðstafanir þeirra. Í því sambandi er vísað til 15. og 16. gr. reglugerðar nr. 325/2021 um starfsemi, hlutverk og ábyrgð embættis ríkislögreglustjóra. Eftir sem áður segir að LRH beri ábyrgð á öryggi við vinnslu persónuupplýsinga, að meðferð þeirra samrýmist reglum og að komið sé í veg fyrir óheimilan aðgang, breytingu og miðlun upplýsinga.

16 Um það hvort og þá með hvaða hætti unnt sé að skoða aðgerðir starfsmanna LRH sem framkvæmdar eru á sameiginlegum drifum sem varðveita sönnunargögn segir í svörum LRH að ríkislögreglustjóri taki ákvörðun um þær öryggisráðstafanir sem viðhafðar eru á miðlægu S-drifi en kerfisstjóri LRH sé ábyrgður fyrir öryggisráðstöfunum á miðlægu X-drifi. Þá segir að ekki sé unnt að skoða aðgerðir starfsmanna LRH sem framkvæmdar eru á sameiginlegum drifum nema að mjög takmörkuðu leyti. Embætti ríkislögreglustjóra hafi haft það sem forgangsatriði að finna leiðir til að unnt væri að uppfylla kröfur 25. gr. laga nr. 75/2019 við notkun á slíkum drifum. Embættið hafi t.d. þegar fest kaup á hugbúnaði í þeim tilgangi. Hugbúnaðurinn hafi hins vegar ekki virkað sem skyldi.

Forsendur og niðurstaða

Gildissvið - ábyrgðaraðili

17 Frumkvæðisathugun þessi lýtur að öryggi persónuupplýsinga hjá lögreglustjóranum á höfuðborgarsvæðinu við meðferð rafrænna sönnunargagna sem varðveitt eru utan LÖKE. Varðar athugunin vinnslu persónuupplýsinga sem fer fram í löggæslutilgangi og fellur hún þar af leiðandi undir gildissvið laga nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi og þar með undir valdsvið Persónuverndar, sbr. 1. mgr. 3. gr., 8. og 11. tölul. 2. gr. og 1. mgr. 30. gr. laganna.

18 Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, svo sem með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 1. tölul. 2. gr. laga nr. 75/2019. Með hliðsjón af þessari skilgreiningu telur Persónuvernd að sönnunargögn í fórum LRH feli ávallt í sér persónuupplýsingar ef unnt er að tengja þau við tiltekinn einstakling, þó að það sé e.t.v. ekki á allra færi. Á athugun þessi því einnig við um myndbönd úr öryggismyndavélum þótt enn hafi ekki verið borin kennsl á þá einstaklinga sem þar birtast.

19 Sá sem ber ábyrgð á vinnslu persónuupplýsinga samkvæmt lögum nr. 75/2019 nefnist ábyrgðaraðili. Er þar átt við lögbært yfirvald sem ákvarðar, eitt eða í samvinnu við aðra, tilgang og aðferðir við vinnslu persónuupplýsinga.

20 Af hálfu LRH hefur komið fram að ríkislögreglustjóri beri ábyrgð á og reki upplýsingakerfi lögreglu. Samkvæmt 1. mgr. 15. gr. reglugerðar nr. 325/2001 um starfsemi, hlutverk og ábyrgð embættis ríkislögreglustjóra skal ríkislögreglustjóri reka og bera ábyrgð á upplýsingakerfum lögreglu, þar með talið miðlægu málakerfi sem heldur utan um öll verkefni lögreglunnar. Í því felst meðal annars að ríkislögreglustjóri á og rekur miðlægan tölvubúnað og netkerfi sem lögregluembættin tengjast, ber ábyrgð á þróun kerfanna og annast þjónustu við notendur þeirra. Ríkislögreglustjóri skal jafnframt gera ráðstafanir til þess að tryggja með skipulögðum og kerfisbundnum hætti öryggi upplýsingakerfa lögreglu þannig að óviðkomandi fái ekki aðgang að þeim eða geti haft áhrif á skráningu, sbr. 2. mgr. 16. gr. reglugerðarinnar. Með hliðsjón af afmörkun þessa máls verður ekki fjallað nánar um ábyrgð ríkislögreglustjóra í þessu sambandi.

21 Í samræmi við 3. mgr. 16. gr. reglugerðar nr. 325/2001 ber hvert lögregluembætti fyrir sig ábyrgð á öryggi við vinnslu persónuupplýsinga, að meðferð þeirra samrýmist reglum og á því að komið verði í veg fyrir óheimilan aðgang, breytingu eða miðlun upplýsinga. Að því virtu er LRH ábyrgðaraðili þeirrar vinnslu sem hér er til skoðunar, sbr. 4. tölul. 2. gr. laga nr. 75/2019. Nánar tiltekið ber LRH ábyrgð á þeirri vinnslu sem felst í meðferð sönnunargagna hjá embættinu, þ.m.t. vinnslu persónuupplýsinga af hálfu starfsmanna embættisins, svo sem færslu sönnunargagna á miðlæg drif og í myndvörslukerfi lögreglu sem og uppflettingum og öðrum aðgerðum starfsmanna embættisins í þeim kerfum.

Öryggi persónuupplýsinga

22 Við vinnslu persónuupplýsinga hjá lögbærum yfirvöldum, sem fer fram í löggæslutilgangi, skal gæta að öllum meginreglum 4. gr. laga nr. 75/2019. Í samræmi við f-lið 1. mgr. ákvæðisins skulu lögbær yfirvöld tryggja að persónuupplýsingar séu unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt.

23 Nánar er kveðið á um öryggi við meðferð persónuupplýsinga í V. kafla laganna. Í samræmi við 1. mgr. 23. gr. laganna skulu ábyrðaraðili og vinnsluaðili gera viðeigandi ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga, einkum að því er varðar vinnslu viðkvæmra persónuupplýsinga.

24 Meðal þeirra ráðstafana sem ábyrgðaraðili þarf að huga að eru aðgangsstýringar og aðgerðaskráning. Í 2. mgr. 23. gr. laganna er kveðið á um öryggi persónuupplýsinga við sjálfvirka gagnavinnslu. Með sjálfvirkri vinnslu er í raun átt við alla vinnslu sem fer fram með notkun tölvutækni, hvort sem það er að hluta eða í heild. Samkvæmt ákvæðinu skal ábyrgðaraðili eða vinnsluaðili, að undangengnu áhættumati, gera ráðstafanir í því skyni að þeir sem ekki hafa til þess heimild hafi ekki aðgang að vinnslubúnaði, vinnslukerfum og gagnamiðlun og geti þannig ekki fært inn, skoðað, breytt eða eytt varðveittum persónuupplýsingum. Jafnframt skal ábyrgðaraðili eða vinnsluaðili tryggja að þeir sem hafa heimild til notkunar slíkra kerfa hafi aðeins aðgang að persónuupplýsingum sem falla undir aðgangsheimild þeirra.

25 Í 24. gr. laganna er nánar fjallað um aðgang að persónuupplýsingum en þar segir að aðgangur einstakra starfsmanna ábyrgðaraðila og vinnsluaðila að persónuupplýsingum skuli ekki vera rýmri en nauðsynlegt er með hliðsjón af verkefnum þeirra.

26 Fjallað er um aðgerðaskráningu í 25. gr. laga nr. 75/2019. Í 1. mgr. ákvæðisins segir að nota skuli aðgerðaskráningarkerfi til að tryggja rekjanleika aðgerða í þeim upplýsingakerfum sem haldin eru í löggæslutilgangi. Enn fremur segir að upplýsingar úr slíku kerfi megi eingöngu nota til að staðreyna lögmæti vinnslu (a-liður), við innra eftirlit (b-liður), til að tryggja öryggi persónuupplýsinga (c-liður) eða til að ljóstra upp um meinta refsiverða háttsemi (d-liður). Þá skulu ábyrgðaraðili og vinnsluaðili sjá til þess að aðgerðaskrár séu aðgengilegar Persónuvernd, komi fram beiðni þess efnis, sbr. 2. mgr. ákvæðisins. Í athugasemdum við 25. gr. frumvarps sem varð að lögum nr. 75/2019 segir að ákvæðið byggist á sjónarmiðum um að nauðsynlegt sé fyrir lögbær yfirvöld og eftirlitsaðila að hafa nákvæmar upplýsingar um þær aðgerðir sem framkvæmdar eru í þeim skrám sem haldnar eru í upplýsingakerfum og geta þannig gengið úr skugga um að aðgengi einstakra starfsmanna að persónuupplýsingum sé einskoðað við þær upplýsingar sem þeim eru nauðsynlegar til að sinna verkefnum sínum hverju sinni. Aðgerðaskráningu sé ætlað að tryggja rekjanleika aðgerða til tiltekins starfsmanns þannig að ráða megi hvort aðgerð hafi verið lögmæt og málefnaleg út frá hlutverki hans og verkefnum.

27 Ekki er skilgreint í lögum nr. 75/2019 hvað átt er við með upplýsingakerfi en í framangreindum athugasemdum við 25. gr. frumvarpsins segir að með hugtakinu sé átt við sjálfvirk vinnslukerfi í skilningi samsvarandi ákvæðis 25. gr. tilskipunar (ESB) 2016/680 og falli meðal annars LÖKE-upplýsingakerfi ríkislögreglustjóra þar undir. Er almennt við það miðað að til sjálfvirkra vinnslukerfa, samkvæmt tilskipuninni, teljist öll kerfi þar sem fram fer einhvers konar sjálfvirk vinnsla og mannleg aðkoma er líkleg, sem getur til dæmis falið í sér að upplýsingar eru færðar þangað inn eða þær skoðaðar. Persónuvernd gengur þar af leiðandi út frá því að ákvæði 25. gr. laganna taki til allra upplýsingakerfa lögreglu sem eru í reynd notuð til að varðveita, skoða og vinna með öðrum hætti persónuupplýsingar í löggæslutilgangi.

28 Ábyrgðaraðili, í þessu tilviki LRH, ber ábyrgð á því að vinnsla persónuupplýsinga hjá embættinu samrýmist framangreindum kröfum laga nr. 75/2019 og skal geta sýnt fram á það, sbr. 4. mgr. 4. gr. og 1. mgr. 18. gr. laganna. Nánar tiltekið er kveðið á um það í síðargreinda ákvæðinu að ábyrgðaraðili skuli gera viðeigandi ráðstafanir sem taka mið af eðli, umfangi og tilgangi vinnslunnar sem og réttindum hins skráða og til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur laganna. Það að þurfa að sýna fram á að farið sé að kröfum laganna felur í sér að ábyrgðaraðili þarf að geta sannað það, t.d. með áhættumati, verklagsreglum og öðrum skjölum. Ábyrgðaraðili þarf jafnframt að geta sýnt fram á skilvirkni þeirra ráðstafana sem hann hefur ákveðið að beita.

Niðurstaða

29 Af svörum LRH má ráða að rafræn sönnunargögn í fórum embættisins, sem varðveitt eru utan LÖKE, séu varðveitt í myndvörslukerfinu Fotoware og eftir atvikum á miðlægu X-drifi. Þá liggur fyrir að sönnunargögn í því máli sem frumkvæðisathugun þessi er risin af voru varðveitt um stundarsakir í möppu á miðlægu S-drifi.

30 LRH hefur sýnt fram á ákveðið verklag varðandi varðveislu sönnunargagna í Fotoware. Í því sambandi hefur embættið lagt fram vinnulýsingu varðandi innsetningu ljósmynda í kerfið, sbr. reglur nr. LRH178. Fyrir liggur að starfsmenn er auðkenndir í hvert skipti sem þeir tengjast kerfinu og er aðgangur að svæðum takmarkaður við þá sem eru að rannsaka viðkomandi mál. Þá hefur LRH lagt fram aðgerðaskrár úr kerfinu og þar með sýnt fram á að rekjanleiki aðgerða sé tryggður. Eins og athugun þessi hefur verið afmörkuð gerir Persónuvernd ekki athugasemdir við öryggi persónuupplýsinga í kerfinu.

31 Líkt og vikið er að í efnisgrein 10 var Fotoware tekið í notkun hjá LRH fyrir gildistöku laga nr. 75/2019 og þágildandi lög nr. 77/2000 gerðu ekki kröfu um mat á áhrifum á persónuvernd. Þrátt fyrir að LRH hafi ekki verið skylt að framkvæma mat á áhrifum á persónuvernd vegna vinnslu persónuupplýsinga í kerfinu bendir Persónuvernd á að slíkt mat kann að vera gagnlegt tól til þess að skjalfesta mat á áhættu og sýna fram á að viðeigandi öryggisráðstafanir hafi verið innleiddar.

32 Hvað miðlæg drif varðar, þ.e. X- og S-drif, liggur fyrir að ekki er ætlast til að drifin séu notuð til þess að varðveita sönnunargögn. Þá liggur fyrir að virk aðgerðaskráning er ekki viðhöfð á þessum drifum.

33 Að virtum fyrrgreindum ákvæðum laga nr. 75/2019 um vinnslu persónuupplýsinga í löggæslutilgangi, sem lúta að öryggi persónuupplýsinga, og með hliðsjón af ábyrgðarskyldum LRH samkvæmt lögunum er það mat Persónuverndar að embættinu beri skylda til að áhættumeta og taka afstöðu til þess hvort drifin uppfylla skilyrði laga nr. 75/2019 að því er varðar öryggi persónuupplýsinga. Á það við jafnvel þótt drifin séu eingöngu notuð í skamman tíma í einstökum málum, líkt og því máli sem frumkvæðisathugun þessi er risin af.

34 Á grundvelli ábyrgðarskyldunnar, sbr. efnisgrein 28, hefði LRH enn fremur borið að skjalfesta og innleiða skýrt verklag um vinnslu persónuupplýsinga í öllum upplýsingakerfum sem embættið notar til meðferðar sönnunargagna. Að öðrum kosti er hætta á að hending ráði því hvar sönnunargögn eru vistuð og hvernig aðgangi að þeim er háttað.

35 Loks ber LRH að tryggja að aðgangur starfsmanna að persónuupplýsingum sé ekki rýmri en nauðsynlegt er með hliðsjón af verkefnum þeirra, sbr. 24. gr. laganna. Í samræmi við 2. mgr. 23. gr. laganna ber embættinu einnig, að undangengnu áhættumati, að gera ráðstafanir í því skyni að þeir sem ekki hafa til þess heimild hafi ekki aðgang að drifunum. Persónuvernd áréttar jafnframt mikilvægi þess að virk aðgerðaskráning sé viðhöfð samhliða aðgangsstýringum, sbr. umfjöllun í efnisgrein 26.

36 Með hliðsjón af því sem hér hefur verið rakið er það niðurstaða Persónuverndar að LRH hafi ekki sýnt fram á að viðeigandi öryggi persónuupplýsinga hafi verið tryggt við meðferð sönnunargagna á miðlægum X- og S-drifum í tölvukerfum embættisins, sbr. f-lið 1. mgr. 4. gr. og 1. mgr. 23. gr. laga nr. 75/2019.

Fyrirmæli

37 Í samræmi við framangreinda niðurstöðu og með vísan til 3. mgr. 31. gr. laga nr. 75/2019 er hér með lagt fyrir LRH að tryggja viðeigandi öryggi persónuupplýsinga við meðferð rafrænna sönnunargagna hjá embættinu, eftir atvikum með áhættumati fyrir hlutaðeigandi upplýsingakerfi, verklagi, aðgangsstýringum, aðgerðarskráningum og, eftir því sem við getur átt, öðrum viðeigandi öryggisráðstöfunum. Embættið skal senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum eigi síðar en 11. júlí 2024.

Á k v ö r ð u n a r o r ð:

Embætti lögreglustjórans á höfuðborgarsvæðinu hefur ekki sýnt fram á að viðeigandi öryggi persónuupplýsinga hafi verið tryggt við meðferð sönnunargagna á miðlægum X- og S-drifum í tölvukerfum embættisins, sbr. f-lið 1. mgr. 4. gr. og 1. mgr. 23. gr. laga nr. 75/2019.

Með vísan til 3. mgr. 31. gr. laga nr. 75/2019 er lagt fyrir embættið að tryggja viðeigandi öryggi persónuupplýsinga við meðferð rafrænna sönnunargagna hjá embættinu. Embættið skal senda Persónuvernd staðfestingu á að farið hafi verið að þessum fyrirmælum eigi síðar en 11. júlí 2024.

Persónuvernd, 6. júní 2024

Ólafur Garðarsson
formaður

Árnína Steinunn Kristjánsdóttir                                   Björn Geirsson

Þorvarður Kári Ólafsson