Vinnsla persónuupplýsinga af hálfu Meniga Iceland ehf
Mál nr. 2020051712
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir vinnslu persónuupplýsinga af hálfu Meniga Iceland ehf. Nánar tiltekið var kvartað yfir að öryggi persónuupplýsinga hafi ekki verið nægilega tryggt af hálfu Meniga.
Niðurstaða málsins var að Persónuvernd taldi ósannað að um öryggisbrest væri að ræða er varðaði vinnslu persónuupplýsinga hjá Meniga.
Úrskurður
Hinn 3. október 2022 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020051712:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 1. júní 2020 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga af hálfu Meniga Iceland ehf. (hér eftir Meniga).
Með bréfi, dags. 18. nóvember 2020, var Meniga boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi sem sent var í tölvupósti þann 17. desember 2020. Með bréfi, dags. 6. september 2021, var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið Meniga. Bárust athugasemdir kvartanda með tölvupósti þann 27. september 2021.
Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna þó ekki sé gerð sérstaklega grein fyrir þeim að öllu leyti í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Af hálfu kvartanda hefur komið fram að fyrrverandi sambýlismaður hennar hafi haft aðgang að fjármálaupplýsingum hennar, þ.m.t. reiknings- og greiðslukortafærslum, úr upplýsingakerfi Meniga eftir að sambúð þeirra lauk. Hafi hann komist yfir lykilorð að heimabanka hennar árið 2018 og getað tengt bankaupplýsingar hennar við aðgang sinn hjá Meniga. Telur kvartandi að hann hafi haft slíkan aðgang í langan tíma eða a.m.k. rúmt ár. Öryggi umræddra persónuupplýsinga hafi ekki verið nægilega tryggt af hálfu Meniga, að mati kvartanda. Þá hafi Meniga ekki veitt upplýsingar um IP-tölur og notkun aðgangs hans sem sýnt geti fram á brot hans gegn friðhelgi einkalífs hennar.
3.
Sjónarmið Meniga
Af hálfu Meniga hefur komið fram að félagið hafi ekki aðgang að framkvæmd neinna fjárhagslegra aðgerða fyrir hönd notenda heldur eingöngu lesaðgang að færslum tengdum bankareikningum og greiðslukortum sem notendur hafi ákveðið að tengja við þjónustu félagsins. Þá uppfylli geymsla færslna af bankareikningum og kortum ströngustu öryggiskröfur og ekki sé hægt að nálgast upplýsingar um notendur út frá persónuupplýsingum eins og kennitölu eða reikningsnúmeri, þar sem Meniga geymi þær ekki. Allir notendur geti afturkallað aðgang að reikningum og greiðslukortum hvenær sem er í netbankanum sínum eða í appi eða á vef Meniga.
Meniga kveður öll samskipti vera dulkóðuð, bæði við notendur og banka. Þá sé gagnagrunnur félagsins einnig dulkóðaður. Aðgangsstjórnun sé að mestu leyti eins og í netbanka, t.d. með sjálfvirkri útskráningu eftir 15 mínútur og kröfum um öruggt lykilorð. Félagið sé með EV SSL-skírteini fyrir dulkóðuð netsamskipti frá Verisign auk þess að vera með „Hacker-safe“-vottun frá McAfee. Þá vinni Meniga í fullu samræmi við ISO27001-, PA DSS- og PCI DSS-staðlana.
Í svari fyrirtækisins kemur fram að fyrrverandi sambýlismaður kvartanda virðist hafa haft aðgang að viðkomandi heimabönkum kvartanda á einhverjum tímapunkti og hafa tengt umrædda reikninga kvartanda við sinn eigin reikning hjá Meniga, en slíkur aðgangur sé alls ótengdur þjónustu Meniga. Meniga telur að enginn öryggisbrestur hafi átt sér stað heldur hafi umræddir einstaklingar notað sama notandanafn og lykilorð í sínum heimabönkum eða að kvartandi hafi deilt slíkum upplýsingum með fyrrverandi sambýlismanni sínum. Þá kom fram í tölvupóstsamskiptum Meniga við kvartanda, sem fylgdu kvörtuninni, að Meniga geymi ekki IP-tölur þeirra sem skrá sig inn á reikninga hjá félaginu og geti því ekki afhent kvartanda þær upplýsingar.
II.
Forsendur og niðurstaða
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Kvartandi telur að Meniga hafi ekki tryggt með fullnægjandi hætti öryggi persónuupplýsinga hennar þar sem fyrrverandi sambýlismaður hennar hafi haft aðgang að fjármálaupplýsingum um hana í gegnum upplýsingakerfi félagsins. Hann hafi komist yfir lykilorð að heimabanka kvartanda og þannig getað tengt reikninga hennar við aðgang sinn hjá Meniga. Meniga hefur hafnað því að um öryggisbrest hafi verið að ræða og telur að annaðhvort hafi umræddir einstaklingar notað sama notandanafn og lykilorð í heimabönkum sínum eða að kvartandi hafi deilt slíkum upplýsingum með fyrrverandi sambýlismanni sínum. Ekki sé hægt að nálgast upplýsingar um notendur út frá einföldum persónuupplýsingum eins og kennitölu eða reikningsnúmeri þar sem Meniga geymi þær upplýsingar ekki. Þá geymi Meniga jafnframt ekki upplýsingar um IP-tölur notenda og geti því ekki afhent slíkar upplýsingar.
Samkvæmt þessu liggur ekki fyrir staðfesting á því að hér hafi verið um öryggisbrest að ræða. Eins og hér háttar til telur Persónuvernd ekki tilefni til þess að stofnunin beiti frekari valdheimildum, sem henni eru fengnar í lögum nr. 90/2018, til þess að rannsaka það nánar. Ekki er því unnt að fullyrða að brotið hafi verið gegn rétti kvartanda samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Ú r s k u r ð a r o r ð:
Ósannað er að átt hafi sér stað öryggisbrestur hjá Meniga Iceland ehf. sem braut gegn lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Persónuvernd, 3. október 2022,
Helga Sigríður Þórhallsdóttir Vigdís Eva Líndal