Ákvörðun um sekt vegna ferðagjafar stjórnvalda

Mál nr. 2020092288

25.11.2021

Ákvörðun

Hinn 23. nóvember 2021 tók stjórn Persónuverndar svohljóðandi ákvörðun í máli nr. 2020092288:

Efnisyfirlit

I. Málsmeðferð

1. Upphaf máls
2. Yfirlit samskipta og málsmeðferð vegna vinnslu málsins hjá Persónuvernd
3. Málsatvik
4. Sjónarmið ANR
5. Sjónarmið YAY ehf.
6. Aðkoma netöryggisfyrirtækisins Syndis ehf.
   6.1. Takmarkanir og fyrirvarar á rannsókn Syndis ehf.
   6.2. Athugun Syndis ehf.
7. Athugun Persónuverndar á smáforritinu
8. Andmælaferli ANR vegna mögulegrar álagningar stjórnvaldssektar
9. Andmælaferli YAY ehf. vegna mögulegrar álagningar stjórnvaldssektar

II. Forsendur ákvörðunar

1. Gildissvið
2. Ábyrgðaraðili og vinnsluaðili
   2.1. Ábyrgð vinnslu
   2.2. Vinnslusamningur
3. Lögmæti vinnslu
   3.1. Heimild til vinnslu persónuupplýsinga
               3.1.1. Vinnsla á ábyrgð ANR
               3.1.2. Skilyrði samþykkis
               3.1.3. Fræðsla
   3.2. Vinnsla á ábyrgð YAY ehf.
   3.3. Öryggi persónuupplýsinga
   3.4. Meginreglur um vinnslu persónuupplýsinga

III. Beiting viðurlaga og niðurstaða

1. Sjónarmið um beitingu viðurlaga vegna brota ANR
      a. Eðli, umfang og tilgangur vinnslu
      b. Hvort brot var framið af ásetningi eða gáleysi
      c. Aðgerðir til að draga úr tjóni skráðra einstaklinga
      d. Ábyrgð ábyrgðaraðila eða vinnsluaðila með hliðsjón af tæknilegum og skipulagslegum                  ráðstöfunum
      e. Fyrri brot
      f. Umfang samvinnu við Persónuvernd
      g. Flokkar persónuupplýsinga
      h. Með hvaða hætti var eftirlitsstjórnvaldi gert kunnugt um brot
      i. Fylgni við fyrirmæli til úrbóta
      j. Aðrir íþyngjandi eða mildandi þættir

2. Sjónarmið um beitingu viðurlaga vegna brota YAY ehf.
      a. Eðli, umfang og tilgangur vinnslu
      b. Hvort brot var framið af ásetningi eða gáleysi
      c. Aðgerðir til að draga úr tjóni skráðra einstaklinga
      d. Ábyrgð ábyrgðaraðila eða vinnsluaðila með hliðsjón af tæknilegum og skipulagslegum                  ráðstöfunum
      e. Fyrri brot
      f. Umfang samvinnu við Persónuvernd
      g. Flokkar persónuupplýsinga
      h. Með hvaða hætti var eftirlitsstjórnvaldi gert kunnugt um brot
      i. Fylgni við fyrirmæli til úrbóta
      j. Aðrir íþyngjandi eða mildandi þættir

3. Niðurstaða um stjórnvaldssekt
    3.1. Niðurstaða um viðurlög vegna brota ANR
    3.2. Niðurstaða um viðurlög vegna brota YAY

Ákvörðunarorð

I.

Málsmeðferð

1.

Upphaf máls

Í tilefni af ábendingum almennings og fréttaflutnings um að við notkun ferðagjafar stjórnvalda væri krafist umfangsmikilla persónuupplýsinga og víðtæks aðgangs að símtækjum notenda ákvað Persónuvernd að hefja athugun á því hvort slík vinnsla samrýmdist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

2.

Yfirlit samskipta og málsmeðferð vegna vinnslu málsins hjá Persónuvernd

Með bréfi, dags. 15. september 2020, tilkynnti Persónuvernd atvinnuvega- og nýsköpunarráðuneyti (ANR), fjármála- og efnahagsráðuneyti og upplýsingatæknifyrirtækinu YAY ehf. um frumkvæðisathugun stofnunarinnar í kjölfar miðlunar ferðagjafar stjórnvalda með smáforriti sem fyrirtækið hafði þróað. Óskaði Persónuvernd upplýsinga um aðkomu hvers aðila um sig að ákvarðanatöku í tengslum við útgáfu smáforritsins, meðal annars um tilgang og aðferðir við vinnslu persónuupplýsinga um notendur þess. Einnig var óskað upplýsinga um hvort og þá hvaða fyrirmæli ráðuneytin hefðu gefið YAY ehf. um vinnslu persónuupplýsinga notenda smáforritsins og hvort vinnslusamningur hefði verið gerður. Var frestur til andsvara veittur til 30. september 2020. Að beiðni ANR var frekari frestur til að svara erindi Persónuverndar veittur til 14. október s.á. Svar ANR barst 16. s.m. Með bréfinu fylgdi undirritaður samningur ráðuneytisins, dags. 15. maí s.á., við YAY ehf. um þróun á lausn vegna ferðagjafar stjórnvalda.

Svör bárust ekki frá YAY ehf. innan frests og ítrekaði Persónuvernd því beiðni sína með bréfi, dags. 2. nóvember 2020. Svar YAY ehf. barst með bréfi, dags. 9. s.m., ásamt fyrrgreindum þróunarsamningi fyrirtækisins við ANR. Taldi Persónuvernd enn þörf á skýringum YAY ehf. vegna tilgreindra atriða og óskaði þeirra með bréfi til fyrirtækisins, dags. 24. s.m. Persónuvernd bárust ekki svör við beiðninni og hafði Persónuvernd því samband símleiðis, þann 28. desember 2020, og ítrekaði beiðnina. Svar YAY ehf. barst Persónuvernd með tölvupósti sama dag.

Hinn 12. febrúar 2021 var YAY ehf. sent andmælaréttarbréf vegna hugsanlegrar töku ákvörðunar um beitingu viðurlaga og barst Persónuvernd svar fyrirtækisins 24. s.m. ásamt sex fylgiskjölum. Með hliðsjón af gögnum og svörum YAY ehf. taldi Persónuvernd þörf á frekari upplýsingum vegna málsins frá ANR og sendi ráðuneytinu bréf þess efnis, dags. 13. apríl 2021. Í þrígang óskaði ANR eftir lengri fresti til að svara erindi Persónuverndar. Var aukinn frestur veittur í öllum tilvikum, síðast til 21. maí 2021. Svör ráðuneytisins bárust að þeim fresti liðnum með tveimur tölvupóstum hinn 25. s.m. Með tölvupóstunum fylgdu svarbréf ráðuneytisins og skjalið Vinnslusamningur og viðauki við samning ANR og YAY frá 15. maí 2020 ásamt fylgiskjölum merktum í töluliðum frá eitt til fjögur.

Í bréfi ANR, dags. 25. maí 2021, er ítrekað vísað til uppfærðs vinnslusamnings, dags. s.d., sem fylgiskjals 5. Einnig er í sama bréfi ýmist vísað til símayfirlits eða tölvupósts dags. 2. október sem fylgiskjals 6. Ekkert skjal merkt fylgiskjal 5 eða fylgiskjal 6 hafði þó borist með bréfi ANR. Af því tilefni sendi Persónuvernd ANR fyrirspurn í tölvupósti s.d. og óskaði afrits af upphaflegum vinnslusamningi sem hinn uppfærði samningur byggðist á. Þá óskaði stofnunin eftir að henni bærust fylgiskjöl sem vísað væri til. Svar ANR barst s.d. þar sem staðfest var að tilvísun til fyrri vinnslusamnings væri í reynd tilvísun til þróunarsamnings aðila, dags. 15. maí 2020, sem hafði þegar verið sendur Persónuvernd. Þá kom fram að ANR gæti ekki veitt stofnuninni aðgang að fylgiskjali 6.

Hinn 2. júní 2021 sendi Persónuvernd ANR bréf vegna hugsanlegrar töku ákvörðunar um beitingu viðurlagaheimilda stofnunarinnar og veitti ráðuneytinu kost á andmælum. Hinn 9. júní s.á. óskaði ANR eftir fundi með Persónuvernd, með vísan til framangreinds bréfs stofnunarinnar, til að ræða efni þess, án frekari skýringa. Persónuvernd hafnaði fundarbeiðni ANR með tölvupósti s.d. sökum þess að rannsókn málsins stæði enn yfir. Til þess að fallist yrði á slíkan fund samhliða rannsókn málsins þyrftu sérstakar ástæður að vera fyrir hendi, t.d. að kynna þyrfti atriði sem ekki yrðu útskýrð eða rökstudd skriflega. Þá vísaði Persónuvernd í svari sínu til þess að málsmeðferð stofnunarinnar væri skrifleg. Sama dag barst Persónuvernd annar tölvupóstur frá ANR þar sem meðal annars kom fram að ráðuneytið teldi mikilvægt að leiða málið farsællega til lykta og að ANR áliti að meðferð þess væri komin í nokkrar ógöngur. Það væri verulega vanreifað og nauðsynlegt væri að fá nánari skýringar á því af hverju málið hefði þróast með þessum hætti og af hverju ekki væri fjallað um aðra möguleika til að ljúka málinu en með álagningu sektar, t.d. með ábendingum eða tilmælum um úrbætur, og ítrekaði ANR ósk sína um fund með stofnuninni. Í ljósi þess að ANR taldi málið vanreifað var ráðuneytinu svarað með tölvupósti 10. s.m. þar sem farið var yfir meðferð málsins og stöðu þess hjá stofnuninni. Þá voru álitamál málsins einnig áréttuð og farið yfir helstu atriði laga nr. 90/2018 og reglugerðar (ESB) 2016/679 sem á reyndi í málinu. Einnig var áréttað að Persónuvernd liti málið alvarlegum augum þar sem í því reyndi sérstaklega á hvort farið hefði verið að mikilvægum grundvallarreglum persónuverndarlaga og reglugerðarinnar. Þá styddist mat stofnunarinnar á alvarleika málsins einkum við fjölda þeirra skráðu einstaklinga sem ferðagjöfin næði til og sem hefðu getað orðið fyrir áhrifum af þeim víðtæku aðgangsheimildum sem forritið óskaði eftir í upphafi. Að lokum var beiðni stofnunarinnar um andmæli og/eða skýringar ráðuneytisins vegna hugsanlegrar beitingar viðurlagaheimilda ítrekuð. Persónuvernd bárust andmæli ráðuneytisins með bréfi, dags. 21. júní 2021. Í því bréfi koma fram alvarlegar athugasemdir við málsmeðferð Persónuverndar, meðal annars vegna fresta sem ráðuneytinu voru veittir til andmæla og til að veita stofnuninni frekari skýringar vegna málsins, rökstuðnings og heimfærslu til lagaákvæða, frummats á alvarleika málsins og höfnunar á fundarbeiðni ráðuneytisins. Vegna framangreinds teldi ráðuneytið það ekki eiga raunverulegan kost á því að tryggja réttindi sín og hagsmuni og að andmælaréttur þess væri í raun skertur.

Vegna hinna víðtæku og alvarlegu athugasemda ráðuneytisins og með tilliti til athugasemdar þess um að það ynni að öllu jöfnu ekki í málum tengdum persónuvernd féllst Persónuvernd á, þrátt fyrir að stofnunin hafi talið að málsmeðferðin hafi samrýmst stjórnsýslulögum nr. 37/1993, að veita ráðuneytinu auknar leiðbeiningar. Persónuvernd sendi því ANR bréf, dags. 2. júlí 2021, þar sem meðal annars var farið yfir málsmeðferð, frummat stofnunarinnar og alvarleika málsins, auk þess sem færður var fram rökstuðningur um heimfærslu málsatvika undir lagaákvæði, ásamt því að veittar voru almennar leiðbeiningar um túlkun persónuverndarlöggjafarinnar. Var ANR veittur frestur til 20. júlí 2021 til að skila andmælum sínum vegna málsins. Hinn 6. s.m. óskaði ráðuneytið, með tölvupósti, eftir frekari fresti til 12. ágúst s.á til að skila andmælum og var sá frestur veittur. Hinn 12. s.m. bárust svör ANR.

Hinn 10. júní 2021 sendi Persónuvernd YAY ehf. tilkynningu um að í ljósi þeirra tæknilegu atriða sem fyrirsjáanlegt væri að reyndi á í frumkvæðisathuguninni hefði stofnunin ákveðið að óska eftir aðstoð Syndis ehf., sjálfstætt starfandi sérfræðifyrirtækis á sviði netöryggis- og upplýsingatækni, við framkvæmd athugunarinnar. Með tilkynningunni fylgdi verklýsing á athugun Syndis ehf. ásamt kostnaðaráætlun. Var YAY ehf. gefinn kostur á að tjá sig um val stofnunarinnar á sérfræðifyrirtæki vegna athugunarinnar og kostnaðaráætlun þess. Svar YAY ehf. barst sama dag þar sem hvorki var gerð athugasemd við athugunina né kostnaðaráætlun Syndis ehf. Jafnframt fylgdi með svari YAY ehf. úttekt Syndis ehf. á öryggi smáforrits fyrirtækisins, dags. 7. nóvember 2019.

Hinn 22. júní 2021, áttu fulltrúar Syndis ehf. og Persónuverndar fund með fulltrúum YAY ehf. í húsakynnum þeirra síðastnefndu, til að fara yfir þau gögn og heimildir sem Syndis ehf. óskaði eftir til að framkvæma umbeðna úttekt. YAY ehf. veitti aðgang að þeim gögnum sem krafist var og svaraði spurningum Syndis ehf.

Hinn 9. ágúst 2021 sendi Persónuvernd YAY ehf. og ANR bréf ásamt skýrslu um úttekt Syndis ehf., dags. 6. júlí 2021, og veitti kost á að koma á framfæri athugasemdum eða frekari skýringum við efni skýrslunnar. Var frestur veittur til 19. ágúst s.á. Hinn 12. s.m. barst svarbréf ANR og hinn 18. s.m. barst tölvupóstur frá YAY ehf. þar sem staðfest var að hvorki ANR né YAY ehf. gerðu athugasemdir við skýrslu Syndis ehf.

Ekki var ljóst af svörum YAY ehf. hver afstaða fyrirtækisins væri til fullyrðingar ANR um að fyrirtækið hefði fyrir mistök aflað persónuupplýsinga um aldur og kyn notenda. Með tölvupósti þann 20. ágúst 2021 óskaði Persónuvernd því eftir afstöðu YAY ehf. til þessa atriðis. Svar YAY ehf. barst með tveimur tölvupóstum þann 23. s.m. ásamt tveimur fylgiskjölum.

Sjónarmið og skýringar ANR og YAY ehf., eins og þær birtast í framangreindum gögnum, verða reifuð eftir því sem tilefni þykir til hér á eftir.

3.

Málsatvik

Fyrir liggur að hinn 15. maí 2020 undirritaði ANR samning við YAY ehf. um þróun lausnar vegna ferðagjafar stjórnvalda (hér eftir þróunarsamningur). Markmið lausnarinnar var að gefa út stafræn gjafabréf til einstaklinga, átján ára og eldri, með íslenska kennitölu, sem áttu að hvetja til ferðalaga innanlands sumarið 2020. Um var að ræða samstarfsverkefni sem byggðist á tillögum ríkisstjórnarinnar um aðgerðir til að efla íslenskt efnahagslíf í kjölfar kórónuveirufaraldursins (Covid-19). Í ljósi aðstæðna hafi mikil áhersla verið lögð á að koma lausninni í gagnið svo fljótt sem verða mætti. Ákvörðun stjórnvalda byggði á lögum Alþingis nr. 54/2020 um ferðagjöf sem tóku gildi 23. júní 2020.

Ferðagjöfin var gerð aðgengileg almenningi 18. júní 2020 í formi smáforrits. Strax í upphafi notkunar þess bárust Persónuvernd ábendingar um að óskað væri eftir persónuupplýsingum notenda, en einnig víðtækum aðgangi að símtækjum þeirra. Fjallað var um málið í fjölmiðlum en Persónuvernd barst hvorki tilkynning né beiðni um umsögn eða ráðgjöf frá ANR eða YAY ehf. um málið.

Til að nýta ferðagjöfina þurfti notandi að skrá sig inn í smáforritið, veita upplýsingar um netfang og símanúmer sitt ásamt því að samþykkja tiltekna skilmála. Þrjá fyrstu dagana eftir útgáfu smáforritsins var notandi einnig beðinn um að veita upplýsingar um aldur og kyn við innskráningu. Notandi gat einnig gefið ferðagjöf sína öðrum einstaklingi og sent með henni kveðju með mynd eða myndbandi. Til að gefa öðrum ferðagjöfina þurfti notandi að skrá netfang viðtakanda og til að nota valkvæða viðbótaþjónustu forritsins og senda rafræna kveðju með gjöfinni gat hann samþykkt að veita smáforritinu aðgang að myndavél, hljóðnema, tengiliðaskrá og USB-vörslusvæði í símtæki sínu.

Dagana 18.-23. júní 2020 sótti smáforritið, í einhverjum tilvikum án vitneskju eigenda þeirra, mjög víðtækar aðgangsheimildir í símtækjum notenda. Þar á meðal var sóttur aðgangur að myndavél til þess að taka ljósmyndir og myndbönd, svo og að hljóðnema til að taka upp hljóð og breyta hátalarastillingum símtækis. Enn fremur var óskað eftir upplýsingum um eiganda símtækis og stöðu þess, ásamt upplýsingum um nákvæma GPS-staðsetningu tækisins. Jafnframt var óskað eftir því að geta lesið upplýsingar um viðburði í dagatali, þ. á m. trúnaðarupplýsingar, bætt við viðburðum og breytt og sent tölvupóst án vitneskju eiganda símtækis. Þá var óskað eftir því að geta lesið upplýsingar um tengiliði og upplýsingar og gögn á USB-vörslusvæði símtækis ásamt því að breyta gögnum þar og eyða. Loks var óskað upplýsinga um þráðlausar nettengingar og eftir því að geta stjórnað skjalavistun, tekið við upplýsingum af netinu, séð nettengingar og upplýsingar um netaðgangsþjón, keyrt forrit þegar tæki væri ræst, hreyft smáforrit, stjórnað titringi símtækis, komið í veg fyrir að það sofnaði, breytt kerfisstillingum, sett upp flýtileiðir og lesið Google-þjónustusamskipan (e. service configuration).

4.

Sjónarmið ANR

ANR vísar til þess að með lögum nr. 54/2020, um ferðagjöf, hafi Alþingi tekið ákvörðun um að gefa einstaklingum 18 ára og eldri ferðagjöf. Gengið hafi verið til samninga við YAY ehf. þar sem fyrirtækið hafi verið talið geta útvegað tæknilega fýsilega lausn með hraði og án mikils þróunarkostnaðar. Stafrænt Ísland hafi tekið út öryggisráðstafanir YAY ehf. og komist að þeirri niðurstöðu að fyrirtækið gæti tryggt viðeigandi öryggi. Þá hafi Syndis ehf. einnig framkvæmt úttekt á öryggisráðstöfunum fyrirtækisins sem hafi leitt í ljós að fullnægjandi öryggisráðstafanir væru til staðar.

Til að geta nýtt ferðagjöfina hafi verið nauðsynlegt að vinna með tilgreindar persónuupplýsingar, þ.e. nafn og símanúmer. Þá hafi jafnframt verið gert ráð fyrir því í lögunum að einstaklingur gæti gefið eigin ferðagjöf og til þess hafi verið nauðsynlegt að vinna með upplýsingar um netfang viðtakanda. Því telji ráðuneytið að vinnslan hafi verið nauðsynleg til að uppfylla lagaskyldu sem hvíli á ábyrgðaraðila og vegna verks sem unnið hafi verið í þágu almannahagsmuna.

Þrjá fyrstu dagana eftir útgáfu smáforritsins hafi vinnsluaðili (YAY ehf.) einnig unnið með upplýsingar um aldur og kyn notenda, en hafi látið af því og eytt gögnunum samkvæmt fyrirmælum ANR enda hafi afstaða ráðuneytisins verið sú að öflun þeirra upplýsinga hafi ekki verið nauðsynleg í því skyni að uppfylla skyldur vinnsluaðila samkvæmt þróunarsamningi aðila, dags. 15. maí 2020, eða síðari fyrirmælum ANR.

Í skýringum ANR kemur einnig fram að þann 18. júní 2020, strax eftir að fyrsta útgáfa smáforritsins hafi verið gerð almenningi aðgengileg, hafi verið óskað eftir víðtækum aðgangi að símtækjum notenda. Afstaða ráðuneytisins hafi verið sú að slíkar aðgangsheimildir hafi ekki verið nauðsynlegar til að uppfylla skyldur vinnsluaðila samkvæmt þróunarsamningi eða síðari fyrirmælum ANR. Þá telji ráðuneytið þær ekki heldur hafa verið nauðsynlegar til að uppfylla lagaskyldu í tengslum við veitingu ferðagjafar og harmar að umrædd mistök hafi átt sér stað hjá vinnsluaðila. Þegar mistökin urðu ljós hafi verið gefin út uppfærð útgáfa smáforritsins þann 22. s.m. ANR leggur á það áherslu að þótt smáforritið hafi óskað eftir þessum víðtæka aðgangi, á umræddu tímabili, hafi upplýsingarnar aldrei verið sóttar eða unnið með þær. Gera þurfi greinarmun á möguleika til að vinna með persónuupplýsingar og raunverulegri vinnslu þeirra.

Ráðuneytið mótmælir því að vinnsla persónuupplýsinga hafi farið í bága við 5. gr. reglugerðar (ESB) 2016/679 og telur að upplýsingar hafi verið unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart skráðum einstaklingum. ANR hafnar því að upplýsinga hafi verið aflað í ólögmætum tilgangi og að persónuupplýsingar hafi verið unnar í öðrum en hinum upphaflega tilgangi, sem sé ósamrýmanlegur nýtingu ferðagjafar samkvæmt lögum nr. 54/2020. Það hafi verið að því stefnt að öflun persónuupplýsinga takmarkaðist við nauðsynlegan tilgang vinnslunnar. Þá vísar ANR til ákvæða í nýgerðum vinnslusamningi, dags. 25. maí 2021, til grundvallar vinnslu, varðveislu og eyðingar persónuupplýsinga vegna ferðagjafar.

Í skýringum ANR kemur jafnframt fram að þegar einstaklingar kysu að gefa öðrum ferðagjöf sína og senda kveðju í formi myndskeiðs með gjöfinni byggi vinnsla umbeðinna persónuupplýsinga á samþykki notanda. Í persónuverndarstefnu ferðagjafar sem birtist notendum í snjallforritinu komi fram að í tengslum við slíka gjöf kunni forritið að óska eftir aðgangi að frekari upplýsingum frá notendum, svo sem myndavél, hljóðnema, mynd og tengiliðum, eingöngu og aðeins í þeim tilvikum sem notandi sjálfur óskar eftir og samþykkir sérstaklega. Almennt sé aðgangur að slíkum gögnum ekki nauðsynlegur til notkunar á ferðagjöfinni.

Fram kemur í skýringum ANR að það sé afstaða ráðuneytisins að með þróunarsamningi ábyrgðar- og vinnsluaðila, dags. 15. maí 2020, og fyrirmælum sem gefin voru með tölvupósti þann 11. júní s.á., þar sem vísað sé til persónuverndarstefnu ferðagjafar og persónuverndarstefnu Stjórnarráðsins, sé að nokkru leyti kveðið á um þau formsatriði sem fram skulu koma í vinnslusamningi samkvæmt reglugerð (ESB) 2016/679. Ráðuneytið tekur þó undir sjónarmið Persónuverndar og viðurkennir að þróunarsamningur aðila og síðari fyrirmæli hafi ekki á heildstæðan máta tekið nægjanlegt mið af form- og efniskröfum samkvæmt 3. mgr. 28. gr. reglugerðarinnar og því hafi aðilar gert með sér vinnslusamning, dags. 25. maí 2021.

ANR hafi útbúið persónuverndarstefnu fyrir þá vinnslu sem á sér stað með notkun smáforritsins sem hafi verið uppfærð 28. maí 2021. Persónuverndarstefnan sé aðgengileg á vefnum Ísland.is og í smáforritinu. Þar komi skýrt fram hvaða persónuupplýsingar séu unnar, í hvaða tilgangi og á hvaða grundvelli. Af stefnunni sé skýrt hver sé ábyrgðaraðili og hver vinnsluaðili. Þá sé vísað til persónuverndarstefnu Stjórnarráðs Íslands þar sem nánari upplýsingar sé að finna um varðveislutíma, réttindi hinna skráðu og tengiliðaupplýsingar. Auk þess leggi ANR áherslu á að gera verði greinarmun á persónuverndarstefnu þeirri sem gildi um ferðagjöfina og notkun á smáforritinu í þeim tilgangi annars vegar og sjálfstæðri persónuverndarstefnu vinnsluaðila sem gildi um aðra almenna notkun smáforritsins sem ekki tengist nýtingu ferðagjafar hins vegar. Þegar upplýsingar hafi borist um að fræðsla um vinnslu persónuupplýsinga, sem unnin var með persónuverndarfulltrúa Stjórnarráðsins, hefði ekki birst í smáforritinu fyrstu dagana eftir útgáfu þess hafi strax verið brugðist við þeim annmörkum. Þá vísar ANR til uppfærðrar persónuverndarstefnu frá 28. maí 2021 þar sem fram komi að smáforritið kunni að óska eftir tilgreindum viðbótarpersónuupplýsingum óski notandi sjálfur eftir því að nýta sér viðbótarþjónustu forritsins og samþykki það sérstaklega.

Að lokum kemur einnig fram í skýringum ANR að ljóst hafi verið að verkefni að slíku umfangi sem hér um ræðir hefði þurft lengri aðdraganda og undirbúningstíma. Í ljósi aðstæðna og þess neyðarástands sem uppi hafi verið í samfélaginu hafi hins vegar verið lögð áhersla á hraðar framkvæmdir. Mistök þau er áttu sér stað í upphafi verkefnisins hafi mátt rekja til þess.

5.

Sjónarmið YAY ehf.

Skýringar YAY ehf. eru að miklu leyti samhljóða framangreindum skýringum ANR og verður því eingöngu fjallað um þau atriði í andmælum YAY ehf. sem varpað geta frekara ljósi á atvik málsins.

Í skýringum YAY ehf. kemur fram að smáforritið Ferðagjöf hafi byggt á öðru smáforriti fyrirtækisins sem þegar hafi verið í notkun. Hið fyrirliggjandi smáforrit hafi verið aðlagað og útbúið með breyttum stillingum og virkni í miklum flýti svo að úr hafi orðið smáforritið Ferðagjöf. Í fyrstu útgáfu hins nýja forrits hafi farist fyrir að móta ákveðnar stillingar í því sem hafi óskað eftir ýmsum upplýsingum og aðgangi í símtækjum notenda. Þetta hafi átt sér stað fyrir mistök en þeim gögnum, þ.e. um aldur og kyn notenda, sem hafi verið safnað hafi þegar verið eytt.

Við innskráningu í smáforritið skrái notandi upplýsingar um sig, meðal annars nafn, símanúmer og netfang. Í þróunarsamningi aðila frá 15. maí 2020 er YAY ehf. tilgreint eigandi þeirra gagna sem skráð eru í lausnina. Persónuupplýsingar sem skráðar eru í smáforritið séu geymdar í gagnagrunni í eigu YAY ehf. Vegna tæknilegra ástæðna hafi verið ákveðið að YAY ehf. myndi teljast eigandi þeirra upplýsinga að nafninu til. Af samningi aðila verði þannig illa ráðið hver teljist eigandi og þar með ábyrgðaraðili að þeim persónuupplýsingum sem unnar voru með notkun smáforritsins. Hins vegar hafi YAY ehf. litið svo á að ANR hefði boðvald og ákvörðunarvald yfir umræddum gögnum. Þrátt fyrir óljóst orðalag í umræddum samningi telur YAY ehf. að aðilar hans hafi verið algjörlega sammála um hlutverk hvors þeirra, þ.e. að ANR væri ábyrgðaraðili vinnslunnar og YAY ehf. vinnsluaðili. YAY ehf. telji sig því hvorki vera ábyrgðaraðila þeirra gagna sem varðveitt eru í gagnagrunni fyrirtækisins né þeirra gagna sem eftir kunni að verða að samningstíma loknum.

Í skýringum YAY ehf. kemur einnig fram að ekki hafi verið gerður skriflegur vinnslusamningur og kunni það að teljast brot gegn persónuverndarlögum sem báðir aðilar beri ábyrgð á. Sú staðreynd leiði þó ekki sjálfkrafa til þess að YAY ehf. teljist ábyrgðaraðili vinnslunnar. ANR hafi falið YAY ehf. tilgreinda vinnslu með þróunarsamningi aðila þar sem skýr fyrirmæli hafi verið gefin um hvaða virkni smáforritið skyldi hafa. Þá hafi aðilar unnið eftir því fyrirkomulagi að ANR væri ábyrgðaraðili vinnslunnar og að það hafi verið mjög skýrt gagnvart notendum. Jafnvel þó svo að fyrirmæli ANR til YAY ehf. hafi ekki verið skjalfest í vinnslusamningi séu aðilar sammála um í hverju fyrirmælin fólust og endurspeglist þau bæði í þróunarsamningi aðila, persónuverndarstefnu ANR og í samskiptum aðila (þ. á m. tölvupóstsamskiptum). Í þeim tilvikum þegar vinnsluaðili brýtur gegn fyrirmælum ábyrgðaraðila geti komið til þess að vinnsluaðili teljist ábyrgðaraðili að þeirri vinnslu. Hefðu hinar víðtæku aðgangsheimildir, sem tilgreindar voru í fyrstu útgáfu smáforritsins í Android-stýrikerfinu, verið nýttar og YAY ehf. unnið með persónuupplýsingar sem safnað hefði verið með þeim hætti kæmi til skoðunar hvort YAY ehf. væri skilgreint sem ábyrgðaraðili að slíkri vinnslu. Ekki hafi komið til þeirrar vinnslu og af þeim sökum sé til lítils að afmarka hlutverk aðila í því sambandi.

Einnig er tekið fram að í tölvupósti, þann 16. júní 2020, hafi ANR óskað þess að smáforritið aflaði upplýsinga um kyn notenda. Í öðrum tölvupósti sama dag hafi fyrirtækinu borist ný fyrirmæli ANR um að taka beiðni smáforritsins um upplýsingar um kyn við skráningu út. Þá hafi fyrirtækið fengið sams konar fyrirmæli um söfnun upplýsinga um aldur notenda, en ekki séu til nein skrifleg gögn um þau. Hafi fyrirtækið svarað ANR sama dag og upplýst um að umrædd beiðni væri komin í ferli og að henni yrði fylgt eftir. Hins vegar hafi verið beðið með að uppfæra smáforritið uns allar breytingar á því hafi legið fyrir og því hafi uppfærslan verið sett inn 18. júní 2020. Sú uppfærsla hafi verið gerð aðgengileg notendum með Android-stýrikerfi þegar sama kvöld en notendum iOS-stýrikerfisins ekki fyrr en 20. s.m. vegna hefðbundins endurskoðunarferlis Apple á birtum smáforritum sem tefji birtingu alla jafna um 48 klukkustundir. Upplýsingum um aldur og kyn notenda iOS-stýrikerfa hafi því verið safnað frá 18.-20. júní 2020. Tilgangurinn með öflun þeirra upplýsinga hafi verið að vinna tölfræðilegar upplýsingar og greina hvaða hópar hefðu nýtt sér ferðagjöfina.

Þá kemur fram í skýringum YAY ehf. að Syndis ehf. hafi þann 7. nóvember 2019, að beiðni YAY ehf., framkvæmt öryggisúttekt á smáforritinu og skoðað öryggi í Amazon (AWS) skýjaumhverfi fyrirtækisins. Prófanirnar hafi byggst á viðurkenndum prófunaraðferðum OWASP, þ.e. „Mobile Top 10“, „Mobile Security Testing Guide“ og „Top 10“, ásamt fleirum. Úttektin hafi sýnt að gögn sem smáforritið vann með hafi verið hýst á Írlandi. Niðurstaða úttektarinnar hafi verið sú að hvorki væru til staðar miðlungs né miklir veikleikar.

6.

Aðkoma netöryggisfyrirtækisins Syndis ehf.

Í ljósi þeirra tæknilegu atriða sem fyrirsjáanlegt var að reyndi á við rannsókn málsins taldi Persónuvernd þörf á aðstoð sjálfstætt starfandi sérfræðifyrirtækis á sviði netöryggis- og upplýsingatækni þar sem skýrsla fyrirtækisins yrði hluti af rannsókn málsins. Þann 7. júní 2021 leitaði stofnunin því til fyrirtækisins Syndis ehf.

Með aðkomu fyrirtækisins var lögð áhersla á að rannsaka þær aðgangsheimildir sem smáforritið Ferðagjöf óskaði eftir og að kanna vinnslu þess á persónuupplýsingum notenda um aldur og kyn. Markmið þessa hluta rannsóknarinnar var að leita svara við því hvort Ferðagjöfin hefði verið uppfærð til þess að koma í veg fyrir að óskað væri eftir aðgangsheimildum sem ekki tengdust tilgangi Ferðagjafarinnar og hvort smáforritið hefði reynt að nýta framangreindar heimildir.

Eins og fram kemur í kafla I.5., hér að framan, hafði YAY ehf. fengið Syndis ehf. til að framkvæma úttekt á smáforriti þann 7. nóvember 2019. Samkvæmt gögnum málsins hófst smíði smáforritsins Ferðagjafarinnar ekki fyrr en fyrst í maí árið 2020. Er því ljóst að öryggisúttekt Syndis ehf., frá 7. nóvember 2019, laut að öðru smáforriti, þ.e. hinu almenna smáforriti YAY ehf. (Gjafabréfi YAY ehf.) og öryggi gagnavörslu fyrirtækisins í Amazon-skýjalausninni (AWS). Umrædd úttekt tók ekki til þeirra aðgangsheimilda sem hér eru til skoðunar. Í ljósi þess að rannsókn Persónuverndar lýtur í máli þessu að öðru smáforriti og öðrum efnisþáttum þess er það mat stofnunarinnar að fyrri úttekt Syndis ehf. standi ekki í vegi fyrir faglegri og hlutlausri rannsókn á öryggisþáttum smáforritsins Ferðagjafarinnar.

6.1.

Takmarkanir og fyrirvarar á rannsókn Syndis ehf.

Syndis ehf. gerir í skýrslu sinni, frá 6. júlí 2021, fyrirvara um að ákveðnar takmarkanir hafi verið fyrir hendi við athugun fyrirtækisins sem skapað hafi ákveðna óvissu fyrir rannsóknina.

Í skýrslunni kemur fram að Ferðagjöf sé smáforrit sem þróað sé í rammanum React Native, sem nýta megi til að sníða smáforrit óháð verkvangi (e. platform). YAY ehf. hafi síðan nýtt sér þjónustu Expo hugbúnaðarverkvangs (e. software platform) til útgáfu smáforritsins bæði fyrir Android og iOS-stýrikerfið. Meðal tilgreindra takmarkana á rannsókn Syndis ehf. hafi verið Expo-aðgerðaskrár sem geri þróunaraðilum hugbúnaðar kleift að gefa út uppfærslur beint til farandtækja (e. mobile devices) sem sneiða hjá heimauppfærslum þeirra. Þó er á það bent að þær uppfærslur sem hafi í för með sér breytingu á aðgangsheimildum verði að fara fram í gegnum heimauppfærslukerfi farandtækja og því sé ekki mögulegt að nýta Expo til að sneiða hjá aðgangsstýringarkerfum slíkra tækja. Einnig telur Syndis ehf. það takmörkun á rannsókn sinni að Expo-hugbúnaðarverkvangurinn geymi smalaþulur (e. assembler code) eingöngu í 30 daga og hafi Syndis ehf. því ekki getað staðfest hvaða breytingar lágu að baki útgáfum í Expo. Þar að auki sé engin áreiðanleg leið til að staðfesta að smalaþulan, sem gefin var út með Expo eða heimfærslukerfum farandtækja, endurspegli frumþulu (e. source code) smáforritsins í þeirri gagnahirslu sem Syndis ehf. var afhent, þar sem notast hafi verið við fjölvangsramma (e. multi-platform) við þróun smáforritsins. Rannsókn Syndis ehf. gekk því út frá því að gagnahirslan hafi endurspeglað útgefnar smalaþulur. Við framkvæmd rannsóknarinnar hafi jafnframt ekkert komið í ljós sem vefengdi þær forsendur. Enn fremur hafi ekki verið hægt að prófa fulla virkni smáforritsins Ferðagjöf sökum þess að engar ferðagjafir hafi birst í smáforritinu á verkefnistíma. Hins vegar hafi það komið fram á fundi YAY ehf., Syndis ehf. og Persónuverndar 22. júní 2021 að smáforritið Ferðagjöfin hafi byggst á sama grunni og smáforritið YAY og því hafi það einnig verið notað til að kanna ákveðna virkni.

6.2

Athugun Syndis ehf.

Athugun Syndis ehf. leiddi í ljós að fyrsta útgáfa smáforritsins (útgáfa 1.0.2.) hafi verið gerð almenningi aðgengileg 12. júní 2020 en ekki hafi þó verið tilkynnt um Ferðagjöfina fyrr en 18. s.m. Þá voru breytingar gerðar á smáforritinu og útgáfa 1.0.3 gefin út sama dag, þ.e. 18. júní 2020. Því næst var útgáfa 1.0.4 gefin út af smáforritinu, þann 19. s.m., eingöngu fyrir Android-stýrikerfi, og að lokum hafi útgáfa 1.1 verið gefin út þann 22. s.m. Þá kemur fram að milli útgáfu 1.0.4 og 1.1 hafi einnig verið gerðar uppfærslur á smáforritinu með notkun Expo.

Rannsókn Syndis ehf. sýndi fram á að upprunalegu útgáfur smáforritsins, þ.e. útgáfur 1.0.2, 1.0.3 og 1.0.4, kröfðust meðal annars heimilda til aðgangs að símtækjum notenda Android-stýrikerfa, þ.e. staðsetningarupplýsingum, stöðu nets, stöðu þráðlauss nets, myndavél, ritli, neti, skjalastjórnun, hljóðstillingum, dagatali (les og skrifaðgangur, m.a. að trúnaðarupplýsingum), tengiliðaskrá, innra og ytra geymslusvæði (les- og skrifaðgangur), stöðu síma, upplýsingum um endurræsingu símtækis, hljóðnema til hljóðupptöku, uppsetningu á skammleið og lestri hreyfingarstillinga. Einnig krafðist smáforritið leyfis til að óska eftir uppsetningu á öðrum pökkum, leyfis til að keyra í forgrunni þó að önnur smáforrit væru ræst, leyfis til að sýna ákveðna tegund viðvörunarglugga sem birtist ofan á öðrum smáforritum, leyfis til að nýta lífkennslavirkni til auðkenningar, leyfis til að nýta fingrafar, möguleika á að setja á titring og leyfis til að koma í veg fyrir að örgjörvi og skjár færi á svefnstillingu.

Syndis ehf. staðfesti að útgáfa 1.1. og síðari útgáfur óskuðu ekki jafn víðtækra aðgangsheimilda líkt og fyrri útgáfur smáforritsins og getið er hér að framan.

Samkvæmt Syndis ehf. bendir athugun fyrirtækisins á frumþulu smáforritsins til þess að allt frá upprunalegri útgáfu þess hafi það aðeins nýtt ferns konar aðgangsheimildir: aðgang að myndavél (valkvætt til að senda kveðju þegar ferðagjöf er gefin áfram en einnig til að taka mynd fyrir kenniskrá notanda), aðgang að skráakerfi (valkvætt til að senda mynd með kveðju sem þegar er á farandtæki notanda), aðgang að upptöku hljóðs (valkvætt til að senda kveðju þegar ferðagjöf er gefin öðrum einstaklingi) og aðgang að tengiliðaskrá (notaður þegar gjafabréf eru send til tengiliða). Fram kom í athugun Syndis ehf. að þrátt fyrr að upprunaleg útgáfa smáforritsins hefði krafist víðtækra aðgangsheimilda hefðu ekki fundist nein merki þess að smáforritið hefði nýtt sér aðrar heimildir en fyrrnefndar fjórar aðgangsheimildir. Einnig tekur Syndis ehf. fram að yfirgnæfandi meirihluti farandtækja sem nú séu í notkun krefjist þess að notendur gefi smáforritum leyfi til að nýta ákveðnar aðgangsheimildir á þeim tímapunkti sem þær eru nýttar. Til slíkra aðgangsheimilda teljast til dæmis aðgangur að viðkvæmri virkni, svo sem myndavél farandtækis og persónulegum gögnum notenda. Hins vegar séu í notkun símtæki með eldri stýrikerfi sem ekki hafi slíka stjórn yfir aðgangsheimildum smáforrita og hafi fjöldi þeirra numið um það bil 5.1% af öllum farandtækjum á Íslandi á þeim tíma sem smáforritið var gefið út. Öðru máli gegni um notendur Apple-farandtækja, því að til nýtingar ferðagjafarinnar hafi verið krafist útgáfu 11 af stýrikerfi iOS sem hafi innbyggða notendastjórn aðgangsheimilda og hefðu notendur þá orðið varir við alla misnotkun á aðgangsheimildum og getað stöðvað hana.

Athugun Syndis ehf. á frumþulu smáforritsins leiddi einnig í ljós að útgáfa 1.0.2 af smáforritinu óskaði eftir upplýsingum um kyn og aldur notenda við skráningu og að sú virkni hefði verið fjarlægð í útgáfu 1.0.3. Þá tekur Syndis ehf. fram að útgáfa 1.0.2 hafi verið gerð almenningi aðgengileg fyrir bæði stýrikerfin þann 12. júní 2020 en að almenningi hafi þó ekki verið tilkynnt um tilvist Ferðagjafar stjórnvalda fyrr en 18. s.m. Hin uppfærða útgáfa smáforritsins 1.0.3 fyrir Android-stýrikerfið hafi verið gerð aðgengileg almenningi að kvöldi 18. s.m. en ekki fyrr en seinni hluta dags 20. s.m. fyrir iOS-stýrikerfið í smáforritasafni Apple. Þegar uppfærslur séu sendar í Google Play-smáforritasafnið (fyrir Android-stýrikerfi) séu þær aðgengilegar stuttu seinna. Þegar uppfærsla sé aftur á móti send til App Store-smáforritasafnsins (fyrir iOS-stýrikerfi) verði hún ekki aðgengileg notendum fyrr en hún hafi staðist endurskoðun hjá Apple. Það ferli taki alla jafna 48 klukkustundir.

7.

Athugun Persónuverndar á smáforritinu

Í september 2020, eftir að Persónuvernd bárust athugasemdir vegna smáforritsins, gerði stofnunin athugun á virkni þess og skoðaði þá fræðslu sem veitt var í forritinu um vinnslu persónuupplýsinga.

Við innskráningu var notendum gert að samþykkja almenna skilmála YAY ehf. sem almennt gilda um kaup á vöru eða þjónustu í gegnum smáforrit fyrirtækisins. Persónuvernd kannaði efni hina almennu skilmála en samkvæmt þeim er meðal annars gert ráð fyrir að fram fari viðskipti milli notanda smáforritsins sem kaupanda og seljanda gjafabréfa og að notandi gefi upp greiðslukortanúmer sitt og gildistíma þess og greiði fyrir vöruna. Hvergi er þar að finna umfjöllun um ferðagjöf stjórnvalda.

Aðrir skilmálar sem lutu að ferðagjöf stjórnvalda voru ekki aðgengilegir.

Eftir innskráningu með símanúmeri fékk notandi aðgang að smáforritinu Ferðagjöfin. Í því er að finna valmynd með hlekk á sértæka skilmála ferðagjafarinnar með yfirskriftinni „Ferðagjöf skilmálar“.

Efni þeirra skilmála var hins vegar ekki allt sýnilegt í símtækinu og ekki var hægt að skruna til hliðar til þess að lesa upphaf eða endi texta hverrar línu. Ekki var því mögulegt að lesa umrædda skilmála í símtækinu. Þá var ekki gerð krafa um að notandi samþykkti hina sértæku skilmála ferðagjafarinnar, eins og tilgreint var í svörum YAY ehf. Í sömu valmynd og fyrr greinir var annar hlekkur með yfirskriftinni „Persónuupplýsingar“. Um var að ræða sama texta og finna mátti í persónuverndarstefnu á vefsíðu fyrirtækisins en ekki var sérstaklega fjallað um ferðagjöf stjórnvalda í þeim texta.

Af athugun Persónuverndar mátti ráða að notendur ferðagjafar stjórnvalda þyrftu að samþykkja almenna notkunarskilmála fyrirtækisins YAY ehf. til að geta nýtt sér gjöfina en hinir sértæku skilmálar vegna hennar voru hins vegar ekki aðgengilegir notendum.

Athugun Persónuverndar leiddi einnig í ljós að í persónuverndarstefnu YAY ehf. var fjallað um meðferð og varðveislu fyrirtækisins á persónuupplýsingum og réttindi hins skráða. Ekki var þar fjallað um þær tegundir persónuupplýsinga sem safnað var um notanda eða tilgang vinnslunnar vegna notkunar smáforrits ferðagjafar stjórnvalda. Í persónuverndarstefnu YAY ehf., sem hefur að geyma tilvísun til skilmála fyrirtækisins um meðhöndlun þess á persónuupplýsingum, kom m.a. fram að við stofnun aðgangs í lausnum og notkun þeirra þyrfti notandi að skrá upplýsingar um símanúmer sitt, auðkenningarkóða og mögulega greiðslukortanúmer sitt. Einnig kom fram að fyrirtækið notaði umræddar persónuupplýsingar til þess að veita viðskiptavinum sínum þjónustu samkvæmt samningi við þá, svo sem notandaaðgang að viðkomandi lausn, en einnig til að halda utan um notkunarsögu, tryggja öryggi og veita réttum notanda upplýsingar um stöðu á afhendingu vöru og framkvæmd þjónustu, svo og tryggja gæði og virkni lausnar. Að auki kom fram að fyrirtækið notaði upplýsingar til þess að setja sig í samband við notanda í viðskiptalegum tilgangi, svo og að YAY ehf. geymdi gögn viðskiptavina sinna þar til fyrirtækið hefði ekki þörf fyrir þau lengur til að uppfylla markmiðið með söfnun þeirra. Þá var fjallað um réttindi hins skráða varðandi söfnun og varðveislu persónuupplýsinga.

Persónuvernd framkvæmdi sömu athugun aftur 2. mars 2021 og kannaði hvort breytingar hefðu verið gerðar á framsetningu fræðslu og samþykkis í forritinu. Ekki var að sjá að gerðar hefðu verið breytingar. Enn var notendum gert að samþykkja almenna skilmála YAY ehf. og skilmálar smáforritsins Ferðagjafar reyndust enn óaðgengilegir notendum.

Þá gerði Persónuvernd aftur athugun 26. ágúst 2021 og síðast 9. nóvember s.á. og höfðu þá verið gerðar breytingar á sértæku skilmálum Ferðagjafarinnar þannig að þeir voru læsilegir í símtækjum, en notendum var enn gert að samþykkja almenna skilmála YAY ehf. sem forsendu fyrir nýtingu ferðagjafar stjórnvalda.

8.

Andmælaferli ANR vegna mögulegrar álagningar stjórnvaldssektar

Í bréfum Persónuverndar til ANR, dags. 2. júní 2021 og 2. júlí s.á, var farið yfir einstaka liði 47. gr. laga nr. 90/2018 þar sem fjallað er um sjónarmið sem líta ber til við ákvörðun um hvort lögð verði á stjórnvaldssekt og hver fjárhæð hennar skuli vera. Var ANR gefinn kostur á að koma sjónarmiðum sínum á framfæri hvað það varðar.

ANR svaraði með bréfum, dags. 21. júní 2021 og 12. ágúst s.á. Í skýringum ráðuneytisins kemur fram að það sé afstaða þess að vinnsla persónuupplýsinga sem átt hafi sér stað í tengslum við nýtingu ferðagjafarinnar hafi heilt yfir uppfyllt kröfur laga um persónuvernd og vinnslu persónuupplýsinga. Hins vegar ítreki ráðuneytið að verkefni af slíku umfangi sem hér um ræðir hefði þurft lengri aðdraganda og undirbúningstíma. Vegna aðstæðna hafi hins vegar verið lögð áhersla á að hraða framkvæmd og hafi undirbúningur og innleiðing verkefnisins tekið að nokkru leyti mið af því. Hefði aðilum gefist lengri tími hefði meðal annars mátt útbúa skýrari vinnslusamning í upphafi verkefnisins og tryggja betra aðgengi notenda að persónuverndarstefnu í snjallforritinu. Þá telji ráðuneytið umrædda annmarka ekki réttlæta beitingu stjórnvaldssekta.

Varðandi eðli brots, hversu alvarlegt og hversu langvarandi það var og fjölda skráðra einstaklinga sem urðu fyrir því, svo og hversu alvarlegu tjóni þeir urðu fyrir, kemur fram í skýringum ANR að vinnsla persónuupplýsinga vegna ferðagjafar stjórnvalda hafi verið nauðsynleg til að uppfylla lagaskyldu sem hvíldi á ábyrgðaraðila, sbr. lög nr. nr. 54/2020 um ferðagjöf, en einnig vegna verkefnis í þágu almannahagsmuna. Til að einstaklingar gætu nýtt ferðagjöfina hafi verið nauðsynlegt að vinna með tilteknar persónuupplýsingar, þ.e. nafn og símanúmer notenda smáforritsins. Þá sé í framangreindum lögum gert ráð fyrir að einstaklingur geti gefið eigin ferðagjöf og því hafi verið nauðsynlegt að vinna með upplýsingar um netfang viðtakanda gjafarinnar. Tilgangur vinnslu umræddra persónuupplýsinga hafi verið að sannreyna nýtingu ferðagjafarinnar.

Einnig kemur fram í skýringum ráðuneytisins að þegar fyrsta útgáfa smáforritsins hafi verið gerð aðgengileg almenningi, þann 18. júní 2020, hafi verið óskað eftir víðtækum aðgangi að símtækjum notenda. Það sé afstaða ráðuneytisins að slíkar aðgangsheimildir hafi ekki verið nauðsynlegar til að uppfylla skyldur vinnsluaðila og hafi farið langt út fyrir fyrirmæli ráðuneytisins og ætlun aðila. Þegar mistökin urðu ljós hafi verið keyrð í gegn uppfærð útgáfa smáforritsins. Sú útgáfa hafi verið gefin út þann 22. s.m. Þá leggur ráðuneytið á það áherslu að jafnvel þó að smáforritið hafi óskað eftir þessum víðtæka aðgangi á umræddu fjögurra daga tímabili hafi aldrei verið sóttar upplýsingar á grundvelli aðgangsheimildanna eða unnið með þær.

Enn fremur kemur fram að á fyrstu þremur dögunum eftir útgáfu smáforritsins hafi verið unnið með upplýsingar um aldur og kyn notenda. Afstaða ráðuneytisins sé sú að öflun þeirra upplýsinga af hálfu vinnsluaðila hafi ekki verið nauðsynleg í því skyni að uppfylla skyldur vinnsluaðila samkvæmt þróunarsamningi aðila og síðari fyrirmælum ANR og hafi vinnsluaðili eytt upplýsingunum að umræddum þremur dögum liðnum.

Um afstöðu ráðuneytisins um það hvort brot hafi verið framið af ásetningi eða gáleysi segir í fyrrgreindu bréfi ANR að ráðuneytið hafi aldrei haft ásetning til annars en að uppfylla kröfur persónuverndarlöggjafarinnar.

Varðandi aðgerðir sem ábyrgðaraðili eða vinnsluaðili hafi gripið til í því skyni að draga úr tjóni skráðra einstaklinga segir ANR að vinnsluaðili hafi strax að þremur dögum liðnum fengið fyrirmæli frá ANR um að láta af söfnun upplýsinga notenda um aldur og kyn og að eyða þegar gögnunum. Þá hafi verið bætt úr aðgangsstillingum í því skyni að notendur smáforritsins mættu betur gera sér grein fyrir því hvaða aðgang smáforritið nýtti í raun. Einnig kemur fram að ANR taki undir sjónarmið Persónuverndar um að þróunarsamningur aðila og síðari fyrirmæli hafi ekki tekið nægilega mið af formkröfum sem gerðar eru til slíkra samninga. Hafi verið ráðin bót á því með gerð uppfærðs vinnslusamnings, dags. 25. maí 2021, sem taki mið af form- og efniskröfum samkvæmt 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Þá hafi persónuverndarstefna verið uppfærð 28. maí 2021 með hliðsjón af fræðsluskyldu.

Um afstöðu ráðuneytisins til ábyrgðar ábyrgðaraðila og vinnsluaðila með tilliti til tæknilegra og skipulagslegra ráðstafana sem þeir hafi komið til framkvæmda, sbr. 25. og 32. gr. reglugerðarinnar, segir í skýringum ANR að áður en ráðuneytið hafi gengið til samninga við vinnsluaðila hafi Stafrænt Ísland tekið út öryggisráðstafanir fyrirtækisins og komist að þeirri niðurstöðu að vinnsluaðili gæti tryggt viðeigandi öryggi. Þá hafi Syndis ehf. einnig framkvæmt úttekt á öryggisráðstöfunum vinnsluaðila sem hafi leitt í ljós að fullnægjandi öryggisráðstafanir væru til staðar.

ANR tekur fram að engum fyrri brotum ráðuneytisins sé fyrir að fara.

Varðandi umfang samvinnu við Persónuvernd til þess að bæta úr broti og draga úr mögulegum skaðlegum áhrifum þess segir í skýringum ANR að líkt og sjá megi af samskiptum við Persónuvernd hafi ráðuneytið reynt að bregðast við upplýsingabeiðnum Persónuverndar með skilvirkum hætti og innan þeirra tímamarka sem ráðuneytinu hafi verið sett. Aldrei hafi staðið vilji til annars en að sýna fullan samstarfsvilja. Hins vegar verði að taka tillit til þess að ráðuneytið vinni alla jafna ekki í málum tengdum persónuvernd. Nauðsynlegt hafi verið að afla upplýsinga frá öðrum aðilum til að svara bréfum Persónuverndar og ráðuneytið hafi kappkostað að reyna að halda stofnuninni upplýstri um gang mála og óskað viðbótarfresta þegar tilefni hafi verið til. Óskaði ráðuneytið jafnframt eftir frekari leiðbeiningum frá Persónuvernd um leiðir til úrbóta til að unnt yrði að leysa málið á farsælan máta.

Varðandi hvaða flokka persónuupplýsinga unnið hafi verið með tekur ANR fram í skýringum sínum að ekki hafi verið unnið með viðkvæmar persónuupplýsingar í smáforritinu.

Varðandi fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta samkvæmt 42. gr. laganna segir að ráðuneytið hafi ekki fengið slík fyrirmæli. Ekki sé því að fullu ljóst hvort Persónuvernd telji úrbætur ráðuneytisins fullnægjandi eða ekki eða til hvaða frekari úrbóta ráðuneytið þyrfti að grípa til að tryggja að vinnsla málsins sé í lögmætu horfi.

Þá kemur fram að engar hátternisreglur hafi verið samþykktar sem komi til greina hér. Það kynni þó að vera til bóta að vinna hátternisreglur er taki til vinnslu persónuupplýsinga við útgáfu á smáforritum. Muni ráðuneytið taka það til sérstakrar skoðunar.

Enn fremur tekur ráðuneytið fram í bréfi sínu að hin meintu brot hafi ekki falið í sér hagnað né hafi þau verið til þess fallin að forða ráðuneytinu frá tjóni.

Um sjónarmið um mögulega fjárhæð stjórnvaldssekta bendir ráðuneytið á í bréfi sínu að það sé rekið að öllu leyti af ríkissjóði á grundvelli framlaga samkvæmt fjárlögum og afli sér engra sértekna né eigi það neina bankareikninga. Fjárstjórnarvald ráðuneytisins sé í höndum Alþingis og fari fram á grundvelli þess fjárhagsramma sem ákveðinn sé með fjárlögum. Sektarákvörðun eins stjórnvalds gagnvart öðru stjórnvaldi, sem sé að fullu rekið á grundvelli framlaga úr ríkissjóði, geti því ekki haft áhrif á fjárhagsramma þess eða verkefni að öðru leyti þar sem stjórnvaldinu beri eftir sem áður að sinna þeim verkefnum sem því eru falin með lögum. Með stjórnvaldssekt eins stjórnvalds á annað felist því eingöngu tilfærsla í bókhaldi sem ekki hafi áhrif á umræddan fjárhagsramma og af þeim sökum telji ANR ekki ástæðu til þess að fjalla sérstaklega um sjónarmið tengd fjárhæð stjórnvaldssektar í máli þessu.

9.

Andmælaferli YAY ehf. vegna mögulegrar álagningar stjórnvaldssektar

Með bréfi, dags. 12. febrúar 2021, var YAY ehf. gefinn kostur á andmælum vegna mögulegrar álagningar stjórnvaldssektar á fyrirtækið vegna málsins. Í bréfi Persónuverndar var farið yfir þau sjónarmið sem reynir á við ákvörðun slíkra sekta.

Svar barst með bréfi, dags. 24. febrúar 2021. Í skýringum YAY ehf. er lögð áhersla á að þær skyldur sem til skoðunar komi í tengslum við beitingu stjórnvaldssekta lúti að ábyrgðaraðila vinnslu. YAY ehf. hafi hins vegar ekki komið að umræddri vinnslu sem ábyrgðaraðili. Einnig kemur þar fram að fyrirtækið líti svo á að vinnslan vegna ferðagjafarinnar hafi heilt yfir uppfyllt kröfur persónuverndarlöggjafarinnar. Ekki sé um það deilt að hefði aðilum gefist lengri tími hefði mátt vanda enn betur til verka. Þannig hefðu aðilar átt að ganga frá skriflegum vinnslusamningi sín á milli, tryggja hefði átt betra aðgengi notenda að persónuverndarstefnu ANR í smáforritinu og stilla hefði átt með nánari hætti aðgangsheimildir í Android-útgáfu smáforritsins frá upphafi þannig að notendum mætti vera ljóst að ekki væri í reynd verið að nýta aðgang að þeim upplýsingum sem þar voru tilgreindar. Framangreind atriði réttlæti þó ekki að mati YAY ehf. beitingu stjórnvaldssekta.

Varðandi eðli brots, hversu alvarlegt og hversu langvarandi það var og fjölda skráðra einstaklinga sem urðu fyrir því, svo og hversu alvarlegu tjóni þeir urðu fyrir, kemur fram í skýringum YAY ehf. að á engum tímapunkti hafi hinar víðtæku aðgangsheimildir á hinu fjögurra daga tímabili (frá 18.–22. júní 2020) í Android-útgáfu smáforritsins verið nýttar eða unnið með slíkar persónuupplýsingar. Þar kemur einnig fram að á fyrstu þremur dögunum eftir útgáfu smáforritsins hafi verið unnið með upplýsingar um kyn og aldur notenda sem síðar hafi verið látið af á grundvelli fyrirmæla frá ANR. Samtals hafi 6000 notendur sótt smáforritið á þessu tímabili en þessum upplýsingum hafi strax verið eytt. Jafnframt kemur fram að það sé mat YAY ehf. að enginn notandi hafi orðið fyrir tjóni í tengslum við vinnslu þá sem hér sé til skoðunar.

Um afstöðu YAY ehf. um það hvort brot hafi verið framið af ásetningi eða gáleysi segir í skýringum YAY ehf. að ekkert brot á persónuverndarlöggjöfinni hafi verið framið af ásetningi af hálfu fyrirtækisins. Fyrir mistök hafi víðtækar aðgangsheimildir verið valdar við fyrstu útgáfu smáforritsins í Android-tækjum en það hafi ekki verið ásetningur aðila. Það sama eigi við um birtingu á persónuverndarstefnu í smáforritinu, það hafi ekki verið ætlun aðila að stefnan yrði ekki birt þar í heild sinni.

Varðandi aðgerðir sem ábyrgðaraðili eða vinnsluaðili hafi gripið til í því skyni að draga úr tjóni skráðra einstaklinga segir YAY ehf. í skýringum sínum að látið hafi verið af söfnun upplýsinga um aldur og kyn eftir þrjá daga og þeim upplýsingum þegar verið eytt. Þá hafi aðgangsstillingum verið breytt innan fjögurra daga frá útgáfu, þannig að notendur mættu betur gera sér grein fyrir hvaða aðgang smáforritið var í reynd að nýta.

Um afstöðu YAY ehf. til ábyrgðar ábyrgðaraðila eða vinnsluaðila með tilliti til tæknilegra og skipulagslegra ráðstafana sem þeir hafi komið til framkvæmda, sbr. 25. og 32. gr. reglugerðarinnar, segir í skýringum fyrirtækisins að YAY ehf. beri fulla ábyrgð á öryggisráðstöfunum þeim sem gripið hafi verið til í tengslum við notkun á smáforritinu í samræmi við þær skyldur sem á fyrirtækinu hvíla á grundvelli persónuverndarlöggjafarinnar. Þá vísar YAY ehf. í þessu sambandi einnig til úttektar Stafræns Íslands og Syndis ehf. á öryggisráðstöfunum fyrirtækisins, sem fyrr hefur verið greint frá.

YAY ehf. tekur fram að engum fyrri brotum fyrirtækisins sé fyrir að fara.

Varðandi umfang samvinnu við Persónuvernd til þess að bæta úr broti og draga úr mögulegum skaðlegum áhrifum þess segir í skýringum YAY ehf. að fyrirtækið hafi lagt áherslu á að veita Persónuvernd upplýsingar um öll þau atriði sem óskað hafi verið eftir.

Varðandi hvaða flokka persónuupplýsinga unnið hafi verið með tekur YAY ehf. fram í skýringum sínum að ekki hafi verið unnið með neinar viðkvæmar persónuupplýsingar.

Varðandi fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta kemur fram að YAY ehf. hafi ekki fengið nein slík fyrirmæli.

Þá kemur fram að engar hátternisreglur hafi verið samþykktar sem komi til greina hér. Það kynni þó að vera til bóta að vinna hátternisreglur er taki til vinnslu persónuupplýsinga við útgáfu á smáforritum.

Að lokum kemur fram í skýringum YAY ehf. að enginn hagnaður hafi fengist í tengslum við hin meintu brot né hafi verið komist hjá tapi.

II.

Forsendur ákvörðunar

1.

Gildissvið

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar. Í ákvæðinu er einnig að finna upptalningu í dæmaskyni á hvers konar aðgerðir geti fallið undir skilgreininguna og segir þar meðal annars að undir vinnsluhugtakið geti fallið aðferðir til að gera upplýsingar tiltækar. Þá er það talin vinnsla þegar tekið er eitt skref í röð aðgerða sem þarf til þess að gera persónuupplýsingar tiltækar eða aðgengilegar.

Sú aðgerð, að afla aðgangsheimilda, telst skref í röð aðgerða til að gera persónuupplýsingar tiltækar eða aðgengilegar og telst því til vinnslu, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar, þó svo að upplýsingar verði ekki unnar frekar, sbr. framangreind ákvæði. Mál þetta lýtur annars vegar að öflun persónuupplýsinga um notendur ferðagjafar stjórnvalda og hins vegar að öflun aðgangsheimilda í símtækjum sömu notenda sem leitt gat til frekari vinnslu persónuupplýsinga, þar með talið viðkvæmra persónuupplýsinga. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

2.

Ábyrgðaraðili og vinnsluaðili

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðar (ESB) 2016/679. Í leiðbeiningum Evrópska persónuverndarráðsins nr. 7/2020, frá 2. september 2020, ber við ákvörðun um það hver teljist ábyrgðaraðili vinnslu og hver teljist vinnsluaðili ekki einungis að líta til þeirra gagna sem fyrir liggja, til að mynda vinnslusamnings, heldur einnig hvernig fyrirkomulagi hafi raunverulega verið háttað, þ.e. hver hafi í reynd tekið ákvörðun um tilgang og aðferðir við vinnslu persónuupplýsinga.

Vinnsluaðili er einstaklingur, lögaðili, stjórnvald eða annar aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 7. tölul. 3. gr. laganna og 8. tölul. 4. gr. reglugerðar (ESB) 2016 679. Eins og fram kemur í 10. mgr. 28. gr. reglugerðarinnar skal vinnsluaðili, sem brýtur í bága við reglugerðina þegar hann ákveður tilgang og aðferðir við vinnsluna, teljast vera ábyrgðaraðili að því er varðar þá vinnslu.

2.1.

Ábyrgð vinnslu

Í ljósi framangreinds er nauðsynlegt, áður en fjallað er um lögmæti þeirrar vinnslu persónuupplýsinga sem hér er til umfjöllunar, að ákvarða ábyrgð hvers aðila um sig enda skyldur ábyrgðaraðila og vinnsluaðila mismunandi eftir hlutverkum þeirra samkvæmt lögum nr. 90/2018 og reglugerðar (ESB) 2016/679.

Fyrir liggur að til að nýta ferðagjöfina þurftu notendur að skrá sig inn í smáforritið og gefa upplýsingar um nafn, símanúmer og netfang sitt. ANR og YAY ehf. eru samhljóða í skýringum sínum um að fyrir öflun þeirra persónuupplýsinga hafi legið fyrirmæli ANR. Ráðuneytið telst því vera sá aðili sem ákvað tilgang og aðferðir við vinnslu framangreindra persónuupplýsinga og er ábyrgðaraðili þeirrar vinnslu.

Einnig gátu notendur smáforritsins gefið ferðagjöf sína öðrum einstaklingi, en til þess var nauðsynlegt að vinna með netfang viðtakanda gjafarinnar. Þá gátu notendur sent kveðju með gjöfinni kysu þeir svo og til að nota slíka viðbótarþjónustu þurftu þeir að samþykkja aðgang að hljóðnema, myndavél, geymslusvæði og tengiliðaskrá í símtækjum sínum. Af gögnum málsins er ljóst að ANR óskaði eftir að boðið yrði upp á slíka viðbótarþjónustu og telst því ábyrgðaraðili þeirrar vinnslu.

Fyrstu þrjá dagana eftir frumútgáfu smáforritsins, þ.e. frá 18.-20. júní 2020, var enn fremur óskað upplýsinga um aldur og kyn notenda. Fyrir liggur að ANR gaf YAY ehf. fyrirmæli um að safna þessum upplýsingum en dró þau síðan til baka. Verður því ekki annað ráðið en að ákvörðun um tilgang og aðferð við söfnun framangreindra persónuupplýsinga hafi verið tekin af ANR. Í samráði við ANR hafi YAY ehf. síðan uppfært smáforritið samkvæmt fyrirmælunum eftir að það hafði verið gert almenningi aðgengilegt. Í ljósi þess að báðir aðilar málsins halda því fram í andmælum sínum að fullt samráð hafi verið með þeim varðandi tímasetningu útgáfu uppfærslna smáforritsins verður að telja að ANR sé ábyrgðaraðili að þeirri vinnslu persónuupplýsinga sem fram fór á grundvelli útgáfu 1.0.2 af smáforritinu, þ. á m. á upplýsingum um aldur og kyn notenda, að teknu tilliti til tafa í útgáfuferli. YAY ehf. telst hins vegar vinnsluaðili að þeirri vinnslu.

Þá liggur einnig fyrir að fyrstu dagana eftir frumútgáfu smáforritsins (frá 18.-22. júní 2020 fyrir Android-stýrikerfi og frá 18.-23. júní 2020 fyrir iOS-stýrikerfið), óskaði YAY ehf. að eigin sögn, fyrir mistök, eftir mjög víðtækum aðgangi að upplýsingum í símtækjum notenda smáforritsins. Af hálfu ráðuneytisins hefur komið fram að öflun hinna víðtæku aðgangsheimilda hafi ekki verið í samræmi við fyrirmæli þess og að vinnsluaðili hafi gengist við þeim mistökum sínum. Af hálfu YAY ehf. hefur komið fram að þróun Ferðagjafarinnar hafi byggst á fyrirliggjandi smáforriti fyrirtækisins þar sem óskað sé eftir slíkum aðgangsheimildum en fyrir mistök hafi umræddar stillingar ekki verið fjarlægðar við gerð hins nýja forrits. Verður því ekki annað séð en að YAY ehf. beri ábyrgð á þeim mistökum og telst fyrirtækið því ábyrgðaraðili að öflun umræddra aðgangsheimilda og þeirri aðgerð sem fólst í hinu fyrsta skrefi í röð aðgerða við að gera upplýsingar notenda tiltækar. Varðandi aðra vinnslu persónuupplýsinga, sem að framan greinir telst YAY ehf. vinnsluaðili, sbr. 7. tölul. 3. gr. laga nr. 90/2018, sbr. einnig 8. tölul. 4. gr. reglugerðar (ESB) 2016/679.

2.2.

Vinnslusamningur

Í 3. mgr. 28. gr. reglugerðar (ESB) 2016/679, sbr. 3. mgr. 25. gr. laga nr. 90/2018, kemur fram að vinnsla af hálfu vinnsluaðila skal falla undir samning eða aðra réttargerð samkvæmt lögum ESB eða lögum aðildarríkis sem skuldbindur vinnsluaðila gagnvart ábyrgðaraðilanum og þar sem tilgreint er viðfangsefni og tímalengd vinnslunnar, eðli og tilgangur hennar, tegund persónuupplýsinga og flokkar skráðra einstaklinga og skyldur og réttindi ábyrgðaraðilans. Þá er í átta stafliðum fjallað um þá þætti sem einkum skal mælt fyrir um í samningi milli aðila vegna vinnslu vinnsluaðila fyrir hönd ábyrgðaraðila.

Fyrir liggur að á milli ANR og YAY ehf. var gerður þróunarsamningur. Þá áttu sér annars vegar stað tölvupóstssamskipti þar sem ráðuneytið lagði til tillögu að fræðslutexta í smáforritinu og hins vegar síðari tölvupóstsamskipti þar sem farið var yfir hvaða persónuupplýsingum ætti að safna og hverjum ekki. Persónuvernd hefur farið yfir efni samningsins og þeirra samskipta sem áttu sér stað. Umræddur samningur fjallar á mjög takmarkaðan hátt um þau skilyrði sem 3. mgr. 28. gr. reglugerðarinnar gerir til vinnslusamninga. Hvað varðar þau tölvupóstsamskipti sem liggja fyrir í málinu, verður ekki séð að þau fullnægi framangreindum skilyrðum. Reglugerð (ESB) 2016/679 og lög nr. 90/2018 gera ráð fyrir að ávallt skuli liggja fyrir skjalfest fyrirmæli ábyrgðaraðila um vinnslu persónuupplýsinga vinnsluaðila. Persónuvernd telur að krafa um skýrleika slíkra fyrirmæla ábyrgðaraðila sé enn ríkari þegar litið er til eðlis og umfangs þeirra persónuupplýsinga sem hér um ræðir og þeirra persónuupplýsinga sem mögulegt var að sækja, þ.e. almennar persónuupplýsingar allra landsmanna sem náð hafa 18 ára aldri með íslenska kennitölu en einnig viðkvæmar persónuupplýsingar sumra notenda Android-stýrikerfis, þ. á m. trúnaðarupplýsingar í dagatali sem kunna að geyma viðkvæmar persónuupplýsingar um þá eða aðra.

Þá telur Persónuvernd að gera verði ríkar kröfur til þess að farið sé að lögum við framkvæmd starfa æðstu handhafa framkvæmdavaldsins, í þessu tilviki ráðuneytis sem ber ábyrgð á málefnasviði nýsköpunar eins og nánar er tilgreint í forsetaúrskurði um skiptingu stjórnarmálefna milli ráðuneyta í Stjórnarráði Íslands, nr. 119/2018.

Ekki er í framangreindum gögnum ANR mælt fyrir um vinnslu persónuupplýsinga vegna smáforritsins með fullnægjandi hætti og er niðurstaða Persónuverndar sú að umrædd gögn geti ekki jafngilt vinnslusamningi í skilningi 3. mgr. 25. gr. laga nr. 90/2018, eða 3. mgr. 28. gr. reglugerðar (ESB) 2016/679. Gerir Persónuvernd alvarlegar athugasemdir við það að ráðuneytið hafi hér ekki gengið úr skugga um að farið væri í öllu eftir lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar hafi hinn skráði gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða, sbr. 1. mgr. 9. gr. laganna og a-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, einnig ef vinnslan er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. mgr. 9. gr. laga nr. 90/2018 og c-lið 1. mgr. 6. gr. reglugerðarinnar, eða ef vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5. tölul. 9. gr. laganna og e-lið 1. mgr. 6. gr. reglugerðarinnar. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Í 3. tölul. 3. gr. laga nr. 90/2018 er talið upp hvaða upplýsingar eru viðkvæmar, en þar er um að ræða upplýsingar um kynþátt, þjóðernislegan uppruna, trúarbrögð (a-liður); heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, þ.m.t. heilbrigðisþjónustu sem hann hefur fengið, og upplýsingar um lyfja-, áfengis- og vímuefnanotkun (b-liður); upplýsingar um kynlíf og kynhneigð (c-liður); og erfðafræðilegar upplýsingar, lífkennaupplýsingar, svo sem andlitsmyndir eða gögn um fingraför, enda sé unnið með upplýsingar í því skyni að persónugreina einstaklinga með einkvæmum hætti (d-liður).

Við mat á því hvort heimild til vinnslu persónuupplýsinga sé til staðar þarf að kanna hvort viðhlítandi vinnsluheimild hafi verið fyrir vinnslunni og byggi vinnsla á samþykki hins skráða þarf að kanna hvort skilyrði samþykkis hafi verið uppfyllt. Einnig þarf að kanna hvort staðið hafi verið að fræðslu með fullnægjandi hætti, hvort öryggi persónuupplýsinga hafi verið tryggt, þ. á m. hvort gerðar hafi verið viðeigandi ráðstafanir til að tryggja innbyggða og sjálfgefna persónuvernd, og hvort meginreglum um vinnslu persónuupplýsinga hafi verið fullnægt.

3.1.

Heimild til vinnslu persónuupplýsinga

3.1.1.

Vinnsla á ábyrgð ANR

Með lögum nr. 54/2020, um ferðagjöf, mælti Alþingi fyrir um að stjórnvöld skyldu gefa einstaklingum 18 ára og eldri ferðagjöf, sbr. 1. mgr. 1. gr. laganna. Til að sannreyna nýtingu ferðagjafarinnar var nauðsynlegt að vinna með tilgreindar persónuupplýsingar, þ.e. nafn, símanúmer og netfang. Í lögunum um ferðagjöf er einnig gert ráð fyrir því að einstaklingur geti gefið eigin ferðagjöf, sbr. 3. mgr. 1. gr. laganna. Til þess að geta gefið ferðagjöf er nauðsynlegt að vinna með upplýsingar um netfang viðtakanda. Fyrrgreind vinnsla getur því byggst á 3. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga að öðrum skilyrðum laganna uppfylltum.

Fyrir liggur að frumútgáfur smáforritsins voru gerðar aðgengilegar í smáforritasöfnum Google Play og App Store 12. júní 2020. Í ljósi þess að almenningi var ekki gert viðvart um smáforritið fyrr en 18. s.m. verður miðað við að vinnsla persónuupplýsinga hafi hafist þann dag þegar almenningur gat fyrst nálgast smáforritið.

Lög nr. 54/2020 um ferðagjöf tóku ekki gildi fyrr en 23. júní 2020. Gat umrædd vinnsla því ekki stuðst við 3. tölul. 9. gr. laga nr. 90/2018 og c-lið 1. mgr. 9. gr. reglugerðarinnar, um að vinnsla sé nauðsynleg vegna lagaskyldu sem hvíli á ábyrgðaraðila, fyrr en eftir gildistöku laganna. Þá verður ekki séð að vinnslan hafi, fram að þeim tíma, geta talist nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna, sbr. 5. tölul. 9. gr. laga nr. 90/2018 og e-liðar 1. mgr. 6. gr. reglugerðarinnar. Sú heimild gerir kröfu um að slík vinnsla styðjist við lagaheimild en þegar af þeirri ástæðu að lögin tóku ekki gildi fyrr en 23. júní 2020, verður ekki byggt á þeirri heimild.

Af hálfu ANR hefur því verið haldið fram að í ljósi neyðarástands í samfélaginu hafi verið lögð áhersla á hraðar framkvæmdir. Af hálfu ANR er ekki rökstutt hvers vegna umrætt neyðarástand hafi réttlætt að vikið væri frá ákvæðum laga nr. 90/2018 og reglugerðar (ESB) 2016/679. Persónuvernd bendir á að persónuverndarlöggjöfin gildir óháð stöðunni í samfélaginu á hverjum tíma. Persónuvernd lítur svo á að þó að tilteknar aðgerðir, svo sem sóttvarnaráðstafanir í heimsfaraldri, réttlæti tiltekna vinnslu persónuupplýsinga, þá sé ekki unnt að fallast á að hægt sé að virða lög nr. 90/2018 og reglugerð (ESB) 2016/679 að vettugi, að hluta eða að öllu leyti, í tengslum við veitingu ferðagjafar.

Persónuvernd telur hvorki að neyðarréttarsjónarmið hafi átt hér við né að vinnslan hafi verið í þágu almannahagsmuna. Er það því niðurstaða stofnunarinnar að sú vinnsla persónuupplýsinga sem fram fór milli 18. og 23. júní 2020 hafi ekki stuðst við fullnægjandi heimild skv. 9. gr. laga nr. 90/2018 og 6. gr. reglugerðar (ESB) 2016/679. Til viðbótar telur Persónuvernd það ámælisvert að ANR skuli ekki hafa tryggt að vinnsla persónuupplýsinga hæfist ekki fyrr en eftir gildistöku fyrrgreindra laga.

Hins vegar telur Persónuvernd að frá gildistöku laga nr. 54/2020 um ferðagjöf, þann 23. júní 2020, verði að líta svo á að framangreind vinnsla persónuupplýsinga geti stuðst við 3. tölul. 9. gr. laga nr. 90/2018 að uppfylltum öðrum skilyrðum laganna, s.s. um gagnsæi vinnslu og fræðslu til hinna skráðu, sbr. umfjöllun í kafla 3.1.3 hér á eftir.

Þá liggur fyrir að unnið var með upplýsingar um aldur og kyn notenda smáforritsins. Við undirbúning útgáfu smáforritsins var ákvörðun þar að lútandi hins vegar dregin til baka af hálfu ráðuneytisins, að minnsta kosti varðandi upplýsingar um kyn notenda, enda taldist vinnslan ekki nauðsynleg eða í samræmi við lög nr. 54/2020 um ferðagjöf. Hefur því verið lýst í framkomnum skýringum að fullt samráð hafi verið milli aðila um það hvenær uppfærð útgáfa 1.0.3, þar sem beiðni um aldur og kyn hafði verið fjarlægð, yrði sett í smáforritasöfnin. Söfnun persónuupplýsinga um aldur og kyn notenda stóð yfir frá 18.-20. júní 2020. Engin heimild stóð til vinnslunnar skv. 9. gr. laga nr. 90/2018 og var hún því andstæð ákvæðum laganna.

Í 3. mgr. 1. gr. laga nr. 54/2020 kemur fram að einstaklingi sé heimilt að gefa eigin ferðagjöf. Af hálfu ráðuneytisins og YAY ehf. hefur komið fram að notandi gat nýtt sér þá valkvæðu viðbótarþjónustu ef hann samþykkti að veita smáforritinu aðgang að myndavél, hljóðnema, tengiliðaskrá og USB-vörsluskrá. Kemur þá til skoðunar hvort slík vinnsla samrýmist 1. tölul. 9. gr. laga nr. 90/2018 um að vinnsla persónuupplýsinga sé heimil hafi hinn skráði gefið samþykki sitt fyrir vinnslu á persónuupplýsingum sínum í þágu eins eða fleiri tiltekinna markmiða. Samkvæmt greinargerð með því frumvarpi er varð að lögum nr. 90/2018 segir meðal annars um 1. mgr. 9. gr. laganna að stjórnvöld geti sjaldnast byggt á samþykki, nema í undantekningartilvikum þegar samþykki hefur engin áhrif á veitingu þjónustu eða réttindi manna. Eins og hér háttar til er það mat Persónuverndar, að veiting ARN á slíkri viðbótarþjónustu, sem hvorki er nauðsynleg til að nýta ferðagjöfina né skilyrði fyrir því að gefa hana, geti fallið þar undir. Reynir þá á hvort skilyrðum fyrir samþykki teljist vera fullnægt, þ.e. hvernig þess er aflað og hvort ábyrgðaraðili hafi veitt fullnægjandi fræðslu áður en samþykki var veitt.

3.1.2.

Skilyrði samþykkis

Til að leggja mat á hvort heimild hafi verið til staðar við vinnslu persónuupplýsinga vegna viðbótarþjónustu, samkvæmt lögum nr. 90/2018 og reglugerð (ESB) 2016/679, er nauðsynlegt að líta til þess hvort skilyrði samþykkis samkvæmt 1. tölul. 9. gr. laganna, sbr. a-lið 6. gr. reglugerðarinnar, teljist uppfyllt.

Í 8. tölul. 3. gr. laga nr. 90/2018 er samþykki skilgreint sem óþvinguð, sértæk, upplýst og ótvíræð viljayfirlýsing hins skráða um að hann samþykki, með yfirlýsingu eða ótvíræðri staðfestingu, vinnslu persónuupplýsinga um sig.

Í 10. gr. laga nr. 90/2018, sbr. 7. gr. reglugerðar (ESB) 2016/679, er nánar fjallað um skilyrði fyrir samþykki. Þar kemur meðal annars fram að þegar vinnsla er byggð á samþykki skuli ábyrgðaraðilinn geta sýnt fram á að skráður einstaklingur hafi samþykkt vinnslu persónuupplýsinga sinna samkvæmt nánari skilyrðum 7. gr. reglugerðarinnar. Í 2. mgr. 10. gr. laganna segir að ef hinn skráði gefur samþykki sitt með skriflegri yfirlýsingu, sem einnig varðar önnur málefni, skuli beiðnin um samþykki sett fram á þann hátt að hún sé auðgreinanleg frá hinum málefnunum, á skiljanlegu og aðgengilegu formi og skýru og einföldu máli. Í 4. mgr. ákvæðisins kemur fram að þegar metið er hvort samþykki er gefið af fúsum og frjálsum vilja skal taka ýtrasta tillit til þess hvort það sé skilyrði fyrir framkvæmd samnings að samþykki sé gefið fyrir vinnslu persónuupplýsinga sem ekki er nauðsynleg vegna samningsins.

Þá kemur fram í greinargerð með frumvarpi sem varð að lögum nr. 90/2018 að reglugerðin setji fram ítarlegri reglur og strangari kröfur til þess hvernig samþykki er fengið, auk þess sem fyrirtækjum er skylt samkvæmt henni að gera skilmála fyrir samþykki gagnsæja og aðgengilega og hafa þá á skiljanlegu máli. Vinnsla byggð á samþykki verður meðal annars, eins og ávallt á við þegar unnið er með persónuupplýsingar, að samrýmast vönduðum vinnsluháttum, fara fram í yfirlýstum, skýrum og málefnalegum tilgangi og má ekki ganga lengra en nauðsyn krefur. Þegar Persónuvernd metur hvort kröfunum til samþykkis sé fullnægt tekur hún bæði mið af þeirri vinnsluaðferð sem viðhöfð er og eðli þeirra upplýsinga sem unnið er með. Samþykki þarf að vera frjálst og óháð og telst ekki vera það þegar einstaklingur þarf að samþykkja tiltekna vinnslu um sig til að geta fengið þjónustu. Í 42. lið formálsorða reglugerðarinnar er áréttuð sú skylda ábyrgðaraðila að geta sýnt fram á að samþykki hafi verið veitt og tekið fram að hann þurfi að tryggja að hinum skráða sé kunnugt um það og að hvaða marki. Er áréttað að ekki eigi að telja að samþykki hafi verið veitt af fúsum og frjálsum vilja hafi hinn skráði ekki haft raunverulegt eða frjálst val eða ekki getað neitað eða dregið til baka samþykki án þess að verða fyrir tjóni.

Forsenda þess að einstaklingur geti tekið upplýsta ákvörðun um að veita samþykki sitt fyrir vinnslu persónuupplýsinga um sig og varið hagsmuni sína, svo og þess að skilyrðum samþykkis sé fullnægt, er að hann sé upplýstur um þá vinnslu sem fram fer og í hverju hún felst. Frumskilyrði vitneskju og upplýsinga um vinnslu persónuupplýsinga er gagnsæi og fræðsla til hins skráða um vinnsluna.

3.1.3.

Fræðsla

Ein af meginreglum persónuverndarlöggjafarinnar um vinnslu persónuupplýsinga er að þess skuli gætt að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. einnig a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Til að meta hvort skilyrðið um gagnsæi hafi verið uppfyllt þarf því að líta til ákvæða um fræðsluskyldu. Fræðsluskylda ábyrgðaraðila, þ.e. skyldan til að veita upplýsingar um vinnslu persónuupplýsinga hins skráða, á við óháð þeim lagagrundvelli sem vinnslan byggist á, þ.e. hvort sem um ræðir samþykki eða vegna lagaskyldu. Þá ber að veita umræddar upplýsingar í tengslum við vinnslu persónuupplýsinga um hann á þeim tíma þegar upplýsinganna er aflað hjá hinum skráða, sbr. 61. lið formálsorða reglugerðar (ESB) 2016/679.

Um fræðsluskyldu, gagnsæi og rétt hins skráða til upplýsinga er fjallað í 17. gr. laga nr. 90/2018 og 12-14. gr. reglugerðar (ESB) 2016/679. Í 1. mgr. 17. gr. laganna segir að ábyrgðaraðili skuli gera viðeigandi ráðstafanir til að tryggja gagnsæi upplýsinga og tilkynningar til skráðs einstaklings samkvæmt fyrirmælum 12. gr. reglugerðarinnar svo að hann geti neytt upplýsingaréttar síns og réttar til aðgangs. Í 2. mgr. sömu greinar, sbr. einnig 12. og 13. gr. reglugerðarinnar, kemur fram að hinn skráði á rétt til upplýsinga um vinnslu, hvort sem persónuupplýsinga er aflað hjá honum sjálfum eða ekki, svo og rétt til aðgangs að persónuupplýsingum um sig samkvæmt fyrirmælum 13.-15. gr. reglugerðarinnar með þeim undantekningum sem greinir í 3. mgr. ákvæðisins.

Í 13. gr. reglugerðarinnar er fjallað um þær upplýsingar sem ber að veita við söfnun persónuupplýsinga hjá skráðum einstaklingi. Í 1. mgr. ákvæðisins segir að þegar persónuupplýsinga um hinn skráða sé aflað hjá honum sjálfum skuli ábyrgðaraðilinn, við söfnun persónuupplýsinganna, skýra honum frá meðal annars tilganginum með fyrirhugaðri vinnslu persónuupplýsinganna og hver lagagrundvöllur hennar sé (c-liður).

Í áliti 29. gr.-vinnuhópsins,[1] nr. WP260 rev. 01, kemur fram að það sé grundvallaratriði gagnsæis að hvers kyns fræðsla í formi upplýsinga um vinnslu persónuupplýsinga hins skráða skuli vera aðgengileg, auðskiljanleg og á skýru og einföldu máli.

Sem fyrr segir er notanda við innskráningu í smáforritið Ferðagjöf gert að samþykkja almenna skilmála fyrirtækisins YAY ehf. sem gilda um notkun almenns smáforrits fyrirtækisins og tengjast ekki Ferðagjöfinni. Upplýsingarnar sem þar er að finna eiga því ekki við um notkun ferðagjafarinnar. Eftir að notendur samþykktu hina almennu skilmála gátu þeir nálgast skilmála ferðagjafarinnar með því að smella á hlekk merktan „Ferðagjöf skilmálar“. Textinn sem birtist notendum þar var hins vegar ekki læsilegur þar sem aðeins brot af honum birtist á skjánum.

Í framangreindum skilmálum var ekki að finna þau atriði sem 17. gr. laga nr. 90/2018 og 13. gr. reglugerðar (ESB) 2016/679 gera kröfu um. Þá var notendum einnig, a.m.k. í iOS-útgáfu forritsins, ómögulegt að kynna sér framangreinda skilmála með fullnægjandi hætti. Í ljósi framangreinds verður fræðslan sem veitt var þegar söfnun persónuupplýsinga átti sér stað ekki talin samrýmast 17. gr. laganna og 13. gr. reglugerðarinnar. Við mat á því hvort hinir skráðu hafi fengið fræðslu þegar upplýsinganna var aflað í fyrsta skipti hefur ekki þýðingu að síðar hafi notendur getað nálgast persónuverndarstefnu YAY ehf. innan smáforritsins.

Til viðbótar er það mat Persónuverndar að persónuverndarstefna YAY ehf., sem aðgengileg var eftir innskráningu notanda, hafi ekki fullnægt þeim kröfum sem gerðar er í lögunum og reglugerðinni til fræðslu YAY ehf., fyrir hönd ábyrgðaraðila, enda tekur sú stefna ekki til smáforritsins Ferðagjafarinnar.

Af atvikum máls má ráða að notendum var gert að samþykkja skilmála sem áttu ekki við um þá vinnslu sem fram fór vegna ferðagjafarinnar og fengu því ekki réttar upplýsingar um þá vinnslu persónuupplýsinga um þá sem fram fór í reynd. Þá gátu notendur ekki kynnt sér sértæka skilmála Ferðagjafarinnar þar sem þeir voru óaðgengilegir, a.m.k. hjá notendum iOS-stýrikerfis.

Að framangreindu virtu verður því ekki séð að ANR hafi gert viðeigandi ráðstafanir til að upplýsingar væru aðgengilegar, auðskiljanlegar og á einföldu og skýru máli eða veitt notendum ferðagjafar stjórnvalda nægjanlegar og réttar upplýsingar um vinnsluna og rétt sinn vegna hennar svo að þeir gætu tekið upplýsta ákvörðun um fyrirhugaða vinnslu persónuupplýsinga um þá, við skráningu í forritið. ANR hefur því ekki uppfyllt fræðsluskyldu sína sem ábyrgðaraðili, sbr. skilyrði 17. gr. laga nr. 90/2018 og 13. gr. reglugerðar (ESB) 2016/679.

Eins og fram hefur komið var notendum gert að samþykkja almenna skilmála YAY ehf. við innskráningu í smáforritið Ferðagjöfina sem grundvöll fyrir allri vinnslu persónuupplýsinga í því smáforriti. Í þeim skilmálum komu fram upplýsingar sem áttu ekki við um notkun þess. Veittu notendur því heimild til vinnslu persónuupplýsinga um sig á röngum forsendum. Þá geta hvorki hinir almennu skilmálar YAY ehf. né þeir skilmálar sem lúta að Ferðagjöfinni talist fullnægja þeim kröfum sem gerðar eru til þeirrar fræðslu sem ber að veita hinum skráðu þegar persónuupplýsingar eru unnar um þá, sbr. 17. gr. laganna og 13. gr. reglugerðarinnar.

Þar sem fræðsla var ekki fullnægjandi verður ekki byggt á lagaheimild samkvæmt 3. tölul. 9. gr. laga nr. 90/2018, sbr. einnig c-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Af sömu ástæðu verður ekki talið að skilyrði samþykkis hafi verið uppfyllt, hvað varðar viðbótarþjónustu í smáforritinu, sbr. 1. tölul. 9. gr. framangreindra laga, sbr. einnig a-lið 1. mgr. 6. gr. reglugerðarinnar og 10. gr. laganna, sbr. 7. gr. reglugerðarinnar.

3.2.

Vinnsla á ábyrgð YAY ehf.

Samkvæmt þeim upplýsingum sem liggja fyrir í málinu var í útgáfum 1.0.2, 1.0.3 og 1.0.4 smáforritsins forritaðar víðtækar aðgangsheimildir að símtækjum notenda, þ.e. staðsetningarupplýsingum, stöðu nets, stöðu þráðlauss nets, myndavél, ritli, neti, skjalastjórnun, hljóðstillingum, dagatali (les og skrifaðgangur, m.a. að trúnaðarupplýsingum), tengiliðaskrá, innra og ytra geymslusvæði (les- og skrifaðgangur), stöðu síma, upplýsingum um endurræsingu símtækis, hljóðnema til hljóðupptöku, uppsetningu á skammleið og lestri hreyfingarstillinga. Einnig krafðist smáforritið leyfis til að óska eftir uppsetningu á öðrum pökkum, leyfis til að keyra í forgrunni þó að önnur smáforrit væru ræst, leyfis til að sýna ákveðna tegund viðvörunarglugga sem birtast ofan á öðrum smáforritum, leyfis til að nýta lífkennslavirkni til auðkenningar, leyfis til að nýta fingrafar, möguleika á að setja á titring og leyfis til að koma í veg fyrir að örgjörvi og skjár færi á svefnstillingu. YAY ehf. hefur viðurkennt að framangreind aðgerð hafi verið afleiðing mistaka. Engin heimild lá því til grundvallar vinnslunni samkvæmt 9. gr. laga nr. 90/2018 og var hún því andstæð ákvæðum laganna.

3.3.

Öryggi persónuupplýsinga

Samkvæmt 23. gr. laga nr. 90/2018, sbr. einnig 24. gr. reglugerðar (ESB) 2016/679, skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslu og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar. Með framangreindum ráðstöfunum skuli tryggja að persónuvernd sé innbyggð og sjálfgefin, sbr. 24. gr. laganna og 25. gr. reglugerðarinnar. Slíkar ráðstafanir geta meðal annars verið hannaðar til að framfylgja meginreglum um persónuvernd, svo sem um lágmörkun gagna.

Framangreindar reglur laga nr. 90/2018 og reglugerðar (ESB) 2016/679 eru áréttaðar í 1. mgr. 27. gr. laganna, sbr. einnig 1. mgr. 32. gr. reglugerðarinnar, en þar segir að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga samkvæmt nánari fyrirmælum 32. gr. reglugerðarinnar, en sú grein verður talin meginákvæði hennar um upplýsingaöryggi. Meðal þess sem ábyrgðaraðila og vinnsluaðila ber að gera samkvæmt umræddum fyrirmælum er að taka upp ferli til að prófa og meta reglulega skilvirkni tæknilegra og skipulagslegra ráðstafana til að tryggja öryggi vinnslunnar, sbr. d-lið 1. mgr. ákvæðisins.

Að framangreindu virtu reynir hér sérstaklega á hvort öryggi persónuupplýsinga um notendur ferðagjafar stjórnvalda hafi verið nægjanlega tryggt við aðlögun og mótun stillinga smáforritsins og hvort einungis hafi verið unnið með þær persónuupplýsingar sem nauðsynlegar hafi verið fyrir tilgang vinnslunnar. Þá reynir á hvort til staðar hafi verið ferli til að prófa og meta reglulega skilvirkni tæknilegra og skipulagslegra ráðstafana, svo sem prófanir á innri virkni smáforritsins og hvaða persónuupplýsingar það aflaði sjálfkrafa eða bæði notendur sína um við innskráningu eða vegna viðbótarþjónustu.

Í skýringum beggja aðila málsins kemur fram að Stafrænt Ísland hafi gert úttekt á fyrirtækinu YAY ehf. með tilliti til öryggisráðstafana fyrirtækisins og komist að þeirri niðurstöðu að vinnsluaðili gæti tryggt viðeigandi öryggi. Þá hafi Syndis ehf. einnig framkvæmt úttekt á öryggisráðstöfunum vinnsluaðila sem hafi leitt í ljós að fullnægjandi öryggisráðstafanir væru til staðar.

Í skýringum ANR kemur fram að það hafi verið mat Stafræns Íslands að YAY ehf. veitti nægar tryggingar fyrir því að viðeigandi tæknilegar og skipulagslegar ráðstafanir yrðu gerðar til að vinnsla uppfyllti kröfur laga nr. 90/2018 og reglugerð (ESB) 2016/679. Hafi persónuverndarstefna YAY ehf. verið skoðuð sérstaklega en í skilmálum YAY ehf., komi fram hvernig fyrirtækið safni, noti, miðli og verndi persónuupplýsingar viðskiptavina sinna. Markmið skilmálanna sé að tryggja að meðhöndlun YAY ehf. á persónuupplýsingum sé í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs sem finna má í reglugerð (ESB) 2016/679,. Verkefnahópurinn hafi því talið tryggt að YAY ehf. gætti ýtrasta öryggis í meðferð persónuupplýsinga. Engin frekari gögn eða staðfesting barst Persónuvernd frá ANR vegna fyrrgreindrar úttektar Stafræns Íslands. Þá má af gögnum málsins ráða að úttekt Syndis ehf. hafi fyrst og fremst lotið að árásarþoli og álagsprófun.

Í 2. mgr. 24. gr. laga nr. 90/2018, sbr. einnig 2. mgr. 25. gr. reglugerðar (ESB) 2016/679, segir að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu unnar sem nauðsynlegar eru vegna tilgangs vinnslunnar hverju sinni. Þessi skylda gildir um það hversu miklum persónuupplýsingum er safnað, að hvaða marki unnið er með þær, hversu lengi þær eru varðveittar og aðgang að þeim. Ekki virðast sem framangreindar ráðstafanir hafi verið gerðar, hvorki af ábyrgðar- eða vinnsluaðila. Þá liggja ekki fyrir gögn sem sýna fram á að úttekt hafi tekið til framangreindra atriða eða að sérstakar prófanir hafi verið gerðar til að meta skilvirkni og stillingar forritsins, m.a. með tilliti til hvaða persónuupplýsinga væri í reynd óskað við innskráningu í smáforritið og þeirra aðgangsheimilda sem aflað væri sjálfkrafa. Verður því ekki sé að ábyrgðar- og vinnsluaðili hafi gert viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi við vinnslu persónuupplýsinga.

Þá var ekki gerður vinnslusamningur milli aðila, líkt og áður hefur verið fjallað um, en hann telst til mikilvægra skipulagslegra ráðstafana vegna vinnslu persónuupplýsinga sem kveður á um grundvallaratriði vinnslunnar og stuðlar að auknu öryggi þeirra persónuupplýsinga sem vinnslan tekur til.

3.4.

Meginreglur um vinnslu persónuupplýsinga

Eins og fyrr er rakið verður vinnsla persónuupplýsinga ávallt að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Í ljósi framangreinds reynir hér sérstaklega á hvort umrædd vinnsla persónuupplýsinga hafi farið fram með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráðu (a-liður reglugerðarákvæðisins); hvort upplýsingar hafi verið fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (b-liður); hvort þær upplýsingar sem aflað var hafi verið nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt var miðað við tilgang vinnslunnar (c-liður); og hvort þær hafi verið unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna hafi verið tryggt (f-liður).

Eins og fram hefur komið veitti ráðuneytið ekki fræðslu með fullnægjandi hætti og gerði því ekki viðeigandi ráðstafanir til að tryggja gagnsæi um þá vinnslu sem fram fór á persónuupplýsingum notenda smáforritsins og getur vinnslan því ekki talist hafa farið fram með sanngjörnum og gagnsæjum hætti gagnvart hinum skráðu, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar.

Einnig liggur fyrir að ekki lá fyrir vinnsluheimild fyrir vinnslu persónuupplýsinga um notendur frá 18.-22. júní 2020 eða uns lög nr. 54/2020 tóku gildi 23. s.m. Auk þess lá á engum tímapunkti fyrir heimild til vinnslu upplýsinga um aldur og kyn notenda. Ekki lá heldur fyrir heimild til öflunar víðtækra aðgangsheimilda að símtækjum notenda smáforritsins sem varð fyrir mistök vinnsluaðila. Verður því ekki séð að upplýsingar hafi verið fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og það tryggt að þær yrðu ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. b-lið 1. mgr. 5. gr. reglugerðarinnar.

Þá er það mat Persónuverndar að öflun YAY ehf. á víðtækum aðgangsheimildum í símtækjum notenda, sbr. nánari útlistun í kafla I.3. og I.6.2., og upplýsingum um aldur og kyn þeirra hafi ekki verið nægilegar og viðeigandi og verið langt umfram það sem nauðsynlegt var miðað við tilgang vinnslunnar, sbr. c-lið 1. mgr. 5. gr. reglugerðarinnar.

Aðilar gerðu ekki með sér vinnslusamning í samræmi við 3. mgr. 25. gr. laga nr. 90/2018 og 3. mgr. 28. gr. reglugerðar (ESB) 2016/679 og verður því ekki séð að YAY ehf. og ANR hafi gert viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja að sjálfgefið væri að einungis þær persónuupplýsingar væru unnar sem nauðsynlegar væru vegna tilgangs vinnslunnar.

Enn fremur gerði YAY ehf. ekki viðeigandi tæknilegar- og skipulagslegar ráðstafanir til að tryggja öryggi persónuupplýsinga þegar fyrirtækið nýtti forritun úr öðru óskyldu smáforriti í smáforritið Ferðagjöfin, án þess að sannprófa skilvirkni þeirra ráðstafana sem gripið hafði verið til og tryggja það að ekki væri óskað víðtækari aðgangs að símtækjum notenda en þörf var á sem og hvaða persónuupplýsingar notenda smáforritsins yrðu gerðar tiltækar, sbr. 6. tölul. 1. mgr. 8. gr. laganna og f-lið 1. mgr. 5. gr. reglugerðarinnar.

Þá verður talið að það að framkvæma fyrsta skref í röð aðgerða við að gera persónuupplýsingar notenda smáforritsins tiltækar, sem hvorki voru viðeigandi eða nauðsynlegar miðað við tilgang vinnslu, hafi ekki samræmst reglunni um lágmörkun vinnslu persónuupplýsinga eða meðalhófsreglu 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Þá ber ANR einnig ábyrgð á að vinnsla persónuupplýsinga uppfylli ávallt skilyrði meginreglna um vinnslu persónuupplýsinga og á að geta sýnt fram á að svo sé, sbr. 2. mgr. 8. gr. laga nr. 90/2018 og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679. Ljóst er að við undirbúning útgáfu ferðagjafarinnar skorti verulega á að haldið væri með skriflegum hætti utan um fyrirmæli ábyrgðaraðila, skilvirkni öryggisráðstafana, prófanir og aðra skjölun sem nauðsynlegt er að viðhafa við útgáfu smáforrits.

Að framangreindu virtu er það því mat Persónuverndar að vinnslan hafi ekki samrýmst meginreglum um vinnslu persónuupplýsinga, sbr. 1., 2., 3. og 6. tölul. 1. mgr. og 2. mgr. 8. gr. laga nr. 90/2018, sbr. einnig a-, b-, c- og f-lið 1. mgr. og 2. mgr. 5. gr. reglugerðar (ESB) 2016/679.

III.

Beiting viðurlaga

1.

Sjónarmið um beitingu viðurlaga vegna brota ANR

Að framangreindu virtu kemur því til skoðunar hvort beita skuli ANR stjórnvaldssektum vegna framangreindrar háttsemi, sbr. 46. gr. laga nr. 90/2018, sbr. einnig 83. gr. reglugerðar (ESB) 2016/679. Við ákvörðun þar að lútandi og um fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag. Eftirfarandi atriði koma til skoðunar í þessu máli.

a. Eðli, umfang og tilgangur vinnslu

Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brot var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir. Í máli þessu fór vinnsla persónuupplýsinga fram í þeim tilgangi að framfylgja ákvörðun stjórnvalda, hún tók til almennra persónuupplýsinga, mikils fjölda einstaklinga en vinnslan stóð yfir í stuttan tíma. Ekkert liggur fyrir í máli þessu sem bendir til þess að einstaklingar hafi orðið fyrir tjóni vegna vinnslunnar.

Samkvæmt upplýsingum frá mælaborði ferðaþjónustunnar[2] sem birtar eru fyrir tilstuðlan Ferðamálastofu kemur fram að fjöldi sóttra ferðagjafa 2020 hafi verið 226.158 sem var því sá fjöldi einstaklinga sem fengu ófullnægjandi fræðslu vegna notkunar Ferðagjafar stjórnvalda.

Persónuvernd telur það ámælisvert að ANR, sem ráðuneyti nýsköpunarmála, skuli hafa hafið vinnslu persónuupplýsinga um fjölda einstaklinga áður en lögin sem vinnslan byggði á tóku gildi, að fræðslan hafi verið ófullnægjandi og að ekki hafi verið gerður vinnslusamningur. Persónuvernd telur að ANR hafi með þessu brotið með margvíslegum hætti gegn grundvallarreglum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679.

b. Hvort brot var framið af ásetningi eða gáleysi

Samkvæmt 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvort brot hafi verið framið af ásetningi eða gáleysi. Ráðuneyti, líkt og aðrir þeir sem vinna persónuupplýsingar, bera ríka ábyrgð á því að starfsemi þeirra samrýmist settum lögum og reglum á hverjum tíma. Persónuvernd telur þó að framlögð gögn málsins beri það ekki með sér að til staðar hafi verið ásetningur ANR til að brjóta gegn ákvæðum persónuverndarlöggjafarinnar heldur hafi sú tímaþröng, sem ráðuneytið nefnir í skýringum sínum, átt stærstan þátt í að vinnslan fór fram með þeim hætti sem hér hefur verið lýst. Persónuvernd gerir engu að síður alvarlegar athugasemdir við þau vinnubrögð sem viðhöfð voru við undirbúning á útgáfu ferðagjafarinnar.

c. Aðgerðir til að draga úr tjóni skráðra einstaklinga

Samkvæmt 3. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þeirra aðgerða sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga. Sem fyrr segir liggur ekki fyrir að einstaklingar hafi orðið fyrir sérstöku tjóni vegna hinnar ólögmætu vinnslu. Þó er rétt að taka fram í þessu sambandi að ANR hafði samband við YAY ehf. fyrir frumútgáfu Ferðagjafarinnar, þann 16. júní 2020, og fór fram á að öflun persónuupplýsinga um aldur og kyn yrði hætt og þeim upplýsingum eytt. Hins vegar sammæltust aðilar um að uppfæra smáforritið ekki fyrr en 18. s.m. sem varð ekki aðgengileg iOS-notendum fyrr en 48 klst. síðar. Einnig að þegar ljóst var að smáforritið aflaði víðtækra aðgangsheimilda í símtækjum notenda var gefin að nýju út uppfærð útgáfa forritsins. Þá liggur fyrir að ANR hefur gripið til viðeigandi skipulagslegra ráðstafana til að koma í veg fyrir að sambærilegt atvik endurtaki sig. Hins vegar verður það metið til íþyngjandi þáttar að þrátt fyrir að ANR hafi borist upplýsingar um að skilmálar ferðagjafarinnar birtust með ófullnægjandi hætti í smáforritinu nokkrum dögum eftir að það var gert aðgengilegt almenningi, með þeim afleiðingum að notendum var ógerningur að kynna sér þá, voru sömu skilmálar enn óaðgengilegir notendum iOS-stýrikerfisins tæpu ári síðar eða 2. mars 2021.

d. Ábyrgð ábyrgðaraðila eða vinnsluaðila með hliðsjón af tæknilegum og skipulagslegum ráðstöfunum

Samkvæmt 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana sem þeir hafa komið til framkvæmda.

Vinnslusamningur telst, skv. 3. mgr. 28. gr. reglugerðar (ESB) 2016/679 og 3. mgr. 25. gr. laga nr. 90/2018, vera hluti þeirra skipulagslegu ráðstafana sem ábyrgðaraðili á að gera til að tryggja öryggi persónuupplýsinga, sbr. 1. mgr. 32. gr. reglugerðarinnar og 1. mgr. 27. gr. laganna. ANR ber því ábyrgð á að öryggi persónuupplýsinganna sem unnið var með vegna ferðagjafar stjórnvalda var ekki tryggt.

Í því tilviki sem hér er til skoðunar er ljóst að ráðuneytið ber ábyrgð á skorti á skipulagslegum ráðstöfunum, þ.m.t. gerð vinnslusamnings og það að tryggja ráðstafanir um sjálfgefna persónuvernd í smáforritinu. Hér hefðu því, í ljósi þeirrar vinnslu sem um ræðir, átt að vera til staðar skipulagslegar ráðstafanir sem komið hefðu í veg fyrir að vinnslan færi fram með þeim hætti sem áður hefur verið lýst. Í því sambandi hefur það vægi að öryggisúttekt Syndis ehf. tók eingöngu á afmörkuðum hluta upplýsingaöryggis, þ.e. árásar- og álagsþoli. Öryggisúttektir þær sem gerðar voru lutu því ekki að innbyggðri og sjálfgefinni persónuvernd sem hefðu átt að tryggja að söfnun og vinnsla persónuupplýsinga væri ekki umfram það sem vinnsluheimildir og meginreglur laganna og reglugerðarinnar segja til um. ANR ber því ábyrgð á að öryggi persónuupplýsinganna sem unnið var með vegna ferðagjafar stjórnvalda var ekki tryggt og því að vinnslusamningur hafi ekki verið gerður með fullnægjandi hætti.

e. Fyrri brot

Samkvæmt 5. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. e-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fyrri brota ábyrgðaraðila eða vinnsluaðila sem máli skipta, ef einhver eru. Ekki liggur fyrir að ANR hafi áður gerst sekt um brot gegn persónuverndarlögum.

f. Umfang samvinnu við Persónuvernd

Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess. Fyrir liggur að ANR svaraði beiðnum Persónuverndar um frekari upplýsingar í kjölfar þess að frumkvæðisathugun stofnunarinnar hófst, en ítrekað var óskað eftir framlengdum tímafrestum sem hafði áhrif á afgreiðsluhraða málsins hjá Persónuvernd.

g. Flokkar persónuupplýsinga

Samkvæmt 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvaða flokka persónuupplýsinga brot hafði áhrif á. Vinnsla persónuupplýsinga í reynd tók eingöngu til almennra persónuupplýsinga.

h. Með hvaða hætti var eftirlitsstjórnvaldi gert kunnugt um brot

Samkvæmt 8. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. h-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess með hvaða hætti eftirlitsstjórnvaldi var gert kunnugt um brot. Fyrir liggur að Persónuvernd bárust ábendingar frá almenningi skömmu eftir fyrstu útgáfu smáforritsins. Þá var fjallað um málið í fjölmiðlum. Hvorki ábyrgðaraðili né vinnsluaðili vöktu athygli Persónuverndar á málinu.

i. Fylgni við fyrirmæli til úrbóta

Samkvæmt 9. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. i-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta á grundvelli 42. gr. laganna. Engin fyrirmæli voru gefin í tengslum við meðferð málsins og því kemur þessi þáttur ekki til frekari skoðunar.

j. Aðrir íþyngjandi eða mildandi þættir

Samkvæmt 11. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. k-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til annarra íþyngjandi eða mildandi þátta en þeirra sem taldir eru upp fyrr í ákvæðinu, svo sem hagnaðar eða taps sem komist var hjá með beinum eða óbeinum hætti vegna brots.

Í því sambandi er til þess að líta að ANR hefur lagt í nokkra vinnu, í samvinnu við vinnsluaðila, í því skyni að uppfæra verklag, gera vinnslusamning milli aðila með skjalfestum hætti og laga annmarka á birtingu fræðsluefnis, í tengslum við vinnslu persónuupplýsinga vegna ferðagjafar stjórnvalda. Ráðuneytið fór í þá vinnu eftir að frumkvæðisathugun Persónuverndar hófst. Einnig telst það til mildandi þátta að um er að ræða aðila sem starfar ekki í fjárhagslegum tilgangi en vinnur í almannaþágu.

Það telst hins vegar til íþyngjandi þáttar að 2. mars 2021, rúmum átta mánuðum eftir útgáfu smáforritsins, voru skilmálar Ferðagjafarinnar enn iOS-notendum óaðgengilegir og að 9. nóvember 2021 hafi notendum enn verið gert að samþykkja ranga skilmála við innskráningu í smáforritið.

2.

Sjónarmið um beitingu viðurlaga vegna brota YAY ehf.

a. Eðli, umfang og tilgangur vinnslu

Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brot var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir. Fyrir liggur að fyrir mistök YAY ehf. við að aðlaga í flýti fyrirliggjandi smáforrit að nýrri útgáfu til miðlunar ferðagjafar til landsmanna, hafi misfarist að stilla forritun um aðgangsheimildir. Með útgáfu Ferðagjafar ásamt fyrrgreindum aðgangsheimildum var tekið fyrsta skrefið í röð aðgerða í þeim tilgangi að gera persónuupplýsingar tiltækar og þar með aðgengilegar. Telst slík aðgerð til vinnslu persónuupplýsinga í skilningi 4. tölul. 3. gr. laga nr. 90/2018 og 2. tölul. 4. gr. reglugerðar (ESB) 2016/679. Um er að ræða umfangsmiklar aðgangsheimildir í símtækjum notenda ferðagjafarinnar sem gerðu almennar og viðkvæmar persónuupplýsingar tiltækar. Það verður metið til mildandi þátta að beiðni um hinar umfangsmiklu aðgangsheimildir varði í stuttan tíma og að þær voru ekki nýttar til söfnunar persónuupplýsinga og fór því frekari vinnsla persónuupplýsinga á grundvelli þeirra ekki fram. Hins vegar skal ekki einungis litið til þeirra skráðu einstaklinga sem urðu fyrir raunverulegum áhrifum heldur einnig þeirra sem hefðu getað orðið fyrir áhrifum vegna öflunar umræddra heimilda.

Samkvæmt upplýsingum frá mælaborði ferðaþjónustunnar sóttu 226.158 einstaklingar ferðagjöfina árið 2020. Með tilliti til fjölda notenda Android-stýrikerfisins, sem ekki hefðu orðið varir við öflun umræddra aðgangsheimilda, má reikna með að um sé að ræða verulegan fjölda fólks eða rúmlega 11.500 einstaklinga. 

b. Hvort brotið var framið af ásetningi eða gáleysi

Samkvæmt 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvort brot hafi verið framið af ásetningi eða gáleysi. Sú vinnsla sem hér er til skoðunar virðist hafa átt sér stað vegna mannlegra mistaka og hefur ekkert komið fram í málinu sem bendir til þess að um ásetningsbrot sé að ræða. Hins vegar gerir Persónuvernd alvarlegar athugasemdir við að fyrirtæki sem sérhæfir sig í útgáfu smáforrita, sem eðli málsins samkvæmt vinna oft með umfangsmiklar persónuupplýsingar, hafi ekki viðhaft vandaðri vinnsluhætti við undirbúning á útgáfu forritsins.

c. Aðgerðir til að draga úr tjóni skráðra einstaklinga

Samkvæmt 3. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þeirra aðgerða sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga. Í því sambandi hefur það vægi að þegar ljóst var að óskað var eftir fyrrgreindum víðtækum aðgangsheimildum í símtækjum notenda var brugðist við með uppfærðri útgáfu smáforritsins þar sem stillingar voru lagfærðar.

d. Ábyrgð ábyrgðaraðila eða vinnsluaðila með hliðsjón af tæknilegum og skipulagslegum ráðstöfunum

Samkvæmt 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana. Eins og fyrr segir telst YAY ehf. ábyrgðaraðili að þeim mistökum sem leiddu til þess að mjög víðtækra aðgangsheimilda var aflað í símtækjum notenda ferðagjafarinnar. YAY ehf. telst ábyrgðaraðili þeirrar vinnslu sem í því fólst og ber sem slíkt ábyrgð á því að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir, svo sem með viðeigandi prófunum, til að tryggja að sjálfgefið sé að einungis þær persónuupplýsingar séu gerðar tiltækar eða unnar sem nauðsynlegar eru vegna vinnslunnar hverju sinni.

Þá telst vinnslusamningur, skv. 3. mgr. 28. gr. reglugerðar (ESB) 2016/679 og 3. mgr. 25. gr. laga nr. 90/2018 vera hluti þeirra skipulagslegu ráðstafana sem vinnsluaðili á að gera til að tryggja öryggi persónuupplýsinga, sbr. 1. mgr. 32. gr. reglugerðarinnar og 1. mgr. 27. gr. laganna. YAY ehf. ber því ábyrgð á að öryggi persónuupplýsinganna sem unnið var með vegna ferðagjafar stjórnvalda var ekki tryggt.

e. Fyrri brot

Samkvæmt 5. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. e-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fyrri brota ábyrgðaraðila eða vinnsluaðila sem máli skipta, ef einhver eru. Ekki liggur fyrir að YAY ehf. hafi áður gerst sekt um brot gegn lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

f. Umfang samvinnu við Persónuvernd

Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess. Í upphafi gekk treglega að afla upplýsinga frá forsvarsmönnum YAY ehf. sem leiddi til endurtekinna og ítrekaðra beiðna frá Persónuvernd. YAY ehf. veitti þó Persónuvernd og fulltrúum Syndis ehf. greiðan aðgang að gögnum og upplýsingum sem óskað var eftir í þeim tilgangi að framkvæma rannsókn á smáforritinu og útgáfusögu þess.

g. Flokkar persónuupplýsinga

Samkvæmt 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvaða flokka persónuupplýsinga brot hafði áhrif á. Um er að ræða heimildir til að gera almennar og viðkvæmar persónuupplýsingar tiltækar.

h. Með hvaða hætti var eftirlitsstjórnvaldi gert kunnugt um brot

Samkvæmt 8. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. h-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess með hvaða hætti eftirlitsstjórnvaldi var gert kunnugt um brot. Fyrir liggur að Persónuvernd bárust ábendingar frá almenningi skömmu eftir fyrstu útgáfu smáforritsins. Þá var fjallað um málið í fjölmiðlum. Hvorki ábyrgðaraðili né vinnsluaðili vöktu athygli Persónuverndar á málinu.

i. Fylgni við fyrirmæli til úrbóta

Samkvæmt 9. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. i-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fylgni við fyrirmæli Persónuverndar um ráðstafanir til úrbóta á grundvelli 42. gr. laganna. Engin fyrirmæli voru gefin í tengslum við meðferð málsins og því kemur þessi þáttur ekki til frekari skoðunar.

j. Aðrir íþyngjandi eða mildandi þættir

Samkvæmt 11. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. k-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til annarra íþyngjandi eða mildandi þátta en þeirra sem taldir eru upp fyrr í ákvæðinu, svo sem hagnaðar eða taps sem komist var hjá með beinum eða óbeinum hætti vegna brots. Í því sambandi er til þess að líta að YAY ehf. hefur lagt í nokkra vinnu, í samvinnu við ábyrgðaraðila, í því skyni að uppfæra verklag, koma á vinnslusamningi milli sín og hans með skjalfestum hætti og laga annmarka á birtingu fræðsluefnis í tengslum við vinnslu persónuupplýsinga vegna ferðagjafar stjórnvalda. YAY ehf. fór í þá vinnu eftir að frumkvæðisathugun Persónuverndar hófst.

Þá telst það mildandi þáttur að YAY ehf. sýndi góðan vilja til samstarfs við Persónuvernd vegna úttektar og skýrslugerðar Syndis ehf. að beiðni Persónuverndar á smáforritinu og hefur greitt fyrir tilfallinn kostnað vegna þeirrar vinnu.

3.

Niðurstaða um stjórnvaldssekt

Ákvörðun um hvort leggja skuli stjórnvaldssekt á ANR og eða YAY ehf. í máli þessu veltur á heildstæðu mati þeirra þátta sem fjallað hefur verið um hér að framan.

ANR uppfyllti ekki skyldur laga nr. 90/2018 og reglugerðar (ESB) 2016/679 sem leiddi til þess að unnið var með persónuupplýsingar um mikinn fjölda einstaklinga án lögmætra vinnsluheimilda. Einnig skorti á að gilt samþykki lægi fyrir vinnslu persónuupplýsinga þegar notendur nýttu sér viðbótarþjónustu smáforritsins til að gefa eigin ferðagjöf öðrum einstaklingi. Þá var fræðsla ófullnægjandi þannig að notendur gátu ekki kynnt sér skilmála ferðagjafarinnar sem voru forsenda fyrir vinnslu persónuupplýsinga um þá.

Þá leiddu mistök YAY ehf. til þess að án vinnsluheimildar eða vitneskju notenda var óskað eftir víðtækum aðgangsheimildum að símtækjum þeirra.

Þá gerðu ANR og YAY ehf. ekki viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi persónuupplýsinga sem unnið var með vegna verkefnisins, svo sem með innbyggðri og sjálfgefinni persónuvernd og með gerð vinnslusamnings.

3.1.

Niðurstaða um viðurlög vegna brota ANR

Eins og rakið er að framan í kafla II.2. um lögmæti vinnslu liggur fyrir að vinnsla ANR braut gegn 1., 2., 3. og 6. tölul. 1. mgr. og 2. mgr. 8. gr., 1. og 3. mgr. 9. gr., 10. gr., 17. gr., 24. gr. og 3. mgr. 25. gr. og 1. mgr. 27. gr. laga nr. 90/2018, sbr. a-, b- , c- og f-lið 1. mgr. og 2. mgr. 5. gr., a- og c-lið 1. mgr. 6. gr., 7. gr., 12. gr., 13. gr., 24. gr., 25. gr., 3. mgr. 28. gr. og 32. gr. reglugerðar (ESB) 2016/679. Kemur fram í 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðarinnar, að brot gegn. 5., 6., 7., 13., 25., 28. og 32. gr. reglugerðarinnar geta varðað stjórnvaldssektum.

Með tilliti til þeirra sjónarmiða sem rakin eru að framan um ákvörðun viðurlaga þykir stjórnvaldssekt vera hæfilega ákveðin 7.500.000 kr.

3.2.

Niðurstaða um viðurlög vegna brota YAY ehf.

Eins og rakið er að framan í kafla II.2. um lögmæti vinnslu liggur fyrir að vinnsla YAY ehf. braut gegn 1., 2., 3. og 6. tölul. 1. mgr. 8. gr., 9. gr., 11. gr. og 3. mgr. 25. gr. og 1. mgr. 27. gr. laga nr. 90/2018, sbr. einnig a-, b-, c- og f-lið 1. mgr. 5. gr., 6. gr., 9. gr., 3. mgr. 28. gr. og 32. gr. reglugerðar (ESB) 2016 679. Kemur fram í 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðarinnar, að brot gegn 5., 6., 28. og 32. gr. reglugerðarinnar geta varðað stjórnvaldssektum.

Líta ber til þeirra sjónarmiða sem rakin eru að framan um ákvörðun viðurlaga og til þess að gerðar eru strangar kröfur til skýrleika refsiheimilda og refsikenndra viðurlaga. Ákvæði 4. tölul. 3. gr. laga nr. 90/2018, sbr. einnig 2. tölul. 4. gr. reglugerðar (ESB) 2016/679, verður ekki talið nægilega skýrt, í þessum skilningi, um að það taki til aðgerða eða fyrstu skrefa í röð aðgerða við að gera persónuupplýsingar tiltækar og mögulega aðgengilegar, þ.e. án þess að raunverulegu aðgengi hafi verið komið á. Það er því mat Persónuverndar að ekki þyki tilefni til að sekta YAY ehf. vegna þeirrar vinnslu er laut að forritun hinna víðtæku aðgangsheimilda sem smáforritið Ferðagjöfin hafði að geyma.

Hins vegar telur Persónuvernd þann skort á öryggi, sbr. 3. mgr. 25. gr. og 1. mgr. 27. gr. laga nr. 90/2018, sbr. 3. mgr. 28. gr. og 32. gr. reglugerðar (ESB) 2016/679 ámælisverðan, sérstaklega í ljósi þess að YAY ehf. sérhæfir sig í gerð smáforrita og hefur það íþyngjandi áhrif á ákvörðun sektarfjárhæðar.

Með tilliti til þeirra sjónarmiða sem rakin eru að framan um ákvörðun viðurlaga þykir stjórnvaldssekt vera hæfilega ákveðin 4.000.000 kr., en til frádráttar sektinni kemur greiðsla kostnaðar vegna úttektar Syndis ehf. og skýrslugerð að fjárhæð 800.000 kr.

Á k v ö r ð u n a r o r ð:

Vinnsla atvinnuvega- og nýsköpunarráðuneytis á persónuupplýsingum um notendur vegna ferðagjafar stjórnvalda braut gegn 1., 2., 3. og 6. tölul. 1. mgr. og 2. mgr. 8. gr., 1. og 3. mgr. 9. gr., 10. gr., 17. gr., 24. gr., 3. mgr. 25. gr. og 1. mgr. 27. gr. laga nr. 90/2018, sbr. a-, b-, c- og f-lið 1. mgr. og 2. mgr. 5. gr., a- og c-lið 1. mgr. 6. gr., 7. gr., 12. gr., 13. gr., 24. gr., 25. gr. og 3. mgr. 28. gr. og 32. gr. reglugerðar (ESB) 2016/679. Er 7.500.000 króna stjórnvaldssekt lögð á atvinnuvega- og nýsköpunarráðuneytið. Sektina skal greiða í ríkissjóð innan tveggja mánaða frá dagsetningu ákvörðunar.

Vinnsla YAY ehf. á persónuupplýsingum um notendur vegna ferðagjafar stjórnvalda braut gegn 1., 2., 3. og 6. tölul. 1. mgr. 8. gr., 9. gr., 11. gr., 3. mgr. 25. gr. og 1. mgr. 27. gr. laga nr. 90/2018, sbr. einnig a-, b-, c- og f-lið 1. mgr. 5. gr., 6. gr., 9. gr., 3. mgr. 28. gr. og 32. gr. reglugerðar (ESB) 2016 679. Er 4.000.000 króna stjórnvaldssekt lögð á YAY ehf. Sektina skal greiða í ríkissjóð innan tveggja mánaða frá dagsetningu ákvörðunar.

Í ljósi þess að bætt hefur verið úr annmörkum undir vinnslu málsins telur Persónuvernd ekki tilefni til að gefa fyrirmæli um úrbætur, að svo stöddu, um annað en að lagt er fyrir atvinnuvega- og nýsköpunarráðuneytið og YAY ehf. að haga smáforritinu þannig að áður en notendur skrái sig í forritinu fái þeir fræðslu í samræmi við 17. gr. laga nr. 90/2018 og 13. gr. reglugerðar (ESB) 2016/679.

Persónuvernd, 23. nóvember 2021

Ólafur Garðarsson
formaður

Björn Geirsson                             Sindri M. Stephensen

Vilhelmína Haraldsdóttir                           Þorvarður Kári Ólafsson

[1] Á grundvelli 29. gr. tilskipunar 95/46/EB starfaði vinnuhópur (29. gr.-vinnuhópurinn), skipaður fulltrúum persónuverndarstofnana í aðildarríkjum, sem þjónaði m.a. því hlutverki að stuðla að samræmdri túlkun á lykilhugtökum. Evrópska persónuverndarráðið (EDPB) leysti síðar vinnuhópinn af hólmi og hefur tekið undir umræddar leiðbeiningar hópsins, sbr, yfirlýsingu ráðsins um stuðning við eldri leiðbeiningar 29. gr.-vinnuhópsins nr. 1/2018.

[2] https://www.maelabordferdathjonustunnar.is/is/hagstaerdir/ferdagjof