Birting persónuupplýsinga í opnu bókhaldi Garðabæjar

Mál nr. 2018/803

13.2.2019

Ákvörðun

Á fundi stjórnar Persónuverndar þann 31. janúar 2019 var kveðin upp svohljóðandi ákvörðun í máli nr. 2018/803:

I.

Málsmeðferð

1.

Tildrög máls

Í kjölfar fréttaumfjöllunar þann 28. og 29. apríl 2018 um birtingu viðkvæmra persónuupplýsinga á vefsíðu Garðabæjar um einstaklinga sem notið hefðu þjónustu sveitarfélagsins ákvað Persónuvernd að hefja frumkvæðisathugun á því hvort birting framangreindra upplýsinga hefði verið í samræmi við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. 2. mgr. 37. gr. laganna.

2.

Bréfaskipti

Með bréfi, dags. 30. apríl 2018, var Garðabæ tilkynnt um frumkvæðisathugunina og boðið að koma á framfæri skýringum. Óskaði Persónuvernd eftir lýsingu á málsatvikum, eðli öryggisbrestsins, líklegum afleiðingum hans, þeim ráðstöfunum sem sveitarfélagið hefði gripið til eða fyrirhugaði að grípa til, með hvaða hætti fyrirhugað væri að upplýsa hina skráðu um öryggisbrestinn og upplýsingum um vinnsluaðila sveitarfélagsins.

Jafnframt var óskað eftir afriti af öryggisstefnu, áhættumati og þeim öryggisráðstöfunum sem sveitarfélagið greip til áður en bókhald þess var opnað almenningi á vefsíðu þess. Einnig var óskað eftir afriti af vinnslusamningi, sbr. 13. gr. laga nr. 77/2000, hefði slíkur samningur verið gerður við vinnsluaðila.

Í svarbréfi lögmanns Garðabæjar, dags. 7. maí 2018, koma fram svör við framangreindum spurningum Persónuverndar, sem rakin eru hér að neðan. Meðfylgjandi voru jafnframt minnisblað KPMG ehf., dags. 5. maí 2018, samningur Garðabæjar og KPMG ehf., samningur Garðabæjar og Þekkingar hf., dags. 1. júní 2009, auk viðauka dags. 22. mars 2016, öryggishandbók Garðabæjar og fréttatilkynningar frá 30. apríl og 3. maí 2018.

2.1. Lýsing á málsatvikum

Í fyrrgreindu svarbréfi kemur fram að bókhald Garðabær hafi verið birt á vefsíðu sveitarfélagsins frá því í maí 2017. Tilgangur þess að gera bókhaldið aðgengilegt með þessum hætti hafi verið að veita íbúum, fjölmiðlum og öðrum, sem láta sig rekstur bæjarins varða, aukinn og einfaldari aðgang að rekstrarupplýsingum í anda gagnsæis og opins lýðræðis. Var framsetningin með þeim hætti að upplýsingar úr bókhaldi birtust á svokölluðu mælaborði sem KPMG ehf. hannaði og setti upp með svonefndri Power BI-lausn frá Microsoft, sem vistuð er í skýjaumhverfi Microsoft.

Í aðdraganda þess að bókhaldið hafi verið opnað hafi verið unnið að því í samstarfi við KPMG ehf. að skilgreina og afmarka þær upplýsingar úr bókhaldi bæjarins sem áttu að birtast og ákveða með hvaða hætti þær yrðu birtar. Til að tryggja að þar birtust aðeins ákveðnar upplýsingar hafi mælaborðið verið hannað og útfært á grundvelli tiltekinna forsendna. Í fyrsta lagi hafi mælaborðið ekki verið beintengt við gögn í bókhaldi bæjarins. Í öðru lagi hafi á mælaborðinu aðeins birst upplýsingar úr gögnum sem hafi legið til grundvallar samþykktum ársreikningum bæjarins og sem færð hafi verið handvirkt í Power BI-lausnina. Til að uppfæra upplýsingar sem birtust á mælaborðinu hafi þurft að uppfæra handvirkt gögn í Power BI-lausninni. Í þriðja lagi hafi sá hluti bókhalds bæjarins er varðaði félagsþjónustu verið undanskilinn í hinu opna bókhaldi auk þess sem útgjöld undir 500.000 kr. hafi verið síuð frá þegar birtar hafi verið upplýsingar úr gögnum sem höfðu verið færð handvirkt inn í Power BI-lausnina.

Áður en hið opna bókhald hafi verið birt hafi verið framkvæmdar ítarlegar prófanir á virkni mælaborðsins og framangreindum forsendum af hálfu KPMG ehf. og starfsmanna Garðabæjar.

Þegar hið opna bókhald hafi verið birt á vefsíðu bæjarins í maí 2017 hafi verið birtar upplýsingar á grundvelli gagna er lágu til grundvallar samþykktum ársreikningum vegna áranna 2015 og 2016. KPMG ehf. hafi séð um að færa þau gögn inn og virkja mælaborðið. Þegar samþykktur ársreikningur fyrir árið 2017 hafi legið fyrir hafi upplýsingar á grundvelli hans einnig verið birtar. KPMG ehf. hafi einnig séð um að birta þær upplýsingar.

Þá kemur fram í svari lögmannsins að ekki liggi fyrir hvað hafi orðið þess valdandi að útgjöld undir 500.000 kr. urðu sýnileg, þrátt fyrir framangreinda varúðarreglu. Bráðabirgðaniðurstaða KPMG ehf. hafi verið sú að orsökina mætti rekja til sjálfvirkrar uppfærslu Microsoft á Power BI-lausninni, en ekki lægi fyrir hvenær sú uppfærsla hefði átt sér stað eða hvað hún hefði nákvæmlega falið í sér. Engin staðfesting lægi þó fyrir hvað þetta varðaði og málið væri enn til skoðunar hjá starfsmönnum bæjarins og KPMG ehf. Afleiðingin hefði verið sú að unnt hefði verið að kalla fram yfirlit yfir útgjöld undir 500.000 kr., þ. á m. skýringar við einstakar færslur.

2.2. Lýsing á eðli öryggisbrestsins

Fram kemur í svarbréfi lögmanns Garðabæjar að eðli öryggisbrestsins felist í því að í opnu bókhaldi bæjarins hafi verið unnt að kalla fram yfirlit yfir útgjöld undir 500.000 kr., þ. á m. upplýsingar um skjólstæðinga Garðabæjar og þjónustu sem þeir ættu rétt á. Hvað varðar tegundir þeirra upplýsinga sem birtust var meðal annars um að ræða upplýsingar um greiðslur til skjólstæðinga bæjarins eða einstaklinga þeim tengdra vegna aksturs fatlaðs fólks, þjónustu sálfræðings, og fjárhagsaðstoðar.

Samkvæmt greiningu Garðabæjar hafi verið um að ræða upplýsingar um 14 skjólstæðinga Garðabæjar í 50 tilvikum en í engu tilviki hafi reikningar vegna viðkomandi viðskipta orðið aðgengilegir.

2.3 Lýsing á líklegum afleiðingum öryggisbrestsins

Í svarbréfi lögmannsins kemur fram að ekkert liggi fyrir sem bendi til þess að ætla megi að umræddar upplýsingar hafi verið vistaðar, þeim dreift eða þær nýttar með öðrum hætti. Þá liggi ekkert fyrir um að þeir einstaklingar sem um ræddi hafi orðið fyrir tjóni. Þá er tekið fram að þær upplýsingar sem hér um ræði hafi eingöngu verið hægt að nálgast í tölvum, en ekki spjaldtölvum og símum. Ekki hafi verið mögulegt að vista upplýsingarnar né hlaða þeim niður, þótt unnt hafi verið að taka af þeim skjámynd. Einnig er tekið fram að til þess að nálgast þær upplýsingar sem um hafi verið að ræða hafi þurft ákveðna tæknilega þekkingu eða að minnsta kosti nokkra grandskoðun hins opna bókhalds. Þannig hafi einungis verið unnt að nálgast upplýsingarnar með því að hægrismella á tiltekin gröf. Þessar upplýsingar hafi því ekki verið augljósar eða auðveldlega aðgengilegar almennum notendum.

2.4 Lýsing á ráðstöfunum sem ábyrgðaraðili hefur gripið til eða fyrirhugað vegna öryggisbrestsins.

Fram kemur í svarbréfi lögmannsins að starfsmenn Garðabæjar hafi unnið að því að hafa samband við þá einstaklinga sem hlut áttu að máli. Þá hafi verið borin fram afsökunarbeiðni af hálfu bæjarins og viðkomandi boðið til fundar með starfsmönnum fjölskyldusviðs auk þess sem Garðabær hafi birt tvær fréttatilkynningar á vefsíðu sinni.

2.5 Upplýsingar um vinnsluaðila

Fram kemur í svarbréfi lögmannsins að KPMG ehf. hafi veitt Garðabæ þjónustu og ráðgjöf við framsetningu opins bókhalds bæjarins, þ. á m. við hönnun og uppsetningu mælaborðs og skilgreiningu þeirra upplýsinga sem þar hafi birst. Í þjónustu KPMG ehf. hafi jafnframt falist að starfsmenn fyrirtækisins hafi séð um að færa gögn í Power BI-lausnina og virkja mælaborðið að öðru leyti. Ekki hafi verið gerður vinnslusamningur við fyrirtækið í skilningi 1. mgr. 13. gr. laganna. Hins vegar hafi verið gerður samningur við fyrirtækið um þjónustu þess og ráðgjöf.

Þá segir í bréfi lögmannsins að Þekking hf. veiti Garðabæ almenna ráðgjöf og þjónustu á sviði tölvu- og tæknimála. Aðkoma þess fyrirtækis að opnu bókhaldi bæjarins hafi einungis falist í rekstri tölvukerfa og tengdri þjónustu, þ. á m. hýsingu, á grundvelli samnings þar um. Garðabær sé einnig leyfishafi gagnvart Microsoft vegna Power BI-lausnarinnar. Ekki hafi verið gerður sérstakur vinnslusamningur í því sambandi.

Loks er í bréfi lögmannsins vísað til minnisblaðs KPMG ehf. um áhættumat og öryggisráðstafanir sem gripið var til áður en bókhald Garðabæjar var birt á vefsíðu sveitarfélagsins. Þar kemur meðal annars fram að tilgangur þess að opna bókhald sveitarfélagsins hafi verið að veita íbúum, fjölmiðlum og öðrum, sem láti sig rekstur sveitarfélaga varða, aukinn og einfaldari aðgang að rekstrarupplýsingum í anda opins lýðræðis og gagnsæis hins opinbera. Opið bókhald hafi byggt á staðlaðri útgáfu af Microsoft Power BI, sem birt hafi verið í gegnum vefsíðu sveitarfélagsins með virkni í Power BI Service-umhverfinu, sem kallist „Publish to web.“ Þar sem um staðlaða skýjaþjónustu hafi verið að ræða hafi uppfærslur á umhverfinu verið almenns eðlis, tíðar og alfarið stýrt af Microsoft. Undirliggjandi gögn hafi verið vistuð á sýndarvél í umhverfi sveitarfélagsins sem og grunnskjal opins bókhalds sem stýrt hafi framsetningu á mælaborði og þeim upplýsingum sem settar hafi verið fram. Aðgengi ytri aðila og starfsmanna sveitarfélagsins að undirliggjandi gögnum og grunnskjali hafi verið stjórnað af sveitarfélaginu.

Við uppsetningu Opins bókhalds hafi KPMG ehf. verið veittur fjaraðgangur (VPN) að skilgreindum kerfisnotanda í umhverfi Garðabæjar og unnið hafi verið í umhverfi bæjarins. Við verklag og meðhöndlun gagna hafi verið leitast við að tryggja eftir bestu getu að engin gögn sem nýtt væru til birtingar á Opnu bókhaldi væru færð út fyrir umhverfi sveitarfélagsins. Innlestur á gögnum í Opið bókhald hafi verið handvirkur og engin lifandi gagnatenging hafi verið við undirkerfi. Microsoft Dynamics NAV sé viðskiptakerfi Garðabæjar og innihaldi þau grunngögn sem Opið bókhald byggi á. Við uppsetningu á Opnu bókhaldi hafi viðeigandi gagnamengi verið skilgreint í samvinnu við Garðabæ, þar á meðal töflur og viðeigandi dálkar úr fjárhags- og lánadrottnabókhaldi. Nánari skilgreiningar, til dæmis varðandi merkingu fylgiskjala og/eða flokkun lánadrottna, hafi einnig verið ákveðnar til að tryggja að einungis viðeigandi gögn úr kostnaðar- og lánadrottnabókhaldi yrðu gerð aðgengileg ytri aðilum. Við hönnun og uppsetningu á opnu bókhaldi Garðabæjar og því gagnamódeli sem það hvíldi á hafi verið gert ráð fyrir að engar viðkvæmar persónuupplýsingar yrðu fluttar úr fjárhagskerfi og til birtingar í gagnvirkum skýrslum á Netinu. Enn frekari ráðstafanir hafi verið gerðar hjá Garðabæ í undirliggjandi Power BI-kerfi með þeim hætti að síur hafi verið settar á lánardrottna í þeim tilvikum þar sem samanlögð velta var undir 500 þús. kr. á völdu tímabili og upplýsingar um færslur þeim tengdar hafi ekki verið birtar. Unnið hafi verið náið með starfsfólki sveitarfélagsins við skilgreiningu og afmörkun á þessum gögnum, auk þess sem gögnin hafi verið yfirfarin af starfsfólkinu.

Við uppsetningu á opnu bókhaldi Garðabæjar hafi ekki verið gert ráð fyrir að notendur gætu skoðað einstakar færslur undirliggjandi mælaborðs og ekkert hafi komið fram í prófunum sem framkvæmdar voru í maí til júní 2017 sem benti til þess að hægt væri að skoða undirliggjandi gögn, svo sem í gegnum virknina „See records“.

Við áhættumat og í vinnu KPMG ehf. hafi ekki verið gert ráð fyrir að skjólstæðingar félagsþjónustu eða tengdir aðilar væru í einhverjum tilvikum skráðir sem almennir birgjar í lánadrottnabókhaldi og kostnaður færður á viðkomandi. Í öllum prófunum sem framkvæmdar hafi verið af hálfu starfsmanna Garðabæjar og KPMG ehf. hafi ekkert bent til þess að viðkvæmar persónuupplýsingar um einstaklinga væru til staðar í opnu bókhaldi.

Þegar í ljós hafi komið að hægt væri að nálgast undirliggjandi gögn hafi strax verið brugðist við með því að loka fyrir þann möguleika og í kjölfarið loka alfarið fyrir Opið bókhald meðan tæknileg atriði og verklag voru yfirfarin auk þess að rýna hvort og þá hvaða persónulegu trúnaðargögn hafi getað birst almenningi.

3.

Frekari bréfaskipti

Þann 16. október 2018 óskaði Persónuvernd eftir frekari skýringum vegna málsins. Samkvæmt athugun Persónuverndar virtist valmöguleikinn „See records“ hafa verið aðgengilegur við notkun á mælaborði Power BI-hugbúnaðar Microsoft allt frá árinu 2016. Því til stuðnings vísaði Persónuvernd meðal annars til umræðuvettvangs á vegum Microsoft þar sem notendur ræða um framangreindan valmöguleika og þá staðreynd að hægt sé að sjá þau gögn sem liggi til grundvallar. Mætti rekja þær umræður allt aftur til ársins 2016. Óskaði stofnunin því eftir gögnum sem staðfestu að valmöguleikinn „See records“ hefði ekki verið til staðar þegar hugbúnaðurinn var prófaður af starfsmönnum Garðabæjar.

Í svari lögmanns Garðabæjar frá 29. október 2018 kemur fram að athugun af hálfu Garðabæjar gefi tilefni til að ætla að virknin „See records“ í Power BI-lausnum Microsoft hafi fylgt uppfærslu frá Microsoft í apríl 2016. Jafnframt gefi athugun Garðabæjar tilefni til að ætla að nauðsynlegt hafi verið að aftengja virknina sérstaklega, þ.e. að virknin hafi sjálfkrafa verið tengd/virk. Af þessu leiði að ekki sé unnt að útiloka að virknin „See records“ hafi verið til staðar og tengd/virk allt frá því að bókhald Garðabæjar hafi fyrst verið birt á vefsíðu bæjarins. Hins vegar liggi ekki fyrir nein gögn eða skráningar til staðfestingar á því hvort svo hafi verið.

Þá ítrekar lögmaður bæjarins að við hönnun og framsetningu hins opna bókhalds hafi verið lagðar til grundvallar tilteknar forsendur, meðal annars með tilliti til reglna nr. 299/2001 um öryggi persónuupplýsinga. Meðal þeirra forsendna hafi verið að útgjöld undir 500.000 kr. skyldu undanskilin. Hafi KPMG ehf. séð um að útfæra þá forsendu að sérstakri beiðni Garðabæjar. Óháð því hvort unnt hafi verið að kalla fram upplýsingar að baki einstökum færslum með virkninni „See records“ eða álíka virkni, þá hafi forsendan átt að tryggja að ekki væri unnt að kalla fram upplýsingar sem gætu talist persónuupplýsingar eða jafnvel viðkvæmar persónuupplýsingar. Ekkert liggi fyrir sem gefi annað til kynna en að þessi forsenda hafi virkað sem skyldi frá því að bókhald Garðabæjar hafi fyrst verið birt á vefsíðu bæjarins og fram til þess þegar ábyrgðaraðili varð var við öryggisbrestinn vegna umfjöllunar í fjölmiðlum. Þá liggi ekki fyrir upplýsingar um hvað hafi orðið þess valdandi að forsendan virkaði ekki sem skyldi. Engar skýringar hafi borist um þetta frá KPMG ehf. og starfsmenn Garðabæjar hafi ekki getað staðfest þær niðurstöður KPMG ehf. að öryggisbrestinn megi líklega rekja til sjálfvirkrar uppfærslu á Power BI-lausninni.

Loks er tekið fram að prófanir starfsmanna bæjarins sneru hvorki að því hvort „See records“-virknin í hugbúnaði Microsoft, eða útfærsla hennar í hugbúnaði KPMG ehf., hefði virkað með réttum hætti eða ekki né því hvort eða hvernig einhverjar aðrar ákvarðanir sem KPMG ehf. tók við smíði síns hugbúnaðar hefðu reynst með þeim hætti sem hönnun hugbúnaðarins gerði ráð fyrir enda búi starfsfólk sveitarfélagsins ekki yfir sérfræðiþekkingu á hönnun hugbúnaðar sem nauðsynleg væri til slíkra ályktana. Þess í stað hafi eingöngu farið fram notendaprófanir, þ.e. ítarlegar, tilvikabundnar prófanir á því hvort innsláttur á fyrirspurnum, uppflettingar o.s.frv. gætu í einhverjum tilvikum leitt til þess að persónuupplýsingar myndu afhjúpast.

Með bréfi, dags. 13. desember 2018, óskaði Persónuvernd eftir upplýsingum frá Microsoft Ísland hf. sem staðfestu hvenær umrædd uppfærsla hefði verið framkvæmd á skýjaumhverfi Microsoft sem hefði orðið þess valdandi að valmöguleikinn „See Records“ hefði orðið virkur þegar notast væri við valmöguleikann „Publish to web“. Þá óskaði Persónuvernd eftir upplýsingum um hvort umræddur valmöguleiki birtist sjálfkrafa og notandi hugbúnaðarins þyrfti að aftengja þá virkni sérstaklega.

Svar Microsoft Ísland hf. barst þann 20. janúar 2019. Þar segir að samkvæmt þeim upplýsingum sem Microsoft Ísland hf. búi yfir hafi „See records“-möguleikinn fyrst verið kynntur í apríl 2016 sem hluti af Power BI Desktop. Valmöguleikinn „See records“ hafi verið aðgengilegur frá því í febrúar 2016 sem hluti af Power BI Service. Valmöguleikinn „Publish to web“ hafi verið hluti af þessu.

Þá segir í bréfi Microsoft Ísland hf. að umræddur valmöguleiki sé ekki sjálfvalinn og er í því sambandi vísað til skilaboða sem birtast notanda þegar valmöguleikinn „Publish to Web“ er valinn og gögn eru send út á vefinn. Í framangreindum skilaboðum kemur meðal annars fram að skýrslan eða myndin sem birt sé geti verið skoðuð af öllum á Netinu. Þeir sem skoði gögnin séu ekki auðkenndir sérstaklega. Þá segir að eingöngu skuli nota umræddan valmöguleika þegar um sé að ræða upplýsingar sem heimilt er að birta opinberlega. Þetta eigi líka við undirliggjandi gögn sem liggi til grundvallar skýrslunum og áður en skýrslan sé birt skuli tryggja að viðkomandi hafi heimild til að deila gögnunum og myndum opinberlega. Ekki skuli birta gögn sem háð séu trúnaði. Loks segir í bréfinu að ekkert í þjónustunni geri kröfu um að notandi haki burt valmöguleikann heldur sé hér um að ræða virkni sem notandinn velji sjálfur.

II.

Forsendur og niðurstaða

1. Lagaskil

Mál þetta varðar atvik sem átti sér stað fyrir gildistöku núgildandi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga þann 15. júlí 2018. Umfjöllun og efni þessarar ákvörðunar takmarkast því við ákvæði eldri laga um persónuvernd og meðferð persónuupplýsinga, nr. 77/2000.

2.

Gildissvið laga nr. 77/2000

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga giltu um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Þá eru viðkvæmar persónuupplýsingar skilgreindar í 8. tölul. sömu greinar og geta þær tekið til upplýsinga um heilsufar, þar á meðal um erfðaeiginleika, lyfja-, áfengis- og vímuefnanotkun. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna.

Með hliðsjón af öllu framangreindu er það niðurstaða Persónuverndar að Garðabær sé ábyrgðaraðili að umræddri vinnslu, en KPMG ehf. vinnsluaðili. Breyta ný lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga engu í þessu sambandi.

3.

Lagaumhverfi og sjónarmið

3.1 Heimild til vinnslu og meginreglur laga nr. 77/2000

Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Má þar nefna að vinnslan sé nauðsynleg til að fullnægja lagaskyldu, sbr. 3. tölul. 1. mgr. þeirrar greinar, eða að vinnslan sé nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna. Þá verður vinnsla viðkvæmra persónuupplýsinga, s.s. heilsufarsupplýsinga, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna. Að auki verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu.

3.2 Öryggi við vinnslu persónuupplýsinga

Öll vinnsla persónuupplýsinga þarf jafnframt að samrýmast meginreglum 7. gr. laga nr. 77/2000. Samkvæmt 1. tölul. 1. mgr. 7. gr. skal þess gætt við meðferð persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga. Liður í því að tryggja vandaða vinnsluhætti er að uppfylla kröfur um upplýsingaöryggi. Í upplýsingaöryggi felst meðal annars að persónuupplýsingum sé leynt gagnvart óviðkomandi og að þær séu einungis aðgengilegar þeim sem nauðsynlega þurfa á þeim að halda.

Samkvæmt lögum nr. 77/2000 hvíldi sú skylda á ábyrgðaraðila að tryggja öryggi þeirra persónuupplýsinga sem unnið var með, sbr. 11.-13. gr. laganna og reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga. Í 11. gr. laganna er meðal annars fjallað um öryggisráðstafanir. Skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi, sbr. 1. mgr. Beita skal ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra, sbr. 2. mgr.

Ábyrgðaraðili ber ábyrgð á því að áhættumat og öryggisráðstafanir séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þar með talið þá staðla sem hún ákveður að skuli fylgt, sbr. 3. mgr. Ábyrgðaraðili ber ábyrgð á því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur til að uppfylla ákvæði 11. gr. laga nr. 77/2000, sbr. 4. mgr. ákvæðisins. Þá skal ábyrgðaraðili skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. 5. mgr. sama ákvæðis.

Persónuvernd hefur sett nánari reglur um öryggi persónuupplýsinga, nr. 299/2001. Samkvæmt þeim skal ábyrgðaraðili útbúa öryggiskerfi og byggja það á skriflegri öryggisstefnu og skriflegu áhættumati auk þess sem gera þurfi viðeigandi öryggisráðstafanir. Í 2. tölul. 3. gr. reglnanna eru ábyrgðaraðilum veittar nánari leiðbeiningar um hvernig skuli standa að gerð áhættumats. Þar segir að áhættumat sé mat á hættunni á því að óviðkomandi fái aðgang að persónuupplýsingum, geti breytt upplýsingunum eða skert öryggi þeirra að öðru leyti. Áhættumat taki einnig til athugunar á umfangi og afleiðingum hættunnar með tilliti til eðlis þeirra persónuupplýsinga sem unnið sé með. Markmið áhættumats sé að skapa forsendur fyrir vali á öryggisráðstöfunum, sbr. III. kafla reglnanna. Þá skuli tilgreina hvað geti farið úrskeiðis, hvaða áhrif það geti haft á öryggi upplýsinganna og hvaða líkur séu á því.

Samkvæmt 12. gr. laga nr. 77/2000, sbr. nánari fyrirmæli í 8. gr. reglna nr. 299/2001, skal ábyrgðaraðili viðhafa innra eftirlit með vinnslu persónuupplýsinga til að ganga úr skugga um að unnið sé í samræmi við gildandi reglur og þær öryggisráðstafanir sem ákveðnar hafa verið.

Samkvæmt 13. gr. laganna, sbr. einnig 9. gr. reglnanna, er ábyrgðaraðila heimilt að semja við annan aðila um að annast, í heild eða að hluta til, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á, en í lögunum er slíkur aðili nefndur vinnsluaðili, þ.e. aðili sem vinnur með persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laganna. Eins og fram kemur í 13. gr. laganna og 9. gr. reglnanna er umrædd samningsgerð þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að vinnsluaðilinn geti viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit með henni. Þá skal hann gera skriflegan samning við vinnsluaðila þar sem fram komi m.a. að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli hans og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast, sbr. 2. mgr.

Í bréfaskiptum hefur verið vísað til þess að Garðabær hafi sett sér öryggisstefnu sem nú sé til endurskoðunar en hjálagt fylgdi einnig öryggishandbók bæjarins en hún er frá árinu 2004. Þá hefur einnig verið vísað til áhættumats og öryggisráðstafana sem KPMG ehf. hafi gripið til auk þess sem Garðabær hafi gert þá kröfu til KPMG ehf. að tilteknar ráðstafanir yrðu gerðar til að koma í veg fyrir að persónuupplýsingar birtust á vefnum. Þær ráðstafanir hafi síðan ekki virkað sem skyldi og KPMG ehf. hafi ekki getað útskýrt með fullnægjandi hætti hvers vegna svo hafi verið. Loks hefur komið fram að Garðabær hafi ekki gert vinnslusamning við KPMG ehf. né framkvæmt áhættumat eða ákveðið öryggisráðstafanir nema að mjög takmörkuðu leyti hvað þessa tilteknu vinnslu varðar.

4.

Niðurstaða

Samkvæmt þeim upplýsingum sem liggja fyrir í máli þessu var það ekki ætlun Garðabæjar að birta persónuupplýsingar á vefsíðu sinni í tengslum við opið bókhald. Stóð engin heimild til birtingarinnar samkvæmt 1. mgr. 8. gr. og 1. mgr. 9. gr. laga nr. 77/2000. Var hún því andstæð ákvæðum laganna.

Fyrir liggur að KPMG ehf. telst vera vinnsluaðili þeirra persónuupplýsinga, sem um ræðir í málinu, í skilningi laga nr. 77/2000, en Garðabær ábyrgðaraðili. Í bréfum lögmanns Garðabæjar er vísað til áhættumats frá KPMG ehf. en Persónuvernd bendir á að það er ábyrgð ábyrgðaraðila að framkvæma slíkt mat, eftir atvikum með aðstoð vinnsluaðila.

Garðabæ bar því að gera áhættumat og ákveða öryggisráðstafanir sem og að sinna reglulegu innra eftirliti. Það var ekki gert og var því vinnslan ekki í samræmi við ákvæði 11. og 12. gr. laga nr. 77/2000 auk þess sem ekki var fylgt ákvæðum 13. gr. um gerð vinnslusamnings.

Er lagt fyrir Garðabæ að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taki mið af eðli, umfangi, samhengi, tilgangi og áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. 23. gr. laga nr. 90/2018, og gera vinnslusamning við KPMG ehf., sem uppfyllir ákvæði 25. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Loks telur Persónuvernd það verulega ámælisvert að fyrirtæki sem veitir sérfræðiþjónustu á þessu sviði, þ.e. KPMG ehf., skuli viðhafa þau vinnubrögð sem fram hafa komið bréfaskiptum, þar með talið að ganga ekki úr skugga um að ekki væri mögulegt að nálgast upplýsingar um einstaklinga í gegnum notkun á Power BI. Samkvæmt lögum nr. 77/2000, sem giltu um meðferð persónuupplýsinga þegar atvik máls urðu, báru vinnsluaðilar takmarkaða ábyrgð og beinist niðurstaða máls þessa því eingöngu að ábyrgðaraðila vinnslunnar. Rétt er að taka fram að með lögum nr. 90/2018 er lögð aukin og sjálfstæð skylda á vinnsluaðila sem meðal annars lýtur að því að hann tryggi öryggi upplýsinga, sbr. 27. gr. laganna.

Í málinu liggur fyrir að ábyrgðaraðili brást strax við þegar atvikið kom upp til að takmarka tjón og gera viðeigandi ráðstafanir til að koma í veg fyrir að upplýsingarnar yrðu gerðar aðgengilegar fleiri óviðkomandi aðilum en þegar var orðið. Lét ábyrgðaraðili loka fyrir aðgang að hinu opna bókhaldi um leið og fregnir bárust af því að umræddar upplýsingar væru aðgengilegar. Þá veitti ábyrgðaraðili Persónuvernd nauðsynlegar upplýsingar um atvikið með greinargóðum hætti. Að mati Persónuverndar greip ábyrgðaraðili því til fullnægjandi ráðstafana til að lágmarka það tjón sem gat hlotist af framangreindum öryggisbresti.

Líkt og áður hefur komið fram urðu atvik máls í gildistíð eldri laga nr. 77/2000 en samkvæmt þeim lögum hafði Persónuvernd ekki heimild til að leggja á stjórnvaldssektir vegna brota á lögunum. Kemur því ekki til skoðunar hér hvort tilefni sé til að leggja á stjórnvaldssektir vegna atviksins, sem heimilt er samkvæmt núgildandi lögum, en um fyrirmæli sem lúta að því að grípa til ráðstafana fer eftir þeim. Hvað varðar upplýsingagjöf til hinna skráðu skal á það bent að samkvæmt lögum nr. 77/2000 var ekki skylt að tilkynna hinum skráðu um öryggisbrest þó svo að það hafi verið heimilt. Þessari skyldu hefur hins vegar verið komið á með ákvæði 3. mgr. 27. gr. laga nr. 90/2018.

Á k v ö r ð u n a r o r ð:

Birting viðkvæmra persónuupplýsinga á vefsíðu Garðabæjar samrýmdist ekki lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Þá var öryggi við vinnslu persónuupplýsinga ekki í samræmi við ákvæði 11. og 12. gr. laganna auk þess sem ekki var gerður vinnslusamningur við KPMG ehf., í samræmi við 13. gr. laganna.

Er lagt fyrir Garðabæ að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taki mið af eðli, umfangi, samhengi, tilgangi og áhættu fyrir réttindi og frelsi skráðra einstaklinga, sbr. 23. gr. laga um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 og gera vinnslusamning við KPMG ehf., sem uppfyllir ákvæði 25. gr. laganna.

Skal Garðabær senda Persónuvernd staðfestingu á því að farið hafi verið að fyrirmælum stofnunarinnar fyrir 1. apríl næstkomandi.