Notkun Vinnumálastofnunar á upplýsingum um IP-tölur
Mál nr. 2018/1718
Persónuvernd hefur úrskurðað í máli vegna kvörtunar yfir því að Vinnumálastofnun hefði unnið með upplýsingar um IP-tölu kvartanda utan þess tíma er hann þáði atvinnuleysisbætur, auk þess sem upplýsingarnar hefðu ekki verið réttar. Kvartandi fékk bréf frá Vinnumálastofnun í ágúst 2018 þar sem fram kom að stofnuninni hefðu borist upplýsingar um að hann hefði verið erlendis í júní það ár. Byggðist bréfið á því að IP-tala kvartanda hefði verið skráð í Bretlandi við innskráningu hans á „Mínar síður“ á vef stofnunarinnar. Umrædd innskráning reyndist hafa verið framkvæmd meðan kvartandi þáði enn atvinnuleysisbætur, en kvartandi kvaðst hafa verið staddur á Íslandi á þeim tíma. Undir rannsókn málsins hjá Persónuvernd lagði kvartandi meðal annars fram gögn sem sýndu fram á að notkun VPN-forrits, sem gerði honum kleift að velja hvar í heiminum IP-tala hans væri skráð, hefði leitt til þess að IP-tala hans birtist eins og hann hefði verið staddur í Bretlandi. Í ljósi framangreinds og þess hversu auðvelt er að nálgast og nota VPN-tengingar með þessum hætti er niðurstaða Persónuverndar sú að upplýsingar um IP-tölur uppfylli ekki kröfur laga nr. 4. tölul. 1. mgr. 8. gr. laga nr. 90/2018 um áreiðanleika persónuupplýsinga. Vinnslan samrýmdist því ekki lögum nr. 90/2018 og er lagt fyrir Vinnumálastofnun að láta af notkun upplýsinga um IP-tölur umsækjenda um atvinnuleysisbætur á meðan ekki eru til úrræði til að staðfesta áreiðanleika þeirra.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 28. nóvember 2019 var kveðinn upp
svohljóðandi úrskurður í máli nr. 2018/1718:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 21. nóvember 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir því að Vinnumálastofnun hafi unnið með upplýsingar um IP-tölu hans utan þess tíma er hann þáði atvinnuleysisbætur frá stofnuninni auk þess sem umræddar upplýsingar hafi ekki verið réttar.
Með bréfi, dags. 8. janúar 2019, ítrekuðu 4. febrúar s.á., var Vinnumálastofnun boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 19. febrúar 2019. Með bréfi, dags. 26. febrúar s.á. var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið Vinnumálastofnunar. Bárust athugasemdir kvartanda með tölvupósti þann 12. mars 2019. Persónuvernd óskaði í kjölfarið skýringa á tilteknum atriðum frá Vinnumálastofnun með bréfi, dags. 11. apríl 2019, ítrekuðu 26. júní s.á., og bárust skýringar hennar þann 12. júlí 2019. Persónuvernd óskaði frekari upplýsinga um innskráningar kvartanda á „Mínar síður“ á vef Vinnumálastofnunar með bréfi, dags. 2. september 2019, og barst svar Vinnumálastofnunar þann 19. september s.á. Þann 11. september 2019 barst tölvupóstur frá kvartanda ásamt fylgigögnum og voru tölvupósturinn og fylgigögnin send Vinnumálastofnun með bréfi, dags. 8. október s.á. Með tölvupósti þann 11. október 2019 tilkynnti Vinnumálastofnun um að stofnunin teldi ekki ástæðu til að koma á framfæri frekari skýringum vegna kvörtunarinnar.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Sjónarmið kvartanda
Kvörtun sína um að Vinnumálastofnun hafi unnið með upplýsingar um IP-tölu hans utan þess tíma er hann þáði atvinnuleysisbætur frá stofnuninni byggir kvartandi á að umræddar upplýsingar hafi ekki verið réttar. Kvartandi segist hafa sótt um atvinnuleysisbætur í desember 2017 og þegið þær til 19. júní 2018. Í ágúst 2018 hafi kvartanda borist bréf frá Vinnumálastofnun þar sem fram kom að stofnuninni hefðu borist upplýsingar um að kvartandi hefði verið staddur erlendis í júní 2018 samhliða því að þiggja atvinnuleysisbætur og ekki skilað inn flugmiða eða öðrum gögnum þar að lútandi. Kvartandi hafi haft samband við Vinnumálastofnun símleiðis og upplýst stofnunina um að fullyrðingin ætti ekki við rök að styðjast, en bréf Vinnumálastofnunar var á því byggt að kvartandi hefði skráð sig inn á „Mínar síður“ á vefsvæði stofnunarinnar þann 4. júní 2018 og að IP-tala hans hefði þá verið skráð í Bretlandi. Kvartandi hafi þá verið spurður hvort hann hefði skráð sig inn á einhverjar erlendar vefsíður, svo sem til að horfa á streymisveituna Netflix, og í framhaldinu fengið þær leiðbeiningar frá starfsmanni að segjast hafa verið að horfa á Netflix. Jafnframt hafi viðkomandi starfsmaður tjáð kvartanda að fleiri hefðu lent í sambærilegum aðstæðum. Í kvörtun og öðrum bréfum frá kvartanda segir að hann hafi ekki verið staddur í Bretlandi í júní 2018, eins og bréf Vinnumálastofnunar hafi gefið til kynna.
Þann 11. september 2019 bárust Persónuvernd frekari upplýsingar frá kvartanda með tölvupósti þar sem fram kom að við notkun á forritinu Avast hefði hann kveikt á svokölluðum VPN-hnappi. IP-tala tölvu kvartanda hefði því verið skráð í Glasgow í Bretlandi þegar hann skráði sig inn á vefsvæði Vinnumálastofnunar 30. maí og 4. júní 2018. Með fyrrnefndum tölvupósti fylgdu fimm skjáskot þar sem sést hvernig velja má hvar IP-tala notanda er skráð við notkun forritsins.
3.
Sjónarmið Vinnumálastofnunar
Vinnumálastofnun vísar einkum til c-liðar 1. mgr. 13. gr. laga nr. 54/2006, um atvinnuleysistryggingar, en þar er kveðið á um að launamaður þurfi að vera búsettur og staddur hér á landi til að teljast tryggður samkvæmt lögunum. Þá er vísað til þess að Persónuvernd hafi áður fjallað um heimildir Vinnumálastofnunar til að kanna uppruna innskráningar á svokallaðar „Mínar síður“ atvinnuleitenda á vef Vinnumálastofnunar með öflun upplýsinga um IP-tölur. Persónuvernd hafi talið þá tilhögun eftirlits heimila, að því gefnu að atvinnuleitendur hefðu verið upplýstir um slíka vinnslu. Vinnumálastofnun telji því að réttilega hafi verið staðið að eftirliti með innskráningum kvartanda á „Mínar síður“ atvinnuleitenda.
Persónuvernd óskaði upplýsinga um hvort sérstakar verklagsreglur um notkun rafrænna gagna væru í gildi hjá Vinnumálastofnun, en svo var ekki. Hins vegar kom fram í svari Vinnumálastofnunar, dags. 12. júlí 2019, að vinna við gerð slíkra reglna væri hafin í tengslum við smíði nýs tölvukerfis.
Vinnumálastofnun var gefinn kostur á að tjá sig um áðurnefnd gögn sem kvartandi lagði fram og lutu að notkun VPN-hnapps í tengslum við forritið Avast, en stofnunin taldi ekki ástæðu til að koma að frekari athugasemdum í málinu.
II.
Forsendur og niðurstaða
1.
Lagaskil og afmörkun máls
Mál þetta varðar kvörtun sem barst Persónuvernd þann 21. nóvember 2018. Sú vinnsla sem kvörtunin lýtur að átti sér hins vegar stað í júní 2018, í gildistíð eldri laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga. Þau voru leyst af hólmi með lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sem tóku gildi 15. júlí 2018. Lög nr. 90/2018 lögfestu jafnframt persónuverndarreglugerðina, (ESB) 2016/679, eins og hún var aðlöguð og tekin upp í EES-samninginn.
Þar sem kvörtun þessi beinist að verklagi Vinnumálastofnunar sem enn er við lýði, þ.e. notkun upplýsinga um IP-tölur einstaklinga sem þiggja atvinnuleysisbætur við innskráningar þeirra á „Mínar síður“ atvinnuleitenda, auk þess sem þær reglur laga um persónuvernd sem á reynir hafa ekki breyst efnislega, verður leyst úr málinu á grundvelli laga nr. 90/2018.
2.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að vinnslu upplýsinga um IP-tölu kvartanda. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Vinnumálastofnun vera ábyrgðaraðili að umræddri vinnslu.
3.
Lagaumhverfi
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar sé það nauðsynlegt til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. þeirrar greinar, eða vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með, sbr. 5 tölul. sömu greinar.
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skuli vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingum, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skuli eytt eða þær leiðréttar án tafar (4. tölul.).
Persónuvernd hefur áður fjallað um vinnslu Vinnumálastofnunar á upplýsingum um IP-tölur einstaklinga sem þiggja atvinnuleysisbætur frá stofnuninni og talið að Vinnumálastofnun geti verið heimilt að vinna með upplýsingar um að þeir sem fái greiddar slíkar bætur hafi verið staddir erlendis. Í úrskurði Persónuverndar í máli nr. 2015/612 segir meðal annars að í samskiptum á Netinu sé iðulega óhjákvæmilegt að IP-tölur skráist vegna tæknilegs eðlis Netsins. Það að skoða þann hluta IP-tölu, sem hefur að geyma auðkenni tiltekins lands, geti verið sambærilegt því að skoða póststimpil á umslögum. Niðurstaða Persónuverndar var sú að Vinnumálastofnun hefði verið heimilt að kanna IP-tölu kvartanda í málinu en að fræðslu til hans hefði verið ábótavant.
4.
Niðurstaða
Fyrir liggur að máli kvartanda var lokið án viðurlaga hjá Vinnumálastofnun. Umræddar innskráningar voru framkvæmdar meðan kvartandi þáði enn atvinnuleysisbætur en með vísan til þeirra skýringa sem kvartandi færði fram við Vinnumálastofnun kom ekki til beitingar viðurlaga. Þannig hefur Vinnumálastofnun ekki hafnað þeirri fullyrðingu kvartanda að hann hafi verið staddur hér á landi, þegar innskráningar hans á „Mínar síður“ á vef stofnunarinnar voru framkvæmdar þann 30. maí og 4. júní 2018. Kvartandi hefur lagt fram gögn sem sýna hvernig tiltekið forrit í tölvu hans gerði honum kleift að kveikja á svokallaðri VPN-tengingu og þannig að velja hvar í heiminum IP-tala hans væri skráð.
VPN-tenging (e. Virtual Private Network) tengir tölvu eða snjalltæki notanda við annan netþjón og gerir honum þannig kleift að notast við nettengingu hlutaðeigandi netþjóns. Netnotkun notandans birtist því líkt og hann væri raunverulega staddur þar sem valinn netþjónn er staðsettur. Framboð VPN-tenginga hefur aukist til muna á undanförnum misserum og er orðið bæði auðveldara og ódýrara að nálgast þær heldur en á árum áður. Þá eru einfaldar leiðbeiningar um notkun VPN-tenginga auðfundnar auk þess sem almenn þekking á þeim hefur aukist. Helgast þetta meðal annars af aukinni útbreiðslu streymisveita af ýmsu tagi þar sem landfræðilegar hindranir við aðgengi að efni eru algengar, en hægt er að nota VPN-tengingar til að yfirstíga þær með því að dylja raunverulega staðsetningu notandans.
Í bréfi Vinnumálastofnunar til kvartanda, dags. 16. ágúst 2018, segir meðal annars að sá sem lætur hjá líða að veita nauðsynlegar upplýsingar um atriði er kunna að hafa áhrif á rétt hans til atvinnuleysistrygginga geti misst rétt sinn til atvinnuleysisbóta, þurft að sæta viðurlögum á grundvelli 59. eða 60. gr. laga nr. 54/2006 um atvinnuleysistryggingar og verið gert að endurgreiða ofgreiddar atvinnuleysisbætur með 15% álagi. Þá segir að ákvörðun í málinu verði tekin á grundvelli fyrirliggjandi gagna, berist Vinnumálastofnun ekki skýringar eða farseðlar innan sjö daga frá dagsetningu bréfsins. Af gögnum máls þessa og bréfaskiptum Persónuverndar við kvartanda og Vinnumálastofnun verður ekki ráðið að önnur gögn hafi legið til grundvallar umræddu bréfi en upplýsingar um hvar IP-tala kvartanda var skráð þann 4. júní 2018.
Virkni VPN-tenginga og aðgengileiki þeirra dregur verulega úr áreiðanleika upplýsinga um IP-tölur einstaklinga að því leyti sem slíkar upplýsingar eru nýttar til að staðreyna staðsetningu hlutaðeigandi einstaklings. Líkt og að framan greinir hefur notkun VPN-tenginga aukist verulega að undanförnu og er þekking á þeim orðin mun meiri og útbreiddari en áður. Í ljósi framangreinds er það mat Persónuverndar að þau sjónarmið, sem komu fram í fyrrnefndum úrskurði stofnunarinnar, dags. 16. janúar 2016, í máli nr. 2015/612 og lúta að því að skoðun IP-tölu sé sambærileg skoðun póststimpils, eigi ekki lengur við. Vinnumálastofnun hefur ekki sýnt fram á til séu úrræði til að tryggja að upplýsingar um IP-tölur séu áreiðanlegar til notkunar í framangreindum tilgangi. Upplýsingarnar uppfylla því ekki kröfur 4. tölul. 1. mgr. 8. gr. laga nr. 90/2018 til áreiðanleika persónuupplýsinga.
Líkt og að framan greinir hefur kvartandi haldið því fram að starfsmaður Vinnumálastofnunar hafi ráðlagt honum að svara erindi stofnunarinnar á þann veg að hann hefði nýtt sér streymiþjónustu Netflix og IP-tala hans því skráðst í öðru landi en á Íslandi. Vinnumálastofnun hefur ekki andmælt því að kvartandi hafi fengið ráðleggingar þess efnis. Verður því að ætla að stofnuninni hafi verið kunnugt um að upplýsingar um IP-tölur fælu ekki í sér nægilega áreiðanlegar upplýsingar um staðsetningu notenda. Allt að einu bendir orðalag fyrrnefnds bréfs Vinnumálastofnunar til kvartanda til þess að Vinnumálastofnun kunni að byggja ákvörðun um missi réttar til atvinnuleysisbóta eða annarra stjórnsýsluviðurlaga einvörðungu á upplýsingum um hvar IP-tala einstaklings er skráð, þegar hann skráir sig inn á „Mínar síður“ á vef stofnunarinnar.
Í ljósi alls framangreinds er niðurstaða
Persónuverndar sú að vinnsla Vinnumálastofnunar á upplýsingum um IP-tölu
kvartanda hafi ekki samrýmst ákvæðum laga nr. 90/2018. Í samræmi við þessa
niðurstöðu, og með vísan til 6. tölul. 42. gr. laga nr. 90/2018, er hér með
lagt fyrir Vinnumálastofnun að láta af notkun upplýsinga um IP-tölu umsækjenda
um atvinnuleysisbætur á meðan ekki eru til úrræði til að staðfesta áreiðanleika
þeirra. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast
Persónuvernd eigi síðar en 28. janúar 2020.
Ú r s k u r ð a r o r ð:
Vinnsla Vinnumálastofnunar á persónuupplýsingum um IP-tölu kvartanda við innskráningar á „Mínar síður“ á vef stofnunarinnar samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Með vísan til 6. tölul. 42. gr.
laga nr. 90/2018 er lagt fyrir Vinnumálastofnun að láta af notkun upplýsinga um
IP-tölu umsækjenda um atvinnuleysisbætur á meðan ekki eru til úrræði til að
staðfesta áreiðanleika þeirra. Skal staðfesting á því að farið hafi verið að
þessum fyrirmælum berast Persónuvernd eigi síðar en 28. janúar 2020.
Í Persónuvernd, 28. nóvember 2019
Björg Thorarensen
formaður
Aðalsteinn Jónasson Ólafur Garðarsson
Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson