Birting upplýsinga um viðskiptavini Hraðpeninga á Netinu

1.2.2011

 

Ú r s k u r ð u r

　

Á fundi sínum hinn 18. janúar sl. komst stjórn Persónuverndar að eftirfarandi niðurstöðu í máli nr. 2010/907:

I.

Grundvöllur máls

Málavextir og bréfaskipti

1.

Tildrög máls

Tildrög máls þessa eru þau að þann 18. október 2010 birtist frétt á vefsíðunni www.pressan.is þar sem fram kom að ítarlegar upplýsingar um viðskiptavini Hraðpeninga ehf. væri að finna á tiltekinni vefsíðu (www.leppaludar.com). Á síðunni var hægt að hlaða niður skjali með nöfnum viðskiptavina Hraðpeninga ehf. á tímabilinu febrúar til maí 2010 en þar komu m.a. fram upplýsingar um kennitölu, bankanúmer, símanúmer, tölvupóstföng og [tékkaábyrgðarnúmer] yfir 3000 einstaklinga. Þá kom fram hverjir væru með útistandandi lán hjá fyrirtækinu, hvenær lánið hefði verið tekið og ip-tala viðkomandi. Enn fremur bárust stofnuninni kvartanir vegna málsins frá einstaklingum sem voru á umræddum lista.

2.

Bréfaskipti

Þann 18. október 2010 óskaði framkvæmdastjóri Hraðpeninga ehf. eftir fundi með Persónuvernd vegna málsins. Hann var haldinn þann 21. október 2010 á starfsstöð Hraðpeninga ehf. að Hamraborg 1, 200 Kópavogi.

Í minnisblaði starfsmanns Persónuverndar um fundinn segir m.a.:

„Fundurinn hófst á því að [S], framkvæmdastjóri Hraðpeninga ehf. lýsti því fyrir starfsmönnum Persónuverndar hvað nákvæmlega hafði gerst þegar persónuupplýsingar um viðskiptamenn Hraðpeninga birtust á netinu í excel skjali. Fyrr á árinu hafði verið gerður verktakasamningur við [Þ], kerfisfræðing um að útbúa forritunarkóða fyrir sms-kerfi í tengslum við smálánaþjónustu fyrirtækisins. Við þá vinnu fékk hann lista yfir viðskiptavini fyrirtækisins. Fyrirtækið hafði gert verksamning og trúnaðarsamning við umræddan kerfisfræðing og lagt fyrir hann að eyða umræddum upplýsingum þegar hann hefði lokið vinnu sinni. Í stað þess að eyða listanum setti kerfisfræðingurinn listann á læst heimasvæði á internetinu. Hann gleymdi síðan listanum og helgina 16.-17. október var hann að vinna við heimasíðu og opnaði svæðið. Þá virtust upplýsingarnar hafa orðið aðgengilegar almenningi á internetinu á síðunni www.leppaludar.com. Stuttu eftir að hann opnar svæðið virðist kona fara af tilviljun inn á umrætt svæði og ná í umræddar upplýsingar. [S] ítrekaði að [Þ] hafi átt að eyða upplýsingunum sem hann fékk í hendur en ekki vista þær á umræddu svæði.

Persónuvernd óskaði afrits af framangreindum verksamningi og trúnaðarsamningi og sagði [S], framkvæmdastjóri félagsins, myndu senda þá í tölvupósti seinna um daginn.

Pressan.is birti frétt um málið þann 18. október sl. og fóru þá Hraðpeningar þess á leit við kerfisfræðinginn að síðan yrði tekin niður og var það gert. Hins vegar virðist listinn, sem inniheldur um 3000 nöfn einstaklinga, kennitölur, tékkaábyrgðarnúmer/kreditkortanúmer og stöðu lána, hafa farið í einhverja umferð á netinu. Hraðpeningar sendu öllum viðskiptavinum sínum (að undanskildum allra nýjustu viðskiptavinum sínum) tölvupóst um öryggisbrestinn sem orðið hafði.

[...]“

Í ljósi framangreinds var, með bréfi, dags. 27. október 2010, annars vegar Hraðpeningum ehf. og hins vegar Þ gefinn kostur á að koma að sjónarmiðum sínum um þá afstöðu Persónuverndar að Hraðpeningar ehf. teldust ábyrgðaraðili framangreindra upplýsinga og Þ teldist vinnsluaðili.

Í svarbréfi Hraðpeninga, dags. 11. nóvember 2010, segir m.a.:

„Þegar þessi einstaklega óhepplegu mistök áttu sér stað var um einfalda aðgerð var að ræða sem [Þ] var fenginn til að sinna. Skýr heimild er til að semja við slíkan aðila í 1. mgr. 13. gr. laga nr. 77/2000. Hann afritaði skjal sem hann fékk skýr fyrirmæli um að eyða að verkinu loknu auk þess sem gerður var við hann ítarlegur samningur er fól í sér trúnaðarskyldur. [Þ] átti auðvelda og augljósa möguleika á að koma í veg fyrir að upplýsingar bærust frá honum með því einu að fara eftir einföldum fyrirmælum Hraðpeninga ehf. sem hann gerði ekki. Ekki verður ætlast til þess við úrvinnslu svo einfalds verkefnis að lengra verði gengið af hálfu Hraðpeninga ehf. til að tryggja öryggi upplýsinganna. Hraðpeningar ehf. sýndu af sér alla þá varkárni sem ætlast er til í 13. , sbr. 12. gr. laga nr. 77/2000 og hagað allri úrvinnslu eins og ætlast má til. Hins vegar sýndi vinnsluaðilinn af sér gáleysi er leiddi til þess að upplýsingar urðu um nokkurra klukkustunda skeið aðgengilegar á heimasíðunni www.leppaludar.com Hraðpeningar ehf. harma að þetta hafi gerst en telja sig ekki geta borið ábyrgð á birtingu nafnalistans á heimasíðunni. Ábyrgð á því skrifast að öllu leyti á vinnsluaðilann [Þ].

[...]

Tekið skal fram að hér var um algjört einsdæmi að ræða og ekki er tæknilegur möguleiki á að slíkt geti gerst þar sem þegar umrædd atvik á sér stað í Apríl þá var verið að færa upplýsingar í annað kerfi þar sem ekki er hægt að sækja upplýsingar á sama formi og þarna um ræðir.“

Þá segir í svarbréfi Þ, dags. 7. desember 2010:

„Vegna vinnu minnar við kerfi Hraðpeninga þá fékk ég umrædda lista í mínar hendur með fyrirmælum um að eyða þeim þegar vinnu væri lokið. Gleymdi ég hins vegar að eyða listunum og vegna óheppilegra mistaka af minni hálfu lentu þau á leppaludar.com léninu mínu sem var opið út á netið. Fjarðlægði ég þau og eyddi um leið og þetta komst upp. Hræðileg mistök af minni hálfu og ég tek fulla ábyrgð á því að þetta hafi gerst. Tek fram að ekki var um viljaverk að ræða.“

II.

Forsendur og niðurstaða

1.

Efnislegt gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og þar með valdsvið Persónuverndar, nær til vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. og 1. og 2. mgr. 37. gr. laganna.

Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Af athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

Af framangreindu er ljóst að í birtingu umræddra persónuupplýsinga um viðskiptamenn Hraðpeninga ehf. á vefsíðunni www.leppaludar.com fólst vinnsla persónuupplýsinga í framangreindum skilningi. Samkvæmt því fellur mál þetta undir efnislegt gildissvið laga nr. 77/2000.

2.

Samkvæmt 4. tölul. 2. gr. laga nr. 77/2000 telst ábyrgðaraðili að vinnslu persónuupplýsinga vera sá aðili sem ákveður tilgang vinnslunnar, þann útbúnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Í athugasemdum við frumvarp það er varð að lögum nr. 77/2000 segir að átt sé við þann aðila sem hefur ákvörðunarvald um vinnslu persónuupplýsinga og að jafnvel þótt slíkur aðili feli öðrum meðferð upplýsinganna beri hann ábyrgðina, svo fremi hann hafi áfram ákvörðunarvaldið. Vinnsluaðili er hins vegar sá sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. 2. gr. laga nr. 77/2000. Í athugasemdum við framangreint frumvarp segir að vinnsluaðili geti t.d. verið aðili sem sér um að þróa upplýsingakerfi eða gera við og viðhalda tölvuhugbúnaði.

Óumdeilt er að Hraðpeningar ehf. fóru með ákvörðunar- og ráðstöfunarvald þeirra persónuupplýsinga sem hér um ræðir og teljast því hafa verið ábyrgðaraðili. Þ, kerfisfræðingur, telst aftur á móti vinnsluaðili í skilningi 5. tölul. 2. gr. laga nr. 77/2000.

Úrskurðarefni þessa máls snýr því eingöngu að því hvort vinnsluaðili hafi gengið gegn skýrum fyrirmælum ábyrgðaraðila þegar hann vistaði framangreindar persónuupplýsingar á læstu heimasvæði sínu, með fyrrgreindum afleiðingum.

3.

Um samband ábyrgðaraðila og vinnsluaðila er fjallað í 13. gr. laga nr. 77/2000, en þar kemur fram að ábyrgðaraðila sé heimilt að semja við tiltekinn aðila um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laga nr. 77/2000. Slíkt er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmd viðeigandi öryggisráðstafanir og viðhaft innra eftirlit. Slíkur samningur skal vera skriflegur og þar skal m.a. koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga nr. 77/2000 um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annast. Öll vinnsla þessa aðila sem ekki er í samræmi við fyrirmæli ábyrgðarmanns er ólögmæt.

Ákvæði laga nr. 77/2000, um skyldur ábyrgðaraðila, gilda þótt vinnsla hafi verið falin vinnsluaðila og taka til vinnslu sem vinnsluaðili annast. Af því leiðir m.a. að leiði brot gegn lögum nr. 77/2000 og eftir atvikum reglum eða fyrirmælum Persónuverndar til fjárhagslegs tjóns getur ábyrgðaraðili orðið bótaskyldur nema sannað verði að tjónið verði hvorki rakið til mistaka eða vanrækslu hans né vinnsluaðila. Vinnsluaðili getur einnig orðið bótaskyldur samkvæmt almennum reglum skaðabótaréttarins vegna tjóns sem hann veldur af ásetningi eða gáleysi. Þá geta bæði ábyrgðaraðili og vinnsluaðili orðið ábyrgir fyrir greiðslu miskabóta sé skilyrðum laga fullnægt. Ekki er hins vegar á valdi Persónuverndar að skera úr um það hvort bóta- eða refsiábyrgð hafi stofnast á hendur ábyrgðaraðila eða vinnsluaðila heldur er slíkt hlutverk dómstóla.

4.

Í málinu liggur fyrir að Hraðpeningar ehf. hafi annars vegar gert verktakasamning og hins vegar trúnaðarsamning við Þ um tiltekna vinnslu persónuupplýsinga í þeim tilgangi að útbúa forritunarkóða fyrir nýtt sms-kerfi fyrirtækisins. Samkvæmt forsvarsmönnum Hraðpeninga ehf. var lagt fyrir Þ að eyða umræddum gögnum eftir að vinnu hans samkvæmt samningi við fyrirtækið lauk. Það hafi hann ekki gert heldur vistað upplýsingarnar á læstu einkasvæði sínu á internetinu, með fyrrgreindum afleiðingum.

Vinnsluaðili hefur viðurkennt, að fyrir mistök og gáleysi sitt hafi hann vistað framangreindar upplýsingar á heimasvæði sínu þannig að þær urðu aðgengilegar almenningi á internetinu. Einnig hefur komið fram að hann hafi gleymt að eyða listanum þegar vinnu hans lauk. Af framangreindu er ljóst að vinnsluaðili gekk gegn skýrum fyrirmælum ábyrgðaraðila þegar hann vistaði framangreindar upplýsingar á heimasvæði sínu en eyddi þeim ekki. Því var framangreind vinnsla, þ.e. birting lista yfir viðskiptamenn Hraðpeninga ehf. á heimasíðunni leppaludar.com, ólögmæt.

　

Ú r s k u r ð a r o r ð :

Þ braut gegn skýrum fyrirmælum ábyrgðaraðila þegar hann birti upplýsingar um viðskiptamenn Hraðpeninga ehf. á heimasvæði sínu og var sú vinnsla því ólögmæt.