Ákvörðun um að kæra varðveislu Miðlunar til lögreglu
Persónuvernd hefur kært til lögreglu varðveislu Miðlunar á persónugreinanlegum upplýsingum um svör þátttakenda í könnun á einelti meðal ríkisstarfsmanna sem félagið vann fyrir hönd fjármálaráðuneytisins. Ákvörðunin byggir m.a. á viðkvæmu eðli upplýsinganna og því hve lengi þær voru varðveittar án heimildar.
Ákvörðun
Hinn 3. mars 2011 tók stjórn Persónuverndar svohljóðandi ákvörðun í máli nr. 2011/62:
I.
Bréfaskipti
1.
Í nóvember 2010 barst Persónuvernd ábending frá lögreglu um að persónuupplýsingar hefðu í september s.á. verið teknar ófrjálsri hendi frá Miðlun ehf. af fyrrum starfsmanni fyrirtækisins. Var um að ræða svör sem fólk hafði gefið þegar það tók þátt í ýmsum könnunum, oft í þeirri trú að svör yrðu ekki rakin til þess. Kom fram að þá hafði lögregla aðeins til meðferðar þann þátt málsins er varðar verknaði starfsmannsins.
Meðal þeirra upplýsinga sem teknar voru ófrjálsri hendi voru svör þátttakenda í eineltiskönnun á vegum fjármálaráðuneytisins. Í ljósi viðkvæms eðlis þeirra upplýsinga sem tengdust þeirri könnun ákvað Persónuvernd að athuga sérstaklega hvernig staðið hefði verið að þeirri vinnslu. Afmarkast ákvörðun þessi við hana og þátt Miðlunar ehf. í henni.
2.
Hinn 19. nóvember 2010 fór Persónuvernd í vettvangsheimsókn til Miðlunar ehf. Í heimsókninni var sérstaklega skoðuð áðurnefnd söfnun á persónuupplýsingum fyrir fjármálaráðuneytið vegna eineltiskönnunar þess, en fyrir lá að við gerð hennar hafði þátttakendum verið lofað því að ekki yrði ekki hægt að rekja svör til þeirra.
Frá fjármálaráðuneytinu bárust gögn um framangreinda könnun, m.a. um með hvaða hætti kynning til þátttakenda skyldi orðuð og hvaða spurningar skyldi leggja fyrir þá. Þá sendi ráðuneytið Persónuvernd með faxi afrit af vinnslusamningi þess við Miðlun ehf., dags. 1. apríl 2008. Samkvæmt 5. gr. samningsins átti að eyða öllum persónugreinanlegum gögnum innan tveggja vikna frá því að lokið yrði við að safna svörum. Samkvæmt kynningarbréfi til þátttakenda, undirrituðu af bæði fulltrúa Miðlunar ehf. og ráðuneytisins, átti ekki með nokkrum hætti að vera unnt að rekja svör til þeirra. Í þeirri fræðslu sagði m.a.:
„Við framkvæmd könnunarinnar er í hvívetna farið að ákvæðum laga um persónuvernd og meðferð persónuupplýsinga (nr. 77, 23. maí 2000) og tryggt er að ekki verður á nokkurn hátt unnt að rekja niðurstöður til einstakra þátttakenda. Þér er hvorki skylt að svara einstökum spurningum né spurningalistanum í heild. Könnunin hefur hlotið leyfi Persónuverndar og verður farið með öll gögn samkvæmt fyrirmælum hennar. Nafn þitt mun hvergi koma fram í úrvinnslu og niðurstöðum könnunarinnar og tryggt er að ekki verði hægt að rekja neinar upplýsingar til einstakra svarenda.“
Þegar heimsóknin fór fram hafði Miðlun ehf. nýlega eytt gögnum úr umræddri rannsókn. Hins vegar kom fram að þau höfðu fram að því verið vistuð í tölvukerfi fyrirtækisins. Þar hafði verið skrá yfir spurningar í rannsókninni og svör við spurningunum auðkennd með nöfnum þátttakenda. Svörin munu almennt hafa birst sem númer spurninga sem hakað var við. Í vissum tilvikum var gert ráð fyrir að þátttakendur rituðu texta í frjálsa textareiti og mátti þá lesa þann texta. Hinn 17. nóvember 2010 hélt starfsmaður Persónuverndar á fund lögreglu og sá þau gögn sem lögregla hefur undir höndum, en það eru afrit þeirra gagna sem tekin voru ófrjálsri hendi frá Miðlun ehf. Er framangreind lýsing Miðlunar ehf. í samræmi við það sem í ljós kom á fundinum með lögreglu, þ.e. að svör svarenda voru merkt svarendum en ekki nafnlaus eins og þeim hafði verið lofað.
3.
Samkvæmt fyrirliggjandi vinnslusamningi milli ráðuneytisins og Miðlunar ehf. átti að geyma svör rekjanleg í a.m.k. tvær vikur frá því að þau voru gefin. Hins vegar kom í ljós að Miðlun geymdi þau mun lengur eða allt þar til þeim var eytt eftir að rannsókn lögreglu hófst. Að uppkveðnum framangreindum úrskurði, um þátt ráðuneytisins, ákvað Persónuvernd að óska skýringa Miðlunar ehf. Var það gert með bréfi, dags. 19. janúar 2011. Var félaginu m.a. boðið að koma á framfæri sjónarmiðum varðandi kæru máls til lögreglu.
Miðlun ehf. svaraði með bréfi, dags. 31. janúar 2011. Þar er í fyrsta lagi vikið að skýringum sem fjármálaráðuneytið hafði veitt í aðdraganda úrskurðar, dags. 18. janúar 2011. Hafði ráðuneytið sagt að misræmi milli texta í fræðslu til þátttakenda í umræddri könnun og samnings ráðuneytisins og Miðlunar ehf. væri að rekja til mistaka fyrirtækisins. Í bréfi Miðlunar ehf. kemur fram að fyrirtækið kannast ekki við að hafa gert slík mistök varðandi fræðsluna. Hins vegar beri það ábyrgð á því að gögn voru varðveitt of lengi. Varðveislan hafi stafað af mannlegum mistökum. Þá segir:
„Miðlun ehf var fórnarlamb þjófnaðar/tölvuglæps í því tilviki sem hér er til umfjöllunar. Fyrirtækið hefur haft ágætar varnir gegn slíku (vandað ráðningaferli, undirrituð trúnaðaryfirlýsing, úthýsing tölvukerfa/gagnasafna, takmarkað aðgengi að gögnum o.s.frv.) en því miður reyndust þær ekki fullnægjandi. Fyrirtækið hefur gripið til ráðstafana til að styrkja þessar varnir enn frekar. Ennfremur höfum við tekið upp skýrari verkferla er varða eyðingu gagna.
Við teljum því fyrirtækið nokkuð vel búið til að takast á við sambærileg vandamál í framtíðinni þó svo aldrei verði komið að fullu í veg fyrir tölvuglæpi af þessu tagi.“
Miðlun ehf. hafði einnig áður gefið skýringar á umræddri varðveislu með bréfi dags. 6. desember 2010. Í því sagði m.a.:
„Í samningi milli Fjármálaráðuneytisins og Miðlunar dagsettum 1. apríl 2008 kemur fram að Miðlun muni „eyða öllum persónugreinanlegum gögnum innan 2ja vikna frá því að lokið er að safna svörum“. Undirrituðum er ekki kunnugt um hvort einhverjum gögnum hafi verið eytt fyrir umrædd tímamörk. Hins vegar er ljóst að gögn sem að hluta eru persónugreinanleg (svör við opnum spurningum) voru ennþá vistuð í tölvum Miðlunar þegar brotist var inn í gagnagrunn fyrirtækisins í september síðastliðnum. Sú vistun virðist vera brot á umræddum samningi. Um er að ræða mannleg mistök af hálfu starfsmanns fyrirtækisins.“
II.
Niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Fjármálaráðuneytið ákvað að gera umrædda könnun og var ábyrgðaraðili hennar að því marki sem vald þess náði til, sbr. 4. tölul. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Miðlun ehf. var hins vegar vinnsluaðili fyrir ráðuneytið, en með vinnsluaðila er átt við þann sem vinnur persónuupplýsingar á vegum ábyrgðaraðila, sbr. 5. tölul. sömu greinar.
Samkvæmt 3. mgr. 13. gr. er vinnsluaðila aðeins heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila nema lög mæli fyrir á annan veg. Verður vinnsluaðili að haga vinnslunni í samræmi við lög nr. 77/2000, sbr. 2. máls. 2. mgr. sömu greinar. Í því felst m.a. að vinnsluaðila ber að gæta viðeigandi upplýsingaöryggis, sbr. 11. gr. laga nr. 77/2000, sbr. reglur nr. 299/2001 um öryggi persónuupplýsinga. Meðal þess sem fram kemur í 11. gr. er að við vinnslu persónuupplýsinga skal gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda upplýsingarnar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi (1. mgr.). Þá segir m.a. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra (2. mgr.)
Auk þess kemur fram í 5. mgr. 11. gr., sbr. einnig 1. mgr. 3. gr. reglna Persónuverndar nr. 299/2001, að skjalfesta skal með hvaða hætti staðið er að upplýsingaöryggismálum. Skjalfesta skal öryggisstefnu (almenna lýsingu á helstu markmiðum og áherslum varðandi upplýsingaöryggi); áhættumat, sem hefur að geyma greiningu á þeim ógnum sem steðja að vinnslu persónuupplýsinga; og skrá öryggisráðstafanir, sem byggjast á þeim forsendum sem fram koma í áhættumati.
3.
Samkvæmt 5. gr. vinnslusamnings milli ráðuneytisins og Miðlunar ehf. átti að eyða öllum persónugreinanlegum gögnum innan tveggja vikna frá því að lokið yrði við að safna svörum í eineltiskönnun meðal ríkisstarfsmanna. Fyrir liggur að félagið varðveitti þær hins vegar í u.þ.b. tvö ár. Sú aðgerð fól í sér brot gegn ákvæðum laga nr. 77/2000.
Til þess getur komið að vinnsluaðili sæti refsiábyrgð fyrir brot gegn lögum nr. 77/2000. Það getur t.d. orðið fari hann gegn fyrirmælum ábyrgðaraðila eða ef hann hlýðir fyrirmælum sem brjóta í bága við lögin. Miðlun ehf. hefur gefið þá skýringu að um mannleg mistök hafi verið að ræða en ekki ásetning. Samkvæmt 42. gr. laga nr. 77/2000 geta brot á ákvæðum þeirra, og reglugerða settra samkvæmt þeim, varðað viðurlögum. Þau lög takmarka ekki gáleysisábyrgð né girða fyrir hana og með gagnályktun frá 18. gr. almennra hegningarlaga nr. 19/1940 hefur verið talið að gáleysi geti verið saknæmisskilyrði að því er varðar brot gegn lögum nr. 77/2000. Þá verður ekki framhjá því litið að Miðlun ehf. er fagaðili með sérþekkingu á þessu sviði og að gera ber ríkari kröfur til sérfræðinga sem stunda slíka vinnslu í atvinnuskyni heldur en til annarra. Að því virtu, og í ljósi viðkvæms eðlis upplýsinganna og þess hve lengi þær voru varðveittar í heimildarleysi, ber að kæra brotið til lögreglu.
Þá hefur einnig verið ákveðið að beina fyrirmælum til Miðlunar ehf. um að setja niður verkferla til að hindra að slík mistök endurtaki sig. Í 1. mgr. 40. gr. laga nr. 77/2000 er mælt fyrir um að Persónuvernd geti mælt fyrir um ráðstafanir sem ábyrgðaraðili skuli grípa til svo að vinnsla sé lögmæt. Af fyrrnefndu ákvæði 2. málsl. 2. mgr. 13. gr. laga nr. 77/2000 leiðir að Persónuvernd getur einnig beint slíkum fyrirmælum til vinnsluaðila.
Með vísan til framangreinds er hér með lagt fyrir Miðlun ehf. að senda Persónuvernd öryggisstefnu, áhættumat og lýsingu á öryggisráðstöfunum. Í henni skal m.a. lýst þeim verkferlum sem Miðlun ehf. mun viðhafa til að hindra að persónuupplýsingar verði varðveittar hjá fyrirtækinu án heimildar. Skal lýsingin berast Persónuvernd innan tveggja mánaða, þ.e. fyrir 3. maí nk.
Á k v ö r ð u n a r o r ð:
Varðveisla Miðlunar ehf. á persónuupplýsingum sem safnað var við gerð könnunar á einelti meðal ríkisstarfsmanna verður kærð til lögreglu. Fyrir 3. maí 2011 skal Miðlun ehf. senda Persónuvernd öryggisstefnu, áhættumat og skjalfestingu á öryggisráðstöfunum þar sem lýst verði verkferlum er girði fyrir heimildarlausa varðveislu persónupplýsinga.