Annmarkar á öryggi við innskráningu á heimasíðu
Efni: Annmarkar á öryggi persónuupplýsinga á orlofsvef Bandalags háskólamanna
1.
Persónuvernd bárust ábendingar um annmarka á vinnslu persónuupplýsinga á
orlofsvef BHM. Athugun Persónuverndar á orlofsvefnum leiddi í ljós að
með því einu að vita kennitölu manns var unnt að komast að
persónuupplýsingum um hann. Aðeins þurfti að slá inn kennitölu og
eitthvert netfang. Gildir þá einu hvort um raunverulegt netfang sé að
ræða eða ekki. Þannig mátti t.d. sjá upplýsingar um punktastöðu
félagsmanns og um leigu hans á sumarhúsum.
Með bréfi, dags. 4. október 2011, óskaði Persónuvernd eftir því að
Orlofssjóður Bandalags háskólamanna (hér eftir Orlofssjóður BHM) gæfi
skýringar á þessu fyrirkomulagi. Í bréfi hennar var annars vegar vísað
til 10. gr. og hins vegar 11.-13. gr. laga nr. 77/2000 um persónuvernd
og meðferð persónuupplýsinga.
Með bréfi, dags. 30. nóvember 2011, óskaði Orlofssjóður BHM eftir
upplýsingum um hvað væri að þessu fyrirkomulagi og hver væru
lágmarksskilyrði til að Persónuvernd teldi aðgengi að heimasíðu
orlofssjóðsins viðunandi.
2.
Samkvæmt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga er það ábyrgðaraðili
vinnslu persónuupplýsinga sem ákveður tilgang hennar, þann búnað sem
notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Í
þessu tilviki er það Orlofssjóður BHM.
Það er því á ábyrgð sjóðsins sjálfs að finna, ákveða og gera nauðsynlegar öryggisráðstafanir til tryggja að vinnsla
persónupplýsinga fari fram með lögmætum hætti. Bent er á að til þess
þarf að uppfylla 10. gr. laga nr. 77/2000 um skilyrði fyrir notkun á
kennitölum. Einnig þarf að uppfylla ákvæði 11. gr. laga nr. 77/2000, um
ráðstafanir til að koma í veg fyrir óleyfilegan aðgang og að persónuupplýsingar
berist ekki óviðkomandi. Til þess að tryggja öryggi eru margar leiðir
færar. Til að mynda má hafa aðgang háðan því að notuð séu lykilorð, en
þau má t.d. senda í heimabanka.
Nú er svo búið um hnútana á vefsvæði Orlofssjóðs BHM að óviðkomandi
aðilar geta þar með einföldum hætti séð persónuupplýsingar um einstaka
félagsmenn og stöðu þeirra hjá sjóðinum, þ.e. með því einu að slá inn
kennitölu viðkomandi og eitthvert netfang. Það fyrirkomulag samræmist
hvorki 1. mgr. 7. gr. laga nr. 77/2000 um vandaða vinnsluhætti
persónuupplýsinga né 11. gr. laga nr. 77/2000 um upplýsingaöryggi. Er
vinnslan því ólögmæt.
Með vísun til 1. tölul. 3. mgr. 37. gr. og 40. gr. laga nr. 77/2000 er
hér með lagt fyrir Orlofssjóð BHM að gera breytingar á vefsíðu sinni
og viðhafa tæknilegar öryggisráðstafanir til að vernda
persónuupplýsingar félagsmanna gegn óleyfilegum aðgangi. Skal það gert
eigi síðar en 1. mars 2012. Senda skal Persónuvernd tilkynningu um
úrbætur þegar er þær hafa verið gerðar.