Miðlun persónuupplýsinga í tölvupósti - mál nr. 2012/377 og 2012/376
Persónuvernd hefur tekið ákvörðun í tveimur málum varðandi miðlun persónuupplýsinga í tölvupósti frá Vinnumálastofnun. Voru atvik málsins þau að netfangalisti birtist öllum þeim sem fengu umræddan tölvupóst. Hefur Persónuvernd lagt fyrir Vinnumálastofnun að gera viðeigandi ráðstafanir til að koma í veg fyrir að viðtakendur blindafrita tölvubréfa sjái netföng allra annarra viðtakenda, sem og yfirfara verkferla og fræða starfsmenn þar að lútandi eigi síðar en 1. júlí 2013
Ákvörðun
Hinn 28. maí 2013 tók stjórn Persónuverndar svohljóðandi ákvörðun í málum nr. 2012/377 og 2012/376:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Persónuvernd bárust tvö erindi, dags. 6 og 7. mars 2012, varðandi miðlun persónuupplýsinga frá Vinnumálastofnun með tölvupósti til fjölda einstaklinga þegar Vinnumálastofnun bauð viðtakendum póstsins að taka þátt í s.k. atvinnumessu í Laugardalshöll þann 8. mars 2012. Miðlunin fólst í því að í umræddum tölvupósti gátu viðtakendur tölvupóstsins séð netföng allra þeirra sem umræddur tölvupóstur var sendur á. Í tölvupóstinum kom og fram að markhópurinn samanstæði af einstaklingum sem hefðu verið atvinnulausir í ár eða lengur.
2.
Bréfaskipti
Með bréfi, dags. 22. maí 2012, var Vinnumálastofnun boðið að koma á framfæri skýringum vegna framangreinds, sbr. 1. mgr. 38. gr. laga nr. 77/2000. Í svarbréfi Vinnumálastofnunar, dags. 8. júní 2012, segir m.a. eftirfarandi:
„Þann 8. mars s.l. var haldin atvinnumessa á höfuðborgarsvæðinu. Með viðburði þessum var hrundið af stað átaki sem ætlað var að tryggja allt að 1500 atvinnuleitendum störf og starfstengd úrræði. Átakið náði til allra atvinnuleitenda en sérstök áhersla var lögð á úrræði fyrir langtímaatvinnulausa í átakinu.
Við boðun á framangreindan atburð var tölvupóstur sendur á alla þá sem skráðir voru atvinnulausir hjá stofnuninni og höfðu verið án vinnu í tólf mánuði eða lengur. Tölvupóstar voru sendir á atvinnuleitendur í 200 manna grúppum. Allir tölvupóstar voru sendir sem falið afrit (blind carbon copy; eða bbc;). Í einni sendingu á 200 manna úrtaki var netfang viðtakenda sýnilegt þegar þeim barst sá tölvupóstur frá Vinnumálastofnun. Er ljóst að þeir viðtakendur er um ræðir gátu séð hverjir fengu senda boðun frá stofnuninni.
Vinnumálastofnun hefur kannað þær sendingar sem fóru frá stofnuninni vegna atvinnumessu þann 8. mars. Í þeirri sendingu sem netföng reyndust sýnileg milli viðtakenda hafði tölvupóstur einnig verið sendur sem falið afrit. Svo virðist sem villa í póstkerfi stofnunarinnar hafi valdið því að afritslisti lak til viðtakenda. Hefur stofnunin þegar hafið vinnu við að greina þá villu sem varð til þess að framangreind atvik áttu sér stað og mun í framhaldi gera viðeigandi ráðstafanir til að koma í veg fyrir að slíkt komi fyrir aftur.“
Með bréfi, dags. 18. júní 2012, óskaði Persónuvernd eftir því að Vinnumálastofnun upplýsti stofnunina um útkomu umræddrar bilanagreiningar og hvaða öryggisráðstafana, sbr. 11. gr. laga nr. 77/2000, Vinnumálastofnun hygðist grípa til í því skyni að hindra að slíkt endurtaki sig. Í svarbréfi Vinnumálastofnunar, dags. 26. júlí 2012, segir meðal annars eftirfarandi:
„Í kjölfar þeirra atvika er áttu sér stað við [..] boðun á þátttöku í atvinnumessu í Laugardal þann 8. mars 2012 leitaði Vinnumálastofnun til Advania er sér um helstu tækniþjónustu við Vinnumálastofnun sem og um póstþjóna stofnunarinnar. Hefur upplýsingatæknisvið Vinnumálastofnunar ásamt sérfræðingum Advania reynt að finna rót þeirrar villu sem olli því að netfang viðtakenda var sýnilegt þó svo að tölvupóstur hafi verið sendur sem falið afrit (blind carbon copy).
Ekki hefur verið unnt að rekja bilun til póstforrits Vinnumálastofnunar (Lotus notes) eða netþjóns þjónustuaðila. Sérfræðingar Advania hafa farið yfir stillingar á netþjóni og póstforriti stofnunarinnar og geta ekki fært fram afgerandi greiningu á þeirri villu sem átti sér stað. Hefur stofnunin fengið það stafest að allar sjálfgefnar grunnstillingar í póstforriti stofnunarinnar séu þannig að blind carbon copy er ekki sjáanlegt öðrum en sendanda, hvort sem netföng eru í hóp eða sett stök sem viðtakendur.
Samkvæmt þeim sérfræðingum sem Vinnumálastofnun hefur leitað til er þekkt vandamál en afar sjaldgæft að blind carbon copy séu sjáanleg viðtakendum. Þannig kunna sum póstforrit að senda sína eigin fyrirsögn með slíkum sendingum þar sem allir viðtakendur eru tilgreindir. Eins og framar segir er ekki unnt að rekja leka á netföngum viðtakenda til póstforrits stofnunarinnar og það að villa átti sér einungis stað í einni sending[u] af mörgum bendir ekki til þess að stillingar í póstforriti hafi orsakað leka.
Vinnumálastofnun er ekki kunnugt um að umrædd villa hafi áður komið upp, hvorki fyrir framangreind tilvik eða eftir. Hafa starfsmenn Vinnumálastofnunar án vandkvæða sent fjöldapóst með sama fyrirkomulagi og áður og hefur villa ekki gert vart við sig. Þó svo að um einstakt atvik hafi verið að ræða telur stofnunin ekki unnt að horfa framhjá þeim annmarka sem átti sér stað og mun stofnunin vekja athygli á umræddum öryggisþáttum við næstu uppfærslu á net- og póstþjóni stofnunarinnar.“
Með tölvubréfi, dags. 18. júní 2012, var kvartendum boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Vinnmálastofnunar, dags. 8. júní 2012, til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Annar kvartanda svaraði með tölvubréfi, dags. 18. júní 2012. Þar segir m.a.:
„[...Sem fagmaður á sviði vefforritunar og vefstjórnunar] get ég auðveldlega séð af svörum stofnunarinnar að þarna hafa starfsmenn verið með stóran netfangalista á einhverju tölvutæku formi og notað hann þannig að 200 nöfn í senn virðast hafa verið afrituð og límd (copy/paste) inn í viðtakendareit í póstforriti. Þetta verklag viðurkennir stofnunin raunverulega með þeirri atvikalýsingu sem fram kemur í erindinu, þar sem þess er sérstaklega getið að ætlunin hafi verið sú að senda viðtakendum svokölluð blindafrit (bcc). Sá starfsmaður sem hefur haft verkið með höndum virðist því einfaldlega hafa í eitt skipti [...] af mörgum gert þau mistök að setja þennan tiltekna skammt 200 netfanga í rangan reit í póstforritinu (cc í stað bcc). Þetta viðurkennir stofnunin þó ekki heldur reynir að kenna póstforritinu sjálfu um villuna, en því verð ég að vísa á bug sem afar ósennilegri skýringu. [...]
Það er augljóst að starfsmenn Vinnumálastofnunar hafa annað hvort ekki þekkingu á eða aðgang að viðunandi hugbúnaði til að framkvæma fjöldasendingar sem þessar (mass-mailouts). Að senda fjöldapóst á þúsundir einstaklinga með þeim hætti sem rakinn hefur verið, er ekki aðeins til þess fallið að bjóða heim hættu á mannlegum mistökum eins og hér virðast hafa orðið, heldur getur það jafnframt skapað óþarfa öryggisvá og röskun á eðlilegri netumferð. Slík notkun er í raun lítið fráburgðin ruslpóstsendingum (spam) að því leyti að bæði fela í sér ranga notkun á internetinu[...].
Sérfræðiráðgjöf mín sem ég veiti hér algjörlega endurgjaldslaust er sú að Vinnumálastofnun ætti að gefnu þessu tilefni að festa kaup á þar til gerðum hugbúnaði til sjálfvirkra fjöldasendinga (sk. mass-mailbot) eða sambærilegri þjónustu hjá fagaðilum sem veita hana og hafa líka næga þekkingu á viðfangsefninu. Ávinningurinn af slíku er margþættur, í fyrsta lagi þá les slíkur hugbúnaður einfaldlega allan netfangalistann í heild vélrænt af tölvutæku formi og kemur þannig að stóru leyti í veg fyrir mannleg mistök eins og virðast hafa átt sér stað í þessu tilviki, í öðru lagi er aðeins sent á einn viðtakanda í einu þannig að engin hætta er á skörun við sendingar til annarra viðtakenda, í þriðja lagi þá dreifa slík vélmenni (mailbots) sendingum yfir lengri tímabil til að skapa síður flóðtoppa sem drekkja annari netumferð og er jafnan hægt að stilla þá hegðun miðað við aðstæður, til dæmis að framkvæma sendingarnar á nóttunni þegar netumferð innanlands er í lágmarki.[...]“
Þá barst Persónuvernd bréf Vinnumálastofnunar þann 27. desember 2012, dags. þann 20. s.m., þar sem segir að stofnunin hafi farið yfir tölvubúnað og verkferla sem tengjast sendingu fjöldapósta og muni gera allt sem í hennar valdi standi til að gæta þess að þau atvik sem áttu sér stað í mars 2012 endurtaki sig ekki.
Með tölvubréfi, dags. 27. mars 2013, var báðum kvartendum gefinn kostur á að koma á framfæri athugasemdum sínum við svör Vinnumálastofnunar, dags. 26. júlí 2012 og 20. desember 2012. Í svarbréfi annars kvartanda, dags. sama dag, segir m.a.:
„Þannig hefur ekkert nýtt komið fram sem að mati undirritaðs bendir til þess að um tæknibilun hafi verið að ræða, og er sá hluti skýringanna því óþarfur. Tölvuskeytin sem undirritaður fékk send báru það bersýnilega með sér að fyrst hafi verið sent blindskeyti (bcc) með tilkynningu um hina svokölluðu „Atvinnumessu“ á fjölda viðtakenda en netföng þeirra viðtakenda voru hinsvegar ekki sýnileg hvor öðrum í þeim pósti. Svo virðist sem starfsmaður Vinnumálastofnunar, [...], hafi tekið eftir því að viðhengi með sendingunni hafi gleymst, og brugðist þannig við því að svara upphaflega skeytinu með aðgerðinni „Reply to all“sem býr til svarskeyti í póstforriti stílað á alla viðtakendur upphaflega skeytisins, og nota það skeyti til að senda umrætt viðhengi sem gleymdist. Eins og í fyrra skeytinu fengu allir viðtakendur líka blindafrit (bcc) af seinna skeytinu og voru því athuganir Advania að beiðni VMST á því atriði sem getið er um í fyrra bréfinu, algjörlega óþarfar samkvæmt faglegu mati undirritaðs.
Það sem er augljóst fyrir mér að hafi gerst er að þegar áðurnefndur starfsmaður bjó til framangreint svar til allra hafi tölvupóstforritið sem hann notaði afritað texta upphaflega skeytisins inn í svarskeytið, eins og flestir þekkja sem hafa notað póstforrit að einhverju ráði. Þegar það gerist skeyta póstforrit auk þess gjarnan inn upplýsingum úr haus (header) þess skeytis sem svarað er, sem innihalda meðal annars netföng upphaflegra sendenda og viðtakenda. [...] Þannig var það hvorki í CC eða BCC reitnum sem netföng allra viðtakenda urðu sýnileg, eins og Vinnumálastofnun segist hafa látið rannsaka, heldur í sjálfum texta skeytisins, sem virðist hafa orðið til með fyrrgreindum hætti. Frábrugðið letur og sérstakt útlitssnið á þeim hluta skeytisins benda jafnframt sterklega til þess að netföngum viðtakenda ásamt öðrum upplýsingum úr haus upphaflegs skeytis hafi verið skeytt sjálfkrafa inn í seinna skeytið (autogenerated) af tölvupóstforritinu en ekki skrifuð inn af starfsmanni sérstaklega. Aftur á móti, þar sem sá texti hlýtur að birtast allur í ritilsglugga (editor) póstforritins áður en lokið er við samningu skeytis og það sent, hlýtur viðkomandi starfsmanni jafnframt að hafa mátt vera ljóst hvað hann var að senda þar sem það hefur þá líklegast blasað við honum á tölvuskjánum áður ýtt var á hnappinn „senda“[...]“
Með tölvubréfi kvartanda fylgdi jafnframt afrit af því tölvubréfi sem barst honum þann 5. mars 2012. Í því sjást netföng allra viðtakenda blindafrita í hinu upphaflega skeyti.
II.
Forsendur og niðurstaða
1.
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.
Í netföngum má oft greina viss auðkenni um eiganda netfangsins, t.d. nafn viðkomandi. Af framangreindu er ljóst að upplýsingar um netföng einstaklinga falla undir gildissvið laga nr. 77/2000.
2.
Með vísun til þeirra skýringa sem Vinnumálastofnun hefur gefið virðist liggja ljóst fyrir að ekki hafi verið ætlun stofnunarinnar að senda umrætt tölvubréf með þeim hætti sem raun bar vitni í mars 2012. Hefur af hálfu stofnunarinnar verið vísað til þess að umrædd mistök hafi stafað af tæknilegri bilun í póstforriti, þótt þjónustuaðili hennar, Advania, hafi ekki geta fært fram greiningu á biluninni. Svo virðist sem það kunni að hafa verið vegna mannlegra mistaka sem netföng allra viðtakenda voru sjáanleg, þ.e. að gleymst hafi að eyða út upplýsingum um viðtakendur í hinu upphaflega tölvubréfi, sem er ávallt sýnilegt viðtakendum þegar notuð er sú flýtileið að „svara öllum“ (e. reply all). Hafi þar verið um óhappatilvik að ræða.
Með vísun til 2. tölul. 3. mgr. 37. gr. laga nr. 77/2000 mælir Persónuvernd fyrir um að Vinnumálastofnun geri viðeigandi tæknilegar ráðstafanir, t.d. með notkun sérstaks fjöldasendingarhugbúnaðar, til þess að koma í veg fyrir að viðtakendur blindafrita (s. bcc) tölvubréfa sjái netföng allra annarra viðtakenda blindafrita. Einkum skal stofnunin yfirfara verkferla, að því er varðar útsendingu fjöldapósta og notkun blindafrita, sem og fræða starfsmenn þar að lútandi. Skal Persónuvernd berast staðfesting þess efnis, sem og afrit af uppfærðum verkferlum, eigi síðar en 1. júlí 2013.
Á k v ö r ð u n a r o r ð:
Vinnumálastofnun ber að gera viðeigandi ráðstafanir til að koma í veg fyrir að viðtakendur blindafrita tölvubréfa sjái netföng allra annarra viðtakenda blindafrita, sem og yfirfara verkferla og fræða starfsmenn þar að lútandi.