Úrlausnir

Öryggi persónuupplýsinga hjá Elko – mál nr. 2013/355

13.1.2014

Úrskurður

Á fundi stjórnar Persónuverndar þann 12. desember 2013 var kveðinn upp svohljóðandi úrskurður í máli nr. 2013/355:

 

I.

Bréfaskipti

1.

Í mars 2013 bárust Persónuvernd sex kvartanir yfir að ferilskrár umsækjenda um störf hjá Elko ehf. hefðu birst á heimasíðu fyrirtækisins. Þær birtust í lista yfir ferilskrár mjög margra einstaklinga sem allar mátti opna og kynna sér, en ferilskrárnar voru allt frá árinu 2006 til ársins 2013. Þegar framangreint bréf var sent lá fyrir að vefsíðunni með umræddum lista hafði verið lokað en að ferilskrárnar höfðu engu að síður verið aðgengilegar á Netinu eftir það, a.m.k. í nokkurn tíma.

 

Með bréfi, dags. 9. apríl 2013, greindi Persónuvernd Elko ehf. frá þessum kvörtunum og óskaði tiltekinna skýringa frá fyrirtækinu. Þær bárust með tölvubréfi hinn 22. s.m. og með bréfum, dags. 13. maí 2013, var kvartendum veitt færi á að tjá sig um þær. Ekki barst svar frá neinum þeirra og voru þeim því send ítrekunarbréf, dags. 4. september s.á., þar sem fram kom að hefðu svör ekki borist hinn 18. s.m. yrði litið svo á að fallið hefði verið frá kvörtun. Svör bárust frá tveimur þeirra, þ. á m. frá [A] (hér eftir nefnd „kvartandi“) hinn 13. september 2013, en hún hafði sent kvörtun, dags. 8. mars s.á.

 

Með bréfi, dags. 23. september 2013, ítrekuðu með bréfi, dags. 25. október s.á., var Elko ehf. veitt færi á að tjá sig um framangreint svar kvartanda. Svarað var með tölvubréfi hinn 31. október 2013 þar sem áframsent var fyrra tölvubréf til stofnunarinnar frá 4. s.m., en svo virðist sem sending á því hafi upphaflega misfarist og hafði Persónuvernd því ekki fengið það í hendur.

 

2.

Í kvörtun, dags. 8. mars 2013, segir:

„Ferilskrá sem var send til fyrirtækis er opin og aðgengileg á Netinu.

Þegar ég starfaði þar þá voru almennar umsóknir vel aðgengilegar almennum starfsmönnum.

Óska eftir að upplýsingarnar verði fjarlægðar strax. Hætti [á árinu 2012]. Fékk að sjá umsóknir frá öðrum stm. frá árunum 2006–2012. Samkvæmt Elko eiga ferilskrár almennt að vera geymdar í 6 mán.“

 

Í svari Elko ehf. til Persónuverndar frá 22. apríl 2013 segir:

„1. Í augnablikinu eru ferilskrár ekki geymdar á netsvæði ELKO heldur tekur ELKO eingöngu við umsóknum um störf án viðhengja. Stefna ELKO framvegis er sú að allar persónuupplýsingar sem ELKO móttekur séu geymdar á löglegan hátt og öll meðferð þeirra sé bæði örugg og siðferðislega rétt.

2. Á næstu vikum er fyrirhugað að fara inn í sameiginlegt kerfi Norvikur. Kerfi Norvikur verður þá beintengt í ELKO vefinn og allar upplýsingar um umsækjendur fara þá beint til Norvikur, ekki ELKO. Mannauðskerfið sem um ræðir heitir H3 og er frá Tölvumiðlun. Kerfið geymir ferilskrár umsækjenda ekki lengur en í sex mánuði.

3. Öryggisbresturinn sem um ræðir varð til við yfirfærslu vefsins á nýjan netþjón á háannatíma. Vegna þess hve áríðandi yfirfærslan var og á hvaða tímabili hún fór fram þá varð því miður misskilningur milli  tölvumanna Norvikur og söluaðila kerfisins sem vefurinn ELKO.is keyrir á. Misskilningurinn var sá að báðir aðilar héldu að hinn hefði klárað að læsa svæðum síðunnar. Um leið og þessi galli komst upp upp var læst fyrir þessi svæði. Í kjölfarið á læsingu var haft samband við Google en þeir geyma afrit ef sumum síðum í biðminni sinna netþjóna. Þeir tóku sér smátíma í að klára það fyrir ELKO og voru því skjölin aðgengileg í stuttan tíma eftir að ELKO lokaði en þó eingöngu með ákveðnum krókaleiðum.“

 

Í svari kvartanda til Persónuverndar, dags. 13. september 2013, segir að Elko ehf. hafi ekki veitt svör varðandi það sem fram kemur í kvörtun hennar varðandi aðgang að umsóknum innan fyrirtækisins og varðveislutíma. Um það segir:

„Hinsvegar vil ég fá svör við því afhverju ferilskrá umsækjanda og annarra starfsmanna var látin liggja á glámbekk þar sem allir starfsmenn og aðkomandi viðskiptavinir gátu séð upplýsingar um umsækjendur án þess að vilja það eða hafa fyrir því.

Einnig vil ég fá svar við því afhverju umsókn mín var geymd í næstum 3 ár þegar að mér var sagt að hún væri ekki geymd í meira en 2 mánuði. Það stendur inná www.elko.is að þær séu ekki geymdar lengur en í 2 mánuði.

Svo er ég mjög ósátt með það að rétt fyrir jólin, eða í desember 2013, þá gekk verslunarstjórinn [B] um alla búðina með ferilskrár starfsmanna sem voru að vinna þar, mína þar með talda. Honum fannst það mjög fyndið og var að sýna öllum starfsmönnum bæði ferilskrár sínar og annarra starfsmanna. Ég t.d. sá ferilskrár annarra starfsmanna, ég veit það að sumir starfsmenn voru ekki sáttir með þetta. Ég þar með talin!“

Einnig segir í svarinu að kvartandi vilji vita hvernig trúnaði á milli verslunarstjóra, framkvæmdastjóra og starfsmanns sé háttað. Í því sambandi er vísað til þess [að] kvartandi hafi fundað með verslunarstjóra í trúnaði um einelti innan vinnustaðarins og leyft að framkvæmdastjóra yrði greint frá því sem þar kom fram, enda yrði trúnaður ekki rofinn. Hins vegar hafi það ekki verið virt, en nokkru síðar hafi verslunarstjóri greint kvartanda frá því að gerandi í eineltismáli vissi nú allt um umræddan fund og hefði nafn kvartanda verið nefnt í því sambandi.

 

Í svari Elko ehf. til Persónuverndar frá 4. október 2013 segir varðandi framangreint:

„Árið 2011 fór verslunarstjóri úr stöðu sinni mjög óvænt og þurftum við að ráða nýjan inn með litlum fyrirvara. Á einhverjum tímapunkti eftir stöðubreytingar finnast umsóknir í kassa sem áttu að fara í eyðingu. Verslunarstjórinn tók umsóknir hjá starfsmönnum sem voru enn í vinnu í ELKO og bar undir þá hvort þeir vildu halda umsókn sinni eða hvort ætti að eyða henni. Ekki veit hann til þess að þetta hafi gengið hér um sem aðhlátursefni eftir að viðkomandi hafi fengið sína umsókn afhenta en það hefur þá verið án vitundar stjórnanda.

Starfsmaður sem um ræðir átti ekki auðvelt uppdráttar hér í ELKO sbr. tölvupóst. Mikið álag er í stöðunni sem hún var í, þ.e. í […]. Stjórnendur fóru í aðgerðir þegar eineltismálið kom upp en ekkert var hægt að finna sem útskýrði kvörtun utan eðlilegra samskipta milli starfsmanna og útdeilingu á verkefnum sem starfið krafðist. Málið var látið niður falla bæði af hálfu ELKO og af hálfu starfsmanns þar sem ekkert óeðlilegt kom upp á yfirborðið. Við vitum að viðkomandi starfsmaður var ekki sáttur við hvernig þetta endaði og hörmum við það enda var hún góður starfsmaður.

Fundur var haldinn með meintum geranda varðandi eineltisásakanir. Þetta er lítill vinnustaður og í þessu tilviki virtist meintur gerandi vita upp á hár hver það var, þar sem samskipti þeirra höfðu verið brösótt. Stjórnendur tóku ekki fram nein nöfn en þegar ræðir um deild með kannski […] starfsmönnum þá er ekki erfitt fyrir meintan geranda að leggja tvo og tvo saman.“

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

 

Af framangreindu er ljóst hvað varðar ferilskrár umsækjenda um störf hjá Elko ehf. að um ræðir meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar. Ekki er hins vegar tilefni til að vefengja skýringar fyrirtækisins varðandi það eineltismál sem fjallað er um af hálfu kvartanda, en af þeim verður ráðið að í samskiptum Elko ehf. við meintan geranda hafi ekki verið unnið með persónuupplýsingar um kvartanda á handvirkan eða rafrænan hátt heldur hafi eingöngu verið um munnleg samskipti á fundi að ræða. Það sem fer einstaklingum á milli í slíkum samskiptum fellur eitt og sér ekki undir gildissvið laga nr. 77/2000.

 

2.

Svo að vinna megi með persónuupplýsingar þarf ávallt að vera fullnægt einhverri af kröfum 8. gr. laga nr. 77/2000. Þegar um ræðir vinnslu persónuupplýsinga í tengslum við starfsumsóknir geta einkum átt við 1. og 7. tölul. 1. mgr. þeirrar greinar, en þar er annars vegar mælt fyrir um heimild til vinnslu þegar fyrir liggur samþykki hins skráða fyrir vinnslunni og hins vegar þegar hún er nauðsynleg í þágu lögmætra hagsmuna, enda vegi grundvallarréttindi og frelsi hins skráða ekki þyngra.

 

Að auki verður við alla vinnslu persónuupplýsinga að fara að grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000, þ. á m. þeim að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skal vera í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skulu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).

 

Í 11. gr. laga nr. 77/2000 er regla um öryggi persónuupplýsinga. Samkvæmt 1. mgr. 11. gr. ber að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá segir í 2. mgr. 11. gr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Einnig ber að fara að 12. gr. laganna, en þar er mælt fyrir um að sá sem ábyrgð ber á vinnslu persónuupplýsinga skuli viðhafa reglulegt innra eftirlit með því að farið sé að gildandi lögum og reglum, sem og þeim öryggisráðstöfunum sem ákveðnar hafa verið. Þá ber jafnframt að virða reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, sbr. 3. mgr. 11. gr. og 4. mgr. 12. gr. laganna. Samkvæmt 8. gr. reglnanna skal innra eftirlit m.a. beinast að því hvort persónuupplýsingum sé eytt þegar ekki er lengur þörf á að varðveita þær, sbr. 3. og 5. tölul.

 

Fyrir liggur af gögnum málsins að fullnægjandi öryggis í ljósi laga nr. 77/2000 var ekki gætt við varðveislu persónuupplýsinga í ferilskrám starfsumsækjenda hjá Elko ehf. Þá liggur fyrir að í framkvæmd var upplýsingunum ekki afmarkaður neinn ákveðinn varðveislutími þannig að þeim yrði eytt þegar ekki væri lengur málefnaleg ástæða til vörslu þeirra hjá Elko ehf. Var því ekki farið að fyrrgreindum fyrirmælum 7. gr. laga nr. 77/2000, sbr. og einnig 1. mgr. 26. gr. sömu laga.

 

Fram hefur komið að Elko ehf. hyggst koma í veg fyrir að tilvik, eins og það sem hér um ræðir, endurtaki sig. Af því tilefni skal minnt á að samkvæmt 5. mgr. 11. gr. laga nr. 77/2000 skal sá sem ábyrgð ber á vinnslu persónuupplýsinga skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. nánari fyrirmæli í 3. gr. reglna nr. 299/2001. Með vísan til þess er hér með lagt fyrir Elko ehf. að afhenda slík gögn um öryggi persónuupplýsinga, sem unnið unnið er með hjá fyrirtækinu, eigi síðar en 2. febrúar nk. Þá er þess einnig óskað að upplýst verði innan sama frests hvernig innra eftirliti samkvæmt 12. gr. laga nr. 77/2000 sé háttað, sem og hvernig varðveislutími upplýsinga um starfsumsækjendur verði afmarkaður framvegis.

 

Ú r s k u r ð a r o r ð:

Brotið var gegn reglum um öryggi við meðferð persónuupplýsinga þegar Elko ehf. birti á heimasíðu sinni ferilskrár umsækjenda um störf hjá fyrirtækinu allt frá árinu 2006 til ársins 2013. Þá hefur Elko ehf. ekki farið að reglum um heimilan varðveislutíma persónuupplýsinga. Skal fyrirtækið eigi síðar en 2. febrúar nk. senda Persónuvernd gögn samkvæmt 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. gr. reglna nr. 299/2001, þar sem fram komi hvernig öryggis persónuupplýsinga, sem unnið er með hjá fyrirtækinu, sé gætt. Þá skal fyrirtækið upplýsa innan sama frests hvernig innra eftirliti samkvæmt 12. gr. laga nr. 77/2000 sé háttað, sem og hversu lengi upplýsingar um starfsumsækjendur verði varðveittar.

 



Var efnið hjálplegt? Nei