Öryggi persónuupplýsinga hjá Elko – mál nr. 2013/361
Úrskurður
Á fundi stjórnar Persónuverndar þann 12. desember 2013 var kveðinn upp svohljóðandi úrskurður í máli nr. 2013/361:
I.
Bréfaskipti
1.
Í mars 2013 bárust Persónuvernd sex kvartanir yfir að ferilskrár umsækjenda um störf hjá Elko ehf. hefðu birst á heimasíðu fyrirtækisins. Þær birtust í lista yfir ferilskrár mjög margra einstaklinga sem allar mátti opna og kynna sér, en ferilskrárnar voru allt frá árinu 2006 til ársins 2013. Þegar framangreint bréf var sent lá fyrir að vefsíðunni með umræddum lista hafði verið lokað en að ferilskrárnar höfðu engu að síður verið aðgengilegar á Netinu eftir það, a.m.k. í nokkurn tíma.
Með bréfi, dags. 9. apríl 2013, greindi Persónuvernd Elko ehf. frá þessum kvörtunum og óskaði tiltekinna skýringa frá fyrirtækinu. Þær bárust með tölvubréfi hinn 22. s.m. og með bréfum, dags. 13. maí 2013, var kvartendum veitt færi á að tjá sig um þær. Ekki barst svar frá neinum þeirra og voru þeim því send ítrekunarbréf, dags. 4. september s.á., þar sem fram kom að hefðu svör ekki borist hinn 18. s.m. yrði litið svo á að fallið hefði verið frá kvörtun. Svör bárust frá tveimur þeirra, þ. á m. frá [A] (hér eftir nefnd „kvartandi“) hinn 9. september 2013, en hún hafði sent kvörtun, dags. 8. mars s.á.
Með bréfi, dags. 23. september 2013, ítrekuðu með bréfi, dags. 25. október s.á., var Elko ehf. veitt færi á að tjá sig um framangreint svar kvartanda. Svarað var með tölvubréfi hinn 31. október 2013 þar sem áframsent var fyrra tölvubréf til stofnunarinnar frá 4. s.m., en svo virðist sem sending á því hafi upphaflega misfarist og hafði Persónuvernd því ekki fengið það í hendur.
2.
Í kvörtun, dags. 8. mars 2013, segir:
„[É]g ætla að leggja fram formlega kvörtun vegna þess að í gegnum vefsíðu núverandi vinnuveitanda míns er hægt að googla ferilskrána mína þar sem er birt kennitalan mín, heimilisfang og símanúmer, meðal annarra upplýsinga. Hér að neðan er linkur á ferilskrána á vef Elko.“
Í svari Elko ehf. til Persónuverndar frá 22. apríl 2013 segir:
„1. Í augnablikinu eru ferilskrár ekki geymdar á netsvæði ELKO heldur tekur ELKO eingöngu við umsóknum um störf án viðhengja. Stefna ELKO framvegis er sú að allar persónuupplýsingar sem ELKO móttekur séu geymdar á löglegan hátt og öll meðferð þeirra sé bæði örugg og siðferðislega rétt.
2. Á næstu vikum er fyrirhugað að fara inn í sameiginlegt kerfi Norvikur. Kerfi Norvikur verður þá beintengt í ELKO vefinn og allar upplýsingar um umsækjendur fara þá beint til Norvikur, ekki ELKO. Mannauðskerfið sem um ræðir heitir H3 og er frá Tölvumiðlun. Kerfið geymir ferilskrár umsækjenda ekki lengur en í sex mánuði.
3. Öryggisbresturinn sem um ræðir varð til við yfirfærslu vefsins á nýjan netþjón á háannatíma. Vegna þess hve áríðandi yfirfærslan var og á hvaða tímabili hún fór fram þá varð því miður misskilningur milli tölvumanna Norvikur og söluaðila kerfisins sem vefurinn ELKO.is keyrir á. Misskilningurinn var sá að báðir aðilar héldu að hinn hefði klárað að læsa svæðum síðunnar. Um leið og þessi galli komst upp [...] var læst fyrir þessi svæði. Í kjölfarið á læsingu var haft samband við Google en þeir geyma afrit ef sumum síðum í biðminni sinna netþjóna. Þeir tóku sér smátíma í að klára það fyrir ELKO og voru því skjölin aðgengileg í stuttan tíma eftir að ELKO lokaði en þó eingöngu með ákveðnum krókaleiðum.“
Í svari kvartanda til Persónuverndar, dags. 9. september 2013, eru gerðar svohljóðandi athugasemdir við framangreind svör Elko ehf.:
„Þrátt fyrir að umrædd gögn séu ekki lengur aðgengileg frá kerfum ELKO eða Norvíkur þá voru þau það og talsverðar líkur á að afrit séu til af þeim þar sem þjónustuaðilar hafa ekki mögulega á að eyða eða loka á þau.
Það er mín skoðun að upptaldar skýringar séu ekki nægilegar til að láta málið niður falla og óska ég eftir því að Persónuvernd úrskurði í málinu.“
Í svari Elko ehf. til Persónuverndar frá 4. október 2013 segir varðandi framangreint:
„ELKO getur ekki lagt fram meiri upplýsingar en var gert upphaflega. Ég tel að ELKO sé búið að senda fullnægjandi skýringar á umsóknum sem voru aðgengilegar á netinu og tímamörkum sem umsóknir eru geymdar. ELKO getur sent staðfestingarbréf á ferlum ásamt staðfestingum frá umsjónarmanni netþjóns og UT sviðs Norvikur. Ef óskað er eftir því þá verður sú beiðni afgreidd hið fyrsta.“
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
2.
Svo að vinna megi með persónuupplýsingar þarf ávallt að vera fullnægt einhverri af kröfum 8. gr. laga nr. 77/2000. Þegar um ræðir vinnslu persónuupplýsinga í tengslum við starfsumsóknir geta einkum átt við 1. og 7. tölul. 1. mgr. þeirrar greinar, en þar er annars vegar mælt fyrir um heimild til vinnslu þegar fyrir liggur samþykki hins skráða fyrir vinnslunni og hins vegar þegar hún er nauðsynleg í þágu lögmætra hagsmuna, enda vegi grundvallarréttindi og frelsi hins skráða ekki þyngra.
Að auki verður við alla vinnslu persónuupplýsinga að fara að grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000, þ. á m. þeim að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skal vera í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skulu varðveittar í því formi að ekki sé unnt að bera kennsl á hina skráðu lengur en þörf krefur miðað við tilgang vinnslu (5. tölul.).
Í 11. gr. laga nr. 77/2000 er regla um öryggi persónuupplýsinga. Samkvæmt 1. mgr. 11. gr. ber að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá segir í 2. mgr. 11. gr. að beita skuli ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Einnig ber að fara að 12. gr. laganna, en þar er mælt fyrir um að sá sem ábyrgð ber á vinnslu persónuupplýsinga skuli viðhafa reglulegt innra eftirlit með því að farið sé að gildandi lögum og reglum, sem og þeim öryggisráðstöfunum sem ákveðnar hafa verið. Þá ber jafnframt að virða reglur Persónuverndar nr. 299/2001 um öryggi persónuupplýsinga, sbr. 3. mgr. 11. gr. og 4. mgr. 12. gr. laganna. Samkvæmt 8. gr. reglnanna skal innra eftirlit m.a. beinast að því hvort persónuupplýsingum sé eytt þegar ekki er lengur þörf á að varðveita þær, sbr. 3. og 5. tölul.
Fyrir liggur af gögnum málsins að fullnægjandi öryggis í ljósi laga nr. 77/2000 var ekki gætt við varðveislu persónuupplýsinga í ferilskrám starfsumsækjenda hjá Elko ehf. Þá liggur fyrir að í framkvæmd var upplýsingunum ekki afmarkaður neinn ákveðinn varðveislutími þannig að þeim yrði eytt þegar ekki væri lengur málefnaleg ástæða til vörslu þeirra hjá Elko ehf. Var því ekki farið að fyrrgreindum fyrirmælum 7. gr. laga nr. 77/2000, sbr. og einnig 1. mgr. 26. gr. sömu laga.
Fram hefur komið að Elko ehf. hyggst koma í veg fyrir að tilvik, eins og það sem hér um ræðir, endurtaki sig. Af því tilefni skal minnt á að samkvæmt 5. mgr. 11. gr. laga nr. 77/2000 skal sá sem ábyrgð ber á vinnslu persónuupplýsinga skrá með hvaða hætti hann mótar öryggisstefnu, gerir áhættumat og ákveður öryggisráðstafanir, sbr. nánari fyrirmæli í 3. gr. reglna nr. 299/2001. Með vísan til þess er hér með lagt fyrir Elko ehf. að afhenda slík gögn um öryggi persónuupplýsinga, sem unnið unnið er með hjá fyrirtækinu, eigi síðar en 2. febrúar nk. Þá er þess einnig óskað að upplýst verði innan sama frests hvernig innra eftirliti samkvæmt 12. gr. laga nr. 77/2000 sé háttað, sem og hvernig varðveislutími upplýsinga um starfsumsækjendur verði afmarkaður framvegis.
Ú r s k u r ð a r o r ð:
Brotið var gegn reglum um öryggi við meðferð persónuupplýsinga þegar Elko ehf. birti á heimasíðu sinni ferilskrár umsækjenda um störf hjá fyrirtækinu allt frá árinu 2006 til ársins 2013. Þá hefur Elko ehf. ekki farið að reglum um heimilan varðveislutíma persónuupplýsinga. Skal fyrirtækið eigi síðar en 2. febrúar nk. senda Persónuvernd gögn samkvæmt 5. mgr. 11. gr. laga nr. 77/2000, sbr. 3. gr. reglna nr. 299/2001, þar sem fram komi hvernig öryggis persónuupplýsinga, sem unnið er með hjá fyrirtækinu, sé gætt. Þá skal fyrirtækið upplýsa innan sama frests hvernig innra eftirliti samkvæmt 12. gr. laga nr. 77/2000 sé háttað, sem og hversu lengi upplýsingar um starfsumsækjendur verði varðveittar.