Úrlausnir

Öryggisbrestur hjá Fjölbrautaskólanum í Breiðholti - Sektarákvörðun

10.3.2020

Persónuvernd hefur lagt stjórnvaldssekt, að fjárhæð 1.300.000 krónur, á Fjölbrautaskólann í Breiðholti (FB) vegna öryggisbrests sem átti sér stað hinn 15. ágúst 2019. Öryggisbresturinn varð með þeim hætti að kennari við skólann sendi tölvupóst á nýnema, þ.e. nýja umsjónarnemendur sína og forráðamenn þeirra. Lét hann fylgja með viðhengi sem hann taldi vera skjal sem innihéldi yfirlit yfir viðtalstíma. Fyrir mistök sendi kennarinn rangt viðhengi með tölvupóstinum en það viðhengi innihélt upplýsingar um viðtöl sem höfðu verið tekin við umsjónarnemendur frá fyrri önn. Í skjalinu voru m.a. viðkvæmar persónuupplýsingar er vörðuðu umsjónarnemendur viðkomandi kennara frá fyrra ári.

Var það mat Persónuverndar að öryggisbresturinn væri afleiðing af skorti á tæknilegum og skipulagslegum ráðstöfunum af hálfu FB til að tryggja öryggi persónuupplýsinga. Í ljósi þess var talið að brotið hefði verið gegn meðal annars f-lið 1. mgr. 5. gr. og 32. gr. reglugerðar (ESB) 2016/679.

Við ákvörðun sektarinnar var meðal annars litið til þess að umræddur öryggisbrestur fól í sér verulega skerðingu á einkalífsrétti viðkomandi nemenda, í ljósi eðlis þeirra persónuupplýsinga sem um ræddi. Þær voru sendar frá umsjónarkennara þeirra frá fyrri vetri til nýnema sem voru í umsjón hjá honum, auk forráðamanna þeirra, alls 57 manns. Hins vegar var litið til þess að ekki var um að ræða langvarandi brot heldur einstakt tilvik. Þá var talið ljóst að ekki væri um að ræða vinnslu í ólögmætum tilgangi heldur mannleg mistök. Einnig var það talið hafa vægi við sektarákvörðun að um var að ræða óarðsækinn lögaðila sem veitir almannaþjónustu. Með hliðsjón af þessum atriðum þótti sektin hæfilega ákveðin 1.300.000 krónur.

Ákvörðun


Hinn 5. mars 2020 kvað stjórn Persónuverndar upp svohljóðandi ákvörðun í máli nr. 2020010382 (áður 2019081527):

I.

Málsmeðferð

1.

Upphaf máls

Hinn 16. ágúst 2019 barst Persónuvernd tilkynning um öryggisbrest frá Fjölbrautaskólanum í Breiðholti (hér eftir FB). Samkvæmt tilkynningunni var viðhengi með viðkvæmum upplýsingum um viðtöl við nemendur fyrir mistök sent í tölvupósti til óviðkomandi aðila hinn 15. s.m.

Í tilkynningunni kemur fram að kennari við skólann hafi sent tölvupóst á nýnema, þ.e. nýja umsjónarnemendur sína og forráðamenn þeirra. Lét hann fylgja með viðhengi sem hann taldi vera skjal sem innihéldi yfirlit yfir viðtalstíma. Fyrir mistök sendi kennarinn rangt viðhengi með tölvupóstinum en það viðhengi innihélt upplýsingar um viðtöl sem höfðu verið tekin við umsjónarnemendur frá fyrri önn. Í skjalinu voru m.a. viðkvæmar persónuupplýsingar um hina eldri umsjónarnemendur viðkomandi kennara.

Kennarinn fékk innan skamms tíma tölvupóst frá tveimur forráðamönnum, þar sem honum var gert viðvart um viðhengið. Í kjölfarið brást kennarinn við ábendingunum og sendi tölvupóst á viðtakendur þar sem hann tiltók að vitlaust viðhengi hefði farið með fyrir mistök og fór þess á leit við forráðamenn og nýnemana að þeir eyddu fyrri tölvupóstinum. Einnig er tekið fram í tilkynningu FB að afsökunarbeiðni hafi fylgt óskinni til forráðamanna og nýnema um eyðingu gagna, sem og að send verði almenn tilkynning á starfsfólk skólans með tilmælum um að gæta að öryggi við meðferð persónuupplýsinga.

Enn fremur kemur fram í tilkynningunni að umræddur kennari hyggist hitta hluta af forráðamönnum ásamt hluta af nýnemum sama dag og tilkynningin barst og muni við það tækifæri biðja þá munnlega að eyða umræddum tölvupósti. Varðandi forráðamenn og nýnemendur sem ekki kæmu á fund við kennara þann 16. ágúst 2019 er tekið fram að skólinn hyggist hafa samband við þá símleiðis með sömu bón þann sama dag.

2.

Andlag öryggisbrestsins

Að fenginni tilkynningunni, eða hinn 20. ágúst 2019, hafði Persónuvernd samband símleiðis við skólameistara FB. Þá var skólanum sent bréf, dags. s.d., þar sem staðfest var það sem fram hafði komið í símtalinu um að haldinn yrði fundur um málið daginn eftir og þær upplýsingar skoðaðar sem sendar höfðu verið nýnemum og forráðamönnum þeirra.

Hinn 21. ágúst 2019 fóru starfsmenn Persónuverndar í vettvangsheimsókn í FB. Voru þar kannaðar aðstæður og farið yfir tildrög öryggisbrestsins. Starfsmenn Persónuverndar fóru yfir þau gögn sem send voru út í öryggisbrestinum. Einnig var farið yfir þær aðgerðir sem FB hefur gripið til í kjölfar öryggisbrestsins.

Í skjalinu sem sent var er að finna eftirfarandi umsagnir um nemendur, en nemendurnir sem upplýsingarnar vörðuðu reyndust vera alls 18 talsins:

[Í umsögnunum, sem ekki þykir rétt að birta í ljósi persónuverndar nemenda, var vikið að líðan nemendanna, námsárangri og félagslegum aðstæðum. Að verulegu leyti lutu upplýsingarnar að einhverju sem var ábótavant hjá þeim og í einu tilviki að því að barnaverndaryfirvöld hefðu haft afskipti vegna viðkomandi. Þá var í einu tilviki um að ræða upplýsingar um andlega heilsu og í öðru tilviki líkamlega heilsu.]

3.

Bréfaskipti og önnur samskipti

Persónuvernd taldi þörf á að FB upplýsti hvort haft hefði verið samband við forráðamenn þeirra nemenda sem upplýsingarnar lúta að, sem og hvort FB hefði í framhaldi af öryggisbrestinum mótað og kynnt verklag um meðferð viðkvæmra persónuupplýsinga sem minnkaði líkurnar á svipuðum mistökum í framtíðinni. Var því FB sent bréf, dags. 25. október 2019, þar sem óskað var eftir svörum um þessi atriði.

Svar FB barst með bréfi, dags. 31. október 2019. Segir þar að FB hafi haft samband við forráðamenn umræddra nemenda hinn 16. ágúst 2019, bæði í tölvupósti og símleiðis. Náðst hafi í forráðamenn allra nemenda, að tveimur frátöldum, í síma. Þá segir að FB hafi mótað innri persónuverndarstefnu þar sem sé að finna verklagsreglur um meðferð persónuupplýsinga handa starfsfólki. Hún verði birt fyrir því á allra næstu dögum. Hafi persónuverndarfulltrúi skólans haldið fræðslufyrirlestra fyrir flestallt starfsfólk um öryggisbresti, meginefni verklagsreglnanna, sem og það hvernig verklagi skuli háttað. Sem dæmi megi nefna að farið hafi verið yfir hvernig meðferð á viðkvæmum persónuupplýsingum skuli háttað og hvernig verklag við tölvupóst eigi að vera. Eftir standi að lítill hópur starfsmanna hafi ekki komist á þá fundi sem búið hafi verið að stilla upp og fyrirhugað væri að þeir fengju sömu fræðsluna frá persónuverndarfulltrúa. Þá verði fræðsla um öryggisbresti veitt með reglubundnum hætti fyrir starfsfólk þar sem verklagsreglurnar verði einnig ítrekaðar, en markmið þeirra sé að koma á skýru verklagi fyrir starfsfólk til að minnka líkur á svipuðum mistökum og áttu sér stað 15. ágúst 2019.

Persónuvernd taldi frekari skýringa þörf og tilefni til að veita kost á andmælum vegna mögulegrar sektarákvörðunar. Var það gert með bréfi til FB, dags. 9. janúar 2020. Laut ósk stofnunarinnar um skýringar að því hvernig öryggis persónuupplýsinga væri almennt gætt hjá skólanum, þ. á m. um hvernig skjalfestingu öryggisferla væri háttað í því sambandi. Í bréfi Persónuverndar var einnig farið yfir þau sjónarmið sem reynir á við ákvörðun slíkra sekta og veittur kostur á athugasemdum vegna þeirra.

Svar FB barst með bréfi, dags. 23. janúar 2020. Þar segir að skólinn líti umræddan öryggisbrest mjög alvarlegum augum. Þegar hann hafi orðið hafi skólinn nýlega verið kominn af stað með að innleiða lög nr. 90/2018 og ljóst að hefði skólinn hafið þá vinnu fyrr hefðu verið minni líkur á að bresturinn hefði átt sér stað. Ljóst sé að öryggisbresturinn hafi orðið vegna gáleysis en ekki ásetnings. Til að koma í veg fyrir frekari öryggisbresti og til að framfylgja persónuverndarlöggjöfinni hafi skólinn gripið til ráðstafana í því skyni að tryggja öryggi persónuupplýsinga. Hafi hann sett sér verklagsreglur í formi innri persónuverndarstefnu um meðferð persónuupplýsinga. Allir starfsmenn skólans sem komi að vinnslu persónuupplýsinga hafi fengið fræðslu um öryggisbresti og kynningu á verklagsreglunum. Auk þess hafi verið útbúin skrifleg upplýsingaöryggisstefna sem tiltaki tilgang, umfang, markmið, leiðir að markmiðum og ábyrgð. Fram kemur að upplýsingaöryggisstefnan verði endurskoðuð árlega, eða oftar ef þörf krefji, svo hún samrýmist markmiðum skólans. Þá hafi skólinn hafið gerð skriflegs áhættumats og muni að því loknu velja viðeigandi öryggisráðstafanir, en lýsing á þeim verði sett fram skriflega. Áhættumat og öryggisráðstafanir verði endurskoðaðar reglulega.

Mat skólans sé að viðbrögð hans hafi samrýmst persónuverndarlögum og fyrirmælum Persónuverndar. Eigi það við um með hvaða hætti Persónuvernd var gert kunnugt um öryggisbrestinn, þær aðgerðir sem gripið hafi verið til í því skyni að draga úr tjóni hinna skráðu, auk umfangs samvinnu við Persónuvernd til að bæta úr afleiðingum brestsins og draga úr skaðlegum áhrifum hans. Í ljósi þess, sem og þess að um ræði fyrsta öryggisbrestinn hjá skólanum, telji hann ekki tilefni til þess að beitt verði viðurlögum af hálfu Persónuverndar.

Persónuvernd sendi FB svo bréf, dags. 30. janúar 2020, þar sem óskað var eftir staðfestingu á þeim fjölda einstaklinga/tölvupóstfanga sem höfðu fengið viðhengið sent, auk þess sem óskað var eftir afriti af skriflegri skjalfestingu verklags í tengslum við vinnslu persónuupplýsinga hjá FB, sem skólinn hafði vísað til í fyrri samskiptum.

Svar barst með bréfi, dags. 5. febrúar 2020. Þar var staðfest að viðhengi sem innihélt hinar viðkvæmu persónuupplýsingar hafði verið sent á 20 nemendur og 37 forráðamenn, auk þess sem sendandi hafði einnig sent afrit á sjálfan sig. Alls hafði viðhengið því verið sent á 58 netföng. Með bréfi FB fylgdi einnig afrit af persónuverndarstefnu og upplýsingaöryggisstefnu skólans, sem tóku gildi 23. janúar 2020.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.

Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur sem vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur að vinnslu persónuupplýsinga hjá menntastofnun. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. einnig 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Fjölbrautaskólinn í Breiðholti vera ábyrgðaraðili að umræddri vinnslu.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, sbr. 3. tölul. ákvæðis laganna, sbr. c-lið ákvæðis reglugerðarinnar. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt b.-lið 3. tölul. 3. gr. laganna eru heilsufarsupplýsingar, þ.e. persónuupplýsingar sem varða líkamlegt eða andlegt heilbrigði einstaklings, viðkvæmar, sbr. einnig 1. mgr. 9. gr. reglugerðarinnar, en af gögnum máls verður ráðið að unnið hafi verið með upplýsingar um líkamlegt og andlegt heilbrigði nemenda. Eins og hér háttar til kemur þá einkum til skoðunar 7. tölul. 1. mgr. 11. gr. laganna, þess efnis að vinnsla viðkvæmra persónuupplýsinga sé heimil sé hún nauðsynleg, af ástæðum sem varða verulega almannahagsmuni og fari fram á grundvelli laga sem kveða á um viðeigandi og sértækar ráðstafanir til að vernda grundvallarréttindi og hagsmuni hins skráða, sbr. einnig h-lið 1. mgr. 9. gr. reglugerðarinnar. Vísast í því sambandi til ákvæða 33. gr. a til 34. gr. a í lögum nr. 92/2008 um framhaldsskóla þar sem fjallað er um það meðal annars hvernig slíkum skólum er skylt að fylgjast með aðstæðum nemenda sinna og, eins og fram kemur í 1. mgr. 34. gr. laganna, veita nemendum með tilfinningalega eða félagslega örðugleika sérstakan stuðning í námi. Þá vísast til þeirrar óskráðu grunnreglu að opinberir aðilar skrásetji mikilvæg atriði sem á reynir í starfsemi þeirra.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar m.a. kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða; að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi; að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu; og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt.

Samkvæmt 23. gr. laga nr. 90/2018, sbr. 24. gr. reglugerðar (ESB) 2016/679, skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar ráðstafanir sem taka mið af eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu fyrir réttindi og frelsi skráðra einstaklinga til að tryggja og sýna fram á að vinnsla persónuupplýsinga uppfylli kröfur reglugerðarinnar. Kemur fram í 24. gr. laganna, sbr. 25. gr. reglugerðarinnar, að með þessum ráðstöfunum skal tryggja að persónuvernd sé innbyggð og sjálfgefin. Þá kemur fram í 2. mgr. 24. gr. reglugerðarinnar að þar sem það samrýmist meðalhófi í tengslum við vinnslustarfsemina skuli ráðstafanirnar m.a. fela í sér að ábyrgðaraðili innleiði viðeigandi persónuverndarstefnur. Slíkar stefnur voru ekki til staðar er umræddur öryggisbrestur varð. Hvað varðar þær ráðstafanir sem gera þarf vegna vinnslu persónuupplýsinga er til þess að líta að þær skulu m.a. tryggja að það sé sjálfgefið að persónuupplýsingar verði ekki gerðar aðgengilegar óviðkomandi aðilum og þannig ótakmörkuðum fjölda fólks, sbr. 2. mgr. 25. gr. reglugerðarinnar.

Framangreindar reglur laga nr. 90/2018 og reglugerðar (ESB) 2016/679 eru áréttaðar í 1. mgr. 27. gr. laganna, en þar segir að ábyrgðaraðili og vinnsluaðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga samkvæmt nánari fyrirmælum 32. gr. reglugerðarinnar, en sú grein verður talin meginákvæði hennar um upplýsingaöryggi. Segir í 2. mgr. greinarinnar að við mat á því hvort viðeigandi öryggi sé til staðar skuli einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, m.a. með hliðsjón af því hvernig persónuupplýsingar eru sendar, geymdar eða unnar á annan hátt, hættu á að þær glatist, breytist, verði birtar eða veittur aðgangur að þeim í leyfisleysi.

Af gögnum málsins er ljóst að upplýsingar um líkamlega og andlega heilsu nemenda, auk annarra upplýsinga um persónulega einkahagi þeirra, voru sendar óviðkomandi aðilum.

Í ljósi atvika máls og þeirra krafna sem lög nr. 90/2018 og reglugerð (ESB) 2016/679 gera til öryggis við vinnslu viðkvæmra persónuupplýsinga er það mat Persónuverndar að FB hafi ekki tryggt nægilega vel að upplýsingar um veikindi og aðra hagi nemenda skólans kæmu ekki fyrir augu óviðkomandi aðila. Var viðeigandi öryggi upplýsinganna því ekki tryggt líkt og áskilið er í 6. tölul. 1. mgr. 8. gr., 23., 24. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr., 24., 25. og 32. gr. reglugerðar (ESB) 2016/679. Því er niðurstaða Persónuverndar sú að vinnsla FB á persónuupplýsingum um nemendur hafi brotið gegn framangreindum ákvæðum laganna og reglugerðarinnar.

3.

Sjónarmið um beitingu viðurlaga

Að framangreindu virtu kemur því til skoðunar hvort beita skuli FB stjórnvaldssektum vegna þessa, sbr. 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðar (ESB) 2016/679. Við ákvörðun þar að lútandi og um fjárhæð sektar ber að líta til 1. mgr. 47. gr. laga nr. 90/2018, sbr. 2. mgr. 83. gr. reglugerðarinnar. Eru þar talin upp atriði sem ýmist geta verið hlutaðeigandi til málsbóta eða honum í óhag. Eftirfarandi atriði koma til skoðunar í þessu máli:

Eðli, umfang og tilgangur vinnslu

Samkvæmt 1. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. a-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvers eðlis, hversu alvarlegt og hversu langvarandi brot var, með tilliti til eðlis, umfangs og tilgangs vinnslu, auk fjölda skráðra einstaklinga sem fyrir því urðu og hversu alvarlegu tjóni þeir urðu fyrir. Ljóst er að umræddur öryggisbrestur fól í sér verulega skerðingu á einkalífsrétti viðkomandi nemenda í ljósi eðlis þeirra persónuupplýsinga sem um ræddi. Þær voru sendar frá umsjónarkennara þeirra frá fyrri vetri á nýnema sem voru í umsjón hjá honum, auk forráðamanna þeirra, alls 57 manns. Hins vegar er ljóst að ekki er um að ræða langvarandi brot heldur einstakt tilvik. Þá er ljóst að ekki var um að ræða vinnslu í ólögmætum tilgangi heldur mannleg mistök.

Huglæg afstaða

Samkvæmt 2. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. b-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvort brot hafi verið framið af ásetningi eða gáleysi. Ekkert liggur fyrir um að hér hafi ásetningur búið að baki og ljóst að öryggisbresturinn varð fyrir mannleg mistök.

Aðgerðir til að draga úr tjóni skráðra einstaklinga

Samkvæmt 3. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. c-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þeirra aðgerða sem gripið hefur verið til í því skyni að draga úr tjóni skráðra einstaklinga. Í því sambandi hefur vægi að nánast samstundis eftir að öryggisbresturinn varð sendi kennarinn sem hér um ræðir skilaboð til allra viðtakenda, þess efnis að þeir skyldu eyða þeim gögnum sem þeir höfðu ranglega fengið. Einnig hefur vægi að forráðamönnum þeirra nemenda sem upplýsingar lutu að var greint frá brestinum. Liggur fyrir að það var bæði gert í tölvupósti og símleiðis og að til forráðamanna allra nemendanna, utan tveggja, náðist í síma.

Umfang ábyrgðar með hliðsjón af tæknilegum og skipulagslegum ráðstöfunum

Samkvæmt 4. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hversu mikla ábyrgð ábyrgðaraðili eða vinnsluaðili ber með tilliti til tæknilegra og skipulagslegra ráðstafana. Þetta er meðal annars skýrt nánar í 32. gr. reglugerðarinnar, á þann hátt að með hliðsjón af nýjustu tækni, kostnaði við framkvæmd og eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga, skuli ábyrgðaraðili og vinnsluaðili gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi miðað við áhættuna. Hér hefðu því átt að vera til staðar ráðstafanir sem komið hefðu í veg þann öryggisbrest er hér um ræðir. Af gögnum málsins verður hins vegar ráðið að þær hafi ekki verið til staðar.

Fyrri brot sem máli skipta

Samkvæmt 5. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. e-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til fyrri brota ábyrgðaraðila eða vinnsluaðila sem máli skipta, ef einhver eru. Ekki liggja fyrir niðurstöður um að FB hafi brotið gegn persónuverndarlöggjöf áður en öryggisbresturinn kom upp.

Eftir að hann varð hafa Persónuvernd hins vegar borist tvær aðrar tilkynningar um öryggisbrest frá FB, dags. 22. ágúst 2019 (mál nr. [...]) og 27. janúar 2020 (mál nr. [...]). Þessir öryggisbrestir þóttu ekki þess eðlis að tilefni væri til sérstakra aðgerða af hálfu Persónuverndar og þóttu viðbrögð skólans fullnægjandi.

Umfang samvinnu við Persónuvernd

Samkvæmt 6. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. f-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til umfangs samvinnu við Persónuvernd til þess að bæta úr broti og draga úr skaðlegum áhrifum þess. Fyrir liggur að FB tilkynnti um öryggisbrestinn þegar eftir að hann komst upp. Þá hefur skólinn brugðist greiðlega við beiðnum Persónuverndar um skýringar og upplýsingar innan þeirra tímafresta sem veittir hafa verið.

Flokkar persónuupplýsinga

Samkvæmt 7. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. g-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess hvaða flokka persónuupplýsinga brot hafði áhrif á. Eins og lýst hefur verið var hér um að ræða upplýsingar um líðan, námsárangur og félagslegar aðstæður 18 ólögráða framhaldsskólanemenda. Að verulegu leyti lutu upplýsingarnar að einhverju sem var ábótavant hjá þeim og í einu tilviki að því að barnaverndaryfirvöld hefðu haft afskipti vegna hlutaðeigandi. Þá var m.a. um að ræða heilsufarsupplýsingar, en samkvæmt b-lið 3. tölul. 3. gr. laga nr. 90/2018 teljast slíkar upplýsingar, bæði hvað varðar líkamlega og andlega heilsu, viðkvæmar.

Með hvaða hætti eftirlitsstjórnvaldi var gert kunnugt um brot

Samkvæmt 8. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. h-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til þess með hvaða hætti eftirlitsstjórnvaldi var gert kunnugt um brot. Eins og fyrr greinir tilkynnti Fjölbrautaskólinn í Breiðholti Persónuvernd um öryggisbrestinn sama dag og hans varð vart. Þá hefur skólinn brugðist greiðlega við beiðnum Persónuverndar um skýringar og upplýsingar innan þeirra tímafresta sem veittir hafa verið.

Aðrir íþyngjandi eða mildandi þættir

Samkvæmt 11. tölul. 1. mgr. 47. gr. laga nr. 90/2018, sbr. k-lið 2. mgr. 83. gr. reglugerðar (ESB) 2016/679, ber að líta til annarra íþyngjandi eða mildandi þátta en þeirra sem taldir eru upp fyrr í ákvæðinu, s.s. hagnaðar eða taps sem komist var hjá með beinum eða óbeinum hætti vegna brots. Í því sambandi má nefna, sem mildandi þátt, að starfsmenn FB hafa fengið fræðslu um upplýsingaöryggi og að útbúin hefur verið skrifleg upplýsingaöryggisstefna með verklagsreglum um meðferð persónuupplýsinga.

4.

Niðurstaða um viðurlög

Eins og rakið er að framan í kafla II.2. um lögmæti vinnslu liggur fyrir að vinnsla FB braut gegn 6. tölul. 1. mgr. 8. gr., 23., 24. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr., 24., 25. og 32. gr. reglugerðar (ESB) 2016/679. Kemur fram í 46. gr. laga nr. 90/2018, sbr. 83. gr. reglugerðarinnar, að brot gegn f-lið 1. mgr. 5. gr. og 32. gr. reglugerðarinnar geta varðað stjórnvaldssektum.

Með tilliti til þeirra sjónarmiða sem rakin eru að framan um ákvörðun viðurlaga og til þess að um er að ræða lögaðila sem veitir almannaþjónustu og starfar ekki í fjárhagslegum tilgangi þykir stjórnvaldssekt vera hæfilega ákveðin 1.300.000 krónur.

Á k v ö r ð u n a r o r ð:

Vinnsla Fjölbrautaskólans í Breiðholti, Austurbergi 5, Reykjavík, á persónuupplýsingum um nemendur braut gegn 6. tölul. 1. mgr. 8. gr., 23., 24. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr., 24., 25. og 32. gr. reglugerðar (ESB) 2016/679.

Er 1.300.000 króna stjórnvaldssekt lögð á Fjölbrautaskólann í Breiðholti. Sektina skal greiða í ríkissjóð innan tveggja mánaða frá dagsetningu ákvörðunarinnar.

Í Persónuvernd, 5. mars 2020

Björg Thorarensen
formaður

Aðalsteinn Jónasson Ólafur Garðarsson




Vilhelmína Haraldsdóttir Þorvarður Kári Ólafsson



Var efnið hjálplegt? Nei