Vinnsla persónuupplýsinga af hálfu Nova hf.
Mál nr. 2021122409
Sá sem vinnur persónuupplýsingar þínar þarf alltaf að tryggja viðeigandi öryggi þeirra. Í þessu tilviki var símanúmeri einstaklings úthlutað til annars og var því viðeigandi öryggis við vinnslu persónuupplýsinga ekki gætt.
----
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir vinnslu persónuupplýsinga af hálfu Nova.hf. Nánar tiltekið var kvartað yfir því að símanúmeri kvartanda var úthlutað til óviðkomandi aðila sem hafði sótt um símanúmer hjá Nova. Símanúmer kvartanda varð við þetta óvirkt og virkt í síma viðkomandi aðila.
Niðurstaða Persónuverndar var sú að vinnsla Nova á persónuupplýsingum kvartanda samrýmdist ekki lögum um persónuvernd og vinnslu og öryggi persónuupplýsinga. Beinir Persónuvernd því til Nova að gera ráðstafanir sem tryggja viðeigandi öryggi persónuupplýsinga.
Úrskurður
um kvörtun yfir úthlutun á símanúmeri til utanaðkomandi aðila af hálfu Nova hf. í máli nr. 2021122409:
I.
Málsmeðferð
Hinn 17. desember 2021 barst Persónuvernd kvörtun frá [A], (hér eftir kvartandi) yfir úthlutun Nova hf. (hér eftir Nova) á símanúmeri hans til utanaðkomandi aðila. Nánar tiltekið hafi atvik verið með þeim hætti að viðkomandi aðili hafi sótt um símanúmer hjá Nova og fengið úthlutað númeri kvartanda. Við þetta hafi símanúmerið í síma kvartanda orðið óvirkt og því virkt í síma viðkomandi aðila.
Persónuvernd bauð Nova að tjá sig um kvörtunina með bréfi, dags. 27. júní 2022, og bárust svör fyrirtækisins 29. júlí 2022. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
___________________
Ágreiningur er um hvort umrætt atvik hafi falið í sér öryggisbrest, sem jafnframt hafi verið tilkynningarskyldur. Í því sambandi er um það deilt hvort persónuupplýsingar kvartanda hafi með atvikinu verið gerðar aðgengilegar utanaðkomandi aðila og Nova hafi þannig ekki tryggt nægilega öryggi við vinnslu persónuupplýsinga.
Kvartandi telur að um öryggisbrest hafi verið að ræða, sem hafi falið það í sér að utanaðkomandi aðili hafi haft aðgang að meðal annars textaskilaboðum sem gætu hafa borist í símanúmerið á því tímabili sem hann hafði aðgang að því. Einnig hafi viðkomandi aðili getað komist inn á þá vefi og snjallforrit sem noti símanúmer sem auðkenni. Bendir kvartandi á að Nova sé til að mynda með slíkt kerfi.
Nova telur að ekki hafi verið um öryggisbrest að ræða samkvæmt lögum nr. 90/2018, enda hafi persónuupplýsingar á ábyrgð Nova, sem hafi tengst símanúmeri kvartanda ekki verið í hættu vegna atviksins. Um mannleg mistök hjá viðkomandi starfsmanni sem afhenti símanúmerið til óviðkomandi aðila hafi verið að ræða. Engar upplýsingar um fyrri símtöl, textaskilaboð eða annað hafi verið aðgengilegar við flutning á símanúmerinu. Notkunarupplýsingar sem séu aðgengilegar í þjónustulausnum Nova, séu aðeins aðgengilegar frá þeim tíma sem síðast hafi verið skipt um SIM kort, þannig sá einstaklingur sem fékk úthlutað númeri kvartanda hefði ekki getað aflað upplýsinga um fyrri notkun. Þá verði ekki séð að Nova geti borið ábyrgð á öðru sem kunni að tengjast símanúmeri kvartanda, s.s. notkun á auðkenningarleiðum í þjónustur ótengdar fyrirtækinu.
Telur Nova að um öryggisatvik hafi verið að ræða, sem hafi verið skráð í samræmi við stjórnkerfi upplýsingaöryggis og atvikið verið meðhöndlað sem slíkt. Þar hafi verið greindar ástæður atviksins og til hvaða skipulagslegu og tæknilegu ráðstafana hægt væri að grípa til þess að minnka möguleika á að samskonar atvik ætti sér stað aftur. Nova telur að gildandi ferlar lágmarki áhættu á að mistök sem þessi eigi sér stað, og vísar til þess að atvik lík þessu hafi eingöngu komið upp þrisvar sinnum frá árinu 2015 að þessu atviki meðtöldu. Það sé því mat Nova að tæknilegar og skipulagslegar ráðstafanir standi í samræmi við eðli, umfang, samhengi og tilgang vinnslunnar og áhættu, mislíklega og misalvarlega, fyrir réttindi og frelsi einstaklinga, svo sem kveðið sé á um í 27. gr. laga nr. 90/2018.
II.
Forsendur og niðurstaða
1.
Lögmæti vinnslu
Mál þetta lýtur að því að Nova hafi úthlutað símanúmeri kvartanda til óviðkomandi aðila. Nova hefur haldið því fram að ekki hafi verið um öryggisbrest að ræða þar sem engar persónuupplýsingar á ábyrgð fyrirtækisins, sem hafi tengst símanúmeri kvartanda hafi verið í hættu vegna atviksins. Varðandi framangreint er á það bent að símanúmer kvartanda fellur eitt og sér undir hugtakið persónuupplýsingar, skv. 2. tölul. 3. gr. laga nr. 90/2018, og varðar mál þetta því vinnslu persónuupplýsinga hjá Nova sem fellur undir valdsvið Persónuverndar. Nova telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679, og samrýmast öllum meginreglum 1. mgr. 8. gr. laganna, sbr. 1. mgr. 5. gr. reglugerðarinnar, sem mæla meðal annars fyrir um að persónuupplýsingar skuli unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt. Í því felst meðal annars, sbr. 27. gr. laganna, að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga samkvæmt nánari fyrirmælum 32. gr. reglugerðarinnar. Í 32. gr. reglugerðarinnar kemur fram að við mat á viðunandi öryggi skuli einkum hafa hliðsjón af þeirri áhættu sem vinnslan hefur í för með sér, einkum að því er varðar óviljandi eða ólögmæta vinnslu persónuupplýsinga eða að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.
Fyrir liggur að veikleiki innan öryggiskerfis Nova leiddi til þess að óviðkomandi aðili fékk aðgang að símanúmeri kvartanda og gat með því nálgast frekari persónuupplýsingar um kvartanda, þ.e. með möguleikanum á aðgangi að vefum og snjallforritum sem noti símanúmer sem auðkenni. Líkt og að framan greinir leiddu mannleg mistök til atviksins. Tvívegis áður, frá árinu 2015 höfðu samskonar atvik þó átt sér stað og Nova varð ekki kunnugt um þau mistök, sem hér eru til umfjöllunar, fyrr en eftir að atvikið hafði átt sér stað. Þó ekki sé ljóst að viðkomandi aðili hafi í reynd notast við framangreindar leiðir til aðgangs að persónuupplýsingum um kvartanda er óumdeilt að honum var gert það mögulegt vegna atviksins. Líkur standa til að eðli þeirra upplýsinga sem hægt sé að nálgast í slíkum snjallforritum og vefum, geti verið umfangsmiklar og jafnvel innihaldið viðkvæmar persónuupplýsingar í skilningi 3. mgr. 3. gr. laga nr. 90/2018, s.s. meðal annars upplýsingar um kynhneigð. Áhættan sem geti skapast við slíkan aðgang, fyrir réttindi og frelsi skráðra einstaklinga, þ. á m. kvartanda í þessu tilviki, sé því umtalsverð að mati Persónuverndar. Það hafi því sérstök skylda hvílt á Nova að gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðeigandi öryggi persónuupplýsinga með ráðstöfun sem komi í veg fyrir að úthlutun símanúmers sem þegar er í notkun til óviðkomandi aðila.
Að mati Persónuverndar tryggði Nova því ekki öryggi persónuupplýsinga um kvartanda með þeim hætti sem áskilið er í ákvæðum 27. gr. laga nr. 90/2018 og 32. gr. reglugerðar (ESB) 2016/679.
2.
Tilkynning um öryggisbrest
Með hliðsjón af því sem greinir að framan er að mati Persónuverndar jafnframt ljóst að í umræddu atviki fólst öryggisbrestur í skilningi 11. tölul. 3. gr. laga nr. 90/2018 og 12. tölul. 4. gr. reglugerðar (ESB) 2016/679.
Samkvæmt 2. mgr. 27. gr. laga nr. 90/2018 skal ábyrgðaraðili tilkynna Persónuvernd öryggisbrest við meðferð persónuupplýsinga án ótilhlýðilegrar tafar og, ef mögulegt er, eigi síðar en 72 klukkustundum eftir að hann verður brestsins var nema ólíklegt þyki að hann leiði til áhættu fyrir réttindi og frelsi einstaklinga, sbr. jafnframt 1. mgr. 33. gr. reglugerðar (ESB) 2016/679. Þá ber ábyrgðaraðila að tilkynna skráðum einstaklingi um öryggisbrest, leiði hann af sér mikla áhættu fyrir réttindi og frelsi hins skráða, sbr. 3. mgr. 27. gr. laganna og 1. mgr. 34. gr. reglugerðarinnar.
Við mat á því hvort tilkynningarskylda stofnist, þarf að meðal annars að líta til þess að slíkum tilkynningum er einkum ætlað að veita skráðum einstaklingi færi á að gera nauðsynlegar varúðarráðstafanir í því skyni að draga úr hættu á tjóni sem kann að hljótast af öryggisbresti. Vísast um þetta til athugasemda við 27. gr. í frumvarpi því sem varð að lögum nr. 90/2018, sbr. jafnframt 84. og 86. lið formálsorða reglugerðar (ESB) 2016/679.
Ljóst er að Nova tilkynnti ekki um öryggisbrestinn þar sem fyrirtækið taldi sér það ekki skylt. Með vísan til þess sem áður hefur verið rakið um áhættu telur Persónuvernd ljóst að borið hafi að tilkynna stofnuninni og kvartanda um öryggisbrestinn í samræmi við framangreind ákvæði.
Í samræmi við þessa niðurstöðu, og með vísan til 4. töluliðar 42. gr. laga nr. 90/2018, sbr. d-lið 2. mgr. 58. gr. reglugerðar (ESB) 2016/679, er hér með lagt fyrir Nova að gera ráðstafanir til þess að unnið sé með upplýsingar um símanúmer hjá fyrirtækinu með þeim hætti að viðeigandi öryggi þeirra sé tryggt. Slíkar ráðstafanir skulu meðal annars fela í sér að óviðkomandi aðilar geti ekki fengið úthlutað símanúmeri hjá fyrirtækinu sem þegar er í notkun hjá öðrum aðila. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum, ásamt lýsingu ráðstafana sem gripið er til í þessu skyni, berast Persónuvernd eigi síðar en 21. desember 2022.
Ú r s k u r ð a r o r ð:
Vinnsla Nova hf. á persónuupplýsingum um [A] samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, um öryggi persónuupplýsinga.
Persónuvernd beinir þeim fyrirmælum til Nova hf. að gera ráðstafanir til þess að unnið sé með persónuupplýsingar um símanúmer hjá fyrirtækinu með þeim hætti að viðeigandi öryggi þeirra sé tryggt.
Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar 21. desember 2022.
Persónuvernd, 23. nóvember 2022
Bjarni Freyr Rúnarsson Inga Amal Hasan