Vinnsla persónuupplýsinga af hálfu Reykjavíkurborgar
Mál nr. 2022081293
Ein meginskylda þeirra sem vinna með persónuupplýsingar er að tryggja öryggi þeirra. Í þessu tilfelli urðu þau mistök að skjal, sem innihélt heilsufarsupplýsingar, var sent röngum aðila með tölvupósti. Þrátt fyrir að skjalið hafi verið læst, var viðeigandi öryggi ekki talið tryggt, enda var lykilorð til að opna skjalið sent á sama netfang og skjalið.
----
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir miðlun Austurmiðstöðvar Reykjavíkurborgar á viðkvæmum persónuupplýsingum til óviðkomandi aðila með tölvupósti. Nánar tiltekið var um að ræða sendingu læstrar skýrslu, sem innihélt heilsufarsupplýsingar barns, ásamt lykilorði til að opna skýrsluna.
Niðurstaða Persónuverndar var sú að miðlunin grundvallaðist hvorki á vinnsluheimild né samrýmdist hún meginreglum persónuverndarlaga um lögmæta, sanngjarna og gagnsæja vinnslu og öryggi persónuupplýsinga.
Úrskurður
um kvörtun yfir miðlun persónuupplýsinga til óviðkomandi aðila af hálfu Reykjavíkurborgar í máli nr. 2022081293:
I.
Málsmeðferð
1.
Kvörtun og sjónarmið aðila
Hinn 9. ágúst 2022 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi). Laut kvörtunin að því að Austurmiðstöð Reykjavíkurborgar hefði miðlað læstri skýrslu, sem innihélt heilsufarsupplýsingar um barn hans, og lykilorði til að opna skýrsluna, til óviðkomandi aðila með tölvupósti.
Persónuvernd bauð Reykjavíkurborg að tjá sig um kvörtunina með bréfi, dags. 8. nóvember s.á., og bárust svör borgarinnar, ásamt fylgigögnum, 22. s.m. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör Reykjavíkurborgar með bréfi, dags. 30. s.m., og bárust þær með tölvupósti 7. desember s.á. Að auki barst Persónuvernd bréf frá Reykjavíkurborg 6. s.m., þar sem borgin greindi frá þeim ráðstöfunum sem innleiddar höfðu verið hjá Austurmiðstöð í tengslum við sendingu gagna.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
___________________
Ágreiningur er um hvort Reykjavíkurborg hafi viðhaft tæknilegar og skipulagslegar ráðstafanir í því skyni að tryggja öryggi persónuupplýsinga í því tilviki sem um ræðir, samkvæmt 27. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Kvartandi byggir á því að skilyrði IV. kafla laga nr. 90/2018 um öryggi persónuupplýsinga hafi ekki verið uppfyllt, enda hafi umrædd skýrsla verið send á sama netfang og lykilorðið til að opna hana, þótt það hafi verið gert með tveimur tölvupóstum. Kvartandi telur að Reykjavíkurborg hafi átt að koma í veg fyrir umrætt atvik með því að innleiða viðeigandi tæknilegar og skipulagslegar ráðstafanir sem hannaðar væru til að framfylgja meginreglum um persónuvernd. Þá vill kvartandi fá úr því skorið hvort viðbrögð Reykjavíkurborgar við atvikinu hafi verið í samræmi við ákvæði persónuverndarlaga.
Reykjavíkurborg telur sig hafa viðhaft viðeigandi tæknilegar og skipulagslegar ráðstafanir í því skyni að tryggja öryggi persónuupplýsinga í því tilviki sem um ræðir, sbr. 27. gr. laga nr. 90/2018. Í því sambandi vísar Reykjavíkurborg til þess að persónuupplýsingarnar hafi verið sendar í læstu skjali í tölvupósti og lykilorð í öðrum tölvupósti til að opna skjalið. Þá hafi Reykjavíkurborg tilkynnt atvikið sem öryggisbrest til Persónuverndar innan 72 klst. frá því það átti sér stað, og þeim aðilum sem málið varðar verið tilkynnt um það, bæði símleiðis og með bréfi. Að auki hafi frávikið sem fólst í umræddum mistökum verið skjalfest af hálfu Reykjavíkurborgar.
2.
Tilkynning um öryggisbrest
Persónuvernd barst tilkynning frá Reykjavíkurborg um öryggisbrest þann 1. júlí 2022 (sbr. mál nr. 2022071178). Laut tilkynningin að því að mistök hefðu leitt til þess að starfsmaður Austurmiðstöðvar Reykjavíkurborgar hefði sent læsta skýrslu, sem innihélt heilsufarsupplýsingar barns kvartanda, og lykilorð til að opna skýrsluna, á óviðkomandi aðila með tölvupósti. Við sendingu skýrslunnar hefðu átt sér stað mannleg mistök við innslátt á netfangi, sem urðu til þess að skýrslan og lykilorðið voru send á rangan aðila.
Í tilkynningunni er greint frá því að viðtakandi tölvupóstanna hefði látið vita af mistökunum sama dag og þau áttu sér stað. Í kjölfarið hefði verið haft samband við viðtakanda og hann beðinn um að eyða tölvupóstunum. Að auki hefðu foreldrar barnsins verið upplýstir um mistökin, en haft hefði verið samband við þá símleiðis. Þá segir að starfsfólki Austurmiðstöðvar hefði ekki verið ljóst að um tilkynningarskyldan öryggisbrest hefði verið að ræða, en persónuverndarfulltrúi Reykjavíkurborgar hefði fengið upplýsingar um atvikið daginn eftir að það átti sér stað, þegar kvartandi áframsendi umrædda tölvupósta.
Með tölvupósti 4. ágúst 2022, upplýsti Persónuvernd Reykjavíkurborg um að stofnunin teldi ekki tilefni til aðgerða miðað við þær upplýsingar sem voru í tilkynningunni. Í bréfinu kom jafnframt fram að málið kynni að verða tekið upp að nýju, í heild eða að hluta, ef nýjar upplýsingar kæmu fram, kvörtun bærist frá einstaklingi eða nýjar tilkynningar um öryggisbresti bærust.
II.
Niðurstaða
1.
Gildissvið - Ábyrgðaraðilar
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Mál þetta lýtur að sendingu læstrar skýrslu, sem innihélt heilsufarsupplýsingar um barn kvartanda, með tölvupósti á óviðkomandi aðila, ásamt lykilorði til að opna skýrsluna. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Eins og hér háttar til telst Reykjavíkurborg vera ábyrgðaraðili umræddrar vinnslu samkvæmt lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
2.
Lögmæti vinnslu og niðurstaða
Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679. Vinnsla viðkvæmra persónuupplýsinga verður að auki að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 1. og 2. mgr. 9. gr. reglugerðarinnar. Af málsgögnum verður ráðið að unnið hafi verið með heilsufarsupplýsingar um barn kvartanda, en þær teljast viðkvæmar persónuupplýsingar, sbr. b-lið 3. tölul. 3. gr. laganna, og 1. mgr. 9. gr. reglugerðarinnar
Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul. lagaákvæðisins) og að þær skuli unnar með þeim hætti að viðeigandi öryggi þeirra sé tryggt (6. tölul.).
Nánar er fjallað um öryggi persónuupplýsinga í 27. gr. laga nr. 90/2018. Í 1. mgr. ákvæðisins segir að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja viðunandi öryggi persónuupplýsinga með hliðsjón af nýjustu tækni, kostnaði við framkvæmd, eðli, umfangi, samhengi og tilgangi vinnslunnar og áhættu, mislíklegri og misalvarlegri, fyrir réttindi og frelsi einstaklinga samkvæmt nánari fyrirmælum 32. gr. reglugerðar (EBS) 2016/679. Samkvæmt 2. mgr. reglugerðarákvæðisins skal, við mat á viðunandi öryggi, hafa hliðsjón af þeirri áhættu sem vinnsla persónuupplýsinga hefur í för með sér að því er varðar að þær glatist, breytist, verði birtar eða aðgangur veittur að þeim í leyfisleysi.
Af þeim upplýsingum sem liggja fyrir í máli þessu, svo og fyrrgreindri tilkynningu Reykjavíkurborgar um öryggisbrest til Persónuverndar, má ráða að Reykjavíkurborg líti á þá vinnslu sem hér er til umfjöllunar sem öryggisbrest í skilningi 11. tölul. 3. gr. laga nr. 90/2018 og 12. tölul. 4. gr. reglugerðar (ESB) 2016/679. Því hefur ekki verið haldið fram af hálfu Reykjavíkurborgar að heimild hafi staðið til vinnslunnar samkvæmt 9. gr. laga nr. 90/2018, sbr. 6. gr. reglugerðar (ESB) 2016/679, né að fullnægt hafi verið skilyrðum 11. gr. sömu laga fyrir vinnslu viðkvæmra persónuupplýsinga, sbr. 9. gr. reglugerðarinnar. Af því leiðir jafnframt að vinnslan var ekki lögmæt, sbr. 1. tölul. 1. mgr. 8. gr. laganna, sbr. a-lið 1. mgr. 5. gr. reglugerðarinnar.
Kemur þá næst til skoðunar hvort upplýsingaöryggis hafi verið gætt í samræmi við 6. tölul. 1. mgr. 8. gr. og 27. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 5. gr. og 2. mgr. 32. gr. reglugerðar (ESB) 2016/679. Líkt og að framan greinir, þá telur Reykjavíkurborg sig hafa viðhaft viðeigandi tæknilegar og skipulagslegar ráðstafanir, þar sem persónuupplýsingarnar voru sendar í læstu skjali í tölvupósti og lykilorð í öðrum tölvupósti til að opna skjalið. Eins og hér háttar til telur Persónuvernd ekki unnt að fallast á þá afstöðu, enda hafi læsing skýrslunnar komið að litlu gagni þar sem lykilorðinu var miðlað til aðila með sama hætti og skýrslan, þ.e. í samliggjandi tölvupóstum, á sama netfang. Að mati Persónuverndar tryggði Reykjavíkurborg því ekki öryggi persónuupplýsinga barns kvartanda með þeim hætti sem áskilið er í ákvæðum 27. gr. laga nr. 90/2018 og 32. gr. reglugerðar (ESB) 2016/679.
Þá liggur fyrir að Reykjavíkurborg tilkynnti umræddan öryggisbrest til Persónuverndar innan 72 klst. frá því hann átti sér stað, sbr. 2. mgr. 27. gr. laga nr. 90/2018 og 1. mgr. 33. gr. reglugerðar (ESB) 2016/679. Foreldrum barnsins sem persónuupplýsingarnar varða var jafnframt tilkynnt um málið, bæði símleiðis og með bréfi, sbr. 3. mgr. 27. gr. laganna og 2. mgr. 34. gr. reglugerðarinnar. Að auki fór Reykjavíkurborg þess á leit við viðtakanda skýrslunnar að henni yrði eytt. Eins og hér háttar til telur Persónuvernd ekki hafa verið tilefni til frekari aðgerða af hálfu Reykjavíkurborgar og viðbrögð sveitarfélagsins hafi því samrýmst framangreindum ákvæðum.
Að framangreindu virtu er það niðurstaða Persónuverndar að sú vinnsla Austurmiðstöðvar Reykjavíkurborgar með persónuupplýsingar barns kvartanda, sem hér er til umfjöllunar, hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679.
Með hliðsjón af þeim ráðstöfunum sem Austurmiðstöð Reykjavíkurborgar hefur innleitt í tengslum við sendingu gagna, sem tilgreindar eru í bréfi Reykjavíkurborgar til Persónuverndar frá 6. desember 2022, telur Persónuvernd ekki þörf á að veita Reykjavíkurborg sérstök fyrirmæli.
Ú r s k u r ð a r o r ð:
Miðlun Reykjavíkurborgar á persónuupplýsingum um barn [A], sem fólst í því að óviðkomandi aðila var send skýrsla sem innihélt heilsufarsupplýsingar um barnið, grundvallaðist hvorki á vinnsluheimild né samrýmdist hún ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga og reglugerðar (ESB) 2016/679 um lögmæta, sanngjarna og gagnsæja vinnslu og öryggi persónuupplýsinga.
Persónuvernd 10. mars 2023
Bjarni Freyr Rúnarsson Harpa Halldórsdóttir