Vertu memm

Frétt

Sektir vegna ferðagjafar stjórnvalda

Birting:

þann

Ferðagjöfin

Persónuvernd hefur lagt stjórnvaldssektir, annars vegar að fjárhæð 7.500.000 kr., á atvinnuvega- og nýsköpunarráðuneytið og hins vegar að fjárhæð 4.000.000 kr. á fyrirtækið YAY ehf., vegna vinnslu persónuupplýsinga í tengslum við ferðagjöf stjórnvalda. Nánar tiltekið voru sektirnar lagðar á vegna brota gegn grundvallarreglum persónuverndarlöggjafarinnar, til dæmis um fræðsluskyldu, gagnsæi og öryggi persónuupplýsinga í smáforritinu Ferðagjöf.

Upphaf málsins má rekja til útgáfu ferðagjafar stjórnvalda sem hvetja átti landsmenn til ferðalaga innanlands sumarið 2020. Um er að ræða stafræn gjafabréf sem miðlað var til einstaklinga með smáforriti fyrirtækisins YAY ehf. Persónuvernd barst fjöldi ábendinga um að við notkun ferðagjafarinnar væri krafist umfangsmikilla persónuupplýsinga og víðtæks aðgangs að símtækjum notenda og var því frumkvæðisrannsókn sett af stað.

Niðurstaða Persónuverndar var sú að atvinnuvega- og nýsköpunarráðuneytið, sem ábyrgðaraðili vinnslunnar, braut gegn mörgum grundvallarreglum persónuverndarlöggjafarinnar auk þess sem vinnslan var umfangsmikil. Má þar nefna að heimild skorti til vinnslu persónuupplýsinga, m.a. samkvæmt lögum, og að þær kröfur sem gerðar eru til samþykkis fyrir vinnslu voru ekki uppfylltar. Þá var sanngirni og gagnsæis ekki gætt við vinnsluna, þar sem notendum var einungis gert að samþykkja almenna notendaskilmála fyrirtækisins YAY, í stað þess að samþykkja sérstaklega vinnslu persónuupplýsinga við skráningu í forritið. Fræðsla var jafnframt ófullnægjandi um þá vinnslu persónuupplýsinga sem fór fram í reynd. Loks gerðu hvorki atvinnuvega- og nýsköpunarráðuneytið né YAY ehf. viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi við vinnslu persónuupplýsinga, svo sem með aðlögun og mótun stillinga smáforritsins, auk þess sem ekki var gerður vinnslusamningur milli aðila svo sem lög kveða á um, en gerð slíks samnings telst til mikilvægra skipulagslegra ráðstafana vegna vinnslu persónuupplýsinga.

Þrátt fyrir ábendingar Persónuverndar um ófullnægjandi fræðslu var seint gripið til úrbóta og allt þar til verkefninu lauk var notendum gert að samþykkja ranga notendaskilmála við innskráningu í smáforritið.

Þá var, fyrir mistök YAY ehf., aflað víðtækra og ónauðsynlegra aðgangsheimilda í símtækjum notenda smáforritsins, meðal annars að viðkvæmum persónuupplýsingum, svo sem trúnaðarupplýsingum í dagatali. Hins vegar kom í ljós við rannsókn málsins að persónuupplýsingar notenda hefðu ekki verið sóttar á grundvelli fyrrgreindra aðgangsheimilda.

Fyrirtækið viðurkenndi að vinnslan hefði farið fram fyrir mistök og verið ónauðsynleg. Auk þess komst Persónuvernd að þeirri niðurstöðu að fyrirtækið hefði ekki uppfyllt kröfur persónuverndarlaga um innbyggða og sjálfgefna persónuvernd við uppsetningu smáforritsins. Þá lágu ekki fyrir gögn sem sýndu að gerðar hefðu verið úttektir eða prófanir til að meta skilvirkni og stillingar forritsins, meðal annars með tilliti til þess hvaða persónuupplýsinga væri í reynd óskað við innskráningu í smáforritið og þeirra aðgangsheimilda sem aflað væri sjálfkrafa. Var háttsemi YAY ehf. því ekki talin samræmast persónuverndarlöggjöfinni hvað þessi atriði varðaði.

Ákvörðun í máli nr. 2020092288.

Vegna ákvörðunar Persónuverndar um Ferðagjöf

Vegna ákvörðunar Persónuverndar varðandi Ferðagjöf vill atvinnuvega- og nýsköpunarráðuneytið koma eftirfarandi á framfæri:

Markmið Ferðagjafar var að hvetja til ferðalaga innanlands og styðja þannig við íslensk ferðaþjónustufyrirtæki í kjölfar heimsfaraldurs COVID-19. Verkefnið var meðal þeirra skilgreindu aðgerða sem ætlað var að styðja við viðspyrnu efnahagslífsins, þá einkum ferðaþjónustunnar. Mikil áhersla var lögð á að veita Íslendingum hvata til að ferðast innanlands og nýta sér afþreyingu og þjónustu. Útbúin var tæknileg lausn í formi smáforrits sem gerði þetta kleift með skömmum fyrirvara.

Ráðuneytinu þykir miður að mistök hafi átt sér stað sem leiddu til þess að aflað var víðtækari persónuupplýsinga en efni stóðu til. Mistökin fólust m.a. í því að smáforrit Ferðagjafar aflaði upplýsinga um aldur og kyn einstaklinga fyrstu þrjá dagana eftir útgáfu smáforritsins. Líkt og fram kemur í ákvörðun Persónuverndar er það mat stofnunarinnar að sú tímaþröng sem verkefnið var unnið í hafi átt stærstan þátt í að umrædd vinnsla hafi farið fram. Um mannleg mistök var að ræða sem þegar í stað var ráðin bót á.

Ráðuneytið vill þó vekja sérstaka athygli á því, líkt og fram kemur í ákvörðun Persónuverndar, að enginn einstaklingur varð fyrir tjóni vegna vinnslunnar. Um leið og mistökin urðu ljós, var látið af umræddri öflun upplýsinga og þeim eytt í kjölfarið. Meðan á vinnslu málsins stóð var bætt úr öllum annmörkum og orðið við tilmælum Persónuverndar.

Persónuvernd hóf frumkvæðisathugun á málinu í september 2020 og hefur átt í samskiptum bæði við YAY ehf. og atvinnuvega- og nýsköpunarráðuneytið, sem er ábyrgðaraðili framkvæmdarinnar en Stafrænt Ísland leiddi tæknilega útfærslu þess. Ráðuneytið fagnar framkomnum athugasemdum Persónuverndar.

Það er mat atvinnuvega- og nýsköpunarráðuneytisins að þrátt fyrir minniháttar hnökra í upphafi verkefnisins, sem í einu og öllu hefur verið bætt úr, hafi framkvæmd Ferðagjafarinnar gengið vel og fjölmargir Íslendingar notið hennar í þágu íslenskrar ferðaþjónustu.

Smári er matreiðslumaður að mennt, en hann hefur starfað við fagið til fjölda ára, bæði sem starfsmaður og rekstraraðili. Í dag starfar Smári hjá Tónaflóði heimasíðugerð. Hægt er að hafa samband við Smára á netfangið [email protected] Skoða allar greinar höfundar >>

Auglýsingapláss

Podcast / Hlaðvarp

Ekki missa af neinu

Fréttabréf

Veldu eitt eða allt af eftirtöldu:

Mest lesið