Per­sónu­vernd sektar ráðu­neyti og YAY um milljónir vegna Ferða­gjafarinnar

Sektirnar eru lagðar á vegna brota gegn grundvallarreglum persónuverndarlöggjafarinnar, til dæmis um fræðsluskyldu, gagnsæi og öryggi persónuupplýsinga í smáforritinu Ferðagjöf. Persónuvernd segir að fyrir mistök YAY hafi verið aflað víðtækra og ónauðsynlegra aðgangsheimilda í símtækjum notenda smáforritsins, meðal annars að viðkvæmum persónuupplýsingum, svo sem trúnaðarupplýsingum í dagatali.

Ráðuneytið hefur brugðist við og segir miður að mistökin hafi orðið en bendir á að enginn hafi orðið fyrir tjóni vegna vinnslunnar.

Bárust fjöldi ábendinga

Á vef Persónuverndar segir að upphaf málsins megi rekja til útgáfu ferðagjafar stjórnvalda sem hvetja átti landsmenn til ferðalaga innanlands sumarið 2020. Um var að ræða stafræn gjafabréf sem miðlað var til einstaklinga með smáforriti fyrirtækisins YAY ehf. Persónuvernd hafi borist fjöldi ábendinga um að við notkun ferðagjafarinnar væri krafist umfangsmikilla persónuupplýsinga og víðtæks aðgangs að símtækjum notenda og var því frumkvæðisrannsókn sett af stað.

Niðurstaða Persónuverndar var sú að atvinnuvega- og nýsköpunarráðuneytið, sem ábyrgðaraðili vinnslunnar, hafi brotið gegn mörgum grundvallarreglum persónuverndarlöggjafarinnar auk þess sem vinnslan var umfangsmikil. Má þar nefna að heimild skorti til vinnslu persónuupplýsinga, m.a. samkvæmt lögum, og að þær kröfur sem gerðar eru til samþykkis fyrir vinnslu voru ekki uppfylltar. Þá var sanngirni og gagnsæis ekki gætt við vinnsluna, þar sem notendum var einungis gert að samþykkja almenna notendaskilmála fyrirtækisins YAY, í stað þess að samþykkja sérstaklega vinnslu persónuupplýsinga við skráningu í forritið. Fræðsla var jafnframt ófullnægjandi um þá vinnslu persónuupplýsinga sem fór fram í reynd. 

Loks gerðu hvorki atvinnuvega- og nýsköpunarráðuneytið né YAY ehf. viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi við vinnslu persónuupplýsinga, svo sem með aðlögun og mótun stillinga smáforritsins, auk þess sem ekki var gerður vinnslusamningur milli aðila svo sem lög kveða á um, en gerð slíks samnings telst til mikilvægra skipulagslegra ráðstafana vegna vinnslu persónuupplýsinga.“

Rangir notendaskilmálar

Áfram segir að þrátt fyrir ábendingar Persónuverndar um ófullnægjandi fræðslu hafi verið seint gripið til úrbóta og allt þar til verkefninu var lokið hafi notendum verið gert að samþykkja ranga notendaskilmála við innskráningu í smáforritið.

„Þá var, fyrir mistök YAY ehf., aflað víðtækra og ónauðsynlegra aðgangsheimilda í símtækjum notenda smáforritsins, meðal annars að viðkvæmum persónuupplýsingum, svo sem trúnaðarupplýsingum í dagatali. Hins vegar kom í ljós við rannsókn málsins að persónuupplýsingar notenda hefðu ekki verið sóttar á grundvelli fyrrgreindra aðgangsheimilda.

Fyrirtækið viðurkenndi að vinnslan hefði farið fram fyrir mistök og verið ónauðsynleg. Auk þess komst Persónuvernd að þeirri niðurstöðu að fyrirtækið hefði ekki uppfyllt kröfur persónuverndarlaga um innbyggða og sjálfgefna persónuvernd við uppsetningu smáforritsins. Þá lágu ekki fyrir gögn sem sýndu að gerðar hefðu verið úttektir eða prófanir til að meta skilvirkni og stillingar forritsins, meðal annars með tilliti til þess hvaða persónuupplýsinga væri í reynd óskað við innskráningu í smáforritið og þeirra aðgangsheimilda sem aflað væri sjálfkrafa. Var háttsemi YAY ehf. því ekki talin samræmast persónuverndarlöggjöfinni hvað þessi atriði varðaði,“ segir á vef Persónuverndar.

Mannleg mistök

Atvinnuvega- og nýsköpunarráðuneytið segir í tilkynningu á vef sínum að því þyki miður að mistök hafi átt sér stað sem hafi leitt til þess að aflað hafi verið víðtækari persónuupplýsinga en efni stóðu til. Hafi mistökin meðal annars falist í því að forritið hafi aflað upplýsinga um aldur og kyn einstaklinga fyrstu þrjá dagana eftir útgáfu smáforritsins.

„Líkt og fram kemur í ákvörðun Persónuverndar er það mat stofnunarinnar að sú tímaþröng sem verkefnið var unnið í hafi átt stærstan þátt í að umrædd vinnsla hafi farið fram. Um mannleg mistök var að ræða sem þegar í stað var ráðin bót á.

Ráðuneytið vill þó vekja sérstaka athygli á því, líkt og fram kemur í ákvörðun Persónuverndar, að enginn einstaklingur varð fyrir tjóni vegna vinnslunnar. Um leið og mistökin urðu ljós, var látið af umræddri öflun upplýsinga og þeim eytt í kjölfarið. Meðan á vinnslu málsins stóð var bætt úr öllum annmörkum og orðið við tilmælum Persónuverndar.

Persónuvernd hóf frumkvæðisathugun á málinu í september 2020 og hefur átt í samskiptum bæði við YAY ehf. og atvinnuvega- og nýsköpunarráðuneytið, sem er ábyrgðaraðili framkvæmdarinnar en Stafrænt Ísland leiddi tæknilega útfærslu þess. Ráðuneytið fagnar framkomnum athugasemdum Persónuverndar.

Það er mat atvinnuvega- og nýsköpunarráðuneytisins að þrátt fyrir minniháttar hnökra í upphafi verkefnisins, sem í einu og öllu hefur verið bætt úr, hafi framkvæmd Ferðagjafarinnar gengið vel og fjölmargir Íslendingar notið hennar í þágu íslenskrar ferðaþjónustu,“ segir í viðbrögðum ráðuneytisins við ákvörðun Persónuverndar.

Fréttin hefur verið uppfærð.