YAY-arar segjast steinhissa á niðurstöðu Persónuverndar

Atvinnuvega- og nýsköpunarráðuneytið og fyrirtækið YAY brutu flest mikilvægustu ákvæði persónuverndarlaga á alvarlegan hátt í tengslum við ferðagjöf stjórnvalda að sögn forstjóra Persónuverndar. Ráðuneytið fékk sjö milljóna króna sekt.

„Það sem einkum vekur furðu er að Persónuvernd kemst að þeirri niðurstöðu að YAY hafi brotið gegn margvíslegum ákvæðum persónuverndarlaga með því að óska eftir víðtækum aðgangi að símtækjum notenda, s.s. að dagbókarfærslum o.fl., á fyrstu dögunum eftir að almenningur gat nálgast ferðagjöfina í gegnum smáforritið,“ segir Ari Steinarsson, framkvæmdastjóri YAY, í yfirlýsingu frá félaginu.

Heimildir hafi ekki verið nýttar

„Það liggur hins vegar fyrir í gögnum málsins, og óháður öryggisúttektaraðili á vegum Persónuverndar hefur staðfest, að þessar heimildir voru aldrei nýttar. Og aldrei stóð til að nýta þær. Það var því engin vinnsla á þessum upplýsingum sem átti sér stað. Þetta er hins vegar blásið upp og Persónuvernd gerir mikið úr þessari fræðilegu vinnslu sem á sér engan stoð í raunveruleikanum. Persónuvernd virðist þó eitthvað vera að vandræðast með þetta og ákveður að sekta ekki fyrir þessi brot þar sem þetta sé óljóst. Með almennum rökstuðningi kemst Persónuvernd hins vegar að þeirri niðurstöðu að sekta skuli YAY um 4 milljónir þar sem öryggi hafi verið ábótavant,“ segir Ari.

Ekkert í málinu bendi til þess að skort hafi á öryggi þeirra upplýsinga sem unnið var með af hálfu ráðuneytisins. Ráðuneytið hafi látið framkvæma sérstaka úttekt á öryggismálum félagsins áður en farið var af stað í verkefnið.

„Það er mitt mat að þessi rökstuðningur Persónuverndar sé ekki sannfærandi og réttlæti ekki svo háa sekt gagnvart YAY. Þetta er því niðurstaða sem erfitt er fyrir félagið að una við og allar líkur á því að við munum taka þetta lengra,“ segir Ari ennfremur.

Öll helstu ákvæði brotin

Ráðuneytið minnti fyrr í dag á að enginn hefði orðið fyrir tjóni vegna vinnslunnar.

Helga Þórisdóttir, forstjóri Persónuverndar, var afdráttarlaus í hádegisfréttum Bylgjunnar.

„Öll helstu ákvæði voru brotin. Það er nú bara þannig,“ segir hún.

„Það má enginn vinna persónuupplýsingar án þess hafa til þess heimild. Til þess að byrja með fór ráðuneytið af stað áður en lagaheimild sem heimilaði vinnuna var búin að taka gildi. Þá voru líka meginreglurnar brotnar. Það sem við tölum um sem gagnsæi og fræðslu. Þannig að einstaklingar viti hvað þeir eru að samþykkja. Öryggi persónuupplýsinga var ekki heldur til staðar. Þannig að viðeigandi tæknilegar og skipulagslegar ráðstafanir, til að tryggja öryggi upplýsinga sem þarna voru undir, voru ekki til staðar. Það var ekki búið að aðlaga og móta stillingar á þessu smáforriti og það var ekki gerður vinnslusamningur,“ segir Helga og bætir við að notendum hafi einnig verið gert að samþykkja skilmála sem ekki áttu við.