Hægt að komast í myndavél, hljóðnema og dagatal í tengslum við ferðagjöf

Ferðagjöfinni var miðlað til landsmanna með smáforriti fyrirtækisins YAY og ákvað Persónuvernd að hefja frumkvæðisrannsókn vegna fjölda ábendinga um að krafist væri umfangsmikilla persónuupplýsinga og víðtæks aðgangs að símtækjum við notkun gjafarinnar.

Persónuvernd hefur nú sektað atvinnuvega- og nýsköpunarráðuneytið um sjö milljónir króna og fyrirtækið YAY um fjórar milljónir vegna málsins.

Í ákvörðun Persónuverndar segir að sektirnar séu lagðar á vegna brota gegn grundvallarreglum persónuverndarlöggjafarinnar, til dæmis um fræðsluskyldu, gagnsæi og öryggi upplýsinga í smáforritinu. 

Helga Þórisdóttir, forstjóri Persónuverndar segir brotin alvarleg. „Öll helstu ákvæði voru brotin. Það er nú bara þannig,“ segir hún.

„Það má enginn vinna persónuupplýsingar án þess hafa til þess heimild. Til þess að byrja með fór ráðuneytið af stað áður en lagaheimild sem heimilaði vinnuna var búin að taka gildi. Þá voru líka meginreglurnar brotnar. Það sem við tölum um sem gagnsæi og fræðslu. Þannig að einstaklingar viti hvað þeir eru að samþykkja. Öryggi persónuupplýsinga var ekki heldur til staðar. Þannig að viðeigandi tæknilegar og skipulagslegar ráðstafanir, til að tryggja öryggi upplýsinga sem þarna voru undir, voru ekki til staðar. Það var ekki búið að aðlaga og móta stillingar á þessu smáforriti og það var ekki gerður vinnslusamningur,“ segir Helga og bætir við að notendum hafi einnig verið gert að samþykkja skilmála sem ekki áttu við.

Þá hafi YAY fyrir mistök aflað víðtækra og ónauðsynlegra aðgangsheimilda í símtækjum notenda smáforritsins. Helga segir þetta stóralvarlegan þátt málsins.

„Þarna voru undir í rauninni staðsetningarupplýsingar um notendur, staða nets viðkomandi, það hefði verið hægt að komast að myndavél, skjalastjórn og hljóðstillingum, dagatali viðkomandi og tengiliðaskrá. Einnig stöðu síma og hljóðnema til upptöku. Og svo framvegis. Þannig þetta er bara gríðarlega alvarlegt þegar ekki er betur vandað til verka.“

Við rannsókn málsins hafi þó komið í ljós að þessar viðkvæmu persónuupplýsingar hafi ekki verið notaðar. „Þessar upplýsingar sem var aflað um kyn og aldur án lagaheimildar - því var hætt um leið og upp komst að verið væri að afla þeirra. Þannig að þetta forrit á að vera í lagi núna. En eins og sést af lestri þessarar ákvörðunar var víða pottur brotinn.“

Helga segir atvinnuvega- og nýsköpunarráðueytið ekki hafa ráðfært sig við Persónuvernd á neinu stigi málsins og brugðist allt of seint við ábendingum.

„Það að ráðuneyti nýsköpunarmála á Íslandi viðhafi svona vinnubrögð er miður,“ segir Helga.

Hér má lesa ákvörðun Persónuverndar.