Hægt að komast í myndavél, hljóðnema og dagatal í tengslum við ferðagjöf Sunna Sæmundsdóttir skrifar 25. nóvember 2021 12:20 Helga Þórisdóttir, forstjóri Persónuverndar. Vísir/Egill Atvinnuvega- og nýsköpunarráðuneytið og fyrirtækið YAY brutu flest mikilvægustu ákvæði persónuverndarlaga á alvarlegan hátt í tengslum við ferðagjöf stjórnvalda að sögn forstjóra Persónuverndar. Ferðagjöfinni var miðlað til landsmanna með smáforriti fyrirtækisins YAY og ákvað Persónuvernd að hefja frumkvæðisrannsókn vegna fjölda ábendinga um að krafist væri umfangsmikilla persónuupplýsinga og víðtæks aðgangs að símtækjum við notkun gjafarinnar. Persónuvernd hefur nú sektað atvinnuvega- og nýsköpunarráðuneytið um sjö milljónir króna og fyrirtækið YAY um fjórar milljónir vegna málsins. Í ákvörðun Persónuverndar segir að sektirnar séu lagðar á vegna brota gegn grundvallarreglum persónuverndarlöggjafarinnar, til dæmis um fræðsluskyldu, gagnsæi og öryggi upplýsinga í smáforritinu. Helga Þórisdóttir, forstjóri Persónuverndar segir brotin alvarleg. „Öll helstu ákvæði voru brotin. Það er nú bara þannig,“ segir hún. „Það má enginn vinna persónuupplýsingar án þess hafa til þess heimild. Til þess að byrja með fór ráðuneytið af stað áður en lagaheimild sem heimilaði vinnuna var búin að taka gildi. Þá voru líka meginreglurnar brotnar. Það sem við tölum um sem gagnsæi og fræðslu. Þannig að einstaklingar viti hvað þeir eru að samþykkja. Öryggi persónuupplýsinga var ekki heldur til staðar. Þannig að viðeigandi tæknilegar og skipulagslegar ráðstafanir, til að tryggja öryggi upplýsinga sem þarna voru undir, voru ekki til staðar. Það var ekki búið að aðlaga og móta stillingar á þessu smáforriti og það var ekki gerður vinnslusamningur,“ segir Helga og bætir við að notendum hafi einnig verið gert að samþykkja skilmála sem ekki áttu við. Ríkisstjórnarfundur í RáðherrabústaðnumFoto: Vilhelm Gunnarsson/Vilhelm Gunnarsson Þá hafi YAY fyrir mistök aflað víðtækra og ónauðsynlegra aðgangsheimilda í símtækjum notenda smáforritsins. Helga segir þetta stóralvarlegan þátt málsins. „Þarna voru undir í rauninni staðsetningarupplýsingar um notendur, staða nets viðkomandi, það hefði verið hægt að komast að myndavél, skjalastjórn og hljóðstillingum, dagatali viðkomandi og tengiliðaskrá. Einnig stöðu síma og hljóðnema til upptöku. Og svo framvegis. Þannig þetta er bara gríðarlega alvarlegt þegar ekki er betur vandað til verka.“ Við rannsókn málsins hafi þó komið í ljós að þessar viðkvæmu persónuupplýsingar hafi ekki verið notaðar. „Þessar upplýsingar sem var aflað um kyn og aldur án lagaheimildar - því var hætt um leið og upp komst að verið væri að afla þeirra. Þannig að þetta forrit á að vera í lagi núna. En eins og sést af lestri þessarar ákvörðunar var víða pottur brotinn.“ Helga segir atvinnuvega- og nýsköpunarráðueytið ekki hafa ráðfært sig við Persónuvernd á neinu stigi málsins og brugðist allt of seint við ábendingum. „Það að ráðuneyti nýsköpunarmála á Íslandi viðhafi svona vinnubrögð er miður,“ segir Helga. Hér má lesa ákvörðun Persónuverndar. Persónuvernd Stjórnsýsla Stafræn þróun Neytendur Mest lesið Íbúðin í rúst eftir Airbnb-gesti Innlent Tuttugu þingmenn mættu ekki á þingfund Innlent Vilja að nemendur borgi allt að 180 þúsund til að skrá sig Innlent Þriggja leitað vegna stunguárásar í miðbænum Innlent Kerecis bjargaði lífi skallaarnar í tæka tíð fyrir fjórða júlí Innlent Lögreglan lýsir eftir Kristínu Innlent Búið að boða til nýs fundar Innlent Sex fluttir á sjúkrahús eftir umferðarslys í Hörgársveit Innlent Tuttugu og fimm stúlkna saknað úr sumarbúðum vegna flóða Erlent Lítill munur á bitum bitmýs og lúsmýs Innlent Fleiri fréttir Fjarlægðu sprengju við Keflavíkurflugvöll Leitar að eiganda trúlofunarhrings sem fannst í fjöru Á þriðja tug látnir í Texas og netþrjótar herja á flugfélög Nikkurnar þandar á Reyðarfirði alla helgina Íbúðin í rúst eftir Airbnb-gesti Lögreglan lýsir eftir Kristínu Þriggja leitað vegna stunguárásar í miðbænum Björguðu göngukonu í sjálfheldu við Hrafntinnusker Mótorhjólakappi fluttur á sjúkrahús eftir að hafa fipast við akstur Tuttugu þingmenn mættu ekki á þingfund Vilja að nemendur borgi allt að 180 þúsund til að skrá sig Búið að boða til nýs fundar Kerecis bjargaði lífi skallaarnar í tæka tíð fyrir fjórða júlí Lögregla hleypti manni inn sem hafði læst sig úti Lítill munur á bitum bitmýs og lúsmýs Sex fluttir á sjúkrahús eftir umferðarslys í Hörgársveit Inga mundaði skófluna við Sóltún „Þá fylgir það börnum í gegnum skólakerfið og út í samfélagið“ Nýtt bankaráð Seðlabankans skipað Sósíalistum bolað úr Bolholti Sýknaður af kæru Samtakanna 78 um hatursorðræðu Lokametrar, bútasaumur og Starbucks Veiðigjaldið aftur í nefnd og viðræður komnar á lokametra Lára snýr sér að kynningarstörfum fyrir HR Bætti þúsund tonnum í strandveiðipottinn Skellt upp úr í þingsal þegar ráðherra reyndi að mynda hjarta Rúv vildi Ísraelsmenn burt en þeir sluppu með skrekkinn í bili Lögðu hald á mikið magn fíkniefna og fleiri milljónir Eiríkur, Eyvindur og Þorbjörg sækjast eftir dómaraskikkjunni Samfylking tekur aftur fram úr Sjálfstæðisflokki Sjá meira
Ferðagjöfinni var miðlað til landsmanna með smáforriti fyrirtækisins YAY og ákvað Persónuvernd að hefja frumkvæðisrannsókn vegna fjölda ábendinga um að krafist væri umfangsmikilla persónuupplýsinga og víðtæks aðgangs að símtækjum við notkun gjafarinnar. Persónuvernd hefur nú sektað atvinnuvega- og nýsköpunarráðuneytið um sjö milljónir króna og fyrirtækið YAY um fjórar milljónir vegna málsins. Í ákvörðun Persónuverndar segir að sektirnar séu lagðar á vegna brota gegn grundvallarreglum persónuverndarlöggjafarinnar, til dæmis um fræðsluskyldu, gagnsæi og öryggi upplýsinga í smáforritinu. Helga Þórisdóttir, forstjóri Persónuverndar segir brotin alvarleg. „Öll helstu ákvæði voru brotin. Það er nú bara þannig,“ segir hún. „Það má enginn vinna persónuupplýsingar án þess hafa til þess heimild. Til þess að byrja með fór ráðuneytið af stað áður en lagaheimild sem heimilaði vinnuna var búin að taka gildi. Þá voru líka meginreglurnar brotnar. Það sem við tölum um sem gagnsæi og fræðslu. Þannig að einstaklingar viti hvað þeir eru að samþykkja. Öryggi persónuupplýsinga var ekki heldur til staðar. Þannig að viðeigandi tæknilegar og skipulagslegar ráðstafanir, til að tryggja öryggi upplýsinga sem þarna voru undir, voru ekki til staðar. Það var ekki búið að aðlaga og móta stillingar á þessu smáforriti og það var ekki gerður vinnslusamningur,“ segir Helga og bætir við að notendum hafi einnig verið gert að samþykkja skilmála sem ekki áttu við. Ríkisstjórnarfundur í RáðherrabústaðnumFoto: Vilhelm Gunnarsson/Vilhelm Gunnarsson Þá hafi YAY fyrir mistök aflað víðtækra og ónauðsynlegra aðgangsheimilda í símtækjum notenda smáforritsins. Helga segir þetta stóralvarlegan þátt málsins. „Þarna voru undir í rauninni staðsetningarupplýsingar um notendur, staða nets viðkomandi, það hefði verið hægt að komast að myndavél, skjalastjórn og hljóðstillingum, dagatali viðkomandi og tengiliðaskrá. Einnig stöðu síma og hljóðnema til upptöku. Og svo framvegis. Þannig þetta er bara gríðarlega alvarlegt þegar ekki er betur vandað til verka.“ Við rannsókn málsins hafi þó komið í ljós að þessar viðkvæmu persónuupplýsingar hafi ekki verið notaðar. „Þessar upplýsingar sem var aflað um kyn og aldur án lagaheimildar - því var hætt um leið og upp komst að verið væri að afla þeirra. Þannig að þetta forrit á að vera í lagi núna. En eins og sést af lestri þessarar ákvörðunar var víða pottur brotinn.“ Helga segir atvinnuvega- og nýsköpunarráðueytið ekki hafa ráðfært sig við Persónuvernd á neinu stigi málsins og brugðist allt of seint við ábendingum. „Það að ráðuneyti nýsköpunarmála á Íslandi viðhafi svona vinnubrögð er miður,“ segir Helga. Hér má lesa ákvörðun Persónuverndar.
Persónuvernd Stjórnsýsla Stafræn þróun Neytendur Mest lesið Íbúðin í rúst eftir Airbnb-gesti Innlent Tuttugu þingmenn mættu ekki á þingfund Innlent Vilja að nemendur borgi allt að 180 þúsund til að skrá sig Innlent Þriggja leitað vegna stunguárásar í miðbænum Innlent Kerecis bjargaði lífi skallaarnar í tæka tíð fyrir fjórða júlí Innlent Lögreglan lýsir eftir Kristínu Innlent Búið að boða til nýs fundar Innlent Sex fluttir á sjúkrahús eftir umferðarslys í Hörgársveit Innlent Tuttugu og fimm stúlkna saknað úr sumarbúðum vegna flóða Erlent Lítill munur á bitum bitmýs og lúsmýs Innlent Fleiri fréttir Fjarlægðu sprengju við Keflavíkurflugvöll Leitar að eiganda trúlofunarhrings sem fannst í fjöru Á þriðja tug látnir í Texas og netþrjótar herja á flugfélög Nikkurnar þandar á Reyðarfirði alla helgina Íbúðin í rúst eftir Airbnb-gesti Lögreglan lýsir eftir Kristínu Þriggja leitað vegna stunguárásar í miðbænum Björguðu göngukonu í sjálfheldu við Hrafntinnusker Mótorhjólakappi fluttur á sjúkrahús eftir að hafa fipast við akstur Tuttugu þingmenn mættu ekki á þingfund Vilja að nemendur borgi allt að 180 þúsund til að skrá sig Búið að boða til nýs fundar Kerecis bjargaði lífi skallaarnar í tæka tíð fyrir fjórða júlí Lögregla hleypti manni inn sem hafði læst sig úti Lítill munur á bitum bitmýs og lúsmýs Sex fluttir á sjúkrahús eftir umferðarslys í Hörgársveit Inga mundaði skófluna við Sóltún „Þá fylgir það börnum í gegnum skólakerfið og út í samfélagið“ Nýtt bankaráð Seðlabankans skipað Sósíalistum bolað úr Bolholti Sýknaður af kæru Samtakanna 78 um hatursorðræðu Lokametrar, bútasaumur og Starbucks Veiðigjaldið aftur í nefnd og viðræður komnar á lokametra Lára snýr sér að kynningarstörfum fyrir HR Bætti þúsund tonnum í strandveiðipottinn Skellt upp úr í þingsal þegar ráðherra reyndi að mynda hjarta Rúv vildi Ísraelsmenn burt en þeir sluppu með skrekkinn í bili Lögðu hald á mikið magn fíkniefna og fleiri milljónir Eiríkur, Eyvindur og Þorbjörg sækjast eftir dómaraskikkjunni Samfylking tekur aftur fram úr Sjálfstæðisflokki Sjá meira