Hægt að komast í myndavél, hljóðnema og dagatal í tengslum við ferðagjöf Sunna Sæmundsdóttir skrifar 25. nóvember 2021 12:20 Helga Þórisdóttir, forstjóri Persónuverndar. Vísir/Egill Atvinnuvega- og nýsköpunarráðuneytið og fyrirtækið YAY brutu flest mikilvægustu ákvæði persónuverndarlaga á alvarlegan hátt í tengslum við ferðagjöf stjórnvalda að sögn forstjóra Persónuverndar. Ferðagjöfinni var miðlað til landsmanna með smáforriti fyrirtækisins YAY og ákvað Persónuvernd að hefja frumkvæðisrannsókn vegna fjölda ábendinga um að krafist væri umfangsmikilla persónuupplýsinga og víðtæks aðgangs að símtækjum við notkun gjafarinnar. Persónuvernd hefur nú sektað atvinnuvega- og nýsköpunarráðuneytið um sjö milljónir króna og fyrirtækið YAY um fjórar milljónir vegna málsins. Í ákvörðun Persónuverndar segir að sektirnar séu lagðar á vegna brota gegn grundvallarreglum persónuverndarlöggjafarinnar, til dæmis um fræðsluskyldu, gagnsæi og öryggi upplýsinga í smáforritinu. Helga Þórisdóttir, forstjóri Persónuverndar segir brotin alvarleg. „Öll helstu ákvæði voru brotin. Það er nú bara þannig,“ segir hún. „Það má enginn vinna persónuupplýsingar án þess hafa til þess heimild. Til þess að byrja með fór ráðuneytið af stað áður en lagaheimild sem heimilaði vinnuna var búin að taka gildi. Þá voru líka meginreglurnar brotnar. Það sem við tölum um sem gagnsæi og fræðslu. Þannig að einstaklingar viti hvað þeir eru að samþykkja. Öryggi persónuupplýsinga var ekki heldur til staðar. Þannig að viðeigandi tæknilegar og skipulagslegar ráðstafanir, til að tryggja öryggi upplýsinga sem þarna voru undir, voru ekki til staðar. Það var ekki búið að aðlaga og móta stillingar á þessu smáforriti og það var ekki gerður vinnslusamningur,“ segir Helga og bætir við að notendum hafi einnig verið gert að samþykkja skilmála sem ekki áttu við. Ríkisstjórnarfundur í RáðherrabústaðnumFoto: Vilhelm Gunnarsson/Vilhelm Gunnarsson Þá hafi YAY fyrir mistök aflað víðtækra og ónauðsynlegra aðgangsheimilda í símtækjum notenda smáforritsins. Helga segir þetta stóralvarlegan þátt málsins. „Þarna voru undir í rauninni staðsetningarupplýsingar um notendur, staða nets viðkomandi, það hefði verið hægt að komast að myndavél, skjalastjórn og hljóðstillingum, dagatali viðkomandi og tengiliðaskrá. Einnig stöðu síma og hljóðnema til upptöku. Og svo framvegis. Þannig þetta er bara gríðarlega alvarlegt þegar ekki er betur vandað til verka.“ Við rannsókn málsins hafi þó komið í ljós að þessar viðkvæmu persónuupplýsingar hafi ekki verið notaðar. „Þessar upplýsingar sem var aflað um kyn og aldur án lagaheimildar - því var hætt um leið og upp komst að verið væri að afla þeirra. Þannig að þetta forrit á að vera í lagi núna. En eins og sést af lestri þessarar ákvörðunar var víða pottur brotinn.“ Helga segir atvinnuvega- og nýsköpunarráðueytið ekki hafa ráðfært sig við Persónuvernd á neinu stigi málsins og brugðist allt of seint við ábendingum. „Það að ráðuneyti nýsköpunarmála á Íslandi viðhafi svona vinnubrögð er miður,“ segir Helga. Hér má lesa ákvörðun Persónuverndar. Persónuvernd Stjórnsýsla Stafræn þróun Neytendur Mest lesið Sagður hafa tæmt sjóði flokksins og rekur nýja stjórn úr húsnæðinu Innlent Greindi þátt almennings og fjölmiðla í máli „strokufangans“ Innlent Halla forseti blandar sér í götuljósaumræðuna Innlent Reiða fram rúma milljón fyrir Jakub Innlent Mikill viðbúnaður vegna eftirfarar á Sæbraut Innlent Þúsundir syrgja í Tehran og Trump segir æðstaklerkinn ljúga Erlent Málið rannsakað sem tilraun til manndráps Innlent Telja Múmínlundinn klárt brot á höfundarétti Innlent Tilraun langtímakjarasamninga hafi mistekist Innlent Steini frá Straumnesi látinn Innlent Fleiri fréttir Gripinn við innbrot og bíl ekið inn í búð Greindi þátt almennings og fjölmiðla í máli „strokufangans“ Mikill viðbúnaður vegna eftirfarar á Sæbraut Sagður hafa tæmt sjóði flokksins og rekur nýja stjórn úr húsnæðinu Halla forseti blandar sér í götuljósaumræðuna Reiða fram rúma milljón fyrir Jakub Tilraun langtímakjarasamninga hafi mistekist Málið rannsakað sem tilraun til manndráps Telja Múmínlundinn klárt brot á höfundarétti Glænýr leikskóli í Mosfellsbæ heitir Sumarhús Verðbólguvonbrigði, hraðakstur og kokkur með keppnisskap Málið týndist í kerfinu og reyndist á endanum fyrnt Segulómtækið enn óvirkt og beðið eftir þúsund lítrum af helíni „Allar kannanir eru með einhverja óvissu“ Steini frá Straumnesi látinn Áfram frestað meðan formenn funda Birgir Ármannsson kominn með málflutningsréttindi Þingmenn ekki svo heppnir að fá tvöföld laun Standa saman gegn „óskiljanlegri“ ósk Vegagerðarinnar Helgi leiðir nefnd um atvinnumál í Norðurþingi Nú má heita Kareem Link Baggio og Anóra Vava Star Kerfið bilaði og atkvæði greidd upp á gamla mátann Ánægja með gjaldfrjálsar skólamáltíðir en fjármögnunin áskorun Verðbólga eykst og Alþingi í óvissu Gerðu úttekt á skrifstofu Ríkissáttasemjara Stærsti árgangur sögunnar fer í framhaldsskóla: „Það verður þétt setið í skólastofunni“ Flakk á fylginu og brunamótamatið vanáætlað Lögregla varar við „Nígeríubréfum“ og öðrum netglæpum Veita engar upplýsingar um tilboðið í Háholt Nýju tilboði í Háholt svarað með gagntilboði Sjá meira
Ferðagjöfinni var miðlað til landsmanna með smáforriti fyrirtækisins YAY og ákvað Persónuvernd að hefja frumkvæðisrannsókn vegna fjölda ábendinga um að krafist væri umfangsmikilla persónuupplýsinga og víðtæks aðgangs að símtækjum við notkun gjafarinnar. Persónuvernd hefur nú sektað atvinnuvega- og nýsköpunarráðuneytið um sjö milljónir króna og fyrirtækið YAY um fjórar milljónir vegna málsins. Í ákvörðun Persónuverndar segir að sektirnar séu lagðar á vegna brota gegn grundvallarreglum persónuverndarlöggjafarinnar, til dæmis um fræðsluskyldu, gagnsæi og öryggi upplýsinga í smáforritinu. Helga Þórisdóttir, forstjóri Persónuverndar segir brotin alvarleg. „Öll helstu ákvæði voru brotin. Það er nú bara þannig,“ segir hún. „Það má enginn vinna persónuupplýsingar án þess hafa til þess heimild. Til þess að byrja með fór ráðuneytið af stað áður en lagaheimild sem heimilaði vinnuna var búin að taka gildi. Þá voru líka meginreglurnar brotnar. Það sem við tölum um sem gagnsæi og fræðslu. Þannig að einstaklingar viti hvað þeir eru að samþykkja. Öryggi persónuupplýsinga var ekki heldur til staðar. Þannig að viðeigandi tæknilegar og skipulagslegar ráðstafanir, til að tryggja öryggi upplýsinga sem þarna voru undir, voru ekki til staðar. Það var ekki búið að aðlaga og móta stillingar á þessu smáforriti og það var ekki gerður vinnslusamningur,“ segir Helga og bætir við að notendum hafi einnig verið gert að samþykkja skilmála sem ekki áttu við. Ríkisstjórnarfundur í RáðherrabústaðnumFoto: Vilhelm Gunnarsson/Vilhelm Gunnarsson Þá hafi YAY fyrir mistök aflað víðtækra og ónauðsynlegra aðgangsheimilda í símtækjum notenda smáforritsins. Helga segir þetta stóralvarlegan þátt málsins. „Þarna voru undir í rauninni staðsetningarupplýsingar um notendur, staða nets viðkomandi, það hefði verið hægt að komast að myndavél, skjalastjórn og hljóðstillingum, dagatali viðkomandi og tengiliðaskrá. Einnig stöðu síma og hljóðnema til upptöku. Og svo framvegis. Þannig þetta er bara gríðarlega alvarlegt þegar ekki er betur vandað til verka.“ Við rannsókn málsins hafi þó komið í ljós að þessar viðkvæmu persónuupplýsingar hafi ekki verið notaðar. „Þessar upplýsingar sem var aflað um kyn og aldur án lagaheimildar - því var hætt um leið og upp komst að verið væri að afla þeirra. Þannig að þetta forrit á að vera í lagi núna. En eins og sést af lestri þessarar ákvörðunar var víða pottur brotinn.“ Helga segir atvinnuvega- og nýsköpunarráðueytið ekki hafa ráðfært sig við Persónuvernd á neinu stigi málsins og brugðist allt of seint við ábendingum. „Það að ráðuneyti nýsköpunarmála á Íslandi viðhafi svona vinnubrögð er miður,“ segir Helga. Hér má lesa ákvörðun Persónuverndar.
Persónuvernd Stjórnsýsla Stafræn þróun Neytendur Mest lesið Sagður hafa tæmt sjóði flokksins og rekur nýja stjórn úr húsnæðinu Innlent Greindi þátt almennings og fjölmiðla í máli „strokufangans“ Innlent Halla forseti blandar sér í götuljósaumræðuna Innlent Reiða fram rúma milljón fyrir Jakub Innlent Mikill viðbúnaður vegna eftirfarar á Sæbraut Innlent Þúsundir syrgja í Tehran og Trump segir æðstaklerkinn ljúga Erlent Málið rannsakað sem tilraun til manndráps Innlent Telja Múmínlundinn klárt brot á höfundarétti Innlent Tilraun langtímakjarasamninga hafi mistekist Innlent Steini frá Straumnesi látinn Innlent Fleiri fréttir Gripinn við innbrot og bíl ekið inn í búð Greindi þátt almennings og fjölmiðla í máli „strokufangans“ Mikill viðbúnaður vegna eftirfarar á Sæbraut Sagður hafa tæmt sjóði flokksins og rekur nýja stjórn úr húsnæðinu Halla forseti blandar sér í götuljósaumræðuna Reiða fram rúma milljón fyrir Jakub Tilraun langtímakjarasamninga hafi mistekist Málið rannsakað sem tilraun til manndráps Telja Múmínlundinn klárt brot á höfundarétti Glænýr leikskóli í Mosfellsbæ heitir Sumarhús Verðbólguvonbrigði, hraðakstur og kokkur með keppnisskap Málið týndist í kerfinu og reyndist á endanum fyrnt Segulómtækið enn óvirkt og beðið eftir þúsund lítrum af helíni „Allar kannanir eru með einhverja óvissu“ Steini frá Straumnesi látinn Áfram frestað meðan formenn funda Birgir Ármannsson kominn með málflutningsréttindi Þingmenn ekki svo heppnir að fá tvöföld laun Standa saman gegn „óskiljanlegri“ ósk Vegagerðarinnar Helgi leiðir nefnd um atvinnumál í Norðurþingi Nú má heita Kareem Link Baggio og Anóra Vava Star Kerfið bilaði og atkvæði greidd upp á gamla mátann Ánægja með gjaldfrjálsar skólamáltíðir en fjármögnunin áskorun Verðbólga eykst og Alþingi í óvissu Gerðu úttekt á skrifstofu Ríkissáttasemjara Stærsti árgangur sögunnar fer í framhaldsskóla: „Það verður þétt setið í skólastofunni“ Flakk á fylginu og brunamótamatið vanáætlað Lögregla varar við „Nígeríubréfum“ og öðrum netglæpum Veita engar upplýsingar um tilboðið í Háholt Nýju tilboði í Háholt svarað með gagntilboði Sjá meira