Sektar ráðuneyti og YAY vegna ferðagjafar

Ferðagjöfin hvatti fólk til ferðalaga innanlands á tímum kórónuveirunnar.
Ferðagjöfin hvatti fólk til ferðalaga innanlands á tímum kórónuveirunnar. mbl.is/RAX

Persónuvernd hefur lagt stjórnvaldssektir, annars vegar að fjárhæð 7.500.000 kr., á atvinnuvega- og nýsköpunarráðuneytið og hins vegar að fjárhæð 4.000.000 kr. á fyrirtækið YAY ehf., vegna vinnslu persónuupplýsinga í tengslum við ferðagjöf stjórnvalda.

Nánar tiltekið voru sektirnar lagðar á vegna brota gegn grundvallarreglum persónuverndarlöggjafarinnar, til dæmis um fræðsluskyldu, gagnsæi og öryggi persónuupplýsinga í smáforritinu Ferðagjöf, að því er fram kemur á vef Persónuverndar.

Þar kemur fram að upphaf málsins megi rekja til útgáfu ferðagjafar stjórndvalda sem átti að hvetja landsmenn til ferðalaga innanlands sumarið 2020. Um er að ræða stafræn gjafabréf sem miðlað var til einstaklinga með smáforriti fyrirtækisins YAY ehf. Persónuvernd barst fjöldi ábendinga um að við notkun ferðagjafarinnar væri krafist umfangsmikilla persónuupplýsinga og víðtæks aðgangs að símtækjum notenda og var því frumkvæðisrannsókn sett af stað.

Heimild skorti til vinnslu persónuupplýsinga

Niðurstaða Persónuverndar var sú að atvinnuvega- og nýsköpunarráðuneytið, sem ábyrgðaraðili vinnslunnar, braut gegn mörgum grundvallarreglum persónuverndarlöggjafarinnar auk þess sem vinnslan var umfangsmikil. Má þar nefna að heimild skorti til vinnslu persónuupplýsinga, m.a. samkvæmt lögum, og að þær kröfur sem gerðar eru til samþykkis fyrir vinnslu voru ekki uppfylltar.

Þá var sanngirni og gagnsæis ekki gætt við vinnsluna, þar sem notendum var einungis gert að samþykkja almenna notendaskilmála fyrirtækisins YAY, í stað þess að samþykkja sérstaklega vinnslu persónuupplýsinga við skráningu í forritið. Fræðsla var jafnframt ófullnægjandi um þá vinnslu persónuupplýsinga sem fór fram í reynd.

Loks gerðu hvorki atvinnuvega- og nýsköpunarráðuneytið né YAY ehf. viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi við vinnslu persónuupplýsinga, svo sem með aðlögun og mótun stillinga smáforritsins, auk þess sem ekki var gerður vinnslusamningur milli aðila svo sem lög kveða á um, en gerð slíks samnings telst til mikilvægra skipulagslegra ráðstafana vegna vinnslu persónuupplýsinga.

Þrátt fyrir ábendingar Persónuverndar um ófullnægjandi fræðslu var seint gripið til úrbóta og allt þar til verkefninu lauk var notendum gert að samþykkja ranga notendaskilmála við innskráningu í smáforritið.

mbl.is