Ráðuneytið bar við neyðarástandi

25.11.2021 - 16:01
Gagnaöflun með Ferðagjöfinni hófst áður en lög tóku gildi sem heimiluðu hluta þeirrar gagnaöflunar. Önnur gagnaöflun fór fram án þess að nokkurn tímann væri heimild fyrir henni. Ekki hefur enn verið bætt úr öllum vanköntum. Þetta er meðal þess sem kemur fram í ákvörðun Persónuverndar um stærstu stjórnvaldssekt í sögu stofnunarinnar. 226.158 einstaklingar sóttu Ferðagjöfina og fengu ófullnægjandi fræðslu um forritið og notkun þess. Ráðuneytið bar við neyðarástandi en því hafnaði Persónuvernd.

Ekkert tjón en snerti stóran hluta þjóðarinnar

Persónuvernd sektaði atvinnuvega- og nýsköpunarráðuneytið og hugbúnaðarfyrirtækið Yay um samanlagt 11,5 milljónir vegna brota gegn grundvallarreglum persónuverndarlaga. Ekkert liggur fyrir um að fólk hafi orðið fyrir tjóni vegna málsins. Persónuvernd segir þó að einnig verði að líta til þess hversu margir notuðu forritið og hefðu getað orðið fyrir áhrifum af þeim víðtæku aðgangsheimildum sem óskað var eftir í upphafi. 

Ferðagjöf ekki sambærileg sóttvörnum

Fram kemur í ákvörðun Persónuverndar og svörum ráðuneytis og hugbúnaðarfyrirtækis að brotin gegn persónuverndarlögum hafi ekki byggst á brotavilja. Þau megi fyrst og fremst rekja til þess hversu mikið lá á að koma Ferðagjöfinni í gang. Smáforritið sem fólk notaði til að nýta sér Ferðagjöfina byggði á öðru smáforriti sem Yay hafði áður hannað. Fyrir mistök voru almennir notendaskilmálar þess kerfis notaðir í nýja forritinu en engar upplýsingar var hægt að lesa um skilmála Ferðagjafarinnar. 

Ráðuneytið sagði að ákveðið hefði verið að hraða framkvæmdinni í ljósi neyðarástands í samfélaginu. Það var ekki rökstutt frekar en væntanlega var vísað til efnahagsáhrifa covid. Persónuvernd sagði að þó hægt væri að réttlæta tiltekna vinnslu persónuupplýsinga vegna sóttvarnaráðstafana í heimsfaraldri ætti það ekki við vegna ferðagjafar.

Ráðuneytið harmar mistökin

Ráðuneytið birti í morgun færslu á vef sínum. Þar segir að ráðuneytinu þyki miður að mistök hafi átt sér stað sem leiddu til þess að víðtækari persónuupplýsinga var aflað en efni stóðu til. Þar segir að fyrir mistök hafi fyrstu þrjá dagana verið aflað upplýsinga um aldur og kyn þeirra sem hlóðu forritinu niður. Bætt hafi verið úr öllum annmörkum meðan á vinnslu málsins stóð og orðið við tilmælum Persónuverndar. Miðað við ákvörðun Persónuverndar voru skilmálar Ferðagjafarinnar enn óaðgengilegir iPhone notendum átta mánuðum eftir að smáforritið leit fyrst dagsins ljós. Að auki þurftu notendur enn að samþykkja ranga skilmála við innskráningu í smáforritið fyrr í þessum mánuði. Þá var Ferðagjafarátakinu lokið án þess að því hefði verið breytt.

Mynd með færslu
 Mynd: RÚV

Ólögleg gagnaöflun og of lítil kynning

Persónuvernd sektar atvinnuvega- og nýsköpunarráðuneytið og hugbúnaðarfyrirtækið Yay fyrir meiri gagna- og aðgangsheimildaöflun en heimild og þörf var fyrir og fyrir ófullnægjandi upplýsingagjöf til notenda smáforritsins. Notendur þurftu aðeins að samþykkja almenna notendaskilmála Yay en ekki sérstaka vinnslu persónuupplýsinga við skráningu í smáforritið sem notað var við nýtingu Ferðagjafar.

Smáforritið var kynnt almenningi 18. júní í fyrra en hafði verið aðgengilegt í nokkra daga, frá 12. júní. Þá var safnað upplýsingum um aldur og kyn notenda smáforritsins en því hætt eftir nokkra daga og upplýsingum eytt. Engin lagaheimild var fyrir þessari gagnaöflun. Jafnframt var krafist aðgangs að margvíslegum upplýsingum notenda síma með Android stýrikerfi. Þar á meðal má nefna staðsetningarupplýsingar, stöðu nets og þráðlauss nets, myndavél, ritli, skjalastjórnun, hljóðstillingum, dagatali og trúnaðarupplýsingum sem það hafði að geyma, tengiliðaskrá, hljóðnema og fleira, svo sem lífkennslavirkni til auðkenningar og leyfis til að nota fingrafar. 

Megninu af þessum aðgangsheimildum var sleppt í annarri útgáfu smáforritsins 22. júní. Þó mjög víðtækra aðgangsheimilda hafi verið aflað voru þær að mestu ekki nýttar, samkvæmt rannsókn málsins. Frá því voru fjórar undantekningar sem tengdust. Ef fólk vildi gefa öðrum Ferðagjöfina nýtti forritið aðgang að myndavél, skráakerfi, upptöku hljóðs og tengiliðaskrá þegar fólk sendi öðrum Ferðagjöfina sína.

Gagna aflað áður en lögin tóku gildi

Alþingi samþykkti lög um Ferðagjöfina 16. júní í fyrra og notkun smáforritsins hófst tveimur dögum síðar. Lögin tóku þó ekki formlega gildi fyrr en 23. júní og því skorti lagaheimild til að vinna með persónupplýsingar notenda 18. til 22. júní. Að auki hafi aldrei legið fyrir heimild til að vinna upplýsingar um aldur og kyn notenda eða víðtækri öflun aðgangsheimilda.

226.158 sóttu Ferðagjöfina og Persónuvernd segir að rúmlega 11.500 einstaklingar Android-stýrikerfisins hefðu ekki orðið varir við öflun aðgangsheimilda. Það sé verulegur fjöldi fólks.