Ríkið og Yay sektuð vegna Ferðagjafar

25.11.2021 - 10:35
Mynd með færslu
 Mynd: RÚV
Persónuvernd hefur sektað atvinnuvega- og nýsköpunarráðuneytið og fyrirtækið Yay fyrir brot gegn grundvallarreglum persónuverndarlöggjafarinnar. Ráðuneytið og fyrirtækið brutu gegn fræðsluskyldu, gagnsæi og öryggi persónuupplýsinga með smáforritinu sem fólk notaði til að nýta sér Ferðagjöf stjórnvalda.

Persónuvernd lagði 7,5 milljóna króna stjórnvaldssekt á atvinnuvega- og nýsköpunarráðuneytið sem bar ábyrgð á Ferðagjöfinni og fjögurra milljóna króna sekt á Yay sem hannaði forritið. 

Ráðuneytið braut af sér með því að tryggja ekki að heimild væri fyrir vinnslu persónuupplýsinga sem unnið var með auk þess sem ekki var gætt sanngirni og gagnsæis við vinnsluna. Þetta birtist meðal annars í því að notendur voru aðeins látnir samþykkja almenna notendaskilmála Yay sem hannaði forritið en ekki veita sérstaka heimild fyrir vinnslu persónuupplýsinga við skráningu í forritið. Þar að auki krafðist Yay víðtækari aðgangsheimilda í símum notenda en þörf var fyrir vegna forritsins. Þannig þurfti fólk að veita aðgang að trúnaðarupplýsingum í dagatali sínu þótt þeirra væri ekki þörf fyrir vinnslu forritsins. Forsvarsmenn Yay viðurkenndu að þetta hefði verið gert fyrir mistök og hefði verið ónauðsynlegt. Þar að auki uppfyllti Yay ekki kröfur persónuverndarlaga um innbyggða og sjálfgefna persónuvernd við uppsetningu smáforritsins. Hvorki ráðuneytið né fyrirtækið réðust í viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi við vinnslu persónuupplýsinga, svo sem með aðlögun og mótun stillinga smávinnsluforritsins. Ekki var heldur gerður vinnslusamningur þeirra á milli, sem brýtur í bága við lög.

Persónuvernd tekur jafnframt fram að seint hafi verið gripið til úrbóta þrátt fyrir ábendingar stofnunarinnar. Það leiddi til þess að allt þar til verkefninu lauk þurftu notendur að samþykkja ranga notendaskilmála.