Úttektir hjá félagsþjónustum á höfuðborgarsvæðinu
3. apríl 2006
3. apríl 2006 lauk Persónuvernd því verkefni að kanna lögmæti og öryggi vinnslu persónuupplýsinga hjá félagsþjónustum Reykjavíkur, Kópavogs, Garðabæjar, Hafnarfjarðar og Mosfellsbæjar. Komst stofnunin að þeirri niðurstöðu að vinnsla persónuupplýsinga hjá öllum þessum félagsþjónustum væri heimil að lögum. Þá taldi stofnunin öryggi vinnslunnar ekki ábótavant hjá öðrum félagsþjónustum en þeirri í Hafnarfirði. Var þó talið rétt að leiðbeina um tilteknar úrbætur á öryggiskerfi allra félagsþjónustnanna, en til félagsþjónustunnar í Hafnarfirði var auk þess beint fyrirmælum um tilteknar úrbætur.
Hinn 3. apríl 2006 lauk Persónuvernd því verkefni að kanna lögmæti og öryggi vinnslu persónuupplýsinga hjá félagsþjónustum Reykjavíkur, Kópavogs, Garðabæjar, Hafnarfjarðar og Mosfellsbæjar. Starfsemi þessara félagsþjónustna snýr að margvíslegum málaflokkum, m.a. fjárhagsaðstoð við fólk með tekjur undir ákveðnum mörkum, félagslegri heimaþjónustu, daggæslu barna, félagslegum húsnæðismálum, liðveislu við fatlaða, ferðaþjónustu fatlaðra og ferlimálum, barnavernd, forsjármálum, ættleiðingum og vistunarmati aldraðra. Í tengslum við þessa starfsemi er unnið með ýmiss konar persónuupplýsingar, s.s. um tekjur fólks og skuldir; heilsufar þess, andlegt sem líkamlegt; félagsleg vandamál; áfengis- og vímuefnaneyslu; og fjölskylduaðstæður, þ. á m. ættleiðingar og tilhögun forsjár og umgengnisréttar.
1.Lögmæti vinnslunnar
Svo að vinnsla persónuupplýsinga sé heimil verður einhverju af skilyrðum 8. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga að vera fullnægt. Svo að vinnsla viðkvæmra persónuupplýsinga sé heimil verður auk þess að vera fullnægt einhverju af skilyrðunum í 9. gr. Hjá félagsþjónustum er unnið með viðkvæmar persónuupplýsingar, s.s. um heilsufar og áfengis- og vímuefnaneyslu, sbr. c- og d-liði 8. tölul. 2. gr. laga nr. 77/2000.
Í ljósi 8. og 9. gr. laganna taldi Persónuvernd framangreinda vinnslu heimila að því marki sem hún hefði verið samþykkt af hlutaðeigandi einstaklingum. Einnig taldi Persónuvernd vinnslu almennra persónuupplýsinga heimila að því marki sem hún væri félagsþjónustunum nauðsynleg til að fullnægja lagaskyldum, m.a. samkvæmt lögum um félagsþjónustu sveitarfélaga, lögum um húsnæðismál, lögum um húsaleigubætur, lögum um málefni fatlaðra, barnaverndarlögum, barnalögum, lögum um ættleiðingar og lögum um málefni aldraðra. Þá taldi Persónuvernd að vinnsla viðkvæmra persónuupplýsinga, a.m.k. í vissum tilvikum, gæti verið heimil vegna lagaskyldu. Auk þess gæti slík vinnsla verið heimil þegar hún væri nauðsynleg til að verja verulega hagsmuni hins skráða eða annars aðila sem ekki er sjálfur fær um að gefa samþykki og þegar hún væri nauðsynleg til að krafa yrði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.
Við úttektirnar kom ekki fram að farið væri út fyrir þau mörk sem 8. og 9. gr. laga nr. 77/2000 setja við vinnslu persónuupplýsinga hjá félagsþjónustum. Þá kom heldur ekki fram að við þessa vinnslu væri brotið í bága við grundvallarreglur 7. gr. laganna um gæði gagna og vinnslu, s.s. um að vinnsla persónuupplýsinga skal ekki vera umfram það sem nauðsynlegt er (3. tölul. 1. mgr.). Taldi Persónuvernd því vinnsluna eiga sér viðhlítandi lagastoð.
2.Öryggi vinnslunnar
Til að kanna öryggi persónuupplýsinga hjá umræddum félagsþjónustum voru gögn um öryggiskerfi þeirra rýnd og framkvæmd vettvangsathugun. Samið var við sjálfstætt starfandi sérfræðing, Hörð H. Helgason hjá Dómbæ ehf., um þá vinnu og skilaði hann skýrslum um niðurstöður athugana sinna, einni fyrir hverja félagsþjónustu. Var þeim veitt færi á að tjá sig um skýrslurnar. Við þær, sem og viðbrögð félagsþjónustnanna, var stuðst í niðurstöðum Persónuverndar.
Niðurstöðurnar voru tvíþættar varðandi upplýsingaöryggi og lutu annars vegar að skjalfestingu öryggiskerfis og hins vegar öryggisráðstöfununum sjálfum. Var þá kannað hvort framkvæmd öryggisráðstafana samrýmdist því sem félagsþjónusturnar höfðu ákveðið, sem og því sem fram kemur um upplýsingaöryggi í lögum og reglum settum með stoð í þeim.
Um skjalfestingu upplýsingaöryggis er fjallað í 5. mgr. 11. gr. laga nr. 77/2000 og í 3. gr. reglna nr. 299/2001 um öryggi persónuupplýsinga. Er þar kveðið á um að samin skuli öryggisstefna, gert áhættumat og ákveðnar öryggisráðstafanir. Í ákvæði reglnanna kemur fram að með öryggisstefnu er átt við almenna stefnuyfirlýsingu um hvernig upplýsingaöryggis skuli gætt; að í áhættumati skulu þær hættur, sem steðja að vinnslu, greindar; og að öryggisráðstafanir skulu ákveðnar á grundvelli áhættumatsins.
Einnig er vikið að skjalfestingu upplýsingaöryggis í 12. og 13. gr. laga nr. 77/2000. Í fyrrnefndu greininni er fjallað um innra eftirlit, þ.e. reglubundið eftirlit þess sem ábyrgð ber á vinnslu, svonefnds ábyrgðaraðila, með því að farið sé að lögum og reglum við vinnsluna, sem og þeim öryggisráðstöfunum sem ákveðnar hafa verið. Kemur fram að gera á skýrslur um slíkt eftirlit. Í síðarnefndu greininni er mælt fyrir um að þegar ábyrgðaraðili semur við utanaðkomandi aðila, svonefndan vinnsluaðila, um að vinna með persónuupplýsingar á sínum vegum skuli gerður við hann samningur, svonefndur vinnslusamningur. Í slíkum samningi á m.a. að koma fram að vinnsluaðilinn megi aðeins vinna með persónuupplýsingar í samræmi við fyrirmæli ábyrgðaraðilans. Áður en samið er við vinnsluaðila skal sannreynt hvort hann geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit.
Um það hvaða öryggisráðstafanir skuli gerðar er fjallað í 1. og 2. mgr. 11. gr. laga nr. 77/2000. Kemur þar fram að gerðar skulu viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá skuli beita ráðstöfunum sem tryggja nægilegt öryggi miðað við áhættu af vinnslunni og eðli þeirra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Nánari fyrirmæli um öryggisráðstafanir eru í reglum nr. 299/2001.
Eftir að hafa skoðað öryggiskerfi umræddra félagsþjónustna í ljósi framangreindra ákvæða komst Persónuvernd að þeirri niðurstöðu að öryggi vinnslunnar væri ekki ábótavant hjá öðrum félagsþjónustum en þeirri í Hafnarfirði. Var þó talið rétt að leiðbeina um tilteknar úrbætur á öryggiskerfi allra félagsþjónustnanna, en til félagsþjónustunnar í Hafnarfirði var auk þess beint fyrirmælum þar að lútandi, þ.e. sem hér greinir:
1. Halda skyldi skrá yfir upplýsingaeignir og skyldu þær flokkaðar með hliðsjón af upplýsingaöryggi.
2. Gera skyldi ítarlegt áhættumat og skyldi það endurskoðað reglulega. Val á öryggisráðstöfunum skyldi byggt á áhættumatinu.
3. Koma skyldi á reglulegu innra eftirliti með vinnslu persónuupplýsinga sem ekki skyldi fara sjaldnar fram en árlega.
4. Tryggja skyldi að fyrir lægju skriflegir samningar við vinnsluaðila sem fullnægðu kröfum laga nr. 77/2000 og reglna nr. 299/2001.
5. Sannreyna skyldi að vinnsluaðilar gætu viðhaft þær öryggisráðstafanir sem um vinnsluna gilda og framkvæmt innra eftirlit.
6. Taka skyldi til skoðunar hvort nauðsynlegt væri að einn vinnsluaðilann, Maritech ehf., hefði beinan aðgang að upplýsingakerfinu "Félagsmálastjóranum." Væri slíkt talið nauðsynlegt skyldi haft reglubundið eftirlit með því hvernig sá aðgangur væri nýttur.
7. Tryggja skyldi að starfsmenn fengju reglulega þjálfun í vinnubrögðum um meðferð persónuupplýsinga og fræðslu um gildandi verklagsreglur og öryggiskerfi persónuupplýsinga