Öryggi var ekki tryggt

Niðurstaða Persónuverndar í frumkvæðismáli, sem laut að öryggi vinnslu persónuupplýsinga í samantekt lögreglu á skipulagi við mótmælin 2008-2011, er sú að öryggi hafi ekki verið nægilega tryggt.

Niðurstaða Persónuverndar í fyrrnefndum kvörtunarmálum er sú að skráning persónuupplýsinga um kvartendur í upplýsingakerfi lögreglu, LÖKE, hafi verið heimil. Þá er skráning persónuupplýsinga í þágu samantektarinnar talin heimil hvað varðar þá kvartendur sem störfuðu sem lögreglumenn fyrir lögregluna en óheimil hvað varðar þá kvartendur sem voru viðstaddir mótmælin. Loks var miðlun persónuupplýsinga um kvartendur, sem bar að afmá samkvæmt úrskurði úrskurðarnefndar um upplýsingamál, ekki talin samrýmast lögum.

Niðurstaða Persónuverndar í  heild.

Persónuvernd hefur tekið ákvörðun í frumkvæðismáli sem laut að öryggi við vinnslu persónuupplýsinga hjá Lögreglunni á höfuðborgarsvæðinu sem unnar voru í tengslum við gerð skýrslu um samantekt á skipulagi lögreglu við mótmælin 2008-2011. Frumkvæðisathugun Persónuverndar beindist ekki að lögmæti umræddrar vinnslu persónuupplýsinga en stofnunin hefur hins vegar, með úrskurðum í málum frá 25. febrúar 2015, komist að niðurstöðum þar að lútandi varðandi vinnslu um viðkomandi kvartendur.

Enginn sérfræðingur

Persónuvernd óskaði skýringa um nánar tilgreind atriði er lutu að öryggi þeirrar vinnslu sem um ræðir þegar fyrrgreind samantekt var unnin og síðar afhent þriðju aðilum. Í svarbréfi lögreglu frá 11. nóvember 2014 kemur fram að afmáning persónuupplýsinga úr samantektinni hafi verið í höndum nokkurra starfsmanna, en enginn þeirra sem kom að umræddu máli geti talist sérfræðingur, heldur hafi verið um að ræða starfsfólk með almenna tölvuþekkingu.

Einnig kemur fram að skort hafi á nauðsynlega yfirsýn yfir vinnslu, eftirlit og að fram færi öryggisathugun. Þá greindi lögreglan frá því að hvorki væru til staðar reglur né verkferlar varðandi miðlun viðkvæmra persónuupplýsinga frá embættinu til þriðju aðila og að engar upplýsingar lægju fyrir hjá embættinu um þá aðferðafræði sem þyrfti að viðhafa til þess að slík framkvæmd væri örugg.

Í ákvörðuninni kemur fram að það sé hlutverk ábyrgðaraðila að vinnslu, í þessu tilviki Lögreglunnar á höfuðborgarsvæðinu, að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir, til að vernda persónuupplýsingar sem unnið er með gegn óleyfilegum aðgangi, og að ganga úr skugga um að  áhættumat og öryggisráðstafanir embættisins séu í samræmi við lög, reglur og fyrirmæli Persónuverndar. Einnig beri lögreglunni að stuðla að því að áhættumat sé endurskoðað reglulega og öryggisráðstafanir endurbættar að því marki sem þörf krefur. Þá sé það mat stofnunarinnar að ætla megi að þær upplýsingar sem skráðar eru hjá Lögreglunni á höfuðborgarsvæðinu geti talist mönnum hvað viðkvæmastar og sé af þeirri ástæðu nauðsynlegt við gerð áhættumats og skráningar öryggisráðstafana að taka mið af því.

Er niðurstaða Persónuverndar sú að öryggi vinnslu persónuupplýsinga í samantekt lögreglu á skipulagi við mótmælin 2008-2011 hafi ekki verið nægilega tryggt. Lagði stofnunin fyrir Lögregluna á höfuðborgarsvæðinu að setja sér verklagsreglur um hvernig öryggis og trúnaðar væri gætt við meðferð persónuupplýsinga í málaskrárkerfi lögreglu, LÖKE, í samræmi við lög, með tilliti til þeirra annmarka sem leiddu til þess að viðkvæmar persónuupplýsingar bárust óviðkomandi aðilum. Framangreindar verklagsreglur skulu sendar Persónuvernd fyrir 31. maí 2015.

Mótmælt á Austurvelli. mbl.is/Golli / Kjartan Þorbjörnsson

• Blogga um frétt