Varðveislan ekki í samræmi við lög

Höfuðstöðvar Vodafone í Skútuvogi.
Höfuðstöðvar Vodafone í Skútuvogi. mbl.is/Ómar Óskarsson

Persónuvernd hefur komist að þeirri niðurstöðu að varðveisla Vodafone á smáskilaboðum hafi ekki samrýmst lögum um persónuvernd og meðferð persónuupplýsinga. Vodafone unir úrskurðinum.

Persónuvernd hefur nú úrskurðað í sjö málum sem kærð voru til stofnunarinnar vegna leka á persónuupplýsingum frá Vodafone í lok nóvembermánaðar. Málin sjö snúast um smáskilaboð sem óprúttinn aðili komst yfir og lak, þegar hann gerði árás á vef Vodafone.

Hakk­ar­inn sagðist hafa náð per­sónu­upp­lýs­ing­um um sjötíu þúsund not­end­ur og birti hann þær á netinu. Þar á meðal voru not­enda­nöfn og smáskila­boð.

Kvartað var yfir því að smáskilaboðin hafi verið orðin eldri en sex mánaða og að fyrirtækinu hafi þess vegna verið skylt til að eyða þeim. „Liggur fyrir að sms-skilaboðin vistuðust sjálfkrafa á þjónustusvæði á vefsíðu Vodafone nema afhakað væri við reit um vistun gagna,“ segir í einum úrskurðinum.

Lögmenn Vodafone bentu hins vegar á að tölvuþrjótinum hefði tekist að stela vefskilaboðum sem hægt var að vista í skeytasögu. Skilaborð sem ekki voru vistuð í skeytasögu hefðu eyðst jafnóðum af síðunni.

„Engum notanda þjónustusíðu félagsins gat dulist að ef hakað var við reitinn vista samskiptasögu þá sá hann eldri skilaboð sem hann hafði sent. Jafnframt var mjög auðveld aðgerð að eyða þeim skilaboðum sem þegar höfðu vistast stæði vilji notanda til þess,“ segja lögmenn Vodafone.

Þeir segja ennfremur að samþykki geti talist ótvírætt þótt það sé ekki veitt berum orðum, heldur í verki. Ekki séu skilyrði fyrir því í persónuverndarlögum að um skriflegt samþykki sé að ræða.

„Allri vinnslu upplýsinga á síðunni átti notandi vefgáttarinnar frumkvæði að og stjórnaði notkuninni og varðveislunni. Í boði var að vista samskiptasöguna og kom það bersýnilega í ljós þegar gáttin var opnuð hvort samskiptin voru vistuð í samskiptasögu eða ekki,“ segja lögmennirnir.

Með því að stofna persónulega gátt á „Mínum síðum“ hjá Vodafone og setja tilheyrandi upplýsingar þar inn og notfæra sér þjónustu fyrirtækisins telur Vodafone að nægjanlega ótvírætt og upplýst samþykki hafi legið fyrir um varðveislu þeirra gagna sem notendurnir sjálfir settu þar inn. Þetta á bæði við um varðveislu gagna á vefgáttinni sjálfri sem og vefskilaboðin sem send voru af gáttinni.

Úrskurðir Persónuverndar

mbl.is
Fleira áhugavert
Fleira áhugavert