Atvinnu­vega- og nýsköp­un­ar­ráðu­neyt­inu hefur verið gert að greiða 7,5 millj­ónir króna í stjórn­valds­sekt vegna vinnslu per­sónu­upp­lýs­inga í tengslum við ferða­gjöf stjórn­valda. Fyr­ir­tæk­inu YAY ehf., sem bjó til smá­forrit sem not­ast var við í útdeil­ingu ferða­gjaf­ar­inn­ar, hefur verið gert að greiða 4,5 millj­ónir króna í stjórn­valds­sekt af sömu sök­um. 

Þetta kemur fram í ákvörðun Per­sónu­verndar í mál­inu sem birt var í morg­un. Þar segir að ráðu­neytið og fyr­ir­tækið sem það réð til að útdeila ferða­gjöf­inni staf­rænt hafi brotið gegn grund­vall­ar­reglum per­sónu­vernd­ar­lög­gjaf­ar­inn­ar, til dæmis um fræðslu­skyldu, gagn­sæi og öryggi per­sónu­upp­lýs­inga í smá­forrit­inu Ferða­gjöf.

„Dag­ana 18.-23. júní 2020 sótti smá­forrit­ið, í ein­hverjum til­vikum án vit­neskju eig­enda þeirra, mjög víð­tækar aðgangs­heim­ildir í sím­tækjum not­enda. Þar á meðal var sóttur aðgangur að mynda­vél til þess að taka ljós­myndir og mynd­bönd, svo og að hljóð­nema til að taka upp hljóð og breyta hátal­ara­still­ingum sím­tæk­is,“ segir meðal ann­ars í ákvörðun Per­sónu­vernd­ar.

Ráðu­neytið ákvað að semja við YAY ehf. í júní í fyrra og fékk fyr­ir­tækið greiddar fjórar millj­­ónir króna fyrir að hanna smá­forrit utan um ferða­­gjöf stjórn­­­valda. Sam­­kvæmt svari atvinn­u­­vega- og nýsköp­un­­ar­ráðu­­neyt­­is­ins við fyr­ir­spurn Kjarn­ans um málið á þeim tíma var lausn fyr­ir­tæk­is­ins metin hæfust af fjölda lausna sem upp­­haf­­lega voru skoð­að­­ar.

Auk þeirra fjög­urra millj­­óna króna sem fyr­ir­tækið fékk fyrir að hanna Ferða­gjaf­­ar-­­for­­ritið reikn­aði ráðu­­neytið með að greiða YAY ehf. á bil­inu átta til ell­efu millj­­ónir króna til við­­bótar fyrir rekstr­­ar­­þjón­­ustu for­­rits­ins þar til fyrsta áfanga verk­efn­­is­ins lyki, en ferða­gjaf­irn­­ar, sem námu 5.000 krónum á hvern íbúa á Íslandi 18 ára og eldri, voru upp­haf­lega inn­­­leys­an­­legar til loka árs í fyrra. Sá frestur var síðan fram­lengdur og ráð­ist var í útgáfu nýrrar ferða­gjafar á þessu ári sem einnig var ráð­stafað í gegnum smá­forrit YAY ehf.

YAY við­ur­kenndi mis­tök

Per­sónu­vernd segir að sér hafi borist fjöldi ábend­inga um að við notkun ferða­gjaf­ar­innar hefði verið kraf­ist umfangs­mik­illa per­sónu­upp­lýs­inga og víð­tæks aðgangs að sím­tækjum not­enda. Því frum­kvæð­is­rann­sókn sett af stað.

Nið­ur­staða Per­sónu­verndar var sú að atvinnu­vega- og nýsköp­un­ar­ráðu­neyt­ið, sem ábyrgð­ar­að­ili vinnsl­unn­ar, braut gegn mörgum grund­vall­ar­reglum per­sónu­vernd­ar­lög­gjaf­ar­innar auk þess sem vinnslan var umfangs­mik­il. Þá hafi hvorki atvinnu­vega- og nýsköp­un­ar­ráðu­neytið né YAY ehf. gert „við­eig­andi tækni­legar og skipu­lags­legar ráð­staf­anir til að tryggja öryggi við vinnslu per­sónu­upp­lýs­inga, svo sem með aðlögun og mótun still­inga smá­forrits­ins, auk þess sem ekki var gerður vinnslu­samn­ingur milli aðila svo sem lög kveða á um, en gerð slíks samn­ings telst til mik­il­vægra skipu­lags­legra ráð­staf­ana vegna vinnslu per­sónu­upp­lýs­inga.“

Í ákvörð­un­inni kemur fram að þrátt fyrir ábend­ingar Per­sónu­verndar um ófull­nægj­andi fræðslu hafi seint verið gripið til úrbóta og allt þar til verk­efn­inu lauk nú í sumar var not­endum gert að sam­þykkja ranga not­enda­skil­mála við inn­skrán­ingu í smá­forrit­ið. 

Þar segir enn fremur að það hafi verið fyrir mis­tök YAY ehf. að aflað hafi verið víð­tækra og ónauð­syn­legra aðgangs­heim­ilda í sím­tækjum not­enda smá­forrits­ins, meðal ann­ars að við­kvæmum per­sónu­upp­lýs­ing­um, svo sem trún­að­ar­upp­lýs­ingum í daga­tali. „Hins vegar kom í ljós við rann­sókn máls­ins að per­sónu­upp­lýs­ingar not­enda hefðu ekki verið sóttar á grund­velli fyrr­greindra aðgangs­heim­ilda.“

YAY ehf. við­ur­kenndi að vinnslan hefði farið fram fyrir mis­tök og verið ónauð­syn­leg. „Auk þess komst Per­sónu­vernd að þeirri nið­ur­stöðu að fyr­ir­tækið hefði ekki upp­fyllt kröfur per­sónu­vernd­ar­laga um inn­byggða og sjálf­gefna per­sónu­vernd við upp­setn­ingu smá­forrits­ins. Þá lágu ekki fyrir gögn sem sýndu að gerðar hefðu verið úttektir eða próf­anir til að meta skil­virkni og still­ingar for­rits­ins, meðal ann­ars með til­liti til þess hvaða per­sónu­upp­lýs­inga væri í reynd óskað við inn­skrán­ingu í smá­forritið og þeirra aðgangs­heim­ilda sem aflað væri sjálf­krafa. Var hátt­semi YAY ehf. því ekki talin sam­ræm­ast per­sónu­vernd­ar­lög­gjöf­inni hvað þessi atriði varð­að­i.“

Kost­aði rúm­lega tvo millj­arða

Í tölum Ferða­­mála­­stofu kemur fram að alls hafi verið sóttar 231.331 ferða­gjafir í seinni úthlutun þeirra fyrir 1.157 millj­­arð króna. Not­aðar voru 218.934 ferða­gjafir og voru 194.171 full­nýttar (5.000 krón­­ur) Ónot­aðar ferða­gjafir voru 12.397 og nam ónotuð upp­­hæð um 80 millj­­ónum króna. Heild­­ar­­upp­­hæð sem nýtt var í ferða­­gjöf var því 1.076.841.713 krón­­ur.

­Sam­­­kvæmt mæla­­­borði ferða­­­þjón­ust­unnar var rétt rúm­­­lega millj­­­arður greiddur út í formi ferða­gjafar í fyrri atrennu henn­ar. Ferða­­­gjöf 2020 átti að gilda frá júní í fyrra og út árið 2020 en var fram­­­lengd til loka maí á þessu ári. Af þeim 280 þús­undum sem gátu nýtt sér síð­­­­­ustu ferða­­­gjöf sóttu 240 þús­und gjöf­ina en heild­­­ar­­­fjöldi not­aðra gjafa nam 207 þús­und­­­um. Því er heild­­ar­­kostn­aður skatt­greið­enda vegna ferða­gjaf­­ar­innar rúm­­lega tveir millj­­arðar króna.

Mörg þeirra fyr­ir­tækja sem fengu mest út úr seinni ferða­­gjöf­inni mynd­uðu þann hóp sem fékk mest út úr þeirri fyrri. Þar ber helst að nefna elds­­neyt­is­sal­ana N1 og Olís og skynd­i­bita­keðj­­urnar Dom­in­o´s og KFC.