Atvinnuvega- og nýsköpunarráðuneytinu hefur verið gert að greiða 7,5 milljónir króna í stjórnvaldssekt vegna vinnslu persónuupplýsinga í tengslum við ferðagjöf stjórnvalda. Fyrirtækinu YAY ehf., sem bjó til smáforrit sem notast var við í útdeilingu ferðagjafarinnar, hefur verið gert að greiða 4,5 milljónir króna í stjórnvaldssekt af sömu sökum.
Þetta kemur fram í ákvörðun Persónuverndar í málinu sem birt var í morgun. Þar segir að ráðuneytið og fyrirtækið sem það réð til að útdeila ferðagjöfinni stafrænt hafi brotið gegn grundvallarreglum persónuverndarlöggjafarinnar, til dæmis um fræðsluskyldu, gagnsæi og öryggi persónuupplýsinga í smáforritinu Ferðagjöf.
„Dagana 18.-23. júní 2020 sótti smáforritið, í einhverjum tilvikum án vitneskju eigenda þeirra, mjög víðtækar aðgangsheimildir í símtækjum notenda. Þar á meðal var sóttur aðgangur að myndavél til þess að taka ljósmyndir og myndbönd, svo og að hljóðnema til að taka upp hljóð og breyta hátalarastillingum símtækis,“ segir meðal annars í ákvörðun Persónuverndar.
Ráðuneytið ákvað að semja við YAY ehf. í júní í fyrra og fékk fyrirtækið greiddar fjórar milljónir króna fyrir að hanna smáforrit utan um ferðagjöf stjórnvalda. Samkvæmt svari atvinnuvega- og nýsköpunarráðuneytisins við fyrirspurn Kjarnans um málið á þeim tíma var lausn fyrirtækisins metin hæfust af fjölda lausna sem upphaflega voru skoðaðar.
Auk þeirra fjögurra milljóna króna sem fyrirtækið fékk fyrir að hanna Ferðagjafar-forritið reiknaði ráðuneytið með að greiða YAY ehf. á bilinu átta til ellefu milljónir króna til viðbótar fyrir rekstrarþjónustu forritsins þar til fyrsta áfanga verkefnisins lyki, en ferðagjafirnar, sem námu 5.000 krónum á hvern íbúa á Íslandi 18 ára og eldri, voru upphaflega innleysanlegar til loka árs í fyrra. Sá frestur var síðan framlengdur og ráðist var í útgáfu nýrrar ferðagjafar á þessu ári sem einnig var ráðstafað í gegnum smáforrit YAY ehf.
YAY viðurkenndi mistök
Persónuvernd segir að sér hafi borist fjöldi ábendinga um að við notkun ferðagjafarinnar hefði verið krafist umfangsmikilla persónuupplýsinga og víðtæks aðgangs að símtækjum notenda. Því frumkvæðisrannsókn sett af stað.
Niðurstaða Persónuverndar var sú að atvinnuvega- og nýsköpunarráðuneytið, sem ábyrgðaraðili vinnslunnar, braut gegn mörgum grundvallarreglum persónuverndarlöggjafarinnar auk þess sem vinnslan var umfangsmikil. Þá hafi hvorki atvinnuvega- og nýsköpunarráðuneytið né YAY ehf. gert „viðeigandi tæknilegar og skipulagslegar ráðstafanir til að tryggja öryggi við vinnslu persónuupplýsinga, svo sem með aðlögun og mótun stillinga smáforritsins, auk þess sem ekki var gerður vinnslusamningur milli aðila svo sem lög kveða á um, en gerð slíks samnings telst til mikilvægra skipulagslegra ráðstafana vegna vinnslu persónuupplýsinga.“
Þar segir enn fremur að það hafi verið fyrir mistök YAY ehf. að aflað hafi verið víðtækra og ónauðsynlegra aðgangsheimilda í símtækjum notenda smáforritsins, meðal annars að viðkvæmum persónuupplýsingum, svo sem trúnaðarupplýsingum í dagatali. „Hins vegar kom í ljós við rannsókn málsins að persónuupplýsingar notenda hefðu ekki verið sóttar á grundvelli fyrrgreindra aðgangsheimilda.“
YAY ehf. viðurkenndi að vinnslan hefði farið fram fyrir mistök og verið ónauðsynleg. „Auk þess komst Persónuvernd að þeirri niðurstöðu að fyrirtækið hefði ekki uppfyllt kröfur persónuverndarlaga um innbyggða og sjálfgefna persónuvernd við uppsetningu smáforritsins. Þá lágu ekki fyrir gögn sem sýndu að gerðar hefðu verið úttektir eða prófanir til að meta skilvirkni og stillingar forritsins, meðal annars með tilliti til þess hvaða persónuupplýsinga væri í reynd óskað við innskráningu í smáforritið og þeirra aðgangsheimilda sem aflað væri sjálfkrafa. Var háttsemi YAY ehf. því ekki talin samræmast persónuverndarlöggjöfinni hvað þessi atriði varðaði.“
Kostaði rúmlega tvo milljarða
Í tölum Ferðamálastofu kemur fram að alls hafi verið sóttar 231.331 ferðagjafir í seinni úthlutun þeirra fyrir 1.157 milljarð króna. Notaðar voru 218.934 ferðagjafir og voru 194.171 fullnýttar (5.000 krónur) Ónotaðar ferðagjafir voru 12.397 og nam ónotuð upphæð um 80 milljónum króna. Heildarupphæð sem nýtt var í ferðagjöf var því 1.076.841.713 krónur.
Samkvæmt mælaborði ferðaþjónustunnar var rétt rúmlega milljarður greiddur út í formi ferðagjafar í fyrri atrennu hennar. Ferðagjöf 2020 átti að gilda frá júní í fyrra og út árið 2020 en var framlengd til loka maí á þessu ári. Af þeim 280 þúsundum sem gátu nýtt sér síðustu ferðagjöf sóttu 240 þúsund gjöfina en heildarfjöldi notaðra gjafa nam 207 þúsundum. Því er heildarkostnaður skattgreiðenda vegna ferðagjafarinnar rúmlega tveir milljarðar króna.
Mörg þeirra fyrirtækja sem fengu mest út úr seinni ferðagjöfinni mynduðu þann hóp sem fékk mest út úr þeirri fyrri. Þar ber helst að nefna eldsneytissalana N1 og Olís og skyndibitakeðjurnar Domino´s og KFC.