Öryggisbrestir teljast þeir brestir á öryggi sem leiða til óviljandi eða ólögmætrar eyðingar persónuupplýsinga eða þess að þær glatist, breytist, verði birtar eða aðgangur verði veittur að þeim í leyfisleysi.
Slíka bresti skal tilkynna Persónuvernd án ótilhlýðilegrar tafar og, ef mögulegt er, eigi síðar en 72 klukkustundum eftir að ábyrgðaraðili verður brestsins var.
Á því ári sem er að líða frá gildistöku nýrra persónuverndarlaga hér á landi hafa Persónuvernd borist 172 tilkynningar um öryggisbresti. Þá voru yfir 59.000 öryggisbrestir tilkynntir til persónuverndarstofnana innan Evrópska efnahagssvæðisins frá maí 2018 til febrúar 2019.
Sé öryggisbrestur ekki tilkynntur telst það brot á persónuverndarlögunum sem getur leitt til sekta, en frá gildistöku persónuverndarreglugerðarinnar hafa bæði ungversk og þýsk persónuverndaryfirvöld sektað ábyrgðaraðila vegna vanrækslu á tilkynningarskyldu.
Frá tilkynningarskyldunni er þó gerð sú undanþága að ef ólíklegt þykir að öryggisbrestur leiði til áhættu fyrir réttindi og frelsi einstaklinga þarf ekki að tilkynna um brestinn til Persónuverndar.
Í formálagrein 85 í persónuverndarreglugerðinni, sem persónuverndarlögin innleiða í íslenskan rétt, koma fram ákveðnar vísbendingar um hvers konar áhættu fyrir réttindi og frelsi verið er að vísa til, en þar segir að öryggisbrestur geti leitt til efnislegs tjóns, eignatjóns eða óefnislegs tjóns fyrir einstakling, s.s. mismununar, auðkennisþjófnaðar, svika, fjárhagstjóns, skaða á orðstír, tapaðs trúnaðar eða félagslegs óhagræðis.
Meðal ábyrgðaraðila virðist þó ríkja töluverð óvissa um hvenær undanþágan geti átt við, þ.e. hvenær ólíklegt þykir að bresturinn leiði til áhættu fyrir réttindi og frelsi hinna skráðu sem bresturinn varðar, enda hafa takmarkaðar leiðbeiningar verið veittar af persónuverndaryfirvöldum hvað þetta varðar.
Nýlega birti Persónuvernd hins vegar fyrsta úrskurð sinn um öryggisbresti þar sem byggt er á ákvæðum nýju persónuverndarlaganna, og úrskurðurinn veitir ákveðnar leiðbeiningar í þessum efnum.
Úrskurðurinn varðaði miðlun íslensks banka á upplýsingum um greiðsludreifingu á greiðslukorti á netfang óviðkomandi þriðja aðila, en öryggisbresturinn var ekki tilkynntur til Persónuverndar fyrr en eftir að bankanum barst bréf frá Persónuvernd um kvörtun vegna brestsins.
Með hliðsjón af atvikum, einkum eðli og umfangi öryggisbrestsins, komst Persónuvernd að þeirri niðurstöðu að það hafi verið ólíklegt að bresturinn myndi leiða til áhættu fyrir réttindi og frelsi kvartanda. Einkum var litið til eftirfarandi atriða:
- Eðli og umfang; upplýsingarnar voru ekki viðkvæms eðlis, en í því sambandi skipti máli að ekki var um að ræða yfirlit yfir einstakar kortafærslur heldur yfirlit yfir greiðsludreifingu.
- Tengsl; sá aðili sem fékk upplýsingarnar sendar var kunnugur kvartanda, og fékk hann tölvupóstinn sendan vegna þess að netfang hans var skráð í kerfi bankans tengt fyrri greiðslukortaviðskiptum kvartanda.
- Tími; ekki leið langur tími frá því að öryggisbresturinn varð þar til kvartanda varð kunnugt um hann.
Í samhengi við þennan úrskurð Persónuverndar er jafnframt athyglisvert að líta til nýlegs úrskurðar litháenskra persónuverndaryfirvalda, en hann varðaði öryggisbrest hjá greiðsluþjónustufyrirtæki. Var þar um mun umfangsmeiri persónuupplýsingar að ræða en í máli íslenska bankans, en þar urðu listar yfir greiðslur sem greiðsluþjónustufyrirtækið framkvæmdi fyrir einstaklinga aðgengilegir á netinu í yfir tvo sólarhringa. Öryggisbresturinn var ekki tilkynntur og var greiðsluþjónustufyrirtækið sektað um 61.500 evrur, eða um 8 milljónir íslenskra króna.
Framangreindir úrskurðir gefa ábyrgðaraðilum ákveðnar vísbendingar um hvernig skuli meta líkur á áhrifum á réttindi og frelsi hins skráða einstaklings, en hvar línan nákvæmlega liggur á væntanlega eftir að skýrast enn frekar í framkvæmd.
