Ari Steinars­son, fram­kvæmda­stjóri Yay, sem hannaði smá­forritið í kringum Ferða­gjöf stjórn­valda, segir að engin vinnsla á per­sónu­upp­lýsingum hafi átt sér stað né hafi staðið til að vinna slíkar upp­lýsingar.

Per­sónu­vernd hefur lagt 7,5 milljón króna stjórn­valds­sekt á at­vinnu­vega- og ný­sköpunar­ráðu­neytið fyrir brot gegn per­sónu­verndar­lögum en í úr­skurði Per­sónu­verndar segir að ráðu­neytið og fyrir­tækið hafi brotið gegn fræðslu­skyldu, gagn­sæi og öryggi per­sónu­upp­lýsinga með smá­forritinu sem fólk notaði til að nálgast Ferða­gjöf stjórn­valda.

,,Það sem einkum vekur furðu er að Per­sónu­vernd kemst að þeirri niður­stöðu að YAY hafi brotið gegn marg­vís­legum á­kvæðum per­sónu­verndar­laga með því að óska eftir víð­tækum að­gangi að sím­tækjum not­enda, s.s. að dag­bókar­færslum o.fl., á fyrstu dögunum eftir að al­menningur gat nálgast ferða­gjöfina í gegnum smá­forritið," segir Ari í yfir­lýsingu við fyrir­spurn Frétta­blaðsins.

,Það liggur hins vegar fyrir í gögnum málsins, og ó­háður öryggis­út­tektar­aðili á vegum Per­sónu­verndar hefur stað­fest, að þessar heimildir voru aldrei nýttar. Og aldrei stóð til að nýta þær. Það var því engin vinnsla á þessum upp­lýsingum sem átti sér stað. Þetta er hins vegar blásið upp og Per­sónu­vernd gerir mikið úr þessari fræði­legu vinnslu sem á sér engan stoð í raun­veru­leikanum. Per­sónu­vernd virðist þó eitt­hvað vera að vand­ræðast með þetta og á­kveður að sekta ekki fyrir þessi brot þar sem þetta sé ó­ljóst. Með al­mennum rök­stuðningi kemst Per­sónu­vernd hins vegar að þeirri niður­stöðu að sekta skuli YAY um 4 milljónir þar sem öryggi hafi verið á­bóta­vant," segir Ari enn fremur.

Rökstuðningurinn réttlætir ekki sektarupphæðina

Sam­kvæmt á­kvörðun Per­sónu­verndar braut ráðu­neytið af sér með því að tryggja ekki að heimild væri fyrir vinnslu per­sónu­upp­lýsinga sem unnið var með auk þess var sann­girni og gagn­sæi ekki virt við vinnsluna.

Not­endur voru að­eins látnir sam­þykkja al­menna not­enda­skil­mála Yay en ekki veita sér­staka heimild fyrir vinnslu per­sónu­upp­lýsinga við skráningu í for­ritið.

„Það er ekkert í málinu sem bendir til þess að skort hafi á öryggi þeirra upp­lýsinga sem unnið var með af hálfu ráðu­neytisins og lét ráðu­neytið fram­kvæma sér­staka út­tekt á öryggis­málum fé­lagsins áður en farið var af stað í verk­efnið. Það er mitt mat að þessi rök­stuðningur Per­sónu­verndar sé ekki sann­færandi og rétt­læti ekki svo háa sekt gagn­vart YAY. Þetta er því niður­staða sem erfitt er fyrir fé­lagið að una við og allar líkur á því að við munum taka þetta lengra,“ segir Ari.

„Ráðu­neytinu þykir miður að mis­tök hafi átt sér stað“

At­vinnu­vega- og ný­sköpunar­ráðu­neytið birti yfir­lýsingu á vef stjórnar­ráðsins í dag í kjöl­far á­kvörðunar Per­sónu­verndar.

„Mark­mið Ferða­gjafar var að hvetja til ferða­laga innan­lands og styðja þannig við ís­lensk ferða­þjónustu­fyrir­tæki í kjöl­far heims­far­aldurs CO­VID-19. Verk­efnið var meðal þeirra skil­greindu að­gerða sem ætlað var að styðja við við­spyrnu efna­hags­lífsins, þá einkum ferða­þjónustunnar. Mikil á­hersla var lögð á að veita Ís­lendingum hvata til að ferðast innan­lands og nýta sér af­þreyingu og þjónustu. Út­búin var tækni­leg lausn í formi smá­forrits sem gerði þetta kleift með skömmum fyrir­vara,“ segir í yfir­lýsingu ráðunn­eytisins.

„Ráðu­neytinu þykir miður að mis­tök hafi átt sér stað sem leiddu til þess að aflað var víð­tækari per­sónu­upp­lýsinga en efni stóðu til. Mis­tökin fólust m.a. í því að smá­forrit Ferða­gjafar aflaði upp­lýsinga um aldur og kyn ein­stak­linga fyrstu þrjá dagana eftir út­gáfu smá­forritsins. Líkt og fram kemur í á­kvörðun Per­sónu­verndar er það mat stofnunarinnar að sú tíma­þröng sem verk­efnið var unnið í hafi átt stærstan þátt í að um­rædd vinnsla hafi farið fram. Um mann­leg mis­tök var að ræða sem þegar í stað var ráðin bót á.“

Hægt er að lesa yfir­lýsingu ráðu­neytisins hér.