Mínar síður hjá Vodafone teljast til almennrar fjarskiptaþjónustu

Póst- og fjarskiptastofnun kemst að þeirri niðurstöðu að þjónustu sem fjarskiptafyrirtækið Fjarskipta hf. (Vodafone) veitti með „Mínum síðum“ félagsins á heimasíðu sinni teljist til almennrar fjarskiptaþjónustu.

Þetta kemur fram í tilkynningu á vef PFS í dag. Þar segir jafnframt að það fjarskiptanet sem notað hafi verið fyrir veitingu þjónustunnar teljist almennt vera fjarskiptanet.

Tölvuárás tyrknesks tölvuhakkara á vefsíðu Vodafone í nóvember varð til þess að persónuleg skilaboð tugþúsunda Íslendinga voru öllum aðgengileg á netinu. Í febrúar var stofnað málsóknarfélag sem ætlar að sækja sameiginlega skaðabætur á hendur Vodafone vegna lekans.

Ekki liggur fyrir að svo stöddu hvort Fjarskipti hf. hafi brotið fjarskiptalög. Samkvæmt upplýsingum frá Póst- og fjarskiptastofnun er það enn til skoðunar.

Hrannar Pétursson, framkvæmdastjóri samskiptasviðs hjá Vodafone, áréttar í bréfi til Vísis að ekkert í ákvörðun PFS frá í dag segi að fyrirtækið hafi brotið lög. Ekki sé tekin afstaða til gagnanna sem stolið var í nóvember.

Ákvörðunin PFS staðfesti aðeins að sú þjónusta að senda skilaboð af vef Vodafone sé í eðli sínu fjarskiptaþjónusta. Bendir Hrannar á að sambærileg þjónusta af öðrum vefjum, t.d. sms-sendingar úr heimabankaþjónustu, sé ekki fjarskiptaþjónusta. Velta megi fyrir sér hvort í þessu felist ósamræmi.

Hrannar segir ákvörðun PFS fyrst og fremst tæknilega og ekki taka í raun á því sem hafi verið í umræðunni, þ.e. gögnunum sem stolið var í nóvember.

Hér að neðan má sjá tilkynninguna af heimasíðu PFS og í viðhengi að neðan má finna ákvörðunina í heild sinni.

Póst- og fjarskiptastofnun (PFS) hefur birt ákvörðun sína nr. 1/2014 um afmörkun gildissviðs fjarskiptalaga, nr. 81/2003, vegna vefsvæðis Fjarskipta hf. (Vodafone). Í ákvörðuninni kemst PFS að þeirri niðurstöðu að sú þjónusta sem veitt var á „Mínum síðum“ félagsins telst vera almenn fjarskiptaþjónusta í skilningi laganna og það fjarskiptanet sem notað var fyrir veitingu þjónustunnar telst vera almennt fjarskiptanet.

Þann 30. nóvember 2013 var brotist inn vefkerfi Vodafone sem leiddi til þess að að persónuupplýsingar um þúsundir viðskiptavina félagsins, sem þar höfðu verið varðveitt komust í hendur óviðkomandi aðila og voru síðar birtar á internetinu.

Til samræmis við eftirlitshlutverk PFS hóf stofnunin athugun á umræddu öryggisatviki og óskaði upplýsinga frá Vodafone varðandi framangreint öryggisatvik. Í svari félagsins var gerður sá fyrirvari af hálfu félagsins að gildissvið fjarskiptalaga, og þar með valdsvið PFS, næði ekki yfir tilgreint vefkerfi félagsins og þar með umrætt öryggisatvik. Í ljósi þessa var nauðsynlegt að skera úr um þann vafa sem Vodafone taldi vera á gildissviði fjarskiptalaga og valdsviði stofnunarinnar hvað þetta varðar áður en áfram væri haldið með rannsókn á umræddu öryggisatviki. Boðaði PFS því að stofnunin hygðist taka ákvörðun þess efnis að vefkerfi Vodafone, og sú þjónusta sem þar var boðið uppá, félli undir gildissvið fjarskiptalaga og var félaginu veitt tækifæri á að koma að athugasemdum sínum við boðaða ákvörðun. Vodafone andmælti þessari afstöðu PFS og var því ekki  hjá því komist en að stofnunin tæki ákvörðun um þetta atriði.

Í málinu er ekki deilt um með hvaða hætti veiting þjónustu félagsins hafi farið fram, þ.e. að um hafi verið að ræða hugbúnað á vefsvæði félagsins sem veitti áskrifendum þess möguleika á að senda smáskilaboð af vefsvæðinu yfir í farsíma. Aftur á móti er ágreiningur um hvort að í þeirri þjónustu felist fjarskiptaþjónusta í skilningi fjarskiptalaga og hvort vefkerfið teljist til fjarskiptanets í skilningi laganna. Að mati PFS telst það sendikerfi sem flytur merki, þ.e. skilaboð af vefsvæði yfir í miðlara í farsímakerfi félagsins, vera fjarskiptanet í skilningi 13. tl. 3. gr. fjarskiptalaga. Þá er það afstaða stofnunarinnar að sú þjónusta sem veitt var í gegnum hugbúnaðinn á vefsíðunni teljist vera fjarskiptaþjónusta í skilningi 15. tl. 3. gr. fjarskiptalaga. Um er að ræða þjónustu sem felst í því að beina merkjum um fjarskiptanet, þ.e. að beina smáskilaboðum um sendikerfi sem flytur þau yfir í SMS miðlara í farsímakerfi félagsins. Þessi þjónusta telst jafnframt almenn fjarskiptaþjónusta í þeim skilningi að allir viðskiptavinir Vodafone gátu skráð sig inn á símanúmeri sínu og lykilorði og sent skilaboð, að ákveðinni lengd, í hvaða farsíma sem er og að fullu ráðið efnisinnihaldi skilaboðanna. Það er því niðurstaða PFS að ekki leiki vafi á því að það fjarskiptanet og sú þjónusta sem boðið var uppá teljist vera almennt fjarskiptanet í skilningi 5. tl. 3. gr. fjarskiptalaga. Af þessu leiðir að ákvæði fjarskiptalaga og afleiddra réttarheimilda, svo sem reglur 1221/2007, um vernd upplýsinga í almennum fjarskiptanetum, ná yfir þá þjónustu sem Vodafone veitti á „Mínum síðum“ á vefsvæði félagsins og fólst í sendingu vefskilaboða í farsíma.

PFS áréttar að ákvörðun þessi lýtur eingöngu að gildissviði fjarskiptalaga og reglna settra með stoð í þeim, þ.e. hvort vefkerfi félagsins, sem bauð upp á sendingu smáskilaboða, teljist hluti af fjarskiptaneti og sú þjónusta sem þar var veitt teljist vera fjarskiptaþjónusta. Ákvörðunin lýtur ekki að því hvaða gögnum var stolið, varðveislu þeirra eða hvernig öryggi kerfisins var háttað. PFS mun í framhaldinu halda áfram með rannsókn á öryggisatvikinu sjálfu og varðveislu gagna í sérstöku máli.