Heimildir þjónustuaðila til að afhenda vinnuveitendum upplýsingar um tölvunotkun starfsmanna

19. janúar

Persónuvernd barst fyrirspurn um heimildir A til að afhenda B, sem félagið rekur upplýsingakerfi fyrir, upplýsingar um tölvunotkun starfsmanns hjá B. Tekið skal fram að upplýsingarnar höfðu ekki verið afhentar. Af erindinu var talið mega ætla að A hefði stöðu vinnsluaðila, í skilningi laga um persónuvernd, gagnvart B sem hins vegar hefði stöðu ábyrgðaraðila.

Í tilefni af erindinu hefur Persónuverndar gefið út álit á sambandi ábyrgðaraðila og vinnsluaðila. Í álitinu eru að finna almenna leiðsögn um helstu lagasjónarmið og réttarstöðu aðila sem veita þjónustu á sviði netrekstrar.

Þar kemur fram að í þeim málum sem Persónuvernd hefur haft til úrlausnar hefur hún beint sjónum sínum að ábyrgðaraðila en ekki vinnsluaðila. Það á t.d. við um þau tilvik þegar vinnsluaðili, sem rekur netkerfi fyrir ábyrgðaraðila, hefur veitt vitneskju um tölvunotkun tiltekins starfsmanns ábyrgðaraðilans. Undantekning frá því kynni þó að verða gerð ef fyrir lægi að vinnsluaðili hafi þá farið gegn fyrirmælum ábyrgðaraðila.

Þó er tekið fram að óháð efnistökum Persónuverndar getur komið til þess að dómstóll felli bóta- eða refsiábyrgð á vinnsluaðila sem hefur með ólögmætum hætti veitt aðgang að persónulegum tölvupóstsamskiptum. Persónuvernd bendir því á, að til að eyða óvissu um hvernig bregðast eigi við í slíkum málum, sem hér um ræðir, geti verið til bóta að gæta þess að hafa jafnan í samningum vinnsluaðila og ábyrgðaraðila ákvæði þar að lútandi.

Álitið er að finna í heild sinni hér.