Skoðun á tölvupósti fyrrverandi starfsmanns

6.2.2012

Úrskurður

Á fundi stjórnar Persónuverndar hinn 17. janúar 2012 var kveðinn upp svohljóðandi úrskurður í máli nr. 2011/327:


I.
Grundvöllur máls
Málavextir og bréfaskipti

1.
Kvörtun
Með bréfi, dags. 28. febrúar 2011, barst Persónuvernd kvörtun X, hdl., f.h. A („kvartandi“). Hún kvartar yfir háttsemi fyrrverandi vinnuveitanda síns, sem er D („ábyrgðaraðili“). Í kvörtuninni kemur fram að kvartandi telji að B, stjórnarformaður félagsins, hafi brotið gegn lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og 9. gr. reglna nr. 837/2006 um rafræna vöktun með því að skoða tölvupóst hennar án þess að gefa henni færi á að vera viðstödd. Þá er þess krafist að Persónuvernd mæli fyrir um stöðvun á frekari skoðun á tölvupósti kvartanda að viðlögðum sektum.

Þann 17. ágúst 2011 tók Persónuvernd ákvörðun um að á meðan málið væri til meðferðar hjá Póst- og fjarskiptastofnun væru ekki efni til þess að hún fjallaði um málið. Þegar sú stofnun hefði lokið afgreiðslu á málinu af sinni hálfu myndi Persónuvernd kanna hvort það félli undir gildissvið laga nr. 77/2000 - og þar með verksvið Persónuverndar - enda bærist henni um það sérstök ósk frá kvartanda, A.

2.
Bréfaskipti við
Póst- og fjarskiptastofnun

Þann 27. september 2011 barst Persónuvernd afrit af niðurstöðu Póst- og fjarskiptastofnunar í framangreindu máli. Í niðurstöðunni segir m.a.:

„Þrátt fyrir að þetta álit PFS, um að sending og móttaka á umræddum tölvupósti á netfang kvartanda hjá fyrrum vinnuveitanda, þannig að óviðkomandi hafi fengið aðgang að honum, falli ekki undir 9. mgr. 47. gr. fjarskiptalaga, verður að telja það sérstakt álitamál hvort vinnuveitandinn fyrrverandi, stjórnarformaður D ehf. heildverslun, hafi haft heimild til þess að opna póst sem stílaður var á kvartanda og kynna sér efni hans. Telur PFS að úrlausn þessa álitamáls sé á verksviði Persónuverndar, á grundvelli laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, en með stoð í þessum lögum hafa jafnframt verið settar reglur um rafræna vöktun nr. 837/2006, sem hugsanlega kann að reyna á varðandi það svigrúm til eftirlits sem vinuveitanda er heimilt að viðhafa með starfsmönnum sínum. Með vísan til alls framangreinds er það fyrirætlun PFS, með vísan til 7. gr. stjórnsýslulaga nr. 37/1993 að áframsenda erindi yðar til meðferðar hjá Persónuvernd, nema að fram komi rökstudd andmæli frá yður um þá ráðstöfun fyrir 7. október nk., en komi til þess mun PFS taka formlega ákvörðun í málinu, að teknu tilliti til hugsanlegra viðbótarathugasemda frá yður.“

3.
Bréfaskipti við málsaðila

Þann 29. september 2011 barst Persónuvernd einnig bréf X, hdl., f.h. kvartanda, dags. 27. september s.á. Þar segir m.a.:

„Með vísan til þess að Persónuvernd hefur lýst því yfir að hún muni kanna hvort erindi umbj. míns falli undir gildissvið laga nr. 77/2000, komi fram ósk um það, sem og til þess að erindi umbj. míns hefur nú verið framsent Persónuvernd óskar umbj. minn, þess að Persónuvernd haldi meðferð málsins áfram hjá stofnuninni og leysi úr kvörtun umbj. míns til stofnunarinnar og úrskurði um það hvort sú háttsemi stjórnarformanns D ehf., sem vitnað er til að framan, hafi brotið gegn ákvæðum laga nr. 77/2000 og reglum sem settar hafa verið á grundvelli þeirra, einkum reglum um rafræna vöktun, nr. 837/2006. “

Með bréfi, dags. 20. október 2011, var lögmanni D ehf. tilkynnt um að óskað hefði verið eftir því við stofnunina að meðferð málsins yrði haldið áfram í kjölfar ákvörðunar Póst- og fjarskiptastofnunar. Var D ehf. boðið að koma á framfæri andmælum sínum til samræmis við 13. og 14. gr. stjórnsýslulaga nr. 37/1993. Var frestur veittur til 2. nóvember 2011. Með símtali þann 4. nóvember 2011 var óskað eftir fresti til að svara bréfi Persónuverndar til 9. s.m. Ekkert svar barst. Með bréfi, dags. 15. nóvember 2011, ítrekaði Persónuvernd ósk sína um svör. Þá óskaði stofnunin svara við því hvort settar hefðu verið reglur eða veitt fræðsla um skoðun tölvupósts hjá fyrirtækinu. Var svarfrestur í þessu sambandi veittur til 22. nóvember 2011.

Svarbréf lögmanns D ehf., dags. 21. nóvember 2011, barst stofnuninni þann 22. nóvember 2011. Þar segir m.a.:

„Umbjóðandi minn hefur annars ekki sett sérstakar reglur um notkun starfsmanna á tölvu- og hugbúnaði fyrirtækisins til einkanota, þ.m.t. til einkatölvupóstssendinga. Umbjóðandi minn hefur hins vegar litið svo á, og gert starfsmönnum grein fyrir þeirri skoðun, að hann líti svo á að tölvupóstur starfsmanna sé eign fyrirtækisins og að ekki sé ætlast til þess að starfsmenn fyrirtækisins noti netföngin fyrir einkapóst.  
 
1.    Málavextir.
Kvartandi er fyrrverandi forstjóri D ehf. (hér eftir „D ehf.“ eða umbjóðandi minn),[...]. Frá árinu 2007 gegndi kvartandi starfi forstjóra félagsins en hún hafði þá starfað hjá félaginu frá árinu 2000. Kvartandi sagði upp störfum þann 30. apríl 2010 og lauk störfum þann 7. júní það ár. Sem forstjóri hafði hún yfirumsjón með daglegum rekstri D ehf. og réði m.a. starfsfólk til félagsins, annaðist samskipti við lánadrottna, birgja, stjórnvöld o.fl. Skömmu eftir starfslok kvartanda kom í ljós að hún hefði stofnað einkahlutafélag, P ehf., í beinni samkeppni við umbjóðanda minn og að hún hefði unnið markvisst að því að yfirtaka viðskiptasamninga við helstu birgja umbjóðanda míns, o.þ.m.t. viðskiptavini. Þá fór að bera á því að birgjar umbjóðanda míns hefðu samband að fyrra bragði til að óska eftir upplýsingum um fjárhagsstöðu umbjóðanda míns og meint gjaldþrot félagsins. Kom í ljós að kvartandi hefði haft samband við helstu birgja umbjóðanda míns og dylgjað um meint gjaldþrot félagsins.
Staðhæfingar kvartanda, um meint gjaldþrot umbjóðanda míns og stjórnarformanns félagsins, ollu eðli máls samkvæmt verulegu tjóni en ummælin, ein og sér, fela í sér brot gegn almennu hegningarlögunum nr. 19/1940, sbr. 236. gr. laganna (fskj. 2, sbr. 3. kafla). Umbjóðandi minn hafði því samband við helstu birgja félagsins og tilkynnti þeim að enginn fótur væri fyrir því að félagið væri á leið í gjaldþrot. Þvert á móti væri um atvinnuróg að ræða af hálfu kvartanda sem að mati umbjóðandi míns hugðist hrifsa til sín helstu birgja félagsins. Af því tilefni var stjórn umbjóðanda míns m.a. upplýst um að kvartandi hefði sent tölvupósta frá netfanginu sem hún hafði til umráða hjá umbjóðanda mínum, [kvartandi]@[ábyrgðaraðili].is, til birgja félagsins um meint gjaldþrot félagsins.
Til að ganga úr skugga um að kvartandi væri ekki að senda tölvupóst frá fyrrum netfangi til birgja félagsins var ákveðið að fara inn á netfangið og skoða hvort einhverjir tölvupóstar hefðu verið sendir frá netfanginu eftir að kvartandi hefði lokið stöfum hjá umbjóðanda mínum í júnímánuði 2010. Einungis var leitað eftir tölvupósti til birgja umbjóðanda míns eftir að kvartandi hefði sagt upp störfum hjá félaginu. Við þá skoðun kom í ljós tölvupóstur frá nefndum  C, starfsmanni  I, sem þá var helsti birgi umbjóðanda míns. Tölvupósturinn er dagsettur 19. september 2010 og var því sendur á netfangið [kvartandi]@[ábyrgðaraðili].is eftir að kvartandi hætti störfum hjá umbjóðanda mínum, sem var í júní 2010. Í tölvupóstinum var að finna svarbréf C við tölvupósti kvartanda þar sem fram koma dylgjur um meint gjaldþrot umbjóðanda míns og stjórnarformann félagsins, B. Umræddur C  hafði áður haft samband við umbjóðanda minn vegna þessa tölvupósts kvartanda og óskað eftir upplýsingum um efni hans. Umræddur tölvupóstur staðfesti grun umbjóðanda míns að kvartandi hefði með skipulegum hætti reynt að yfirtaka birgja félagsins og haft uppi staðhæfingar um meint gjaldþrot félagsins. Kvartandi var því kærð til Neytendastofu.

2.    Málsástæður.
[...] Byggt er á því að umbjóðanda mínum hafi verið heimilt, eins og atvikum er háttað í þessu máli, að fara inn á netfang kvartanda í umrætt sinn og skoða tölvupóst C á netfangið [kvartandi]@[ábyrgðaraðili].is. Málefnalegar ástæður lágu að baki því að umræddur tölvupóstur var skoðaður þar sem umbjóðandi minn hafði grun um að kvartandi hefði sent tölvupósta frá þessu netfangi, þrátt fyrir að vera hætt störfum hjá félaginu, um að umbjóðandi minn væri á leiðinni í gjaldþrot. Umræddur tölvupóstur, sem kvörtun kvartanda lýtur að, staðfesti grun kvartanda. Mikilvægt var fyrir umbjóðanda minn að ganga úr skugga um hvort umræddir tölvupóstar höfðu verið sendir þar sem póstarnir vörðuðu framtíð og grundvöll félagsins. Meðalhófs var einnig gætt við skoðunina þar sem einungis var leitað eftir því hvort kvartandi hefði sent tölvupóst á birgja umbjóðanda míns eftir að hún hafði sagt upp störfum hjá félaginu í júnímánuði 2010. Skilyrði 1. mgr. 4. gr. pvl., sbr. 1. og 2. tl. 1. mgr. 7. gr. sömu laga, voru því uppfyllt í umrætt sinn.
Umbjóðandi minn hafði verulega hagsmuni af því að ganga úr skugga um hvort kvartandi hefði sent tölvupósta frá netfangi umbjóðanda míns, um meint gjaldþrot félagsins, þar sem birgjar félagsins höfðu haft samband og hótað að segja upp viðskiptasamningum við félagið. Í sumum tilvikum gekk það svo langt að viðskiptamennirnir höfðu þá þegar rift viðskiptasamningum við umbjóðanda minn sem olli tugmilljón króna tjóni. Skoðunin uppfyllti því skilyrði 4. og 7. tl. 8. gr. pvl.
Umbjóðandi minn telur sig ekki hafa verið í aðstöðu til að boða kvartanda til að vera viðstadda umrædda skoðun, þrátt fyrir ákvæði 3. mgr. 9. gr. reglna nr. 837/2006. Hefði kvartandi haft upplýsingar um fyrirhugaða skoðun umbjóðanda míns hefði hún hægleg getað eytt umræddum tölvupósti og haft samband við aðra birgja til þess að reyna að leyna meintum brotum sínum. Auk framangreinds telur umbjóðandi minn engin rök standa til þess að gera áskilnað um aðkomu starfsmanns að lestri tölvupósta sem eru samkvæmt efni sínu vinnupóstur enda er netfangið [kvartandi]@[ábyrgðaraðili].is eign umbjóðanda míns að öllu leyti og honum því frjálst að ráðstafa netfanginu. Að lokum er áréttað að tölvupósturinn, sem kvörtun kvartanda lýtur að, varðar málefni umbjóðanda míns og stjórnarformann félagsins, sem njóta verndar samkvæmt lögum nr. 77/2000, og getur því ekki talist einkapóstur kvartanda í skilningi 3. tl. 2. gr. reglna nr. 837/2006.“

Með tilvitnuðu bréfi fylgdi einnig afri af bréfi Neytendastofu, dags. 20. október 2011, þar sagði:

„Skv. upplýsingum sem Neytendastofa hefur aflað sér var kvörtun A til Póst- og fjarskiptastofnunar vísað til Persónuverndar í byrjun þessa mánaðar.

Með vísan til 10. gr. stjórnsýslulaga nr. 37/1993, þar sem segir að stjórnvald skuli sjá til þess að mál sé nægjanlega upplýst áður en ákvörðun sé tekin í því, hyggst Neytendastofa fresta ákvörðunartöku í tilefni erindis D hf. þar til niðurstaða Persónuverndar liggur fyrir.“

Með bréfi, dags. 15. desember 2011, var kvartanda gefinn kostur á að koma að frekari athugasemdum ef einhverjar væru. Þá óskaði stofnunin eftir því að kvartandi afmarkaði kvörtun sína nánar  og útskýrði hvaða ákvæði laga nr. 77/2000 hann teldi að brotið hefði verið gegn í máli þessu. Svarfrestur var veittur til 30. desember 2011. Svarbréf lögmanns kvartanda, dags. 29. desember 2011, barst Persónuvernd þann 30. s.m. Þar sagði m.a.:

„...Á því virðist nú byggt af hálfu D að grunur hafi verið um að umbj. minn hafi notað netfangið [kvartandi]@[ábyrgðaraðili].is eftir að hún var hætt hjá fyrirtækinu og því hafi verið nauðsynlegt að skoða pósthólf hennar því til sönnunar. Hafi svo mikið legið við að ekki hafi gefist tóm til að ræða þetta áður við umbj. minn. Við þessa skoðun hafi fengist staðfest að umbj. minn hafi með skipulegum hætti reynt að yfirtaka viðskipti við birgja félagsins og haft uppi við þá staðhæfingar um meint gjaldþrot D. Hvorki eru þó færðar sönnur á þá fullyrðingu, né kemur fram í bréfi D að í ljós hafi komið að umbj. minn hafi notað umrætt netfang hjá D til þessa. [...] Í tölvupóstinum til starfsmanns I fór umbj. minn m.a. yfir ástæður þess að hún sagði upp störfum hjá D. Þessi samskipti milli tveggja einstaklinga, sem þekkst hafa árum saman, fólu ekki á nokkurn hátt í sér skipulegar tilraunir til að yfirtaka birgja félagsins, enda var nefndur starfsmaður að hætta hjá InBev á þessum tíma og var auk þess ekki í stjórnendastöðu. Þá hafði þessi tölvupóstur umbj. míns ekki að geyma neinar óskir eða fyrirmæli í þá veru að óskað væri eftir viðskiptum við I eða að viðskiptum við D skyldi hætt.

Hvað varðar staðhæfingar um meint gjaldþrot D, þá ræddi umbj. minn m.a. lauslega að bág fjárhagsstaða D væri m.a. orsök þess að hún hætti hjá fyrirtækinu. Sú staða var birgjum félagsins vel kunn, enda hafði D þá átt í langvarandi vanskilum og vanefndum gagnvart birgjum sínum og fleirum. Voru margir þeirra þá þegar löngu hættir viðskiptum við D og farnir annað,[...]. Sem staðfestingu á erfiðri stöðu D lagði Landsbanki Íslands síðla árs 2010 fram kröfu á hendur félaginu um gjaldþrotaskipti. Þrátt fyrir að dómstólar hafi eftir málarekstur hafnað þeirri kröfu var slík beiðni engu að síður lögð fram og hverjum sem er heimilt að ræða hana í skjóli tjáningarfrelsis. Dómur Hæstaréttar í málinu er birtur opinberlega. [...]

Umbj. mínum var hvorki gefinn kostur á að vera viðstödd skoðun tölvupóstsins, né var henni gert viðvart um það. Umbj. minn hætti störfum hjá D í byrjun júní 2010. Tölvupóstur sá sem vitnað er til í bréfi D og á að hafa gefið D tilefni til að skoða tölvupóst umbj. míns er dagsettur 19. september 2010. Því er ljóst að tölvupóstur umbj. míns var skoðaður eftir það tímamark, þ.e.a.s. að minnsta kosti tæpum fjórum mánuðum eftir að hún lét af störfum hjá D. Í bréfi D segir að markmiðið hafi verið að skoða hvort póstfangið hafi verið notað til sendinga í júní 2010. Því blasir við að engir slíkir hagsmunir gátu hafa verið í húfi, þegar pósthólfið var skoðað eftir 19. september 2010, að ekki hafi verið ráðrúm til að gefa umbj. mínum kost á að vera viðstödd eða gera henni aðvart um skoðunina. Var því brotið gegn nefndum ákvæðum laga og reglna um persónuvernd, sem og meðalhóf. [...]Af framangreindu má vera ljóst, að fullyrðingar D um tilefni þess að tölvupóstur umbj. míns var skoðaður einhvern tíma eftir 19. september 2010, eru haldlausar. Um tilraun virðist vera að ræða til að afbaka staðreyndir og kenna umbj. mínum um bága stöðu D og óánægju birgja félagsins, sem hún á enga sök á.[...]

Hvað varðar ósk Persónuverndar um að umbj. minn afmarki kvörtun sína nánar og útskýri hvaða ákvæði laga nr. 77/2000 hún telji hafa verið brotið gegn í máli þessu, vísar umbj. minn einkum til upphaflegrar kæru sinnar í málinu. Í kæru umbj. míns er vísað til þess að háttsemi D samræmdist ekki 7. gr. laga nr. 77/2000 og hún hafi brotið gegn ákvæði 3. mgr. 9. gr. reglna nr. 837/2006. Eins og fyrri úrskurðir Persónuverndar bera vitni um samrýmist sú framkvæmd að skoða tölvupóst starfsmanns að honum fjarstöddum almennt ekki ákvæðum 7. gr. laga nr. 77/2000, um sanngjarna vinnslu. Þá segir í sama ákvæði að óheimilt sé að skoða upplýsingar um netnotkun starfsmanns eftir starfslok, nema að uppfylltum sömu skilyrðum og greinir í 1.-3. mgr. eða annað leiði af lögum. Ráða má af bréfi D að markmiðið með skoðun á tölvupóstinum hafi fyrst og fremst verið að skoða upplýsingar um tölvupóstnotkun umbj. míns, en slíkt er óheimilt nema að uppfylltum skilyrðum 1.-3. mgr. 9. gr. reglugerðarinnar.  “

Með tölvubréfi, dags. 5. janúar 2012, óskaði Persónuvernd eftir upplýsingum frá málsaðilum um hvort kvartanda hefði, þegar hún lét af störfum hjá D  ehf., í byrjun júní 2010, verið gefinn kostur á að fara í gegnum tölvupósthólf sitt og eyða einkapósti. Í svari lögmanns kvartanda, dags. sama dag, kom fram að „[kvartanda] hafi aldrei verið boðið þetta og hafi því ekki eytt einkapósti áður en hún hætti.“

Í svari lögmanns D ehf., dags. 12. janúar 2011, kom fram m.a. eftirfarandi [fram]:

„Ég hef fengið þau svör frá umbjóðanda mínum að kærandi, A, hafi fengið nægan tíma og aðstöðu til að eyða tölvupósti sínum af netfangi umbjóðanda míns.
 
Eins og komið hefur fram áður, sagði kærandi upp störfum hjá umbjóðanda mínum, að eigin frumkvæði, þann 30. apríl 2010. Samkomulag var um að kærandi léti af störfum frá og með 1. júní sama árs, sbr. samkomulag málsaðila, dags. 7. júní sem er meðfylgjandi.
 
Í samkomulaginu kemur fram að kærandi afhendi umbjóðanda mínum tölvu „ásamt öllum tölvugögnum sem tengst hafa starfi hennar“ fyrir 8. júní 2010 og var það gert. Samkomulagið staðfestir því framangreint, þ.e. að kærandi hafi fengið nægan tíma og aðstöðu til að eyða tölvupósti og öðrum persónulegum gögnum, hafi þau verið til.“

Hjálagt fylgdi einnig afrit af tilvitnuðu samkomulagi, dags. 7. júní 2010, undirritað af Y, f.h. stjórnar D hf. og A.

II.
Forsendur og niðurstaða

1.
Gildissvið laga nr. 77/2000
Efnislegt gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, og þar með valdsvið Persónuverndar, nær til vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. og 1. og 2. mgr. 37. gr. laganna. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr.  Í athugasemdum þeim sem fylgdu með frumvarpi til laga nr. 77/2000 segir að með vinnslu sé m.a. átt við söfnun og skráningu og undir það falli m.a. rafræn vöktun, flokkun, varðveisla, breyting, leit, miðlun samtenging eða hver sú aðferð sem nota má til að gera upplýsingar tiltækar. Sú aðgerð að opna tölvupósthólf sem ber með sér nafn tiltekins manns - hér [kvartandi]@[ábyrgðaraðili].is - í því skyni að skoða skeyti sem þangað var sent, telst þar af leiðandi til vinnslu persónuupplýsinga í skilningi laga nr. 77/2000. Fellur málið því undir úrskurðarvald Persónuverndar.

Þá er þess krafist að Persónuvernd mæli fyrir um stöðvun á frekari skoðun á póstinum að viðlögðum sektum. Af því tilefni er tekið fram að Persónuvernd hefur ekki heimild til að beita stjórnvaldssektum, en getur beitt dagsektum.

2.
Forsendur og niðurstaða
Vinnsla almennra persónuupplýsinga telst lögmæt ef hún fullnægir einhverju af skilyrðum 8. gr. laga nr. 77/2000. Í 7. tölul. 1. mgr. 8. gr. segir að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna ábyrgðaraðila. Í svarbréfi D ehf. kemur fram að tilgangur félagsins með því að fara í tölvupósthólf kvartanda, og skoða tiltekið skeyti sem sent hafði verið í það, hafi verið að kanna hvort hún hafi viðhaft ólögmæta viðskiptahætti gagnvart sér eftir að hún lét af störfum hjá fyrirtækinu. Að mati Persónuverndar er hér um að ræða lögmæta hagsmuni í skilningi  7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Er þá m.a. höfð hliðsjón af 7. tölul. 1. mgr. 9. gr. um réttarkröfu og laganauðsynjar.

Til að vinnsla geti átt sér stoð í 7. tölul. 1. mgr. 8. gr. er skilyrði að grundvallarréttindi og frelsi hins skráða vegi ekki þyngra en tilgreindir hagsmunir ábyrgðaraðila. Við mat á því hvort svo sé skiptir máli hvort í skoðun á umræddu skeyti hafi falist skerðing á einkalífi hins skráða. Í svörum málsaðila hefur komið fram að umrætt skeyti hafi innihaldið upplýsingar um viðskiptastarfsemi fyrirtækja. Þá hefur kvartandi sjálfur ekki rökstutt að skoðunin á skeytinu hafi ógnað eða getað ógnað grundvallareinkalífsrétti hans eða frelsi þannig að telja megi þannig hagsmuni hans, af því að skoðun tölvupóstsins færi ekki fram, vega þyngra en framangreindir hagsmunir D ehf. Er það því mat Persónuverndar að umrædd vinnsla D ehf. samrýmist  7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.

Að auki verður, eins og ávallt þegar unnið er með persónuupplýsingar, að vera farið að öllum grunnkröfum 7. gr. laga nr. 77/2000,  þ. á m. að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti slíkra upplýsinga (1. tölul.); að persónuupplýsingar skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); að persónuupplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.); og að þær skulu vera áreiðanlegar og uppfærðar eftir þörfum, en persónuupplýsingar, sem séu óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal afmá eða leiðrétta (4. tölul.).

Af gögnum málsins verður ekki annað ráðið en að hér hafi verið um að ræða tilviksbundna skoðun á tölvupósti sem fram hafi farið í skýrum og málefnalegum tilgangi, sbr. 1. tölul. 1. mgr. 7. gr.  Kvartanda var hins vegar ekki gefinn kostur á að vera viðstödd þegar tölvupósthólf hennar var opnað og tölvuskeyti til hennar skoðað. Kemur því til skoðunar hvort uppfyllt hafi verið skilyrði ákvæðisins um sanngirni.

Við mat á því þarf að líta til 9. gr. reglna nr. 837/2006, um rafræna vöktun og meðferð upplýsinga sem verða til við rafræna vöktun. Þar segir að tilvikabundin skoðun vinnuveitanda á tölvupósti starfsmanns sé heimil ef uppfyllt eru ákvæði 7., 8., og eftir atvikum, 9. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Í 3. mgr. 9. gr. sömu reglna segir þó að þegar tölvupósts- eða netnotkun sé skoðuð skuli þess gætt að gera starfsmanni fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. Þetta eigi ekki við sé þess enginn kostur s.s. vegna alvarlegra veikinda starfsmanns. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur segir að vinnuveitandi skuli veita honum færi á að tilnefna annan mann í sinn stað. Þá segir í 4. mgr. 9. gr. sömu reglna að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans.

Í því tilviki sem hér er til skoðunar var kvartanda gert að skila tölvu, ásamt öllum tölvugögnum sem tengst hefðu starfi hennar fyrir D ehf., samkvæmt samkomulagi, dags. 7. júní 2010. Er það mat Persónuverndar að kvartandi hafi með því verið gefinn á kostur á að eyða einkapósti sínum þegar hún lauk störfum hjá fyrirtækinu. Því hafi D ehf. ekki verið nauðsynlegt að bjóða henni að vera viðstödd þegar tölvupóstur hennar var skoðaður, enda hafi D ehf. mátt gera ráð fyrir að öllum einkapósti hefði þá verið eytt af hennar hálfu.

Er það mat Persónuverndar, að virtum öllum atvikum máls þessa, að ekki verði af þeirri ástæðu ályktað að um ósanngjarna vinnslu að ræða. Í ljósi alls sem að framan er rakið er það niðurstaða Persónuverndar, sbr. 2. mgr. 37. gr. laga nr. 77/2000, að umrædd skoðun á tölvupósti kvartanda hafi samrýmst 1. mgr. 7. gr. og 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000.

Á ábyrgðaraðila hvílir hins vegar sjálfstæð fræðsluskylda samkvæmt 20. og 21. gr. laganna. Af 10. gr. reglna nr. 837/2006 leiðir að fræðslu sem tengist skoðun tölvupósti má veita á formi reglna sem settar eru og kynntar á viðkomandi vinnustað. Fyrir liggur að ábyrgðaraðili, D ehf. hefur ekki sett slíkar reglur. Í samræmi við 1. tölul. 3. mgr. 37. gr. laga nr. 77/2000 leggur Persónuvernd fyrir hann að gera það eða veita með öðrum hætti fræðslu um meðferð tölvupósts til samræmis við 9. og 10. gr.reglna nr. 837/2006. Þá er, með vísun til 40. gr. laganna, lagt fyrir D ehf. að stöðva frekari skoðun á skeytum í pósthólfum starfsmanna, þar til það hefur verið gert.

Ú r s k u r ð a r o r ð:

Í þeim tilgangi að kanna hvort ólögmætir viðskiptahættir hafi átt sér stað var D ehf. heimilt að skoða tölvupóst frá C, starfsmanni I, dags. 19. september 2010 sem sendur var í netfangið [kvartandi]@[ábyrgðaraðili].is.

Lagt er fyrir ábyrgðaraðila, D ehf., að setja starfsreglur um meðferð tölvupósts við starfslok eða veita starfsfólki með öðrum hætti fræðslu til samræmis við ákvæði 9. og 10. gr. reglna nr. 837/2006.