Úrlausnir

Símsending persónulegra gagna starfsmanns

31.5.2006

Úrskurður

Hinn 4. mars 2005 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2004/126:

I.
Bréfaskipti

Með kvörtun, dags. 18. febrúar 2004, fór A þess á leit við Persónuvernd að hún fjallaði um lögmæti þess að aflað hefði verið gagna, sem merkt hefðu verið sem einkagögn, úr tölvu sem hann hefði haft til umráða þegar hann vann hjá B, þau prentuð út og send þriðja aðila.


Atvikum málsins er nánar lýst svo: Annars vegar hafi verið um að ræða nýlega umsókn hans um starf hjá D og hins vegar drög að mjög persónulegu bréfi til fyrrverandi aðstoðarframkvæmdastjóra B. Drögin bera með sér að vera rituð á fyrri hluta ársins 2003 og er þar m.a. vikið að ýmsum samskiptaörðugleikum á vinnustaðnum og veikindum sem hrjáðu kvartanda í nokkra daga. Þessi drög hafi, ásamt umsókninni, verið í möppu í tölvunni sem heitið hafi "A Privat", en tölvan hafi, þegar hér var komið sögu, verið komin á heimili eins forsvarsmanna fyrirtækisins. Segir í bréfi kvartanda að þegar þessari tölvu hafi verið skipt út fyrir nýja, sem hann fékk til umráða, hafi hann ekki fengið færi á að eyða einkagögnum, en hann hafi farið þess á leit við þann sem fékk tölvuna á heimili sitt að hann eyddi slíkum gögnum rækist hann á þau. Kemur fram í bréfi kvartanda að hinn 13. nóvember 2003 hafi hins vegar verið hringt í hann frá [hótelinu] E í F, Danmörku, og honum sagt að umsókn hans um starf hjá D væri þar, ásamt framangreindum drögum að bréfi. Að bón hans hafi hótelstarfsmaðurinn, sem var íslenskur, sent honum gögnin með símbréfi. Síðar þennan dag hafi honum verið sagt upp störfum hjá B vegna trúnaðarbrests sem fælist í framangreindri starfsumsókn.


Með bréfi, dags. 4. mars 2004, bauð Persónuvernd B að tjá sig um þessa kvörtun. G hrl. svaraði f.h. fyrirtækisins með bréfi, dags. 1. apríl 2004, þar sem segir að kvartandi halli verulega réttu máli, en B hafi ákveðið að tjá sig ekki frekar um kvörtun hans á þessu stigi málsins. Með bréfi, dags. 19. apríl 2004, var kvartanda boðið að tjá sig um þetta svar. Í ljósi símtals við kvartanda hinn 5. maí s.á. tilkynnti stofnunin hins vegar, með bréfi dags. s.d., að hún myndi ekki aðhafast frekar í þessu máli vegna undirbúnings málsóknar [stéttarfélagsins] H á hendur B f.h. kvartanda, þ.e. á meðan ágreiningurinn væri til lögmætrar meðferðar fyrir dómstóli og enn lægi ekki fyrir hvort hann myndi taka efnislega afstöðu til þess að hvaða marki umrædd gögn hefðu átt að njóta einkalífsverndar.


Með bréfi, dags. 6. september 2004, tilkynnti kvartandi Persónuvernd að engin ákvörðun hefði verið tekin um málsókn. Af því tilefni tilkynnti Persónuvernd B, með bréfi, dags. 8. október 2004, að mál þetta yrði tekið til meðferðar að nýju. Með bréfi, dags. 13. s.m., óskaði I hrl. þess af Persónuvernd, f.h. B, að hún sendi honum gögn málsins og veitti honum viðbótarfrest. Það var gert með bréfi, dags. 2. nóvember 2004. Svar barst hins vegar ekki innan frestsins og spurðist Persónuvernd fyrir um það í tölvupósti til lögmannsins hinn 23. nóvember 2004 hvenær svars væri að vænta. Í tölvupósti frá honum, sem Persónuvernd barst hinn 24. s.m., kom fram að hann færi ekki lengur með málið f.h. B, en þess var óskað að stofnunin veiti fyrirtækinu viðbótarsvarfrest.


Með bréfi, dags. s.d., varð Persónuvernd við því. J hrl. svaraði f.h. B með bréfi, dags. 1. desember 2004. Þar segir m.a. að ekki komi fram með nægilega skýrum og nákvæmum hætti hvert umkvörtunarefnið sé. Öllu því sem fram komi í kvörtuninni sé hafnað sem órökstuddu og ósönnu og ástæðurnar fyfir uppsögn hans hafi verið vankunnátta í starfi og fleira slíkt, þ. á m. ítrekaðar seinkomur. Þá segir m.a.:

"Rétt er […] að taka fram í þessu sambandi og upplýsa Persónuvernd um að allar tölvur starfsmanna eru eign umbjóðanda undirritaðs og ætlaðar til notkunar í starfsemi félagsins. Öll gögn í öllum tölvum umbjóðanda undirritaðs eru vinnugögn fyrirtækisins og ekki ætlaðar til annars. Jafnframt skal Persónuvernd upplýst um að sú vinnuregla er í gildi hjá umbjóðanda undirritaðs að allar tölvur fyrirtækisins eru þannig útbúnar að ekki þarf lykilorð til að komast í þær og er það gert sökum þess að alvanalegt er að starfsmenn umbjóðanda undirritaðs fari í vinnutölvur hvers annars ef nauðsyn ber til, enda starfsmenn oft á ferðinni og því ekki alltaf viðlátnir.


Það skal einnig upplýst að umbjóðandi undirritaðs veit ekki til þess að neinn starfsmaður félagsins hafi opnað möppu í tölvu kvartanda eða annarri tölvu fyrirtækisins sem merkt hafi verið "[A] privat" eins og kvartað er yfir.


Eins og rakið hefur verið hér að ofan er að mati umbjóðanda undirritaðs kvörtun þessi mjög óljós og óskýr og telur hann að honum sé ómögulegt, eins og málið liggi fyrir af hálfu kvartanda, að svara kvörtun hans á annan hátt en gert er hér að ofan. Telur umbjóðandi undirritaðs sig þó geta fullyrt að hann hafi á engan hátt brotið gegn ákvæðum laga, þ.á.m. ákvæðum laga um persónuvernd og meðferð persónuupplýsinga nr. 77/2000 með vísan til þess hvernig kvörtun þessi er rökstudd og úr garði gerð."

Með bréfi, dags. 7. desember 2004, var kvartanda boðið að tjá sig um þetta bréf. Hinn 6. janúar 2005 barst Persónuvernd svar, dags. 31. desember 2004, frá K hrl. f.h. kvartanda. Þar segir:

"Það er rangt sem fram kemur í bréfi lögmanns [B] að allar tölvur fyrirtækisins séu opnar öllum og ekki þurfi sérstakt lykilorð. Allir starfsmenn höfðu sitt lykilorð og var lykilorð umbjóðanda míns GKB0801. Umbjóðandi minn hafði ekki aðgang að öðrum tölvum að undanskilinni tölvu lagerstjóra sem hafði persónulega gefið honum upp sitt lykilorð.


Engar reglur eru í fyrirtækinu um tölvunotkun og aldrei var umbjóðanda mínum tilkynnt að hann mætti ekki nota þá tölvu sem hann hafði til umráða til vistunar einkaskjala. Það að tölvan sé eign fyrirtækisins veitir vinnuveitanda ekki sjálfkrafa heimild til að hnýsast í einkapóst eða einkaskjöl sem vistuð eru í tölvu sem starfsmenn hafa til umráða.


Kæra umbjóðanda míns byggir á því að farið hafi verið í tölvur sem umbjóðandi minn hafði til umráða og prentuð út annars vegar drög að bréfi til [fyrrverandi aðstoðar]framkvæmdastjóra fyrirtækisins (sem aldrei var sent) og hins vegar umsókn hans um atvinnu hjá D. Gögn þessi voru vistuð undir sérmöppu í tölvunni "[A] privat." Meðfylgjandi eru umrædd gögn og á þeim kemur skýrt fram að þau voru send á faxi frá [B] á hótel í Danmörku þann 12. nóvember 2003 og í kjölfarið eða þann 13. nóvember sl. var umbjóðanda mínum sagt upp störfum. Á bréfinu kemur einnig fram að forsvarsmenn fyrirtækisins höfðu ritað með eigin hendi á bréfið, en ekki er um rithönd umbjóðanda míns að ræða.


Augljóst er að forsvarsmenn fyrirtækisins brutu gegn 7. gr. laga um persónuvernd með því að hnýsast í einkagögn umbjóðanda míns. Það sem gerir brotið enn alvarlegra er að forsvarsmönnum fyrirtækisins mátti strax vera ljóst að um einkagögn var að ræða þar sem þau voru vistuð sérstaklega og merkt sem einkagögn, auk þess sem að við fyrstu sýn átti engum að dyljast að um einkagögn var að ræða. Þrátt fyrir þessar augljósu staðreyndir voru gögnin prentuð út og send til Danmerkur sem lýsir sterkum ásetningi í að brjóta gegn hagsmunum umbjóðanda míns.


Þess er krafist að Persónuvernd úrskurði um hvort brotið hafi verið gegn ákvæðum laga um persónuvernd[.] [A]uk þess er krafist að Persónuvernd hlutist til um að öllum persónulegum gögnum umbjóðanda míns sem eru í tölvum fyrirtækisins verði eytt og tryggt verði að svo verði gert."

Með bréfi, dags. 18. janúar 2005, var J hrl. boðið að tjá sig um þetta bréf, sem og hjálögð gögn, þ.e. umsókn kvartanda um starf hjá D og drög hans að persónulegu bréfi sem bera það með sér að hafa verið símsend frá B til Danmerkur. Lögmaðurinn svaraði með bréfi, dags. 10. febrúar 2005. Þar segir:

"Í fyrsta lagi er rangt með farið í umræddu bréfi að lykilorð sé nauðsynlegt til að opna aðgang að tölvum fyrirtækisins og að tölvur fyrirtækisins séu ekki opnar öllum. Eingöngu þarf lykilorð til að komast inn í tölvupóstforritið Lotus Notes, sem tengist netþjóni (server) [B] í Danmörku. Aðgangur að öðrum forritum í tölvum fyrirtækisins er að öðru leyti frjáls.


Í öðru lagi vill umbj. undirritaðs taka fram að þó að engar skráðar reglur um tölvunotkun starfsmanna séu til staðar í fyrirtækinu má öllum starfsmönnum vera það ljóst að tölvurnar eru eign fyrirtækisins og ætlaðar til notkunar í starfsemi þess. Alvanalegt er að starfsmenn fari í tölvu hver hjá öðrum ef það er nauðsynlegt, t.d. þegar viðkomandi starfsmenn eru ekki við. Að öðru leyti vill umbj. undirritaðs ítreka að hann veit ekki til þess að neinn starfsmaður fyrirtækisins hafi opnað möppu í tölvu kvartanda eða annarri tölvu fyrirtækisins sem merkt hafi verið "[A] privat" eins og kvartað er yfir.


Að öðru leyti er vísað til sjónarmiða þeirra sem þegar hafa verið rakin af hálfu umbj. undirritaðs í fyrra bréfi til Persónuverndar. Ítrekað er að umbj. undirritaðs telur sig á engan hátt hafa brotið gegn ákvæðum laga um persónuvernd og meðferð persónuupplýsinga nr. 77/2000."
II.
Forsendur og niðurstaða

1.
Gildissvið laga nr. 77/2000

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að sú meðferð á persónulegum gögnum kvartanda, sem hér um ræðir, felur í sér vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

2.
Lögmæti vinnslunnar

Svo að vinnsla persónuupplýsinga sé heimil verður einhverju þeirra skilyrða, sem kveðið er á um í 8. gr. laga nr. 77/2000, að vera fullnægt. Svo að vinnsla viðkvæmra persónuupplýsinga sé heimil verður að auki að vera fullnægt einhverju þeirra skilyrða sem kveðið er á um í 9. gr. sömu laga. Í drögum kvartanda að bréfi til fyrrverandi aðstoðarframkvæmdastjóra B er vikið að veikindum sem hrjáðu hinn fyrrnefnda í nokkra daga. Slíkar upplýsingar eru viðkvæmar persónuupplýsingar, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000 þar sem kveðið er á um að upplýsingar um heilsuhagi séu viðkvæmar.


Auk þess sem vinnsla persónuupplýsinga verður að falla undir eitthvert af skilyrðum 8. og, eftir atvikum, 9. gr. laga nr. 77/2000 verður ávallt að vera fullnægt þeim grundvallarkröfum til slíkrar vinnslu sem kveðið er á um í 1. mgr. 7. gr. laganna, m.a. að persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skulu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).


Um það hvernig meðferð umræddra gagna kvartanda hafi verið háttað í ýmsum atriðum er ágreiningur með honum og B, s.s. hvort þau hafi verið sótt úr möppu í vinnutölvu hans sem heitið hafi "A Privat". Fyrir liggur hins vegar að umrædd gögn, þ.e. drög að bréfi til fyrrverandi aðstoðarframkvæmdastjóra fyrirtækisins og umsókn um starf hjá D, voru símsend frá fyrirtækinu hinn 12. nóvember 2003 til [hótelsins] E í F, Danmörku. Í málinu hefur þetta komið fram á ótvíræðan hátt: Meðal gagna þess eru umsóknin og drögin að bréfinu eins og þau líta út eftir að hafa verið símsend frá hinu danska hóteli aftur til fyrirtækisins að beiðni kvartanda hinn 13. nóvember 2003. Sést þar skýrt að deginum áður voru þau send hótelinu frá fyrirtækinu.


Þessi gögn hafa verið send lögmanni þess og honum boðið, þ.e. í bréfi Persónuverndar til hans, dags. 18. janúar 2005, að tjá sig um þau. Ekki hafa hins vegar borist svör um þetta atriði. Liggur þannig ekki fyrir hvers vegna gögnin voru send eða hver aðdragandinn að sendingu þeirra var og hvernig meðferð þeirra var háttað áður en þau voru send. Ber B hallann af því að hafa ekki veitt skýringar þar að lútandi. Í ljósi þess, sem og persónulegs eðlis gagnanna, er því ekki unnt að líta svo á að símsending þeirra til Danmerkur hafi getað átt undir eitthvert af skilyrðum 8. gr. laga nr. 77/2000 fyrir vinnslu persónuupplýsinga, sem og eitthvert af skilyrðum 9. gr. sömu laga fyrir vinnslu viðkvæmra persónuupplýsinga. Að sama skapi er ekki unnt að líta svo á að grundvallarkröfum 7. gr. laganna til vinnslu persónuupplýsinga hafi verið fullnægt.



Niðurstaða Persónuverndar er því sú að símsending gagnanna frá B til framangreinds hótels í Danmörku hafi verið óheimil. Þar sem ekki verður séð að fyrirtækið hafi málefnalega ástæðu til að hafa þessi gögn undir höndum er og fyrir það lagt, sbr. 1. mgr. 25. gr. og 1. mgr. 40. gr. laga nr. 77/2000, að ganga úr skugga um hvort þau séu enn til í starfsstöðvum þess, sem og í tölvum, sem það hefur notað en hefur verið skipt út fyrir aðrar nýrri, og eyða þeim komi í ljós að svo sé.


Ú r sk u r ð a r o r ð:

B var óheimilt að símsenda umsókn A um starf hjá D og drög hans að persónulegu bréfi til fyrrverandi aðstoðarframkvæmdastjóra fyrirtækisins til E í F, Danmörku.


Skal B ganga úr skugga um hvort gögnin séu enn til í starfsstöðvum þess, sem og í tölvum, sem það hefur notað en hefur verið skipt út fyrir aðrar nýrri, og eyða þeim komi í ljós að svo sé.

Var efnið hjálplegt? Nei