Úrskurður um skoðun og framsendingu yfirmanns á einkatölvupósti starfsmanns

Mál nr. 2016/1391

4.10.2017

Úrskurður

 

Á fundi stjórnar Persónuverndar þann 22. ágúst 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1391:

 

I.
Málsmeðferð 

1.
Tildrög máls

Þann 29. september 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) yfir háttsemi fyrrverandi vinnuveitanda síns, Ráðagóðs ehf., en þar kemur fram að fyrrverandi yfirmaður kvartanda hafi farið inn á einkatölvupóst hennar (Gmail) og áframsent á sjálfan sig persónuleg tölvupóstsamskipti hennar. Nánar tiltekið segir í kvörtuninni að kvartandi hafi verið boðuð á fund hjá þáverandi yfirmanni sínum, þann 20. september 2016, og að hann hafi þar sagt henni upp störfum. Óskaði hann sömuleiðis eftir því að kvartandi skilaði vinnusíma, sem hún gerði þá þegar. Degi síðar varð kvartandi þess vör að hann hafði farið inn á einkatölvupóst hennar án leyfis og áframsent á sjálfan sig fjóra persónulega tölvupósta.

 

2.
Bréfaskipti

Með bréfi, dags. 7. nóvember 2016, var Ráðagóðum ehf. boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi lögmanns f.h. Ráðagóðs ehf., dags. 19. desember 2016, segir að kvartandi hafi, sem starfsmaður félagsins, haft til umráða síma til að nota við vinnu sína, sem hún skilaði þegar henni var sagt upp störfum. Þegar fyrrverandi yfirmaður hennar opnaði símann til að tæma hann og hreinsa út af honum var Gmail kvartanda opið þannig að hann komst ekki hjá því að sjá þá tölvupósta sem þar voru. Er tekið fram að ekki hafi verið ætlun hans að skoða persónulegan tölvupóst kvartanda, en í fljótfærni áframsendi hann sér þá. Þá er þess getið að tölvupóstunum hefur verið eytt og upplýsingarnar úr þeim voru ekki notaðar með neinum hætti.

Með bréfi, dags. 22. febrúar 2017, óskaði Persónuvernd staðfestingar Ráðagóðs ehf. á því að skoðun félagsins á tölvupósthólfi kvartanda hefði ekki farið fram á grundvelli heimildar í 8. eða 9. gr. laga nr. 77/2000 um persónuvernd og  meðferð persónuupplýsinga. Jafnframt var óskað upplýsinga um hvort til staðar væru verklagsreglur um farsíma-, tölvupóst eða netnotkun starfsmanna á vinnustaðnum. Svarað var með tölvupósti, dags. 28. febrúar 2017, þar sem segir meðal annars að fallist sé á að skoðunin hafi ekki farið fram á grundvelli heimildar í 8. eða 9. gr. laga nr. 77/2000.  Þá er staðfest að engar verklagsreglur séu til staðar um farsíma-, tölvupóst- eða netnotkun starfsmanna á vinnustaðnum.

Með bréfi, dags. 23. mars 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Ráðagóðs ehf. Svar kvartanda barst Persónuvernd með tölvupósti þann. 20. apríl 2017, þar sem kvartandi ítrekar fyrri sjónarmið.

Með bréfi, dags. 21. júní 2017, var óskað eftir afstöðu kvartanda til þess hvort hún teldi ágreining enn vera til staðar milli  hennar og Ráðagóðs ehf. um vinnslu persónuupplýsinga um kvartanda og í hverju ágreiningurinn fælist. Kvartandi svaraði með tölvupósti, dags. 8. júlí 2017, þar sem hún staðfestir að hún telur svo vera og kveður hún sér mikilvægt að fá úrlausn Persónuverndar í málinu.

 

II.
Forsendur og niðurstaða

 

1.
Gildissvið laga nr. 77/2000 - Ábyrgðaraðili

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.

Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar.

Af framangreindu er ljóst að sú aðgerð Ráðagóðs ehf. að skoða og framsenda tölvupóst kvartanda í pósthólf yfirmanns fellur undir gildissvið laga nr. 77/2000.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Ráðagóður ehf. vera ábyrgðaraðili að umræddri vinnslu.

 

 2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 8. gr. laga nr. 77/2000. Þá verður vinnsla viðkvæmra persónuupplýsinga, sbr. 8. tölul. 2. gr. sömu laga, að samrýmast einhverju af viðbótarskilyrðum 9. gr. laganna.

Í þessu tilviki má einnig hafa hliðsjón af 9. gr. reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem til verða við rafræna vöktun, varðandi sérákvæði um tölvupóst og netnotkun. Þótt hér sé ekki um að ræða rafræna vöktun í skilningi 6. tölul. 1. mgr. 2. gr. laga nr. 77/2000, þar sem ekki var til staðar vöktun sem var viðvarandi eða endurtekin reglulega, eiga þau sjónarmið sem þar koma fram engu að síður við að ákveðnu leyti. Segir þar t.a.m. í 1. mgr. að óheimilt er að skoða einkatölvupóst nema brýna nauðsyn beri til, s.s. vegna tölvuveiru eða sambærilegs atviks. Þá kemur fram í 3. mgr. að þegar tölvupóstsnotkun er skoðuð skuli þess gætt að gera starfsmanni fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. Liggur ekki fyrir að þessa hafi verið gætt í þessu tilviki.

Persónuvernd telur, með vísan til atvika málsins, að ekki hafi verið til staðar heimild í 1. mgr. 8. gr. laga nr. 77/2000 til vinnslu persónuupplýsinganna sem hér um ræðir, eins og jafnframt er staðfest af hálfu ábyrgðaraðila. Skoðun og framsending Ráðagóðs ehf. á tölvupósti kvartanda í póstólf yfirmanns hennar samrýmdist þar af leiðandi ekki lögum nr. 77/2000.

Meðferð þessa máls hefur dregist vegna mikilla anna hjá stofnuninni.

  

Ú r s k u r ð a r o r ð:

 

Skoðun og framsending yfirmanns á einkatölvupósti [A]  í pósthólf sitt samrýmdist ekki lögum nr. 77/2000.