Vinnureglur Persónuverndar um meðferð tölvupósts og netnotkun

V I N N U R E G L U R

UM  MEÐFERР TÖLVUPÓSTS  OG  NETNOTKUN

STARFSMANNA   PERSÓNUVERNDAR

 

1. gr.

Tilgangur og gildissvið

Reglur þessar fjalla um það hvernig starfsmenn Persónuverndar skulu umgangast starfstengdan tölvupóst og haga netnotkun. Þá er þeim ætlað að veita starfsmönnum fræðslu um réttindi þeirra og skyldur í þeim efnum.

 

Reglurnar eru jafnframt hluti af öryggiskerfi Persónuverndar og er ætlað að auka rekstraröryggi stofnunarinnar. Þá er reglunum ætlað að tryggja að jafnvægi ríki annars vegar á milli hagsmuna Persónuverndar af því að geta fylgst með því að sá hug- og vélbúnaður sem stofnunin leggur til sé nýttur í þágu stofnunarinnar og hins vegar hagsmuna starfsmanna af því að njóta eðlilegs einkalífsréttar á vinnustað.

 

Reglur þessar taka ekki til einkatölvupósts starfsmanns sem hvorki er móttekinn á né sendur með netföngum stofnunarinnar.

 

2. gr.

Skilgreiningar

Í reglum þessum hafa eftirfarandi orð merkingu sem hér greinir:

1.  Einkatölvupóstur, merkir tölvupóst sem starfsmaður Persónuverndar sendir eða móttekur með vél- eða hugbúnaði stofnunarinnar, og lýtur einungis að einkamálefnum hans en varðar hvorki hagsmuni Persónuverndar né starfsemi hennar.

2.  Netnotkun, merkir notkun starfsmanns á þeim hug- og vélbúnaði sem Persónuvernd lætur honum í té, t.d. til að vafra um netið, til að taka við og senda tölvupóst eða til snarspjalls (msn).

3. Netvöktun, merkir viðvarandi eða reglubundna söfnun upplýsinga um netnotkun starfsmanna.

4.  Tölvukerfi, tekur m.a. til tölvupóstkerfis og þess hug- og vélbúnaðar sem þarf til að tengjast Netinu.

 

3. gr.

Heimil einkanot

Starfsmönnum Persónuverndar er heimilt að nýta tölvukerfi Persónuverndar bæði til að vafra um Netið og taka við og senda tölvupóst, enda séu slík einkanot í hófi.

 

4. gr.

Óheimil netnotkun

Eftirfarandi netnotkun er starfsmönnum óheimil:

1.  Sending dreifibréfa sem er óviðkomandi starfsemi Persónuverndar, t.d. keðjubréfa eða dreifibréfa vegna sölumennsku eða safnana.

2.  Sjálfvirk áframsending tölvupósts úr tölvupóstkerfi Persónuverndar, t.d. á einkatölvupóstfang starfsmanns hjá netþjónustuaðila, nema slíkt sé gert með leyfi forstjóra eða annarra þar til bærra yfirmanna.

3.  Sending efnis sem er ólöglegt, ósiðlegt, illgjarnt, hótandi, hrottafengið, ærumeiðandi, hatursfullt, hvetur til ólöglegs athæfis eða getur gefið tilefni til skaðabótakröfu á hendur stofnuninni. Þetta gildir bæði um efni tölvupósts og efni viðhengja. Sama á við um notkun efnis sem hætta er á að geti verið vírussmitað.

4.  Notkun á tölvukerfi stofnunarinnar til að nálgast ósiðlegt efni á Netinu, s.s. klám, og/eða skoða eða vista slíkt efni í tölvukerfi Persónuverndar eða á öðrum miðli.

5.  Starfsmönnum er óheimilt að tengjast spjallrásum, s.s. IRC, frá tölvukerfi stofnunarinnar. Með samþykki forstjóra er starfsmanni þó heimilt að stofna tengingu út á Netið fyrir algengar tvívirkar þjónustur, s.s. snarspjall (msn).

6.  Vegna þess skaða sem tölvuveirur geta valdið á gögnum í tölvukerfi er starfsmönnum óheimilt að opna tölvupóst með viðhengi frá óþekktum sendanda eða að opna viðhengi með tölvupósti sem auðkennd eru með endingum s.s. .exe, .vba, .sit eða .zip nema þeir séu þess fyrirfram fullvissir að slíkt sé óhætt.

7.  Notkun á tölvukerfi stofnunarinnar til að nálgast og/eða hala niður mjög stórum skrám á Netinu, s.s. kvikmyndum og tónlist, og vista í tölvukerfi Persónuverndar.

 

Að öðru leyti skulu starfsmenn hlíta fyrirmælum frá forstjóra, eða öðrum til þess bærum starfsmanni, um að opna ekki eða eyða tölvupósti eða viðhengjum, s.s. vegna aðsteðjandi hættu á tölvuvírussmiti eða annars konar skaða fyrir tölvukerfi stofnunarinnar. Sama á við um aðgerðir sem geta stofnað öryggi gagna stofnunarinnar í hættu, eða sem teljast vera óhóflegar, íþyngjandi fyrir tölvukerfi stofnunarinnar eða henni of kostnaðarsamar.

 

Ef starfsmaður fær sendan tölvupóst, eða ratar fyrir mistök inn á vefsíðu sem inniheldur slíkt efni er greinir í  3. og 7. tl. 1. mgr., skal hann tafarlaust tilkynna slíkt yfirmanni sínum um það og eftir atvikum eyða viðkomandi efni eða loka netvafra sínum.

 

5. gr.

Meðferð tölvupósts

 

5.1.

Einkatölvupóstur

Óheimilt er að skoða einkatölvupóst starfsmanna. Til viðmiðunar um það hvort um slíkan póst sé að ræða skal m.a. litið til þess hvort hann sé:

1. Auðkenndur sem einkamál í efnislínu (e. subject), eða að öðru leyti þannig að augljóst sé að einungis sé um einkamálefni er að ræða.

2. Vistaður í sérstakri möppu (e. folder) á vinnusvæði starfsmanns í tölvupóstkerfinu sem er auðkennd þannig eða ef af öðru má ráða að um einkamál sé að ræða.

 

Þrátt fyrir ákvæði 1. mgr. er heimilt að skoða einkatölvupóst starfsmanna ef brýna nauðsyn ber til, s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. Slíka skoðun má aðeins framkvæma að fyrirmælum forstjóra. Ávallt skal þó fyrst leita eftir samþykki starfsmanns ef þess er kostur. Enda þótt starfsmaður neiti að veita slíkt samþykki skal veita honum færi á að vera viðstaddur skoðunina. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan mann í sinn stað. Ef ekki reynist unnt að gera starfsmanni viðvart um skoðunina fyrirfram skal honum gerð grein fyrir henni strax og hægt er. Starfsmaður á rétt á vitneskju um hver eða hverjir hafa skoðað einkatölvupóst hans.

 

5.2.

Starfstengdur tölvupóstur

Starfstengdan tölvupóst má skoða ef:

1. Nauðsyn ber til vegna lögmætra hagsmuna Persónuverndar, s.s. til að finna gögn þegar starfsmaður er forfallaður, hefur látið af störfum eða grunur hefur vaknað um misnotkun eða brot í starfi.

2. Nauðsyn ber til vegna tilfallandi atvika, s.s ef endurbætur, viðhald á tölvukerfum eða eftirlit með þeim leiða óhjákvæmilega til þess að tölvupóstur opnast eða þarf að opna.

 

Skoðun á tölvupósti skv. 1. mgr. má aðeins framkvæma að fyrirmælum forstjóra, en ávallt skal kappkostað að leita eftir samþykki viðkomandi starfsmanns og veita honum kost á að vera viðstaddur skoðunina. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan mann í sinn stað. Þetta á þó ekki við ef brýnir hagsmunir mæli gegn því að beðið sé eftir starfsmanni, s.s. í því tilviki þegar um er að ræða alvarlega bilun í tölvukerfinu, og ekki verði talið að einkalífshagsmunir starfsmanns vegi þyngra. Ríki um það vafi hvort svo sé má ekki skoða tölvupóstinn nema honum hafi fyrst verið veittur kostur á að vera viðstaddur skoðunina. Starfsmaður á rétt á vitneskju um hver eða hverjir hafa skoðað tölvupóst hans.

 



 

5.3.

Um meðferð tölvupósts við starfslok o.fl.

Starfsmanni ber að eyða einkatölvupósti sínum þegar hann lætur af störfum. Geri hann það ekki verður slíkum pósti eytt einum mánuði eftir að starfsmaður hefur látið af störfum. Við starfslok er óheimilt að framsenda tölvupóst úr netfangi viðkomandi starfsmanns á netfang forstjóra eða annarra starfsmanna. Ekki er heimilt að taka umrætt netfang í notkun fyrr en að liðnum 6 mánuðum frá starfslokum.

 

Við starfslok skal starfsmanni gefinn kostur á að taka afrit af einkatölvupósti.

 

Þegar starfsmaður lætur af störfum skal netfangi hans lokað án tafar. Þá skal og slökkva á sjálfkrafa framsendingu tölvupósts sem berst á netfang hans hjá Persónuvernd. Samtímis skal stilla tölvupóstkerfi stofnunarinnar þannig að allur tölvupóstur á það netfang verði framvegis endursendur ásamt ábendingu um að starfsmaðurinn hafi látið af störfum og á hvaða netfang stofnunarinnar nú eigi að senda erindið. Þar skal og tilgreina nýtt netfang starfsmannsins, óski hann eftir að það verði látið fylgja með.

 

Starfsmönnum er óheimilt að auðkenna eða vista tölvupóst sem eingöngu varðar starfsemi Persónuverndar þannig að ætla megi að um einkatölvupóst sé að ræða. Tölvupóst, sem eingöngu varðar starfsemi Persónuverndar, skulu starfsmenn án tafar færa undir viðhlítandi mál í málaskrá stofnunarinnar.

 

 

6. gr.

Skoðun netvafurs

Óheimilt er að skoða upplýsingar um netvafur, tengingar og gagnamagn starfsmanns nema fyrir liggi rökstuddur grunur um að hann hafi brotið gegn gildandi lögum og reglum eða fyrirmælum forstjóra. Sé tilefni skoðunar grunur um refsiverðan verknað skal óska atbeina lögreglu.

 

7. gr.

Notkun Nets og tölvupósts

Þegar um er að ræða starfstengdan tölvupóst skulu starfsmenn vanda frágang, stafsetningu og málfar. Starfsmenn skulu hafa í huga að samskipti um Netið eru ekki með öllu örugg og oft hentar tölvupóstur ekki fyrir viðkvæm gögn eða trúnaðarupplýsingar, einkum vegna hættu á að óviðkomandi geti komist yfir og lesið tölvupóstinn einhvers staðar á leið hans eða hann glatist. Skjal sem hefur að geyma efnislega úrlausn máls skal aldrei senda eingöngu með tölvupósti.

 

Vegna þeirrar hættu að tölvupóstur berist í rangar hendur skal allur útsendur tölvupóstur frá Persónuvernd hafa að geyma staðlaðan niðurlagstexta þar sem kveðið er á um að pósturinn kunni að innihalda trúnaðarupplýsingar sem ekki eru ætlaðar lesanda ásamt leiðbeiningum um hvernig hann skuli bregðast við ef svo háttar til. Þegar efni standa til skal dulkóða póstsendingar.

 

8. gr.

Varðveisla upplýsinga um tölvupóst- og netnotkun

Allan tölvupóst sem sendur er úr tölvupóstkerfi Persónuverndar eða móttekinn skal vista sjálfkrafa. Hann skal, í samræmi við öryggisstefnu stofnunarinnar, afrita eins og önnur gögn, þ.e.a.s. á hverjum virkum degi.

 

Fræða skal starfsmenn um að upplýsingar um uppflettingar þeirra á Netinu varðveitast bæði á netþjóni stofnunarinnar og í vafra í tölvu hvers. starfsmanns.

 

Tryggja skal að upplýsingar um tölvupóst-, og eftir atvikum, netnotkun séu varðveittar með tryggum hætti þannig að einungis forstjóri, kerfisstjóri og viðkomandi starfsmaður hafi aðgang að þeim.

 

Óheimilt er að gera ráðstafanir til að varðveita upplýsingar um netnotkun starfsmanns eftir starfslok. Að öðru leyti fer um varðveislu eftir 7. gr. laga nr. 77/2000.

 

9. gr.

Starfsmenn við kerfisstjórn

og notendaaðstoð

Starfsmönnum Persónuverndar, og þjónustuaðilum sem annast rekstur tölvukerfa stofnunarinnar, þ. á m. tölvupóstkerfis og búnaðar til að tengjast Netinu, er með öllu óheimilt að notfæra sér þekkingu sína og aðstöðu til að tengjast tölvukerfunum undir notendaheiti og leyniorði annarra starfsmanna, fara framhjá aðgangsstýringu, opna og lesa tölvupóst sem þeir kunna að komast yfir við rekstur og viðhald tölvukerfisins. Þetta á m.a. við þegar þeir aðstoða einstaka starfsmenn, sbr. þó undantekningarákvæðin í greinum 5.1. og 5.2. Hið sama gildir um skoðun hvers kyns upplýsinga sem kunna að varðveitast í tölvukerfi Persónuverndar um netvafur starfsmanna og önnur persónuleg gögn þeirra.

 

10.  gr.

Kynning og birting vinnureglna

Starfsmanni skulu kynntar reglur þessar og tryggja að þær séu honum ávallt aðgengilegar.

 

Kynna skal væntanlegum starfsmanni reglur þessar áður en hann undirritar ráðningarsamning. Ráðningarsamningurinn skal bera með sér að viðkomandi hafi kynnt sér efni reglnanna.

 

Kjarasamningur gengur framar reglum þessum feli hann í sér ríkari rétt fyrir starfsmann. Sama gildir um bindandi samkomulag sem kann að vera gert á milli Persónuverndar og starfsmanns stofnunarinnar.

 

Þjónustuaðilum sem annast rekstur tölvukerfa Persónuverndar, þ. á m. tölvupóstkerfis og búnaðar til að tengjast Netinu, skulu birt sérstaklega ákvæði 8. gr. vinnureglnanna. Skal ákvæðið, ásamt öðrum ákvæðum þessara vinnureglna eftir því sem við á, gert að hluta af sérhverjum samningi sem Persónuvernd gerir við slíka þjónustuaðila.

 

Vinnureglurnar, eins og þær eru hverju sinni, skal birta í heild sinni á heimasíðu Persónuverndar.

 

11. gr.

Eftirlit

Eftirlit með því að reglum þessum sé fylgt er í höndum forstjóra eða þess sem hann felur slíkt eftirlit sérstaklega og vera í samræmi við gildandi lög og reglur hverju sinni. Ef eftirlitið er falið öðrum en forstjóra skal það tilkynnt starfsmönnum stofnunarinnar.

 

Upplýsingar sem aflað er vegna eftirlits með reglum þessum má eingöngu nota í þágu eftirlitsins. Þær má ekki afhenda öðrum, vinna frekar eða geyma nema með samþykki starfsmanns. Þó er heimilt að afhenda lögreglu efni með upplýsingum um meintan refsiverðan verknað en þá skal gæta þess að eyða öðrum eintökum nema sérstakir lögvarðir hagsmunir standi til annasr.  Þá er heimilt að nota gögn til að afmarka, setja fram eða verja réttarkröfu vegna dómsmáls og annarra laganauðsynja, t.d. í tengslum við brottvikningu úr starfi.

 

Sá sem sætt hefur eftirliti skv. 1. mgr. á rétt á að skoða gögn þau sem aflað er um hann í tengslum við eftirlitið. Þegar beiðni um slíkt berst forstjóra skal hann svo fljótt sem verða má, og eigi síðar en innan eins mánaðar, verða við beiðninni.

 

12. gr.

Afleiðingar brota

Brot gegn reglum þessum geta, samkvæmt lögum nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins, eins og önnur brot í starfi, varðað áminningum eða, ef um endurtekin eða alvarleg brot er að ræða, brottvikningu úr starfi.

 

13. gr.

Gildistaka o.fl.

Reglur þessar eru settar í samræmi við reglur Persónuverndar nr. 837/2006 um rafræna vöktun, sem settar voru samkvæmt heimild í 5. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. 5. gr. laga nr. 81/2002.

 

Vinnureglur þessar taka þegar gildi.

 

Yfirfara skal vinnureglur þessar eftir því sem þörf krefur, þó ekki sjaldnar en árlega.

 

Persónuvernd, 7. febrúar 2007

 

 

 

 

Sigrún Jóhannesdóttir forstjóri.



Var efnið hjálplegt? Nei