Heimild vinnuveitanda til að skoða tölvugögn starfsmanns
Persónuvernd hefur svarað fyrirspurn um heimildir vinnuveitanda til að skoða tölvunotkun starfsmanna.
Persónuvernd hefur svarað fyrirspurn um heimildir vinnuveitanda til að skoða tölvunotkun starfsmanna.
Svar Persónuverndar:
I.
Fyrirspurn yðar
Persónuvernd vísar til tölvubréfs yðar frá 27. apríl 2009. Þar segir:
„Mér leikur forvitni á að vita hversu langt vinnuveitandi – sem eigandi tölvubúnaðar – getur gengið í hnýsni um gögn sem notendur geyma á tölvum sínum. Í mínu tilfelli sé ég að tölvustjórnendur („Administrators") tölvudeildar hafa gefið sjálfum sér fullan aðgang (í gegnum „security" virknina) að öllum skjölum á tölvu minni. Ég veit líka að þeir eru með forritið VNC í gangi þannig að þeir geta hvenær sem er yfirtekið stjórnun tölvunnar – og einnig lesið hvaða skjal sem er – án þess að ég viti af því.
Nýlega barst frá þeim þessi póstur:
Þú ert að fá þennan póst vegna þess að við leit kerfisþjónustu hefur komið í ljós að þú hefur vistað skrár á Z drifinu þínu sem gætu verið óheimilar skv. reglum Flugstoða.
Kerfisþjónusta kallaði fram lista yfir notendur sem höfðu á sínum heimasvæðum skrár með skráarendingarnar mp3, mpg, mpeg, avi, qt, wmv og wma. Þessar skrár eru margmiðlunarskrár og hefur reynslan sýnt að starfsmenn hafa átt til að geyma óheimilar skrár af þessari gerð á á sínum heimasvæðum.
Í reglum um háttvísa notkun tölvukerfis Flugstoða sem samþykktar voru í framkvæmdaráði í janúar 2007 er tekið fram að ekki sé heimilt að geyma einkagögn á netdrifum.
Í starfsmannahandbók Flugstoða segir jafnframt:
Notandi skal gera það sem í hans valdi stendur til að tryggja öryggi tölvubúnaðar Flugstoða og fara í einu og öllu eftir höfundarréttarákvæðum hugbúnaðar, forrita og gagna sem í notkun eru. Að öðrum kosti verður slíkum hugbúnaði og skrám eytt út úr netkerfi og tölvubúnaði fyrirtækisins.
Athugaðu að það þarf alls ekki að vera að skrárnar sem þú hefur vistað á Z drifinu brjóti reglurnar en ef þær gera það viljum við biðja þig að fjarlægja þær af drifinu. Z drifin eru afrituð daglega og því er fleira í húfi en bara höfundarréttarlög. Afritun kostar Flustoðir heilmikla fjármuni og því er það öllum til hagsbóta að losna við slíkar skrár úr afrituninni.
Verði skrárnar ekki fjarlægðar fyrir 2. maí n.k. mun kerfisþjónustan, að undangenginni aðvörun, framkvæma nánari athugun á innihaldi skránna og eyða þeim ef þær reynast brjóta reglur fyrirtækisins.
Hafir þú fengið þennan póst fyrir mistök, reynist skrárnar þínar allar í samræmi við reglur fyrirtækisins eða hafir þú þegar fjarlægt skrárnar biðjumst við velvirðingar á þessum pósti.
Með kveðju
Kerfisþjónusta Flugstoða
Það þarf auðvitað ekki að taka fram að þær skrár sem þeir sáu á drifi mínu voru fullkomlega „löglegar" og vinnutengdar.
Spurningin sem ég hef er einföld – ef notandi bregst ekki við (er t.d. í orlofi) mætti þá gera þessa skoðun á innihaldi sem lýst er í næstsíðustu málsgrein (að undangenginni aðvörun) án viðveru starfsmannsins?
Reyndar einnig önnur spurning. Þessi VNC búnaður er fyrst og fremst ætlaður til að veita aðstoð án þess að tæknimaðurinn þurfi að koma á staðinn. Er eðlilegt að þessi búnaður – sem leyfir tæknimönnum að skoða allt sem starfsmaður gerir án þess að hann viti af því – sé settur upp án samþykkis starfsmanns?
Og kannski í þriðja lagi – er eðlilegt að tæknimenn séu með fullan lesaðgang að öllum skjölum starfsmanna?"
II.
Svar Persónuverndar
1.
Persónuvernd hefur m.a. það hlutverk að úrskurða í ágreiningsmálum sem upp koma um vinnslu persónuupplýsinga, sbr. 1. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Af því leiðir að stofnunin tekur ekki, í almennu svari eins og þessu, bindandi afstöðu til þess hvort vinnsla persónuupplýsinga samrýmist lögum í einstökum tilvikum. Kynni hún ella að verða vanhæf við afgreiðslu ágreiningsmáls sem upp kann að koma og henni ber að leysa úr, s.s. af tilefni kvörtunar frá skráðum einstaklingi.
2.
Þau lög, sem Persónuvernd starfar eftir, þ.e. lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, gilda um vinnslu persónuupplýsinga, sbr. 1. mgr. 3. gr. laganna. Með persónuupplýsingum er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna. Með vinnslu er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar.
Einnig er í 2. gr. laga nr. 77/2000, þ.e. í 6. tölul., að finna skilgreiningu á hugtakinu rafræn vöktun. Segir þar að til rafrænnar vöktunar teljist vöktun sem er viðvarandi eða endurtekin reglulega, felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði og fer fram á almannafæri eða á svæði sem takmarkaður hópur fólks fer um að jafnaði.
Í notkun búnaðar, sem veitir vinnuveitanda færi á að fylgjast með tölvunotkun einstakra starfsmanna, felst vinnsla persónuupplýsinga í framangreindum skilningi. Notkun slíks búnaðar getur einnig falið í sér rafræna vöktun.
Vinnsla persónuupplýsinga verður ávallt að fullnægja einhverju þeirra skilyrða sem mælt er fyrir um í 8. gr. laga nr. 77/2000, en þar segir m.a. að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra, sbr. 7. tölul. 1. mgr. Vinnsla persónuupplýsinga í tengslum við rafræna vökun á vinnustað gæti einkum stuðst við þetta ákvæði.
Einnig verður að vera fullnægt öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000. Þar er m.a. mælt fyrir um að þess skuli gætt við vinnslu persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær séu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
Sérstakt ákvæði um rafræna vöktun er að finna í 1. mgr. 4. gr. laga nr. 77/2000. Þar segir að rafræn vöktun sé háð því skilyrði að hún fari fram í málefnalegum tilgangi. Rafræn vöktun svæðis, þar sem takmarkaður hópur fólks fer um að jafnaði, sé jafnframt háð því skilyrði að hennar sé sérstök þörf vegna eðlis þeirrar starfsemi sem þar fer fram. Vinnustaði má telja slíks svæðis.
Með heimild í 5. mgr. 37. gr. laga nr. 77/2000 hefur Persónuvernd sett reglur nr. 837/2006 um rafræna vöktun þar sem ákvæði laganna um slíka vöktun eru útfærð nánar. Í 4. gr. reglnanna segir að rafræn vöktun verði að fara fram í yfirlýstum, skýrum og málefnalegum tilgangi, s.s. í þágu öryggis eða eignavörslu. Þá segir í 5. gr. að við alla rafræna vöktun skuli gæta þess að ganga ekki lengra en brýna nauðsyn beri til miðað við þann tilgang sem að sé stefnt. Skuli gæta þess að virða einkalífsrétt þeirra sem sæta vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Við ákvörðun um hvort viðhafa skuli rafræna vöktun skuli því ávallt gengið úr skugga um hvort markmiðinu með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum.
Í 9. gr. reglnanna er að finna sérstök ákvæði um vöktun með tölvupóst- og netnotkun. Tölvubúnaður, sem gerir tölvustjórnanda á vinnustað kleift að yfirtaka tölvu starfsmanna, getur falið í sér slíka vöktun þegar hann er notaður í því skyni. Einnig er um slíka vöktun að ræða þegar skoðað er hvaða skrár starfsmenn hafa vistað á drifum sínum, enda komi fram að viðkomandi starfsmenn hafi sótt skrárnar af Netinu. En þegar ekki er um slíkt að ræða er engu að síður hægt að hafa ákvæði 9. gr. til hliðsjónar. Þar segir:
„Óheimilt er að skoða einkatölvupóst nema brýna nauðsyn beri til s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks.
Heimilt er að skoða upplýsingar um netvafur, tengingar og gagnamagn starfsmanns eða nemanda liggi fyrir rökstuddur grunur um að hann hafi brotið gegn gildandi lögum og reglum eða fyrirmælum vinnuveitanda eða skólayfirvalda. Sé tilefni skoðunar grunur um refsiverðan verknað skal óska atbeina lögreglu.
Þegar tölvupósts- eða netnotkun er skoðuð skal þess gætt að gera starfsmanni eða nemanda fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. Þetta á þó ekki við sé þess enginn kostur s.s. vegna alvarlegra veikinda starfsmanns. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan mann í sinn stað.
Við starfslok skal starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Tölvupósti nemenda skal eytt við námslok en áður skal veita hæfilegan frest til töku afrita. Óheimilt er að skoða upplýsingar um netnotkun starfsmanns eða nemanda eftir starfs- eða námslok, nema að uppfylltum sömu skilyrðum og greinir í 1.–3. mgr. eða annað leiði af lögum."
Með hliðsjón af framangreindum ákvæðum, sbr. og fyrirmæli 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um að unnið skuli með persónuupplýsingar í samræmi við vandaða vinnsluhætti, má telja eðlilegt að á vinnustað sé ekki skoðað hvaða skrár starfsmenn vista á starfsmannadrifum nema þeim sé greint frá því fyrirfram og veittur kostur á að vera viðstaddir skoðun nema þess gefist enginn kostur. Í því felst nánar tiltekið að ef mjög brýnir hagsmunir eru af því að skoða hvaða skrár starfsmenn vista, s.s. vegna hættu á alvarlegum öryggisveilum í tölvukerfi, og þeim hagsmunum er stefnt í hættu ef þess er beðið þangað til starfsmaður getur verið viðstaddur, má telja að vinnuveitanda sé heimilt að framkvæma nauðsynlega skoðun. Ef brýnir hagsmunir skaðast ekki þó svo að beðið sé eftir að starfsmaður geti verið viðstaddur má aftur á móti telja eðlilegt að bíða þess að hann komi á vettvang. Ávallt má telja rétt að haft sé samband við viðkomandi starfsmann og honum greint frá fyrirhugaðri skoðun eða slíkt reynt eins og kostur er.
Ef skoðun lýtur að innihaldi skráa, sem ekki eru vinnutengdar, verður að gera strangari kröfur en ella til þess að starfsmanni sé gerð grein fyrir skoðuninni og veittur kostur á að vera viðstaddur. Verður að gera ráð fyrir að oft eigi þá við sambærileg sjónarmið og 1. mgr. 9. gr. áðurnefndra reglna nr. 837/2006 byggist á, þ.e. sú regla að óheimilt sé að skoða einkatölvupóst nema brýna nauðsyn beri til, s.s. vegna tölvuveiru eða sambærileg, tæknilegs atviks.
Í ljósi áðurnefndra ákvæða 7. gr. laga nr. 77/2000, m.a. um sanngirni og meðalhóf við vinnslu persónuupplýsinga, getur það orkað tvímælis að á vinnustað sé nýttur búnaður sem gerir það kleift að skoða allt sem starfsmaður gerir án vitneskju hans, sem og að tæknimenn fái lesaðgang að öllum skjölum starfsmanna óháð því hvort þau séu starfstengd eður ei. Þegar vinnsla samrýmist ekki grunnkröfum 7. gr. getur samþykki, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000, ekki orðið grundvöllur fyrir lögmæti hennar.