Úrlausnir

Ætluð skoðun á Facebook reikningi starfsmanns

Mál nr. 2020123048

1.6.2021

Fyrrum starfsmaður fyrirtækis kvartaði yfir því að þáverandi yfirmaður hans og samstarfsfélagar hefðu skoðað persónulegan Facebook reikning hans, í fartölvu sem hann hafði haft afnot af í starfi sínu, eftir starfslok. Vísaði hann til aðgerðarskráningar af Facebook-reikningi sínum þar sem fram komu IP-tölur þeirra innskráninga sem ekki tilheyrðu honum. Fyrirtækið hafnaði því hins vegar að hafa skoðað eða haft aðgang að Facebook-reikningi kvartanda. Aðeins ein þeirra IP-talna sem kvartandi vísaði til tilheyrði fyrirtækinu en um væri að ræða staðarnet þess og því ekki unnt að rekja hana til ákveðins tækis eða notanda. Persónuvernd taldi að orð stæði gegn orði um það hvort sú vinnsla persónuupplýsinga sem kvartað var yfir hefði farið fram og hefði því ekki forsendur til að taka afstöðu til þess hvort fyrirtækið hefði unnið með persónuupplýsingar kvartanda. Ekki var því unnt að fullyrða að brotið hafi verið gegn rétti kvartanda samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Úrskurður

Hinn 21. maí 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020123048:

I.
Málsmeðferð

1.
Tildrög máls

Hinn 9. desember 2020 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir vinnslu persónuupplýsinga af hálfu [fyrirtækisins X].
Með bréfi, dags. 17. mars 2021, var [X] boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með tölvupósti þann 13. apríl s.á.
Við úrlausn málsins hefur verið tekið tillit til framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.
Sjónarmið kvartanda

Af hálfu kvartanda hefur komið fram að hann hafi starfað hjá [X] og hafi í starfi sínu haft afnot af fartölvu sem hann skilaði inn við starfslok [...]. Kvartandi telur að fyrrum yfirmaður hans og einn til tveir aðrir starfsmenn hafi [...] skoðað persónulegan Facebook-reikning hans. Vísar hann til þess að í [...] hafi hann fengið fregnir af þessum atvikum og að tveir til þrír aðrir fyrrum starfsmenn hafi sömu sögu að segja. Telur kvartandi að hann hafi verið skráður inn á Facebook-reikninginn sinn í einum af vöfrum fartölvunnar sem hann hafði til afnota og þannig hafi aðrir starfsmenn komist inn á reikning hans. Í kvörtun kemur jafnframt fram að málið hafi verið tilkynnt til lögreglu og tekin hafi verið skýrsla um málið en engar niðurstöður hafi borist kvartanda þar um. Meðfylgjandi kvörtun voru aðgerðarskráningar af Facebook-reikningi kvartanda þar sem fram komu IP-tölur hverrar innskráningar sem ekki tilheyri honum.

3.
Sjónarmið [X]

Af hálfu [X] hefur komið fram að kvartandi hafi verið starfsmaður [fyrirtækisins] og haft fartölvu til afnota sem skilað hafi verið við starfslok. Kvartandi hafi tjáð [fyrirtækinu] að tölvan hafi verið straujuð áður en hann skilaði henni og hafi svo verið gert hafi öllum upplýsingum um leitarsögu á tölvunni jafnframt verið eytt. Þá kemur fram af hálfu [fyrirtækisins] að umrædd fartölva sé ekki aðgengileg [X] lengur og ekki verið í nokkurn tíma. [Fyrirtækið] bendir á að kvartanda hafi þegar verið svarað þess efnis að starfsmenn [þess] hafi aldrei farið inn á Facebook-reikning hans. Í svörum [fyrirtækisins] kemur jafnframt fram að af þeim IP-tölum sem komu fram á fylgigögnum frá kvartanda, og voru fengnar úr aðgerðarskráningu Facebook-reiknings hans, hafi ein þeirra tilheyrt úthlutun til [fyrirtækisins]. Hins vegar sé um að ræða IP-tölu fyrir staðarnet og því sé ekki unnt að rekja hana til ákveðins tækis hvort heldur um sé að ræða tölvur [fyrirtækisins] og/eða þeirra [viðskiptavina þess]sem tengi sig við staðarnetið. Auk þess sé tölvan í almennu rými [fyrirtækisins] aðgengileg gestum og gangandi þar sem hver sem er geti tengst staðarnetinu.

II.
Forsendur og niðurstaða

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Kvartandi telur að [X] hafi skoðað Facebook-reikning hans í gegnum fartölvu sem hann hafði til afnota þar til henni var skilað inn við starfslok hans. [X] hefur hafnað því að hafa skoðað eða haft aðgang að Facebook-reikningi kvartanda. Að sögn [fyrirtækisins] tilheyrir aðeins ein af þeim IP-tölum sem kvartandi lagði fram úr aðgerðarskráningu Facebook-reiknings hans [fyrirtækinu], og tilheyrir hún staðarneti [þess] og því ekki unnt að rekja hana til ákveðins tækis eða notanda.
Samkvæmt þessu stendur orð gegn orði um það hvort sú vinnsla persónuupplýsinga sem kvartað er yfir hafi farið fram. Með vísan til þessa hefur Persónuvernd ekki forsendur til að taka afstöðu til þess hvort [X] hafi unnið með umræddar persónuupplýsingar kvartanda á þann hátt sem greinir í kvörtun. Eins og hér háttar til telur Persónuvernd ekki tilefni til þess að stofnunin beiti frekari valdheimildum, sem henni eru fengnar í lögum nr. 90/2018, til þess að rannsaka það nánar. Ekki er því unnt að fullyrða að brotið hafi verið gegn rétti kvartanda samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.


Ú r s k u r ð a r o r ð:


Ekki liggur fyrir að átt hafi sér stað vinnsla persónuupplýsinga um [A] hjá [X] sem braut gegn lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.


Í Persónuvernd, 21. maí 2021


Helga Þórisdóttir                         Vigdís Eva Líndal

Var efnið hjálplegt? Nei