Beiðni til þjónustuaðila um afrit af tölvupósti starfsmanns

Mál nr. 2016/1838

22.8.2017

Á fundi stjórnar Persónuverndar hinn 22. ágúst 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1838:

I.

Tildrög máls og bréfaskipti

Persónuvernd hefur borist kvörtun frá [A] (hér eftir nefndur „kvartandi“), dags. 19. desember 2016, yfir því að Viðhald og viðgerðir ehf., þar sem hann hafði verið [...], hafi beðið þjónustuaðila um allan tölvupóst hans hjá fyrirtækinu, þ.e. á netföngunum vidhald@vidhald.is og [A]@vidhald.is, en hann hafi þá verið búinn að eyða öllum tölvupósti sínum á síðarnefnda netfanginu. Segir að beðið hafi verið um umræddan aðgang án samþykkis hans eða leyfis og að eigandi Viðhalds og viðgerða ehf. hafi veitt öðrum starfsmanni heimild til að lesa tölvupóstinn.

Með bréfi, dags. 16. mars 2016, var Viðhaldi og viðgerðum ehf. veitt færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 29. s.m. Þar segir meðal annars að eftir að kvartandi hafi hætt störfum hjá fyrirtækinu hafi hann tilkynnt eiganda þess um fyrrnefnda eyðingu á tölvupósti, auk þess sem hann hafi sagst hafa samninga fyrirtækisins og fleiri gögn undir höndum sem hann hafi sagst myndu afhenda að tilteknum skilyrðum fullnægðum. Í kjölfarið hafi það verið kannað hjá netþjónustuaðila fyrirtækisins, Tactica ehf., hvort hægt væri að endurheimta tölvupóst á netfanginu [A]@vidhald.is gerðist þess þörf og hafi þau svör fengist að sennilega væri það hægt. Í bréfinu segir hins vegar jafnframt að ekki hafi verið aðhafst frekar hvað það varðaði og hafi tölvupóstur kvartanda ekki verið skoðaður. Ef þess gerist þörf á síðari stigum, sem verði að teljast ólíklegt úr þessu, verði lögum og reglum fylgt hvað það varði.

Hvað varðar netfangið vidhald@vidhald.is segir að um ræði almennt netfang Viðhalds og viðgerða ehf. Fleiri starfsmenn en kvartandi hafi haft aðgang að því pósthólfi og hafi verið litið á það með svipuðum hætti og aðalsímanúmer fyrirtækisins, enda hafi þangað borist almennar fyrirspurnir, verkbeiðnir, atvinnuumsóknir og fleiri erindi almenns eðlis. Af þeim sökum hafi [annar starfsmaður] fyrirtækisins fengið aðgang að pósthólfinu. Hafi eðli málsins samkvæmt ekki verið litið á það sem einkanetfang kvartanda innan fyrirtækisins, enda hafi hann haft annað netfang til slíkra nota, þ.e. netfangið [A]@vidhald.is.

Með bréfi, dags. 18. apríl 2017, ítrekuðu með bréfi, dags. 6. júlí s.á., var kvartanda veitt færi á að tjá sig um framangreindar skýringar Viðhalds og viðgerða ehf. Ekki hefur borist svar.

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

Ábyrgðaraðili

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. sömu greinar. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til teljast Viðhald og viðgerðir ehf. vera ábyrgðaraðili að umræddri vinnslu.

2.

Lögmæti vinnslu

Svo að heimilt sé að vinna með persónuupplýsingar þarf ávallt að vera fullnægt einhverri af kröfum 8. gr. laga nr. 77/2000. Sú vinnsla persónuupplýsinga, sem felst í umsýslu vinnuveitanda með netföng sem hann kemur á fót í þágu starfsemi viðkomandi vinnustaðar, getur einkum stuðst við 7. tölul. 1. mgr. þeirrar greinar, þess efnis að heimilt sé að vinna með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Að því marki sem um ræðir viðkvæmar persónuupplýsingar þarf einnig að vera fullnægt einhverri af viðbótarkröfum 9. gr. laga nr. 77/2000 til vinnslu slíkra upplýsinga, en ekki liggur fyrir að hér ræði um þess háttar upplýsingar.

Auk heimildar til vinnslu samkvæmt framangreindu þarf ávallt að vera fullnægt öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 þegar unnið er með persónuupplýsingar, þ. á m. um að upplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.) og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Með stoð í 5. mgr. 37. gr. laga nr. 77/2000 hefur Persónuvernd sett reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem til verða við rafræna vöktun, en í 9. gr. þeirra reglna eru framangreindar kröfur 1. mgr. 7. gr. laganna útfærðar nánar hvað varðar tölvupóst á vinnustöðum. Kemur meðal annars fram í 4. mgr. 9. gr. reglnanna að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans, sem og að honum skuli leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hafi látið af störfum. Eigi síðar en að tveimur vikum liðnum skuli pósthólfinu lokað og sé vinnuveitanda óheimilt að áframsenda á annan starfsmann þann póst sem berst í tölvupósthólf fyrrverandi starfsmanns eftir starfslok nema um annað hafi verið samið.

Umrætt ákvæði reglnanna byggist á því að vinnuveitandi hafi lögmæta hagsmuni af því að gögn úr vinnupósthólfum starfsmanna séu áfram til þó svo að þeir láti af störfum en að jafnframt sé nauðsynlegt, vegna sjónarmiða um sanngirni, vandaða vinnsluhætti og meðalhóf, að þeir fái færi á að eyða þaðan gögnum sem ekki eru vinnutengd. Í ljósi hinna lögmætu hagsmuna vinnuveitandans veitir umrætt ákvæði starfsmanni hins vegar ekki rétt til þess, þegar hann lýkur störfum, að eyða öllum gögnum úr vinnupósthólfi sínu. Þegar litið er til þessa telst Viðhaldi og viðgerðum ehf. heimilt að fara fram á við netþjónustuaðila fyrirtækisins að hann endurheimti þann tölvupóst sem kvartandi eyddi úr því pósthólfi sem honum var úthlutað hjá fyrirtækinu, þ.e. netfanginu [A]@vidhald.is.

Tekið skal fram að við slíka endurheimt á fyrrgreint ákvæði 4. mgr. 9. gr. reglna nr. 837/2006 ekki lengur við, enda er því ekki ætlað að gilda um þá aðstöðu þegar starfsmaður hefur sjálfur eytt öllum gögnum úr vinnutölvupósthólfi við starfslok. Sem endranær gilda þó áðurnefnd ákvæði 1. mgr. 7. gr. laga nr. 77/2000 engu að síður og hvílir því eftir sem áður sú skylda á Viðhaldi og viðgerðum ehf. að tryggja að persónuupplýsingar, óviðkomandi starfsemi fyrirtækisins – eftir atvikum um aðra en kvartanda – rati ekki í vörslur þess vegna endurheimtar tölvupóstsins. Telst það því falla undir vandaða vinnsluhætti að kvartanda verði veitt færi á yfirferð yfir fyrrnefnt pósthólf hjá fyrirtækinu til að eyða slíkum óviðkomandi gögnum. Má sú yfirferð fara fram undir umsjón starfsmanns fyrirtækisins, sbr. til hliðsjónar 3. mgr. 9. gr. reglna nr. 837/2006.

Hvað varðar netfangið vidhald@vidhald.is telur Persónuvernd það bera með sér að það sé almennt netfang Viðhalds og viðgerða ehf., fremur en netfang tiltekins starfsmanns. Verður því ekki séð að kvartandi hafi lögmæta hagsmuni af úrlausn um heimildir til notkunar þess í starfsemi fyrirtækisins og er því þeim hluta kvörtunarinnar sem lýtur að því vísað frá.

Ú r s k u r ð a r o r ð:

Viðhaldi og viðgerðum ehf. er heimilt að fara fram á við netþjónustuaðila sinn að hann endurheimti þann tölvupóst sem [A] eyddi úr netfanginu [A]@vidhald.is. Þeim þætti kvörtunar hans, sem lýtur að netfanginu vidhald@vidhald.is, er vísað frá.