Meðferð tölvupósthólfs af hálfu vinnuveitanda við starfslok

Mál nr. 2021122460

14.7.2023

Úrskurður

um kvörtun yfir meðferð tölvupósthólfs af hálfu [vinnuveitanda] í máli nr. 2021122460:

I.
Málsmeðferð

Hinn 29. desember 2021 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir meðferð á tölvupóstfangi hans hjá [vinnuveitanda]. Nánar tiltekið var kvartað yfir því að öllum aðgangi kvartanda að tölvupósthólfi hans hjá [vinnuveitanda] hefði verið lokað án skýringa og án aðvarana. Mikið magn væri af einkatölvupósti í pósthólfinu sem kvartandi hefði ekki enn fengið aðgang að. Einnig laut kvörtunin að því að kvartanda hefði ekki verið veitt færi á að setja sjálfvirka svörun úr pósthólfinu um að hann hefði látið af störfum. Þá laut kvörtunin jafnframt að því að tölvupóstur hans hefði verið skoðaður og afrit tekið af tölvupósti hans og gögnum síðustu 11 ára.

Persónuvernd bauð [vinnuveitanda] að tjá sig um kvörtunina með bréfi, dags. 24. apríl 2023, og bárust svör frá lögmanni [vinnuveitanda] 15. maí s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör [vinnuveitanda] með bréfi, dags. 24. s.m., og bárust þær með tölvupósti 24. og 31. s.m. og 6. júlí s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.

___________________

Kvartandi vísar til þess að honum hafi verið skipað í leyfi frá störfum hjá [vinnuveitanda] og hafi ekki verið leyft að taka afrit af persónulegum gögnum í tölvupósthólfi sínu. Þá hafi honum ekki verið gert mögulegt að setja sjálfvirka svörun á tölvupósthólf sitt eða framsenda einkatölvupósta til sín. Jafnframt hafi tölvupóstur hans verið skoðaður og afrit tekið af öllum tölvupósti hans og gögnum síðustu 11 ára án heimildar en þar hafi verið að finna viðkvæmar persónuupplýsingar. Byggir kvartandi á því að framangreind vinnsla persónuupplýsinga stangist á við 8.-11. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

Í svarbréfi lögmanns [vinnuveitanda] kemur fram að [dags.] hafi [X] og [Y] gert með sér samning um úttekt á [vinnuveitanda]. Unnið hafi verið að úttektinni á haustmánuðum en [dags] hafi verið fundað með kvartanda og honum gerð grein fyrir því að hann hefði verið settur í leyfi frá störfum á meðan frekari rannsókn á störfum [vinnuveitanda] færi fram. Jafnframt hafi kvartanda verið tilkynnt að aðgangi hans að tölvukerfum hefði verið lokað. Vísað er til þess að þann 10. febrúar [ártal] hafi kvartandi óskað eftir því með tölvupósti að fá aðgang að gögnum. Með tölvupósti stjórnar [vinnuveitanda], þann 14. s.m., hafi verið óskað eftir nánari tilgreiningu á því hvaða gögnum kvartandi óskaði eftir aðgangi að. Með tölvupósti þann 17. s.m. hafi kvartandi m.a. óskað eftir aðgangi að gögnum á Google Drive og í tölvupósti sínum. Vísað er til þess að með bréfi, dags. 2. febrúar s.á., hafi [vinnuveitandi] hins vegar lagt fram kæru samkvæmt 3. mgr. 52. gr. laga nr. 88/2008 um meðferð sakamála til héraðssaksóknara vegna gruns um refsiverð brot af hálfu kvartanda. Í framhaldinu hafi ráðningarsamningi við kvartanda verið rift vegna alvarlegra brota í starfi hjá [vinnuveitanda] og vanefnda á ráðningarsamningi vegna trúnaðarrofs og hafi riftunin þegar tekið gildi. Byggir [vinnuveitandi] á því að vegna framangreindrar kæru til héraðssaksóknara hafi kvartanda ekki verið veittur aðgangur að tölvupósthólfi sínu. Í kjölfar kærunnar hafi héraðssaksóknari hafið að rannsaka málið og sé rannsókn enn yfirstandandi. 

Í svarbréfi [vinnuveitanda] kemur einnig fram að tölvupósthólfi kvartanda hafi verið lokað [dags.]. Sjálfvirk svörun hafi ekki verið virkjuð úr pósthólfinu en kvartandi hefði ekki óskað eftir því. Vísað er til þess að tölvupósthólfið hafi ekki verið skoðað en talið mikilvægt að tryggja að öll tölvugögn [vinnuveitanda] væru fyrir hendi og því hafi verið tekið afrit af „Google-svæði“, þ.e. tölvupósti og gögnum kvartanda, án þess að í því hafi falist nokkur ákvörðun um skoðun á gögnum. Byggir [vinnuveitandi] á því að framangreind vinnsla hafi verið nauðsynleg í ljósi aðstæðna vegna lögmætra hagsmuna og í samræmi við 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga

Við rannsókn málsins óskaði Persónuvernd eftir því að fá sent frá [vinnuveitanda] afrit af aðgerðaskráningu sem sýndi yfirlit yfir innskráningar í tölvupósthólf kvartanda frá [dags.] og til lokunardags. Samkvæmt skýringum Snerpu, þjónustuaðila [vinnuveitanda], sem komu fram í bréfi lögmanns [vinnuveitanda], dags. 15. maí 2023, notast tölvupóstkerfi [vinnuveitanda] við Google Workspace sem geymi aðgerðaskráningar aðeins 6-12 mánuði aftur í tímann. Vísað er til þess að Snerpa hafi gert tilraun til að sækja frekari og nákvæmari upplýsingar í gegnum Google Admin API án árangurs. Síðasta innskráning á netfang kvartanda hafi hins vegar verið [dags.] en eftir það séu engar innskráningar á netfangið.

Í athugasemdum sínum við svör [vinnuveitanda] fullyrti kvartandi að tölvupóstar hans hefðu verið skoðaðir og lesnir upp fyrir starfsmenn sem væru tilbúnir að vitna um það. Óskaði Persónuvernd eftir því að kvartandi legði fram gögn til stuðnings framangreindum fullyrðingum sínum. Engar frekari skýringar eða gögn bárust frá kvartanda.

II.
Niðurstaða
1.
Lögmæti vinnslu

Mál þetta lýtur að meðferð tölvupósthólfs kvartanda við starfslok hans hjá [vinnuveitanda]. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.[Vinnuveitandi] telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.

Reglur nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, voru í gildi á þeim tíma sem atvik þessa máls áttu sér stað, en reglurnar voru settar samkvæmt heimild í eldri persónuverndarlögum, nr. 77/2000, sbr. nú 5. mgr. 14. gr. laga nr. 90/2018. Nýjar reglur um rafræna vöktun, reglur nr. 50/2023, tóku gildi þann 10. janúar 2023. Með nýjum reglum um rafræna vöktun hefur orðið sú breyting frá þeim eldri að sérákvæði um tölvupóst og netnotkun hefur verið fellt út. Þess í stað hafa verið útbúnar ítarlegar leiðbeiningar um meðferð tölvupósts, skráasvæða og eftirlit með netnotkun. Leiðbeiningarnar eru byggðar á lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og almennu persónuverndarreglugerðinni, þ.e. reglugerð (ESB) 2016/679. Þar sem mál þetta lýtur að atvikum sem áttu sér stað í gildistíð reglna nr. 837/2006 mun umfjöllun og efni þessa úrskurðar taka mið af framangreindum reglum þegar það á við, en ekki er um efnislegar breytingar að ræða á þeim reglum sem nú reynir á, enda voru reglur nr. 837/2006 einnig byggðar á lögum um persónuvernd og vinnslu persónuupplýsinga. Einnig verður þó litið til þeirra ákvæða laganna og reglugerðarinnar sem við eiga hverju sinni.

Í 1. mgr. 9. gr. reglna nr. 837/2006 var mælt fyrir um að tilvikabundin skoðun vinnuveitanda á tölvupósti starfsmanns væri óheimil nema uppfyllt væru heimildarákvæði persónuverndarlaga, sbr. nú 9. og 11. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Þá var í 4. mgr. 9. gr. reglna nr. 837/2006 mælt fyrir um það verklag sem vinnuveitandi skyldi fylgja þegar starfsmaður lét af störfum. Í ákvæðinu sagði meðal annars að við starfslok skyldi starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengdist starfsemi vinnuveitandans. Þá skyldi honum leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hefði látið af störfum. Eigi síðar en að tveimur vikum liðnum skyldi loka pósthólfinu.

Samkvæmt 6. tölul. 9. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, er vinnsla persónuupplýsinga heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Má þar nefna að vinna má með viðkvæmar persónuupplýsingar sé vinnslan nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur, sbr. 6. tölul. lagaákvæðisins og f-lið reglugerðarákvæðisins.

Öll vinnsla persónuupplýsinga verður jafnframt að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar.

Kvartandi telur að [vinnuveitandi] hafi skoðað tölvupósthólf hans í kjölfar þess að honum hafi verið vikið frá störfum. [Vinnuveitandi] hefur hins vegar hafnað því að svo hafi verið. Kvartandi hefur ekki lagt fram gögn til stuðnings fullyrðingum sínum og aðgerðaskráning vegna aðgangs að pósthólfi kvartanda reyndist einungis ná 6-12 mánuði aftur í tímann og nær því ekki aftur til þess tímabils sem kvörtunin lýtur að. Hefur því ekki verið upplýst hvort [vinnuveitandi] hafi skoðað tölvupósthólf kvartanda og telst því ósannað að sú vinnsla persónuupplýsinga sem felst í skoðun á tölvupósthólfi kvartanda hafi átt sér stað.

Hins vegar liggur fyrir að kvartanda var neitað um aðgang að gögnum sínum á vinnunetdrifi og í tölvupósthólfi sínu. Einnig liggur fyrir að sjálfvirk svörun var ekki virkjuð úr pósthólfinu en [vinnuveitandi] hefur vísað til þess að netfangi kvartanda hafi verið lokað sama dag og honum var vikið frá störfum. Telur Persónuvernd að með hliðsjón af því megi fallast á að óþarft hafi verið að leiðbeina kvartanda um að virkja sjálfvirka svörun úr pósthólfinu, eins og hér háttar til. Þá liggur jafnframt fyrir að [vinnuveitandi] tók afrit af tölvupósti og gögnum kvartanda á vinnunetdrifi [vinnuveitanda]. Taldi [vinnuveitandi] mikilvægt að tryggja að öll tölvugögn [vinnuveitanda] væru fyrir hendi þar sem lögð hefði verið fram kæra á hendur kvartanda, samkvæmt 3. mgr. 52. gr. laga nr. 88/2008, til héraðssaksóknara vegna gruns um fjölmörg refsiverð brot hans í starfi. Liggur fyrir, samkvæmt upplýsingum frá [vinnuveitanda], að rannsókn málsins hjá héraðssaksóknara er ekki lokið. Að mati Persónuverndar getur [vinnuveitandi] því átt lögmæta hagsmuni í skilningi 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, af því að tryggja að öll tölvugögn [vinnuveitanda] séu fyrir hendi vegna rannsóknar máls hjá héraðssaksóknara í tilefni af kæru [vinnuveitanda] á hendur kvartanda.

Kemur þá til skoðunar hvort þeir hagsmunir vega þyngra en grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum, sbr. áðurnefnt ákvæði 6. tölul. 9. gr. laganna. Við mat á því hvort svo sé skiptir máli hvort í framangreindri vinnslu persónuupplýsinga hafi falist skerðing á friðhelgi einkalífs kvartanda. Í því sambandi er jafnframt til þess að líta að samkvæmt 6. tölul. 1. mgr. 11. gr. laga nr. 90/2018 er heimil vinnsla viðkvæmra persónuupplýsinga ef vinnslan er nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur, hvort heldur er fyrir dómstól eða við stjórnsýslumeðferð eða málsmeðferð utan réttar. Að mati Persónuverndar verður að játa aðilum ágreiningsmála nokkuð svigrúm til mats á því hvaða persónuupplýsingar er nauðsynlegt að vinna með í þágu úrlausnar réttarágreinings og með hvaða hætti. Hugtakið nauðsyn, í skilningi 6. tölul. 1. mgr. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, og 6. tölul. 1. mgr. 11. gr. laganna, sbr. f-lið 2. mgr. 9. gr. reglugerðarinnar, verði því að skýra með hliðsjón af því. Með hliðsjón af fyrirliggjandi gögnum og því að rannsókn máls vegna gruns um fjölmörg refsiverð brot kvartanda í starfi stendur yfir hjá héraðssaksóknara verður að telja að hagsmunir [vinnuveitanda] af því að taka afrit af tölvupósti og gögnum kvartanda á vinnunetdrifi [vinnuveitanda] hafi vegið þyngra en hagsmunir og grundvallarréttindi og frelsi kvartanda, sbr. 6. tölul. 1. mgr. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar.

Loks verður að taka mið af takmörkunum á réttindum hins skráða til aðgangs samkvæmt 4. mgr. 17. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Í ákvæðinu er að finna heimild til að takmarka rétt hins skráða, sem veittur er með 13.-15. gr. reglugerðar (ESB) 2016/679, virði slík takmörkun eðli grundvallarréttinda og mannfrelsis og teljist nauðsynleg og hófleg ráðstöfun í lýðræðisþjóðfélagi til að tryggja það að einkaréttarlegum kröfum sé fullnægt, sbr. 4. tölul. ákvæðisins. Byggir [vinnuveitandi] á því að nauðsynlegt hafi verið að tryggja að öll tölvugögn væru fyrir hendi við rannsókn á störfum [vinnuveitanda] og í kjölfar þess að kæra hafi verið lögð fram hjá héraðssaksóknara á hendur kvartanda.

Ákvæði reglna nr. 837/2006 er lúta að aðgangi starfsmanns að tölvupósti styðjast við áðurnefnd ákvæði laganna og reglugerðarinnar um aðgangsrétt hins skráða og ber því að túlka þau með hliðsjón af þeim. Að mati Persónuverndar verður talið að ákvörðun [vinnuveitanda] um takmörkun á aðgangsrétti kvartanda hafi getað stuðst við 4. tölul. 4. mgr. 17. gr. laga nr. 90/2018, enda hefði ekki verið hægt að tryggja hagsmuni og kröfur [vinnuveitanda] með fullnægjandi hætti ef kvartandi hefði fengið aðgang að gögnum á vinnunetdrifi og í tölvupósthólfi sínu.

Að framangreindu virtu er það niðurstaða Persónuverndar að sú vinnsla persónuupplýsinga um kvartanda sem kvörtunin lýtur að hafi verið heimil samkvæmt 6. tölul. 9. gr. laga nr. 90/2018 og f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679 og að fullnægt hafi verið skilyrði 6. tölul. 1. mgr. 11. gr. laganna og f-lið 2. mgr. 9. gr. reglugerðarinnar.

Þá er það jafnframt niðurstaða Persónuverndar að heimilt hafi verið að takmarka rétt kvartanda til aðgangs samkvæmt 15. gr. reglugerðar (ESB) 2016/679 á grundvelli 4. tölul. 4. mgr. 17. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. j-lið 1. mgr. 23. gr. reglugerðarinnar. Með vísan til alls framangreinds er það einnig niðurstaða Persónuverndar að sú vinnsla persónuupplýsinga sem til úrlausnar er hafi samrýmst meginreglum 1. mgr. 8. gr. laga nr. 90/2018 og 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Ú r s k u r ð a r o r ð:

Vinnsla [vinnuveitanda] á persónuupplýsingum um [A] samrýmdist ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, um vinnsluheimildir og takmörkun á aðgangsrétti hins skráða.

Persónuvernd, 14. júlí 2023

Helga Sigríður Þórhallsdóttir            Edda Þuríður Hauksdóttir