Meðferð tölvupósthólfs við starfslok

Mál nr. 2017/1453

4.2.2020

Úrskurður

Á fundi stjórnar Persónuverndar hinn 28. nóvember 2019 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/1453:

I.

Málsmeðferð

1.

Tildrög máls

Hinn 9. október 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur „kvartandi“) yfir að fyrrverandi vinnuveitandi hans, [X] ehf., hefði fyrirvaralaust lokað aðgangi hans að tölvupósthólfi hans með því að breyta aðgangsorðinu hans. Segir að honum hafi ekki verið gefinn kostur á að fjarlægja eða afrita einkapóst og hafi pósthólfinu ekki verið lokað, heldur hafi það þess í stað verið notað áfram til að senda póst í nafni kvartanda. Þá hafi starfsmenn [X] ehf. farið inn á einkanetfang hans og afritað þar mikið magn af einkapósti.

Í kvörtuninni segir meðal annars að kvartandi hafi sagt upp starfi sínu hjá [X] ehf. í […] og beðið um að geta fengið sig lausan sem fyrst. Hafi hann verið beðinn um að vinna þar til annar maður hefði verið ráðinn og þjálfaður í hans stað. Um páskana hafi kvartandi aftur á móti orðið þess áskynja að hann kæmist ekki lengur inn á tölvupósthólf sitt hjá fyrirtækinu sem hefði látið skipta um lykilorð til að loka á aðgang hans. Þegar hann hafi mætt til starfa hinn […] hafi hann verið beðinn um að fara tafarlaust. Stuttu síðar hafi honum verið stefnt og hann sakaður um brot á ráðningarsamningi við [X] ehf. Tekið er fram að í stefnunni sé notast við gögn sem fengin hafi verið úr einkanetfangi hans.

2.

Skýringar [X] ehf.

Með bréfi, dags. 1. nóvember 2017, var [X] ehf. veittur kostur á athugasemdum við kvörtunina. Jafnframt var óskað eftir því að upplýst yrði sérstaklega hvort kvartanda hefði við starfslok verið gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengdist starfsemi fyrirtækisins; hvort og eftir atvikum hvenær tölvupósthólfi kvartanda hefði verið lokað; hvort kvartanda hefði við starfslok verið leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hefði látið af störfum; hvort tölvupóstur hefði verið framsendur úr netfangi kvartanda hjá fyrirtækinu til annarra starfsmanna eftir starfslok, og ef svo væri, hvort samið hefði verið um slíkt við kvartanda; hvort einkatölvupósthólf hans hefði verið skoðað, og ef svo væri, á grundvelli hvaða heimildar í lögum nr. 77/2000; og hvort fyrirtækið teldi umrædda vinnslu hafa samrýmst 7. gr. laga nr. 77/2000 og þá með hvaða hætti. Loks var óskað eftir afriti af reglum um tölvupóst starfsmanna hefði fyrirtækið sett sér slíkar reglur.

[X] ehf. svaraði með bréfi, dags. 9. nóvember 2017. Segir þar meðal annars að kvartandi hafi haft a.m.k. 48 daga, þ.e. frá uppsögn hans […], til að nálgast persónulegan tölvupóst sinn og vinna úr honum að vild. Þá er tekið fram að tölvupóstur í nafni fyrirtækisins sé eingöngu ætlaður til starfstengdra nota en ekki persónulegra. Komi þetta skýrt fram í 11. gr. ráðningarsamnings milli kvartanda og [X] ehf., þess efnis að skýrslur, forrit, tölvusamskipti og aðrar þær afurðir sem starfsmaður vinni að framleiðslu á sem starfsmaður fyrirtækisins skuli vera óskorðuð eign þess, sem og meðal annars að starfsmanni sé með öllu óheimilt að taka afrit af skjölum eða öðrum gögnum. Þrátt fyrir þetta ákvæði megi sjá í niðurhalsmöppu, í tölvu sem kvartandi hafði til afnota, að allur tölvupóstur hafi verið afritaður inn á persónulegt svæði kvartanda hjá vefþjónustunni Dropbox. Þá hafi kvartandi ekki aðeins afritað tölvupóst heldur einnig mikið magn skjala og gagna í eigu [X] ehf.

Tekið er fram í bréfi [X] ehf. að hinn […] hafi aðgangi kvartanda að tölvupósti fyrirtækisins verið lokað þar sem hann hefði brotið gegn því, auk dótturfélags þess, [Y] ehf., sem rekið sé af sömu eigendum og [X] ehf. Segir að kvartandi hafi í raun starfað hjá báðum þessum fyrirtækjum og hafi brotið það alvarlega gegn ráðningarsamningi að nauðsynlegt hafi þótt að sækja mál hans fyrir dómstólum. Dómsmál hafi verið þingfest í Héraðsdómi […].

Þá segir að tölvupósthólfi kvartanda hafi verið lokað u.þ.b. tveimur vikum eftir starfslok. Kvartandi hafi starfað sem […] og fengið mikið magn af tölvupósti frá viðskiptavinum [X] ehf. Hafi fyrirtækið því þurft að vakta tölvupóst hans fyrst um sinn til að þjónusta viðskiptavini og valda sem minnstum skaða fyrir fyrirtækið. Í ljósi þess hversu alvarlegt brot kvartanda hafi verið gagnvart fyrirtækinu hafi ekki verið hægt að treysta því að viðskiptavinir sendu póst á annað netfang þar sem hann hafi þá þegar verið búinn að stela öllum viðskiptatengslum frá [Y] ehf. og skaða það fyrirtæki á varanlegan hátt.

Tekið er fram að kvartanda hafi ekki verið leiðbeint um að virkja sjálfvirka svörun úr pósthólfinu, enda starfslok hans mjög óvenjuleg. Þá hafi tölvupóstur ekki verið framsendur úr netfangi kvartanda í neinum tilfellum.

Jafnframt segir að tölva kvartanda hafi verið í eigu [X] ehf. Þegar hann hafi látið af störfum hafi átt að strauja vélina til að gera hana tilbúna fyrir nýjan starfsmann. Þar sem tölvan hafi innihaldið töluvert magn gagna í eigu fyrirtækisins hafi hún verið skoðuð, í samræmi við ákvæði ráðningarsamnings, og hafi mikið af sönnunargögnum varðandi einbeittan brotavilja kvartanda komið í ljós. Hafi einkanetfang kvartanda verið opið þegar kveikt hafi verið á skjánum. Ekki hafi verið hægt að gera sér grein fyrir því í fyrstu að um einkanetfang kvartanda væri að ræða þar sem [X] ehf. eigi einnig netfang hjá sama vefþjónustuaðila og kvartandi. Þar hafi augljós og gríðarlega alvarleg afbrot kvartanda blasað við. Fyrirtækið vísar til 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000, þess efnis að vinnsla persónuupplýsinga sé heimil sé vinnslan nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Þá er jafnframt vísað til 7. tölul. 1. mgr. 9. gr. sömu laga, þess efnis að vinnsla sé heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Ljóst sé að mati [X] ehf. að samkvæmt þessum ákvæðum sé gert ráð fyrir að vinnsla slíkra upplýsinga og hér um ræðir sé heimil sé hún nauðsynleg vegna reksturs dómsmáls. Um nauðsyn fyrirtækisins er vísað til stefnu og fylgiskjala með henni, en þar er meðal annars um að ræða útprentanir samskipta í einkatölvupóstfangi kvartanda. Er tekið fram að augljóst hafi verið að kvartandi hafi brotið gegn fyrirtækinu og valdið því umfangsmiklu tjóni. Til að hægt væri að sækja þá kröfu fyrir dómstólum hafi verið nauðsynlegt að leggja fram þau tölvupóstgögn sem sýndu að kvartandi hefði brotið gegn félaginu.

Að auki segir að kvartandi hafi valdið það miklum skaða og með það ólögmætri háttsemi, s.s. með því að stela viðskiptatengslum, afrita gögn í eigu [X] ehf. og leka verðupplýsingum og gögnum til samkeppnisaðila og að fyrirtækið fái ekki skilið umrædda kvörtun. Notkun upplýsinganna hafi einungis verið í þeim tilgangi að sækja lögmæta skaðabótakröfu á hendur hinum brotlega.

Um nánari skýringar er vísað til stefnu í umræddu dómsmáli frá […] og fylgiskjala með henni sem meðfylgjandi voru svarbréfi [X] ehf. Er því lýst í stefnu að framangreint fyrirtæki, [Y] ehf., sem sé systurfélag [X] ehf., hafi verið stofnað gagngert vegna viðskiptasambands sem komist hafi á í [erlendu ríki] Hafi kvartandi tekið að sér að þjálfa starfsmann til að sinna þessu viðskiptasambandi samtímis því sem hann hafi lagt á ráðin um að hefja störf annars staðar og taka þá með sér þetta viðskiptasamband og valda þar með vinnuveitanda sínum tjóni, bæði vegna glataðra viðskipta og vegna greiðslu launa til umrædds starfsmanns sem kæmi ekki að þeim notum sem ráðgerð voru. Meðfylgjandi stefnunni eru útprentanir af tölvupóstsamskipum til og úr einkanetfangi kvartanda sem ætlað er að sýna fram á sannleiksgildi þessara ásakana. Öll varða þau samskipti um fyrrnefnd atriði sem lýst er í stefnu.

3.

Athugasemdir kvartanda

við skýringar [X] ehf.

Með bréfi, dags. 24. nóvember 2017, var kvartanda veitt færi á að tjá sig um framangreint bréf [X] ehf. Í svarbréfi kvartanda, dags. 19. desember s.á., segir meðal annars að ráðningarsamningur hans hafi verið við [X] ehf. og að hann hafi aldrei verið starfsmaður [Y] ehf. Þá er tekið fram að við störf hans hjá [X] ehf. hafi hann þurft að hafa aðgang utan vinnu að starfstengdum skjölum og að einnig hafi verið nokkuð um að innan vinnustaðarins væri skjölum deilt með aðstoð vefþjónustanna Dropbox og Google Drive. Hafi eigendum [X] ehf. verið fullkunnugt um þessi skjöl.

Að auki segir að [X] ehf. neiti því ekki að hafa farið inn á einkanetfang kvartanda í leyfisleysi. Þá fylgi bréfi fyrirtækisins mikið af gögnum sem sanni að brotist hafi verið þar inn og þau afrituð. Sé þar ekki eingöngu um að ræða skjáskot heldur einnig útprentuð gögn úr netfanginu. Þarna sé mikið af persónulegum samskiptum úr lífi kvartanda sem óttist að [X] ehf. hafi komist í persónulega viðkvæm gögn, en svo virðist sem afritað hafi verið allt sem á netfanginu mátti finna.

Meðfylgjandi svarbréfi kvartanda var greinargerð hans í framangreindu dómsmáli.

4.

Bréfaskipti varðandi dómsmál

Í bréfi til [X] ehf. og kvartanda, dags. 30. október 2018, vísaði Persónuvernd til þess að samkvæmt gögnum málsins hefðu afrit af tölvupóstsamskiptum, sem kvartandi hefði átt þegar hann starfaði hjá fyrirtækinu, verið lögð fram í umræddu dómsmáli. Ekki yrði talið útilokað að í dómi kynni að verða tekin afstaða til atriða í því sambandi sem líta yrði til í úrlausn Persónuverndar um ágreining þann sem fyrir hendi væri í kvörtunarmálinu hjá stofnuninni. Var þess því óskað að upplýst yrði hvar umrætt dómsmál væri statt. Svar barst frá kvartanda í tölvupósti hinn 3. nóvember 2018 sem með fylgdi afrit af úrskurði Héraðsdóms […] hinn […] um frávísun málsins. Síðar, eða 1. mars 2019, greindi hins vegar lögmaður [X] ehf., […] hrl., Persónuvernd frá því í tölvupósti að aðalmeðferð yrði hinn […]. Dómur Héraðsdóms […] sem reyndist vera í öðru dómsmáli milli sömu aðila, barst stofnuninni síðar frá fyrirtækinu, þ.e. hinn 30. júlí 2019. Ekki er þar vikið sérstaklega að því hvernig meðferð tölvugagna kvartanda var hagað en tekin er afstaða til þess hvort kvartandi hafi brotið gegn starfsskyldum sínum hjá [X] ehf. Er niðurstaða dómsins um það atriði sú að kvartandi sé ekki talinn hafa brotið gegn ráðningarsamningi sínum meðan á ráðningarsambandi stóð, en að tiltekin upplýsingagjöf rúmum tveimur mánuðum síðar hafi verið í andstöðu við trúnaðarákvæði í samningnum.

II.

Forsendur og niðurstaða

1.

Lagaskil

Mál þetta lýtur að atvikum sem gerðust fyrir gildistöku núgildandi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga. Umfjöllun og efni þessa úrskurðar takmarkast því við ákvæði eldri laga, nr. 77/2000, en ekki er um efnislegar breytingar að ræða í lögum nr. 90/2018 á þeim reglum laganna sem hér reynir á. Um valdheimildir Persónuverndar og tilmæli til ábyrgðaraðila fer þó samkvæmt lögum nr. 90/2018.

2.

Gildissvið laga nr. 77/2000

Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst [X] ehf. vera ábyrgðaraðili að umræddri vinnslu.

3.

Lögmæti vinnslu

Rafræn vöktun, samkvæmt lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, er vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum, sbr. skilgreiningu í 6. tölulið 2. gr. laganna. Til rafrænnar vöktunar telst meðal annars tölvupóstvöktun vinnuveitenda sem fram fer með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupóstnotkun einstakra starfsmanna.

Öll vinnsla persónuupplýsinga í tengslum við rafræna vöktun verður, líkt og vinnsla slíkra upplýsinga endranær, að falla undir heimild samkvæmt 8. gr. laga nr. 77/2000. Þegar um ræðir vinnslu persónuupplýsinga á vinnustað við aðstæður eins og hér um ræðir getur 7. tölul. 1. mgr. ákvæðisins þar einkum átt við, þess efnis að vinna megi með persónuupplýsingar sé það nauðsynlegt til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra. Nánar tiltekið má telja hagsmuni tengda stjórnunarheimildum vinnuveitanda geta fallið þar undir, en beiting þeirra getur meðal annars birst í skoðun á tölvupósti starfsmanns eftir því sem nauðsyn krefur og á þann hátt að einkalífsréttur starfsmanns sé virtur. Í því felst meðal annars að fara verður að 1. mgr. 4. gr. laganna, þess efnis að rafræn vöktun skuli fari fram í málefnalegum tilgangi, sem og grunnreglum 1. mgr. 7. gr. laganna, þ. á m. um að þess skuli gætt við vinnslu persónuupplýsinga að þær séu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra sé í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að upplýsingarnar séu fengnar í yfirlýstum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); sem og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt sé miðað við tilgang vinnslunnar (3. tölul.). Með stoð í 5. mgr. 37. gr. laganna hefur Persónuvernd sett reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, en í reglunum er meðal annars að finna ákvæði sem fela í sér nánari útfærslu á framangreindum grunnreglum.

Meðal umræddra ákvæða reglna nr. 837/2006 er 9. gr. þeirra, en samkvæmt 1. mgr. þess ákvæðis er vinnuveitanda meðal annars óheimilt að skoða einkatölvupóst starfsmanns nema brýna nauðsyn beri til, s.s. vegna tölvuveiru eða sambærilegs tæknislegs atviks. Jafnframt segir í 3. mgr. ákvæðisins að við skoðun á tölvupóst- eða netnotkun skuli þess gætt að gera starfsmanni eða nemanda fyrst grein fyrir því og veita honum færi á að vera viðstaddur skoðunina nema þess sé enginn kostur, s.s. vegna alvarlegra veikinda starfsmanns, og skuli honum veitt færi á að tilnefna annan í sinn stað geti hann ekki verið viðstaddur skoðunina. Þá er í 4. mgr. 9. gr. ákvæðisins mælt fyrir um að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Einnig skuli starfsmanni leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hafi látið af störfum og skuli tölvupósthólfi hans lokað eigi síðar en að tveimur vikum liðnum.

Hér er til þess að líta að lokað var fyrir aðgang kvartanda að vinnutölvupósti sínum án þess að honum væri gefinn kostur á að fjarlægja eða afrita einkapóst. Einnig liggur fyrir að vinnutölvupósthólf hans var áfram opið um nokkurt skeið og að tölvupóstur sem í það barst var vaktaður. Þá liggur fyrir að farið var inn á persónulegt netfang kvartanda og póstur þaðan afritaður. Fyrir liggur sú afstaða [X] ehf. að framangreint hafi verið nauðsynlegt í ljósi háttsemi kvartanda sem bryti gegn hagsmunum fyrirtækisins. Jafnframt liggur hins vegar fyrir dómsniðurstaða um að kvartandi verði ekki talinn hafa brotið gegn ráðningarsamningi meðan á ráðningarsambandi stóð, en umræddum dómi var ekki áfrýjað. Í ljósi þessa sönnunarmats kemur ekki til álita í máli þessu að telja háttsemi stefnda geta haft sérstök áhrif á beitingu 9. gr. reglna nr. 837/2008, s.s. vegna þess að enginn kostur hafi verið á að veita kvartanda færi á að vera viðstaddur skoðun á tölvupósti sínum í ljósi brýnna hagsmuna sem ella færu forgörðum. Bar samkvæmt þessu að viðhafa það verklag sem mælt er fyrir um í 9. gr. reglna nr. 837/2006 án þess að nokkrar undanþágur frá því samkvæmt ákvæðinu gætu átt við. Þá skal tekið fram að notkun á einkatölvupósthólfi kvartanda verður ekki talin hafa fallið undir fyrrnefndar stjórnunarheimildir og verður ekki séð að heimild hafi staðið til hennar að öðru leyti. Telur Persónuvernd samkvæmt þessu að [X] ehf. hafi, við meðferð tölvupósts kvartanda í tengslum við starfslok hans hjá fyrirtækinu, ekki farið að lögum nr. 77/2000 og reglum nr. 837/2006.

Mál þetta hefur tafist vegna mikilla anna hjá Persónuvernd.

Ú r s k u r ð a r o r ð:

Meðferð [X] ehf. á tölvupósti [A] við starfslok hans hjá fyrirtækinu var ekki í samræmi við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga og reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

Í Persónuvernd, 28. nóvember 2019

Björg Thorarensen
formaður

Aðalsteinn Jónasson                   Ólafur Garðarsson

Vilhelmína Haraldsdóttir                       Þorvarður Kári Ólafsson