Meðferð Stapa lífeyrissjóðs á tölvupósti kvartanda

Mál nr. 2020041406

18.6.2021

Úrskurður

Hinn 9. júní 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020041406 (áður 2019122264):

I.
Málsmeðferð

1.
Tildrög máls

Hinn 29. nóvember 2019 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir afritun Stapa lífeyrissjóðs á tölvupósthólfi hennar.

 

Með tölvupósti 6. desember 2019 óskaði kvartandi eftir því að kvörtunin yrði felld niður. Með tölvupósti 7. apríl 2020 óskaði kvartandi hins vegar eftir því að kvörtunin yrði tekin aftur til meðferðar. Með bréfi, dags. 29. september 2020, var Stapa lífeyrissjóði boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 13. október 2020. 

Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

2.
Sjónarmið kvartanda

Kvartandi vísar til þess að hún hafi sent inn kvörtun yfir einelti á vinnustað sínum, Stapa lífeyrissjóði, í október 2019. Þann 26. nóvember s.á. hafi hún mætt til vinnu og skráð sig inn í tölvuna sína. Stuttu síðar hafi hún séð skrifstofustjórann hleypa starfsmanni Advania inn á starfsstöðina og þau hafi farið saman í tölvurými Stapa þar sem netþjónninn sé geymdur. Þegar kvartandi hafi sest aftur niður við tölvu sína hafi gluggi komið upp þar sem hún hafi verið beðin um að setja inn lykilorð fyrir tölvupóstforritið Outlook tvisvar sinnum, sem hún hafi og gert. Henni hafi fundist þetta skrýtið þar sem hún hafi þegar verið inni í tölvupóstinum og hefði ekki séð svona glugga áður þar sem stóð ,,Outlook Data File“, en hún hafi orðið að setja lykilorðið inn til þess að geta haldið áfram að nota forritið. Daginn eftir hafi hún tekið eftir því að tvær viðbótarlínur hefðu birst í hliðarstiku í póstforritinu þar sem hún sjái yfirleitt eingöngu sín pósthólf, [A] (hja)stapi.is og lifeyrir(hja)stapi.is. Þær hafi borið heitin ,,Outlook Data File“ og ,,Outlook Data File – [A]“. Í framhaldinu hafi hún séð í skráakerfi Windows á tölvu sinni að ,,offline“ mappa hafi verið sett upp hjá henni með afriti af pósthólfinu hennar, sem kerfisstjóri hafi haft aðgang að, sem hafi einnig borið nafnið „Outlook Data File – [A]“. 

Kvartandi kveðst hafa óskað eftir skýringu frá Stapa með tölvupósti 29. nóvember 2019. Stapi hafi svarað því til að engin beiðni hafi verið send til Advania um að framkvæma þetta en fyrirspurn yrði send þangað strax. Eftir hádegið hafi sami starfsmaður Advania og hafði komið á skrifstofuna 26. nóvember s.á. hringt og kvaðst ekki vita hvernig þetta hefði getað gerst. Hann hafi skoðað þetta hjá kvartanda en svo eytt þessum skrám sem hafi birst í tölvupóstforriti kvartanda. 

Kvartandi telur eineltiskvörtun hennar vera rót þessa máls og framangreint sýna að Stapi lífeyrissjóður hafi farið í tölvupósthólf hennar án heimildar.

3.
Sjónarmið Stapa lífeyrissjóðs

Stapi neitar því að hafa skoðað eða afritað tölvupósthólf kvartanda og telur það ekki hafa verið tæknilega framkvæmanlegt að gera það með þeim hætti sem lýst er í kvörtuninni. Bendir Stapi á að í svokölluðu tölvurými sem kvartandi hafi fullyrt að starfsmaður Stapa og starfsmaður Advania hafi farið inn í hafi verið svokallað tæknirými og þar hafi ekki verið geymdur netþjónn. Póstþjónn Stapa sé vistaður í tækjasal Advania á Akureyri og enginn póstþjónn eða netþjónn sé til staðar í húsnæði Stapa. Ástæður þess að skrárnar sem kvörtunin hafi sprottið af hafi orðið til séu ókunnar og kvartandi hafi verið upplýst um það. Hafi starfsmenn Stapa átt í tölvupóstsamskiptum við kvartanda um málið og litið hafi verið svo á að málinu væri lokið. Ekki hafi verið lögð frekari vinna í að grafast fyrir um ástæður þess að skrárnar mynduðust. Advania hafi ekki getað staðfest hvernig það hafi gerst en tæknistjóri Advania á Akureyri hafi gefið upp hugsanlegar tæknilegar ástæður þess. Aðgerðarskráning hafi einungis verið vistuð í þrjá mánuði og því sé hún ekki til fyrir umrætt tímabil.

II.
Forsendur og niðurstaða

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Samkvæmt 1. mgr. 9. gr. reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun er tilvikabundin skoðun vinnuveitanda á tölvupósti starfsmanns óheimil nema uppfyllt séu heimildarákvæði persónuverndarlaga, sbr. nú 9. og 11. gr. laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Þá ber, skv. 3. mgr. 9. gr. áðurnefndra reglna nr. 837/2006, að gæta þess þegar tölvupóstsnotkun er skoðuð að gera starfsmanni fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. 

Kvartandi telur að Stapi Lífeyrissjóður hafi afritað tölvupósthólf hennar og skoðað það í kjölfar kvörtunar hennar yfir einelti á vinnustað. Hefur Stapi hafnað því að svo hafi verið. Aðgerðarskráning vegna aðgangs að pósthólfi kvartanda reyndist einungis ná um þrjá mánuði aftur í tímann og nær hún því ekki aftur til þess tímabils sem kvörtunin lýtur að. Hefur því ekki verið upplýst hvort Stapi hafi farið í heimildarleysi inn á tölvupóstfang kvartanda á þann hátt sem greinir í kvörtun. 

Með vísan til alls framangreinds liggur ekki fyrir að átt hafi sér stað vinnsla persónuupplýsinga sem brýtur gegn lögum nr. 90/2018 og reglugerð (ESB) 2016/679. Þá telur Persónuvernd, eins og hér háttar til, ekki tilefni til þess að stofnunin beiti frekari valdheimildum, sem henni eru fengnar í lögum nr. 90/2018, til þess að rannsaka það nánar.

Ú r s k u r ð a r o r ð:

Ekki liggur fyrir að átt hafi sér stað vinnsla persónuupplýsinga um [A] hjá Stapa lífeyrissjóði sem braut gegn lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.

Helga Þórisdóttir                             Helga Sigríður Þórhallsdóttir