Miðlun símtalaskrár og meðferð tölvupósthólfs eftir starfslok

Mál nr. 2018/1779

3.12.2019

Úrskurður

Hinn 20. nóvember 2019 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2018/1779:

I.

Málsmeðferð

1.

Tildrög máls

Hinn 17. desember 2018 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur „kvartandi“) yfir afhendingu á símtalaskrá úr vinnusíma kvartanda á tilteknu tímabili til fyrrverandi eiginkonu hans annars vegar, og hins vegar yfir meðferð á pósthólfi kvartanda eftir starfslok hans hjá fyrirtækinu [X] í september 2018.

Í kvörtuninni segir meðal annars að fyrrverandi eiginkonu kvartanda hafi borist ábyrgðarbréf þann 9. nóvember 2018 frá [X], sem hafi verið opnað á skrifstofu lögmanns þann 14. desember s.á. Bréfið hafi reynst innihalda 73 blaðsíður af símtalaskrám vegna símanúmers, sem hafi verið vinnusími kvartanda á starfstíma hans hjá [X]. Að mati kvartanda hafi þetta athæfi falið í sér vinnslu persónuupplýsinga sem brjóti gegn ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga með margvíslegum hætti. Enn fremur hafi fyrirsvarsmaður [X] framsent kvartanda fjölda tölvupósta úr vinnutölvupósthólfi hans dagana 13. og 14. desember 2018. Kvartanda hafi hvorki verið gerð grein fyrir því að fyrirsvarsmaður [X] hygðist skoða tölvupóst hans né verið gefinn kostur á að vera viðstaddur. Kvartanda hafi heldur ekki verið gefinn kostur á að eyða eða taka afrit af tölvupóstum sem ekki tengdust starfsemi [X]. Loks hafi pósthólfi kvartanda ekki verið lokað í samræmi við reglur þar um. Kvartandi telji [X] því hafa brotið meginreglur laga nr. 90/2018 um vinnslu persónuupplýsinga og reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

2.

Bréfaskipti

Með bréfi, dags. 13. febrúar 2019, var [X] boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 19. febrúar s.á. Þar segir að kvartanda hafi verið tilkynnt að gögn yrðu send á heimili hans, en þar sem kvartandi hafi ekki verið skráður þar samkvæmt Já.is hafi umrætt bréf verið stílað „á konu hans en vegna [A] til að tryggja að bréfið bærist [A] [...]“. Segir að erfitt hafi verið fyrir fyrirsvarsmann [X] að átta sig á því að kvartandi byggi ekki að [heimilisfang] enda hafi kvartanda borið sjálfstæð skylda til að tilkynna fyrirtækinu um breytingar á heimilishögum meðan hann væri þar við störf. Þá segir að kvartandi hafi hætt störfum fyrirvaralaust og ekki látið ná í sig í kjölfarið. Í daglegum rekstri fyrirtækisins þurfi að svara fyrirspurnum sem berist á degi hverjum auk pantana á vörum. Póstur sem borist hafi á vinnunetfang kvartanda hafi því verið framsendur á almennt tölvupóstfang fyrirtækisins. Kvartandi hafi misnotað vinnunetfang sitt með því að skrá það á ýmsum stöðum sem hafi ekkert erindi átt við fyrirtækið. Slíkir póstar hafi verið framsendir kvartanda honum til hægðarauka. Loks hafi sendanda eins slíks tölvupósts verið svarað með beiðni þess efnis að vinnunetfang kvartanda yrði tekið út af póstlista viðkomandi.

Með bréfi, dags. 25. mars 2019, var kvartanda veitt færi á athugasemdum við framangreindar skýringar [X]. Svarað var með bréfi, dags. 3. apríl 2019. Þar segir að bréfið sem innihélt umræddar símtalaskrár hafi verið stílað á fyrrverandi eiginkonu kvartanda og verið rekjanlegt. Þannig hafi eingöngu átt að afhenda það skráðum viðtakanda. Þá hafi [X] ekki sýnt fram á að miðlun símtalaskrárinnar hafi verið nauðsynleg. Ítrekar kvartandi það sem fram kom í kvörtun um meðferð tölvupósthólfs hans við starfslok hans hjá [X] og tekur einnig fram að fyrirsvarsmanni fyrirtækisins hefði verið í lófa lagið að virkja sjálfvirka svörun um að kvartandi hefði hætt störfum og að senda ætti erindi á annað netfang í staðinn. Loks segir að fyrirsvarsmaður [X] hafi haldið áfram að áframsenda einkatölvupósta úr pósthólfi kvartanda hjá fyrirtækinu jafnt til kvartanda sjálfs sem þriðju aðila. Pósthólfið sé þannig enn opið.

Frekari upplýsingar bárust frá [X] með tölvupósti þann 28. maí. Þar segir að [X] notist við miðlægan hugbúnað sem geri það að verkum að allir tölvupóstar viðskiptavina fari í sameiginlega skrá og séu aðgengilegir öllum starfsmönnum. Þannig hafi starfsmenn fyrirtækisins, fimm talsins á þeim tíma er um ræði, getað skoðað tölvupósta hvers annars. Allir hafi starfsmennirnir verið meðvitaðir um þetta fyrirkomulag. Starfsmenn hafi jafnframt verið hvattir til að nota persónuleg netföng fyrir einkamálefni.

Loks barst Persónuvernd tölvupóstur frá fyrirsvarsmanni [X] þann 13. júní 2019 þar sem greint var frá því að kæra á hendur kvartanda hefði verið lögð fram hjá lögreglunni á höfuðborgarsvæðinu, enda hefði kvartandi farið með rangt mál í kvörtun til Persónuverndar. Jafnframt barst Persónuvernd tölvupóstur frá kvartanda þann 28. ágúst 2019 þar sem fram kom að félagið [X] hefði verið tekið til gjaldþrotaskipta.

II.

Forsendur og niðurstaða

1.

Gildissvið – Ábyrgðaraðili

Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.

Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar. Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.

Mál þetta lýtur annars vegar að miðlun símtalaskrár úr vinnusíma kvartanda til fyrrverandi eiginkonu kvartanda og hins vegar að framsendingu tölvupósta úr vinnutölvupósthólfi kvartanda og meðferð pósthólfsins að öðru leyti eftir starfslok hans hjá [X]. Með kvörtuninni lagði kvartandi fram afrit fyrrgreindrar símtalaskrár, þ.e. sundurliðaðs símreiknings fyrir tiltekið símanúmer, en nafn rétthafa símanúmersins birtist hvergi í skjalinu. Af bréfaskiptum er hins vegar ljóst að kvartandi hafði umrætt símanúmer til afnota sem starfsmaður [X]. Þykir því ljóst að [X] sé eða hafi verið rétthafi umrædds símanúmers. Þá hefur komið fram að starfsmenn fyrirtækisins hafi verið fimm á þeim tíma sem hér um ræðir. Verður því talið mögulegt að rekja gögn um notkun símanúmersins til kvartanda eins og hér háttar til. Er því um persónuupplýsingar að ræða í skilningi framangreindra lagaákvæða.

Að þessu virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar.

Eins og hér háttar til teljast [X] vera ábyrgðaraðili að umræddri vinnslu. Félagið [X] var úrskurðað gjaldþrota þann [dags.], eftir að atvik máls þessa áttu sér stað. Samkvæmt 3. mgr. 72. gr. laga nr. 21/1991 um gjaldþrotaskipti o.fl. nýtur þrotabú hæfis til að eiga og öðlast réttindi og hæfi þess til að bera og baka sér skyldur helst þar til skiptum þess lýkur endanlega eftir fyrirmælum laganna. Gjaldþrotaskiptum í þrotabúi [X] hefur ekki verið lokið við uppkvaðningu þessa úrskurðar. Tekur þrotabúið því við aðild félagsins að málinu fyrir Persónuvernd, enda verður ekki séð að önnur lagaákvæði komi í veg fyrir slíka aðild.

2.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018. Má þar nefna að vinna má með persónuupplýsingar hafi samþykkis verið aflað, sbr. 1. tölul. 1. mgr. þeirrar greinar, eða ef vinnsla er nauðsynleg til að gæta lögmætra hagsmuna, enda vegi grundvallarréttindi og frelsi hins skráða ekki þyngra, sbr. 6. tölul. sömu greinar.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (1. tölul.); að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul); og að þær skuli unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt (6. tölul.).

Auk framangreindra lagaákvæða gilda ákvæði reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, um tölvupóst og netnotkun.

2.1.

Miðlun símtalaskrár

Óumdeilt er að ábyrgðaraðili sendi símtalaskrá úr vinnusíma kvartanda með ábyrgðarpósti sem bar eftirfarandi póstáritun: „[B], b.t. [A], [heimilisfang]“. Ljósrit af umræddu umslagi fylgdi kvörtun til Persónuverndar og mátti þar meðal annars sjá númer sendingarinnar. Sé númerið slegið inn í þar til gerðan reit á vefsvæði Íslandspósts er unnt að sjá stöðu sendingar og tegund hennar. Framangreind sending er þar flokkuð sem „rekjanlegt bréf afhent skráðum viðtakanda“.

Í 4. mgr. 31. gr. laga nr. 19/2002 um póstþjónustu er kveðið á um að póstsendingu skuli dreift til eða afhent þeim aðila sem hún er stíluð á eða hefur umboð til viðtöku hennar. Af gögnum málsins er ljóst að [B] var skráður viðtakandi ábyrgðarbréfsins sem hafði að geyma fyrrnefnda símtalaskrá. Var því um miðlun persónupplýsinga að ræða í skilningi laga nr. 90/2018. Ekki verður séð að miðlunin geti stuðst við neina þeirra heimilda sem 1. mgr. 9. gr. laganna hefur að geyma, en af skýringum ábyrgðaraðila verður ekki ráðið hvers vegna símtalaskráin var send út. Með hliðsjón af því hvernig póstárituninni var háttað sem og fyrrnefndu ákvæði laga um póstþjónustu er það jafnframt mat Persónuverndar að áritun á bréfið um að það skyldi berast kvartanda hafi ekki nægt til að tryggja með fullnægjandi hætti að það bærist kvartanda sjálfum.

Með vísan til framangreinds er það mat Persónuverndar að miðlun símtalaskrárinnar til fyrrverandi eiginkonu kvartanda hafi ekki samrýmst ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.

2.2.

Meðferð tölvupósthólfs

Ljóst er af gögnum málsins og bréfaskiptum að forsvarsmaður ábyrgðaraðila framsendi tölvupósta úr vinnupósthólfi kvartanda eftir að sá síðarnefndi hætti störfum hjá ábyrgðaraðila. Enginn ágreiningur er um að umræddir tölvupóstar töldust til einkatölvupósts kvartanda. Umræddar póstsendingar áttu sér meðal annars stað dagana 13. og 14. desember 2018, eða rúmum þremur mánuðum eftir að kvartandi hætti störfum hjá ábyrgðaraðila. Í svörum ábyrgðaraðila kemur fram að starfsmenn hafi verið hvattir til að nota persónuleg netföng fyrir einkamálefni og að öllum hafi þeim verið kunnugt um að tölvupóstar þeirra væru vistaðir í miðlægu kerfi. Ábyrgðaraðili hefur ekki hafnað þeim fullyrðingum kvartanda að honum hafi ekki verið veitt færi á að vera viðstaddur skoðun tölvupóstsins.

Í 9. gr. reglna nr. 837/2006 er meðal annars kveðið á um að óheimilt sé að skoða einkatölvupóst nema brýna nauðsyn beri til, s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. Þá skal gæta þess að gera starfsmanni grein fyrir því að til standi að skoða tölvupósts- eða netnotkun áður en skoðunin fer fram auk þess sem veita skal starfsmanni færi á að vera viðstaddur slíka skoðun. Við starfslok skal starfsmanni einnig gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitanda, en loka skal pósthólfi eigi síðar en að tveimur vikum liðnum frá starfslokum. Loks skal ábyrgðaraðili að rafrænni vöktun veita fræðslu til þeirra sem sæta rafrænni vöktun samkvæmt 10. gr. reglna nr. 837/2006. Meðal þess sem upplýsa skal um er hvernig farið sé með einkatölvupóst og annan tölvupóst, en áður en reglum um slíkt er beitt skal kynna þær með sannanlegum hætti, s.s. við gerð ráðningarsamnings.

Af bréfaskiptum og gögnum málsins verður ekki ráðið að ábyrgðaraðili hafi farið að framangreindum ákvæðum reglna nr. 837/2006, hvorki að því er varðar skoðun tölvupósts kvartanda og meðferð pósthólfsins við starfslok né ákvæðum reglnanna um fræðslu- og upplýsingaskyldu. Þá hefur ábyrgðaraðili ekki sýnt fram á að grunur hafi verið uppi um brot kvartanda gegn trúnaðar- eða vinnuskyldum eða að kvartandi hefði ekki getað verið viðstaddur skoðun tölvupóstsins, t.d. vegna veikinda eða annarra sambærilegra atvika.

Með vísan til framangreinds er það mat Persónuverndar að meðferð tölvupósthólfs kvartanda eftir starfslok hans hjá [X] hafi ekki samrýmst ákvæðum reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

Í samræmi við þessa niðurstöðu, og með vísan til 6. og 7. tölul. 42. gr. laga nr. 90/2018, er hér með lagt fyrir þrotabú [X] að loka pósthólfi kvartanda. Skal staðfesting á því að farið hafi verið að þessum fyrirmælum berast Persónuvernd eigi síðar en 14. desember 2019.

Ú r s k u r ð a r o r ð:

Vinnsla [X] á persónuupplýsingum um [A] við miðlun símtalaskrár annars vegar og meðferð tölvupósthólfs hans eftir starfslok hins vegar samrýmdist ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglum nr. 897/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

Þrotabú [X] skal loka pósthólfi kvartanda og skal staðfesting þess efnis berast Persónuvernd eigi síðar en 14. desember 2019.

Í Persónuvernd, 20. nóvember 2019

Helga Þórisdóttir                                   Helga Sigríður Þórhallsdóttir