Úrlausnir

Framsending á tölvupósti

24.6.2010

Kvartað var til Persónuverndar vegna áframsendingar á tölvupósti starfsmanns eftir að hann lét af störfum. Pósturinn var þá fluttur sjálfkrafa í pósthólf annars manns. Það var gert án vitundar þess sem hafði látið af störfum (kvartanda).

Úrlausn Persónuverndar afmarkaðist við þá vinnslu sem fólst í framsendingu á tölvupóstinum. Ekki var fjalllað um síðari vinnslu ( skoðun á einstökum tölvupóstskeytum). Framsendingin var talin vinnsla í skilningi persónuverndarlaga. Sú vinnsla var ekki talin heimil.

Úrskurður

Þann 22. júní 2010 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2010/211.

I.

Grundvöllur máls

1.

Málavextir og bréfaskipti

Þann 24. febrúar 2010 barst Persónuvernd kvörtun M (hér eftir nefndur kvartandi), fyrrverandi [starfsmanns] Félags vélstjóra og málmtæknimanna (hér eftir nefnt VM). Kvartað er yfir að G, hafi skipað kerfisstjóra tölvukerfis VM að stilla kerfið þannig að allur póstur kvartanda, m.a. einkatölvupóstur, myndi sjálfkrafa flytjast í pósthólf G.

Með bréfi, dags. 15. mars 2010, kynnti Persónuvernd kvörtunina fyrir VM og bauð félaginu að koma fram með andmæli sín. Þá óskaði stofnunin eftir upplýsingum um málið. Var m.a. spurt hvort kvartanda hefði verið gert aðvart um framangreint.

Með tölvubréfi, dags. 26. mars 2010, óskaði J, lögmaður VM, eftir fresti til að svara stofnuninni. Sá frestur var veittur til 9. apríl 2010. Í svarbréfi VM, dags. 9. apríl 2010, kom síðan fram að kvartanda var sagt upp störfum þann 5. febrúar 2010. Kvartandi hefði áfram haft aðgang að tölvupóstfangi og tölvupósthólfi sínu svo hann hefði svigrúm til að koma persónulegum málefnum sínum, s.s. tölvupóstum, á hreint. Segir að ekki hafi verið ætlast til þess að kvartandi notaði tölvupóstfangið í einkaþágu. Þann 5. febrúar 2010 hafi hann fengið leyfi til að flytja tölvu VM heim til sín til að hreinsa hana af persónulegum gögnum. Hafi honum borið að skila tölvunni fyrir 1. mars 2010. Á fundi með starfsmönnum VM, þann 8. febrúar sl., hafi verið ákveðið hverjir skyldu taka við verkefnum kvartanda og ákveðið að tölvupóstum yrði framvegis beint til G. Nokkrum dögum síðar hafi ráðstafanir verið gerðar til að tryggja hagsmuni félagsins og forða því frá hugsanlegu tjóni og/eða öðrum spjöllum. Segir að kvartanda hafi mátt vera ljóst að þessi háttur yrði hafður á, þar sem tölvupóstur fráfarandi starfsmanna félagsins hefði um skamma hríð eftir starfslok verið sendur tímabundið á aðra starfsmenn á þeim tíma er kvartandi var við störf hjá VM. Segir að eingöngu þrír tölvupóstar til kvartanda hafi verið framsendir til G. Pósthólf kvartanda hafi ekki verið skoðað, hvorki fyrir né eftir starfslok hans. Þá segir:

Kvartandi hafði einn aðgang að pósthólfi sínu fram til 15. febrúar 2010, þegar lokað var fyrir þann aðgang. Hafði hann því ríflegt svigrúmt til að koma sínum persónulegu málefnum á hreint, þar með talið að prenta út, framsenda og/eða eyða einkatölvupóstum. Ljóst er að þetta hefur kvartandi gert en hann kom meðal annars á skrifstofu sína í þessum tilgangi, nokkrum dögum eftir undirritun starfslokasamningsins. Með vísan til þess er ljóst að VM hefur í öllu farið eftir skilmálum 1. ml. 4. mgr. 9. gr. reglna um rafræna vöktun, nr. 837/2006, þar sem segir að „við starfslok skal starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans“.“

Það liggur því fyrir að persónuvernd kvartanda eða trúnaður gagnvart honum hafi á engan hátt verið fyrir borð borinn. Framsending tölvupósta frá netfangi kvartanda til [G], um mjög skamman tíma, var gerð í málefnalegum tilgangi, með eins hóflegum hætti og mögulegt var og án þess að gengið væri á rétt kvartanda á einn eða annan hátt. Er því enginn fótur fyrir ávirðingum kvartanda í kvörtun hans til Persónuverndar.“

Með bréfi, dags. 21. apríl 2010, var kvartanda boðið að tjá sig um svarbréf lögmanns VM. Athugasemdir kvartanda bárust með tölvubréfi, dags. 4. maí sl., en þar segir m.a.:

Allir starfsmenn VM hafa notað tölvupóst sinn hjá VM sem persónulegan póst jafnframt því að sinna erindum fyrir VM. Engum datt í hug að farið yrði í póstinn eða honum framvísað annað enda hafði það aldrei verið gert og munu fyrrverandi formenn VM staðfesta það. [...] Það að ég eyddi pósti eða fengi tækifæri á því var aldrei rætt og því síður nefnt að til stæði að framvísa pósti sem stílaður var á mig annað. Turntölvuna fékk ég heim þar sem ég hafði mikið af upplýsingum í henni sem ég þurfti að nálgast til að aðstoða starfsmenn VM eftir að ég fór af skrifstofunni en þaðan vildi ég fara strax og mögulegt var vegna deilna við formann. Á fundinum sem vísað er til 8 febrúar 2010 var rætt um verkefni en ekki tölvupóst og mun starfsmaður VM staðfesta það ef mikið liggur við.“

Þá segir ennfremur í athugasemdum kvartanda að hann hafi frétt, að G hafi skipað umsjónarmanni tölvukerfis að framsenda póst sinn til G þegar hann mætti á skrifstofu VM eftir að hafa ekki fengið tölvupóst í fjóra daga. Þá segir kvartandi að honum hafi aldrei verið ljóst að farið yrði í pósthólf hans enda það verið gert heimildarlaust. Þá kemur að lokum fram að kvartandi hafi átt trúnaðarsamtöl og tölvusamskipti við félagsmenn og stjórnarmenn VM en kvartandi segir: „Auk þess er VM stéttarfélag mitt og ég hef fulla heimild til að ræða frammistöðu formanns VM við stjórnarmenn og félagsmenn. Félagið eru félagarnir og gagnvart þeim held ég trúnað og það að ræða frammistöðu formanns við stjórnarmenn sem til mín leituðu getur ekki talist undirróður eða óeðlileg samskipti eins og látið er að liggja“.

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

og skilgreining hugtaka

Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 gilda lög um persónuvernd og meðferð persónuupplýsinga um sérhverja rafræna vinnslu persónuupplýsinga. Persónuupplýsingar teljast vera sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Í tölvupóstskeytum sem send eru manna á milli eru persónuupplýsingar ef beint eða óbeint er hægt að rekja þau og/eða efni þeirra til tiltekins einstaklings eða tiltekinna einstaklinga. Vinnsla persónuupplýsinga er skilgreind sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, sbr. 2. tölul. 1. mgr. 2. gr. laga nr. 77/2000. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

Af framangreindu leiðir að sú aðgerð Félags vélstjóra og málmtæknimanna, að framsenda tölvupóst kvartanda í pósthólf annars manns, er vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Fellur málið þar með undir gildissvið þeirra laga, sem og valdsvið Persónuverndar, sbr. 37. gr. laganna.

2.

Lögmæti rafrænnar vöktunar

Framsnding á tölvupósti

2.1.

Hugtakið rafræn vöktun er skilgreint í 6. tölul. 2. gr. laga nr. 77/2000. Undir það fellur vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit. Til rafrænnar vöktunar telst m.a. tölvupóstvöktun sem fer fram með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupósta og tölvupóstkerfisnotkun einstakra starfsmanna. Þar undir falla einnig aðgerðir sem með beinum hætti tengjast og eru liður í þeirri vöktun, þ. á m. stillingar á því hvernig tölvupóstskeyti eru framsend. Sú aðgerð VM að stilla tölvukerfi félagsins þannig að allur póstur kvartanda, m.a. einkatölvupóstur, myndi sjálfkrafa framsendast í pósthólf G, var því liður í rafrænni vöktun í skilningi laganna.

Öll rafræn vöktun er háð því skilyrði að hún fari fram í málefnalegum tilgangi, sbr. 4. gr. laganna. Rafræn vöktun sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga þarf einnig, samkvæmt 2. mgr. 4. gr. laganna, að uppfylla önnur ákvæði laganna - þ. á m. um heimild til vinnslu samkvæmt 8. gr. Í því máli sem hér um ræðir var ekki fyrir hendi samþykki í skilningi 1. tölul. 1. mgr. 8. gr., þ.e. ekki var til staðar samþykki kvartanda fyrir því að tölvupóstur hans yrði framsendur. Þótt samþykki liggi ekki fyrir geta önnur skilyrði ákvæðisins verið uppfyllt. Í 7. tölulið segir að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg til að ábyrgðaraðili eða þriðji maður, eða aðili sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber lögum samkvæmt, vegi þyngra. Hér þarf og að uppfylla meginreglur 7. gr. sömu laga, m.a. um sanngirni og meðalhóf og að vinnsla sé með lögmætum hætti.

Úrlausn máls þessa verður afmörkuð við þá vinnslu sem fólst í framsendingu á tölvupósti kvartanda í pósthólf G, enda var hún forsenda síðari vinnslu s.s. skoðunar G á tölvupósti sem ætlaður var kvartanda. Sönnunarbyrði hvílir á VM sem ábyrgðaraðila um að sú vinnsla sem hann framkvæmdi hafi verið honum heimil. Af hálfu VM hafa ekki verið færð rök fyrir því að mat samkvæmt 7. tölulið 1. mgr. 8. gr. hafi farið fram og niðurstaða þess verið sú að hagsmunir félagsins af því að framsenda umræddan póst hafi vegið þyngra en hagsmunir hins skráða af því að það yrði ekki gert. Liggur því ekki fyrir að framsending á umræddum tölvupósti hafi verið félaginu heimil.

Ú r s k u r ð a r o r ð:

Framsending Félags vélstjóra og málmiðnaðarmanna á tölvupósti til M, fyrrverandi starfsmanns félagsins, í pósthólf G, var óheimil.

Var efnið hjálplegt? Nei