Álit persónuverndar - Atvinnurekanda óheimilt að lesa tölvupóst.

16.1.2003

I.

Með bréfi, dags. 4. febrúar 2002, gerði Guðmundur B. Ólafsson, hdl., Persónuvernd grein fyrir því að skjólstæðingur hans, A, hefði höfðað mál gegn D til greiðslu vangoldinna launa í uppsagnarfresti. Kom fram að stefndi, D, hefði hafnað kröfum A á þeirri forsendu að hún hefði brotið trúnaðarskyldu gagnvart fyrirtækinu með því að vera í persónulegu sambandi við fyrrum vinnufélaga sinn, B, sem ræki eigin ráðningarskrifstofu. Því til staðfestingar hefði stefndi lagt fram útskrift af tölvupóstbréfum A og B, alls 158 tölvuskeyti. Var þess óskað að Persónuvernd mæti hvort meðferð D á tölvupóstbréfum A og B teldist vera brot á 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga eða öðrum ákvæðum laganna. Þá var þess krafist að beitt yrði ákvæði 42. gr. um refsingu ef ástæða þætti til. Erindinu fylgdi afrit af stefnu A, sem lögð hafði verið fram í Héraðsdómi Reykjavíkur 4. september 2001, afrit af greinargerð stefnda (D) sem lögð var fram í Héraðsdómi Reykjavíkur 16. október 2001, auk afrita af umræddum tölvupóstbréfum.

Gögn málsins bera með sér að A hóf störf hjá D þann 16. ágúst 2000 sem ráðningarfulltrúi. Hjá fyrirtækinu starfaði þá einnig nefnd B en hún hætti störfum í lok ársins 2000 og stofnaði eigið ráðningarþjónustufyrirtæki. Með bréfi, dags. 14. maí 2001, var A sagt upp störfum hjá fyrirtækinu. Í uppsagnarbréfinu var tilgreint að uppsagnarfrestur væri þrír mánuðir og að ekki væri krafist vinnuframlags á uppsagnartíma. A fékk greidd laun fyrir maímánuð en eftir það féllu launagreiðslur niður.

Að fengnu framangreindu erindi Guðmundar B. Ólafssonar hdl. kynnti Persónuvernd það fyrir D með bréfi dags. 7. febrúar 2002 og spurði um afstöðu fyrirtækisins til þess. Jafnframt var óskað upplýsinga um hvort D hefði mótað reglur eða sett sér stefnu um notkun starfsmanna á tölvu- og hugbúnaði fyrirtækisins til einkanota, þ.m.t. til einkatölvupóstsendinga, og tekið fram að þá væri óskað afrits af þeim reglum/stefnu.

Svar D barst með bréfi Braga Björnssonar, hdl., dags. 21. mars 2002. Því fylgdi afrit af tölvupósti stjórnarformanns til allra starfsmanna D og afrit af ráðningarsamningi málsaðila.

Með bréfi, dags. 2. apríl 2002, kynnti Persónuvernd Guðmundi B. Ólafssyni, hdl., þessi gögn og gaf honum kost á að koma að athugasemdum. Með vísan þess að ágeiningur aðila var þá til lögmætrar meðferðar fyrir dómstóli, og enn lá ekki fyrir hvort dómstóllinn myndi taka efnislega afstöðu til þess að hvaða marki umrædd tölvuskeyti hefðu átt að njóta einkalífsverndar, ákvað Persónuvernd hins vegar að aðhafast ekki frekar í málinu fyrr en dómur og lægi fyrir. Persónuvernd gerði málsaðilum grein fyrir þessari ákvörðun, með bréfi dags. 10. maí 2002.

Þann 5. júní 2002 gekk dómur í Héraðsdómi Reykjavíkur í máli aðila. Þar var ekki fallist á þá málsástæðu D að A hefði fyrirgert rétti sínum til frekari launa með broti á ákvæði í ráðningarsamningi aðila um þagnar- og trúnaðarskyldu en ekki var hins vegar tekin efnisleg afstaða til þess hvort og þá að hvaða marki umrædd tölvusamskipti hafi átt að njóta einkalífsverndar. Í dóminum segir hins vegar:

"... Stefnandi og vitnið, B, báru báðar fyrir dómi, að með þeim hefði tekist góð vinátta, meðan þær störfuðu saman í fyrirtæki stefnda, og hefði sú vinátta haldist, eftir að B hætti störfum þar, og næðu samskipti þeirra út yfir vinnutíma.
Til stuðnings fullyrðingum sínum um trúnaðarbrot hefur stefndi lagt fram í málinu hátt á annað hundrað tölvuútskriftir af bréfasamskiptum stefnanda og B. Fyrir dómi gat stefnandi þó ekki bent á nema 5 bréf úr þeim bunka, ..., sem hann taldi innihalda brot á trúnaði. Önnur bréf snúast um persónuleg málefni viðkomandi bréfritara og snerta ekki deiluefni þessa máls. Ber að átelja slíka gagnaframlagningu."

Þegar framangreindur dómur var fallinn barst Persónuvernd bréf Guðmundur B. Ólafsson hdl., dags. 17. júlí 2002, þar sem hann ítrekaði ósk sína um afstöðu Persónuverndar. Var þá ákveðið að taka upp þráðinn og var Braga Björnssyni, lögmanni D, kynnt málið með bréfi Persónuverndar, dags. 7. ágúst 2002. Hann svaraði með bréfi dags. 14. október. Var Guðmundi með bréfi dags. 21. október sent bréf Braga til kynningar. Er svarbréf Guðmundar dags. 29. nóvember 2002.

II.

Eins og að framan greinir hefur verið óskað álits Persónuverndar á því hvort að D hafi, með því að skoða tölvupóstsamskipti A og B, og nota þau í dómsmáli, brotið gegn ákvæðum 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, eða öðrum ákvæðum laganna.

Hafa lögmenn beggja aðila máls þessa, í framangreindum bréfum, gert grein fyrir viðhorfum sínum til málsins og verða þau rakin hér á eftir:

1.

Guðmundur B. Ólafsson, lögmaður A, bendir í bréfi sínu, dags. 17. júlí sl., á að í einkamáli aðila um rétt A til greiðslu launa í uppsagnarfresti hafi því verið hafnað að tölvupóstsamskipti hennar og fyrrverandi starfsmanns, sem nú starfi hjá eigin ráðningarfyrirtæki, væri brot á ákvæði ráðningarsamnings aðila um þagnarskyldu og trúnað. Þá bendir lögmaðurinn á að undir rekstri málsins hafi báðir málsaðilar gefið skýrslu fyrir dómi. Í framburði A komi skýrt fram að hún hafi aldrei verið upplýst um að henni væri óheimilt að nota tölvupóst til einkanota. Af svörum hennar megi einnig ráða að lykilorð starfsmanna hafi veitt aðgang að netfangi starfsmanna en önnur skjöl hafi verið í opinni skrá. Hún hafi litið svo á að aðrir starfsmenn hafi ekki haft leyfi til að skoða hennar póst. Fram komi einnig að a.m.k. einu sinni hafi verið óskað eftir því við starfsmenn að þeir léttu af sameiginlegum netþjóni með því að eyða persónulegum gögnum úr tölvupósti. Vitneskja um persónulega notkun hafi því legið fyrir. Í framburði stefnda fyrir dómi komi fram að aldrei hafi verið settar reglur um notkun tölvupósts, hvorki munnlegar né skriflegar, og að honum hafi verið kunnugt um persónulega notkun starfsmanna á tölvupóstkerfi fyrirtækisins. Stefndi hafi vitað strax í apríl af ofangreindum tölvusamskiptum og þá þegar skoðað tölvupóst A. Þær fullyrðingar lögmanns D í bréfi hans dags. 21. mars sl. þess efnis að brýnt hafi verið fyrir starfsmönnum að nota netföng einungis í þágu fyrirtækisins eigi því ekki við rök að styðjast.

Þá segir:
"Ástæða kvörtunar til Persónuverndar byggist á því að með skoðun á persónulegum tölvupóstsendingum starfsmanns og tölvupóstsendingum sem starfsmanninum berast sé brotið gegn meginreglum laga um persónuvernd en þau lög byggja m.a. á ákvæðum stjórnarskrár um friðhelgi einkalífs sem einnig er verndað í almennum hegningarlögum er segir það sé refsivert að hnýsast í persónuleg bréf einstaklinga sbr. 228. gr. hegningarlaga.

Tölvupóstur er ný tegund samskipta, sem veitir vinnuveitanda ekki ríkari rétt en hann hafði áður til að hnýsast í einkamál starfsmanna. Áður var sími meira notaður og þó svo að símtækið væri eign vinnuveitanda veitti það honum ekki heimild til hlerunar á símtölum. Ennfremur hafði hann ekki heimild til skoðunar á persónulegum bréfum eða munum starfsmanna þó þeir væru á vinnustað. Sú fullyrðing lögmanns D að vinnuveitandi hafi fullan rétt á að skoða allan tölvupóst nema hann sé sérstaklega merktur er harðlega mótmælt. Þó svo að tölvupóstur sé merktur fyrirtæki og fari í gegnum netþjón þess, þá er hann sérmerktur starfsmanni og efni hans því beint til starfsmannsins. Ef vinnuveitandi telur þörf á að komast í tölvupóst starfsmanna þá þurfa að liggja fyrir skýrar reglur og vitneskja starfsmanna um slíkt. Reglurnar þurfa jafnframt að tilgreina í hvaða tilfellum skoðun geti farið fram, hver sjái um framkvæmd og tryggt að ekki sé um geðþótta ákvarðanir að ræða. Einnig verður að liggja fyrir að starfsmanni gefist kostur á að vera viðstaddur slíka skoðun. Hér er um að ræða undantekningareglur sem geta einungis komið til að um mjög brýna nauðsyn sé að ræða eða grunur er um refisverða háttsemi.

Ef reglur liggja ekki fyrir getur vinnuveitandi ekki undir neinum kringumstæðum skoðað slíkan póst, og öll skoðun verður að teljast brot á ákvæðum laga um persónuvernd. Önnur niðurstaða mundi skapa mikla réttaróvissu og óöryggi gagnvart öllum launþegum og opna á gríðarlega misnotkun, enda ómögulegt fyrir launþega að fylgjast með hvort tölvupóstur hafi verið skoðaður. Það er því gífurlegt hagsmunamál fyrir launþega að það liggi skýrt fyrir af hálfu Persónuverndar að skoðun tölvupósts starfsmanna sé óheimil. Önnur niðurstaða veitir vinnuveitendum sem stjórna tölvubúnaði fyrirtækja ótakmarkaðan aðgang að persónulegum upplýsingum um starfsmenn sína og opnar ótakmarkaða möguleika á persónunjósnum.

Hér er um mikið hagsmunamál fyrir launþega að ræða eins og sést best í þessu máli. C lýsir því yfir fyrir dómi að hann hafi einungis skoðað tölvupóst til samkeppnisaðila og neitar að hafa skoðað annan póst, en ástæða skoðunar hafi verið vegna viðgerðar á netþjóni í apríl. Síðar viðurkennir hann að hafa skoðað tölvupóst starfsmanns síns til Verzlunarmannafélags Reykjavíkur sem dagsettur er 14. maí, dómskjal nr. 21. Eftir slíkan framburð trúir því ekki nokkur maður að hann hafi ekki skoðað allan tölvupóst starfsmanna sinna bæði fyrir og eftir apríl 2001 og ekki verður séð að um málefnalega ástæðu sé að ræða við skoðun á tölvupósti starfsmannsins. Upplýsingar um stéttarfélagsaðild og fl. teljast til viðkvæmra persónuupplýsinga og hljóta því öll samskipti við stéttarfélög að teljast einnig til slíkra upplýsinga. Slíkt gefur ríkara tilefni til að telja að skoðun vinnuveitanda á tölvupósti sem getur innihaldið samskipti við stéttarfélagið teljist brot á meðferð persónuupplýsinga."

Ítrekar lögmaðurinn að lokum að um mjög fordæmisgefandi mál sé að ræða gagnvart öllum launþegum. Fyrir liggi að tölvupóstur hafi verið skoðaður án þess að reglur lægju fyrir um meðferð slíks tölvupósts. Með því hafi verið brotið gegn ákvæðum laga um persónuvernd, friðhelgi einkalífs, sem og ýmsum öðrum lagaákvæðum s.s. almennum hegningalögum og lögum um fjarskipti.

2.

Bragi Björnsson, lögmaður D, vísar í bréfum sínum dags. 21. mars og 14. október 2002 til þess að samkvæmt 10. gr. í ráðningarsamningi aðila séu öll gögn, í hvaða formi sem þau kunna að vera, sem starfsmaður aflar sér eða kemst yfir í starfi sínu, eign vinnuveitanda og skuli skilin eftir á vinnustað. Ákvæðið taki að sjálfsögðu til allra tölvupóstsendinga sem fari um tölvur fyrirtækisins á vinnutíma, enda séu þær merktar fyrirtækinu og/eða send á tölvupóstfang þess. Því hafi ekki þótt ástæða til að setja skriflegar reglur um meðferð tölvupósts en munnlega hafi verið brýnt fyrir starfsfólki að tölvur, hugbúnaður og netföng væru eign fyrirtækisins og skuli einungis notað í þágu þess. Umrædd tölvuskeyti hafi hvorki verið sérstaklega merkt sem einkamál né vistuð á sérstakan hátt sem gefið gæti til kynna að um einkatölvupóst væri að ræða. Þvert á móti hafi þau verið send á samkeppnisaðila og því eðlilegt að ætla að hann tengdist starfi viðkomandi. Hyggist starfsmaður nota tölvubúnað vinnuveitanda til einkatölvupóstsendinga og vilji ekki að vinnuveitandi skoði þann póst, verði hann að skrá á sig sérstakt tölvupóstfang sem ekki sé auðkennt vinnuveitanda eða viðkomandi fyrirtæki. Geri hann það ekki, hafi vinnuveitendi fullan rétt á að kynna sér efni allra tölvupóstsendinga. Á vinnustaðnum séu margar samtengdar tölvur og með því að slá inn sitt lykilorð geti starfsmenn notað hvaða tölvu sem er. Starfsmenn hafi haft aðgang að öllum gögnum og lykilorð starfsmanna verið geymd á tilteknum stað sem væri öllum aðgengilegur. Í framburði C fyrir dómi komi fram að honum hafi ekki verið kunnugt um persónulega notkun starfsmanna á tölvupósti nema í mjög litlum mæli. Þrátt fyrir að slík einkanot hafi ekki verið heimil, hafi ekki þótt ástæða til að banna notkunina. Þá vísar lögmaðurinn til framburðar A fyrir dómi og segir svo í bréfi sínu dags. 14. október 2002:

"Í umræddum framburði A kom skýrlega fram að henni var kunnugt um að allir starfsmenn höfðu aðgang að lykilorði annarra starfsmanna sem veitti aðgang að öllum gögnum sem viðkomandi starfsmaður hafði með að gera, þ.m.t. tölvupósti. Það er því rangt sem lögmaður Verzlunarmannafélags Reykjavíkur, telur sig geta lesið úr yfirheyrslunum að lykilorðið væri einungis til aðgreiningar á tölvupósti starfsmanna. Í þessu sambandi er vert að benda á að starf ráðningarfulltrúa fer fram að mestu með tölvupóstsamskiptum, svo að það eitt gerir það nauðsynlegt að allir starfsmenn hafi aðgang að tölvupóstsamskiptum annarra starfsmanna hjá umbjóðanda mínum. ...

Það að tölvupóstur sé sendur á netfang sem er auðkennt ákveðnu fyrirtæki bendir til þess að skeytið sé sent viðtakanda sem starfsmanni fyrirtækisins og sem slíkt tengist starfi hans. Það veitir öðrum starfsmönnum fulla heimild til að skoða slíkan póst enda sé skeytið ekki auðkennt sérstaklega sem einkamál. Frá ómuna tíð hefur það tíðkast að þegar send eru bréf til aðila á vinnustað hans, sem varða persónuleg málefni en ekki starf hans, að merkja þau sérstaklega sem einkamál. Það sama gildir um tölvuskeyti, persónuleg skeyti ber að merkja sem slík. Það var ekki reyndin með þau skeyti sem hér eru til umfjöllunar.

Allar hugleiðingar lögmanns Verzlunarmannafélags Reykjavíkur um að vinnuveitendur verði að setja ákveðnar reglur um skoðun á tölvupósti starfsmanna eiga því ekki við í þessu tilfelli enda verður að telja að framangreind ákvæði í ráðningasamningi heimili vinnuveitanda að skoða tölvupóstsamskipti starfsmanna. Ekki þykir því ástæða til að fjalla frekar um þann rökstuðning lögmannsins."

Er harðlega mótmælt "þeim dylgjum lögmanns Verslunarmannafélags Reykjavíkur þar sem hann ber þær þungu sakir á C að hann hafi sagt ósatt fyrir dómi, sem órökstuddum ...." Þá ítrekar lögmaðurinn að umrædd tölvuskeyti hafi komið fram við hefðbundið viðhald og viðgerð á tölvukerfi fyrirtækisins ekki við eftirlit eða vöktun á tölvupósti starfsmanna. Þau hafi verið lögð fram sem dómskjal en þeim hvorki verið dreift né upplýsingar verið unnar úr þeim um A sem einstakling. Einungis hafi verið vakin athygli á þeim skeytum sem bentu til þess að hún hefði brotið ákvæði ráðningarsamnings um þagnar- og trúnaðarskyldu og til að sýna fram á þau miklu samskipti sem hún átti við samkeppnisaðila. Verði því ekki séð að um hafi verið að ræða vinnslu persónuupplýsinga í skilningi laga um persónuvernd og meðferð persónuupplýsinga og enn síður að meðferð umræddra skeyta brjóti í bága við 7. gr. laganna.

III.
Niðurstaða
1.

Við afgreiðslu máls þessa er fyrst til úrlausnar hvort um hafi verið að ræða vinnslu persónuupplýsinga í skilningi laga um persónuvernd og meðferð persónuupplýsinga, en af hálfu lögmanns D hefur því verið haldið fram að svo sé ekki.

Hér verður að líta til þess hvernig hugtökin persónuupplýsingar og vinnsla eru skilgreind í 1. og 2. tl. 2. gr. laga nr. 77/2000.

Í 1. tl. 2. gr. laga nr. 77/2000 er hugtakið persónuupplýsingar skilgreint sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Af umræddum skeytum má glöggt ráða hvaða einstaklingar áttu hlut að máli, hver var sendandi og hver var viðtakandi. Að því virtu, og í ljósi þess að hverjum þeim sem opnaði skeytin og las mátti vera ljóst að um einkapóst var að ræða, er ljóst að um er að ræða persónuupplýsingar í skilningi laga nr. 77/2000. Breytir hér engu hvort A hafði sérstaklega merkt skeytin sem einkagögn hennar eða ekki, hvort hún hélt þeim aðgreindum frá öðrum gögnum eða hvort að til aðgangs að þeim þurfti sérstakt lykilorð eða ekki.

Í 2. tl. 2. gr. laga nr. 77/2000 er hugtakið vinnsla skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn. Í greinargerð með lögunum kemur fram að með vinnslu sé átt við söfnun og skráningu persónuupplýsinga og undir það falli m.a. flokkun, varðveisla, breyting, leit, miðlun, samtenging og hver sú aðferð sem nota má til að gera upplýsingar tiltækar. Þá kemur fram í greinargerð að framangreint ákvæði innleiði ákvæði b-liðar 2. gr. tilskipunar ESB, nr. 95/46/EB, en þar segir að "vinnsla persónuupplýsinga" ("vinnsla") sé: aðgerð eða röð aðgerða, rafrænna eða annarra en rafrænna, svo sem söfnun, skráning, kerfisbinding, geymsla, aðlögun eða breyting, heimt, leit, notkun, miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, samantenging eða samkeyrsla, aðgangstakmörkun, afmáun eða eyðilegging. Með hliðsjón af framangreindu og að virtum ákvæðum 2., 4., 12. 14., 15., 26. og 27. gr. í formálskafla framangreindrar tilskipunar verður að hafna því sjónarmiði lögmanns D að ekki sé um vinnslu í lagaskilningi að ræða. Breytir hér engu hvort umrædd tölvuskeyti hafi komið fram við hefðbundið viðhald og viðgerð á tölvukerfi fyrirtækisins, en ekki við eftirlit eða vöktun á tölvupósti starfsmanna, eða að þau verið lögð fram sem dómskjal en þeim hvorki verið dreift né upplýsingar verið unnar úr þeim um A sem einstakling.

Með vísun til framangreinds telst sú aðgerð D að skoða tölvupóstsamskipti A og B, og nota þau í dómsmáli, hafa verið vinnsla persónuupplýsinga í skilningi laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

 

2.

Er þá næst til skoðunar hvort framangreind vinnsla persónuupplýsinga hafi farið í bága við ákvæði 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga (pul.), eða önnur ákvæði laganna.

Í 1. mgr. 8. gr. pul. er kveðið á um almennar heimildir fyrir vinnslu persónuupplýsinga og þarf eitt þeirra skilyrða sem þar eru tilgreind að vera uppfyllt til að vinnsla persónuupplýsinga sé heimil. Ef um er að ræða viðkvæmar persónuupplýsingar, sbr. 8. tl. 2. gr., þarf vinnsla jafnframt að eiga sér stoð í einhverju þeirra skilyrða sem kveðið er á um í 1. mgr. 9. gr. Þegar eitthvert skilyrða 9. og/eða 8. gr. telst vera uppfyllt er um að ræða heimila vinnslu persónuupplýsinga, enda uppfylli hún ennfremur ákvæði 7. gr. laganna.

Þau ákvæði 8. gr. pul. sem helst koma til skoðunar, að mati Persónuverndar, eru ákvæði 7. tl. fram um að vinnsla geti verið heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra. Þá ber og að líta til 9. gr. pul. þar sem segir segir að vinnsla viðkvæmra persónuupplýsinga geti verið heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja.

Eins og áður segir þarf vinnsla sem uppfyllir eitthvert skilyrða 9. og/eða 8. gr. ennfremur að vera í samræmi við ákvæði 7. gr. laganna. Meginreglur 1.–3. tölul. 1. mgr. 7. gr., eru þessar: Persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti (1. tölul.), þær skulu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi (2. tölul.) og þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.). Til samans fela þessar reglur í sér þá meðalhófsreglu að ekki skal unnið með persónuupplýsingar nema á því sé þörf og að vinnslan skuli vera málefnaleg.

Við mat á því hvort unnið hafi verið í samræmi við þessa meginreglu verður m.a. að líta til þess sem fram kemur í dómi Héraðsdóms Reykjavíkur, uppkveðnum 5. júní 2002, um að af hátt á annað hundrað tölvuskeytum sem skoðuð voru og lögð fram, hafi C, stjórnarformaður D, einungis getað bent á 5 tölvuskeyti sem hann taldi innihalda brot á trúnaði, þ.e. vörðuðu að hans mati starfsemi fyrirtækisins. Önnur skeyti vörðuðu einkamálefni A og B. Hlaut hverjum þeim sem skoðaði skeytin að hafa mjög fljótlega ljóst við lestur þeirra að um einkabréf væri að ræða. Þrátt fyrir það hélt hann áfram og kynnti hann sér öll tölvusamskipti A og vinkonu hennar. Að mati Persónuverndar hefði hann hins vegar átt að stöðva þessa vinnslu um leið og ljóst var að um einkamálefni var að ræða og eyða þeim skeytum sem þá þegar höfðu verið skoðuð. Er það mat Persónuverndar að með því að halda áfram að skoða umrædd einkabréf og leggja þau síðar fram í dómsmáli hafi verið farið gegn meginreglum 7. gr. pul.

Framangreint mat Persónuverndar byggir í fyrsta lagi á því að ekki verður séð að skoðun umræddra einkaskeyta hafi átt sér slíkan tilgang er greinir í 2. tl. 7. gr. pul., en þar segir að öll vinnsla persónuupplýsinga skuli fara fram í yfirlýstum, skýrum og málefnalegum tilgangi. Í öðru lagi byggir matið á því að verður séð að unnið hafi verið í samræmi við ákvæði 3. tl. 7. gr. um að aðeins skuli nota nægilegar og viðeigandi persónuupplýsingar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Framangreind ákvæði ber að túlka í ljósi ákvæðis 1. gr. pul. þar sem fram kemur að markmið laganna sé m.a. að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs. Í 71. gr. stjórnarskrárinnar nr. 33/1944, sbr. breytingalög nr. 97/1995, er mælt fyrir friðhelgi einkalífs. Þar segir að allir skuli njóta friðhelgi einkalífs, heimilis og fjölskyldu, og að ekki megi gera rannsókn á skjölum og póstsendingum, símtölum og öðrum fjarskiptum, né gera aðra sambærilega skerðingu á einkalífi manns nema samkvæmt dómsúrskurði eða sérstakri lagaheimild. Um þann rétt er jafnframt vísað til 8. gr. Mannréttindasáttmála Evrópu en sáttmálinn var lögleiddur hér á landi með lögum nr. 62/1994. Er sérstaklega tekið fram í 1. mgr. 8. gr. hans að einkalífsverndin taki til bréfaskipta manna. Verður ekki talið að ákvæði í ráðningarsamningi aðila þess efnis að öll gögn séu eign fyrirtækisins upphefji þann stjórnarskrárbundna rétt starfsmanns til að njóta friðhelgi um einkamálefni sín sem kveðið er á um í 71. gr. stjórnarskrárinnar og 8. gr. Mannréttindasáttmála Evrópu. Einnig byggir framangreint mat Persónuverndar á þeirri röksemd að telja verður það til góðra vinnsluhátta vinnuveitanda að gefa starfsmönnum kost á að eyða einkatölvupósti við starfslok. Má hér minna á leiðbeinandi reglur Persónuverndar um eftirlit vinnuveitenda með tölvupósts- og netnotkun starfsmanna, reglur nr. 1001/2001, en markmið þeirra er einkum það að veita leiðsögn um það hvernig og hvenær vinnuveitendur megi vakta tölvupósts- og netnotkun starfsmanna.

 

3.

Við úrlausn máls þessa þarf í þriðja lagi að taka afstöðu til óskar lögmanns A um að beitt verði ákvæði 42. gr. um refsingu. Eins og framan segir lítur Persónuvernd svo á að með því að halda áfram að skoða umrædd einkabréf og leggja þau síðar fram í dómsmáli hafi verið farið gegn meginreglum 7. gr. pul. Hins vegar telur Persónuvernd ekki vera efni til þess að hún fyrir sitt leyti geri reka að því að beitt verði ákvæði refsiákvæði 42. gr. pul.

Framangreind afstaða Persónuverndar byggir m.a. á því að hér er um nýtt svið að ræða, og að enn hefur ekki náð almennri fótfestu í hugum manna hvernig þar skuli bera sig að. Þá hefur og verið litið til þess að umrædd tölvusamskipti fóru um tölvukerfi D, þegar A var starfsmaður þar, og engar skýrar reglur lágu þá fyrir þar um notkun kerfisins fyrir einkatölvupósts. Fullyrt hefur verið af hálfu lögmanns D að öll einkaafnot af tölvubúnaði fyrirtækisins hafi verið bönnuð. Þessi fullyrðing stendur enda þótt C, stjórnarformaður fyrirtækisins, hafi viðurkennt fyrir dómi að honum hafi verið kunnugt um og látið óátalið að einhver einkanot ættu sér stað. Þá verður jafnframt að taka mið af því að umrædd einkatölvuskeyti voru á engan hátt aðgreind frá öðrum tölvuskeytum eða öðrum gögnum sem A vann með. Þegar svo háttar til getur komið til þess að lögbundinn réttur starfsmanns til að njóta friðhelgi um einkamálefni sín á vinnustað sæti skerðingu að því marki sem atvinnurekanda er nauðsynleg til verndar lögmætum hagsmunum sínum, þ.m.t. vegna hefðbundins eftirlits hans og viðhalds með eignum sínum. Þá ber og að taka mið af því að um var að ræða allmikil samskipti um búnað atvinnurekanda við samkeppnisaðila.