Meðferð tölvupósts
Persónuvernd hefur borist erindi A f.h. stéttarfélagsins B, dags. 21. desember sl., varðandi reglur og leiðbeiningar um öryggi í upplýsingatækni hjá D. Í erindinu er óskað álits á framangreindum reglum D frá 6. júlí 2005 og talið að meðalhófsreglu laga nr. 77/2000 og reglna nr. 888/2004 hafi ekki verið fylgt við gerð þeirra.
Í ljósi þess að enginn ágreiningur hefur skapast um vinnslu persónuupplýsinga í skilningi 2. mgr. 37. gr. laga nr. 77/2000 er ekki tilefni til þess að Persónuvernd taki efnislega afstöðu til málsins. Stofnunin mun hins vegar veita leiðbeiningar í samræmi við 5. tl. 3. mgr. 37. gr. laganna.
Tekið skal fram að reglur og leiðbeiningar D (hér eftir nefndar starfsreglur D) þurfa eftir atvikum að víkja fyrir settum lögum um meðferð persónuupplýsinga og reglum sem Persónuvernd hefur sett á grundvelli þeirra.
Í erindi A er sérstaklega vakin athygli á ákvæðum 3.2, 3.3 og 3.5.1 í reglunum. Hér að neðan verður sérstaklega vikið að þessum ákvæðum og veitt leiðsögn með hliðsjón af lögum og reglum um persónuvernd og meðferð persónuupplýsinga.
Í ákvæði 3.2 í starfsreglum D er fjallað um öryggisstaðla vegna notkunar á Internetinu og þar segir m.a.:
Í þessu sambandi má minna á reglur nr. 888/2004 um rafræna vöktun á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði (vöktunarreglur) sem voru settar í október 2004 og er m.a. ætlað að stuðla að því að jafnvægi ríki annars vegar á milli hagsmuna ábyrgðaraðila af því að tryggja öryggi og hafa eðlilegt eftirlit með þeim sem sæta rafrænni vöktun, m.a. með því hvernig sá hug- og vélbúnaður sem hann leggur til sé nýttur í þágu viðkomandi starfsemi, og hins vegar hagsmuna hinna skráðu af því að njóta eðlilegs einkalífsréttar, sbr. 1. gr. reglnanna. Í reglunum er þannig vikið að þeim meginreglum sem ábyrgðaraðili rafrænnar vöktunar þarf að horfa til við framkvæmd vöktunarinnar í starfsemi sinni. Tilvísun til reglna nr. 888/2004 er því æskileg í starfsreglum einstakra ábyrgðaraðila.
Samkvæmt ofangreindu þarf við vöktun á netnotkun starfsmanna að taka mið af ákvæðum reglna nr. 888/2004, sjá einkum 3.-5. og 7.-10. gr. þeirra.
Í framangreindu ákvæði 3.2 í leiðbeiningarreglum D er ekki skýrt kveðið á um netvöktun sem fram fer, eða kann að fara fram hjá D. Ef ætlunin er að vakta alla netnotkun notenda hjá D verður slíkt að koma skýrt fram. Ef ábyrgðaraðili áskilur sér rétt til að vakta netnotkun án þess að slík vöktun sé viðvarandi verður að kveða skýrt á um það hvernig slíkt verði framkvæmt. Ella er hvorki hægt að uppfylla ákvæði 7. gr. vöktunarreglnanna varðandi fræðsluskyldu ábyrgðaraðila né getur starfsmaður beitt andmælarétti sínum skv. 28. gr. laga nr. 77/2000.
Í ákvæðinu er einnig vikið að því að starfsmönnum sé heimil notkun Internetsins í einkaþágu en að henni skuli þó haldið í lágmarki. Að auki má gera ráð fyrir notkun Internetsins vegna vinnu starfsmanna. Í ljósi þess að aðgangur að óviðeigandi síðum er óheimill og að brot á reglunum geti talist brot í starfi skv. lögum nr. 70/1996 um réttindi og skyldur starfsmanna ríkisins, er æskilegt að í starfsreglunum sé að finna ákvæði sem taki til þeirra tilvika sem upp geta komið ef starfsmaður fer fyrir mistök inn á "óviðeigandi" síðum í skilningi reglnanna.
Persónuvernd vill því leiðbeina D um að vísa til ákvæða vöktunarreglna nr. 888/2004 í starfsreglum sínum. Að auki þarf að koma skýrt fram í starfsreglunum hvernig netvöktun verði framkvæmd ef henni er ekki ætlað að vera viðvarandi, enda verður ekki talið að vinnuveitandi geti hafið vöktun á netnotkun starfsmanns án þess að starfsmanni sé gert viðvart um slíkt, m.a. með þeirri fræðslu sem vöktunarreglurnar gera ráð fyrir. Einnig skortir ákvæði sem mælir fyrir um tiltekið verkferli þegar starfsmaður lendir fyrir mistök inn á "óviðeigandi" síðum í skilningi starfsreglnanna (sjá til hliðsjónar 3. mgr. 4. gr. vinnureglna starfsmanna Persónuverndar).
Í ákvæði 3.3 í starfsreglum D er fjallað um öryggisstaðla vegna notkunar á tölvupóstkerfum og þar segir m.a.:
Ekkert er í starfsreglunum fjallað um aðgreiningu milli einkatölvupósts og vinnutengds tölvupósts. Hins vegar er vísað til vinnureglna starfsmanna Persónuverndar varðandi skoðun tölvupósts.
Í ljósi þess að ekki er kveðið skýrt á um bann við að nota vinnunetfang til að senda einkatölvupóst myndi það teljast andstætt vöktunarreglum Persónuverndar að skilgreina fyrirfram allan tölvupóst sem sendur er inn í póstkerfi D sem eign stofnunarinnar. Einnig ber að taka mið af því að þrátt fyrir að slíkt bann sé sett þá girði það ekki eitt og sér fyrir að starfsmönnum kunni að berast tölvupóstur sem sé einkatölvupóstur. Það ræðst þannig af atvikum hverju sinni og efni viðkomandi tölvupósts hvernig heimilt er að fara með hann, t.d. hvort heimilt sé fyrir vinnuveitanda að skoða hann eða ekki.
Í 3. tl. 2. gr. vöktunarreglna Persónuverndar er hugtakið "einkatölvupóstur" skilgreint sem tölvupóstur sem sendur er eða móttekinn með vél- eða hugbúnaði ábyrgðaraðila, s.s. vinnuveitanda, en lýtur að einkamálefnum viðkomandi einstaklings og varðar hvorki hagsmuni ábyrgðaraðila né þá starfsemi sem hann rekur.
Um skoðun tölvupósts er fjallað í 5. gr. vöktunarreglna Persónuverndar. Þar er kveðið á um að óheimilt sé að skoða einkatölvupóst nema alveg brýna nauðsyn beri til s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. Að auki segir í ákvæðinu að þegar tölvupósts- eða netnotkun er skoðuð skal þess gætt að gera starfsmanni eða nemanda fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun sé þess nokkur kostur.
Persónuvernd vill aftur leiðbeina D um að vísa sérstaklega til vöktunarreglna nr. 888/2004 í þessum hluta starfsreglnanna, sbr. einkum varðandi skilgreiningu á hugtakinu "einkatölvupóstur" og sérákvæði um tölvupóst og netnotkun. Persónuvernd telur að það geti talist andstætt lögum og reglum að skilgreina fyrirfram allan tölvupóst sem sendur sé inn í tölvukerfi D sem eign stofnunarinnar með vísun til þeirra sjónarmiða sem áður eru rakin. Einnig er til bóta að tilgreina nánar þau einkanot sem starfsmanni eru heimil af vinnunetfangi. Vísast til 3. gr. vinnureglna starfsmanna Persónuverndar í þessu augnamiði.
Í fylgiskjali með erindi A er vikið að kafla 3.5 í starfsreglum D sem fjallar um öryggisstaðla vegna notkunar á vél- og hugbúnaði. Þar segir m.a. undir lið 3.5.1:
Hér þarf eftir sem áður að uppfylla lög og reglur um meðferð persónuupplýsinga. Æskilegt er einnig að fyrir hendi sé verkferli sem farið verði eftir við þessar aðstæður. T.d. að tiltekinn starfsmaður stofnunarinnar geti óskað aðstoðar tölvudeildar og að tölvudeildin viðhafi fyrirfram ákveðið verkferli hjá sér.
Eðli gagnanna skiptir höfuðmáli en sé um að ræða gögn sem hafa orðið til við rafræna vöktun hjá stofnuninni þarf eftir atvikum að uppfylla ákvæði laga nr. 77/2000 og reglna nr. 888/2004 við skoðun þeirra.
Ekki verður talið að fyrirfram skilgreint verkferli þurfi að koma fram í starfsreglum D eða að ákvæðið veiti víðtæka heimild til skoðunar einkatölvupósts eða netnotkunar viðkomandi starfsmanns, heldur skuli tiltekið ferli vera til staðar milli aðila, t.d. í vinnslusamningi þeirra (ef umsjón tölvukerfis er í höndum vinnsluaðila). Persónuvernd telur því að ekki þurfi að gera sérstakar athugasemdir við framangreint ákvæði starfsreglnanna heldur verði menn, hér sem endranær, að fara eftir þeim lögum og reglum sem gilda hverju sinni. Einkum þarf að líta til ákvæða vöktunarreglna Persónuverndar en einnig getur reynt á ákvæði annarra laga, t.d. ef um er að ræða einkagögn viðkomandi starfsmanns. Í þessu sambandi skal minnt á álit Persónuverndar frá 19. janúar sl. í máli nr. 2005/593.
Persónuvernd leiðbeinir D hér um að vísa til vöktunarreglna Persónuverndar í starfsreglum stofnunarinnar. Skýra þarf nánar hvernig framkvæmd netvöktunar sé háttað innan stofnunarinnar og veita fullnægjandi fræðslu um hana. Hvað varðar tölvupóstkerfi stofnunarinnar þá þarf að vísa með skýrum hætti í vöktunarreglur Persónuverndar sem hafa að geyma sérákvæði um tölvupóst, s.s. hvenær heimilt sé að skoða tölvupóst starfsmanna. Persónuvernd leiðbeinir D einnig um að nota ekki það viðmið að allur tölvupóstur sé eign stofnunarinnar.
Að lokum skal einnig bent á að vinnuveitandi getur ekki með eigin reglum takmarkað þau réttindi sem starfsmanni eru fengin í lögum og reglum um meðferð persónuupplýsinga.
Hér hafa verið veittar leiðbeiningar um þau ákvæði starfsreglna D sem vikið var að í erindi A. Í framangreindu felst ekki bindandi afstaða Persónuverndar til þeirra álitaefna sem kunna að rísa vegna starfsreglna D. Ef óskað er frekari leiðbeininga eða skýringa verða þær fúslega veittar.