Umsagnir
Tölvunotkunarreglur Akureyrarbæjar
Persónuvernd hefur veitt umsögn um tölvunotkunarreglur Akureyrarbæjar. Í umsögninni kemur m.a fram að bænum sé óheimilt að skoða gögn um netnotkun einstakra starfsmanna sinna nema fyrir liggi rökstuddur grunur um misnotkun.
Umsögn um reglur Akureyrarbæjar um tölvunotkun o.þ.h.
Hinn 17. ágúst 2011 fjallaði stjórn Persónuverndar um mál nr. 2011/548 og samþykkti að veita svofellda umsögn:
I.
Erindi bæjarlögmanns Akureyrar
Persónuvernd barst erindi bæjarlögmanns Akureyrar, dags. 28. apríl 2011, þar sem óskað var eftir áliti Persónuverndar um hvort ekki sé óheimilt að mæla, finna eða leita eftir niðurhali niður á tilteknar tölvur/starfsmanna, nema grunur sé um misnotkun.
Tekið er fram að eftirfarandi svar Persónuverndar hefur að geyma almennt álit.Það er veitt í samræmi við 6. tölulið 3. mgr. 37. gr. laga nr. 77/2000. Berist Persónuvernd kvörtun frá einstaklingi yfir að netnotkun hans hafi verið skoðuð í andstöðu við lög, og fyrir liggi ágreiningur um að það hafi verið það heimilt, getur hins vegar komið til þess að Persónuvernd kveði upp úrskurð, í ljósi atvika í því máli.
II.
Svar Persónuverndar
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.
Skoðun á netnotkun starfsmanns er þar af leiðandi vinnsla persónuupplýsinga. Skoðunin fer fram með tölvubúnaði og telst því vera rafræn vinnsla sem fellur undir lög nr. 77/2000. Heyrir erindi þetta þar með undir verkefnasvið Persónuverndar, sbr. 37. gr. laganna.
2.
Svo að vinna megi með almennar persónuupplýsingar, s.s. um netnotkun manna, þarf ávallt að fullnægja einhverju skilyrðanna í 8. gr. laga nr. 77/2000.
Vinnsla er ávallt heimil ef hinn skráði veitir samþykki sitt fyrir henni, sbr. 1. tölul. 1. mgr. 8. gr. Slíkt samþykki þarf þá að vera ótvírætt. Þá er ábyrgðaraðila heimilt að vinna með persónuupplýsingar sé það nauðsynlegt til að geta gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra, sbr. 7. tölul. 1. mgr. 8. gr. Ábyrgðaraðila gæti því verið heimilt að skoða netnotkun starfsmanns, s.s. gagnamagn, ef grunur liggur fyrir um misnotkun eða að kerfi sé sýkt af tölvuvírus eða tölvuormi.
Með vísan til framangreinds gæti vinnuveitanda, í þessu tilfelli Akureyrarbæ, verið heimilt að skoða gagnamagn starfsmanns ef grunur leikur á um misnotkun af hans hálfu eða að tölvubúnaður hans sé „sýktur.“
3.
Um rafræna vöktun gilda, auk laga nr. 77/2000, reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Í 2. mgr. 9. gr. reglnanna kemur fram að óheimilt sé að skoða upplýsingar um gagnamagn starfsmanns nema það liggi fyrir rökstuddur grunur um að hann hafi brotið gegn gildandi lögum og reglum eða fyrirmælum vinnuveitanda. Þá segir einnig í málsgreininni að sé tilefni skoðunar grunur um refsiverðan verknað skuli óska atbeina lögreglu.
Samkvæmt 3. mgr. 9. gr. sömu reglna skal gera starfsmanni fyrst grein fyrir því, þegar tölvupósts- eða netnotkun er skoðuð, og veita honum færi á að vera viðstaddur slíka skoðun. Undanþága er veitt í sömu málsgrein ef þess er enginn kostur, s.s. vegna alvarlegra veikinda starfsmanns en þá skal veita honum færi á að tilnefna annan mann í sinn stað.
Akureyrarbær hefur sett reglur um tölvunotkun. Í 2. mgr. 6. gr. reglnanna segir að óheimilt sé að skoða netvafur einstakra starfsmanna nema fyrir liggi rökstuddur grunur um að brotið hafi verið gegn gildandi lögum og reglum eða fyrirmælum umsjónarmanns tölvukerfa.
Af framangreindu er ljóst að Akureyrarbæ er - að óbreyttum þeim reglum sem hann hefur sjálfur sett - óheimilt að skoða gagnamagn starfsmanns nema fyrir liggi rökstuddur grunur um misnotkun, s.s. að hann hafi brotið gegn gildandi lögum og reglum eða fyrirmælum vinnuveitanda. Ef slíkt tilvik kemur upp ber Akureyrarbæ þó að veita starfsmanni færi á að vera viðstaddur skoðunina og ef hann getur það ekki þá ber að veita honum færi á að tilnefna annan mann í sinn stað.
4.
Akureyrarbæ er óheimilt að skoða gagnamagn einstakra starfsmanna sinna nema fyrir liggi rökstuddur grunur um misnotkun, s.s. að hann hafi brotið gegn gildandi lögum og reglum eða fyrirmælum vinnuveitanda, sbr. 2. mgr. 9. gr. reglna nr. 837/2006 og 2. mgr. 6. gr. reglna Akureyrarbæjar um meðferð tölvupósts og netnotkun.