Úrskurður um meðferð tölvupósthólfs við starfslok

Mál nr. 2017/1467

19.6.2018

 

Úrskurður

 

Á fundi stjórnar Persónuverndar 31. maí 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/1467: 

I.
Málsmeðferð

 

1.
Tildrög máls

Hinn 11. október 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi), vegna meðferðar á tölvupósthólfi hennar hjá Vaka fiskeldiskerfum ehf. við starfslok.

Í kvörtuninni kemur fram að kvartanda hafi verið gert að yfirgefa vinnusvæði strax eftir starfslok fyrr á árinu og að henni hafi verið meinaður aðgangur að tölvupósti og öðrum gögnum og ekki verið veitt færi á að vista eða fjarlægja persónulegan tölvupóst, skjöl eða annað. Aðgangi kvartanda að öllum gögnum hafi verið lokað fyrir starfslok. Þá hafi verið farið inn í tölvupóst hennar og stillt á sjálfvirka svörun.

 

2.
Bréfaskipti

Með bréfi, dagsettu 28. nóvember 2017, var Vaka fiskeldiskerfum ehf. boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarbréf félagsins, dagsett 13. desember 2017, barst Persónuvernd 14. sama mánaðar. Í bréfinu kemur meðal annars fram að kvartanda hafi ekki verið boðið, við starfslok hjá félaginu, að eyða eða taka afrit af þeim tölvupósti sem ekki tengdist starfsemi félagsins. Hins vegar hafi kvartandi haft almennan aðgang að tölvupósthólfi í kjölfar starfslokanna og hafi þá haft tök á að eyða eða taka afrit af tölvupósti, hefði hún svo kosið. Kvartanda hafi verið boðið að koma á starfsstöð að nokkrum dögum liðnum og sækja persónulega muni en hún hafi hafnað því boði. Þá hafi forstjóri félagsins hringt í kvartanda í kjölfar starfslokanna en kvartandi hafi ekki óskað eftir aðgangi að tölvupósti eða öðrum persónulegum eigum.

Í svarbréfi félagsins kemur fram að kvartandi hafi ekki fengið sérstakar leiðbeiningar um að virkja sjálfvirka svörun úr pósthólfi. Upplýsingatæknideild félagsins hafi virkjað sjálfvirka svörun úr pósthólfi kvartanda nokkrum dögum eftir starfslok á grundvelli staðlaðra verkferla. Sjálfvirk svörun hafi verið virkjuð án þess að tölvupósthólfið sjálft hafi verið opnað. Nánari lýsing á þessu ferli komi fram í fylgiskjali með svarbréfi félagsins.

Þá kemur fram í svarbréfi félagsins að tölvupósthólfi kvartanda verði lokað 90 dögum eftir starfslok, líkt og fram komi í verklagsreglum félagsins, sem einnig séu í fylgiskjali með bréfinu.

Um aðgang að tölvupósthólfi kvartanda segir í svarbréfinu að fjármálstjóri félagsins hafi haft aðgang að tölvupósti kvartanda. Tölvupósthólf kvartanda hafi, við starfslok, verið fært undir tölvupósthólf fjármálastjóra félagsins sem hafi verið yfirmaður kvartanda. Aðgangur fjármálastjórans hafi falið í sér að hann hafi getað skoðað en ekki sent tölvupóst úr pósthólfi kvartanda. Tölvupóstur kvartanda verði aðgengilegur í 90 daga eftir starfslok en eftir það verði hann fjarlægður af vefsvæði félagsins. Nokkrir vinnutengdir tölvupóstar hafi borist í tölvupósthólf kvartanda eftir starfslok og hafi þeir verið opnaðir á vegum félagsins. Nauðsynlegt hafi verið fyrir félagið að bregðast við efni þeirra.

Áréttað er í svarbréfi félagsins að tölvupóstaðgangi kvartanda hafi ekki verið lokað fyrir starfslok heldur hafi honum fyrst verið lokað eftir að kvartandi hafi yfirgefið starfsstöð í kjölfar starfsloka.

Loks kemur fram í svarbréfinu að í hvert sinn sem starfsmenn félagsins skrái sig inn í tölvur og tölvupóst félagsins samþykki þeir skilmála félagsins um tölvunotkun starfsmanna, sem fylgi með bréfinu. Samkvæmt skilmálunum megi félagið fylgjast með tölvunotkun starfsmanna, skráningu inn í tölvu, tölvupóstnotkun og heimasíðum sem starfsmenn skoði.

Með bréfi, dagsettu 26. mars 2018, var kvartanda því boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar félagsins.

Bréf kvartanda, dagsett 23. apríl 2018, barst Persónuvernd 24. sama mánaðar. Í bréfinu ítrekar kvartandi að henni hafi ekki verið gefinn kostur á að afrita eða eyða persónulegum gögnum í tölvu eða tölvupósti, hvorki við starfslok né síðar. Þá kemur fram að kvartandi telji að þær verklagsreglur sem félagið vísi til hafi veitt félaginu einhliða rétt til að halda pósthólfinu opnu löngu eftir að kvartandi hafi lokið störfum. Að mati kvartanda felist í því brot á persónuverndarlögum.

 

II.
Forsendur og niðurstaða

1.
Gildissvið laga nr. 77/2000

Gildissvið laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga, sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölulið 2. gr. laganna, og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölulið sömu greinar. Í athugasemdum við það ákvæði í frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Að framangreindu virtu er ljóst að mál þetta varðar meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Vaki fiskeldiskerfi ehf. vera ábyrgðaraðili að umræddri vinnslu.

 

2.
Lögmæti vinnslu

Rafræn vöktun, samkvæmt lögum nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, er vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum, sbr. skilgreiningu í 6. tölulið 2. gr. laganna. Til rafrænnar vöktunar telst meðal annars tölvupóstsvöktun vinnuveitenda sem fram fer með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupósta og tölvupóstkerfisnotkun einstakra starfsmanna.

Öll rafræn vöktun er háð því skilyrði að hún fari fram í málefnalegum tilgangi og feli vöktunin í sér vinnslu persónuupplýsinga, sem fellur undir gildissvið laga nr. 77/2000, skal vinnslan einnig uppfylla önnur ákvæði laganna, sbr. 1. og 2. mgr. 4. gr. þeirra. Jafnframt ber að líta til reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

Í 4. mgr. 9. gr. reglna nr. 837/2006 er mælt fyrir um það verklag sem vinnuveitandi skal fylgja þegar starfsmaður lætur af störfum. Í ákvæðinu segir meðal annars að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Einnig skuli starfsmanni leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hafi látið af störfum. Eigi síðar en að tveimur vikum liðnum skuli loka pósthólfinu.

Í svarbréfi Vaka fiskeldiskerfa ehf., dagsettu 13. desember 2017, er vísað til þess að kvartandi hafi eftir starfslok áfram haft „almennan aðgang“ að tölvupósthólfi sínu en ekki er tilgreint hversu lengi. Í bréfinu kemur einnig fram að tölvupósti kvartanda hafi verið lokað eftir að hún hafi yfirgefið vinnustaðinn í kjölfar starfsloka og að henni hafi verið gert að yfirgefa vinnustaðinn strax að loknum fundi um starfslok. Af því verður ályktað að sá „almenni aðgangur“ að tölvupósti kvartanda sem vísað er til í svarbréfinu hefur varað í mjög takmarkaðan tíma. Þá liggur fyrir að kvartanda var ekki sérstaklega gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengdist starfsemi vinnuveitandans. Kvartanda var enn fremur ekki gefinn kostur á að eyða eða taka afrit af öðrum gögnum í vinnutölvu.

Ákvæði reglna nr. 837/2006 leggja frumkvæðisskyldu á vinnuveitendur um að ganga úr skugga um að við starfslok sé hugað að þeim atriðum sem í 9. gr. reglnanna greinir. Skylda vinnuveitenda þar að lútandi er óháð því hversu langur aðdragandi er að starfslokum. Að því virtu telur Persónuvernd að líta verði svo á að kvartanda hafi ekki verið gefinn kostur á því við starfslok að eyða eða taka afrit af þeim tölvupósti eða öðrum gögnum í vinnutölvu sem ekki tengdist starfsemi Vaka fiskeldiskerfa ehf. í samræmi við ákvæði 4. mgr. 9. gr. reglna nr. 837/2006. Einnig liggur fyrir að kvartanda var ekki leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínum við starfslok. Þá segir í svarbréfi Vaka fiskeldiskerfa ehf. að ekki hafi staðið til að loka pósthólfi kvartanda fyrr en að liðnum 90 dögum frá starfslokum og af því ljóst að tveggja vikna frestur, sem kveðið er á um í 4. mgr. 9. gr. reglna nr. 837/2006 var ekki virtur.

Í 1. mgr. 9. gr. reglna nr. 837/2006 er kveðið á um að óheimilt sé að skoða einkatölvupóst nema brýna nauðsyn beri til, svo sem vegna tölvuveiru eða sambærilegs tæknilegs atviks. Tilvikabundin skoðun vinnuveitanda á tölvupósti starfsmanns sé óheimil nema uppfyllt séu ákvæði 7., 8. og, eftir atvikum, 9. gr. laga nr. 77/2000, til dæmis ef grunur er uppi um brot starfsmanns gegn trúnaðar- eða vinnuskyldum. Þá er kveðið á um það í 3. mgr. 9. gr. reglnanna að þegar tölvupóstnotkun starfsmanns sé skoðuð skuli þess gætt að gera starfsmanni fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. Jafnframt er kveðið á um það í 4. mgr. 9. gr. að vinnuveitanda sé óheimilt að senda áfram á annan starfsmann þann póst sem berst í pósthólf fyrrverandi starfsmanns eftir starfslok nema um annað hafi verið samið.

Fram kemur í bréfi Vaka fiskeldiskerfa ehf. að fjármálastjóri félagsins hafi í kjölfar starfsloka kvartanda fengið fullan aðgang að tölvupósthólfi hennar, án þess þó að geta sent tölvupósta úr pósthólfinu. Með vísan til atvika máls þessa telur Persónuvernd að ekki hafi verið fyrir hendi heimild, samkvæmt 1. mgr. 8. gr. laga nr. 77/2000, til þeirrar vinnslu persónuupplýsinga sem fólst í ótakmörkuðum aðgangi að tölvupósti kvartanda í kjölfar starfsloka. Í öllum tilvikum bar félaginu að gera kvartanda fyrst grein fyrir því að tölvupóstur hans yrði skoðaður og veita honum færi á að vera viðstaddur slíka skoðun.

Samkvæmt 4. mgr. 9. gr. reglna nr. 837/2006 getur vinnuveitanda verið heimilt að senda áfram á annan starfsmann þann póst sem berst í pósthólf fyrrverandi starfsmanns eftir starfslok, ef um það hefur verið samið. Í svarbréfi Vaka fiskeldiskerfa ehf. vísar félagið til þess að starfsmenn hafi, í hvert sinn sem þeir hafi skráð sig inn í tölvur og tölvupóst félagsins, samþykkt skilmála félagsins um tölvunotkun, sem meðal annars hafi falið í sér að fylgjast mætti með tölvunotkun þeirra, skráningu í tölvu, tölvupóstnotkun og heimasíðum sem starfsmenn skoða. Tilvísaðir skilmálar fylgdu með bréfi félagsins. Skilmálarnir birtast á skjámynd af fyrirvara, á ensku, með „OK“ hnappi fyrir neðan. Kemur þá til skoðunar hvort með framangreindu fyrirkomulagi hafi verið samið um að félaginu hafi verið heimilt að veita fjármálastjóra þess aðgang að pósthólfi kvartanda við starfslok og þar með að pósti sem barst í pósthólf kvartanda eftir þann tíma, eins og kveðið er á um að heimilt sé í 4. mgr. 9. gr. reglna nr. 837/2006.

Við það mat verður að horfa til þess að ekkert hefur komið fram um að kvartanda hafi verið kynnt efni fyrirvarans eða hvaða þýðingu það hefði að smella á „OK“ hnappinn þegar fyrirvarinn birtist þegar kvartandi opnaði vinnutölvur og tölvupóst. Þá verður ekki litið fram hjá því að fyrirvarinn er á ensku. Að því virtu er það mat Persónuverndar að sú athöfn, sem fólst í því að smella á „OK“ hnappinn, hafi ekki getað falið í sér heimild sem skuldbundið hafi kvartanda eins og um samning hafi verið að ræða, samkvæmt 4. mgr. 9. gr. framangreindra reglna.

Að öllu framangreindu virtu er það niðurstaða Persónuverndar að meðferð félagsins á tölvupósthólf kvartanda eftir starfslok hennar hafi hvorki samrýmst ákvæðum 9. gr. reglna nr. 837/2006 né ákvæðum laga nr. 77/2000.

 

3.
Fræðslu- og upplýsingaskylda

Samkvæmt 10. gr. reglna nr. 837/2006 skal ábyrgðaraðili setja reglur og/eða veita fræðslu til þeirra sem sæta rafrænni vöktun. Áður en slíkum reglum er beitt skal kynna þær með sannanlegum hætti, s.s. við gerð ráðningarsamnings. Reglur eða fræðsla samkvæmt 1. mgr. skulu taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast og hversu lengi þær verði varðveittar. Þá segir í e-lið 3. mgr. 10. gr. að einnig skuli veita fræðslu um hvernig farið sé með einkatölvupóst og annan tölvupóst.

 

Persónuvernd beinir þeim fyrirmælum til Vaka fiskeldiskerfa ehf. að setja sér verklagsreglur um meðferð tölvupósts starfsmanna á meðan starfi stendur og við starfslok og fræðslu til starfsmanna um rafræna vöktun, samkvæmt 10. gr. reglna nr. 837/2006. Skal félagið senda Persónuvernd afrit af verklagsreglunum eigi síðar en 1. september 2018.

 

Ú r s k u r ð a r o r ð:

Meðferð Vaka fiskeldiskerfa ehf. á tölvupósthólfi [A] við starfslok hennar hjá félaginu var ekki í samræmi við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og reglur nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

 

Eigi síðar en 1. september 2018 skal Vaki fiskeldiskerfi ehf. senda Persónuvernd verklagsreglur um meðferð tölvupósts starfsmanna á meðan starfi stendur og við starfslok og fræðslu til starfsmanna um rafræna vöktun, samkvæmt 10. gr. reglna nr. 837/2006.