Vinnsla fyrirtækis á persónuupplýsingum úr tölvupósthólfi og af reikningi skjalavistunarþjónustu starfsmanns fyrir, við og eftir starfslok

Mál nr. 2021061333

10.1.2024

Úrskurður

Hinn 6. september 2023 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2021061333:

I.

Málsmeðferð

1.

Tildrög máls

Hinn 21. júní 2021 barst Persónuvernd kvörtun frá [B] lögmanni, f.h. [A] (hér eftir kvartandi), yfir meðferð á tölvupósthólfi og [reikningi skjalavistunarþjónustu] í hans umráðum sem og vinnslu á persónuupplýsingum hans af hálfu [fyrirtækisins X]. Einnig laut kvörtunin að miðlun sömu persónuupplýsinga til lögreglu án samþykkis kvartanda eða vitundar.

Persónuvernd bauð [X] að tjá sig um kvörtunina með bréfi, dags. 18. ágúst 2021, og bárust svör félagsins með bréfi, dags. 8. október s.á. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör [X] með bréfi, dags. 10. maí 2022, og bárust þær með tölvupósti 23. júní s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.

Niðurstaða úrskurðar þessa er byggð á fyrirliggjandi gögnum.

Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.

2.

Helstu sjónarmið málsaðila

Ágreiningur lýtur að því hvort [X] var heimilt við starfslok kvartanda að loka aðgangi hans að tölvupósthólfi hans og [reikningi skjalavistunarþjónustu] í hans umráðum, án þess að veita honum tækifæri á að eyða einkagögnum sem ekki tengdust starfsemi félagsins. Einnig er ágreiningur um hvort [X] var heimilt að skoða gögn á framangreindum reikningum árum síðar án vitundar kvartanda og miðla þeim til lögreglu án hans samþykkis.

2.1.

Sjónarmið kvartanda

Kvartandi byggir í meginatriðum á því að hann hafi verið starfsmaður dótturfélaga [X] [...] og meðal annars starfað sem framkvæmdastjóri og stjórnarmaður félaga [X] [...]. Hinn [...] hafi starfsmaður [X] tekið yfir tölvupósthólf hans og jafnframt endurstillt lykilorð að persónulegum [reikningi skjalavistunarþjónustu] hans í því skyni að loka fyrir aðgang hans að reikningnum. Kvartanda hafi hvorki verið gefinn kostur á að eyða einkatölvupósti úr pósthólfi sínu við starfslok né einkagögnum úr geymslumöppum [reiknings skjalavistunarþjónustunnar] þegar hann var sviptur umráðum reikningsins. Þá hafi hvorki tölvupósthólfinu né [reikningi skjalavistunarþjónustunnar] verið lokað tveimur vikum eftir starfslok. Kvartandi mótmælir því að hafa undirgengist að skila aðgangi sínum og innihaldi [reiknings skjalavistunarþjónustunnar] við starfslok enda um persónulegan gagnageymslureikning að ræða auk þess sem kvartandi hafi á þeim tíma ekki haft aðgang að reikningnum.

Í svörum kvartanda kemur auk þess fram að í [...] hafi [...]birt fjölda skjala frá honum í tengslum við starfsemi og starfshætti fyrirtækja [X] í [...]. Í [...] hafi starfsmenn [X] farið inn í bæði tölvupósthólf hans og [reikning skjalavistunarþjónustunnar], sótt þaðan gögn, unnið með þau og miðlað þeim áfram til óviðkomandi án hans samþykkis. Þetta hafi verið staðfest í samantekt innanhússlögmanns [X] sem birt hafi verið í fjölmiðlum og í yfirlýsingum starfsmanna félagsins fyrir [...]dómstólum. Meðal gagnanna hafi verið viðkvæmar persónuupplýsingar og upplýsingar um mögulega refsiverða háttsemi kvartanda.

2.2.

Sjónarmið [X]

Af hálfu [X] er á því byggt að kvartandi hafi hvorki verið starfsmaður [X] né dótturfélaga þess. Hins vegar hafi hann starfað fyrir félög í samstæðu [X] [...] m.a. sem framkvæmdastjóri og stjórnarmaður árin [...-...]. Kvartandi hafi starfa sinna vegna þurft að eiga samstarf við aðra starfsmenn samstæðunnar, þ. á m. á [...] [X] noti miðlægt innra skjalavörslukerfi sem starfsmönnum beri almennt að nota til að geyma öll vinnutengd gögn er tengjast starfsemi samstæðunnar. Notkun skjalakerfisins krefjist hins vegar stöðugrar og hraðrar nettengingar. Þegar kvartandi starfaði í [...] hafi nettengingar verið stopular og hægar og því vandkvæðum bundið fyrir starfsmenn þar að nota skjalakerfið. Því hafi kvartandi notast við [reikning skjalavistunarþjónustu] sem stofnaður hafi verið á vinnunetfangi hans í eigu félagsins. Reikningurinn hafi verið notaður til að vista vinnuskjöl og viðskiptaupplýsingar félaganna. Samstarfsmenn kvartanda hafi því jafnframt haft aðgang að gögnum á umræddum reikningi. Ekki hafi verið vitað að kvartandi hafi notað reikninginn í persónulegum tilgangi.

Í byrjun árs [...] hafi vaknað grunur um að kvartandi hefði misst tök á lífi sínu og í [...] s.á. hafi stjórnendur í samstæðu félagsins fengið óyggjandi upplýsingar um að kvartandi væri að vinna gegn hagsmunum samstæðunnar. Í ljósi aðstæðna hafi verið gripið til þess að loka fyrir aðgang kvartanda að kerfum sem hýstu vinnuskjöl og viðskiptaupplýsingar í eigu félaga sem kvartandi starfaði fyrir, þ. á m. að umræddum [reikningi skjalavistunarþjónustunnar]. Tilgangur lokunarinnar hafi verið að gæta öryggis skjala er innihéldu upplýsingar um viðskiptahagsmuni samstæðunnar sem trúnaður skyldi ríkja um.

Hvað varðar einkagögn kvartanda sem geymd voru á reikningnum hafi kvartanda ekki verið veitt tækifæri til að yfirfara þau og afrita eða eyða þeim, enda hafi starfslok hans borið að með óvenjulegum hætti. Þá hafi verið erfitt að ná í hann og hann hafi óskað eftir að samskipti aðila færu fram í gegnum lögmann hans. Kvartanda hafi auk þess gefist nægt ráðrúm til þess að eyða eða taka afrit af einkapósti eða einkagögnum sínum þegar hann lauk störfum fyrir félög í samstæðu [X]. Starfslokasamningur hafi verið gerður við kvartanda í [...], þar sem kvartandi undirgekkst að skila öllum vinnutengdum gögnum í hans fórum, vinnutölvu sem og öllum aðgangsupplýsingum að kerfum sem nýtt voru í starfseminni. Ákvæði í samningnum hefðu átt að gera kvartanda ljóst að veittur yrði aðgangur að vinnugögnum hans eftir að ráðningarsambandi hans lyki.

Í [...] hafi kvartandi [komið að birtingu] fjölda gagna og persónuupplýsinga sem hann hefði staðfest skriflega að hafa skilað samkvæmt ákvæði starfslokasamningsins. Alvarlegar ásakanir á hendur einstaklingum og félögum í samstæðunni hafi fylgt birtingu gagnanna í fjölmiðlum auk þess sem kvartandi hafi játað á sig refsiverða háttsemi. Um tilvikabundna skoðun gagna pósthólfsins og [reiknings skjalavistunarþjónustunnar] hafi verið að ræða af hálfu [X] sem hafi farið fram í skýrum og málefnalegum tilgangi, þ.e. til að staðreyna staðhæfingar kvartanda sjálfs um að hann hefði viðhaft ólögmæta viðskiptahætti og gerst sekur um refsiverða háttsemi í starfi sínu hjá [X]. Við skoðun [reiknings skjalavistunarþjónustunnar] hafi komið í ljós að kvartandi hefði vistað þar mikið magn vinnutengdra gagna ásamt nokkru magni persónulegra gagna. Þessi gögn hafi verið lítið eða ekkert aðgreind og með öllu óflokkuð. Vinnutengdu skjölin hafi meðal annars verið tengd starfsemi félaga á forræði kvartanda er tengdust meintri refsiverðri háttsemi. Vegna viðskiptahagsmuna félagsins sem það hafi talið vera í húfi hafi kvartanda ekki verið boðið að vera viðstaddur skoðunina á [reikningi skjalavistunarþjónustunnar] eða tölvupósthólfi hans hjá félaginu. [X] byggi það mat á því að skapast hafi virk hætta á að kvartandi græfi undan viðskiptahagsmunum félagsins og skaðaði þá auk þess sem ekki hafi náðst í hann þrátt fyrir ítrekaðar tilraunir.

Þá hafi kvartandi einungis afhent lögreglu sérvalin gögn og [X] því talið sér skylt að afhenda lögreglu öll gögn af [reikningi skjalavistunarþjónustunnar], annars vegar til að greiða fyrir rannsókn málsins, sem þá var hafin hjá embætti héraðssaksóknara, en hins vegar í þágu lögmætra hagsmuna félagsins í málinu. Umræddur [reikningur skjalavistunarþjónustunnar] hafi því í heild sinni verið afhentur embætti héraðssaksóknara.

II.

Forsendur og niðurstaða

1.

Afmörkun máls - Lagaskil - Ábyrgðaraðili

Mál þetta varðar annars vegar lokun á tölvupósthólfi kvartanda og aðgangi hans að [reikningi skjalavistunarþjónustu], sem var tengdur vinnunetfangi hans, árið [...] og hins vegar skoðun og miðlun á gögnum þaðan í janúar [þremur árum síðar], þar á meðal á viðkvæmum persónuupplýsingum og persónuupplýsingum um meinta refsiverða háttsemi kvartanda. [Reikningur skjalavistunarþjónustu] er rafræn gagnageymsla í skýjalausn þar sem hægt er að vista og deila skjölum með öðrum. Varðar málið því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Hinn 15. júlí 2018 tóku gildi lög nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga. Þau lögfestu jafnframt persónuverndarreglugerðina, (ESB) 2016/679, eins og hún var aðlöguð og tekin upp í EES-samninginn. Leystu lögin jafnframt af hólmi lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga.

Í ljósi þess að atvik fyrra umkvörtunarefnisins urðu í gildistíð laga nr. 77/2000 fer um úrlausn þess samkvæmt þeim lögum. Á hinn bóginn urðu atvik síðara umkvörtunarefnisins eftir gildistöku laga nr. 90/2018 og fer því um úrlausn þess samkvæmt þeim lögum.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 og lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laga 90/2018 er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. samsvarandi ákvæði 4. tölul. 2. gr. eldri persónuverndarlaga nr. 77/2000.

Kvartandi var í ráðningarsambandi við fyrirtæki sem eru öll, samkvæmt ársreikningi [X] [...], erlend dótturfélög í eigu samstæðu [X]. Í ársreikningi samstæðu [X] [...] eru öll framangreind dótturfélög hennar [...] tilgreind í aflagðri starfsemi, en fjallað er um yfirstandandi rannsókn umræddra félaga í ársreikningum beggja samstæða frá [...]. Samkvæmt svörum [X] var það félagið sjálft sem ákvað og greip til þess að loka fyrir aðgang kvartanda að tölvupósthólfi hans og [reikningi skjalavistunarþjónustunnar]. Einnig má ráða af svarbréfi félagsins að það hafi tekið ákvörðun um að opna þessa reikninga í kjölfar ásakana kvartanda á hendur stjórnendum innan samstæðunnar. Loks bera svörin með sér að það hafi verið [X] sem ákvað að miðla upplýsingum úr þessum kerfum til lögreglu og embættis héraðssaksóknara. Að öllu þessu virtu og með vísan til framangreindra lagaákvæða telst [X] vera ábyrgðaraðili umræddrar vinnslu persónuupplýsinga.

2.

Lögmæti vinnslu

2.1

Lagaumhverfi

Öll vinnsla persónuupplýsinga verður að byggjast á einhverju af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Má þar nefna að vinna má með persónuupplýsingar ef það er nauðsynlegt vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, sbr. 6. tölul. lagaákvæðisins og f-liður reglugerðarákvæðisins.

Að auki verður vinnsla viðkvæmra persónuupplýsinga að samrýmast einhverju af viðbótarskilyrðum 1. mgr. 11. gr. laganna, sbr. 2. mgr. 9. gr. reglugerðarinnar. Samkvæmt b-lið 3. tölul. 3. gr. laganna teljast heilsufarsupplýsingar til viðkvæmra persónuupplýsinga, þ.m.t. upplýsingar um lyfja-, áfengis- og vímuefnanotkun. Þá teljast upplýsingar um kynlíf manna og kynhneigð einnig viðkvæmar persónuupplýsingar, sbr. c-lið sama ákvæðis. Af gögnum málsins verður ráðið að unnið hafi verið með viðkvæmar persónuupplýsingar um fíknivanda og kynlíf kvartanda. Eins og hér háttar til kemur þá einkum til skoðunar 6. tölul. 1. mgr. 11. gr. laganna, sbr. f-lið 2. mgr. 9. gr. reglugerðarinnar, þess efnis að vinnslan sé nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur.

Í kvörtun er enn fremur vísað til þess að [X] hafi unnið með persónuupplýsingar kvartanda er varða refsiverða háttsemi hans með því að skoða gögn á [reikningi skjalavistunarþjónustunnar] og senda lögreglu og embætti héraðssaksóknara. Samkvæmt 3. mgr. 12. gr. laga nr. 90/2018 mega einkaaðilar ekki vinna með upplýsingar um refsiverða háttsemi nema hinn skráði hafi veitt til þess afdráttarlaust samþykki sitt eða ef vinnslan er nauðsynleg í þágu lögmætra hagsmuna sem auðsjáanlega vega þyngra en grundvallaréttindi og frelsi hins skráða. Þá má ekki miðla slíkum upplýsingum nema með afdráttarlausu samþykki hins skráða eða ef það er nauðsynlegt í þágu lögmætra hagsmuna hins opinbera eða einkaaðila sem vega þyngra en þeir hagsmunir sem eru af leynd um upplýsingarnar, þar á meðal hins skráða, sbr. 4. mgr. sömu greinar.

Við mat á heimild til vinnslu verður einnig að líta til ákvæða í öðrum lögum sem við eiga hverju sinni.

Koma hér einkum til skoðunar lög nr. 88/2008 um meðferð sakamála, lögreglulög nr. 90/1996 og stjórnsýslulög nr. 37/1993.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-liður reglugerðarákvæðisins og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. og c-liður reglugerðarákvæðisins. Samkvæmt 2. mgr. sömu ákvæða bera ábyrgðaraðilar ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. þeirra og skal geta sýnt fram á það. Sambærileg ákvæði voru í 7. gr. eldri laga nr. 77/2000.

Með stoð í 5. mgr. 37. gr. laga nr. 77/2000 setti Persónuvernd reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Reglurnar sóttu síðar stoð í 5. mgr. 14. gr. laga nr. 90/2018. Reglurnar voru í gildi á þeim tíma sem um ræðir. Í 9. gr. reglnanna var að finna sérákvæði um tölvupóst og netnotkun en í reglunum var ekki að finna sérstakt ákvæði um skráasvæði eða gagnageymslur. Þar sem reglurnar byggðust á ákvæðum persónuverndarlaga og fólu í sér útfærslu þeirra, hefur Persónuvernd þó haft þær til hliðsjónar við úrlausn ágreiningsefna um meðferð gagna sem vistuð eru t.d. í vinnutölvu starfsmanna eða á skráasvæðum, sbr. úrskurð stofnunarinnar frá 29. september 2020 í máli nr. 2020010629. Verða ákvæði reglnanna, sem varða tölvupóst, því einnig hafðar til hliðsjónar við umfjöllun um [reikning skjalavistunarþjónustunnar].

2.2

Meðferð tölvupósthólfs og lokun [reiknings skjalavistunarþjónustu] við starfslok

Sem fyrr segir giltu lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga árið [...], þegar aðgangi kvartanda að tölvupósthólfi hans og [reikningi skjalavistunarþjónustunnar] var lokað. Samkvæmt 7. gr. þeirra laga skyldi, við vinnslu persónuupplýsinga, gæta að öllum meginreglum þeirrar greinar. Kváðu meginreglurnar m.a. á um að persónuupplýsingar skyldu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra væri í samræmi við vandaða vinnsluhætti persónuupplýsinga, sbr. 1. tölul. 1. mgr. lagagreinarinnar. Samkvæmt 2. mgr. sömu lagagreinar skyldi ábyrgðaraðili bera ábyrgð á því að vinnsla persónuupplýsinga samrýmdist meginreglum 1. mgr. hennar.

Í 4. mgr. 9. gr. reglna nr. 837/2006 var mælt fyrir um það verklag sem skal fylgja þegar starfsmaður lætur af störfum. Þar sagði meðal annars að við starfslok skyldi starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengdist starfsemi vinnuveitandans og að eigi síðar en að tveimur vikum liðnum skyldi loka pósthólfinu. Hefur það einnig verið talið samrýmast fyrrgreindri meginreglu um sanngjarna vinnslu persónuupplýsinga að veita starfsmönnum tækifæri á að eyða eða afrita einkatölvupóst eða önnur persónuleg gögn, sem ekki varða starfsemi vinnuveitanda, úr tölvupósthólfi sínu þegar hann lætur af störfum og umráðum hans yfir tölvupósthólfinu lýkur.

Af gögnum málsins má ráða að umrætt tölvupósthólf var vinnupósthólf kvartanda, sem [X] hafði forræði yfir, og að það var [X] sem tók ákvörðun um að loka fyrir aðgang kvartanda að því. Þykir því unnt að líta til ákvæðis 4. mgr. 9. gr. framangreindra reglna við túlkun á inntaki sanngirnisreglunnar í þessu máli, óháð því hvort kvartandi var í beinu vinnuréttarsambandi við [X].

Ágreiningur er um hvort umþrættur [reikningur skjalavistunarþjónustunnar] var persónulegur reikningur kvartanda eða vinnutengt skjalavistunarúrræði. Fyrir liggur að reikningurinn var stofnaður á vinnunetfangi kvartanda í eigu samstæðu [X]. Báðir aðilar málsins hafa staðfest að á reikningnum hafi verið vistuð gögn er tengdust starfsemi [...] dótturfélaga samstæðu [X] [...] en jafnframt nokkuð magn persónulegra gagna kvartanda. Verður því við það miðað, eins og hér háttar til, að umræddur [reikningur skjalavistunarþjónustunnar] hafi einnig verið notaður í þágu starfs kvartanda.

Af gögnum málsins má ráða að aðgangi kvartanda að vinnutölvupósthólfi hans hafi verið lokað við starfslok í [...] og að kvartandi hafi verið sviptur umráðum [reiknings skjalavistunarþjónustunnar] [...] s.á. eða tæpum sex mánuðum fyrir starfslok. Óumdeilt er að [X] veitti kvartanda ekki færi á að taka afrit af persónulegum gögnum, hvorki úr pósthólfi né af [reikningi skjalavistunarþjónustunnar].

Sem fyrr segir kemur fram í skýringum [X] að félagið hafi tekið ákvörðun um að loka fyrir aðgang kvartanda að tölvupósthólfi og [reikningi skjalavistunarþjónustunnar] hans sökum trúnaðarbrests þar sem grunur hefði vaknað um að kvartandi hefði misst tök á lífi sínu og í [...] s.á. hafi stjórnendur í samstæðu félagsins fengið óyggjandi upplýsingar um að kvartandi væri að vinna gegn hagsmunum samstæðunnar. Kvartanda hafi því ekki verið gefinn kostur á að eyða eða taka afrit af gögnum reikningsins þar sem [X] hefði talið hættu hafa skapast á að kvartandi græfi undan viðskiptahagsmunum og skaðaði hagsmuni fyrirtækja í samstæðu [X]. Auk þess hefði verið erfiðleikum bundið að ná í kvartanda og í [...] hefði hann óskað eftir að samskipti aðila færu fram í gegnum lögmann hans.

Í 4. mgr. 9. gr. reglna nr. 837/2006 var ekki mælt fyrir um undanþágu frá þeim reglum sem þar eru settar. Þó má sjá fyrir sér að í einhverjum tilvikum, þar sem nauðsyn krefðist, væri hægt að styðjast við 3. mgr. sömu greinar og leyfa starfsmanni eða fulltrúa hans að vera viðstaddur skoðun á tölvupósthólfi þar sem gögn væru flokkuð og starfsmanni við það tækifæri veittur kostur á að eyða eða taka afrit af sínum einkagögnum. [X] virðist á hinn bóginn ekki hafa lagt mat á hvort unnt væri að standa vörð um hagsmuni félagsins, á þessum tíma, með öðrum og vægari úrræðum en þeim sem gripið var til þegar aðgangi kvartanda að tölvupósthólfi hans og [reikningi skjalavistunarþjónustunnar] var lokað án þess að gefa honum kost á að eyða eða taka afrit af sínum einkagögnum. Þá hefur [X] ekki sýnt fram á að fyrirtækið hafi reynt að hafa samband við lögmann hans eða frætt kvartanda um notkun vinnutölvupósthólfs og gagnageymslna og meðferð þeirra við starfslok.

Þegar af þeirri ástæðu er það niðurstaða Persónuverndar að meðferð [X] á tölvupósthólfi og [reikningi skjalavistunarþjónustu í umráðum] kvartanda við starfslok hans hafi ekki samrýmst 1. tölul. 1. mgr. og 2. mgr. 7. gr. laga nr. 77/2000, sbr. 4. mgr. 9. gr. reglna nr. 837/2006.

2.3

Skoðun tölvupósthólfs og [reiknings í skjalavistunarþjónustu]

Þegar [X] opnaði tölvupósthólf og [reikning skjalavistunarþjónustu] kvartanda og skoðaði innihald þeirra, í [...], voru í gildi reglur nr. 837/2006. Samkvæmt 1. mgr. 9. gr. þeirra var óheimilt að skoða einkatölvupóst nema brýna nauðsyn bæri til, svo sem vegna tölvuveiru eða sambærilegs tæknilegs atviks. Þá var tilvikabundin skoðun vinnuveitanda á tölvupósti starfsmanns einnig óheimil nema uppfyllt væru ákvæði, nú, 8., 9. og 11. gr. laga nr. 90/2018, svo sem ef grunur væri uppi um brot starfsmanns gegn trúnaðar- eða vinnuskyldum. Í 3. mgr. sömu greinar var svo mælt fyrir um að þegar tölvupósthólf væri skoðað skyldi þess gætt að gera starfsmanni fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. Þetta ætti þó ekki við væri þess enginn kostur s.s. vegna alvarlegra veikinda starfsmanns. Gæti starfsmaður ekki verið viðstaddur skoðunina sjálfur skyldi veita honum færi á að tilnefna annan mann í sinn stað.

Þrátt fyrir að kvartandi hafi ekki verið starfsmaður [X] á þeim tíma þegar félagið skoðaði umrædd gögn, árið [...], verða þessi ákvæði höfð til hliðsjónar við túlkun á ábyrgðarskyldum [X] samkvæmt meginreglu 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. tölul. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, sem kveður á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða. Krafa meginreglunnar um gagnsæi vinnslu felur enda í sér að einstaklingum ætti ávallt að vera ljóst þegar persónuupplýsingar þeirra eru skoðaðar eða unnar á annan hátt. Þá verða ákvæði 9. gr. reglna nr. 837/2006 um tölvupósthólf og netnotkun einnig höfð til hliðsjónar varðandi vinnslu gagna á [reikningi skjalavistunarþjónustu] eftir því sem við á.

Eins og áður hefur verið rakið fór skoðun á tölvupósthólfi og [reikningi skjalavistunarþjónustu] kvartanda fram vegna gruns um að hann hefði brotið gegn trúnaðar- og vinnuskyldum sínum gagnvart [X] og jafnframt viðhaft ólögmæta viðskiptahætti eða refsiverða háttsemi í starfi sínu. Í ljósi málsatvika telur Persónuvernd umrædda vinnslu geta talist til tilviksbundinnar skoðunar í skilningi 1. mgr. 9. gr. reglna nr. 837/2006 og verða þeir viðskiptahagsmunir sem hér um ræðir jafnframt taldir til lögmætra hagsmuna í skilningi 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Jafnframt telur Persónuvernd að með hliðsjón af atvikum öllum megi fallast á að hagsmunir [X] af því að skoða tölvupósthólfið og [reikning skjalavistunarþjónustunnar] hafi vegið þyngra en grundvallarréttindi og frelsi kvartanda.

Á hinn bóginn liggur einnig fyrir að kvartanda var ekki gefinn kostur á að eyða eða taka afrit af gögnum í tölvupósthólfi og á [reikningi skjalavistunarþjónustunnar] hans við starfslok í [...]. Þá var kvartandi eða lögmaður hans ekki upplýstur um að til stæði að opna og skoða tölvupósthólf og [reikning skjalavistunarþjónustu] kvartanda árið [...] og honum, eða fulltrúa hans, veitt færi á að vera viðstaddur. Að því virtu telur Persónuvernd að skoðun [X] á tölvupósthólfi og [reikningi skjalavistunarþjónustu] kvartanda hafi ekki samrýmst 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

2.4

Miðlun [X] á gögnum kvartanda til lögreglu og embættis héraðssaksóknara

Samkvæmt skýringum [X] miðlaði félagið gögnum til lögreglu og embættis héraðssaksóknara vegna rannsóknar embættisins á starfsemi félaga sem heyra undir samstæðu [X] og á háttsemi einstaklinga þeim tengdum. Persónuvernd telur að miðlunin hafi getað byggst á vinnsluheimild 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679, sem kveður á um að vinnsla persónuupplýsinga sé heimil ef hún er nauðsynleg vegna lögmætra hagsmuna ábyrgðaraðila nema ef hagsmunir eða grundvallarréttindi og frelsi hins skráða vega þyngra.

Að því er varðar miðlun viðkvæmra persónuupplýsinga, sem finna mátti í framangreindum gögnum, er það jafnframt mat Persónuverndar að hún hafi getað stuðst við skilyrði 6. tölul. 1. mgr. 11. gr. laganna, sbr. f-lið 2. mgr. 9. gr. reglugerðarinnar, sem vísar til þess að vinnsla sé nauðsynleg til að unnt sé að stofna, hafa uppi eða verja réttarkröfur. Enn fremur hafi miðlun upplýsinga um mögulega refsiverða háttsemi kvartanda samrýmst 4. mgr. 12. gr. laganna.

Kemur þá til skoðunar hvort hagsmunir [X] af miðlun gagnanna vega þyngra en grundvallarréttindi og frelsi hins skráða, sbr. áðurnefnd ákvæði 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðarinnar, og hvort nauðsynlegt var að miðla öllum þeim gögnum sem [X] miðlaði til lögreglu og embættis héraðssaksóknara, sbr. kröfu allra framangreindra ákvæða um nauðsyn og meginregluna um lágmörkun gagna, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Við það mat er til þess að líta að [X] miðlaði gögnunum til lögreglu og embættis héraðssaksóknara sem hafa lögbundið hlutverk við að vinna að uppljóstrun brota, stöðva ólögmæta háttsemi og fylgja málum eftir í samræmi við það sem mælt er fyrir um í lögum nr. 88/2008 um meðferð sakamála eða öðrum lögum og reglugerðum, sbr. c-lið 2. tölul. 1. mgr. og 9. mgr. 6. gr. þeirra laga og 8. og 9. gr. lögreglulaga nr. 90/1996. Þá ber einnig að líta til þess að báðir viðtakendur gagnanna eru bundnir þagnarskyldu samkvæmt X. kafla stjórnsýslulaga nr. 37/1993, sbr. 1. mgr. 22. gr. laga nr. 90/1996 og 4. mgr. 18. gr. laga nr. 88/2008. Þá hefur Persónuvernd talið að játa verði aðilum ágreiningsmála nokkuð svigrúm til mats á því hvaða persónuupplýsingar nauðsynlegt er að vinna með í þágu úrlausnar réttarágreinings og með hvaða hætti. Með hliðsjón af fyrirliggjandi gögnum og skýringum aðila sem lúta að rannsókn héraðssaksóknara verður að telja að hagsmunir [X] af því að miðla gögnunum hafi hér vegið þyngra en hagsmunir og grundvallarréttindi og frelsi kvartanda, sbr. sbr. 6. tölul. 1. mgr. 9. gr. laganna, sbr. f-lið 1. mgr. 6. gr. reglugerðarinnar, og að vinnslan hafi uppfyllt kröfur um nauðsyn, sbr. og meginreglu 3. tölul. 1. mgr. 8. gr. laganna og c-lið 1. mgr. 5. gr. reglugerðarinnar.

Í kvörtun málsins er sérstaklega vikið að því að gögnunum hafi verið miðlað til lögreglu og embættis héraðssaksóknara án samþykkis kvartanda eða vitundar.

Við skýringu á meginreglunni um sanngirni og gagnsæi gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, þarf, eftir því sem við á, að líta til ákvæða um fræðsluskyldu ábyrgðaraðila gagnvart hinum skráða, sbr. 2. mgr. 17. gr. laga nr. 90/2018 og 12-14. gr. reglugerðar (ESB) 2016/679.

Í 1. mgr. 23. gr. reglugerðar (ESB) 2016/679 er með lögum heimilt að takmarka gildissvið þeirra skyldna og réttinda sem mælt er fyrir um í 13. og 14. gr. reglugerðarinnar. Í framkvæmd hefur Persónuvernd litið svo á að slík takmörkun hafi verið lögfest með ákvæðum 4. mgr. 17. gr. laga nr. 90/2018, sbr. m.a. úrskurði stofnunarinnar frá 16. desember 2021 í máli nr. 2020010635, 7. febrúar 2023 í máli nr. 2021101915 og 14. júlí 2023 í máli nr. 2021122460. Samkvæmt því hefur Persónuvernd talið heimilt að takmarka fræðsluskyldu ábyrgðaraðila samkvæmt 13. og 14. gr. reglugerðarinnar ef það telst nauðsynlegt til að koma megi í veg fyrir, rannsaka, koma upp um eða saksækja fyrir refsivert brot eða fullnægja refsiviðurlögum. Hefur verið lagt til grundvallar að sú undanþága eigi við í tengslum við miðlun persónuupplýsinga til lögreglu.

Í ljósi framangreinds telur Persónuvernd að [X] hafi, eins og hér háttar til, ekki verið skylt að veita kvartanda fræðslu um miðlun gagnanna til lögreglu og embættis héraðssaksóknara.

Með hliðsjón af öllu framangreindu telst miðlun [X] á persónuupplýsingum kvartanda til lögreglu og embættis héraðssaksóknara því hafa samrýmst lögum nr. 90/2018 og reglugerð (ESB) 2016/679.

Ú r s k u r ð a r o r ð:

Meðferð [X] á tölvupósthólfi og [reikningi skjalavistunarþjónustu] [A] við starfslok hans árið [...] var ekki í samræmi við lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Skoðun [X] á tölvupósthólfi og [reikningi skjalavistunarþjónustu] [A] í [...] samrýmdist ekki lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Miðlun [X] á persónuupplýsingum [A] til lögreglu og embættis héraðssaksóknara samrýmdist lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679.

Persónuvernd, 6. september 2023

Ólafur Garðarsson
formaður

Árnína Steinunn Kristjánsdóttir                                                   Björn Geirsson

Vilhelmína Haraldsdóttir                                             Þorvarður Kári Ólafsson