Úrskurður varðandi framsendingu á tölvupósti fyrrverandi starfsmanns í pósthólf annars starfsmanns
Kveðinn hefur verið upp úrskurður varðandi áframsendingu á tölvupósti fyrrverandi starfsmanns hjá bæjarskrifstofu Seltjarnarnes í annað pósthólf. Þetta var gert eftir að starfsmaðurinn lét af störfum hjá bænum og án hans vitundar.
Úrskurður
Þann 3. mars 2011 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2010/1054.
I.
Grundvöllur máls
Þann 19. nóvember 2010 barst Persónuvernd kvörtun E (hér eftir nefnd kvartandi), fyrrverandi starfsmanns hjá bæjarskrifstofu Seltjarnarnes yfir áframsendingu á tölvupósti hennar í annað pósthólf. Þetta var gert eftir að hún lét af störfum hjá bænum og án hennar vitundar.
Með bréfi, dags. 19. nóvember 2010, tilkynnti Persónuvernd Á, bæjarstjóra Seltjarnarnesbæjar, um kvörtunina og bauð henni að koma sínum sjónarmiðum á framfæri. Í svari Á, dags. 25. nóvember 2010, segir:
„Vegna skipulagsbreytinga var starf [kvartanda] lagt niður 30. september 2010[...]. Starfsmannastjóri bæjarins [G] tilkynnti [kvartanda] við starfslok að hann myndi fela tæknimanni bæjarins að gera viðeigandi ráðstafanir vegna tölvupósts og heimtengingar. Hann sendi síðan 6. október sl. meðfylgjandi tölvupóst til [kvartanda] á [einkanetfang] sem hún hafði gefið upp sem nýtt netfang. Nú í nóvember var netfangi og póstholfi [kvartandi]@seltjarnarnes.is lokað, þannig að ekki er lengur hægt að senda póst á það netfang.“
Með framangreindu bréfi [bæjarstjóra] fylgdi tölvupóstur [starfsmannastjórans] til kvartanda. Þar segir m.a.:
„Ég mun biðja tæknimann bæjarins að setja svarpóst á póstfang þitt hjá bænum til að tryggja þjónustu við íbúa bæjarins. Bærinn mun því fela tæknimanni sínum að setja upp sjálfvirka svörun á netfangið [kvartanda]@seltjarnarnes.is áfram sendist á postur[hjá]seltjarnarnes.is og fram kemur í svarpósti til sendanda: [E]hefur látið af störfum hjá bænum, vinsamlega hafið samband við [starfsmannastjóra]. Einkanetfang [E]er [kvartandi] á [einkanetfang], farsíma [...]“
Með bréfi, dags. 8. desember 2010 óskaði Persónuvernd nánari skýringa frá [bæjarstjóra] vegna þess að í skeyti [starfsmannastjóra] stóð í senn að póstur til kvartanda yrði áframsendur á netfangið postur[hja]seltjarnarnes.is og að sendendur yrðu sjálfir að snúa sér annað (til annarra starfsmanna).
Í svarbréfi [bæjarstjóra], sem barst 16. desember 2010, var staðfest að tölvupóstkerfi hafði verið stillt þannig að bréf sem voru ætluð kvartanda höfðu sjálfkrafa verið framsend í annað netfang. Í því segir:
„Fram kemur í tölvpósti til [kvartanda ]dags. 06.10.2010, að „Bærinn mun því fela tæknimanni sínum að setja upp sjálfvirka svörun á netfangið [kvartandi ]@seltjarnarnes.is áfram sendist á postur.is“ var þetta gert til að tryggja áfram þjónustu við íbúa bæjarins, sem þurftu að leita til fræðslu- og menningarfulltrúa bæjarins. Ekki barst athugasemd frá [kvartanda] varðandi þessa útfærslu [...] starfsmannastjóra sjá tölvupóst 06.10.2010 þar sem ferlinu er líst.“
Með bréfi, dags. 6. desember 2010, var kvartanda boðið að tjá sig um svarbréf [bæjarstjóra]. Í svari sem barst 27. desember sl. kveðst kvartandi ekki minnast þess að hafa lesið umræddan tölvupóst frá [starfsmannastjóranum], né staðfest móttöku hans eða samþykkt innihald.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
og skilgreining hugtaka
Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 gilda lög um persónuvernd og meðferð persónuupplýsinga um sérhverja rafræna vinnslu persónuupplýsinga. Persónuupplýsingar teljast vera sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Í tölvupóstskeytum sem send eru manna á milli eru persónuupplýsingar ef beint eða óbeint er hægt að rekja þau og/eða efni þeirra til tiltekins einstaklings eða tiltekinna einstaklinga. Vinnsla persónuupplýsinga er skilgreind sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, sbr. 2. tölul. 1. mgr. 2. gr. laga nr. 77/2000. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.
Af framangreindu leiðir að sú aðgerð Seltjarnarnesbæjar að framsenda tölvupóst kvartanda í annað pósthólf er vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Fellur málið þar með undir gildissvið þeirra laga, sem og valdsvið Persónuverndar, sbr. 37. gr. laganna.
2.
Lögmæti rafrænnar vöktunar
Framsending á tölvupósti
Hugtakið rafræn vöktun er skilgreint í 6. tölul. 2. gr. laga nr. 77/2000. Undir það fellur vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit. Til rafrænnar vöktunar telst m.a. tölvupóstvöktun sem fer fram með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupósta og tölvupóstkerfisnotkun einstakra starfsmanna. Þar undir falla einnig aðgerðir sem með beinum hætti tengjast og eru liður í þeirri vöktun, þ. á m. stillingar á því hvernig tölvupóstskeyti eru framsend. Sú aðgerð Seltjarnarnesbæjar að stilla kerfi bæjarins þannig að allur póstur til kvartanda, m.a. einkatölvupóstur, myndi sjálfkrafa framsendast í annað pósthólf var því liður í vöktun og rafrænni vinnslu í skilningi laganna.
Öll rafræn vöktun er háð því skilyrði að hún fari fram í málefnalegum tilgangi, sbr. 4. gr. laganna. Rafræn vöktun sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga þarf einnig, samkvæmt 2. mgr. 4. gr. laganna, að uppfylla önnur ákvæði laganna - þ. á m. um heimild til vinnslu samkvæmt 8. gr. Í því máli sem hér um ræðir var ekki fyrir hendi samþykki í skilningi 1. tölul. 1. mgr. 8. gr., þ.e. ekki var til staðar samþykki kvartanda fyrir því að tölvupóstur hans yrði sjálfkrafa framsendur öðrum.
Þótt samþykki liggi ekki fyrir geta önnur skilyrði ákvæðisins verið uppfyllt. Í 7. tölulið segir að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg til að ábyrgðaraðili eða þriðji maður, eða aðili sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber lögum samkvæmt, vegi þyngra. Hér þarf og að uppfylla meginreglur 7. gr. sömu laga, m.a. um sanngirni og meðalhóf og að vinnsla sé með lögmætum hætti.
Ljóst er að í vissum tilvikum geta sérstakar aðstæður réttlætt áframsendingu tölvupóstskeyta þannig að skilyrði 7. töluliðar 1. mgr. 8. gr. teljist uppfyllt. Sönnunarbyrði hvílir á Seltjarnarnesbæ sem ábyrgðaraðila um að slíkar aðstæður hafi verið fyrir hendi og að vinnsla hafi verið honum nauðsynleg og heimil. Af hans hálfu hafa engin rök verið færð fyrir því að framsending póstsins hafi verið honum nauðsynleg til að tryggja áfram þjónustu við þá íbúa bæjarins sem þurftu að leita til fræðslu- og menningarfulltrúa bæjarins. Liggur enda ekkert fyrir um að ekki hafi mátt tryggja þessa þjónustu með öðrum hætti, s.s. því að stilla kerfið þannig að sendendur skeyta fengju aðeins skilaboð um að kvartandi hefði látið af störfum og hvert þeir gætu snúið sér. Liggur því ekki fyrir að framsending á tölvupósti kvartanda til annarra hafi verið bænum heimil.
Ú r s k u r ð a r o r ð:
Framsending Seltjarnarnesbæjar á tölvupósti E, fyrrverandi starfsmanns bæjarins, í annað pósthólf var óheimil.