Úrlausnir
Áframsending tölvupósts
Úrskurður
Hinn 17. janúar 2012 kvað stjórn Persónuverndar upp úrskurð í máli nr. 2011/492:
I.
Grundvöllur máls
Málavextir og bréfaskipti
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Tildrög máls
Þann 12. apríl 2011 barst Persónuvernd kvörtun frá A(hér eftir nefndur kvartandi), yfir því að tölvupóstur sem honum var sendur í vinnunni hafi verið lesinn af samstarfmönnum hans hjá Skyggni ehf. Nánar tiltekið var um að ræða rafrænt senda verkbeiðni. Í kvörtuninni segir m.a.:
„Tölvupóstur sem sendur var til mín var sendur á annan viðtakanda, viðtakandi lét Nýherja vita af þessu nokkur skipti en málinu var ekki sinnt fyrr en hann hafði samband beint við mig og ég tilkynnti málið. Ég hef ekki fengið viðunandi útskýringar á ástæðum fyrir þessu þrátt fyrir ítrekaðar fyrirspurnir til öryggisstjóra Nýherja. Að þessu tilefni hef ég ástæðu til að gruna Nýherja um að fylgjast með tölvupósti til mín. [...]
Þar sem ég hef sagt upp störfum hjá Nýherja þá hef ég áhyggjur af því að póstur sem ég sendi og móttek sé lesinn yfir af starfsmönnum Nýherja eða yfirmönnum án samráðs við mig. Mér þykir mjög óeðlilegt að fá ekki viðunandi útskýringar á þessu og ennþá óeðlilegra að fá ekki svar við fyrirspurnum þar sem þetta er einnig brot á reglum fyrirtækisins varðandi upplýsingaöryggi og trúnað við viðskiptavini.“
Af þeim gögnum sem fylgdu kvörtuninni mátti ráða að umrædd atvik hefðu átt sér stað 17. og 22. mars. Af fréttum á vefsíðu Nýherja hf. lá fyrir að hinn 1. apríl var innleitt nýtt skipulag vegna sameiningar rekstrar- og hýsingarfélaganna Skyggnis ehf., Viðju ehf. o.fl., við móðurfélagið Nýherja hf. Til skýringar um hver hafi verið ábyrgðaraðili þeirrar vinnslu sem kvartað var yfir óskaði Persónuvernd upplýsinga frá Nýherja hf. Í svari félagsins, 13. október 2011, segir:
„Þegar málshefjandi tilkynnir fyrst um málið með því að senda á pósthólfið atvik[at]skyggnir.is þann 22. mars 2011 var Skyggnir kt. 601200-2520 bæði ábyrgðaðili sem og vinnsluaðili póstkerfisins.“
2.
Bréfaskipti
Bréfaskipti
Með bréfi, dags. 15. apríl 2011, var Nýherja hf., veitt færi á að tjá sig um erindi kvartanda frá 12. s.m. Svarbréf starfsmannastjóra og öryggisstjóra, er dags. 2. maí 2011. Þar segir m.a.:
„Nýherji er viðtakandi athugasemdanna, en Nýherji er móðurfyrirtæki Skyggnis ehf., sem [kvartandi] starfaði hjá þar til 1. apríl 2011, er Skyggnir var formlega sameinað Nýherja. Í svarbréfinu mun nafn Skyggnis vera notað í útskýringum en þar er lagt að jöfnu Skyggnir og Nýherji, en sökum sögunnar og stjórnkerfis er nauðsynlegt að nefna Skyggni til sögunnar.
Ávirðingum þeim sem koma fram í kvörtun [kvartanda], um að póstur ætlaður [kvartanda] sé vísvitandi áframsendur á aðra viðtakendur innan fyrirtækisins og að póstur ætlaður [kvartanda] sé lesinn af yfirmönnum, er harðlega mótmælt. Þessar ásakanir eru á engan hátt rökstuddar og málatilbúnaður allur úr lausu lofti gripinn.
Þar sem ásakanirnar eru litnar mjög alvarlegum augum innan Nýherja og efni kvörtunarinnar þess eðlis að ef sannar væru brytu gegn öllum starfsreglum og öryggisreglum sem fyrirtækið starfar eftir, þá munum við reyna eftir fresta megni að hrekja þessar ásakanir.
Upphaf málsins eins og það lítur út frá okkur séð er þegar [kvartandi] sendir tölvupóst á pósthólf hjá Skyggni sem nefnist Atvik. Þetta pósthólf er ætlað til þess að tilkynna um hugsanleg öryggisrof eða ábendingar varðandi upplýsingaöryggi, en Skyggnir er vottað af BSI UK samkvæmt staðlinum ISO 27001:2005. Samkvæmt skilgreindu ferli er [kvartanda] svarað formlega og honum tilkynnt að málið verði skoðað. Póstur er sendur frá umræddu póstfangi (atvik[at]skyggnir.is) á ábyrgðar- og rekstrarðila póstkerfa okkar þar sem óskað er eftir að þetta mál verði skoðað strax. Málið er skráð í sérstakan grunn hjá öryggiráði fyrirtækisins og öll samskipti og framganga vegna málsins skráð. Málið er ennþá opið í gagnagrunninum, enda hefur ekki fundist viðhlítandi skýring þannig að sátt sé um að loka málinu.
Við eftirgrennslan hjá þeim sem ábyrgð bera á póstkerfunum kemur ekkert óeðlilegt í ljós varðandi notkun kerfisins, en ekkert er samt útilokað. Tæknimenn óska eftir nánari gögnum til að vinna með og er [kvartandi] beðinn um að láta vita ef þetta gerist aftur, þannig að hægt sé að nálgast gögn til rannsóknar, en upprunalega kvörtunin innihélt ekki gögn sem nægðu til greiningar. Þetta hefur ekki verið tilkynnt að nýju eða vitað um dæmi þess að póstur hafi borist á rangan aðila að nýju. Sökum þessa hafa engin ný gögn verið skoðuð og málið ennþá í biðstöðu. Málið var tekið fyrir á fundi öryggisráðs þann 14. apríl og þar bókað í fundargerð að málið væri í eðlilegum farvegi og því haldið opnu þar til frekari rannsókn hefur farið fram.
Flest atriði sem að faman eru talin koma fram í gögnum sem [kvartandi] sendir Persónuvernd. Einu athugasemdirnar sem hann ber fram og eiga við rök að styðjast eru þær að fyrirspurnum hans um framgang málsins var ekki svarað innan þeirra marka sem [kvartanda] taldi viðunandi, en það hefur enga merkingu gagnvart málinu sjálfu, framgang þess eða vilja Nýherja til að leysa málið.
Þá er einnig rétt hjá [kvartanda] að sá sem er viðtakandi póstins, B, hafði í nokkrum tilfellum frá árinu 2010 tilkynnt um þessar sendingar til þjónustuborðs Skyggnis, sem virðist ekki hafa brugðist við á viðunandi hátt. Allur sá póstur, sem B fékk og var ætlaður [kvartanda], er eingöngu sendur frá þjónustumiðstöð Skyggnis eða sjálfvirkt úr þjónustukerfinu. Í öllum tilfellum var um að ræða tölvupóst tengdan vinnunni og verkbeiðnum úr kerfum Skyggnis.
Þau atriði sem [kvartandi] nefnir í kvörtun sinni um að pósti hans sé viljandi komið til rangra viðtakanda, að pósturinn sé lesinn af yfirmönnum þar sem hann hafi sagt upp störfum og annað í þá veru er algjörlega órökstudd og hafnar Nýherji þeim alfarið.
Rétt er að taka fram atriði sem [kvartandi] nefnir ekki, en Nýherji hefur formlega bannað áframsendingu á pósti starfsmanna í önnur póstföng. Sumir starfsmenn hafa kosið að áframsenda sinn póst í pósthólf fyrirtækja sem þeir eru að þjónusta eða í önnur pósthús sem nota annan hugbúnað en Nýjherji hefur valið í hlutverkið. Hér er átt við að Nýherji notar Lotus Notes en sumir vilja frekar nota Microsoft Exchange, Nýherji rekur pósþjónustur með báðum þessum kerfum. Þessari ákvörðun stjórnenda var tekið misjafnlega vel af starfsmönnum. [Kvartandi] er einn þeirra starfsmanna sem kvartaði undan þessari tilskipun, en hefur hann sjálfur still[t] pósthólfið sitt þannig að póstur ætlaður honum sé áframsendur á annað pósthús, í hans tilfelli í pósthús viðskiptavinar Nýherja sem [kvartandi] vinnur mikið fyrir.
Það er möguleiki á því að áframsending sú sem [kvartandi] kvartar undan í umkvörtun sinni sé tilkomin vegna stillinga sem hann sjálfur hefur gert í sínu pósthólfi. Þar sem Nýherji skoðar ekki innihald eða stillingar pósthólfa starfsmanna án þeirrar vitundar, þá hefur þetta atriði ekki verið kannað nánar. Til stuðnings þessari tilgátu Nýherja fylgir með svari þessi afrit af póstsamskiptum sem [kvartandi] átti við sinn yfirmann um málið í byrjun árs 2011. Tilskipunin er send út þann 18. febrúar 2011. Samskiptum [kvartanda] við sinn yfirmann um málið, [...], lýkur þann 2. mars 2011.
Hvernþig [kvartandi] hagaði sínum póstmálum eftir þann tíma er erfitt að rekja, enda ekki geymdar söguskrár yfir allar breytingar sem notendur gera í sínum pósthólfum, þar með talið stillingar fyrir áframsendingar tölvupóst eða aðrar reglur pósthólfa.
Nýherji telur ekki ástæðu að rekja málið nánar að svo stöddu, enda teljum við málið hafa verið ansi vel útlistað og erindinu svarað. Þá hafa ítrekaðar skoðanir á kerfinu ekki leitt í ljós neitt sem bendir til óeðlilegrar hegðunar kerfisins, engar reglur eru virkar sem áframsenda póst miðlægt né nokkuð annað sem bendir til þess að um ranga notkun kerfanna sé að ræða.
Nýherji er að sjálfsögðu reiðubúið til að afhenda hver þau gögn sem óskað er við meðhöndlun málsins og veita allra þá aðstoð sem Persónuvernd óskar eftir.“
Svarbréf Nýherja hf. var kynnt kvartanda með bréfi, dags. 24. maí 2011. Svarbréf hans er dags. 3. júní 2011. Þar segir m.a.:
„Fullyrt er í svarbréfi Nýherja að allur sá póstur, sem B fékk og var ætlaður mér, hafi eingöngu verið sendur frá þjónustumiðstöð Skyggnis eða úr sjálfvirkum þjónustukerfum. Þessi fullyrðing á ekki við rök að styðjast þar sem B tjáði mér að hann hefði fengið tölvupósta sem sendir voru frá X þmt. frá mínu netfangi hjá X([kvartandi]@X.is) en ég hef séð um rekstur tölvukerfis X síðan 2008.
Nýherji fullyrðir einnig að ég hafi kvartað yfir því að þurfa nota Lotus Notes frekar en Microsoft Exchange. Þessar fullyrðingar eru einnig rangar.
Ég hef ekki mótmælt því að nota Lotus Notes Client hjá Nýherja frekar en önnur kerfi sem nauðsynleg eru til að geta skilað því sem ætlast er til af mér hjá fyrirtækinu. Ég hef verið í fastri viðveru síðan 2008 hjá X þar sem mér var úthlutað farsíma, netfang og tölvubúnað af X en það var gert frá upphafi. Beiðni mín um að fá að halda því áfram eftir tilmæli frá Nýherja var til hagræðis fyrir bæði mig og Nýherja þar sem öruggt var að allur póstur var á einum stað og sendist strax í farsímann (afrit af þessari tilskipun var í kvörtun minni til persónuverndar). Tekið var fram í tilmælum Nýherja að væri áframsending tölvupósts viðskiptalegs eðlis þá ættu starfsmenn að snúa sér til yfirmanns sem ég og gerði. Beiðni yfirmanns míns um að áframsenda frekar póst frá X til Skyggnis var ekki vel tekið hjá X og því þótti mér ekki ástæða til að halda þeim samskiptum áfram og tók þess í stað áframsendinguna af eins og starfsmenn voru beðnir um að gera.
Ég var sjálfur Lotus Notes kerfisstjóri hjá Y ehf. og Z ehf. en þau fyrirtæki eru með sérþekkingu á Lotus kerfum og hef ég unnið við uppsetningu og notkun á þeim kerfum í mörg ár og ekkert haft út á þau að setja.
Sú tilgáta Nýherja að ég hafi á einhvern hátt sjálfur átt sök á því að póstur var ætlaður mér hafi ratað á póstfang B á ekki við rök að styðjast. Að mínu mati væri það vægast sagt óábyrgt af Nýherja að treysta mér fyrir rekstri tölvukerfis eins stærsta verktakafyrirtæki landsins ef ég gæti ekki stillt áframsendingu á mínu eigin pósthólfi. Það að koma með svona tilgátu segir mér frekar að lítið hafi verið gert til að athuga hvað olli þessu og verið sé að koma málinu auðveldlega frá. Hægt er að skoða bæði log-skrár á póstþjóni og einnig pósthólfið sjálft ef vilji er. [...]
Sú beiðni Nýherja að ég skuli sjálfur fylgjast með hvort þetta gerist aftur, er ekki eðileg að mínu mati. Ég er ekki ábyrgðarmaður yfir póstkerfi Nýherja, né hef ég réttindi til að skoða flæði á tölvupósti fyrirtækisins eða log skrár á póstþjóni, sé ég því ekki hvernig sú framkvæmd væri áreiðanleg þar sem um væri að ræða símhringingar eða fyrirspurnir sem væri líklegast seint eða ekki svarað.
Mér þykir það einnig furðu sækja að á sama tíma og Nýherji svarar bréfi Persónuverndar með afriti af samskiptum á milli mín og yfirmanns (C) þá beri þeir fyrir sig trúnað í yfirliti yfir skráða kvörtun SKYSKF-126 og kemur því hvergi fram framvindan kvörtunar minnar. Þar kemur hins vegar fram að kvörtunin er skráð þann 22.03.2011 og hefði ég ekki verið upplýstur um framvindan málsins fyrr en ég lét Nýherja vita af erindi mínu til Persónuverndar. Einu svörin sem ég fékk voru í raun að þetta ætti ekkert erindi til Persónuverndar og sagt að ekkert sé hægt að gera til að skoða málið frekar, er það því á skjön við það sem kemur fram í svarbréfi Nýherja þar sem sagt er að málið sé enn í skoðun.“
Að fengnu svarbréfi kvartanda ákvað Persónuvernd að fara í heimsókn til Nýherja hf. og gera kerfisskoðun. Hún fór fram þann 22. september 2011. Af hálfu Persónuverndar mætti lögfræðingur af skrifstofu stofnunarinnar og verkfræðingur sem situr í stjórn Persónuverndar. Í minnisblaði þeirra um heimsóknina segir m.a.:
„[...] D, öryggisstjóri Nýherja, tjáði PV að erindið hefði borist í tilkynningarkerfið þeirra (atvik[at]skyggnir.is) með formlegum hætti og E, kerfisfræðingur, hefði skoðað málið í kjölfarið. E fór yfir nákvæmlega þær aðgerðir sem Nýherji hefði gripið til. Hann kvaðst hafa gert ýmsar tilraunir til að finna út hvað hefði valdið þessari sendingu, t.d. það væri broddstafur í alias-i kvartanda (þ.e. að kerfið hefði ekki getað skilið á milli [...] ). Ekkert hefði fundist. Hélt hann því fram að hér væri um að ræða s.k. tæknilegt afbrigði, sem ekki væri hægt að útskýra. Þá kom fram af hálfu Nýherja að áframsending tölvupósta hefði verið bönnuð innan fyrirtækisins ásamt því að umræddur póstur hefði farið á starfsmann Nýherja sem væri í engu starfstengdu sambandi við kvartanda. Einnig kom fram að ekki var um að ræða áframsendingu á tölvupósti heldur var um að ræða verkbeiðni sem sendist úr verkbeiðnakerfi á vitlausan viðtakanda. Pósthólfi A hefði verið eytt og afrit þess sett á geisladisk í lokuðu tamper-proof umslagi (skv. öryggisreglum Nýherja).“
Við skoðun kom ekkert í ljós er sýndi með ótvíræðum hætti af hvaða ástæðu tölvupóstar til kvartanda (verkbeiðnir) rötuðu í pósthólf annars starfsmanns hjá sama fyrirtæki. Líklegast var talið að kerfisvillu væri um að kenna. Þá kom ekkert fram er benti til að ásetningur hafi staðið til þess að skoða póst kvartanda.
Með bréfi, dags. 1. nóvember 2011, veitti Persónuvernd kvartanda kost á að koma að athugasemdum sínum varðandi heimsóknina, ef einhverjar væru. Í tölvupósti sem hann sendi 12. desember 2011 segir:
Ég fékk bréf þar sem talað var um að fundað hafi verið með Nýherja og Persónuvernd en ég minnist þess ekki að ég hafi verið beðinn um athugasemdir ég var heldur ekki boðaður á þann fund og get því lítið tjáð mig um það sem fór fram á honum annað en að svör Nýherja eru heldur fátækleg og ekki til að útskýra það sem gerst hafi.
Frekari svör bárust ekki.
II.
Forsendur og niðurstaða
Forsendur og niðurstaða
1.
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Hér er um slíkar upplýsingar að ræða.
Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000. Rekstur rafræns verkbeiðnakerfis til að úthluta verkefnum til einstakra starfsmann er rafræn vinnsla í skilningi 3. gr. laga nr. 77/2000. Fellur málið þar með undir gildissvið þeirra laga, sem og valdsvið Persónuverndar, sbr. 37. gr. laganna.
Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000. Rekstur rafræns verkbeiðnakerfis til að úthluta verkefnum til einstakra starfsmann er rafræn vinnsla í skilningi 3. gr. laga nr. 77/2000. Fellur málið þar með undir gildissvið þeirra laga, sem og valdsvið Persónuverndar, sbr. 37. gr. laganna.
2.
Af þeim gögnum sem fylgdu erindi kvartanda má ráða að atvik þau sem hann kvartar yfir hafi átt sér stað 17. og 22. mars. Vegna samruna Nýherja hf. og Skyggnis ehf. þarf að taka afstöðu til þess hvort þessara félaga hafi verið ábyrgðaraðili á þeim tíma sem þessi atvik urðu.
Ákvæði um samruna félaga er í 119. gr. hlutfélagalaga nr. 30/1995, bæði um samruna með yfirtöku og samruna með stofnun nýs félags. Þar segir að ef einkahlutafélag sé yfirtekið við samruna gildi ákvæði XIV. kafla laga um einkahlutafélög nr. 138/1994 um slit þess félags. Í 95. gr. þeirra laga segir að félagsstjórnir samrunafélaga skuli gera samrunaáætlun sem m.a. skuli hafa að geyma upplýsingar og ákvæði um frá hvaða tímamarki réttindum og skyldum yfirtekna félagsins skuli teljast lokið. Samkvæmt 98. gr. skal, í síðasta lagi einum mánuði eftir undirritun samrunaáætlunarinnar, senda hlutafélagaskrá endurrit af henni. Persónuvernd hefur nú borist afrit af tilkynningunni, en þar segir m.a.:
Efni: Tilkynning um samrunaáætlun Nýherja hf., Viðju viðskiptaumsjónar ehf., og Skyggnis ehf. upplýsingaþjónustu. Með vísan til 98. gr. laga nr. 138/1994, um einkahlutafélög, tilkynnist hér með samrunaáætlun ofangreindra félaga ásamt öðrum gögnum. Yfirtökufélagið er Nýherji hf. og miðast samruninn við 1. janúar 2011.
Í ljósi þess að samruninn miðaðist við 1. janúar 2011 ber að líta svo á Nýherji hf. hafi verið ábyrgðaraðili vinnslunnar þegar umrædd atvik urðu í mars sama ár.
Samkvæmt 11. gr. laga nr. 77/2000 skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá ber hann m.a. ábyrgð á því að öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður. Verði hinn skráði fyrir tjóni vegna þess að ábyrgðaraðili ræki ekki skyldur sínar samkvæmt 11. gr. getur hann, samkvæmt 43. gr. laganna, þurft að bæta hinum skráða tjón sem hann hefur orðið fyrir, nema það verði hvorki rakið til mistaka né vanrækslu af hans hálfu né vinnsluaðila.
Samkvæmt 11. gr. laga nr. 77/2000 skal ábyrgðaraðili gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Þá ber hann m.a. ábyrgð á því að öryggisráðstafanir við vinnslu persónuupplýsinga séu í samræmi við lög, reglur og fyrirmæli Persónuverndar, þ.m.t. þá staðla sem hún ákveður. Verði hinn skráði fyrir tjóni vegna þess að ábyrgðaraðili ræki ekki skyldur sínar samkvæmt 11. gr. getur hann, samkvæmt 43. gr. laganna, þurft að bæta hinum skráða tjón sem hann hefur orðið fyrir, nema það verði hvorki rakið til mistaka né vanrækslu af hans hálfu né vinnsluaðila.
3.
Í svörum Nýherja hf. hefur komið fram að félagið hafi ekki tekið ákvörðun um áframsendingu á tölvupósti kvartanda, en af óskýrðum ástæðum hafi verkbeiðni úr verkbeiðnakerfi ekki borist honum heldur farið til annars starfsmanns. Málið hafi verið rannsakað innanhúss, og gerðar tilraunir til að framkalla villuna aftur, og reyna að finna skýringu, en það hafi ekki tekist. Sambærileg atvik hafi ekki komið upp hjá öðrum starfsmönnum. Þá hefur félagið greint frá því að pósthólfi A hafi verið eytt og gengið frá afriti þess í samræmi við reglur fyrirtækisins um afritatökur.
Í vettvangsskoðun Persónuverndar til fyrirtækisins hinn 22. september 2011 kom ekkert fram er benti til að umrædd verkbeiðni hafi misfarist vegna ákvarðana ábyrgðaraðila eða af ástæðum sem rekja megi til mistaka hans eða vanrækslu. Að mati sérfróðs tæknimanns Persónuverndar sem fór í þessa skoðun er kerfisvilla líkleg skýring og að ábyrgðaraðila, Nýherja hf., verði ekki kennt um hana.
Með vísun til framangreinds telur Persónuvernd ekki liggja fyrir að þau atvik sem kvartað er yfir, og urðu í póstkerfi Nýherja hf. 17. og 22. mars 2011, hafi gerst vegna þess að félagið hafi brotið gegn 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga
Í vettvangsskoðun Persónuverndar til fyrirtækisins hinn 22. september 2011 kom ekkert fram er benti til að umrædd verkbeiðni hafi misfarist vegna ákvarðana ábyrgðaraðila eða af ástæðum sem rekja megi til mistaka hans eða vanrækslu. Að mati sérfróðs tæknimanns Persónuverndar sem fór í þessa skoðun er kerfisvilla líkleg skýring og að ábyrgðaraðila, Nýherja hf., verði ekki kennt um hana.
Með vísun til framangreinds telur Persónuvernd ekki liggja fyrir að þau atvik sem kvartað er yfir, og urðu í póstkerfi Nýherja hf. 17. og 22. mars 2011, hafi gerst vegna þess að félagið hafi brotið gegn 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga
Úrskurðarorð:
Ekki verður talið að Nýherji hf. hafi brotið gegn ákvæðum laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga með þeim afleiðingum að verkbeiðnir misfórust í póstkerfi félagsins 17. og 22. mars 2011.