Ætluð skoðun og afritun á tölvupósthólfi
Mál nr. 2020010657
Kvartað var yfir því að starfsmaður Keilis hefði farið inn á tölvupósthólf kvartanda sem hann hafði hjá Keili, en kvartandi var hvorki starfsmaður né nemandi Keilis. Keilir andmælti því að starfsmaðurinn hefði farið inn á tölvupósthólf kvartanda. Persónuvernd taldi orð standa gegn orði um það hvort sú vinnsla persónuupplýsinga sem kvartað var yfir hefði farið fram og því hefði stofnunin ekki forsendur til að taka afstöðu til þess hvort unnið hefði verið með persónuupplýsingar á þann hátt sem greindi í kvörtun. Þá taldi Persónuvernd ekki tilefni til þess að stofnunin beitti frekari valdheimildum, sem henni eru fengnar í lögum nr. 90/2018, til þess að rannsaka það nánar. Var ekki talið unnt að fullyrða að brotið hefði verið gegn rétti kvartanda samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Úrskurður
Hinn 1. mars 2021 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2020010657 (áður 2019081472):
I.
Málsmeðferð
1.
Tildrög máls
Hinn 8. ágúst 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir því að þáverandi [starfsmaður] Keilis hafi farið inn á tölvupósthólf hans hjá Keili í heimildarleysi en kvartandi var hvorki nemandi né starfsmaður Keilis.
Með bréfi, dags. 20. apríl 2020, var óskað eftir frekari skýringum frá kvartanda um hvers konar póstfang væri að ræða. Svar barst með bréfi, dags. 28. maí s.á. Með bréfi, dags. 23. júní 2020, var Keili boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með bréfi, dags. 30. júní 2020. Með bréfi, dags. 6. júlí s.á. óskaði Persónuvernd frekari upplýsinga frá Keili, m.a. um verklagsreglur um aðgang að tölvukerfum. Svarað var með bréfi, dags. 22. s.m. Með tölvupósti þann 6. júlí 2020, var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið Keilis. Bárust athugasemdir kvartanda með tölvupósti þann 7. s.m. Með tölvupósti þann 3. september 2020 óskaði Persónuvernd eftir frekari upplýsingum frá Keili, nánar tiltekið um aðgangsskráningar (e. log-in files) á netfangi kvartanda. Svar barst með tölvupósti samdægurs.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
Meðferð málsins hefur tafist vegna mikilla anna hjá Persónuvernd.
2.
Sjónarmið kvartanda
Af hálfu kvartanda hefur komið fram að þáverandi [starfsmaður] Keilis [...], hafi útvegað honum tölvupósthólf hjá Keili vegna þess að hann hafi mögulega ætlað að ráða kvartanda í vinnu sem verktaka en ekki hafi orðið af því. Kvartandi var hvorki nemandi né starfsmaður Keilis. Netfangið hans hjá Keili hafi verið notað sem einkanetfang. Kvartandi telur að vegna ósættis milli hans og [starfsmannsins] hafi hann ekki getað skráð sig inn á tölvupóstfang sitt á [árinu] 2018 og grunur leiki á að [starfsmaðurinn] hafi skoðað innihald tölvupósthólfsins og jafnvel afritað og/eða sýnt öðrum innihald þess.
3.
Sjónarmið Keilis
Af hálfu Keilis hefur komið fram að kvartandi hafi hvorki verið nemandi né starfsmaður eða verktaki Keilis. Í svarbréfi Keilis sem sagt er unnið í samvinnu við þáverandi [starfsmann] Keilis kemur fram að kvartandi hafi fengið úthlutað aðgangi að netfangi hjá Keili vegna persónulegs greiða [starfsmannsins] við hann en tilgangurinn með því hafi verið að gefa kvartanda aðgang að Microsoft 365 hugbúnaðarpakkanum til notkunar við nám í öðrum skóla. Þá segir að netfangið hafi verið stofnað [...] 2014 og því hafi ekki enn verið lokað. Er því hafnað að farið hafi verið í tölvupósthólfið og efni þess verið skoðað eða póstur áframsendur úr því. Af hálfu Keilis hefur jafnframt komið fram að það hafi komið stjórnendum á óvart að slíkt leyfi hafi verið veitt og að slíkt væri ekki gert almennt.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Mál þetta lýtur að meðferð tölvupósthólfs sem kvartandi hefur haft hjá Keili og meðferð þess. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Eins og hér háttar til telst Keilir vera ábyrgðaraðili að umræddri vinnslu, sbr. 6. tölul. 3. gr. laga nr. 90/2018, sbr. 7. tölul. 4. gr. reglugerðarinnar.
2.
Niðurstaða
Kvartandi telur að þáverandi [starfsmaður] Keilis hafi farið í tölvupósthólf hans hjá Keili og skoðað innihald tölvupósthólfsins og jafnvel afritað og/eða sýnt öðrum innihald þess. Hefur Keilir hafnað því að svo hafi verið. Samkvæmt þessu stendur orð gegn orði um það hvort sú vinnsla persónuupplýsinga sem kvartað er yfir hafi farið fram.
Þá reyndust aðgangsskráningar inn á netfangið einungis ná um þrjá mánuði aftur í tímann, eða aftur til 10. júní 2020, og ná því ekki aftur til þess tímabils sem kvörtun lýtur að. Hefur því ekki verið upplýst um hvort Keilir hafi farið í heimildarleysi inn á tölvupóstfang kvartanda á þann hátt sem greinir í kvörtun en eins og hér háttar til telur Persónuvernd ekki tilefni til þess að stofnunin beiti frekari valdheimildum, sem henni eru fengnar í lögum nr. 90/2018, til þess að rannsaka það nánar.
Með vísan til þessa og framangreindra lagaákvæða hefur Persónuvernd ekki forsendur til að taka afstöðu til þess hvort Keilir hafi unnið með persónuupplýsingar kvartanda á þann hátt sem greinir í kvörtun. Ekki er því unnt að fullyrða að brotið hafi verið gegn rétti kvartanda samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga.
Ú r s k u r ð a r o r ð:
Ekki liggur fyrir að átt hafi sér stað vinnsla persónuupplýsinga um [A] hjá Keili sem braut gegn lögum nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
Í Persónuvernd, 1. mars 2021
Helga Þórisdóttir Vigdís Eva Líndal