Meðferð Skeljungs hf. á tölvupósthólfi starfsmanns við starfslok
Mál nr. 2020010702
Persónuvernd hefur úrskurðað í máli þar sem kvartað var yfir meðferð tölvupóstshólfs kvartanda í kjölfar starfsloka hjá Skeljungi hf. Var kvartanda sagt upp störfum og gert að vinna út uppsagnarfrest en áður en fresturinn hafði liðið var kvartanda vikið frá störfum. Kvartað var yfir því að tölvupósthólfi hans hefði verið lokað samdægurs og hann hefði ekki fengið tækifæri til að yfirfara það. Var allur tölvupóstur sem barst í pósthólf kvartanda framsendur öðrum starfsmanni félagsins í rúmlega fimm mánuði eftir starfslok hans. Bar Skeljungur hf. því við að munnlegt samkomulag hefði verið gert við kvartanda um framsendingu tölvupóstsins til að tryggja viðskiptahagsmuni félagsins en því var hafnað af hálfu kvartanda. Félagið var hins vegar látið bera hallann af því að geta ekki fært sönnur á að slíkt samkomulag hefði verið gert. Var niðurstaða Persónuverndar sú að meðferð Skeljungs hf. á tölvupósthólfi kvartanda við starfslok hans hjá félaginu hefði ekki samrýmst ekki lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og 9. gr. reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.
Úrskurður
Hinn 27. nóvember 2020 kvað Persónuvernd upp
svohljóðandi úrskurð í máli nr. 2020010702:
I.
Málsmeðferð
1.
Tildrög máls
Hinn 3. desember 2019 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir meðferð tölvupósthólfs hans við starfslok hjá Skeljungi hf.
Með bréfi, dags. 17. mars 2020, var Skeljungi hf. boðið að koma á framfæri skýringum vegna kvörtunarinnar. Svarað var með tölvupósti þann 21. apríl 2020. Með tölvupósti þann 27. apríl s.á. óskaði Persónuvernd eftir frekari upplýsingum frá Skeljungi hf. Svarað var með tölvupósti þann 15. maí 2020. Með bréfi, dags. 26. maí s.á., var kvartanda gefinn kostur á að koma að athugasemdum við sjónarmið Skeljungs hf. Bárust athugasemdir kvartanda með tölvupósti þann 15. júní 2020. Með tölvupósti þann 16. júní s.á. óskaði Persónuvernd eftir frekari upplýsingum frá kvartanda og barst svar hans með tölvupósti samdægurs.
Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
2.
Sjónarmið kvartanda
Í kvörtun kemur fram að kvartanda hafi verið sagt upp störfum hjá Skeljungi hf. í [...] en hafi verið gert að vinna út uppsagnarfrest í þrjá mánuði eða til [...]. Þegar kvartandi hafi samþykkt atvinnutilboð í [...] hafi hann samstundis sent upplýsingar þess efnis á mannauðsstjóra Skeljungs hf. ásamt upplýsingum um að hann myndi hefja störf á nýjum stað [...]. [Síðar í sama mánuði] hafi framkvæmdastjóri sölusviðs haft samband við kvartanda og krafist þess að hann yfirgæfi vinnustaðinn þegar í stað, myndi skilja eftir farsíma og fartölvu sem hann hafði til umráða og að honum bæri ekki að mæta aftur. Öllum aðgangi hans að pósthólfi og öðrum kerfum Skeljungs hf. hafi verið lokað. Kvartandi hafi þannig ekki getað stillt á sjálfvirka svörun vegna starfsloka sinna. Um viku síðar hafi honum borist upplýsingar um að verið væri að svara tölvupóstum sem sendir hefðu verið á netfang hans hjá Skeljungi og því væri ekki komin á sjálfvirk svörun. Í kjölfar þess hafi kvartandi sjálfur kannað málið og sent tölvupóst á netfang sitt hjá Skeljungi hf. og fengið svar frá starfsmanni Skeljungs hf. Kvartandi segist ítrekað hafa haft samband við Skeljung hf. vegna þess en að hann hafi fengið þau svör frá þeim starfsmanni sem svaraði tölvupóstinum hans að hann fengi eingöngu framsenda tölvupósta sem innihéldu pantanir frá viðskiptavinum. Það væru mannauðsstjóri og forstöðumaður upplýsingatæknimála sem hefðu aðgang að tölvupósti kvartanda.
Kvartandi vísar á bug þeirri málsástæðu Skeljungs hf. að gert hafi verið munnlegt samkomulag við hann um að framsenda mætti tölvupóst hans á einn starfsmann sölusviðs þar til búið væri að tryggja að allir tölvupóstar viðskiptavina félagsins hefðu borist. Jafnframt hafnar kvartandi því sem kemur fram í svörum Skeljungs hf. um að hann hafi sjálfur óskað eftir því að persónulegur tölvupóstur yrði framsendur á hans persónulega netfang. Að lokum er því hafnað af hálfu kvartanda að hann hafi verið upplýstur um rétt sinn til að yfirfara pósthólf sitt, hann hafi ekki fengið tækifæri til að eyða eða taka afrit af þeim tölvupósti sem ekki tengdist starfsemi Skeljungs hf.
3.
Sjónarmið Skeljungs hf.
Af hálfu Skeljungs hf. er byggt á því að kvartanda hafi verið sagt upp störfum hjá félaginu [...]. Samdægurs hafi kvartanda verið tilkynnt munnlega að hann hefði færi á því að yfirfara persónulegan tölvupóst á tíma uppsagnarfrestsins. Þegar Skeljungur hf. hafi fengið vitneskju um að kvartandi hafi þegið starf hjá [öðru fyrirtæki] hafi honum verið gert að hætta samdægurs [...] þar sem hann hafi búið yfir miklum trúnaðarupplýsingum. Sama dag hafi kvartanda verið tilkynnt um það munnlega að hann hefði færi á því að eyða eða taka afrit af persónulegum tölvupósti áður en hann þyrfti að skila eignum Skeljungs hf. í lok dags, sem hann hafi gert. Þá hafi kvartandi tekið í óleyfi afrit af vinnutengdum tölvupósti, sem hafi verið brot á trúnaðarskyldum hans. […]. Starf hans hafi […] m.a. falist í því að afla og viðhalda viðskiptasamböndum og meðhöndla trúnaðarupplýsingar fyrir félagið. Miklir viðskiptahagsmunir hafi verið í húfi fyrir Skeljung hf. þar sem kvartandi hafi einn séð um allar pantanir félagsins í [tilteknum] landshluta og flestir viðskiptavina hans hafi eingöngu sent pantanir á vorin og á sumrin. Því hafi verið gert munnlegt samkomulag við kvartanda um að félagið mætti framsenda tölvupósta af pósthólfi hans til starfsmanns á sölusviðinu þar til tryggt væri að allir tölvupóstar viðskiptavina hans hefðu komist hnökralaust til félagsins. Þá hafi kvartandi sjálfur óskað eftir því að persónulegur tölvupóstur yrði framsendur á hans persónulega netfang en starfsmönnum sé ráðlagt frá því að móttaka persónulegan tölvupóst á vinnunetfang sitt.
Byggt er á því að Skeljungur hf. fylgi verklagsreglum um hvernig unnið sé með persónuupplýsingar starfsmanna fyrirtækisins. Jafnframt sé fylgt verklagsreglum um starfslok stafsmanna þar sem m.a. sé kveðið á um meðhöndlun tölvupósts í samræmi við reglur nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Í tilfelli kvartanda hafi þurft að víkja að einhverju leyti frá hefðbundnum verkferlum Skeljungs við meðferð tölvupósts við starfslok en það hafi verið talið nauðsynlegt til að tryggja viðskiptalega hagsmuni félagsins. Þá hafi allar ákvarðanir verið teknar í samráði við kvartanda.
Í svörum Skeljungs hf. kemur fram að lokað hafi verið fyrir aðgang kvartanda að tölvupósthólfi hans þann [...]. Þá hafi allur móttekinn tölvupóstur verið framsendur á einn starfsmann félagsins þar til [...] þegar lokað hafi verið fyrir netfang kvartanda og sjálfvirk svörun virkjuð.
II.
Forsendur og niðurstaða
1.
Gildissvið – Ábyrgðaraðili
Gildissvið laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerðar (ESB) 2016/679, sbr. 1. mgr. 4. gr. laganna, og þar með valdsvið Persónuverndar, sbr. 1. mgr. 39. gr. laganna, nær til vinnslu persónuupplýsinga sem er sjálfvirk að hluta eða í heild og vinnslu með öðrum aðferðum en sjálfvirkum á persónuupplýsingum sem eru eða eiga að verða hluti af skrá.
Til persónuupplýsinga teljast upplýsingar um persónugreindan eða persónugreinanlegan einstakling og telst einstaklingur persónugreinanlegur ef unnt er að persónugreina hann, beint eða óbeint, með tilvísun í auðkenni hans eða einn eða fleiri þætti sem einkennandi eru fyrir hann, sbr. 2. tölul. 3. gr. laganna og 1. tölul. 4. gr. reglugerðarinnar.
Með vinnslu er átt við aðgerð eða röð aðgerða þar sem persónuupplýsingar eru unnar, hvort heldur vinnslan er sjálfvirk eða ekki, sbr. 4. tölul. 3. gr. laganna og 2. tölul. 4. gr. reglugerðarinnar.
Mál þetta lýtur að meðferð tölvupósthólfs kvartanda eftir starfslok hans hjá Skeljungi hf. og framsendingu tölvupósta úr því. Að því virtu og með hliðsjón af framangreindum ákvæðum varðar mál þetta vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 90/2018 er nefndur ábyrgðaraðili. Samkvæmt 6. tölul. 3. gr. laganna er þar átt við einstakling, lögaðila, stjórnvald eða annan aðila sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnslu persónuupplýsinga, sbr. 7. tölul. 4. gr. reglugerðarinnar. Eins og hér háttar til telst Skeljungur hf. vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Reglur nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, voru settar samkvæmt heimild í eldri persónuverndarlögum, nr. 77/2000, og sækja nú stoð í 5. mgr. 14. gr. núgildandi laga nr. 90/2018. Í 9. gr. reglnanna er að finna sérákvæði um tölvupóst og netnotkun.
Í 4. mgr. 9. gr. nr. 837/2006 er mælt fyrir um það verklag sem vinnuveitandi skal fylgja þegar starfsmaður lætur af störfum. Í ákvæðinu segir meðal annars að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Þá skuli honum leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hafi látið af störfum. Eigi síðar en að tveimur vikum liðnum skuli loka pósthólfinu. Jafnframt segir að vinnuveitanda sé óheimilt að senda áfram á annan starfsmann þann póst sem berst í pósthólf fyrrverandi starfsmanns eftir starfslok, nema um annað hafi verið samið.
Óumdeilt er í máli þessu að tölvupóstur sem barst á netfang kvartanda hjá Skeljungi hf. var framsendur á annan starfsmann félagsins frá því að kvartandi hætti störfum [...] þar til pósthólfinu var lokað [rúmum fimm mánuðum síðar] og sjálfvirk svörun virkjuð.
Af hálfu ábyrgðaraðila er á því byggt að gert hafi verið munnlegt samkomulag við kvartanda um að félagið mætti framsenda tölvupósta úr pósthólfi hans til eins starfsmanns á sölusviði félagsins þar til tryggt væri að allir tölvupóstar viðskiptavina hans hefðu komist hnökralaust til félagsins. Jafnframt hafi kvartandi sjálfur óskað eftir því að persónulegur tölvupóstur yrði framsendur á hans persónulega netfang og því hafi það verið gert. Framangreindu hefur verið eindregið hafnað af hálfu kvartanda. Þá er af hálfu ábyrgðaraðila byggt á því að við starfslok sé fylgt verklagsreglum félagsins um starfslok. Í þeim er m.a. kveðið á um að í starfslokabréfi skuli koma fram allar upplýsingar um starfslok ásamt upplýsingum um meðferð tölvupósts við starfslok. Uppsagnarbréf kvartanda liggur fyrir í máli þessu en ekki er að finna neinar slíkar upplýsingar í því.
Öll vinnsla persónuupplýsinga verður jafnframt að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða (sbr. 1. tölul. 1. mgr. 8. gr. laganna), þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.) og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. ákvæðisins. Þá er kveðið á um ábyrgðarskyldu ábyrgðaraðila í 2. mgr. 8. gr. laganna, sbr. 2. mgr. 5. gr. reglugerðarinnar, en þar segir að ábyrgðaraðili beri ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. 8. gr. laganna, sbr. 1. mgr. 5. gr. reglugerðarinnar, og skuli geta sýnt fram á það.
Samkvæmt framangreindu stendur orð gegn orði um það hvort ábyrgðaraðili og kvartandi hafi gert með sér samkomulag um framsendingu á tölvupósti úr tölvupósthólfi hans hjá Skeljungi hf. Með vísan til 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðarinnar, verður ábyrgðaraðili talinn þurfa að bera hallann af því að geta ekki fært sönnur á að framangreint samkomulag hafi verið gert.
Þá er til þess að líta að samkvæmt ákvæði 4. mgr. 9. gr. reglna nr. 837/2006 skal loka pósthólfi starfsmanns eigi síðar en tveimur vikum eftir starfslok. Ábyrgðaraðili hefur vísað til þess að vegna viðskiptahagsmuna félagsins hafi verið nauðsynlegt að halda pósthólfinu opnu lengur. Fyrrgreint ákvæði reglna nr. 837/2006 kveður ekki sérstaklega á um undantekningar frá þeirri reglu að loka skuli pósthólfi innan tveggja vikna frá starfslokum. Þá hefur ábyrgðaraðili, að mati Persónuverndar, ekki sýnt fram á að því markmiði að tryggja viðskiptahagsmuni félagsins hefði ekki verið unnt að ná með öðrum og vægari úrræðum, svo sem með sjálfvirkri svörun um að kvartandi væri hættur störfum og vísun á annað netfang, líkt og gert var þegar pósthólfinu var lokað [...]. Var Skeljungi hf. því óheimilt að halda pósthólfi kvartanda opnu eftir að tvær vikur voru liðnar frá starfslokum hans.
Að öllu
framangreindu virtu er niðurstaða Persónuverndar sú að meðferð Skeljungs hf. á
tölvupósthólfi [A] við
starfslok hans hjá félaginu hafi ekki samrýmst ekki lögum nr. 90/2018, um
persónuvernd og vinnslu persónuupplýsinga, og reglum nr. 837/2006, um rafræna
vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.
Ú r s k u r ð a r o r ð:
Meðferð Skeljungs hf. á tölvupósthólfi [A] við
starfslok hans hjá félaginu samrýmdist ekki lögum nr. 90/2018, um persónuvernd
og vinnslu persónuupplýsinga, og reglum nr. 837/2006, um rafræna vöktun og
meðferð persónuupplýsinga sem verða til við rafræna vöktun.
Í Persónuvernd, 27. nóvember 2020
Helga Þórisdóttir Helga Sigríður Þórhallsdóttir