Úrlausnir

Meðferð tölvupósthólfs við starfslok

Mál nr. 2017/1621

4.10.2019

Persónuvernd hefur úrskurðað í máli í tilefni af kvörtun vegna meðferðar á tölvupósthólfi við starfslok kvartanda. Kvartað var yfir því að vinnuveitandi kvartanda, [X ehf., sem er fyrirtæki sem starfar á sviði upplýsingaöryggis], hefði skoðað tölvupósthólf hans tveimur mánuðum eftir starfslok, án þess að kvartanda væri veittur kostur á að vera viðstaddur, og afritað sex tölvupósta sem síðar voru lagðir fram [X ehf.] með lögbannsbeiðni á þá háttsemi kvartanda að brjóta gegn samkeppnisbanni ráðningarsamnings. Í málinu var komist að þeirri niðurstöðu að [X ehf.] hefði annars vegar verið heimilt að framkvæma umrædda skoðun og hins vegar að gera það að kvartanda fjarstöddum. Í niðurstöðum var m.a. litið til þeirra viðskiptahagsmuna sem í húfi voru bæði fyrir [X ehf.] og viðskiptavini félagsins og þess að tölvupóstarnir báru ekki með sér að vera einkatölvupóstar. Þá var fallist á að skapast hefði virk hætta á því að kvartandi gæti grafið undan viðskiptahagsmunum félagsins og skaðað hagsmuni þess og viðskiptavina þess hefði [X ehf.] boðið kvartanda að vera viðstaddur skoðunina og því hefði [X ehf.] ekki reynst fært að veita kvartanda tækifæri til að vera viðstaddur skoðunina. Jafnframt var komist að því að [X ehf.] hefði ekki gert fullnægjandi ráðstafanir til að gefa kvartanda kost á að eyða eða taka afrit af tölvupósti í samræmi við 4. mgr. 9. gr. reglna nr. 837/2006.

Úrskurður


Á fundi stjórnar Persónuverndar hinn 29. ágúst 2019 var kveðinn upp svohljóðandi úrskurður í máli nr. 2017/1621:

1.

Upphaf máls

Þann 14. nóvember 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) vegna meðferðar tölvupósthólfs við starfslok hans hjá [X ehf., sem er fyrirtæki sem starfar á sviði upplýsingaöryggis]. Í kvörtuninni segir m.a. að [X ehf.] hafi lagt fram lögbannsbeiðni á hendur kvartanda og meðal gagna sem fylgt hafi þeirri beiðni séu afrit af tölvupóstum sem kvartandi hafi sent eða móttekið í starfi sínu hjá [X ehf.]. Telur kvartandi að afrit tölvupóstanna hafi ekki getað komist í hendur [X ehf.] nema með þeim hætti að félagið hafi farið í óleyfi og með ólögmætum hætti í tölvupósthólf kvartanda og opnað þar og skoðað tölvupóstana. Jafnframt kemur fram í kvörtun að kvartanda hafi ekki verið gerð grein fyrir því að til stæði að fara í tölvupósthólf hans né hafi hann fengið tækifæri til að vera viðstaddur. Kvartandi gerir einnig kröfu um að Persónuvernd stöðvi alla vinnslu og meðferð á þeim tölvupósti sem ágreiningur sé um þar til niðurstaða Persónuverndar liggi fyrir.

2.

Svör ábyrgðaraðila

Með bréfi, dags. 24. nóvember 2017, var [X ehf.] boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var sérstaklega óskað eftir að upplýst væri á grundvelli hvaða heimildar 8. gr. og eftir atvikum 9. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, umrædd vinnsla færi fram, hvort og með hvaða hætti kvartanda hefði verið veitt fræðsla, sbr. 20. gr. laga nr. 77/2000 og ákvæði reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, og hvernig [X ehf.] teldi umrædda vinnslu samrýmast 9. gr. fyrrgreindra reglna. Svar barst með bréfi, dags. 22. desember 2017. Í svarbréfinu segir að [X ehf.] telji að skoðun tölvupóstanna án viðveru kvartanda hafi verið lögmæt m.a. vegna rökstuddra grunsemda um alvarleg brot hans á ráðningarsamningi og lögum. Í bréfinu kemur fram að kvartandi hafi verið ráðinn til [X ehf.] með skriflegum ráðningarsamningi [dags.] til að sinna starfi [öryggisstjóra og sérfræðings]. Við ráðningu hafi jafnframt verið undirrituð sérstök trúnaðaryfirlýsing. Þá hafi ráðningarsamningur verið endurnýjaður [dags.]. Í ráðningarsamningnum hafi komið fram að meðan starfsmaður starfaði hjá félaginu og eftir að hann hætti þar störfum skuldbyndi hann sig til að láta ekki neitt uppskátt við þriðja aðila um vitneskju er hann mætti vita að leynt skyldi fara. Á starfsmanni hvíldi skilyrðislaus þagnarskylda sem skyldi haldast þótt hann léti af störfum. Jafnframt hafi komið fram í ráðningarsamningi að starfsmanni væri ljóst að upplýsingar um starfsemina fælu í sér verðmæti fyrir félagið og væru atvinnuleyndarmál og eign félagsins sem starfsmanni væri með öllu óheimilt að skýra frá eða hagnýta sér á nokkurn hátt. Þá hafi líka komið fram að starfsmanni væri óheimilt að stunda starfsemi á starfssviði félagsins og vera í samkeppni við það. Samkeppnisbannið skyldi vara í eitt ár frá starfslokum.

Í svarbréfi [X ehf.] kemur jafnframt fram að í ráðningarsamningi sé að finna ákvæði um eignarétt að tölvupóstum og notkun starfsmanna á tölvupósti. Þar segi að í störfum sínum fyrir félagið skuli starfsmaður nota tölvupóstfang félagsins og sé honum óheimilt að nota annað tölvupóstfang í störfum sínum. Þá segi að tölvupóstfang félagsins skuli ekki notað í persónulegum tilgangi og sé tölvupóstur eign félagsins. Telur [X ehf.] að ljóst sé að tölvupósturinn sem kvartað sé yfir sé eign [X ehf.] en ekki kvartanda. Þá sé jafnframt ljóst að kvartanda hafi verið alfarið óheimilt að nota tölvupóstfangið í persónulegum tilgangi. Af ákvæðinu leiði að [X ehf.] hafi mátt ganga út frá því að skoðun á tölvupósti kvartanda fæli alfarið í sér skoðun á vinnutengdum málefnum og tölvupósturinn væri ekki háður eignarétti kvartanda.

Í bréfinu kemur fram að í störfum sínum sem öryggisstjóri hjá [X ehf.] hafi kvartandi m.a. sérhæft sig í að tryggja öryggi gagna viðskiptavina og veita ráðgjöf um skipulagslegar og tæknilegar ráðstafanir til þess að vernda gögn. Sem öryggisstjóri hafi kvartandi verið í lykilaðstöðu innan fyrirtækisins. Í febrúar 2017 hafi kvartandi falast eftir verkefnum hjá [X ehf.] fyrir [B] en [B] hafi, ásamt kvartanda, stofnað fyrirtækið [Y] í janúar 2017, sem á þeim tíma hafi starfað í óskyldum rekstri. Kvartandi hafi í kjölfarið fengið leyfi [X ehf.] til að tilgreina [B] sem ráðgjafa í gæðamálum við tiltekin viðskipti. Hafi [X ehf.] áætlað að ef af viðskiptum yrði yrði gerður sérstakur verktakasamningur við [B]. Þá segir að kvartandi hafi um mánaðamótin febrúar/mars 2017 greint [X ehf.] frá því munnlega að hann vildi slíta ráðningarsambandi sínu við fyrirtækið. Kvartandi hafi sagst vilja halda áfram samstarfi við [X ehf.] í gegnum undirverktöku og hafi gert [X ehf.] grein fyrir því að hann myndi ekki stunda samkeppni við fyrirtækið heldur vinna fyrir það sem undirverktaki. Breytinguna úr vinnusambandi í verktakasamband hafi hann sagt vera fyrst og fremst af skattalegum ástæðum. Kvartandi hafi svo sagt einhliða upp ráðningarsamningi sínum þann 31. mars 2017 og verið með uppsagnarfrest í þrjá mánuði. Síðasti vinnudagur kvartanda hafi því átt að vera 30. júní 2017 og ráðningarsambandi hafi átt að ljúka 1. júlí s.á. Kvartandi hafi sent [X ehf.] tölvupóst þann 8. apríl 2017 og óskað viðbragða við uppsagnarbréfi sínu, dags. 31. mars s.á. Í tölvupóstinum hafi kvartandi fullvissað [X ehf.] um að hann myndi eingöngu stunda verktöku fyrir þriðju aðila á öðrum sviðum og að hann myndi rækja störf sín af trúmennsku út uppsagnarfrestinn. Gert hafi verið ráð fyrir að hann hæfi störf í undirverktöku þann 9. ágúst þegar sumarleyfi hans lyki. Segir að [X ehf.] hafi sent kvartanda drög að samningi um undirverktöku 13. júní 2017 og að í inngangsorðum draganna hafi komið fram að kvartanda væri óheimilt að stunda samkeppni við [X ehf.] eða eiga samskipti við viðskiptamenn fyrirtækisins milliliðalaust. Í drögunum hafi verið gert ráð fyrir að verksambandið hæfist 1. júlí 2017. Þannig hafi verið gert ráð fyrir því að sambærilegar samkeppnishömlur hvíldu á kvartanda skv. drögum að verksamningi og þegar giltu samkvæmt ráðningarsamningi. Í svarbréfi [X ehf.] segir að kvartandi hafi móttekið samningsdrögin en svarað [X ehf.] því til að hann vildi frekar ræða þessi mál eftir sumarfrí.

Þá segir í svarbréfi [X ehf.] að með tölvupósti 9. ágúst 2017 hafi kvartandi tilkynnt [X ehf.] að ekkert yrði af samstarfi í gegnum undirverktöku. Í tölvupóstinum segir að kvartandi og [B] séu komin með næg verkefni og hann sjái sér ekki fært að geta unnið fyrir [X ehf.] vegna tímaskorts. Sama dag hafi kvartandi sent tölvupóst til annars starfsmanns [X ehf.] þar sem fram hafi komið að kvartandi hafi ekki tíma til að sinna undirverktöku fyrir [X ehf.] vegna nægra verkefna og hafi jafnframt staðið í tölvupóstinum: „Þess fyrir utan erum við væntanlega komin í samkeppni“.

[X ehf.] segir í svarbréfi sínu að í kjölfar tilkynningar kvartanda frá 9. ágúst 2017 um að ekkert yrði af frekara samstarfi hafi þann 11. ágúst s.á. verið lokað fyrir aðgang hans að kerfum og innra neti hjá [X ehf.] Á sama tíma hafi jafnframt verið lokað fyrir aðgang [B] hjá fyrirtækinu. Þá er í svarbréfi [X ehf.] rakið hvernig grunsemdir [X ehf.] hafi vaknað um að kvartandi hefði gerst brotlegur við trúnaðar- og samkeppnisákvæði ráðningarsamnings og 16. gr. c laga nr. 57/2005, um eftirlit með viðskiptaháttum og markaðssetningu, á ráðningartíma. Þann 16. ágúst 2017 hafi tiltekinn viðskiptamaður [X ehf.] tilkynnt fyrirtækinu að kvartandi hefði haft samband við sig í þeim tilgangi að fá hann til að hætta viðskiptum við [X ehf.] og hefja viðskipti við fyrirtæki kvartanda í staðinn. Hafi viðskiptamaðurinn talið að háttsemi kvartanda samrýmdist ekki góðu viðskiptasiðferði og afhent [X ehf.] útprentað eintak af tölvupósti kvartanda frá 3. júlí 2017 þessu til sönnunar. Hafi þessi tilkynning og tölvupóstur kvartanda sjálfs frá 9. ágúst 2017 um að samkeppnisrekstur væri hafinn orðið til þess að starfsmaður [X ehf.] hafi skráð sig inn í tölvukerfi [X ehf.] þann 18. ágúst 2017 í þeim tilgangi að skoða niðurhalsskrá kvartanda. Í ljós hafi komið að kvartandi hafi hlaðið niður alls sjö skjölum um viðkvæm öryggismálefni tiltekins viðskiptavinar [X ehf.] þann 9. ágúst 2017. Segir að kvartandi hafi ekki haft neina heimild til aðgangs að gögnum úr kerfum [X ehf.] á þeim tíma sem hann hlóð skjölunum niður, enda hafi ráðningarsamningur hans ekki verið í gildi eftir 30. júní 2017. Í kjölfarið hafi komið upp grunur um alvarlegt brot kvartanda á trúnaðarskyldum og samkeppnisákvæðum ráðningarsamnings ásamt grunsemdum um brot gegn 16. gr. c laga nr. 57/2005, enda ljóst að kvartandi hafi tekið sér upplýsingar um atvinnuleyndarmál með ólögmætum hætti. [X ehf.] hafi þá haft samband við viðskiptamenn sína til að kanna hvort kvartandi hefði haft samband við þá. Í kjölfarið hafi framkvæmdastjóri [X ehf.] framkvæmt stutta skoðun á tölvupósti kvartanda 30. ágúst 2017, þar sem leitað hafi verið eftir nöfnum þeirra viðskiptavina sem höfðu svarað fyrirspurn [X ehf.] játandi. Við leitina hafi fundist sex tölvupóstar, sem sýni fram á öryggisbrot kvartanda, sem síðar hafi verið lagðir fram til stuðnings lögbannsbeiðni hjá sýslumanninum á höfuðborgarsvæðinu [dags.]. Lögbann hafi síðan verið lagt við samkeppnisrekstri kvartanda þann […]. Í bréfi [X ehf.] segir að ekki hafi verið framkvæmd heildarskoðun á tölvupóstum kvartanda.

Í svarbréfi [X ehf.] kemur fram að fyrirtækið telji að skoðun tölvupósts án viðveru kvartanda hafi verið heimil á grundvelli 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 um lögmæta hagsmuni og einnig ákvæðis 9. gr. reglna nr. 837/2006 um rafræna vöktun. Í 9. gr. reglnanna segi að tilvikabundin skoðun vinnuveitanda á tölvupósti starfsmanns sé heimil ef uppfyllt séu ákvæði 7., 8. og eftir atvikum 9. gr. laga nr. 77/2000, s.s. ef grunur sé uppi um brot starfsmanns gegn trúnaðar- og vinnuskyldum. Segir að í máli þessu hafi verið uppi grunur um trúnaðar- og samkeppnisbrot sem hafi átt við rök að styðjast. Þá er sérstaklega áréttað af hálfu [X ehf.] að hagsmunir af rannsókninni hafi ekki einungis verið hagsmunir [X ehf.] heldur einnig viðskiptavina hans, þ.e. þriðja manns í skilningi 7. tölul. 8. gr. laga nr. 77/2000. Jafnframt vísar [X ehf.] til þess að þeir tölvupóstar sem fylgt hafi með kvörtun kvartanda hafi ekki verið einkatölvupóstar skv. 3. mgr. 2. gr. reglna nr. 837/2006. Tölvupóstarnir lúti allir að hagsmunum ábyrgðaraðila og þeirri starfsemi sem hann rekur, skv. sömu málsgrein. Í fyrrgreindri 16. gr. ráðningarsamnings aðila komi fram berum orðum að engir einkatölvupóstar skuli vera á tölvupósthólfi kvartanda. Þá segir í svarbréfi [X ehf.] að í kvörtuninni sé því haldið fram að kvartanda hefði átt að gefast kostur á því að eyða eða taka afrit af þeim tölvupóstum sem ekki tengist starfsemi vinnuveitanda fyrir skoðun tölvupósts, skv. ákvæðum 4. mgr. 9. gr. reglna nr. 837/2006. Af ákvæðinu megi lesa að gefa beri starfsmanni kost til afritunar/eyðingar fyrir starfslok. Ákvæðið snúi þannig að skyldum vinnuveitanda fyrir starfslok en eigi ekki við um skoðun vinnutölvupósts eftir starfslok. Einnig bendir [X ehf.] á að í 12. gr. ráðningarsamnings aðila komi fram að starfsmanni beri að skila öllum gögnum sem hann hafi í sinni vörslu eða eyða þeim eða afritum af þeim úr eigin tölvu þegar hann hætti hjá félaginu. Starfslok kvartanda hafi átt sér stað 1. júlí 2017 en ekki hafi verið lokað fyrir aðgang hans að tölvukerfum fyrr en 11. ágúst 2017. Því hafi kvartandi haft nægan tíma til að eyða tölvupóstum eða afrita þá áður en hann skilaði tölvu sinni.

Einnig segir í bréfi [X ehf.] að vinnslan hafi verið í samræmi við meginreglur 7. gr. laga nr. 77/2000. Hún hafi verið framkvæmd með sanngörnum, málefnalegum og lögmætum hætti. Um hafi verið að ræða tilvikabundna skoðun sem hafi farið fram í skýrum og málefnalegum tilgangi. Einungis hafi verið aflað upplýsinga sem hafi verið nægilegar og nauðsynlegar miðað við tilgang vinnslunnar.

Hvað varði fyrirspurn Persónuverndar um hvort og með hvaða hætti fræðsla skv. 20. gr. laga nr. 77/2000 og 10. gr. reglna nr. 837/2006 hafi verið veitt vísar [X ehf.] til þess að ákvæði 20. gr. eigi eingöngu við þegar persónuupplýsinga sé safnað hjá hinum skráða sjálfum en í því tilfelli sem hér um ræði hafi ekki verið svo. Umræddir tölvupóstar hafi verið eign [X ehf.] og hafi verið vistaðir á hans kerfi og því eigi 20. gr. laganna ekki við. Þá segir að kvartandi hafi fengið fullnægjandi fræðslu um rafræna vöktun, m.a. í ráðningarsamningi og trúnaðaryfirlýsingu. Jafnframt segi í starfsreglum að framkvæmdastjóri [X ehf.] hafi heimild til að skoða tölvupóst starfsmanna án viðveru þeirra, ef brýn ástæða sé til og skoðunin sé í samræmi við vöktunarreglur Persónuverndar. Kvartandi hafi þannig fengið fræðslu um að til tilvikabundinnar skoðunar framkvæmdastjóra gæti komið ef grunur væri um brot starfsmanns gegn trúnaðar- eða vinnuskyldum. Þá sé enginn vafi á því að kvartanda málsins hafi verið fullkunnugt um hvaða reglur giltu um tölvupóstinn hans. Það hafi verið á hans ábyrgð sem öryggisstjóra og í hans verkahring að tryggja fylgni við reglurnar. Þá bendir [X ehf.] á að kvartandi haldi því hvergi fram í erindi sínu að skort hafi á fræðslu til hans um þetta efni. Af þessu leiði að [X ehf.] hafi ekki verið nauðsynlegt að gefa kvartanda tækifæri á að vera viðstaddur þegar tölvupóstur hans var skoðaður, enda hafi fyrirtækið mátt gera ráð fyrir því að kvartandi hefði þá þegar eytt öllum einkatölvupósti. Um þetta vísar [X ehf.] til úrskurðar Persónuverndar í máli nr. 2011/327.

3.

Athugasemdir kvartanda

Með bréfi, dags. 18. janúar 2018, var kvartanda boðið að tjá sig um framkomin svör [X ehf.] Svarað var með bréfi, dags. 30. janúar 2018. Í bréfinu hafnar kvartandi rökum [X ehf.] um að ákvæði 4. mgr. 9. gr. reglna nr. 837/2006 eigi ekki við í málinu þar sem ákvæðið taki til skyldu vinnuveitanda til að veita starfsmanni tækifæri til afritunar og eyðingar á tölvupóstum fyrir starfslok en ekki eftir starfslok. Segir kvartandi það koma fram í lokamálslið umræddrar 4. mgr. 9. gr. framangreindra reglna að óheimilt sé að skoða upplýsingar um netnotkun starfsmanns eftir starfslok, nema að uppfylltum sömu skilyrðum og greini í 1.-3. mgr. 9. gr. reglnanna eða annað leiði af lögum. Bendir kvartandi á að þrátt fyrir að talað sé um netnotkun í lokamálslið 4. mgr. 9. gr. reglnanna, en ekki tölvupóst, sé það mat kvartanda að óheimilt sé að túlka ákvæðið þröngt vegna þeirra stjórnarskrárvörðu réttinda hans sem í húfi séu, þ.e. atvinnufrelsis og friðhelgi einkalífs. Einnig bendir kvartandi á 4. tölul. 2. gr. reglna nr. 837/2006 þar sem netnotkun sé skilgreind svo: „Notkun einstaklings á hug- og vélbúnaði sem ábyrgðaraðili lætur honum í té, t.d. til að vafra um netið, til að taka við og senda tölvupóst eða til snarspjalls (msn)“. Telur kvartandi með vísan til fyrrgreinds að [X ehf.] hafi verið óheimilt að skoða tölvupóst kvartanda eftir starfslok hans. Þá eru í bréfi kvartanda ítrekaðar fyrri röksemdir um að [X ehf.] hafi borið að bjóða honum að vera viðstaddur þegar tölvupósthólf hans hafi verið skoðað. Hann hafi ekki fengið neina tilkynningu um slíkt og hafi því ekki haft neitt tilefni til að afrita eða eyða gögnum úr tölvupósthólfi sínu varðandi einkamálefni sín. Þá bendir kvartandi á að hann hafi, með tilliti til fyrri niðurstaðna Persónuverndar í sambærilegum málum, haft réttmætar væntingar til þess að [X ehf.] færi að lögum, reglum og fordæmum Persónuverndar og tilkynnti kvartanda ef til stæði að opna tölvupósthólf hans og veita honum færi á að vera viðstaddur slíka skoðun. Kvartandi ítrekar í bréfi sínu fyrri kröfu um að Persónuvernd stöðvi vinnslu og meðferð þeirra tölvupósta er um ræði þar til niðurstaða liggi fyrir í málinu, sbr. 40. gr. laga nr. 77/2000. Þá mótmælir kvartandi þeirri röksemd [X ehf.] að fyrirtækið hafi fullan eigna- og ráðstöfunarrétt yfir umræddum tölvupóstum, með vísan til ákvæðis þess efnis í ráðningasamningi aðila. Telur kvartandi varhugavert að svipta hann þeim réttindum sem honum séu tryggð í lögum með slíku ákvæði og er það mat hans að fyrrgreint ákvæði ráðningarsamnings hafi ekkert gildi gagnvart honum, enda sé ákvæðið ósanngjarnt gagnvart honum með tilliti til stjórnarskrárvarins réttar hans. Jafnframt koma fram mótmæli kvartanda um heimildir [X ehf.] til vinnslunnar sem [X ehf.] færir rök fyrir í svarbréfi sínu, dags. 22. desember 2018. Að öðru leyti mótmælir kvartandi öllum þeim sjónarmiðum sem sett eru fram af hálfu [X ehf.].

4.

Frestun máls

Með bréfi, dags. 19. janúar 2018, barst Persónuvernd erindi frá [X ehf.] þar sem vísað var til þess að rekið væri dómsmál til staðfestingar á lögbanni sem sýslumaðurinn á höfuðborgarsvæðinu lagði á hinn [dags.], að kröfu [X ehf.], við þeirri háttsemi kvartanda að hann starfaði við þjónustu eða ráðgjöf á sviði gagna- eða upplýsingaöryggis, þ.m.t. hjá [Z ehf.], eða tengdist slíkri starfsemi til og með 30. júní 2018. [X ehf.] hafði farið fram á gegn kvartanda. Er þess krafist að Persónuvernd hafi ekki frekari afskipti af kvörtun kvartanda þar til endanleg niðurstaða dómsmálsins liggi fyrir. Í bréfinu segir að kvartandi byggi varnir í dómsmálinu á sömu röksemdum og stjórnsýslumálið. Segir að í greinargerð kvartanda í dómsmálinu sé gerð krafa um að litið verði fram hjá sex tölvupóstum, sem fjallað sé um í kvörtun kvartanda til Persónuverndar, þar sem gagnanna hafi verið aflað í andstöðu við persónuverndarlög. Í bréfinu er jafnframt vísað til ótilgreinds máls Persónuverndar frá árinu 2005 þar sem einnig hafi verið um að ræða kvörtun til Persónuverndar og staðfestingu á lögbanni fyrir dómi. Í því máli hafi verið ákveðið að fresta afgreiðslu þess þar til endanleg niðurstaða dómstóla lægi fyrir.

Með bréfi, dags. 12. febrúar 2018, var kvartanda boðið að tjá sig um fram komna kröfu [X ehf.]. Svar barst með bréfi, dags. 19. febrúar s.á. Í bréfinu mótmælir kvartandi kröfu [X ehf.] um frestun málsins og vísar til þess að í dómsmálinu sé deilt um staðfestingu lögbanns og skaðabótakröfur í þeim efnum en kvörtunarmálið hjá Persónuvernd snúi að lögmæti skoðunar vinnuveitanda á tölvupósti starfsmanns og vinnslu persónuupplýsinga í því skyni.

Með bréfi, dags. 1. mars 2018, var aðilum máls tilkynnt um þá afstöðu Persónuverndar að ekki yrði að svo stöddu aðhafst frekar í málinu. Í bréfinu segir að við úrlausn um þessa kvörtun megi vænta þess að byggt verði á sömu eða svipuðum lagasjónarmiðum og í umræddu dómsmáli. Gildi niðurstöðu Persónuverndar og endanlegar málalyktir geti þannig ráðist af niðurstöðu dómsmála og úrskurður Persónuverndar hafi takmarkaða ef nokkra sjálfstæða þýðingu fyrir kvartanda að lögum. Jafnframt segir að áralöng venja sé fyrir því að fjalla ekki um mál á stjórnsýslustigi um leið og það sé til meðferðar hjá dómstólum og vísist um það m.a. til álits umboðsmanns Alþingis í máli nr. 1311/1994. Að lokum segir að um leið og fyrir liggi hvernig leyst hafi verið úr málinu fyrir dómi muni málinu verða framhaldið af hálfu Persónuverndar eftir því sem tilefni gefist til.

5.

Málsmeðferð hefst að nýju

Með tölvupósti [dags.] 2018 tilkynnti kvartandi um að dómsniðurstaða lægi fyrir í lögbannsmálinu og óskaði eftir því að Persónuvernd tæki kvörtun hans aftur upp til efnislegrar meðferðar. Meðfylgjandi tölvupóstinum var afrit af dómi Héraðsdóms […] í máli [X ehf.] gegn kvartanda. Með bréfi, dags. 31. október 2018, tilkynnti Persónuvernd [X ehf.] um að stofnunin hefði fallist á að taka málið aftur til efnislegrar meðferðar og bauð [X ehf.] að tjá sig um þá fyrirætlan.

6.

Frekari skýringar ábyrgðaraðila

Með bréfi, dags. 7. nóvember 2018, kom [X ehf.] á framfæri athugasemdum sínum við að málinu yrði framhaldið. Í bréfinu segir að fyrir liggi endanlegur dómur í ágreiningsmáli aðila vegna brota kvartanda á samkeppnis- og trúnaðarskyldum í starfi. Í dóminum hafi verið komist að þeirri niðurstöðu að kvartandi hefði brotið samkeppnis- og trúnaðarskyldur sínar skv. ráðningasamningi, sbr. 16. gr. c í lögum nr. 57/2005. Lögbann við störfum kvartanda hafi verið staðfest og jafnframt fallist á skaðabótakröfu [X ehf.] ásamt því að kvartanda hafi verið gert að greiða málskostnað. Í bréfi [X ehf.] segir að í forsendum dómsins hafi sérstaklega verið vísað til tölvubréfs kvartanda til [X ehf.], dags. 9. ágúst 2017, þar sem hann viðurkenni samkeppnisrekstur. Í dóminum hafi verið talið að tölvupósturinn einn og sér nægði til sönnunar á því að kvartandi hefði brotið gegn samkeppnisákvæðum ráðningasamningsins. Þá segi í dóminum að því þyki ekki þörf á því að rekja frekar þau gögn og málsástæður sem [X ehf.] telji fram máli sínu til stuðnings um samskipti kvartanda við tilgreinda aðila og varði brot á trúnaði. Þær upplýsingar séu að mati dómsins til frekari stuðnings því að kvartandi hafi brotið eða muni brjóta gegn lögvörðum hagsmunum [X ehf.], óháð því hvernig þeirra gagna hafi verið aflað, með tilliti til laga nr. 77/2000. Í bréfi [X ehf.] eru jafnframt ítrekuð sjónarmið um heimild fyrirtækisins til skoðunar tölvupósts að kvartanda fjarstöddum sem fram komu í bréfi [X ehf.], dags. 22. desember 2018.

Þá er vísað til úrskurðar Persónuverndar í máli nr. 2011/327 en [X ehf.] segir þar um að ræða sambærilega aðstöðu og í máli þessu. Þar hafi reynt á tilvikabundna skoðun vinnuveitanda á tölvupósti starfsmanns að honum fjarstöddum. Í málinu hafi verið talið nauðsynlegt vegna rannsóknarhagsmuna að skoða tölvupóst starfsmanns að honum fjarstöddum. Hafi Persónuvernd talið skoðunina samrýmast ákvæðum persónuverndarlaga.

[X ehf.] vísar til þess að með dómi Héraðsdóms […] í máli nr. […] hafi umfangsmikil brot kvartanda gegn samkeppnis- og trúnaðarskyldum samkvæmt ráðningarsamningi við [X ehf.] verið staðfest. Því liggi fyrir endanlegur dómur um að grunsemdir [X ehf.] um brot á samkeppnis- og trúnaðarskyldum kvartanda hafi verið á rökum reistar og umrædd gögn hafi sönnunargildi um brot kvartanda. Af þessu leiði að kvörtun kvartanda sé með öllu haldlaus og fella beri málið niður við fyrsta tækifæri.

7.

Frekari skýringar kvartanda

Með bréfi, dags. 11. desember 2018, var kvartanda gefinn kostur á að tjá sig um frekari skýringar ábyrgðaraðila. Svarað var með tölvupósti 15. desember 2018 þar sem fram kemur að kvartandi mótmæli því að málið verði fellt niður líkt og krafist sé af hálfu [X ehf.]. Segir kvartandi að [X ehf.] hafi viðurkennt í bréfi sínu að hafa skoðað tölvupóst sem merktur hafi verið sem einkamál en fyrirtækið beri fyrir sig reglur um að það hafi verið óheimilt. Kvartandi mótmælir því og segir þennan póst innihalda samskipti milli hans og [B], sem séu hans einkamál. Þá bendir kvartandi á að sú röksemd [X ehf.] að hægt sé að skoða allan tölvupóst að starfsmanni fjarstöddum á þeirri forsendu að um sé að ræða rannsókn á meintum trúnaðarbrotum eða að allur tölvupóstur sé eign fyrirtækisins geti ekki staðist. Varðandi vísan [X ehf.] til fyrrgreinds héraðsdóms segir kvartandi að hann hafi ekki verið aðili að því máli og því hafi verið um útivistardóm að ræða. […]. Því telji kvartandi dóminn vera marklausan út frá efnislegum þáttum.

II.

Forsendur og niðurstaða

1.

Lagaskil og afmörkun máls

Atvik máls þessa gerðust fyrir gildistöku núgildandi laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, hinn 15. júlí 2018. Umfjöllun og efni þessarar ákvörðunar byggjast því á ákvæðum eldri laga, nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, en með gildistöku laga nr. 90/2018 voru ekki gerðar efnislegar breytingar á þeim reglum sem hér reynir á.

2.

Gildissvið – Ábyrgðaraðili

Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst [X ehf.] vera ábyrgðaraðili að umræddri vinnslu.

3.

Lögmæti vinnslu

Reglur nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, voru settar með stoð í lögum nr. 77/2000 en í 9. gr. reglnanna er að finna sérákvæði um tölvupóst og netnotkun. Samkvæmt 1. mgr. 9. gr. er óheimilt að skoða einkatölvupóst nema brýna nauðsyn beri til, svo sem vegna tölvuveiru eða sambærilegs tæknilegs atviks. Þá segir að tilvikabundin skoðun vinnuveitanda á tölvupósti starfsmanns sé óheimil nema uppfyllt séu ákvæði 7., 8. og eftir atvikum 9. gr. laga nr. 77/2000, svo sem ef grunur sé uppi um brot starfsmanns gegn trúnaðar- eða vinnuskyldum. Skoðun [X ehf.] á tölvupósthólfi kvartanda þann 30. ágúst 2017 telst til tilviksbundinnar skoðunar í skilningi ákvæðisins.

Samkvæmt gögnum málsins lauk ráðningarsambandi kvartanda við [X ehf.] þann 30. júní 2017. Hins vegar verður jafnframt ráðið af málsgögnum að samkomulag hafi orðið með aðilum um að kvartandi myndi sinna undirverktöku fyrir [X ehf.] að loknu sumarleyfi sínu, eða frá 9. ágúst 2017. Af þeim sökum hafi verið fyrirhugað að kvartandi héldi tölvupósthólfi sínu hjá fyrirtækinu áfram. Eins og hér háttar til er það því mat Persónuverndar að líta beri svo á að kvartandi hafi verið starfsmaður [X ehf.], í skilningi 9. gr. reglna nr. 897/2006, allt þar til 9. ágúst 2017, er hann tilkynnti starfsmanni fyrirtækisins með tölvupósti að ekkert yrði af verktöku hans fyrir fyrirtækið þar sem hann væri kominn með næg verkefni. Sama dag sendi kvartandi öðrum starfsmanni [X ehf.] tölvupóst þar sem hann segist væntanlega vera kominn í samkeppni við [X ehf.] Verður því tekið til skoðunar hvort tilviksbundin skoðun [X ehf.] á tölvupósthólfi kvartanda þann 30. ágúst 2017 hafi samrýmst ákvæðinu.

Samkvæmt 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 er vinnsla persónuupplýsinga heimil sé hún nauðsynleg til að ábyrgðaraðili, eða þriðji maður eða aðilar sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum vegi þyngra.

Í svörum [X ehf.] kemur fram að tölvupósthólf kvartanda hafi verið skoðað þar sem uppi hafi verið grunur um trúnaðar- og samkeppnisbrot af hans hálfu ásamt grunsemdum um brot gegn lögum um eftirlit með viðskiptaháttum og markaðsstarfsemi, nr. 57/2005, á ráðningartíma og eftir að ráðningarsambandi lauk. Þá er til þess að líta að í fyrir liggur dómur héraðsdóms þar sem staðfest var lögbann við [starfsemi kvartanda á sérsviði X ehf.] innan árs frá því að ráðningarsambandi lauk. Var dómnum ekki áfrýjað til Landsréttar. Að mati Persónuverndar geta þeir viðskiptahagsmunir sem hér um ræðir talist til lögmætra hagsmuna í skilningi 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Kemur þá til skoðunar hvort þeir hagsmunir vega þyngra en grundvallarréttindi og frelsi hins skráða sem vernda ber samkvæmt lögum, sbr. áðurnefnt ákvæði 7. tölul. 1. mgr. 8. gr. laganna.

Við mat á því hvort svo sé skiptir máli hvort í skoðun á umræddum tölvupóstum hafi falist skerðing á friðhelgi einkalífs hins skráða. Af gögnum málsins má ráða að umræddir tölvupóstar hafi innihaldið upplýsingar tengdar viðskiptastarfsemi [X ehf.] Verður því ekki fallist á að um einkatölvupóst kvartanda hafi verið að ræða, eins og hér háttar til. Með hliðsjón af atvikum máls þessa og þeim upplýsingum sem [X ehf.] hafði fengið um möguleg brot kvartanda gegn trúnaðar- og vinnuskyldum sínum er skoðunin fór fram er það mat Persónuverndar að fallast megi á að hagsmunir [X ehf.] af skoðun pósthólfsins hafi vegið þyngra en grundvallarréttindi og frelsi hins skráða, sbr. 7. tölul. 1. mgr. 8. gr. laganna. Er þá jafnframt haft litið til þess að með fyrrgreindum dómi héraðsdóms var staðfest framangreint lögbann við háttsemi kvartanda. Er það því mat Persónuverndar að skoðun [X ehf.] á tölvupósthólfi kvartanda þann 30. ágúst 2017 hafi samrýmst 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og 1. mgr. 9. gr. reglna nr. 837/2019.

Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að fullnægja öllum grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skuli vera í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.) og að þær skuli vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

Af gögnum málsins verður ekki annað ráðið en að skoðun [X ehf.] á tölvupósthólfi kvartanda hafi farið fram í skýrum og málefnalegum tilgangi, sbr. 1. tölul. 1. mgr. 7. gr. Við mat á því hvort skilyrði ákvæðisins um sanngirni hafi verið uppfyllt ber meðal annars að líta til 3. mgr. 9. gr. reglna nr. 837/2006 en þar segir að þegar tölvupósts- eða netnotkun sé skoðuð skuli þess gætt að gera starfsmanni fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. Þetta eigi ekki við sé þess enginn kostur, s.s. vegna alvarlegra veikinda starfsmanns. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skuli vinnuveitandi veita honum færi á að tilnefna annan mann í sinn stað.

Eins og áður hefur verið rakið fór skoðun á tölvupósthólfi kvartanda fram vegna gruns um að hann hefði brotið gegn trúnaðar- og vinnuskyldum sínum gagnvart [X ehf.]. Við mat á því hvort [X ehf.] hafi verið þess nokkur kostur að gera kvartanda grein fyrir því að til stæði að skoða tölvupóstsnotkun hans og veita honum, eða fulltrúa hans, færi á að vera viðstaddur verður að líta til þeirra viðskiptahagsmuna sem í húfi voru fyrir fyrirtækið. Fallast má á að skapast hafi virk hætta á því að kvartandi gæti grafið undan viðskiptahagsmunum [X ehf.] og skaðað hagsmuni fyrirtækisins og viðskiptavina þess hefði [X ehf.] boðið kvartanda að vera viðstaddur skoðunina. Með vísan til þessa telur Persónuvernd unnt að fallast á að [X ehf.] hafi verið heimilt að skoða pósthólf kvartanda í umrætt skipti án þess að veita honum eða fulltrúa hans færi á að vera viðstaddur skoðunina. Er það því mat Persónuverndar að skoðun [X ehf.] á tölvupósthólfi kvartanda þann 30. ágúst 2017 hafi samrýmst 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 og 2. málsl. 3. mgr. 9. gr. reglna nr. 837/2006. Þá verður ekki talið að vinnslan sem um ræðir hafi farið í bága við önnur ákvæði 1. mgr. 7. gr. laganna.

Í 4. mgr. 9. gr. reglna nr. 837/2006 er kveðið á um að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Einnig skuli starfsmanni leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hafi látið af störfum.

Í gögnum málsins kemur fram að kvartandi gegndi [stöðu öryggisstjóra og sérfræðings] og var í lykilstöðu hjá [X ehf.]. Samkvæmt starfslýsingu [hans] hjá fyrirtækinu bar kvartandi m.a. ábyrgð á þróun og framkvæmd öryggis- og skipulagsmála varðandi upplýsingakerfi [X ehf.] Þá var gerð skipulagshandbóka, þ.m.t. öryggis- og gæðahandbóka, eitt þeirra verkefna sem tiltekin voru í starfslýsingu [hans]. Í svörum ábyrgðaraðila segir að vegna stöðu sinnar hafi kvartanda átt að vera fullkunnugt um hvaða reglur giltu um tölvupóst hans.

Ákvæði reglna nr. 837/2006 leggja frumkvæðisskyldu á ábyrgðaraðila til að ganga úr skugga um það við starfslok að hugað sé að þeim atriðum sem tiltekin eru í 4. mgr. 9. gr. þeirra. Skylda vinnuveitanda þar að lútandi er óháð því hversu langur aðdragandi er að starfslokum eða hver staða umrædds starfsmanns er. Ekki þykir fært að mati Persónuverndar að víkja frá þessari kröfu reglnanna með vísan til þess að kvartandi hafi verið sérfróður um öryggismál innan fyrirtækisins og starfa sinna sem [öryggisstjóri og sérfræðingur]. Það er því álit Persónuverndar að [X ehf.] hafi ekki gert fullnægjandi ráðstafanir í samræmi við 4. mgr. 9. gr. reglna nr. 837/2006 við starfslok kvartanda.

4.

Niðurstaða

Að framangreindu virtu er það niðurstaða Persónuverndar að tilviksbundin skoðun [X ehf.] á tölvupósti kvartanda þann 30. ágúst 2017 hafi samrýmst 1. mgr. 7. gr. og 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 ásamt 1. mgr. 9. gr. reglna nr. 837/2006. Hins vegar hafi [X ehf.] ekki gert fullnægjandi ráðstafanir í samræmi við 4. mgr. 9. gr. reglna nr. 837/2006 við starfslok kvartanda.

Mál þetta hefur dregist vegna mikilla anna hjá Persónuvernd og jafnframt þess tíma er leið meðan málinu var frestað hjá stofnuninni þar til endanleg niðurstaða dómsmáls vegna kröfu um lögbann lá fyrir.

Ú r s k u r ð a r o r ð:

Skoðun [X ehf.] á tölvupóstum [A] þann 30. ágúst 2017 samrýmdist 1. mgr. 7. gr. og 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000 og 1. mgr. 9. gr. reglna nr. 837/2006.

[X ehf.] gerði ekki fullnægjandi ráðstafanir í samræmi við 4. mgr. 9. gr. reglna nr. 837/2006 við starfslok kvartanda.

Í Persónuvernd, 29. ágúst 2019



Björg Thorarensen
formaður

Ólafur Garðarsson                                   Vilhelmína Haraldsdóttir

Þorvarður Kári Ólafsson



Var efnið hjálplegt? Nei