Meðferð vinnuveitanda á tölvupósthólfi

Mál nr. 2018/753

3.5.2019

Hinn 11. apríl 2019 kvað Persónuvernd upp svohljóðandi úrskurð í máli nr. 2018/753:

Úrskurður

I.

Málsmeðferð

1.

Tildrög máls

Þann 8. apríl 2018 barst Persónuvernd kvörtun frá A (hér eftir nefndur kvartandi) vegna meðferðar á tölvupósthólfi hans á vinnustað hans, Félagsbústöðum, á þeim tíma sem hann var í veikindaleyfi frá störfum. Í kvörtuninni segir m.a. að kvartandi hafi farið í veikindaleyfi […]. Þann 16. febrúar [2018] hafi öllum netföngum starfsmanna Félagsbústaða verið lokað og þeim úthlutað nýju lykilorði þann 19. febrúar. Kvartanda hafi ekki verið úthlutað nýju lykilorði en honum tjáð af trúnaðarmanni starfsmanna Félagsbústaða að hann gæti nálgast nýtt lykilorð ef hann óskaði með því að koma á vinnustaðinn og hitta framkvæmdastjóra Félagsbústaða, sem hann hafi kosið að gera ekki. Þann 3. apríl s.á. hafi kvartandi haft samband við Gallup og óskað eftir að fá senda starfsánægjukönnun um stofnun ársins, sem Gallup sá um framkvæmd á, senda á einkanetfang sitt þar sem hann vildi taka þátt í könnuninni. Í samskiptum kvartanda við Gallup fékk hann vitneskju um að svar hans við fyrrgreindri könnun hefði verið skráð hjá Gallup þann 27. mars 2018. Á þeim tíma hafi kvartandi verið í veikindaleyfi frá vinnu og ekki haft aðgang að vinnutölvupósthólfi sínu sem könnunin hafði verið send á.

2.

Bréfaskipti

Með bréfi, dags. 12. júní 2018, var Félagsbústöðum boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Með bréfi, dags. 22. júní 2018, barst svar frá Félagsbústöðum. Í bréfinu kemur fram að tölvupóstfang kvartanda hafi ekki verið opnað frá því að lykilorðum hafi verið breytt hjá starfsfólki í öryggisskyni þann 19. apríl 2018. Hins vegar hafi þann 28. febrúar s.á. verið sett á áframsending af tölvupóstfangi kvartanda til samstarfsmanns hans, sem jafnframt sé trúnaðarmaður starfsmanna, í þeim tilgangi að verkefni sem kvartanda gætu borist í tölvupósthólf hans myndu ekki daga uppi þar sem kvartandi væri í veikindaleyfi. Jafnframt segir í bréfinu að kvartandi sé grunaður um brot á trúnaðar- og vinnuskyldu og fyrrgreindur aðgangur að starfstengdum tölvupósti hans því heimill. Þá segir að umrædd könnun hafi því endað í pósthólfi samstarfsmanns kvartanda. Það kunni að vera að fyrir mistök hafi samstarfsmaður hans svarað könnuninni með því að smella á hlekk sem var í tölvupóstinum og hafi því svarað könnunni í nafni kvartanda. Þá segir í bréfinu að einnig kunni að vera að villa hafi átt sér stað við úrvinnslu könnunarinnar hjá Gallup. Að lokum segir að pósthólf kvartanda hafi ekki verið opnað frá því 19. febrúar 2018 þegar lykilorðum allra starfsmanna hafi verið breytt og því hafi enginn tölvupóstur verið sendur úr tölvupósthólfi kvartanda frá þeim tíma. Það hafi verið sannreynt með því að skoða log-skrár af póstþjóni félagsins.

Með bréfi, dags. 17. júlí 2018, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Félagsbústaða til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarað var með bréfi, dags. 9. ágúst s.á. Þar segir m.a. að engu breyti hvort umræddri könnun hafi verið svarað í gegnum tölvupósthólf annars aðila eða í gegnum tölvupósthólf kvartanda. Með því að svara könnuninni hafi verið brugðist við tölvupósti sem eingöngu hafi verið ætlaður kvartanda. Þá segir í bréfinu að með því að svara í nafni kvartanda meðan hann sé í veikindaleyfi sé verið að gera niðurstöður könnunarinnar ómarktækar. Kvartandi vekur athygli á því að í svörum Félagsbústaða komi fram að ekki hafi verið farið í sjálfstæða rannsókn á því hvort sendur hafi verið tölvupóstur úr tölvupósthólfi kvartanda eða ekki. Kvartandi hefði sjálfur óskað eftir því við stjórnarformann Félagsbústaða að þetta yrði rannsakað af utanaðkomandi sérfræðingi þar sem starfsmenn Félagsbústaða væru vanhæfir til að fara með rannsókn þess en ekki hafi verið farið að beiðni hans. Hvað varðar fullyrðingar Félagsbústaða um að kvartandi sé grunaður um brot á trúnaðar- og vinnuskyldu segir að hann hafi engar vísbendingar fengið um slíkar ásakanir og hafi fyrst orðið kunnugt um þær í svarbréfi Félagsbústaða, dags. 22. júní 2018. Það hljóti að vera skylda fyrirtækis að láta starfsmann vita um slíkar ásakanir áður en hlaupið sé til og farið í pósthólf viðkomandi. Jafnframt gerir kvartandi athugasemdir við framkvæmd og eðli skoðunar á tölvupósthólfi hans og eins rannsókn á henni.

II.

Forsendur og niðurstaða

1.

Lagaskil

Mál þetta varðar kvörtun sem barst Persónuvernd þann 8. apríl 2018 og lýtur að atvikum sem gerðust fyrir gildistöku núgildandi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga þann 15. júlí 2018. Umfjöllun og efni þessa úrskurðar verða því byggð á ákvæðum eldri laga, nr. 77/2000, en ekki er um efnislegar breytingar að ræða í lögum nr. 90/2018 á þeim reglum laganna sem hér reynir á.

2.

Gildissvið laga nr. 77/2000

Gildissvið laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga, sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölulið 2. gr. laganna, og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölulið sömu greinar. Að framangreindu virtu er ljóst að mál þetta varðar meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til teljast Félagsbústaðir vera ábyrgðaraðili að umræddri vinnslu.

3.

Lögmæti vinnslu

Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 1. mgr. 8. gr. laga nr. 77/2000. Má þar meðal annars nefna að vinnslan sé nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vega þyngra, sbr. 7. tölul. þeirrar málsgreinar, en ætla verður að skoðun félags á tölvupósti starfsmanns eða annars konar eftirlit með tölvunotkun geti einkum byggst á því ákvæði.

Auk heimildar samkvæmt framangreindu verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er m.a. mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).

Til þess er einnig að líta að við skoðun á tölvupósti starfsmanna og tölvunotkun þeirra á vinnustað að öðru leyti verður að fara að 9. gr. reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, sbr. 5. mgr. 37. gr. laga nr. 77/2000. Til rafrænnar vöktunar telst meðal annars tölvupóstsvöktun vinnuveitenda sem fram fer með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupósta og tölvupóstkerfisnotkun einstakra starfsmanna.

Í 1. mgr. 9. gr. reglna nr. 837/2006 er kveðið á um að óheimilt sé að skoða einkatölvupóst nema brýna nauðsyn beri til, svo sem vegna tölvuveiru eða sambærilegs tæknilegs atviks. Tilvikabundin skoðun vinnuveitanda á tölvupósti starfsmanns sé óheimil nema uppfyllt séu ákvæði 7., 8. og, eftir atvikum, 9. gr. laga nr. 77/2000, til dæmis ef grunur er uppi um brot starfsmanns gegn trúnaðar- eða vinnuskyldum. Þá er kveðið á um það í 3. mgr. 9. gr. reglnanna að þegar tölvupóstnotkun starfsmanns sé skoðuð skuli þess gætt að gera starfsmanni fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. Þetta eigi þó ekki við sé þess enginn kostur, s.s. vegna alvarlegra veikinda starfsmanns. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skuli veita honum færi á að tilnefna annan mann í sinn stað.

Þá er í 5. gr. reglna nr. 837/2006 mælt fyrir um að við alla rafræna vöktun skuli þess gætt að ganga ekki lengra en brýna nauðsyn ber til miðað við þann tilgang sem stefnt er að. Gæta skuli einkalífsréttar þess sem sæti vöktun og forðast alla óþarfa íhlutun í einkalíf þeirra. Einnig segir að við ákvörðun um hvort viðhafa skuli rafræna vöktun skuli ávallt gengið úr skugga um hvort markmiðum með slíkri vöktun sé unnt að ná með öðrum og vægari raunhæfum úrræðum.

Fram kemur í bréfi Félagsbústaða að þann 28. febrúar 2018 hafi verið sett á áframsending frá tölvupóstfangi kvartanda til samstarfsmanns hans sem jafnframt gegni starfi trúnaðarmanns. Fyrrgreindur samstarfsmaður fékk þannig fullan aðgang að þeim tölvupóstum sem kvartanda bárust á hans tölvupóstfang, þar á meðal einkatölvupóst. Með vísan til atvika máls þessa telur Persónuvernd að ekki hafi verið fyrir hendi heimild, samkvæmt 1. mgr. 8. gr. laga nr. 77/2000, sbr. 1. mgr. 9. gr. reglna nr. 837/2006, til þeirrar vinnslu persónuupplýsinga sem fólst í ótakmörkuðum aðgangi að tölvupósthólfi kvartanda meðan hann var í veikindaleyfi. 

Ábyrgðaraðili hefur ekki fært rök fyrir því í hverju ætluð brot kvartanda á trúnaðar- og vinnuskyldu hafi falist og hvernig þau brot hafi réttlætt þá framkvæmd sem viðhöfð var um tölvupósthólf kvartanda í veikindaleyfi hans. Í málinu liggur fyrir að kvartanda var ekki gerð grein fyrir að hann væri grunaður um fyrrgreind brot. Þá var kvartandi ekki upplýstur um að tölvupóstur hans yrði áframsendur og skoðaður og þar af leiðandi var honum hvorki veittur kostur á að vera viðstaddur slíka skoðun, né að tilnefna annan mann í sinn stað væri þess þörf. Hvort heldur sem er bar Félagsbústöðum í öllum tilvikum að gera kvartanda fyrst grein fyrir því að tölvupóstur hans yrði skoðaður og veita honum færi á að vera viðstaddur slíka skoðun.

Að öllu framangreindu virtu er niðurstaða Persónuverndar sú að meðferð Félagsbústaða á tölvupósthólfi kvartanda meðan hann var í veikindaleyfi hafi hvorki samrýmst ákvæðum laga nr. 77/2000 né 9. gr. reglna nr. 837/2006.

4.

Fræðslu- og upplýsingaskylda

Samkvæmt 10. gr. reglna nr. 837/2006 skal ábyrgðaraðili setja reglur og/eða veita fræðslu til þeirra sem sæta rafrænni vöktun. Áður en slíkum reglum er beitt skal kynna þær með sannanlegum hætti, s.s. við gerð ráðningarsamnings. Reglur eða fræðsla samkvæmt 1. mgr. skulu taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast og hversu lengi þær verði varðveittar. Þá segir í e-lið 3. mgr. 10. gr. að einnig skuli veita fræðslu um hvernig farið sé með einkatölvupóst og annan tölvupóst.

Með vísan til 4. tölul. 1. mgr. 42. gr. laga nr. 90/2018 beinir Persónuvernd þeim fyrirmælum til Félagsbústaða að setja sér verklagsreglur um meðferð tölvupósts starfsmanna á meðan á starfi stendur og við starfslok, svo og fræðslu til starfsmanna um rafræna vöktun. Skal félagið senda Persónuvernd afrit af verklagsreglunum eigi síðar en 11. júní 2019.

Mál þetta hefur dregist vegna mikilla anna hjá Persónuvernd.

Ú r s k u r ð a r o r ð:

Meðferð Félagsbústaða á tölvupósthólfi A í veikindaleyfi hans var ekki í samræmi við lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, og 9. gr. reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.

Eigi síðar en 11. júní 2019 skulu Félagsbústaðir senda Persónuvernd verklagsreglur um meðferð tölvupósts starfsmanna á meðan á starfi stendur og við starfslok, svo og fræðslu til starfsmanna um rafræna vöktun.