Aðgangur fyrrverandi starfsmanns að tölvupósti
Persónuvernd hefur úrskurðað um kvörtun fyrrverandi starfsmanns sveitarfélags yfir að geta ekki skoðað gamlan tölvupóst sinn á netþjóni einsamall.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 22. júní 2011 var kveðinn upp svohljóðandi úrskurður í máli nr. 2011/477:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Þann 28. mars 2011 barst Persónuvernd kvörtun frá J, hdl., f.h. Ó, yfir að fyrrum vinnuveitandi Ó, Seltjarnarnesbær, hefði sett skilyrði fyrir því að Ó fengi að skoða tölvupóst sinn. Skilyrðið var að fjármálastjóri sveitarfélagsins yrði viðstaddur og fylgdist með skoðuninni. Tilgangur Ó með því að fá að skoða póstana mun vera að geta fengið gögn til nota í málaferlum við bæinn. Í kvörtuninni segir m.a.:
„[...] Á matsfundi með matsmönnum í lok október 2010 boðaði lögmaður Á og Seltjarnarnesbæjar að lögð yrðu fram gögn til matsmanna á síðari stigum. Matsmönnum barst í kjölfarið fjöldi tölvupósta milli Á og umbjóðanda míns. Umbjóðandi minn óskaði því eftir aðgangi að tölvupóstnetfangi sínu hjá Seltjarnarnesbæ í þeim tilgangi að skoða alla tölvupósta milli sín og Á. Á fundi matsmanna með Á komu matsmenn þessari ósk á framfæri við Á. Tjáði hún matsmönnum að það væri sjálfsagt mál að umbjóðandi minn fengi aðstöðu og svigrúm til að skoða tölvupóst sinn hjá Seltjarnarnesbæ. Í kjölfarið óskaði undirritaður lögmaður eftir því við lögmann sveitarfélagsins, með tölvupósti 29. nóvember sl., að hann hefði milligöngu um að tölvupóstur umbjóðanda míns yrði opnaður til þessarar skoðunar og honum veittur aðgangur. Ekkert svar barst og var fyrirspurn þessi síðan ítrekuð með tölvupóstum til lögmannsins 7. og 9. desember s.á. Með svarpósti frá lögmanni sveitarfélagsins þann 16. desember var erindinu svarað á eftirfarandi hátt: „Ó getur fengið aðgang að tölvu og þar með tölvupóstum sínum í fundarherbergi á skrifstofum Seltjarnarnesbæjar. Í samræmi við reglur Persónuverndar verður G, sem fulltrúi Persónuverndar, viðstdaddur þegar Ó skoðar tölvupóstana.“
Í kjölfar þessa var óskað eftir nákvæmari tilvísun frá lögmanni sveitarfélagsins til hvaða ákvæða í reglum persónuverndar verið væri að vísa, enda fráleitt að annar starfsmaður yrði viðstaddur þegar umbjóðandi minn skoðaði persónulegan tölvupóst sin. Í svarpósti lögmannsins sem barst undirrituðum samdægurs kom síðan fram: „Ég er að vísa til laga nr. 77/2000, reglna nr. 837/2006 og leiðbeininga Pvn nr. 1001/2001.“
Síðastgreindum tölvupósti lögmanns sveitarfélagsins var svarað með tölvupósti 23. desember þar sem enn á ný er óskað eftir nákvæmari tilvísun til viðeigandi ákvæða enda fráleitt að því sé haldið fram að persónuverndarlög tryggi atvinnurekendum rétt til að hafa þann hátt á að annar starfsmaður sitji yfir starfsmönnum og vakti skoðun á eigin tölvupósti ef viðkomandi atvinnurekandi telur það þjóna best sínum hagsmunum. Í fyrrgreindum pósti undirritaðs segir meðal annars: „Hins vegar óska ég aftur eftir tilvísun frá þér til þeirra ákvæða í persónuverndar lögum og þeim reglum sem þú vísar til sem geta verið stoð fyrir því að G skuli sitja yfir Ó og fylgjast með honum þegar hann fer í gegnum tölvupóstinn sinn. Ég hef núna sjálfur skoðað persónuverndarlögin, reglur persónuverndar nr 837 og leiðbeiningar persónuverndar með það fyrir augum að finna einhver ákvæði sem gætu hugsanlega réttlætt það að G sitji yfir Ó við skoðun tölvupósts hans, en get ómögulega fundið neitt í þeim efnum. Þvert á móti má álykta út frá reglum 837 að slík yfirseta samstarfsmanns Ó væri óeðlileg og í ósamræmi við tilgang reglna sem æltað er að tryggja vernd einstaklinga. Tilvísun til ákvæða af þinni hálfu væri því afar gagnleg og einnig eðlileg þar sem þú heldur því fram að einhverjar reglur kveðið á um yfirsetu G. Ég vil að lokum árétta sérstaklega að ef einhverjar reglur kveða á um að þannig skuli farið þegar starfsmaður skoðar sinn eigin tölvupóst, líkt og þú hefur lagt til, mun Ó að sjálfsögðu fallast á að svo verði.“ Með svarpósti frá lögmanni sveitarfélagsins þann 30. desember sl. kom aftur fram sú skoðun hans að fulltrúi vinnuveitanda eigi rétt á að vera viðstaddur þegar umbjóðandi minn skoði tölvupósta sína, þó án þess að færa fyrir því nein rök eða verða við beiðni um tilvísun til viðeigandi lagaákvæða.
Umbjóðandi minn vísar jafnframt til þess að Jón Benedikt Björnsson, matsmaður, beindi þeirri fyrirspurn til Á að umbjóðandi minn fengi aðgang að sínum eigin tölvupósti þannig að ekki kæmi til frekari tafa við vinnslu matsgerðarinnar, sbr. meðfylgjandi tölvupóst frá 20. desember. Í svarbréfi Á 22. desember segir orðrétt: „G fjármálastjóri var búinn að senda á lögfr. bæjarins fyrir helgina að það væri ekkert því til fyrirstöðu. En farið yrði eftir reglum persónuverndar, þ.e.a.s. að starfsmaður bæjarins G sjálfur verður viðstaddur þegar hann skoðar tölvupóst sem sendur hefur verið til hans sem starfsmann bæjarins.“
Með hliðsjón af framangreindu er ljóst að umbjóðandi minn fékk ekki aðgang að tölvupóstum sínum til skoðunar nema gegn því skilyrði að G, fjármálastjóri, yrði viðstaddur á meðan slík skoðun færi fram. Umbjóðandi minn féllst ekki á að skoða tölvupóstinn með þessum fyrirhugaða hætti. Umbjóðandi minn telur fráleitt að því sé haldið til streitu að lög um persónuvernd og aðrar reglur sem vísað hefur verið til, þó án þess að lögmaður sveitarfélagsins hafi vísað með nákvæmum hætti til viðeigandi ákvæða, séu túlkaðar þannig að rétt hafi verið að hafa eftirlit með skoðun umbjóðanda míns á sínum eigin tölvupóstum. Sér í lagi er slíkt óeðlilegt þar sem um er að ræða skoðun sem framkvæma átti vegna matsmáls sem rekið var og fyrrv. veitandi umbjóðanda míns var matsþoli í því máli. Sérstaklega er vísað til þess að umbjóðandi minn var ennþá starfsmaður sveitarfélagsins þegar hann bar fram óskir um að fá að skoða tölvupósta í tengslum við matsmálið. Breytir engu í þeim efnum þótt ekki hafi verið óskað eftir starfskröftum hans frá því að staða hans var lögð niður hjá sveitarfélaginu, en hann var launþegi hjá sveitarfélaginu til 31. desember 2010.
Í reynd telur umbjóðandi minn að þvert á móti sé það andstætt lögum og reglum um persónuvernd, og þeim rétti sem lögunum og reglunum um það efni er ætlað að tryggja einstaklingum, að umræddur atvinnurekandi hafi heimild til að setja það sem skilyrði fyrir skoðun tölvupósts umbjóðanda míns að annar starfsmaður fylgist með þeirri skoðun. Augljóst er að slík yfirseta annars starfsmanns er ekki gerð í málefnalegum tilgangi. Er lögum um persónuvernd og reglum um sama efni ætlað að tryggja að starfsmenn geti skoðað eigin tölvupóst án viðveru annarra starfsmanna. Sérstaklega hafi umbeðin skoðun verið mikilvæg í ljósi þess matsmáls sem rekið var, sbr. beiðni í meðfylgjandi tölvupósti frá matsmönnum um að umbjóðandi minn fengi aðgang að tölvupóstum þannig að hann gæti lagt þá fram í matsmálinu.“
2.
Bréfaskipti
Með bréfi, dags. 14. apríl 2011, var Á, bæjarstjóra Seltjarnarnesbæjar, veitt færi á að tjá sig um framkomna kvörtun. Svarbréf lögmanns bæjarins, dags. 27. apríl 2011, barst stofnuninni þann 29. s.m. Þar sagði m.a.:
„Samkvæmt niðurlagi II. kafla kvörtunarinnar er henni beint til Persónuverndar „til þess að fá úr því skorið hvort sveitarfélaginu Seltjarnarnesbæ hafi verið heimilt að setja það skilyrði fyrir skoðun tölvupósts hans að annar starfsmaður, nánar tiltekið fjármálastjóri, sæti yfir honum og fylgdist með við skoðun tölvupósta hans eins og fyrirhugað var að hann gerði.“
Kvartandi er fyrrverandi starfsmaður umbj.m. Skv. 1. ml. 4. mgr. 9. gr. reglna. Persónuverndar nr. 837/2009 um rafræna vöktun, sbr. 5. mgr. 37. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, skal við starfslok gefa starfsmanni kost á að eyða eða taka afrit af „þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans.“ Af orðalaginu verður ráðið að fara verður fram mat á því hvort tölvupóstur „tengist starfsemi vinnuveitandans“ eður ei. Það mat verður eðli máls samkvæmt að fara fram í samvinnu viðkomandi vinnuveitanda og starfsmanns, enda ákvæðið dauður bókstafur og tilgangslaust ef ætlunin væri að setja í sjálfdæmi annars hvors þeirr að ákveða hvort sá tölvupóstur „tengist starfsemi vinnuveitandans“ eða ekki. Með ákvæðinu er uagljóslega leitast við að finna sanngjarnt meðalhóf milli þess sjónarmiðs að tölvupóstur á léni vinnuveitanda sé hluti af starfsemi hans og því á hans forræði og þess eðlilega tillits sem gera verður til hefðbundinnar notkunnar slíkra samskiptatækja, þ.e. að starsfmenn kunni að nýta netföng vinnuveitanda sinna að einhverju leyti til að hafa samskipti sem séu vinnustaðnum óviðkomandi. Þá bendur umbj.m. á að umrædds verklags, þ.e. að við starsflok fari fulltrúi vinnuvetanda ásamt viðkomandi starfsmanni sameigilega yfir tölvupóst starfsmannsins með framangreindum hætti, sér að nokkru leyti stað í úrskurðum Persónuverndar, sbr. t.d. í málum 2005/251 og 2009/892.
Eins og fram kemur í umræddri kvörtun hefur umbj.m. ítrekað boðið kvartanda að fara ásamt fulltrúa umbj.m. yfir tölvupóst kvartanda sem vistaður er undir vinnunetfangi hans hjá umbj.m. Hefur kvartandi enn sem komið er ekki þekkst boðið. Ef af yrði, myndu viðkomandi fara saman í gegnum tölvupóstinn, vinsa út þann póst sem ekki tengsist starsfemi umbj.m., sá póstur yrði afhentur kvartanda og að því loknu eytt úr tölvupóstkerfum umbj.m.
Samkvæmt framansögðu telur umbj.m. ekki vera efni til að fallist verði á kvörtun f.h. Ó til Persónuverndar [...].“
Svarbréf Seltjarnarnesbæjar var borið undir kvartanda með bréfi, dags. 5. maí 2011. Svarbréf kvartanda, dags. 10. maí 2011, barst Persónuvernd þann 12. maí s.á. Þar sagði m.a.:
„Kvartandi mótmælir því að 4. mgr. 9. gr. reglna Persónuverndar nr. 837/2009 eigi við með þeim hætti sem fram kemur í svarbréfi sveitarfélagsins. Kvartandi var ekki að óska eftir því að taka afrit af eða eyða einhverjum tölvupóstum sem ekki tengdust starfsemi vinnuveitandans, þ.e.a.s. svokölluðum einkapósti. Þegar af þeirri ástæðu þurfti ekkert mat að fara fram á því hvort tölvupóstar hans tengdust starfsemi vinnuveitandans eða ekki, enda kemur skýrt fram í beiðni hans til lögmanns sveitarfélagsins að hann óski eftir tölvupóstnetfangi sínu hjá Seltjarnarnesbæ í þeim tilgangi að skoða alla tölvupósta milli hans og Á. Hvergi er minnst á að tölvupóstum skyldi eytt eða að hann fengi afrit af einkapósti sem væri óviðkomandi starfi hans hjá Seltjarnarnesbæ.
Kvartandi mótmælir því að tilvitnaðir úrskurðir Persónuverndar í málnum nr. 2005/251 og 2009/892 hafi einhverja raunhæfa þýðingu við mat á umkvörtunarefni þessa máls. Er í raun um fráleita tilvísun að ræða enda varða tilvitnaðir úrskurðir það hvort atvinnurekandi hafi með réttu átt að gefa tilteknum starfsmanni kost á að vera viðstaddur skoðun á tölvupóstum sem gerð var að frumkvæði atvinnurekandans.
Í niðurlagi svarbréfs Seltjarnarnesbæjar, dags. 27. apríl, er því loks lýst með hvaða hætti starfsmaður bæjarins ætlaði að haga umbeðinni skoðun á tölvupóstum kvartanda, en þar segirr orðrétt: „Ef af yrði, myndu viðkomandi fara saman í gegnum tölvupóstinn, vinsa út þann póst sem ekki tengist starsfemi umbj.m., sá póstur yrði afhentur kvartanda og að því loknu eytt úr tölvupóstkerfum umbj.m.“ Kvartandi bendir á að með þessari fyrirhuguðu aðgerðafræði, sem tilgreind er að framan, komi í raun fram staðfesting á því hverngi fyrirhuguð skoðun átti að fara fram og með hvaða hætti hún sé ósamræmanlegt viðeigandi reglum um persónuvernd. Þá er þessi lýsing á fyrirhugaðri skoðun í raun óskiljanleg og í algeru ósamræmi við þá beiðni hans til lögmanns sveitarfélagsins, sbr. meðfylgjandi tölvupósta með kvörtun til Persónuverndar, kemur fram að hann óski eftir að skoða tölvupósta milli hans og Á þannig að hann gæti, ef ástæða væri til, afhent matsmönnum tölvupóstana sem viðbótar gögn í matsmálinu. Í fyrrnefndri beiðni er engin krafa um að tölvupóstum verði eytt eða þá að kvartandi vilji skoða persónulega tölvupósta og fá afrit af þeim. “
Þann 20. júní 2011 barst Persónuvernd tölvubréf frá Seltjarnarneskaupstað þar sem segir:
,,Pósthólfið hans er til á póstþjóni bæjarins en er óvirkt. Svo hann geti skoðað pósthólfið sitt þarf að endurvirkja það á server bæjarins og það myndi tæknimaður frá Skyggni gera að beiðni G, fjármálastjóra."
II.
Forsendur og niðurstaða
1.
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.
Af framangreindu leiðir að sú aðgerð að heimila kvartanda að skoða tölvupósthólf sitt á sínum fyrri vinnustað, Seltjarnarnesbæ, og að gæta öryggis við framkvæmd þeirra aðgerðar, fellur undir gildissvið laga nr. 77/2000 og þar með valdsvið Persónuverndar, sbr. 37. gr. laganna.
2.
Ekki er fyrir hendi ágreiningur um hvort hinn skráði eigi að fá aðgang að tölvupósti sínum hjá fyrrverandi vinnuveitanda sínum. Afmarkast úrlausnarefni máls þessa eingöngu við það að bærinn ákveði að hafa núverandi starfsmann bæjarins viðstaddan þegar fyrrum starfsmaður, þ.e. hinn skráði (kvartandi), skoðar póst sem hann bæði fékk og sendi þegar hann var enn við störf.
Almennt er það svo að þegar starfsmaður lætur af störfum er sú útstöð sem hann notaði lögð af og pósthólfi hans lokað (gert óvirkt). Eftir það verða skeyti sem kunna að liggja í hólfinu ekki skoðuð nema í gegnum netþjón viðkomandi ábyrgðaraðila. Slíkur aðgangur er í framkvæmd oftast takmarkaður við kerfis- eða öryggisstjóra ábyrgðaraðila enda ljóst að miklir öryggishagsmunir og áhætta fylgir jafnan aðgangi að netþjónum fyrirtækja og stofnana. Mun svo vera í því máli sem hér er til úrlausnar, eins og fram kemur í tölvubréfi Seltjarnarneskaupstaðar hinn 20. júní 2011.
Samkvæmt 11. gr. laga nr. 77/2000 ber ábyrgðaraðila að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðingu, gegn því að þær glatist eða breytist fyrir slysni og fyrir óleyfilegum aðgangi. Um þetta eru einnig ákvæði í reglum nr. 299/2001 um öryggi persónuupplýsinga. Í 4. gr. þeirra segir að ábyrgðaraðili skuli gera viðeigandi öryggisráðstafanir og að við val á þeim skuli hann taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á. Varðandi tækniráðstafanir skal hafa hliðsjón af nýjustu lausnum sem í boði eru og kostnaði við framkvæmd þeirra. Þá geta öryggisráðstafanir verið skipulagslegar. Undir það falla ýmsar stjórnunarlegar aðgerðir s.s. þær er lúta trúnaði, ábyrgð og hlutverki einstakra starfsmanna.
Það er mat stjórnar Persónuverndar að það sé eðlileg öryggisráðstöfun í framangreindum skilningi að binda aðgang starfsmanna að netþjóni öryggisskilyrðum, hvort sem um er að ræða núverandi eða fyrrverandi starfsmenn. Eru því ekki efni til að gera athugasemd við það mat Seltjarnarnesbæjar að nauðsynlegt sé að setja það sem skilyrði að starfsmaður sé ekki einn við að skoða gögn á netþjóni, enda er það öryggisráðstöfun í samræmi við 11. gr. laga nr. 77/2000 og 4. gr. reglna nr. 299/2001.
Ú r s k u r ð a r o r ð:
Seltjarnarnesbæ er heimilt að setja það sem skilyrði fyrir aðgangi Ó að netþjóni bæjarins að tiltekinn núverandi starfsmaður bæjarins verði viðstaddur.