Útsending tölvupósts um meintan þjófnað starfsmanns

5.9.2011

Úrskurður

Hinn 17. ágúst 2011 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2011/568:

I.
Bréfaskipti
Persónuvernd barst kvörtun J (hér eftir nefndur „kvartandi“), dags. 2. maí 2011, yfir því að forstjóri Egilsson hf. hefði dreift viðkvæmum persónuupplýsingum um hann til annarra starfsmanna fyrirtækisins. Í kvörtuninni segir:

„Ég er nafngreindur í fjöldapósti sem tengist uppsögn minni sökum meints þjófnaðar. [...] Það hefur ekki verið sannað að ég hafi staðið í þjófnaði. Þetta er mjög óþægileg staða fyrir mig í augum annara starfsmanna og mjög erfitt að leiðrétta svona án þess að ég sé nafngreindur við alla.“

Með bréfi, dags. 16. maí 2011, var Egilsson hf. boðið að tjá sig um þessa kvörtun. Þann 23. maí 2011 barst Persónuvernd svar frá forstjóra félagsins. Þar segir:

„Það er rétt að J var nafngreindur í innanhússpósti til allra starfsmanna þann 29. apríl síðastliðinn. Undirritaður telur sig ekki hafa brotið lög um persónuvernd heldur var verið að upplýsa starfsmenn um staðreyndir máls á hreinskilinn hátt. Hjálagt er afrit af þessum innanhússpósti.
Þá er því mótmælt sem J heldur fram í kvörtun til Persónuverndar að ekki hafi verið sannað að hann hafi staðið í þjófnaði enda liggur fyrir undirrituð viðurkenning viðkomandi starfsmanns á því og samþykki hans um að hætta störfum strax vegna málsins. Hjálagt er afrit af þessari yfirlýsingu staðfest af yfirmanni viðkomandi.“

Í umræddu tölvubréfi, dags. 29. apríl 2011, sem fylgdi svarbréfi Egilsson hf., segir:

„Það er með harm í brjósti sem ég þarf að tilkynna aftur á stuttum tíma að starfsmanni hefur í dag verið sagt upp vegna þjófnaðar hjá fyrirtækinu.
J hefur viðurkennt brot sín og umsvifalaust verið vikið frá störfum.
Þetta eru mjög alvarleg mál sem hafa komið upp hjá okkur og hvet ég alla starfsmenn til að taka þátt í hertu átaki gegn þjófnaði í fyrirtækinu.“

Þá fylgdi einnig með yfirlýsing kvartanda í tengslum við meintan þjófnað, dags. 29. apríl 2011. Þar segir:

„Ég undirritaður J kt: [...] viðurkenni hér með að hafa tekið án þess að greiða fyrir I pod hátalara að verðmæti 27.900.- úr verslun Office1 í Skeifunni.
Ég samþykki að hætta störfum strax og eiga enga kröfu á fyrirtækið um ógreidd laun.“

Með bréfi, dags. 1. júní 2011, var kvartanda veittur kostur á að tjá sig um svar Egilsson hf. Ekkert svar barst. Þann 11. júlí var ábyrgðaraðila gefinn kostur á að skýra frekar hvaða heimild hann teldi hafa staðið til umræddrar vinnslu - þ.e. hvort hann teldi hafa verið nauðsynlegt að láta alla starfsmenn vita af broti kvartanda og þá hvers vegna. Þann 19. júlí 2011 barst Persónuvernd svar frá forstjóra Egilsson hf. Þar segir:

„Frá áramótum og að þeim tíma er J viðurkenndi þjófnað frá vinnuveitanda hefur tveimur verslunarstjórum verið sagt upp hjá Office 1 vegna þjófnaðar í starfi og voru þessi tvö mál bæði kærð til lögreglu en í öðru málinu lá fyrir viðurkenning. Brot þessi skipta tugum miljóna. Þetta hefur því verið erfiður tími hjá starfsfólki og hefur m.a. þurft að kalla til sálfræðinga til að veita starfsfólki áfallahjálp.

Starfsfólkið þjappaði sér mikið saman eftir þessa atburði, tími sem hefur verið mörgum erfiður. Markmið starfsfólks hefur verið að hafa allt uppá borðum og fara sameiginlega í gegnum alla ferla til þess að koma í veg fyrir þjófnað og óheiðarleika hjá samstarfsfólki.

J gegndi ábyrgðarstarfi hjá Office1 sem einn af tveimur næturvörðum í verslun sem unnu á vöktum á móti hvor öðrum og voru einir á vakt og var treyst fyrir uppgjörum og birgðum að verðmæti kr. 80m

Það er útilokað við slíkar aðstæður þegar starfsmaður í þeirri stöðu sem J var í, eftir það sem undan er gengið í starfsmannamálum, að koma ekki hreint fram og útskýra fyrir öðrum starfsmönnum sem m.a. upplýsa yfirstjórn um málið, hvaða ástæður séu að baki skyndilegri uppsögn. Það var ekki staflaus grunur um brot J heldur lá fyrir undirrituð játning hans.

Undirritaður telur að nauðsynlegt hafi verið að skýra starfsfólki satt og rétt frá ástæðum uppsagnar í ljósi framangreinds og til þess m.a. að fyrirbyggja gróusögur og kvitt.“

Í símtali við kvartanda hinn 22. júlí 2011 var hann spurður um málsatvik. Hann kvaðst telja umræddan tölvupóst hafa verið sendan út eftir að gengið var frá samkomulagi um lyktir máls.

II.
Niðurstaða
1.
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.

Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við 2. tölul. 2. gr. í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu.

Í mörgum tilvikum ber fremur að líta á póstsendingar innan fyrirtækis sem innanhússnotkun heldur en miðlun. Slík  notkun má jafnan fara fram. Það breytir þó ekki því að hún er vinnsla persónuupplýsinga í skilningi laga nr. 77/2000.  Af því leiðir að sú aðgerð að senda öllum starfsmönnum fyrirtækis upplýsingar um að einum nafngreindum starfsmanni þess hafi verið sagt upp vegna þjófnaðar fellur undir gildissvið þeirra laga og þar með undir valdsvið Persónuverndar.

2.
Í b-lið 8. tölul. 2. gr. laga nr 77/2000 segir að upplýsingar um hvort að maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, teljist til viðkvæmra persónuupplýsinga. Svo að vinna megi með slíkar upplýsingar verður að vera fullnægt einhverju skilyrðanna í 1. mgr. 9. gr. laga nr. 77/2000. Hér kemur í fyrsta lagi til álita ákvæði 1. töluliðar 1. mgr. 9. gr. um að hinn skráði hafi veitt samþykki sitt. Þarf þá að liggja fyrir samþykki sem uppfyllir skilyrði 7. töluliðar 2. gr. laganna. Slíkt samþykki liggur ekki fyrir og verður vinnslan því ekki byggð á þessu ákvæði.

Í öðru lagi þarf að líta til ákvæðis 7. töluliðar 1. mgr. 9. gr. laganna. Þar segir að vinnsla viðkvæmra persónuupplýsinga geti verið heimil sé hún nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Af hálfu ábyrgðaraðila hefur komið fram að sú aðgerð að senda öllum starfsmönnum fyrirtækisins upplýsingarnar um þjófnað kvartanda hafi verið liður í að upplýsa staðreyndir máls á hreinskilinn hátt, m.a. til að fyrirbyggja gróusögur og kvitt. Ekki hefur hins vegar verið skýrt að dreifa hafi þurft hinum viðkvæmu upplýsingum til allra, s.s. vegna laganauðsynja, málaferla eða kæru til lögreglu. Hefur þannig ekki komið fram að þessu skilyrði hafi verið fullnægt.

Öll vinnsla þarf að uppfylla meginreglur 7. gr. laga nr. 77/2000. Af 1. tölulið 1. mgr. 7. gr. leiðir að forsenda þess að vinnsla teljist hafa verið lögmæt er að hún hafi farið fram með sanngjörnum, málefnalegum og lögmætum hætti og verið í samræmi við vandaða vinnsluhætti persónuupplýsinga. Í 3. tölulið 1. mgr. er einnig skilyrði um meðalhóf við vinnslu persónuupplýsingar en þar segir að þess skuli gætt að vinna persónuupplýsingar ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Í þessu skilyrði felst m.a. að ekki má veita fleirum aðgang að viðkvæmum persónuupplýsingum en þarf til að gæta lögmætra hagsmuna.

Við mat á því hvort sú aðgerð að senda öllum starfsmönnum póst með viðkvæmum persónuupplýsingum um kvartanda hafi uppfyllt þessi skilyrði  - verið sanngjörn, hófleg og málefnaleg - skiptir m.a. máli hvers kvartandi mátti vænta. Að mati Persónuverndar gat hann vænst þess að málið myndi ekki hafa frekari eftirmála ef hann myndi í fyrsta lagi viðurkenna að hafa tekið I pod hátalara ófrjálsri hendi úr versluninni  Office1 í Skeifunni, í öðru lagi láta af störfum þegar í stað og í þriðja lagi fallast á að hann ætti enga kröfu á fyrirtækið um ógreidd laun. Umræddri dreifingu forstjórans á upplýsingum um hann má hins vegar jafna til slíkra eftirmála. Verður ekki séð að dreifingin hafi uppfyllt skilyrði 7. gr.

 Í ljósi þessa, og þar sem ábyrgðaraðili hefur ekki sýnt fram á að dreifing upplýsinganna til allra starfsmanna hafi verið nauðsynleg í skilningi 7. töluliðar 1. mgr. 9. gr. laga nr. 77/2000, verður að telja hana hafa farið í bága við ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.

Tekið er fram að framangreint á ekki við um munnlega miðlun persónuupplýsinga, s.s. þá sem fram fer á starfsmannafundum, enda fellur hún ekki undir efnislegt gildissvið laga nr. 77/2000.


Ú r s k u r ð a r o r ð:

Sú aðgerð Egilsson hf. að dreifa upplýsingum um meintan þjófnað starfsmanns síns, J, til allra starfsmanna sinna, hinn 29. apríl 2011, var óheimil.