Tölvupóstur áframsendur innan fyrirtækis - mál nr. 2012/910
Persónuvernd hefur kveðið upp úrskurð vegna kvörtunar yfir áframsendingu á tölvupósti. Pósturinn var frá viðskiptavini og hafði aðeins verið áframsendur innan fyrirtækisins, þ.e. til verslunarstjóra og stjórnenda. Það var gert í samræmi við skráðar gæðareglur. Persónuvernd taldi ekkert hafa komið fram við meðferð málsins sem benti til að það hafi verið gert í ómálefnalegum tilgangi og taldi að um lögmæta vinnslu hafi verið að ræða.
Úrskurður
Hinn 27. nóvember 2012 kvað stjórn Persónuverndar upp svohljóðandi úrskurð í máli nr. 2012/910:
I.
Upphaf máls, kvörtun og bréfaskipti
Persónuvernd barst kvörtun X, dags. 7. ágúst 2012, varðandi áframsendingu tölvupósts sem X hafði sent skrifstofustjóra Sorpu bs. Kvartað er yfir því að skrifstofustjórinn hafi áframsent póstinn til samstarfsmanna sinna, þ.e. til verslunarstjórnar og stjórnenda. Í kvörtun segir m.a.:
„Ég sendi tölvuskeyti til Y þar sem ég kvartaði undan slakri þjónustu starfsmanna Góða hirðisins við viðskiptavini. Þetta skeyti endursendi Y svo til mín og fjögurra starfsmanna Sorpu og Góða hirðisins. [...] Að mínu viti hefði verið eðlilegra fyrir Y að semja sitt eigið bréf (skeyti) til þessara starfsmanna Góða hirðisins og koma kvörtunum mínum á framfæri og benda þeim á úrbætur þar að lútandi. [...] Ég álít að mitt [t]ölvuskeyti til Y hafi verið trúnaðarmál, sem ekki hafi verið virt.“
Með bréfi, dags. 14. ágúst 2012, tilkynnti Persónuvernd Sorpu bs. um kvörtunina til samræmis við 13. og 14. gr. stjórnsýslulaga nr. 37/1993 og óskaði skýringa. Svarbréf Sorpu bs., dags. 17. ágúst 2012, barst Persónuvernd þann 21. s.m. Þar sagði m.a.:
„Varðandi tölvupóst þann er vísað er til frá 23. júlí 2012, viljum við árétta að allar kvartanir og ábendingar sem berast til SORPU/Góða hirðisins eru teknar af fullri alvöru og fylgt eftir með verslunarstjórn og stjórnendum. Er það samkvæmt gæðakerfi fyrirtækisins.
[...] Reglulegir fundir eru með stjórnendum Góða hirðisins þar sem allar ábendingar og kvartanir eru teknar fyrir og var þessi kvörtun/ábending engin undantekning. [...]
Hvergi kom fram í tölvupóstinum að hér væri um trúnaðarmál að ræða. [...]“
Með bréfi, dags. 20. september 2012, var kvartanda gefinn kostur á að koma á framfæri athugasemdum við skýringar Sorpu bs. Svarbréf kvartanda barst Persónuvernd með tölvubréfi þann 25. s.m. Þar sagði m.a.:
„Þann 24 september fengum við svar dagsett 20. september [...]. Í því kemur fram að Sorpa segir að allar kvartanir séu teknar alvarlega. Ég er eindregið ósammála því. Þetta svar sýnir að í stjórn Sorpu er skortur á greind og getu til að skilja afleiðingarnar af því að Y sýndi ekki nærgætni í okkar garð. Það að sýna yfirmönnum Góða Hirðisins tölvuskeyti mitt til Y þar, sem nöfn konu minnar og mín komu fram hefur bre[y]tt framkomu þeirra starfsmanna Góða Hirðisins, sem komu fram í bréfinu, í okkar garð til hins verra. Við vonuðumst eftir að hegðun þeirra batnaði. Það sem ég bjóst við að Y myndi gera var að senda yfirmönnum Góða Hirðisins tölvuskeyti þar sem fram kæmi að kvartað hefði verið undan framkomu þeirra og að ábendingar kæmu fram um það sem betur mætti gera. [...]“
II.
Forsendur og niðurstaða
1.
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000. Þar undir geta m.a. fallið miðlun með framsendingu, dreifing eða aðrar aðferðir til að gera upplýsingarnar tiltækar, sbr. það sem fram kemur í athugasemdum í greinargerð með frumvarpi því er varð að lögum nr. 77/2000, sem og b-lið 2. gr. tilskipunar nr. 95/46/EB.
2.
Í máli þessu er annars vegar kvartað yfir því að í stjórn Sorpu sé skortur á greind og getu til að skilja afleiðingarnar af því að starfsmaður hafi ekki sýnt kvartanda nærgætni. Slík mál falla utan verkefnasviðs Persónuverndar og mun hún því ekki taka efnislega afstöðu til þessa þáttar málsins. Hins vegar er kvartað yfir því að skrifstofustjóri og formaður verslunarstjórnar, sem fékk tiltekinn tölvupóst, hafi áframsent hann til samstarfsmanna sinna, þ.e. til verslunarstjórnar og stjórnenda, en um trúnaðarmál hafi verið að ræða.
Af þessu tilefni er tekið fram að almennt er, við umfjöllun um tölvupóst, gerður greinarmunur á því hvort um sé að ræða vinnupóst eða einkabréf. Persónuvernd hefur skoðað þann tölvupóst sem hér um ræðir, en afrit af honum fylgdi með kvörtuninni. Þar er fjallað um komu kvartanda og konu hans í Góða hirðinn, um fyrirkomulag í afgreiðslu verslunar og atvik sem þar átti sér stað þar hinn 17. júlí 2012. Að mati Persónuverndar telst efni póstsins varða starfsemi fyrirtækisins og verður ekki séð að viðtakanda þess hafi borið að líta svo á að um einkabréf væri að ræða. Af því leiðir að mál þetta varðar almennar persónuupplýsingar og ekki viðkvæmar í skilningi 8. tölul. 2. gr. laga nr. 77/2000.
3.
Öll vinnsla almennra persónuupplýsinga þarf að samrýmast einhverju af skilyrðum 1. mr. 8. gr. laga nr. 77/2000. Það á m.a. við um miðlun persónuupplýsinga til þriðja aðila. Með miðlun upplýsinga er átt við að þær séu afhentar einhverjum öðrum en hinum skráða, ábyrgðaraðila eða vinnsluaðila eða starfsmönnum sem vinna undir þeirra stjórn. Í því tilviki sem hér um ræðir var ekki um slíka miðlun að ræða heldur afhendingu innan raða starfsmanna ábyrgðaraðila, þ.e. Sorpu bs.
Slík afhending þarf að vera í samræmi við meginreglur 7. gr. laganna. Meginreglur 1.–3. tölul. 1. mgr. 7. gr., eru þessar: Persónuupplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti (1. tölul.), þær skulu fengnar í yfirlýstum, skýrum og málefnalegum tilgangi (2. tölul.) og þær skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.)
Við mat á því hvort afhendingin hafi verið í samræmi við þessa meginreglur verður m.a. að líta til þess sem fram kemur í svari Sorpu bs. um framsending á tölvupóstinum, hafi samrýmst gæðakerfi fyrirtækisins og gert sé ráð fyrir að allar ábendingar og kvartanir séu teknar fyrir á reglulegum fundum með stjórnendum Góða hirðisins. Þessi kvörtun eða ábending hafi verið meðhönduð til samræmis við gæðakerfið. Hafi enda hvergi komið fram að um trúnaðarmál væri að ræða.
Með vísun til framangreinds, og í ljósi þess að Persónuvernd telur ekkert hafa komið fram við meðferð málsins sem bendir til að um hafi verið að ræða ómálefnalega vinnslu persónuupplýsinga, telst framsendingin hafa verið í samræmi við meginreglur 7. gr. laga nr. 77/2000. Var hún því lögmæt.
Ú r s k u r ð a r o r ð:
Sorpa bs. braut ekki gegn lögum nr. 77/2000 þegar tölvupóstur, dags. 23. júlí 2012, frá X til skrifstofustjóra, var framsendur til verslunarstjórnar og stjórnenda.