Opið netfang þrátt fyrir starfslok

9.2.2015

Úrskurður

 

Á fundi stjórnar Persónuverndar hinn 2. febrúar 2015 var kveðinn upp svohljóðandi úrskurður í máli nr. 2014/884:

 

I.

Bréfaskipti

1.

Persónuvernd hefur borist kvörtun frá [A] (hér eftir nefnd „kvartandi“), dags. 3. júní 2014, yfir að netfang hennar hjá Bus Hostel ehf. væri enn virkt þrátt fyrir að hún væri þar ekki lengur starfsmaður. Aðgangsorði hefði verið breytt í stað þess að loka netfanginu og væri póstur á það áframsendur á hið almenna netfang fyrirtækisins.

Með bréfi, dags. 3. júlí 2014, veitti Persónuvernd Bus Hostel ehf. færi á að tjá sig um framangreinda kvörtun. Svarað var með bréfi, dags. 9. s.m. Var kvartanda veitt færi á að tjá sig um það með bréfi, dags. 17. s.m., ítrekuðu með bréfi, dags. 10. september 2014. Í framhaldi af því kom í ljós að Bus Hostel ehf. hafði ekki verið sent afrit af kvörtuninni og var bætt úr því með bréfi til fyrirtækisins, dags. 26. s.m., þar sem því var veitt færi á að koma að frekari athugasemdum teldi það tilefni til. Ítrekun var send með bréfi, dags. 21. október 2014, og barst í kjölfarið svar í tölvupósti hinn 2. desember s.á., þess efnis að ekki væri talin þörf á frekari athugasemdum.

Ekki barst svar frá kvartanda við fyrrgreindum bréfum Persónuverndar til hennar þrátt fyrir ítrekun þar um, síðast í bréfi stofnunarinnar, dags. 29. desember 2014.

 

2.

Í kvörtun, dags. 3. júní 2014, segir:

„Netfang[...] [A] var stofnað fyrir mig er ég hóf störf hjá fyrirtækinu við starfslok set ég „out of office“ á netfangið þar sem ég tilkynni að ég sé hætt og með upplýsingum um hvert skuli senda pósta. Ég bið eiganda að loka netfanginu. Í stað þess að gera það er aðgangsorði breytt og minn póstur sendur á almennt netfang [fyrirtækisins] og er einnig í notkun, s.s. einhver annar svarar mínum póstum. Ég hef ítrekað að loka þurfi póstinum. Einnig átti ég eftir að taka persónuleg gögn úr þessu netfangi en get ekki því lykilorðum hefur verið breytt.“

Í bréfi Bus Hostel ehf. til Persónuverndar, dags. 9. júlí 2014, eru gerðar svohljóðandi athugasemdir:

„Við starfslok [A] var um það rætt á milli undirritaðs og hennar að sá háttur yrði hafður á að við mundum hafa áfram aðgang að eldri tölvupósti hennar og að póstur á póstfangið yrði framsendur á almennt tölvupóstfang félagsins info[at]bushostelreykjavik.com. Það skal þó skyrt tekið fram að ekki var gert skriflegt samkomulag um þetta atriði frekar en aðra þætti er vörðuðu starfslok hennar hjá fyrirtækinu. Í mörgum tilfella hafði [A] nefnilega notað umrætt póstfang í samskiptum við bókunarsíður og ýmsa aðra viðskiptamenn fyrirtækisins og því kynni það að skapa vandræði og vesen og hugsanlegt tjón ef fyrirtækið hefði ekki áfram aðgang að póstfanginu eða fengi þá tölvupósta á það yrðu sendir. Í ljósi þessa samkomulags hefur þessi háttur verið hafður á fram til þessa.“

Í framhaldi af þessu segir meðal annars að nú þegar hafi verið fyrirskipuð lokun á umræddu netfangi. Hefði kvartandi borið þá ósk upp við fyrirtækið hefði án tafar og undanbragðalaust verið orðið við henni. Hafi alls enginn ásetningur verið uppi um að brjóta lög eða reglur um vernd persónuupplýsinga og enn síður að hnýsast í persónuleg mál kvartanda.

 

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá. Persónuupplýsingar eru sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laganna; og vinnsla er sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.

Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Bus hostel ehf. vera ábyrgðaraðili að umræddri vinnslu.

 

2.

Í 4. mgr. 9. gr. reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga, sem til verða við rafræna vöktun, er mælt fyrir um það verklag sem vinnuveitandi skal fylgja þegar starfsmaður lætur af störfum. Í ákvæðinu segir meðal annars að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Þá skuli honum leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hafi látið af störfum. Eigi síðar en að tveimur vikum liðnum skuli loka pósthólfinu. Vinnuveitanda sé óheimilt að senda áfram á annan starfsmann þann póst sem berst í pósthólf fyrrverandi starfsmanns eftir starfslok, nema um annað hafi verið samið.

Af hálfu Bus Hostel ehf. er á því byggt að nýtt hafi verið framangreind heimild til að semja við kvartanda um áframsendingu á pósti hans. Þá er á því byggt að samið hafi verið um frekari frávik frá þeirri framkvæmd sem mælt er fyrir um í áðurnefndu ákvæði reglna nr. 837/2006. Samkvæmt lögum nr. 77/2000 er meðal annars heimilt að vinna með persónuupplýsingar þegar fyrir liggur samþykki hins skráða, sbr. 1. tölul. 1. mgr. 8. gr. og 1. tölul. 1. mgr. 9. gr., sbr. og 7. tölul. 2. gr. sömu laga. Haldi ábyrgðaraðili því fram að á grundvelli samþykkis viðkomandi einstaklings hafi verið vikið frá fyrirkomulagi samkvæmt fyrrnefndu ákvæði reglna nr. 837/2006, þ. á m. með samningi um áframsendingu, ber honum því að sýna fram á það. Í því felst að geti hann ekki sýnt fram á samþykki hins skráða ber hann hallann af því að gögn þar að lútandi skorti.

Eins og hér háttar til liggur ekkert fyrir um samþykki kvartanda annað en staðhæfing Bus Hostel ehf. þar að lútandi. Hún nægir ekki ein og sér og er því niðurstaða Persónuverndar sú að umsýsla fyrirtækisins vegna vinnutölvupósts kvartanda hafi ekki samrýmist fyrrgreindu ákvæði reglna nr. 837/2006 þegar hún lauk þar störfum.

 

Ú r s k u r ð a r o r ð:

Umsýsla Bus Hostel ehf. vegna vinnutölvupósthólfs [A] samrýmdist ekki 4. mgr. 9. gr. reglna nr. 837/2006 við starfslok hennar.