Meðferð tölvupósts eftir starfslok og birting mynda á samfélagsmiðli
Úrskurður
Á fundi stjórnar Persónuverndar þann 25 ágúst 2015 var kveðinn upp svohljóðandi úrskurður í máli nr. 2014/1631:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls og afmörkun kvörtunar
Þann 21. nóvember 2014 barst Persónuvernd kvörtun frá [X], hdl., f.h. [A], [B] og [C] (hér eftir nefnd kvartendur), varðandi notkun á tölvupósthólfi þeirra eftir að þau luku störfum hjá DV ehf. Þá er einnig kvartað yfir miðlun og birtingu persónuupplýsinga af hálfu [D], hrl., á persónuupplýsingum um [A].
Framangreind kvörtun lýtur að því að kvartendum hafi ekki verið gefið færi á að skoða tölvupósthólf sín hjá fyrrverandi vinnuveitanda, DV ehf., eftir að þau létu af störfum hjá félaginu í september 2014, í þeim tilgangi að aðgreina tölvupósta sem teljast til einkatölvupósta og pósta sem varða hagsmuni eða starfsemi DV ehf. Þá er jafnframt kvartað yfir því að pósthólf kvartenda séu enn opin hjá DV ehf., að einkapóstur þeirra hafi verið áframsendur á annað starfsfólk DV ehf. og hann opnaður, skoðaður og eftir atvikum að efni sem þar hafi verið að finna hafi verið vistað og afritað og/eða áframsent án samþykkis kvartenda til þriðja aðila. Gera kvartendur kröfu um að Persónuvernd mæli fyrir um, í samræmi við 40. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, stöðvun þeirrar vöktunar eða vinnslu sem fram fer á pósthólfum kvartenda og að þeim verði gefið færi á að fara í gegnum pósthólf sín og flokka einkatölvupóst frá öðrum pósti, sbr. 4. mgr. 9. gr. reglna Persónuverndar nr. 837/2006, um rafræna vöktun o.fl., sbr. 5. mgr. 37. gr. laga nr. 77/2000.
Loks er kvartað yfir því að [D], hafi annars vegar miðlað persónuupplýsingum um kvartanda [A], án heimildar hans, til þriðja aðila, [Z], og hins vegar birt kafla og myndir úr handriti að bók sem kvartandi var með í smíðum, á samfélagsmiðlinum Facebook.
2.
Rökstuðningur fyrir kvörtun
Í rökstuðningi fyrir kvörtun kemur fram að kvartandi [A] hafi sent tölvupóst þann 16. október 2014, sem innihélt viðhengi er höfðu að geyma drög að ævisögu hans. Tölvupósturinn hafi fyrir mistök farið á netföng tveggja fyrrverandi starfsmanna DV ehf., kvartenda [B og C]. Þann 28. október 2014 hafi framkvæmdastjóri DV ehf., [E], sent tölvupóst úr eigin netfangi, [...], til [D] með sömu tveimur viðhengjum. Þá liggi fyrir að [D] hafi áframsent umræddan tölvupóst til [Z] síðar sama dag og einnig birt myndir af hlutum úr bókinni á samfélagsmiðlinum Facebook.
Í fyrrnefndum rökstuðningi kemur eftirfarandi fram varðandi tiltekna þætti kvörtunarinnar. Í fyrsta lagi hafi kvartendum, sem fyrrverandi starfsmönnum DV ehf., ekki verið gefinn kostur á að eyða og/eða taka afrit af þeim einkatölvupóstum sem ekki tengdust starfsemi DV ehf. við starfslok né hafi þeim verið leiðbeint um að virkja sjálfvirka svörun úr pósthólfum sínum, um að viðkomandi hefði látið af störfum. Þá hafi tölvupósthólfum [B] og [C] ekki verið lokað innan tveggja vikna frá því að þau létu að störfum. Einnig telja [B] og [C] að DV ehf. hafi ekki verið heimilt að opna og áframsenda tölvupóst sem barst á netföng þeirra hjá félaginu þar sem hvorki hafi verið aflað samþykkis frá þeim, sbr. 1. tölul. 1. mgr. 8. gr. laga nr. 77/2000, né hafi DV ehf. haft af því lögmæta hagsmuni, sbr. 7. tölul. sömu greinar.
Í öðru lagi telja kvartendur grun leika á að núverandi framkvæmdastjóri félagsins eða annar starfsmaður hafi opnað, skoðað og eftir atvikum vistað skjal úr einkatölvupósti kvartenda [B] og/eða [C]. Þessu til stuðnings fylgdi með ljósmynd af tölvuskjá sem virðist sýna póst sem hafði verið áframsendur frá [E], [...], til [D]. Einnig megi sjá tölvupóst áframsendan frá [D], úr netfanginu [...] til [Z]. Með tölvupóstinum fylgja tvö viðhengi, annars vegar skjal sem ber heitið [...] og hins vegar [...]. Telja kvartendur að með þessu sé ljóst að fram hafi farið skoðun á einkatölvupósti kvartenda [B] og [C] í október 2014. Telja kvartendur að umrædd skoðun hafi ekki samrýmst ákvæðum 7. gr. laga nr. 77/2000 um sanngjarna vinnslu, enda hafi kvartendum hvorki verið gerð grein fyrir væntanlegri skoðun né gefinn kostur á að vera viðstödd.
Í þriðja lagi telur kvartandi [A] að [D] hafi ekki verið heimilt að taka myndir af og birta á Facebook síðu sinni framangreind drög að ævisögu hans, sem hafi verið í viðhengi með framangreindum tölvupósti. Telur kvartandi óumdeilt að tölvupóstur og drög að handriti að bók teljist til persónuupplýsinga og að áframsending [D] til [Z], ásamt því að taka myndir af drögum að handriti umræddrar bókar og birta á Facebook, teljist vinnsla persónuupplýsinga í skilningi laganna, sem ekki hafi samrýmst lögum nr. 77/2000.
Með kvörtuninni fylgdu þrjú skjáskot af Facebook-síðu [D]. Á fyrstu myndinni má sjá bókarkápu sem ber með sér [...]. Myndinni fylgir eftirfarandi texti: „Sá sem sendi mér handritið af sögu [A] taldi kápuna eiga að vera svona“. Á annarri myndinni má sjá texta sem inniheldur umfjöllun um [D]. Við þá mynd skrifar [D]: „Vona að þessi umfjöllun [A] um mig sé í lokapródúkti hans“. Á þriðju myndinni má sjá mynd af því er virðist vera upphafskafli bókarinnar þar sem fram koma tillögur að heiti hennar o.fl. Við myndina hefur [D] skrifað: „Í pósthólfi mínu beið mín merkileg lesning. Af efninu að dæma virðist um einhvers konar drög að sjálfsævisögu [A] sé að tefla. Á þeim síðum sem ég fékk og fjalla um meint átök um DV ehf. í haust kemur nafn mitt fyrir í ýmsum myndum liðlega 30 sinnum. Ekki ónýtt að vera svona stórt númer í sjálfsævisögu annars manns, eða þannig.“
Loks er þess krafist að Persónuvernd mæli fyrir um, í samræmi við 40. gr. laga nr. 77/2000, stöðvun þeirrar vinnslu eða rafrænu vöktunar sem fer fram á pósthólfum kvartenda og að þeim verði gefið færi á að fara í gegnum pósthólf sín og flokka einkatölvupóst frá öðrum pósti.
3.
Bréfaskipti
Með bréfi, 10. desember 2014, var DV ehf. og [D], hrl., boðið að koma á framfæri andmælum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var svarfrestur veittur til 31. s.m. Svarbréf [D], f.h. DV ehf. og sjálfs sín, dags. 5. janúar 2015, barst Persónuvernd þann 6. s.m.
Hvað varðar kvörtunaratriði er lúta að DV ehf. er í upphafi bréfsins tekið fram að kvartandi [C] hafi gengið persónulega úr skugga um það í byrjun nóvember 2014 með [F], sem annaðist tölvumál DV ehf., að enginn hefði farið í tölvupósta hennar eftir að hún lét af störfum hjá DV ehf. Netfangi hennar hjá DV ehf. hafi verið lokað í kjölfar yfirferðar kvartanda og öllum tölvupóstum hennar fargað. Ekkert umkvörtunarefnanna geti því átt við um [C].
Þá segir að [B] og [A] hafi ekki óskað eftir yfirferð yfir tölvupósta sem sendir hafi verið á netföng þeirra hjá DV ehf. eftir að þeir létu af störfum. [B] hafi verið [...] hjá DV ehf. og sagt þar upp störfum. Hafi hann ekki séð um að loka netföngum eða hlutast til um að svo yrði gert. Í bréfinu segir enn fremur að [B] hafi ekki leyft starfsmönnum að greina tölvupósta eða gera ráðstafanir til að tryggja að persónulegir tölvupóstar bærust ekki á netföng hjá DV ehf. Netföngum kvartenda [B] og [A] hjá DV ehf. hafi verið lokað í nóvember 2014 og voru ekki vöktuð svo vitað sé, fremur en tölvupósthólf annarra starfsmanna DV ehf. Hafni félagið því þeirri athugasemd að tölvupósthólf þeirra hafi verið vöktuð og beitt hafi verið stillingum sem tryggðu sjálfvirka áframsendingu á tölvupóstum sem bárust í pósthólf þeirra.
Enn fremur segir að frá því að eftir að [E] hafi tekið við sem framkvæmdastjóri félagsins hafi markvisst verið unnið að því að tryggja tölvukerfi DV ehf. þannig að engar upplýsingar um félagið, starfsemi þess og starfsmenn bærust til óviðkomandi aðila. Hafi [F] verði falið að gera úttekt á tölvumálum DV ehf. og vinna þær úrbætur sem nauðsynlegt væri að vinna til að gera tölvukerfið sem öruggast.
Hvað varðar kvörtunaratriði er lúta að [D] sjálfum er því hafnað í bréfinu að hann hafi fengið sent afrit af tölvupósti kvartanda [A] frá DV ehf., eða framkvæmdastjóra félagsins, sem innihélt viðhengi með drögum að bók kvartanda. Hins vegar sé rétt að hann hafi birt brot af útprenti af skrifum sem ættuð voru úr smiðju [A] á persónulegri Facebook síðu sinni. Þá telur [D] að birting umræddra mynda hafi ekki falið í sér vinnslu persónuupplýsinga um [A] í skilningi laganna.
Einnig er því hafnað af hálfu lögmannsins að hann hafi sent tölvupóst með umræddu handriti til [Z] þann 28. október 2014. Hann hafi frá lokum september 2009 verið í miklum tölvupóstssamskiptum við [Z] vegna lögmannsstarfa í hans þágu en hann hafi hvorki sent honum tölvupóst þann 28. október 2014 né 31. s.m. Honum sé því ókunnugt um hvaðan sá tölvupóstur er kominn, sem lagður er fram með kvörtuninni.
Með bréfi, dags. 13. janúar 2015, var lögmanni kvartenda boðið að koma á framfæri athugasemdum sínum við fram komnar skýringar [D], hrl., f.h. DV ehf. og sjálfs sín, til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Svarbréf lögmanns kvartenda kvartanda, dags. 23. janúar 2013, barst Persónuvernd sama dag.
Þar segir m.a. að kvartendur fallist ekki á framangreindar skýringar og að þær fullyrðingar séu í andstöðu við þau gögn sem lögð hafi verið fram með upphaflegri kvörtun. Hins vegar sé það rétt að [C] hafi fengið að framkvæma stutta skoðun á tölvupósthólfi sínu í nóvember 2014. Hins vegar geti slíkt ekki talist fullnægjandi könnun á þeim aðgerðum sem kunni að hafa verið framkvæmdar á tölvupósthólfi hennar. Hvað aðra kvartendur varði sé rétt að hafa í huga að þeim hafi verið sagt upp í september 2014 og gert að yfirgefa starfsstöð sína. Hafi þeim því ekki verið gefið ráðrúm eða tækifæri til að yfirfara pósthólf sín og eyða einkatölvupóstum. Þá sé ekki fallist á að birting [D] á brotum úr útprentun draga að bók [A] teljist ekki brot á ákvæðum laga um perónuvernd.
Með svarbréfi kvartenda fylgdu einnig afrit af tölvupóstum frá þeim starfsmönnum sem tóku við störfum [A] og [C]. Annars vegar er um að ræða tölvupóst frá [G], [...], þar sem fram kemur að tölvupósthólf [A] hafi verið opið þann 12. september 2014. Hins vegar er um að ræða tölvupóst frá [H], dags. 27. janúar 2015, þar sem fram kemur að tölvupóstur sem hafi borist á netfang [C] hafi verið áframsendur á [H], sem tímabundið gengdi starfi hennar.
Þá er að lokum gerður áskilnaður um kröfu bóta af hálfu kvartenda í málinu í samræmi við 43. gr. laga nr. 77/2000.
4.
Frekari bréfaskipti
Með bréfi, dags. 5. mars 2015, óskaði Persónuvernd eftir nánari skýringum DV ehf. á því hvernig staðið hefði verið að lokun pósthólfa kvartenda eftir að þau luku störfum hjá félaginu, t.a.m. með tæknilegri útlistun á því hvernig staðið hefði verið að lokuninni, hver hefði gert það og á hvaða degi. Jafnframt óskaði stofnunin eftir afriti af gögnum sem staðfestu slíkt, s.s. frá þjónustuaðila vegna tölvupósts, væru þau til staðar.
Svarbréf lögmanns DV ehf., dags. 24. mars 2015, barst Persónuvernd þann 27. s.m. Þar segir m.a. að [B] hafi verið framkvæmdastjóri DV ehf. Á honum hafi hvílt sú skylda að lögum að tryggja að daglegur rekstur þess væri í réttu og löglegu horfi. Þegar nýir stjórnendur hafi tekið við rekstri DV ehf. og ritstjórn miðla félagsins, hafi verið gengið út frá því að framkvæmdastjórinn hefði hagað rekstri félagsins þannig að rekstur þess hefði verið í samræmi við lög þ. á m. um persónuvernd. Þess vegna hafi verið gengið út frá því að [B] og stjórn félagsins hefðu gert viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glötuðust eða breyttust fyrir slysni og gegn óleyfilegum aðgangi. Annað kom á daginn þegar [B] og tæknimenn sem unnið höfðu hjá DV ehf. létu af störfum, nánast á sama tíma.
Telur lögmaður DV ehf. að nýr ritstjóri DV, sem hafi tekið við [A], hafi gætt reglna um meðferð tölvupósta, sem til ritstjórnar bárust og vörðuðu einkamálefni blaðamanna, sem látið höfðu af störfum á hans vakt.
Þá hafi hinn nýi ritstjóri og nýr framkvæmdastjóri félagsins fengið [F] til að koma upplýsinga- og tölvukerfum DV ehf. í rétt horf. Í tölvupósti sem fylgdi bréfi lögmannsins frá [F] kemur m.a. fram að ritstjórinn og framkvæmdastjóri félagsins hafi mælt fyrir um hvert beina skyldi tölvupóstum sem bærust á netföng starfsmanna sem látið hefðu af störfum.
Einnig telur lögmaður DV ehf. að [A] hafi ekki óskað eftir því að fá yfirferð yfir tölvupósta sem voru á hans netfangi þegar hann hafi verið leystur frá störfum um miðjan september og síðar sagt upp. Þá telji lögmaður DV ehf. ekkert athugavert við að tölvupóstar sem bárust á netfang [C] hjá DV ehf. hafi verið framsendir á netfang þess sem tók við hennar störfum í þeim tilgangi að tryggja hagsmuni DV ehf. tengda auglýsingum og markaðsmálum. Ætla megi að eftirmaður hennar hafi ekki verið að hnýsast í persónulega tölvupósta hennar og engin merki þess hafi fundist þegar [C] hafi fengið að skoða tölvupósthólf sitt.
Með bréfi, dags. 29. apríl 2015, óskaði Persónuvernd eftir nánari skýringum frá lögmanni DV ehf. um tímasetningu starfsloka kvartenda, þ.e. hvenær kvartendur hefðu látið af störfum, hvenær pósthólfum þeirra hefði verið lokað og hvort þau hefðu verið stillt á þann veg að þau væru áframsend öðrum starfsmönnum félagsins. Óskaði Persónuvernd eftir skriflegum gögnum sem staðfestu framangreindar aðgerðir. Þá óskaði stofnunin upplýsinga um það hvernig félagið hefði að öðru leyti gætt að ákvæðum 4. mgr. 9. gr. reglna nr. 837/2006, um rafræna vöktun, m.a. hvort starfsmönnum hefði verið gefinn kostur á að eyða einkatölvupósti og/eða eftir atvikum samþykkt áframsendingu tölvupósts.
Svarbréf lögmanns DV ehf., dags. 4. júní 2015, barst Persónuvernd þann 5. s.m. Í svarbréfinu segir að [A] hafi verið leystur undan daglegri vinnuskyldu þann 7. september 2014 en honum hafi verið sagt upp með hefðbundnum uppsagnarfresti í lok þess mánaðar. Strax þann 7. september hafi átt að vera lokað fyrir aðgang hans að tölvukerfum DV ehf. [B] og [C] hafi kosið að láta af störfum þann 12. september 2014.
Hvað varðar aðra spurningu stofnunarinnar segir að þann 12. september 2014 hafi [F], sent lista á vaktstjóra félagsins og [B] og óskað eftir upplýsingum um hvaða starfsmenn DV væru hættir störfum. Hafi tölvupóstföngum þeirra starfsmanna sem hættir voru, lokað, eftir að upplýsingar um starfslok höfðu borist frá vaktstjóra. Þá hafi [F] verið beðinn um að áframsenda tölvupósta sem bærust á netfang kvartanda, [C], til þess sem þá hafði tekið við starfi hennar sem sölustjóri og taldi félagið brýnt að halda þeirri gátt opinni. Tölvupóstar [B] hafi verið áframsendir til nýs ritstjóra og nýs framkvæmdastjóra félagsins. Þessar áframsendingar hafi staðið yfir í tvær vikur. Af hálfu lögmanns DV kom fram að ekki væru til nein gögn um þær áframsendingar tölvupósta sem áttu sér stað á fyrrnefndu tímabili.
Þá séu ekki heldur til staðar gögn um það hvernig starfsmönnum hafi verið gefinn kostur á að eyða einkatölvupósti eða eftir atvikum samþykkt áframsendingu tölvupósts. Hins vegar hafi [C] komið í tvígang til að fara í pósthólf sitt eftir að [F] kom til starfa. Öðrum fráfarandi starfsmönnum hafi staðið hið sama til boða.
Með bréfi, dags. 5. júní 2015, var lögmanni kvartenda veittur kostur á að koma á framfæri athugasemdum sínum við framkomin svör lögmanns DV ehf. Svarbréf hans, dags. 13. júlí 2015, barst Persónuvernd s.d. Þar segir m.a. að engin greinarmunur sé gerður í svarbréfi lögmanns DV. ehf á því hvort um einkatölvupóst eða vinnupóst kvartenda [B] og [C] hafi verið að ræða. Þvert á móti virðist sem allur tölvupóstur þeirra hafi verið áframsendur til nýrra starfsmanna. Þá séu ekki færð rök fyrir því að brýn nauðsyn hafi staðið til þess að skoða einkatölvupóst kvartenda eins og tilgreint er í 1. mgr. 9. gr. reglna nr. 837/2006. Þá segir að í bréfinu sé hvergi að finna staðfestingu á því að kvartendum hafi verið gefið tækifæri á að skoða tölvupóstinn sinn eftir starfslok, sbr. staðfestingu [F]. Þvert á móti segi í niðurlagi bréfsins að kapp hafi verið lagt á að loka netaðgangi kvartanda [A] um leið og hann var leystur undan starfsskyldum sínum í september 2014. Telur lögmaður kvartenda að DV ehf. hafi viðurkennt annars vegar að félagið hafi vaktað tölvupósthólf kvartenda [B] og [C], án heimildar og að sú vöktun hafi staðið í einhverjar vikur, og hins vegar að tölvupóstur þeirra verið opnaður án heimildar. Þá er áréttað að ekki liggi fyrir samþykki kvartenda fyrir vöktun póstþjóns, áframsendingu eða skoðun tölvupósta þeirra.
Lögmaður kvartenda bendir á að engin gögn hafi fylgt með svari DV ehf. varðandi dagsetningu á lokum tölvupósthólfa kvartenda. Telji kvartendur að tölvukerfi félagsins hafi verið í ásættanlegu horfi og því eigi það að vera auðvelt fyrir DV ehf. að afla umbeðinna upplýsinga. Því til stuðnings fylgdi með yfirlýsing [I], fyrrverandi umsjónarmanns tölvukerfis DV ehf.
Þá segir að kvartendur kvartandur telji ósannað að pósthólf þeirra hafi einungis verið opin í tvær vikur eftir að þau létu af störfum. Þvert á móti telji kvartendur að pósthólf þeirra hafi verið opin mun lengur og að allur tölvupóstur úr pósthólfi kvartenda [B] og [C] hafi verið áframsendur um lengri tíma. Þá segir að svo virðist sem framangreindir aðilar vilji ekki leggja fram umbeðin gögn sem staðfesti slíkt. Vísar lögmaður kvartenda til yfirlýsingar [I], þar sem öllum yfirlýsingum lögmanns DV ehf. um tölvukerfi félagsins sé hafnað. Með svarbréfi lögmanns kvartenda fylgdi afrit af tölvupósti, sendum af framangreindum [I], dags. 9. júlí 2015. Þar segir m.a. að hann geti hrakið það að óviðkomandi ættu að hafa aðgang að tölvupóstum og að tölvupóstkerfi hafi ekki getað svarað spurningum eins og hvaða framsendingarreglur væru fyrir hvern starfsmann fyrir sig.
Þá er í lok bréfs lögmanns kvartenda ítrekaður áskilnaður um rétt til bóta í máli þessu, sbr. 43. gr. laga nr. 77/2000.
II.
Forsendur og niðurstaða
1.
Afmörkun kvörtunar
Framangreind kvörtun er þríþætt. Í fyrsta lagi lýtur hún að því að kvartendur hafi ekki fengið tækifæri til að eyða einkatölvupósti í kjölfar starfsloka hjá DV ehf. ásamt því að tölvupósthólfum þeirra hafi verið haldið opnum eftir að þau luku þar störfum og tölvupóstur sem barst á netföng þeirra hafi verið áframsendur til annarra starfsmanna án þeirra samþykkis. Í öðru lagi lýtur hún að því að farið hafi verið inn í einkatölvupóst [B] og [C] og hann áframsendur óviðkomandi.
Í þriðja lagi lýtur hún að birtingu mynda af drögum að ævisögu [A] af hálfu [D] á Facebook. Af hálfu [D] hefur því verið haldið fram að þær myndir sem hann hafi birt á Facebook hafi ekki borið með sér persónuupplýsingar um [A].
Samkvæmt 1. tölul. 2. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga eru persónuupplýsingar sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Í athugasemdum við ákvæðið í frumvarpi því sem varð að lögum nr. 77/2000 segir að hugtakið sé víðfeðmt og taki til allra upplýsinga, álita og umsagna sem beint eða óbeint má tengja tilteknum einstaklingi. Í framkvæmd hefur hugtakið verið túlkað á þann veg að það taki bæði til staðreynda og huglægra atriða, s.s. skoðana manna eða áliti þeirra á öðrum. Er það því mat Persónuverndar að hér sé um að ræða persónuupplýsingar um kvartanda, enda felur birting þeirra í sér að lagðar voru á opinbera vefsíðu upplýsingar um að hann ynni að drögum að ævisögu sinnar auk þess sem birtar voru upplýsingar um skoðanir hans um aðra menn og málefni.
Þrátt fyrir það, og að mál þetta varði vinnslu persónuupplýsinga, lýtur þessi hluti kvörtunarinnar að því hvort [D] hafi, með tjáningu sinni í orði og verki, þegar hann birti umræddar myndir á Facebook-síðu sinni, farið út fyrir ramma 73. gr. stjórnarskrárinnar um tjáningarfrelsi. Hlutverk Persónuverndar er hins vegar að hafa eftirlit með framkvæmd laga nr. 77/2000 en þau eru hins vegar byggð á því meginviðhorfi að það sé hlutverk dómstóla en ekki Persónuverndar að skera úr um í slíkum vafatilvikum, sbr. ákvæði 5. gr. laganna. Er því þeim hluta kvörtunarinnar vísað frá.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst DV ehf. vera ábyrgðaraðili að vinnslu í tengslum við starfslok kvartenda hjá félaginu.
Hvað varðar áskilnað lögmanns kvartanda um greiðslu skaðabóta í tengslum við mál þetta tekur Persónuvernd fram að í 43. gr. laga nr. 77/20000 er fjallað um bætur til handa hinum skráða í þeim tilvikum sem hann hefur orðið fyrir fjárhagslegu tjóni. Telji hinn skráði svo vera getur hann höfðað skaðabótamál fyrir dómi gegn viðkomandi ábyrgðaraðila. Persónuvernd hefur hins vegar ekki heimildir að lögum til að ákvarða slíkar bætur.
2.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000. Í athugasemdum við framangreint ákvæði í því frumvarpi sem varð að lögum nr. 77/2000 segir m.a. að með vinnslu sé t.d. átt við söfnun og skráningu og undir það falli m.a. rafræn vöktun, flokkun, varðveisla, leit, miðlun, samtenging eða hver sú aðferð sem nota má til að gera upplýsingar tiltækar. Að mati Persónuverndar fellur áframsending tölvupósts kvartenda undir slíka vinnslu.
3.
Lögmæti vinnslu
3.1
Rafræn vöktun og stillingar á tölvupósthólfi kvartenda
Hugtakið rafræn vöktun er skilgreint í 6. tölul. 2. gr. laga nr. 77/2000. Undir það fellur vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit. Til rafrænnar vöktunar telst m.a. tölvupóstvöktun sem fer fram með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupósta og tölvupóstkerfisnotkun einstakra starfsmanna. Þar undir falla einnig aðgerðir sem með beinum hætti tengjast og eru liður í þeirri vöktun, þ. á m. stillingar á því hvernig tölvupóstskeyti eru framsend. Sú aðgerð DV ehf. að stilla kerfi félagsins þannig að allur póstur til kvartenda [C] og [B] myndi sjálfkrafa framsendast í annað pósthólf var því liður í vöktun og rafrænni vinnslu í skilningi laganna.
Öll rafræn vöktun er háð því skilyrði að hún fari fram í málefnalegum tilgangi, sbr. 4. gr. laganna. Ef vöktun felur í sér vinnslu persónuupplýsinga sem fellur undir gildissvið laganna þarf, samkvæmt 2. mgr. 4. gr. laganna, einnig að uppfylla önnur ákvæði laganna - þ. á m. um heimild til vinnslu samkvæmt 8. gr. Í því máli sem hér um ræðir hefur ábyrgðaraðili, DV ehf., ekki sýnt fram á að fyrir liggi með ótvíræðum hætti samþykki kvartenda, fyrir sjálfvirkri áframsendingu tölvupósta þeirra, í skilningi 1. tölul. 1. mgr. 8. gr.
Þótt samþykki liggi ekki fyrir geta önnur skilyrði ákvæðisins verið uppfyllt. Í 7. tölulið segir að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg til að ábyrgðaraðili eða þriðji maður, eða aðili sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna sinna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber lögum samkvæmt, vegi þyngra. Hér þarf og að uppfylla meginreglur 7. gr. sömu laga, m.a. um sanngirni og meðalhóf og að vinnsla sé með lögmætum hætti.
Ljóst er að í vissum tilvikum geta sérstakar aðstæður réttlætt áframsendingu tölvupóstskeyta þannig að skilyrði 7. töluliðar 1. mgr. 8. gr. teljist uppfyllt. Sönnunarbyrði hvílir á DV ehf. sem ábyrgðaraðila um að slíkar aðstæður hafi verið fyrir hendi og að vinnsla hafi verið honum nauðsynleg og heimil. Af hans hálfu hefur verið bent á að nauðsynlegt hafi verið að áframsenda tölvupóst úr pósthólfi [C], fv. auglýsingastjóra félagsins, í því skyni að „halda þeirri gátt opinni“. Þetta hefur ekki verið útskýrt nánar af hálfu ábyrgðaraðila. Þá hafa engin rök verið færð fram fyrir því hvers vegna nauðsynlegt hafi verið að áframsenda póst sem barst á netfang [B]. Að mati Persónuverndar hefur ábyrgðaraðili því ekki sýnt fram á að framsending póstsins hafi verið honum nauðsynleg til að tryggja áframhaldandi þjónustu við viðskiptavini sína, sem ekki verið unnt að ná með öðrum og vægari leiðum. Liggur enda ekkert fyrir um að ekki hafi mátt tryggja þjónustu hans með öðrum hætti, s.s. því að stilla kerfið þannig að sendendur skeyta fengju aðeins skilaboð um að kvartandi hefði látið af störfum og hvert þeir gætu snúið sér. Liggur því ekki fyrir að framsending á tölvupósti kvartanda til annarra hafi verið fyrirtækinu heimil samkvæmt 7. tölul. 1. mgr. 8. gr. laganna.
Þá ber einnig að líta til 4. mgr. 9. gr. reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Þar segir að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Ef starfsmanni hefur verið veittur kostur á því má líta svo á að vinnuveitanda sé heimilt að nýta gögn úr tölvupósthólfinu í þágu starfsemi sinnar.
Í 4. mgr. 9. gr. umræddra reglna segir einnig:
„Við starfslok skal starfsmanni leiðbeint um að virkja sjálfvirka svörun úr sínu pósthólfi um að hann hafi látið af störfum. Eigi síðar en að tveimur vikum liðnum skal loka pósthólfinu. Vinnuveitanda er óheimilt að senda áfram á annan starfsmann þann póst sem berst í pósthólf fyrrverandi starfsmanns eftir starfslok, nema um annað hafi verið samið.“
Líkt og að framan greinir er það ábyrgðaraðili að rafrænni vöktun sem ber sönnunarbyrði fyrir því að farið hafi verið að fyrrnefndum reglum um rafræna vöktun. Óumdeilt er að [C] kom á skrifstofu DV ehf. og fór í gegnum tölvupóst sinn í nóvember 2014. Þá virðist sem [C] hafi gert það að eigin frumkvæði, eftir að hún lauk störfum hjá fyrirtækinu. Hins vegar hefur ábyrgðaraðili ekki sýnt fram á að öðrum kvartendum hafi verið veittur kostur á að gera slíkt hið sama eða að þeir hafi synjað boði um slíkt. Þá hefur ábyrgðaraðili ekki lagt fram nein skrifleg gögn sem staðfesta að allir þrír kvartendur hafi haft vitneskju um, eða samþykkt, að tölvupóstur sem bærist á netföng þeirra hjá félaginu yrði áframsendur til annarra starfsmanna. Í þessu sambandi er rétt að benda á að ákvæði reglanna leggja frumkvæðisskyldu á ábyrgðaraðila um að ganga úr skugga um að hugað sé að þessum atriðum við starfslok. Af gögnum málsins verður hins vegar ekki annað ráðið en að ábyrgðaraðili hafi ekki veitt þeim þennan kost með sannanlegum hætti.
Því er það mat Persónuverndar að sú aðgerð að áframsenda tölvupóst sem barst á netföng kvartenda, [B] og [C], eftir að þau luku störfum, án þess að hafa um það samráð við þau, hafi ekki verið í samræmi við lög nr. 77/2000 og reglur nr. 837/2006.
Þá er lagt fyrir ábyrgðaraðila DV ehf. að félagið staðfesti með skriflegum hætti að pósthólfum kvartenda hafi verið lokað sem og að þeim hafi verið gefinn kostur á að yfirfara pósthólf sín og eftir atvikum eyða eða áframsenda einkatölvupóst sinn, sem hefur borist á netföng þeirra. Staðfesting þess efnis skal berast Persónuvernd fyrir 15. september 2015.
3.2
Framsending tölvupósts sem innihélt drög að ævisögu [A]
Í 9. mgr. 47. gr. laga nr. 81/2003, um fjarskipti, segir að sá sem fyrir tilviljun, mistök eða án sérstakrar heimildar tekur við símskeytum, myndum eða öðrum fjarskiptamerkjum og táknum eða hlustar á símtöl má ekki skrá neitt slíkt hjá sér eða notfæra sér það á nokkurn hátt. Jafnframt ber honum að tilkynna sendanda að upplýsingar hafi ranglega borist sér. Skylt er að gæta fyllsta trúnaðar í slíkum tilfellum.
Að mati Persónuverndar er ljóst að ef tölvupóstur, sem barst fyrir slysni á netfang kvartenda [B] og [C], hefur verið áframsendur, án þess að fyrir hafi legið fullnægjandi heimildir, geti framangreint ákvæði átt við um meðferð tölvupóstsins eftir að umrædd áframsending átti sér stað. Hins vegar fellur það ekki undir verksvið Persónuverndar að skera úr um hvort farið hafi verið að ákvæðum laga nr. 81/2003, og fellur sá hluti kvörtunarinnar því utan gildissviðs laga nr. 77/2000. Óski kvartendur þess að fá úrlausn um þennan þátt málsins ber þeim að senda kvörtun sína til Póst- og fjarskiptastofnunar.
Ú r s k u r ð a r o r ð:
Meðferð DV ehf. á tölvupósthólfum [B], [C] og [A] eftir að þau luku störfum hjá félaginu, var ekki í samræmi við lög nr. 77/2000 og reglur nr. 837/2006.
Lagt er fyrir DV ehf. að staðfesta með skriflegum hætti að pósthólfum kvartenda hafi verið lokað og að þeim hafi verið gefinn kostur á að yfirfara pósthólf sín og eftir atvikum eyða eða áframsenda einkatölvupóst sinn, sem hefur borist á netföng þeirra. Staðfesting þess efnis skal berast Persónuvernd fyrir 25. september 2015.