Aðgangur að tölvupósthólfi fyrrverandi starfsmanns
Úrskurður
Á fundi stjórnar Persónuverndar þann 25. janúar 2016 var kveðinn upp svohljóðandi úrskurður í máli nr. 2015/767:
I.
Grundvöllur máls
Málavextir og bréfaskipti
1.
Tildrög máls
Þann 15. maí 2015 barst Persónuvernd kvörtun frá [A], dags. 12. s.m. (hér eftir nefnd kvartandi), varðandi aðgang fyrrum vinnuveitanda kvartanda að tölvupósthólfi hennar í kjölfar þess að henni var sagt upp störfum. Í kvörtuninni segir m.a. að kvartanda, sem starfaði [...] hjá Stracta hótel Hellu, hafi fyrirvaralaust verið sagt upp störfum [...]. Kvörtun kvartanda lýtur annars vegar að því að lokað hafi verið fyrir aðgang að tölvupósthólfi hennar áður en hún fékk uppsögn [...] og hins vegar að aðgangsorði að tölvupósthólfi hennar hafi verið breytt. Af þeim sökum hafi óviðkomandi aðilar haft aðgang að persónulegum tölvupósti kvartanda. Þá lýsir kvartandi aðstæðum er voru uppi við uppsögn annars fyrrum starfsmanns félagsins þar sem kvartanda var persónulega afhent tölva þess starfsmanns og allur tölvupóstur hans færður yfir í tölvu kvartanda. Því reikni kvartandi með að sami háttur hafi verið hafður á við uppsögn hennar. Kvartandi hefur neitað að gefa upp aðgangsorð að þeirri tölvu sem hún hafði til afnota í störfum sínum þar sem hún vilji bíða eftir úrskurði Persónuverndar í málinu enda kæri hún sig ekki um að óviðkomandi hafi aðgang að persónulegum myndum og gögnum sem hún hafi ekki fengið tækifæri til að fjarlægja. Þá tekur kvartandi fram að hún hafi ekki verið ásökuð um trúnaðarbrest fyrr og að heilindi hennar í störfum hafi aldrei verið dregin í efa.
2.
Bréfaskipti
Með bréfi, dags. 20. maí 2015, var Stracta hótel Hellu (hér eftir nefnt Stracta) boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Var þess sérstaklega óskað að fram kæmi í svarbréfinu hvort, og þá hvernig, félagið hefði veitt kvartanda fræðslu um meðferð tölvupósthólfs og lokun þess við starfslok. Þá óskaði stofnunin eftir afriti af skriflegum gögnum um fyrrnefnda fræðslu ef slík afrit væru til staðar.
Svarbréf Stracta, dags. 28. maí 2015, barst Persónuvernd þann 3. júní s.á. Í bréfinu segir m.a. að í tölvupósthólfi kvartanda séu samningar, myndir, samskipti og önnur gögn sem nauðsynleg eru félaginu. Þá segir að félagið hafi „rökstuddan grun“ um að í pósthólfinu séu gögn er staðfesti brottrekstrarsök kvartanda sem var trúnaðarbrot gagnvart vinnuveitanda [...]. Einnig segir að kvartanda hafi verið tilkynnt um, við starfslok þann [...], að lokað hafi verið fyrir aðgang hennar að pósthólfinu skömmu áður. Segir félagið að enginn hafi farið í pósthólf kvartanda síðan og vísaði Stracta í afrit af gögnum frá hýsingaraðila félagsins sem fylgja áttu bréfinu. Ástæða lokunarinnar var að koma í veg fyrir að mikilvægum gögnum sem fyrirtækið á í tölvunni yrði eytt. Loks segir í bréfinu að kvartanda hafi ítrekað verið boðið að vera viðstödd þegar til hefur staðið að opna pósthólf hennar en kvartandi hafi ekki orðið við þeim óskum. Þá segir:
„Þar sem engin svör hafa borist frá [A] varðandi það að opna tölvupóstinn sér fyrirtækið sig knúið með hagsmuni þess í huga og til að lágmarka tjón, að opna það án hennar viðveru.“
Bréfinu fylgdu ekki þau fylgigögn sem Stracta vísar til í bréfi sínu. Þau bárust hins vegar með bréfi, dags. 24. júní 2015. Um virðist vera að ræða afrit af ódags. tölvupósti félagsins til kvartanda þar sem henni er boðið að mæta á tilteknum tíma á tilteknum degi og vera viðstödd þegar fyrirhugað hafi verið að opna tölvupósthólf hennar. Einnig fylgdi skjámynd af skýrslu frá ónefndum hýsingaraðila sem sýnir yfirlit yfir inn- og útskráningar í pósthólf kvartanda á tímabilinu 3. [mánaðar] – 24. [mánaðar] 2015. Engu að síður má ráða að kvartandi hafi skráð sig inn þann 7. [mánaðar] og út aftur þann 8. [mánaðar] 2015. Inn á skýrsluna er skrifað „Tactica fer inn auto reply“. Einnig sjást innskráningar frá 8., 9., 22., 23. og 24. [mánaðar] 2015. Við hlið [fyrstu inn]skráningarinnar [...] er skrifað „Búið að senda bréf“.
Með bréfi, dags. 11. júní 2015, sbr. einnig bréf dags. 29. júní s.á., var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Stracta hótels til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993.
Svarbréf kvartanda barst 30. júní 2015. Varðandi aðgang að pósthólfi kvartanda segir m.a. að engin skrifleg gögn séu til sem sýni fram á að kvartanda hafi verið kynntar reglur um notkun, lokun eða breytingar á pósthólfi hennar hjá Stracta. Þá segir kvartandi að sér hafi hvorki verið tjáð, við uppsögn eða eftir hana, að pósthólfi sínu yrði lokað né hverjir myndu hafa aðgang að því. Einnig ítrekaði kvartandi þau sjónarmið sem rakin voru í kvörtun hennar og varða meðferð á tölvu og persónulegum gögnum fyrrum markaðsstjóra félagsins, en umrædd gögn voru flutt í tölvu kvartanda við starfslok hans. Þá segir kvartandi að farið hafi verið í pósthólf kvartanda áður en henni var sagt upp störfum, enda var lykilorði að pósthólfi hennar breytt þann [[...] fyrir uppsögn kvartanda], og aftur [dags.] þegar uppsögn var kynnt. Kvartandi bendir jafnframt á að upphaflega hafi Stracta óskað eftir aðgangi að tölvu hennar á þeirri forsendu að félagið þyrfti nauðsynlega að komast í hana. Eftir að málsmeðferð hjá Persónuvernd hófst hafi Stracta hins vegar einungis óskað eftir aðgangi að tölvupósthólfi kvartanda. Telur kvartandi óheimilt að farið sé í pósthólf hennar óháð því hvaða gögn persónulegur póstur hennar hafi að geyma. Að lokum segir kvartandi að ráða megi af orðalagi í bréfi Stracta að farið hafi verið í tölvupóst hennar og að það hafi verið gert oft og iðulega auk þess sem tölvan sjálf hafi einnig verið skoðuð og gögn e.t.v. „spegluð“ í umtalsverðan tíma áður en kvartanda var sagt upp störfum.
Með bréfi, dags. 26. ágúst 2015, sbr. einnig bréf dags. 14. september 2015, óskaði Persónuvernd eftir frekari skýringum frá Stracta. Þannig óskaði Persónuvernd eftir nýju afriti af ódags. tölvupósti félagsins til kvartanda, sem sendur var stofnuninni þann 24. júní 2015, þar sem fram kæmi dagsetning tölvupóstsins og netföng sendanda og viðtakanda. Einnig óskaði Persónuvernd eftir upplýsingum um það hvort, og þá hvaða, fræðslu Stracta veitti kvartanda um notkun tölvupósthólfs hennar áður en til uppsagnar kom. Væru til staðar skrifleg gögn hvað fyrrnefnda fræðslu varðar óskaði Persónuvernd eftir afriti af þeim. Loks óskaði Persónuvernd eftir upplýsingum um það hver væri hýsingaraðili félagsins.
Svarbréf Stracta, dags. 25. september 2015, barst Persónuvernd hinn 29. s.m. Þar kemur fram að hýsingaraðili Stracta sé Tactica ehf. auk þess sem nafn tengiliðs hjá hýsingaraðila var upp gefið. Varðandi fræðslu til kvartanda segir í bréfinu að kvartanda hafi verið gert ljóst að um fyrirtækjapósthólf væri að ræða sem bæri að nota sem slíkt. Einnig segir að kvartandi sé sérfræðingum í netmálum sem hefði mátt vita með hvaða hætti ætti að fara með tölvupósthólf í eigu vinnuveitanda. Þá var ítrekað að kvartanda hafi verið boðið að fara í vinnutölvu sína og fjarlægja öll persónuleg gögn sama dag og hún hætti en hún kaus að yfirgefa vinnustaðinn í flýti án þess að þekkjast það boð. Bréfinu fylgdu afrit af tölvupóstum félagsins til kvartanda, dagsettir, eins og Persónuvernd óskaði eftir. Þar á meðal eru tveir tölvupóstar frá [B] frá [dags.] 2015 þar sem óskað er eftir aðgangsorði að vinnutölvu kvartanda, þar sem félagið þurfi að fara að nota hana. Einnig er afrit af tölvupósti [C], dags. [...] 2015, þar sem óskað er eftir því að kvartandi komi á starfsstöð félagsins daginn eftir, [...] milli klukkan 13-15 til að „hreinsa þá persónulegu muni sem kunni að leynast í tölvunni svo [félagið] geti fengið aðgang að henni.“. Þá segir einnig að ef kvartandi verði ekki við beiðninni muni félagið fara aðrar leiðir í málinu til að komast inn í tölvuna og muni líta svo á að kvartandi hafi ekki áhuga á að hreinsa persónuleg gögn úr tölvunni. Ósk félagsins um að kvartandi kæmi og væri viðstödd opnun pósthólfsins var ítrekuð með tölvubréfi þann [...] 2015.
Með bréfi, dags. 22. desember 2015, ítrekuðu með bréfi dags. 11. janúar 2016, óskaði Persónuvernd nánari skýringa frá Stracta annars vegar og Tactica ehf. hins vegar. Nánar tiltekið var óskað frekari skýringa á tilteknum innskráningum sem áttu sér stað í tölvupósthólf kvartanda samkvæmt skýrslu frá Tactica ehf., hýsingaraðila tölvupósthólfsins, en afrit skýrslunni fylgdi svarbréfi ábyrgðaraðila dags. 25. september 2015. Óskaði Persónuverndar skýringa á því hver hefði skráð sig inn í tölvupósthólf kvartanda þann 7. [mánaðar], í hvaða tilgangi og hvers vegna innskráning hefði staðið svo lengi sem yfirlitið bæri með sér, eða frá 8:17 að morgni til klukkan 14:50 þann [dags.]. Einnig óskaði Persónuvernd sambærilegra skýringa vegna innskráninga sem áttu sér stað þann 8., 9., 22., 23. og 24. [mánaðar] 2015. Engin frekari svör bárust.
II.
Forsendur og niðurstaða
1.
Afmörkun kvörtunarefni
Framangreind kvörtun lýtur að því að farið hafi verið í einkatölvupóst kvartanda sem finna mátti í tölvupósthólfi fyrrum vinnuveitanda hennar annars vegar og að skoðuð hafi verið persónuleg gögn sem varðveitt voru á vinnutölvu hins vegar.
2.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, gilda um sérhverja rafræna vinnslu persónuupplýsinga, sem og um handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Stracta hótel ehf. vera ábyrgaraðili að umræddri vinnslu.
Af framangreindu er ljóst að aðgangur að tölvupósthólfi kvartanda fellur undir gildissvið laga nr. 77/2000.
3.
Lögmæti vinnslu
Hugtakið rafræn vöktun er skilgreint í 6. tölul. 2. gr. laga nr. 77/2000. Undir það fellur vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit. Til rafrænnar vöktunar telst m.a. tölvupóstvöktun sem fer fram með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupósta og tölvupóstkerfisnotkun einstakra starfsmanna.
Öll rafræn vöktun er háð því skilyrði að hún fari fram í málefnalegum tilgangi, sbr. 4. gr. laganna. Ef vöktun felur í sér vinnslu persónuupplýsinga sem fellur undir gildissvið laganna þarf, samkvæmt 2. mgr. 4. gr. laganna, einnig að uppfylla önnur ákvæði laganna - þ. á m. um heimild til vinnslu samkvæmt 8. gr. Í því máli sem hér um ræðir hefur ábyrgðaraðili, Stracta hótel, ekki sýnt fram á að fyrir liggi með ótvíræðum hætti samþykki kvartanda, fyrir vinnslu persónuupplýsinga eftir starfslok.
Þótt samþykki liggi ekki fyrir geta önnur skilyrði ákvæðisins verið uppfyllt. Í 7. tölulið 8. gr. laga nr. 77/2000 segir að vinnsla persónuupplýsinga geti verið heimil sé hún nauðsynleg til að ábyrgðaraðili eða þriðji maður, eða aðili sem upplýsingum er miðlað til, geti gætt lögmætra hagsmuna sinna nema grundvallarréttindi og frelsi hins skráða, sem vernda ber lögum samkvæmt, vegi þyngra. Hér þarf og að uppfylla meginreglur 7. gr. sömu laga, m.a. um sanngirni og meðalhóf og að vinnsla sé með lögmætum hætti.
Ljóst er að í vissum tilvikum geta sérstakar aðstæður réttlætt aðgang vinnuveitanda að tölvupósti starfsmanna og að slík skoðun sé nauðsynleg svo skilyrði 7. tölul. 1. mgr. 8. gr. teljist uppfyllt. Sönnunarbyrði hvílir á Stracta hóteli sem ábyrgðaraðila um að slíkar aðstæður hafi verið fyrir hendi og að vinnsla hafi verið honum nauðsynleg og heimil.
Þá ber einnig að líta til 4. mgr. 9. gr. reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Þar segir að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Ef starfsmanni hefur verið veittur kostur á því má líta svo á að vinnuveitanda sé heimilt að nýta gögn úr tölvupósthólfinu í þágu starfsemi sinnar.
Af hálfu Stracta hefur verið bent á að nauðsynlegt hafi verið að fara í tölvupósthólfi kvartanda þar sem þar væru samningar, myndir, samskipti og önnur gögn sem væru félaginu nauðsynleg. Þá hafi ábyrgðaraðili boðið kvartanda að vera viðstödd opnun tölvupósthólfsins, sbr. tölvubréf til kvartanda frá 11., 12. og 22. [mánaðar] 2015, m.a. í því skyni að hreinsa persónuleg gögn sem kynnu að finnast í tölvu kvartanda.
Sá sem er ábyrgðaraðili að rafrænni vöktun ber sönnunarbyrði fyrir því að farið hafi verið að fyrrnefndum reglum um rafræna vöktun. Með bréfi, dags. 28. maí 2015, staðhæfði Stracta að ekki hefði verið farið í tölvupósthólf kvartanda. Engu að síður sýnir yfirlit frá hýsingaraðila félagsins, sem Stracta sendi Persónuvernd með bréfi þann 2. október 2015, að innskráning í tölvupósthólf kvartanda hafi átti sér stað þann 7., 8., 9., 22. og 24. [þess mánaðar sem kvartanda var sagt upp störfum]. Ekki liggur fyrir að kvartanda hafi verið boðið að eyða eða taka afrit af tölvupósti sínum áður en umræddar innskráningar í tölvupósthólf hennar áttu sér stað heldur einungis boðið kvartanda að vera viðstödd opnun þess. Í þessu sambandi er rétt að benda á að ákvæði reglna nr. 837/2006, um rafræna vöktun, leggja frumkvæðisskyldu á ábyrgðaraðila um að ganga úr skugga um að hugað sé að atriðum 9. gr. þeirra við starfslok. Af gögnum málsins verður hins vegar ekki annað ráðið en að ábyrgðaraðili hafi ekki veitt kvartanda kost á að eyða eða taka afrit af einkatölvupósti sínum með sannanlegum hætti fyrr en með tölvupósti frá [C] til kvartanda þann 13. [mánaðar] 2015.
Sú aðgerð að opna tölvupósthólf kvartanda eftir að hún lét af störfum þann [...] en áður en kvartanda var gefinn kostur á að vera viðstödd skoðun tölvupósthólfsins, án þess að gefa henni kost á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi Stracta, var ekki í samræmi við lög nr. 77/2000 og reglur nr. 837/2006.
4.
Fræðsluskylda
Samkvæmt 10. gr. reglna nr. 837/2006, um rafræna vöktun skal ábyrgðaraðili setja reglur og/eða veita fræðslu til þeirra sem sæta rafrænni vöktun. Áður en slíkum reglum er beitt skal kynna þær með sannanlegum hætti, s.s. við gerð ráðningarsamnings. Reglur eða fræðsla samkvæmt 1. mgr. skulu taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast og hversu lengi þær verði varðveittar. Þá segir í e-lið 3. mgr. 10. gr. að einnig skuli veita fræðslu um hvernig farið sé með einkatölvupóst og annan tölvupóst.
Ábyrgðaraðili heldur því fram að kvartanda hafi verið gert ljóst að um fyrirtækjapósthólf væri að ræða sem bæri að nota sem slíkt. Þá segir ábyrgðaraðili að kvartandi hefði mátt vita með hvaða hætti ætti að fara með tölvupóst í eigu vinnuveitanda. Ábyrgaraðili hefur hins vegar ekki sýnt fram á með sannanlegum hætti að kvartanda hafi verið veitt fræðsla í samræmi við 10. gr. fyrrnefndra reglna.
Að mati Persónuverndar veitti Stracta hótel [...] kvartanda ekki fullnægjandi fræðslu um framkvæmd rafrænnar vöktunar hjá félaginu.
Persónuvernd beinir þeim fyrirmælum til Stracta hótels [...] að staðfesta með skriflegum hætti að pósthólfi kvartanda hafi verið lokað sem og að kvartanda hafi verið gefinn kostur á að yfirfara tölvu og pósthólf sitt hjá Stracta, og eftir atvikum eyða eða áframsenda einkatölvupóst sinn, sem hefur borist á netfang hennar hjá félaginu, og önnur persónuleg gögn. Einnig ber félaginu að staðfesta með skriflegum hætti hvernig það hyggst bæta úr fræðslu til starfsmanna um rafræna vöktun sbr. 10. gr. reglna nr. 837/2006. Staðfesting þess efnis skal berast Persónuvernd fyrir 1. mars 2016.
Ú r s k u r ð a r o r ð:
Stracta hóteli ehf. var óheimilt að opna tölvupósthólf [A] fyrir 12. [mánaðar] 2015. Kvartanda var ekki veitt fullnægjandi fræðsla um rafræna vöktun. Stracta hótel skal senda Persónuvernd skriflega staðfestingu á því að félagið hafi brugðist við fyrirmælum Persónuverndar fyrir fyrir 1. mars 2016.