Tölvupóstur starfsmanns skoðaður
20. júní
Article
Úrskurður
Þann 20. júní 2006 komst stjórn Persónuverndar að eftirfarandi niðurstöðu í máli nr. 2005/251.
Grundvöllur máls
Málavextir og bréfaskipti
Með bréfi, dags. 24. apríl 2005, barst Persónuvernd kvörtun A hrl. f.h. umbjóðanda síns, B, fyrrum dagskrárstjóra D, sem rak E, yfir skoðun á yfirboðara hans þar á tölvupósti hans.
Sjónarmið kvartanda
Í framangreindri kvörtun segir m.a.:
"Við starfslok óskaði umbj. minn eftir að öllum einkapósti hans væri eytt úr tölvum fyrirtækisins en þá kom upp ágreiningur á milli umbj. míns og forsvarsmanna fyrirtækisins um hvað teldist einkapóstur. Haldinn var fundur með lögmönnum og framkvæmdastjóra fyrirtækisins þann 15. apríl til að tilgreina einkapóst hans. Á fundinum var upplýst af hálfu forsvarsmanna [D] að skv. reglum fyrirtækisins um meðferð tölvupósts þá mætti ekki opna tölvupóst starfsmanna nema nauðsyn krefði og í slíkum tilvikum þá bæri ávallt að gefa starfsmanni kost á að vera viðstaddur slíka skoðun. Reglur þessar eru í samræmi við viðmiðunarreglur Persónuverndar. Þrátt fyrir þessar skýru reglur fyrirtækisins og ákvæð[i] laga um persónuvernd viðurkenndi framkvæmdastjóri fyrirtækisins, að hann hafi skoðað tölvupóst umbj. míns án þess að gefa honum kost á að vera viðstadd[ur] þá skoðun.
Til skýringar benti framkvæmdastjórinn á að hann hafi skoðað póstinn til að finna fundarplan vegna fyrirhugaðrar ferðar til Cannes í Frakklandi. Skýring þessi á ekki við nein rök að styðjast þar sem skoðaður var einkapóstur umbj. míns til vinar hans [F] sem hafði augljóslega ekkert með fyrirhugaða ferð til Cannes að gera."
Einnig kemur fram í kvörtuninni að aðilar hafi fundað þann 15. og 18. apríl 2005 til að fara yfir efni umrædds tölvupósts en ekki hafi náðst samkomulag, s.s. um hvaða skeyti hefðu lotið að einkamálefnum og hver ekki. Eftir að fram hafi komið beiðni D um lögbann á hendur B hafi ekki verið boðað til frekari funda. Síðan segir í kvörtuninni:
Umbjóðandi minn krefst þess að Persónuvernd úrskurði um hvort skoðun framkvæmdastjóra [D] á einkatölvupósti umbj. míns sem hann hefur viðurkennt að hafa skoðað sbr. fundargerð frá 15. apríl feli í sér brot á starfsreglum og lögum um persónuvernd sbr. 7. gr. laga um persónuvernd, svo og að láta fréttamönnum í té upplýsingar um tölvupóst umbj. míns.
Þá er þess krafist að [P]ersónuvernd úrskurði um hvort framangreindur tölvupóstur til og frá [F] undir netföngunum xxx, xxx, xxx og annar póstur sem merkt hefur verið við á listum yfir tölvupóst hans sé einkapóstur og hlutist til um í framhaldinu að þeim pósti verði eytt, sbr. 7. gr. laga um persónuvernd. Umbj. minn hefur ekki framangreindan póst undir höndum en hann er að finna í tölvum fyrirtækisins.
Þá er þess krafist að Persónuvernd stöðvi alla vinnslu og meðferð á þeim tölvupósti sem ágreiningur er um og banni fyrirtækinu að nýta sér þann póst á nokkurn hátt þar til niðurstaða Persónuverndar liggur fyrir í málinu, sbr. 40. gr. laga um persónuvernd..."
Með framangreindri kvörtun fylgdi afrit af fundargerðum aðila frá 15. og 18. apríl 2005. Á fyrrnefnda fundinum er m.a. rakin bókun A um að á fundinum hafi G lýst því yfir að hann hafi skoðað tölvupóst B laugardagskvöldið 9. apríl 2005. Hafi G fengið bókað að hann teldi umrædda skoðun hafa verið neyðarúrræði til að verja hagsmuni félagsins vegna fyrirhugaðrar ferðar til Cannes í Frakklandi að morgni 10. apríl 2005.
Sjónarmið D
Með bréfi, dags. 10. maí 2005, óskaði Persónuvernd afstöðu D til framangreindrar kvörtunar og gerði lögmaður félagsins grein fyrir henni með bréfi, dags. 6. júní s.á. Þar eru rakin málsatvik og um skoðun á tölvupósti B segir m.a.:
[...]
Óskaði framkvæmdastjórinn í því skyni við [B], í símtali sem átti sér stað um kl. 17 þann 9. apríl, að [B] afhenti sér þau gögn, en [B] hafnaði því. [B] neitaði þá einnig að afhenda fartölvu sem hann hafði undir höndum, en var óumdeilanlega eign umbj. míns. Af þeim sökum og til þess að verja hagsmuni umbj. míns vegna umræddrar ferðar daginn eftir, var framkvæmdastjóra umbj. míns nauðsyn á því að fara inn á vinnusvæði [B] í tölvupóstkerfi umbj. míns, svo sem hann gerði síðar þann sama dag. Við leit að umræddum fundargögnum kviknaði grunur hjá umbj. mínum um að hin nýja ráðning [B] næði til annarra starfa en látið hefði verið uppi og að [B] hefði misfarið með mikilvægar upplýsingar umbj. míns í tengslum við ráðningu sína til [H]."
Í greinargerð D er síðan fjallað um þá fundi sem haldnir voru milli aðila til að yfirfara umrædd tölvupóstskeyti, m.a. til að skilgreina hvað væri einkatölvupóstur, en um það náðist ekki samkomulag. Kemur fram að í bréfi D, dags. 22. apríl 2005, til lögmanns B hafi þeim skilningi verið mótmælt að tölvupóstsamskipti B og F teldust til einkatölvupósts. Er síðan greint frá því að Sýslumaðurinn í Reykjavík hafi þann 6. maí sl. lagt lögbann gegn því að B réði sig til eða starfaði í þjónustu H eða annarra fyrirtækja í eigu sömu aðila. Einnig var lagt lögbann við því að að B hagnýtti sér á nokkurn hátt atvinnuleyndarmál og/eða trúnaðarupplýsingar í eigu D, sem kynnu að vera í vörslu B eða kynnu að komast í vörslur hans. Síðan hafi mál verið höfðað af D gegn B fyrir Héraðsdómi Reykjavíkur til staðfestingar lögbannsgerðinni.
Í greinargerðinni er og rakið hvernig heiti ýmissa tölvupóstskeyta ásamt viðhengjum með þeim hafi vakið grunsemdir um að verið væri að senda frá D hugmyndir sem trúnaður átti að ríkja um. Í greinargerðinni segir:
[...]
"Telji Persónuvernd að um vinnslu persónuupplýsinga hafi verið að ræða í skilningi laga nr. 77/2000, byggir umbj. minn á því að ákvæða II. kafla laganna, sbr. sérstaklega 7. og 8. gr., hafi verið gætt af hans hálfu, sbr. framangreind atvik. Sú aðgerð umbj. míns er farið var inn á vinnusvæði [B] í tölvupóstkerfi umbj. míns var nauðsynleg til þess að forða umbj. mínum frá tjóni vegna vinnuferðar og með því var umbj. minn að gæta lögmætra hagsmuna sinna. Ljóst má einnig vera að ekki var gengið lengra en nauðsyn var á, enda var gætt ákvæða laga og reglna um persónuvernd með því að tölvupóstur var opnaður að [B] viðstöddum og með hans samþykki. Umbj. minn telur útilokað að réttindi starfsmanns geti gengið framar lögmætum hagsmunum vinnuveitanda af því að fara inn á vinnusvæði starfsmannsins í tölvupóstkerfinu til að forða tjóni. Þá verður vart talið að réttindi starfsmanns séu skert með því að vinnuveitandi taki við slíka skoðun eftir tölvupóstum sem gefa óyggjandi vísbendingar um að verið sé að senda til óviðkomandi aðila trúnaðarupplýsingar vinnuveitanda og leggja á ráðin um að ráða sig til samkeppnisaðila í samkeppni við vinnuveitandann, allt þvert gegn skuldbindingum starfsmannsins skv. ráðningarsamningi, eins og síðar var staðfest. Að þessu virtu hafnar umbj. minn að hann hafi gerst brotlegur við 7. gr. laga nr. 77/2000, svo sem [B] heldur fram, en óyggjandi sé m.a. að vinnsla persónuupplýsinga hafi farið fram með sanngjörnum, málefnalegum og lögmætum hætti og öll meðferð hafi verið í samræmi við vandaða vinnsluhætti persónuupplýsinga. Gæta ber sérstaklega að því, í þessu sambandi, að umbj. minn gætti að reglum um persónuvernd m.a. er [B] var boðaður til sérstakra funda til þess að tjá sig um hvaða tölvupóstar lytu að einkamálefnum og er [B] var látinn í té listi yfir sendendur og viðtakendur tölvupóst[s] til að merkja við..."
Um afstöðu B til þess að tölvupóstsamskipti hans og F séu einkatölvupóstur segir m.a.:
[...]
Þá verður ekki talið að [B] hafi með neinum hætti sýnt fram á að umrædd tölvupóstsamskipti við [F] varði einkamálefni, þ.m.t. hafa tölvupóstarnir ekki verið lagðir fram fyrir Persónuvernd af hálfu [B] né með neinum hætti rökstutt hvaða atriði í þeim varði einkalíf [B] en ekki hagsmuni umbj. míns. [...] ...má ljóst vera að tölvupóstar þessir vörðuðu augljósa hagsmuni umbj. míns, auk þess sem að þau samskipti urðu grundvöllur að ákvörðun sýslumanns um lögbann.
[...]"
Í greinargerðinni er gerð grein fyrir afstöðu D til þeirrar kröfu B að Persónuvernd stöðvi alla meðferð á þeim tölvupósti sem ágreiningur aðila snýst um og banni að D nýti sér þann póst á nokkurn hátt, og er sérstaklega vísað til fyrirhugaðrar framlagningar á tölvupóstinum með lögbannsbeiðni til Sýslumannsins í Reykjavík.
Þar sem umrædd lögbannsbeiðni er þegar afgreidd getur umfjöllun um þetta atriði ekki haft áhrif á lyktir máls þessa eða réttarstöðu aðila. Þykja því ekki efni til þess að vitna í úrskurði þessum til eða fjalla sérstaklega um sjónarmið aðila um þessa kröfu. Með greinargerðinni fylgdu hins vegar ýmis gögn, m.a. reglur E um upplýsingatækni. Þar er í grein 1.6 fjallað um tölvupóst. Þar segir m.a.:
Líkt og bréf og föx er tölvupóstur sem sendur er frá starfsmönnum [E] til viðskiptavina [E] eign [E] og á því að vistast í sameiginlegum samskiptagrunni. Sama gildir um móttekinn tölvupóst frá viðskiptavinum og samstarfsaðilum. Þrátt fyrir að þessi tölvupóstur sé eign [E] þá mun [E] ekki skoða tölvupóst starfsmanna nema góð rök séu fyrir hendi og í viðurvist viðkomandi starfsmanns. [E] mun virða lög og reglur um persónuvernd hvað þetta varðar.
Einkatölvupóstur er eign viðkomandi starfsmanns:
[E] hvetur sína starfsmenn að eiga sitt eigið tölvupóstfang (t.d. jon[hjá]strik.is eða jon[hja]isl.is) og lesa/senda sinn einkatölvupóst frá þessu póstfangi. Hægt er að fá tölvupóstfang hjá www.strik.is. Hins vegar ef ekki er um slíkt að ræða má að sjálfsögðu móttaka og senda tölvupóst frá póstfangi [E] en hann má ekki bera með sér að hann sé á vegum fyrirtækisins (sleppa ætti því hefðbundnu signature sem á kemur starfstitill). Ein mikilvægasta ástæðan fyrir því að hafa einkapóstfang aðskilið fyrirtækispóstfangi er sú að fyrirtækið getur þurft að afhenda allan tölvupóst sem er sendur frá eða berst á fyrirtækispóstfangið, til dæmis ef dómstólar fara fram á slíkt. Geymið engin persónuleg eða viðkvæm mál undir fyrirtækispóstfangi ykkar."
Frekari sjónarmið kvartanda
Persónuvernd kynnti A hrl. framangreint svar D með bréfi, dags. 9. júní 2005. Hann svaraði með bréfi, dags. 22. júlí 2005. Segir þar m.a.:
Í greinargerð [D] kemur fram að ástæða þess að framkvæmdastjóri [D] hafi skoðað tölvupóst umbj. míns sé sú að hann hafi þurft að komast yfir gögn vegna vinnuferðar í Cannes. Á sama tíma og framkvæmdastjórinn var að skoða tölvupóst umbj. míns sat umbj. minn fund með stjórnarformanni [D] vegna starfslokanna. Óumdeilt er að umbj. minn afhenti stjórnarformanni [D] öll gögn varðandi þá vinnuferð strax sama kvöld og honum var fyrirvaralaust vikið frá störfum. Hann afhenti síðan tölvu á mánudagsmorgni og lét kvitta fyrir móttöku.
Jafnframt liggur fyrir í málinu að framkvæmdastjóri [D] skoðaði ekki einungis tölvupóst umbj. míns að kvöldi 9. apríl heldur marga daga þar á eftir eða allt til 18. apríl. Eins og meðfylgjandi yfirlit sýnir þá var póstur umbj. míns skoðaður frá 9. apríl til 18. apríl og áframsendur í tölvu framkvæmdastjórans sbr. svar úr hans tölvu vegna móttöku skeytisins kl. 17:55 en hann var þá staddur í Cannes. Á þessu yfirliti má sjá að efni var auðsjáanlega persónulegt s.s. póstur skoðaður 11. apríl kl. 17:58 me[r]ktur [B], en það er póstur sem umbj. minn hafði sent sjálfum sér, annar póstur kl. 18:03 merktur . . ., kl. 18:01 merkt [B], og fl.
Til skýringar þá var öllum aðgangi umbj. míns lokað þann 9. apríl og hafði hann ekki frekari aðgang eftir það.
Allar staðhæfingar um að nauðsynlegt væri að skoða tölvupóst umbj. míns vegna ferðarinnar eiga því ekki við rök að styðjast enda er pósturinn jafnframt skoðaður eftir að hann hafði fengið öll fundarplön hjá umbj. mínum og eftir að ferð til Cannes lauk. Það að pósturinn var áframsendur til framkvæmdastjórans hafði ek[k]ert með ferðina til Cannes að gera.
Í málinu liggur fyrir viðurkenning framkvæmdastjóra [D] á að hann hafi skoðað tölvupóst umbj. míns sem ekki varðaði fyrirhugaða ferð til Cannes, án vitneskju umbjóðanda míns sem er bæði brot á lögum um [p]ersónuvernd, 5. gr. reglugerðar nr. 888/2004, sem [D] vitnar til, og starfsreglum [D] um meðferð tölvupósts.
Ef hin ólögmæta skoðun, undir þeim formerkjum að verið væri að kanna fundarboð vegna ferðar til Cannes, gaf eitthvert tilefni til nánari skoðunar t.d. vegna efnisheitis tölvupóstsins, bar framkvæmdastjóranum að fara eftir starfsreglum fyrirtækisins og lögum um persónuvernd og hafa samband við umbj. minn sem hann gerði ekki.
Starfsreglur fyrirtækja eru settar til að tryggja rétt starfsmanna þannig að þeir geti treyst því að tölvupóstur þeirra sé ekki skoðaður og ef nauðsyn sé á vegna eðli starfseminnar þá sé starfsmanninum gefinn kostur á að vera viðstaddur þá skoðun.
Þessar reglur eins og [D] hafði sett sér til að tryggja persónuvernd starfsmanna er[u] í anda ákvæða laga um persónuvernd en voru brotnar er á reyndi.
Sá póstur sem m.a. [var] skoðaður var til vinar umbj. míns [F]. Framkvæmdastjóranum mátti vera það ljóst að póstur sendur til [F] var einkapóstur enda hafði [F] engin viðskiptatengsl við [D] af augljósum ástæðum. Framkvæmdastjóranum var það einnig kunnugt að umbj. minn og [F] væru vinir frá því að þeir störfuðu saman hjá [D] og unnu saman að ýmsum verkefnum sem tengd[u]st m.a. leiksýningum.
[...]"
A rekur síðan hver hafi orðið niðurstaða lögbannsmálsins fyrir Sýslumanninum í Reykjavík og að ásakanir um trúnaðarbrot og stuld á viðskiptahugmynd af hálfu forsvarsmanna D eigi ekki við rök að styðjast. Síðan segir:
Á fundum aðila þar sem fram fór skoðun á tölvupósti var ágreiningur um hvað væri einkapóstur m.a. samskipti umbj. míns og [F].
Umbj. minn krafðist þess að öllum þeim pósti væri eytt, enda [F] ekki í neinum viðskiptasamböndum við [D] og öll þeirra samskipti væru einkamál hvort sem umræðan snérist um sjónvarp, leikhús, viðskipti eða viðskiptahugmyndir. Því var hafnað af hálfu [D] á þeim forsendum að [F] væri núverandi starfsmaður [H]. Það að [F] sé núverandi starfsmaður [H] veitir [D] engan rétt að eigna sér tölvupóst á milli umbj. míns og hans enda samskiptin ekki um viðskipti þeirra, heldur hugrenningar um sameiginlegt hugðarefni. Eins og fram kemur í fundargerð frá 18. apríl 2005 þá var deilt um tölvupóst á milli þessara aðila frá 16. október 2004 og 2. nóvember 2004. Tölvupóstur á milli vina verður undir öllum kringumstæðum að teljast einkapóstur sama hvert efni hans er, svo framarlega sem hann sé ekki um bein viðskipti við fyrirtæki sem annar hvor vinnur hjá.
[...]"
Mál sett í bið vegna dómsmeðferðar
Með bréfi Persónuverndar, dags. 3. október 2005, var málsaðilum tilkynnt að á meðan ágreiningur þeirra væri til meðferðar fyrir dómstóli, og enn lægi ekki fyrir hvort hann myndi taka efnislega afstöðu til þess að hvaða marki umrædd meðferð á tölvupósti hefði farið gegn lögum nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, yrði ekki frekar aðhafst í málinu.
A hrl. mótmælti framangreindu en á fundi sínum þann 14. nóvember 2005 staðfesti stjórn Persónuverndar fyrri ákvörðun um að hafa ekki frekari afskipti af málinu fyrr en niðurstaða dómstóls lægi fyrir í því máli sem höfðað hafði verið til staðfestingar umræddri lögbannsgerð.
Niðurstaða Héraðsdóms Reykjavíkur lá fyrir 7. apríl 2006. Var þar synjað kröfu um að staðfesta umrætt lögbann þar sem I, sem hafði tekið við aðild D að málinu, gæti ekki átt aðild að því skv. 2. mgr. 16. gr. laga um meðferð einkamála nr. 91/1991. Ekkert var þ.a.l. fjallað um það álitaefni hvort meðferð persónuupplýsinga hefði farið í bága við ákvæði laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Afgreiðslu máls haldið áfram hjá Persónuvernd
Með bréfi, dags. 10. apríl 2006, barst síðan beiðni frá A hrl. f.h. B um að Persónuvernd tæki málið á ný til meðferðar. Á það var fallist en þar sem nokkurt misræmi þótti vera í frásögnum af atvikum máls, og ljóst að væru atvik óljós kynni málið að einhverju leyti ekki að verða til lykta leitt nema fyrir dómi, var ákveðið að bera undir aðila máls skilning Persónuverndar á því hver væru atvik þess.
Persónuvernd gerði aðilum grein fyrir því að skilningur hennar á málsatvikum væri sá að þann 4. apríl 2005 hefði B tilkynnt framkvæmdastjóra fyrirtækisins, G, að hann hygðist taka við starfi hjá H. Komið hefði í ljós að öllum pósti sem hefði verið sendur frá póstfangi B í janúar, febrúar og mars 2005 hafi verið eytt af netþjóninum á tímabilinu 5. til 9. apríl en kerfisstjórinn hefði hins vegar, að beiðni D, endurbyggt umræddan póst af öryggisafritum. Þann 9. apríl 2005 hefði G síðan skoðað tölvupóst B í gegnum tölvupóstkerfi D. B hafi ekki verið gefinn kostur á að vera viðstaddur þessa skoðun. Dagana 15. og 18. apríl hefðu verið haldnir fundir þar sem fara átti yfir tölvupóst B. Hafi það verið gert til að uppfylla vinnustaðareglur E. Fyrirhugað hafi verið að halda fleiri slíka fundi en frá því horfið eftir að D gerði kröfu um lögbann á störf B hjá H.
Með bréfi, dags. 30. maí 2006, tjáði A sig um framangreindan skilning Persónuverndar. Telur hann málsatvikum vera rétt lýst með eftirfarandi hætti:
2. Ágreiningur kemur upp milli [B] og [G] framkv.st. [D] þann 9. apríl og þá var [B] tilkynnt að hann ætti ekki að fara í ferð til Cannes sem fyrirhuguð var 10. apríl.
3. [G] óskar eftir upplýsingum um fyrirhugaða ferð til Cannes þann 9. apríl. Eftir samtal við stjórnarformann [D]afhendir [B] um kvöldið öll gögn varðandi fundi í Cannes.
4. [G] skoðar tölvupóst [B] um kvöldið 9. apríl og aðfararnótt 10. apríl eftir að hafa fengið öll gögn varðandi fundinn.
5. Á meðan dvöl stendur í Cannes og eftir þann tíma skoðar [G] ítrekað tölvupóst [B].
6. [G] skoðar tölvupóst [B] sem hann sendir sjálfum sér til að minna sig á, [F] vinar [hans] sem hann hafði verið í tölvupóstsamskiptum við lengi og fleiri aðila ótengd[r]a [D].
7. [G] nýtir sér upplýsingar úr persónulegum tölvupósti [B] til að skrá lénið . . . og var það viðurkennt af hálfu [G] í vitnaleiðslum fyrir héraðsdómi (bls. 16). "
Um einkatölvupóst og ákvæði í reglum E um upplýsingatækni segir síðan:
Þessar viðræður sem hafnar voru var slitið einhliða af hálfu [D] þar sem sett var fram lögbannskrafa á hendur [B].
Samkvæmt starfsreglum [E] (1.6) er óheimilt að skoða póst starfsmanns nema með samþykki hans og vitneskju og var það brotið.
[G] skoðaði póst [B] ítrekað frá 9.-15. apríl án samþykkis hans eða vitneskju.
[G] nýtti sér upplýsingar úr einkatölvupósti [B] til að skrá lénið sirkus.is"
Með bréfi, dags. 19. júní 2006, tjáði J hdl., sig um framangreindan skilning Persónuverndar, fyrir hönd D (nú I). Þar eru m.a. gerðar eftirfarandi athugasemdir:
[...]
Reglur umbj. míns um upplýsingatækni eru frá 7. feb. 2005.
Umbj. minn tekur sérstaklega fram vegna málatilbúnaðar [B] fyrir Persónuvernd, að tölvupóstur [B] til [F], dags. 29. mars 2005 (Efnisheiti: "FW:Lénið þ [. . .] hefur verið pantað"), sem þegar liggur fyrir í málinu, verður fráleitt talinn vera persónulegur tölvupóstur, eins og [B] hefur haldið fram. Eins og þegar hefur verið rakið í fyrri athugasemdum umbj. míns, var þessi tölvupóstur einn af þeim sem kveiktu grunsemdir hjá [G] er hann leitaði að fundargögnum 9. apríl 2005, sbr. nánar lið 1.1.1 í athugasemdunum 6. júní 2005. Kom á daginn að þær grunsemdir áttu við rök að styðjast..."
II.
Forsendur og niðurstaða
Í máli þessu er til úrlausnar lögmæti þess þegar yfirmenn B, sem þá var dagskrárstjóri D, sem rak E, skoðuðu tölvupóst hans þann 9. apríl 2005, án þess að gefa honum kost á að vera viðstaddur.
Gildissvið laga nr. 77/2000
og skilgreining hugtaka
Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 gilda lögin um sérhverja rafræna vinnslu persónuupplýsinga. Persónuupplýsingar teljast vera sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Af skilgreiningunni má ráða að tölvupóstskeyti sem send eru manna á milli eru persónuupplýsingar ef beint eða óbeint er hægt að rekja þau og/eða efni þeirra til tiltekins einstaklings eða tiltekinna einstaklinga.
Vinnsla persónuupplýsinga er skilgreind sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, sbr. 2. tölul. 1. mgr. 2. gr. laga nr. 77/2000. Í athugasemdum með ákvæðinu kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af því leiðir að undir vinnsluhugtakið fellur hver sú aðgerð sem lýtur að persónuupplýsingum og telja verður að þar undir falli framsending og skoðun tölvupósts, óháð því hvort aðeins sé opnað pósthólf og lesnar efnislínur og nöfn sendenda/viðtakenda eða hvort skeyti séu opnuð og lesin, að öðrum skilyrðum uppfylltum.
Rafræn vöktun er vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit með einstaklingum með fjarstýrðum eða sjálfvirkum búnaði, sbr. 6. tölul. 2. gr. laga nr. 77/2000. Rafræn vöktun getur farið fram með ýmiss konar tæknibúnaði, s.s. netþjónum, eftirlitsmyndavélum, ökusíritum og staðsetningarbúnaði. Hugtakið rafræn vöktun tekur til vöktunar sem leiðir, á að leiða eða getur leitt til vinnslu persónuupplýsinga.
Af framangreindu er ljóst að notkun netþjóns hjá D, sem gerði kleift að skoða notkun starfsmanna á hug- og vélbúnaði sem þeim var látinn í té til að vafra um Netið og til að taka við og senda tölvupóst, var í eðli sínu rafræn vöktun og fram fór rafræn vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Fellur málið þar með undir gildissvið þeirra laga, sem og valdsvið Persónuverndar, sbr. 37. gr. laganna.
Lögmæti rafrænnar vöktunar
2.1.
Rafræn vöktun er heimil ef fullnægt er skilyrðum 1. mgr. 4. gr. laga nr. 77/2000 um að hún skuli fara fram í málefnalegum tilgangi. Til að rafræn vöktun sem leiðir til vinnslu persónuupplýsinga sé heimil verður einhverju þeirra skilyrða, sem kveðið er á um í 8. gr. laga nr. 77/2000, að vera fullnægt. Rafræn vöktun getur þannig samrýmst 1. mgr. 4. gr. laga nr. 77/2000 og vinnsla almennra persónuupplýsinga, sem fram fer í tengslum við vöktun, getur helgast af 7. tölul. 1. mgr. 8. gr. laganna.
Ávallt þarf hins vegar einnig að uppfylla meginreglur 7. gr. sömu laga, m.a. um sanngirni og meðalhóf. Við mat á því hvort þau skilyrði séu uppfyllt reynir á það hvort starfsmönnum sé ljóst að rafræn vöktun fer fram og hvaða vinnsla fer fram með þær persónuupplýsingar sem samfara henni verða til. Reynir einkum á sjónarmið um gagnsæi vinnslu persónuupplýsinga, þ.e. að slík vinnsla fari ekki fram með leynd, en kröfu um slíkt gagnsæi má m.a. leiða af 1. tölul. 1. mgr. 7. gr. þar sem mælt er fyrir um að við vinnslu persónuupplýsinga skuli þess gætt að hún sé sanngjörn.
Samkvæmt 5. mgr. 37. gr. laga nr. 77/2000 er Persónuvernd heimilt að setja reglur um rafræna vöktun. Slíkar reglur hefur hún sett og eru núgildandi reglur nr. 888/2004. Í 9. gr. þeirra er m.a. mælt fyrir um að ábyrgðaraðili að rafrænni vöktun, sem leiðir til vinnslu persónuupplýsinga, skuli setja skriflegar reglur um hana. Fyrir liggur að hjá E voru settar slíkar reglur þann 7. feb. 2005. Þar var m.a. að finna svohljóðandi ákvæði:
Líkt og bréf og föx er tölvupóstur sem sendur er frá starfsmönnum [E] til viðskiptavina [E] eign [E] og á því að vistast í sameiginlegum samskiptagrunni. Sama gildir um móttekinn tölvupóst frá viðskiptavinum og samstarfsaðilum. Þrátt fyrir að þessi tölvupóstur sé eign [E] þá mun [E] ekki skoða tölvupóst starfsmanna nema góð rök séu fyrir hendi og í viðurvist viðkomandi starfsmanns. [E] mun virða lög og reglur um persónuvernd hvað þetta varðar.
Einkatölvupóstur er eign viðkomandi starfsmanns:
[E] hvetur sína starfsmenn að eiga sitt eigið tölvupóstfang (t.d. jon[hja]strik.is eða jon[hja]isl.is) og lesa/senda sinn einkatölvupóst frá þessu póstfangi. Hægt er að fá tölvupóstfang hjá www.strik.is. Hins vegar ef ekki er um slíkt að ræða má að sjálfsögðu móttaka og senda tölvupóst frá póstfangi [E] en hann má ekki bera með sér að hann sé á vegum fyrirtækisins (sleppa ætti því hefðbundnu signature sem á kemur starfstitill). Ein mikilvægasta ástæðan fyrir því að hafa einkapóstfang aðskilið fyrirtækispóstfangi er sú að fyrirtækið getur þurft að afhenda allan tölvupóst sem er sendur frá eða berst á fyrirtækispóstfangið, til dæmis ef dómstólar fara fram á slíkt. Geymið engin persónuleg eða viðkvæm mál undir fyrirtækispóstfangi ykkar."
Fyrir liggur að þann 9. apríl 2005 skoðaði yfirmaður B tölvupóst hans í gegnum tölvupóstkerfi D. B var ekki gefinn kostur á að vera viðstaddur. Ekki verður talið að slík framkvæmd við skoðun umræddra tölvupóstskeyta hafi samrýmst ákvæðum 7. gr. um sanngjarna vinnslu, enda var B hvorki gerð grein fyrir skoðuninni né gefinn kostur á að vera viðstaddur hana. Er minnt á að forsvarsmenn D voru í símasambandi við B sama dag og skoðunin fór fram og ekkert kemur fram í gögnum málsins er leiði líkum að því að enginn kostur hafi verið á að gefa honum færi á að vera viðstaddur. Reyndi því ekki á hvort B hafi verið unnt að koma og vera viðstaddur. Þarf því ekki að taka afstöðu til þeirrar málsástæðu D að skoðun á tölvupósti B hafi verið fyrirtækinu nauðsynleg til að forða því frá tjóni og til að gæta lögmætra hagsmuna sinna. Þá ber að hafa í huga hvers B mátti vænta í ljósi greinar 1.6. í reglum fyrirtækisins um að ekki yrði skoðaður tölvupóstur starfsmanns nema í hans viðurvist. Að auki ber að líta til 5. gr. reglna nr. 888/2004 um rafræna vöktun þar sem segir að "þegar tölvupósts- eða netnotkun er skoðuð skal þess gætt að gera starfsmanni eða nemanda fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun sé þess nokkur kostur". Skiptir hér ekki máli þótt starfsmaðurinn hafi áður sagt upp störfum hjá D.
Með vísun til framangreinds telur Persónuvernd ljóst að með umræddri skoðun á tölvupósti B þann 9. apríl 2005 hafi verið brotið gegn 5. gr. reglna nr. 888/2004 um rafræna vöktun og grein 1.6. í starfsreglum E. Tekið skal fram að þegar af þeirri ástæðu verður ekki tekin afstaða til þess hvort öll þau skeyti sem skoðuð voru höfðu að geyma upplýsingar um einkamálefni B.
Forsvarsmönnum D bar að gefa B kost á að vera viðstaddur skoðun á tölvupósti hans þann 9. apríl 2005.