Heimildir þjónustuaðila til að afhenda vinnuveitendum upplýsingar um tölvunotkun starfsmanna
19. janúar
Persónuvernd barst fyrirspurn um heimildir A til að afhenda B, sem félagið rekur upplýsingakerfi fyrir, upplýsingar um tölvunotkun starfsmanns hjá B. Tekið skal fram að upplýsingarnar höfðu ekki verið afhentar. Af erindinu var talið mega ætla að A hefði stöðu vinnsluaðila, í skilningi laga um persónuvernd, gagnvart B sem hins vegar hefði stöðu ábyrgðaraðila.
Í tilefni af erindinu hefur Persónuverndar gefið út álit á sambandi ábyrgðaraðila og vinnsluaðila. Í álitinu eru að finna almenna leiðsögn um helstu lagasjónarmið og réttarstöðu aðila sem veita þjónustu á sviði netrekstrar.
Þar kemur fram að í þeim málum sem Persónuvernd hefur haft til úrlausnar hefur hún beint sjónum sínum að ábyrgðaraðila en ekki vinnsluaðila. Það á t.d. við um þau tilvik þegar vinnsluaðili, sem rekur netkerfi fyrir ábyrgðaraðila, hefur veitt vitneskju um tölvunotkun tiltekins starfsmanns ábyrgðaraðilans. Undantekning frá því kynni þó að verða gerð ef fyrir lægi að vinnsluaðili hafi þá farið gegn fyrirmælum ábyrgðaraðila.
Þó er tekið fram að óháð efnistökum Persónuverndar getur komið til þess að dómstóll felli bóta- eða refsiábyrgð á vinnsluaðila sem hefur með ólögmætum hætti veitt aðgang að persónulegum tölvupóstsamskiptum. Persónuvernd bendir því á, að til að eyða óvissu um hvernig bregðast eigi við í slíkum málum, sem hér um ræðir, geti verið til bóta að gæta þess að hafa jafnan í samningum vinnsluaðila og ábyrgðaraðila ákvæði þar að lútandi.
Á l i t
Hinn 19. janúar 2006 gaf stjórn Persónuverndar svohljóðandi álit í máli nr. 2005/593:
I.
Grundvöllur máls
Hinn 3. nóvember 2005 barst Persónuvernd tölvubréf frá starfsmanni A með fyrirspurn um heimildir félagsins til að afhenda fyrirtæki nokkru, sem A reka upplýsingakerfi fyrir, upplýsingar um tölvunotkun starfsmanns hjá fyrirtækinu. Umræddu tölvubréfi var fylgt eftir með bréfi frá A, dags. 20. desember 2005. Þar segir m.a.:
„Kröfur um öryggi hvað snertir rekstur upplýsingakerfa hafa aukist mikið undanfarin ár. [A] sinna nú víða alrekstri upplýsingakerfa og hafa þar aðgang að ýmsum trúnaðarupplýsingum. Því er mikilvægt fyrir [A] og viðskiptavini þeirra að starfsmenn [A] hafi algerlega skýrar línur um hvernig þeim beri að hegða sér þegar kemur að meðferð trúnaðarupplýsinga. Alrekstur í eðli sínu þýðir að [A] bera ábyrgð á rekstri viðkomandi upplýsingakerfis og er búnaður ýmist í eigu viðskiptavinar og/eða [A] Til frekari glöggvunar þá fylgir hjálagt erindi þessu samningur sá sem er á milli [A] og viðkomandi viðskiptavinar. Nafni viðskiptavinar hefur verið eytt út úr samningnum og verður ekki gefið upp að svo komnu máli.
Varðandi áðurnefnda fyrirspurn þá hafa starfsmenn [A] ekki aðhafst í takti við hana og munu ekki gera nema að fengnum leiðbeiningum þess efnis frá Persónuvernd."
Í erindi A kemur ekkert fram um tildrög þess að umrætt fyrirtæki fór þess á leit við A að fá afhentar upplýsingar um tölvunotkun starfsmannsins. Þar af leiðandi er ekki hægt að taka efnislega afstöðu til þess tiltekna tilviks. Lítur Persónuvernd svo á að A óski almennrar leiðsagnar um helstu lagasjónarmið og réttarstöðu aðila sem veita sambærilega þjónustu og félagið gerir. Verða hér á eftir reifuð helstu ákvæði og reglur um aðgang að gögnum um samskipti manna á milli.
II.
Álit Persónuverndar
1.
Almennt
Í 71. gr. stjórnarskrárinnar nr. 33/1944, eins og henni var breytt með 9. gr. laga nr. 97/1995, er mælt fyrir um friðhelgi einkalífs. Þar segir að allir skuli njóta friðhelgi einkalífs, heimilis og fjölskyldu, og að ekki megi gera rannsókn á skjölum og póstsendingum, símtölum og öðrum fjarskiptum, né gera aðra sambærilega skerðingu á einkalífi manns nema samkvæmt dómsúrskurði eða sérstakri lagaheimild. Í athugasemdum við 9. gr. í því frumvarpi er varð að framangreindum lögum segir m.a.: „Má segja að þörf á ákveðnum reglum um þetta svið hafi aukist mjög á undanförnum áratugum samhliða ört vaxandi tækni við öflun og meðferð persónuupplýsinga. [...] Fleiri atriði falla tvímælalaust undir vernd einkalífs þótt þau séu ekki sérstaklega orðuð í 1. mgr. 9. gr. frumvarpsins, svo sem réttur manna til trúnaðarsamskipta við aðra. Á þetta fyrst og fremst við um margs konar tjáskipti milli manna sem ekki er gerlegt að telja hér með tæmandi hætti, en nærtækustu dæmin eru þó bréfaskipti og tjáskipti augliti til auglitis eða í síma, svo og orðaskipti í símskeytum, skjölum sem fara um myndsendi og önnur slík fjarskipti". Þá segir m.a. í framangreindum athugasemdum: „…krafan um friðhelgi einkalífs felur ekki eingöngu í sér að ríkið gangi ekki á þennan rétt, heldur einnig að því sé skylt að setja reglur í löggjöf til verndar einstaklingunum í innbyrðis samskiptum þeirra".
Við framangreindu hefur verið brugðist í íslenskri löggjöf með setningu laga um meðferð persónuupplýsinga, nú lög nr. 77/2000, og með ákvæðum í almennum hegningarlögum nr. 19/1940. Þá ber að geta 8. gr. Mannréttindasáttmála Evrópu, en hann var lögleiddur hér á landi með lögum nr. 62/1994. Er sérstaklega tekið fram í 1. mgr. 8. gr. hans að einkalífsverndin taki til bréfaskipta manna.
2.
Lög nr. 77/2000
Markmið laga nr. 77/2000 er einkum að stuðla að því að með persónuupplýsingar sé farið í samræmi við grundvallarsjónarmið og reglur um persónuvernd og friðhelgi einkalífs og að tryggja áreiðanleika og gæði slíkra upplýsinga. Sú skylda að sjá til þess að meðferð persónuupplýsinga sé hagað í samræmi við ákvæði þessara laga hvílir á ábyrgðaraðila, en það er sá aðili sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna, sbr. 4. tölul. 2. gr. laganna.
Samkvæmt 13. gr. laga nr. 77/2000 getur ábyrgðaraðili samið við annan aðila, vinnsluaðila, um að annast, í heild eða að hluta, þá vinnslu persónuupplýsinga sem hann ber ábyrgð á. Vinnsluaðili vinnur þá persónuupplýsingar í raun á vegum ábyrgðaraðila. Má ætla af því sem fram kemur í erindi A að félagið hafi stöðu vinnsluaðila, í skilningi laganna, gagnvart umræddu fyrirtæki sem hins vegar hafi stöðu ábyrgðaraðila. Í samræmi við 3. mgr. 13. gr. laganna ber hverjum þeim er starfar í umboði ábyrgðaraðila, þ. á m. vinnsluaðila, og hefur þar með aðgang að persónuupplýsingum, að vinna með upplýsingarnar í samræmi við fyrirmæli ábyrgðaraðila, nema lög mæli fyrir á annan veg.
3.
Staða vinnsluaðila
gagnvart ábyrgðaraðila
Framangreindur fyrirvari um að lög mæli ekki fyrir á annan veg leiðir til þess að vinnsluaðili hlýtur í vissum tilvikum að verða að meta hvort ákvæði laga hamli því að hann hlíti fyrirmælum ábyrgðaraðila. Sem dæmi má nefna fyrirmæli um vernd persónuupplýsinga og friðhelgi einkalífs í IX. kafla fjarskiptalaga nr. 81/2003, svo og 228. gr. almennra hegningarlaga nr. 19/1940. Í síðastnefnda ákvæðinu er m.a. mælt fyrir um refsingu fyrir að hnýsast í gögn, þ. á m. tölvugögn, sem hafa að geyma upplýsingar um einkamál annars manns, enda hafi verið komist yfir gögnin með brögðum, bréf verið opnað, farið hafi verið í læsta hirslu eða annarri áþekkri aðferð verið beitt.
Fari fyrirmæli ábyrgðaraðila í bága við slík lagafyrirmæli er ljóst að vinnsluaðili getur, fari hann að fyrirmælum ábyrgðaraðila, bakað sér bóta- eða refsiábyrgð. Leiði brot gegn lögum nr. 77/2000 og reglum eða fyrirmælum Persónuverndar til fjárhagslegs tjóns verður ábyrgðaraðili bótaskyldur nema sannað verði að tjónið verði hvorki rakið til mistaka né vanrækslu af hans hálfu eða vinnsluaðila, sbr. 43. gr. laganna. Einnig getur vinnsluaðili orðið bótaskyldur samkvæmt almennum reglum skaðabótaréttarins sem hann veldur öðrum af ásetningi eða gáleysi. Þá geta bæði ábyrgðaraðili og vinnsluaðili orðið ábyrgir fyrir greiðslu miskabóta, enda sé skilyrðum 26. gr. skaðabótalaga nr. 50/1993 fullnægt.
Auk þess sem vinnsluaðili getur bakað sér bótaábyrgð kann að stofnast refsiábyrgð á hendum honum. Hafi fyrirmælin brotið gegn lögum nr. 77/2000 en vinnsluaðili engu að síður hlítt þeim kann hann að verða að sæta refsingu samkvæmt 42. gr. þeirra laga, enda hafi hann annaðhvort haft ásetning til að brjóta gegn lögunum eða sýnt af sér gáleysi. Einnig gæti vinnsluaðili orðið refsiábyrgur samkvæmt ákvæðum annarra laga, eftir atvikum fyrir hlutdeild í broti ábyrgðaraðila, sbr. einkum 22. gr. laga nr. 19/1940.
4.
Valdmörk Persónuverndar
Ekki er á valdi Persónuverndar að skera úr um það hvort bóta- eða refsiábyrgð hafi stofnast á hendur ábyrgðaraðila eða vinnsluaðila. Slíkt er hlutverk dómstóla. Hins vegar getur stofnunin skorið úr ágreiningsmálum sem rísa um það hvort vinnsla persónuupplýsinga í afmörkuðum tilvikum hafi samrýmst lögum nr. 77/2000, sbr. 2. mgr. 37. gr. þeirra laga, og eftir atvikum gefið fyrirmæli um eyðingu upplýsinga, leiðréttingu þeirra, úrbætur á fyrirkomulagi öryggimála og hvernig að öðru leyti skuli staðið að vinnslu, sbr. 23. gr., 2. mgr. 25. gr, 3. mgr. 26. gr., 1. tölul. 1. mgr. 37. gr. og 40. gr. laganna. Í slíkum málum beinir Persónuvernd almennt sjónum sínum að ábyrgðaraðila, enda er hann ávallt ábyrgur fyrir því að vinnsla persónuupplýsinga samrýmist lögum. Persónuvernd beinir ekki fyrirmælum til vinnsluaðila nema hann hafi, vísvitandi eða af gáleysi, brotið gegn fyrirmælum ábyrgðaraðila um hvernig unnið skal með persónuupplýsingar.
5.
Sérreglur um aðgang að upplýsingum um tölvunotkun
starfsmanna
Þegar vinnsluaðili eins og A veitir aðila, sem hann rekur tölvukerfi fyrir, upplýsingar um tölvunotkun starfsmanna þess síðarnefnda er um að ræða vinnslu persónuupplýsinga í skilningi laga laga nr. 77/2000, sbr. 1. og 2. tölul. 2. gr. þeirra laga. Eins og öll vinnsla persónuupplýsinga verður sú vinnsla að fullnægja einhverju þeirra skilyrða sem kveðið er á um í 8. gr. laga nr. 77/2000. Sé um að ræða viðkvæmar persónuupplýsingar, s.s. um hvort einstaklingur hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, sbr. b-lið 8. tölul. 2. gr. laganna, þarf auk þess að vera fullnægt einhverju af skilyrðum 9. gr. laganna. Ávallt verður og að vera fullnægt skilyrðum 1. mgr. 7. gr. laganna við vinnsluna, s.s. um að upplýsingar skulu unnar með sanngjörnum, málefnalegum og lögmætum hætti og að öll meðferð þeirra skal vera í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að upplýsingar skulu fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að upplýsingar skulu vera nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar. Er tekið fram í 2. mgr. 7. gr. að ábyrgðaraðili beri ábyrgð á því að vinnsla fullnægi skilyrðum 1. mgr.
Lúti upplýsingar að tölvupóst- eða netnotkun verður auk framangreinds að vera fullnægt skilyrðum 5. gr. reglna Persónuverndar nr. 888/2004 um rafræna vöktun á vinnustöðum, í skólum og á öðrum svæðum þar sem takmarkaður hópur fólks fer um að jafnaði, sbr. 5. mgr. 37. gr. laga nr. 77/2000. Í umræddu ákvæði reglnanna segir:
„Óheimilt er að skoða tölvupóst, vakta netnotkun starfsmanns eða nemanda nema að uppfylltum ákvæðum reglna þessara. Einkatölvupóst má þó aldrei skoða nema alveg brýna nauðsyn beri til[,] s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks.
Þegar tölvupósts- eða netnotkun er skoðuð skal þess gætt að gera starfsmanni eða nemanda fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun sé þess nokkur kostur.
Við starfslok skal starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti úr vinnusvæði sínu sem ekki tengist starfsemi vinnuveitandans. Tölvupósti nemenda skal eytt við námslok en áður skal veita hæfilegan frest til töku afrita. Óheimilt er að gera ráðstafanir til að varðveita upplýsingar um netnotkun starfsmanns eða nemanda eftir starfs- eða námslok."
Við mat á því hvort farið hafi verið að framangreindum ákvæðum, sem og öðrum reglum um vinnslu persónuupplýsinga, hefur Persónuvernd, í þeim málum, sem hún hefur haft til úrlausnar, beint sjónum sínum að ábyrgðaraðila en ekki vinnsluaðila. Það á t.d. við um þau tilvik þegar vinnsluaðili, sem rekur netkerfi fyrir ábyrgðaraðila, hefur veitt vitneskju um tölvunotkun tiltekins starfsmanns ábyrgðaraðilans. Undantekning frá því kynni þó að verða gerð ef fyrir lægi að vinnsluaðili hafi þá farið gegn fyrirmælum ábyrgðaraðila.
Tekið skal fram að óháð efnistökum Persónuverndar getur komið til þess að dómstóll felli bóta- eða refsiábyrgð á vinnsluaðila sem hefur með ólögmætum hætti veitt aðgang að persónulegum tölvupóstsamskiptum. Til að eyða óvissu um hvernig bregðast eigi við í slíkum málum, sem hér um ræðir, getur verið til bóta að gæta þess að hafa jafnan í samningum vinnsluaðila og ábyrgðaraðila ákvæði þar að lútandi.