Úrskurður um skoðun á tölvupósti fyrrum starfsmanns Morgunblaðsins

1.2.2010

Úrskurður

Þann 29. janúar 2010 komst stjórn Persónuverndar að eftirfarandi niðurstöðu í máli nr. 2009/892.

I.

Grundvöllur máls

1.

Málavextir og bréfaskipti

Þann 15. október 2009 barst Persónuvernd kvörtun K, fyrrum blaðamanns hjá Morgunblaðinu, vegna skoðunar yfirboðara kvartanda þar á einkatölvupósti hans. Í framangreindri kvörtun segir m.a.:

„[L], útgefandi Morgunblaðsins/Árvakurs, fór inn í einkatölvupóst undirritaðs án þess að hafa haft til þess ástæðu eða heimild, og án þess að fara rétt að slíkri aðgerð. Ekki er vitað hversu marga pósta hann las. Undirritaður er fyrrverandi blaðamaður á Morgunblaðinu, en var sagt upp hinn 24. september síðastliðinn. [L] fór inn í tölvupóstinn í vikunni þar á eftir, hringdi í undirritaðann og tilkynnti honum þar um.

Ljóst er að [L] las að minnsta kosti tölvupóstsamskipti undirritaðs og [M], vinar undirritaðs sem jafnframt er blaðamaður á DV."

Í kvörtuninni kemur einnig fram að útgefandi Morgunblaðsins (hér eftir Árvakur) hafi brotið gegn 1. mgr. 9. gr. reglna nr. 837/2006, um rafræna vöktun, þar sem ekki var um brýna nauðsyn að ræða sem heimilaði skoðun tölvupósthólfs, s.s. vegna tölvuveiru eða sambærilegs atviks, og því hafi verið óheimilt að skoða tölvupóst kvartanda auk þess sem brotið hafi verið gegn ákvæði 3. mgr. 9. gr. sömu reglna en þar er kveðið á um að gera skuli starfsmanni grein fyrir því þegar tölvupóstsnotkun eða skoðuð og honum gefinn kostur á að vera viðstaddur slíka skoðun.

Ennfremur segir í kvörtuninni að ákvæði 4. mgr. 9. gr. reglnanna hafi einnig verið brotið þar sem starfsmanni var ekki gefinn kostur á að eyða pósti sínum, við starfslok. Aðgangi starfsmanns að póstinum var þvert á móti lokað svo hann hefði ekki aðgang að honum.

Þá heldur kvartandi því loks fram að innanhúsreglur Árvakurs hafi einnig verið brotnar, en þær reglur voru ekki kynntar starfsmanni þegar hann hóf störf í maí árið 2005. Þær hafi auk þess aldrei verið kynntar fyrir starfsmönnum sérstaklega.

Tekur kvartandi fram að leyfi hans hafi ekki verið fengið fyrir opnun póstsins og að pósthólf hans hafi ekki innihaldið efni sem var mikilvægt rekstrarhagsmunum fyrirtækisins auk þess sem það var ekki opnað með vitund starfsmanns. Þá tekur kvartandi fram að honum hafi aldrei verið bent á að flokka tölvupóst sinn sérstaklega.

Að lokum segir í kvörtuninni:

„Ástæða þess að [L] skoðaði póstinn hlýtur að hafa verið sú að undirritaður áframsendi kveðjubréf starfsmanns á Morgunblaðinu á áðurnefndan vin sinn hjá DV, enda hringdi [L] í undirritaðan og sagði honum frá skoðuninni sama dag og sá póstur var sendur.

Einni viku fyrr sendi undirritaður þessum sama manni hjá DV tölvupóst þar sem það var viðrað hvort senda ætti honum niðurstöður könnunar sem gerð var fyrir Morgunblaðið. Það var hins vegar aldrei gert, enda hafði undirritaður könnunina aldrei undir höndum auk þess sem hugmyndin var drepin í fæðingu. Enginn annar vissi um þessi samskipti milli undirritaðs og [M], enda nefndi hvorugur þau samskipti við nokkurn mann. Það er því enginn möguleiki á að [L]i hafi vitað um þessi samskipti. Það er því útilokað að hann hafi ákveðið að fara inn í tölvupóstinn vegna þeirra samskipta, sem snéru að áðurnefndri könnun.

Líklegt er að [L] hafi farið í tölvupóstinn eftir að undirritaður áframsendi kveðjubréfið, sbr. ofangreint. Eftir það leitaði hann í pósthólfinu og skoðaði frekari samskipti við [M]."

2.

Sjónarmið Árvakurs hf.

Með bréfi, dags. 21. október 2009, óskaði Persónuvernd eftir afstöðu Árvakurs hf. til framangreindrar kvörtunar og gerði lögmaður félagsins grein fyrir henni með bréfi, dags. 16. nóvember s. á. Um málsatvik og skoðun á tölvupósti K segir m.a.:

„1.1. Varnaraðilar kveða málavexti þá að [L] hafi borist ábending frá tilteknum aðila um að blaðamaður á Morgunblaðinu, hefði boðið samkeppnisaðila Morgunblaðsins, DV, viðkvæmar trúnaðar- og viðskiptaupplýsingar tengdum Morgunblaðinu, og er stöfuðu frá Morgunblaðinu, til birtingar. [L] er útgefandi (forstjóri) Árvakurs hf. ( „Árvakur"), útgáfufélags Morgunblaðsins.

1.2. Nánar tiltekið var um að ræða upplýsingar úr svonefndri „RAM könnun" sem lúta að „leshegðun", svo sem með hvaða hætti tilteknar blaðsíður eru lesnar og auglýsingar skoðaðar. RAM-kerfið svokallaða er hluti af erlendu kerfi sem Árvakur er þátttakandi í og greiðir háar fjárhæðir fyrir. Innlendir samkeppnisaðilar, hvorki DV né aðrir, eru þátttakendur í umræddu kerfi."

Einnig kemur fram í bréfi lögmanns Árvakurs hf. að það hafi verið mat útgefanda að samkeppnishagsmunum félagsins væri augljóslega stefnt í hættu, þ.e. í ljósi þess að eigin starfsmenn, einn eða fleiri, voru að miðla viðkvæmum trúnaðar- og viðskiptaupplýsingum til samkeppnisaðila. Af þeim ástæðum taldi útgefandi nauðsynlegt að stemma stigu við framangreindu háttalagi sem var til þess fallið að skaða hagsmuni Árvakurs hf. Þá segir:

„1.6. Í samræmi við framangreint var þess farið á leit við yfirmann tölvudeildar Árvakurs að hann athugaði hvort tölvupóstar hefði borist úr netföngum starfsmanna Árvakurs til DV á tilteknum sólarhring. Fór fram einföld leit, án atbeina annarra starfsmanna, í þessu skyni. Í ljós kom að þrír tölvupóstar höfðu verið sendir úr netfangi sóknaraðila sem hafði þá hins vegar látið af störfum hjá Árvakri (en var ennþá á uppsagnarfresti). Höfðu póstarnir verið sendir úr vinnunetfangi sóknaraðila og voru þeir ekki á nokkurn hátt auðkenndir sem einkatölvupóstar [...]."

Lögmaður Árvakurs hf. hafnaði því að um „einkatölvupóst" hafi verið að ræða sbr. 1. mgr. 9. gr. reglna nr. 837/2006 sbr. einnig 3. tölul. 2. gr. reglnanna þar sem umræddir tölvupóstar lutu hvorki að einkalífi kvartanda né voru þeir vistaðir í sérstakri möppu á vinnusvæði í tölvupóstkerfi hans. Ennfremur hélt lögmaður Árvakurs því fram að jafnvel þótt talið yrði að um „einkatölvupóst" hafi verið að ræða sé skilyrðinu um brýna hagsmuni fullnægt m.a. þar sem uppi var rökstuddur grunur um að starfsmaður Árvakurs hafi lekið viðkvæmum trúnaðar- og viðskiptaupplýsingum til samkeppnisaðila.

Einnig bendir lögmaður Árvakurs hf. á að af lestri 1. mgr. 9. gr. framangreindra reglna, um að óheimilt sé að „skoða einkatölvupóst", má ráða að áskilnaður 3. mgr. 9. gr. taki eingöngu til einkatölvupósts, enda sé beinlínis heimilt, í ljósi orðalags 1. mgr. 9. gr. reglnanna og eðli málsins samkvæmt, að skoða vinnutölvupóst. Telur lögmaður Árvakurs engin rök standa til þess að gera áskilnað um aðkomu starfsmanns að lestri tölvupósta sem eru samkvæmt efni sínu og í eðli sínu vinnupóstar enda séu þeir eign atvinnurekanda að öllu leyti og undirorpnir einkaeignarrétti hans, sbr. einnig 72. gr. stjórnarskrár of „hvers konar meðferð þeirra er þ.a.l. Árvakri í sjálfsvald sett".

Samkvæmt 2. mgr. 9. gr. reglna nr. 837/2006 er heimilt að skoða upplýsingar um netvafur, tengingar og gagnamagn starfsmanns eða nemenda liggi fyrir rökstuddur grunur um að hann hafi brotið gegn gildandi lögum og reglum eða fyrirmælum vinnuveitanda eða skólayfirvalda. Sé tilefni til skoðunar grunur um refsiverðan verknað skal óska atbeina lögreglu. Telur lögmaður Árvakurs hf. fullt tilefni til að beita ákvæði 2. mgr. 9. gr., með lögjöfnun eða rýmkandi lögskýringu, þ.e. þannig að það taki líka til tölvupósta, enda standi engin rök til þess að gera neinn greinarmun í þessu tilliti. Í samræmi við framangreint hafi útgefanda því verið heimilt að skoða umrædda pósta, enda um augljóst trúnaðarbrot að ræða sem gat jafnframt varðað refsiviðurlögum.

Þeirri málsástæðu kvartanda að brotið hafi verið gegn 4. mgr. 9. gr. reglna nr. 837/2006, um að gefa skuli starfsmanni kost á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitanda við starfslok, er hafnað þar sem „starfslok" höfðu ekki átt sér stað enda var kvartanda enn í ráðningarsambandi hjá Árvakri. Þá tekur lögmaður Árvakurs fram að ekki standi heimild í lögum til setningar slíkrar reglu þar sem því er jafnframt haldið fram að reglur nr. 837/2006, um rafræna vöktun, bresti lagastoð í heild sinni. Er sú málsástæða rökstudd með þeim hætti að ekki verði ráðið af ákvæði 5. mgr. 37. gr. laga nr. 77/2000 að það feli í sér heimild handa Persónuvernd til að setja sérstakar reglur um lestur tölvupósta sem slíkra, þ.m.t. íþyngjandi reglur í garð vinnuveitanda í því tilliti.

Loks er því haldið fram að Persónuvernd hafi enga lögsögu, eðli málsins samkvæmt, í því tilliti hvort innanhúsreglur Árvakurs hafi verið brotnað þar sem stofnunin annist eingöngu eftirlit með framkvæmd laga nr. 77/2000 og reglna sem settar eru samkvæmt þeim sbr. 2. mgr. 1. gr. laga nr. 77/2000, sbr. einnig 36. gr. laganna auk þess sem lögmaður bendir á að ekki sé um brot gegn innanhúsreglum Árvakurs að ræða, þar sem þar sé heimilt að opna pósthólf er inniheldur efni sem varðar mikilvæga rekstrarhagsmuni fyrirtækisins, með vitund starfsmanns „ef hægt er að koma því við".

4.

Frekari sjónarmið kvartanda

Með bréfi, dags. 8. desember 2009, bar Persónuvernd greinargerð Árvakurs undir kvartanda og veitti honum kost á að koma að frekari sjónarmiðum. Lögmaður kvartanda sendi Persónuvernd athugasemdir sínar með bréfi, dags. 29. desember sl. Í athugasemdunum eru fyrst gerðar athugasemdir við framsetningu í málavaxtalýsingu lögmanns Árvakurs. Því er m.a. mótmælt að sú skoðun sem fram fór á tölvupósthólfi kvartanda varpi ljósi á það hveri bæri ábyrgð á því að ýmsar upplýsingar um rekstur blaðsins og fyrirhugaðar breytingar á starfsmannahaldi hafi birst í öðrum fjölmiðlum, enda áttu miklar breytingar sér stað í starfsmannamálum Árvakurs á þessum tíma. Einnig bendir lögmaður kvartanda á ósamræmi í framsetningu á málsatvikalýsingu í greinargerð Árvakurs. Þannig segir í kafla 1.6. í greinargerð Árvakurs að þess hafi verið farið á leit við yfirmann tölvudeildar Árvakurs að hann athugaði „hvort tölvupóstar hefðu borist úr netföngum starfsmanna Árvakurs til DV á tilteknum sólarhring". Þegar Árvakur hafði samband við kvartanda, þann 1. október 2009, tiltók hans hins vegar sérstaklega tvö tölvubréf, dags. 24. og 30. september, svo ljóst er að umrædd vöktun hafði staðið yfir í lengri tíma en einn sólarhring.

Þá tiltók lögmaður kvartanda að tilgangur vinnslunnar hafi ekki verið yfirlýstur og skorti því á að skilyrðum 2. tölul. 1. mgr. 7. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, hafi verið uppfyllt. Hafi Árvakur brotið gegn ákvæðum 7. gr. laga nr. 77/2000 með því að opna tölvupósthólf kvartanda.

Einnig er það skoðun lögmanns kvartanda að ekki hafi staðið heimild til vinnslunnar samkvæmt 1. mgr. 8. gr. laga nr. 77/2000. Þannig hafi Árvakur ekki haft lögmæta hagsmuni af vinnslunni sbr. 7. tölul. 1. mgr. 8. gr. þar sem að í málinu liggur fyrir að ekkert brot var framið. Umrædd RAM-könnun sem kvartandi bauðst til að senda blaðamanni DV var aldrei send auk þess sem framangreint kveðjubréf N birtist á bloggsíðu hennar síðar sama dag en sá tölvupóstur innihélt á engan hátt upplýsingar um rekstur Árvakurs.

Þá vísaði lögmaður kvartanda til 3. mgr. 9. gr. reglna nr. 837/2006, um rafræna vöktun, þar sem kveðið er á um með afgerandi hætti að ætli vinnuveitandi sér að skoða tölvupóst starfsmanna beri honum að gera viðkomandi starfsmanni fyrst grein fyrir því og veita honum færi á að vera viðstaddur en undantekningar frá þessari reglu eru þröngar og hafi útgefandi Morgunblaðsins því brotið umrætt ákvæði þar sem það hefði verið hægur leikur gera kvartanda viðvart um skoðun á tölvupósthólfi hans áður en hún fór fram.

Þeirri málsástæðu lögmanns Árvakurs, um að beita eigi 2. mgr. 9. gr. reglna nr. 837/2006 með rýmkandi lögskýringu um tölvupóstsendingar starfsmanna er mótmælt þar sem slík skýring myndi skerða verulega friðhelgi einkalífs þess sem fyrir verður auk þess sem slík rýmkandi skýring á reglugerðarákvæði gangi gegn lagaáskilnaðarreglu stjórnarskrárinnar. Þá er þeim skilningi, að tölvupóstar sem tengist vinnu starfsmanns séu undirorpnir einkaeignarétti vinnuveitanda skv. 72. gr. stjórnarskrárinnar, andmælt enda geti efni og innihald tölvupósta, sem varið er af ákvæðum 71. gr. stjórnarskrárinnar, ekki stutt slíka skýringu.

Loks heldur lögmaður kvartanda því fram að umræddir tölvupóstar, sem útgefandi Morgublaðsins opnaði, teljist einkatölvupóstar þrátt fyrir að hafa ekki verið vistaðir í sérstakri möppu eða auðkenndir sérstaklega sem einkamál enda tíðkist slíkt ekki við notkun tölvupósts. Slík skilgreining styðst einnig við starfsmannahandbók Árvakurs um notkun tölvupósts en samkvæmt henni er meginreglan sú að allur póstur á póstmiðlara fyrirtækisins í persónutengdum pósthólfum er álitinn einkapóstur viðkomandi starfsmanns og verður ekki opnaður af öðrum, nema með leyfi starfsmanns.

Að lokum bendir lögmaður kvartanda á þau sérsjónarmið er snerta starfsumhverfi fjölmiðla, mikilvægi þeirra í lýðræðislegu samhengi og vernd heimildarmanna fjölmiðla auk þess sem vísað var til eldri úrskurðar Persónuverndar um svipað efni, dags. 20. júní 2006 í máli nr. 2005/251.

II.

Forsendur og niðurstaða

1.

Gildissvið laga nr. 77/2000

og skilgreining hugtaka

Samkvæmt 1. mgr. 3. gr. laga nr. 77/2000 gilda lög um persónuvernd og meðferð persónuupplýsinga um sérhverja rafræna vinnslu persónuupplýsinga. Persónuupplýsingar teljast vera sérhverjar persónugreindar eða persónugreinanlegar upplýsingar, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Af skilgreiningunni má ráða að tölvupóstskeyti sem send eru manna á milli eru persónuupplýsingar ef beint eða óbeint er hægt að rekja þau og/eða efni þeirra til tiltekins einstaklings eða tiltekinna einstaklinga.

Vinnsla persónuupplýsinga er skilgreind sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, sbr. 2. tölul. 1. mgr. 2. gr. laga nr. 77/2000. Í athugasemdum með ákvæðinu kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af því leiðir að undir vinnsluhugtakið fellur hver sú aðgerð sem lýtur að persónuupplýsingum og telja verður að þar undir falli framsending og skoðun persónuupplýsinga í netþjónum, þ.m.t. á tölvupósti, óháð því hvort aðeins sé opnað pósthólf og lesnar efnislínur og nöfn sendenda/viðtakenda eða hvort skeyti séu opnuð og lesin, að öðrum skilyrðum uppfylltum.

Af framangreindu er ljóst að sú aðgerð Árvakurs, að skoða tölvupóst kvartanda hafa verið vinnsla persónuupplýsinga í skilningi laga nr. 77/2000. Fellur málið þar með undir gildissvið þeirra laga, sem og valdsvið Persónuverndar, sbr. 37. gr. laganna.

2.

Lögmæti rafrænnar vöktunar

2.1.

Rafræn vöktun er heimil ef fullnægt er skilyrðum 1. mgr. 4. gr. laga nr. 77/2000 um að hún skuli fara fram í málefnalegum tilgangi. Til að rafræn vöktun sem leiðir til vinnslu persónuupplýsinga sé heimil verður einhverju þeirra skilyrða, sem kveðið er á um í 8. gr. laga nr. 77/2000, að vera fullnægt. Rafræn vöktun getur þannig samrýmst 1. mgr. 4. gr. laga nr. 77/2000 og vinnsla almennra persónuupplýsinga, sem fram fer í tengslum við vöktun, getur helgast af 7. tölul. 1. mgr. 8. gr. laganna.

Ávallt þarf hins vegar einnig að uppfylla meginreglur 7. gr. sömu laga, m.a. um sanngirni og meðalhóf. Við mat á því hvort þau skilyrði séu uppfyllt reynir á það hvort starfsmönnum sé ljóst að rafræn vöktun fer fram og hvaða vinnsla fer fram með þær persónuupplýsingar sem samfara henni verða til. Reynir einkum á sjónarmið um gagnsæi vinnslu persónuupplýsinga, þ.e. að slík vinnsla fari ekki fram með leynd, en kröfu um slíkt gagnsæi má m.a. leiða af 1. tölul. 1. mgr. 7. gr. þar sem mælt er fyrir um að við vinnslu persónuupplýsinga skuli þess gætt að hún sé sanngjörn.

Samkvæmt 5. mgr. 37. gr. laga nr. 77/2000 er Persónuvernd heimilt að setja reglur um rafræna vöktun. Slíkar reglur hefur hún sett og eru núgildandi reglur nr. 837/2006. Í 9. gr. þeirra er m.a. mælt fyrir um að ábyrgðaraðili að rafrænni vöktun, sem leiðir til vinnslu persónuupplýsinga, skuli setja skriflegar reglur um hana. Fyrir liggur að hjá Árvakri hf. voru settar slíkar reglur. Þar var m.a. að finna svohljóðandi ákvæði:

„Meginreglan er að allur póstur á póstmiðlara fyrirtækisins í persónutengdum pósthólfum er álitinn einkapóstur viðkomandi starfsmanns og verður ekki opnaður af öðrum, nema með leyfi starfsmannsins. Undantekning: Sé álitið að pósthólfið innihaldi efni sem er mikilvægt rekstrarhagsmunum fyrirtækisins, þá er hólfið opnað, með vitund starfsmanns ef hægt er að koma því við.

Þau bréf sem starfsmaður geymir í hólfi sínu ætti hann að flokka. Einkatölvupóst ætti hann að setja í möppu sem merkt er Einkamál, Prívat eða eitthvað þessháttar, svo það fari ekki á milli mála hvers eðlis bréfin teljast, ef þarf að opna hólfið af ofannefndri ástæðu".

2.2.

Niðurstaða

Með vísan til framangreinds, og með vísan til starfsmannahandbókar Árvakurs, telur Persónuvernd eins og hér stóð á að með umræddri skoðun á tölvupósti kvartanda þann 30. september 2009 hafi Árvakur brotið gegn 3. mgr. 9. gr. reglna nr. 837/2006 um rafræna vöktun og samsvarandi ákvæði innanhússreglna Árvakurs. Kvartanda var ekki gefinn kostur á að vera viðstaddur. Samrýmist slík framkvæmd við skoðun umræddra tölvupóstskeyta ekki ákvæðum 7. gr. laga nr. 77/2000, um sanngjarna vinnslu, enda var kvartanda hvorki gerð grein fyrir væntanlegri skoðun né gefinn kostur á að vera viðstaddur hana. Þá hefur ekki verið sýnt fram á að hagsmunir Árvakurs hafi verið það brýnir að ekki hafi verið ráðrúm til að gefa kvartanda kost á að vera viðstaddur. Þá ber að hafa í huga hvers kvartandi mátti vænta í ljósi ákvæðis innanhússreglna Árvakurs þar sem segir að „Meginreglan er að allur póstur á póstmiðlara fyrirtækisins í persónutengdum pósthólfum er álitinn einkapóstur viðkomandi starfsmanns og verður ekki opnaður af öðrum, nema með leyfi starfsmannsins.". Þá er einnig mikilvægt að starfsmenn fjölmiðla geti tryggt vernd heimildamanna sinna og haldið trúnað við viðsemjendur sína í ljósi hlutverks þeirra í upplýstu samfélagi.

Ú r s k u r ð a r o r ð:

Forsvarsmanni Árvakurs hf., L, bar að gefa K kost á að vera viðstaddur skoðun á tölvupósti hans þann 30. september 2009.