Úrskurður um meðferð tölvupósthólfs fyrrum starfsmanns
Mál nr. 2016/1605
Persónuvernd hefur úrskurðað að meðferð Sólheima ses. á tölvupósthólfi kvartanda, sem gegndi prestþjónustu á staðnum, hafi ekki samrýmst 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, reglum nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem til verða við rafræna vöktun, og reglum nr. 299/2001 um öryggi persónuupplýsinga.
Úrskurður
Á fundi stjórnar Persónuverndar þann 8. mars 2018 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1605:
I.
Málsmeðferð
1.
Tildrög máls
Þann 10. nóvember 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd kvartandi) vegna meðferðar á pósthólfi hennar hjá fyrrverandi vinnuveitanda hennar, Sólheimum ses.
Í kvörtuninni segir meðal annars að kvartandi hafi starfað hjá Sólheimum frá 4. nóvember 2014 til 30. júní 2016, þar af sem prestur frá 1. janúar 2016. Hún hafi haft netfangið [...]@solheimar.is. Ráðningarsamningur hennar hafi runnið út 30. júní 2016 en hún hafi gert samkomulag við verkefnastjóra á Sólheimum um að netfangið yrði opið fram yfir 7. ágúst s.á. þar sem hún hafi enn verið að sinna verkefnum fyrir staðinn. Í pósthólfi hennar hafi verið ýmis samskipti við skjólstæðinga, svo sem bréf sem henni höfðu verið send sem innihéldu viðkvæmar persónuupplýsingar og trúnaðarmál.
Þá segir að um miðjan júlí 2016 hafi kvartandi orðið vör við að hún komst ekki inn í pósthólfið. Hún hafi þá sent bréf á áðurnefndan verkefnastjóra og spurt hvort búið væri að aftengja póstinn eða hvort bilun hefði átt sér stað. Kvartandi hafi ekki fengið svar frá verkefnastjóranum. Hún hafi því sent bréfið á framkvæmdastjóra Sólheima þann 2. ágúst s.á. Hann hafi svarað því að búið væri að aftengja netföng og símanúmer sem láðst hefði að loka þegar starfstíma kvartanda lauk. Hann hefði óskað eftir því við TRS ehf., sem sá um hýsingu tölvupósts Sólheima, að sett yrðu skilaboð á lokuð netföng um að þau væru ekki virk, með vísun á frekari upplýsingar. Sá starfsmaður TRS sem sæi um þessi mál væri í fríi en gengið yrði frá þessu þegar hann kæmi aftur til vinnu.
Kvartandi upplýsir að hún hafi haft samband við TRS þann 5. ágúst s.á. og kvartað yfir framangreindu. Hún hafi þá fengið nýtt lykilorð inn á pósthólfið og komist inn í það í skamman tíma og sent nokkur skeyti með tilkynningu um breytt póstfang. Þegar hún hafi ætlað aftur inn í pósthólfið síðar sama dag til að virkja sjálfvirka svörun með tilkynningu um starfslok hafi verið búið að loka aftur fyrir aðgang hennar að pósthólfinu. Hún hafi þá sent skeyti til TRS þann 7. ágúst og látið vita af því að hún hefði ekki getað virkjað sjálfvirka svörun, sbr. framangreint, og beðið um að það yrði gert fyrir hana. Auk þess hafi hún spurt hvort málum væri ekki örugglega þannig háttað að TRS gæfi ekki framkvæmdastjóra Sólheima lykilorð að pósthólfi hennar. Svar framkvæmdastjóra TRS við þessu skeyti hafi verið svohljóðandi: „Öll stjórn á þessu léni er í höndum Sólheima“. Sólheimar og TRS hafi því bent hvor á annan.
Með tölvupósti til Persónuverndar þann 12. apríl 2017 tilkynnti kvartandi að hún hefði fengið upplýsingar um að áðurnefndur verkefnastjóri á Sólheimum hefði öll lykilorð starfsmanna í Excel-skjali, til að nota „ef hún þyrfti að komast inn á póstinn“.
2.
Svarbréf Sólheima
Með bréfi, dags. 11. maí 2017, var Sólheimum boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Þá óskaði Persónuvernd sérstaklega eftir upplýsingum um hvort áðurnefndu pósthólfi kvartanda hefði verið lokað, og þá hvenær og með hvaða hætti; hvort kvartanda hefði verið veittur kostur á því við starfslok að eyða eða taka afrit af þeim tölvupósti sem ekki tengdist starfsemi Sólheima; hvort kvartanda hefði verið leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hún hefði látið af störfum, og veittur kostur á því; og hvort einhver starfsmaður Sólheima, annar en kvartandi, hefði opnað pósthólf hennar. Þá var óskað upplýsinga um hvort tölvupóstur, sem sendur hefði verið á netfang kvartanda hjá Sólheimum, hefði verið áframsendur á annað netfang; hvort kvartanda hefðu verið kynntar reglur um meðferð tölvupósthólfs og lokun þess við starfslok, sbr. 20. gr. laga nr. 77/2000 og 9.-10. gr. reglna nr. 837/2006, og þá hvernig; og hvort tekið hefði verið tillit til þess við starfslok kvartanda að í tölvupósthólfi hennar kynnu að vera samskipti við skjólstæðinga hennar sem trúnaður eða þagnarskylda ríkti um, með hliðsjón af starfi hennar sem prestur. Að lokum var óskað eftir upplýsingum um hvort lykilorð fyrrverandi og/eða núverandi starfsmanna væru varðveitt og þá við hvaða aðstæður þau væru notuð.
Í svarbréfi Málflutningsstofu Reykjavíkur f.h. Sólheima, dags. 7. júní 2017, segir að pósthólfi kvartanda hafi verið lokað síðsumars 2016. Það hafi verið opnað aftur að beiðni kvartanda til að virkja sjálfvirka svörun en 20. október 2016 hafi verið slökkt á þeim skilaboðum. Kvartandi hafi gert samkomulag við verkefnastjóra á Sólheimum um að pósthólfi hennar yrði lokað eftir síðustu messu kvartanda í Sólheimakirkju. Framkvæmdastjóra Sólheima hafi ekki verið kunnugt um samkomulagið og hafi hann beðið hýsingaraðilann að loka pósthólfinu þegar verkefnastjórinn var í sumarfríi. Kvartanda hafi því ekki verið gert viðvart um lokunina. Hins vegar hafi legið fyrir frá ársbyrjun 2016 að kvartandi myndi láta af störfum 30. júní 2016 og hún hafi því haft hálft ár til að fara í gegnum pósthólfið áður en því hafi verið lokað. Þegar kvartandi hafi gert athugasemd við lokunina hafi pósthólfið verið opnað aftur fyrir hana. Ekki hafi verið talin þörf á að leiðbeina kvartanda sérstaklega um að virkja sjálfvirka svörun í pósthólfinu, enda hafi starfslokin ekki verið skyndileg. Starfsmenn Sólheima hafi talið að hún myndi sjálf gera eðlilegar ráðstafanir, enda hafi kvartandi þekkt vel til hefðbundinna skrifstofustarfa. Enginn annar starfsmaður Sólheima en kvartandi hafi opnað pósthólfið og tölvupóstur, sem sendur hafi verið á netfang kvartanda, hafi ekki verið áframsendur á annað netfang.
Í bréfinu kemur einnig fram að kvartanda hafi ekki verið kynntar reglur um meðferð tölvupósthólfs og lokun þess við starfslok. Þá hafi ekki verið gerðar sérstakar ráðstafanir við starfslok kvartanda vegna þess að í tölvupósthólfi hennar kynnu að vera upplýsingar sem trúnaður eða þagnarskylda ríkti um.
Um varðveislu lykilorða segir að þau séu geymd í læstu skjali í One-málakerfinu sem einungis kerfisstjórn hafi aðgang að. Lykilorðin séu einungis notuð til þess að setja upp pósthólf starfsmanna og tengja póstinn við One-kerfið eða þegar endursetja þurfi pósthólfið af tæknilegum ástæðum. Að öðru leyti séu þau aldrei notuð og þannig hafi yfirmaður ekki aðgang að innihaldi pósthólfs kvartanda eða annarra. Hægt sé að rekja opnanir á framangreindu skjali. Að lokum kemur fram að Sólheimar séu reiðubúnir að gera allt sem til þarf til að kvartandi komist aftur í pósthólfið til að sækja þaðan gögn, telji hún þörf á því.
Svarbréfi Sólheima fylgdi tölvupóstur frá þjónustustjóra TRS þar sem fram kemur að pósthólfi kvartanda hafi verið lokað þann 20. október 2016 og það hafi síðast verið opnað þann dag. Í póstinum segir jafnframt að ekki hafi verið „sett forward á pósthólfið“.
3.
Athugasemdir kvartanda
Með bréfi, dags. 28. júlí 2017, var kvartanda boðið að koma á framfæri athugasemdum sínum við framkomnar skýringar Sólheima til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi kvartanda, dags., 10. ágúst s.á., segir m.a. að pósthólfinu hafi ekki verið lokað síðsumars 2016 heldur hafi verið skipt um lykilorð og aðgangi kvartanda lokað, þótt enn bærist kvartanda póstur í pósthólfið sem hún hefði ekki möguleika á að nálgast, auk þess sem sendendur hefðu engar upplýsingar fengið um að hún væri hætt.
Kvartandi segir það rangt að legið hafi fyrir frá ársbyrjun 2016 að hún myndi láta af störfum 30. júní sama ár. Af ástæðum, sem raktar eru nánar í bréfi kvartanda, hafi hún ákveðið að sækjast ekki eftir framlengingu á ráðningarsamningi sínum og tilkynnt framkvæmdastjóra um það í apríl eða maí. Kvartandi ítrekar að hún hafi haft vilyrði fyrir því að pósthólfinu yrði ekki lokað fyrr en eftir síðustu messuna hennar í ágúst 2016. Þá vísar kvartandi því á bug að starfsmenn Sólheima hafi talið að hún myndi gera eðlilegar ráðstafanir með hliðsjón af löngum aðdraganda starfslokanna, og bendir á áðurnefnt samkomulag sitt við verkefnastjórann í því sambandi.
Með tölvupósti 17. ágúst 2017 óskaði Persónuvernd eftir upplýsingum frá kvartanda um það hvenær síðasta messa hennar fyrir Sólheima var haldin. Með tölvupósti þann sama dag upplýsti kvartandi að síðasta messan hefði verið haldin 7. ágúst 2016.
4.
Samskipti við hýsingaraðila
Með bréfi, dags. 18. ágúst 2017, sbr. einnig tölvupóst Persónuverndar, dags. 21. ágúst og 19. september 2018, óskaði Persónuvernd eftir að TRS, sem sá um hýsingu tölvupósts Sólheima, sendi stofnuninni yfirlit yfir innskráningar í pósthólf kvartanda á tímabilinu 5. ágúst til 20. október 2016. Þá var jafnframt óskað nánari upplýsinga um innskráningu í pósthólfið sama dag og því var lokað, þ.e. 20. október 2016. Óskað var upplýsinga um hvort einhver starfsmaður Sólheima hefði fengið upplýsingar um nýtt lykilorð að pósthólfi kvartanda eftir að því var breytt 5. ágúst 2016. Þá var spurt nánar út í tölvupóst frá þjónustustjóra TRS, sem fylgdi svarbréfi Sólheima, dags. 7. júní 2017, þar sem kom fram að ekki hefði verið „sett forward á pósthólfið“. Spurt var hvort þessa fullyrðingu mætti skilja sem svo að hvorki TRS né aðrir, s.s. Sólheimar, hefðu breytt stillingum með þeim hætti að póstur yrði áframsendur á annað netfang, eða hvort hún tæki aðeins til þess að TRS hefði ekki breytt stillingum pósthólfsins með þeim hætti. Að lokum var spurt hvort gögn úr pósthólfi kvartanda væru enn vistuð hjá TRS.
Í tölvupóstum TRS til Persónuverndar, dags. 18. og 22. ágúst og 20. september 2018, kom fram að upplýsingar um innskráningar í pósthólf væru aðeins varðveittar í 30 daga og þær væru því ekki til lengur. Líklegt yrði að telja að innskráning í pósthólfið þann 20. október 2016 hefði tengst lokun þess, hugsanlega til að setja sjálfvirk skilaboð eða áframsendingu á það, en ekki væri hægt að segja til um það með vissu þar sem engin gögn væru til um það. [B], fyrrverandi framkvæmdastjóri Sólheima, hefði óskað eftir lokun á pósthólfinu og aðgangi að því til að „koma pósti sem berst á það í farveg“, samkvæmt beiðni sem send hefði verið 22. júlí 2016. Beiðnin hefði verið afgreidd 26. s.m. og nýtt aðgangsorð sent [B]. Fullyrðing þjónustustjóra TRS um að ekki hefði verið „sett forward á pósthólfið“ ætti aðeins við um starfsmenn TRS. Þá væru gögn úr pósthólfi kvartanda enn í geymslu hjá TRS.
5.
Skýringar Sólheima
Með bréfi, dags. 6. desember 2017, óskaði Persónuvernd frekari skýringa frá Sólheimum, með hliðsjón af þeim upplýsingum sem fram komu í samskiptum stofnunarinnar við TRS, dags. 18. ágúst - 20. september 2017, tölvupóstsamskiptum Persónuverndar og kvartanda, dags. 17. ágúst 2017, og svarbréfi kvartanda, dags. 10. s.m. Var Sólheimum veittur kostur á að tjá sig um framangreind gögn. Sérstaklega var óskað upplýsinga um það hvers vegna fyrrverandi framkvæmdastjóri Sólheima óskaði, þann 22. júlí 2016, eftir aðgangi að pósthólfi kvartanda til að „koma pósti sem berst á það í farveg“, sbr. framangreint, og hvernig sá aðgangur var nýttur.
Í svarbréfi Málflutningsstofu Reykjavíkur f.h. Sólheima, dags. 8. janúar 2018, kemur fram að haft hafi verið samband við fyrrverandi framkvæmdastjóra Sólheima vegna málsins. Hann hafi einungis ætlað að setja upp sjálfvirka svörun úr pósthólfinu með upplýsingum um að kvartandi hefði látið af störfum og um leið bent á persónulegt netfang hennar og almennt netfang Sólheima. Ekkert annað hafi verið gert. Póstur hafi hvorki verið áframsendur né hafi nokkur starfsmaður Sólheima farið inn á pósthólfið. Þá er ítrekað að misskilningur hafi orðið til þess að lokað hafi verið á aðgang kvartanda fyrr en hún hafði gert ráð fyrir, sbr. fyrri umfjöllun. Mögulega hafi sá misskilningur og sumarfrí orðið til þess að láðst hafi í nokkra daga að setja upp sjálfvirka svörun úr pósthólfinu, en fyrrverandi framkvæmdastjóri hafi gert kvartanda grein fyrir því 31. ágúst 2016.
6.
Athugasemdir kvartanda
Með bréfi, dags. 14. febrúar 2018, var kvartanda boðið að koma á framfæri athugasemdum sínum við svarbréf Málflutningsstofu Reykjavíkur f.h. Sólheima, dags. 8. janúar 2018, og samskipti Persónuverndar og TRS, dags. 18. ágúst - 20. september 2017, til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Í svarbréfi kvartanda, dags. 19. febrúar 2018, kemur meðal annars fram að samstarfskona kvartanda hafi sent henni fundarboð á netfang hennar hjá Sólheimum í lok ágúst 2016 og ekki fengið tilkynningu til baka um að netfangið væri ekki í notkun. Kvartandi hafi í kjölfarið rekið á eftir því við TRS að sett yrði inn slík tilkynning. Fyrrverandi framkvæmdastjóri Sólheima hafi ítrekað sagt kvartanda að TRS ætti að sjá um að setja inn tilkynningu um starfslok hennar í pósthólfið. Nú liggi hins vegar fyrir að framkvæmdastjórinn hafi sjálfur verið með lykilorð að pósthólfinu frá 26. júlí 2016, að eigin sögn í þeim tilgangi að setja sjálfvirka svörun á pósthólfið með upplýsingum um nýtt netfang kvartanda. Það hafi hann þó aldrei gert. Svör framkvæmdastjórans séu misvísandi hvað þetta varðar.
Kvartandi segir það jafnframt rangt, sem fram komi í svarbréfi Málflutningsstofu Reykjavíkur f.h. Sólheima, dags. 8. janúar 2018, að sjálfvirk svörun hafi verið sett á pósthólf hennar. Pósthólfið hafi aldrei verið stillt með þessum hætti og það hafi verið aðalumkvörtunarefni hennar að erindi sem henni voru ætluð bárust henni ekki af þessum sökum. Kvartandi segist hafa sent reglulega prufupóst á netfangið [...]@solheimar.is og ekki fengið neitt sjálfvirkt svar til baka fyrr en 26. október 2016, en þá hafi hún fengið tilkynningu um að pósthólfinu hefði verið lokað.
Með erindi kvartanda fylgir yfirlit yfir tölvupóstsamskipti hennar við starfsfólk Sólheima, þ.e. framkvæmdastjóra og verkefnastjóra, og starfsfólk TRS. Af yfirlitinu má ráða að kvartandi óskaði ítrekað eftir því að sett yrði sjálfvirk svörun á pósthólf hennar þar sem fram kæmi að hún hefði látið af störfum, auk upplýsinga um nýtt netfang hennar. Setti kvartandi meðal annars fram þessa ósk í tölvupósti til þáverandi framkvæmdastjóra Sólheima ríflega mánuði eftir að hann fékk lykilorð að pósthólfinu afhent frá TRS í þeim tilgangi að „koma pósti sem berst á það í farveg“, sbr. fyrri umfjöllun. Í svarpósti framkvæmdastjórans vísar hann kvartanda á að hafa samband við TRS. Þá má sjá að kvartandi ítrekaði beiðni sína gagnvart framkvæmdastjóra Sólheima þann 20. september 2016. Í svarpósti hans, dags. sama dag, vísar hann til þess að útbúinn hafi verið texti til að nota í staðlaða tilkynningu um að starfsmaður hafi látið af störfum. Annar starfsmaður Sólheima muni ganga frá því með TRS. Sem fyrr segir var pósthólfinu lokað 20. október 2016.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til teljast Sólheimar ses. vera ábyrgðaraðili að umræddri vinnslu.
2.
Lögmæti vinnslu
Hugtakið rafræn vöktun er skilgreint í 6. tölul. 2. gr. laga nr. 77/2000. Undir það fellur vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit. Til rafrænnar vöktunar telst meðal annars tölvupóstsvöktun sem fer fram með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupósta og tölvupóstkerfisnotkun einstakra starfsmanna.
Öll rafræn vöktun er háð því skilyrði að hún fari fram í málefnalegum tilgangi, sbr. 4. gr. laganna. Ef vöktun felur í sér vinnslu persónuupplýsinga sem fellur undir gildissvið laganna þarf, samkvæmt 2. mgr. 4. gr. laganna, einnig að uppfylla önnur ákvæði laganna. Þá ber einnig að líta til reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.
Í 4. mgr. 9. gr. reglna um rafræna vöktun er mælt fyrir um það verklag sem vinnuveitandi skal fylgja þegar starfsmaður lætur af störfum. Í ákvæðinu segir meðal annars að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Þá skuli honum leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hafi látið af störfum. Eigi síðar en að tveimur vikum liðnum skuli loka pósthólfinu.
Í máli þessu liggur fyrir að samkomulag var um að kvartandi sinnti tilteknum verkefnum, þ.e. messuhaldi, fyrir Sólheima ses. eftir að ráðningarsamningur hennar rann út 30. júní 2016. Þá hefur komið fram að kvartandi hafi meðal annars notað netfang sitt við undirbúning messa. Með hliðsjón af atvikum málsins þykir verða að líta svo á að starfslok, í skilningi 9. gr. reglna nr. 837/2006, hafi átt sér stað þegar kvartandi hafði lokið fyrrgreindum verkefnum, þ.e. 7. ágúst 2016.
Óumdeilt er að kvartandi gerði samkomulag við verkefnastjóra hjá Sólheimum um að pósthólfi hennar yrði ekki lokað fyrr en eftir síðustu messu hennar í Sólheimakirkju. Með hliðsjón af því að lokað var fyrir aðgang kvartanda að pósthólfinu áður en hún lauk störfum sínum fyrir Sólheima telur Persónuvernd að líta verði svo á að kvartanda hafi ekki verið gefinn nægur kostur á því við starfslok hennar að eyða eða taka afrit af þeim tölvupósti sem ekki tengdist starfsemi Sólheima, sbr. 4. mgr. 9. gr. reglna um rafræna vöktun. Er þá meðal annars litið til þess að mögulegt er að póstur hafi borist kvartanda í pósthólfið eftir að aðgangi hennar að því var lokað en áður en starfslok áttu sér stað, sbr. framangreint.
Eins og rakið hefur verið var pósthólfi kvartanda ekki lokað fyrr en 20. október 2016, þótt lykilorði að pósthólfinu hafi áður verið breytt. Kvartandi hélt síðustu messu sína í Sólheimakirkju þann 7. ágúst 2016. Er því ljóst að tveggja vikna frestur til að loka pósthólfi, sem kveðið er á um í 4. mgr. 9. gr. reglna um rafræna vöktun, var ekki virtur. Þá liggur fyrir að kvartanda var ekki leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hún hefði látið af störfum, eins og kveðið er á um í sama ákvæði. Ákvæði regla nr. 837/2006 leggja frumkvæðisskyldu á ábyrgðaraðila um að ganga úr skugga um að hugað sé að atriðum 9. gr. þeirra við starfslok. Skylda vinnuveitanda þar að lútandi er óháð því hversu langur aðdragandi er að starfslokum. Þá þykir ekki fært að víkja frá þessari kröfu reglnanna með vísan til þess að kvartandi hafi þekkt vel til hefðbundinna skrifstofustarfa.
3.
Aðgangur annarra að tölvupósti kvartanda
Í 11. gr. laga nr. 77/2000 er mælt fyrir um skyldu ábyrgðaraðila að vinnslu persónuupplýsinga til að gæta öryggis upplýsinganna. Segir í 1. mgr. ákvæðisins að ábyrgðaraðili skuli gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðileggingu, gegn því að þær glatist eða breytist fyrir slysni og gegn óleyfilegum aðgangi. Í 2. mgr. ákvæðisins segir að beita skuli ráðstöfunum sem tryggi nægilegt öryggi miðað við áhættu af vinnslunni og eðli þerra gagna sem verja á, með hliðsjón af nýjustu tækni og kostnaði við framkvæmd þeirra. Þá segir að Persónuvernd setji reglur um hvernig tryggja skuli öryggi upplýsinga, sbr. 5. mgr. ákvæðisins.
Settar hafa verið reglur í samræmi við framangreint, þ.e. reglur nr. 299/2001 um öryggi persónuupplýsinga, en samkvæmt 3. tölul. 7. gr. reglnanna getur það talist til nauðsynlegrar öryggisráðstöfunar að tryggja rekjanleika vinnsluaðgerða þegar unnið er með persónuupplýsingar. Við mat á því hvort sú ráðstöfun teljist nauðsynleg við vinnslu hjá tilteknum ábyrgðaraðila ber meðal annars að líta til þeirra hagsmuna sem í húfi eru. Í því sambandi skal tekið fram að gera má ráð fyrir að í tölvupósthólfum presta geti verið upplýsingar sem eðlilegt sé að njóti sérstakrar verndar, þ. á m. upplýsingar um samskipti þeirra við skjólstæðinga sína sem trúnaður eða þagnarskylda kann að ríkja um, sbr. t.d. 4. kafla siðareglna P.Í. [Prestafélags Íslands], sem samþykktar voru á aðalfundi Prestafélags Íslands 24. apríl 2007, sem og siðareglur vígðra þjóna og annars starfsfólks þjóðkirkjunnar (siðareglur þjóðkirkjunnar), sem samþykktar voru á kirkjuþingi 2009, með síðari breytingum.
Þegar litið er til þessa telur Persónuvernd sérstaka þörf vera á því að hægt sé að rekja innskráningar í pósthólf starfsmanna, sem gegna sambærilegu starfi og kvartandi gegndi hjá Sólheimum, aftur í tímann. Samkvæmt upplýsingum frá hýsingaraðila tölvupósts Sólheima eru slíkar upplýsingar hins vegar aðeins geymdar í 30 daga.
Hýsingaraðili tölvupóstsins telst vera vinnsluaðili persónuupplýsinga í skilningi laga nr. 77/2000. Samkvæmt 1. mgr. 13. gr. laganna er ábyrgðaraðila heimilt að semja við vinnsluaðila um að annast vinnslu persónuupplýsinga sem hann ber ábyrgð á samkvæmt ákvæðum laganna. Slíkt er þó háð því skilyrði að ábyrgðaraðili hafi áður sannreynt að umræddur vinnsluaðili geti framkvæmd viðeigandi öryggisráðstafanir og viðhaft innra eftirlit skv. 12. gr. laganna. Þá segir í 2. mgr. 13. gr. laganna að í vinnslusamningi ábyrgðaraðila og vinnsluaðila skuli það meðal annars koma fram að vinnsluaðila sé einungis heimilt að starfa í samræmi við fyrirmæli ábyrgðaraðila og að ákvæði laga þessara um skyldur ábyrgðaraðila gildi einnig um þá vinnslu sem vinnsluaðili annist.
Með vísan til framangreinds er lagt fyrir Sólheima að staðfesta með skriflegum hætti hvernig tryggt verður framvegis að hægt verði að rekja innskráningar í pósthólf þeirra starfsmanna sem gegna prestþjónustu á staðnum. Skal staðfestingin berast Persónuvernd eigi síðar en 5. apríl 2018.
4.
Fræðslu- og upplýsingaskylda
Samkvæmt 10. gr. reglna nr. 837/2006, um rafræna vöktun skal ábyrgðaraðili setja reglur og/eða veita fræðslu til þeirra sem sæta rafrænni vöktun. Áður en slíkum reglum er beitt skal kynna þær með sannanlegum hætti, s.s. við gerð ráðningarsamnings. Reglur eða fræðsla samkvæmt 1. mgr. skulu taka til tilgangs vöktunarinnar, hverjir hafi eða kunni að fá aðgang að upplýsingum sem safnast og hversu lengi þær verði varðveittar. Þá segir í e-lið 3. mgr. 10. gr. að einnig skuli veita fræðslu um hvernig farið sé með einkatölvupóst og annan tölvupóst.
Í svarbréfi Sólheima, dags. 7. júní 2017, kemur fram að reglur um meðferð tölvupósthólfs og lokun þess við starfslok hafi ekki verið kynntar fyrir kvartanda. Kvartanda var því ekki veitt fullnægjandi fræðsla í samræmi við áðurnefnt ákvæði 10. gr. reglna nr. 837/2006.
Persónuvernd beinir þeim fyrirmælum til Sólheima að setja sér verklagsreglur um meðferð tölvupósts starfsmanna og fræðslu til starfsmanna um rafræna vöktun, sbr. 10. gr. reglna nr. 837/2006. Skulu Sólheimar senda Persónuvernd afrit af verklagsreglunum eigi síðar en 5. apríl 2018.
Meðferð máls þessa hefur dregist vegna anna hjá Persónuvernd.
Ú r s k u r ð a r o r ð:
Meðferð Sólheima ses. á tölvupósthólfi kvartanda samrýmdist ekki 11. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, reglum nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem til verða við rafræna vöktun, og reglum nr. 299/2001 um öryggi persónuupplýsinga.
Lagt er fyrir Sólheima ses. að staðfesta með skriflegum hætti hvernig tryggt verður framvegis að hægt verði að rekja innskráningar í pósthólf þeirra starfsmanna sem gegna prestþjónustu á staðnum. Einnig er lagt fyrir Sólheima ses. að setja sér verklagsreglur um meðferð tölvupósts starfsmanna og fræðslu til starfsmanna um rafræna vöktun, sbr. 10. gr. reglna nr. 837/2006. Fyrrgreind staðfesting og verklagsreglur skulu berast Persónuvernd eigi síðar en 5. apríl 2018.