Úrskurður um meðferð á tölvugögnum starfsmanns
Mál nr. 2017/1452
Kvartað var yfir meðferð tölvugagna starfsmanns tiltekins fyrirtækis. Komist var að þeirri niðurstöðu að ekki hefði verið farið að þeirri reglu að veita skal starfsmanni kost á að vera viðstaddur þegar tölvupóstur hans er skoðaður, sem og til að yfirfara tölvupóst við starfslok. Þá var meðferð á tölvugögnum kvartanda að öðru leyti ekki talin hafa samrýmst lögum, þ.e. meðferð gagna í farsíma og fartölvu, auk yfirtöku aðgangs á Facebook-síðu kvartanda.
Úrskurður
Á fundi stjórnar Persónuverndar hinn 15. október 2018 var kveðinn
upp svohljóðandi úrskurður í máli nr. 2017/1452:
I.
Bréfaskipti
1.
Tildrög máls – Kvörtun
Hinn 6. október 2017 barst Persónuvernd kvörtun frá [A] (hér eftir nefnd „kvartandi“) yfir meðferð [X] á tölvupósthólfi hennar sem starfsmanns fyrirtækisins og símanúmeri hennar, sem og yfirtöku á Facebook-síðu hennar. Nánar segir að yfirmaður hennar, [B], eigandi fyrirtækisins, hafi fyrirvaralaust sagt henni upp störfum og jafnframt lokað fyrir umrætt tölvupósthólf, […], og símanúmerið, […], sem og tekið tölvu hennar og meinað henni aðgang að henni. Hafi hann farið með tölvuna til sérfræðings í upplýsingatækni og hafi verið farið yfir hana og öll gögn skoðuð. Bæði á tölvunni og inni á tölvupósthólfinu hafi verið mikið af persónulegum gögnum, þ. á m. myndum. Hafi kvartanda tekist að opna tölvupósthólfið í stutta stund og hafi þá séð að yfirmaðurinn hafi verið búinn að eyða skeytum til sín og frá sér, en þau hafi skipt kvartanda miklu máli til að geta staðfest mál sitt gegn honum. Hann hafi ekki gefið henni neinn fyrirvara og hafi hún orðið fyrir miklum óþægindum þar sem allir og allt í kringum hana tengist umræddu tölvupósthólfi og símanúmeri, þ. á m. skólar barna hennar og banki. Daginn sem kvörtunin var send hafi yfirmaðurinn notað símanúmerið til að skrá sig inn á Facebook-síðu hennar og hafi þar væntanlega tekið upplýsingar og skoðað persónuleg samskipti hennar og því næst breytt aðgangi að síðum, þar sem hún var skráð sem stjórnandi, og sett sig í staðinn. Hann hafi einnig breytt netfangi, lykilorði og símanúmeri á Facebook-síðunni og hafi það gert henni verulega erfitt fyrir með að endurheimta hana. Bendi þetta til þess að yfirmaðurinn hafi ekki aðeins yfirtekið síðuna til að ná í upplýsingar heldur einnig til að hafa umráð yfir henni í lengri tíma. Samkvæmt IP-tölu hafi þetta verið gert frá skrifstofu yfirmannsins að […], en IP-talan hafi þá borist á fyrrnefnt tölvupósthólf. Hafi yfirmaðurinn aldrei beðið kvartanda um að afhenda sér gögn eða afskrá sig sem stjórnanda á vefsíðum sem snúa að áðurnefndu fyrirtæki. Þá hafi hann aldrei boðið henni að sækja gögn né heldur að hreinsa persónuleg gögn úr tölvu sinni eða nokkru öðru og hafi hún ekki heimilað að hann sækti hluti í persónulegri eigu hennar. Að auki segi hann öllu starfsfólki fyrirtækisins að henni hafi verið sagt upp fyrir stórfelldan þjófnað og neyti vímuefna, en hvorugt sé rétt. Hafi mjög gróflega verið brotið gegn henni og persónulegu frelsi hennar.
Hjálögð með kvörtun voru skjáskot af Facebook-síðu kvartanda sem gefa til kynna að óviðkomandi hafi komist yfir aðganginn að henni.
2.
Skýringar [X]
Með bréfi Persónuverndar, dags. 20. október 2017, var [X] gefinn kostur á athugasemdum við framangreinda kvörtun. Svarað var með bréfi, dags. 14. nóvember s.á. Þar segir að kvartandi hafi starfað hjá fyrirtækinu sem framkvæmdastjóri og séð alfarið um reksturinn í fullum trúnaði við eiganda þess í um eitt og hálft ár. Rétt fyrir lok starfstíma kvartanda hafi farið að bera á óeðlilegum færslum á bankareikningum fyrirtækisins og hafi þá komið í ljós að kvartandi hefði dregið sér töluvert fé og meðal annars keypt búnað og vörur sem hefðu ekkert komið rekstrinum við, s.s. […]. Sé þetta og ýmislegt annað til rannsóknar hjá lögreglu og hafi kvartanda verið vísað út úr fyrirtækinu þegar ljóst hafi orðið að um glæpsamlegt athæfi væri að ræða, en kvartandi hafi meðal annars stofnað annað félag til hliðar í sama rekstri og [X], byrjað að ráða til þess félags starfsmenn frá fyrirtækinu og hafi það greinilega verið ætlun kvartanda að keyra það í þrot og taka úr því þá innviði sem byggðir hefðu verið upp. Þegar henni hafi verið vísað úr starfi hafi verið tekinn af henni sími í eigu fyrirtækisins og númer sem hafi verið aðalnúmer þess og gefið upp sem slíkt til allra viðskiptavina og birgja. Umrædd tölva, sem í kvörtun sé sögð hafa verið tekin af henni, sé í eigu fyrirtækisins, sem og tölvupóstur sem eingöngu hafi átt að nota í þeim tilgangi að reka og sinna málefnum þess en ekki einkamálum. Kvartandi hafi sjálf gefið eiganda fyrirtækisins aðgang að Facebook-síðu þess og miðað við það sem á undan hafi gengið hafi verið lokað á allan aðgang hjá henni og þeim starfsmönnum sem veittu henni lið við glæpsamlegt athæfi gagnvart fyrirtækinu, eigendum þess og starfsfólki. Því sé ásökunum um brot á persónuverndarlögum alfarið vísað á bug og hafi ekki verið um að ræða brot gegn kvartanda heldur ráðstafanir til að bjarga fyrirtækinu og því sem það stendur fyrir.
Persónuvernd taldi þörf frekari svara og fór fram á þau með bréfi, dags. 22. nóvember 2017, ítrekuðu með bréfi hinn 18. desember s.á. Nánar tiltekið var þess óskað að upplýst yrði:
- Hvort og með hvaða hætti kvartanda
hefði verið veitt fræðsla samkvæmt 20. gr. laga nr. 77/2000 um persónuvernd og
meðferð persónuupplýsinga og 10. gr. reglna nr. 837/2006 um rafræna vöktun og
meðferð persónuupplýsinga sem verða til við rafræna vöktun.
- Hvort og með hvaða hætti kvartanda
hefði verði greint frá því hvernig farið yrði með einkatölvupóst og annan
tölvupóst.
- Hvort tölvupóst- og/eða netnotkun
kvartanda hefði verið skoðuð og, ef svo væri, hvort kvartanda hefði verið gerð
grein fyrir því og henni veitt færi á að vera viðstödd slíka skoðun og hún
upplýst um í hvaða tilgangi slík skoðun færi fram. Ef tilefni skoðunar
tölvupósts hefði verið grunur um refsiverðan verknað var óskað upplýsinga um
hvort óskað hefði verið atbeina lögreglu við skoðun á tölvupósthólfi kvartanda.
- Hvort póstur sem var í pósthólfi
kvartanda hefði verið sendur áfram á annan starfsmann eftir starfslok, og ef
svo væri, hvort samið hefði verið um það við kvartanda.
- Hvort kvartanda hefði við starfslok
verið gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki
tengdist starfsemi [X] og hvort kvartanda hefði verið leiðbeint um að virkja
sjálfvirka svörun úr pósthólfinu áður en hún hætti störfum.
Svar barst í tölvupósti hinn 8. janúar 2018. Hvað 1. liðinn hér að framan varðar var tekið fram að eigandi [X] hefði komið ásamt lögmanni á skrifstofu fyrirtækisins með uppsagnarbréf þar sem kvartanda hefði verið tilkynnt um starfslok. Hún hefði ekki verið stödd á skrifstofunni og hefði neitað í símtali að mæta til að gera hreint fyrir sínum dyrum. Enginn persónulegur tölvupóstur hefði verið skoðaður enda ekki til staðar neinn aðgangur til þess, en netfangi kvartanda, […], hefði verið lokað strax í kjölfar fundarins. Fullljóst væri að hún hefði haldið einkapósti sínum á öðru netfangi og væri með öllu óljóst hvar hann væri vistaður eða hvernig. Ekki hefði verið kleift að gefa henni kost á að taka afrit af gögnum þar sem öll samskipti við hana hefðu verið mjög erfið og hún ekki gefið kost á neinum samtölum. Aftur á móti væri lögmanni eiganda fyrirtækisins, endurskoðanda þess og eigandanum fullljóst að kvartandi og aðrir starfsmenn, sem störfuðu undir hennar stjórn, hefðu unnið skemmdarverk í tölvum fyrirtækisins og valdið stjórtjóni.
Með bréfi, dags. 10. ágúst 2018, ítrekuðu með bréfi hinn 6. september s.á., var óskað frekari svara frá eiganda [X], en bréf var ekki sent fyrirtækinu þar sem fyrir lá að það hefði verið tekið til gjaldþrotaskipta með úrskurði, dags. […]. Vísað var til þess að einungis 1. liðnum í bréfi Persónuverndar, dags. 22. nóvember 2017, hefði verið svarað en að hvað hina liðina varðaði virtist litið svo á að þeir ættu ekki við þar sem persónulegt netfang kvartanda hefði ekki verið skoðað. Af tilefni þess benti Persónuvernd á að reglur nr. 837/2006 taka til vinnunetfanga og skoðunar tölvupósts sem á þau berst. Einnig var ósk um svör við liðum 2–5 áréttuð, en ekki hefur hins vegar verið orðið við þeirri ósk. Með bréfi, dags. 13. september 2018, ítrekuðu með bréfi hinn 1. október s.á., var eiganda [X] auk þess veitt færi á athugasemdum við tiltekið bréf sem þá hafði borist frá lögmanni kvartanda, sbr. 2. kafla hér á eftir, en ekkert svar barst.
3.
Athugasemdir lögmanns kvartanda
Fyrir mistök var kvartanda ekki sent afrit af fyrrgreindum svörum [X] fyrr en á síðari stigum málsins, þ.e. með bréfi, dags. 10. ágúst 2018, þar sem jafnframt var beðist velvirðingar á töfum á málsmeðferð, og kvartanda veitt færi á að tjá sig um umrædd svör. Barst í framhaldi af því bréf frá [C] hdl. hjá Lögmannsstofu Suðurnesja, dags. 3. september 2018, með svari fyrir hönd kvartanda við fyrrnefndu bréfi til hennar, dags. 10. ágúst 2018. Þar segir að öllum ásökunum í svörum [X] í garð kvartanda sé hafnað sem röngum, ósönnum og málinu óviðkomandi. Segir meðal annars í því sambandi að engar sannanir um óeðlilegar færslur á bankareikningum fyrirtækisins eða fjárdrátt af hálfu kvartanda liggi fyrir. Aftur á móti liggi fyrir fjölmargar millifærslur og úttektir af hálfu eiganda þess […]. Hins vegar séu ásakanir í garð kvartanda málinu með öllu óviðkomandi. Það varði ekki rannsókn á fjárhag eða fjárhirðu [X] heldur brot eiganda hennar á friðhelgi einkalífs kvartanda.
Tekið er fram að umrætt brot hafi verið gróft og hafi eigandi [X] fyrirvaralaust tekið yfir og lokað fyrir aðgang að tölvupósti kvartanda, […], þar sem fyrir hafi verið að finna fjölda einkaskilaboða og samskipta sem ekki hafi á nokkurn hátt varðað vinnu hennar fyrir fyrirtækið. Kvartandi hafi komist stuttlega inn á þetta tölvupóstfang og þá séð sér til skelfingar að eigandinn hafi verið búinn að eyða þaðan miklum tölvupóstsamskiptum um samskipti hans og kvartanda sem hann hafi ekki talið vera sér í hag. Þá hafi öll samskipti kvartanda við skóla barna hennar, banka hennar og fleira mjög mikilvægt, sem eingöngu hafi verið hennar einkamál, tengst umræddu tölvupóstfangi. Hafi með þessu verið brotið alvarlega gegn friðhelgi einkalífs kvartanda og hafi eigandi [X] ekki enn veitt um þetta nein svör.
Einnig segir að eigandi [X] hafi fyrirvaralaust haldlagt tölvu kvartanda með ólögmætum hætti. Um sé að ræða persónulega fartölvu hennar sem aldrei hafi verið í eigu fyrirtækisins eða eiganda þess. Hafi tölvan verið tekin ófrjálsri hendi og hún afhent tölvufyrirtæki þar sem farið hafi verið inn á harðan disk tölvunnar og náð í öll gögn sem þar voru geymd. Viti kvartandi ekki hvað gert hafi verið við gögnin, en að minnsta kosti hafi eigandi [X] haft að þeim aðgang. Um sé að ræða fjölda ljósmynda, persónulegra samskipta, sem og fjölda annarra persónulegra gagna sem hafi aldrei átt að komast fyrir sjónir annarra en þeirra sem höfðu samþykki og leyfi kvartanda til þess. Með þessari háttsemi hafi eigandi [X] brotið alvarlega á friðhelgi einkalífs kvartanda og hafi hann ekki enn veitt um þetta nein svör.
Að auki hafi eigandi [X] lokað fyrirvaralaust fyrir síma kvartanda. Hafi gögn á honum verið algjört trúnaðarmál kvartanda. Um sé að ræða ljósmyndir, aðgangsorð og upplýsingar sem aldrei hafi átt að koma fyrir augu annarra en kvartanda og þeirra sem hún hafi samþykkt og leyft að hefðu að þeim aðgang. Með þessari háttsemi hafi verið brotið alvarlega gegn friðhelgi einkalífs hennar og eigandi [X] hafi ekki enn veitt um þetta nein svör.
Þá hafi eigandi [X] aflað sér aðgangs að Facebook-síðu kvartanda í gegnum síma hennar og breytt þar skráðu tölvupóstfangi, lykilorði og símanúmeri. Um hafi verið að ræða persónulegan aðgang kvartanda sem eigandi [X] hafi ekki haft neina heimild til að fara inn á. Sú háttsemi að fara þar inn og geta þar skoðað og afritað öll persónuleg samtöl, ljósmyndir o.fl. feli í sér alvarlegt brot á friðhelgi einkalífs hennar, sérstaklega það að breyta aðgangsupplýsingum hennar og þannig útiloka hana frá sínum eigin aðgangi. Bendi það sterklega til þess að eigandi [X] hafi haft þann ásetning að útiloka kvartanda frá Facebook-síðu sinni í lengri tíma ásamt því að hafa ætlað sér að fara ítarlega yfir allar þær upplýsingar sem þar var að finna og notfæra sér þær í annarlegum tilgangi. Hafi kvartandi kannað IP-töluna sem notuð var til að fá umræddan aðgang og hafi komið í ljós að hans hafi verið aflað í gegnum tölvu á skrifstofu [X]. Hafi kvartandi einnig fengið skilaboð um það í tölvupósti að breytingar hefðu verið gerðar á aðgangi hennar án þess að hún hefði veitt til þess heimild. Með þessari háttsemi hafi eigandi fyrirtækisins brotið alvarlega gegn friðhelgi einkalífs kvartanda og hafi hann ekki enn veitt um þetta nein svör.
Í niðurlagi bréfsins segir að eigandi [X] hafi aldrei sóst eftir að fá samþykki kvartanda fyrir aðgerðum sínum. Hann hafi aldrei veitt kvartanda færi á að nálgast persónuleg gögn sín eða farið þess á leit við hana að hún afmáði sig sem stjórnanda á Facebook-síðu [X] af fúsum og frjálsum vilja. Hann hafi aldrei boðið kvartanda að fá persónuleg gögn sín til baka eða veitt henni aðgang að þeim með nokkrum hætti. Þá hafi hann ekki einu sinni veitt kvartanda færi á að eyða persónulegum gögnum sínum. Með þessari háttsemi sinni hafi hann brotið alvarlega gegn friðhelgi einkalífs kvartanda og hafi hann ekki enn veitt um þetta nein svör.
Með bréfi, dags. 13. september 2018, ítrekuðu með bréfi hinn 1. október s.á., var eiganda [X] veitt færi á athugasemdum við framangreint bréf lögmanns kvartanda. Ekki hefur borist svar.
II.
Forsendur og niðurstaða
1.
Lagaskil
Mál þetta varðar kvörtun sem barst Persónuvernd hinn 6. október 2017 og lýtur að atvikum sem gerðust fyrir gildistöku núgildandi laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga hinn 15. júlí 2018. Umfjöllun og efni þessa úrskurðar verða því byggð á ákvæðum eldri laga, nr. 77/2000, en ekki er um efnislegar breytingar að ræða í lögum nr. 90/2018 á þeim reglum laganna sem hér reynir á.
2.
Gildissvið laga nr. 77/2000
Ábyrgðaraðili
Lög nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga gilda um sérhverja rafræna vinnslu persónuupplýsinga og handvirka vinnslu persónuupplýsinga sem eru eða eiga að verða hluti af skrá, sbr. 1. mgr. 3. gr. laganna. Persónuupplýsingar eru skilgreindar í 1. tölul. 2. gr. laganna sem sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi. Hugtakið vinnsla er skilgreint sem sérhver aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laganna. Af þessu öllu er ljóst að mál þetta lýtur að vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst [X] vera ábyrgðaraðili að umræddri vinnslu.
3.
Lögmæti vinnslu
Öll vinnsla persónuupplýsinga verður að samrýmast einhverri af kröfum 1. mgr. 8. gr. laga nr. 77/2000. Má þar meðal annars nefna að vinnslan sé nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vega þyngra, sbr. 7. tölul. þeirrar málsgreinar, en ætla verður að skoðun fyrirtækis á tölvupósti starfsmanns eða annars konar eftirlit með tölvunotkun geti einkum byggst á því ákvæði. Sé um að ræða viðkvæmar persónuupplýsingar verður að auki að vera fullnægt einhverju af viðbótarskilyrðum 9. gr. laganna, en meðal þess sem þar gæti komið til greina á vinnustað er að vinnsla sé nauðsynleg til að krafa verði afmörkuð, sett fram eða varin vegna dómsmáls eða annarra slíkra laganauðsynja. Telja má ljóst að þegar vinnuveitandi útvegar sér aðgang að persónulegum gögnum starfsmanns, hvort sem þau eru á vinnutölvupósthólfi hans eða til dæmis Facebook-síðu hans, geti þar verið að finna viðkvæmar persónuupplýsingar, s.s. um heilsuhagi hlutaðeigandi, sbr. c-lið 8. tölul. 2. gr. laga nr. 77/2000.
Auk heimildar samkvæmt framangreindu verður öll vinnsla persónuupplýsinga að fullnægja grunnkröfum 1. mgr. 7. gr. laga nr. 77/2000 um gæði gagna og vinnslu. Þar er mælt fyrir um að persónuupplýsingar skuli unnar með sanngjörnum, málefnalegum og lögmætum hætti og í samræmi við vandaða vinnsluhætti persónuupplýsinga (1. tölul.); að þær skuli fengnar í yfirlýstum, skýrum, málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi (2. tölul.); og að þær skuli vera nægilegar og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar (3. tölul.).
Til þess er einnig að líta að við skoðun á tölvupósti starfsmanna og tölvunotkun þeirra á vinnustað að öðru leyti verður að fara að 9. gr. reglna nr. 837/2006 um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, sbr. 5. mgr. 37. gr. laga nr. 77/2000. Segir meðal annars í 1. mgr. 9. gr. reglnanna að óheimilt sé að skoða einkatölvupóst nema brýna nauðsyn beri til s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. Einnig er í 2. mgr. sömu greinar mælt fyrir um að heimilt sé að skoða upplýsingar um netvafur, tengingar og gagnamagn starfsmanns eða nemanda liggi fyrir rökstuddur grunur um að hann hafi brotið gegn gildandi lögum og reglum eða fyrirmælum vinnuveitanda. Sé tilefni skoðunar grunur um refsiverðan verknað skuli óska atbeina lögreglu.
Tekið er fram í 3. mgr. 9. gr. reglna nr. 837/2006 að þegar tölvupóst- eða netnotkun sé skoðuð skuli þess gætt að gera starfsmanni eða nemanda fyrst grein fyrir því og veita honum færi á að vera viðstaddur slíka skoðun. Þetta eigi þó ekki við sé þess enginn kostur, s.s. vegna alvarlegra veikinda starfsmanns. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skuli veita honum færi á að tilnefna annan mann í sinn stað.
Að auki er tekið fram 4. mgr. umrædds ákvæði að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Skuli starfsmanni jafnframt leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hafi látið af störfum. Eigi síðar en að tveimur vikum liðnum skuli loka pósthólfinu og sé vinnuveitanda óheimilt að senda áfram á annan starfsmann þann póst sem berst í pósthólf fyrrverandi starfsmanns eftir starfslok, nema um annað hafi verið samið. Óheimilt sé að skoða upplýsingar um netnotkun starfsmanns eða nemanda eftir starfs- eða námslok, nema að uppfylltum sömu skilyrðum og greinir í 1.–3. mgr. ákvæðisins eða annað leiði af lögum.
Fyrir liggur að [X] gætti ekki málsmeðferðar samkvæmt framangreindu í tengslum við tölvupóst kvartanda við starfslok hennar. Þá hefur ekki komið fram að slíkrar málsmeðferðar hafi verið gætt vegna farsíma sem af gögnum málsins verður ráðið að fyrirtækið hafi útvegað kvartanda. Í reglum nr. 837/2006 eru farsímar ekki tilgreindir sérstaklega. Það verður hins vegar talið fólgið í áðurnefndri grunnreglu 1. tölul. 1. mgr. 7. gr. laga nr. 77/2000 um sanngirni og vandaða vinnsluhætti að sams konar málsmeðferðar skuli gætt í tengslum við gögn í farsímum og þegar um ræðir tölvupóst starfsmanns. Samkvæmt þessu braut [X] gegn annars vegar 9. gr. reglna nr. 837/2006 og hins vegar umræddri grunnreglu 7. gr. laga nr. 77/2000 með því að loka fyrir tölvupóst og farsíma kvartanda við starfslok hennar án þess að veita henni færi á að gæta hagsmuna sinna. Þá telst meðferð [X] á tölvugögnum kvartanda að öðru leyti ekki hafa fallið undir fullnægjandi vinnsluheimild samkvæmt 8. og, eftir atvikum, 9. gr. laga nr. 77/2000, auk þess sem ekki telst hafa verið farið að fyrrgreindum grunnreglum 7. gr. sömu laga.
Hvað varðar meðferð á gögnum í tölvu kvartanda, sem samkvæmt skýringum lögmanns hennar var í persónulegri eigu hennar, sem og þá yfirtöku aðgangs að Facebook-síðu hennar sem átti sér stað samkvæmt gögnum málsins, verður vinnsluheimild ekki heldur talin hafa verið til staðar, auk þess sem brotið telst hafa verið gegn umræddum grunnreglum.
Ú r s k u r ð a r o r ð:
Meðferð [X] á vinnutölvupósthólfi og öðrum tölvugögnum [A] braut gegn lögum nr. 77/2000 og reglum nr. 837/2006.