Úrskurður um meðferð tölvupósthólfs eftir starfslok
2016/1368
Persónuvernd hefur úrskurðað um að umsýsla Seafood Trading á tölvupósthólfi kvartanda samrýmdist ekki 9. gr. reglna nr. 837/2006, um rafræna vöktun.
Úrskurður
Á fundi stjórnar Persónuverndar þann 8. mars 2017 var kveðinn upp svohljóðandi úrskurður í máli nr. 2016/1368:
I.
Málsmeðferð
1.
Tildrög máls
Þann 26. september 2016 barst Persónuvernd kvörtun frá [A] (hér eftir nefndur kvartandi) yfir meðferð tölvupósthólfs hans eftir starfslok hjá Seafood Trading ehf. Í kvörtuninni segir m.a. að netfang kvartanda hafi enn verið notað og virkt fjórum mánuðum eftir að hann lét af störfum fyrir félagið. Þá telur kvartandi að félagið hafi skoðað tölvupósta, sem bárust honum í pósthólfið, eftir starfslok hans en eftir starfslokin hafi þriðji aðili upplýst kvartanda um að viðkomandi hafi sent kvartanda tölvupóst á netfang hans hjá félaginu, [...], en verið svarað af öðrum starfsmanni félagsins.
2.
Bréfaskipti
Með bréfi, dags. 25. október 2016, var Seafood Trading boðið að koma á framfæri skýringum vegna kvörtunarinnar til samræmis við 10. og 13. gr. stjórnsýslulaga nr. 37/1993. Sérstaklega var óskað upplýsinga um hvernig meðferð tölvupósts kvartanda eftir starfslok hans hefði samrýmst 9. gr. reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Í svarbréfi lögmanns f.h. Seafood Trading, dags. 7. nóvember 2016, segir m.a. að kvartandi hafi sagt upp störfum [...] 2016 og tilkynnt að hann hefði ráðið sig til starfa hjá samkeppnisaðila félagsins í Danmörku. Viku síðar lét kvartandi af störfum sem sölufulltrúi en starf hans fólst m.a. í öflun og viðhaldi viðskiptasambanda og meðhöndlun trúnaðarupplýsinga, þ.m.t. upplýsinga sem varða verulega fjárhagslega hagsmuni Seafood Trading. Þá kemur fram að áður en kvartandi hætti fékk hann tækifæri á að taka fartölvu með sér heim og eyða persónulegum gögnum úr henni. Einnig hafi kvartanda verið kunnugt um að mögulega þyrfti félagið að fara í tölvuna vegna vinnutengdra mála eftir starfslok hans og hafi sjálfur haft orð á því að slíkt væri heimilt.
Um aðgang að tölvupósthólfi kvartanda og lokun þess segir nánar:
„Eftir að kvartandi hætti störfum kom þó í ljós að hann hafði ekki aðeins eytt út persónulegum gögnum af tölvunni heldur einnig mikið af vinnutengdum gögnum sem telja verður mjög óeðlilegt. Tölvupósthólfi kvartanda var hins vegar ekki lokað strax eftir starfslokin enda fyrirvari uppsagnar hans og brotthvarfs enginn og miklir viðskiptahagsmunir í húfi. [...] Það var því gríðarlega mikilvægt að áframhaldandi samskipti við [viðskiptavini] yrðu hnökralaus og að ekkert bæri út af í þeim efnum og nauðsynlegt var að tryggja að tölvupóstar frá viðskiptavinum bærust örugglega til umbjóðanda okkar. Netfang kvartanda hefur hins vegar ekki verið notað á neinn annan hátt og einkatölvupóstar hans hafa aldrei verið skoðaðir enda ekki til staðar þar sem þeim var eytt við starfslok hans.
Nú hefur tölvupósthólfi kvartanda endanlega verið lokað en það var gert 4. nóvember sl. og því verið bætt þar úr. Þá hefur sjálfvirk svörun úr pósthólfinu um að kvartandi hafi látið af störfum hjá umbjóðanda okkar verið virkt.“
Þá segir í bréfi Seafood Trading að nokkrum mánuðum eftir starfslok hafi félaginu borist upplýsingar um að kvartandi væri að hafa samband við viðskiptavini félagsins í þeim tilgangi að fá þá í viðskipti við nýjan vinnuveitanda. Segir að félagið hafi fengið þetta staðfest m.a. með tölvupóstum sem bárust á netfang kvartanda þann 22. september 2016 og 2. nóvember 2016, en afrit tölvupóstanna fylgdu hjálögð með svarbréfi félagsins. Telur félagið umrædda háttsemi ganga gegn ákvæðum laga nr. 57/2005 um eftirlit með viðskiptaháttum og markaðssetningu og fela í sér brot á almennum trúnaðarskyldum starfsmanns. Tölvupósthólf kvartanda hafi einungis verið skoðað í brýnni nauðsyn og áréttað er að félagið hafi aldrei skoðað einkatölvupósta kvartanda. Loks segir að félagið telji sig ekki hafa brotið á réttindum kvartanda en einungis var farið í tölvupósthólf hans svo unnt væri að vernda viðskiptahagsmuni og bregðast við siðlausri og ólögmætri háttsemi kvartanda.
Með bréfi, dags. 16. nóvember 2016, var kvartanda boðið að tjá sig um framkomnar skýringar Seafood Trading. Kvartandi svaraði með tölvupósti þann 18. nóvember 2016 þar sem skýringum félagsins er mótmælt. Samkvæmt kvartanda upplýsti eigandi félagsins kvartanda um að tölvupósthólf hans hefði verið skoðað af öðrum starfsmanni sem staðfesti að tölvupóstum hefði verið eytt úr pósthólfinu. Kvartandi telur ásökun um ólögmæta háttsemi hans ekki eiga við rök að styðjast. Þá segir að markmið kvörtunarinnar hafi verið að fá tölvupósthólfi kvartanda lokað og samkvæmt svarbréfi Seafood Trading hefði það nú verið gert. Fram kom að kvartandi væri ekki viss um hvort hann vildi óska áframhaldandi meðferðar málsins. Loks spurði kvartandi hvort félagið hefði sýnt fram á að ekki hefði verið farið inn í tölvupósthólf hans.
Þann 6. desember 2016 barst Persónuvernd tölvupóstur frá kvartanda þar sem fram kemur að Seafood Trading hafi ekki lokað tölvupósthólfi kvartanda og virkjað sjálfvirka svörum úr því, eins og staðhæft var í bréfi félagsins frá 4. nóvember 2016. Um það segir nánar:
„[...] Ég hef fengið ábendingar þess efnis erlendis frá einnig sendi samstarfsmaður minn póst á mitt gamla netfang þann 05.12 2016, klukkan 15:58 (14:58 á íslenskum tíma). Þegar þetta er skrifað, hálfum sólarhringi síðar þá er ekki enn komin melding um að pósthólfi sé lokað né sjálfvirk svörun. Í bréfi frá lögfræðingi þeirra þá var fullyrt að lokunin hafi verið framkvæmd 4. nóvember.“
Með tölvupósti þann 17. febrúar 2017 óskaði Persónuvernd eftir skriflegri staðfestingu þess efnis að tölvupósthólfi kvartanda hafi verið lokað og gögnum úr því eytt með framvísun afrita úr póstþjóni eða aðgerðaskráningu félagsins, eða eftir atvikum hýsingaraðila. Þann 21. febrúar 2017 barst svar frá lögmanni ábyrgðaraðila með tölvupósti. Þar kom fram að ekki væri mögulegt að afhenda afrit af aðgerðaskráningum þar sem slík gögn væru ekki til hjá félaginu. Tölvupóstinum fylgdi hins vegar skjáskot af yfirliti yfir virk tölvupósthólf hjá félaginu en netfang kvartanda var ekki að finna á umræddu yfirliti. Að mati félagsins staðfesti skjáskotið að tölvupósthólfi kvartanda hefði verið lokað.
Með tölvupósti þann 23. febrúar 2017 vakti Persónuvernd athygli Seafood Trading á því að stofnunin liti svo á að ekki hefði verið sýnt fram á hvenær tölvupósthólfi kvartanda hefði verið lokað. Þá benti stofnunin á að ábyrgðaraðili hefði sönnunarbyrði um það að reglum nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, hefði verið fylgt og hvenær tölvupósthólfi kvartanda var lokað. Þann 2. mars 2017 barst Persónuvernd tölvupóstur frá lögmanni ábyrgðaraðila þar sem fram kom að við nánari athugun hefði láðst að loka tölvupósthólfi kvartanda endanlega þann 4. nóvember 2016 eins og staðhæft var í bréfi til Persónuverndar, dags. 7. nóvember 2016. Þá segir í tölvupóstinum að pósthólfi kvartanda hafi nú verið endanlega lokað og vísaði félagið í skjáskot af virkum netföngum sem sent var með tölvupósti þann 21. febrúar 2017. Þá kemur fram að sjálfvirk svörun var sett á pósthólf kvartanda þegar hann lét af störfum hjá félaginu í [...] 2016 sem var virk í fjórar vikur, en að mati félagsins telst það nægilegur tími til að tilkynna um starfslok kvartanda.
II.
Forsendur og niðurstaða
1.
Gildissvið laga nr. 77/2000
Gildissvið laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga, sbr. 1. mgr. 3. gr. þeirra laga, og þar með valdsvið Persónuverndar, sbr. 1. og 2. mgr. 37. gr. laganna, nær til sérhverrar rafrænnar vinnslu persónuupplýsinga, sem og handvirkrar vinnslu slíkra upplýsinga sem eru eða eiga að verða hluti af skrá.
Með hugtakinu „persónuupplýsingar“ er átt við sérhverjar persónugreindar eða persónugreinanlegar upplýsingar um hinn skráða, þ.e. upplýsingar sem beint eða óbeint má rekja til tiltekins einstaklings, látins eða lifandi, sbr. 1. tölul. 2. gr. laga nr. 77/2000. Með hugtakinu „vinnsla“ er átt við sérhverja aðgerð eða röð aðgerða þar sem unnið er með persónuupplýsingar, hvort heldur sem vinnslan er handvirk eða rafræn, sbr. 2. tölul. 2. gr. laga nr. 77/2000. Í athugasemdum við það ákvæði í því frumvarpi, sem varð að lögum nr. 77/2000, kemur fram að hver sú aðferð, sem nota má til að gera upplýsingar tiltækar, telst til vinnslu. Af þessu öllu er ljóst að hér ræðir um meðferð persónuupplýsinga sem fellur undir valdsvið Persónuverndar.
Sá sem ber ábyrgð á að vinnsla persónuupplýsinga samrýmist lögum nr. 77/2000 er nefndur ábyrgðaraðili. Samkvæmt 4. tölul. 2. gr. laganna er þar átt við þann sem ákveður tilgang vinnslu persónuupplýsinga, þann búnað sem notaður er, aðferð við vinnsluna og aðra ráðstöfun upplýsinganna. Eins og hér háttar til telst Seafood Trading ehf. vera ábyrgðaraðili að umræddri vinnslu.
2.
Hugtakið rafræn vöktun er skilgreint í 6. tölul. 2. gr. laga nr. 77/2000. Undir það fellur vöktun sem er viðvarandi eða endurtekin reglulega og felur í sér eftirlit. Til rafrænnar vöktunar telst m.a. tölvupóstvöktun sem fer fram með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupósta og tölvupóstkerfisnotkun einstakra starfsmanna.
Öll rafræn vöktun er háð því skilyrði að hún fari fram í málefnalegum tilgangi, sbr. 4. gr. laganna. Ef vöktun felur í sér vinnslu persónuupplýsinga sem fellur undir gildissvið laganna þarf, samkvæmt 2. mgr. 4. gr. laganna, einnig að uppfylla önnur ákvæði laganna.
Þá ber einnig að líta til reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun. Í 1. mgr. 4. gr. segir að óheimilt er að skoða einkatölvupóst nema brýna nauðsyn beri til s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. Þá er tilvikabundin skoðun vinnuveitanda á tölvupósti starfsmanns óheimil nema uppfyllt séu fyrrnefnd ákvæði 7., 8., og eftir atvikum, 9. gr. laga nr. 77/2000,s.s. ef grunur er uppi um brot starfsmanns gegn trúnaðar- eða vinnuskyldum.
Þá er í 4. mgr. 9. gr. reglnanna mælt fyrir um það verklag sem vinnuveitandi skal fylgja þegar starfsmaður lætur af störfum. Í ákvæðinu segir meðal annars að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Þá skuli honum leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hafi látið af störfum. Eigi síðar en að tveimur vikum liðnum skuli loka pósthólfinu. Vinnuveitanda sé óheimilt að senda áfram á annan starfsmann þann póst sem berst í pósthólf fyrrverandi starfsmanns eftir starfslok, nema um annað hafi verið samið.
Seafood Trading ehf. ber sönnunarbyrði fyrir því að farið hafi verið að fyrrnefndum reglum um rafræna vöktun. Af hálfu Seafood Trading ehf. hefur komið fram að kvartanda hafi verið kunnugt um að mögulega þyrfti félagið að fara í tölvupósthólf hans vegna vinnutengdra mála eftir starfslok hans og hafði sjálfur orð á því að slíkt væri heimilt. Einnig hefur komið fram að tölvupósthólfi kvartanda var ekki lokað að tveimur viknum liðnum frá starfslokum hans þar sem nauðsynlegt var að tryggja að áframhaldandi samskipti við viðskiptavini félagsins yrðu hnökralaus.
Með bréfi, dags. 4. nóvember 2016, staðhæfði Seafood Trading að tölvupósthólfi kvartanda hefði verið lokað. Í tölvupósti frá félaginu sem sendur var þann 2. mars. 2017 kemur hins vegar fram að pósthólfi kvartanda hefði ekki verið lokað endanlega í nóvember 2016, eins og talið var. Einnig var tekið fram að félagið hefði ekki gengið úr skugga um að tölvupósthólfi kvartanda hefði verið lokað fyrr en eftir að því barst tölvupóstur Persónuverndar þann 17. febrúar 2017. Þá liggur ekki fyrir að kvartanda hafi verið boðið að eyða eða taka afrit af einkatölvupósti sínum eftir [...] 2016 er hann lét af störfum þrátt fyrir að tölvupósthólf hans hafi verið opið og virkt í rúma 7 mánuði eftir starfslok kvartanda. Í þessu sambandi er rétt að benda á að ákvæði regla nr. 837/2006, um rafræna vöktun, leggja frumkvæðisskyldu á ábyrgðaraðila um að ganga úr skugga um að hugað sé að atriðum 9. gr. þeirra við starfslok. Af gögnum málsins má ráða að ábyrgðaraðili hafi ekki lokað tölvupósthólfi kvartanda að tveimur vikum liðnum frá starfslokum hans eins og reglur um rafræna vöktun kveða á um.
Eins og hér háttar til liggur ekki fyrir hvenær tölvupósthólfi kvartanda var raunverulega lokað annað en yfirlýsing Seafood Trading ehf. um að gengið hafi verið úr skugga um slíka lokun eftir 17. febrúar 2017. Í ljósi framangreinds er niðurstaða Persónuverndar sú að meðferð félagsins á tölvupósthólfi kvartanda eftir starfslok hans hafi ekki samrýmist fyrrgreindu ákvæði reglna nr. 837/2006 þegar hann lauk þar störfum.
Ú r s k u r ð a r o r ð:
Vanræksla Seafood Trading á að loka tölvupósthólfi [A] fór í bága við lög nr. 77/2000 og reglur nr. 837/2006.