Vinnsla persónuupplýsinga hjá lögreglunni á Suðurnesjum

Mál nr. 2023111792

8.11.2024

Reykjavík, 22. október 2024

Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu lögreglunnar á Suðurnesjum, í máli nr. 2023111792:

Málsmeðferð

1. Persónuvernd barst kvörtun, dags. 25. október 2023, frá [A], [B] og [C] (hér eftir kvartendur) yfir vinnslu persónuupplýsinga þeirra af hálfu stjórnenda og starfsmanna lögreglunnar á Suðurnesjum. Kvörtuninni fylgdu gögn sem gerð verður grein fyrir hér á eftir.
2. Með bréfi, dags. 27. febrúar 2024, afmarkaði Persónuvernd umkvörtunarefnið við þá vinnslu persónuupplýsinga sem fólst í skoðun á vinnutölvum, prentara- og ljósritunarnotkun kvartenda í starfi þeirra hjá lögreglunni á Suðurnesjum, aðgangi annarra starfsmanna embættisins að tölvupósthólfi og skráarsvæði þeirra og meðferð tölvupósthólfs og skráarsvæða kvartenda við starfslok. Með tölvupósti 3. mars s.á staðfestu kvartendur að ekki væru gerðar athugasemdir við framangreinda afmökun Persónuverndar.
3. Persónuvernd bauð lögreglunni á Suðurnesjum að tjá sig um kvörtunina með bréfi, dags. 26. mars 2024, og bárust svör embættisins með bréfi, dags. 29. apríl s.á. Kvartendum var veittur kostur á að koma á framfæri athugasemdum við svör lögreglunnar með bréfi, dags. 14. maí s.á, og bárust þær með tölvupósti 4. júní s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.
   
   

   Ágreiningsefni

4. Ágreiningur er um heimild lögreglunnar á Suðurnesjum til þess að skoða vinnutölvur, prentara- og ljósritunarnotkun kvartenda í starfi þeirra hjá embættinu. Einnig er ágreiningur um hvort starfsmenn embættisins eða aðrir óviðkomandi aðilar hafi skoðað tölvupósthólf og skráarsvæði kvartenda og hvort kvartendum hafi verið gefinn kostur á að yfirfara vinnunetdrif sitt, tölvubúnað og tölvupósthólf og fjarlægja persónuleg gögn, sem ekki tengjast starfsemi lögreglunnar á Suðurnesjum, við starfslok sín hjá embættinu.
   
   

   Atvik máls og fyrirliggjandi gögn

5. Á þeim tíma sem umrædd vinnsla persónuupplýsinga fór fram hafði ágreiningur og samstarfs- og samskiptaerfiðleikar átt sér stað um nokkurt skeið í yfirstjórn lögreglunnar á Suðurnesjum, m.a. milli þáverandi lögreglustjóra og nokkurra starfsmanna. Einnig hafði umfjöllun verið í fjölmiðlum um lögregluna á Suðurnesjum og einstaka starfsmenn embættisins. Þáverandi lögreglustjóri lét af störfum 1. september 2020 en frá 21. ágúst til 16. nóvember 2020 gegndi settur lögreglustjóri starfi lögreglustjórans á Suðurnesjum.
6. Meðfylgjandi kvörtun var bréf setts lögreglustjóra á Suðurnesjum til héraðssaksóknara, [dags], ásamt fylgiskjölum, með beiðni um [....]. Í fylgiskjölunum kemur meðal annars fram að í kjölfar athugasemda frá starfsfólki og umfjöllunar fjölmiðla um embættið [....] hafi vaknað grunur um að misfarið hefði verið með persónuupplýsingar og starfsmannagögn innan embættisins. Athugasemdir starfsfólks þar að lútandi hefðu borist persónuverndarfulltrúa embættisins á tímabilinu [dags]. Hafi athugasemdir þeirra meðal annars varðað meðferð tveggja kvartenda þessa máls á persónuupplýsingum í skjalakerfi embættisins. Þáverandi fjármálastjóri embættisins hafi því óskað eftir gögnum frá Origo ehf., eiganda og umsjónaraðila prentara- og ljósritunarvéla embættisins, varðandi skönnun og útprentanir allra starfsmanna á gögnum úr skjalakerfi embættisins. Meðfylgjandi bréfi setts lögreglustjóra til héraðssaksóknara er yfirlit yfir notkun kvartenda á prentara- og ljósritunarvélum þar sem fram kemur heiti skönnunar- eða prentskipunar, dagsetning skipunar og blaðsíðufjöldi. Í fyrrgreindu bréfi setts lögreglustjóra á Suðurnesjum segir einnig að það hafi verið mat hans að samkvæmt því sem fram kom á yfirlitinu frá Origo ehf. kynni að vera tilefni til að skoða nánar virkni og hreyfingar einstakra starfsmanna.
7. [....].
8. Meðal gagna málsins er einnig afrit af reglum ríkislögreglustjóra um aðgang starfsmanna að tölvuneti, tölvubúnaði og hugbúnaði, dags. 22. september 2016. Markmið reglnanna er m.a. að stuðla að auknu öryggi upplýsinga og að upplýsa starfsmenn lögreglunnar um hvernig umgangast skuli tölvubúnað, hugbúnað og annan búnað tengdum rekstri upplýsingakerfa, ásamt því að skýra hvernig eftirliti og ábyrgð er háttað. Samkvæmt 1. gr. reglnanna er það hlutverk og á ábyrgð hvers starfsmanns að tryggja að búnaður, upplýsingar og tækni sé notuð á réttmætan hátt í þágu almennings með þeim hætti að upplýsingar eða aðgangur að upplýsingum komist ekki í hendur óviðkomandi aðila. Í reglunum er hugtakið atburðaskráning skilgreint í 2. gr. sem aðgerð til að tryggja rekjanleika upplýsinga og vinnsluaðgerða í tölvukerfum. Í 10. gr. reglnanna, í kafla um Eftirlit með notkun, er fjallað um atburðaskráningu og rekjanleika. Segir þar meðal annars að notkun á tölvukerfum á tölvuneti ríkislögreglustjóra er skráð niður á notendanafn til að tryggja öruggan rekstur og til að hafa eftirlit með því að unnið sé í samræmi við reglurnar. Gögn sem verða til og tengjast atburðaskráningunni eru aðgangsstýrð með sérstökum lykilorðum og einungis aðgengileg þeim sem vegna starfa sinna þurfa að geta rakið atburði. Þá segir í 14. gr. reglnanna að notendum skulu kynntar reglurnar og tryggt skal að þær séu þeim ávallt aðgengilegar. Í 15. gr. segir ennfremur að upplýsingar sem aflað er vegna eftirlits með því að reglunum sé fylgt má eingöngu nota í þágu eftirlits með tölvukerfum ríkislögreglustjóra, auk þess sem heimilt er að nota gögn til að afmarka, setja fram eða verja réttarkröfu vegna dómsmála og annarra brýnna hagsmuna, t.d. í tengslum við brottvikningu úr starfi. Í 4. gr. reglnanna segir loks að notanda skuli gefinn kostur á að taka afrit af einkatölvupósti við starfslok.
9. Þá liggja ennfremur í gögnum málsins fyrir tilvísanir í helstu umfjallanir fjölmiðla sem vöktu grun setts lögreglustjóra á Suðurnesjum um að misfarið hefði verið með persónuupplýsingar og starfsmannagögn innan embættisins. Í umfjöllunum sínum vísa fjölmiðlar meðal annars til þess að hafa undir höndum ferðakvittanir og gögn vegna greiðslna lögreglunnar á Suðurnesjum til starfsmanns embættisins, álit fagráðs lögreglunnar vegna kvartana um einelti hjá lögreglunni á Suðurnesjum, bréf þáverandi lögreglustjóra til dómsmálaráðuneytisins, þar sem fjallað er um veikindavottorð starfsmanna, og minnispunkta frá fundi starfsmanna lögreglunnar á Suðurnesjum og dómsmálaráðuneytisins.
   
   

   Sjónarmið aðila

   Helstu sjónarmið kvartenda

10. Kvartendur byggja á því að fjármálastjóri lögreglunnar á Suðurnesjum hafi ekki haft heimild til þess að fylgjast með tölvu-, prentara- og ljósritunarnotkun þeirra eða fara inn í vinnutölvur þeirra. Vísað er til þess að fjármálastjóri embættisins hafi framkvæmt framangreinda rannsókn í samráði við persónuverndarfulltrúa embættisins, sem á þeim tíma var aðkeyptur verktaki, án þess að yfirmaður embættisins, þ.e. þáverandi lögreglustjóri, hafi veitt heimild fyrir því eða verið kunnugt um það. Þá hafi aðgangsstýring að prentara og ljósritunarnotkun ekki verið kynnt sérstaklega fyrir starfsfólki heldur hugsuð sem einföld leið til að tryggja öryggi gagna.
11. Kvartendur telja einnig að á tímabilinu frá [dags] til [dags] hafi starfsfólk lögreglunnar á Suðurnesjum haft óheftan aðgang að öllum tölvugögnum í þeirra eigu og sé enn að nýta sér gögnin til misbeitingar á opinberu valdi til persónulegs ávinnings.
12. Þá hafi kvartendum ekki verið gefinn kostur á að yfirfara vinnunetdrif, tölvubúnað og tölvupósthólf og fjarlægja persónuleg gögn, sem ekki tengjast starfsemi lögreglunnar á Suðurnesjum, við starfslok sín hjá embættinu.
    
    

    Helstu sjónarmið lögreglunnar á Suðurnesjum

13. Í svörum lögreglunnar á Suðurnesjum segir að í aðdraganda að [....], hafi þáverandi fjármálastjóri óskað eftir gögnum frá Origo ehf. varðandi notkun alls starfsfólks á prentara og ljósritunarvélum, sbr. nánari umfjöllun í efnisgrein 6. Hafi það verið gert í þeim tilgangi að kanna hvort hugsanlega hafi verið misfarið með einstök gögn eða skjöl sem kynnu að geyma viðkvæmar persónuupplýsingar um starfsfólk eða málefni sem trúnaður skyldi ríkja, en við skoðun á fréttaskrifum og umfjöllun fjölmiðla virtist sem fjölmiðlar hefðu haft undir höndum gögn eða upplýsingar úr skjalakerfi embættisins, þ. á m. upplýsingar um veikindi starfsfólks og læknisvottorð, sbr. umfjöllun í efnisgrein 9.
14. Í skýringum lögreglunnar á Suðurnesjum segir að allt starfsfólk lögreglu sé með eigin kort og aðgang að prenturum, notkun þeirra sé aðgangsstýrð og allar hreyfingar og virkni starfsfólks skráðar. Yfirlitin gefi hins vegar ekki möguleika á að kynna sér efni þeirra skjala sem farið hafa í gegnum prent- og ljósritunarvélar embættisins. Vísað er til þess að öllu starfsfólki sé við upphaf starfs hjá embættinu kynntar reglur ríkislögreglustjóra um aðgang að tölvuneti, tölvubúnaði og hugbúnaði, sbr. framangreinda umfjöllun í efnisgrein 8. Reglurnar, sem settar voru 22. september 2016, séu aðgengilegar öllu starfsfólki á innri vef embættisins.
15. Lögreglan á Suðurnesjum byggir á því að í ljósi atvika allra hafi umrædd vinnsla persónuupplýsinga verið nauðsynleg, með vísan til 6. tölul. 9. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Er það mat lögreglunnar á Suðurnesjum að fram hafi farið heildstætt mat á þeim hagsmunum sem voru í málinu og ljóst að embættið, allir starfsmenn þess á þeim tíma og lögreglan á Íslandi í heild hefðu hagsmuni af því að málið yrði upplýst með viðeigandi hætti.
16. Hvað varðar aðgang óviðkomandi aðila að persónulegum gögnum kvartenda vísar lögreglan á Suðurnesjum til þess að engar upplýsingar liggi fyrir um að óviðkomandi aðilar hafi haft aðgang að persónuupplýsingum kvartenda. Lokað hafi verið fyrir aðgang að vinnunetdrifi tveggja kvartenda [dags]. Ekki sé fyrir hendi skráning sem sýni hvaða dag aðgangi þriðja kvartanda var lokað. Þá séu tölvupósthólf kvartenda ekki lengur til og þar sem virk aðgerðarskráning í kerfinu hafi aðeins 90 daga líftíma sé ekki hægt að kanna yfirlit yfir innskráningar í þau.
17. Loks segir í svörum lögreglunnar á Suðurnesjum að á sínum tíma hafi kvartendum ekki verið gefinn kostur á að yfirfara vinnunetdrif sín og fjarlægja persónuleg gögn eða eyða eða taka afrit af tölvupóstum sem ekki tengjast starfsemi embættisins vegna [....]. Embættinu hafi ekki borist beiðni frá kvartendum um að fá að yfirfara vinnunetdrif sín eða tölvupósthólf. Þá séu persónuleg drif í tölvukerfi og vinnunetföng starfsmanna embættisins eign lögreglu og einungis ætluð til notkunar í löggæslutilgangi en ekki til vörslu á persónulegum skjölum sem varða einkamálefni.
    
    

    Forsendur og niðurstaða

    Lagaumhverfi

18. Mál þetta lýtur að heimild lögreglunnar á Suðurnesjum til að skoða aðgerðaskráningu varðandi notkun kvartenda á prentara og ljósritunarvél í starfi þeirra hjá embættinu, aðgangi annarra starfsmanna embættisins að tölvupósthólfum og skráarsvæðum þeirra og meðferð tölvupósthólfs og skráarsvæða kvartenda við starfslok. Varðar málið því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.
19. Ábyrgðaraðili vinnslu persónuupplýsinga er einstaklingur, lögaðili, stjórnvald eða annar aðili sem ákveður einn eða í samvinnu við aðra tilgang og aðferðir við vinnsluna, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679, og ber hann ábyrgð á að vinnslan uppfylli kröfur laganna, sbr. 2. mgr. 8. gr. og 23. gr. laganna og 2. mgr. 5. gr. og 1. mgr. 24. gr. reglugerðarinnar.
20. Öll vinnsla persónuupplýsinga verður að falla undir eitthvert af heimildarákvæðum 9. gr. laga nr. 90/2018, sbr. 1. mgr. 6. gr. reglugerðar (ESB) 2016/679. Samkvæmt 6. tölul. 9. gr. laganna og f-lið 1. mgr. 6. gr. reglugerðarinnar er vinnsla persónuupplýsinga heimil ef hún er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir, nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra. Til þess að vinnsla geti talist heimil á grundvelli þessarar vinnsluheimildar þarf þremur skilyrðum að vera fullnægt. Í fyrsta lagi þarf vinnsla að fara fram í þágu lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir. Í öðru lagi þarf vinnslan að vera nauðsynleg í þágu hinna lögmætu hagsmuna. Í þriðja lagi mega hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga ekki vega þyngra en hinir lögmætu hagsmunir sem vísað er til. Með þriðja skilyrðinu er gerður áskilnaður um hagsmunamat, þar sem hinir lögmætu hagsmunir af því að vinnslan fari fram eru vegnir andspænis hagsmunum hins skráða. Í framkvæmd hefur einkum verið hugað að fjórum þáttum við þetta hagsmunamat. Í fyrsta lagi er litið til eðlis hinna lögmætu hagsmuna ábyrgðaraðila og getur þá meðal annars haft þýðingu hvort hagsmunirnir varða atvinnuréttindi ábyrgðaraðila. Einnig getur það ljáð hagsmunum ábyrgðaraðila meira vægi fari þeir saman við breiðari almannahagsmuni. Í öðru lagi er litið til áhrifa vinnslunnar á hinn skráða. Í því tilliti getur eðli upplýsinga sem unnar eru meðal annars haft þýðingu, þ.m.t. hvort um er að ræða viðkvæmar persónuupplýsingar. Jafnframt getur vinnsluaðferð haft þýðingu, þ.m.t. hvort persónuupplýsingar eru gerðar aðgengilegar almenningi, svo og hvort hinn skráði hefur sjálfur opinberað upplýsingarnar. Einnig geta réttmætar væntingar hins skráða skipt máli í þessu sambandi, þ.m.t. með hliðsjón af ákvæðum laga. Þá er að líta til stöðu hins skráða og ábyrgðaraðila, t.d. að því er varðar hugsanlegan aðstöðumun þeirra í milli. Við beitingu vinnsluheimildarinnar hefur þó ekki verið gerður áskilnaður um að vinnslan megi ekki leiða til neinna neikvæðra afleiðinga fyrir hinn skráða. Í þriðja lagi hefur þýðingu við hagsmunamatið hvort ábyrgðaraðili gætir að öðrum ákvæðum persónuverndarlöggjafarinnar við vinnsluna, svo sem varðandi meðalhóf. Slíkt getur enda veitt vísbendingu um áhrif vinnslunnar á hinn skráða. Í fjórða lagi geta viðbótarráðstafanir sem ábyrgðaraðili gerir í tengslum við vinnsluna haft þýðingu við hagsmunamatið.
21. Auk heimildar samkvæmt framangreindu verður vinnsla persónuupplýsinga að samrýmast öllum meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-lið reglugerðarákvæðisins, að þær skuli fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi, sbr. 2. tölul. lagaákvæðisins og b-lið reglugerðarákvæðisins, og að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar, sbr. 3. tölul. lagaákvæðisins og c-lið reglugerðarákvæðisins.
22. Reglur Persónuverndar nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, voru í gildi á þeim tíma sem atvik þessa máls áttu sér stað, en reglurnar voru settar samkvæmt heimild í eldri persónuverndarlögum, nr. 77/2000, sbr. nú 5. mgr. 14. gr. laga nr. 90/2018. Nýjar reglur um rafræna vöktun, reglur nr. 50/2023, tóku gildi 10. janúar 2023. Þar sem mál þetta lýtur að atvikum sem áttu sér stað í gildistíð reglna nr. 837/2006 mun umfjöllun og efni þessa úrskurðar taka mið af þeim eftir því sem við á.
23. Í 4. mgr. 9. gr. reglna nr. 837/2006 var mælt fyrir um það verklag sem vinnuveitandi skyldi fylgja þegar starfsmaður lét af störfum. Í ákvæðinu sagði meðal annars að við starfslok skyldi starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengdist starfsemi vinnuveitandans. Þá skyldi honum leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hefði látið af störfum. Eigi síðar en að tveimur vikum liðnum skyldi loka pósthólfinu. Hefur það einnig verið talið samrýmast fyrrgreindri meginreglu um sanngjarna vinnslu persónuupplýsinga að veita starfsmönnum almennt tækifæri á að eyða eða afrita einkatölvupóst eða önnur persónuleg gögn, sem ekki varða starfsemi vinnuveitanda, úr tölvupósthólfi sínu þegar hann lætur af störfum og umráðum hans yfir tölvupósthólfinu lýkur. Á hinn bóginn er til þess að líta að síðari ár hefur orðið sú breyting að ótakmarkað framboð er nú á tölvupósthólfum og skráarsvæðum til einkanota og að almennt er ekki gert ráð fyrir að einstaklingar ráðstafi tölvupósthólfi eða skráarsvæði, sem þeir fá úthlutað á vinnustað, til persónulegra nota.
    
    

    Niðurstaða

24. Þegar vinnsla persónuupplýsinga fer fram í þágu stofnunar, stjórnvalds eða annars lögaðila lítur Persónuvernd almennt svo á að ábyrgðaraðili að vinnslu persónuupplýsinga sé hlutaðeigandi lögaðili en ekki einstaka starfsmenn hans, hvort sem um ræðir stjórnendur eða almenna starfsmenn. Fari starfsmaður hins vegar út fyrir heimildir sínar beri hann sjálfur ábyrgð á því. Af svörum lögreglunnar á Suðurnesjum og fyrirliggjandi gögnum verður ekki talið að þáverandi fjármálastjóri, sem jafnframt var yfirmaður kerfisstjóra og mannauðsdeildar í fjarveru mannauðsstjóra, hafi farið út fyrir aðgangsheimildir sínar með því að óska eftir yfirliti yfir notkun starfsfólks á prentara- og ljósritunarvélum embættisins með hliðsjón af þeim aðstæðum sem uppi voru á þeim tíma, sbr. umfjöllun í efnisgrein 5, 6, 9 og 13. Telst lögreglan á Suðurnesjum því ábyrgðaraðili að allri þeirri vinnslu persónuupplýsinga um kvartendur sem málið varðar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.
25. Hvað viðkemur heimild lögreglunnar á Suðurnesjum til að skoða aðgerðaskráningu fyrir notkun kvartenda á prentara og ljósritunarvél embættisins, á grundvelli þess að það hafi verið nauðsynlegt vegna lögmætra hagsmuna embættisins og annarra, er að líta til þeirra skilyrða vinnsluheimildanna sem eru rakin í efnisgrein 20. Að virtu því sem fram kemur í efnisgrein 9 fellst Persónuvernd á þau sjónarmið lögreglunnar á Suðurnesjum að af umfjöllun fjölmiðla hafi virst sem fjölmiðlar hefðu haft undir höndum gögn eða upplýsingar um einstaka starfsfólk embættisins, þ. á m. viðkvæmar persónuupplýsingar um veikindi þeirra og læknisvottorð. Með hliðsjón af trúnaðarskyldum embættisins gagnvart starfsmönnum þess telur Persónuvernd sýnt fram á að lögmætir hagsmunir hafi verið af umræddri vinnslu persónuupplýsinga og að hún hafi verið nauðsynleg í þágu þeirra hagsmuna. Jafnframt verður ekki séð að hagsmunir eða grundvallarréttindi og frelsi kvartenda, sem krefjast verndar persónuupplýsinga, hafi vegið þyngra en hagsmunirnir af vinnslunni. Er þá til þess að líta að vinnslan fór fram meðal annars í þágu persónuverndar annarra starfsmanna þar sem grunur var um að viðkvæmar persónuupplýsingar þeirra hefðu verið gerðar aðgengilegar óviðkomandi og að slíkt hefði varðað trúnaðarskyldur embættisins gagnvart starfsmönnum sínum. Einnig skiptir máli við þetta hagsmunamat að aðgerðaskráningarnar fólu í sér mjög takmarkaðar og almennar upplýsingar og að þær voru aðeins gerðar aðgengilegar afmörkuðum hópi fólks. Loks telur Persónuvernd einnig hafa þýðingu í þessu sambandi að kvartendum mátti vera ljóst að aðgerðaskráningar væru gerðar og gætu, í nánar tilgreindum tilvikum, verið gerðar aðgengilegar stjórnendum embættisins. Með hliðsjón af öllu því sem hér hefur verið rakið er það niðurstaða Persónuverndar að vinnslan gat byggst á vinnsluheimild 6. tölul. 9. gr. laga nr. 90/2018, sbr. f-lið 1. mgr. 6. gr. reglugerðar (ESB) 2016/679.
26. Í reglum ríkislögreglustjóra frá 22. september 2016 um aðgang að tölvuneti, tölvubúnaði og hugbúnaði er fjallað um atburðaskráningu og rekjanleika til þess meðal annars að hafa eftirlit með því að notkun starfsfólks á tölvubúnaði sé í samræmi við reglurnar. Í reglunum segir að það sé hlutverk og á ábyrgð hvers starfsmanns að tryggja að búnaður, upplýsingar og tækni sé notuð á réttmætan hátt í þágu almennings með þeim hætti að upplýsingar eða aðgangur að upplýsingum komist ekki í hendur óviðkomandi aðila. Jafnframt segir að þeim sem falið er að hafa eftirlit með því að reglunum sé fylgt sé heimilt að nota gögn til að afmarka, setja fram eða verja réttarkröfu vegna dómsmála og annarra brýnna hagsmuna, t.d. í tengslum við brottvikningu úr starfi, sbr. umfjöllun í efnisgrein 8. Í skýringum lögreglunnar á Suðurnesjum er vísað til þess að öllu starfsfólki sé við upphaf starfs hjá embættinu kynntar reglur ríkislögreglustjóra og að þær séu aðgengilegar öllu starfsfólki á innri vef embættisins. Telur Persónuvernd því að skoðun aðgerðaskráningarinnar hafi falið í sér sanngjarna og gagnsæja vinnslu persónuupplýsinga í þágu skýrt tilgreinds og lögmæts tilgangs, í samræmi við meginreglur 1. og 2. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a- og b-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
27. Með hliðsjón af því hversu takmarkörkuð vinnsla persónuupplýsinga fólst í skoðun aðgerðarskráningar fyrir notkun kvartenda á prentara og ljósritunarvél embættisins telur Persónuvernd vinnsluna einnig uppfylla meginregluna um lágmörkun gagna, sbr. 3. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. c-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.
28. Hvað varðar grunsemdir kvartenda um aðgang annarra starfsmanna lögreglunnar á Suðurnesjum að tölvupósthólfum þeirra og öðrum tölvugögnum hafa ekki verið lögð fram gögn sem benda til þess að svo hafi verið. Samkvæmt skýringum embættisins var tölvupósthólfum kvartenda og aðgangi þeirra að öllum tölvukerfum embættisins lokað árið [ártal] og nær aðgerðarskráning vegna aðgangs að pósthólfi og vinnunetdrifi þeirra einungis 90 daga aftur í tímann. Telst þessi þáttur kvörtunarinnar því ósannaður.
29. Hvað viðkemur meðferð tölvupósthólfs og skráarsvæða kvartenda við starfslok liggur fyrir að þeim var ekki gefinn kostur á að yfirfara vinnunetdrif sín, tölvubúnað og tölvupósthólf og fjarlægja persónuleg gögn, sem ekki tengdust starfsemi lögreglunnar á Suðurnesjum, þar sem [....]. Þá var þeim ekki veittur kostur á framangreindu eftir að [....]. Í 4. mgr. 9. gr. reglna nr. 837/2006 var ekki mælt fyrir um undanþágu frá þeim reglum sem þar voru settar. Þó verður að ætla að í einhverjum tilvikum, þar sem nauðsyn krefði, hafi verið hægt að styðjast við 3. mgr. sömu greinar og leyfa starfsmanni eða fulltrúa hans að vera viðstaddur skoðun tölvupósthólfs og við það tækifæri veittur kostur á að eyða eða taka afrit af sínum einkagögnum. Lögreglan á Suðurnesjum virðist á hinn bóginn ekki hafa lagt mat á hvort unnt væri að standa vörð um hagsmuni embættisins og, eftir atvikum, annarra starfsmanna þess með öðrum og vægari úrræðum en þeim sem gripið var til þegar aðgangi kvartenda að tölvupósthólfi og skrársvæði þeirra var lokað án þess að gefa þeim kost á að eyða eða taka afrit af sínum einkagögnum. Til þess er einnig að líta að í 4. gr. reglna ríkislögreglustjóra, um aðgang starfsmanna að tölvuneti, tölvubúnaði og hugbúnaði, segir að starfsmönnum lögreglunnar skuli gefinn kostur á að taka afrit af einkatölvupósti sínum við starfslok. Var meðferð embættisins á tölvupósthólfi og skráarsvæði kvartenda að þessu leyti ekki í samræmi við 4. mgr. 9. gr. þágildandi reglna nr. 837/2006.
    
    

Ú r s k u r ð a r o r ð:

Lögreglunni á Suðurnesjum var heimilt að kalla eftir og skoða aðgerðaskráningu varðandi notkun [A], [B] og [C], á prentara- og ljósritunarvélum embættisins, samkvæmt ákvæðum laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og reglugerð (ESB) 2016/679, um vinnsluheimild, sanngirni og gagnsæi, takmörkun vegna tilgangs og lágmörkun gagna.

Ósannað er að óviðkomandi starfsmenn embættis lögreglunnar á Suðurnesjum hafi haft aðgang að tölvupósthólfum og skráarsvæðum kvartenda í samræmi við umkvörtunarefni.

Meðferð lögreglunnar á Suðurnesjum á tölvupósthólfum og vinnunetdrifum við starfslok kvartenda hjá embættinu samrýmdist ekki 4. mgr. 9. gr. reglna nr. 837/2006.

Persónuvernd, 22. október 2024

Ólafur Garðason
formaður

Árnína Steinunn Kristjánsdóttir            Björn Geirsson

Vilhelmína Haraldsdóttir                                     Þorvarður Kári Ólafsson