Vinnsla persónuupplýsinga við starfslok af hálfu sveitarfélags
Almennt ætti vinnuveitandi að veita starfsmanni kost á að eyða eða taka afrit af þeim tölvupósti sem tengist ekki starfsemi vinnuveitandans. Þá fer það eftir aðstæðum hversu lengi er heimilt að hafa netfang virkt eftir starfslok með hliðsjón að eðli og umfangi starfseminnar. Í flestum tilfellum duga tvær til fjórar vikur til að gera viðeigandi ráðstafanir.
Í þessu tilfelli tókst ekki að ljúka við að yfirfara og afhenda kvartanda persónuleg gögn í tölvupósthólfi og á skráarsvæði hans. Þá lá jafnfram fyrir að tvö pósthólf kvartanda væru enn virk og hægt var að senda tölvupóst í þau án þess að villuboð eða sjálfvirk svörun bærist. Því gætti [sveitarfélagið] ekki að því að loka öllum tölvupósthólfum og að virkja svörun í þeim.
----
Persónuvernd úrskurðaði í máli þar sem kvartað var yfir vinnslu persónuupplýsinga [sveitarfélags] við starfslok. Nánar tiltekið var kvartanda ekki veittur aðgangur að vinnunetdrifum og tölvubúnaði sínum til þess að yfirfara og fjarlægja persónuleg gögn við uppsögn úr starfi. Auk þess var kvartað yfir því að enn væri verið að móttaka tölvupóst í fjögur tiltekin pósthólf og kvartanda ekki veitt færi á að setja sjálfvirka tölvupóstkveðju á þau.
Niðurstaða Persónuverndar var sú að meðferð [sveitarfélagsins] á skráasvæði og tölvupósthólfum við starfslok kvartanda hafi ekki samrýmst lögum um persónuvernd og vinnslu persónuupplýsinga.
Persónuvernd beinir þeim fyrirmælum til [sveitarfélagsins] að loka öllum tölvupósthólfum kvartanda og gefa honum kost á að yfirfara tölvubúnað og tölvupósthólf sín hjá [sveitarfélaginu], og eftir atvikum eyða eða áframsenda einkatölvupóst sinn, sem hefur borist á netföng hans hjá sveitarfélaginu, og önnur persónuleg gögn. Skal staðfesting á því að þetta hafi verið gert berast Persónuvernd fyrir 24. júlí 2023.
Úrskurður
um kvörtun yfir meðferð tölvugagna og tölvupósthólfs við starfslok af hálfu [sveitarfélags] í málum nr. 2022040727, 2022040728, 2022040730 og 2022040732. Vinnsla málanna var sameinuð undir máli nr. 2022040727.
I.
Málsmeðferð
Hinn 11. apríl 2022 bárust Persónuvernd fjórar kvartanir frá [A] (hér eftir kvartandi) yfir vinnslu persónuupplýsinga af hálfu [sveitarfélags]. Kvartanirnar lutu allar að því að hann hefði ekki fengið aðgang að vinnunetdrifum og tölvubúnaði sínum hjá [sveitarfélaginu] til þess að yfirfara og fjarlægja persónuleg gögn við uppsögn úr starfi. Kvartanirnar lutu einnig að því að kvartanda hefði ekki verið veitt færi á að yfirfara tölvupósthólf sín og fjarlægja persónuleg gögn úr þeim, auk þess sem enn væri verið að taka á móti tölvupósti í fjögur tiltekin pósthólf og kvartanda ekki verið veitt færi á að setja sjálfvirka tölvupóstkveðju í þau.
Persónuvernd bauð [sveitarfélaginu] að tjá sig um kvartanirnar með bréfi, dags. 8. nóvember 2022, sem ítrekað var með bréfi, dags. 9. desember s.á., og bárust svör sveitarfélagsins með bréfi frá [....] lögmannsstofu, dags. 12. janúar 2023. Þá var kvartanda veittur kostur á að koma á framfæri athugasemdum við svör [sveitarfélagsins] með bréfi, dags. 20. s.m., og bárust þær með tölvupósti 13. febrúar s.á. Með bréfi, dags. 23. s.m., var [sveitarfélaginu] jafnframt veittur kostur á að koma á framfæri viðbótarathugasemdum og bárust þær með bréfi, dags. 15. mars s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna, þó ekki sé gerð sérstaklega grein fyrir þeim öllum í eftirfarandi úrskurði.
___________________
Kvartandi vísar til þess að aðgangi hans að tölvubúnaði og persónulegum vinnunetdrifum hafi verið lokað fyrirvaralaust þegar honum var sagt upp störfum hjá [sveitarfélaginu] þann[dags.] án þess að honum hafi verið veitt færi á að yfirfara og fjarlægja persónuleg gögn úr tölvubúnaði.
Í kvörtunum kemur einnig fram að eftirfarandi fimm tölvupósthólf hafi verið tengd starfi kvartanda hjá [sveitarfélaginu]; [...], [...], [...], [...] og [...]. Byggir kvartandi á því að hann hafi enn ekki fengið að yfirfara framangreind tölvupósthólf og fjarlægja persónuleg gögn úr þeim. Þá vísar kvartandi til þess að um miðjan [dags.], eða um fjórum mánuðum eftir að honum var sagt upp störfum, hafi verið sett upp sjálfvirk kveðja í tölvupósthólfið [...]. Honum hafi hins vegar ekki verið gefinn kostur á að setja upp sjálfvirka tölvupóstkveðju í önnur tölvupósthólf og ennþá sé verið að taka á móti tölvupóstum í þau.
[Sveitarfélagið] vísar til þess að á fundi með kvartanda, þann [dags.], hafi verið farið yfir hluta persónulegra gagna á drifum sem hafi verið á tölvubúnaði [sveitarfélagsins] og tölvupósthólf kvartanda. Vegna mikils umfangs hafi ekki tekist að fara yfir öll persónuleg gögn kvartanda, en þau sem tókst að fara yfir og tilheyrðu kvartanda hafi verið afrituð og afhent honum samkvæmt beiðni. Í kjölfarið hafi gögnum sem búið var að fara yfir verið eytt í tölvukerfum [sveitarfélagsins]. Vísað er til þess að báðir aðilar hafi sammælst um að ljúka afhendingu gagna síðar. Næstu vikur hafi báðir aðilar reynt að ná saman um heppilegan tíma til þess að fara yfir og afhenda umbeðin gögn en vegna atvika, sem meðal annars hafi varðað kvartanda, hafi orðið tafir á að ljúka vinnunni. Samið hafi verið um að ljúka yfirferð og afhendingu gagna þann [dags.] en ekkert hafi orðið af því þar sem fulltrúi [sveitarfélagsins] hafi ekki mætt á tilsettum tíma. Fulltrúi [sveitarfélagsins] hafi í framhaldinu óskað eftir því að kvartandi legði til nýjan tíma en slík tillaga hafi ekki enn komið fram af hálfu kvartanda. Af þeim sökum hafi enn ekki orðið af frekari afhendingu gagna.
Í svarbréfi [sveitarfélagsins] kemur einnig fram að sjálfvirk svörun hafi verið sett á pósthólfið [...] í kjölfar framangreinds fundar, þann [dags.], og að pósthólfin [...] og [...] séu óvirk. Þá kemur jafnframt fram að pósthólfin [...] og [...] virðast enn vera virk en enginn hafi skráð sig inn í tölvupósthólfin. Meðfylgjandi svarbréfi [sveitarfélagsins] var svar frá [...], sem er umsjónaraðili með tölvukerfi [sveitarfélagsins], til stuðnings framangreindu.
Í athugasemdum kvartanda við svör [sveitarfélagsins] ítrekar kvartandi að honum hafi ekki verið boðið að opna og yfirfara vinnudrif sín eða tölvupósthólf til þess að fjarlægja úr þeim persónuleg gögn. Vísar kvartandi til þess að á fundi, þann [dags.], hafi honum einungis verið afhentur USB-lykill með afriti persónulegra gagna. Honum hafi ekki verið gefinn kostur á að vera viðstaddur þegar USB-lykillinn hafi verið búinn til, í því skyni að staðfesta hvaða gögn voru afrituð og fá staðfestingu á því að hans persónulegu gögnum hafi verið eytt úr tölvukerfum [sveitarfélagsins].
II.
Niðurstaða
1.
Lögmæti vinnslu
Mál þetta lýtur að meðferð tölvupósthólfa, netfanga og skráasvæða kvartanda við starfslok hans hjá [sveitarfélagi]. Varðar það því vinnslu persónuupplýsinga sem fellur undir valdsvið Persónuverndar. [Sveitarfélagið] telst vera ábyrgðaraðili að umræddri vinnslu samkvæmt lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, og reglugerð (ESB) 2016/679.
Reglur nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun, voru í gildi á þeim tíma sem atvik þessa máls áttu sér stað, en reglurnar voru settar samkvæmt heimild í eldri persónuverndarlögum, nr. 77/2000, sbr. nú 5. mgr. 14. gr. laga nr. 90/2018. Nýjar reglur um rafræna vöktun, reglur nr. 50/2023, tóku gildi þann 10. janúar 2023. Með nýjum reglum um rafræna vöktun hefur orðið sú breyting frá þeim eldri að sérákvæði um tölvupóst og netnotkun hefur verið fellt út. Þess í stað hafa verið útbúnar ítarlegar leiðbeiningar um meðferð tölvupósts, skráasvæða og eftirlit með netnotkun. Leiðbeiningarnar eru byggðar á lögum um persónuvernd og vinnslu persónuupplýsinga, nr. 90/2018, og almennu persónuverndarreglugerðinni, þ.e. reglugerð (ESB) 2016/679. Þar sem mál þetta lýtur að atvikum sem áttu sér stað í gildistíð reglna nr. 837/2006, mun umfjöllun og efni þessa úrskurðar taka mið af framangreindum reglum, en ekki er um efnislegar breytingar að ræða á þeim reglum sem nú reynir á, enda voru reglur nr. 837/2006 einnig byggðar á lögum um persónuvernd og vinnslu persónuupplýsinga.
Í 4. mgr. 9. gr. nr. 837/2006 var mælt fyrir um það verklag sem vinnuveitandi skyldi fylgja þegar starfsmaður lét af störfum. Í ákvæðinu sagði meðal annars að við starfslok skyldi starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengdist starfsemi vinnuveitandans. Þá skyldi honum leiðbeint um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hefði látið af störfum. Eigi síðar en að tveimur vikum liðnum skyldi loka pósthólfinu. Jafnframt sagði að vinnuveitanda væri óheimilt að senda áfram á annan starfsmann þann póst sem bærist í pósthólf fyrrverandi starfsmanns eftir starfslok, nema um annað hefði verið samið.
Öll vinnsla persónuupplýsinga verður jafnframt að fullnægja öllum grunnkröfum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 5. gr. reglugerðar (ESB) 2016/679. Er þar meðal annars kveðið á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. 1. mgr. 8. gr. laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar. Þá er kveðið á um ábyrgðarskyldu ábyrgðaraðila í 2. mgr. 8. gr. laganna, sbr. 2. mgr. 5. gr. reglugerðarinnar, en þar segir að ábyrgðaraðili beri ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt ákvæði 1. mgr. 8. gr. laganna, sbr. 1. mgr. 5. gr. reglugerðarinnar, og skuli geta sýnt fram á það.
Af hálfu [sveitarfélagsins] er á því byggt að á fundi, þann [dags.], hafi verið farið yfir hluta persónulegra gagna kvartanda sem geymd hafi verið á drifum á tölvubúnaði [sveitarfélagsins] og í tölvupósthólfi kvartanda. Byggt er á því að vegna mikils umfangs hafi ekki tekist að fara yfir öll persónuleg gögn kvartanda en þau sem tókst að fara yfir og tilheyrðu kvartanda hafi verið afrituð og afhent honum. Í kjölfarið hafi gögnum sem búið var að fara yfir verið eytt í tölvukerfum [sveitarfélagsins]. Framangreindu hefur eindregið verið hafnað af hálfu kvartanda og því haldið fram að honum hafi einungis verið afhentur USB-lykill með afriti persónulegra gagna. Honum hafi hins vegar ekki verið gefinn kostur á að vera viðstaddur þegar USB-lykillinn hafi verið búinn til, í því skyni að staðfesta hvaða gögn voru afrituð og fá staðfestingu á því að hans persónulegu gögnum hafi verið eytt úr tölvukerfum [sveitarfélagsins].
Samkvæmt framangreindu stendur orð gegn orði um það hvort [sveitarfélagið] hafi, á fundi þann [dags.], gefið kvartanda kost á að eyða og taka afrit af persónulegum gögnum í tölvupósthólfi og á skráasvæði sínu. Til að tryggja að ábyrgðarskylda persónuverndarlaganna sé uppfyllt þarf vinnuveitandi að geta sýnt fram á að meðferð pósthólfs og skráasvæðis við starfslok hafi uppfyllt kröfur persónuverndarlaganna, þ. á m. meginreglu 1. tölul. 1. mgr. 8. gr. laganna um sanngirni, en það má til dæmis gera með skýru, skjalfestu verklagi og undirritaðri yfirlýsingu starfsmanns. Með vísan til 2. mgr. 8. gr. laga nr. 90/2018, sbr. 2. mgr. 5. gr. reglugerðar (ESB) 2016/679, verður [sveitarfélagið] tali[ð] þurfa að bera hallann af því að geta ekki fært sönnur á að framangreint hafi verið gert.
Í málinu er óumdeilt að ekki hafi tekist að ljúka við að yfirfara og afhenda kvartanda persónuleg gögn í tölvupósthólfi hans og á skráasvæði. Fram kemur í svörum [sveitarfélagsins] að fulltrúi sveitarfélagsins hafi ekki mætt til fundar sem ákveðinn hafi verið til að ljúka yfirferðinni. Hann hafi í framhaldinu óskað eftir því að kvartandi myndi leggja til nýjan fundartíma en kvartandi hafi ekki enn sett fram slíka tillögu. Kvartandi mætti hins vegar til fundarins á tilsettum tíma en þurfti frá að hverfa. Eins og hér háttar til verður að mati Persónuverndar ekki fallist á að það sé á ábyrgð kvartanda að finna tíma til að ljúka við yfirferð og afhendingu persónulegra gagna í tölvupósthólfi og á skráasvæði hans.
Í svörum [sveitarfélagsins] og í athugasemdum kvartanda hefur komið fram að sjálfvirk svörun hafi verið sett á eitt tölvupósthólf í eigu kvartanda hjá sveitarfélaginu en aðilar vísa þó í sitthvort tölvupósthólfið í þeim efnum. Í svarbréfi [sveitarfélagsins] kemur jafnfram fram að tvö pósthólf í eigu kvartanda séu óvirk en tvö tölvupósthólf enn virk, þannig að hægt sé að senda tölvupóst í þau án þess að villuboð eða sjálfvirk svörun berist. Liggur þannig fyrir að [sveitarfélagið] gætti ekki að því að loka öllum tölvupósthólfum í eigu kvartanda og að virkja sjálfvirka svörun í þeim, en samkvæmt ákvæði þágildandi reglna 4. mgr. 9. gr. reglna nr. 837/2006 skyldi loka pósthólfi starfsmanns eigi síðar en tveimur vikum eftir starfslok.
Að öllu framangreindu virtu er niðurstaða Persónuverndar sú að meðferð [sveitarfélagsins] á skráasvæði og tölvupósthólfum [A] við starfslok hans hjá sveitarfélaginu hafi ekki samrýmst lögum nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, reglugerð (ESB) 2016/679 og þágildandi reglum nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.
Persónuvernd beinir þeim fyrirmælum til [sveitarfélagsins] að loka öllum tölvupósthólfum kvartanda og gefa honum kost á að yfirfara tölvubúnað og tölvupósthólf sín hjá [sveitarfélaginu], og eftir atvikum eyða eða áframsenda einkatölvupóst sinn, sem hefur borist á netföng hans hjá sveitarfélaginu, og önnur persónuleg gögn. Skal staðfesting á því að þetta hafi verið gert berast Persónuvernd fyrir 24. júlí 2023.
Ú r s k u r ð a r o r ð:
Meðferð [sveitarfélagsins] á skráasvæði og tölvupósthólfum [A] við starfslok hans samrýmdist ekki ákvæðum laga nr. 90/2018, um persónuvernd og vinnslu persónuupplýsinga, sbr. reglugerð (ESB) 2016/679, og þágildandi reglum nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.
[Sveitarfélaginu] ber að loka öllum tölvupósthólfum kvartanda og gefa honum kost á að yfirfara tölvubúnað og tölvupósthólf sín hjá [sveitarfélaginu], og eftir atvikum eyða eða áframsenda einkatölvupóst sinn, sem hefur borist á netföng hans hjá sveitarfélaginu og önnur persónuleg gögn. Skal staðfesting á því að þetta hafi verið gert berast Persónuvernd fyrir 24. júlí 2023.
Persónuvernd, 26. júní 2023
Helga Sigríður Þórhallsdóttir Edda Þuríður Hauksdóttir