Nánar tiltekið laut kvörtunin að því að meðferð vinnuveitanda kvartanda á tölvupósthólfi, skráasvæði og notendaaðgangi hans við starfsok hans hefði ekki verið í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og leiðbeiningar Persónuverndar um meðferð tölvupósts, skráasvæða og eftirlit með netnotkun.

Niðurstaða Persónuverndar var að ósannað væri að vinnuveitandi kvartanda, eða þjónustuaðilar, hefðu skoðað persónuupplýsingar kvartanda sem varðveittar voru í tölvupósthólfi og skráasvæði hans. Af skoðun Persónuverndar á fyrirliggjandi aðgerðaskrám, vegna aðgangs að pósthólfinu, varð ekki séð að aðrir en kvartandi hefðu skráð sig inn í pósthólfið en aðgerðaskráningar náðu hins vegar takmarkað langt aftur í tímann. Einnig lá fyrir að aðgerðarskráning var ekki viðhöfð á skráasvæði kvartanda og því ekki unnt að segja til um hvort einkagögn kvartanda, sem þar kynnu að hafa verið varðveitt, hafi verið skoðuð.

Einnig var það niðurstaða Persónuverndar að meðferð vinnuveitanda kvartanda á tölvupósthólfi hans hafi verið í samræmi við sanngirnisreglu persónuverndarlöggjafarinnar. Vinnuveitandi kvartanda hafði hlutast til um að loka pósthólfinu og loka notandaaðgangi kvartanda í skýjakerfi rekstraraðila og í tölvukerfi stofnunarinnar, og þannig komið í veg fyrir að einkatölvupóstur bærist í tölvupósthólf kvartanda. Hins vegar lá fyrir að ekki var lokað á móttöku tölvupósts í pósthólfið fyrr en um ári eftir starfslok kvartanda. Ekki var sýnt fram á nauðsyn þess að hafa netfang kvartanda virkt í svo langan tíma og var meðferð vinnuveitanda kvartanda á tölvupósthólfi hans, að þessu leyti, ekki talin í samræmi við varðveislureglu 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Úrskurður Persónuverndar