Úrskurður

um kvörtun yfir vinnslu persónuupplýsinga af hálfu [stofnun], í máli nr. 2025020671 (áður 2023101641).

Málsmeðferð

1. Hinn 17. október 2023 barst Persónuvernd kvörtun frá [A] (hér eftir kvartandi) yfir meðferð á tölvupósthólfi, skráasvæðum og notandaaðgangi hans í kjölfar starfsloka hjá [stofnun] (hér eftir [stofnun]). Nánar tiltekið laut kvörtunin að því að [stofnun] hefði haft aðgang að tölvupósthólfi kvartanda, auk þess sem notandaaðgangur hans hjá stofnuninni væri enn virkur. Stofnunin hefði þar með möguleika á að skoða einkagögn í tölvupósthólfi og á notandasvæði hans.

2. Persónuvernd bauð [stofnun] að tjá sig um kvörtunina með bréfi 4. mars 2024, og bárust svör 6. maí s.á. Kvartanda var veittur kostur á að koma á framfæri athugasemdum við svör [stofnun] með bréfi 22. s.m. og bárust þær með tölvupósti 10. júní s.á. Með bréfi, dags. 27. s.m., óskaði Persónuvernd frekari upplýsinga frá [stofnun] og bárust þær með bréfi, dags. 15. júlí s.á. Við úrlausn málsins hefur verið tekið tillit til allra framangreindra gagna.

Ágreiningsefni

3. Ágreiningur er um hvort meðferð [stofnun] á tölvupósthólfi, skráasvæði og notendaaðgangi kvartanda hjá stofnuninni við starfsok hans hafi verið í samræmi við lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og leiðbeiningar Persónuverndar um meðferð tölvupósts, skráasvæða og eftirlit með netnotkun.

Sjónarmið aðila

Helstu sjónarmið kvartanda

4. Starf kvartanda hjá [stofnun] var lagt niður [dags.]. Frá þeim tíma hafði kvartandi takmarkaða vinnuskyldu hjá stofnuninni en starfsskyldum hans lauk [dags.] sama ár. Tölvupósthólfi hans hafi hins vegar ekki verið lokað fyrr en [dags.]. Kvartandi byggir á því að [stofnun], ásamt rekstraraðila tölvukerfis stofnunarinnar og rekstraraðila skýjakerfisins, hafi haft aðgang að tölvupósthólfi hans og fer fram á að upplýst verði hvort framangreindir aðilar hafi notfært sér þann aðgang og hvort einkagögn hafi verið skoðuð.

5. Kvartandi vísar einnig til þess að notandaaðgangur hans að tölvukerfi [stofnun], utan skýjakerfis rekstraraðila, sé enn virkur og stofnunin hafi því möguleika á að skoða gögn á einkasvæði hans. Af skoðun kvartanda af svörum vefþjóns, sem geymi vefheimasvæði notanda, megi sjá að vefþjónninn sé tengdur í miðlæga notendastýringu tölvukerfis [stofnun] sem þýði að notandinn sé enn virkur á öllum þjónum og útstöðvum sem henni tengjast. Kvartandi krefst þess að notandaaðgangi hans verði eytt úr skýjaumhverfi rekstraraðilans og úr tölvukerfi [stofnun].

Helstu sjónarmið [stofnun]

6. Í svörum [stofnun] segir að tölvupóstaðgangi og notandaaðgangi kvartanda í Windows umhverfi hafi verið lokað [dags.], samkvæmt upplýsingum frá rekstraraðila skýjakerfis. Jafnframt hafi aðgangi kvartanda að tölvukerfi [stofnun], utan skýjakerfisins, verið lokað [dags.]. Ekki sé um að ræða eyðingu á notanda úr kerfum [stofnun], aðeins lokun aðgangs, í samræmi við verklagsreglur og reglugerð nr. 982/2003 um skylduskil til safna.

7. Í skýringum [stofnun] segir að þrátt fyrir að aðgangi kvartanda að pósthólfinu hafi verið lokað í [dags.] hafi pósthólfið getað tekið við tölvupóstum til og með [dags.], en frá þeim degi hafi ekki lengur verið hægt að senda tölvupóst á pósthólf kvartanda. Samtals hafi borist 31 tölvupóstur í pósthólfið á framangreindu tímabili. Enginn tölvupóstur hafi hins vegar verið áframsendur úr pósthólfinu en leitað hafi verið eftir tölvupóstskeytum eins langt aftur í tímann og kerfið býður upp á, eða 90 daga aftur í tímann. Þá hafi hvorki stofnunin né þjónustuaðilar hennar notfært sér aðgang kvartanda að pósthólfinu og engin einkagögn verið skoðuð í pósthólfinu. Vísað er til þess að ekki sé hægt að taka út skýrslu yfir aðgengisskrár í pósthólfið sökum þess að notanda hefur verið eytt en tekin hafi verið skýrsla út úr Office Activity skrám og er þar einungis aðgerðir sem sjálfvirk keyrsla Teams gerir þegar notanda er eytt úr kerfinu. Aðgerðir úr endurskoðunarskrá, m.a. fyrir aðgengi í pósthólf kvartanda, hafi verið teknar út en þær ná aftur til [dags.] og ekki séu ummerki þar um aðgang annarra en kvartanda í pósthólf eða afritunarlausn skýjageirans. Meðfylgjandi svarbréfi [stofnun], dags. 6. maí 2024, var afrit af aðgerðarskráningum.

8. Hvað varðar aðgengi að skráarsvæði kvartanda segir í svörum [stofnun] að skráarsvæðið sé þannig hannað að engin aðgerðarskráning sé fyrir hendi. Því sé ekki hægt að svara til um hvort einhver gögn, þ.m.t. einkagögn kvartanda, hafi verið á skráarsvæðinu eða hvort þau hafi verið skoðuð. Hins vegar hafi engin gögn verið á skráarsvæðinu [dags.] þegar málið var skoðað í tilefni af kvörtun kvartanda.

Forsendur og niðurstaða

Lagaumhverfi

9. Mál þetta lýtur að meðferð tölvupósthólfs, skráasvæði og notendaaðgangi kvartanda hjá [stofnun] við starfsok hans. Varðar málið því vinnslu persónuupplýsinga sem fellur undir gildissvið laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og þar með valdsvið Persónuverndar, sbr. 1. mgr. 4. gr., 2. mgr. 1. gr. og 1. mgr. 39. gr. laganna.

10. [Stofnun] telst vera ábyrgðaraðili vinnslunnar, sbr. 6. tölul. 3. gr. laga nr. 90/2018 og 7. tölul. 4. gr. reglugerðar (ESB) 2016/679.

11. Vinnsla persónuupplýsinga þarf meðal annars að samrýmast meginreglum 1. mgr. 8. gr. laga nr. 90/2018, sbr. 1. mgr. 5. gr. reglugerðar (ESB) 2016/679. Meginreglurnar kveða meðal annars á um að persónuupplýsingar skuli unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða, sbr. 1. tölul. lagaákvæðisins og a-liður reglugerðarákvæðisins, og að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu, sbr. 5. tölul. lagaákvæðisins og e-lið reglugerðarákvæðisins. Samkvæmt 2. mgr. 8. gr. laganna, sbr. 2. mgr. 5. gr. reglugerðarinnar, ber ábyrgðaraðili ábyrgð á því að vinnsla persónuupplýsinga uppfylli ávallt meginreglur persónuverndarlöggjafarinnar og skal geta sýnt fram á það.

12. Persónuvernd hefur gefið út leiðbeiningar um meðferð tölvupósts, skráasvæða og eftirlit með netnotkun starfsmanna á vinnustöðum sem byggðar eru á lögum nr. 90/2018 og reglugerð (ESB) 2016/679. Samkvæmt leiðbeiningunum ætti vinnuveitandi að leiðbeina starfsmanni um að virkja sjálfvirka svörun úr pósthólfi sínu um að hann hafi látið af störfum. Þá þarf jafnframt að óvirkja netfang starfsmanns innan hóflegs tíma frá starfslokum svo að ekki berist í það einkatölvupóstur sem er starfsemi vinnuveitandans óviðkomandi. Er framangreint leitt af fyrrgreindri meginreglu persónuverndarlaga, um sanngirni við vinnslu persónuupplýsinga, samkvæmt 1. tölul. 1. mgr. 8. gr laganna og a-lið 1. mgr. 5. gr. reglugerðarinnar. Vinnuveitanda ber einnig að gæta þess að persónuupplýsingar séu ekki varðveittar lengur en þörf krefur miðað við tilgang vinnslu, en slíkt þarf að meta með hliðsjón af aðstæðum hverju sinni, í samræmi við framangreinda meginreglu 5. tölul. 1. mgr. 8. gr. laganna og e-liðar reglugerðarinnar. Það fer eftir aðstæðum hverju sinni hversu lengi er heimilt að hafa netfangið virkt eftir starfslok, t.d. með hliðsjón af eðli og umfangi starfseminnar, hversu persónubundin samskipti eru við viðskiptavini o.fl. Í framangreindum leiðbeiningum Persónuverndar er þó tekið fram að í flestum tilvikum má ætla að tvær til fjórar vikur dugi til þess að gera viðeigandi ráðstafanir og loka netfanginu. Af því leiðir að vinnuveitanda ber að eyða þeim persónuupplýsingum sem eru til staðar í tölvupósthólfum og skráasvæðum starfsfólks þegar þeirra er ekki lengur þörf.

Niðurstaða

13. Kvartandi telur að [stofnun], ásamt rekstraraðila tölvukerfis stofnunarinnar og rekstraraðila skýjakerfisins, hafi haft aðgang að tölvupósthólfi hans og skráarsvæði og þannig getað skoðað einkagögn hans í kjölfar þess að hann lét af störfum. [Stofnun] hefur hins vegar hafnað því að stofnunin eða þjónustuaðilar hennar hafi notfært sér aðgang kvartanda. Byggir stofnunin á því í svörum sínum að samkvæmt skoðun á aðgerðum úr endurskoðunarskrá verði ekki séð að aðrir en kvartandi hafi farið inn í pósthólfið, sbr. fyrri umfjöllun í efnisgrein 7. Fyrir liggur að aðgerðaskráning, vegna aðgangs að pósthólfi kvartanda, nær aðeins aftur til [dags.]. Af skoðun Persónuverndar á fyrirliggjandi aðgerðarskrám frá [stofnun] verður ekki séð að aðrir en kvartandi hafi skráð sig inn í pósthólf hans. Hvað varðar skoðun á skráarsvæði kvartanda liggur fyrir að skráarsvæðið var hannað þannig að engin aðgerðarskráning var fyrir hendi. Því sé ekki hægt að svara til um hvort einkagögn kvartanda hafi verið skoðuð, hafi þau verið til, en engin gögn hafi verið vistuð á svæðinu [dags.]. Þá hefur kvartandi ekki lagt fram nein gögn til stuðnings fullyrðingum sínum. Hefur því ekki verið upplýst hvort [stofnun], eða þjónustuaðilar stofnunarinnar, hafi skoðað einkagögn í pósthólfi eða á skráarsvæði kvartanda frá því að hann lét af störfum hjá stofnuninni [dags.]. Telst þessi þáttur kvörtunarinnar því ósannaður.

14. Samkvæmt svörum [stofnun] var pósthólfi kvartanda lokað [dags.] og notandanum eytt. Frá þeim degi var því ekki hægt að senda tölvupóst á pósthólf kvartanda. Kom stofnunin þar með í veg fyrir að einkatölvupóstur, sem er starfsemi hennar óviðkomandi, bærist í pósthólf kvartanda. Þá hefur enginn tölvupóstur verið áframsendur úr pósthólfinu á þeim tíma sem kerfið býður upp á að hægt sé að skoða, sbr. umfjöllun í efnisgrein 7. [Stofnun] hefur jafnframt staðfest að notandaaðgangi kvartanda að tölvukerfi stofnunarinnar hafi verið lokað og að engin gögn séu vistuð á skráarsvæði hans hjá stofnuninni. Með vísan til framangreinds telur Persónuvernd að [stofnun] hafi brugðist við í samræmi við þær skyldur sem á henni hvíla og leiddar verða af 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018, sbr. a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, við starfslok kvartanda með því að loka pósthólfi og notandaaðgangi hans í skýjakerfi rekstraraðila og í tölvukerfi stofnunarinnar.

15. Hins vegar liggur fyrir að ekki var lokað á móttöku tölvupósts í pósthólfi kvartanda fyrr en um ári eftir starfslok hans, eða [dags.]. [Stofnun] hefur ekki sýnt fram á að nauðsynlegt hafi verið að hafa netfang kvartanda virkt í svo langan tíma. Var meðferð [stofnun] á tölvupósthólfi kvartanda að þessu leyti ekki í samræmi við meginreglu 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679, um sanngjarna vinnslu persónuupplýsinga, sbr. einnig 2. mgr. 8. gr. laganna og 2. mgr. 5. gr. reglugerðarinnar.

Ú r s k u r ð a r o r ð:

Ósannað er að [stofnun] eða þjónustuaðilar stofnunarinnar hafi skoðað persónuupplýsingar [A] sem varðveittar voru í tölvupósthólfum og skráarsvæðum hans hjá stofnuninni, í samræmi við umkvörtunarefni.

Meðferð [stofnun] á tölvupósthólfi [A] við starfslok hans var í samræmi við 1. tölul. 1. mgr. 8. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og a-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Meðferð [stofnun] á tölvupósthólfi [A] við starfslok hans var ekki í samræmi við 5. tölul. 1. mgr. 8. gr. laga nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga og e-lið 1. mgr. 5. gr. reglugerðar (ESB) 2016/679.

Persónuvernd, 13. mars 2025

Bjarni Freyr Rúnarsson
Edda Þuríður Hauksdóttir