Persónuvernd starfsmanna

Í úrskurði Persónuverndar í máli nr. 2011/477 var fjallað um fyrrverandi starfsmann sveitarfélags sem óskaði eftir aðgangi að tölvupósti sínum.

Persónuvernd barst kvörtun Ó yfir að fyrrum vinnuveitandi hans hefði sett skilyrði fyrir því að hann fengi að skoða tölvupóst sinn. Skilyrðið var að fjármálastjóri sveitarfélagsins yrði viðstaddur og fylgdist með skoðuninni. Tilgangur Ó með því að fá að skoða póstana mun hafa verið til að geta fengið gögn til að nota í málaferlum við bæinn.

Úrlausnarefni Persónuverndar fólst því í að kanna hvort heimilt væri af sveitarfélaginu að ákveða að núverandi starfsmaður bæjarins skyldi vera viðstaddur þegar fyrrum starfsmaður þess skoðaði póst sem hann fékk og sendi þegar hann var enn við störf. Pósthólfi starfsmannsins hafði verið lokað og því ekki hægt að skoða tölvupósta nema í gegnum netþjón viðkomandi ábyrgðaraðila.

Í niðurstöðu Persónuverndar sagði að samkvæmt 11. gr. laga nr. 77/2000 ber ábyrgðaraðila að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðingu, gegn því að þær glatist eða breytist fyrir slysni og fyrir óleyfilegum aðgangi. Ákvæði þess efnis er einnig að finna í reglum nr. 299/2001 um öryggi persónuupplýsinga. Í 4. gr. reglnanna segir að ábyrgðaraðili skuli gera viðeigandi öryggisráðstafanir og að við val á þeim skuli hann taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á.

Persónuvernd taldi það eðlilega öryggisráðstöfun samkvæmt framangreindu að binda aðgang starfsmanna að netþjóni öryggisskilyrðum, hvort sem um er að ræða núverandi eða fyrrverandi starfsmenn. Því væri sveitarfélaginu heimilt að setja það sem skilyrði fyrir aðgangi Ó að netþjónum bæjarins að tiltekinn núverandi starfsmaður bæjarins verði viðstaddur.

Í máli nr. 2017/1452 var ekki gætt að rétti starfsmanns til þess að vera viðstaddur þegar farið var yfir tölvupóst hans við starfslok og í máli nr. 2017/1453 hafði verið lokað fyrir aðgang starfsmanns að vinnutölvupósti hans án þess að honum væri gefinn kostur á að fjarlægja eða afrita einkapóst ásamt því að vinnutölvupósthólf hans var áfram opið um nokkurt skeið og að tölvupóstur sem í það barst var vaktaður. Þá lá fyrir að farið var inn á persónulegt netfang starfsmanns og póstur þaðan afritaður. Taldi vinnuveitandi að það hafi verið nauðsynlegt í ljósi háttsemi starfsmanns sem bryti gegn hagsmunum fyrirtækisins. Ekki var fallist á það í niðurstöðu Persónuverndar.

Í úrskurði Persónuverndar í máli nr. 2011/482 var fjallað um framsendingu tölvupósts starfsmanns sem látið hafði af störfum.

Málavextir voru þeir að Á kvartaði til Persónuverndar yfir áframsendingu úr tölvupósti hennar í annað pósthólf hjá P eftir að hún lauk störfum hjá fyrirtækinu. Sendur hafði verið tölvupóstur á póstfang hennar hjá P og hafði borist svar frá öðrum starfsmanni fyrirtækisins.

Í úrskurði Persónuverndar segir að sú aðgerð P að framsenda tölvupóst Á hafi verið vinnsla persónupplýsinga í skilningi laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga. Var því næst tekið til hvort slík framsending sé lögmæt.

Stillingar þess hvernig tölvupóstskeyti eru framsend er liður í rafrænni vöktun atvinnurekanda á tölvupóstum og tölvupóstkerfisnotkun starfsmanna og var því aðgerðin rafræn vöktun í skilningi 6. tölul. 2. gr. laga nr. 77/2000.

Öll rafræn vöktun er háð því skilyrði að hún fari fram í málefnalegum tilgangi. Í úrskurðinum kom fram að í sumum tilvikum geti sérstakar aðstæður réttlætt áframsendingu tölvupóstskeyta svo að skilyrði laganna teljist uppfyllt. Sönnunarbyrði þess að slíkar aðstæður hafi verið fyrir hendi hvílir á atvinnurekanda og að vinnsla hafi verið honum nauðsynleg og heimil. Í þessu máli hafði P ekki sýnt fram á að framsending póstsins hafi verið nauðsynleg til að tryggja áfram þjónustu við viðskiptavini sína. Ekkert lá fyrir um að ekki hefði mátt tryggja þessa þjónustu með öðrum hætti, því að stilla kerfið þannig að sendendur skeyta fengju aðeins skilaboð um að Á hefði látið af störfum og hvert þeir gætu snúið sér. Taldi Persónuvernd framsending á tölvupósti þar af leiðandi hafa verið óheimila.

Í úrskurði Persónuverndar í máli nr. 2011/568 var fjallað um lögmæti útsendingar tölvupósts til starfsmanna um meint brot eins starfsmanns.

Persónuvernd barst kvörtun frá J yfir því að fyrrum vinnuveitandi hans E hefði dreift viðkvæmum persónuupplýsingum um hann til annarra starfsmanna fyrirtækisins. Málsatvik voru þau að J hafði að sögn fyrirtækisins viðurkennt þjófnað hjá og lét í kjölfarið af störfum. Eftir að hann lét af störfum sendi forstjóri E fjöldapóst til allra starfsmanna þar sem J er nafngreindur og skýrt er frá starfslokum hans. Þá kemur fram að ástæða starfslokanna sé vegna þjófnaðar hjá fyrirtækinu.

Í úrskurði Persónuverndar segir að upplýsingar um hvort maður hafi verið grunaður, kærður, ákærður eða dæmdur fyrir refsiverðan verknað, teljist til viðkvæmra persónuupplýsinga, sbr. b-lið 8. tölul. 2. gr. laga nr. 77/2000 um persónuvernd og meðferð persónuupplýsinga.
Svo að vinna megi slíkar upplýsingar verður að vera fullnægt einhverju skilyrða sem talin eru upp í 1. mgr. 9. gr. laga nr. 77/2000, s.s. samþykki hins skráða. J hafði ekki veitt samþykki sitt fyrir vinnslu persónulegra upplýsinga um sig, þ.e. sendingu tölvupóstarins. Þá uppfyllti sendingin ekki skilyrði sama ákvæðis um nauðsynlegt hafi verið að dreifa upplýsingunum s.s. vegna laganauðsynja, málaferla eða kæru til lögreglu.

Þá þurfti Persónuvernd að meta hvort vinnsla persónuupplýsinganna hafi uppfyllt meginreglur 7. gr. laga nr. 77/2000, þ.e. að vinnslan hafi verið lögmæt enda hafi hún farið fram með sanngjörnum, málefnalegum og lögmætum hætti og verið í samræmi við vandaða vinnsluhætti persónuupplýsinga og staðist skilyrði um meðalhóf við vinnslu persónuupplýsinga.

Persónuvernd taldi að J hefði mátt vænta þess að ekki yrðu frekari eftirmálar af því að hann viðurkenndi þjófnað frá fyrirtækinu, lét af störfum og féllst á að hann ætti enga kröfu frá fyrirtækinu um ógreidd laun. Dreifing forstjóra á upplýsingum um hann megi hins vegar jafna til slíkra eftirmála og dreifingin hafi því ekki uppfyllt skilyrði 7. gr. laga nr. 77/2000.

Þar sem fyrirtækið gat ekki sýnt fram á að dreifing upplýsinganna til allra starfsmanna hafi verið nauðsynleg í skilningi persónuverndarlaga taldi Persónuvernd hana brot gegn persónuverndarlögum og úrskurðaði að dreifing persónupplýsinganna um meintan þjófnað starfsmanns til allra starfsmanna fyrirtækisins hafi verið óheimil.

Í úrskurði Persónuverndar í máli nr. 2011/147 var fjallað um lögmæti þess að atvinnurekandi hefði borið saman upplýsingar úr ökuritum fyrirtækisins við upplýsingar starfsmanns úr stimpilklukku, þ.e. um unna tíma.

Starfsmaðurinn G kvartaði til Persónuverndar vegna málsins og einnig yfir að hann hefði ekki verið látinn vita að slíkur samanburður færi fram. Ástæðan fyrir samanburðinum var að vinnutími viðkomandi starfsmanns var óvenju langur samkvæmt stimpilklukku í eitt sinn og hafði atvinnurekandi ekki neinar aðrar leiðir til að ganga úr skugga um að hann hefði verið við hefðbundin störf alla vaktina.

Í niðurstöðum úrskurðar sagði að vinnsla persónuupplýsinga sé heimil sé hún nauðsynleg til að gæta lögmætra hagsmuna nema grundvallarréttindi og frelsi hins skráða vegi þyngra, sbr. 7. tölul. 1. mgr. 8. gr. laga nr. 77/2000. Því þurfi að vega hagsmuni beggja aðila. Fyrirtækið hafi bent á að ekki hafi verið hægt að koma við annarri verkstjórn til að fylgjast með vinnutíma starfsmanns og taldi Persónuvernd það vera lögmæta hagsmuni í skilningi fyrrgreinds ákvæðis. Ekki var talið að starfsmaðurinn hefði fært fram rök sem styddu þá niðurstöðu að vinnslan hafi raskað grundvallarréttindum hans eða frelsi. Einnig skipti máli að ökuritinn væri í olíubíl sem væri eingöngu til nota í þágu vinnuveitanda. Því þótti ekki vega þyngra einkalífshagsmunir starfsmannsins af því að vinnslan færi ekki fram heldur en hagsmunir vinnuveitandans.

Starfsmaðurinn hafði einnig kvartað yfir að hafa ekki fengið fræðslu um að upplýsingar úr ökurita yrðu hugsanlega bornar saman við persónuupplýsingar um unna tíma skv. stimpilklukku. Í málinu kom fram að við innleiðingu á notkun ökurita hafi þeir verið kynntir fyrir trúnaðarmanni starfsmanna. Einnig fyrir bílstjórum á starfsmannafundi, reglum um notkun þeirra hafi verið dreift til bílstjóra og límmiði settur í bíla með ökurita til að minna á tilvist þeirra. Taldi Persónuvernd því ekki að vinnuveitandinn hefði vanrækt fræðsluskyldu sína samkvæmt persónuverndarlögum. Samanburðurinn á persónuupplýsingum sem sóttar voru í stimpilklukku við upplýsingar um notkun olíubifreiðar samkvæmt ökurita hafi þar af leiðandi ekki brotið í bága við persónuverndarlög.

Fleiri mál hafa komið á borð Persónuverndar er varða ökurita, og má t.d. benda á mál nr. 2018/1253 þar sem Mannvirkjastofnun var talin hafa átt að gera vinnslusamning vegna ökurita, en stofnunin notaði þá til þess að rekja ferðir bifreiða í eigu stofnunarinnar. Auk þess var stofnuninni gert að eyða þeim upplýsingum sem safnast í ökurita á 90 daga fresti, eins og lögin áskilja.

Atvinnurekendur hafa ýmis konar eftirlit með sínum rekstri. Slíkt eftirlit er í mörgum tilvikum ekki aðeins byggt á kröfum atvinnurekenda sjálfra heldur einnig á laga og/eða samningsskuldbindingum sem á þeim hvíla.

Skipta má eftirlitinu í tvo flokka:

1. Reglubundið eftirlit þar sem mæld eru afköst starfsmanna og/eða gæði og öryggi við framleiðslu eða þjónustu.
2. Skráning upplýsinga um launagreiðslur og réttindaávinnslu starfsmanna, skil á launatengdum gjöldum o.s.frv.

Hin síðari ár hefur færst í aukana eftirlit og skráning upplýsinga um starfsfólk sem gengur mjög nærri friðhelgi starfsmanna, persónu þeirra og einkalífi. Við slík tilfelli þarf ætíð að vega þá hagsmuni atvinnurekanda af því að vinna með slíkar upplýsingar gagnvart hagsmunum starfsmanns.

Dæmi um slíka vinnslu persónuupplýsinga er; notkun sjónvarpsmyndavéla á vinnustæðum, eftirlit með tölvupósts- og netnotkun starfsmanna, lífsýnataka til að mæla áfengis- eða fíkniefnanotkun starfsmanna og GPS staðsetningartæki í bifreiðum.

Vera starfsmanna á vinnustað, afnot þeirra af atvinnutækjum sem atvinnurekandi lætur þeim í té, þ.m.t. tölvum, undirritun ráðningarsamnings o.fl. heimilar atvinnurekanda ekki að skerða einhliða og fyrirvaralaust friðhelgi starfsmanna og rétt þeirra til ákveðinnar einkalífsverndar á vinnustað, sbr. 71. gr. stjórnarskrár nr. 33/1944 um friðhelgi einkalífs. Eingöngu er heimilt að takmarka þann rétt ef brýna nauðsyn ber til vegna réttinda annarra og þá verður sérstök lagaheimild að búa þar að baki.

Þessum stjórnarskrárvarða rétti afsalar einstaklingurinn sér ekki með því einu að gerast launamaður og vinna í þágu annars aðila.

Starfsmenn verða þó vegna rekstrarlegra hagsmuna atvinnurekanda og almennra sjónarmiða um stjórnunarrétt hans að gera ráð fyrir ákveðinni skerðingu á einkalífi sínu. Það verður m.ö.o. að eiga sér stað ákveðið mat á einkalífsrétti starfsmanna annars vegar og hagsmuna atvinnurekanda hins vegar. Þetta mat ólíkra hagsmuna getur verið erfitt en er óhjákvæmilegt í því návígi (raunverulegu og tæknilegu) sem starfsmenn og atvinnurekendur eru í.

Svör við því að hve miklu leyti atvinnurekendur hafa heimild til að viðhafa eftirlit og skipulagða gagnasöfnun má leiða af meginreglum laga nr. 80/2018 um persónuvernd og vinnslu persónuupplýsinga.

Þó að atvinnurekandi hafi eftir atvikum heimild til að skrá upplýsingar um starfsmenn sína þá verður hann ávallt við skráningu og meðferð slíkra persónuupplýsinga að virða eftirfarandi sex meginreglur. 

1. Að þær séu unnar með lögmætum, sanngjörnum og gagnsæjum hætti gagnvart hinum skráða.
2. Að þær séu fengnar í skýrt tilgreindum, lögmætum og málefnalegum tilgangi og ekki unnar frekar í öðrum og ósamrýmanlegum tilgangi; frekari vinnsla í sagnfræðilegum, tölfræðilegum eða vísindalegum tilgangi telst ekki ósamrýmanleg að því tilskildu að viðeigandi öryggis sé gætt.
3. Að þær séu nægilegar, viðeigandi og ekki umfram það sem nauðsynlegt er miðað við tilgang vinnslunnar.
4. Að þær séu áreiðanlegar og uppfærðar eftir þörfum; persónuupplýsingum sem eru óáreiðanlegar eða ófullkomnar, miðað við tilgang vinnslu þeirra, skal eyða eða leiðrétta án tafar.
5. Að þær séu varðveittar í því formi að ekki sé unnt að bera kennsl á skráða einstaklinga lengur en þörf krefur miðað við tilgang vinnslu; heimilt er að geyma persónuupplýsingar lengur að því tilskildu að vinnsla þeirra þjóni einungis skjalavistun í þágu almannahagsmuna, rannsókna á sviði vísinda eða sagnfræði eða í tölfræðilegum tilgangi og að viðeigandi öryggis sé gætt.
6. Að þær séu unnar með þeim hætti að viðeigandi öryggi persónuupplýsinganna sé tryggt.

Í lögum um persónuvernd og vinnslu persónuupplýsinga er kveðið á um þær heimildir sem þeir aðilar, t.d. atvinnurekendur, hafa til að skrá og vinna með persónuupplýsingar, þ.m.t. með upplýsingar um starfsmenn sína.

Meginregla laganna er sú að skráning og vinnsla persónuupplýsinga er því aðeins heimil að viðkomandi einstaklingur hafi ótvírætt veitt samþykki sitt fyrir henni.

Vegna hins sérstaka eðlis ráðningarsambandsins eru starfsmenn í erfiðri aðstöðu til að hafna, draga til baka eða breyta, fyrri yfirlýsingu um samþykki. Því er ekki víst að litið verði svo á að yfirlýsing um samþykki veiti atvinnurekanda skilyrðislausa heimild til vinnslu viðkvæmra persónuupplýsinga. Hann verður a.m.k. ávallt að gæta sérstaklega að þeim sex meginreglum sem fjallað verður um hér á eftir.

Vinnsla persónuupplýsinga getur einnig verið heimil í öðrum tilvikum, s.s. ef vinnslan er nauðsynleg til að efna samning sem hinn skráði er aðili að eða til að gera ráðstafanir að beiðni hins skráða áður en samningur er gerður, vinnslan er nauðsynleg til að fullnægja lagaskyldu sem hvílir á ábyrgðaraðila, vinnslan er nauðsynleg til að vernda brýna hagsmuni hins skráða eða annars einstaklings, vinnslan er nauðsynleg vegna verks sem unnið er í þágu almannahagsmuna eða við beitingu opinbers valds sem ábyrgðaraðili fer með eða ef vinnslan er nauðsynleg vegna lögmætra hagsmuna sem ábyrgðaraðili eða þriðji maður gætir nema hagsmunir eða grundvallarréttindi og frelsi hins skráða sem krefjast verndar persónuupplýsinga vegi þyngra, einkum þegar hinn skráði er barn.