Meðferð tölvupósts við starfslok.

  • By:Ólafur Kjartansson

Við starfslok kom upp ýmis álitaefni, m.a. um meðferð og skoðun á tölvupósti starfsmanns. Fyrirtæki geta haft hagsmuni af því að komast í tölvupóst starfsmanns sem geta haft að geyma ýmsar viðskiptalegar upplýsingar og gögn sem skipta máli fyrir rekstur fyrirtækis.

Vinnuveitanda óheimilt að fara í pósthólf starfsmanns nema fyrir liggi samþykki eða starfsmanni hafi sannanlega verið veitt tækifæri til að fara í gegum tölvupóstinn og eyða eða áframsenda persónuleg gögn. Að öðrum kosti skal veita starfsmanninum kost á að vera viðstaddur yfirferðina. Ef veitt er tækifæri til að yfirfara tölvu og pósthólf áður en skoðun fer fram má vinnuveitandi líta svo á persónulegum pósti og gögnum hafi verið eytt og ekki þörf á starfsmaðurinn sé viðstaddur yfirferðina.

Sjálfvirk áframsending á tölvupósti er óheimil nema um slíkt sé sannanlega samið, nema sérstakar aðstæður séu fyrir hendi og önnur og vægari úrræði svo sem sjálfvirkt svar um hvert sendandi geti snúið sér dugi ekki.

 

Eftirlit með tölvupósti

Um skoðun á tölvupósti starfsmanns fer eftir lögum um persónuvernd. Skoðun á tölvupósti fellur undir hugtakið rafræna vöktun, sem er skilgreint í 6. tölul. 2. gr. laga nr. 77/2000. Rafræn vöktun er skilgreind sem viðvarandi eða endurtekin reglulega skoðun og felur í sér eftirlit. Til rafrænnar vöktunar telst m.a. tölvupóstvöktun sem fer fram með sjálfvirkri og viðvarandi skráningu á upplýsingum um tölvupósta og tölvupóstkerfisnotkun einstakra starfsmanna. Þar undir falla einnig aðgerðir sem með beinum hætti tengjast og eru liður í þeirri vöktun, þ. á m. stillingar á því hvernig tölvupóstskeyti eru framsend.

Öll rafræn vöktun er háð því skilyrði að hún fari fram í málefnalegum tilgangi, sbr. 4. gr. laganna. Ef vöktun felur í sér vinnslu persónuupplýsinga sem fellur undir gildissvið laganna þarf, samkvæmt 2. mgr. 4. gr. laganna, einnig að uppfylla önnur ákvæði laganna – þ. á m. um heimild til vinnslu samkvæmt 8. gr.

Samþykki starfsmanns

Skilvirkasta leiðin fyrir fyrirtæki sem hyggjast skoða tölvupóst starfsmanns er að annað hvort (1) afla með ótvíræðum hætti samþykkis starfsmanns fyrir aðgangi að tölvupósti eða (2) veita starfsmanni tækifæri til að eyða eða áframsenda persónulegum tölvupósti áður en vinnsla hefst.

Í báðum tilvikum ber ábyrgðaraðili (vinnuveitandi) sönnunarbyrðina fyrir því að starfsmaður hafi veitt samþykki eða verið veitt tækifæri til að fara í gegnum tölvupóstinn.

Tækifæri til að yfirfara tölvupóst

Í 4. mgr. 9. gr. reglna nr. 837/2006, um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun segir að við starfslok skuli starfsmanni gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans. Reglurnar kveða einnig á um að ábyrgðaraðili (vinnuveitandi) ber að hafa frumkvæði að því að gætt sé að skilyrðum ákvæðisins.

Vinnuveitandi verður þannig að afla staðfestingar á að starfsmanni sé tilkynnt um lokun tölvupóstfangs og að starfsmanni sé gefið færi á að yfir yfirfara tölvu og pósthólf sitt, og eftir atvikum eyða eða áframsenda einkatölvupóst sinn og önnur persónuleg gögn, áður en öðrum starfsmönnum er veittur aðgangur. Ef starfsmanni hefur verið veitt tækifæri til að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans má líta svo á að vinnuveitanda sé heimilt að nýta gögn úr tölvupósthólfinu í þágu starfsemi sinnar. Ef ekki liggur fyrir að starfmanni hafi verið gefinn kostur þá óheimilt að opna tölvupósthólf starfsmannsins.

Sjálfvirk áframsending

Sama gildir um sjálfvirka áframsendingu á tölvupósti eftir starfslok. Slíkt er almennt óheimilt nema samið sé sérstaklega um það. Við sérstakar aðstæður getur slíkt hins verið réttlætanlegt. Sönnunarbyrði um nauðsyn á slíkum aðgerðum hvílir á vinnuveitanda og jafnframt að ekki megi tryggja áframhaldandi starfsemi með öðrum og vægari úrræðum, s.s. því að stilla kerfið þannig að sendendur skeyta fái skilaboð um að starfsmaður hafi látið af störfum og hvert þeir geta snúið sér.

Þá ber að líta til þess að í 9. gr. framgreindra reglna um rafræna vöktun er kveðið á um að innan tveggja vikna skal loka pósthólfi starfsmanns. Þannig að áframsending tölvupóst getur einungis verið heimilt í þann tíma.

Ítarefni

 

Úrskurðir Persónuverndar í málunum nr. 2015/767 og nr. 2014/1631

 

Posted in: Persónuvernd