Notuðu gögn úr einka­net­fangi starfs­manns síns til að stefna honum

Íslenskt fyrirtæki braut persónuverndarlög við meðferð á tölvupósti við starfslok starfsmanns árið 2017. Fyrirtækið afritaði m.a. tölvupósta af persónulegu netfangi starfsmannsins til að nota gegn honum í dómsmáli, þar sem starfsmanninum var gefið að sök að hafa brotið gegn hagsmunum fyrirtækisins á meðan hann starfaði þar.

Þetta kemur fram í úrskurði Persónuverndar sem birtur var á netinu í gær. Starfsmaðurinn sendi formlega kvörtun til Persónuverndar vegna málsins þann 9. október 2017. Hann kvartaði yfir því að fyrrverandi vinnuveitandi hans, fyrirtæki sem ekki er nafngreint í úrskurðinum, hefði fyrirvaralaust lokað aðgangi hans að tölvupósthólfi hans með því að breyta aðgangsorði.

Þá hélt starfsmaðurinn því fram að honum hefði ekki verið gefinn kostur á að fjarlægja eða afrita einkapóst og hefði pósthólfinu ekki verið lokað, heldur þess í stað verið notað áfram til að senda póst í hans nafni. Þá hefðu starfsmenn fyrirtækisins farið inn á einkanetfang hans og afritað þar mikið magn af einkapósti.

Hann var síðar beðinn um að yfirgefa vinnustaðinn tafarlaust. Í kjölfarið var honum stefnt og hann sakaður um brot á ráðningarsamningi við fyrirtækið. Tekið er fram að í stefnunni sé notast við gögn sem fengin hafi verið úr einkanetfangi hans.

„Augljós og gríðarleg brot“

Í svari fyrirtækisins við kvörtun starfsmannsins segir m.a. að fyrirtækið hefði þurft að vakta tölvupóst starfsmannsins til að þjónusta viðskiptavini hans. Ekki hefði verið hægt að treysta því að viðskiptavinir sendu póst á tölvupóstfang hans þar sem hann hefði þá þegar verið búinn að „stela öllum viðskiptatengslum“ frá fyrirtækinu.

Við skoðun á tölvu starfsmannsins hefði jafnframt komið í ljós „mikið af sönnunargögnum varðandi einbeittan brotavilja kvartanda“. „Augljós og gríðarleg brot“ kvartanda inni á einkanetfangi hans hefðu blasað við þegar tölvan var opnuð.

Fyrirtækið taldi vinnslu umræddra persónuupplýsinga úr tölvupóstinum samkvæmt lögum og nauðsynlega til að gæta lögmætra hagsmuna sinna og sækja skaðabótakröfu á hendur hinum brotlega starfsmanni. Hann hefði stolið viðskiptatengslum, afritað gögn í eigu fyrirtækisins og lekið verðupplýsingum og gögnum til samkeppnisaðila.

Dómnum ekki áfrýjað

Umræddu dómsmáli fyrirtækisins gegn starfsmanninum var vísað frá árið 2018, að því er segir í úrskurði Persónuverndar. Í dómi héraðsdóms, sem reyndar var í öðru dómsmáli milli sömu aðila, er niðurstaðan hins vegar sú að starfsmaðurinn hafi ekki brotið gegn ráðningarsamningi sínum á meðan á ráðningarsambandinu stóð, en upplýsingagjöf rúmum tveimur mánuðum síðar hafi verið í andstöðu við trúnaðarákvæði í samningnum. Þeim dómi var ekki áfrýjað.

Persónuvernd komst loks að þeirri niðurstöðu að meðferð fyrirtækisins á tölvupósti starfsmannsins við starfslok hans hjá fyrirtækinu hefði ekki verið í samræmi við lög um persónuvernd og meðferð persónuupplýsinga, einkum í ljósi þess að dómnum hafi ekki verið áfrýjað. Meðferðin hefði heldur ekki verið í samræmi við reglur um rafræna vöktun og meðferð persónuupplýsinga sem verða til við rafræna vöktun.