Eftirlitsmyndavélar
Vöktun með eftirlitsmyndavélum er líklega sú tegund rafrænnar vöktunar sem er hvað kunnugust fólki enda að öllum líkindum algengasta og rótgrónasta tegund rafrænnar vöktunar.
Aðallega fer rafræn vöktun með myndavélum fram í tvennum tilgangi. Í fyrsta lagi er vaktað í velferðartilgangi, þ.e. til að þess að fyrirbyggja glæpi í þágu öryggis og eignavörslu. Í öðru lagi er rafræn vöktun framkvæmd í stjórnunartilgangi en þá beinist vöktunin að starfsfólkinu sjálfu í skjóli stjórnunarréttar atvinnurekanda. Varðandi síðari liðinn má þó benda á að einungis má vaka vinnu og afköst starfsmanna undir vissum kringumstæðum, sbr. reglum nr. 837/2006.
Mikilvægt er að taka mið af tilgangi vöktunarinnar við stillingu og staðsetningu myndavéla og forðast frekar að setja upp myndavél en að gera það af óþarfi í samræmi við meðalhófsreglu og aðrar meginreglur persónuverndarlaga. Óheimilt er að setja myndavélar inn á salerni, í búningsklefa, kaffistofur og önnur félagssvæði. Þá er vafasamt að vakta megi sérstaklega tiltekinn starfsmann eða hans vinnusvæði nema að knýjandi rök heimili annað, t.d. sérstök lagaheimild.
Vöktun á tölvupósti og netnotkun
Mikilvægt er að hafa ákveðin atriði í huga við skoðun á tölvupósti og/eða netnotkun starfsmanns til viðbótar þeirra reglna sem settar hafa verið um slíka skoðun. Tölvupóstsamskipti geta oft verið óformleg og send í flýti og líkst því venjulegum samræðum fólks. Þá má atvinnurekandi ekki skoða einkatölvupóst starfsmanns og atvinnurekanda ber hiklaust að stöðva skoðun tölvupósts þegar hann gerir sér grein fyrir að um sé að ræða sé einkatölvupóst. Undir vissum kringumstæðum kann hins vegar að vera málefnalegt að skoða starfstengdan tölvupóst. Tölvupóstur starfsmanns nýtur hins vegar ríkrar einkalífsverndar og mikilvægt er að atvinnurekandi forðist skoðun hans og fylgi gaumgæfilega fyrirmælum persónuverndarlaga og reglna þurfi hann að skoða tölvupóst.
Svipuð sjónarmið eiga við um skoðun netnotkunar starfsmanna. Almenn skráning á netumferð innan fyrirtækið, þ.e. sem beinist ekki að einum starfsmanni, kann í vissum tilvikum að vera málefnaleg, t.d. við mótum fyrirtækisins á netöryggisstefnu. Hins vegar er vöktun netnotkunar eins starfsmanns mjög íþyngjandi og skal forðast. Þá skal leggja áherslu á fyrirbyggjandi aðgerðir í stað vöktunar.
Í 1. mgr. 9. gr. reglna 837/2006 segir að óheimilt sé að skoða einkatölvupóst nema brýna nauðsyn beri til s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. Jafnframt kemur fram að tilvikabundin skoðun atvinnurekanda á tölvupósti starfsmanns sé óheimil nema uppfyllt séu ákvæði 8., 9. og 11. gr. persónuverndarlaga, s.s. ef grunur er uppi um brot starfsmanns gegn trúnaðar- eða vinnuskyldum.
Í 2. mgr. 9. gr. reglnanna segir síðan að heimilt sé að skoða upplýsingar um netvafur, tengingar og gagnamagn starfsmanns liggi fyrir rökstuddur grunur um að hann hafi brotið gegn gildandi lögum og reglum eða fyrirmælum atvinnurekanda. Sé tilefni skoðunar grunur um refsiverðan verknað skal óska atbeina lögreglu.
Í 3. mgr. koma fram fyrirmæli um hvernig framkvæma skuli skoðun á tölvupósti eða netnotkun:
- Í fyrsta lagi skal gera starfsmanni grein fyrir að skoðun muni eiga sér stað og er rétt að upplýsa hann á hvaða grundvelli skoðunin byggi og hver sé tilgangurinn með henni.
- Í öðru lagi skal veita starfsmanninum færi á að vera viðstaddur skoðunina. Geti starfsmaður ekki verið viðstaddur skoðun, t.d. vegna veikinda hans, á hann rétt á því að tilnefna annan mann í sinn stað.
Loks segir í 4. mgr. 9. gr. reglna 837/2006 um meðferð tölvupósts við starfslok og netnotkun. Mikilvægt er að gæta að þessum reglum:
- Í fyrsta lagi skal starfsmanni þá gefinn kostur á að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi atvinnurekanda.
- Í öðru lagi skal starfsmanni leiðbeint um að virkja sjálfvirka svörun úr sínu pósthólfi um að hann hafi látið af störfum. Atvinnurekanda er óheimilt að senda áfram á annan starfsmann þann póst sem berst í pósthólf fyrrverandi starfsmanns eftir starfslok, nema um annað hafi verið samið.
- Í þriðja lagi skal loka pósthólfinu eigi síðar en að tveimur vikum liðnum.
- Í fjórða lagi er óheimilt að skoða upplýsingar um netnotkun starfsmanns eftir starfslok, nema að uppfylltum skilyrðum reglnanna og persónuverndarlaga.
Fjölmargir úrskurðir hafa gengið um aðgengi atvinnurekenda að tölvupósti, vöktun netnotkunar og tölvupósta og meðferð tölvupósta við starfslok.
Úrskurður Persónuverndar nr. 2018/753:
Starfsmaður Félagsbústaða kvartaði undan því að á meðan hann var í veikindaleyfi, voru allir tölvupóstar sem sendir voru á vinnunetfang hans, áframsendir á annan starfsmann. Honum var ekki gefinn kostur á því að vera viðstaddur yfirferð tölvupóstar. Félagsbústaðir töldu sér það heimilt til þess að koma verkefnum sem þangað bærust í réttan farveg. Þá báru Félagsbústaðir því fyrir sig að kvartandi hafi verið grunaður um brot á trúnaðar- og vinnuskyldum og því hafi þeim verið heimill aðgangur að tölvupósti kvartanda. Persónuvernd úrskurðaði svo að Félagsbústöðum hafi ekki verið heimilt að áframsenda allan tölvupóst kvartanda á annan starfsmann, en það rúmaðist ekki innan þáverandi laga nr. 77/2000, né 9. gr. reglna nr. 837/2006. Þá var þeim ekki heimilt að skoða tölvupóst kvartanda vegna gruns um brot á trúnaðar- og vinnuskyldum, enda komu engin rök fram um í hverju þau brot fólust.
Úrskurður Persónuverndar nr. 2017/1452:
Starfsmanni var vikið úr starfi fyrirvaralaust. Kvartaði hún undan því að fulltrúi hjá fyrrum vinnuveitenda hafi lokað fyrir tölvupósthólf hennar og símanúmeri, tekið tölvu hennar og meinað henni aðgang að henni, skoðað öll gögn tölvu hennar sem innihélt mikið af persónulegum gögnum, farið inn á tölvupósthólf og eytt út þar tölvupóstum og skráð sig inn á Facebook reikning hennar og breytt aðgangi hennar að ýmsum hópum og skoðað persónulegar upplýsingar sem þar var að finna. Fyrrum vinnuveitandi hennar hélt því fram að sér hafi verið þetta nauðsynlegt til þess að bjarga rekstri sínum en kvartandi var sakaður um að hafa dregið að sér fé og stofnað hliðstætt fyrirtæki sem myndi keyra fyrirtæki fyrrum vinnuveitenda í þrot. Persónuvernd úrskurðaði svo að ekki hafi verið farið að lögum nr. 77/2000 (7. til og með 8. gr. laganna) eða reglum nr. 837/2006.
Vöktun á ferðum manna og ökuritar
Þegar atvinnurekendur meta þörfina fyrir vöktun á ferðum manna skal ávallt vega nauðsynina á því að vakta nákvæma staðsetningu starfsmannsins á móti grundvallarréttindum og frelsi starfsmanna. Gæta skal meðalhófs og forðast samfellda vöktun á starfsfólki auk þess sem starfsmaður ætti að geta slökkt á staðsetningarbúnaði fyrir utan vinnutíma. Hafa ber hugfast að búnaður til þess að fylgjast með bifreiðum er ekki ætlað að vakta starfsfólk, og er tilgangur þeirra fyrst og fremst að vakta staðsetningu bifreiðarinnar. Atvinnurekendur ættu ekki notfæra slík tæki til þess að vakta hegðun eða staðsetningu starfsmanna, t.d. með því að senda viðvaranir um aksturshraða. Þá hefur verið bent á að vöktun á starfsmanni með þeim eina tilgangi að rýna í það hvernig hann nýtir vinnutíma sinn, sé lítilsvirðandi auk þess sem slík hátterni brýtur gegn meginreglum persónuverndar og friðhelgi einkalífs.
Í 8. gr. reglna 837/2006, segir að notkun ökurita eða rafræns staðsetningarbúnaðar í þeim tilgangi að fylgjast með ferðum einstaklinga sé háð því skilyrði að hennar sé sérstök þörf til að ná lögmætum og málefnalegum tilgangi.
- Ökuriti: Rafrænn búnaður í farartæki sem vinnur eða gerir unnt að vinna persónuupplýsingar um ökumenn, þ. á m. um ferðir þeirra og/eða aksturslag.
- Rafrænn staðsetningarbúnaður: Rafrænn búnaður sem vinnur eða gerir unnt að vinna persónuupplýsingar um staðsetningu og ferðir einstaklinga, s.s. örmerkjabúnaður (RFID).
Um rafræna vöktun hafa fallið nokkrir úrskurðir hjá Persónuvernd:
Úrskurður Persónuverndar í máli nr. 2011/564:
Strætisvagnabílstjóri kvartaði undan ferilvöktun sem fram fór í strætisvögnum. Var þannig ferill vagns vaktaður með staðsetningarbúnaði í rauntíma. Persónuvernd taldi vöktunina lögmæta þar sem tilgangur hennar var að koma í veg fyrir þjónustubresti og bæta gæði í akstursþjónustu. Einnig að afla rauntíma upplýsinga til að varpa yfir á ýmsa upplýsiningamiðla til farþega, á vefinn, upplýsingaskjái, í farsíma o.fl. Ekki var talið að grundvallarréttindi og frelsi starfsmanna hafi vegið þyngra en hagsmunir atvinnurekenda, þá sérstaklega í ljósi þess að vagnarnir voru ekki notaðir í einkalífi eða tengdust athöfnum sem tilheyra heimilum þeirra. Fræðsluskylda atvinnurekenda var þó áfátt og fékk tilmæli þess efnis.
Úrskurður Persónuverndar í máli nr. 2016/1756:
Starfsmenn John Lindsay hf. kvörtuðu yfir rafrænni vöktun sem var tilkomin vegna ökurita sem voru settir í bíla starfsmanna án kynningar. Töldu kvartendur vöktunina ekki nauðsynlega þar sem hægt væri að kanna skýrslur sölumanna úr einstökum verslunum og skipuleggja þannig ferðir starfsmanna. Samkvæmt gögnum málsins þjónuðu umræddir ökuritar þeim tilgangi að auka umferðar- og rekstraröryggi. Taldi Persónuvernd í ljósi þess að eftirlitið væri tilkomið vegna lögmætra hagsmuna sem vógu þyngra en réttindi og frelsi hinna skráðu. Fræðsluskylda var ekki uppfyllt og þeim tilmælum beint til fyrirtækisins að koma því í farveg.
Símvöktun
Um símvöktun er fjallað í 6. tl. 2. gr. reglna 837/2006. Þar er símvöktun skilgreind sem viðvarandi eða reglubundin söfnun upplýsinga um símanotkun einstaklings, svo sem með skráningu upplýsinga um valin númer eða hljóðritun símtala. Hljóðritun símtala eða hlustun er meira inngrip í einkalíf starfsmanna þar sem atvinnurekandi fær vitneskju um innihald símtala og þar með innsýn í einkalíf starfsfólks. Skráning upplýsinga um símanúmer getur þó engu að síður falið í sér inngrip í einkalífs starfsmanna, þá sér í lagi ef um er að ræða einkasímtöl til t.d. heilbrigðisstofnana.
Hljóðritun eða hlustun getur farið fram í lögmætum tilgangi, t.d. sem liður í þjálfun eða símenntun á starfsmanni. Ber þó að sjálfsögðu að velja þá leið sem er minnst íþyngjandi fyrir starfsmanninn og ef ná má sömu markmiðum með öðrum minna íþyngjandi hætti ber að sjálfsögðu að velja þá leið. Líkt og með alla rafræna vöktun skal forðast vöktun á einkasamskiptum
Þá geta lög nr. 70/2022, um fjarskipti, átt við um símtöl starfsmanna en þau gilda ekki um fjarskipti sem eingöngu eru boð eða sendingar innan fyrirtækis eða stofnunar og heldur ekki um efni sem sent er á fjarskiptanetum.
Í 1. mgr. 88. gr. laga nr. 70/2022 segir að hlustun, upptaka, geymsla eða hlerun fjarskipta með öðrum hætti sé óheimil nema hún fari fram með upplýstu samþykki notanda eða lagaheimild. Sá sem hlustar á símtöl án sérstakrar heimildar, fyrir tilviljun eða vegna mistaka megi ekki skrá neitt slíkt hjá sér eða notfæra sér það á nokkurn hátt. Jafnframt skal hann tilkynna sendanda að upplýsingar hafi ranglega borist sér.
Í 91. gr. laganna er síðan fjallað um hljóðritun símtala. Segir þar í 1. mgr. að sá aðili að símtali sem vilji hljóðrita símtal skuli í upphafi þess tilkynna viðmælanda sínum um fyrirætlun sína. Þeim sem fara með opinbert vald er veitt undanþága frá þessu í tilteknum lögbundnum tilvikum. Í 2. mgr. ákvæðisins kemur síðan fram að aðili þurfi þó ekki að tilkynna sérstaklega um upptöku símtals þegar ótvírætt má ætla að viðmælanda sé kunnugt um hljóðritunina. Loks skal úrvinnsla hljóðritana vera í samræmi við persónuverndarlög.