Brutu reglur um meðferð persónuupplýsinga þegar netfangi var ekki lokað

Fyrirtækið Bus Hostel ehf. braut reglur um rafræna vöktun og meðferð persónuupplýsinga þegar það lokaði ekki netfangi starfsmanns eftir að hann hætti hjá fyrirtækinu. Starfsmaðurinn bað um að netfanginu yrði lokað en það var ekki gert.

Í staðinn var lykilorðinu að netfanginu breytt og póstur til starfsmannsins áframsendur á annað netfang. Þá kom fram í kvörtun starfsmannsins til Persónuverndar að einhver annar væri að nota póstinn hans, það er svara póstum sem bárust á netfangið. Þá hafi starfsmaðurinn átt eftir að taka persónuleg gögn úr pósthólfinu en gat það ekki því netfanginu var breytt.

Fram kom í svari Bus Hostel til Persónuverndar að starfsmanninum hafi verið tjáð að fyrirtækið myndi enn hafa aðgang að netfangi hennar og áframsenda póst sem þangað bærist á almennt netfang fyrirtækisins. Starfsmaðurinn fyrrverandi hafi í mörgum tilfellum notað póstfangið í samskiptum við bókunarsíður og ýmsa aðra viðskiptavini Bus Hostel. Það kynni því að skapa vandræði og hugsanlegt tjón ef fyrirtækið hefði ekki aðgang að pósthólfinu eða fengi pósta sem væru sendir þangað.

Í reglum um rafræna vöktun og meðferð persónuupplýsinga er meðal annars kveðið á um hvernig skuli standa að málum varðandi tölvupóst starfsmanns sem lætur af störfum hjá fyrirtæki. Þar segir meðal annars að starfsmanni skuli gefinn kostur á „að eyða eða taka afrit af þeim tölvupósti sem ekki tengist starfsemi vinnuveitandans.“ Þá eigi að loka pósthólfinu ekki seinna en tveimur vikum eftir að starfsmaðurinn hættir. Þá má vinnuveitandi ekki senda áfram á annan starfsmann þann póst sem berst á netfang fyrrum starfsmanns eftir að hann hættir, nema um annað hafi verið samið.

Segir í úrskurði Persónuverndar að ekkert liggi fyrir um samþykki starfsmannsins í þessu máli og því hafi fyrirtækið brotið reglur um meðferð persónuupplýsinga.