Í úrskurði Persónuverndar í máli nr. 2011/477 var fjallað um fyrrverandi starfsmann sveitarfélags sem óskaði eftir aðgangi að tölvupósti sínum.

Persónuvernd barst kvörtun Ó yfir að fyrrum vinnuveitandi hans hefði sett skilyrði fyrir því að hann fengi að skoða tölvupóst sinn. Skilyrðið var að fjármálastjóri sveitarfélagsins yrði viðstaddur og fylgdist með skoðuninni. Tilgangur Ó með því að fá að skoða póstana mun hafa verið til að geta fengið gögn til að nota í málaferlum við bæinn.

Úrlausnarefni Persónuverndar fólst því í að kanna hvort heimilt væri af sveitarfélaginu að ákveða að núverandi starfsmaður bæjarins skyldi vera viðstaddur þegar fyrrum starfsmaður þess skoðaði póst sem hann fékk og sendi þegar hann var enn við störf. Pósthólfi starfsmannsins hafði verið lokað og því ekki hægt að skoða tölvupósta nema í gegnum netþjón viðkomandi ábyrgðaraðila.

Í niðurstöðu Persónuverndar sagði að samkvæmt 11. gr. laga nr. 77/2000 ber ábyrgðaraðila að gera viðeigandi tæknilegar og skipulagslegar öryggisráðstafanir til að vernda persónuupplýsingar gegn ólöglegri eyðingu, gegn því að þær glatist eða breytist fyrir slysni og fyrir óleyfilegum aðgangi. Ákvæði þess efnis er einnig að finna í reglum nr. 299/2001 um öryggi persónuupplýsinga. Í 4. gr. reglnanna segir að ábyrgðaraðili skuli gera viðeigandi öryggisráðstafanir og að við val á þeim skuli hann taka mið af áhættu af vinnslunni og eðli þeirra gagna sem verja á.

Persónuvernd taldi það eðlilega öryggisráðstöfun samkvæmt framangreindu að binda aðgang starfsmanna að netþjóni öryggisskilyrðum, hvort sem um er að ræða núverandi eða fyrrverandi starfsmenn. Því væri sveitarfélaginu heimilt að setja það sem skilyrði fyrir aðgangi Ó að netþjónu bæjarins að tiltekinn núverandi starfsmaður bæjarins verði viðstaddur.