REGLUR UM MEÐFERÐ TÖLVUPÓSTS OG NETNOTKUN STARFSMANNA REYKJANESBÆJAR

1. gr. Tilgangur og gildissvið
Reglur þessar fjalla um það hvernig starfsmenn Reykjanesbæjar skulu umgangast starfstengdan tölvupóst og haga netnotkun. Þá er þeim ætlað að veita starfsmönnum fræðslu um réttindi þeirra og skyldur í þeim efnum.
Reglurnar eru jafnframt hluti af öryggiskerfi Reykjanesbæjar og er ætlað að auka rekstraröryggi bæjarnetsins. Þá er reglunum ætlað að tryggja að jafnvægi ríki annars vegar á milli hagsmuna Reykjanesbæjar af því að geta fylgst með því að sá hug- og vélbúnaður sem bærinn leggur til sé nýttur í þágu bæjarins og hins vegar hagsmuna starfsmanna af því að njóta eðlilegs einkalífsréttar á vinnustað.
Reglur þessar taka ekki til einkatölvupósts starfsmanns sem hvorki er móttekinn á né sendur með netföngum stofnunarinnar.

2. gr. Skilgreiningar
Í reglum þessum hafa eftirfarandi orð merkingu sem hér greinir:

1. Einkatölvupóstur, merkir tölvupóst sem starfsmaður Reykjanesbæjar sendir eða móttekur með vél- eða hugbúnaði stofnunarinnar, og lýtur einungis að einkamálefnum hans en varðar hvorki hagsmuni Reykjanesbæjar né starfsemi hennar.
2. Netnotkun, merkir notkun starfsmanns á þeim hug- og vélbúnaði sem Reykjanesbær lætur honum í té, t.d. til að vafra um netið og til að taka við og senda tölvupóst eða til snarspjalls (msn).
3. Netvöktun, merkir viðvarandi eða reglubundna söfnun upplýsinga um netnotkun starfsmanna.
4. Tölvukerfi, tekur m.a. til tölvupóstkerfis og þess hug- og vélbúnaðar sem þarf til að tengjast Netinu.

3. gr. Heimil einkanot
Starfsmönnum Reykjanesbæjar er heimilt að nýta tölvukerfi Reykjanesbæjar bæði til að vafra um Netið og taka við og senda tölvupóst, enda séu slík einkanot í miklu hófi.

4. gr. Óheimil netnotkun
Eftirfarandi netnotkun er starfsmönnum óheimil:

1. Sending dreifibréfa sem er óviðkomandi starfsemi Reykjanesbæjar , t.d. keðjubréfa eða dreifibréfa vegna sölumennsku eða safnana.
2 . Sjálfvirk áframsending tölvupósts úr tölvupóstkerfi Reykjanesbæjar, t.d. á einkatölvupóstfang starfsmanns hjá netþjónustuaðila, nema slíkt sé gert með leyfi Upplýsingadeildar.
3. Sending efnis sem er ólöglegt, ósiðlegt, illgjarnt, hótandi, hrottafengið, ærumeiðandi, hatursfullt, hvetur til ólöglegs athæfis eða getur gefið tilefni til skaðabótakröfu á hendur bæjarins . Þetta gildir bæði um efni tölvupósts og efni viðhengja. Sama á við um notkun efnis sem hætta er á að geti verið vírussmitað.
4. Notkun á tölvukerfi bæjarins til að nálgast ósiðlegt efni á Netinu, s.s. klám, og/eða skoða eða vista slíkt efni í tölvukerfi Reykjanesbæjar eða á öðrum miðli.
5. Starfsmönnum er óheimilt að tengjast spjallrásum, s.s. IRC, frá tölvukerfi bæjarins . Með samþykki Upplýsingadeildar er starfsmanni þó heimilt að stofna tengingu út á Netið fyrir algengar tvívirkar þjónustur, s.s. blogg.
6. Vegna þess skaða sem tölvuveirur og aðrar óværur geta valdið á gögnum í tölvukerfi er starfsmönnum óheimilt að opna tölvupóst með viðhengi frá óþekktum sendanda eða að opna viðhengi með tölvupósti sem auðkennd eru með endingum s.s. .exe, .vba, .sit eða .zip. Einnig er stranglega bannað að opna slóðir í pósti frá óþekktum aðilum og líka vera vel á verði gagnvart slóðum sem þekktir aðilar eru að senda.
7. Notkun á tölvukerfi stofnunarinnar til að nálgast og/eða hala niður mjög stórum skrám á Netinu, s.s. kvikmyndum og tónlist, og vista í tölvukerfi Reykjanesbæjar.

Að öðru leyti skulu starfsmenn hlíta fyrirmælum frá Upplýsingadeild, eða öðrum til þess bærum starfsmanni, um að opna ekki eða eyða tölvupósti eða viðhengjum, s.s. vegna aðsteðjandi hættu á tölvuvírussmiti eða annars konar skaða fyrir tölvukerfi stofnunarinnar. Sama á við um aðgerðir sem geta stofnað öryggi gagna bæjarins í hættu, eða sem teljast vera óhóflegar, íþyngjandi fyrir tölvukerfi bæjarins eða henni of kostnaðarsamar.

Ef starfsmaður fær sendan tölvupóst, eða ratar fyrir mistök inn á vefsíðu sem inniheldur slíkt efni er greinir í 3. og 7. tl. 1. mgr., skal hann tafarlaust tilkynna slíkt yfirmanni sínum um það og eftir atvikum eyða viðkomandi efni eða loka netvafra sínum.

5. gr. Meðferð tölvupósts

5.1. Einkatölvupóstur
Meginreglan er að starfsmenn eiga ekki að geyma einkagögn í tölvupósti eða á vinnusvæðum.
Óheimilt er að skoða einkatölvupóst starfsmanna. Til viðmiðunar um það hvort um slíkan póst sé að ræða skal m.a. litið til þess hvort hann sé:

1. Auðkenndur sem einkamál í efnislínu (e. subject), eða að öðru leyti þannig að augljóst sé að einungis sé um einkamálefni er að ræða.
2. Vistaður í sérstakri möppu (e. folder) á vinnusvæði starfsmanns í tölvupóstkerfinu sem er auðkennd þannig eða ef af öðru má ráða að um einkamál sé að ræða.
Þrátt fyrir ákvæði 1. mgr. er heimilt að skoða einkatölvupóst starfsmanna ef brýna nauðsyn ber til, s.s. vegna tölvuveiru eða sambærilegs tæknilegs atviks. Slíka skoðun má aðeins framkvæma að fyrirmælum Upplýsingadeildar. Ávallt skal þó fyrst leita eftir samþykki starfsmanns ef þess er kostur. Enda þótt starfsmaður neiti að veita slíkt samþykki skal veita honum færi á að vera viðstaddur skoðunina. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan mann í sinn stað. Ef ekki reynist unnt að gera starfsmanni viðvart um skoðunina fyrirfram skal honum gerð grein fyrir henni strax og hægt er. Starfsmaður á rétt á vitneskju um hver eða hverjir hafa skoðað einkatölvupóst hans.

5.2. Starfstengdur tölvupóstur
Starfstengdan tölvupóst má skoða ef:

1. Nauðsyn ber til vegna lögmætra hagsmuna Reykjanesbæjar , s.s. til að finna gögn þegar starfsmaður er forfallaður, hefur látið af störfum eða grunur hefur vaknað um misnotkun eða brot í starfi.
2. Nauðsyn ber til vegna tilfallandi atvika, s.s ef endurbætur, viðhald á tölvukerfum eða eftirlit með þeim leiða óhjákvæmilega til þess að tölvupóstur opnast eða þarf að opna.

Skoðun á tölvupósti skv. 1. mgr. má aðeins framkvæma að fyrirmælum Upplýsingadeildar , en ávallt skal kappkostað að leita eftir samþykki viðkomandi starfsmanns og veita honum kost á að vera viðstaddur skoðunina. Geti starfsmaður ekki verið viðstaddur skoðunina sjálfur skal veita honum færi á að tilnefna annan mann í sinn stað. Þetta á þó ekki við ef brýnir hagsmunir mæli gegn því að beðið sé eftir starfsmanni, s.s. í því tilviki þegar um er að ræða alvarlega bilun í tölvukerfinu, og ekki verði talið að einkalífshagsmunir starfsmanns vegi þyngra. Ríki um það vafi hvort svo sé má ekki skoða tölvupóstinn nema honum hafi fyrst verið veittur kostur á að vera viðstaddur skoðunina. Starfsmaður á rétt á vitneskju um hver eða hverjir hafa skoðað tölvupóst hans.

5.3. Um meðferð tölvupósts við starfslok o.fl.
Starfsmanni ber að eyða einkatölvupósti sínum þegar hann lætur af störfum. Geri hann það ekki verður slíkum pósti eytt einum mánuði eftir að starfsmaður hefur látið af störfum. Við starfslok er óheimilt að framsenda tölvupóst úr netfangi viðkomandi starfsmanns á netfang yfirmanns eða annarra starfsmanna. Ekki er heimilt að taka umrætt netfang í notkun fyrr en að liðnum 6 mánuðum frá starfslokum.
Við starfslok skal starfsmanni gefinn kostur á að taka afrit af einkatölvupósti.
Þegar starfsmaður lætur af störfum skal netfangi hans lokað án tafar. Þá skal og slökkva á sjálfkrafa framsendingu tölvupósts sem berst á netfang hans hjá Reykjanesbæ. Samtímis skal stilla tölvupóstkerfi bæjarins þannig að allur tölvupóstur á það netfang verði framvegis endursendur ásamt ábendingu um að starfsmaðurinn hafi látið af störfum og á hvaða netfang nú eigi að senda erindið. Þar skal og tilgreina nýtt netfang starfsmannsins, óski hann eftir að það verði látið fylgja með.
Starfsmönnum er óheimilt að auðkenna eða vista tölvupóst sem eingöngu varðar starfsemi Reykjanesbæjar þannig að ætla megi að um einkatölvupóst sé að ræða. Tölvupóst, sem eingöngu varðar starfsemi Reykjanesbæjar, skulu starfsmenn án tafar færa undir viðhlítandi mál í málaskrá bæjarins.

6. gr. Skoðun netvafurs
Öll internetumferð úr netkerfi bæjarins er skráð og geymd.
Óheimilt er að skoða upplýsingar um netvafur, tengingar og gagnamagn starfsmanns nema fyrir liggi rökstuddur grunur um að hann hafi brotið gegn gildandi lögum og reglum eða fyrirmælum Bæjarstjóra. Sé tilefni skoðunar grunur um refsiverðan verknað skal óska atbeina lögreglu.

7. gr. Notkun Nets og tölvupósts
Þegar um er að ræða starfstengdan tölvupóst skulu starfsmenn vanda frágang, stafsetningu og málfar. Starfsmenn skulu hafa í huga að samskipti um Netið eru ekki með öllu örugg og oft hentar tölvupóstur ekki fyrir viðkvæm gögn eða trúnaðarupplýsingar, einkum vegna hættu á að óviðkomandi geti komist yfir og lesið tölvupóstinn einhvers staðar á leið hans eða hann glatist. Skjal sem hefur að geyma efnislega úrlausn máls skal aldrei senda eingöngu með tölvupósti.
Vegna þeirrar hættu að tölvupóstur berist í rangar hendur skal allur útsendur tölvupóstur frá Reykjanesbæ hafa að geyma staðlaðan niðurlagstexta þar sem kveðið er á um að pósturinn kunni að innihalda trúnaðarupplýsingar sem ekki eru ætlaðar lesanda ásamt leiðbeiningum um hvernig hann skuli bregðast við ef svo háttar til. Þegar efni standa til skal dulkóða póstsendingar.

8. gr. Varðveisla upplýsinga um tölvupóst- og netnotkun
Allan tölvupóst sem sendur er úr tölvupóstkerfi Reykjanesbæjar eða móttekinn skal vista sjálfkrafa. Hann skal, í samræmi við öryggisstefnu bæjarins, afrita eins og önnur gögn, þ.e.a.s. á hverjum virkum degi.
Fræða skal starfsmenn um að upplýsingar um uppflettingar þeirra á Netinu varðveitast bæði á netþjóni bæjarins og í vafra í tölvu hvers starfsmanns.
Tryggja skal að upplýsingar um tölvupóst-, og eftir atvikum, netnotkun séu varðveittar með tryggum hætti þannig að einungis , Upplýsingadeild og viðkomandi starfsmaður hafi aðgang að þeim.
Heimilt er að gera ráðstafanir til að varðveita upplýsingar um netnotkun starfsmanns eftir starfslok. Að öðru leyti fer um varðveislu eftir 7. gr. laga nr. 77/2000.

9. gr.
Starfsmenn við kerfisstjórn og notendaaðstoð
Starfsmönnum Reykjanesbæjar sem annast rekstur tölvukerfa bæjarins, þ. á m. tölvupóstkerfis og búnaðar til að tengjast Netinu, er með öllu óheimilt að notfæra sér þekkingu sína og aðstöðu til að tengjast tölvukerfunum undir notendaheiti og leyniorði annarra starfsmanna, fara framhjá aðgangsstýringu, opna og lesa tölvupóst sem þeir kunna að komast yfir við rekstur og viðhald tölvukerfisins. Þetta á m.a. við þegar þeir aðstoða einstaka starfsmenn, sbr. þó undantekningarákvæðin í greinum 5.1. og 5.2. Hið sama gildir um skoðun hvers kyns upplýsinga sem kunna að varðveitast í tölvukerfi Reykjanesbæjar um netvafur starfsmanna og önnur persónuleg gögn þeirra.

10. gr.
Kynning og birting vinnureglna
Starfsmanni skulu kynntar reglur þessar og tryggja að þær séu honum ávallt aðgengilegar.
Kynna skal væntanlegum starfsmanni reglur þessar áður en hann undirritar ráðningarsamning. Ráðningarsamningurinn skal bera með sér að viðkomandi hafi kynnt sér efni reglnanna.
Kjarasamningur gengur framar reglum þessum feli hann í sér ríkari rétt fyrir starfsmann. Sama gildir um bindandi samkomulag sem kann að vera gert á milli Reykjanesbæjar og starfsmanns bæjarins.
Þjónustuaðilum sem koma að rekstri tölvukerfa Reykjanesbæjar, skulu birt sérstaklega ákvæði 8. gr. vinnureglnanna. Skal ákvæðið, ásamt öðrum ákvæðum þessara vinnureglna eftir því sem við á, gert að hluta af sérhverjum samningi sem Reykjanesbær gerir við slíka þjónustuaðila.
Vinnureglurnar, eins og þær eru hverju sinni, skal birta í heild sinni á innraneti Reykjanesbæjar.

11. gr. Eftirlit
Eftirlit með því að reglum þessum sé fylgt er í höndum Bæjarstjóra eða þess sem hann felur slíkt eftirlit sérstaklega og vera í samræmi við gildandi lög og reglur hverju sinni. Ef eftirlitið er falið öðrum en skal það tilkynnt starfsmönnum bæjarins.
Upplýsingar sem aflað er vegna eftirlits með reglum þessum má eingöngu nota í þágu eftirlitsins. Þær má ekki afhenda öðrum, vinna frekar eða geyma nema með samþykki starfsmanns. Þó er heimilt að afhenda lögreglu efni með upplýsingum um meintan refsiverðan verknað en þá skal gæta þess að eyða öðrum eintökum nema sérstakir lögvarðir hagsmunir standi til annars. Þá er heimilt að nota gögn til að afmarka, setja fram eða verja réttarkröfu vegna dómsmáls og annarra laganauðsynja, t.d. í tengslum við brottvikningu úr starfi.
Sá sem sætt hefur eftirliti skv. 1. mgr. á rétt á að skoða gögn þau sem aflað er um hann í tengslum við eftirlitið. Þegar beiðni um slíkt berst yfirmanni skal hann svo fljótt sem verða má, og eigi síðar en innan eins mánaðar, verða við beiðninni.

12. gr. Afleiðingar brota
Brot gegn reglum þessum geta, samkvæmt kjarasamningi hvers og eins starfsmanns, eins og önnur brot í starfi, varðað áminningum eða, ef um endurtekin eða alvarleg brot er að ræða, brottvikningu úr starfi.

13. gr. Gildistaka o.fl.
Reglur þessar eru settar í samræmi við reglur Persónuverndar nr. 837/2006 um rafræna vöktun, sem settar voru samkvæmt heimild í 5. mgr. 37. gr. laga nr. 77/2000, um persónuvernd og meðferð persónuupplýsinga, sbr. 5. gr. laga nr. 81/2002.
Vinnureglur þessar taka þegar gildi.
Yfirfara skal vinnureglur þessar eftir því sem þörf krefur, þó ekki sjaldnar en árlega.

Reykjanesbær, 8. október 2008

Árni Sigfússon bæjarstjóri