Overtredelsesgebyr på kr. 75.000 ved ulovlig innsyn i e-post.

Datatilsynet varsler bruk av overtredelsesgebyr i større grad enn tidligere. Ved ulovlig innsyn i e-post mv. vil gebyret normalt beløpe seg til kr 75.000.

Et økende problem
Dette varsler Datatilsynet om i egen nyhetssak som ble publisert på tilsynets hjemmesider 1. oktober 2014, se her. I følge artikkelen er ulovlig innsyn i e-post et økende problem i arbeidslivet. Manglende kunnskap hos arbeidsgivere er hovedårsaken til den økning i antall henvendelser vi mottar, sier Datatilsynet, og tilføyer at de i slike saker har etablert praksis på å gi arbeidsgivere et overtredelsesgebyr på kr. 75.000.

Forskrifter innført i 2009
Datamaskiner og annet elektronisk utstyr inngår stadig i større grad som arbeidsverktøy i arbeidslivet. Arbeidsgiver vil kunne ha behov for tilgang til elektroniske opplysninger som arbeidstakere har hatt befatning med. Samtidig har arbeidstaker behov for et tilfredsstillende personvern. Avveiningen av arbeidsgivers behov for innsyn opp mot arbeidstakers behov for personvern måtte tidligere baseres på ovennevnte generelle regler i arbeidsmiljøloven om kontrolltiltak, personopplysningslovens regler om behandling av personopplysninger, samt internasjonale forpliktelser om vern av personlig integritet og privatliv. Med virkning fra 1. mars 2009 ble det imidlertid gitt særskilte regler i personopplysningsforskriften kapittel 9 om arbeidsgivers rett til innsyn i arbeidstakers e-post mv.

Virkeområde
Reglene om innsyn gjelder for det første i forhold til e-postkassen som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten. En slik e-postkasse vil bare arbeidstakeren ha ordinære tilgangsrettigheter til og skal være tilgangsbegrenset med arbeidstakers personlige brukernavn og passord. At en e-postkasse må være stilt til arbeidstakers disposisjon til bruk i arbeidet innebærer at reglene ikke gjelder arbeidstakers private e-postkasser, typisk hotmail-, yahoo- eller gmail-adresser. Arbeidsgiver vil som hovedregel ikke ha adgang til innsyn i disse.

Reglene gjelder også for filer som befinner seg på arbeidstakers personlige område i virksomhetens datanettverk. Det siktes her til et område i datanettverket hvor kun arbeidstakeren har ordinære tilgangsrettigheter, og som typisk vil være tilgangsbegrenset med arbeidstakers personlige brukernavn og passord. Reglene er derimot ikke ment å gjelde for filer som er lagret på virksomhetens fellesområder. Arbeidsgiver vil normalt ha rett til innsyn i slike filer etter de alminnelige reglene for kontrolltiltak og behandling av personopplysninger, med mindre filene er private.

Reglene omfatter også andre elektroniske kommunikasjonsmedier (programvare) og elektronisk utstyr (hardware) som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten. Andre elektroniske kommunikasjonsmedier enn e-post kan typisk være SMS, MMS, Internett-baserte kommunikasjonstjenester mv. Annet elektronisk utstyr enn virksomhetens datanettverk vil typisk være mobiltelefon, bærbar PC eller andre håndholdte enheter. Ved at reglene kun gjelder elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten, er reglene ikke ment å gjelde for elektronisk utstyr som er stilt til arbeidstakers disposisjon for privat bruk, privat elektronisk utstyr som benyttet til jobbrelaterte formål – såkalte BYOD’s (Bring Your Own Device) og elektronisk utstyr som er å anse som felles for virksomhetens ansatte. Arbeidsgiver vil normalt ha rett til innsyn i felles elektronisk utstyr etter de alminnelige reglene for kontrolltiltak og behandling av personopplysninger, men ikke i privat utstyr eller utstyr som er stilt til disposisjon for privat bruk.
Selv om arbeidstaker sletter opplysninger fra elektronisk utstyr, vil opplysningene fortsatt være lagret på sikkerhetskopier som arbeidsgiver har tilgang til. Arbeidsgiver kan også ha tatt kopi av andre årsaker enn sikkerhetsmessige grunner, eksempelvis av hensyn til bevissikring ved mistanke om uredelige forhold. Reglene om innsyn gjelder derfor også i forhold til slike kopier.

Reglene gjelder både overfor nåværende og tidligere arbeidstakere, samt andre som utfører eller har utført arbeid for arbeidsgiver. Reglene gjelder også uavhengig av om innsyn foretas av arbeidsgiver eller av en databehandler. Reglene gjelder også så langt de passer for universiteters og høyskolers innsyn i studenters e-postkasse, og for organisasjoners og foreningers innsyn i frivilliges og tillitsvalgtes e-postkasse.

Ufravikelighet
Det er ikke adgang til å fastsette instruks eller inngå avtale om arbeidsgivers innsyn som fraviker forskriftens regler om innsyn i e-post til ugunst for arbeidstakeren. Regler som gir arbeidsgiver større adgang til innsyn vil som hovedregel være til ugunst for arbeidstakeren. Bestemmelsen er ikke ment å være til hinder for at arbeidstakeren selv uoppfordret gir arbeidsgiver rett til innsyn, for eksempel ved uventet sykdom.

Innsyn og overvåking
Forskriften skiller mellom overvåking og innsyn. Mens innsyn er forutsatt å være en form for kontroll i enkeltstående tilfeller, er overvåking forutsatt å være en form for kontinuerlig kontroll. Overvåking av arbeidstakers bruk av elektronisk utstyr, herunder bruk av Internett, er som hovedregel forbudt. Dette omfatter i utgangspunktet all programvare som løpende overvåker Internett-trafikken eller som for eksempel skanner e-post for kompromitterende ord. Arbeidsgiver er imidlertid pålagt å føre aktivitetslogger for datanettverket, og overvåking ved hjelp av slike aktivitetslogger til sikkerhets- og administrasjonsformål er etter nærmere omstendigheter lovlig.

Når kan innsyn foretas?
Innsyn i enkeltstående tilfeller kan foretas dersom det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten. Hensynet til virksomhetens forsvarlige og rasjonelle kommersielle drift mv. vil være «berettigede interesser» for arbeidsgiver. Arbeidsgivers behov for å følge opp kunder og samarbeidspartnere når arbeidstakeren er på ferie eller er syk vil kunne være en situasjon hvor innsyn etter omstendighetene kan aksepteres. Dersom arbeidsgivers behov kan ivaretas på andre og mindre inngripende måte enn ved innsyn, vil nødvendighetsvilkåret imidlertid ikke være oppfylt. Arbeidsgivers behov for innsyn er for eksempel antatt å være redusert dersom arbeidstaker har sørget for videresending av virksomhetsrelatert e-post eller automatisk svar med opplysning om hvor virksomhetsrelatert e-post skal sendes i vedkommendes fravær. Det er samtidig lagt til grunn at fraværet ikke nødvendigvis behøver å være langvarig for at innsyn kan være lovlig, eksempelvis dersom arbeidsgiver har god grunn til å tro at det ligger et tilbud med kort akseptfrist i arbeidstakers e-postkasse som krever tiltak før arbeidstaker er tilbake. Hvorvidt nødvendighetsvilkåret er oppfylt må vurderes konkret i hvert enkelt tilfelle.

Innsyn kan også foretas dersom det foreligger begrunnet mistanke om at arbeidstaker bruker utstyret som er stilt til disposisjon i arbeidet på en måte som medfører et tilstrekkelig grovt pliktbrudd til at dette kan gi grunnlag for oppsigelse eller avskjed. Handlingen som arbeidstaker mistenkes for å ha utført ved hjelp av utstyret vil kunne være av ulik art, men må være så alvorlig at den vil kunne gi grunnlag for avslutning av arbeidsforholdet. Typiske eksempler kan være bruk av utstyret til konkurrerende virksomhet, utsendelse av spam eller e-post med annet skadelig innhold, trakassering av kolleger, nedlasting av ulovlig materiale eller grove brudd på IT-sikkerhetsrutiner.
Det er viktig å merke seg at innsyn både omfatter gjennomsøkning, åpning og lesing av e-post og andre filer. Behovet for innsyn må vurderes separat i forhold til hver enkelt av disse prosessene. At arbeidsgiver har adgang til å søke etter filer innebærer således ikke at arbeidsgiver vil ha adgang til å åpne og lese all e-post eller andre filer som befinner seg på utstyret som undersøkes.

Fremgangsmåte ved innsyn
Arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg før arbeidsgiver foretar innsyn. Videre skal arbeidstaker så langt som mulig gis anledning til å være til stede under gjennomføringen av innsynet, og skal også gis anledning til å la seg bistå av tillitsvalgt eller annen representant. Arbeidsgiver skal i varselet begrunne hvorfor vilkårene for innsyn anses oppfylt og orientere om arbeidstakers rett til å være til stede under gjennomføringen av innsynet. Arbeidstaker har på denne måten kontroll med når innsyn foretas, og har en mulighet til å etterprøve retten til innsyn og påvirke hvilke filer som åpnes.

Innsyn skal gjennomføres på en slik måte at dataene så langt som mulig ikke endres og at frembrakte opplysninger kan etterprøves. Dersom opplysningene som innsynet var ment å avdekke ikke foreligger på det elektroniske hjelpemiddelet som er undersøkt, skal filer og programmer som er åpnet straks lukkes og eventuelle kopier slettes. Gjennomføringen av innsynet skal dokumenteres. Det bør således føres referat fra gjennomføringen av innsynet.

Unntak ved hastesaker
Når varslingsplikten og retten til å være til stede ikke er gjort absolutt, skyldes dette at det i enkelte tilfeller ikke vil være tid til dette dersom formålet med innsynet skal i varetas. Frykt for bevisforspillelse ved varsling er ikke ment å gi grunnlag for unntak fra varsling dersom bevis kan sikres på annen måte. Er innsyn foretatt uten forutgående varsel og arbeidstakers tilstedeværelse, skal arbeidstaker skriftlig underrettes om dette så snart innsynet er gjennomført. Forskriften stiller krav til underretningens innhold.

Sletting mv. ved opphør av arbeidsforholdet
Personopplysningsforskriften kapittel 9 regulerer også behandlingen av elektronisk utstyr og kommunikasjonsmedier når arbeidstakers arbeidsforhold opphører. Hovedregelen er at alt innhold på elektroniske kommunikasjonsmedier og elektronisk utstyr som omfattes av forskriftens regler skal slettes innen rimelig tid etter arbeidsforholdets opphør. Dette gjelder ikke dersom innholdet er nødvendig for den daglige driften av virksomheten. Dersom arbeidsgiver har tillit til arbeidstaker vil det mest praktiske være at arbeidstaker gis anledning til å slette e-post eller andre filer med privat innhold fra elektronisk utstyr, og at arbeidsgiver gis tilgang til øvrige opplysninger ved at disse overføres til nærmeste leder eller en utpekt kollega. Dersom dette ikke kan gjennomføres fordi partene ikke har tillit til hverandre, må arbeidsgiver innen rimelig tid foreta søk etter virksomhetsrelaterte filer og deretter sørge for at øvrige opplysninger slettes. Det er lagt til grunn at partene også til en viss grad kan bli enige om en mer pragmatisk løsning, typisk i en sluttavtale der begge parter er representert ved advokat.
Det er lagt til grunn at opprydding og sletting bør være gjennomført innen seks måneder etter arbeidsforholdets opphør. Ved tvist om arbeidsforholdets opphør må fristen imidlertid forlenges inntil tvisten er avklart.
Arbeidsgiver vil ofte ha lagret sikkerhetskopier av e-postkassen mv. Sikkerhetskopiene kan oppbevares i en tid etter at arbeidsforholdet er avsluttet, men må slettes når de ikke lenger er nødvendige for arbeidsgiver. Virksomheten må også sørge for å ha rutiner for at sikkerhetskopier blir slettet når det ikke lenger er behov for disse.

Behov for bistand?
Ønsker din bedrift å unngå gebyr fra Datatilsynet? Vi bistår gjerne med kompetanse- og organisasjonsutvikling i form av kurs, HR-rådgivning, retningslinjer, maler og bistand i konkrete enkeltsaker.