Arbeidsgivers innsyn i ansattes e-post og annet elektronisk lagret materiale

Arbeidstakere tildeles elektronisk utsyr slik som pc, nettbrett og mobil til bruk i arbeidet og har i tillegg ofte et personlig område i nettverket. Med to unntak, har arbeidsgiveren ikke rett til å gjøre innsyn i arbeidstakers e-postkasse og andre personlige områder. Men når er innsyn egentlig lovlig?

Den 20. juli 2018 trådte den nye personopplysningsloven i kraft. Loven gjennomfører EUs Personvernforordning, også kjent som General Data Protection Regulation eller "GDPR". Samtidig trådte en egen forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale i kraft. Forskriften viderefører med noe endringer tidligere regler om arbeidsgivers innsynsrett. Til tross for at hoveddelene av dette regelverket har ligget fast siden 2009, er det stadig mange arbeidsgivere som trår feil på dette området. Med GDPR er slike feiltrinn forbundet med større risiko for virksomheten enn tidligere, særlig på grunn av høyere nivå på overtredelsesgebyr som kan ilegges av Datatilsynet.

I denne ukens tips ser vi nærmere på denne forskriften, for å klargjøre hva virksomhetene særlig må være oppmerksomme på.

Hva gjelder reglene?

Forskriften gjelder arbeidsgivers rett til innsyn i e-postkasse eller annet elektronisk utstyr, som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet. I tillegg gjelder forskriften innsyn i  arbeidstakers personlige områder i virksomhetens datanettverk. Reglene gjelder altså ikke innsyn i private epostkontoer eller opplysninger som er lagret på mobil, nettbrett og annet utstyr som arbeidstaker selv eier og som ikke ble stilt av arbeidsgiver til bruk i arbeidet.

Når er innsyn tillatt?

Hovedregelen er at arbeidsgiver ikke har rett til å gjøre innsyn i arbeidstakers e-postkasse og annet personlig område. Imidlertid er innsyn tillatt i to tilfeller, jf. forskriften § 2:

(a) når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten, eller

(b) ved begrunnet mistanke om at arbeidstakers bruk av e-postkasse eller annet elektronisk utstyr medfører grovt brudd på de plikter som følger av arbeidsforholdet eller kan gi grunnlag for oppsigelse eller avskjed.

Forskriften klargjør videre at arbeidsgiver ikke rett til å overvåke arbeidstakers bruk av elektronisk utstyr, herunder bruk av Internett, med mindre formålet med overvåkningen er enten å administrere virksomhetens datanettverk eller å avdekke eller oppklare sikkerhetsbrudd i nettverket.

Reglene gjelder både tidligere og nåværende arbeidstakere, samt for innsyn i opplysninger som er slettet fra de ovennevnte områder som fortsatt finnes på back-up eller sikkerhetskopier.

Forskriftens regler gjelder kun når det er et arbeidsforhold. De tidligere reglene i personopplysningsloven fra 2000 og tilhørende forskrifter gjaldt også andre som utførte, eller hadde utført, arbeid for arbeidsgiveren. Dessuten omfattet de tidligere reglene også universiteters og høyskolers innsyn i studenters e-postkasse, og for organisasjoners og foreningers innsyn i frivillig og tillitsvalgtes e-postkasse. Med den nye personopplysningsloven er innsyn i e-postkasse eller annet elektronisk materiale stilt til disposisjon av andre enn ansatte, slik som eksterne konsulenter, universitets- eller høyskolestudenter, eller frivillige og tillitsvalgte, omfattet  av de alminnelige reglene i GDPR og personopplysningsloven.

Prosedyrer ved innsyn

Forskriften viderefører hovedsakelig de tidligere saksbehandlingsreglene for gjennomføring av innsyn. Arbeidstaker skal så langt som mulig varsles, få anledning til å uttale seg på forhånd, og til å være tilstede under gjennomføringen av selve innsynet. Varselet skal begrunne hvorfor vilkårene for innsyn anses å være oppfylt og orientere om arbeidstakers rettigheter.. Dersom arbeidstakeren ikke fikk varsel eller ikke var tilstede, skal arbeidstakeren etter at innsynet er gjennomført,  gis en skriftlig underretning som blant annet skal opplyse om hvilken metode for innsyn som ble benyttet, hvilke e-post eller andre dokumenter som ble åpnet samt resultatet av innsynet. Innsyn må videre skje på en slik måte at opplysningene så langt som mulig ikke endres og slik at frembrakte opplysninger kan etterprøves. Åpnede e-poster, dokumenter eller tilsvarende som det viser seg at ikke er nødvendige eller relevante for formålet med hensynet, skal straks lukkes og eventuelle kopier skal slettes.

Nytt etter forskriften er at arbeidstakeren har innsigelsesrett etter GDPR artikkel 21. Arbeidsgiveren er etter denne bestemmelsen pliktet å gjøre arbeidstakeren "uttrykkelig […] oppmerksom" på innsigelsesretten, og slik informasjon skal framlegges "på en klar måte og atskilt fra annen informasjon". I praksis vil dette innebærer at informasjon om denne retten må oppgis samtidig med varsel om innsyn. Arbeidsgiveren skal svare på arbeidstakerens protest uten ugrunnet opphold og senest én måned etter mottak av protesten, jf. artikkel 12 nr. 3.

Sletting av opplysninger ved opphør av arbeidsforholdet

Hovedregelen etter forskriften er, slik som før, at arbeidsgivers e-postkasse skal avsluttes ved arbeidsforholdets opphør. Imidlertid inneholder den nye forskriften ett unntak hvorved e-postkassen kan holdes åpen i en kort periode etter opphøret dersom det foreligger særskilt behov for dette.

Innhold som ikke er nødvendig for den daglige driften av virksomheten skal slettes "innen rimelig tid" etter arbeidsforholdets opphør. Det er altså ikke angitt noen bestemt tidsbegrensning, men det kan være verdt å merke seg at departementet, i merknadene til den tidligere forskriften, antydet 6 måneder som en ytterramme.

Avslutningsvis nevnes at det ikke er adgang til å fastsette instruks eller inngå avtale som fraviker reglene i til ugunst for arbeidstaker.