I denne artikkelen gjennomgår vi i korte trekk vilkår og fremgangsmåte ved arbeidsgivers innsyn i ansattes e-post og andre elektroniske data.
I utgangspunktet har ikke arbeidsgiver innsyn i arbeidstakers e-post, PC, telefon, chatlogg eller nettbrett, selv om dette er e-postkasse eller utstyr arbeidsgiver har stilt til disposisjon for arbeidstaker.
Arbeidsgiver har imidlertid en begrenset rett til innsyn. Et slikt innsyn er et sterkt inngrep i den ansattes personvern. For å beskytte den ansatte er det oppstilt mange vilkår og krav til fremgangsmåte i flere regelsett for et slikt innsyn.
Utgangspunktet er at arbeidsgiver ikke har innsyn i arbeidstakers e-post, logger eller andre elektroniske data, selv om dette er noe arbeidsgiver har stilt til disposisjon for arbeidstaker. Utstyr som arbeidstaker eier selv er arbeidsgiver normalt avskåret fra innsyn i, selv om det private utstyret også benyttes noe i arbeidssammenheng.
I noen tilfeller kan imidlertid arbeidsgiver ha rett til innsyn, jf. forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale.
For at arbeidsgiver skal kunne gjøre et slikt innsyn må vilkårene og saksbehandlingen i forskriften være oppfylt, og arbeidsgiver må følge fremgangsmåten og vilkårene for kontrolltiltak i arbeidsmiljøloven kapittel 9. Personvernlovgivningen setter skranker for hvordan arbeidsgiver kan behandle personopplysninger som kommer frem som følge av innsynet.
Innsyn i ansattes e-post og private filer er et stort inngrep i den ansattes personvern. Vilkårene for å kreve innsyn er strenge, og det er mye arbeidsgiver må passe på.
Arbeidsgiver må ha en berettiget interesse for å gjøre innsyn. Forskriften angir hvilke berettigede interesser som er lov.
Etter forskriften kan arbeidsgiver gjøre innsyn når et av følgende vilkår er oppfylt:
En forutsetning for at arbeidsgiver skal kunne foreta innsyn i e-post eller private filer er at det ikke finnes andre mindre inngripende måter å oppnå det samme på. Eksempelvis kan arbeidsgiver be ansatte som skal ha fravær om å aktivere fraværsassistent med opplysninger om hvem som kan kontaktes i deres fravær. Arbeidsgiver vil da ofte ikke ha behov for innsyn i den ansattes e-post. I kravet om nødvendig ligger også at innsynet må være egnet til å oppnå formålet.
Arbeidsgiver må som følge av personvernforordningen ha et behandlingsgrunnlag for å kunne gjøre innsyn i ansattes personopplysninger. Det grunnlaget som er aktuelt er at innsynet er nødvendig for å ivareta en berettiget interesse som veier tyngre enn den registrertes personvern (interesseavveining).
Arbeidsgiver må gjøre en interesseavveining mellom virksomhetens behov for innsyn og hvilke personvernulemper innsynet har for arbeidstaker. For at arbeidsgiver skal kunne foreta innsyn etter dette behandlingsgrunnlaget, må virksomhetens interesse i å gjennomføre innsynet veie tyngre enn personvernulempene innsynet medfører for den ansatte.
Dersom virksomhetens interesser for innsyn ikke er særlig vektige, kan innsyn bare iverksettes dersom personvernkonsekvensene for arbeidstakeren er små. Dersom personvernkonsekvensene er større, må virksomhetens interesse i innsyn være mer tungtveiende.
Arbeidstaker skal så langt det er mulig varsles og gis mulighet til å uttale seg før arbeidsgiver gjennomfører innsyn. I varselet skal det fremgå en begrunnelse for hvorfor vilkår for innsyn i ansattes e-post anses oppfylt og en orientering om arbeidstakers rettigheter.
Arbeidstaker skal om mulig gis anledning til å være til stede under gjennomføring av innsynet, og har rett til å la seg bistå av tillitsvalgte eller annen representant. Er innsyn foretatt uten forutgående varsel til arbeidstaker, skal arbeidstaker gis skriftlig varsel om dette så snart innsynet er gjennomført.
Det grunnleggende personvernprinsippet om åpenhet innebærer at arbeidsgiver bør utarbeide rutiner for innsyn i e-post og annet elektronisk lagret materiale.
Slike rutiner bør eksempelvis inneholde opplysninger om:
Vi har flere nettkurs innen personvern, blant annet et spesialtilpasset kurs for deg som leder; personvern for ledere og et personvernkurs for ansatte. Sjekk ut våre personvernkurs her.