Les mer om regelverket som trådte i kraft 1. mars 2009 her.
Hvor går grensene for hva arbeidsgiveren kan lese av e-poster og filer? Og hvor går skillet mellom private og virksomhetsrelaterte e-poster og filer?
Arbeidsgiverens styringsrett og personopplysningsloven
Arbeidsgiverens innsyn i de ansattes e-post og øvrige filer reguleres av personopplysningsloven, og personopplysningsforskriftens § 9.2.
Arbeidsgiveren kan, på grunn av sin styringsrett, bestemme at de ansatte bare skal bruke bedriftens datasystemer til jobbrelaterte formål. En arbeidsgiver kan likevel ikke forbeholde seg retten til å lese all e-post som går inn og ut over virksomhetens system. Begrunnelsen er blant annet at den ansatte ikke selv kan styre hva som kommer inn i e-postkassen. Man kan for eksempel ikke garantere seg mot at en bekjent av en ansatt benytter denne sin e-postadresse på jobben til å oversende bilder fra siste helgs fisketur. Disse bildene vil være private, og arbeidsgiveren har ikke saklig grunn til innsyn i dem. Arbeidsgiveren kan i reglement eller instruks forbeholde seg retten til å slette eventuelle private meldinger som kommer inn over virksomhetens e-postsystem. Det følger da av alminnelig høflighet at det blir sendt melding til avsenderen om at e-posten er blitt slettet. Det vil også være rimelig at den ansatte som e-posten er adressert til gis beskjed når e-post faktisk slettes.
De fleste arbeidsgivere synes det er greit at de ansatte kan bruke systemet til enkelte private gjøremål. De fleste benytter derfor arbeidsgiverens datasystem både til jobbrelaterte og private gjøremål. Private gjøremål kan være å sende meldinger til kjente på e-post, eller å benytte hjemmedatamaskinen som arbeidsgiveren eier til å skrive private brev på. Noen ganger oppstår det spørsmål om hvorvidt arbeidsgiveren kan sjekke hva den ansatte har gjort på datasystemet, hvem han har skrevet til, hva som er skrevet og så videre. Denne typen problemstillinger dukker som regel opp fordi
- den ansatte av en eller annen grunn (for eksempel sykdom eller ferie) er fraværende fra jobben. Arbeidsgiver vil da kunne ha saklig behov for å sjekke at ikke forespørsler og ordrer blir liggende ubesvart.
- arbeidsgiver mistenker at den ansatte opptrer illojalt. Eksempel på dette kan være mistanke om at det gis opplysninger videre til konkurrerende selskaper.
- arbeidsgiver mistenker at den ansatte opptrer i strid med virksomhetens instrukser og reglementer eller norsk lov. Dette kan for eksempel være å videresende filmer med et innhold som er uønsket eller ulovlig via e-post.
Klare retningslinjer for bruk av datasystemet
Arbeidsgiverens innsyn i de enkeltes e-postkasse på jobben kan til en viss grad sammenlignes med arbeidsgiverens gjennomgang av innholdet i posthyllene til de ansatte. Det vil finnes situasjoner hvor arbeidsgiveren har en saklig begrunnelse for å gå gjennom posthyllen på utkikk etter virksomhetsrelatert post. Dette kan for eksempel være fordi den ansatte er fraværende over lengre tid. Det samme vil være tilfelle for den ansattes e-postkasse.
Det skal foreligge regler eller instrukser for bruk av datasystemet på arbeidsplassen. Disse skal si noe om i hvilken grad det er lov å bruke systemet til private formål. I tillegg må reglene eller retningslinjene si noe om i hvilke situasjoner de ansatte må forvente at arbeidsgiveren kan kikke i e-postkassen eller på filer som ligger på den enkeltes område på datamaskinen. Denne informasjonen skal inngå i virksomhetens internkontrollsystem. Det er viktig at de ansatte gjennom informasjon blir gjort godt kjent med retningslinjene slik at de kan innrette seg etter dem.
Arbeidsgiverens rett til innsyn i e-postkasser må benyttes med forsiktighet, fordi disse postkassene skiller seg fra vanlige posthyller ved at det er vanskeligere å skille private opplysninger fra virksomhetsrelaterte opplysninger. Arbeidsgiveren bør gi klar instruks om hvilke forholdsregler den ansatte skal ta ved planlagt fravær (slik som ferie). Arbeidsgiveren kan for eksempel pålegge de ansatte å benytte fraværsmelding med informasjon om hvor ordre skal sendes. Ved uforutsett fravær, som sykemelding, kan arbeidsgiver legge inn en slik melding på vegne av den ansatte. Ved behov for innsyn skal den ansatte først informeres. Arbeidsgiver kan også be om samtykke ved behov for innsyn i slike saker. Et problem er at det ofte benyttes automatisk forhåndsvisning av e-posten, slik at arbeidsgiveren kan få tilgang til mer informasjon enn han har saklig begrunnelse for å se. Denne funksjonen kan i så fall fjernes.
Arbeidsgiveren vil som hovedregel ikke ha noen saklig begrunnelse for innsyn i åpenbart private opplysninger i e-post og filer. Han har i utgangspunktet heller ikke rett til å be om samtykke til slikt innsyn. Det største problemet er imidlertid som oftest å avgjøre om en e-post eller en fil er privat eller virksomhetsrelatert. Les mer om dette nedenfor.
Hva menes med en personlig e-postkasse?
De fleste virksomheter benytter e-postadresser som angir den ansattes navn, initialer eller lignende i adressen og deretter virksomhetens navn, slik som ola.nordmann@virksomheten.no eller on@virksomheten.no. Dersom den ansatte logger seg på med eget brukernavn og passord vil han ha en berettiget forventning om at denne e-postkassen ikke håndteres av andre enn ham selv, med mindre annet er klart avtalt med arbeidsgiver. Det er dette det siktes til når det snakkes om personlige e-postkasser i denne sammenhengen.
Dette gjelder også helt åpenbart e-postkasser av typen hotmail.com eller c2i.net som er opprettet av den ansatte som privatperson. I en del virksomheter forbys bruk av denne typen e-postkasser fra arbeidsgiverens system. Dette kan arbeidsgiveren gjøre i kraft av sin styringsrett.
Noen virksomheter benytter denne typen e postadresser i relasjon til arbeidet. I så tilfelle må muligheten for innsyn i og skille mellom virksomhetsrelatert og privat e-post avklares tydelig i retningslinjene. Grunnen er at slike adresser stort sett benyttes til private formål. Datatilsynet fraråder bruk av slike e-postadresser i arbeidsforhold.
E-postadresser av typen postkasse@virksomheten.no eller salgsavdelingen@virksomheten.no fremstår som klart virksomhetsrelatert. Verken avsender eller mottaker av e-posten vil ha en berettiget forventning om at e-post som sendes til slike adresser skal behandles som privat post. Dette kan imidlertid være mer tvilsomt hvis avsenderen har merket e-posten med en navngitt ansatt eller har skrevet ”konfidensielt” eller lignende i emnefeltet. I slike tilfeller anbefaler Datatilsynet at den ansatte konsulteres før en eventuell åpning blir gjort av andre.
Dersom den ansatte får anledning til å ha to e-postadresser (ola.nordmann@virksomhet.no og ola.nordmann.privat@virksomhet.no), vil dette kunne minske problemet med å skille mellom private og virksomhetsrelaterte opplysninger. Rutiner for å merke private e-poster eller filer med ”privat”, eventuelt plassere disse i egne mapper, vil også kunne hjelpe. Man vil nok likevel kunne oppleve situasjoner hvor for eksempel en fil blir lagret feil. Noen garanti for at det ikke skal oppstå problemer finnes ikke.
Vilkår for innsyn i virksomhetsrelatert e-post
Arbeidsgivere har bare rett til å gjennomsøke, åpne eller lese e-post i arbeidstakerens e-postkasse dersom vilkår satt i § 9-2 er oppfylt. Bestemmelsen inneholder flere alternative vilkår, og det er tilstrekkelig at ett av dem er oppfylt. Bestemmelsene skiller ikke på om innholdet er å anse som privat eller virksomhetsrelatert. Vilkårene er imidlertid utformet slik at det bare unntaksvis vil være anledning til innsyn i private e-poster.
Innsyn skal alltid være saklig begrunnet. Hvis opplysningene lett kan fremskaffes uten innsyn i e-post, vil kravet til saklig begrunnelse ikke være oppfylt. Prøv derfor å få tak i informasjonen på annen måte før innsyn gjøres. Merk også at det er forskjell på innsyn i konkrete tilfeller som kan skje dersom vilkårene er oppfylt, og kontinuerlig overvåkning av den ansattes e-postkorrespondanse. Slik kontinuerlig overvåkning er ikke tillatt.
I følgende situasjoner kan innsyn være aktuelt:
- Når det er nødvendig for å ivareta den daglige driften.
Typisk ved arbeidstagerens fravær dersom det er god grunn til å tro at det er kommet virksomhetsrelaterte meldinger i e-postkassen som arbeidsgiver trenger av driftshensyn. Tidsaspektet har stor betydning og korte akseptfrister kan begrunne innsyn selv ved kortere fravær. - Når det er nødvendig for å ivareta andre berettigede interesser ved virksomheten.
Målestokken er hva man i alminnelighet anser som legitime hensyn ved en virksomhet. Det kan for eksempel tenkes at innsyn kan begrunnes med et legitimt behov for å ivareta virksomhetens rykte. - Ved begrunnet mistanke om at bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet.
Pliktbruddet må være grovt. Kravet vil typisk være oppfylt dersom e-postkassen benyttes til å gjennomføre straffbare forhold, for eksempel at den ansatte laster ned og/eller videresender bilder av utuktig omgang med barn (barnepornografi) eller til ulovlig fildeling. - Ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen kan gi grunnlag for oppsigelse eller avskjed.
Situasjoner som er nevnt i merknadene er mistanke om at e-posten benyttes til trakassering av kolleger eller til utsending av spam eller e-post med skadelig innhold.
Arbeidsgiveren skal så langt det lar seg gjøre informere den ansatte på forhånd om at innsyn er ønsket. Hvis den ansatte er tilgjengelig bør vedkommende få anledning til å være tilstede under åpningen av e-poster og filer. Den ansatte kan da gis anledning til selv å sortere ut hvilke e-poster og filer som er virksomhetsrelaterte og hvilke som er private.
Dersom den ansatte er fraværende er det essensielt at vurderingen av om opplysningene er private foretas før e-posten eller filen åpnes. Dersom den fremstår som privat, skal den ikke åpnes. Noen ganger kan det likevel skje at arbeidsgiver vurderer feil og ved et uhell åpner noe som viser seg å være privat. Da skal filen snarest lukkes. Er en ansatt fraværende bør alltid en representant for den ansatte være tilstede ved åpningen av dennes e-post. Dessuten bør den ansatte i ettertid gis informasjon om hva det ble søkt innsyn i.
Hva avgjør om en e-post eller fil skal anses som privat?
Det må foretas en konkret helhetsvurdering av om det er mest sannsynlig at e-posten eller filen er privat eller virksomhetsrelatert. Momenter i vurderingen er blant annet om opplysningene er merket med privat eller lignende, hvem som er avsender eller mottaker og hva som står oppført som tittel. Den ansattes påstand om at opplysningene er private, skal tillegges vekt i vurderingen, men vil ikke nødvendigvis være avgjørende der andre momenter trekker i motsatt retning. Dersom e-posten eller filen er merket som privat i tråd med virksomhetens interne reglement eller instruks, skal også dette tillegges vekt. Forøvrig vil den konkrete situasjonen ha betydning i forhold til vektleggingen av de forskjellige momentene over.
Virksomhetens regler eller retningslinjer kan med fordel beskrive hvilke kriterier som vil bli lagt til grunn ved en vurdering om innsyn. De bør også si noe om hvordan e-poster og filer eventuelt skal merkes for å skille mellom virksomhetsrelaterte og private e-poster og filer.
Hva skjer dersom arbeidsgiveren mener at en privat fil eller e-post har et innhold som strider mot interne instrukser eller norsk lov?
Arbeidsgiveren er ansvarlig for sitt datanett, og dermed ansvarlig for at det ikke benyttes til ulovlig virksomhet. Dersom arbeidsgiveren mistenker at ansatte benytter systemet til for eksempel formidling av barnepornografi eller annet ulovlig materiale, bør alltid saken anmeldes til politiet. Det er viktig å huske at arbeidsgiveren fort kan komme til å ødelegge bevis i en eventuell kommende straffesak dersom innsyn foretas uten at de nødvendige forholdsregler er tatt. Det er derfor særlig viktig at politiet kontaktes i denne typer saker.
Det skjer fra tid til annen at arbeidsgiveren mistenker at en ansatt benytter systemet til illojal oppførsel eller brudd på interne regler og instrukser. Ofte er mistanken rettet mot innholdet i det som i utgangspunktet må karakteriseres som private e-poster og filer. Dersom arbeidsgiveren kan gi gode argumenter for at det er hold i mistanken, vil dette kunne medføre at kravet til saklig begrunnelse for innsyn anses som oppfylt. Det kan også i konkrete tilfeller være at vurderingen av arbeidsgiverens interesse i innsyn anses å veie tyngre enn den ansattes krav på personvern, slik at innsyn kan finne sted uten den ansattes samtykke.
Mange momenter vil kunne tillegges vekt i denne interesseavveiingen. Det vil for eksempel ha betydning hva mistanken gjelder, og forholdene som ønskes avdekket bør være så alvorlige at de kan medføre oppsigelse. Hva som ligger til grunn for mistanken vil også være av betydning. Det skal dessuten alltid vurderes om mistanken kan bekreftes på en annen og mindre personvernkrenkende måte. Videre vil det vektlegges dersom den ansatte kjenner til de skriftlige rutinene for hvordan innsyn skal skje. Datatilsynet anbefaler at den ansatte selv og en tillitsvalgt, eller en annen representant, gis anledning til å være tilstede ved åpningen av e posten eller filen. Dersom situasjonen gjør at det er vanskelig eller umulig å ha den ansatte tilstede, bør en representant for den ansatte være der. Hvilke vurderinger som er lagt til grunn for innsynet bør protokollføres.
Les mer i Spørsmål og svar om arbeidsliv.
Hva med de tillitsvalgtes e-post?
Av hensyn til arbeidstakerenes rettsvern og tillitsvalgtes muligheter til å ivareta dette har tillitsvalgte behov for et utvidet vern mot at ledelsen åpner deres e post og filer. Dette bør reguleres spesielt i virksomhetens retningslinjer. Dersom det ikke er gjort er utgangspunktet at e post som kan relateres til den tillitsvalgtes oppgaver er beskyttet mot innsyn i samme utstrekning som privat e-post.
Det vil imidlertid kunne være vanskelig å skille ut slik e-post fra øvrig e-post-korrespondanse. Datatilsynet anbefaler derfor at det opprettes en egen e-postadresse som kan benyttes til korrespondanse relatert til funksjonen som tillitsvalgt. Dette vil gjelde tilsvarende for verneombudet og AKAN - kontakten på en arbeidsplass.
Hvordan håndtere e-post ved avsluttet arbeidsforhold?
Det er ikke saklig grunn for arbeidsgiveren til å opprettholde e-postkasser i navnet til personer som ikke lenger arbeider i virksomheten. E-postkassen bør derfor slettes snarest når arbeidsforholdet er avsluttet. Virksomheten vil selvsagt ha et behov for å sikre seg virksomhetsrelatert e-post som har blitt eller vil bli sendt til den som har sluttet. Før den ansatte slutter må vedkommende derfor rydde opp i sine e-poster og filer, slik at det som er virksomhetsrelatert blir tatt vare på.
Når det gjelder e-post sendt til en ansatt som har sluttet, så kan ikke arbeidsgiveren automatisk videresende denne til en ny saksbehandler uten samtykke fra den som har sluttet. Dette er fordi det også vil kunne skje en videresending av private e-poster.
Etter avtale mellom den tidligere ansatte og virksomheten, kan e-postkassen opprettholdes i en begrenset periode, eventuelt med videresending til ny adresse.
Innsyn i e-poster og filer tilhørende en ansatt ved dødsfall
Spørsmålet må avgjøres konkret i hver enkelt situasjon. Arbeidsgiveren kan antagelig søke seg frem til virksomhetsrelatert post i disse tilfellene. Når det gjelder den ansattes pårørende eller arvinger kan ikke disse uten videre gis adgang til den avdøde sine private e-poster og filer.
Dødsboet trer inn i økonomiske forhold og forpliktelser. E-post er antagelig ikke en slik forpliktelse, og man bør derfor være restriktiv med å gi boet innsyn. Utlevering av opplysninger fra datasystemet til politiet i etterforskningsøyemed anses derimot som uproblematisk.
Hva kan bli konsekvensen av innsyn i strid med personopplysningsloven?
Brudd på personopplysningsloven kan medføre pålegg og eventuelt tvangsmulkt fra Datatilsynet, eller erstatningsplikt. Forsettlige eller grovt uaktsomme brudd på loven kan i tillegg medføre bøter og eventuelt fengsel dersom forholdet blir anmeldt til politiet.
Utskrifter av filer og e-poster har i flere anledninger blitt lagt frem som bevis i tilknytning til arbeidsrettssaker. Retten kan akseptere fremleggelse av bevis selv om dette er innhentet på ulovlig vis. Praksis viser imidlertid at retten vurderer om beviset er lovlig frembrakt og regelmessig avskjærer bevis som er innhentet på ulovlig vis. Det er derfor viktig at virksomheten skaper gode rutiner i tråd med lovens krav.