Hopp til hovedinnhold

Tips noen om denne nettsiden


Laster
* Du må skrive inn 2 gyldige e-postadresser
Ditt tips er sendt
Det oppstod en uventet feil. Vennligst forsøk på nytt senere
Lukk

Innsyn i e-post og private filer

Arbeidsgiver kan gjøre innsyn i ansattes e-post eller private filer når det er grunn til å tro at det er informasjon i e-postkassen som er nødvendig for å drive virksomheten.

Arbeidsgiver kan også gjøre innsyn i tilfeller der det er mistanke om grove brudd på arbeidstakerens plikter.

I slike tilfeller har arbeidsgiveren rett til å gjennomsøke, åpne eller lese e-post i arbeidstakerens e-postkasse. Dette er regulert i personopplysningsforskriftens kapittel 9, som tar for seg innsyn i e-postkassen til en arbeidstaker, og sletting av kassen når arbeidsforholdet tar slutt.

Behov for å ivareta driften

Innsyn kan være tillatt i tilfeller der arbeidstakerens er fraværende over lang tid, dersom det er god grunn til å tro at det er kommet meldinger i e-postkassen som har med virksomheten å gjøre og som arbeidsgiveren trenger for å drive virksomheten (se forskriften § 9-2 bokstav a).

Det må vurderes i hvert enkelt tilfelle om det virkelig er nødvendig å gjøre innsyn. Det er ingen klare regler for hvor langvarig fraværet må være for at det skal være legitimt å gjøre innsyn, men hvor lenge arbeidstakeren blir borte må tas med i vurderingen av om innsynet er nødvendig. 

Loven slår fast at i tillegg til innsyn for å ivareta driften, kan det finnes «andre berettigede interesser ved virksomheten» (§ 9-2 bokstav a) som gjør at innsyn kan være legitimt. Et eksempel kan være behovet for å ivareta virksomhetens rykte.

Ved mistanke om grove brudd på arbeidstakers plikter

Innsyn kan også være berettiget dersom arbeidsgiveren har mistanke om at arbeidstaker bruker e-postkassen på en måte som medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller som kan gi grunnlag for oppsigelse eller avskjed. Mistanken må begrunnes av arbeidsgiver, og pliktbruddet må være grovt (se forskriften § 9-2 bokstav b).

Kravet vil normalt være oppfylt dersom e-postkassen benyttes til å gjennomføre straffbare forhold, for eksempel at den ansatte laster ned eller videresender barnepornografi eller driver med ulovlig fildeling.

Kravet vil også være oppfylt om arbeidsgiver har en begrunnet mistanke om at arbeidstakers bruk av e-postkassen gir grunnlag for oppsigelse eller avskjed. Det kan være i tilfeller der det er tale om mistanke om at e-postkassen benyttes for eksempel til trakassering av kollegaer eller til utsending av spam eller e-post med skadelig innhold.

Hva som kan være en begrunnet mistanke er diskutert nærmere i kommentarene til forskriften (pdf).

Arbeidstakeren kan selv uoppfordret gir arbeidsgiver rett til innsyn, for eksempel ved uventet sykdom.

Hva regulerer forskriften?

E-postkasse

Personopplysningsloven kapittel 9 gjelder for arbeidsgiverens rett til innsyn i arbeidstakerens e-postkasse. Det vil si en e-postkasse arbeidsgiveren har stilt til arbeidstakerens disposisjon til bruk i arbeidet i virksomheten, og med en e-postadresse som knytter navnet på den ansatte til virksomheten (ola.nordmann@virksomhet.no).

Personlig område på datanettverket

Reglene gjelder også for arbeidsgivers adgang til å gjennomsøke og gjøre innsyn i arbeidstakers personlige område i virksomhetens datanettverk. I tillegg gjelder de for andre elektroniske kommunikasjonsmedier eller elektronisk utstyr som arbeidsgiveren har stilt til disposisjon til bruk i arbeidet i virksomheten, for eksempel mobiltelefon eller nettbrett. Bestemmelsene gjelder også for arbeidsgiverens innsyn i opplysninger som arbeidstakeren har slettet fra disse områdene, men som finnes lagret på sikkerhetskopier eller lignende som arbeidsgiveren har tilgang til. Har arbeidsgiver rett til å gjøre innsyn, har han også rett til å gjøre innsyn i rekonstruert materiale.

Reglene gjelder ikke for innsyn i opplysninger som er lagret på fellesområder eller e-postkasser som er felles for hele virksomheten, slik som postkasse@virksomhet.no. Her vil arbeidsgiveren ha rett til innsyn uten at særlige vilkår må oppfylles først.

Bestemmelsene gjelder ikke for innsyn i utstyr som den ansatte selv eier, selv om dette noen ganger blir benyttet i arbeidet ved virksomheten. Arbeidsgiveren kan vanligvis ikke gjøre innsyn i slikt privateid utstyr.

Nåværende og tidligere arbeidstakere, studenter, tillitsvalgte

Reglene regulerer både arbeidsgivers forhold til både nåværende og tidligere arbeidstakere, og for andre som utfører eller har utført arbeid for arbeidsgiveren. Reglene gjelder derfor også for e-postkasser som er stilt til disposisjon for en databehandler til bruk i arbeidet. Et eksempel på dette er en forsikringsagent som behandler personopplysninger på vegne av et forsikringsselskap.

Reglene gjelder så langt de passer for universiteters og høyskolers innsyn i studenters e-postkasse, samt for organisasjoners og foreningers innsyn i frivilliges og tillitsvalgtes e-postkasse.

Hvordan gå fram ved innsynet

Dersom arbeidsgiveren mener at vilkårene for innsyn i e-post er oppfylt, skal det så langt som mulig sendes varsel om innsyn til arbeidstakeren (se forskriften § 9-3). Varselet skal inneholde:

  • en begrunnelse for hvorfor innsynet skal gjøres, altså hvorfor arbeidsgiveren mener vilkårene i § 9-2 er oppfylt
  • informasjon om arbeidstakerens rettigheter.

Arbeidstakeren skal gis anledning til å uttale seg før arbeidsgiveren gjennomfører innsynet så langt det lar seg gjøre, og han eller hun skal så langt som mulig gis anledning til å være til stede under selve gjennomføringen. Kravene innebærer at arbeidsgiveren må sette frister som gjør at arbeidstakeren har reell mulighet til å bruke rettighetene sine. Arbeidstakeren har dessuten rett til å få bistand av en tillitsvalgt eller en annen representant.

At vi bruker uttrykket «så langt det lar seg gjøre» viser at kravet om varsling ikke er absolutt. Det er likevel et grunnleggende personvernprinsipp at man skal ha informasjon ved behandling av personopplysninger om seg selv. Terskelen for å gjøre unntak fra denne plikten er derfor høy. Dersom arbeidsgiveren nekter å gi informasjon, må han begrunne dette skriftlig, med en presis henvisning til unntakshjemmelen.

I flere saker Datatilsynet har hatt til behandling, oppgir arbeidsgiveren faren for bevisforspillelse som årsaken til at arbeidstakeren ikke har blitt informert ved innsyn. Viktig i denne vurderingen er om en eventuell manipulasjon av data kan avverges ved at arbeidsgiver først lager en kopi av materialet for arbeidstaker varsles om innsynet. Da kan arbeidstaker sikre privat materiale, og hensynet til den ansattes personvern blir bedre ivaretatt.

Dersom innsyn er gjort uten at arbeidstakeren er varslet, for eksempel i tilfeller der man ikke rekker å varsle før innsyn eller at den ansatte ikke er mulig å få tak i, skal den ansatte gis beskjed så snart innsynet er gjennomført. Datatilsynet anbefaler dessuten at arbeidsgiver fører protokoll sammen med arbeidstakeren under selve innsynet, da det ofte kan oppstå uenigheter i etterkant om hva som faktisk ble gjort.

Kravet om varsling så snart innsynet er gjennomført er et strengt vilkår. Abeidsgiveren skal informere den ansatte så raskt det lar seg gjøre.

Arbeidstakeren skal ha informasjon om:

  • hvorfor vilkårene for innsyn anses som oppfylt,
  • hvilke rettigheter arbeidstakeren har etter forskriften,
  • hvilken metode som er benyttet ved innsynet,
  • hvilke e-poster eller andre dokumenter som ble åpnet,
  • samtresultatet av innsynet.

Punktet om hvilken metode som ble brukt i innsynet betyr at arbeidsgiveren for eksempel må opplyse om det er gjort innsyn i selve e-postkassen, søkt etter særlige ord og uttrykk på maskinen til den ansatte, gjenopprettet slettet materiale eller liknende. Dersom arbeidsgiveren har benyttet en databehandler, eksempelvis for å rekonstruere filer, bør dette opplyses. Kravet til å gi opplysninger om hvilke e-poster eller dokumenter som ble åpnet, betyr at det må gis en oversikt over hvilke dokumenter det ble gjort innsyn i. Dersom arbeidstaker hadde hatt mulighet til å være til stede under gjennomføringen, ville vedkommende sett alle dokumenter som ble gjennomgått, og tilsvarende må derfor gjelde når arbeidstakeren får informasjon i etterkant.

Forholdsregler ved innsyn

Det vil alltid være en risiko for at dokumenter som ikke omfattes av innsynsretten gjøres kjent for arbeidsgiveren når det foretas innsyn forholdsregler. Man kan likevel forsøke å unngå at det gjøres innsyn i privat e-post, fagforeningskorrespondanse og lignende. Det kan også være konfliktdempende å fastsette retningslinjer og forholdsregler i forkant av innsynet, slik at begge parter kjenner spillereglene og vet hva de har å forholde seg til:

  • Søkeord skal kvalitetssikres i forkant av innsyn.
  • Søk etter relevante dokumenter gjennomføres på en slik måte at alle dokumenter som inneholder arbeidstakerens private e-postadresser blir utelukket fra materialet.
  • Det kan vurderes om arbeidsgiveren eller andre med kjennskap til arbeidstakeren bør holdes utenfor ved selve gjennomføringen av innsynet.
  • Arbeidsgiveren eller dennes representant bør ikke lese mer av dokumentet enn det som er nødvendig for å avgjøre om dokumentet er relevant for saken og dermed om det skal slettes eller ikke.
  • Arbeidstaker bør så langt mulig få anledning til å sortere ut privat e-post i en egen mappe som i utgangspunktet ikke skal være omfattet av innsynet.

Sletting når arbeidsforholdet tar slutt

Arbeidstakerens e‑postkasse skal avsluttes når arbeidsforholdet opphører (se  personopplysningsforskriften § 9-4). Innhold som ikke er nødvendig for den daglige driften av virksomheten skal slettes innen rimelig tid.

Hovedregelen om sletting følger av personopplysningsloven § 28, hvor det fremgår at personopplysninger ikke skal lagres lenger enn det som er nødvendig ut fra formålet med behandlingen.

Det har i praksis oppstått situasjoner hvor Datatilsynet har åpnet for muligheten til å holde e-postkassen åpen i en kortere periode etter at arbeidsforhold har blitt avsluttet. Et eksempel var en arbeidstaker med en sentral stilling i virksomheten som gikk på dagen. Det ble stilt krav om at virksomhetens kontakter og kunder samtidig ble informert om hvem som var ny kontaktperson, at det måtte legges inn en fraværsmelding som opplyste om at vedkommende hadde sluttet, i tilegg til en forutsetning om at det ikke skulle gjøres innsyn i innkommet e-post.

Kravet til å avslutte e-postkassen innebærer at selve e-postkontoen deaktiveres senest siste dag i arbeidsforholdet, og at innholdet i e-postkassen slettes innen rimelig tid, i hvert fall innen seks måneder.

Råd til arbeidsgiver

  • Ha klare og tydelige retningslinjer om bruk av virksomhetens datasystem. De fleste arbeidsgivere vil tillate en viss bruk av e-postkassen til private formål. Eventuelle begrensninger bør fremkomme tydelig. Legg særlig vekt på tiltak som kan hindre behovet for innsyn. Dette kan for eksempel være bruk av fraværsassistent ved planlagt fravær.
  • Definer hva som anses som et grovt brudd som kan føre til e-postinnsyn i virksomheten.
  • Definer når det kan bli aktuelt med innsyn i e-post, hvem som kan beslutte at innsyn skal skje, og hvilken fremgangsmåte man vil benytte i slike tilfeller.
  • Lag egne e-postadresser til tillitsvalgte som kan benyttes i deres tillitsverv.

Råd til arbeidstaker

  • Begrens de private aktivitetene i arbeidsgivers datasystem. Datasystemet er ment for å utføre arbeidsoppgaver.
  • Prøv å unngå korrespondanse som ikke er jobbrelatert.
  • Krev klare og tydelige retningslinjer for hva som er akseptabel/uakseptabel bruk av jobbens datasystem, og om det er lov å bruke det til private gjøremål.
  • Merk e-poster som er private med «privat» i emnelinjen og lagre disse i et mappesystem som tydelig viser at innholdet er privat. Tilsvarende for e-post til og fra tillitsvalgt.
  • Husk at alt du foretar deg både på internett og med e-postsystemet vil kunne spores tilbake til deg.

Spørsmål og svar

Til toppen