Når er innsyn lovlig?
Før arbeidsgiveren kan gjennomføre et innsyn, må de grunnleggende kravene i personvernforordningen og e-postforskriften først være oppfylt.
Arbeidsgiveren må fastsette et lovlig formål og finne et behandlingsgrunnlag for det planlagte innsynet. Når det gjelder innsyn i ansattes e-postkasse, er en såkalt interesseavveiing det aktuelle behandlingsgrunnlaget, i tillegg til spesialreglene i e-postforskriften.
Det er tre vilkår som må oppfylles før behandlingen kan starte i medhold av dette behandlingsgrunnlaget:
- Arbeidsgiveren må ha en berettiget interesse i å gjøre innsyn. Den berettigede interessen må være lovlig, klart definert på forhånd, reell, og saklig begrunnet i virksomheten.
- Innsyn i e-postkasser eller filområder må være nødvendig for å forfølge denne interessen.
- Arbeidsgiverens interesse må veie tyngre enn personvernulempene et innsyn har for arbeidstakeren (den konkrete interesseavveiingen).
Berettiget interesse
Arbeidsgiver må altså ha en berettiget interesse i å gjøre innsynet. E-postforskriften inneholder spesialregler som sier at innsyn i ansattes e-postkasse eller private filer bare er lov for følgende interesser:
- Når det er nødvendig for å ivareta driften av virksomheten eller andre berettigede interesser.
- Ved begrunnet mistanke om at arbeidstagers bruk av elektronisk lagret materiale medfører grovt brudd på arbeidstakerens plikter.
Nødvendig for å ivareta daglig drift eller andre berettigede interesser
Som nevnt kan arbeidsgiveren foreta innsyn når det er nødvendig for ivaretakelse av den daglige drift eller andre berettigede interesser. «Ivaretakelse av den daglige drift» er relatert til virksomhetens drift, og vil typisk dreie seg om å følge opp virksomhetsrelatert korrespondanse og informasjon.
«Andre berettigede interesser», krever nærmere forklaring. Arbeidsgiverens berettigede interesser kan variere fra det ubetydelige til tungtveiende interesser. Det vil typisk være interesser relatert til å drive virksomheten effektivt og forsvarlig, og å beskytte seg mot skade eller ansvar i forbindelse med ansattes handlinger. Vurderingen av «andre berettigede interesser» tilsvarer vurderingen av «berettiget interesse» etter artikkel 6 nr. 1 bokstav f.
Arbeidsmiljølovens regler om kontrolltiltak inneholder også et krav om at tiltakene skal ha «saklig grunn i virksomhetens forhold» (jf. aml § 9-1). Begrepet «saklig» grunn omfatter en lang rekke forhold. Både teknologiske, økonomiske, sikkerhets-, arbeidsmiljø- og helsemessige forhold, er eksempler på forhold som kan utgjøre en saklig grunn for et kontrolltiltak.
Et behov for å få tilgang til forretningskritisk informasjon, kan utgjøre en tungtveiende interesse for å foreta innsyn. Det samme gjelder innsyn som er nødvendig for å bekrefte eller avkrefte mistanke om alvorlige brudd på arbeidstakerens plikter.
For ansatte vil de negative innvirkningene ved innsyn i privat informasjon være atskillig større enn innsyn i virksomhetsrelatert informasjon. Arbeidsgiveren vil normalt ikke ha en berettiget interesse i å foreta innsyn i privat materiale. Praktiske utfordringer med å skille ut slik informasjon bør i størst mulig grad motvirkes i forkant av innsynet, både i form av søkekriterier og kriterier for hvilken korrespondanse som inngår i innsynet.
Det er også en forskjell i hvilken type elektronisk kommunikasjonsutstyr det gjøres innsyn i. Det er for eksempel strengere krav til innsyn i arbeidstakerens mobiltelefon. Det kommer av at det for de fleste arbeidstakere er upraktisk å ha en egen privat mobiltelefon til private samtaler og SMS. En mobiltelefon vil dermed vel så mye brukes til privat aktivitet som arbeidsrelatert aktivitet, og vil gjerne inneholde informasjon slik som bilder og kommunikasjon av svært privat karakter. Det skal derfor svært mye til for at innsyn i mobiltelefon er lovlig.
De ansattes rimelige forventninger er også et viktig moment. Manglende informasjon om i hvilke tilfeller det kan være behov for innsyn, og hvordan et slikt innsyn kan gjennomføres, kan være et avgjørende moment for at innsyn ikke er tillatt.
Ny teknologi og bruk av avanserte verktøy innebærer dessuten at arbeidsgiveren har nye muligheter til å finne og rekonstruere elektronisk informasjon. I den grad arbeidsgiveren benytter slike verktøy, stilles det økte krav i form av åpenhet om bruken.
Mistanke om grove brudd på arbeidstakers plikter
Arbeidsgiveren kan altså ha rett til innsyn i e-postkassen dersom det foreligger en begrunnet mistanke om at bruken av e-postkassen medfører et grovt brudd på de pliktene som følger av arbeidsforholdet, eller at bruken kan gi grunnlag for oppsigelse eller avskjed.
At det skal foreligge «en begrunnet mistanke» innebærer at arbeidsgiveren må ha mer enn en løselig antakelse. Arbeidsgiveren må ha konkret informasjon som gir grunn til å tro at e-postkassen kan inneholde opplysninger om slike forhold.
Et eksempel der kravet normalt vil være oppfylt, er dersom det er begrunnet mistanke om at e-postkassen benyttes til å gjennomføre straffbare forhold, slik som at den ansatte laster ned eller videresender barnepornografi eller driver med ulovlig fildeling.
Kravet vil også være oppfylt dersom arbeidsgiveren har en begrunnet mistanke om at arbeidstakerens bruk av e-postkassen gir grunnlag for oppsigelse eller avskjed. Det kan for eksempel være hvis man tror at e-postkassen benyttes til trakassering av kollegaer, eller til utsending av spam eller e-post med skadelig innhold. Det kan også være ved mistanke om illojale handlinger slik som utsendelse av virksomhetskritisk informasjon.
Nødvendig
Det er ikke tilstrekkelig at innsynet er praktisk og enkelt å gjennomføre av hensyn til den daglige driften. Det er kun tillatt å gjøre innsyn i e-post eller private filer dersom det ikke finnes andre mindre inngripende måter å oppnå det samme på.
Innsyn kan for eksempel være nødvendig for å bekrefte eller avkrefte en mistanke, slik som å skaffe bevis for straffbare handlinger eller alvorlige brudd på arbeidstakerens plikter. Innsyn kan også være nødvendig av andre grunner, for eksempel for å følge opp virksomhetsrelatert korrespondanse når den ansatte ikke er på jobb (for eksempel på grunn av sykdom eller ferie) og korrespondansen ikke kan følges opp på annen mindre inngripende måte, slik som via automatisk svar med opplysning om hvor e-post skal sendes i fraværet.
Noen arbeidsgivere ønsker å gjøre innsyn i e-postkassen når ansatte slutter, blir sykemeldt, er i permisjon eller av andre grunner ikke utfører arbeidsoppgavene sine. Arbeidsgiveren kan for eksempel være redd for å gå glipp av viktig informasjon som sendes til den ansattes e-postkasse mens vedkommende er borte.
I en slik situasjon kan det tenkes mange mindre inngripende tiltak som vil kunne ivareta den daglige driften. Arbeidsgiveren kan for eksempel be arbeidstakeren om å aktivere en fraværsassistent som informerer avsendere om at vedkommende er utilgjengelig, og til hvem henvendelsen skal rettes i stedet. Husk at automatisk videresending av en ansatts e-post i utgangspunktet er ulovlig.
I nødvendighetskravet ligger at innsyn i e-post eller private filområder må være et egnet tiltak for å oppnå det lovlige formålet. Dersom arbeidsgiveren mistenker at en arbeidstaker jevnlig råkjører med firmabilen, vil det kunne utgjøre en berettiget interesse å undersøke om arbeidstakeren gjennomfører straffbare handlinger i arbeidstiden, men innsyn i den ansattes private filområder vil neppe være et egnet og nødvendig tiltak for å oppklare dette.
Interesseavveiing
For at et innsyn skal være lovlig må arbeidsgiverens interesse i å gjennomføre innsynet, veie tyngre enn personvernulempene dette vil ha for arbeidstakeren. Dette er en balansetest der arbeidsgiveren på den ene siden av vektskålen må liste opp hvilken berettiget interesse virksomheten har for å gjøre innsyn, og på den andre siden inngrepet det vil utgjøre i arbeidstakerens personvern.
Eksempel
En arbeidstaker som jobber med salg, blir sykemeldt i flere måneder fra jobb. For å sikre at virksomheten kan opprettholde kundekontakt og ikke gå glipp av viktige henvendelser fra arbeidstakerens kunder, logger arbeidsgiveren seg jevnlig inn på arbeidstakerens e-postkasse for å sjekke om det har kommet inn noe viktig. Etter en stund aktiverer hun automatisk videresending til sin egen e-postkasse slik at hun slipper å logge inn så ofte.
For det første er automatisk videresending av e-post ulovlig. Dette utgjør et stort inngrep i arbeidstakerens personvern, og innebærer kontinuerlig overvåking ettersom arbeidsgiveren automatisk kommer til å se navn, emnefelt og kanskje forhåndsvisning av all innkommende e-post.
For det andre finnes det mindre inngripende måter å ivareta kundekontakt og daglig drift på enn å gjøre slike innsyn. For eksempel kunne den ansatte sende ut varsler til kundene sine om hvem som vil være deres kontakt i virksomhet fremover, eller legge inn en fraværsassistent.
Hva som må skje i forkant av fravær, bør også være fastsatt i skriftlige rutiner for å skape forutsigbarhet for både arbeidsgiver og arbeidstaker.
Utgangspunktet er at innsyn utgjør et stort personverninngrep, og det skal derfor mye til å tippe vektskålen i arbeidsgiverens favør. Resultatet av interesseavveiingen avhenger av hvor tungtveiende arbeidsgiverens behov er, og på den andre siden hvor alvorlig inngrepet i arbeidstakernes personvern er.
Når en arbeidsgiver skal liste opp hvilket inngrep overvåkingen vil utgjøre i arbeidstakernes personvern, er det viktig at arbeidsgiveren også tar i betraktning andre kontrolltiltak som er på plass allerede. Arbeidsgiveren må se på summen av andre kontrolltiltak som er satt i gang i virksomheten.
Det kan være nyttig å forestille seg arbeidsgiverens berettigede interesser og den ansattes interesser på en skala. Arbeidsgiverens berettigede interesser kan variere fra nokså ubetydelige til tungtveiende. Innvirkningene på den ansatte kan også variere fra begrenset til meget alvorlig. Dersom arbeidsgiverens berettigede interesser er av mindre betydning, går de kun foran arbeidstakers interesser når disse er enda mer ubetydelige.