Når gjelder forbudet?
E-postforskriften gjelder både for nåværende og tidligere arbeidstakere. Hvem som er arbeidstakere og arbeidsgivere er definert i arbeidsmiljøloven § 1-8.
Arbeidsmiljøloven § 1-8. Arbeidstaker og arbeidsgiver
"Med arbeidstaker menes i denne lov enhver som utfører arbeid for og underordnet en annen. Ved avgjørelsen skal det blant annet legges vekt på om vedkommende løpende stiller sin personlige arbeidskraft til disposisjon, og om vedkommende er underordnet gjennom styring, ledelse og kontroll. Det skal legges til grunn at det foreligger et arbeidstakerforhold med mindre oppdragsgiver gjør det overveiende sannsynlig at det foreligger et selvstendig oppdragsforhold.
Med arbeidsgiver menes i denne lov enhver som har ansatt en arbeidstaker som nevnt i første ledd. Det som i denne lov er bestemt om arbeidsgiver, skal gjelde tilsvarende for den som i arbeidsgivers sted leder virksomheten."
Overvåking av oppdragstakere eller kunder, er ikke omfattet av dette regelverket, og blir regulert av personopplysningsloven med personvernforordningen.
Det er bare i to tilfeller det vil kunne være lovlig å overvåke de ansattes bruk av elektronisk utstyr. I alle andre tilfeller vil det være ulovlig overvåking. Før vi går nærmere inn på disse to tilfellene, vil vi se på hva som er omfattet av forbudet.
E-postforskriften § 2, andre avsnitt
"Arbeidsgiver har ikke rett til å overvåke arbeidstakers bruk av elektronisk utstyr, herunder bruk av Internett, med mindre formålet med overvåkingen er
a. å administrere virksomhetens datanettverk eller
b. å avdekke eller oppklare sikkerhetsbrudd i nettverket."
(våre uthevinger)
Forbudet består av tre deler:
- Tiltaket dreier seg om overvåking,
- Overvåkingen retter seg mot arbeidstakeres bruk av elektronisk utstyr
- Arbeidsgiver har tilgang til opplysningene.
Dersom et tiltak innebærer alle disse tre delene, er hovedregelen at tiltaket er forbudt.
Når vi bruker ordet "tiltak" i denne sammenhengen, mener vi alt en arbeidsgiver gjør som kan innebære overvåking. Dermed kan overvåkingen både foregå manuelt og automatisk. Vi går igjennom de tre punktene under.
Selv om tiltaket i utgangspunktet er forbudt, kan det likevel være lovlig hvis et av unntakene i neste kapittel er oppfylt.
Rettskilder
Det er få rettskilder som belyser hvordan denne bestemmelsen skal forstås. Uttalelser fra lovgiveren i forbindelse med innføring og endringer av forbudet, er nyttige for å forstå hvilke tiltak og teknologier som lovgiveren har ment å forby:
- Proposisjonen til personopplysingsloven 2018 – Prop. 56 LS (2017–2018) – med forslag til den gjeldende e-postforskriften (regjeringen.no)
- Merknader til tidligere bestemmelser om overvåking i personopplysningsforskriften, 2009 (pdf, regjeringen.no)
- Høringsnotat fra reglene ble innført i 2006, "Forslag til regler om arbeidsgivers tilgang til ansattes e-post mv." (pdf, regjeringen.no)
1. Tiltaket dreier seg om "overvåking"
Hva som ligger i "overvåke" er ikke definert i forskriften. Siden begrepet er så skjønnsmessig og ladet, er det utfordrende å gi klar veiledning. Ut fra forarbeidene, vanlig språkbruk, praksis og juridisk teori, vil vi derfor her gi en retning for hva vi som tilsynsmyndighet legger i å overvåke arbeidstakeres bruk av elektronisk utstyr.
En vanlig språklig forståelse av overvåking, innebærer at arbeidsgiveren samler inn informasjon om ansatte for å kartlegge atferd eller holdninger.
Bestemmelsen omfatter slik vi ser det både den innledende kartleggingen av bruken av elektronisk utstyr, og gjennomgangen av personopplysningene i ettertid. Dette betyr at også det å samle inn personopplysninger, for eksempel gjennom logging, er omfattet, selv om arbeidsgiveren ikke nødvendigvis går gjennom opplysningene.
Eksempel
Logging av aktivitet for sikkerhetsformål, er tiltak som samtidig gir arbeidsgiveren mulighet til å følge med på hva den ansatte gjør. Tiltaket regnes derfor som overvåking, som i utgangspunktet er forbudt.
Logging for å ivareta informasjonssikkerheten vil imidlertid ofte kunne være et lovlig tiltak, på grunn av unntaket for sikkerhetsformål (se senere i veiledningen).
Over en viss terskel
En teoretisk mulighet for at opplysningene kan brukes til å kontrollere de ansatte, er ikke tilstrekkelig for å kalle det overvåking. Tiltaket må være over en viss terskel.
Tiltak som ikke regnes som overvåking
Eksempel 1
En vanlig funksjon i samhandlingsverktøy er en indikator (for eksempel farge eller ikon) som viser om arbeidstakeren er pålogget, borte eller frakoblet.
I utgangspunktet er dette ikke overvåking. Dersom arbeidsgiveren aktivt går inn for å registrere den ansattes tilstedeværelse for å kontrollere vedkommende, kan det imidlertid utgjøre overvåking.
Eksempel 2
En arbeidstaker trenger brukerstøtte og samtykker til å gi IT-personellet tilgang til skjermen. Selv om IT-personellet da kan se alt arbeidstakeren har på skjermen, ligger det under terskelen for overvåking. Årsaken er at det er arbeidstakeren som tar initiativet og blir enig med IT-personellet om når tilgangen skal skje. Altså skjer dette ved behov og ikke som en kontinuerlig aktivitet.
Vi nevner også at brukerstøtte uansett kunne vært lovlig på grunn av unntaket om å administrere virksomhetens datanettverk.
Når hovedformålet er å kontrollere arbeidstakerne
Tiltakene som har som hovedformål å kontrollere arbeidstakerne, er åpenbart lettest å kategorisere som overvåking. Det kommer for eksempel mye programvare fra land med en annen personvernlovgivning enn vår – programvare som er spesialutviklet for å samle inn, analysere og tilgjengeliggjøre data om den enkelte ansatte. Slik programvare kalles også for sjefsvare ("bossware"), og kunstig intelligens er et viktig element.
Les mer i Fafo-rapporten Digitalisering, personvern og tillitsvalgtes medvirkning 2023:12)
Sjefsvare kan måle arbeidstakernes følelser, tanker og meninger gjennom:
- opptak fra webkamera
- automatisk gjennomgang av meldinger i interne chattekanaler
Sjefsvare kan måle arbeidsutførelse gjennom:
- antallet tastetrykk på datamaskinen i løpet av en bestemt tidsperiode
- hvilke applikasjoner som er benyttet
- bruk av sosiale media i arbeidstiden
De ansattes opplevelse av tiltaket
For tiltak som ikke har overvåking som hovedformål, er de ansattes opplevelse av å være overvåket et viktig moment i vurderingen av om tiltaket kan kalles overvåking.
Eksempel på tiltak som regnes som overvåking
En veiledningssak Datatilsynet hadde med LO og Abelia, gjaldt en virksomhet som arbeidet med kundeservice, og som gjorde skjermopptak av arbeidstakernes pc. Formålene med skjermopptakene var kompetanseheving og opplæring. Opptak ble bare gjort i 2,5 prosent av tiden, men de ansatte ble varslet om mulig opptak i 25 prosent av tiden.
I veiledningen la vi vekt på at det ikke var mulig for de ansatte å vite hvilke tidspunkt opptakene faktisk skjedde i. Vi la dessuten vekt på at den varslede tiden på 25 prosent utgjorde en betydelig del av arbeidsdagen. Siden tiltaket var utformet på en måte som kunne gi de ansatte en følelse av å være overvåket, mente vi at tiltaket ikke var i samsvar med e-postforskriften.
Tiltaket må ha en viss varighet
For at tiltaket skal defineres som overvåking, må det dessuten ha en viss varighet eller det må skje gjentatte ganger. Enkeltstående innsyn i e-post, vil derfor ikke defineres som overvåking. Dersom arbeidsgiveren gjør hyppige nok innsyn, kan det gli over i overvåking.
Eksempel på tiltak som regnes som overvåking
Automatisk videresending av e-post regnes som overvåking av elektronisk utstyr, fordi det er kontinuerlig. Formålet med videresendingen er ofte å ivareta kundeforhold når arbeidstakere er fraværende.
Det er viktig for arbeidsgivere å være klar over at kundeforhold ikke er ett av unntakene som gjør automatisk videresending lovlig. Kundeforhold kan derimot forsvare enkeltstående innsyn-
Les mer om dette i artikkelen om arbeidsgiverens innsyn i epost og filer.
2. Tiltaket gjelder arbeidstakernes "bruk av elektronisk utstyr"
Forbudet er knyttet til "bruk av elektronisk utstyr, herunder bruk av internett". Dette henger sammen med e-postforskriftens virkeområde.
E-postforskriften § 1. Virkeområde
"Forskriften her gjelder arbeidsgivers rett til innsyn i opplysninger lagret i
- e-postkasse som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet
- arbeidstakers personlige områder i virksomhetens datanettverk eller annet elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet.
Bestemmelsene gjelder tilsvarende for innsyn i opplysninger som er slettet fra områder som nevnt i første ledd som finnes på sikkerhetskopier eller tilsvarende."
Forbudet skal beskytte opplysninger om arbeidstakerne som kan hentes fra
- elektronisk utstyr som arbeidstakeren har fått fra arbeidsgiveren for å bruke i arbeidet
- måten arbeidstakeren bruker dette elektroniske utstyret på
Elektronisk utstyr kan for eksempel være:
- Datamaskiner
- Nettbrett
- Mobiltelefoner
- Printere
Bruk av denne typen utstyr gir arbeidsgiver mulighet til å overvåke for eksempel:
- e-post
- chattekanaler, som Zoom og Teams
- hvilke internettsider arbeidstakeren besøker
- hvor mye og ofte arbeidstakeren skriver ut
Tiltak vi ikke regner som overvåking av arbeidstakeres bruk av elektronisk utstyr
Når arbeidsgivere følger med på hva arbeidstakerne gjør, uten at det er knyttet direkte til hvordan arbeidstakerne bruker elektronisk utstyr, er vi utenfor forskriften.
Eksempler
Sitteplassregistrering
Noen arbeidsgivere ønsker å registrere hvor stor del av dagen de ansatte bruker på kontorplassen som er dedikert til dem. Et slikt tiltak måler ikke hvordan de ansatte bruker elektronisk utstyr og omfattes ikke av forbudet.
Adgangskontroll
For å komme inn i kontorbygg, er det som regel nødvendig å vise et adgangskort, kanskje med kode. Den som driver bygget vil da få vite hvem som er i bygget til enhver tid, hver dag. Adgangskontrollen måler ikke hvordan arbeidstakeren bruker elektronisk utstyr, og forbudet gjelder ikke for adgangskontroll.
GPS-overvåking av kjøretøy
Mange arbeidsgivere har GPS og sporing av yrkesbiler. Disse verktøyene kan samle inn opplysninger både om selve kjøretøyet og om den enkelte ansatte som kjører bilen. Sporingen er først og fremst knyttet til hvordan arbeidstakeren bruker bilen, ikke hvordan han eller hun bruker GPS-verktøyet. Det er derfor bare de vanlige reglene i personvernforordningen gjelder for GPS-overvåking. Du kan lese mer om dette i en egen veiledning om GPS og sporing av yrkesbiler.
Lydopptak
Selv om mobiltelefon også er elektronisk utstyr, har vi vurdert lydopptak til å falle utenfor overvåkingsforbudet. Arbeidsgiveren må likevel ha et rettslig grunnlag etter personvernforordningen for å gjøre lydopptak. Vi har skrevet om lydopptak i arbeidslivet i en egen veiledning.
3. Arbeidsgiveren har tilgang til personopplysningene
Den tredje delen av forbudet går ut på at arbeidsgiveren må ha tilgang til personopplysningene som behandles gjennom tiltaket. Dersom tiltaket ikke gir arbeidsgiveren informasjon om arbeidstakeren, gjelder ikke overvåkingsforbudet for tiltaket.
Eksempel på situasjoner hvor arbeidsgiveren ikke har tilgang til personopplysningene
Individuelt tilpasset opplæring i sikkerhet
I sandkasseprosjektet Secure Practice vurderte vi hvordan et verktøy som skulle profilere ansatte med formål å gi tilpasset opplæring i informasjonssikkerhet, kunne utformes.
Det var Secure Practice som skulle gi de ansatte opplæring. Anbefalingen fra sandkassa var å hindre at arbeidsgiveren fikk tilgang til opplysningene om hver enkelt ansatt. Virkemidlene som ble anbefalt var:
- skrive inn i kontrakten at Secure Practice ikke skulle gi opplysninger om enkeltansatte til arbeidsgiveren
- tekniske tiltak, som for eksempel kryptering
Med disse tiltakene ville ikke arbeidsgiveren få tilgang til opplysninger om hver enkelt ansatts interesse og kunnskap om informasjonssikkerhet. Det var derfor klart at arbeidsgiveren ikke overvåket de ansattes bruk av elektronisk utstyr.
Generativ KI med tilbakemelding bare til den ansatte
En virksomhet tar i bruk generativ KI som er bygd inn i e-postsystemet. En arbeidstaker skriver en e-post til sjefen og får tilbakemelding fra verktøyet om at tonen i e-posten er aggressiv. Verktøyet foreslår andre formuleringer for å gjøre e-posten høfligere.
Vi anbefaler at slike personlige tilbakemeldinger bare går til den ansatte og ikke samtidig til en administrator. Vi anbefaler at det heller ikke registreres statistikk knyttet til den ansatte, som blir gjort tilgjengelig for en administrator eller andre representanter for arbeidsgiveren. Så lenge bare den enkelte arbeidstakeren har tilgang til tilbakemeldingene fra KI-verktøyet, gjelder ikke overvåkingsforbudet.
Fjernsletting av data
En bedrift installerer programvare på arbeidstakernes mobile enheter (mobiltelefon, nettbrett eller pc) som innebærer at arbeidsgiverne kan slette data på enheter som blir mistet eller stjålet. Arbeidstakerne melder fra til arbeidsgiverne dersom de mister enheten. Arbeidsgiver sletter deretter innholdet, uten å få tilgang til innholdet.