I begynnelsen av februar varslet Datatilsynet selskapet Cyberbook AS om et gebyr på kr 200.000 for automatisk videresending av en tidligere ansatts e-post i strid med personvernreglene. Selskapet har fått en klagefrist før Datatilsynet treffer sitt endelige vedtak. Uansett hva det endelige utfallet måtte bli, minner dette oss på tre viktige sider ved personvern på arbeidsplassen.

For det første at det finnes klare begrensninger for arbeidsgivers adgang til å innføre kontrolltiltak, inkludert innsyn i ansattes e-postkasser og annet elektronisk lagret materiale. For det andre at arbeidsgiver alltid må passe på å ha et gyldig behandlingsgrunnlag for all behandling av personopplysninger. Og til slutt viktigheten av å ha tilfredsstillende sletterutiner for de personopplysningene som samles inn. Det er mye vi kunne sagt om disse temaene, men her vil vi kort omtale hovedprinsippene.

Overvåking av egne ansatte (kontrolltiltak)

Personopplysninger kan i noen tilfeller brukes til kontroll eller overvåking av egne ansatte. I en tid med mye bruk av hjemmekontor, kan det kanskje for noen arbeidsgivere bli ekstra fristende å følge litt mer med på hva den ansatte driver med. Digitale verktøy og ny teknologi muliggjør slik overvåking i større grad enn tidligere. I enkelte tilfeller har arbeidsgiver også et berettiget behov for å utføre kontrolltiltak overfor sine ansatte. Det skal nevnes at kontrolltiltak også må følge arbeidsmiljølovens bestemmelser om kontrolltiltak, i tillegg til de reglene som omtales her.

Ved kontrolltiltak som innebærer behandling av personopplysninger, må hensynet til arbeidsgivers behov veies opp mot den ansattes personverninteresser. Innsyn i arbeidstakerens e-post er ett slikt kontrolltiltak.
 

Innsyn i e-post

Når det gjelder innsyn i ansattes e-postkasser og annet elektronisk lagret materiale, er dette regulert i egen forskrift. Arbeidsgiver har i utgangspunktet ikke rett til slikt innsyn, men det finnes unntak for enkeltstående tilfeller og for konkrete formål. Kontinuerlig innsyn, slik det ble gjort i den nevnte saken, er ikke tillatt.

Lovlige formål for slikt innsyn er (1) dersom det foreligger begrunnet mistanke om grove brudd på arbeidstakerens plikter, eller forhold som kan medføre oppsigelse eller avskjed: og (2) dersom det er nødvendig for å ivareta driften eller andre berettigede interesser i virksomheten. Et eksempel på sistnevnte kan være behov for å følge opp virksomhetsrelatert korrespondanse ved ansattes fravær. Husk at dersom det finnes en mindre inngripende måte å oppnå formålet på, skal den velges.

Så langt det lar seg gjøre, skal arbeidstakeren få varsel i forkant og mulighet til å være til stede under innsynet. Dersom forhåndsvarsel ikke er mulig, skal arbeidstakeren få informasjon om innsynet og sine rettigheter straks innsyn er gjennomført.

Det kreves generelt åpenhet rundt bruken av innsyn, og arbeidsgiver bør derfor ha klare og skriftlige rutiner for når det kan foretas innsyn, på hvilken måte det blir gjort, og hvilke rettigheter arbeidstakeren har i slike tilfeller.

Behandlingsgrunnlag

Personopplysninger kan kun behandles dersom man har et gyldig rettslig grunnlag for behandlingen, altså det vi kaller behandlingsgrunnlag. Gyldige behandlingsgrunnlag fremgår uttrykkelig av personvernlovgivningen. Behandlingsgrunnlaget i forbindelse med innsyn i arbeidstakerens e-postkasse og annet elektronisk lagret materiale vil typisk være at kontrolltiltaket anses nødvendig etter en interesseavveining. I den nevnte saken kom Datatilsynet til at selskapet ikke hadde behandlingsgrunnlag for automatisk videresending av den tidligere ansattes e-post.

Samtykke er ikke et lovlig behandlingsgrunnlag for slikt innsyn. Arbeidstakeren kan imidlertid uoppfordret og på eget initiativ gi tilgang, ved for eksempel videresending av egen e-post ved fravær.  

Lagringstid og sletting av opplysninger om ansatte

En arbeidsgiver kan bare lagre personopplysninger så lenge det er nødvendig og det foreligger et gyldig behandlingsgrunnlag. Dersom disse vilkårene ikke lenger er oppfylt, skal opplysningene slettes.  

E-postkontoer skal som hovedregel slettes innen rimelig tid etter at arbeidsforholdet er avsluttet. Det samme gjelder andre opplysninger om den tidligere ansatte, dersom det ikke foreligger et legitimt formål og et gyldig behandlingsgrunnlag for fortsatt lagring. Her kan ulike typer opplysninger behandles ulikt. For eksempel skal enkelte personopplysninger fortsatt oppbevares i tråd med regnskapsloven, mens referater fra medarbeidersamtaler ikke lenger er nødvendig å oppbevare og må slettes.

Her er det derfor viktig å ha gode sletterutiner for ulike type opplysninger ved avslutning av arbeidsforhold.

I varselet har Datatilsynet, i tillegg til gebyret, pålagt Cyberbook å innføre skriftlige rutiner for innsyn i e-postkasser til ansatte og tidligere ansatte.

Du kan lese mer om den konkrete saken her på Datatilsynets hjemmeside: https://www.datatilsynet.no/aktuelt/aktuelle-nyheter-2021/cyberbook-as-far-gebyr/

Del på facebook

Del på LinkedIn