Kan arbeidsgiver åpne mine private filer eller lese e-posten min?

§ Aktuelt i arbeidslivet
Kan arbeidsgiver åpne mine private
filer eller lese e-posten min?
De siste månedene har arbeidsgivers innsynsrett i de ansattes e-post blitt en het potet i media.
Mye av avisskrivingen skyldes skandalene i Redningsselskapet og i Vinmonopolet, hvor Datatilsynet
i begge tilfellene endte med å politianmelde arbeidsgiver for snoking i de ansattes e-post.
Samtidig har det fra myndighetenes hold pågått et arbeid for å regulere arbeidsgivers adgang til
å iverksette kontroll og overvåking av sine ansatte, herunder kontroll av ansattes e-post og datafiler.
Dette lovarbeidet har naturlig nok skapt debatt, og resultatet vil bli å finne i arbeidsmiljøloven
fra og med januar 2006. I all hovedsak innebærer de nye reglene at prinsipper som allerede
fulgte av ulovfestet rett før ikrafttredelsen, nå fremgår klart av loven.
Av Anne Amanda Norendal, rådgiver i Norges Farmaceutiske Forening
På de fleste arbeidsplasser er bruk av
pc en temmelig uproblematisk sak. De
fleste arbeidsgivere godtar at de ansatte
bruker systemet deres til enkelte
private gjøremål, for eksempel til å
sende e-post eller til å sjekke nettbanken
og skrive brev. I de tilfeller hvor
spørsmålet om arbeidsgiver kan sjekke
hva arbeidstakeren har foretatt seg på
virksomhetens datasystemer, hvem
vedkommende har sendt e-poster til,
hva innholdet i disse e-postene er
osv., beror dette som regel på en av
følgende årsaker:
• Den ansatte er borte fra arbeidet
(f.eks. fordi vedkommende er syk
eller på ferie) og arbeidsgiver har
behov for å vite at det ikke ligger
ubesvarte ordre i innboksen, eller at
saker er fulgt opp og behandlet.
• Det er mistanke om at arbeidstaker
på en eller annen måte går bak
ryggen på arbeidsgiver. Det er for
eksempel grunn til å tro at arbeidstaker
er i ferd med å starte opp konkurrerende
virksomhet, eller viderebringer
forretningshemmeligheter til
konkurrenter.
• Det er mistanke om at arbeidstaker
bruker arbeidsgivers datasystemer til
virksomhet som er i strid med norsk
lov, f.eks. til å laste ned barneporno.
• Det er mistanke om at vedkommende
opptrer i strid med virksomhetens
interne instrukser, for eksempel ved
å videresende filmer med uønsket
innhold, eller ved å laste ned store
mengder filmer eller musikk.
Hovedregel: Innsynsrett i
virksomhetsrelatert e-post ved
samtykke
Hovedregelen er at arbeidsgiver kan
gå inn og sjekke de ansattes virksomhetsrelaterte
e-post dersom den ansatte
selv gir samtykke til det. Dette er for
så vidt uproblematisk. Men for ordens
skyld bør et slikt samtykke alltid
komme til uttrykk skriftlig, slik at det
ikke oppstår uoverensstemmelser i
etterkant om hva det egentlig ble gitt
tillatelse til. Når det gjelder e-post og
filer som åpenbart er av privat karakter,
vil arbeidsgiver som hovedregel
ikke ha noen saklig begrunnelse for
innsyn, og har derfor i utgangspunktet
heller ikke noen rett til å be om samtykke
til det. Innsyn i private e-poster
og filer er i utgangspunktet altså forbudt.
Likevel kan det tenkes tilfeller
hvor arbeidsgiver har en saklig interesse
til å gjøre seg kjent med innholdet
i privat informasjon som ligger lagret
på arbeidsgivers datasystemer, og
at dette hensynet etter en konkret vurdering
veier tyngre enn vedkommendes
krav på personvern. Det skal
understrekes at dette kun vil være
aktuelt i sjeldne unntakstilfeller, f.eks.
dersom det er konkrete mistanker om
illojalitet eller brudd på interne
instrukser og rutiner, les mer om dette
nedenfor.
Retningslinjer for bruk av
datasystemet
Arbeidsgiver kan ha legitime og saklige
grunner for å skaffe seg innsyn i de
ansattes virksomhetsrelaterte filer og
e-poster i enkelte tilfeller. Eksempelvis
vil et slikt behov kunne oppstå
dersom den ansatte er fraværende
over noe tid. Ifølge Datatilsynet skal
hver enkelt virksomhet ha utarbeidet
retningslinjer for bruk av datasystemet
på arbeidsplassen. Retningslinjene
skal blant annet si noe om de ansattes
rett til å bruke systemet til private formål,
og om i hvilke situasjoner de
ansatte må regne med at arbeidsgiver
kan åpne e-postkassen eller filer som
ligger lagret lokalt på maskinen hos
den enkelte ansatte. Arbeidsgivers
adgang til de ansattes virksomhetsrelaterte
filer og e-poster er med andre
ord avhengig av at arbeidsgiver har et
saklig behov for innsyn, og dertil at
det finnes interne regler som regulerer
innsynsretten. Det er selvfølgelig også
et vilkår at de ansatte er gjort kjent
med retningslinjene, slik at de har et
incitament til å innrette seg etter dem.
Dersom arbeidsgiver ikke har utarbeidet
retningslinjer som regulerer når
arbeidsgiver kan åpne virksomhetsrelaterte
filer og e-poster, må arbeidsgiver
isteden gå veien om samtykke
fra den som berøres av innsynet.
Hva skiller e-poster og filer av
privat karakter fra det som er
virksomhetsrelatert?
Det opereres med et markant skille
mellom e-poster og filer av privat
karakter og virksomhetsrelatert informasjon.
Private e-poster og filer kan
arbeidsgiver som hovedregel aldri
32 NORSK FARMACEUTISK TIDSSKRIFT 1/2006

lese. Virksomhetsrelatert informasjon
kan arbeidsgiver lese dersom det er et
saklig behov for det, og det enten gis
samtykke eller følger av interne retningslinjer
for virksomheten. Om en
fil eller en e-post hører til den ene
eller andre kategorien, vil bero på en
helhetsvurdering i hvert enkelt tilfelle.
Viktige momenter i denne vurderingen
er blant annet om filen eller e-posten
er merket med «privat» eller liknende,
hvem som er mottaker og sender
og hvilken tittel filene eller e-postene
er gitt. Dersom arbeidstakeren
selv hevder at informasjonen er av privat
karakter skal dette tillegges vekt i
vurderingen, men vil ikke nødvendigvis
være avgjørende dersom det er
andre momenter som trekker i en
annen retning. Den konkrete situasjonen
vil også ha betydning for vektleggingen
av momentene ovenfor.
I virksomhetens retningslinjer for
bruk av datasystemet, kan det med
fordel beskrives hvilke kriterier som
vil bli lagt til grunn ved vurderingen
av om det skal foretas innsyn eller ei.
Retningslinjene bør videre si noe om
hvordan e-poster og filer eventuelt
skal merkes for å skille mellom det
som er virksomhetsrelatert og det som
er privat.
Forbud mot å bruke virksomhetens
systemer til private
formål
I kraft av arbeidsgivers rett til å lede,
fordele og kontrollere arbeidet, dvs.
styringsretten, kan arbeidsgiver bestemme
at de ansatte bare får bruke
virksomhetens datasystemer til jobbrelaterte
formål. Det vil si at de ikke
får lov til å laste ned filer til privat
bruk, lagre egne private dokumenter,
bruke arbeidsgivers e-post til å sende
og motta e-post av privat art etc. Selv
om arbeidsgiver har brukt styringsretten
sin på denne måten, betyr ikke det
at arbeidsgiver på den måten har
blancofullmakt til å lese all e-post som
kommer inn på virksomhetens systemer.
Grunnen til det er at det er umulig
å styre hva som faktisk kommer inn
i innboksen. Man kan jo ikke gardere
seg mot at andre bruker e-postadressen
til å sende e-post av privat karakter,
for eksempel bilder fra en fest etc.
Slike e-poster vil ikke arbeidsgiver
kunne åpne og lese på tross av virksomhetens
interne regler om at job-
bens datasystemer er forbeholdt
arbeidsrelaterte formål. Det arbeidsgiver
derimot kan gjøre er å utarbeide
et reglement eller en instruks hvor det
fremgår at eventuelle e-poster av privat
art som kommer inn over virksomhetens
e-postsystemer skal slettes
umiddelbart av mottaker.
Hvordan skal innsynsretten i
virksomhetsrelaterte e-poster
og filer utøves?
Når det er på det rene at arbeidsgiver
i det aktuelle tilfellet har adgang til å
åpne virksomhetsrelatert e-post eller
filer, må arbeidsgiver velge riktig fremgangsmåte.
Arbeidsgiver må informere
den ansatte på forhånd om at
innsyn er ønsket. Så fremt den ansatte
er tilgjengelig, bør vedkommende
være til stede under selve åpningen av
e-postene og filene, slik at vedkommende
selv kan sortere ut hva som er
virksomhetsrelatert og hva som er av
privat karakter. Klarer man ikke å få
tak i den ansatte, er det viktig at vurderingen
av om filen eller e-posten er
privat eller ikke, er tatt før den åpnes.
Tyder filnavnet som er valgt, ev. overskriften
i e-posten, på at innholdet er
av privat karakter, så skal den ikke
åpnes. Skjer det en feil her, slik at en
e-post eller en fil som tilsynelatende
er av virksomhetsrelatert karakter,
likevel viser seg ikke å være det, skal
den lukkes snarest. Når den ansatte
selv ikke er med under åpningen, bør
det alltid være en representant for
vedkommende til stede, gjerne en tillitsvalgt,
som kan følge med på hva
som skjer. I etterkant av gjennomgangen
bør den ansatte få informasjon
om hvilke filer og e-poster arbeidsgiver
har åpnet, og fremgangsmåten
bør være godt dokumentert.
Mistanke om straffbare forhold,
illojal opptreden eller
brudd på interne regler
Ved mistanke om at arbeidstaker
begår straffbare forhold via arbeidsgivers
datasystemer, for eksempel ved
å spre barnepornografi eller selge narkotiske
stoffer, skal arbeidsgiver snarest
melde fra til politiet, istedenfor å
åpne vedkommendes e-post og filer.
Arbeidsgiver skal ikke drive etterforskning,
og det kan fort skje at
arbeidsgiver ødelegger viktige bevis i
en eventuell senere straffesak dersom
Aktuelt i arbeidslivet §
det foretas innsyn uten at de nødvendige
forholdsregler er tatt.
Det skjer fra tid til annen at arbeidsgiver
mistenker at den ansatte bryter
interne regler eller instrukser, eller
opptrer illojalt, f.eks. ved å starte opp
eller å drive egen konkurrerende virksomhet
ved hjelp av arbeidsgivers
datasystemer. I slike tilfeller må det
foretas en interesseavveining mellom
arbeidsgivers interesse i innsyn, og
arbeidstakers krav på personvern. Her
vil det blant annet ha betydning hva
mistanken gjelder, og forholdets alvorlighetsgrad.
Det er et minstekrav at
forholdet er så grovt at det kan føre til
oppsigelse. Det har også betydning
hva som ligger til grunn for mistanken.
Dersom det er mulig å få bekreftet
mistanken på en annen og mindre
inngripende måte, skal dette forsøkes
først. Når det eventuelt er besluttet at
det skal gjennomføres innsyn, er det
viktig at arbeidsgiver følger samme
fremgangsmåte som ved innsyn i virksomhetsrelatert
informasjon, jf. ovenfor.
Konsekvenser av brudd på
personopplysningsloven
Dersom arbeidsgiver ikke overholder
disse reglene, vil det være et brudd på
personopplysningsloven. Det er Datatilsynet
som er satt til å forvalte personopplysningsloven,
og som behandler
klager som gjelder brudd på personvernet.
Datatilsynet kan reagere på
slike lovbrudd med pålegg om å rette
opp i forholdene, og dersom pålegget
ikke etterkommes kan det bli tale om
tvangsmulkt eller erstatningsplikt.
Dersom Datatilsynet anser bruddet
for forsettlig eller grovt uaktsomt vil
den ansvarlige kunne bli straffet med
bøter og eventuelt fengsel dersom forholdet
blir politianmeldt. Typiske
brudd som vil kunne politianmeldes
er tilfeller hvor arbeidsgiver åpner de
ansattes private e-poster og filer, uten
noen legitim grunn.
Mer informasjon om personvern og
kontrolltiltak finner du på hjemmesiden
til Datatilsynet:
www.datatilsynet.no
NORSK FARMACEUTISK TIDSSKRIFT 1/2006 33