Når kan du lese ansattes e-post?

Etter at det i mange år har vært uklare og vanskelig tilgjengelige regler som regulerer virksomhetens adgang til å lese ansattes e-post, har myndighetene omsider kommet med regler som til en viss grad klargjør denne praktisk viktige situasjonen.

Ifølge advokat Nils Ole Bay i Arntzen de Besche Advokatfirma regulerer bestemmelsene innsyn i alt elektronisk utstyr virksomheten eier og som er stilt til den ansattes disposisjon. Reglene er gitt i et nytt kapittel 9 i personopplysningsforskriften.

- Som etter de tidligere reglene kan arbeidsgiver bare få innsyn hvis det er nødvendig for å ivareta et saklig formål i virksomheten. De nye reglene angir klarere hvilke få situasjoner hvor det foreligger et tilstrekkelig nødvendig og saklig behov for virksomheten til at innsyn kan skje, sier Bay til HegnarOnline.

En viktig endring fra de tidligere reglene er at samtykke fra arbeidstaker ikke lenger vil kunne gi et selvstendig grunnlag for innsyn. Utgangspunktet i den nye forskriften er at arbeidsgiver ikke har adgang til innsyn i ansattes e-post, og unntak gjelder kun i to tilfeller.

- Det ene tilfellet er der innsyn er nødvendig for å ivareta den daglige driften, eller ”andre berettigede interesser ved virksomheten”. Et typisk eksempel på slikt innsyn er der den ansatte har sykefravær, og det er nødvendig at kolleger får gjennomgått innkommet e-post for å besvare henvendelser, sier Bay.

- Også her må imidlertid virksomheten vurdere om ikke behovet kan løses på annen måte, for eksempel ved fraværsmarkering som oppgir kontaktdetaljer til en kollega, fortsetter Bay.

Kan virksomhetens behov løses for den ansatte på en mindre inngripende måte, er prinsippet at virksomheten skal velge en slik alternativ løsning.

Mistanke om grove pliktbrudd

Bay forklarer at det andre tilfellet der innsyn kan være tillatt er der virksomheten har begrunnet mistanke om at den ansatte ved bruk av e-post har gjort seg skyldig i grovt brudd på de pliktene som følger av arbeidsforholdet. Eksempler på grove pliktbrudd kan være trakassering av kolleger, brudd på taushetsbestemmelser eller andre illojale handlinger.

- Det må imidlertid foreligge konkrete holdepunkter for mistanken før innsyn kan skje, for eksempel ved at arbeidsgiver har fått melding fra mottaker av e-post om kritikkverdig opptreden, eller at den generelle administrasjonen av it-systemet har avdekket kritikkverdig bruk, for eksempel nedlasting av ulovlig materiale, fildeling eller lignende, sier advokaten.

Fremgangsmåten

Arbeidstakeren skal ”så langt mulig” både varsles om innsynet og begrunnelsen for innsynet før arbeidsgiver undersøker e-posten. Hun skal så langt mulig også gis mulighet til å uttale seg i forkant, og til å være til stede når innsyn finner sted.

- Dette skal bestrebes fra virksomhetens side, og unntak vil først og fremst være aktuelt der det av tidsmessige grunner er nødvendig med øyeblikkelig innsyn, for eksempel for å vareta driftsmessige behov i virksomheten, forklarer advokaten.

Mange virksomheter vil nødig informere de ansatte av frykt for at elektroniske spor kan bli forsøkt slettet.

- Et effektivt mottiltak mot dette vil imidlertid være å sørge for speilkopiering av den aktuelle elektroniske dokumentasjonen, noe som også nevnes av departementet som en mulighet i deres merknader til forskriftsbestemmelsene, sier Bay.

Betydningen for virksomhets datainstruks

- Min erfaring er at de fleste datainstrukser som regulerer virksomhetens innsyn i ansattes e-post, har bestemmelser om samtykke til innsyn, fortsetter advokaten.

Blant annet av den grunn innebærer de nye reglene at svært mange virksomheter vil måtte gjøre endringer i sine instrukser, slik at de blir i samsvar med de nye bestemmelsene som gjelder fra 1. mars 2009.

Overtredelse ikke straffbart

- Innsyn i strid med bestemmelsene er ikke straffbart, men virksomheten kan bli ilagt overtredelsesgebyr fra Datatilsynet. Overtredelse kan også gi grunnlag for erstatning til den som har blitt utsatt for ulovlig innsyn, forklarer advokat Bay til HegnarOnline.