AGS Bloggen

Hva du bør vite om GDPR og innsyn i ansattes e-post

Skrevet av Alexander Renberg | 14. april 2020

 


Spørsmål om GDPR og innsyn i e-post

Det er ikke alltid like lett å vite hvordan man skal forholde seg til e-posten, kalenderen eller annen data som tilhører en person som skal slutte eller blir sykemeldt over en lengre periode. I dette innlegget skal vi gå gjennom noen av de tingene du bør ta stilling til som ansatt eller leder i en bedrift med hensyn til GDPR.

Hva er GDPR?

GDPR står for General Data Protection Regulation og er et EU tilpasset regelverk. Dette regelverket skal dekke hvordan vi håndterer og beskytter data og personvern. Det dekker også hvordan vi skal forholde oss til overføringen av informasjon utenfor EU. GDPR reglementet sitt mål er å sørge for at vi alle som individer har kontroll over hva slags data som er lagret på oss, samt hvor det er lagret og hvordan det behandles. 

 

Hvem passer på dette i Norge?

I tillegg til GDPR som er regulert av EU, har vi i Norge egne regelverk som publiseres og behandles av blant annet Datatilsynet og Lovdata. De norske reglene for dette, er det vi forholder oss til da de reguleres i tråd med EU direktoratets GDRP reglement. 

 

 

Datatilsynets regelverk har primærfokus på hvilke rettigheter du har som person i tillegg til hvordan dine data blir ivaretatt av bedriften du jobber i og andre steder informasjon om deg er lagret. Disse reglene er noe vi alle er pålagt å følge og vil derfor sette strenge krav for arbeidstakers rettigheter og arbeidsgivers mulighet for innsyn og behandling.

 

Her er 3 bestemmelser bør du vite om

I følge datatilsynet er det ikke lov å:

  1. beholde epost til ansatte som har sluttet.
  2. foreta innsyn i epost til en annen ansatt.
  3. videresende epost fra en ansatt som har sluttet.

Her er mer informasjon om dette:
https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/innsyn-epost-filer/

Reglementet gjelder også annen data som er knyttet til brukerens personlige jobbkonto. En jobbkonto eies av bruker ikke av arbeidsgiver og faller derfor under personvern.

Hvordan håndtere bestemmelsene ovenfor?

Som dere ser er reglene veldig strenge for man har rett til som arbeidsgiver og hva man har krav på som arbeidstaker. Det finnes noen unntak i reglene ovenfor, men de krever litt planlegging frem i tid. Vi anbefaler derfor å snakke med arbeidstaker ved ansettelse, behandle informasjon i kontrakt og igjen ved eventuell avslutning av arbeidsforhold, bruke oppsigelsestiden. 

 

Reglene for personvern sier følgende:

"Samtykke er ikke et lovlig grunnlag til innsyn. Det er heller ikke adgang til å fastsette en instruks eller inngå en avtale som går vekk fra bestemmelsene i forskriften til ugunst for arbeidstager."
Kilde: Datatilsynet

Ved tilpasning i arbeidsforholdet og bruk av oppsigelsestid, kan man dersom det er mistanke om grove brudd på lov eller arbeidstakerens plikter, eller dersom det er nødvendig for å ivareta driften videre, varsle arbeidstaker om gjennomføring av innsyn. Dette varslet skal inneholde hvorfor innsynet skal gjennomføres, ihht. til norsk lov og informasjon om arbeidstakers rettigheter.

"Arbeidstakeren skal så langt det lar seg gjøre gis anledning til å uttale seg før arbeidsgiveren gjennomfører innsynet, og han eller hun skal så langt som mulig gis anledning til å være til stede under selve gjennomføringen."
Kilde: Datatilsynet

Innsyn i epost og liknende er alltid en intern sak, og skal derfor være en avtale mellom arbeidsgiver og arbeidstaker og eventuell 3. part, som en advokat, rådgiver, fagforbund eller liknende.

"Arbeidstaker skal så langt som mulig gis anledning til å være til stede under gjennomføringen av innsynet og har rett til å la seg bistå av tillitsvalgt eller annen representant."
§ 2.Vilkår for innsyn https://lovdata.no/dokument/SF/forskrift/2018-07-02-1108

Både varsling og gjennomføring av innsyn er regulert og her bør dere gjøre dere kjent med prosessen på datatilsynet sine sider. Der står det blant annet en sjekkliste for hvordan innsynet skal gjennomføres.

 

https://www.datatilsynet.no/personvern-pa-ulike-omrader/personvern-pa-arbeidsplassen/innsyn-epost-filer/

I noen tilfeller vil kanskje brukerens passord være glemt eller tilgang være sperret, dersom alt er tilrettelagt internt i bedriften for gjennomføring av tilsyn, IT administrator kan gi tilgang eller passord, kun til den personen som eier epostkontoen. 

En annen mulighet som gir arbeidsgiver rett til innsyn er i tilfeller der arbeidstaker selv gir uoppfordret rett til innsyn. Dette er igjen en intern sak, der arbeidstaker f.eks. gir passordet til sin epost til arbeidsgiver når han/hun sier opp, da har dere fått tilgang selv og arbeidstaker er da selv ansvarlig for å begrense hva man gir tilgang til. 

"Arbeidstakeren kan imidlertid «uoppfordret» gi arbeidsgiveren tilgang til e-postkassen. «Uoppfordret» betyr at arbeidstakeren på eget initiativ og uten oppfordring fra arbeidsgiver gjør e-posten tilgjengelig for virksomheten."
Kilde: Datatilsynet

Husk at man som arbeidsgiver da ikke skal be om passord eller tilgang. I tillegg hvis det gjennomføres et innsyn, skal man så langt det lar seg gjøre, begrense søk i epost til bestemte søkeord eller adresser, og kun se på innholdet som er nødvendig for videre drift.

IT administrator, kan sette opp automatisk svar på epost i en periode der arbeidsforholdet er avsluttet, i oppsigelsestid eller i de tilfeller der arbeidstaker er midlertidig permittert eller syk, sette opp et automatisk svar. Dette automatisk svaret bør informere om status på arbeidsforholdet, hvem som kan kontaktes i stedet og eventuelt hvor lenge. Det er ikke lov å sette opp videresending av innkomne eposter til kontoen. Dette er både for å beskytte arbeidstaker og sånn at de som sender epost, vet hvor den sendes og kan velge mottaker selv. 

 

Konklusjon

Innsyn i epost er altså en intern sak mellom arbeidsgiver og arbeidstaker. Dersom det er behov for at vi sender et nytt passord eller liknende til arbeidstaker kan i utgangspunktet IT-leverandør gjøre dette, til den ansatte.

I utgangspunktet kan må man derfor i en bedrift forberede seg på uforutsette hendelser og legge en internplan for dette. Dersom man har spørsmål utover det vi informerer om her eller det datatilsynets sin informasjon, anbefales det å forholde seg til en advokat, rådgiver, et fagforbund eller liknende som jobber med disse reglene daglig. Datatilsynet kan også kontaktes. 

Brudd på regelverk, uansett bedrift eller IT-leverandør, kan medføre konsekvenser for bedrifter og personer involvert som resultat på brudd av regelverk. Man bør derfor være klar over og legge en plan for hvordan man kan løse innsyn i epost og hvordan man skal forholde seg til personvern loven.