Magma topp logo Til forsiden Econa

magma1708_forening_30_img_020

Advokat i Econa

Når kan arbeidsgiver sjekke e-posten din?

Rettstilstanden etter Barbulescu vs. Romania

Innledning

Den europeiske menneskerettsdomstolen (EMD) behandlet i høst en sak fra Romania om innsyn i ansattes e-post. Saken gjeldt ansattes bruk av virksomhetens internettverktøy til å sende privat e-post. Domstolen kom til at arbeidsgiver ikke hadde anledning til å foreta innsyn i en ansattes e-post idet dette var et brudd på Den europeiske menneskerettskonvensjonen (EMK) artikkel 8 om «retten til privatliv og korrespondanse». Avgjørelsen ble tatt av EMDs storkammer, som er ankeinstans for EMDs ordinære avgjørelser.

Flertallet kom i denne saken til at den nasjonale domstolen ikke hadde sørget for en tilstrekkelig beskyttelse av Barbulescus rettigheter etter EMK.

Denne artikkelen skal si litt om innsyn i ansettes e-post og internettlogger generelt, men også informere litt om den nye dommen.

Lovverk

I 2009 ble det gitt nye regler om innsyn i ansattes e-post. Både arbeidsmiljøloven og personopplysningsforskriften fikk nye bestemmelser som regulerer når arbeidsgiver kan foreta innsyn i ansatte e-postkasse og internettlogger.

Reglene kodifiserte gjeldende rett, men det nye var at arbeidslivets parter nå på en klar og tydelig måte fikk kommunisert reglene. Regulatorisk er regelen plassert i både arbeidsmiljøloven og personopplysningsforskriften. Arbeidsmiljøloven kapittel 9 omhandler kontrolltiltak i arbeidslivet. Paragraf 9–5 om «innsyn i arbeidstakers e-post mv.» viser til reglene som er plassert i personopplysningsforskriften kapittel 9.

Når innsyn kan foretas

Reglene gjelder også arbeidstakers bruk av internettbaserte e-postkasseverktøy og søk på internettsider. I utgangspunktet er det i to situasjoner arbeidsgiver kan foreta innsyn:

  • Når det er nødvendig for arbeidsgiver for å ivareta virksomhetens daglige drift og andre berettigede interesser.
  • Dersom arbeidsgiver har en begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, som kan medføre oppsigelse eller avskjed.

Vi ser her at det er to typetilfeller når arbeidsgiver kan foreta innsyn.

I det første tilfellet er innsyn tillatt av hensyn til virksomhetens daglige drift. Her trenger altså ikke arbeidstaker ha gjort noe galt som berettiger innsyn. Situasjoner som kan tenkes, er hvor arbeidstaker har blitt syk eller på annen måte ikke har tilgang til e-postkassen sin. I et slikt tilfelle vil arbeidsgiver kunne ha behov for å gå inn i den ansattes e-postkasse for å sikre at frister ikke går tapt, at e-poster fra kunder/leverandører/samarbeidspartnere blir besvart, osv.

Det andre tilfellet reiser flere problemstillinger. I disse tilfellene vil arbeidsgiver måtte ha en begrunnet mistanke om at den ansatte har gjort noe galt. Dette kan være at man har brukt e-postkassen til å starte konkurrerende virksomhet, driver med trakassering eller mobbing av kollegaer, bruker e-posten til ulovlig fildeling eller nedlastning av ulovlige pornografiske sider o.l. Også i slike situasjoner vil arbeidsgiver kunne være berettiget til å foreta innsyn i e-postkasse eller internettlogger.

Drøftings- og informasjonsplikt?

Arbeidsgiver er pålagt en drøftingsplikt før innføring av kontrolltiltak generelt. Dette innebærer at dersom arbeidsgiver i det hele tatt åpner for å foreta innsyn i ansattes e-post, skal dette informeres om på forhånd.

Fremgangsmåte

Personopplysningsforskriften bestemmer at arbeidstaker så langt det er mulig, skal informeres om innsynet og skal «få anledning til å uttale seg». I varselet skal også arbeidstaker gis en begrunnelse for hvorfor arbeidsgiver ønsker å foreta innsyn, og at arbeidstaker skal gis anledning til å være til stede når innsynet gjennomføres. I tillegg skal varselet informere arbeidstaker om arbeidstakers rettigheter. Arbeidstaker skal også gis anledning til å ta med seg en tillitsvalgt.

Vi ser av og til at arbeidsgiver forsøker å hevde at alvorlighetsgraden på det mistenkte lovbruddet er så grov at de ikke varsler arbeidstaker på forhånd. Et annet tenkt tilfelle kan være at arbeidsgiver er redd for at arbeidstaker skal slette eventuelle bevis eller spor. Etter Econas mening er det sjelden at det haster slik at arbeidstaker ikke varsles på forhånd. I tilfellene som nevnt ovenfor er det ikke noe i veien for å ta en speilkopi av datamaskinen og e-postkassen. I personvernretten er det et bærende prinsipp at dersom man kan oppnå samme resultat med mindre inngripende midler, så skal det midlet som er minst inngripende, velges. Dersom arbeidsgiver mener at faren for bevisforspillelse er høy, eller at lovbruddet er så grovt, kan arbeidsgiver speilkopiere hele brukerområdet, inkludert e-postkasse, og deretter sende varsel om innsyn til den ansatte. Innsynet kan så gjennomføres i det speilkopierte materialet. På denne måten sikres den ansatte kontradiksjon samtidig som arbeidsgivers behov blir oppfylt.

Protokoll

Det bør også føres protokoll fra innsynet, og vi anbefaler blant annet at følgende punkter tas med i protokollen:

  • Lengden på innsynet.
  • Hvem som var til stede.
  • Hvilke e-poster som ble åpnet, og om disse e-postene var klassifisert som private eller ei.
  • Hvilke søkeord som ble benyttet i innsynet. Disse kan man gjerne bli enige om på forhånd.

Protokollen bør signeres av alle involverte parter.

Betydningen av retningslinjer

Mange virksomheter har i dag en it-/datainstruks. Arbeidsgiver betinger seg ofte rett til å foreta innsyn om visse vilkår er oppfylt. Tradisjonelt har Datatilsynet vært tilbakeholdne med å ilegge overtredelsesgebyr i de sakene hvor arbeidsgiver har varslet om mulighetene for innsyn på forhånd gjennom for eksempel en datainstruks.

I september kom det imidlertid en ny dom fra Den europeiske menneskerettsdomstolen (EMD), som modifiserer dette utgangspunktet. En rumensk ingeniør med salgsansvar, Bodan Barbulescu mistet jobben etter at virksomheten han arbeidet i, avdekket bruk av privat e-postkasse i arbeidstiden. Bruken av e-postkasse fra yahoo.com var forholdsvis omfattende, og virksomheten dokumenterte bl.a. en 45 sider lang utskrift av e-poster mellom ham og hans familie. Virksomheten sa opp Barbulescu for brudd på virksomhetens interne reglement. Tidligere hadde også en ansatt blitt avskjediget fordi han hadde brukt internett til private formål. Arbeidsgiver hadde da kommunisert til andre ansatte hvorfor vedkommende mistet jobben.

Da Barbulescu stevnet arbeidsgiveren sin for ugyldig terminering av arbeidsforholdet, kom rumensk høyesterett til at avskjeden var gyldig. Hovedbegrunnelsen var at Barbulescu gjennom den tidligere ansattes avskjedigelse hadde fått en advarsel om at virksomheten ikke tolererte bruk av virksomhetens e-post- og internettverktøy til private formål.

Barbulescu aksepterte ikke dommen fra rumensk høyesterett og løftet saken inn for EMD. EMDs ordinære domstol kom imidlertid frem til samme resultat, med samme hovedbegrunnelse som rumensk Høyesterett. Det var ikke brudd på EMK artikkel 8.

Barbulescu på sin side aksepterte heller ikke EMDs avgjørelse og anket til EMDs storkammer. Det er kun de mest prinsipielle sakene som slipper igjennom til storkammeret, og dommene herfra gis mer vekt enn andre dommer fra den ordinære domstolen.

EMDs storkammer kom til at rumenske myndigheter ikke på en tilstrekkelig måte hadde beskyttet Barbulescus rett til et privatliv og privat korrespondanse. Avgjørelsen ble avsagt under dissens 11–6.

Storkammeret diskuterte ikke om Barbulescu hadde en berettiget forventning til personvern, som har vært tema for tidligere avgjørelser om innsyn i e-post og internettlogger fra EMD, men uttalte derimot at arbeidsgivers retningslinjer ikke kan være så strenge at arbeidstakers rett til et privatliv og privat korrespondanse reduseres til null. Arbeidstakers rett til et privatliv og privat korrespondanse må fortsette å eksistere, selv med arbeidsgivers begrensninger.

I tillegg hadde heller ikke rumenske myndigheter klart å skape en rettferdig balanse mellom Barbulescus rett til privatliv og arbeidsgivers rett til selv å bestemme hvilke regler og retningslinjer som skal gjelde for sin egen virksomhet. Rumenske domstoler hadde ikke tatt stilling til om Barbulescu hadde fått tilstrekkelig advarsel om at hans korrespondanse kunne bli overvåket, eller om arbeidsgiver hadde gitt tilstrekkelig informasjon om både overvåkingen og omfanget. Domstolene hadde heller ikke vurdert hvor stor inngripen i Barbulescus privatliv og korrespondanse overvåkingen hadde medført.

I tillegg mente domstolen at rumenske myndigheter også burde vurdert

  • om arbeidsgiver hadde saklig grunn til å introdusere kontrolltiltaket (innsyn i e-post og internettlogger),
  • om arbeidsgiver kunne brukt noen andre, mindre inngripende kontrolltiltak for å oppnå samme formål, og
  • om arbeidsgiver fikk tilgang til den private korrespondansen uten at Barbulescu fikk kunnskap om det.

Dommen antas å ha stor betydning for arbeidstakers rett til privatliv og privat korrespondanse, også på arbeidsplassen. Uavhengig av om arbeidsgiver uttrykkelig har forbudt å benytte virksomhetens dataverktøy til private formål, har arbeidstaker likevel krav på personvern på arbeidsplassen.

Sanksjoner fra Datatilsynet

Dersom arbeidstaker mener at arbeidsgiver har foretatt ulovlig innsyn i e-post eller internettlogger, kan arbeidstaker klage dette inn for Datatilsynet.

I løpet av de siste årene har det vært flere saker for Datatilsynet hvor arbeidsgiver har blitt ilagt et overtredelsesgebyr. Gebyrene har variert i størrelsesorden etter hvor alvorlig Datatilsynet mener overtrampet er. Typisk har overtredelsesgebyrene ligget på rundt kr 75 000.

Ny forordning

Den observante leser har fått med seg at ny personvernforordning vil tre i kraft i slutten av mai 2018. Personvernforordningen vil gjelde for EU og EØS-landene. Kort fortalt betyr personvernforordningen at de enkelte medlemsland må ha like regler på personvernrettens område.

Forordningen åpner for at nasjonalstatene også i fremtiden vil kunne ha egne nasjonale regler på arbeidslivets område. Justis- og beredskapsdepartementet har foreslått å videreføre reglene om innsyn i e-post- og internettlogger.

Avslutning

Econa ser fra tid til annen it- og datainstrukser som betinger arbeidsgivers rett til innsyn i all e-post og internettlogger hvor arbeidsgivers dataverktøy benyttes. Arbeidsgiver ønsker altså å foreta innsyn i e-poster også om de er klassifisert som private. Slike klausuler vil antagelig nå være ugyldige etter EMDs avgjørelse. Econa er glad for avgjørelsen, og mener at den er et skritt i riktig retning for sikringen av arbeidstakers personvern, også på arbeidsplassen.


© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS