Kan bedrifter "snoke" i tidligere medarbeideres e-post konto?
Kan bedrifter få innsyn i tidligere medarbeideres e-post konto etter oppsigelse? Og hvor lenge kan en e-post konto holdes åpen etter en oppsigelse? Det er strenge regler på plass i Norge, og i et nylig vedtak har Datatilsynet vurdert disse restriksjonene i en sak hvor en bedrift hadde holdt en tidligere medarbeiders e-post konto åpen i fem måneder etter arbeidsforholdets opphør.
Etter arbeidsforholdets opphør hadde en bedrift endret passordet til en tidligere medarbeiders e-post konto. I en periode på seks uker hadde bedriftens daglige leder logget seg inn på e-post kontoen daglig. Bedriften holdt også e-post kontoen åpen i fem måneder, og sikret dermed tilgang til e-post kontoen i nesten et halvt år etter at medarbeideren hadde forlatt bedriften.
Som et resultat av dette innga medarbeideren en klage til Datatilsynet som måtte vurdere om bedriften hadde handlet i strid med de gjeldende personopplysningsreglene.
E-post kontoer må som hovedregel stenges umiddelbart
Bedrifter kan kun lagre e-poster fra tidligere medarbeideres e-post kontoer innenfor en rimelig periode, og ikke mer enn i seks måneder. Hvis bedriften skal lagre e-postene er det imidlertid en betingelse at disse er nødvendige for den daglige driften og bedriften må ha en konkret grunn for at opplysningene ikke skal slettes.
Ifølge Datatilsynet hadde bedriften derfor klart brutt reglene om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale og gjeldende personopplysningsregler ved å holde e-post kontoen åpen.
E-post kontoer skal som hovedregel lukkes ved opphøret av et arbeidsforhold, med mindre det er særlige grunner fra bedriftens side for å holde den åpen. I slike tilfeller kan e-post kontoen likevel kun holdes åpen i en kort periode. Ved å holde e-post kontoen åpen i en så lang periode hadde bedriften handlet i strid med sine forpliktelser. Som en konsekvens måtte bedriften etablere internkontroll og rutiner for å sikre overholdelse fremover og betale et gebyr på NOK 150,000.
Når det vurderes innsyn i tidligere – eller nåværende – medarbeideres e-post konto kan man ifølge Datatilsynets generelle retningslinjer begrense risikoen for å handle i strid med reglene ved å:
- Sjekke om innsyn er lovlig etter reglene om kontrolltiltak
- Informere medarbeideren om interne rutiner og retningslinjer om bedriftens innsyn
- Vurdere om innsyn er nødvendig eller om mindre inngripende tiltak kan tas i bruk
- Vurdere om bedriften har det nødvendige rettslige grunnlaget for å behandle opplysningene
- Vurdere om bedriftens interesser veier tyngre enn medarbeiderens interesser
- Sikre at innsyn i e-post kontoen er proporsjonelt, og
- Undersøke om medarbeidere må varsles før innsyn i kontoen, og andre rettigheter.
IUNO mener
IUNO anbefaler at bedrifter nøye vurderer bruken av innsyn i både nåværende og tidligere medarbeideres e-post. Innsyn i medarbeideres e-post er et kontrolltiltak og kan virke inngripende for medarbeidere.
IUNO anbefaler derfor at bedrifter oppretter faste rutiner og prosedyrer både for innsyn i medarbeideres e-post, men også for hvordan medarbeideres e-post og andre elektroniske enheter skal håndteres ved opphør av arbeidsforholdet. Som et kontrolltiltak er det viktig at bedriften setter seg inn i, og overholder, de nasjonale reglene som kan variere fra land til land, så vel som pliktene og rettighetene som følger av personvernsforordningen.
[Datatilsynets vedtak av 7 juni 2021 i sak 20/02274]
Etter arbeidsforholdets opphør hadde en bedrift endret passordet til en tidligere medarbeiders e-post konto. I en periode på seks uker hadde bedriftens daglige leder logget seg inn på e-post kontoen daglig. Bedriften holdt også e-post kontoen åpen i fem måneder, og sikret dermed tilgang til e-post kontoen i nesten et halvt år etter at medarbeideren hadde forlatt bedriften.
Som et resultat av dette innga medarbeideren en klage til Datatilsynet som måtte vurdere om bedriften hadde handlet i strid med de gjeldende personopplysningsreglene.
E-post kontoer må som hovedregel stenges umiddelbart
Bedrifter kan kun lagre e-poster fra tidligere medarbeideres e-post kontoer innenfor en rimelig periode, og ikke mer enn i seks måneder. Hvis bedriften skal lagre e-postene er det imidlertid en betingelse at disse er nødvendige for den daglige driften og bedriften må ha en konkret grunn for at opplysningene ikke skal slettes.
Ifølge Datatilsynet hadde bedriften derfor klart brutt reglene om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale og gjeldende personopplysningsregler ved å holde e-post kontoen åpen.
E-post kontoer skal som hovedregel lukkes ved opphøret av et arbeidsforhold, med mindre det er særlige grunner fra bedriftens side for å holde den åpen. I slike tilfeller kan e-post kontoen likevel kun holdes åpen i en kort periode. Ved å holde e-post kontoen åpen i en så lang periode hadde bedriften handlet i strid med sine forpliktelser. Som en konsekvens måtte bedriften etablere internkontroll og rutiner for å sikre overholdelse fremover og betale et gebyr på NOK 150,000.
Når det vurderes innsyn i tidligere – eller nåværende – medarbeideres e-post konto kan man ifølge Datatilsynets generelle retningslinjer begrense risikoen for å handle i strid med reglene ved å:
- Sjekke om innsyn er lovlig etter reglene om kontrolltiltak
- Informere medarbeideren om interne rutiner og retningslinjer om bedriftens innsyn
- Vurdere om innsyn er nødvendig eller om mindre inngripende tiltak kan tas i bruk
- Vurdere om bedriften har det nødvendige rettslige grunnlaget for å behandle opplysningene
- Vurdere om bedriftens interesser veier tyngre enn medarbeiderens interesser
- Sikre at innsyn i e-post kontoen er proporsjonelt, og
- Undersøke om medarbeidere må varsles før innsyn i kontoen, og andre rettigheter.
IUNO mener
IUNO anbefaler at bedrifter nøye vurderer bruken av innsyn i både nåværende og tidligere medarbeideres e-post. Innsyn i medarbeideres e-post er et kontrolltiltak og kan virke inngripende for medarbeidere.
IUNO anbefaler derfor at bedrifter oppretter faste rutiner og prosedyrer både for innsyn i medarbeideres e-post, men også for hvordan medarbeideres e-post og andre elektroniske enheter skal håndteres ved opphør av arbeidsforholdet. Som et kontrolltiltak er det viktig at bedriften setter seg inn i, og overholder, de nasjonale reglene som kan variere fra land til land, så vel som pliktene og rettighetene som følger av personvernsforordningen.
[Datatilsynets vedtak av 7 juni 2021 i sak 20/02274]
Motta nyhetsbrevet vårt
