Det er sommer, og mange arbeidstakere der ute skal avvikle ferie. Noen arbeidsgivere tenker kanskje at det ville vært praktisk hvis de kunne fått videresendt innkommende e-post i ferien, slik at de ikke går glipp av noe viktig?
Datatilsynet har den siste tiden varslet og ilagt flere overtredelsesgebyrer for ulovlig videresending av ansattes e-postkasse. Slik ulovlig videresending kan få store økonomiske konsekvenser for arbeidsgiver, avhengig av hva som har skjedd i den enkelte saken, og det høyeste gebyret vi har ilagt så langt er på 250 000 kr.
Krenker både arbeidstakers og avsendernes rett til personvern
De spurte i Personvernundersøkelsen 2019/2020 mener at både hvem man kommuniserer med på e-post, og innholdet i kommunikasjonen, er svært beskyttelsesverdig. 87 prosent mener at det er viktig at lovverket beskytter informasjon om hvem man kommuniserer med på telefon og e-post, mens 93 prosent mener at det er viktig at lovverket særlig beskytter innholdet i kommunikasjonen. Disse tallene er nesten uendret siden 2014.
Dette spørsmålet gjaldt e-post generelt, men det er lett å tenke seg at det oppleves som minst like inngripende når arbeidsgiver får oversendt all e-post som kommer inn til din personlige e-postkasse på jobb. Mange arbeidstakere bruker også e-postkassen til private formål, som for eksempel kommunikasjon med skolen til barna deres.
Forbudt med automatisk videresending
Selv om arbeidsgiver ikke har onde hensikter, er det fort gjort å gå i baret her.
Det er faktisk ulovlig for arbeidsgiver å aktivere automatisk videresending av en nåværende eller tidligere ansatts e-postkasse. Dette følger av langvarig praksis både hos Datatilsynet og i Personvernnemnda. Likevel mottar Datatilsynet mange klager som gjelder situasjoner der en arbeidsgiver har aktivert automatisk videresending av en ansatts e-postkasse, for eksempel i forbindelse med sykefravær eller etter at arbeidstakeren har sluttet i jobben.
Automatisk videresending av arbeidstakers personlige e-postkasse på arbeidsplassen rammes av forbudet mot arbeidsgivers overvåking av den ansattes elektroniske utstyr på arbeidsplassen, og er ikke lovlig. Overvåking av elektronisk utstyr er kun tillatt dersom det skjer med det formål å administrere virksomhetens datanettverk eller å avdekke eller oppklare sikkerhetsbrudd i nettverket, og automatisk videresending av e-post oppfyller ikke dette unntaket.
Praktisk og dyrt
Personvernnemnda behandlet nylig en sak som gjaldt et overtredelsesgebyr for ulovlig automatisk videresending (PVN-2021-03). Saken gjaldt en arbeidsplass der en leder aktiverte automatisk videresending av en ansatts e-postkasse i forbindelse med arbeidstakeren var sykemeldt. Dette skjedde uten at arbeidstakeren fikk informasjon om videresendingen, og uten at arbeidsgiveren vurderte arbeidstakerens protester slik personvernforordningen (GDPR) krever at de gjør.
Vi ser alvorlig på denne typen saker fordi automatisk vidersending av en ansatts personlige e-postkasse er en grov krenkelse av hennes rett til personvern. Videresendingen krenker i tillegg personvernet til de personene som i god tro skriver til arbeidstakerens personlige e-postadresse.
Hva er forskjellen på innsyn og videresending?
Automatisk videresending betyr at arbeidsgiver forløpende får videresendt innkommende e-post til en e-postkasse. Dette har altså Datatilsynet og Personvernnemnda slått fast at er ulovlig.
Innsyn i e-postkasse betyr at arbeidsgiver ved en enkeltstående anledning går inn i arbeidstakerens e-postkasse. Til forskjell fra automatisk videresending, kan innsyn ved noen tilfeller være lovlig.
Personvernforordningen og de norske særreglene i forskrift om arbeidsgivers innsyn i e-postkasse og annet elektroniske materiale, gjerne kalt e-postforskriften, åpner for at arbeidsgiver på nærmere bestemte vilkår kan gjøre enkeltstående innsyn, for konkrete formål, i arbeidstakers e-postkasse.
Når dette er sagt er ikke innsyn i ansattes e-postkasse noe man skal gjøre bare fordi det er praktisk. Det er strenge regler i både personvernforordningen og e-postforskriften som må være oppfylt for at innsyn skal være lovlig. At en ansatt skal på ferie vil ikke i seg selv være nok til å gjøre innsyn. Her må arbeidsgiver bruke mindre inngripende tiltak, som at den ansatte aktiverer en fraværsassistent mens vedkommende er borte. Du finner mer veiledning om reglene for innsyn i e-postkasse på våre nettsider.
Skriftlige rutiner og grundige vurderinger
Innsyn i ansattes e-postkasse er et stort inngrep i deres personvern, og er ikke noe man som arbeidsgiver skal ta lett på.
Det er derfor viktig at arbeidsgivere har gode skriftlige rutiner som sørger for at arbeidsgiveren følger loven, og som gjør at arbeidstakerne skjønner når innsyn kan være aktuelt. Det er også viktig at arbeidsgivere gjør en grundig vurdering av om innsynet de planlegger er lovlig etter personvernforordningen og e-postforskriften før de setter i gang.
Husk at automatisk videresending ikke er lov, og at det er strenge vilkår som må være oppfylt hvis arbeidsgiver ønsker å gjøre enkeltstående innsyn for konkrete formål. Hvis arbeidsgiver bommer på dette, kan det som virker som en praktisk løsning for å ikke gå glipp av viktig e-post fort bli veldig dyrt.
Datatilsynets sommertips er altså; husk solkrem, og dropp automatisk videresending av e-post i ferien!