Magnus Legal Bloggen

Innsyn i ansattes e-post

Skrevet av Eirik G Kristoffersen - Advokatfullmektig | 16. februar 2021

Når har du som arbeidsgiver mulighet til å gjøre innsyn i ansattes e-post?  Og hvilke regler må du i så fall passe på? Her får du reglene som gjelder når arbeidsgiver skal gjøre innsyn i ansattes e-post. Få også tilgang til gratis guide om behandling av personopplysninger.

I hvilke tilfeller kan du gjøre innsyn i ansattes e-post?

I følgende tilfeller er det lovlig for arbeidsgiver å gjøre innsyn i ansattes e-post og/eller private filer på virksomhetens nettverk.

  1. Hvis arbeidsgiver har grunn til å anta at det er informasjon i mailboksen som er nødvendig for å ivareta den daglige driften av virksomheten, eller for å ivareta andre berettigede interesser ved virksomheten. For eksempel om en arbeidstaker er syk eller fraværende over lengre tid og det er grunn til å tro at det har kommet e-poster til arbeidstaker som er viktige for driften.
  2. I tilfeller hvor det er begrunnet mistanke om grove brudd på de plikter som følger av arbeidsforholdet eller der arbeidsgiver mistenker at arbeidstakers bruk av e-postkassen kan gi grunnlag for oppsigelse eller avskjed. For eksempel ved mistanke om at arbeidstaker benytter e-postkassen til straffbare forhold som nedlastning av ulovlig materialer eller at en arbeidstaker trakassere kollegaer.  

Løse antakelser er ikke tilstrekkelig for at arbeidsgiver kan ha lovlig innsyn etter punkt 2. Det må foreligge konkret informasjon, som for eksempel tips fra kolleger eller annen informasjon.

Merk at arbeidstaker selv kan gi arbeidsgiver tillatelse til innsyn når som helst.

Innsyn i arbeidstakers personlige område på virksomhetens datanettverk

Innsyn i ansattes e-post reguleres i forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale, og gjelder e-postkassen som arbeidsgiver har stilt til disposisjon til bruk i arbeidet i virksomheten.

Forskriften regulerer også arbeidsgivers anledning til å gjennomsøke arbeidstakers personlige område i virksomhetens datanettverk og i annet elektronisk utstyr som arbeidsgiver har stilt til arbeidstakers disposisjon til bruk i arbeidet ved virksomheten.

Arbeidsgiver kan også få innsyn i filer som arbeidstaker har slettet fra disse områdene, men som fortsatt er lagret på sikkerhetskopier eller lignende som arbeidsgiver har tilgang til. 

Merk: Bestemmelsene gjelder ikke for innsyn i utstyr som den ansatte selv eier, selv om dette noen ganger blir benyttet i arbeidet ved virksomheten.

Les også: GDPR – Trenger din virksomhet personvernombud?

Fremgangsmåte ved innsyn

Arbeidsgiver må så langt det er mulig varsle arbeidstaker i forkant av innsynet og arbeidstaker må få anledning til å uttale seg før arbeidsgiver gjennomfører innsyn. I varselet må du som arbeidsgiver begrunne hvorfor vilkårene for innsyn er oppfylt og orientere om arbeidstakers rettigheter.

Hvis det er mulig skal arbeidstaker få være tilstede når innsynet skjer. Arbeidstaker kan da la seg bistå av tillitsvalgt eller annen representant om han eller hun ønsker det.

Vi anbefaler at arbeidsgiver fører protokoll sammen med arbeidstakeren under selve innsynet, for å unngå at det oppstår uenigheter i etterkant om hva som faktisk ble gjort.  

Innsyn uten varsel

Dersom du gjennomfører innsyn uten å varsle arbeidstaker i forkant, skal arbeidstaker få skriftlig beskjed om dette snarest. I tillegg til begrunnelse for hvorfor arbeidsgiver mener vilkårene for å foreta innsynet er tilstede, skal det opplyses om:

  • hvilke rettigheter arbeidstakeren har etter forskriften
  • hvilken metode som er benyttet ved innsynet
  • hvilke e-poster eller andre dokumenter som ble åpnet
  • resultatet av innsynet

Merk: Innsyn må gjennomføres på en slik måte at dataene så langt som mulig ikke endres og at frembrakte opplysninger kan etterprøves.

Merk at arbeidsgiveren skal informere den ansatte så raskt det lar seg gjøre. 

Les mer om hvordan vi kan hjelpe deg på nettsiden: Personvern og GDPR

Sletting når arbeidsforholdet tar slutt

Når et arbeidsforhold avsluttes skal arbeidstakerens e‑postkasse stenges. Innhold som ikke er nødvendig for den daglige driften av virksomheten skal slettes innen rimelig tid.

Hovedregelen om sletting er beskrevet i personopplysningsforordningen artikkel 5 bokstav e, som sier at personopplysninger skal lagres slik at det ikke er mulig å identifisere de registrerte i lengre perioder enn det som er nødvendig for formålene som personopplysningene behandles for.

Behandler din virksomhet personopplysninger? Her kan du laste ned en gratis guide hvor vi gjennomgår grunnkrav for hva som må til for at din virksomhet kan behandle personopplysninger og personvernrutinene dere må ha på plass.

 

Artikkel først publisert oktober 2017, oppdatert februar 2021.