Datatilsynets referanse: 10/00348-10/MHN

PVN-2011-01 Arbeidsgivers innsyn i e-post

Klage på Datatilsynets vedtak om å avslutte sak om arbeidsgivers innsyn i e-post uten ileggelse av overtredelsesgebyr

Personvernnemndas avgjørelse av 6. august 2011 (Eva I. E. Jarbekk, Arve Føyen, Ørnulf Rasmussen, Tom Bolstad, Leikny Øgrim)

1 Innledning

Personvernnemnda har ved oversendelse fra Datatilsynet mottatt en klage på Datatilsynets vedtak om å avslutte en sak om arbeidsgivers innsyn i e-post.

2 Saksgang

Datatilsynet mottok en henvendelse fra Advokatfirmaet Bakke på vegne av en privatperson vedrørende gjennomført innsyn i e-post i regi av arbeidsgiver.

Datatilsynet ba i brev av 7.6.2010 om redegjørelse fra arbeidsgiver. Brevet ble besvart 1.7.2010, hvor nye rutiner for innsyn i e-post mv lå vedlagt.

Klager kom med kommentar til arbeidsgivers redegjørelse i brev datert 3.8.2010. Datatilsynet kom med merknader til arbeidsgiver i brev av 20.9.2010, hvorpå saken ble avsluttet fra tilsynets side. Arbeidsgiver bekreftet i brev av 30.9.2010 at det ville foretas en gjennomgang og revisjon av rutinene i tråd med Datatilsynets merknader.

I e-post av 20.11.2010 etterspurte klager klagemuligheter. Klager ble orientert i brev av 6.12.2010 om klagemulighetene. Klage ble sendt Datatilsynet 14.12.2010.

Saken ble oversendt Personvernnemnda 10.2.2011, som mottok saken 18.2.2011. Klager ble orientert om dette i brev fra nemnda datert 21.2.2011, med frist til uttalelse innen 10.3.2011. Klager kommenterte Datatilsynets oversendelsesbrev i brev av 8.3.2011. Arbeidsgiver kommenterte saken i brev av 8.3.2011.

3 Faktum

Saken dreier seg om arbeidsgivers rett til innsyn i arbeidstakers e-postkasse, jf personopplysningsforskriften kapittel 9.

4 Klagers anførsler

Klager anfører at bruddene på personopplysningsforskriften er såpass alvorlige at det burde utløse en reaksjon fra Datatilsynets side, jf personopplysningsloven § 46. Klager kritiserer at Datatilsynet har slått seg til ro med å kritisere arbeidsgivers håndtering av saken. Det vises til at tilsynet har vært for lite kritisk til at bedriften ikke vurderte speilkopiering i forkant av innsynet. Klager anfører videre at vilkårene for innsyn ikke var oppfylt og at tilsynet burde ha etterspurt dokumentasjon som underbygger arbeidsgivers hypotese om at klager skal ha hatt tilgang til et dokument som skulle håndteres konfidensielt.

Klager hevder at det foreligger en rekke brudd på de relevante paragrafene og at bruddene er såpass alvorlige at de burde utløse sterkere reaksjon fra Datatilsynet.

Klager hevder at arbeidsgivers hovedformål med innsyn var å avsløre andre medarbeideres mulige tillitssvikt. Det er betenkelig at klagers e-postkasse blir brukt som ”brekkjern” for å avsløre andre medarbeidere. Arbeidsgiver har selv bekreftet at innsyn ble foretatt for å bringe på det rene eventuelle forbindelseslinjer mellom ansatte med tilgangsstyring og klager og for øvrig hvilken befatning klager hadde med dokumentet.

Klager anfører at opplysningene lett kunne vært fremskaffet uten innsyn i e-post og at arbeidsgiver handlet i panikk for å finne inkriminerende bevis i klagers e-postkasse.

Innsynet var ikke tilstrekkelig saklig begrunnet. Det vises til eksempler på Datatilsynets hjemmeside som viser til alvorlige hendelser slik som ulovlig fildeling, barneporno, spam, trakassering av kolleger etc. I denne saken dreide det seg om et dokument som arbeidsgiver allerede visste at klager var i besittelse av.

5 Datatilsynets vurdering

Datatilsynet mener at arbeidsgiver utvilsomt har brutt prosedyrebestemmelsen i personopplysningsforskriften. Tilsynet har derfor funnet det nødvendig å kritisere selskapets håndtering av hendelsen samt gjennomgå interne rutiner for innsyn i e-post for å sikre etterlevelse av regelverket. Tilsynet har allerede hensyntatt anførslene om manglende varsel i forkant, unnlatt speilkopiering og mangelfull underretning.

Når det gjelder vilkår for innsyn i e-post kan klagers anførsler om at terskelen i henhold til Datatilsynets egen hjemmeside synes å være høyere, at arbeidsgivers på forhånd visste at klager hadde tilgang til rapporten, samt anførselen om at Datatilsynet burde ha bedt om nærmere dokumentasjon for å underbygge arbeidsgivers hypotese om at arbeidstaker ble gitt tilgang til et område han ikke skulle hatt, leses i retning av at personopplysningsforskriften § 9-2 ikke var oppfylt. Tilsynet nøyer seg med å kommentere at det ut fra disse opplysningene synes som om arbeidsgiver hadde grunnlag for å gjøre innsyn i e-post, dog at en forutgående varsling trolig kunne avverget dette behovet. Dette blir imidlertid ikke avgjørende for Datatilsynet, da arbeidsgiver har tatt hensyn til tilsynets merknader og gjennomgått rutiner for innsyn i e-post for å sikre fremtidig etterlevelse av bestemmelsene. Datatilsynet har følgelig ikke funnet grunn til å ilegge overtredelsesgebyr etter personopplysningsloven § 46.

Datatilsynet kan ilegge overtredelsesgebyr etter personopplysningsloven § 46 på visse vilkår. Siden ikrafttredelsen har tilsynet i lag gebyr i to saker som omhandlet arbeidsgivers innsyn i e-post. I begge saker hadde arbeidsgiver tilgang til arbeidstakers e-postkasse over en lengre periode, slik at innkommet og utgående e-postmeldinger ble gjort tilgjengelig/videresendt til arbeidsgiver. Arbeidsgivers handlemåte i disse sakene innebar etter Datatilsynets vurdering et klart inngrep i arbeidstakers krav på personvern. Til forskjell fra de nevnte saker har arbeidsgiver i denne saken gjort et enkeltstående innsyn i arbeidstakers e-postkasse. Søket har vært begrenset til e-postmeldinger som inneholdt et gitt dokument, og resultatet av innsynet var at tre e-postmeldinger med vedlegg ble åpnet. Samtlige inneholdt det omtalte dokumentet. Arbeidsgivers unnlatte varsling samt etterfølgende varsling først tre uker senere er å anse som brudd på prosedyrene i personopplysningsforskriften § 9-3, men Datatilsynet har ikke funnet grunn til å ilegge overtredelsesgebyr.

6 Personvernnemndas merknader

Denne saken dreier seg om arbeidsgivers innsyn i ansattes e-postkasse.

Personopplysningsforskriften kapittel 9 regulerer arbeidsgivers rett til innsyn i arbeidstakers e-postkasse. Vilkår for innsyn følger av personopplysningsforskriften § 9-2:

Arbeidsgiver har bare rett til å gjennomsøke, åpne eller lese e-post i arbeidstakers e-postkasse

a) når det er nødvendig for å ivareta den daglige driften eller andre berettigede interesser ved virksomheten,

b) ved begrunnet mistanke om at arbeidstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet, eller kan gi grunnlag for oppsigelse eller avskjed.

I denne saken er det klart at arbeidsgiver har brutt prosedyrene for innsyn i ansattes e-postkasse. Arbeidsgiver skal i henhold til forskriftens § 9-3 forhåndsvarsle: ”Arbeidstaker skal så langt som mulig varsles og få anledning til å uttale seg før arbeidsgiver gjennomfører innsyn etter dette kapittelet”. Dersom den ansatte ikke varsles på forhånd, skal han varsles umiddelbart etter at innsyn er foretatt: ”Er innsyn foretatt uten forutgående varsel, skal arbeidstaker gis skriftlig underretning om dette så snart innsynet er gjennomført”. Personvernnemnda er enig med Datatilsynet i at det var fullt mulig å varsle på forhånd, jf personopplysningsforskriften § 9-3. Selv om det ikke hadde vært mulig, ville under alle omstendigheter varsling så lenge etter at innsyn var gjennomført vært et brudd på prosedyrene i forskriften.

Spørsmålet er hvorvidt Datatilsynet burde ha reagert strengere, jf klagers anførsel om at arbeidsgivers brudd på personopplysningsforskriftens prosedyrebestemmelser burde ha resultert i en reaksjon fra Datatilsynets side, jf personopplysningsloven § 46. Det er på det rene at Datatilsynet har vurdert å ilegge overtredelsesgebyr etter personopplysningsloven § 46. Datatilsynet skal da særlig vurdere en del momenter, jf § 46 annet ledd som lyder ”Ved vurderingen av om overtredelsesgebyr skal ilegges, og ved utmålingen, skal det særlig legges vekt på” (vår utheving). Momentene i bokstavene a – h er altså både retningsgivende for spørsmålet om gebyr skal ilegges og for størrelsen av gebyret. Dette er av hensyn til etterprøvbarhet, forutsigbarhet og rettssikkerhet for publikum. Datatilsynet må dokumentere i sitt vedtak at momentene har vært særlig vurdert. Hvis ikke, vil Personvernnemnda ikke kunne overprøve vedtaket. Lovgiver synes å ha foretatt et bevisst valg av en spesiell lovgivningsteknikk – dette ”skal” vurderes – og nemnda oppfatter at dette binder Datatilsynet i kriteriene for vurdering. Lovgivningsteknikken gir etter nemndas oppfatning et signal om at grunnlaget for beslutningen skal være eksplisitt og ikke en sammenfattende helhetsvurdering. Datatilsynet har vurdert en del punkter og har deretter konkludert med at en sanksjon i form av et overtredelsesgebyr vil være en for streng reaksjon i denne saken sett i sammenheng med tidligere saker som Datatilsynet har vurdert som alvorligere. Dette er ikke i samsvar med den nevnte lovgivningsteknikk og nemnda kan ikke gjennomføre den etterprøving som forutsettes i en klagesak.

Vedtaket oppheves som mangelfullt begrunnet. Saken sendes tilbake til Datatilsynet for ny behandling.

7 Vedtak

Vedtaket oppheves og saken sendes tilbake til Datatilsynet.

 

 

Oslo, 6. august 2011

Eva I E Jarbekk
Leder