Frågan om arbetsgivares rätt att kontrollera de anställdas e-postmeddelanden blir aktuell till och från. Norska Datatilsynet har nyligen publicerat ett beslut från slutet av 2020 där man ålagt ett bolag att betala 400 000 NOK för att bolaget vidarebefordrat en anställds e-post när denne varit sjuk. Vidarebefordringen aktiverades i samband med att den anställde blev sjukskriven och pågick i en månad.
I Sverige har det 2019 rapporterats, i tidningarna Kollega och Chef, om en vd för ett företag som fick dolda kopior på samtliga mail som skickades till de anställda. En anställd hade vänt sig till Unionen och ärendet resulterade i att företaget upprättade en it-policy så att alla anställda blev medvetna om att övervakning kunde ske.
Som Integritetetsutredningen konstaterade 2002 så lär det vara allmän sedvänja att arbetsgivare tillåter arbetstagare att använda till arbetet hörande datorutrustning privat. Den rådande uppfattningen i Sverige tills relativt nyligen har nog varit att arbetsgivaren har rätt att ta del av den e-post som finns i arbetsgivarens utrustning om inte annat följer av avtal eller lagstiftning.
Mot detta står arbetstagarens rätt till privatliv. På EU-nivå meddelade Europadomstolen för mänskliga rättigheter 2017 i domen Bărbulescu v. Romania att en arbetsgivare inte har rätt att övervaka sina anställda utan förvarning. Målet grundade sig på Artikel 8 av Europakonventionen om rätten till skydd för privat- och familjeliv.
I Norge finns denna fråga särskilt reglerad i en egen lag ”Forskrift om arbeidsgivers innsyn i e-postkasse og annet elektronisk lagret materiale”. E-postkonto som tillhandahålls av arbetsgivaren är särskilt reglerat och det finns specifika förutsättningar för när arbetsgivaren har rätt att kontrollera e-postkontot. Sådan kontroll får ske när det behövs för ett specifikt ändamål som krävs för att tillvarata driften av verksamheten och vid misstanke om grova överträdelser av arbetstagarens åtaganden.
I ovannämnda tillsynsärendet kom Datatilsynet fram till att vidarebefordringen hade skett i strid med gällande lagstiftning. Man hade således brutit mot GDPR och kravet på rättslig grund, kravet på korrekt information, kravet på rätten att göra invändningar och kravet på lämpliga organisatoriska åtgärder. Datatilsynet kritiserade bl.a. bolagets interna föreskrifter och rutiner.
Även om den rättsliga situationen är annorlunda i Norge kan man nog ändå analogiskt dra vissa slutsatser för Sveriges del. I enlighet med Bărbulescu v. Romania står det nog klart att det i de flesta fall behövs en intern policy för att arbetsgivaren ska ha rätt att kontrollera den anställdes e-post. En sådan policy skulle då ungefär kunna motsvara vad som på laglig väg reglerats i Norge.
I enlighet med Bărbulescu v. Romania skulle då följande vara avgörande för laglig åtkomst till anställdas e-post:
- Om den anställde har blivit informerad om sådan åtkomst från arbetsgivaren.
- Graden av övervakning och intrång i den anställdes privatliv.
- Om arbetsgivaren har lämnat legitima skäl till övervakningen.
- Om det hade varit möjligt att uppnå samma resultat med mindre ingripande åtgärder.
- Konsekvenserna för den anställde i termer av proportionalitet.
- Om det finns tillräckliga skyddsåtgärder för den anställde som begränsningar i vilken data som kan läsas.
Sammanfattningsvis bör samtliga organisationer ha en IT-policy och den ska reglera frågan om när arbetsgivaren får kontrollera den anställdes användning av IT-utrustning.
Bra artikel