Datatilsynet har den siste tiden varslet og ilagt flere overtredelsesgebyrer for ulovlig videresending av ansattes e-postkasse. Slik ulovlig videresending kan få store økonomiske konsekvenser for arbeidsgiver, avhengig av hva som har skjedd i den enkelte saken, og det høyeste gebyret vi har ilagt så langt er på 250 000 kr.

Krenker både arbeidstakers og avsendernes rett til personvern

De spurte i Personvernundersøkelsen 2019/2020 mener at både hvem man kommuniserer med på e-post, og innholdet i kommunikasjonen, er svært beskyttelsesverdig. 87 prosent mener at det er viktig at lovverket beskytter informasjon om hvem man kommuniserer med på telefon og e-post, mens 93 prosent mener at det er viktig at lovverket særlig beskytter innholdet i kommunikasjonen. Disse tallene er nesten uendret siden 2014.

Dette spørsmålet gjaldt e-post generelt, men det er lett å tenke seg at det oppleves som minst like inngripende når arbeidsgiver får oversendt all e-post som kommer inn til din personlige e-postkasse på jobb. Mange arbeidstakere bruker også e-postkassen til private formål, som for eksempel kommunikasjon med skolen til barna deres.

Forbudt med automatisk videresending

Selv om arbeidsgiver ikke har onde hensikter, er det fort gjort å gå i baret her.

Det er faktisk ulovlig for arbeidsgiver å aktivere automatisk videresending av en nåværende eller tidligere ansatts e-postkasse. Dette følger av langvarig praksis både hos Datatilsynet og i Personvernnemnda. Likevel mottar Datatilsynet mange klager som gjelder situasjoner der en arbeidsgiver har aktivert automatisk videresending av en ansatts e-postkasse, for eksempel i forbindelse med sykefravær eller etter at arbeidstakeren har sluttet i jobben.

Automatisk videresending av arbeidstakers personlige e-postkasse på arbeidsplassen rammes av forbudet mot arbeidsgivers overvåking av den ansattes elektroniske utstyr på arbeidsplassen, og er ikke lovlig. Overvåking av elektronisk utstyr er kun tillatt dersom det skjer med det formål å administrere virksomhetens datanettverk eller å avdekke eller oppklare sikkerhetsbrudd i nettverket, og automatisk videresending av e-post oppfyller ikke dette unntaket.

Praktisk og dyrt

Personvernnemnda behandlet nylig en sak som gjaldt et overtredelsesgebyr for ulovlig automatisk videresending (PVN-2021-03). Saken gjaldt en arbeidsplass der en leder aktiverte automatisk videresending av en ansatts e-postkasse i forbindelse med arbeidstakeren var sykemeldt. Dette skjedde uten at arbeidstakeren fikk informasjon om videresendingen, og uten at arbeidsgiveren vurderte arbeidstakerens protester slik personvernforordningen (GDPR) krever at de gjør.

Vi ser alvorlig på denne typen saker fordi automatisk vidersending av en ansatts personlige e-postkasse er en grov krenkelse av hennes rett til personvern. Videresendingen krenker i tillegg personvernet til de personene som i god tro skriver til arbeidstakerens personlige e-postadresse.

Hva er forskjellen på innsyn og videresending?

Automatisk videresending betyr at arbeidsgiver forløpende får videresendt innkommende e-post til en e-postkasse. Dette har altså Datatilsynet og Personvernnemnda slått fast at er ulovlig.

Innsyn i e-postkasse betyr at arbeidsgiver ved en enkeltstående anledning går inn i arbeidstakerens e-postkasse. Til forskjell fra automatisk videresending, kan innsyn ved noen tilfeller være lovlig.

Personvernforordningen og de norske særreglene i forskrift om arbeidsgivers innsyn i e-postkasse og annet elektroniske materiale, gjerne kalt e-postforskriften, åpner for at arbeidsgiver på nærmere bestemte vilkår kan gjøre enkeltstående innsyn, for konkrete formål, i arbeidstakers e-postkasse.

Når dette er sagt er ikke innsyn i ansattes e-postkasse noe man skal gjøre bare fordi det er praktisk. Det er strenge regler i både personvernforordningen og e-postforskriften som må være oppfylt for at innsyn skal være lovlig. At en ansatt skal på ferie vil ikke i seg selv være nok til å gjøre innsyn. Her må arbeidsgiver bruke mindre inngripende tiltak, som at den ansatte aktiverer en fraværsassistent mens vedkommende er borte. Du finner mer veiledning om reglene for innsyn i e-postkasse på våre nettsider.

Skriftlige rutiner og grundige vurderinger

Innsyn i ansattes e-postkasse er et stort inngrep i deres personvern, og er ikke noe man som arbeidsgiver skal ta lett på.

Det er derfor viktig at arbeidsgivere har gode skriftlige rutiner som sørger for at arbeidsgiveren følger loven, og som gjør at arbeidstakerne skjønner når innsyn kan være aktuelt. Det er også viktig at arbeidsgivere gjør en grundig vurdering av om innsynet de planlegger er lovlig etter personvernforordningen og e-postforskriften før de setter i gang.

Husk at automatisk videresending ikke er lov, og at det er strenge vilkår som må være oppfylt hvis arbeidsgiver ønsker å gjøre enkeltstående innsyn for konkrete formål. Hvis arbeidsgiver bommer på dette, kan det som virker som en praktisk løsning for å ikke gå glipp av viktig e-post fort bli veldig dyrt.

Datatilsynets sommertips er altså; husk solkrem, og dropp automatisk videresending av e-post i ferien!

Veldig private opplysninger

I Personvernundersøkelsen 2019/2020 kom det fram at vi opplever opplysninger om privatøkonomien vår som særlig beskyttelsesverdig, faktisk mer enn opplysninger om hvem vi kommuniserer med på telefon og e-post, og opplysninger om hvor vi har vært og hvor vi beveger oss.

En kredittvurdering av en enkeltperson eller et enkeltpersonforetak, sier veldig mye om enkeltpersoners privatøkonomi. For eksempel sier den noe om inntekt, eventuelle betalingsanmerkninger, og gjeldsgrad. I tillegg inneholder kredittvurderingen en poengsum som angir sannsynligheten for at personen vil kunne betale for seg.

En kredittvurdering inneholder altså veldig private opplysninger om oss, og de fleste vil derfor oppleve det som veldig ubehagelig å bli kredittvurdert av et selskap vi ikke har noe forhold til. Både det at opplysningene i seg selv er veldig private, og at det oppleves veldig ubehagelig for den enkelte, er også grunnen til at Datatilsynet ser alvorlig på denne typen lovbrudd og vanligvis reagerer med overtredelsesgebyr.

Kan ikke benyttes til private formål

Mange virksomheter har avtaler med kredittopplysningsselskaper, og har fri tilgang til å kredittvurdere enkeltpersoner og enkeltpersonforetak gjennom en nettportal eller integrert API i regnskapssystemet sitt. Selv om en virksomhet har tilgang til å gjøre kredittvurderinger, er det ikke fritt frem. Vi ser ofte at virksomhetenes adgang brukes av de ansatte til å foreta kredittvurderinger for mer private formål, for eksempel naboer eller tidligere ektefeller. Selv om virksomheten har et kredittvurderingsverktøy, betyr ikke det at man kan bruke det til private formål.

Når du som ansatt eller eier av en virksomhet vil kredittvurdere noen, er det viktig at dere holder dere innenfor personvernforordningens rammer. Det aller viktigste er at virksomheten må ha et rettslig grunnlag for å kredittvurdere den aktuelle personen.

Når Datatilsynet vurderer om en kredittvurdering er lovlig vil vurderingstemaet ofte være om virksomheten som har gjort kredittvurderingen (den behandlingsansvarlige) hadde en «berettiget interesse», eller et «saklig behov» som det het i den opphevede personopplysningsforskriften, for å kredittvurdere akkurat denne personen (den registrerte). Vi ser da blant annet på forholdet mellom den behandlingsansvarlige og den registrerte, og om det var påregnelig for den registrerte å bli kredittvurdert av virksomheten.

Et kjapt søk kan fort bli dyrt

En nylig avgjørelse fra Personvernnemnda er illustrerende. I nemndas sak PVN-2020-21 hadde daglig leder i «Flisleggingssenter AS» kredittvurdert naboen sin. Daglig leder var bekymret for at naboen ikke skulle kunne betale for eventuelle skader på hans eiendom i forbindelse med byggearbeider på naboeiendommen. Han mente altså at han som privatperson hadde et saklig behov for å kredittvurdere naboen sin, og brukte derfor jobbens kredittvurderingsverktøy til å kredittvurdere naboen.

Personvernnemnda konkluderte, i likhet med Datatilsynet, med at Flisleggingssenter AS ikke hadde en «berettiget interesse» i å kredittvurdere naboen – kort oppsummert fordi personen aldri hadde hatt noe med flisleggingssenteret å gjøre. Nemnda uttalte at daglig leders kredittvurdering til private formål åpenbart var i strid med loven, og at saken innebar en grunnleggende krenkelse av naboen personvernrettigheter. Flisleggingssenteret ble ilagt et gebyr på 150 000 kroner, og pålagt å lage bedre skriftlige rutiner.

Hvis den som blir kredittvurdert aldri har hatt noe med virksomheten å gjøre, men kun har blitt kredittvurdert fordi noen i virksomheten personlig mente å ha et saklig behov for dette, så er veien kort til å konkludere med at loven er brutt. Hvis du mener å ha behov for en kredittvurdering som privatperson må du gjøre det på riktig måte, og kontakte kredittopplysningsselskapet direkte som privatperson.

En ubetenksom kredittvurdering kan bli veldig dyr. I saken med flisleggingssenteret indikerte Personvernnemnda at gebyret på 150 000 kroner i alle fall ikke var for høyt. Det kan derfor tenkes enda høyere gebyrer for ulovlige kredittvurderinger i fremtiden avhengig av saken.

Viktig med skriftlige rutiner

For å forhindre lovbrudd og sørge for at kredittvurderinger bare skjer innenfor lovens rammer bør alle virksomheter som bruker kredittvurderingsverktøy lage skriftlige rutiner som sier noe om når det er lov å kredittvurdere og ikke. Det er viktig at slike rutiner også følges opp med god opplæring.

Husk at kredittvurderinger alltid skal ha et rettslig grunnlag, og at det som kanskje kan virke som en praktisk løsning for å finne ut av om noen kan betale for seg fort kan bli veldig dyrt.