En ansatt har sluttet – hva gjør jeg med e-post og data?

Mange arbeidsgivere har funnet seg selv i denne situasjonen; en sentral ansatt har sluttet, gjerne på kort varsel. Man har ikke hatt tid til å få overført viktig kundeinformasjon, dokumenter og meldinger som har vært lagret og håndtert fra den ansattes private mailkonto eller i den ansattes private dokumentområder. Hvordan unngår man å bli en identitetstyv?

Artikkelen er skrevet av Espen Riktor / Riktorsoft AS. Han er «Certified Data Protection Officer» fra EIPA (European Institute of Public Administration) i Maastricht.
Riktor er også styreleder i Fagdata AS.


Bakgrunn

Fagdata håndterer oppsett og drift av slike e-postkontoer og dataområder for en lang rekke bedrifter. Vi mottar jevnlig spørsmål knyttet til denne problemstillingen. I mange tilfelle har forespørslene et slikt innhold at det ville være i strid med norsk lov å etterkomme dem. Dette kan i sin tur lett lede til frustrasjon og usikkerhet for de som sitter med problemstillingen.

Denne artikkelen er skrevet med ønske om å gi deg som arbeidsgiver en bedre forståelse av hva man har lov til å foreta seg med tidligere ansattes data, e-post og øvrige, personlige IT-utstyr og tjenester. Vi har også laget en liste over ting man bør tenke på når en ansatt slutter i jobben eller er utilgjengelig for en lengre periode, slik at man ikke mister kontroll over informasjon og kommunikasjon av betydning for virksomheten.


Hva sier loven?

EU’s reviderte personvernlovgivning, den såkalte GDPR, eller på norsk, Personvernforordningen, ble i 2018 innlemmet i norsk lov gjennom endring av den norske Personopplysningsloven og trådte i kraft 20. juli 2018. Samtidig med at den nye loven trådte i kraft, kom det også en ny forskrift om arbeidsgivers innsyn i ansattes e-postkasse og annet elektronisk lagret materiale. Forskjellen i virkeområdet for disse to lovtekstene, er kort forklart denne:

Det kan ofte være vanskelig for en arbeidsgiver å skille disse to problemstillingene, så her er en presisering som kanskje kan være til hjelp.


Sett i perspektiv av Personopplysningsloven – er jeg en identitetstyv?

Arbeidsgiver har gjerne gjennom eierskap til systemer og dataløsninger, i praksis ubegrenset tilgang til den ansattes påloggingskoder og identiteter knyttet til systemene. Dette er nødvendig for at den ansatte skal kunne få tilgang til virksomhetens dataverktøy for å gjøre jobben sin. Dette eierskapet fører imidlertid også med seg et stort ansvar, og kan gjøre arbeidsgiver strafferettslig ansvarlig dersom dette ikke forvaltes riktig.

Personopplysningsloven er tindrende klar på at enhver form for «påtatt identitet» er et brudd på loven. Ved håndtering av brukerkontoer betyr dette i praksis at det er et lovbrudd å la noen andre enn den som er identifisert som eier av den aktuelle kontoen, å benytte seg av en tjeneste ved bruk av kontoen. Tenker man igjennom dette, er det lett å finne gode grunner til at det må være slik. Tenk bare på hva som kan skje når noen jobber i et system pålogget med din identitet;


Her er en liten huskeliste som hjelper deg slik at ikke du blir en identitetstyv:


Sett i perspektiv av Forskrift om arbeidsgivers innsyn i ansattes e-post m.m.

Det har de siste årene vært en del profilerte saker i media, der en arbeidsgiver har gjort urettmessige innsyn i en ansattes e-postkasse eller private lagringsområder. Det kan være mange gode grunner til at man som arbeidsgiver kan behøve å gå igjennom e-poster og dokumenter som i utgangspunktet kun er tilgjengelige for den ansatte. Det finnes også en rekke mindre akseptable motiver for slike handlinger. Forskriften gir både en klar avgrensning av i hvilke situasjoner arbeidsgiver kan gjøre slike innsyn, og hvordan arbeidsgiver må gå frem når innsyn skal foretas. Det er verdt å merke seg at bestemmelsene også gjelder innsyn i tidligere ansattes dataområder og e-post.


Lovlig innsyn kan kun gjøres;


Lovlig innsyn kan kun gjøres i;

Det er dermed aldri lov å gjøre innsyn i ansattes private e-postkontoer som f.eks. gmail, hotmail og andre, eller på utstyr eiet av den ansatte selv.

Har du behov for å gjennomføre et slikt innsyn, er det en rekke krav til fremgangsmåte, dokumentasjon og logging. Datatilsynet har en artikkel om dette her. Store virksomheter bør ha egne prosedyrer og verktøy for å sikre lovmessig behandling av slike innsyn.


Noen eksempler

Her er noen eksempler på identitetstyveri og urettmessig innsyn i privat e-postkasse gjennomført i «god tro» av arbeidsgiver selv:


Vær lur – vær lovlydig

Det beste er å unngå å havne i en situasjon der det kan være fristende å omgå loven. Å komme dit behøver ikke være så vanskelig. Her er noen enkle tiltak og rutiner som kan bidra til å sikre at man sjelden eller aldri kommer i en slik knipe:

På denne måten unngår du å bli en identitetstyv og komme på kant av loven . Du vil også bli en populær og respektert leder hos dine ansatte. For mer informasjon, se Datatilsynets informasjonssider.

Lykke til!

Fagdata AS © 2019 | Personvern