Arbeids(retts)lunsj

Advokater fra Simonsen Vogt Wiigs arbeidsrettsavdeling med gjester tar i denne podcasten opp temaer som er aktuelle for mange arbeidsgivere, og gir praktiske råd som ledere kan ta med seg videre. Vi viser ingen slider, så få podcasten på øret og kom deg ut i dagslyset mens du fyller på med kompetansehevende stoff og får litt mosjon samtidig!

All Episodes

Arbeids(retts)lunsj

Arbeids(retts)lunsj episode 41: Kan sjefen din lese e-postene dine?

April 11, 2025

I denne episoden av Arbeids(retts)lunsj diskuterer Lill Egeland og Thomas Olsen et viktig og komplekst tema: Når og hvordan kan en arbeidsgiver få tilgang til en ansatts e-post? Episoden tar for seg:

Lovverket som gjelder – herunder e-postforskriften, GDPR og arbeidsmiljøloven.
Kravene som må oppfylles for at en arbeidsgiver lovlig kan åpne en ansatts e-postkonto.
Typiske situasjoner der innsyn kan være aktuelt, som sykefravær, forretningskritisk informasjon og mistanke om illojalitet.

Videre diskuterer de praktiske og juridiske prosesser som må følges, inkludert:

Forhåndsvarsling og dokumentasjon – hvordan sikre en korrekt og rettferdig prosess.
Hvordan innsynet bør gjennomføres for å ivareta både virksomhetens behov og den ansattes personvern.
Sletting av e-post etter endt arbeidsforhold – et ofte oversett, men viktig tema.

Dette er en informativ og praktisk episode for både arbeidsgivere og ansatte som ønsker å forstå hvor grensene går for innsyn i e-post på arbeidsplassen.

[00:00:03] Lill: Hei og velkommen til en ny episode av Arbeids(retts)lunch. Jeg heter Lill Egeland og er advokat i Advokatfirmaet Simonsen Vogt Wiig. I dag er jeg heldig å ha med meg kollega Thomas Olsen i studio. Hei Thomas.

[00:00:18] Thomas: Ja, hei Lill

[00:00:19] Lill: Dette blir gøy Thomas, du er jo en ekspert på personvern. Ikke bare er du ekspert, men du har jo doktorgrad i personvern i tillegg til at du er en praktiserende advokat og det er jo en rar og fin kombinasjon.

[00:00:31] Thomas: Jo, takk for det.

[00:00:33] Lill: Og tema som vi skal snakke om i dag, det er innsyn i e-post. Og dette er jo et område hvor våre to fagfelt møtes, arbeidsrett versus personvern. Og situasjonen vi står overfor i dag, det er jo at vi har arbeidsgiver som tenker «Fader rullan, jeg trenger å gå inn i e-postkassa eller i det digitale området til en arbeidstaker og får lyst til å gjøre det, og i så fall «what to do», hva skal man tenke på, hva vilkårene, hvordan skal man gå frem?»

[00:01:11] Så det blir spennende. Og så skal jeg si dette, og det sier jeg alltid, De som hører på dette må komme seg ut på tur. Det er liksom konseptet på denne podcasten, at hvis du kommer deg ut og går, så får du med deg mer. Så det er derfor det også heter arbeids parentes rettslunch, fordi det begynte så med en tanke om at folk kunne gå ut på en arbeidslunch og lære seg ting.

[00:01:30] Så ut og gå, og hør på oss nå. Ok, Thomas. Så vi står der. Arbeidsgiver har lyst til å gjøre innsyn i e-posten. Hva skal man gjøre? Hva skal man tenke på? Vi begynner med vilkårene, av hva som egentlig skal til for å få lov å gjøre innsyn.

[00:01:45] Thomas: Ja, det vi skal se er jo at det er flere regelsett man bør tenke på.

[00:01:51] Men i Norge så har vi jo noen særlige regler, en egen forskrift om arbeidsgivers innsyn i e-postkasse med videre. Så man har jo særlig tenkt på innsyn i e-post, men disse reglene gjelder jo også for annet utstyr som arbeidsgiver stiller til disposisjon til arbeidstakeren. Til bruk i arbeidet, så det er jo PC-er og mobiltelefoner, iPader og så videre.

[00:02:19] Så vi har altså særlige regler, så da skal vi høre at det er noen særlige vilkår i den forskriften, vi kaller den forskriften om innsyn i e-post, men så er det slik at man vil også behandle personopplysninger. Så vi må forholde oss til de generelle personvernreglene, og der har vi jo personvernforordningen som gjelder i Norge, og så har vi jo egne regler om kontrolltittak i arbeidsmiljøloven. Et tredje regelsett som også stiller noen vilkår for å gjennomføre kontrolltiltak i virksomheten. Så det er egentlig tre regelsett som vi må navigere her.

[00:03:02] Lill: Her er det lag på lag. Det er ikke bare å kontakte IT-sjefen og si at jeg vil se inn på e-posten med andre ord.

[00:03:08] Thomas: Det stemmer.

[00:03:10] Lill: Så hvis vi begynner med de vilkårene som ligger i forskriften, hva skal til der?

[00:03:18] Thomas: Ja, forskriften sier at arbeidsgiver kan gjennomføre innsyn. For det første, når det er nødvendig for å ivareta daglig drift, men altså en sånn sekkepost med andre berettigede interesser, det er jo typisk hvis en arbeidstaker er på ferie eller er syk eller av en eller annen grunn ikke kan følge opp for eksempel kritisk korrespondanse.

[00:03:42] Så det kan være et vilkår for å gjennomføre innsyn.

[00:03:47] Lill: Og der har jeg en sak nå, hvor nettopp det er situasjonen. Man har en arbeidsgiver som har hastesaker, en arbeidstaker som er ute syk, og ikke hverken kan eller bør inn i dette for å lete i egen e-post. Og da er det en typisk situasjon hvor vilkåret kan være oppfylt.

[00:04:11] Mest sannsynlig er det jo det, tenker jeg. Skal vi se at det er jo ikke rett frem likevel, men da har vi i hvert fall tikket av på at det ser greit ut. Så det er ene alternativet.

[00:04:20] Thomas: Ja, og det andre alternativet det er ved begrunnet mistanke om at arbeidsstakers bruk av e-postkassen medfører grovt brudd på de plikter som følger av arbeidsforholdet eller at det kan gi grunnlag for oppsigelse eller avskjed. Så her er det jo flere nøkkelord vi bør merke oss.

[00:04:40] For det første så må det være en sånn begrunnet mistanke, så bør det jo være noe konkret som man knytter dette til. Og så er det en ganske høy terskel for å bruke dette, altså det må være et grovt brudd på plikter som følger av arbeidsforholdet, eller at det kan gi grunnlag for oppsigelse eller avskjed.

[00:04:59] Ja. Her finner vi eksempel på at man bruker e-post eller man bruker utstyr som arbeidsgiver har stilt til disposisjon. Til for eksempel gjøre noe som er ulovlig, eller man kan tenke seg at det er noe som er veldig ilojalt overfor arbeidsgiver og virksomheten. Så det er jo den type eksempler, eller at man kanskje driver med konkurrerende virksomhet, så her kan det være flere typer av tilfeller da.

[00:05:31] Lill: Ikke sant? Og som arbeidsrettsadvokat så ser jeg at veldig ofte kommer spørsmålet om å gjøre innsyn i e-post typisk i situasjoner hvor man mistenker konkurrerende virksomhet. Gjerne mot slutten av oppsigelsestiden, hvor man har forstått at denne personen er på vei over i noe annet og får en eller annen mistanke om at for eksempel kundelister eller annet er kreativt lånt da, da oppstår det ofte et ønske om å gå inn.

[00:06:02] Ellers har man jo også de situasjonene hvor man mistenker at arbeidstakere har foretatt seg straffbare handlinger, underslag og så videre. Det er også typiske situasjoner hvor jeg tenker at dette er vilkårene oppfylt. Og så har vi hatt i den andre enden av skalaen saker hvor arbeidsgiver har lyst til å finne ut hvem som har varslet om noe og da er det blink, blink, rødt rødt nei, nei, her er det altså ikke grunnlag for å gå inn og sjekke e-posten til den ansatte, tvertimot vil jeg si.

[00:06:32] Men det er en sånn situasjon hvor en arbeidsgiver ofte kan kave seg litt opp og vil finne den som sladrer, men da skal man altså ikke gå inn og sjekke e-posten til personen og heller ikke fokusere så mye på det.

[00:06:44] Thomas: Ikke sant, men de to første tilfellene du nevnte, hvis man da har noen konkret begrunnet mistanke, så vil vilkåret i utgangspunktet være oppfylt.

[00:06:54] Lill: Ja. Ok, så daglig drift med berettigende interesser eller situasjon hvor man kan ha brukt e-posten til noe som kan gi grunnlag for oppsigelse eller avskjed. Og bare for å si noe om det der med at bruken av e-postkassen medfører at man mistenker avsked eller oppsigelse, så holder det vel at man har for eksempel utvekslet mail hvor man planlegger en konkurrerende virksomhet, eller at man omtaler dette som kan medføre oppsigelse eller avskjed, det er vel kanskje tilstrekkelig til å si at det bruken av e-postkassen som er relevant da?

[00:07:36] Thomas: Ja, det er jeg enig i.

[00:07:39] Lill: Ok, da er det rett frem da. Da er det å snakke med IT-sjefen, og så åpner vi e-postkassa.

[00:07:44] Thomas: Ja, så nå har vi pekt på vilkårene etter den e-postforskriften.

[00:07:49] Lill: Ja.

[00:07:50] Thomas: Men hvis vi allerede her ser på vilkår, så er det jo slik at, i hvert fall Datatilsynet, mener at man må også forholde seg til de generelle personvernreglene. Og at man da må ha et rettslig grunnlag for å behandle personopplysninger.

[00:08:07] Og det rettslige grunnlaget som de trekker på er jo typisk at man har en berettighet interesse. Dette rettslige grunnlaget i GDPR artikkel 6-1(f), som altså handler om at man som arbeidsgiver skal ivareta en berettighet interesse, og at den veier tyngre enn personvernulempene.

[00:08:29] Så den berettige interessen da, det vil jo være et av disse vilkårene, nødvendig for daglig drift eller denne begrunnende mistanken.

[00:08:37] Og så etter GDPR så må man da vurdere om det er nødvendig å gjennomføre innsyn. Kan man oppnå dette på andre måter? Og for det tredje så bør man i den vurderingen da ta denne interesseavveiningen, at interessen til arbeidsgiver veier tyngre enn personvernulempene.

[00:08:58] Så anbefalingen er at man både vurderer vilkårene til forskriften og sørger for at man har rettslig grunnlag etter GDPR.

[00:09:06] Lill: Og det siste du sier der, det er i hvert fall for min egen del noe jeg har lært i senere tid, kan du si. Og jeg har inntrykk av at dette kanskje er en utvikling alle vi advokater som har holdt på med dette har hatt. Det har med mange jeg snakker om ikke stått så tindrende klart for folk at du har en egen sær forskrift om innsyn i epost, og så skal ikke det være nok på en måte. Når du har sjekket den, så skal ikke det være nok. Du skal faktisk inn og se de generelle vilkårene. Det tror jeg vi kollektivt har lært oss i de senere årene.

[00:09:40] Thomas: Jeg er enig,

[00:09:41] Lill: Ja

[00:09:41] Thomas: Det er litt sånn utfordrende, ikke sant. Vi har personvernforordningen, som i stor grad er en total harmonisering når det gjelder behandling av personopplysninger, og så er det da forordningen den åpner på noen områder for at man kan ha noen supplerende regler i nasjonalrett, og vi har da valgt å videreføre disse særreglene.

[00:10:04] Men så er det vel sånn at den er kjent som at ja, vi kan jo ikke sette personvernreglene helt til side, så ok, da må vi forholde oss til begge regelsett da. Men i hvert fall fra tidligere så tenkte vi vel at ja, her har vi jo spesialregler, så da kan vi jo nøye oss med å forholde oss til de Så jeg er litt enig med deg på at det har vært en liten reise der, at det nå har blitt litt mer fokus på å overholde begge regelsett da.

[00:10:27] Lill: Ikke sant? Så hvis vi oppsummerer det som ligger i det generelle, altså GDPR, så er det rettslig grunnlag, som kanskje ganske ofte vil sammenfalle, i og med at du har den interesseavveiningen, kanskje ofte vil sammenfalle med forskriftens vilkår. Men man må likevel ta den vurderingen, Så det er det ene og så hva var det andre, sa du?

[00:10:52] Det var rettslig grunnlag, og så var det?

[00:10:54] Thomas: Nei det var rettslig grunnlag. Jeg nevnte dette med berettiget interesse.

[00:10:59] Lill: Ja ok, så det er det rettslige grunnlaget, og det er der den forholdsmessighetsvurderingen selvfølgelig kommer inn, fordi det er det rettslige grunnlaget, ikke sant? Interessene til arbeidsgiver må være større enn personvernutfordringene det innebærer for arbeidstaker.

[00:11:13] Thomas: Ja, så hvis man baserer seg på det rettslige grunnlaget berettiget interesse, så er det altså denne tre-trinns-vurderingen, identifiser den berettiget interessen. Og det bør nok være sammenfallende med de to vilkårene i forskriften. Så skal det være nødvendig. Det kan man gjøre på andre måter. Og så det tredje er altså denne interesseavveiningen.

[00:11:33] Lill: Ja, veldig bra. Og det jeg tenker om det da, det er at. En arbeidsgiver som skal gjøre dette må lage seg en sjekkliste. Og når jeg sier sjekkliste så kan man jo like gjerne lage seg en rutine som jo er en sjekkliste. Og da hopper vi jo fra et spørsmål om vilkår til hva slags systemiske tiltak bør man ha.

[00:11:56] Så hvis vi tar en sving innom det da, er det et vilkår at arbeidsgivere har rutiner som beskriver hvordan man gjør innsyn i e-post?

[00:12:07] Thomas: Hvis man ser på veiledning fra tilsynsmyndigheten, Datatilsynet er jo tilsynsmyndighet både på den forskriften og på personvernforordningen, GDPR. Så de oppfordrer jo til å ha rutiner.

[00:12:20] Og nå kan vi jo trekke inn dette tredje regelsettetet. Vi nevnte arbeidsmiljøloven og kapittel 9 om kontrolltiltak, og der, det oppfatter i hvert fall jeg, og så tenker jeg at det handler mer om systemiske tiltak som virksomheten innfører, og så anbefalingen vil nok være at man har innført rutiner på arbeidsplassen om gjennomføring av innsyn i e-post.

[00:12:50] Det sikrer jo at de som skal gjennomføre innsynet vet hvordan de skal gå frem. At de gjør de nødvendige vurderingene, og så gir det jo forutberegnelighet for de ansatte. Så vi tenker at det er fordeler med å ha rutiner og at de er gjennomført i henhold til de reglene som vi finner i kap. 9 i Arbeidsmiljøloven.

[00:13:13] Men, og vi kan godt snakke litt mer om innholdet der, men så er spørsmålet, ja må man ha sånne rutiner?

[00:13:20] Og da tror jeg at man vil vel ikke være avskåret fra å gjennomføre innsyn, fordi man ikke har rutiner. Jeg kjenner ikke til noen saker hvor arbeidsgiver har blitt hindret til å gjennomføre dette, fordi man ikke hadde rutiner.

[00:13:37] Men som sagt det vil jo være å anbefale.

[00:13:41] Lill: Jeg tenker at man ganske ofte kan stå i en situasjon hvor arbeidsgiver trenger å gjøre innsyn, og så begynner man å grave litt og si «Fader, jeg har jo ikke noen rutiner».

[00:13:52] Så graver man litt til og så ser man, Fader, jeg har jo hverken rutiner eller jeg har diskutert med noen tilllitsvalgte dette konseptet om innsyn i e-post som jo er et kontrolltiltak. Og da tenker jeg det praktiske svaret der at ok, det var dumt men det stopper deg ikke fra å gjøre dette individuelle innsynet her, fordi i forhold til det med å diskutere med tillitsvalgte som man plikter å gjøre når noe er et kontrolltiltak i kapittel 9, Så jeg er helt enig med deg at det er et sånt systemregel da skal du diskutere med de tillitsvalgte selve konseptet innsyn i e-post, eller selve konseptet av adgangskortkontroll og så videre.

[00:14:33] Men de konkrete innsynene som eventuelt gjøres, det må liksom ikke tas opp per gang. Så summen av det er at det, står du der uten rutiner og uten å ha drøfta. Så får du heller lære av det. Du kan gjøre det innsynet hvis vilkårene er oppfylt, og det neste vi skal snakke om, nemlig prosess, følges. Men du må fader rullan meg lære av at punkt 1, kanskje er det klokt å ha noen rutiner, for det hjelper deg neste gang med å gjøre de vurderingene du skal.

[00:15:00] Punkt to, når du står her og skal gjøre dette, så må du i hvert fall sørge for at du tar en drøftelse på dette kontrolltiltaket fremover i tid, og da kan du ta med de nye rutinene du lager også.

[00:15:10] Thomas: Enig.

[00:15:11] Lill: Nei men bra. Ok, nei, men fint. Det var en bra sving innom det regelverket. Hvis vi da går tilbake til å se på hva skal til i denne konkrete saken hvor vi har lyst til å gjøre innsyn, så har vi konkludert med at du må se på vilkårene i forskriften, vilkårene i det generelle regelverket. Nå la oss tenke, ja, det er oppfylt. Sånn er det. Er det da, kan vi gå til IT-sjefen da, og si, kan du bare gi meg tilgang på denne postkassa

[00:15:34] Thomas: Ja, da er jo disse reglene vinklet sånn at først så må man jo ha oppfylt vilkårene,

[00:15:39] Og så er det egne prosess eller prosedyreregler for hvordan man skal gjennomføre. Og hvis vi går tilbake til e-postforskriften, så har den egne regler om hvordan man skal gjennomføre.

[00:15:53] Eller hva man skal gjøre før man praktisk gjennomfører. Men hovedregelen er at man skal varsle den ansatte og gi den ansatte anledning til å være til stede. Det er også krav til det varslet, så der bør man helst... Eller der vil vi anbefale å ha en mal for det, rutiner som sier akkurat hva varselet skal inneholde slik at man ikke glipper på det.

[00:16:16] Varslet skal blant annet begrunne hvorfor man anser at vilkårene er oppfylt. Da er det å nevne at det er nødvendig for daglig drift eller begrunnet mistanke. Man skal orientere om rettighetene som arbeidstakeren har, og det er at man har anledning til å være til stede under gjennomføringen Man har rett å la seg bistå av en tillitsvalgt eller en annen representant, og så har man rett til å protestere, som det heter, etter personvernforordningen. Og det er jo sånn at man kan mene at det er noe spesielt ved sin egen situasjon som gjør at det ikke er anledning til å gjennomføre innsyn her.

[00:16:53] Og det må arbeidsgiver vurdere, men den regelen til å protestere etter personvernforordningen artikkel 21 sier at arbeidsgiver kan likevel gjennomføre hvis det er såkalt tvingende berettigde grunner for å gjennomføre det. Det er en viss terskel, men det er en god grunn til å gjennomføre dette. Det kan også være sånn at det handler om en tvist for eksempel.

[00:17:20] Altså da kan man påberope seg det rettslige grunnlaget i GDPR, som heter å fastsette, gjøre gjeldende eller forsvare rettskrav.

[00:17:28] Så hvis du har en tvist og mener at dette er jo viktig bevis som vi trenger i den saken, så vil man da kunne gjennomføre det, til tross for protester.

[00:17:37] Lill: Og det er jo en veldig praktisk regel, tenker jeg, fordi, ta eksempelet hvor det er snakk om en ansatt som går til konkurrent og man mistenker at vedkommende har tatt med seg kundelister, eller sendt ut mailer til kunder og sagt, "Halla, jeg skal begynne et nytt sted" .

[00:17:53] Så er det jo nettopp for å kunne sikre det i en tvist og kunne legge det frem for domstolen for eksempel som gjør at man har lyst på dette. Så det er en veldig praktisk regel.

[00:18:05] Thomas: Ja, og så hovedregelen er at du varsler i forkant og at den enkelte har anledning til å være til stede. Men så kan det jo noen ganger være at det haster, at du ikke rekker å varsle eller du klarer ikke å nå vedkommende.

[00:18:18] Da er det sånn at man skal sende en skriftlig underretning så snart man har gjennomført innsynet. Det er kanskje særlig praktisk når det er for daglig drift, vi trenger å følge opp den korrespondansen eller den avtalen.

[00:18:34] Så i et ettergående skriftlig underretning eller varsel så skal man jo... Der er det også en liste over tingene man skal opplyse om, og det er å begrunne hvorfor vilkårene anses oppfylt, man skal orientere om de rettighetene som den enkelte har, hvilke metoder som ble benyttet, og hvilke e-poster eller andre dokumenter som blir åpnet, og det overordnede resultatet av innsynet rett og slett.

[00:19:03] Lill: Og som du sier at en praktisk gang som man bruker sånn etterfølgende varsel er berettighet innsyn, men veldig ofte så kommer det jo arbeidsgivere som ikke har spesielt lyst til å ha med arbeidstaker eller varsler på forhånd, fordi man er veldig redd for at da, nei nei nei vi kan ikke si fra på forhånd, da sletter jo han eller hun alt og vi kan ikke være der til stede og sånn Det at man er redd for at arbeidstaker skal tukle med bevisene, er det tilstrekkelig til å ikke følge disse reglene om å varsle på forhånd?

[00:19:36] Thomas: Jeg tenker at det ikke er god nok grunn, fordi rent praktisk så kan man jo sikre en dokumentasjon her, eller sikre bevis kan du si da. Hvis det gjelder e-post, så kan man jo gjøre en speilkopi for eksempel. Så da er den bevisforspillelsesfaren ikke til stede.

[00:19:56] Så da kan man sikre dette, ta en speilkopi og så kan man jo da planlegge dette, ikke sant?

[00:20:02] At man får varslet, så man skal ha sjekket at vilkårene er til stede og så videre.

[00:20:05] Lill: Ja, jeg er helt enig og det er jo en veldig praktisk greie, ikke sant? Og det gjelder å ha is i magen da, det er ikke noe... Det er fint å følge disse reglene. Vi kan komme tilbake til hva som skjer hvis du ikke gjør det. Men ok, så da, hovedregelen er at du varsler på forhånd og må si frem diverse ting i det brevet, og at arbeidstaker har rett til å være til stede.

[00:20:26] Unntaket er at man kan sette i gang og gjøre det uten at arbeidstaker er til stede eller blir varslet, men da må man sende et brev som oppfyller visse krav etterpå. Er det noe spesielt å tenke på når det gjelder selve gjennomføringen av innsynet da?

[00:20:41] Thomas: Ja, det er noen krav til det i forskriften også. Så når det gjelder selve gjennomføringen eller det forskriften sier, det er at man skal gjennomføre på en slik måte at opplysning som mulig ikke endres, og at frembrakt opplysning kan etterprøves.

[00:20:58] Så særlig når dette skal bli brukt som bevis, så bør man jo tenke noe gjennom hvordan man skal gjennomføre det. Så da kan det jo være at man, altså dette med speilkopi er viktig, men også at det kan være relevant å koble på relevant kompetanse som kan hjelpe til med å bistå dette, og at man har etterprøvebare bevis og dokumentasjon i en eventuell sak. Og forskriften sier også det at når man praktisk går gjennom dette, det vil si åpne e-poster, gå gjennom dokumenter eller tilsvarende. Hvis det viser seg at ikke er nødvendig eller relevante, så skal man straks lukke de. Så det praktiske er jo, hvis du har et tilfelle hvor den ansatte er til stede i gjennomføring og så videre, så er det da at man har blitt enige om hva man skal søke etter, ikke sant?

[00:21:52] Så at man har forberedt seg og blitt enige om relevante søkeord og hvilken periode det er snakk om, for eksempel og hva slags type dokumentasjon, at man har tilstrevet å begrense det innsynet til det som er strengt nødvendig. Og så er det jo da at man kanskje har gjort noen søk og noen avgrensninger, og så er det konkret å gå gjennom det sammen hvis man straks ser at det kan ikke være relevant, så skal man lukke ikke sant?

[00:22:20] Lill: Ja, og det er jo kjempenyttig å tenke på, fordi, i hvert fall i gamle dager, så tror jeg veldig mange arbeidsgivere tenkte at, jeg trenger ikke å forberede det etter så mye. Jeg tar nå bare og åpner jeg, så dytter jeg alt over på en hard drive og leser det etterpå. Sånn er det jo i hvert fall ikke. Og som du sa, der er det noe viktig også at i det brevet som går ut i forkant, så bør man, skråstrek må man kanskje også oppgi...

[00:22:48] Her er de søkeordene som vi tenker å bruke, og da må man jo ha gjort seg en tanke om hva som er relevant, og så sier vi jo som regel, dessuten hvis vi finner ut at det er noe som er interessant som dukker opp når vi søker, så kan vi utvide de søkeordene, men her er det vi tenker i første omgang, og her, vi tenker at særlig denne tidsperioden er relevant å søke i, så det er det vi kommer til å gjøre i første omgang, men hvis vi finner ut at noe blir annerledes, så kommer vi til å utvide det også.

[00:23:14] Og som du sier da, at man da... dokumenterer skritt for skritt hva man gjør i det innsynet. Vi begynte med å søke på det, og da åpnet vi x antall mailer, og vi lastet ned eller tok ut de mailene som var relevante, det var sånn og sånn. Altså du skal være så nøyaktig tenker jeg i å beskrive hva det er du foretar deg i den gjennomgangen der, sånn at det nettopp blir etterprøvbart senere.

[00:23:41] Både i en eventuell tvist om hvordan dette gikk for seg og hva verdien av bevisene er. Men også hvis det skulle klages til datatilsynet for eksempel fordi man kanskje ikke har oppfylt forskriftens eller lovens krav til innsyn, så er det superduper viktig at man kan dokumentere hva man har gjort, og hvorfor man har gjort det.

[00:24:04] Thomas: Enig, og som vi var inne på, datatilsynet, og generelt, så har man blitt mer oppmerksom på at man også må forholde seg til de generelle personvernreglene.

[00:24:18] Og her har vi jo noen personvernprinsipper som også legger noen føringer da, altså det er jo sånn dataminimalitet, ikke mer enn det som er nødvendig og sånt.

[00:24:27] At de er relevante. Og at man sletter når man ikke lenger trenger det, og at det er en sikker håndtering i informasjonssikkerheten rundt det.

[00:24:40] Så det kan jo også være, hvis det er en sak hvor man er bekymret for at... Det er veldig viktig å gjøre alt riktig, eller at det er stort konfliktenivå mellom partene, så er det jo å være nøye med alle de aspektene.

[00:24:56] Lill: Og alle disse vurderingene og ting man har gjort ender kanskje anbefalingsvis opp i en rapport fra det innsynet, er du ikke enig?

[00:25:05] Thomas: Ja, skriftlighet rundt.

[00:25:07] Lill: Ja, at man utarbeider en rapport som nedfeller alt man har gjort, og i den grad man har trengt å gjøre noen vurderinger i løpet av innsynet, så tar man med det også i den rapporten.

[00:25:18] Thomas: Ja, enig.

[00:25:20] Lill: Ja men da har vi snakket oss gjennom vilkår, og vi har tatt en sving innom både drøftelse av kontrolltiltak og behov for retningslinjer.

[00:25:30] Deretter har vi sett på prosessen i forkant, og nå har vi snakket oss gjennom hva vi skal tenke på når vi står i selve innsynet. Er vi igjennom da? Hvis vi tenker at tema er innsyn i e-post, eller er det noe vi ikke har sagt til det store publikum som er podkastlytterne våre?

[00:25:48] Thomas: Ja, altså hvis vi hever blikket litt, så kan jo både arbeidsgiver og arbeidstaker gjøre noen grep da, som gjør at man unngår å komme i vanskelige situasjoner rundt innsyn. Så vi snakket om dette med rutiner, generelt så kan det jo være relevant for arbeidsgivere å gi noen føringer, ha noen interne instrukser om bruk av e-post og elektronisk utstyr.

[00:26:18] Det kan jo være at man sier at privatbruk skal være veldig begrenset, altså prøve å unngå at det er for mye privat innhold og så videre. Man kan ha klare rutiner for løpende arkivering av saker eller konspondanse, slik at det ikke flyter rundt og at man i mindre grad er avhengig av å gå inn på den enkeltes e-postkasse og så videre.

[00:26:44] Så det kan være viktige perspektiver fra arbeidsgivers side, men også for arbeidstakere at man kanskje har en interesse, og hvis det er noe som er mer privat, at man tydelig merker det, sånn at det ikke er noen tvil om at det skal ikke være noen grunn til å gjennomføre innsyn der.

[00:27:04] Lill: Og så, og der bringer opp et interessant tema, nemlig privat e-post da.

[00:27:10] Hvis vi begynner med det, og la oss tenke oss at vi står der midt i et innsyn, og så dukker det opp en e-post hvor det står privat utropstegn. Er det forbudt å åpne den?

[00:27:19] Thomas: Jeg tenker at det ikke er forbudt, men hvis det er åpenbart at det faktisk er privat, så skal man jo da ikke gå videre. Men det kan jo være, hvis du har en illojal arbeidstaker så kan det jo være at man har gjort noen grep for å prøve å få dem til å gå under radaren.

[00:27:34] Lill: Ja, og det er det jeg også tenker. Og igjen så er det noe med å dokumentere de vurderingene man gjør, men hvis man ser noe som er merket privat, så vil jeg tenke at da kan man gjøre en vurdering av om man stoler på eller ikke stoler på den arbeidstakeren. Jeg vil åpne de første mailene under henvisning til at vi må dobbeltsjekke at ikke dette er skalkskjul. Og det er vår vurdering når vi nå vurderer å åpne det som fremstår å være privat.

[00:27:58] Hvis man da har gått gjennom noen og sett at det er falsk alarm, det virker som mistanken vår ikke er riktig. Så kan man heller da gå videre og ikke åpne det som er tydelig merket privat. Men jeg tror det viktig å bare snakke om det faktum at det er ikke off-limits i utgangspunktet, men man skal være forsiktig.

[00:28:18] Thomas: Og et annet aspekt som også er regulert i denne forskriften, det er jo det med å avvikle eller slette innholdet i e-postkasse og filområder og så videre. Så det er jo også viktige regler hvor vi ser at det er mange som ikke er helt oppmerksom på det, og som kommer i trøbbel.

[00:28:37] Lill: Og da tenker du på, og nå har vi hoppet ut av innsyn og over i sånn, ok, for ofte så ender jo disse tvistene at noen slutter uansett og at man da må huske på at det finnes regler om slette e-postkasser når man slutter.

[00:28:48] Thomas: Ja, nettopp. Så vi kan koste på oss og omtale de også. Så hovedregelen i e-postforskriften da, det er en egen bestemmelse om sletting, det er paragraf 4 i forskriften. Hovedregelen er jo at når arbeidsforholdet opphører, så skal e-postkassen, hvis vi tar det som et eksempel. Det gjelder jo også fileområder og tilganger og så videre, men e-postkassen skal da stenges ned umiddelbart.

[00:29:16] Så det skal ikke da være mulig å sende og motta e-post. Poenget er at det skal liksom ikke fortsette å flyte inn e-poster og så videre fra e-postkassen. Så det er hovedregelen at den stenges ned. Altså rent praktisk så bør man jo få lagt inn et automatisk svar for eksempel at man da må kontakte noen andre og så videre, men det skal i prinsippet ikke da tilflyte noe mer e-post.

[00:29:45] Man ser at unntaksvis så har datatilsynet akseptert at man kan ha den åpen i en kort periode etter opphør, men det er helt unntaksvis hvis det er et særskilt behov. Og så er det da innholdet i e-postkassen, der er kravet at man skal ta stilling til om det er nødvendig for daglig drift Så det heter at innhold som ikke er nødvendig for daglig drift skal slettes innen rimelig tid, også typisk da innen seks måneder eller noe.

[00:30:15] Det som vi ser i praksis er jo ofte at arbeidsforholdet opphører og den ansatte går videre til nye utfordringer og så har man ikke tatt stilling til om det er behov for å lagre dette eller ikke. Og da er det jo utgangspunktet at hvis arbeidsgiver skal... Altså for det første så har man jo da overtrådt reglene om å ta stilling og så videre, men så er man jo også i den utfordringen at hvis arbeidsgiver skal gjøre innsyn i dette, så gjelder de samme reglene som vi har snakket om, om å gjennomføre innsyn. I utgangspunktet skal du da varsle den tidligere ansatte og så videre

[00:30:51] Det er ganske tungvint. Så best practice her er vel at man har en intern rutine om at den ansatte som en del av off-boardingen også gjennomgår e-postkasse og fileområder.

[00:31:05] Og det betyr jo da å slette det som ikke er virksomhetsrelatert og som ikke er nødvendig for daglig drift, mens det som er nødvendig for daglig drift, at man sørger for at det at andre har tilgang, eller at man får lagt de i de riktige mapper og så videre.

[00:31:18] Lill: Ja, ikke sant? Nei det er viktig å tenke på, for det er jo, selv om det er et krav om at den avsluttes, så er det jo mange som ikke håndterer det så godt, og så plutselig har du behov for å gå inn for «Å fader, det lå jo noen mailer der», liksom.

[00:31:30] Og som du sier, da må man følge de samme vilkårene for både innsyn og hvordan man går frem.

[00:31:38] Så det er nyttig.

[00:31:40] Thomas: Og den ryddejobben den vil jo kunne være litt mindre hvis man løpende har arkivert og så videre. Da er det jo veldig forskjellige arbeidsoppgaver ansatte har, men på en del arbeidsplasser så kan jo det være relevant hvertfall.

[00:31:53]

[00:31:53] Lill: Ja det tenker jeg absolutt. Dette har jo vært veldig ryddig og oppklarende, synes jeg. Jeg tenker at vi har kommet til veis ende med dette, og det som slår meg er at her ligger det jo mange andre spennende temaer som jeg tror vi må hente deg tilbake til studio for å snakke om. For eksempel dette med innsyn i kommunikasjonslogger og den slags. Men det tror jeg må være en cliffhanger til neste episode. Tusen hjertelig takk for at du var med, Thomas Olsen.

[00:32:28] Thomas: Ja, tusen takk for invitasjonen.

[00:32:30] Lill: Og til deg som har hørt på, så håper jeg at du har fått noe nyttig ut av dette. Jeg håper også at du har vært på tur. Og takk for i dag, og så ønsker jeg deg velkommen tilbake til neste episode av Arbeids(retts)lunch.