Vanliga frågor från arbetsgivare till Datainspektionen (DI) angående kontroll av e-post.
Arbetsgivare:
Jag som arbetsgivare äger utrustningen. Då har jag väl också rätt att ta del av all information som finns sparad på datorerna?
DI:
Nej. Även om man har rätt att sätta upp regler för hur utrustningen får användas och då också tydligt informerar om vilka regler som gäller, vilka kontroller som kan ske och syftet med dessa så får man som huvudregel inte ta del av en anställds privata e-post eller privata filer. Det är bara tillåtet i undantagsfall, som vid en allvarlig misstanke om illojalt eller brottsligt beteende eller att en anställd använder IT-utrustningen i strid med arbetsgivarens regler och riktlinjer. En kontroll får heller aldrig göras godtyckligt eller vara mer ingripande än nödvändigt.
Arbetsgivare:
En tidigare anställd har slutat. Eftersom det kan komma in viktiga arbetsrelaterade mejl till dennes e-post vill jag ha åtkomst dit och fortsätta ha kontot öppet. Är det ok?
DI:
Man får inte spara personuppgifter längre än nödvändigt. När en anställning upphör finns det oftast ingen grund för att spara e-postkontot. Det ska då tas bort inom rimlig tid, normalt inom en månad. Man bör ha rutiner för hur e-postkontot ska hanteras då någon slutar. Exempelvis att den anställde själv rensar sin e-post och då avskiljer det som är privat för att överlämna annan relevant information till en chef eller en kollega. I vissa fall kan det vara motiverat att exempelvis en chef får den anställdes samtycke till att kunna gå in på e-postkontot under en övergångsperiod.
Arbetsgivare:
Jag misstänker starkt att en anställd använder e-posten på ett sätt som inte är ok och som är i strid med våra riktlinjer på arbetsplatsen. Får jag kontrollera detta?
DI:
Om man har lämnat tydlig information om vilka regler som finns för e-posten på arbetsplatsen och vilka kontroller som kan komma att ske så kan det vara tillåtet att utföra en sådan kontroll förutsatt att man har en allvarlig misstanke om att en anställd använder utrustningen i strid med riktlinjerna. Men då får ändå inte kontrollen vara för ingripande. Att den är proportionerlig i förhållande till den anställdes skydd av sin personliga integritet är en bedömning som arbetsgivaren har ansvar för att göra.
Några typiska frågor som Datainspektionen (DI) tar emot från fackförbund och anställda angående kontroll av e-post.
Fackförbund/anställd:
En arbetsgivare har information om en anställd som arbetsgivaren bara kan ha fått genom den anställdes e-post. Kan arbetsgivaren ha kollat den anställdes e-post och är det i så fall ok?
DI:
För att en arbetsgivare ska få utföra kontroller måste de anställda först ha fått information om vilka regler som gäller på arbetsplatsen när det gäller e-posten och internetanvändningen. Personalen ska då också ha informerats om vilka kontroller som kan göras och varför de görs i så fall. Arbetsgivaren måste också alltid ha ett berättigat syfte med kontrollen. Den får inte vara godtycklig eller mer ingripande än nödvändigt.
Fackförbund/anställd:
Trots att den anställde nu har slutat så är den tidigare anställdes e-postkonto fortfarande aktivt. Är det tillåtet för arbetsgivaren att fortsätta ha det aktivt? Då finns ju en risk att privata mejl kommer in som arbetsgivaren läser.
DI:
Eftersom man enligt personuppgiftslagen inte får bevara personuppgifter under längre tid än vad som är nödvändigt bör en anställds e-postkonto stängas ned inom en rimlig tid från det att anställningen avslutats, i normalfallet inom en månad. En arbetsgivare har normalt sett inte heller rätt att ta del av privat information i den anställdes e-post. Bara i undantagsfall kan det vara tillåtet, som om det finns en allvarlig misstanke om illojalt eller brottsligt beteende.
Om man ska sluta på en arbetsplats är det bra att att gå igenom sin e-post och då radera eller flytta sina privata mejl och sedan överlämna det som behövs i den fortsatta verksamheten till en någon annan på arbetsplatsen.