Har du som arbetsgivare rätt att få tillgång till dina anställdas inkorg?
Det kan finnas många anledningar till att en arbetsgivare anser sig ha behov av att få tillgång till sina medarbetares e-post. Det kan till exempel vara när en medarbetare är på semester, är sjukskriven eller har slutat och man vet att det finns information i inkorgen som inte är sparad någon annanstans. Våra experter inom dataskydd klargör vad som gäller för dig som arbetsgivare i artikeln nedan!
Enligt Europakonventionen om mänskliga rättigheter har var och en rätt till skydd för sin kommunikation och sitt privatliv, vilket även gäller på arbetet eller i egenskap av anställd. Grundregeln för alla företag bör därför vara att låta sina medarbetares e-post vara i fred. För att faktiskt kunna följa detta och undvika situationer där arbetsgivare behöver komma åt sina medarbetares e-post rekommenderas att tydliga rutiner utformas som anger att:
E-post alltid flyttas från inkorg till relevant arkivering i företagets mappstruktur, CRM-system, ärendehanteringssystem eller likande.
Medarbetare som avslutar anställning alltid går igenom e-post och arkiverar eller sparar på rätt plats i företagets mappstruktur, CRM-system, ärendehanteringssystem eller likande.
Frånvarande medarbetare och f.d. anställda har relevanta autosvarshänvisning och kontaktuppgifter till annan mottagare.
Även om rutiner upprättas kan det förstås finnas tillfällen då det inte finns några alternativ och då behöver du som arbetsgivare känna till följande.
Arbetsgivaren behöver först och främst kontrollera så att det inte strider mot eventuella kollektivavtal.
Medarbetaren måste vara informerad om att arbetsgivaren kan komma att läsa inkorgen. Tänk på att:
a. Samtycke inte är giltigt då detta anses vara en maktobalans i ett arbetsgivar-/arbetstagarförhållande och samtycket då inte uppfyller kraven på frivillighet. Detta gäller sannolikt även om det handlar om en medarbetare som slutar (eftersom det antas att hen vill ha goda referenser osv).
b. Informationen kan till exempel lämnas i den interna dataskyddsinformationen, i IT-policy eller på annat lämpligt sätt. Informationen behöver vara utformad enligt GDPR:s krav i art 13 på information till registrerade.
c. När sådan information läggs till en befintlig policy eller utgör en ny rutin ska facket meddelas (och eventuellt förhandlas med).Den lagliga grunden för behandlingen kommer att bli ”berättigat intresse” och ni som arbetsgivare måste göra och dokumentera en grundlig intresseavvägning om varför arbetsgivarens intresse av att ta del av inkorgen är större än den registrerades (medarbetarens) rätt till integritet.
Ni som arbetsgivare får bara läsa e-post som tydligt har ett innehåll som ni har nytta av i arbetsrelaterat sammanhang (eller motsatsvis – e-post av privat karaktär får inte läsas). Enda möjligheten för en arbetsgivare att ta del av e-post av privat karaktär är om informationsplikten (och övriga krav enligt GDPR) är uppfylld och att det finns en allvarlig misstanke om illojalt eller brottsligt beteende.
För att minska risken för att av misstag läsa e-post av privat karaktär (och av flera andra privacy- och IT-säkerhetsmässiga aspekter) bör det tydligt framgå av företagets rutiner kring användning av e-post att företagets e-post inte får användas till korrespondens av privat karaktär.
Det måste finnas tydliga behörighetsbegränsningar (vem som har tillgång till inkorgen och under vilken period), vilket ska dokumenteras. Dessutom är det att rekommendera att dokumentera när tillträde sker, vilken information som eftersöks och vad som då läses (om den registrerade (medarbetaren) i efterhand anmäler att arbetsgivaren brutit mot GDPR och t.ex. tagit del av privata meddelanden).
Om det finns möjlighet att scanna av inkorgen maskinellt (till exempel med sökord) för att finna relevant information, är det att föredra då det anses mindre integritetskänsligt än om ”ett par ögon” scannar igenom inkorgen för att söka efter relevant innehåll.
Notera att även om alla steg ovan är uppfyllda, är det inte något som ska göras om det inte är absolut nödvändigt för arbetsgivaren. Arbetsgivarens vågskål i intresseavvägningen för arbetsgivarens rätt att gå igenom e-post jämfört med medarbetarens rätt till integritet måste vara rejält påfylld för att inte medarbetarens vågskål ska väga tyngre.
Om Privacy hos Fondia
Fondias erfarna och kunniga dataskyddsexperter hjälper dig med alla typer av ärenden som rör personuppgiftsbehandling och integritetsskydd. Vi ger bland annat handfasta råd kring efterlevnad av kraven i den allmänna dataskyddsförordningen (GDPR) och ePrivacy-reglerna samt hittar affärsmässiga lösningar på utmaningar inom dataskydd. Våra experter har tillsammans bred erfarenhet från roller som både dataskyddsombud, bolagsjurist, del av ledningsgrupp, del av dataskyddsgrupp och rena konsultroller. Vi erbjuder också tjänsten DPOaaS- dataskyddsombud som en tjänst.
Tveka inte att kontakta oss – välkommen till Fondia!