En arbejdsgiveren må under visse betingelser gerne gennemføre kontrolforanstaltninger i relation til medarbejderne, herunder bl.a. registrere medarbejdernes hjemmesidebesøg, sikkerhedskopiere og gennemgå medarbejdernes e-mails, registrere de ansattes færden via GPS mv.

Sådanne kontrolforanstaltninger vil ofte udgøre en behandling af personoplysninger om medarbejderne, og som følge heraf, skal foranstaltningerne gennemføres i overensstemmelse med databeskyttelsesreglerne.

På baggrund af Datatilsynets praksis har tilsynet fastsat en række retningslinjer for arbejdsgiverens gennemførsel af sådanne kontrolforanstaltninger.

Arbejdsgiveren må under visse betingelser gerne registrere medarbejdernes hjemmesidebesøg og gennemgå loggen ved mistanke om misbrug. Det kræver dog, at følgende betingelser er opfyldt:

• Registreringen af internetbrugen og gennemgangen af loggen skal være nødvendig for, at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til de ansatte må ikke overstige disse interesser. Det kan fx være af tekniske og sikkerhedsmæssige hensyn og hensynet til kontrol af medarbejdernes brug af internettet.
• Medarbejderne skal på forhånd – på en klar og utvetydig måde – være informeret om, at registreringen/logningen finder sted, og at registreringen eventuelt vil blive gennemset som led i en kontrol ved mistanke om brug af internettet i strid med arbejdspladsens retningslinjer herom.

Arbejdsgiveren må også under visse betingelser gerne sikkerhedskopiere og gennemgå medarbejdernes e-mails ved mistanke om misbrug. Det kræver dog, at følgende betingelser er opfyldt:

• Sikkerhedskopieringen af e-mails og en eventuel gennemgang af en medarbejders e-mails må kun ske, hvis det er nødvendigt for, at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til den ansatte ikke overstiger disse interesser. Det kan fx være af hensyn til drift, sikkerhed, genetablering og dokumentation samt hensynet til kontrol af medarbejderes brug.
• Medarbejderne skal på forhånd – på en klar og utvetydig måde – være informeret om sikkerhedskopieringen og den eventuelle gennemgang af den enkelte medarbejders e-mails.
• Ved en gennemgang af en medarbejders e-mails må arbejdsgiveren ikke læse medarbejderens private e-mails.

Når det kommer til gennemgang af fratrådte medarbejderes e-mails, har Datatilsynet fastlagt følgende retningslinjer, som lægges til grund for tilsynets vurdering af dette spørgsmål, medmindre andet er aftalt mellem arbejdsgiveren og medarbejderen:

• Når en medarbejder har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mail-konto på arbejdspladsen, må e-mail-kontoen kun holdes aktiv i en periode, der er så kort som muligt. 
• Periodens længde fastsættes under hensyntagen til den fratrådte medarbejders stilling og funktion og kan maksimalt være på 12 måneder. 
• Snarest muligt efter, at medarbejderen har forladt arbejdspladsen og ikke længere kan få adgang til sin personlige e-mail-konto, sættes et auto-svar på e-mail-kontoen med besked om medarbejderens fratræden og eventuel anden relevant information.
• Den aktive e-mail-konto benyttes kun til modtagelse af e-mail – hvis der modtages privat e-mail, kan e-mail-kontoen dog benyttes til videresendelse af disse til den fratrådte medarbejders private e-mail-konto.
• Oplysninger om den personlige e-mail-adresse skal hurtigst muligt fjernes fra arbejdspladsens hjemmeside og andre offentligt tilgængelige informationssteder. 
• Kun en enkelt eller ganske få betroede medarbejdere bør have adgang til den fratrådte medarbejders personlige e-mail-konto. 
• Persondatalovens bestemmelser, herunder reglerne om oplysningspligt, indsigt mv., skal iagttages, når en arbejdsgiver holder en fratrådt medarbejders e-mail-konto åben.
• Arbejdsgivere anbefales som led i den almindelige personalepolitik at forholde sig til spørgsmålet om håndtering af fratrådte medarbejderes e-mail-konti og informere medarbejderne herom.

Fratrådte medarbejderes private e-mails
Persondataloven giver ikke en arbejdsgiver lov til at tilsidesætte straffelovens regler om brevhemmelighed mv. Bedømmelsen af, om arbejdsgiverens eventuelle læsning af den ansattes private e-mails er i strid med straffelovens regler om brevhemmelighed mv., henhører ikke under Datatilsynets kompetence, men under anklagemyndigheden og domstolene.

Det kan også være lovligt for arbejdsgiveren at registrere de ansattes færden via GPS.Det vil dog som udgangspunkt indebære en elektronisk behandling af personoplysninger, og arbejdsgiveren skal derfor overholde persondataloven.

Det betyder bl.a., at arbejdsgiveren skal overveje, hvorvidt registreringen lever op til persondatalovens krav om proportionalitet, og hvorvidt arbejdsgiveren har et grundlag i persondataloven for at registrere de pågældende oplysninger.

 Artikel 29-gruppens udtalelse 2/2017 af 8. juni 2017 om databehandling på arbejdspladsen