Genvejsmenu:
S - Indhold
1 - Forside
2 - Nyheder
3 - Oversigt
4 - Søg

Kontrol af medarbejderes browser og e-mails

Datatilsynet har i en konkret sag udtalt sig om bl.a. følgende spørgsmål:

  1. Finder persondataloven anvendelse på behandlinger, der vedrører oplysninger lagret i en browser og i et postsystem?
  2. Hvilke betingelser skal være opfyldt?
  3. Kan læsning af den ansattes private post være en krænkelse af brevhemmeligheden?

Finder persondataloven anvendelse på behandlinger, der vedrører oplysninger lagret i en browser og i et postsystem?

I denne sag havde virksomheden ikke installeret et egentligt log-system, der systematisk registrerede, hvad der foregik i virksomhedens edb-systemer. Virksomheden havde derimod alene installeret standardprogrammerne Microsoft Internet Explorer og Microsoft Outlook.

Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger (persondataloven) gælder ifølge § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling.

En internet-browser, som f.eks. Microsoft Internet Explorer, har visse brugerfunktionaliteter, som bl.a. gør det muligt at gemme adresserne på tidligere besøgte hjemmesider. Der er tale om en indbygget funktion, som er installeret af browser-leverandøren og ikke af arbejdsgiveren. Brugeren har mulighed for at koble denne funktion til og fra, ligesom det er muligt for brugeren selv at slette sine spor, således at det ikke via browseren er muligt at se, hvilke sider den pågældende tidligere har besøgt.

Gennemgår arbejdsgiveren internet-browseren med henblik på at få adgang til oplysninger om, hvilke sider brugeren af den pågældende pc tidligere har besøgt, vil der som udgangspunkt ske en indsamling af personoplysninger omfattet af persondatalovens anvendelsesområde.

I almindelige postsystemer, som f.eks. Microsoft Outlook, foretages en automatisk lagring af modtagne og afsendte e-mails. Dette er en funktionalitet, der fra leverandørens side er indbygget i systemet, uden at den enkelte arbejdsgiver har indflydelse herpå. Brugeren har mulighed for at slette oplysningerne i postsystemet således, at det ikke er muligt at læse indholdet af modtagne og afsendte e-mails.

Gennemgår virksomheden postsystemet med henblik på at få adgang til oplysninger om indholdet af modtagne og afsendte e-mails, vil der ligeledes som udgangspunkt ske en indsamling og dermed behandling af personoplysninger omfattet af persondatalovens anvendelsesområde.

Datatilsynet måtte lægge til grund, at virksomheden havde gennemgået klagerens internet-browser, og at virksomheden ligeledes havde gennemgået klagerens e-mails. Formålet hermed havde efter det oplyste været dels at efterprøve en mistanke om misbrug af virksomhedens edb-systemer til private formål dels at lede efter arbejdsrelaterede oplysninger i postsystemet. Sådanne aktiviteter udgør som anført behandlinger omfattet af persondatalovens anvendelsesområde, idet virksomheden ved hjælp af elektronisk databehandling havde skaffet sig adgang til personoplysninger om medarbejderen.

Hvilke betingelser skal være opfyldt?

Enhver behandling af personoplysninger skal leve op til de grundlæggende principper i persondatalovens § 5.

Krav om forudgående information

Det følger således af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Dette betyder, at behandlingen skal være rimelig og lovlig, og at en rimelig behandling forudsætter, at registrerede personer kan få kendskab til en behandlings eksistens og, når der indsamles oplysninger hos eller om dem, kan få nøjagtige og fyldestgørende oplysninger med hensyn til de nærmere omstændigheder ved indsamlingen, jf. herved også lovens §§ 28 og 29.

Som følge af princippet om god databehandlingsskik finder Datatilsynet, at en arbejdsgivers kontrol af de ansattes Internet-brug og e-mails normalt forudsætter, at de ansatte på forhånd på en klar og utvetydig måde er informeret om, at kontrol kan finde sted, jf. herved også reglerne om oplysningspligt i persondatalovens §§ 28-29.

I den netop afgjorte sag fandt Datatilsynet på baggrund af det under sagen fremkomne ikke at kunne tage endelig stilling til, om virksomheden havde opfyldt denne informationspligt, idet der ikke var enighed herom mellem parterne. Afgørelsen af dette bevisspørgsmål henhørte under domstolene. Datatilsynet kunne i den forbindelse notere sig, at der i forvejen verserede en retssag mellem parterne.

Sagligt formål og berettiget interesse

Det følger endvidere af persondatalovens § 5, stk. 2, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål.

Til orientering om tilsynets praksis henvises til tilsynets tekst om logning og kontrol af medarbejderes brug af internettet. Det fremgår heraf, at såvel administrative og sikkerhedsmæssige hensyn som hensynet til kontrol af medarbejderens brug efter Datatilsynets opfattelse kan anses for saglige formål.

En behandling skal ikke alene leve op til de nævnte grundlæggende krav, men skal tillige have hjemmel i en af persondatalovens behandlingsregler i §§ 6, 7 eller 8. Oplysninger om, hvilke hjemmesider en person har besøgt på internettet, betragtes som almindelige ikke-følsomme oplysninger. Behandling af sådanne oplysninger skal vurderes efter reglerne i lovens § 6, stk. 1, nr. 1-7.

Behandling af oplysninger i et postsystem skal ligeledes vurderes efter reglerne i lovens § 6, stk. 1, nr. 1-7. Det bemærkes i den forbindelse, at det ikke fremgik af sagen, at klagerens e-mails skulle have indeholdt følsomme oplysninger omfattet af persondatalovens § 7, stk. 1, og § 8, stk. 4.

Behandling af almindelige ikke-følsomme oplysninger kan bl.a. ske, hvis den registrerede har givet udtrykkeligt samtykke hertil, jf. § 6, stk. 1, nr. 1, eller hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse, jf. § 6, stk. 1, nr. 7.

Datatilsynet fandt i den konkrete sag, at virksomhedens gennemgang af medarbejderens internet-browser og e-mails var nødvendig for, at virksomheden kunne undersøge mistanken om den ansattes omfattende private brug af internet-adgangen. Datatilsynet fandt ligeledes, at virksomhedens gennemgang af medarbejderens e-mails var nødvendig for, at virksomheden kunne få adgang til de heri indeholdte arbejdsrelaterede informationer.

Virksomheden havde således efter Datatilsynets opfattelse haft en berettiget interesse i at gennemgå klagerens browser og e-mails, som oversteg hensynet til klageren. Datatilsynet fandt derfor, at virksomhedens gennemgang var i overensstemmelse med lovens § 6, stk. 1, nr. 7.

Kan læsning af den ansattes private post være en krænkelse af brevhemmeligheden?

Det skal understreges, at en arbejdsgiver ikke må læse private e-mails. Hvis arbejdsgiveren bliver opmærksom på, at der er tale om en privat e-mail uden relation til virksomhedens drift, må den pågældende e-mail ikke læses. Dette anføres for at præcisere, at persondataloven ikke giver en arbejdsgiver lov til at tilsidesætte straffelovens regler om brevhemmelighed m.v. Bedømmelsen af, om arbejdsgiverens eventuelle læsning af den ansattes private e-mails er i strid med straffelovens regler om brevhemmelighed m.v., henhører ikke under Datatilsynets kompetence men under anklagemyndigheden og domstolene.