Virksomheder bør tjekke deres it-politikker (igen)

Mette Klingsten
Artikel 8 - Ret til respekt for privatliv og familieliv - 1. Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance. 2. Ingen offentlig myndighed kan gøre indgreb i udøvelsen af denne ret, undtagen for så vidt det sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed, den offentlige tryghed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for at beskytte andres ret og frihed.

Den Europæiske Menneskerettighedsdomstol har netop taget stilling til arbejdsgiveres ret til at overvåge medarbejderes e-mails. Domstolens store afdeling kom til et andet resultat end Domstolens første afdeling i sagen Bărbulescu mod Rumænien (sag nr. 61496/08). Afgørelsen illustrerer, at der er grænser for arbejdsgiverens kontrol, men også, at der er tale om en subtil vurdering.

Menneskerettighedsdomstolen har i en afgørelse fra 5. september 2017 fastslået, at der skal være en rimelig balance mellem medarbejderens ret til respekt for sit privatliv og korrespondance (herunder e-mailkorrespondance), som fastlagt i artikel 8 i den europæiske menneskerettighedskonvention på den ene side, og arbejdsgivers ret til at træffe foranstaltninger for at sikre, at it-driften i virksomheden fungerer optimalt. Menneskerettighedsdomstolen har fastsat kriterier for, hvad der skal lægges vægt på ved vurderingen af, om en foranstaltning til overvågning af medarbejdernes korrespondance og andre meddelelser står i rimeligt forhold til det forfulgte formål. Endvidere skal medarbejderne beskyttes mod ”vilkårligheder”. Selvom der gælder en bred skønsmargen gælder der ikke et frit og ubegrænset skøn. De nationale myndigheder skal sikre, at arbejdsgivers indførelse af foranstaltninger til overvågning af korrespondance og andre meddelelser, uanset omfanget og varigheden af sådanne foranstaltninger, er undergivet tilstrækkelige sikkerhedsforanstaltninger, der hindrer misbrug. I den pågældende sag, som Menneskerettighedsdomstolen tog stilling til havde medarbejderen benyttet Yahoo Messenger i arbejdstiden til private formål i forbindelse med korrespondance med sin forlovede og sin bror. Messenger-kontoen var oprindeligt oprettet så medarbejderen kunne bruge den til erhvervsmæssige formål. Medarbejderen var ikke på forhånd blevet informeret om, at brugen blev logget og overvåget af arbejdsgiveren. Arbejdsgiveren opsagde på den baggrund ansættelsen, hvilket medarbejderen efterfølgende anfægtede. Den Europæiske Menneskerettighedsdomstol konkluderede på baggrund af en gennemgang af sagen, at medarbejderen ikke havde fået tilstrækkelig beskyttelse af sit privatliv, og at der derfor var tale om en overtrædelse af Menneskerettighedskonventionens artikel 8.

I henhold til dansk praksis gælder normalt, at arbejdsgiveres logning af medarbejdernes hjemmesidebesøg ved mistanke om misbrug kan finde sted, hvis dette sker i overensstemmelse med persondatalovens regler om god databehandlingsskik. Dette vil også være tilfældet, når persondataforordningen får virkning – og den danske databeskyttelseslov træder i kraft – i 2018. Der er dog en række betingelser, der skal være opfyldt.

Det er således krav om, at registreringen og gennemgangen heraf skal være nødvendig for, at arbejdsgiveren kan forfølge berettigede interesser og hensynet til medarbejderen må ikke overstige disse interesser. Arbejdsgiverens berettigede interesser kan være tekniske og sikkerhedsmæssige hensyn fx for at undgå virus i systemerne og hindre nedbrud. Det er endvidere et krav, at medarbejderne på forhånd skal være klart og utvetydigt informeret om, at der finder en logning sted.

Såfremt arbejdsgiveren foretager sikkerhedskopiering af e-mails og eventuel gennemgår en medarbejders e-mails må det kun ske, hvis det er nødvendigt for, at arbejdsgiveren kan forfølge berettigede interesser, og hensynet til den ansatte ikke overstiger disse interesser. De berettigede interesser kan f.eks. være hensynet til drift, sikkerhed, genetablering og dokumentation samt hensynet til kontrol af medarbejderes brug. Det er også et krav, at medarbejderne på forhånd er klart og utvetydigt informeret om sikkerhedskopieringen og den eventuelle gennemgang af den enkelte medarbejders e-mails.

Private mails er omfattet af brevhemmeligheden i straffelovens § 263, hvorefter det er strafbart at ”bryde et brev”. Ved en gennemgang af en medarbejders e-mails må arbejdsgiveren derfor ikke læse medarbejderens private e-mails. Der er på den anden side ikke noget til hinder for, at arbejdsgiveren beslutter, at der ikke må sendes private mails igennem virksomhedens e-mailsystem.

Der kan derfor være anledning til at gennemgå virksomhedens it- og e-mail politik igen for at sikre, at den er lever op til ovennævnte krav, og at den også kan leve op til de krav, der kommer til at gælde efter persondataforordningen og den nye databeskyttelseslov. Persondataforordningen får virkning den 25. maj 2018, og den danske databeskyttelsesloven er pt. sendt i anden høringsrunde og må forventes at blive vedtaget – måske allerede inden jul – således, at den kan træde i kraft samtidig med at forordningen får virkning.